Configuration Manager'de istemcileri nasıl uyandıracaklarını planlama
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager, yazılım güncelleştirmeleri ve uygulamalar gibi gerekli yazılımları yüklemek istediğinizde bilgisayarları uyku modunda uyandırmak için geleneksel uyandırma paketlerini destekler.
Not
Bu makalede LAN'da Wake'in eski bir sürümünün nasıl işlevleri açıklanmaktadır. Bu işlev, lan üzerinde uyandırmanın daha yeni bir sürümünü de içeren Configuration Manager sürüm 1810'da hala mevcuttur. LAN'da Uyandırma'nın her iki sürümü de aynı anda etkinleştirilebilir ve çoğu durumda etkinleştirilebilir. LAN'da Uyandırma'nın yeni sürümünün 1810'dan başlayarak her iki sürümü de etkinleştirme hakkında daha fazla bilgi için bkz. LAN'da Uyandırma'yı yapılandırma.
Configuration Manager'da istemcileri uyandırma
Configuration Manager, yazılım güncelleştirmeleri ve uygulamalar gibi gerekli yazılımları yüklemek istediğinizde bilgisayarları uyku modunda uyandırmak için geleneksel uyandırma paketlerini destekler.
Uyandırma ara sunucusu istemci ayarlarını kullanarak geleneksel uyandırma paketi yöntemini tamamlayabilirsiniz. Uyandırma proxy'si, alt bilgisayarınızda bulunan diğer bilgisayarların uyanık olup olmadığını denetlemek ve gerekirse onları uyandırmak için eşler arası bir protokol ve seçili bilgisayarlar kullanır. Site LAN'da Uyandırma için yapılandırıldığında ve istemciler uyandırma ara sunucusu için yapılandırıldığında, işlem aşağıdaki gibi çalışır:
Configuration Manager istemcisi yüklü olan ve alt ağda uykuda olmayan bilgisayarlar, alt ağ üzerindeki diğer bilgisayarların uyanık olup olmadığını denetler. Bu denetimi birbirlerine beş saniyede bir TCP/IP ping komutu göndererek yapar.
Diğer bilgisayarlardan yanıt alınmazsa, uykuda oldukları varsayılır. Uyanan bilgisayarlar, alt ağ için yönetici bilgisayar haline gelir.
Bilgisayarın uyku dışında bir nedenden dolayı yanıt vermemesi mümkün olduğundan (örneğin, kapalı, ağdan kaldırılmış veya proxy uyandırma istemci ayarı artık uygulanmadığından), bilgisayarlara her gün yerel saatle 14:00'te bir uyandırma paketi gönderilir. Yanıt vermeyen bilgisayarların artık uykuda olduğu varsayılmaz ve uyandırma proxy'si tarafından uyandırılmaz.
Uyandırma ara sunucusunu desteklemek için her alt ağ için en az üç bilgisayarın uyanık olması gerekir. Bu gereksinimi sağlamak için, üç bilgisayar belirlenemeyen bir şekilde alt ağın koruyucu bilgisayarları olarak seçilir. Bu durum, bir süre etkinlik dışı kaldıktan sonra uyku veya hazırda bekletme için yapılandırılmış güç ilkesine rağmen uyanık kaldıkları anlamına gelir. Koruyucu bilgisayarlar, örneğin bakım görevlerinin bir sonucu olarak kapatma veya yeniden başlatma komutlarını yerine getirir. Bu eylem gerçekleşirse, kalan koruyucu bilgisayarlar alt ağda başka bir bilgisayarı uyandırır, böylece alt ağın üç koruyucu bilgisayarı olur.
Yönetici bilgisayarlar, ağ anahtarından uyuyan bilgisayarlar için ağ trafiğini kendilerine yönlendirmesini ister.
Yeniden yönlendirme, kaynak adres olarak uyuyan bilgisayarın MAC adresini kullanan bir Ethernet çerçevesi yayınlayan yönetici bilgisayar tarafından gerçekleştirilir. Bu davranış, ağ anahtarının uyuyan bilgisayar yönetici bilgisayarın bulunduğu bağlantı noktasına taşınmış gibi davranmasını sağlar. Yönetici bilgisayar, girdiyi ARP önbelleğinde güncel tutmak için uyuyan bilgisayarlar için ARP paketleri de gönderir. Yönetici bilgisayar ayrıca uyuyan bilgisayar adına ARP isteklerine yanıt verir ve uyuyan bilgisayarın MAC adresiyle yanıtlar.
Uyarı
Bu işlem sırasında, uyuyan bilgisayar için IP-MAC eşlemesi aynı kalır. Uyandırma ara sunucusu, farklı bir ağ bağdaştırıcısının başka bir ağ bağdaştırıcısı tarafından kaydedilen bağlantı noktasını kullandığını ağ anahtarına bildirerek çalışır. Ancak, bu davranış MAC flap olarak bilinir ve standart ağ işlemi için olağan dışıdır. Bazı ağ izleme araçları bu davranışı arar ve bir sorun olduğunu varsayabilir. Sonuç olarak, bu izleme araçları uyandırma proxy'si kullandığınızda uyarılar oluşturabilir veya bağlantı noktalarını kapatabilir.
Ağ izleme araçlarınız ve hizmetleriniz MAC flaplerine izin vermiyorsa uyandırma proxy'si kullanmayın.
Yönetici bilgisayar, uyuyan bir bilgisayar için yeni bir TCP bağlantı isteği gördüğünde ve istek uyku moduna geçmeden önce uyuyan bilgisayarın dinlediği bir bağlantı noktasına gönderildiğinde, yönetici bilgisayar uyku bilgisayarına bir uyandırma paketi gönderir ve ardından bu bilgisayar için trafiği yeniden yönlendirmeyi durdurur.
Uyuyan bilgisayar uyandırma paketini alır ve uyanır. Gönderen bilgisayar bağlantıyı otomatik olarak yeniden dener ve bu kez bilgisayar uyanıktır ve yanıt verebilir.
Uyandırma proxy'si aşağıdaki önkoşullara ve sınırlamalara sahiptir:
Önemli
Ağ altyapısından ve ağ hizmetlerinden sorumlu ayrı bir ekibiniz varsa değerlendirme ve test döneminizde bu ekibi bilgilendirin ve dahil edin. Örneğin, 802.1X ağ erişim denetimi kullanan bir ağda, uyandırma ara sunucusu çalışmaz ve ağ hizmetini kesintiye uğratabilir. Buna ek olarak, uyandırma ara sunucusu bazı ağ izleme araçlarının diğer bilgisayarları uyandırmaya yönelik trafiği algıladığında uyarı oluşturmasına neden olabilir.
İstemciler ve cihazlar için desteklenen işletim sistemlerinde desteklenen istemciler olarak listelenen tüm Windows işletim sistemleri LAN'da Uyandırma için desteklenir.
Sanal makinede çalışan konuk işletim sistemleri desteklenmez.
İstemci ayarları kullanılarak uyandırma proxy'si için istemcilerin etkinleştirilmesi gerekir. Uyandırma proxy'si işlemi donanım envanterine bağlı olmasa da, istemciler donanım envanteri için etkinleştirilmedikleri ve en az bir donanım envanteri gönderilmedikleri sürece uyandırma proxy hizmetinin yüklenmesini raporlamaz.
Ağ bağdaştırıcıları (ve büyük olasılıkla BIOS) uyandırma paketleri için etkinleştirilmeli ve yapılandırılmalıdır. Ağ bağdaştırıcısı uyandırma paketleri için yapılandırılmamışsa veya bu ayar devre dışıysa, Configuration Manager uyandırma ara sunucusunu etkinleştirmek üzere istemci ayarını aldığında otomatik olarak yapılandırır ve bir bilgisayar için etkinleştirir.
Bir bilgisayarda birden fazla ağ bağdaştırıcısı varsa, uyandırma ara sunucusu için kullanılacak bağdaştırıcıyı yapılandıramazsınız; seçim belirleyici değildir. Ancak, seçilen bağdaştırıcı SleepAgent_<DOMAIN>@SYSTEM_0.log dosyasına kaydedilir.
Ağ, ICMP yankı isteklerine izin vermelidir (en azından alt ağ içinde). ICMP ping komutlarını göndermek için kullanılan beş saniyelik aralığı yapılandıramazsınız.
İletişim şifrelenmemiş ve kimliği doğrulanmamıştır ve IPsec desteklenmez.
Aşağıdaki ağ yapılandırmaları desteklenmez:
Bağlantı noktası kimlik doğrulaması ile 802.1X
Kablosuz ağlar
MAC adreslerini belirli bağlantı noktalarına bağlayan ağ anahtarları
Yalnızca IPv6 ağları
DHCP kira süreleri 24 saatten az
Bilgisayarları zamanlanmış yazılım yüklemesi için uyandırmak istiyorsanız, her birincil siteyi uyandırma paketlerini kullanacak şekilde yapılandırmanız gerekir.
Uyandırma proxy'sini kullanmak için, birincil siteyi yapılandırmaya ek olarak Power Management uyandırma proxy'si istemci ayarlarını dağıtmanız gerekir.
Alt ağa yönlendirilen yayın paketlerinin mi yoksa tek noktaya yayın paketlerinin mi kullanılacağına ve hangi UDP bağlantı noktası numarasının kullanılacağına karar verin. Varsayılan olarak, geleneksel uyandırma paketleri UDP bağlantı noktası 9 kullanılarak iletilir, ancak güvenliği artırmaya yardımcı olmak için, bu alternatif bağlantı noktası yönlendiriciler ve güvenlik duvarları tarafından destekleniyorsa site için alternatif bir bağlantı noktası seçebilirsiniz.
Lan'da Uyandırma için Tek Noktaya Yayın ile Subnet-Directed Yayını Arasında Seçim Yapma
Geleneksel uyandırma paketleri göndererek bilgisayarları uyandırmayı seçtiyseniz, tek noktaya yayın paketlerinin mi yoksa alt ağdan doğrudan yayın paketlerinin mi iletilmesi gerektiğine karar vermeniz gerekir. Uyandırma proxy'si kullanıyorsanız, tek noktaya yayın paketlerini kullanmanız gerekir. Aksi takdirde, hangi iletim yöntemini seçeceğinizi belirlemenize yardımcı olması için aşağıdaki tabloyu kullanın.
İletim yöntemi | Avantaj | Dezavantaj |
---|---|---|
Tek noktaya yayın | Paket alt ağ üzerindeki tüm bilgisayarlar yerine doğrudan bir bilgisayara gönderildiğinden alt ağa yönlendirilen yayınlara göre daha güvenli bir çözüm. Yönlendiricilerin yeniden yapılandırılmasını gerektirmeyebilir (ARP önbelleğini yapılandırmanız gerekebilir). Alt ağa yönlendirilen yayın iletimlerinden daha az ağ bant genişliği kullanır. IPv4 ve IPv6 ile desteklenir. |
Uyandırma paketleri, son donanım envanteri zamanlamasının ardından alt ağ adreslerini değiştiren hedef bilgisayarları bulamaz. Anahtarların UDP paketlerini iletecek şekilde yapılandırılması gerekebilir. Bazı ağ bağdaştırıcıları, iletim yöntemi olarak tek noktaya yayın kullandıklarında tüm uyku durumlarındaki uyandırma paketlerine yanıt vermeyebilir. |
yayın Subnet-Directed | Aynı alt ağda IP adreslerini sık sık değiştiren bilgisayarlar varsa, tek noktaya yayından daha yüksek başarı oranı. Anahtar yeniden yapılandırması gerekmez. Tüm uyku durumları için bilgisayar bağdaştırıcılarıyla yüksek uyumluluk oranı, çünkü uyandırma paketlerini göndermek için alt ağa yönlendirilen yayınlar özgün iletim yöntemiydi. |
Bir saldırgan hatalı bir kaynak adresten yönlendirilen yayın adresine sürekli ICMP yankı istekleri akışı gönderebileceğinden tek noktaya yayın kullanmaktan daha az güvenli bir çözüm. Bu, tüm konakların bu kaynak adresi yanıtlamasına neden olur. Yönlendiriciler alt ağa yönlendirilen yayınlara izin verecek şekilde yapılandırılmışsa, güvenlik nedenleriyle ek yapılandırma önerilir: - Yönlendiricileri, belirtilen UDP bağlantı noktası numarasını kullanarak Configuration Manager site sunucusundan yalnızca IP ile yönlendirilen yayınlara izin verecek şekilde yapılandırın. - Configuration Manager belirtilen varsayılan olmayan bağlantı noktası numarasını kullanacak şekilde yapılandırın. Alt ağa yönlendirilen yayınları etkinleştirmek için tüm araya girmiş yönlendiricilerin yeniden yapılandırılması gerekebilir. Tek noktaya yayın iletimlerinden daha fazla ağ bant genişliği kullanır. Yalnızca IPv4 ile desteklenir; IPv6 desteklenmez. |
Uyarı
Alt ağa yönlendirilen yayınlarla ilişkili güvenlik riskleri vardır: Saldırgan, hatalı bir kaynak adresten sürekli İnternet Denetim İletisi Protokolü (ICMP) yankı isteklerinin akışlarını yönlendirilmiş yayın adresine gönderebilir ve bu da tüm konakların bu kaynak adresi yanıtlamasına neden olur. Bu tür bir hizmet reddi saldırısı genellikle şirin saldırısı olarak adlandırılır ve genellikle alt ağ tarafından yönlendirilen yayınlar etkinleştirilmeyerek azaltılır.