Felügyeleti szolgáltatás beállítása a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
Az ebben a cikkben ismertetett lépésekkel állítsa be a felügyeleti szolgáltatást az SMS-szolgáltatón. A kezdés előtt olvassa el a felügyeleti szolgáltatás előfeltételeit.
Biztonságos HTTPS-kommunikáció engedélyezése
Konfigurálja úgy a felügyeleti szolgáltatást, hogy biztonságos HTTPS-kapcsolatot használjon a hálózaton áthaladó adatok védelméhez.
A 2010-es verziótól kezdve nem kell engedélyeznie az IIS-t az SMS-szolgáltatón a felügyeleti szolgáltatáshoz. A webhely létrehoz egy önaláírt tanúsítványt az SMS-szolgáltatóhoz, és automatikusan köti azt IIS nélkül. Ha korábban már telepítette az IIS-t az SMS-szolgáltatóra, eltávolíthatja. Ezután indítsa újra a SMS_REST_PROVIDER összetevőt. Ne feledje, hogy meg kell nyitnia a 443-as HTTPS-portot a tűzfalon.
A felügyeleti szolgáltatás automatikusan a hely önaláírt tanúsítványát használja. Ez a viselkedés segít csökkenteni a súrlódást az adminisztrációs szolgáltatás könnyebb használata érdekében. A webhely mindig létrehozza ezt a tanúsítványt. A felügyeleti szolgáltatás figyelmen kívül hagyja a Bővített HTTP-hely beállítást, mivel mindig a hely tanúsítványát használja akkor is, ha más helyrendszer nem használ Bővített HTTP-t. Továbbra is köthet manuálisan PKI-alapú kiszolgálóhitelesítő tanúsítványt. Ha már kötött egy PKI-tanúsítványt az SMS-szolgáltató kiszolgálójának 443-as portjához, a felügyeleti szolgáltatás ezt a meglévő tanúsítványt használja.
Kiszolgálóhitelesítési tanúsítvány használata
Megjegyzés:
Alapértelmezés szerint a felügyeleti szolgáltatás automatikusan a hely önaláírt tanúsítványát használja. Továbbra is köthet manuálisan PKI-alapú kiszolgálóhitelesítő tanúsítványt. A PKI-alapú tanúsítvány kötése előtt manuálisan szüntesse meg a hely önaláírt tanúsítványának kötését az SMS-szolgáltató 443-at futtató portjáról.
A kiszolgálóhitelesítési tanúsítvány használatának két elsődleges módja van:
A szervezet nyilvános kulcsú infrastruktúrájából (PKI)
Ha a környezet már rendelkezik PKI-vel, a használatával kibocsáthat egy kiszolgálói hitelesítési tanúsítványt az SMS-szolgáltató számára. Ez a tanúsítvány hasonló ahhoz a tanúsítványhoz, amelyet egy felügyeleti ponthoz vagy terjesztési ponthoz használna. További információ: PKI-tanúsítványkövetelmények.
A legtöbb vállalati PKI-implementáció hozzáadja a megbízható legfelső szintű hitelesítésszolgáltatókat a Windows-ügyfelekhez. Például az Active Directory tanúsítványszolgáltatások használata csoportházirenddel. Ha olyan hitelesítésszolgáltatótól adja ki a tanúsítványt, amelyet az ügyfelek nem bíznak meg automatikusan, adja hozzá a hitelesítésszolgáltató megbízható főtanúsítványát az ügyfelekhez. Ezt a megbízhatósági kapcsolatot csak azoknak az ügyfeleknek alkalmazhatja, amelyeknek hozzá kell férnie a felügyeleti szolgáltatáshoz.
Használjon nyilvános és globálisan megbízható tanúsítványszolgáltatótól származó tanúsítványt. A Windows-ügyfelek megbízható legfelső szintű hitelesítésszolgáltatókat (CA-kat) tartalmaznak ezektől a szolgáltatóktól. Az egyik szolgáltató által kiadott kiszolgálóhitelesítési tanúsítvány használatával az ügyfelek automatikusan megbíznak benne.
Ha már rendelkezik kiszolgálói hitelesítési tanúsítvánnyal az SMS-szolgáltatóhoz, manuálisan kell azt az SMS-szolgáltatói szerepkört futtató kiszolgálón lévő IIS 443-as portjához kötnie.
Először adja hozzá a tanúsítványt a kiszolgálóhoz. Importálja a tanúsítványt a helyi gép Személyes tárolójába. Ezután az alábbi lehetőségek egyikével kösse össze a tanúsítványt:
A tanúsítvány kötése az IIS-sel
Ha az SMS-szolgáltatói szerepkörrel rendelkező kiszolgáló rendelkezik az IIS felügyeleti konzollal, használja a Kötések szerkesztése műveletet az alapértelmezett webhelyen. Adja hozzá a 443-at, és adja meg a tanúsítványt a gép tanúsítványtárolójából.
Megjegyzés:
Az SMS-szolgáltató szerepkörhöz nincs szükség IIS-ra. Ez az eljárás az IIS-konzolt használja a tanúsítvány kötéséhez. Ezek a tanúsítványkötések a gépre vonatkoznak, nem egy adott szolgáltatásra.
A tanúsítvány kötése a netsh-val
A tanúsítvány kötéséhez használja a netsh parancssort:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Ahol <thumbprint>
a telepített tanúsítvány ujjlenyomata, a pedig <GUID>
egy véletlenszerű GUID.
Tipp
A Windows PowerShell parancsmaggal New-Guid
véletlenszerű GUID-azonosítót hozhat létre.
Például:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
Internet-hozzáférés engedélyezése
A felügyeleti szolgáltatást csak a helyszínen használhatja, vagy engedélyezheti a hozzáférést a felhőfelügyeleti átjárón (CMG) keresztül. Egyes forgatókönyvek esetében az adminisztrációs szolgáltatáshoz az internetről kell hozzáférni, például bérlői csatolást vagy alkalmazás-jóváhagyást e-mailben.
Mielőtt konfigurálhatja az SMS-szolgáltatót a CMG-forgalom engedélyezésére, először állítson be egy CMG-t. További információ: A CMG áttekintése.
Ezután az alábbi eljárással engedélyezze a felügyeleti szolgáltatást a CMG-vel:
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Kiszolgálók és helyrendszerszerepkörök csomópontot.
Válassza ki az SMS-szolgáltató szerepkörrel rendelkező kiszolgálót.
Tipp
A menüszalag Kezdőlap lapján válassza a Szerepkörrel rendelkező kiszolgálók , majd az SMS-szolgáltató lehetőséget. Ez a művelet megjeleníti az adott szerepkörrel rendelkező helyrendszereket.
A részletek ablaktáblán válassza az SMS-szolgáltató szerepkört, majd a Webhelyszerepkörök lap menüszalagján válassza a Tulajdonságok lehetőséget.
Válassza Configuration Manager felhőfelügyeleti átjáró forgalmának engedélyezése felügyeleti szolgáltatás számára beállítást.
Ha az internetről szeretné elérni a felügyeleti szolgáltatást, cserélje le az SMS-szolgáltató teljes tartománynevét a CMG-végpontra. Például:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
Tipp
A végpont értékének lekéréséhez kövesse az alábbi lépéseket:
Hozzon létre egy CMG-t. További információ: CMG beállítása.
Egy aktív ügyfélen nyisson meg egy Windows PowerShell parancssort rendszergazdaként.
Futtassa az alábbi parancsot:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Konzolhasználat engedélyezése
Megjegyzés:
A 2111-es verziótól kezdve a Configuration Manager konzol felügyeleti szolgáltatás használatának engedélyezése beállítás el lesz távolítva. A felügyeleti szolgáltatás mindig be van kapcsolva, így a konzol szükség esetén használni fogja.
Engedélyezze a Configuration Manager konzol egyes csomópontjait a felügyeleti szolgáltatás használatához. Ez a módosítás lehetővé teszi, hogy a konzol a WMI helyett HTTPS-en keresztül kommunikáljon az SMS-szolgáltatóval.
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot. A menüszalagon válassza a Hierarchiabeállítások lehetőséget.
Az Általános lapon válassza a Felügyeleti szolgáltatás használatának engedélyezése az Configuration Manager konzolon beállítást.
Ez a módosítás csak az Adminisztráció munkaterület Biztonság csomópontjának alábbi csomópontjait érinti:
- Rendszergazda felhasználók
- Biztonsági szerepkörök
- Biztonsági hatókörök
- Konzolkapcsolatok
Ha kiválasztja az egyik csomópontot, a következő hibaüzenet jelenik meg:
Configuration Manager nem tud csatlakozni a felügyeleti szolgáltatáshoz
Tekintse át a hiba alatti információkat. Ezután ellenőrizze, hogy a felügyeleti szolgáltatás engedélyezve, konfigurálva és működőképes-e. További információkért, beleértve az áttekintendő naplófájlokat, tekintse meg az Ellenőrzés szakaszt.
Ellenőrizze
Amikor a hely telepíti a felügyeleti szolgáltatást, naplózza a tevékenységet a RESTPROVIDERSetup.log fájlba a Configuration Manager telepítési könyvtárban. Alapértelmezés szerint ez az elérési út.C:\Program Files\Microsoft Configuration Manager\logs
A webhely nyomon követi a felügyeleti szolgáltatás állapotát a SMS_REST_PROVIDER.log fájlban. Láthatja a szolgáltatás indítását és a tanúsítványra vonatkozó információkat.
Tesztelje a felügyeleti szolgáltatást egy egyszerű lekérdezéssel egy webböngészőben, például:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
A felügyeleti szolgáltatás naplózza a tevékenységét az adminservice.log fájlba az SMS Provider-kiszolgálón a Configuration Manager telepítési könyvtárában.
A fenti metaadat-lekérdezés esetében a naplófájl a következő sorokat jeleníti meg:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]