如何在 Configuration Manager 中設定系統管理服務

  • 文章

適用於:Configuration Manager (目前的分支)

使用本文中的步驟,在 SMS 提供者上設定系統管理服務。 開始之前,請先閱讀管理服務 必要條件

啟用安全 HTTPS 通訊

將系統管理服務設定為使用安全的 HTTPS 連線來保護網路傳輸中的資料。

從 2010 版開始, 您不再需要在 SMS 提供者上為系統管理服務啟用 IIS。 月臺會為 SMS 提供者建立自我簽署憑證,並自動系結它,而不需要 IIS。 如果您先前已在 SMS 提供者上安裝 IIS,您可以將它移除。 然後重新開機SMS_REST_PROVIDER元件。 請記住,您必須在防火牆上開啟 HTTPS 埠 443。

系統管理服務會自動使用網站的自我簽署憑證。 此行為有助於減少衝突,讓系統管理服務更容易使用。 月臺一律會產生此憑證。 系統管理服務會忽略增強式 HTTP 網站設定,因為它一律會使用月臺的憑證,即使沒有其他月臺系統使用增強 HTTP 也一樣。 您仍然可以手動系結 PKI 型伺服器驗證憑證。 如果您已經將 PKI 憑證系結至 SMS 提供者伺服器上的埠 443,則系統管理服務會使用該現有的憑證。

使用伺服器驗證憑證

注意事項

根據預設,系統管理服務會自動使用網站的自我簽署憑證。 您仍然可以手動系結 PKI 型伺服器驗證憑證。 在您可以系結 PKI 型憑證之前,請先從 SMS 提供者上的埠 443 手動解除網站自我簽署憑證的系結。

使用伺服器驗證憑證的主要方法有兩種:

  • 從組織的公開金鑰基礎結構 (PKI)

    • 如果您的環境已經有 PKI,您可以使用它來發出 SMS 提供者的伺服器驗證憑證。 此憑證類似于您用於管理點或發佈點的憑證。 如需詳細資訊,請參閱 PKI 憑證需求

    • 大部分的企業 PKI 實作都會將受信任的根 CA 新增至 Windows 用戶端。 例如,搭配群組原則使用 Active Directory 憑證服務。 如果您從用戶端不會自動信任的 CA 發出憑證,請將 CA 受信任的根憑證新增至用戶端。 您可以將此信任的範圍限於需要存取系統管理服務的用戶端。

  • 使用來自公用和全域信任憑證提供者的憑證。 Windows 用戶端包含受信任的跟憑證授權單位單位, (來自這些提供者的 CA) 。 藉由使用其中一個提供者所簽發的伺服器驗證憑證,您的用戶端會自動信任它。

一旦您擁有 SMS 提供者的伺服器驗證憑證,您必須手動將它系結至裝載 SMS 提供者角色之伺服器上 IIS 中的埠 443。

首先,將憑證新增至伺服器。 將憑證匯入本機電腦 的個人 存放區。 然後使用下列其中一個選項來系結憑證:

將憑證與 IIS 系結

如果具有 SMS 提供者角色的伺服器具有 IIS 管理主控台,請在預設網站上使用 [編輯系結 ] 動作。 新增埠 443,並從電腦的憑證存放區指定您的憑證。

注意事項

SMS 提供者角色不需要 IIS。 此程式會使用 IIS 主控台來系結憑證。 這些憑證系結適用于電腦,而非任何特定服務。

使用 netsh 系結憑證

使用 netsh 命令列來系結憑證:

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

其中 <thumbprint> 是已安裝憑證的指紋,而 <GUID> 是隨機 GUID。

提示

使用 Windows PowerShell Cmdlet New-Guid 來產生隨機 GUID。

例如:

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

啟用網際網路存取

您只能使用內部部署系統管理服務,也可以透過雲端管理閘道 (CMG) 啟用它來存取。 某些案例需要從網際網路存取系統管理服務,例如租使用者附加或透過電子郵件核准應用程式。

設定 SMS 提供者以允許 CMG 流量之前,請先設定 CMG。 如需詳細資訊,請參閱 CMG 概觀

然後使用下列程式,透過 CMG 啟用系統管理服務:

  1. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [伺服器和月臺系統角色]節點。

  2. 選取具有 SMS 提供者 角色的伺服器。

    提示

    在功能區上的 [ 常用] 索引標籤中,選取 [具有角色的伺服器 ],然後選取 [SMS 提供者]。 此動作會顯示具有該角色的月臺系統。

  3. 在詳細資料窗格中,選取[SMS 提供者] 角色,然後選取 [月臺角色] 索引標籤上功能區中的 [屬性]。

  4. 選取 [允許Configuration Manager管理服務的雲端管理閘道流量] 選項。

若要從網際網路存取系統管理服務,請將 SMS 提供者 FQDN 取代為 CMG 端點。 例如:

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

提示

若要取得此端點的值,請使用下列步驟:

  • 建立 CMG。 如需詳細資訊, 請參閱設定 CMG

  • 在使用中用戶端上,以系統管理員身分開啟Windows PowerShell命令提示字元。

  • 執行下列命令:

    (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP

啟用主控台使用方式

注意事項

從 2111 版開始,已移除 [啟用 Configuration Manager 主控台以使用系統管理服務] 的選項。 系統管理服務一律會開啟,因此主控台會在需要時使用它。

啟用 Configuration Manager 主控台的某些節點,以使用系統管理服務。 這項變更可讓主控台透過 HTTPS 而不是透過 WMI 與 SMS 提供者通訊。

  1. 在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。 在功能區中,選取 [ 階層設定]

  2. 在 [一般]頁面上,選取 [啟用Configuration Manager主控台以使用系統管理服務]選項。

這項變更只會影響 [系統管理] 工作區中 [安全性] 節點下的下列節點:

  • 系統管理使用者
  • 安全性角色
  • 安全性範圍
  • 主控台連線

當您選取其中一個節點時,如果顯示下列錯誤訊息:

Configuration Manager無法連線到系統管理服務

檢閱錯誤下方的資訊。 然後確認系統管理服務已啟用、設定及正常運作。 如需詳細資訊,包括要檢閱的記錄檔,請參閱 驗證 一節。

驗證

當月臺安裝系統管理服務時,它會將活動記錄到Configuration Manager安裝目錄中的RESTPROVIDERSetup.log檔案。 根據預設,此路徑為 C:\Program Files\Microsoft Configuration Manager\logs

月臺會追蹤 SMS_REST_PROVIDER.log 檔案中系統管理服務的健康情況狀態。 您可以看到服務啟動和憑證的相關資訊。

在網頁瀏覽器中執行簡單的查詢來測試系統管理服務,例如:

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

系統管理服務會將其活動記錄到 SMS 提供者伺服器上的adminservice.log檔案Configuration Manager安裝目錄中。

針對上述中繼資料查詢,記錄檔會顯示下列幾行:

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

後續步驟

如何使用系統管理服務