Felügyeleti szolgáltatás beállítása a Configuration Manager

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Az ebben a cikkben ismertetett lépésekkel állítsa be a felügyeleti szolgáltatást az SMS-szolgáltatón. A kezdés előtt olvassa el a felügyeleti szolgáltatás előfeltételeit.

Biztonságos HTTPS-kommunikáció engedélyezése

Konfigurálja úgy a felügyeleti szolgáltatást, hogy biztonságos HTTPS-kapcsolatot használjon a hálózaton áthaladó adatok védelméhez.

A 2010-es verziótól kezdve nem kell engedélyeznie az IIS-t az SMS-szolgáltatón a felügyeleti szolgáltatáshoz. A webhely létrehoz egy önaláírt tanúsítványt az SMS-szolgáltatóhoz, és automatikusan köti azt IIS nélkül. Ha korábban már telepítette az IIS-t az SMS-szolgáltatóra, eltávolíthatja. Ezután indítsa újra a SMS_REST_PROVIDER összetevőt. Ne feledje, hogy meg kell nyitnia a 443-as HTTPS-portot a tűzfalon.

A felügyeleti szolgáltatás automatikusan a hely önaláírt tanúsítványát használja. Ez a viselkedés segít csökkenteni a súrlódást az adminisztrációs szolgáltatás könnyebb használata érdekében. A webhely mindig létrehozza ezt a tanúsítványt. A felügyeleti szolgáltatás figyelmen kívül hagyja a Bővített HTTP-hely beállítást, mivel mindig a hely tanúsítványát használja akkor is, ha más helyrendszer nem használ Bővített HTTP-t. Továbbra is köthet manuálisan PKI-alapú kiszolgálóhitelesítő tanúsítványt. Ha már kötött egy PKI-tanúsítványt az SMS-szolgáltató kiszolgálójának 443-as portjához, a felügyeleti szolgáltatás ezt a meglévő tanúsítványt használja.

Kiszolgálóhitelesítési tanúsítvány használata

Megjegyzés:

Alapértelmezés szerint a felügyeleti szolgáltatás automatikusan a hely önaláírt tanúsítványát használja. Továbbra is köthet manuálisan PKI-alapú kiszolgálóhitelesítő tanúsítványt. A PKI-alapú tanúsítvány kötése előtt manuálisan szüntesse meg a hely önaláírt tanúsítványának kötését az SMS-szolgáltató 443-at futtató portjáról.

A kiszolgálóhitelesítési tanúsítvány használatának két elsődleges módja van:

  • A szervezet nyilvános kulcsú infrastruktúrájából (PKI)

    • Ha a környezet már rendelkezik PKI-vel, a használatával kibocsáthat egy kiszolgálói hitelesítési tanúsítványt az SMS-szolgáltató számára. Ez a tanúsítvány hasonló ahhoz a tanúsítványhoz, amelyet egy felügyeleti ponthoz vagy terjesztési ponthoz használna. További információ: PKI-tanúsítványkövetelmények.

    • A legtöbb vállalati PKI-implementáció hozzáadja a megbízható legfelső szintű hitelesítésszolgáltatókat a Windows-ügyfelekhez. Például az Active Directory tanúsítványszolgáltatások használata csoportházirenddel. Ha olyan hitelesítésszolgáltatótól adja ki a tanúsítványt, amelyet az ügyfelek nem bíznak meg automatikusan, adja hozzá a hitelesítésszolgáltató megbízható főtanúsítványát az ügyfelekhez. Ezt a megbízhatósági kapcsolatot csak azoknak az ügyfeleknek alkalmazhatja, amelyeknek hozzá kell férnie a felügyeleti szolgáltatáshoz.

  • Használjon nyilvános és globálisan megbízható tanúsítványszolgáltatótól származó tanúsítványt. A Windows-ügyfelek megbízható legfelső szintű hitelesítésszolgáltatókat (CA-kat) tartalmaznak ezektől a szolgáltatóktól. Az egyik szolgáltató által kiadott kiszolgálóhitelesítési tanúsítvány használatával az ügyfelek automatikusan megbíznak benne.

Ha már rendelkezik kiszolgálói hitelesítési tanúsítvánnyal az SMS-szolgáltatóhoz, manuálisan kell azt az SMS-szolgáltatói szerepkört futtató kiszolgálón lévő IIS 443-as portjához kötnie.

Először adja hozzá a tanúsítványt a kiszolgálóhoz. Importálja a tanúsítványt a helyi gép Személyes tárolójába. Ezután az alábbi lehetőségek egyikével kösse össze a tanúsítványt:

A tanúsítvány kötése az IIS-sel

Ha az SMS-szolgáltatói szerepkörrel rendelkező kiszolgáló rendelkezik az IIS felügyeleti konzollal, használja a Kötések szerkesztése műveletet az alapértelmezett webhelyen. Adja hozzá a 443-at, és adja meg a tanúsítványt a gép tanúsítványtárolójából.

Megjegyzés:

Az SMS-szolgáltató szerepkörhöz nincs szükség IIS-ra. Ez az eljárás az IIS-konzolt használja a tanúsítvány kötéséhez. Ezek a tanúsítványkötések a gépre vonatkoznak, nem egy adott szolgáltatásra.

A tanúsítvány kötése a netsh-val

A tanúsítvány kötéséhez használja a netsh parancssort:

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

Ahol <thumbprint> a telepített tanúsítvány ujjlenyomata, a pedig <GUID> egy véletlenszerű GUID.

Tipp

A Windows PowerShell parancsmaggal New-Guid véletlenszerű GUID-azonosítót hozhat létre.

Például:

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

Internet-hozzáférés engedélyezése

A felügyeleti szolgáltatást csak a helyszínen használhatja, vagy engedélyezheti a hozzáférést a felhőfelügyeleti átjárón (CMG) keresztül. Egyes forgatókönyvek esetében az adminisztrációs szolgáltatáshoz az internetről kell hozzáférni, például bérlői csatolást vagy alkalmazás-jóváhagyást e-mailben.

Mielőtt konfigurálhatja az SMS-szolgáltatót a CMG-forgalom engedélyezésére, először állítson be egy CMG-t. További információ: A CMG áttekintése.

Ezután az alábbi eljárással engedélyezze a felügyeleti szolgáltatást a CMG-vel:

  1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Kiszolgálók és helyrendszerszerepkörök csomópontot.

  2. Válassza ki az SMS-szolgáltató szerepkörrel rendelkező kiszolgálót.

    Tipp

    A menüszalag Kezdőlap lapján válassza a Szerepkörrel rendelkező kiszolgálók , majd az SMS-szolgáltató lehetőséget. Ez a művelet megjeleníti az adott szerepkörrel rendelkező helyrendszereket.

  3. A részletek ablaktáblán válassza az SMS-szolgáltató szerepkört, majd a Webhelyszerepkörök lap menüszalagján válassza a Tulajdonságok lehetőséget.

  4. Válassza Configuration Manager felhőfelügyeleti átjáró forgalmának engedélyezése felügyeleti szolgáltatás számára beállítást.

Ha az internetről szeretné elérni a felügyeleti szolgáltatást, cserélje le az SMS-szolgáltató teljes tartománynevét a CMG-végpontra. Például:

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

Tipp

A végpont értékének lekéréséhez kövesse az alábbi lépéseket:

  • Hozzon létre egy CMG-t. További információ: CMG beállítása.

  • Egy aktív ügyfélen nyisson meg egy Windows PowerShell parancssort rendszergazdaként.

  • Futtassa az alábbi parancsot:

    (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP

Konzolhasználat engedélyezése

Megjegyzés:

A 2111-es verziótól kezdve a Configuration Manager konzol felügyeleti szolgáltatás használatának engedélyezése beállítás el lesz távolítva. A felügyeleti szolgáltatás mindig be van kapcsolva, így a konzol szükség esetén használni fogja.

Engedélyezze a Configuration Manager konzol egyes csomópontjait a felügyeleti szolgáltatás használatához. Ez a módosítás lehetővé teszi, hogy a konzol a WMI helyett HTTPS-en keresztül kommunikáljon az SMS-szolgáltatóval.

  1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot. A menüszalagon válassza a Hierarchiabeállítások lehetőséget.

  2. Az Általános lapon válassza a Felügyeleti szolgáltatás használatának engedélyezése az Configuration Manager konzolon beállítást.

Ez a módosítás csak az Adminisztráció munkaterület Biztonság csomópontjának alábbi csomópontjait érinti:

  • Rendszergazda felhasználók
  • Biztonsági szerepkörök
  • Biztonsági hatókörök
  • Konzolkapcsolatok

Ha kiválasztja az egyik csomópontot, a következő hibaüzenet jelenik meg:

Configuration Manager nem tud csatlakozni a felügyeleti szolgáltatáshoz

Tekintse át a hiba alatti információkat. Ezután ellenőrizze, hogy a felügyeleti szolgáltatás engedélyezve, konfigurálva és működőképes-e. További információkért, beleértve az áttekintendő naplófájlokat, tekintse meg az Ellenőrzés szakaszt.

Ellenőrizze

Amikor a hely telepíti a felügyeleti szolgáltatást, naplózza a tevékenységet a RESTPROVIDERSetup.log fájlba a Configuration Manager telepítési könyvtárban. Alapértelmezés szerint ez az elérési út.C:\Program Files\Microsoft Configuration Manager\logs

A webhely nyomon követi a felügyeleti szolgáltatás állapotát a SMS_REST_PROVIDER.log fájlban. Láthatja a szolgáltatás indítását és a tanúsítványra vonatkozó információkat.

Tesztelje a felügyeleti szolgáltatást egy egyszerű lekérdezéssel egy webböngészőben, például:

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

A felügyeleti szolgáltatás naplózza a tevékenységét az adminservice.log fájlba az SMS Provider-kiszolgálón a Configuration Manager telepítési könyvtárában.

A fenti metaadat-lekérdezés esetében a naplófájl a következő sorokat jeleníti meg:

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

Következő lépések

A felügyeleti szolgáltatás használata