Planera hur klienter ska väckas i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Configuration Manager stöder traditionella aktiveringspaket för att väcka datorer i viloläge när du vill installera nödvändig programvara, till exempel programuppdateringar och program.
Obs!
Den här artikeln beskriver hur en äldre version av Wake on LAN fungerar. Den här funktionen finns fortfarande i Configuration Manager version 1810, som även innehåller en nyare version av Wake on LAN. Båda versionerna av Wake on LAN kan och kommer i många fall att aktiveras samtidigt. Mer information om hur den nya versionen av Wake on LAN fungerar från och med 1810 och aktiverar en eller båda versionerna finns i Så här konfigurerar du Wake on LAN.
Så här väcker du klienter i Configuration Manager
Configuration Manager stöder traditionella aktiveringspaket för att väcka datorer i viloläge när du vill installera nödvändig programvara, till exempel programuppdateringar och program.
Du kan komplettera den traditionella metoden för aktiveringspaket med hjälp av inställningarna för aktiveringsproxyklienten. Aktiveringsproxyn använder ett peer-to-peer-protokoll och valda datorer för att kontrollera om andra datorer i undernätet är vakna och för att väcka dem om det behövs. När platsen har konfigurerats för Wake On LAN och klienter har konfigurerats för aktiveringsproxy fungerar processen på följande sätt:
Datorer med Configuration Manager-klienten installerad och som inte sover i undernätet kontrollerar om andra datorer i undernätet är vakna. De gör den här kontrollen genom att skicka ett TCP/IP-pingkommando var femte sekund.
Om det inte finns något svar från andra datorer antas de vara i viloläge. De datorer som är vakna blir hanteringsdator för undernätet.
Eftersom det är möjligt att en dator kanske inte svarar på grund av en annan orsak än att den sover (till exempel att den är avstängd, tas bort från nätverket eller proxyns aktiveringsklientinställning inte längre tillämpas), skickas datorerna ett väckningspaket varje dag kl. 14.00 lokal tid. Datorer som inte svarar antas inte längre vara i viloläge och kommer inte att väckas av aktiveringsproxyn.
För att stöda aktiveringsproxy måste minst tre datorer vara aktiva för varje undernät. För att uppnå detta krav väljs tre datorer icke-deterministiskt som skyddsdatorer för undernätet. Det här tillståndet innebär att de håller sig vakna, trots att någon konfigurerad energiprincip för viloläge eller viloläge efter en period av inaktivitet har konfigurerats. Guardian-datorer hanterar till exempel avstängnings- eller omstartskommandon som ett resultat av underhållsaktiviteter. Om den här åtgärden inträffar vaknar de återstående skyddsdatorerna upp en annan dator i undernätet så att undernätet fortsätter att ha tre skyddsdatorer.
Manager-datorer ber nätverksväxeln att omdirigera nätverkstrafik för de vilande datorerna till sig själva.
Omdirigeringen uppnås genom att hanteringsdatorn sänder en Ethernet-ram som använder den vilande datorns MAC-adress som källadress. Detta gör att nätverksväxlingen fungerar som om den vilande datorn har flyttats till samma port som hanteringsdatorn är på. Hanteringsdatorn skickar också ARP-paket för de vilande datorerna för att hålla posten fräsch i ARP-cachen. Hanteringsdatorn svarar också på ARP-begäranden för den vilande datorns räkning och svarar med MAC-adressen för den vilande datorn.
Varning
Under den här processen förblir IP-till-MAC-mappningen för den vilande datorn densamma. Aktiveringsproxyn fungerar genom att informera nätverksväxeln om att ett annat nätverkskort använder porten som registrerades av ett annat nätverkskort. Det här beteendet kallas dock för en MAC-flik och är ovanligt för standardnätverksdrift. Vissa verktyg för nätverksövervakning letar efter det här beteendet och kan anta att något är fel. Dessa övervakningsverktyg kan därför generera aviseringar eller stänga av portar när du använder aktiveringsproxy.
Använd inte aktiveringsproxy om dina verktyg och tjänster för nätverksövervakning inte tillåter MAC-klaffar.
När en hanteringsdator ser en ny TCP-anslutningsbegäran för en vilande dator och begäran är till en port som den vilande datorn lyssnade på innan den viloläge, skickar hanteringsdatorn ett aktiveringspaket till den vilande datorn och slutar sedan omdirigera trafik för den här datorn.
Den vilande datorn tar emot väckningspaketet och vaknar. Den sändande datorn försöker automatiskt ansluta igen och den här gången är datorn aktiv och kan svara.
Aktiveringsproxyn har följande krav och begränsningar:
Viktigt
Om du har ett separat team som ansvarar för nätverksinfrastrukturen och nätverkstjänsterna meddelar och inkluderar du det här teamet under utvärderings- och testperioden. I ett nätverk som till exempel använder 802.1X-nätverksåtkomstkontroll fungerar inte aktiveringsproxyn och kan störa nätverkstjänsten. Dessutom kan aktiveringsproxy orsaka att vissa verktyg för nätverksövervakning genererar aviseringar när verktygen identifierar trafiken för att väcka andra datorer.
Alla Windows-operativsystem som anges som klienter som stöds i operativsystem som stöds för klienter och enheter stöds för Wake On LAN.
Gästoperativsystem som körs på en virtuell dator stöds inte.
Klienter måste vara aktiverade för aktiveringsproxy med hjälp av klientinställningar. Aktiveringsproxyåtgärden är inte beroende av maskinvaruinventering, men klienter rapporterar inte installationen av aktiveringsproxytjänsten om de inte är aktiverade för maskinvaruinventering och har skickat minst en maskinvaruinventering.
Nätverkskort (och eventuellt BIOS) måste vara aktiverade och konfigurerade för aktiveringspaket. Om nätverkskortet inte har konfigurerats för aktiveringspaket eller om den här inställningen är inaktiverad konfigurerar Configuration Manager automatiskt och aktiverar det för en dator när den tar emot klientinställningen för aktiveringsproxy.
Om en dator har fler än ett nätverkskort kan du inte konfigurera vilket kort som ska användas för aktiveringsproxy. valet är icke-deterministiskt. Det valda kortet registreras dock i filen SleepAgent_<DOMAIN>@SYSTEM_0.log.
Nätverket måste tillåta ICMP-ekobegäranden (åtminstone inom undernätet). Du kan inte konfigurera det femsekundersintervall som används för att skicka ICMP-pingkommandon.
Kommunikationen är okrypterad och oautentiserad och IPsec stöds inte.
Följande nätverkskonfigurationer stöds inte:
802.1X med portautentisering
Trådlösa nätverk
Nätverksväxlar som binder MAC-adresser till specifika portar
Endast IPv6-nätverk
DHCP-lånetid mindre än 24 timmar
Om du vill aktivera datorer för schemalagd programvaruinstallation måste du konfigurera varje primär plats att använda aktiveringspaket.
Om du vill använda aktiveringsproxy måste du distribuera power management-klientinställningar för aktiveringsproxy förutom att konfigurera den primära platsen.
Bestäm om du vill använda undernätsstyrda broadcast-paket eller unicast-paket och vilket UDP-portnummer som ska användas. Som standard överförs traditionella aktiveringspaket med udp-port 9, men för att öka säkerheten kan du välja en alternativ port för platsen om den här alternativa porten stöds av mellanliggande routrar och brandväggar.
Välj Mellan Unicast och Subnet-Directed Broadcast för Wake-on-LAN
Om du väljer att väcka datorer genom att skicka traditionella aktiveringspaket måste du bestämma om du vill överföra unicast-paket eller undernätsdirigeringspaket. Om du använder aktiveringsproxy måste du använda unicast-paket. Annars kan du använda följande tabell för att avgöra vilken överföringsmetod du ska välja.
| Överföringsmetod | Fördel | Nackdel |
|---|---|---|
| Unicast | Säkrare lösning än undernätsstyrda sändningar eftersom paketet skickas direkt till en dator i stället för till alla datorer i ett undernät. Kanske inte kräver omkonfiguration av routrar (du kanske måste konfigurera ARP-cachen). Förbrukar mindre nätverksbandbredd än undernätsstyrda sändningsöverföringar. Stöds med IPv4 och IPv6. |
Aktiveringspaket hittar inte måldatorer som har ändrat sin undernätsadress efter det senaste maskinvaruinventeringsschemat. Växlar kan behöva konfigureras för att vidarebefordra UDP-paket. Vissa nätverkskort kanske inte svarar på aktiveringspaket i alla vilolägen när de använder unicast som överföringsmetod. |
| Subnet-Directed sändning | Högre framgångsfrekvens än unicast om du har datorer som ofta ändrar sin IP-adress i samma undernät. Ingen omkonfiguration av växeln krävs. Hög kompatibilitetsgrad med datorkort för alla vilolägen, eftersom undernätsstyrda sändningar var den ursprungliga överföringsmetoden för att skicka aktiveringspaket. |
Mindre säker lösning än att använda unicast eftersom en angripare kan skicka kontinuerliga strömmar av ICMP-ekobegäranden från en förfalskad källadress till den dirigerade sändningsadressen. Detta gör att alla värdar svarar på den källadressen. Om routrar har konfigurerats för att tillåta undernätsstyrda sändningar rekommenderas den ytterligare konfigurationen av säkerhetsskäl: – Konfigurera routrar för att endast tillåta IP-riktade sändningar från Configuration Manager platsservern med hjälp av ett angivet UDP-portnummer. – Konfigurera Configuration Manager att använda det angivna portnumret som inte är standard. Kan kräva omkonfiguration av alla mellanliggande routrar för att aktivera undernätsstyrda sändningar. Förbrukar mer nätverksbandbredd än unicast-överföringar. Stöds endast med IPv4; IPv6 stöds inte. |
Varning
Det finns säkerhetsrisker som är kopplade till undernätsstyrda sändningar: En angripare kan skicka kontinuerliga strömmar av ICMP-ekobegäranden (Internet Control Message Protocol) från en förfalskad källadress till den riktade sändningsadressen, vilket gör att alla värdar svarar på den källadressen. Den här typen av överbelastningsattack kallas ofta för en smurfattack och minimeras vanligtvis genom att inte aktivera undernätsstyrda sändningar.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för