Configuration Manager'de yönetim hizmetini ayarlama
Uygulama hedefi: Configuration Manager (güncel dalı)
SMS Sağlayıcınızda yönetim hizmetini ayarlamak için bu makaledeki adımları kullanın. Başlamadan önce yönetim hizmeti Önkoşulları'nı okuyun.
Güvenli HTTPS iletişimlerini etkinleştirme
Ağ üzerinden aktarılan verileri korumak için yönetim hizmetini güvenli bir HTTPS bağlantısı kullanacak şekilde yapılandırın.
Sürüm 2010'dan başlayarak, artık yönetim hizmeti için SMS Sağlayıcısı'nda IIS'yi etkinleştirmeniz gerekmez. Site, SMS Sağlayıcısı için otomatik olarak imzalanan bir sertifika oluşturur ve IIS gerektirmeden otomatik olarak bağlar. DAHA önce SMS Sağlayıcısı'nda IIS yüklüyse, bunu kaldırabilirsiniz. Ardından SMS_REST_PROVIDER bileşenini yeniden başlatın. Güvenlik duvarınızda HTTPS bağlantı noktası 443'i açmanız gerektiğini unutmayın.
Yönetim hizmeti otomatik olarak sitenin otomatik olarak imzalanan sertifikasını kullanır. Bu davranış, yönetim hizmetinin daha kolay kullanılması için sürtüşmelerin azaltılmasına yardımcı olur. Site her zaman bu sertifikayı oluşturur. Yönetim hizmeti Gelişmiş HTTP site ayarını yoksayar çünkü başka hiçbir site sistemi Gelişmiş HTTP kullanmıyor olsa bile her zaman sitenin sertifikasını kullanır. PKI tabanlı sunucu kimlik doğrulama sertifikalarını el ile bağlamaya devam edebilirsiniz. SMS Sağlayıcısı sunucusunda 443 numaralı bağlantı noktasına zaten bir PKI sertifikası bağladıysanız, yönetim hizmeti bu mevcut sertifikayı kullanır.
Sunucu kimlik doğrulama sertifikası kullanma
Not
Varsayılan olarak, yönetim hizmeti otomatik olarak sitenin otomatik olarak imzalanan sertifikasını kullanır. PKI tabanlı sunucu kimlik doğrulama sertifikalarını el ile bağlamaya devam edebilirsiniz. PKI tabanlı sertifikanızı bağlamadan önce, sitenin otomatik olarak imzalanan sertifikasını SMS Sağlayıcısı'nda 443 numaralı bağlantı noktasından el ile çıkarın.
Sunucu kimlik doğrulama sertifikası kullanmanın iki birincil yöntemi vardır:
Kuruluşunuzun ortak anahtar altyapısından (PKI)
Ortamınızda zaten bir PKI varsa, SMS Sağlayıcısı için bir sunucu kimlik doğrulama sertifikası vermek için bu sertifikayı kullanabilirsiniz. Bu sertifika, bir yönetim noktası veya dağıtım noktası için kullanacağınız sertifikaya benzer. Daha fazla bilgi için bkz. PKI sertifika gereksinimleri.
Çoğu kurumsal PKI uygulaması, güvenilen kök CA'ları Windows istemcilerine ekler. Örneğin, Active Directory Sertifika Hizmetleri'ni grup ilkesiyle kullanma. İstemcilerinizin otomatik olarak güvenmediğini bir CA'dan sertifikayı verirseniz, CA güvenilen kök sertifikasını istemcilere ekleyin. Bu güvenin kapsamını yalnızca yönetim hizmetine erişmesi gereken istemcilere göre ayarlayabilirsiniz.
Genel ve genel olarak güvenilen bir sertifika sağlayıcısından sertifika kullanın. Windows istemcileri, bu sağlayıcılardan güvenilen kök sertifika yetkilileri (CA) içerir. Bu sağlayıcılardan biri tarafından verilen bir sunucu kimlik doğrulama sertifikası kullanarak istemcileriniz bu sertifikaya otomatik olarak güvenir.
SMS Sağlayıcısı için bir sunucu kimlik doğrulama sertifikanız olduğunda, SMS Sağlayıcısı rolünü barındıran sunucudaki IIS'de 443 numaralı bağlantı noktasına el ile bağlamanız gerekir.
İlk olarak, sertifikayı sunucuya ekleyin. Sertifikayı yerel makinenin Kişisel deposuna aktarın. Ardından sertifikayı bağlamak için aşağıdaki seçeneklerden birini kullanın:
Sertifikayı IIS ile bağlama
SMS Sağlayıcısı rolüne sahip sunucuda IIS Yönetim Konsolu varsa, varsayılan web sitesinde Bağlamaları Düzenle eylemini kullanın. 443 numaralı bağlantı noktasını ekleyin ve makinenin sertifika deposundan sertifikanızı belirtin.
Not
SMS Sağlayıcısı rolü IIS gerektirmez. Bu yordam, sertifikayı bağlamak için IIS konsolunu kullanıyor. Bu sertifika bağlamaları belirli bir hizmete değil makineye yöneliktir.
Sertifikayı netsh ile bağlama
Sertifikayı bağlamak için netsh komut satırını kullanın:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Burada <thumbprint>
, yüklü sertifikanın parmak izidir ve <GUID>
rastgele bir GUID'dir.
İpucu
Rastgele bir GUID oluşturmak için Windows PowerShell cmdlet'ini New-Guid
kullanın.
Örneğin:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
İnternet erişimini etkinleştirme
Yönetim hizmetini yalnızca şirket içinde kullanabilir veya bulut yönetimi ağ geçidi (CMG) üzerinden erişim için etkinleştirebilirsiniz. Kiracı ekleme veya e-posta yoluyla uygulama onayları gibi bazı senaryolar için İnternet'ten yönetim hizmetine erişim gerekir.
SMS Sağlayıcısını CMG trafiğine izin verecek şekilde yapılandırmadan önce bir CMG ayarlayın. Daha fazla bilgi için bkz. CMG'ye genel bakış.
Ardından cmg aracılığıyla yönetim hizmetini etkinleştirmek için aşağıdaki işlemi kullanın:
Configuration Manager konsolunda Yönetim çalışma alanına gidin, Site Yapılandırması'nı genişletin ve Sunucular ve Site Sistemi Rolleri düğümünü seçin.
SMS Sağlayıcısı rolüne sahip sunucuyu seçin.
İpucu
Şeritteki Giriş sekmesinde Rol içeren sunucular'ı ve ardından SMS Sağlayıcısı'nı seçin. Bu eylem size bu role sahip site sistemlerini gösterir.
Ayrıntılar bölmesinde SMS Sağlayıcısı rolünü seçin ve Site Rolü sekmesindeki şeritte Özellikler'i seçin.
Yönetim hizmeti için Configuration Manager bulut yönetimi ağ geçidi trafiğine izin ver seçeneğini belirleyin.
yönetim hizmetine İnternet'ten erişmek için SMS Sağlayıcısı FQDN'sini CMG uç noktasıyla değiştirin. Örneğin:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
İpucu
Bu uç noktanın değerini almak için aşağıdaki adımları kullanın:
BIR CMG oluşturun. Daha fazla bilgi için bkz. CMG ayarlama.
Etkin bir istemcide yönetici olarak bir Windows PowerShell komut istemi açın.
Aşağıdaki komutu çalıştırın:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Konsol kullanımını etkinleştirme
Not
Sürüm 2111'den başlayarak, Configuration Manager konsolunun yönetim hizmetini kullanmasını etkinleştirme seçeneği kaldırılır. Yönetim hizmeti her zaman açık olduğundan konsol gerektiğinde bu hizmeti kullanır.
yönetim hizmetini kullanmak için Configuration Manager konsolunun bazı düğümlerini etkinleştirin. Bu değişiklik konsolunun WMI yerine HTTPS üzerinden SMS Sağlayıcısı ile iletişim kurmasını sağlar.
Configuration Manager konsolunda Yönetim çalışma alanına gidin, Site Yapılandırması'nı genişletin ve Siteler düğümünü seçin. Şeritte Hiyerarşi Ayarları'nı seçin.
Genel sayfasında, yönetim hizmetini kullanmak için Configuration Manager konsolunu etkinleştir seçeneğini belirleyin.
Bu değişiklik yalnızca Yönetim çalışma alanında Güvenlik düğümü altındaki aşağıdaki düğümleri etkiler:
- Yönetici Kullanıcılar
- Güvenlik Rolleri
- Güvenlik Kapsamları
- Konsol Bağlantıları
Bu düğümlerden birini seçtiğinizde, aşağıdaki hata iletisi görüntülendiğinde:
Configuration Manager yönetim hizmetine bağlanamıyor
Hatanın altındaki bilgileri gözden geçirin. Ardından yönetim hizmetinin etkinleştirildiğini, yapılandırıldığını ve işlevsel olduğunu doğrulayın. Gözden geçirilebilir günlük dosyaları da dahil olmak üzere daha fazla bilgi için Doğrula bölümüne bakın.
Doğrulamak
Site yönetim hizmetini yüklediğinde, etkinliği Configuration Manager yükleme dizinindeki RESTPROVIDERSetup.log dosyasına kaydeder. Varsayılan olarak bu yol şeklindedir C:\Program Files\Microsoft Configuration Manager\logs
.
Site, SMS_REST_PROVIDER.log dosyasında yönetim hizmetinin sistem durumunu izler. Hizmet başlangıcını ve sertifika hakkındaki bilgileri görebilirsiniz.
Bir web tarayıcısında basit bir sorgu yaparak yönetim hizmetini test edin, örneğin:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
Yönetim hizmeti, etkinliğini Configuration Manager yükleme dizinindeki SMS Sağlayıcısı sunucusundaki adminservice.log dosyasına kaydeder.
Yukarıdaki meta veri sorgusu için günlük dosyası aşağıdaki satırları gösterir:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]