Nasazení pořadí úkolů přes internet

Platí pro: Configuration Manager (Current Branch)

Configuration Manager podporuje různé metody nasazení pořadí úkolů do vzdálených klientů přes internet. Můžete nasadit upgrade Windows, použít spouštěcí médium nebo ho spustit z Centra softwaru. Tento článek popisuje konkrétní konfigurace pro tyto scénáře. Nejprve k vytvoření základního nasazení použijte Nasazení pořadí úkolů . Pak použijte konfigurace v tomto článku k přizpůsobení pro internetové klienty.

Upozornění

Můžete spravovat chování u vysoce rizikových nasazení pořadí úkolů. Nasazení s vysokým rizikem je nasazení, které se instaluje automaticky a může způsobit nežádoucí výsledky. Například pořadí úkolů, které má účel Povinné , které nasazuje operační systém, se považuje za nasazení s vysokým rizikem. Další informace najdete v tématu Nastavení pro správu vysoce rizikových nasazení.

Povolit spuštění pořadí úkolů na internetu

Na stránce Uživatelské prostředí v Průvodci nasazením softwaru můžete nakonfigurovat nasazení na Povolit spuštění pořadí úkolů pro klienta na internetu. Toto nastavení je vyžadováno pro všechny internetové klientské scénáře. Následující části se týkají hlavních scénářů při povolení tohoto nastavení.

Poznámka

Upřesňující nastavení pořadí úkolů na Spustit první jiný program se nevztahuje na pořadí úkolů, která běží na klientech, kteří komunikují přes bránu pro správu cloudu (CMG). Tato možnost používá síťovou cestu UNC balíčku, která není přístupná přes CMG.

Místní upgrade Windows

Toto nastavení použijte pro nasazení pořadí úloh místního upgradu Windows do internetových klientů prostřednictvím brány pro správu cloudu (CMG). Tento scénář podporují všechny podporované verze Configuration Manager. Další informace najdete v tématu Nasazení místního upgradu Windows prostřednictvím CMG.

Instalace pořadí úkolů pro image windows z Centra softwaru

Od verze 2006 můžete nasadit pořadí úkolů se spouštěcí imagí do zařízení, které komunikuje prostřednictvím cmg. Uživatel musí pořadí úkolů spustit z Centra softwaru.

Poznámka

Když klient připojený k Microsoft Entra spustí pořadí úloh nasazení operačního systému, klient v novém operačním systému se automaticky nepřipojí Microsoft Entra ID. I když není připojený Microsoft Entra, klient je stále spravovaný.

Když na internetovém klientovi spustíte pořadí úkolů nasazení operačního systému, které je buď Microsoft Entra připojeno, nebo používá ověřování na základě tokenu, musíte v kroku Instalace systému Windows a nástroje ConfigMgr zadat vlastnost CCMHOSTNAME.

Použití spouštěcího média k instalaci pořadí úkolů bitové kopie systému Windows

Od verze 2010 můžete pomocí spouštěcího média znovu vytvořit image internetových zařízení, která se připojují prostřednictvím CMG. Tento scénář vám pomůže lépe podporovat vzdálené pracovní procesy. Pokud se Windows nespustí, aby uživatel mohl získat přístup k Centru softwaru, můžete mu teď poslat USB flash disk a přeinstalovat Windows. Další informace najdete v tématu Nasazení operačního systému přes CMG pomocí spouštěcího média.

Ve verzi 2002 a starších verzích nejsou operace, které vyžadují spouštěcí médium, podporovány tímto nastavením. Povolte spuštění pořadí úkolů na internetu pouze pro obecné instalace softwaru nebo pořadí úkolů založené na skriptech, které spouští operace ve standardním operačním systému.

Poznámka

U všech internetových scénářů pořadí úkolů ve verzi 2002 a starších verzích spusťte pořadí úkolů z Centra softwaru. Nepodporují prostředí Windows PE, technologii PXE ani média pořadí úkolů.

Nasazení místního upgradu Windows prostřednictvím CMG

Pořadí úloh místního upgradu windows podporuje nasazení do internetových klientů spravovaných prostřednictvím brány pro správu cloudu (CMG). Tato možnost umožňuje vzdáleným uživatelům snadněji upgradovat na Windows, aniž by se museli připojovat k intranetu.

Ujistěte se, že veškerý obsah, na který odkazuje pořadí úloh místního upgradu, je distribuován do cmg s povoleným obsahem. Povolte nastavení CMG: Povolí cmg fungovat jako cloudový distribuční bod a obsluhovat obsah z úložiště Azure. Jinak zařízení nemůžou pořadí úkolů spustit.

Při nasazování pořadí úkolů upgradu použijte následující nastavení:

• Povolte spuštění pořadí úkolů pro klienta na internetu na kartě Uživatelské prostředí nasazení.

• Na kartě Distribuční body nasazení zvolte jednu z následujících možností:

  • V případě potřeby spuštěného pořadí úloh stáhněte obsah místně. Modul pořadí úkolů může stahovat balíčky na vyžádání z cmg s podporou obsahu. Tato možnost poskytuje větší flexibilitu při nasazení místního upgradu Windows na internetová zařízení.

  • Před spuštěním pořadí úkolů stáhněte veškerý obsah místně. Při této možnosti klient Configuration Manager stáhne obsah z cloudového zdroje před spuštěním pořadí úkolů.

• (Volitelné) Před stažením obsahu pro toto pořadí úkolů na kartě Obecné nasazení. Další informace najdete v tématu Konfigurace obsahu předběžného ukládání do mezipaměti.

Poznámka

Spusťte pořadí úkolů z Centra softwaru. Tento scénář nepodporuje prostředí Windows PE, technologii PXE ani média pořadí úkolů.

Podpora spouštěcích médií pro cloudový obsah

Od verze 2010 můžou spouštěcí média stahovat cloudový obsah. Například odešlete usb klíč uživateli ve vzdálené kanceláři, aby znovu nasměrovali jeho zařízení na image. Nebo kancelář, která má místní server PXE, ale chcete, aby zařízení co nejvíce upřednostňovala cloudové služby. Místo dalšího zdanění sítě WAN za účelem stahování rozsáhlého obsahu nasazení operačního systému teď můžou spouštěcí média a nasazení PXE získávat obsah z cloudových zdrojů. Například bránu pro správu cloudu (CMG), kterou povolíte ke sdílení obsahu.

Poznámka

Zařízení stále potřebuje intranetové připojení k bodu správy.

Když se pořadí úkolů spustí, stáhne obsah z cloudových zdrojů. Zkontrolujte na klientovi smsts.log .

Požadavky na spouštěcí médium

• Ve skupině Cloud Services povolte následující nastavení klienta: Povolit přístup ke cloudovému distribučnímu bodu. Ujistěte se, že je nastavení klienta nasazené na cílové klienty. Další informace najdete v tématu Informace o nastavení klienta – cloudové služby.

• Skupina hranic, ve které se klient nachází:

  • Přidružte cmg s povoleným obsahem. Další informace najdete v tématu Konfigurace skupiny hranic.

  • Povolte následující možnost: Upřednostněte cloudové zdroje před místními zdroji. Další informace najdete v tématu Možnosti skupiny hranic pro partnerské soubory ke stažení.

• Distribuujte obsah, na který odkazuje pořadí úkolů, do cmg s povoleným obsahem.

Nasazení operačního systému přes CMG pomocí spouštěcího média

Od verze 2010 můžete pomocí spouštěcího média znovu vytvořit image internetových zařízení, která se připojují prostřednictvím cmg. Tento scénář vám pomůže lépe podporovat vzdálené pracovní procesy. Pokud se Windows nespustí, aby uživatel mohl získat přístup k Centru softwaru, můžete mu teď poslat USB flash disk a přeinstalovat Windows.

Požadavky na spouštěcí médium prostřednictvím CMG

• Nastavení cmg

• Pro veškerý obsah odkazovaný v pořadí úkolů ho distribuujte do cmg s povoleným obsahem. Další informace najdete v tématu Distribuce obsahu.

• Ve skupině Cloud Services povolte následující nastavení klienta:

  • Povolit přístup ke cloudovému distribučnímu bodu

  • Povolení klientům používat bránu pro správu cloudu

• Nakonfigurujte krok pořadí úkolů Použít nastavení sítě pro připojení k pracovní skupině. Během pořadí úkolů se zařízení nemůže připojit k doméně místní Active Directory. Nemá připojení k řadiči domény pro připojení k doméně.

• Při nasazování pořadí úkolů do kolekce nakonfigurujte následující nastavení:

  • Stránka uživatelského prostředí: Povolit spuštění pořadí úkolů pro klienta na internetu

  • Stránka nastavení nasazení: Zpřístupní možnost, která zahrnuje média.

  • Stránka Distribuční body, možnosti nasazení: V případě potřeby spuštěného pořadí úkolů stáhněte obsah místně. Další informace najdete v tématu Možnosti nasazení.

• Ujistěte se, že má zařízení během spuštění pořadí úkolů konstantní připojení k internetu. Prostředí Windows PE nepodporuje bezdrátové sítě, takže zařízení potřebuje kabelové připojení k síti.

• Pokud pro spouštěcí médium používáte certifikát založený na PKI, nakonfigurujte ho pro SHA256 pomocí zprostředkovatele Microsoft Enhanced RSA a AES. Tato konfigurace certifikátu se doporučuje, ale nevyžaduje se. Certifikátem může být certifikát V3 (CNG).

• Pokud ve verzích 2010 a 2103 nakonfigurujete bod správy na Povolit připojení jenom k internetu, nebudete moct používat spouštěcí médium přes CMG. Chcete-li tento problém vyřešit, nakonfigurujte bod správy povolit intranetová a internetová připojení.

• Pokud vaše cmg používá certifikát založený na PKI, musíte do spouštěcí bitové kopie přidat důvěryhodný kořenový certifikát. V opačném případě nemůže prostředí Windows PE komunikovat s cmg, protože nedůvěřuje certifikátu CMG. Další informace najdete v tématu Přidání důvěryhodného kořenového certifikátu do spouštěcí image.

Vytvoření spouštěcího média pro použití cmg

Spusťte průvodce vytvořením média pořadí úkolů pro spouštěcí médium. Další informace najdete v tématu Vytvoření spouštěcího média. Upravte standardní proces pomocí následujících kroků:

• Na stránce Správa médií v průvodci vyberte možnost multimédia založená na webu.

• Na stránce Zabezpečení nastavte silné heslo pro ochranu tohoto média.

• Na stránce Spouštěcí image v části Bod správy vyberte v dialogovém okně Přidat body správybránu pro správu cloudu.

Při spuštění zařízení připojeného k internetu pomocí tohoto média komunikuje se zadaným cmg. Spouštěcí médium stáhne zásady pro nasazení pořadí úkolů prostřednictvím cmg. Při spuštění pořadí úkolů stahuje veškerý další obsah a zásady přes internet.

Po spuštění pořadí úkolů klient používá ověřování na základě tokenů.

Přidání důvěryhodného kořenového certifikátu do spouštěcí image

Pokud vaše cmg používá certifikát založený na PKI, musíte do spouštěcí bitové kopie přidat důvěryhodný kořenový certifikát. V opačném případě nemůže prostředí Windows PE komunikovat s cmg, protože nedůvěřuje certifikátu CMG.

Krok 1: Export objektu blob registru certifikátu

V systému s nainstalovaným důvěryhodným kořenovým certifikátem:

1. Otevřete nabídku Start. Zadáním run otevřete okno Spustit. Otevřete mmc.

2. V nabídce Soubor zvolte Přidat nebo odebrat modul snap-in....

3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte Certifikáty a pak vyberte Přidat.

   1. V dialogovém okně snap-in Certifikáty vyberte Účet počítače a pak vyberte Další.

   2. V dialogovém okně Vybrat počítač vyberte Místní počítač a pak vyberte Dokončit.

   3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte OK.

4. Rozbalte Certifikáty, rozbalte Důvěryhodné kořenové certifikační autority a vyberte Certifikáty.

5. Vyberte kořenový certifikát. V nabídce Akce vyberte Otevřít.

6. Přepněte na kartu Podrobnosti .

7. Zkopírujte hodnotu kryptografického otisku certifikátu. Příklad: eb971f84c0c44b9eb22a378fecb45747eb971f84

8. V nabídce Start spusťte příkaz regedit.

9. Přejděte k následujícímu klíči registru: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Další informace o tomto klíči registru najdete v tématu Umístění systémového úložiště.

10. Vyberte klíč registru, který odpovídá kryptografickému otisku kořenového certifikátu.

11. V nabídce Soubor vyberte Exportovat. Zadejte název souboru a soubor uložte .reg .

12. Upravte soubor v Poznámkovém bloku. V cestě ke klíči přejděte SOFTWARE na winpe-offlinea uložte soubor. Příklady:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. Zkopírujte tento soubor do umístění, ke kterému máte přístup pro další krok.

Krok 2: Import objektu blob registru certifikátu do offline spouštěcí image

V systému, který má soubor spouštěcí bitové kopie:

1. Připojte soubor WIM. Například: DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

2. V nabídce Start spusťte příkaz regedit.

3. Vyberte HKEY_LOCAL_MACHINE. V nabídce File (Soubor ) vyberte Load Hive (Načíst Hive).

4. Přejděte na C:\Mount\Windows\System32\config a vyberte SOFTWARE. Tento soubor je podregistr offline registru pro bitovou kopii prostředí Windows PE připojenou k C:\Mount.

   Důležité

   Ujistěte se, že tato cesta je k připojené imagi prostředí Windows PE, nikoli k výchozí cestě operačního systému Windows.

5. Pojmenujte klíč pro načtený podregistr winpe-offline.

6. V nabídce Soubor vyberte Importovat. Přejděte k upravenému .reg souboru, který jste dříve exportovali a upravili. Vyberte Otevřít.

7. Přejděte k následujícímu klíči registru: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates a ověřte, že je nový klíč přidaný.

8. Vyberte následující klíč registru: Computer\HKEY_LOCAL_MACHINE\winpe-offline. V nabídce File (Soubor ) vyberte Unload Hive (Uvolnit Hive) a vyberte Yes (Ano).

9. Zavřete editor registru a všechna ostatní okna, která odkazují na soubory v nástroji C:\Mount.

10. Odpojte spouštěcí bitovou kopii a potvrďte změny. Například DISM /Unmount-image /Commit /MountDir:C:\Mount

Spouštěcí bitová kopie teď obsahuje důvěryhodný kořenový certifikát.

Další kroky

Monitorování nasazení operačního systému

Správa pořadí úkolů pro automatizaci úloh