Ügyfelek felébresztési módjának megtervezve a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
Configuration Manager támogatja a hagyományos ébresztési csomagokat, amelyek alvó módban felébresztik a számítógépeket, ha telepíteni szeretné a szükséges szoftvereket, például a szoftverfrissítéseket és az alkalmazásokat.
Megjegyzés:
Ez a cikk azt ismerteti, hogyan működik a Helyi ébresztés régebbi verziója. Ez a funkció továbbra is létezik Configuration Manager 1810-es verziójában, amely a Helyi ébresztés újabb verzióját is tartalmazza. A hálózati ébresztés mindkét verziója egyszerre engedélyezhető és sok esetben engedélyezve lesz. Az 1810-es verziótól kezdődően és mindkét verzió engedélyezésével kapcsolatos további információkért lásd: A hálózati ébresztés konfigurálása.
Ügyfelek felébresztésére Configuration Manager
Configuration Manager támogatja a hagyományos ébresztési csomagokat, amelyek alvó módban felébresztik a számítógépeket, ha telepíteni szeretné a szükséges szoftvereket, például a szoftverfrissítéseket és az alkalmazásokat.
A hagyományos ébresztési csomag módszerét az ébresztési proxy ügyfélbeállításai segítségével egészítheti ki. Az ébresztési proxy társközi protokollt és választott számítógépeket használ annak ellenőrzésére, hogy az alhálózat többi számítógépe ébren van-e, és szükség esetén felébreszti őket. Ha a hely hálózati ébresztéshez van konfigurálva, és az ügyfelek ébresztési proxyhoz vannak konfigurálva, a folyamat a következőképpen működik:
Az alhálózaton nem alvó Configuration Manager-ügyféllel rendelkező számítógépek ellenőrzik, hogy az alhálózat többi számítógépe ébren van-e. Ezt az ellenőrzést úgy végzik el, hogy öt másodpercenként küldenek egymásnak egy TCP/IP ping parancsot.
Ha más számítógépek nem válaszolnak, a rendszer azt feltételezi, hogy alvó állapotban vannak. Az ébren lévő számítógépek lesznek az alhálózat kezelőszámítógépei .
Mivel lehetséges, hogy egy számítógép nem válaszol az alvó állapotától eltérő okból (például ki van kapcsolva, eltávolítja a hálózatról, vagy a proxy ébresztési ügyfélbeállítása már nincs alkalmazva), a számítógépek minden nap helyi idő szerint 14:00-kor kapnak ébresztési csomagot. Azok a számítógépek, amelyek nem válaszolnak, a továbbiakban nem lesznek alvó állapotban, és nem ébrednek fel ébresztési proxyval.
Az ébresztési proxy támogatásához minden alhálózathoz legalább három számítógépnek ébren kell lennie. Ennek a követelménynek a teljesítéséhez három számítógépet nem determinisztikusan választanak ki az alhálózat gondnokának . Ez az állapot azt jelenti, hogy ébren maradnak, annak ellenére, hogy a konfigurált energiaszabályzat alvó vagy hibernált állapotba kerül egy inaktivitási időszak után. Az őrző számítógépek betartják a leállítási vagy újraindítási parancsokat, például karbantartási feladatok miatt. Ha ez a művelet történik, a fennmaradó gondnok számítógépek felébresztenek egy másik számítógépet az alhálózaton, hogy az alhálózat továbbra is három őrző számítógéppel rendelkezzen.
A kezelőszámítógépek megkérik a hálózati kapcsolót, hogy az alvó számítógépek hálózati forgalmát magukra irányítsák.
Az átirányítást a felettes számítógép egy Ethernet-kerettel irányítja, amely az alvó számítógép MAC-címét használja forráscímként. Ez a viselkedés úgy viselkedik a hálózati kapcsolón, mintha az alvó számítógép ugyanarra a portra váltott volna, mint amelyen a kezelőszámítógép van. A kezelőszámítógép ARP-csomagokat is küld az alvó számítógépeknek, hogy a bejegyzés friss maradjon az ARP-gyorsítótárban. A kezelőszámítógép az alvó számítógép nevében is válaszol az ARP-kérelmekre, és az alvó számítógép MAC-címével válaszol.
Figyelmeztetés
A folyamat során az alvó számítógép IP-ről MAC-re történő leképezése változatlan marad. Az ébresztési proxy úgy működik, hogy tájékoztatja a hálózati kapcsolót arról, hogy egy másik hálózati adapter egy másik hálózati adapter által regisztrált portot használ. Ez a viselkedés azonban MAC flap néven ismert, és szokatlan a szokásos hálózati műveletekhez. Egyes hálózatmonitorozási eszközök ezt a viselkedést keresik, és feltételezhetik, hogy valami nincs rendben. Emiatt ezek a monitorozási eszközök riasztásokat generálhatnak vagy portokat állíthatnak le ébresztési proxy használatakor.
Ne használjon ébresztési proxyt, ha a hálózatfigyelő eszközök és szolgáltatások nem engedélyezik a MAC-jelzőket.
Amikor egy kezelőszámítógép új TCP-kapcsolati kérést lát egy alvó számítógéphez, és a kérés egy olyan portra irányul, amelyen az alvó számítógép alvó állapotba került, a kezelőszámítógép ébresztési csomagot küld az alvó számítógépnek, majd leállítja a számítógép forgalmának átirányítását.
Az alvó számítógép fogadja az ébresztési csomagot, és felébred. A küldő számítógép automatikusan újrapróbálja a kapcsolatot, és ezúttal a számítógép ébren van, és válaszolhat.
Az ébresztési proxy az alábbi előfeltételekkel és korlátozásokkal rendelkezik:
Fontos
Ha egy külön csapat felelős a hálózati infrastruktúráért és a hálózati szolgáltatásokért, értesítse és vegye fel ezt a csapatot a kiértékelési és tesztelési időszak során. A 802.1X hálózati hozzáférés-vezérlést használó hálózatokon például az ébresztési proxy nem működik, és megzavarhatja a hálózati szolgáltatást. Emellett az ébresztési proxy egyes hálózatmonitorozási eszközök riasztásokat generálhatnak, amikor az eszközök észlelik, hogy a forgalom felébreszti a többi számítógépet.
Az ügyfelek és eszközök támogatott operációs rendszerei között támogatott ügyfélként felsorolt windowsos operációs rendszerek mindegyike támogatott a helyi hálózati ébresztéshez.
A virtuális gépen futó vendég operációs rendszerek nem támogatottak.
Az ügyfeleknek engedélyezni kell az ébresztési proxyt az ügyfélbeállítások használatával. Bár az ébresztési proxyművelet nem függ a hardverleltártól, az ügyfelek nem jelentik az ébresztési proxy szolgáltatás telepítését, kivéve, ha engedélyezve vannak a hardverleltárhoz, és legalább egy hardverleltárt küldtek be.
A hálózati adaptereket (és esetleg a BIOS-t) engedélyezni és konfigurálni kell ébresztési csomagokhoz. Ha a hálózati adapter nincs konfigurálva ébresztési csomagokhoz, vagy ez a beállítás le van tiltva, Configuration Manager automatikusan konfigurálja és engedélyezi a számítógép számára, amikor megkapja az ébresztési proxy engedélyezésére vonatkozó ügyfélbeállítást.
Ha egy számítógép több hálózati adapterrel is rendelkezik, nem konfigurálhatja, hogy melyik adaptert használja ébresztési proxyhoz; a választás nem determinisztikus. A kiválasztott adaptert azonban a rendszer a SleepAgent_<DOMAIN>@SYSTEM_0.log fájlban rögzíti.
A hálózatnak engedélyeznie kell az ICMP echo kéréseket (legalább az alhálózaton belül). Nem konfigurálhatja az ICMP pingparancsok küldéséhez használt öt másodperces időközt.
A kommunikáció titkosítatlan és hitelesítés nélküli, és az IPsec nem támogatott.
A következő hálózati konfigurációk nem támogatottak:
802.1X porthitelesítéssel
Vezeték nélküli hálózatok
Hálózati kapcsolók, amelyek a MAC-címeket adott portokhoz kötik
Csak IPv6-alapú hálózatok
A DHCP-bérlet időtartama 24 óránál rövidebb
Ha az ütemezett szoftvertelepítéshez szeretné felébreszteni a számítógépeket, minden elsődleges helyet úgy kell konfigurálnia, hogy ébresztési csomagokat használjon.
Az ébresztési proxy használatához az elsődleges hely konfigurálása mellett telepítenie kell az energiagazdálkodás ébresztési proxyjának ügyfélbeállítását is.
Döntse el, hogy alhálózat által irányított szórási csomagokat vagy egyedi küldésű csomagokat használjon-e, és hogy milyen UDP-portszámot használjon. Alapértelmezés szerint a hagyományos ébresztési csomagok továbbítása 9-as UDP-porton keresztül történik, de a biztonság növelése érdekében választhat másik portot a helyhez, ha ezt az alternatív portot a beavatkozó útválasztók és tűzfalak támogatják.
Válassza az Egyedi küldés és a Subnet-Directed közvetítés lehetőséget a helyi ébresztéshez
Ha úgy döntött, hogy a hagyományos ébresztési csomagok küldésével ébreszti fel a számítógépeket, el kell döntenie, hogy egyedi küldésű csomagokat vagy alhálózati közvetlen szórású csomagokat küld-e. Ha ébresztési proxyt használ, egyedi küldésű csomagokat kell használnia. Ellenkező esetben az alábbi táblázat segítségével meghatározhatja, hogy melyik átviteli módszert válassza.
| Átviteli módszer | Előny | Hátránya |
|---|---|---|
| Egyedi | Biztonságosabb megoldás, mint az alhálózat által irányított szórások, mivel a csomag közvetlenül egy számítógépre lesz elküldve az alhálózat összes számítógépe helyett. Előfordulhat, hogy nem szükséges újrakonfigurálni az útválasztókat (előfordulhat, hogy konfigurálnia kell az ARP-gyorsítótárat). Kevesebb hálózati sávszélességet használ, mint az alhálózat által irányított szórásos átvitelek. Az IPv4 és az IPv6 támogatja. |
Az ébresztési csomagok nem találják azokat a célszámítógépeket, amelyek módosították az alhálózati címüket a legutóbbi hardverleltár-ütemezés után. Előfordulhat, hogy kapcsolókat kell konfigurálni az UDP-csomagok továbbításához. Előfordulhat, hogy egyes hálózati adapterek nem válaszolnak az ébresztési csomagokra minden alvó állapotban, ha egyedi küldést használnak átviteli módszerként. |
| Subnet-Directed Broadcast | Nagyobb sikerességi arány az egyedi küldésnél, ha olyan számítógépekkel rendelkezik, amelyek gyakran módosítják az IP-címüket ugyanabban az alhálózatban. Nincs szükség kapcsoló-újrakonfigurálásra. Magas kompatibilitási arány a számítógép-adapterekkel minden alvó állapot esetén, mivel az alhálózat által irányított szórások voltak az ébresztési csomagok küldésének eredeti átviteli módja. |
Kevésbé biztonságos megoldás, mint az egyedi küldés használata, mert egy támadó folyamatos ICMP echo-kéréseket küldhet egy hamisított forráscímről az irányított szórási címre. Emiatt az összes gazdagép válaszol erre a forráscímre. Ha az útválasztók úgy vannak konfigurálva, hogy engedélyezve legyenek az alhálózat által irányított szórások, a további konfiguráció biztonsági okokból ajánlott: – Konfigurálja úgy az útválasztókat, hogy csak AZ IP-cím által irányított szórásokat engedélyezzenek a Configuration Manager helykiszolgálóról egy megadott UDP-portszám használatával. – Konfigurálja a Configuration Manager a megadott nem alapértelmezett portszám használatára. Az alhálózat által irányított szórások engedélyezéséhez szükség lehet az összes beavatkozó útválasztó újrakonfigurálására. Nagyobb hálózati sávszélességet használ, mint az egyedi küldésű átvitelek. Csak IPv4-ekkel támogatott; Az IPv6 nem támogatott. |
Figyelmeztetés
Az alhálózat által irányított közvetítésekhez biztonsági kockázatok tartoznak: A támadók folyamatos streameket küldhetnek az Internet Control Message Protocol (ICMP) echo kéréseiből egy hamisított forráscímről az irányított szórási címre, ami miatt az összes gazdagép válaszolhat erre a forráscímre. Az ilyen típusú szolgáltatásmegtagadásos támadást általában törptámadásnak nevezik, és általában úgy csökkentik, hogy nem engedélyezik az alhálózat által irányított közvetítéseket.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: