規劃如何在Configuration Manager中喚醒用戶端
適用於:Configuration Manager (目前的分支)
Configuration Manager支援傳統喚醒封包,以在您想要安裝必要的軟體時喚醒處於睡眠模式的電腦,例如軟體更新和應用程式。
注意事項
本文說明較舊版本的網路喚醒功能。 此功能仍存在於 Configuration Manager 1810 版中,其中也包含較新版本的網路喚醒。 在許多情況下,這兩個版本的網路喚醒都可以同時啟用。 如需新版網路喚醒功能從 1810 開始並啟用任一或兩個版本的詳細資訊,請參閱 如何設定網路喚醒。
如何喚醒Configuration Manager中的用戶端
Configuration Manager支援傳統喚醒封包,以在您想要安裝必要的軟體時喚醒處於睡眠模式的電腦,例如軟體更新和應用程式。
您可以使用喚醒 Proxy 用戶端設定來補充傳統的喚醒封包方法。 喚醒 Proxy 會使用點對點通訊協定和選取的電腦來檢查子網上的其他電腦是否處於喚醒狀態,並在必要時加以喚醒。 當月臺設定為網路喚醒,且用戶端設定為喚醒 Proxy 時,此程式的運作方式如下:
已安裝Configuration Manager用戶端且未在子網上睡眠的電腦,會檢查子網上的其他電腦是否處於喚醒狀態。 他們會每隔五秒傳送一次 TCP/IP ping 命令來執行這項檢查。
如果沒有來自其他電腦的回應,則會假設它們處於睡眠狀態。 喚醒的電腦會成為子網的 管理員電腦 。
電腦可能因為睡眠 (以外的原因而無法回應,例如,電腦已關閉、從網路中移除,或不再套用 Proxy 喚醒用戶端設定) ,所以電腦會在當地時間每天下午 2 點傳送喚醒封包。 不再假設沒有回應的電腦處於睡眠狀態,且不會被喚醒 Proxy 喚醒。
若要支援喚醒 Proxy,每個子網至少必須有三部電腦處於喚醒狀態。 若要達到此需求,三部電腦會以不確定的方式選擇為子網的 守護者電腦 。 此狀態表示即使任何已設定的電源原則在閒置一段時間後進入睡眠或休眠狀態,它們仍會保持睡眠狀態。 例如,守護者電腦會接受關機或重新開機命令,這是維護工作的結果。 如果發生此動作,剩餘的守護者電腦會喚醒子網上的另一部電腦,讓子網繼續有三部守護者電腦。
管理員電腦會要求網路交換器將睡眠中電腦的網路流量重新導向至自己。
重新導向是透過管理員電腦廣播乙太網路框架來達成,該畫面格會使用睡眠中電腦的 MAC 位址作為來源位址。 此行為讓網路交換器的行為就像睡眠中電腦已移至管理員電腦所在的相同埠一樣。 管理員電腦也會傳送睡眠中電腦的 ARP 封包,讓 ARP 快取中的專案保持最新狀態。 管理員電腦也會代表睡眠中電腦回應 ARP 要求,並以睡眠中電腦的 MAC 位址回復。
警告
在此程式中,睡眠中電腦的 IP 對 MAC 對應維持不變。 喚醒 Proxy 的運作方式是通知網路交換器,不同的網路介面卡正在使用另一個網路介面卡所註冊的埠。 不過,此行為稱為 MAC Flap,對於標準網路作業而言很不尋常。 某些網路監視工具會尋找此行為,並可假設發生錯誤。 因此,當您使用喚醒 Proxy 時,這些監視工具可以產生警示或關閉埠。
如果您的網路監視工具和服務不允許 MAC Flap,請勿使用喚醒 Proxy。
當管理員電腦看到睡眠中電腦的新 TCP 連線要求,且要求是在睡眠電腦進入睡眠之前接聽的埠時,管理員電腦會將喚醒封包傳送至睡眠中電腦,然後停止重新導向這部電腦的流量。
睡眠中的電腦會收到喚醒封包並喚醒。 傳送的電腦會自動重試連線,這次電腦會醒著並可以回應。
喚醒 Proxy 具有下列必要條件和限制:
重要事項
如果您有負責網路基礎結構和網路服務的個別小組,請在評估和測試期間通知並包含此小組。 例如,在使用 802.1X 網路存取控制的網路上,喚醒 Proxy 將無法運作,而且可能會中斷網路服務。 此外,當工具偵測到喚醒其他電腦的流量時,喚醒 Proxy 可能會導致某些網路監視工具產生警示。
在 用戶端和裝置支援的作業系統 中列為支援用戶端的所有 Windows 作業系統,都支援網路喚醒。
不支援在虛擬機器上執行的客體作業系統。
用戶端必須使用用戶端設定來啟用喚醒 Proxy。 雖然喚醒 Proxy 作業不相依于硬體清查,但用戶端不會回報喚醒 Proxy 服務的安裝,除非它們已啟用硬體清查並提交至少一個硬體清查。
網路介面卡 (,而且可能必須針對喚醒封包啟用和設定 BIOS) 。 如果未針對喚醒封包設定網路介面卡,或停用此設定,Configuration Manager會在收到用戶端設定以啟用喚醒 Proxy 時,自動為電腦設定及啟用它。
如果電腦有多個網路介面卡,您就無法設定要用於喚醒 Proxy 的介面卡;選擇不具決定性。 不過,選擇的配接器會記錄在 SleepAgent_ < DOMAIN > @SYSTEM_0.log 檔案中。
網路必須允許至少在子網) 內 (ICMP 回應要求。 您無法設定用來傳送 ICMP ping 命令的五秒間隔。
通訊未加密且未經驗證,且不支援 IPsec。
不支援下列網路組態:
具有埠驗證的 802.1X
無線網路
將 MAC 位址系結至特定埠的網路交換器
僅限 IPv6 的網路
DHCP 租用持續時間小於 24 小時
如果您想要喚醒電腦以進行排程的軟體安裝,您必須將每個主要月臺設定為使用喚醒封包。
若要使用喚醒 Proxy,除了設定主要月臺之外,您還必須部署 Power Management 喚醒 Proxy 用戶端設定。
決定是否要使用子網導向的廣播封包或單播封包,以及要使用的 UDP 埠號碼。 根據預設,傳統喚醒封包會使用 UDP 埠 9 來傳輸,但為了協助提高安全性,如果此替代埠受到路由器和防火牆的介入支援,您可以選取月臺的替代埠。
針對網路喚醒選擇 [單播] 和 [Subnet-Directed廣播]
如果您選擇透過傳送傳統喚醒封包來喚醒電腦,您必須決定是否要傳輸單播封包或子網直接廣播封包。 如果您使用喚醒 Proxy,則必須使用單播封包。 否則,請使用下表來協助您判斷要選擇的傳輸方法。
| 傳輸方法 | 利用 | 缺點 |
|---|---|---|
| 播 | 比子網導向的廣播更安全的解決方案,因為封包會直接傳送至電腦,而不是傳送到子網上的所有電腦。 可能不需要重新設定路由器 (您可能必須設定 ARP 快取) 。 比起子網導向的廣播傳輸,耗用較少的網路頻寬。 支援 IPv4 和 IPv6。 |
喚醒封包找不到在最後一個硬體清查排程之後變更其子網位址的目的地電腦。 參數可能必須設定為轉送 UDP 封包。 某些網路介面卡在使用單播作為傳輸方法時,可能不會回應處於所有睡眠狀態的喚醒封包。 |
| Subnet-Directed廣播 | 如果您的電腦經常在相同的子網中變更其 IP 位址,則成功率高於單播。 不需要重新設定參數。 所有睡眠狀態的電腦配接器相容性率很高,因為子網導向的廣播是傳送喚醒封包的原始傳輸方法。 |
比起使用單播,較不安全的解決方案,因為攻擊者可以將 ICMP 回應要求的連續串流從偽造的來源位址傳送至導向的廣播位址。 這會導致所有主機回復該來源位址。 如果路由器設定為允許子網導向的廣播,則基於安全性考慮,建議使用額外的設定: - 使用指定的 UDP 埠號碼,將路由器設定為只允許來自Configuration Manager月臺伺服器的 IP 導向廣播。 - 設定Configuration Manager使用指定的非預設埠號碼。 可能需要重新設定所有中間路由器,才能啟用子網導向的廣播。 耗用比單播傳輸更多的網路頻寬。 僅支援 IPv4;不支援 IPv6。 |
警告
有與子網導向廣播相關聯的安全性風險:攻擊者可能會將網際網路控制訊息通訊協定 (ICMP 的連續串流) 來自偽造來源位址的回應要求傳送至導向的廣播位址,這會導致所有主機回復該來源位址。 這種類型的阻斷服務攻擊通常稱為 s cerf 攻擊,而且通常會藉由不啟用子網導向的廣播來降低風險。