Configuration Managerでクライアントをウェイクアップする方法を計画する

Configuration Manager (現在のブランチ) に適用

Configuration Managerでは、ソフトウェア更新プログラムやアプリケーションなどの必要なソフトウェアをインストールする場合に、スリープ モードでコンピューターをウェイクアップするための従来のウェイクアップ パケットがサポートされています。

注:

この記事では、以前のバージョンの Wake on LAN の機能について説明します。 この機能は、Configuration Managerバージョン 1810 にも存在します。これには、新しいバージョンの Wake on LAN も含まれています。 Wake on LAN の両方のバージョンは同時に有効になります。多くの場合は有効になります。 新しいバージョンの Wake on LAN 関数が 1810 年から開始され、いずれかのバージョンまたは両方のバージョンを有効にする方法の詳細については、「 Wake on LAN を構成する方法」を参照してください。

Configuration Managerでクライアントをウェイクアップする方法

Configuration Managerでは、ソフトウェア更新プログラムやアプリケーションなどの必要なソフトウェアをインストールする場合に、スリープ モードでコンピューターをウェイクアップするための従来のウェイクアップ パケットがサポートされています。

ウェイクアップ プロキシ クライアントの設定を使用して、従来のウェイクアップ パケットメソッドを補完できます。 ウェイクアップ プロキシは、ピアツーピア プロトコルと選択されたコンピューターを使用して、サブネット上の他のコンピューターが起動しているかどうかを確認し、必要に応じてスリープ解除します。 Wake On LAN 用にサイトが構成され、クライアントがウェイクアップ プロキシ用に構成されている場合、プロセスは次のように機能します。

  1. Configuration Manager クライアントがインストールされていて、サブネットでスリープ状態になっていないコンピューターは、サブネット上の他のコンピューターが起動しているかどうかを確認します。 このチェックを行うには、5 秒ごとに TCP/IP ping コマンドを送信します。

  2. 他のコンピューターからの応答がない場合は、スリープ状態であると見なされます。 起動中のコンピューターは、サブネットの マネージャー コンピューター になります。

    スリープ状態以外の理由でコンピューターが応答しない可能性があるため (たとえば、電源が切れている、ネットワークから削除された、プロキシ ウェイクアップ クライアントの設定が適用されなくなったなど)、コンピューターは毎日午後 2 時にウェイクアップ パケットを送信します。 応答しないコンピューターはスリープ状態であると見なされなくなり、ウェイクアップ プロキシによって起動されません。

    ウェイクアップ プロキシをサポートするには、サブネットごとに少なくとも 3 台のコンピューターが起動している必要があります。 この要件を達成するために、3 台のコンピューターが、サブネットの ガーディアン コンピューター として決定論的に選択されません。 この状態は、非アクティブな期間が経過した後にスリープまたは休止状態に設定された電源ポリシーにもかかわらず、起動したままであることを意味します。 ガーディアン コンピューターでは、メンテナンス タスクの結果として、シャットダウンまたは再起動コマンドが適用されます。 このアクションが発生した場合、残りのガーディアン コンピューターはサブネット上の別のコンピューターを起動して、サブネットに引き続き 3 台のガーディアン コンピューターが存在するようにします。

  3. マネージャー コンピューターは、ネットワーク スイッチに対して、スリープしているコンピューターのネットワーク トラフィックを自分にリダイレクトするように求めます。

    リダイレクトは、マネージャー コンピューターが、スリープしているコンピューターの MAC アドレスをソース アドレスとして使用するイーサネット フレームをブロードキャストすることによって実現されます。 この動作により、ネットワーク スイッチは、スリープ状態のコンピューターがマネージャー コンピューターと同じポートに移動したかのように動作します。 マネージャー コンピューターは、ARP キャッシュ内のエントリを最新の状態に保つために、スリープしているコンピューターの ARP パケットも送信します。 マネージャー コンピューターは、スリープしているコンピューターの代わりに ARP 要求にも応答し、スリープしているコンピューターの MAC アドレスで応答します。

    警告

    このプロセスでは、スリープしているコンピューターの IP と MAC のマッピングは変わりません。 ウェイクアップ プロキシは、別のネットワーク アダプターが別のネットワーク アダプターによって登録されたポートを使用していることをネットワーク スイッチに通知することで機能します。 ただし、この動作は MAC フラップと呼ばれ、標準的なネットワーク操作では通常とは異なります。 一部のネットワーク監視ツールでは、この動作を探し、問題があると想定できます。 そのため、これらの監視ツールは、ウェイクアップ プロキシを使用するときにアラートを生成したり、ポートをシャットダウンしたりできます。

    ネットワーク監視ツールとサービスで MAC フラップが許可されていない場合は、ウェイクアップ プロキシを使用しないでください。

  4. マネージャー コンピューターでスリープ状態のコンピューターに対する新しい TCP 接続要求が表示され、スリープ状態のコンピューターがスリープ状態になる前にリッスンしていたポートに要求が送信されると、マネージャー コンピューターはスリープ状態のコンピューターにウェイクアップ パケットを送信し、このコンピューターのトラフィックのリダイレクトを停止します。

  5. スリープ状態のコンピューターは、ウェイクアップ パケットを受け取り、スリープ解除します。 送信コンピューターは自動的に接続を再試行し、今度はコンピューターが起動し、応答できます。

    ウェイクアップ プロキシには、次の前提条件と制限事項があります。

重要

ネットワーク インフラストラクチャとネットワーク サービスを担当する別のチームがある場合は、評価とテスト期間中にこのチームに通知して含めます。 たとえば、802.1X ネットワーク アクセス制御を使用するネットワークでは、ウェイクアップ プロキシは機能せず、ネットワーク サービスが中断される可能性があります。 さらに、ウェイクアップ プロキシにより、一部のネットワーク監視ツールは、ツールが他のコンピューターをウェイクアップするトラフィックを検出したときにアラートを生成する可能性があります。

  • クライアント とデバイスでサポートされているオペレーティング システム でサポートされているクライアントとして一覧表示されているすべての Windows オペレーティング システムは、Wake On LAN でサポートされています。

  • 仮想マシンで実行されるゲスト オペレーティング システムはサポートされていません。

  • クライアント設定を使用して、ウェイクアップ プロキシに対してクライアントを有効にする必要があります。 ウェイクアップ プロキシ操作はハードウェア インベントリに依存しませんが、クライアントは、ハードウェア インベントリに対して有効になっており、少なくとも 1 つのハードウェア インベントリを送信しない限り、ウェイクアップ プロキシ サービスのインストールを報告しません。

  • ネットワーク アダプター (および場合によっては BIOS) を有効にして、ウェイクアップ パケット用に構成する必要があります。 ネットワーク アダプターがウェイクアップ パケット用に構成されていない場合、またはこの設定が無効になっている場合、Configuration Managerは、ウェイクアップ プロキシを有効にするクライアント設定を受信したときに、コンピューターに対して自動的に構成および有効になります。

  • コンピューターに複数のネットワーク アダプターがある場合、ウェイクアップ プロキシに使用するアダプターを構成することはできません。選択は非決定論的です。 ただし、選択したアダプターは、SleepAgent_<DOMAIN>@SYSTEM_0.log ファイルに記録されます。

  • ネットワークでは、ICMP エコー要求 (少なくともサブネット内) を許可する必要があります。 ICMP ping コマンドの送信に使用される 5 秒の間隔を構成することはできません。

  • 通信は暗号化されておらず、認証されておらず、IPsec はサポートされていません。

  • 次のネットワーク構成はサポートされていません。

    • ポート認証を使用した 802.1X

    • ワイヤレス ネットワーク

    • MAC アドレスを特定のポートにバインドするネットワーク スイッチ

    • IPv6 専用ネットワーク

    • DHCP リース期間が 24 時間未満

スケジュールされたソフトウェアのインストール用にコンピューターをウェイクアップする場合は、ウェイクアップ パケットを使用するように各プライマリ サイトを構成する必要があります。

ウェイクアップ プロキシを使用するには、プライマリ サイトの構成に加えて、Power Management ウェイクアップ プロキシ クライアント設定を展開する必要があります。

サブネット指向ブロードキャスト パケットとユニキャスト パケットのどちらを使用するか、使用する UDP ポート番号を決定します。 既定では、従来のウェイクアップ パケットは UDP ポート 9 を使用して送信されますが、セキュリティを強化するために、この代替ポートが介入ルーターとファイアウォールによってサポートされている場合は、サイトの代替ポートを選択できます。

Wake-on-LAN 用ユニキャストブロードキャストとSubnet-Directedブロードキャストの選択

従来のウェイクアップ パケットを送信してコンピューターをウェイクアップする場合は、ユニキャスト パケットとサブネットダイレクト ブロードキャスト パケットのどちらを送信するかを決定する必要があります。 ウェイクアップ プロキシを使用する場合は、ユニキャスト パケットを使用する必要があります。 それ以外の場合は、次の表を使用して、選択する転送方法を決定するのに役立ちます。

伝送方法 メリット 欠点
ユニキャスト パケットはサブネット上のすべてのコンピューターに送信されるのではなく、コンピューターに直接送信されるため、サブネット向けブロードキャストよりも安全なソリューションです。

ルーターの再構成が必要ない場合があります (ARP キャッシュを構成する必要がある場合があります)。

サブネット向けブロードキャスト転送よりも少ないネットワーク帯域幅を消費します。

IPv4 および IPv6 でサポートされます。
ウェイクアップ パケットでは、最後のハードウェア インベントリ スケジュールの後にサブネット アドレスが変更されたターゲット コンピューターが見つかりません。

UDP パケットを転送するようにスイッチを構成する必要がある場合があります。

一部のネットワーク アダプターは、ユニキャストを伝送方法として使用する場合、すべてのスリープ状態でウェイクアップ パケットに応答しない場合があります。
Subnet-Directedブロードキャスト 同じサブネット内の IP アドレスを頻繁に変更するコンピューターがある場合、ユニキャストよりも成功率が高くなります。

スイッチの再構成は必要ありません。

サブネット指向ブロードキャストがウェイクアップ パケットを送信するための元の転送方法であったため、すべてのスリープ状態のコンピューター アダプターとの高い互換性率。
攻撃者は、改ざんされた送信元アドレスからダイレクト ブロードキャスト アドレスに ICMP エコー要求の連続ストリームを送信できるため、ユニキャストを使用するよりも安全性の低いソリューションです。 これにより、すべてのホストがその送信元アドレスに応答します。 サブネット向けブロードキャストを許可するようにルーターが構成されている場合は、セキュリティ上の理由から追加の構成をお勧めします。

- 指定した UDP ポート番号を使用して、Configuration Manager サイト サーバーからの IP ダイレクト ブロードキャストのみを許可するようにルーターを構成します。
- 指定した既定以外のポート番号を使用するようにConfiguration Managerを構成します。

サブネット向けブロードキャストを有効にするために、介入するすべてのルーターの再構成が必要になる場合があります。

ユニキャスト伝送よりも多くのネットワーク帯域幅を消費します。

IPv4 でのみサポートされます。IPv6 はサポートされていません。

警告

サブネット向けブロードキャストに関連するセキュリティ リスクがあります。攻撃者は、インターネット制御メッセージ プロトコル (ICMP) エコー要求の連続ストリームを、改ざんされた送信元アドレスからダイレクト ブロードキャスト アドレスに送信する可能性があります。これにより、すべてのホストがその送信元アドレスに応答する可能性があります。 この種類のサービス拒否攻撃は、一般に smurf 攻撃と呼ばれ、通常はサブネット向けブロードキャストを有効にしないことによって軽減されます。