Nasazení posloupnosti úkolů přes internet

Platí pro: Správce konfigurace (aktuální větev)

Správce konfigurace podporuje různé metody nasazení posloupnosti úkolů vzdáleným klientům přes internet. Můžete nasadit upgrade Windows, použít spouštěcí médium nebo ho spustit z Centra softwaru. Tento článek se zabývá konkrétními konfiguracemi těchto scénářů. Nejdřív použijte nasazení posloupnosti úkolů k vytvoření základního nasazení. Konfigurace v tomto článku pak můžete použít k jeho přizpůsobení pro internetové klienty.

Upozornění

Chování pro vysoce riziková nasazení posloupnosti úkolů můžete spravovat. Nasazení s vysokým rizikem je nasazení, které se automaticky nainstaluje a může způsobit nežádoucí výsledky. Například posloupnost úkolů, která má účel Povinný, který nasadí operační systém, se považuje za vysoce rizikové nasazení. Další informace najdete v tématu Nastavení správy vysoce riziková nasazení.

Povolit spuštění posloupnosti úkolů na internetu

Na stránce Uživatelské prostředí v Průvodci nasazením softwaru můžete nakonfigurovat nasazení tak, aby umožnilo spouštění posloupnosti úkolů pro klienta na internetu. Toto nastavení je povinné pro všechny internetové klientské scénáře. Následující části popisují hlavní scénáře, když toto nastavení povolíte.

Poznámka

Rozšířené nastavení pořadí úkolů pro spuštění jiného programu se nevztahuje na pořadí úkolů, které běží na klientech, kteří komunikují prostřednictvím brány pro správu cloudu (CMG). Tato možnost používá síťovou cestu UNC balíčku, která není přístupná přes CMG.

Windows na místě

Toto nastavení použijte pro nasazení Windows úkolu upgradu na internetové klienty prostřednictvím brány pro správu cloudu (CMG). Tento scénář podporují Správce konfigurace podporované verze. Další informace najdete v článku Nasazení Windows na místě prostřednictvím CMG.

Instalace posloupnosti Windows bitové kopie z Centra softwaru

Od verze 2006 můžete nasadit posloupnost úkolů se spouštěcí image na zařízení, které komunikuje přes CMG. Uživatel musí spustit posloupnost úkolů z Centra softwaru.

Poznámka

Když klient Azure Active Directory (Azure AD) spustí posloupnost úkolů nasazení operačního systému, klient v novém operačním systému se automaticky ne připojí k Azure AD. I když není připojený k Azure AD, klient se pořád spravuje.

Když v internetovém klientovi spustíte posloupnost úloh nasazení operačního systému, která je připojená k Azure AD nebo používá ověřování založené na tokenech, musíte v kroku Nastavení Windows a ConfigMgr zadat vlastnost CCMHOSTNAME.

Použití spouštěcího média k instalaci Windows pořadí úloh pro zpracování obrázků

Od verze 2010 můžete ke zobrazování internetových zařízení, která se připojují prostřednictvím cmg, použít spouštěcí médium. Tento scénář vám pomůže lépe podporovat vzdálené pracovníky. Pokud Windows se nespustí, aby měl uživatel přístup k Centru softwaru, můžete jim teď poslat USB disk a znovu nainstalovat Windows. Další informace najdete v článku Nasazení operačního systému přes CMG pomocí spouštěcích médií.

Ve verzi 2002 a dřívějších verzích nejsou s tímto nastavením podporované operace vyžadující spouštěcí médium. Povolte spuštění posloupnosti úkolů na internetu jenom u obecných instalací softwaru nebo sekvencí úloh založených na skriptech, které provozují operace ve standardním operačním systému.

Poznámka

U všech internetových scénářů pořadí úkolů ve verzi 2002 a starších verzích spusťte posloupnost úkolů z Centra softwaru. Nepodporují média s Windows, PXE nebo posloupností úkolů.

Nasazení Windows upgradu přes CMG

Pořadí Windows úloh upgradu podporuje nasazení pro internetové klienty spravované prostřednictvím brány pro správu cloudu (CMG). Tato možnost umožňuje vzdáleným uživatelům snadněji upgradovat na Windows, aniž by se potřebovali připojit k intranetu.

Ujistěte se, že veškerý obsah, na který odkazuje pořadí úloh upgradu na místě, je distribuován do skupiny CMG s podporou obsahu. Povolte nastavení CMG:Povolit CMG, aby fungovala jako cloudový distribuční bod a sloužila obsahu z úložiště Azure. V opačném případě se na zařízeních nespouštěl pořadí úkolů.

Když nasadíte pořadí úloh upgradu, použijte následující nastavení:

  • Povolte spuštění posloupnosti úloh pro klienta na internetu na kartě Uživatelské prostředí nasazení.

  • Na kartě Distribuční body nasazení zvolte jednu z následujících možností:

    • Stáhněte si obsah místně v případě potřeby pomocí spuštěného pořadí úkolů. Modul pořadí úkolů může stahovat balíčky na vyžádání z cmg s podporou obsahu. Tato možnost nabízí další flexibilitu s Windows nasazením upgradu na internetová zařízení.

    • Stáhněte si veškerý obsah místně před zahájením pořadí úkolů. Pomocí této možnosti Správce konfigurace klient stáhne obsah ze zdroje cloudu před spuštěním pořadí úkolů.

  • (Nepovinné) Předem stáhněte obsah pro toto pořadí úkolů na kartě Obecné v nasazení. Další informace najdete v tématu Konfigurace obsahu předběžné mezipaměti.

Poznámka

Spusťte pořadí úkolů z Centra softwaru. Tento scénář nepodporuje Windows PE, PXE nebo posloupnosti úkolů.

Podpora spouštěcích médií pro cloudový obsah

Od verze 2010 si spouštěcí médium může stáhnout cloudový obsah. Když třeba pošlete USB klíč uživateli ve vzdálené kanceláři, aby si zařízení znovu zkreslili. Nebo kancelář, která má místní server PXE, ale chcete, aby zařízení upřednostňována cloudové služby co nejvíce. Místo dalšího zdanění sítě WAN ke stažení velkého obsahu nasazení operačního systému teď mohou spouštěcí média a nasazení PXE získat obsah z cloudových zdrojů. Například brána pro správu cloudu (CMG), kterou povolíte ke sdílení obsahu.

Poznámka

Zařízení stále potřebuje intranetové připojení k bodu správy.

Když se spustí posloupnost úkolů, stáhne obsah z cloudových zdrojů. Zkontrolujte smsts.log v klientovi.

Předpoklady pro spouštěcí médium

  • Povolte následující nastavení klienta ve skupině Cloudové služby: Povolit přístup k cloudovým distribučním bodům. Ujistěte se, že je nastavení klienta nasazené na cílové klienty. Další informace najdete v tématu O nastavení klienta – Cloudové služby.

  • Pro skupinu hranic, ve které je klient:

  • Distribuujte obsah, na který odkazuje pořadí úkolů, do skupiny cmg s podporou obsahu.

Nasazení operačního systému přes CMG pomocí spouštěcího média

Od verze 2010 můžete ke zobrazování internetových zařízení, která se připojují prostřednictvím cmg, použít spouštěcí médium. Tento scénář vám pomůže lépe podporovat vzdálené pracovníky. Pokud Windows se nespustí, aby měl uživatel přístup k Centru softwaru, můžete jim teď poslat USB disk a znovu nainstalovat Windows.

Předpoklady pro spouštění médií přes CMG

  • Nastavení cmg

  • U veškerého obsahu, na který se odkazuje v pořadí úkolů, ho distribuujte do cmg s podporou obsahu. Další informace najdete v tématu Distribuce obsahu.

  • Povolte následující nastavení klienta ve skupině Cloudové služby:

    • Povolení přístupu k cloudovým distribučním bodům

    • Povolení klientům používat bránu pro správu cloudu

  • Nakonfigurujte krok Použít síť Nastavení pořadí úkolů pro připojení k pracovní skupině. Během posloupnosti úkolů se zařízení nemůže připojit k místní doméně služby Active Directory. Nemá připojení k řadiči domény pro připojení k doméně.

  • Když nasadíte pořadí úkolů do kolekce, nakonfigurujte následující nastavení:

    • Stránka Uživatelské prostředí: Povolení spuštění pořadí úkolů pro klienta na internetu

    • Stránka nastavení nasazení: Zprostředkovat možnost, která obsahuje média.

    • Stránka Distribuční body, možnosti nasazení: Stahování obsahu místně v případě potřeby spuštěnou posloupností úkolů. Další informace najdete v tématu Možnosti nasazení.

  • Ujistěte se, že má zařízení během spouštění pořadí úkolů konstantní připojení k internetu. Windows PE nepodporuje bezdrátové sítě, takže zařízení potřebuje kabelové připojení k síti.

  • Pokud pro spouštěcí médium používáte certifikát založený na pki, nakonfigurujte ho pro SHA256 s poskytovatelem Microsoft Enhanced RSA a AES. Tato konfigurace certifikátu se doporučuje, ale nevyžaduje se. Certifikát může být certifikát v3 (CNG).

  • Pokud ve verzích 2010 a 2103 nakonfigurujete bod správy na Povolit připojení jenom k internetu, nemůžete v cmg používat spouštěcí médium. Pokud chcete tento problém vyřešit, nakonfigurujte bod správy na Povolit připojení k intranetu a internetu.

  • Pokud váš cmg používá certifikát založený na pki, musíte do spouštěcí bitové kopie přidat důvěryhodný kořenový certifikát. V opačném Windows pe nemůže komunikovat s cmg, protože certifikát CMG nevěřuje. Další informace najdete v tématu Přidání důvěryhodného kořenového certifikátu do spouštěcí bitové kopie.

Vytvoření spouštěcího média pro použití cmg

Spusťte průvodce vytvořením média pořadí úkolů pro spouštěcí médium. Další informace najdete v tématu Vytvoření spouštěcího média. Změňte standardní proces pomocí následujících kroků:

  • Na stránce Správa médií v průvodci vyberte možnost pro média založená na webu.

  • Na stránce Zabezpečení nastavte silné heslo pro ochranu tohoto média.

  • Na stránce Boot Image (Spouštěcí bitová kopie) v části Management point (Bod správy) vyberte bránu cloudové správy v dialogovém okně Add Management Points (Přidat body správy).

Při spuštění zařízení připojeného k internetu pomocí tohoto média komunikuje se zadaným cmg. Spouštěcí médium stáhne zásadu nasazení pořadí úkolů prostřednictvím cmg. Při spuštění posloupnosti úkolů stáhne všechny další obsah a zásady přes internet.

Po spuštění posloupnosti úkolů klient použije ověřování založené na tokenech.

Přidání důvěryhodného kořenového certifikátu do spouštěcí bitové kopie

Pokud váš cmg používá certifikát založený na pki, musíte do spouštěcí bitové kopie přidat důvěryhodný kořenový certifikát. V opačném Windows pe nemůže komunikovat s cmg, protože certifikát CMG nevěřuje.

Krok 1: Export objektu blob registru certifikátů

V systému s nainstalovaným důvěryhodným kořenovým certifikátem:

  1. Otevřete nabídka Start. Pokud run chcete otevřít okno Spustit, zadejte ho. Otevřete mmc aplikaci .

  2. V nabídce Soubor zvolte Přidat nebo odebrat modul snap-in....

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte Certifikáty a pak vyberte Přidat.

    1. V dialogovém okně Modul snap-in Certifikáty vyberte Účet počítače a pak vyberte Další.

    2. V dialogovém okně Vybrat počítač vyberte Místní počítač a pak vyberte Dokončit.

    3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte OK.

  4. Rozbalte položku Certifikáty, rozbalte položku Důvěryhodné kořenové certifikační autority a vyberte Certifikáty.

  5. Vyberte kořenový certifikát. V nabídce Akce vyberte Otevřít.

  6. Přejděte na kartu Podrobnosti.

  7. Zkopírujte hodnotu kryptografického otisku certifikátu. Například eb971f84c0c44b9eb22a378fecb45747eb971f84

  8. V nabídka Start spusťte regedit .

  9. Přejděte k následujícímu klíči registru: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates . Další informace o tomto klíči registru najdete v tématu Umístění úložiště systému.

  10. Vyberte klíč registru, který odpovídá miniaturě kořenového certifikátu.

  11. V nabídce Soubor vyberte Exportovat. Zadejte název souboru a soubor .reg uložte.

  12. Upravte soubor v Poznámkový blok. V cestě ke klíči SOFTWARE změňte soubor winpe-offline na a uložte ho. Příklad:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

  13. Zkopírujte tento soubor do umístění, ke které máte přístup k dalšímu kroku.

Krok 2: Import objektu blob registru certifikátů do spouštěcí bitové kopie offline

V systému se souborem spouštěcí bitové kopie:

  1. Připojte soubor WIM. Například . DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount

  2. V nabídka Start spusťte regedit .

  3. Vyberte HKEY_LOCAL_MACHINE. V nabídce Soubor vyberte Načíst podregistr.

  4. Vyhledejte C:\Mount\Windows\System32\config a vyberte SOFTWARE. Tento soubor je offline podregistr registru pro Windows PE připojené k C:\Mount .

    Důležité

    Ujistěte se, že je tato cesta k připojenému Windows PE, ne k výchozí Windows operačního systému.

  5. Zadejte název klíče pro načtený podregistr winpe-offline .

  6. V nabídce Soubor vyberte Importovat. Přejděte na upravený .reg soubor, který jste dříve vyexportoval a upravili. Vyberte Otevřít.

  7. Přejděte k následujícímu klíči registru: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates a potvrďte, že je nový klíč přidán.

  8. Vyberte následující klíč registru: Computer\HKEY_LOCAL_MACHINE\winpe-offline . V nabídce File (Soubor) vyberte Unload Hive (Uvolnit podregistr) a vyberte Yes (Ano).

  9. Zavřete editor registru a další okna, která odkazují na soubory v C:\Mount aplikaci .

  10. Odpojte spouštěcí bitovou kopii a potvrďte změny. Například DISM /Unmount-image /Commit /MountDir:C:\Mount

Spouštěcí obrázek teď obsahuje důvěryhodný kořenový certifikát.

Další kroky

Monitorování nasazení operačního systému

Správa posloupností úkolů pro automatizaci úkolů