如何在 Configuration Manager 中設定系統管理服務
適用於:Configuration Manager (目前的分支)
使用本文中的步驟,在 SMS 提供者上設定系統管理服務。 開始之前,請先閱讀管理服務 必要條件。
啟用安全 HTTPS 通訊
將系統管理服務設定為使用安全的 HTTPS 連線來保護網路傳輸中的資料。
從 2010 版開始, 您不再需要在 SMS 提供者上為系統管理服務啟用 IIS。 月臺會為 SMS 提供者建立自我簽署憑證,並自動系結它,而不需要 IIS。 如果您先前已在 SMS 提供者上安裝 IIS,您可以將它移除。 然後重新開機SMS_REST_PROVIDER元件。 請記住,您必須在防火牆上開啟 HTTPS 埠 443。
系統管理服務會自動使用網站的自我簽署憑證。 此行為有助於減少衝突,讓系統管理服務更容易使用。 月臺一律會產生此憑證。 系統管理服務會忽略增強式 HTTP 網站設定,因為它一律會使用月臺的憑證,即使沒有其他月臺系統使用增強 HTTP 也一樣。 您仍然可以手動系結 PKI 型伺服器驗證憑證。 如果您已經將 PKI 憑證系結至 SMS 提供者伺服器上的埠 443,則系統管理服務會使用該現有的憑證。
使用伺服器驗證憑證
注意事項
根據預設,系統管理服務會自動使用網站的自我簽署憑證。 您仍然可以手動系結 PKI 型伺服器驗證憑證。 在您可以系結 PKI 型憑證之前,請先從 SMS 提供者上的埠 443 手動解除網站自我簽署憑證的系結。
使用伺服器驗證憑證的主要方法有兩種:
從組織的公開金鑰基礎結構 (PKI)
如果您的環境已經有 PKI,您可以使用它來發出 SMS 提供者的伺服器驗證憑證。 此憑證類似于您用於管理點或發佈點的憑證。 如需詳細資訊,請參閱 PKI 憑證需求。
大部分的企業 PKI 實作都會將受信任的根 CA 新增至 Windows 用戶端。 例如,搭配群組原則使用 Active Directory 憑證服務。 如果您從用戶端不會自動信任的 CA 發出憑證,請將 CA 受信任的根憑證新增至用戶端。 您可以將此信任的範圍限於需要存取系統管理服務的用戶端。
使用來自公用和全域信任憑證提供者的憑證。 Windows 用戶端包含受信任的跟憑證授權單位單位, (來自這些提供者的 CA) 。 藉由使用其中一個提供者所簽發的伺服器驗證憑證,您的用戶端會自動信任它。
一旦您擁有 SMS 提供者的伺服器驗證憑證,您必須手動將它系結至裝載 SMS 提供者角色之伺服器上 IIS 中的埠 443。
首先,將憑證新增至伺服器。 將憑證匯入本機電腦 的個人 存放區。 然後使用下列其中一個選項來系結憑證:
將憑證與 IIS 系結
如果具有 SMS 提供者角色的伺服器具有 IIS 管理主控台,請在預設網站上使用 [編輯系結 ] 動作。 新增埠 443,並從電腦的憑證存放區指定您的憑證。
注意事項
SMS 提供者角色不需要 IIS。 此程式會使用 IIS 主控台來系結憑證。 這些憑證系結適用于電腦,而非任何特定服務。
使用 netsh 系結憑證
使用 netsh 命令列來系結憑證:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
其中 <thumbprint> 是已安裝憑證的指紋,而 <GUID> 是隨機 GUID。
提示
使用 Windows PowerShell Cmdlet New-Guid 來產生隨機 GUID。
例如:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
啟用網際網路存取
您只能使用內部部署系統管理服務,也可以透過雲端管理閘道 (CMG) 啟用它來存取。 某些案例需要從網際網路存取系統管理服務,例如租使用者附加或透過電子郵件核准應用程式。
設定 SMS 提供者以允許 CMG 流量之前,請先設定 CMG。 如需詳細資訊,請參閱 CMG 概觀。
然後使用下列程式,透過 CMG 啟用系統管理服務:
在 Configuration Manager 主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [伺服器和月臺系統角色]節點。
選取具有 SMS 提供者 角色的伺服器。
提示
在功能區上的 [ 常用] 索引標籤中,選取 [具有角色的伺服器 ],然後選取 [SMS 提供者]。 此動作會顯示具有該角色的月臺系統。
在詳細資料窗格中,選取[SMS 提供者] 角色,然後選取 [月臺角色] 索引標籤上功能區中的 [屬性]。
選取 [允許Configuration Manager管理服務的雲端管理閘道流量] 選項。
若要從網際網路存取系統管理服務,請將 SMS 提供者 FQDN 取代為 CMG 端點。 例如:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
提示
若要取得此端點的值,請使用下列步驟:
建立 CMG。 如需詳細資訊, 請參閱設定 CMG。
在使用中用戶端上,以系統管理員身分開啟Windows PowerShell命令提示字元。
執行下列命令:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
啟用主控台使用方式
注意事項
從 2111 版開始,已移除 [啟用 Configuration Manager 主控台以使用系統管理服務] 的選項。 系統管理服務一律會開啟,因此主控台會在需要時使用它。
啟用 Configuration Manager 主控台的某些節點,以使用系統管理服務。 這項變更可讓主控台透過 HTTPS 而不是透過 WMI 與 SMS 提供者通訊。
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。 在功能區中,選取 [ 階層設定]。
在 [一般]頁面上,選取 [啟用Configuration Manager主控台以使用系統管理服務]選項。
這項變更只會影響 [系統管理] 工作區中 [安全性] 節點下的下列節點:
- 系統管理使用者
- 安全性角色
- 安全性範圍
- 主控台連線
當您選取其中一個節點時,如果顯示下列錯誤訊息:
Configuration Manager無法連線到系統管理服務
檢閱錯誤下方的資訊。 然後確認系統管理服務已啟用、設定及正常運作。 如需詳細資訊,包括要檢閱的記錄檔,請參閱 驗證 一節。
驗證
當月臺安裝系統管理服務時,它會將活動記錄到Configuration Manager安裝目錄中的RESTPROVIDERSetup.log檔案。 根據預設,此路徑為 C:\Program Files\Microsoft Configuration Manager\logs 。
月臺會追蹤 SMS_REST_PROVIDER.log 檔案中系統管理服務的健康情況狀態。 您可以看到服務啟動和憑證的相關資訊。
在網頁瀏覽器中執行簡單的查詢來測試系統管理服務,例如:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
系統管理服務會將其活動記錄到 SMS 提供者伺服器上的adminservice.log檔案Configuration Manager安裝目錄中。
針對上述中繼資料查詢,記錄檔會顯示下列幾行:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]