Share via

Så här konfigurerar du administrationstjänsten i Configuration Manager

  • Artikel

Gäller för: Konfigurationshanteraren (current branch)

Använd stegen i den här artikeln för att konfigurera administrationstjänsten på sms-providern. Läs krav för administrationstjänsten innan du börjar.

Aktivera säker HTTPS-kommunikation

Konfigurera administrationstjänsten så att den använder en säker HTTPS-anslutning för att skydda data som överförs i nätverket.

Från och med version 2010 behöver du inte längre aktivera IIS på SMS-providern för administrationstjänsten. Webbplatsen skapar ett självsignerat certifikat för SMS-providern och binder det automatiskt utan IIS. Om du tidigare hade IIS installerat på SMS-providern kan du ta bort det. Starta sedan om komponenten SMS_REST_PROVIDER. Kom ihåg att du måste öppna HTTPS-port 443 i brandväggen.

Administrationstjänsten använder automatiskt webbplatsens självsignerade certifikat. Det här beteendet hjälper till att minska friktionen för enklare användning av administrationstjänsten. Webbplatsen genererar alltid det här certifikatet. Administrationstjänsten ignorerar inställningen Förbättrad HTTP-webbplats eftersom den alltid använder webbplatsens certifikat även om inget annat platssystem använder utökad HTTP. Du kan fortfarande manuellt binda ett PKI-baserat serverautentiseringscertifikat. Om du redan har bundit ett PKI-certifikat till port 443 på SMS-providerservern använder administrationstjänsten det befintliga certifikatet.

Använda ett certifikat för serverautentisering

Obs!

Som standard använder administrationstjänsten automatiskt webbplatsens självsignerade certifikat. Du kan fortfarande manuellt binda ett PKI-baserat serverautentiseringscertifikat. Innan du kan binda ditt PKI-baserade certifikat måste du manuellt avbinda webbplatsens självsignerade certifikat från port 443 på SMS-providern.

Det finns två primära metoder för att använda ett certifikat för serverautentisering:

  • Från organisationens offentliga nyckelinfrastruktur (PKI)

    • Om din miljö redan har en PKI kan du använda den för att utfärda ett certifikat för serverautentisering för SMS-providern. Det här certifikatet liknar det certifikat som du använder för en hanteringsplats eller distributionsplats. Mer information finns i PKI-certifikatkrav.

    • De flesta PKI-implementeringar för företag lägger till betrodda rotcertifikatutfärdare till Windows-klienter. Du kan till exempel använda Active Directory Certificate Services med en grupprincip. Om du utfärdar certifikatet från en certifikatutfärdare som klienterna inte litar på automatiskt lägger du till certifikatutfärdarcertifikatets betrodda rotcertifikat till klienterna. Du kan begränsa det här förtroendet till endast de klienter som behöver åtkomst till administrationstjänsten.

  • Använd ett certifikat från en offentlig och globalt betrodd certifikatprovider. Windows-klienter inkluderar betrodda rotcertifikatutfärdare (CA) från dessa leverantörer. Genom att använda ett certifikat för serverautentisering som utfärdats av någon av dessa providrar litar dina klienter automatiskt på det.

När du har ett certifikat för serverautentisering för SMS-providern måste du manuellt binda det till port 443 i IIS på den server som är värd för SMS-providerrollen.

Lägg först till certifikatet på servern. Importera certifikatet till den lokala datorns personliga arkiv. Använd sedan något av följande alternativ för att binda certifikatet:

Binda certifikatet med IIS

Om servern med SMS-providerrollen har IIS-hanteringskonsolen använder du åtgärden Redigera bindningar på standardwebbplatsen. Lägg till port 443 och ange certifikatet från datorns certifikatarkiv.

Obs!

SMS-providerrollen kräver inte IIS. Den här proceduren använder IIS-konsolen för att binda certifikatet. Dessa certifikatbindningar är för datorn, inte för någon specifik tjänst.

Binda certifikatet med netsh

Använd netsh-kommandoraden för att binda certifikatet:

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

Där <thumbprint> är tumavtrycket för det installerade certifikatet och <GUID> är ett slumpmässigt GUID.

Tips

Använd cmdleten New-Guid Windows PowerShell för att generera ett slumpmässigt GUID.

Till exempel:

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

Aktivera Internetåtkomst

Du kan endast använda administrationstjänsten lokalt, eller så kan du aktivera den för åtkomst via molnhanteringsgatewayen (CMG). Vissa scenarier kräver åtkomst till administrationstjänsten från Internet, till exempel klientkoppling eller appgodkännanden via e-post.

Innan du kan konfigurera SMS-providern för att tillåta CMG-trafik måste du först konfigurera en CMG. Mer information finns i Översikt över CMG.

Använd sedan följande process för att aktivera administrationstjänsten via CMG:

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Servrar och platssystemroller.

  2. Välj den server som har rollen SMS-provider .

    Tips

    I menyfliksområdet går du till fliken Start och väljer Servrar med roll och sedan SMS-provider. Den här åtgärden visar platssystemen med den rollen.

  3. I informationsfönstret väljer du rollen SMS-provider och väljer Egenskaper i menyfliksområdet på fliken Platsroll .

  4. Välj alternativet Tillåt Configuration Manager molnhanteringsgatewaytrafik för administrationstjänsten.

Om du vill komma åt administrationstjänsten från Internet ersätter du FQDN för SMS-providern med CMG-slutpunkten. Till exempel:

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

Tips

Använd följande steg för att hämta värdet för den här slutpunkten:

  • Skapa en CMG. Mer information finns i Konfigurera en CMG.

  • Öppna en Windows PowerShell-kommandotolk som administratör på en aktiv klient.

  • Kör följande kommando:

    (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP

Aktivera konsolanvändning

Obs!

Från och med version 2111 tas alternativet Aktivera Configuration Manager-konsolen att använda administrationstjänsten bort. Administrationstjänsten är alltid på, så konsolen använder den när det behövs.

Aktivera vissa noder i Configuration Manager-konsolen för att använda administrationstjänsten. Den här ändringen gör att konsolen kan kommunicera med SMS-providern via HTTPS i stället för via WMI.

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Platser. I menyfliksområdet väljer du Hierarkiinställningar.

  2. På sidan Allmänt väljer du alternativet Aktivera Configuration Manager-konsolen för att använda administrationstjänsten.

Den här ändringen påverkar endast följande noder under noden Säkerhet på arbetsytan Administration :

  • Administrativa användare
  • Säkerhetsroller
  • Säkerhetsomfattningar
  • Konsolanslutningar

Om följande felmeddelande visas när du väljer en av dessa noder:

Configuration Manager kan inte ansluta till administrationstjänsten

Granska informationen under felet. Kontrollera sedan att administrationstjänsten är aktiverad, konfigurerad och funktionell. Mer information, inklusive loggfiler som ska granskas, finns i avsnittet Verifiera .

Kontrollera

När platsen installerar administrationstjänsten loggar den aktiviteten till filen RESTPROVIDERSetup.log i Configuration Manager installationskatalog. Som standard är C:\Program Files\Microsoft Configuration Manager\logsden här sökvägen .

Webbplatsen spårar hälsotillståndet för administrationstjänsten i filen SMS_REST_PROVIDER.log . Du kan se tjänstens start och information om certifikatet.

Testa administrationstjänsten genom att göra en enkel fråga i en webbläsare, till exempel:

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

Administrationstjänsten loggar sin aktivitet till filen adminservice.log på SMS-providerservern i installationskatalogen för Configuration Manager.

För metadatafrågan ovan visar loggfilen följande rader:

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

Nästa steg

Så här använder du administrationstjänsten