规划 SMS 提供程序

  • 项目

适用于: Configuration Manager(current branch)

若要管理Configuration Manager,请使用连接到 SMS 提供程序实例的Configuration Manager控制台。 默认情况下,在安装管理中心站点 (CAS) 或主站点时,会在站点服务器上安装 SMS 提供程序。

关于

SMS 提供程序是 Windows Management Instrumentation (WMI) 提供程序,它为站点上的 Configuration Manager 数据库分配读取写入访问权限。

  • 每个 CAS 和主站点至少需要一个 SMS 提供程序。 可以根据需要安装更多提供程序。

  • SMS 管理员安全组提供对 SMS 提供程序的访问权限。 Configuration Manager在站点服务器和安装 SMS 提供程序实例的每台计算机上自动创建此组。 有关详细信息,请参阅 SMS 管理员

  • 辅助站点不支持 SMS 提供程序角色。

Configuration Manager管理用户使用 SMS 提供程序访问存储在数据库中的信息。 为此,管理员可以使用 Configuration Manager 控制台、资源资源管理器、工具和自定义脚本。 SMS 提供程序不与Configuration Manager客户端交互。 当Configuration Manager控制台连接到站点时,它会查询站点服务器上的 WMI 以查找要使用的 SMS 提供程序实例。

SMS 提供程序可帮助强制实施Configuration Manager安全性。 它仅返回控制台用户有权查看的信息。

SMS 提供程序还通过 HTTPS(称为 管理服务)提供 API 互操作性访问。 可以使用此 REST API 代替自定义 Web 服务来访问站点中的信息。 有关详细信息,请参阅 什么是管理服务?

重要

当站点的每个 SMS 提供程序实例脱机时,Configuration Manager控制台无法连接到站点。

有关如何管理 SMS 提供程序的详细信息,请参阅 管理 SMS 提供程序

先决条件

SMS 提供程序具有以下先决条件:

  • 与站点服务器和站点数据库站点系统位于同一域中

  • 不能具有来自不同站点的站点系统角色

  • 无法从任何站点获取短信提供程序

  • 运行 受支持的 OS 版本

  • 至少 650 MB 的可用磁盘空间支持 Windows ADK 组件。 有关 Windows ADK 和 SMS 提供程序的详细信息,请参阅 OS 部署要求

  • 对于 管理服务 REST API:

    • 从版本 2107 开始,SMS 提供程序需要 .NET 版本 4.6.2,建议使用版本 4.8。 在版本 2103 及更早版本中,此角色需要 .NET 4.5 或更高版本。 有关详细信息, 请参阅站点和站点系统先决条件

    • 在版本 2006 及更早版本中,启用 Windows 服务器角色 Web Server (IIS) 。 从版本 2010 开始,不再需要此角色。

      注意

      每个 SMS 提供程序都会尝试安装管理服务,这需要证书。 此服务依赖于 IIS 将该证书绑定到 HTTPS 端口 443。 如果启用 增强型 HTTP,则站点将使用 IIS API 绑定该证书。 如果站点使用 PKI,则需要在 SMS 提供程序上的 IIS 中手动绑定 PKI 证书。 除非服务器已有基于 PKI 的证书,否则站点会自动使用站点的自签名证书。

位置

安装站点时,会自动为站点安装第一个 SMS 提供程序。 可以为 SMS 提供程序指定以下任何受支持的位置:

查看站点的每个 SMS 提供程序的位置:

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。

  2. 从列表中选择一个网站,然后在功能区中选择“属性”。

  3. 在站点“属性”的“常规”选项卡上,查看“SMS 提供程序位置”字段。

每个 SMS 提供程序都支持来自多个请求的并发连接。 这些连接的唯一限制是 Windows 可用的服务器连接数,以及服务器上为连接请求提供服务的可用资源。

安装站点后,可以在站点服务器上再次运行Configuration Manager安装程序。 使用安装程序更改现有短信提供程序的位置,或在该站点上安装更多短信提供程序。 在计算机上仅安装一个 SMS 提供程序。 计算机无法托管多个站点的短信提供程序。

选择位置

以下部分介绍在每个受支持的位置安装 SMS 提供程序的优点和缺点:

Configuration Manager站点服务器

  • 优势:

    • SMS 提供程序不使用站点数据库计算机的系统资源。

    • 与站点服务器或站点数据库计算机以外的计算机上的 SMS 提供程序相比,此位置可以提供更好的性能。

  • 缺点:

    • SMS 提供程序使用可以专用于站点服务器操作的系统和网络资源。

托管站点数据库的SQL Server

  • 优势:

    • SMS 提供程序不使用站点服务器上的系统资源。

    • 如果有足够的服务器资源可用,则此位置可提供这三个位置的最佳性能。

  • 缺点:

    • SMS 提供程序使用可以专用于站点数据库操作的系统和网络资源。

    • 当站点数据库托管在 SQL Server 的群集实例上时,不能使用此位置。

站点服务器或站点数据库服务器以外的计算机

  • 优势:

    • SMS 提供程序不使用站点服务器或站点数据库系统资源。

    • 这种类型的位置允许部署更多 SMS 提供程序,以提供连接的高可用性。

  • 缺点:

    • SMS 提供程序性能可能会降低。 此行为是因为与站点服务器和站点数据库计算机协调所需的网络活动越多。

    • 站点数据库服务器以及安装了 Configuration Manager 控制台的所有计算机必须始终可以访问此服务器。

    • 此位置可以使用本来专用于其他服务的系统资源。

身份验证

可以指定管理员访问Configuration Manager站点的最低身份验证级别。 此功能强制管理员在访问Configuration Manager之前使用所需的级别登录到 Windows。 它适用于访问 SMS 提供程序的所有组件。 例如,Configuration Manager控制台、SDK 方法和Windows PowerShell cmdlet。

Configuration Manager支持以下身份验证级别:

  • Windows 身份验证:要求使用 Active Directory 域凭据进行身份验证。 此设置是以前的行为和当前的默认设置。

  • 证书身份验证:要求使用受信任的 PKI 证书颁发机构颁发的有效证书进行身份验证。 不会在 Configuration Manager 中配置此证书。 Configuration Manager要求管理员使用 PKI 登录到 Windows。

  • Windows Hello 企业版身份验证:要求使用绑定到设备并使用生物识别或 PIN 的强双因素身份验证进行身份验证。 有关详细信息,请参阅 Windows Hello 企业版

    重要

    选择此设置时,SMS 提供程序和管理服务要求用户的身份验证令牌包含多重身份验证 (MFA) 来自 Windows Hello 企业版 的声明。 换句话说,主机、SDK、PowerShell 或管理服务的用户必须向其Windows Hello 企业版 PIN 或生物识别功能向 Windows 进行身份验证。 否则,站点将拒绝用户的操作。

    此行为适用于Windows Hello 企业版,而不是Windows Hello。

有关如何配置此设置的详细信息,请参阅 配置 SMS 提供程序身份验证

SMS 提供程序语言

SMS 提供程序独立于安装它的服务器的显示语言运行。

当管理用户或Configuration Manager进程使用 SMS 提供程序请求数据时,它会尝试以与请求计算机的 OS 语言匹配的格式返回该数据。

它尝试匹配语言的方式是间接的。 SMS 提供程序不会将信息从一种语言翻译成另一种语言。 当它返回在 Configuration Manager 控制台中显示的数据时,数据的显示语言取决于对象的源和存储类型。

当Configuration Manager在数据库中存储对象的数据时,可用语言取决于以下因素:

  • Configuration Manager存储通过使用对多种语言的支持创建的对象。 它通过使用在运行安装程序时为站点配置的语言将对象存储在站点数据库中。 当请求计算机的显示语言可用于对象时,Configuration Manager控制台以该语言显示这些对象。 如果控制台无法以请求计算机的显示语言显示对象,则会以默认语言(即英语)显示对象。

  • Configuration Manager存储管理用户使用用于创建对象的语言创建的对象。 这些对象以同一语言显示在 Configuration Manager 控制台中。 SMS 提供程序无法翻译它们,并且它们没有多种语言选项。

使用多个 SMS 提供程序

站点完成安装后,可以为站点安装更多 SMS 提供程序。 若要安装更多 SMS 提供程序,请在站点服务器上运行Configuration Manager安装程序。

如果出现以下任一情况,请考虑安装更多 SMS 提供程序:

  • 许多管理用户需要使用 Configuration Manager 控制台并同时连接到站点。

  • 使用Configuration Manager SDK 或其他产品,这些 SDK 或其他产品可能会频繁调用 SMS 提供程序。

  • 你对 SMS 提供程序的高可用性有业务要求。

在站点上安装多个 SMS 提供程序并发出连接请求时,站点会随机分配每个新连接请求以使用已安装的 SMS 提供程序。 无法指定用于特定连接会话的 SMS 提供程序。

注意

考虑每个 SMS 提供程序位置的优缺点。 有关详细信息,请参阅 位置。 平衡这些注意事项与无法控制每个新连接使用的 SMS 提供程序的信息。

首次将Configuration Manager控制台连接到站点时,连接会查询站点服务器上的 WMI。 此查询标识控制台使用的 SMS 提供程序的实例。 此特定 SMS 提供程序实例一直由控制台使用,直到会话结束。 如果会话由于 SMS 提供程序服务器在网络上不可用而结束,则当你将控制台重新连接到站点时,它会重复初始查询。 站点可能分配了不可用的同一 SMS 提供程序实例。 如果发生此行为,请尝试重新连接控制台,直到站点返回可用的短信提供程序。

SMS 提供程序命名空间

Configuration Manager WMI 架构定义 SMS 提供程序的结构。 架构命名空间描述 SMS 提供程序架构中Configuration Manager数据的位置。 下表包含 SMS 提供程序使用的一些常见命名空间:

命名空间 说明
Root\SMS\site_<site code> SMS 提供程序,Configuration Manager控制台、资源资源管理器、Configuration Manager工具和脚本广泛使用。
Root\SMS\SMS_ProviderLocation 站点的 SMS 提供程序计算机的位置。
Root\CIMv2 在硬件和软件清单期间清点 WMI 命名空间信息的位置。
Root\CCM Configuration Manager客户端配置策略和客户端数据。
Root\CIMv2\SMS 清单客户端代理收集的清单报告类的位置。 客户端在计算机策略评估期间编译这些设置。 这些设置基于计算机的客户端设置配置。

OS 部署要求

安装 SMS 提供程序实例的计算机需要受支持的 Windows ADK 版本。

有关此要求的详细信息,请参阅 OS 部署的基础结构要求Windows ADK 支持

管理 OS 部署时,Windows ADK 允许 SMS 提供程序完成各种任务,例如:

  • 查看 WIM 文件详细信息

  • 将驱动程序文件添加到现有启动映像

  • 创建启动 ISO 文件

在安装 SMS 提供程序的每台计算机上,Windows ADK 安装最多需要 650 MB 的可用磁盘空间。 Configuration Manager安装 Windows PE 启动映像时,必须满足此高磁盘空间要求。

管理服务

SMS 提供程序通过 HTTPS OData 连接(称为 管理服务)提供 API 互操作性访问。 可以使用此 REST API 代替自定义 Web 服务来访问站点中的信息。

有关详细信息,请参阅 什么是管理服务?

后续步骤

管理 SMS 提供程序

为 SMS 提供程序配置身份验证

规划站点数据库