Plánování probuzení klientů v Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Configuration Manager podporuje tradiční pakety probuzení, které probouzejí počítače v režimu spánku, když chcete nainstalovat požadovaný software, jako jsou aktualizace softwaru a aplikace.

Poznámka

Tento článek popisuje, jak funguje starší verze funkce Wake on LAN. Tato funkce stále existuje v Configuration Manager verzi 1810, která zahrnuje také novější verzi funkce Wake on LAN. Obě verze funkce Wake on LAN je možné a v mnoha případech budou povoleny současně. Další informace o tom, jak funguje nová verze funkce Wake on LAN od verze 1810 a povolení jedné nebo obou verzí, najdete v tématu Konfigurace funkce Wake on LAN.

Jak probudit klienty v Configuration Manager

Configuration Manager podporuje tradiční pakety probuzení, které probouzejí počítače v režimu spánku, když chcete nainstalovat požadovaný software, jako jsou aktualizace softwaru a aplikace.

Tradiční metodu paketů probuzení můžete doplnit pomocí nastavení klienta proxy probuzení. Proxy probuzení používá protokol peer-to-peer a zvolené počítače ke kontrole, jestli jsou ostatní počítače v podsíti probuzené, a v případě potřeby je probudit. Pokud je lokalita nakonfigurovaná pro funkci Wake On LAN a klienti jsou nakonfigurováni pro proxy probuzení, proces funguje takto:

  1. Počítače s nainstalovaným klientem Configuration Manager, které nejsou v režimu spánku v podsíti, kontrolují, jestli jsou ostatní počítače v podsíti probuzené. Tuto kontrolu provádí tak, že si navzájem každých pět sekund odesílají příkaz ping protokolu TCP/IP.

  2. Pokud se nezobrazí žádná odpověď z jiných počítačů, předpokládá se, že jsou v režimu spánku. Počítače, které jsou probuzené, se stanou počítačem správce podsítě.

    Protože je možné, že počítač nereaguje z jiného důvodu, než je v režimu spánku (například je vypnutý, odebraný ze sítě nebo už není použito nastavení klienta pro probuzení proxy serveru), jsou počítače každý den ve 2:00 místního času odeslány pakety probuzení. U počítačů, které nereagují, se už nebude předpokládat, že jsou v režimu spánku a proxy probuzení je neprobudí.

    Aby bylo možné podporovat proxy probuzení, musí být pro každou podsíť probuzeny alespoň tři počítače. K dosažení tohoto požadavku jsou pro podsíť ne deterministicky zvoleny tři počítače, které jsou strážci . Tento stav znamená, že po určité době nečinnosti zůstanou vzhůru bez ohledu na nakonfigurované zásady napájení na režim spánku nebo hibernace. Počítače Strážce dodržují příkazy pro vypnutí nebo restartování, například v důsledku úloh údržby. Pokud k této akci dojde, zbývající počítače strážce probudí jiný počítač v podsíti, aby podsíť měla i nadále tři opatrovníky.

  3. Počítače správce žádají síťový přepínač o přesměrování síťového provozu pro počítače v režimu spánku na sebe.

    Přesměrování je dosaženo tím, že vedoucí počítač vysílá ethernetový rámec, který jako zdrojovou adresu používá adresu MAC spícího počítače. Díky tomuto chování se síťový přepínač chová, jako by se počítač v režimu spánku přesunul na stejný port, na který je počítač správce. Počítač správce také odesílá pakety protokolu ARP pro počítače v režimu spánku, aby byla položka v mezipaměti protokolu ARP aktuální. Počítač správce také reaguje na požadavky protokolu ARP jménem počítače v režimu spánku a odpovídá s adresou MAC počítače v režimu spánku.

    Upozornění

    Během tohoto procesu zůstane mapování IP-to-MAC pro počítač v režimu spánku stejné. Proxy probuzení funguje tak, že síťový přepínač informuje, že port zaregistrovaný jiným síťovým adaptérem používá jiný síťový adaptér. Toto chování se však označuje jako záklopka MAC a je neobvyklé pro standardní síťové operace. Některé nástroje pro monitorování sítě toto chování hledají a můžou předpokládat, že je něco špatně. V důsledku toho můžou tyto nástroje pro monitorování generovat výstrahy nebo vypnout porty při použití proxy probuzení.

    Pokud nástroje a služby pro monitorování sítě nepovolují klapky MAC, nepoužívejte proxy probuzení.

  4. Když se v počítači správce zobrazí nová žádost o připojení TCP pro počítač v režimu spánku a požadavek je na portu, na který naslouchal počítač v režimu spánku před tím, než přešel do režimu spánku, odešle tento počítač paket probuzení do počítače v režimu spánku a pak zastaví přesměrování provozu pro tento počítač.

  5. Počítač v režimu spánku přijme paket probuzení a probudí se. Odesílající počítač automaticky opakuje připojení a tentokrát je počítač probuzený a může reagovat.

    Proxy probuzení má následující požadavky a omezení:

Důležité

Pokud máte samostatný tým, který zodpovídá za síťovou infrastrukturu a síťové služby, informujte ho a zahrňte ho do období hodnocení a testování. Například v síti, která používá řízení přístupu k síti 802.1X, nebude proxy probuzení fungovat a může narušit síťovou službu. Proxy probuzení může navíc způsobit, že některé nástroje pro monitorování sítě generují výstrahy, když nástroje detekují provoz do probuzení jiných počítačů.

  • Funkce Wake On LAN podporuje všechny operační systémy Windows uvedené jako podporovaní klienti v části Podporované operační systémy pro klienty a zařízení .

  • Hostující operační systémy, které běží na virtuálním počítači, se nepodporují.

  • Klienti musí mít povolený proxy probuzení pomocí nastavení klienta. Přestože operace proxy probuzení nezávisí na inventáři hardwaru, klienti nehlásí instalaci služby proxy probuzení, pokud nemají povolený inventář hardwaru a neodeslají alespoň jeden inventář hardwaru.

  • Síťové adaptéry (a možná i systém BIOS) musí být povolené a nakonfigurované pro pakety probuzení. Pokud síťový adaptér není nakonfigurovaný pro pakety probuzení nebo je toto nastavení zakázané, Configuration Manager ho automaticky nakonfiguruje a povolí pro počítač, když obdrží nastavení klienta pro povolení proxy probuzení.

  • Pokud má počítač více než jeden síťový adaptér, nemůžete nakonfigurovat adaptér, který se má použít pro proxy probuzení. volba není deterministická. Zvolený adaptér je však zaznamenán v souboru SleepAgent_<DOMAIN>@SYSTEM_0.log.

  • Síť musí umožňovat požadavky na odezvu PROTOKOLU ICMP (alespoň v rámci podsítě). Nelze nakonfigurovat pětisekundový interval, který se používá k odesílání příkazů ping protokolu ICMP.

  • Komunikace je nešifrovaná a neověřená a protokol IPsec se nepodporuje.

  • Následující konfigurace sítě nejsou podporovány:

    • 802.1X s ověřováním portu

    • Bezdrátové sítě

    • Síťové přepínače, které sváže adresy MAC s konkrétními porty

    • Sítě jen s protokolem IPv6

    • Doba zapůjčení DHCP kratší než 24 hodin

Pokud chcete probudit počítače pro plánovanou instalaci softwaru, musíte nakonfigurovat každou primární lokalitu tak, aby používala pakety probuzení.

Pokud chcete použít proxy probuzení, musíte kromě konfigurace primární lokality nasadit nastavení klienta proxy probuzení power management.

Rozhodněte se, jestli chcete použít pakety všesměrového vysílání směrované do podsítě nebo jednosměrové pakety a jaké číslo portu UDP použít. Ve výchozím nastavení se tradiční pakety probuzení přenášejí pomocí portu UDP 9, ale pokud chcete zvýšit zabezpečení, můžete vybrat alternativní port pro lokalitu, pokud je tento alternativní port podporován zasahujícími směrovači a bránami firewall.

Volba mezi jednosměrovým vysíláním a Subnet-Directed vysíláním pro wake-on-LAN

Pokud jste se rozhodli probudit počítače odesíláním tradičních paketů probuzení, musíte se rozhodnout, jestli chcete přenášet pakety jednosměrového vysílání nebo pakety všesměrového vysílání s přímým přístupem podsítě. Pokud používáte proxy probuzení, musíte použít pakety jednosměrového vysílání. V opačném případě použijte následující tabulku, která vám pomůže určit, kterou metodu přenosu zvolit.

Způsob přenosu Výhodu Nevýhodou
Vysílání unicast Bezpečnější řešení než všesměrová vysílání zaměřená na podsíť, protože paket se odesílá přímo do počítače, a ne do všech počítačů v podsíti.

Nemusí vyžadovat rekonfiguraci směrovačů (možná budete muset nakonfigurovat mezipaměť protokolu ARP).

Spotřebovává méně šířky pásma sítě než přenosy všesměrového vysílání řízeného podsítí.

Podporováno s protokoly IPv4 a IPv6.		 Pakety probuzení nenajdou cílové počítače, které po posledním plánu inventáře hardwaru změnily adresu podsítě.

Přepínače možná budou muset být nakonfigurované tak, aby předávaly pakety UDP.

Některé síťové adaptéry nemusí reagovat na pakety probuzení ve všech stavech spánku, pokud jako metodu přenosu používají jednosměrové vysílání.
Subnet-Directed Broadcast Vyšší úspěšnost než jednosměrové vysílání, pokud máte počítače, které často mění svou IP adresu ve stejné podsíti.

Není nutná žádná rekonfigurace přepínače.

Vysoká míra kompatibility s počítačovými adaptéry pro všechny stavy spánku, protože všesměrová vysílání řízená podsítí byla původní metodou přenosu pro odesílání paketů probuzení.		 Méně bezpečné řešení než použití jednosměrového vysílání, protože útočník by mohl odesílat průběžné streamy požadavků na ozvěnu ICMP z padělané zdrojové adresy na adresu směrového vysílání. To způsobí, že všichni hostitelé budou odpovídat na tuto zdrojovou adresu. Pokud jsou směrovače nakonfigurované tak, aby povolovaly všesměrová vysílání zaměřená na podsíť, doporučujeme z bezpečnostních důvodů provést další konfiguraci:

– Pomocí zadaného čísla portu UDP nakonfigurujte směrovače tak, aby umožňovaly ze serveru Configuration Manager lokality pouze všesměrová vysílání směrovaná na ip adresu.
– Nakonfigurujte Configuration Manager tak, aby používal zadané jiné než výchozí číslo portu.

Může vyžadovat rekonfiguraci všech zasahujících směrovačů k povolení všesměrového vysílání řízeného podsítí.

Spotřebovává větší šířku pásma sítě než jednosměrové přenosy.

Podporováno pouze s protokolem IPv4; Protokol IPv6 se nepodporuje.

Upozornění

S všesměrovými vysíláními řízenými podsítě jsou spojená bezpečnostní rizika: Útočník by mohl odesílat průběžné streamy požadavků na ozvěnu protokolu ICMP (Internet Control Message Protocol) z padělané zdrojové adresy na adresu směrované všesměrové vysílání, což způsobí, že na tuto zdrojovou adresu budou odpovídat všichni hostitelé. Tento typ útoku na odepření služby se obvykle označuje jako útok šmoul a obvykle je zmírněn tím, že se nepovolují všesměrová vysílání zaměřená na podsíť.