Como configurar o serviço de administração no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Utilize os passos deste artigo para configurar o serviço de administração no seu Fornecedor de SMS. Antes de começar, leia o serviço de administração Pré-requisitos.

Ativar uma comunicação HTTPS segura

Configure o serviço de administração para utilizar uma ligação HTTPS segura para proteger os dados em trânsito em toda a rede.

A partir da versão 2010, já não precisa de ativar o IIS no Fornecedor de SMS para o serviço de administração. O site cria um certificado auto-assinado para o Fornecedor de SMS, e liga-o automaticamente sem necessitar de IIS. Se já tinha o IIS instalado no Fornecedor SMS, pode removê-lo. Em seguida, reinicie o componente SMS_REST_PROVIDER. Lembre-se que precisa de abrir a porta HTTPS 443 na sua firewall.

A partir da versão 2002, o serviço de administração utiliza automaticamente o certificado auto-assinado do site. Esta alteração ajuda a reduzir o atrito para uma utilização mais fácil do serviço de administração. O site gera sempre este certificado. Agora o serviço de administração ignora a configuração do site HTTP Melhorado, uma vez que utiliza sempre o certificado do site, mesmo que nenhum outro sistema de site esteja a utilizar HTTP Melhorado. Ainda pode ligar manualmente um certificado de autenticação do servidor baseado em PKI. Se já vindete um certificado PKI à porta 443 no servidor do Fornecedor DE SMS, o serviço de administração utiliza esse certificado existente.

Na versão 1910 e anterior, utilize uma das seguintes opções:

  • Ative o site para utilizar HTTP Melhorado (recomendado)

  • Ligue manualmente um certificado de autenticação do servidor à porta 443 no IIS no servidor que acolhe a função de Fornecedor de SMS. Este certificado pode vir do PKI da sua organização, ou de um fornecedor de certificados de terceiros.

Ativar HTTP melhorado

Nota

A configuração desta secção aplica-se à versão 1910 e anterior.

A partir da versão 2002, o serviço de administração utiliza automaticamente o certificado auto-assinado do site. A definição do site HTTP melhorado para utilizar certificados gerados pelo Gestor de Configuração para sistemas de sites HTTP apenas controla se os sistemas de site o utilizam ou não. Agora o serviço de administração ignora esta configuração do site, uma vez que utiliza sempre o certificado do site, mesmo que nenhum outro sistema de site esteja a utilizar HTTP Melhorado.

Se ativar HTTP Melhorado,o site gera certificados para funções de sistema de site como o Fornecedor de SMS. O servidor do site emite e assina estes certificados com o seu certificado de raiz de emissão de SMS auto-assinado. Esta opção não requer uma infraestrutura de chave pública (PKI). O Gestor de Configuração cria e gere os certificados e liga-os aos serviços IIS, conforme necessário.

Quando o site cria um certificado para o Fornecedor de SMS, os clientes não confiarão nele por defeito. Se tentar aceder ao serviço de administração a partir de um navegador web de um cliente, poderá ver um aviso de segurança. Exporte o certificado raiz de emissão de SMS a partir do site do Gestor de Configuração e instale-o em clientes na loja De Certificação de Raiz Fidedigna.

  1. Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração. Expandir o nó de Segurança e selecionar Certificados.

  2. Procure o certificado de emissão de SMS. Também pode localizá-lo por este nome na coluna Emitida Para.

  3. Se houver mais de um certificado de emissão de SMS, selecione o certificado válido atual.

  4. Na fita, no separador Casa, selecione Propriedades. Esta ação abre as propriedades padrão Windows certificado.

  5. Para adicionar facilmente o certificado ao computador local, selecione O Certificado de Instalação.

    1. No Certificado De Importação De Assistente, selecione Máquina Local para a localização da loja. Para continuar, é preciso ter direitos administrativos locais no computador.
    2. Selecione Coloque todos os certificados na loja seguinte e, em seguida, selecione Procurar. Selecione autoridades de certificação de raiz fidedignas.
    3. Termine o assistente de importação de certificados.

    Nota

    Esta ação apenas importa o certificado de emissão de SMS para o computador local onde está atualmente a executar a consola Do Gestor de Configuração.

  6. Para instalar o certificado em vários computadores, exporte-o primeiro para um ficheiro. Na janela propriedades do certificado, mude para o separador Detalhes. Selecione cópia para arquivar.

    1. Na página de Formato de Ficheiro de Exportação do Assistente de Exportação de Certificados, selecione o formato de certificado predefinido, DER codificado binário X.509 (. CER).
    2. Na página 'Ficheiro para Exportar', especifique um caminho e nome de ficheiro com a extensão do .cer ficheiro.
    3. Termine o assistente de exportação de certificados.

    Importante

    Guarde este certificado exportado num local seguro. Qualquer dispositivo com este certificado de raiz confia em qualquer certificado que o site do Gestor de Configuração emite.

  7. Distribua e importe o certificado de raiz para a loja de Autoridades de Certificação de Raiz Fidedigna em qualquer computador que pretenda aceder ao serviço de administração.

    • Importe manualmente o certificado onde precisar. Consulte os passos acima para o Assistente de Importação de Certificados.
    • Utilize o Gestor de Configuração para distribuir e instalar o certificado utilizando um script personalizado. Por exemplo, utilize o cmdlet PowerShell do certificado de importação.
    • Utilize a seguinte política de grupo de diretório ativo: Configuração de computador\Políticas\Windows Definições\Segurança Definições\Políticas de chaves públicas\Autoridades de certificação de raiz fidedignas

Use um certificado de autenticação do servidor

Nota

A partir da versão 2002, por padrão, o serviço de administração utiliza automaticamente o certificado auto-assinado do site. Ainda pode ligar manualmente um certificado de autenticação do servidor baseado em PKI. Antes de poder vincular o certificado baseado em PKI, desvincule manualmente o certificado auto-assinado do site da porta 443 no Fornecedor SMS.

Existem dois métodos primários de utilização de um certificado de autenticação do servidor:

  • Da infraestrutura chave pública da sua organização (PKI)

    • Se o seu ambiente já tiver um PKI, pode usá-lo para emitir um certificado de autenticação do servidor para o Fornecedor DE SMS. Este certificado é semelhante ao certificado que usaria para um ponto de gestão ou ponto de distribuição. Para mais informações, consulte os requisitos do certificado PKI.

    • A maioria das implementações de PKI da empresa adicionam os CAs de raiz fidedignas a Windows clientes. Por exemplo, utilizar serviços de certificados de diretório ativo com política de grupo. Se emitir o certificado de uma AC em que os seus clientes não confiam automaticamente, adicione o certificado de raiz fidedigno da AC aos clientes. Pode estender essa confiança apenas aos clientes que necessitem de aceder ao serviço de administração.

  • Utilize um certificado de um fornecedor de certificados de confiança pública e global. Windows clientes incluem as autoridades de certificados de raiz fidedignas (AA) destes fornecedores. Ao utilizar um certificado de autenticação do servidor emitido por um destes fornecedores, os seus clientes confiam automaticamente nele.

Uma vez que tenha um certificado de autenticação do servidor para o Fornecedor SMS, tem de o ligar manualmente à porta 443 no IIS no servidor que acolhe a função fornecedor de SMS.

Primeiro, adicione o certificado ao servidor. Importe o certificado na loja pessoal da máquina local. Em seguida, utilize uma das seguintes opções para vincular o certificado:

Vincular o certificado com o IIS

Se o servidor com a função fornecedor de SMS tiver a Consola de Gestão IIS, utilize a ação Editar Ligações no web site predefinido. Adicione a porta 443 e especifique o seu certificado na loja de certificados da máquina.

Nota

A função de Fornecedor de SMS não requer IIS. Este procedimento está a utilizar a consola IIS para vincular o certificado. Estes encadernações de certificado são para a máquina, não para qualquer serviço específico.

Vincular o certificado com netsh

Utilize a linha de comando netsh para vincular o certificado:

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

Onde <thumbprint> está a impressão digital do certificado instalado, e é um GUID <GUID> aleatório.

Dica

Utilize o Windows PowerShell cmdlet New-Guid para gerar um GUID aleatório.

Por exemplo:

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

Permitir o acesso à Internet

Pode utilizar o serviço de administração apenas no local, ou pode ative-lo para acesso através do gateway de gestão de nuvens (CMG). Alguns cenários requerem acesso ao serviço de administração a partir da internet, como anexação de inquilinos ou aprovações de aplicações por e-mail.

Antes de configurar o Fornecedor de SMS para permitir o tráfego cmg, primeiro instale um CMG. Para mais informações, consulte a visão geral da CMG.

Em seguida, utilize o seguinte processo para permitir o serviço de administração através da CMG:

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a configuração do site e selecione o nó servidores e funções do sistema de sítios.

  2. Selecione o servidor com a função fornecedor de SMS.

    Dica

    Na fita, no separador 'Casa', selecione Servidores com Função e, em seguida, selecione O Fornecedor SMS. Esta ação mostra-lhe os sistemas de site com esse papel.

  3. No painel de detalhes, selecione a função fornecedor de SMS e selecione Propriedades na fita no separador 'Função do Site'.

  4. Selecione a opção para permitir o tráfego de gateway de porta de porta de entrada de gestão de nuvem do Gestor de Configuração para o serviço de administração.

Para aceder ao serviço de administração a partir da internet, substitua o Fornecedor de SMS FQDN pelo ponto final cmg. Por exemplo:

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

Dica

Para obter o valor deste ponto final, utilize os seguintes passos:

  • Criar um CMG. Para obter mais informações, consulte Configurar um CMG.

  • Num cliente ativo, abra um pedido de comando Windows PowerShell como administrador.

  • Execute o seguinte comando:

    (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
    

Ativar o uso da consola

Ativar alguns nós da consola Do Gestor de Configuração para utilizar o serviço de administração. Esta alteração permite que a consola comunique com o Fornecedor de SMS em HTTPS em vez de via WMI.

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a configuração do site e selecione o nó 'Sites'. Na fita, selecione Hierarquia Definições.

  2. Na página Geral, selecione a opção para permitir que a consola Do Gestor de Configuração utilize o serviço de administração.

Esta alteração afeta apenas os seguintes nóns sob o nó de segurança no espaço de trabalho da Administração:

  • Utilizadores Administrativos
  • Funções de Segurança
  • Âmbitos de Segurança
  • Conexões de consola

Quando selecionar um destes nóns, se a seguinte mensagem de erro for apresentada:

O Gestor de Configuração não consegue ligar-se ao serviço de administração

Reveja as informações abaixo do erro. Em seguida, verifique se o serviço de administração está ativado, configurado e funcional. Para obter mais informações, incluindo ficheiros de registo para rever, consulte a secção Verificar.

Verificação

Quando o site instala o serviço de administração, regista a atividade no ficheiro RESTPROVIDERSetup.log no diretório de instalações do Gestor de Configuração. Por defeito, este caminho é C:\Program Files\Microsoft Configuration Manager\logs .

O site rastreia o estado de saúde do serviço de administração no ficheiro SMS_REST_PROVIDER.log. Pode ver o início do serviço e informações sobre o certificado.

Teste o serviço de administração fazendo uma consulta simples num navegador web, por exemplo:

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

O serviço de administração regista a sua atividade no ficheiro .log adminservice no servidor do Fornecedor de SMS no diretório de instalação do Gestor de Configuração.

Para a consulta de metadados acima, o ficheiro de registo mostra as seguintes linhas:

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

Passos seguintes