Nastavení CMG pro Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Jakmile budete mít splněné požadavky, můžete zahájit proces nastavení brány pro správu cloudu (CMG). Před zahájením tohoto procesu se ujistěte, že máte potřebné informace a předpoklady pro vytvoření skupiny cmg. Další informace naleznete v tématu Nastavení kontrolního seznamu pro CMG.

Tento krok celého procesu zahrnuje následující akce:

  • Pomocí konzoly Configuration Manager vytvořte službu CMG v Azure.
  • Nakonfigurujte primární lokalitu pro ověřování klientských certifikátů.
  • Přidejte roli systému lokality spojovacího bodu CMG.
  • Nakonfigurujte bod správy a bod aktualizace softwaru pro provoz CMG.
  • Nakonfigurujte skupiny hranic.

Nastavení cmg

Poznámka

Nasazení CMG se škálovací sadou virtuálních počítačů v Azure bylo poprvé zavedeno ve verzi 2010 jako funkce předběžné verze. Od verze 2107 už se ne jedná o funkci předběžné verze.

Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.

Tento postup proveďte na webu nejvyšší úrovně. Lokalita je buď samostatná primární lokalita, nebo lokalita centrální správy (CAS).

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte Brána pro správu cloudu.

  2. Na pásu karet vyberte Vytvořit bránu pro správu cloudu .

  3. Na stránce Obecné v průvodci nejprve zadejte prostředí Azure pro tuto cmg:

    • AzurePublicCloud: Vytvořte službu v globálním cloudu Azure.
    • AzureUSGovernmentCloud: Vytvořte službu v cloudu Azure US Government.
  4. Dále zvolte, jak chcete nasadit cmg v Azure:

    • Škálovací sada virtuálních počítačů

      • Od verze 2203 je škálovací sada virtuálních počítačů je jedinou možností.

      • Od verze 2107 je tato možnost doporučenou metodou nasazení. I když máte existující skupinu CMG nasazenou pomocí metody cloudové služby (Classic), nasaďte nové instance CMG jako škálovací sadu virtuálních počítačů.

      • Ve verzích 2010 a 2103 musíte tuto předběžnou funkci povolit, abyste ji viděli. V těchto verzích je určený jenom pro zákazníky s předplatným Cloud Solution Provider (CSP). Pokud jste už nasadili cmg pomocí metody cloudové služby (Classic ), tato možnost není k dispozici. Další informace najdete v tématu Plánování cmg: Škálovací sady virtuálních počítačů.

    • Cloudová služba (classic)

      Důležité

      Od verze 2203 se odebere možnost nasazení CMG jako cloudové služby (Classic ). Všechna nasazení CMG by měla používat škálovací sadu virtuálních počítačů. Další informace najdete v tématu Odebrané a zastaralé funkce.

      • Ve verzi 2107 a novější použijte tuto možnost pouze v případě, že nemůžete nasadit škálovací sadu virtuálních počítačů kvůli jednomu z omezení.

      • Ve verzích 2010 a 2103 by většina zákazníků měla tuto metodu nasazení používat.

  5. Vyberte možnost Přihlásit se. Ověřte se pomocí účtu vlastníka předplatného Azure. Průvodce automaticky vyplní zbývající pole z informací uložených během předpokladu integrace Azure AD. Pokud vlastníte více předplatných, vyberte ID předplatného , které chcete použít.

    Vyberte Další a počkejte, až lokalita otestuje připojení k Azure.

  6. Na Nastavení stránce průvodce nejprve přejděte na stránku . Soubor PFX pro ověřovací certifikát serveru CMG (soubor certifikátu). Běžný název z tohoto certifikátu se používá k naplnění polí Název služby a Název nasazení .

    Pokud používáte certifikát se zástupnými znaky, nahraďte hvězdičku (*) v poli Název služby globálně jedinečným předponou názvu nasazení pro vaši cmg.

    1. Volitelně můžete zadat popis pro další identifikaci této skupiny cmg v konzole Configuration Manager.

    2. Vyberte oblast Azure pro tuto cmg. Seznam dostupných oblastí se může lišit v závislosti na vybraném předplatném.

    3. Vyberte možnost skupiny prostředků :

      • Pokud zvolíte Použít existující, vyberte ze seznamu existující skupinu prostředků. Tato skupina prostředků již musí existovat ve stejné oblasti, kterou jste vybrali pro skupinu cmg. Pokud vyberete existující skupinu prostředků a nachází se v jiné oblasti, než je dříve vybraná oblast, skupina cmg se nepodaří nasadit.

      • Pokud zvolíte Vytvořit novou, zadejte název nové skupiny prostředků.

    4. Ve výchozím nastavení je velikost virtuálního počítače Standard (A2_V2). Vyberte jinou možnost, jak určuje váš návrh. Například velké (A4_v2) pro zvýšení kapacity klienta na virtuální počítač nebo testovací prostředí (B2s) v malém testovacím prostředí.

      Důležité

      Virtuální počítač velikosti testovacího prostředí (B2s) je určený jenom pro testovací prostředí a malá prostředí pro testování konceptu. Například s větví Configuration Manager Technical Preview. Virtuální počítače B2s nejsou určené pro produkční použití s cmg. Jsou nízké náklady a nízké výkony.

    5. Do pole Instance virtuálního počítače zadejte počet virtuálních počítačů pro tuto službu. Výchozí hodnota je jedna, ale můžete vertikálně navýšit kapacitu až na 16 virtuálních počítačů na CMG.

    6. Pokud používáte ověřovací certifikáty klienta, vyberte Certifikáty a přidejte důvěryhodné kořenové certifikáty. Přidejte všechny certifikáty do řetězu důvěryhodných certifikátů.

      Poznámka

      Při použití tokenů Azure Active Directory (Azure AD) nebo tokenů vydaných webem pro ověřování klientů se důvěryhodný kořenový certifikát nevyžaduje.

    7. Ve výchozím nastavení průvodce umožňuje ověřit odvolání klientského certifikátu. Aby toto ověření fungovalo, musí být veřejně publikovaný seznam odvolaných certifikátů (CRL). Další informace najdete v tématu Publikování seznamu odvolaných certifikátů.

    8. Ve výchozím nastavení průvodce umožňuje vynutit protokol TLS 1.2. Toto nastavení vyžaduje, aby virtuální počítač Azure používal šifrovací protokol TLS 1.2. Nevztahuje se na žádné místní Configuration Manager servery lokality ani klienty. Od verze 2107 s kumulativní aktualizací platí toto nastavení také pro účet úložiště CMG. Další informace naleznete v tématu Povolení protokolu TLS 1.2.

    9. Ve výchozím nastavení průvodce umožňuje nástroji CMG povolit funkci cloudového distribučního bodu a obsluhovat obsah z úložiště Azure. Pokud plánujete cílení na nasazení s obsahem pro klienty, musíte nakonfigurovat skupinu CMG tak, aby sloužila obsahu.

  7. Další je stránka Upozornění v průvodci. Pokud chcete monitorovat provoz CMG s prahovou hodnotou 14 dnů, povolte upozornění prahové hodnoty. Pak zadejte prahovou hodnotu a procento, při kterém se mají zvýšit různé úrovně upozornění. Můžete také povolit prahovou hodnotu upozornění úložiště. Až budete hotovi, zvolte Další .

  8. Zkontrolujte nastavení a dokončete průvodce.

Configuration Manager začne službu nastavovat. Doba potřebná k úplnému zřízení služby v Azure závisí na nastavení, které jste zadali. Pokud chcete zjistit, kdy je služba připravená, podívejte se na sloupec Stav pro novou cmg.

K řešení potíží s nasazeními CMG použijte CloudMgr.log a CMGSetup.log. Další informace najdete v tématu Monitorování CMG.

Tip

Pro tento proces můžete také použít rutinu PowerShellu New-CMCloudManagementGateway . Volitelně můžete tuto rutinu použít k vytvoření služby CMG. Další informace naleznete v tématu New-CMCloudManagementGateway.

Konfigurace primární lokality pro ověřování klientských certifikátů

Pokud k ověřování pomocí cmg používáte certifikáty pro ověřování klientů , nakonfigurujte každou primární lokalitu podle tohoto postupu.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Konfigurace lokality a vyberte lokality.

  2. Vyberte primární lokalitu, ke které jsou přiřazeni vaši internetoví klienti, a zvolte Vlastnosti.

  3. Přepněte na kartu Zabezpečení komunikace a vyberte Použít klientský certifikát PKI (ověřování klienta), pokud je k dispozici.

  4. Pokud seznam CRL nepublikujete, zakažte následující možnost: Klienti zkontrolujte seznam odvolaných certifikátů (CRL) pro systémy lokality.

Přidání spojovacího bodu CMG

Spojovací bod CMG je role systému lokality, která se vyžaduje pro komunikaci z místního Configuration Manager nasazení do cloudové skupiny cmg. Před zahájením tohoto procesu byste již měli vytvořit plán pro tuto roli a identifikovat alespoň jeden existující server systému lokality. Další informace najdete v tématu Plánování skupiny cmg.

Pokud chcete přidat spojovací bod CMG, následující kroky shrnují pokyny k instalaci rolí systému lokality:

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Konfigurace lokality a vyberte uzel Servery a role systému lokality.

  2. Vyberte existující server lokality, ke kterému chcete přidat tuto roli. Na pásu karet na kartě Domů vyberte Přidat role systému lokality.

  3. Na obrazovce Výběr role systému zvolte spojovací bod brány pro správu cloudu a pak vyberte Další. Zvolte název brány pro správu cloudu , ke kterému se tento server připojuje. Průvodce zobrazí oblast pro vybranou cmg.

Důležité

Pokud používáte ověřovací certifikáty klienta, spojovací bod CMG potřebuje tento certifikát. Další informace najdete v tématu Ověřovací certifikát klienta.

K řešení potíží se stavem služby CMG použijte CMGService.log a SMS_Cloud_ProxyConnector.log. Další informace naleznete v tématu Soubory protokolu.

Tip

Volitelně můžete k přidání role spojovacího bodu CMG na server systému lokality použít také rutinu PowerShellu Add-CMCloudManagementGatewayConnectionPoint .

Další informace naleznete v tématu Add-CMCloudManagementGatewayConnectionPoint.

Konfigurace klientských rolí pro provoz CMG

Nakonfigurujte systémy lokality bodu správy a bodu aktualizace softwaru tak, aby přijímaly provoz CMG. Tento postup proveďte v primární lokalitě pro všechny body správy a body aktualizace softwaru, které obsluhují internetové klienty.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Konfigurace lokality a vyberte uzel Servery a role systému lokality. Na kartě Domů na pásu karet ve skupině Zobrazení vyberte Servery s rolí. Pak ze seznamu vyberte Bod správy .

  2. Vyberte server systému lokality, který chcete nakonfigurovat pro provoz CMG. V podokně podrobností vyberte roli Bodu správy a pak ve skupině Role webu na pásu karet vyberte Vlastnosti.

  3. V seznamu vlastností bodu správy v části Klientská připojení vyberte Povolit Configuration Manager provoz brány pro správu cloudu.

    V závislosti na návrhu CMG a verzi Configuration Manager možná budete muset povolit možnost HTTPS. Další informace najdete v tématu Povolení bodu správy pro protokol HTTPS.

  4. Výběrem možnosti OK zavřete okno vlastností bodu správy.

Tento postup opakujte pro další body správy podle potřeby a pro všechny body aktualizace softwaru.

Konfigurace skupin hranic

Skupinu cmg můžete přidružit ke skupině hranic. Tato konfigurace umožňuje klientům používat cmg pro komunikaci klienta podle relací skupin hranic. Tato konfigurace je výhodná pro klienty VPN nebo pobočky, kde může být lepší je spravovat prostřednictvím cmg než přes připojení VPN nebo WAN. Pokud povolíte možnost upřednostňovat cloudové zdroje před místními zdroji , klienti budou upřednostňovat cmg pro zásady i obsah.

Další informace o skupinách hranic najdete v tématu Konfigurace skupin hranic.

Když vytvoříte nebo nakonfigurujete skupinu hranic, na kartě Odkazy přidejte bránu pro správu cloudu. Tato akce přidruží skupinu CMG k této skupině hranic.

Branchcache

Pokud chcete, aby skupina CMG s podporou obsahu používala Windows BranchCache, nainstalujte na server lokality funkci BranchCache.

  • Pokud má server lokality roli systému lokality místního distribučního bodu, nakonfigurujte možnost ve vlastnostech dané role tak, aby povolovala a nakonfigurovala službu BranchCache. Další informace naleznete v tématu Konfigurace distribučního bodu.

  • Pokud server lokality nemá roli distribučního bodu, nainstalujte funkci BranchCache do Windows. Další informace najdete v tématu Instalace funkce BranchCache.

Pokud jste už distribuovali obsah do skupiny cmg a pak se rozhodnete službu BranchCache povolit, nejprve nainstalujte tuto funkci. Pak obsah znovu distribuujte do skupiny cmg.

Distribuce a správa obsahu

Distribuujte obsah do skupiny cmg s povoleným obsahem stejně jako jakýkoli jiný distribuční bod. Bod správy neobsahuje cmg v seznamu umístění obsahu, pokud neobsahuje obsah, který klienti požadují. Další informace najdete v tématu Distribuce a správa obsahu.

Umožňuje spravovat obsah ve skupině cmg stejně jako jakýkoli jiný distribuční bod. Mezi tyto akce patří přiřazení ke skupině distribučních bodů a správa balíčků obsahu. Další informace najdete v tématu Instalace a konfigurace distribučních bodů.

Další kroky

Pokračujte v nastavení CMG tak, že nakonfigurujete klienty pro CMG: