Настройка службы администрирования в Configuration Manager
Относится к Configuration Manager (Current Branch)
Выполните действия, описанные в этой статье, чтобы настроить службу администрирования в поставщике SMS. Перед началом работы ознакомьтесь со статьей Предварительные требования для службы администрирования.
Включение безопасного обмена данными по протоколу HTTPS
Настройте службу администрирования для использования безопасного HTTPS-подключения для защиты данных при передаче по сети.
Начиная с версии 2010, вам больше не нужно включать СЛУЖБЫ IIS в поставщике SMS для службы администрирования. Сайт создает самозаверяющий сертификат для поставщика SMS и автоматически привязывает его, не требуя iis. Если у вас ранее были установлены службы IIS на поставщике SMS, его можно удалить. Затем перезапустите компонент SMS_REST_PROVIDER. Помните, что необходимо открыть порт HTTPS 443 в брандмауэре.
Служба администрирования автоматически использует самозаверяющий сертификат сайта. Такое поведение помогает уменьшить трудности для более простого использования службы администрирования. Сайт всегда создает этот сертификат. Служба администрирования игнорирует параметр Расширенный HTTP-сайт, так как она всегда использует сертификат сайта, даже если ни в другой системе сайта не используется расширенный HTTP. Вы по-прежнему можете вручную привязать сертификат проверки подлинности сервера на основе PKI. Если вы уже привязали PKI-сертификат к порту 443 на сервере поставщика SMS, служба администрирования использует этот существующий сертификат.
Использование сертификата проверки подлинности сервера
Примечание.
По умолчанию служба администрирования автоматически использует самозаверяющий сертификат сайта. Вы по-прежнему можете вручную привязать сертификат проверки подлинности сервера на основе PKI. Прежде чем привязать сертификат на основе PKI, вручную отмените привязку самозаверяющего сертификата сайта с порта 443 на поставщике SMS.
Существует два основных метода использования сертификата проверки подлинности сервера:
Из инфраструктуры открытых ключей (PKI) вашей организации
Если в вашей среде уже есть PKI, его можно использовать для выдачи сертификата проверки подлинности сервера для поставщика SMS. Этот сертификат аналогичен сертификату, который вы используете для точки управления или точки распространения. Дополнительные сведения см. в разделе Требования к PKI-сертификатам.
Большинство корпоративных реализаций PKI добавляют доверенные корневые ЦС в клиенты Windows. Например, использование служб сертификатов Active Directory с групповой политикой. Если вы выдаете сертификат из ЦС, которому клиенты не доверяют автоматически, добавьте доверенный корневой сертификат ЦС для клиентов. Это доверие можно ограничить только клиентами, которым требуется доступ к службе администрирования.
Используйте сертификат от общедоступного и глобально доверенного поставщика сертификатов. Клиенты Windows включают доверенные корневые центры сертификации (ЦС) этих поставщиков. Используя сертификат проверки подлинности сервера, выданный одним из этих поставщиков, клиенты автоматически доверяют ему.
После получения сертификата проверки подлинности сервера для поставщика SMS необходимо вручную привязать его к порту 443 в IIS на сервере, на котором размещена роль поставщика SMS.
Сначала добавьте сертификат на сервер. Импортируйте сертификат в личное хранилище локального компьютера. Затем используйте один из следующих параметров, чтобы привязать сертификат:
Привязка сертификата с помощью IIS
Если сервер с ролью поставщика SMS имеет консоль управления IIS, используйте действие Изменение привязок на веб-сайте по умолчанию. Добавьте порт 443 и укажите сертификат из хранилища сертификатов компьютера.
Примечание.
Роль поставщика SMS не требует служб IIS. Эта процедура использует консоль IIS для привязки сертификата. Эти привязки сертификатов предназначены для компьютера, а не для какой-либо конкретной службы.
Привязка сертификата с помощью netsh
Используйте командную строку netsh для привязки сертификата:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Где <thumbprint>
— отпечаток установленного сертификата, а <GUID>
— случайный GUID.
Совет
Используйте командлет New-Guid
Windows PowerShell для создания случайного GUID.
Например:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
Включение доступа к Интернету
Вы можете использовать службу администрирования только в локальной среде или включить к ней доступ через шлюз управления облаком (CMG). В некоторых сценариях требуется доступ к службе администрирования из Интернета, например присоединение клиента или утверждение приложения по электронной почте.
Прежде чем настроить поставщик SMS для разрешения трафика CMG, сначала настройте CMG. Дополнительные сведения см. в разделе Обзор CMG.
Затем используйте следующий процесс, чтобы включить службу администрирования через CMG:
В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Серверы и роли системы сайта.
Выберите сервер с ролью поставщик SMS .
Совет
На ленте на вкладке Главная выберите Серверы с ролью , а затем выберите Поставщик SMS. Это действие показывает системы сайта с этой ролью.
В области сведений выберите роль Поставщик SMS и выберите свойства на ленте на вкладке Роль сайта .
Выберите параметр Разрешить Configuration Manager трафик шлюза управления облаком для службы администрирования.
Чтобы получить доступ к службе администрирования из Интернета, замените полное доменное имя поставщика SMS на конечную точку CMG. Например:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
Совет
Чтобы получить значение для этой конечной точки, выполните следующие действия.
Создайте шлюз управления облачными клиентами. Дополнительные сведения см. в разделе Настройка CMG.
В активном клиенте откройте командную строку Windows PowerShell от имени администратора.
Выполните следующую команду:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Включение использования консоли
Примечание.
Начиная с версии 2111 параметр Включить консоль Configuration Manager для использования службы администрирования удаляется. Служба администрирования всегда включена, поэтому консоль будет использовать ее при необходимости.
Включите некоторые узлы консоли Configuration Manager для использования службы администрирования. Это изменение позволяет консоли взаимодействовать с поставщиком SMS по протоколу HTTPS, а не через WMI.
В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Сайты. На ленте выберите Параметры иерархии.
На странице Общие выберите параметр Включить консоль Configuration Manager для использования службы администрирования.
Это изменение затрагивает только следующие узлы в узле Безопасность в рабочей области Администрирование :
- Пользователи с правами администратора
- Роли безопасности
- Области безопасности
- Подключения к консоли
При выборе одного из этих узлов отображается следующее сообщение об ошибке:
Configuration Manager не удается подключиться к службе администрирования
Просмотрите сведения, приведенные ниже ошибки. Затем убедитесь, что служба администрирования включена, настроена и работает. Дополнительные сведения, включая файлы журналов для просмотра, см. в разделе Проверка .
Проверяем подлинность
Когда сайт устанавливает службу администрирования, он регистрирует действия в файле RESTPROVIDERSetup.log в каталоге установки Configuration Manager. По умолчанию этот путь — C:\Program Files\Microsoft Configuration Manager\logs
.
Сайт отслеживает состояние работоспособности службы администрирования в файле SMS_REST_PROVIDER.log . Вы увидите запуск службы и сведения о сертификате.
Протестируйте службу администрирования, выполнив простой запрос в веб-браузере, например:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
Служба администрирования регистрирует свои действия в файле adminservice.log на сервере поставщика SMS в каталоге установки Configuration Manager.
Для приведенного выше запроса метаданных файл журнала содержит следующие строки:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]