Configurar o gateway de gestão da nuvem para o Configuration ManagerSet up cloud management gateway for Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

O processo de configuração de gateway de gestão da nuvem no Configuration Manager a partir na versão 1610, inclui os seguintes passos:Beginning in version 1610, the process for setting up cloud management gateway in Configuration Manager includes the following steps:

Passo 1: Configurar certificados necessáriosStep 1: Configure required certificates

Opção 1 (preferencial) - utilize o certificado de autenticação de servidor a partir de um fornecedor de certificado pública e globalmente fidedigna (como o VeriSign)Option 1 (preferred) - Use the server authentication certificate from a public and globally trusted certificate provider (like VeriSign)

Quando utiliza este método, os clientes serão automaticamente confiar no certificado e não é necessário criar um certificado SSL personalizado se.When you use this method, clients will automatically trust the certificate, and you do not need to create a custom SSL certificate yourself.

  1. Crie um registo de nome canónico (CNAME) no serviço de nomes de domínio público da sua organização (DNS) para criar um alias para o serviço de gateway de gestão de nuvem para um nome amigável, que será utilizado no certificado público.Create a canonical name record (CNAME) in your organization’s public domain name service (DNS) to create an alias for the cloud management gateway service to a friendly name that will be used in the public certificate. Por exemplo, Contoso nomes respetivo serviço de nuvem management gateway GraniteFalls que no Azure será GraniteFalls.CloudApp.Net.For example, Contoso names their cloud management gateway service GraniteFalls which in Azure will be GraniteFalls.CloudApp.Net. Na público contoso.com espaço de nomes DNS da Contoso, o administrador DNS cria um novo registo CNAME para GraniteFalls.Contoso.com para o nome de anfitrião real, GraniteFalls.CloudApp.net.In Contoso’s public DNS contoso.com namespace, the DNS administrator creates a new CNAME record for GraniteFalls.Contoso.com for the real host name , GraniteFalls.CloudApp.net.
  2. Junto pedir um certificado de autenticação de servidor a partir de um fornecedor público utilizando o nome comum (CN) de CNAME alias.Next request a server authentication certificate from a public provider using the Common Name (CN) of the CNAME alias. Por exemplo, Contoso utiliza GraniteFalls.Contoso.com para o CN do certificado.For example, Contoso uses GraniteFalls.Contoso.com for the certificate CN.
  3. Crie o serviço de gateway de gestão em nuvem na consola do Configuration Manager utilizando este certificado.Create the cloud management gateway service in the Configuration Manager console using this certificate.
    • No definições página do assistente criar nuvem gestão Gateway ao adicionar o certificado de servidor para este serviço em nuvem (a partir de ficheiro de certificado), o assistente irá extrair o nome de anfitrião do certificado CN como o nome do serviço e, em seguida, acrescentar esta opção para cloudapp.net (ou usgovcloudapp.net para a nuvem do Azure-nos para a administração pública) como o FQDN de serviço para criar o serviço no Azure.On the Settings page of the Create Cloud Management Gateway Wizard when you add the server certificate for this cloud service (from Certificate file), the wizard will extract the hostname from the certificate CN as the service name, and then append that to cloudapp.net (or usgovcloudapp.net for the Azure US Government cloud) as the Service FQDN to create the service in Azure. Por exemplo, quando criar o gateway de gestão da nuvem Contoso, o nome de anfitrião GraniteFalls é extraída do certificado da CN, para que o serviço real do Azure seja criado como GraniteFalls.CloudApp.net.For example, when creating the cloud management gateway at Contoso, the hostname GraniteFalls is extracted from the certificate CN, so that the actual service in Azure is created as GraniteFalls.CloudApp.net.

Opção 2 - criar um certificado SSL personalizado para o gateway de gestão da nuvem da mesma forma idêntica de um ponto de distribuição baseado na nuvemOption 2 - Create a custom SSL certificate for cloud management gateway in the same way as for a cloud-based distribution point

Pode criar um certificado SSL personalizado para o gateway de gestão da nuvem da mesma forma que faria fazê-lo para um ponto de distribuição baseado na nuvem.You can create a custom SSL certificate for cloud management gateway in the same way you would do it for a cloud-based distribution point. Siga as instruções para implementar o certificado de serviço para pontos de distribuição baseado na nuvem mas efetuar o seguinte diferente:Follow the instructions for Deploying the Service Certificate for Cloud-Based Distribution Points but do the following things differently:

  • Quando configurar o novo modelo de certificado, dar * * leitura * * e inscrever permissões para o grupo de segurança que configurou para servidores do Configuration Manager.When setting up the new certificate template, give Read **and **Enroll permissions to the security group that you set up for Configuration Manager servers.
  • Quando pedir o certificado de servidor web personalizado, fornecer um FQDN para o nome comum do certificado que termina em cloudapp.net para utilizar o gateway de gestão da nuvem no Azure nuvem pública ou usgovcloudapp.net para a nuvem do Azure para a administração pública.When requesting the custom web server certificate, provide an FQDN for the certificate's common name that ends in cloudapp.net for using cloud management gateway on Azure public cloud or usgovcloudapp.net for the Azure government cloud.

Passo 2: Exportar raiz do certificado de clienteStep 2: Export the client certificate's root

A forma mais fácil obter exportação raiz dos certificados de cliente utilizado na rede, deve abrir um certificado de cliente numa das máquinas associados a um domínio que tenha uma e copie-o.The easiest way to get export the root of the client certificates used on the network, is to open a client certificate on one of the domain-joined machines that has one and copy it.

Nota

São necessários certificados de cliente em qualquer computador que pretende gerir com o gateway de gestão de nuvem e no servidor do sistema de sites que aloja o conector de gateway de gestão de nuvem ponto.Client certificates are required on any computer you want to manage with cloud management gateway and on the site system server hosting the cloud management gateway connector point. Se precisar de adicionar um certificado de cliente a qualquer uma destas máquinas, consulte o artigo implementar o cliente certificado para computadores com o Windows.If you need to add a client certificate to any of these machines, see Deploying the Client Certificate for Windows Computers.

  1. Na janela executar, escreva mmc e prima ENTER.In the Run window, type mmc and press Return.

  2. A partir do menu Ficheiro escolher Adicionar/Remover Snap-in... .From the File menu choose Add/Remove Snap-in....

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione certificados > adicionar > > conta de computador > seguinte > computador Local > concluir.In the Add or Remove Snap-ins dialog box, choose Certificates > Add > > Computer account > Next > Local computer > Finish.

  4. Aceda a certificados > pessoal > certificados.Go to Certificates > Personal > Certificates.

  5. Faça duplo clique no certificado para autenticação de cliente no computador, selecione o separador de caminho de certificação e, faça duplo clique na autoridade de raiz (na parte superior do caminho).Double-click the certificate for client authentication on the computer, choose the Certification Path tab, and double-click the root authority (at the top of the path).

  6. No separador de detalhes, selecione copiar para o ficheiro... .On the Details tab, choose Copy to File....

  7. Conclua o Assistente para exportar certificados utilizando o formato de certificado de predefinição.Complete the Certificate Export Wizard using the default certificate format. Certifique nota do nome e a localização do certificado de raiz que cria.Make note of the name and location of the root certificate you create. Irá precisar dele para configurar o gateway de gestão de nuvem num mais tarde passo.You will need it to configure cloud management gateway in a later step.

Passo 3: Carregar o certificado de gestão para o AzureStep 3: Upload the management certificate to Azure

Um certificado de gestão do Azure é necessário para o Configuration Manager para aceder à API do Azure e configurar o gateway de gestão da nuvem.An Azure management certificate is required for Configuration Manager to access the Azure API and configure cloud management gateway. Para mais informações e instruções sobre como carregar um certificado de gestão, consulte os artigos seguintes na documentação do Azure:For more information and instructions for how to upload a management certificate, see the following articles in the Azure documentation:

Importante

Certifique-se copiar o ID de subscrição associado o certificado de gestão.Make sure to copy the subscription ID associated with the management certificate. Terá de configurar o gateway de gestão da nuvem na consola do Configuration Manager no passo seguinte.You will need it for configuring cloud management gateway in the Configuration Manager console in the next step.

Certificados de AC subordinados e AzureSubordinate CA certificates and Azure

Se o certificado foi emitido por uma AC subordinada (subCA) e, a sua infraestrutura PKI enterprise não estiver na Internet, utilize este procedimento para carregar o certificado para o Azure.If your certificate is issued by a subordinate CA (subCA), and your enterprise PKI infrastructure is not on the Internet, use this procedure to upload the certificate to Azure.

  1. No portal do Azure, depois de configurar um gateway de gestão da nuvem, localize o serviço de gateway de gestão de nuvem e ir para o certificado separador.In your Azure portal, after setting up a cloud management gateway, locate the cloud management gateway service and go to the Certificate tab. Carregue o seu certificate(s) subCA existe.Upload your subCA certificate(s) there. Se tiver mais do que um certificado de subCA, terá de carregar todos eles.If you have more than one subCA cert, you need to upload all of them.
  2. Depois do certificado é carregado, registe o thumbprint.Once the certificate is uploaded, record its thumbprint.
  3. Adicione o thumbprint a base de dados do site ao utilizar este script:Add the thumbprint to site database using this script:

    DIM serviceCName
    DIM subCAThumbprints

    ' Verify arguments
    IF WScript.Arguments.Count <> 2 THEN
    WScript.StdOut.WriteLine "Usage: CScript UpdateSubCAThumbprints.vbs <ServiceCName> <SubCA cert thumbprints, separated by ;>"
    WScript.Quit 1
    END IF

    'Get arguments
    serviceCName = WScript.Arguments.Item(0)
    subCAThumbprints = WScript.Arguments.Item(1)

    'Find SMS Provider
    WScript.StdOut.WriteLine "Searching for SMS Provider for local site..."
    SET objSMSNamespace = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\sms")
    SET results = objSMSNamespace.ExecQuery("SELECT * From SMS_ProviderLocation WHERE ProviderForLocalSite = true")

    'Process the results
    FOR EACH var in results
    siteCode = var.SiteCode
    NEXT

    IF siteCode = "" THEN
    WScript.StdOut.WriteLine "Failed to locate SMS provider."
    WScript.Quit 1
    END IF

    WScript.StdOut.WriteLine "SiteCode = " & siteCode 

    ' Connect to the SMS namespace
    SET objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\sms\site_" & siteCode)

    'Get instance of SMS_AzureService
    DIM query
    query = "SELECT * From SMS_AzureService WHERE ServiceType = 'CloudProxyService' AND ServiceCName = '" & serviceCName & "'"
    WScript.StdOut.WriteLine "Run WQL query: " &  query
    SET objInstances = objWMIService.ExecQuery(query)

    IF IsNull(objInstances) OR (objInstances.Count = 0) THEN
    WScript.StdOut.WriteLine "Failed to get Azure_Service instance."
    WScript.Quit 1
    END IF

    FOR EACH var IN objInstances
    SET azService = var
    NEXT

    WScript.StdOut.WriteLine "Update [SubCACertThumbprint] to " & subCAThumbprints

    'Update SubCA cert thumbprints
    azService.Properties_.item("SubCACertThumbprint") = subCAThumbprints

    'Save data back to provider
    azService.Put_

    WScript.StdOut.WriteLine "[SubCACertThumbprint] is updated successfully."

Passo 4: Configurar o gateway de gestão da nuvemStep 4: Set up cloud management gateway

Nota

Na versão 1610, nuvem management gateway é uma funcionalidade pré-lançamento.In version 1610, cloud management gateway is a pre-release feature. Para ativá-lo, consulte o artigo utilizar funcionalidades de pré-lançamento das atualizações da.To enable it, see Use pre-release features from updates.

  1. Na consola do Configuration Manager, aceda a administração > serviços em nuvem > nuvem Management Gateway.In the Configuration Manager console, go to Administration > Cloud Services > Cloud Management Gateway.
  2. Escolher criar nuvem Management Gateway.Choose Create Cloud Management Gateway.

  3. No assistente criação de nuvem gestão de Gateway, introduza o seu ID de subscrição do Azure (copiado a partir do portal de gestão do Azure) e procure o ficheiro de certificado é utilizado para carregar como um certificado de gestão do Azure.In Create Cloud Management Gateway Wizard, enter your Azure subscription ID (copied from the Azure management portal), and browse to the certificate file you used to upload as an Azure management certificate. Escolher seguinte e, em seguida, aguarde alguns momentos para que a consola para ligar ao Azure.Choose Next and then wait a few moments for the console to connect to Azure.

  4. Preencha os detalhes adicionais no assistente:Fill out the additional details in the wizard:

    • Especifique o nome para o serviço que será executado no Azure.Specify the name for the service which will run in Azure. Nome do serviço tem de ser apenas carateres alfanuméricos e 3 e 24 carateres de comprimento.Service name must be alphanumeric characters only and 3-24 characters in length.

    • Selecione a região Azure que pretende que o serviço para serem executadas no.Choose the Azure region you want the service to run in.

    • Especifique o número de máquinas virtuais que pretende utilizar para o serviço.Specify the number of virtual machines you want to use for the service. A predefinição é 1, mas pode executar até 16 máquinas virtuais para o serviço.The default is 1, but you can run up to 16 virtual machines for the service.

      Nota

      Se utilizar um proxy de internet para o ponto de ligação do gateway de gestão na nuvem, terá de aumentar o número de portas do proxy, o número de máquinas virtuais que utiliza, começando na porta 10124.If you use an internet proxy for the cloud management gateway connection point, you need to increase the number of ports on the proxy by the number of virtual machines you use, starting at port 10124.

    • Especifique a chave privada (ficheiro. pfx) que exportou a partir do certificado SSL personalizado.Specify the private key (.pfx file) that you exported from the custom SSL certificate.

    • Especifique o certificado de raiz exportado a partir do certificado de cliente.Specify the root certificate exported from the client certificate.

    • Especifique o mesmo nome de serviço FQDN que utilizou quando criou o novo modelo de certificado.Specify the same service name FQDN that you used when you created the new certificate template. Tem de especificar um dos seguintes sufixos FQDN nome do serviço com base na nuvem do Azure que está a utilizar:You must specify the one of the following suffixes for the FQDN service name based on the Azure cloud you are using:

      Nuvem do AzureAzure cloud Prefixo FQDNFQDN prefix
      Nuvem pública de (comercial)Public (commercial) cloud . cloudapp.net.cloudapp.net
      Nuvem para a administração públicaGovernment cloud . usgovcloudapp.net.usgovcloudapp.net
    • Desmarque a caixa junto a Certifique-se de revogação de certificados de cliente (exceto se estiver publicamente publicar as informações de CRL).Clear the box next to Verify Client Certificate Revocation (unless you're publicly publishing your CRL information).

    • Escolher seguinte quando terminar.Choose Next when you're done.

  5. Se pretender monitorizar o tráfego de gateway de gestão de nuvem com um limiar de 14 dias, selecione a caixa de verificação para ativar o alerta do limiar.If you want to monitor cloud management gateway traffic with a 14-day threshold, choose the check box to turn on the threshold alert. Em seguida, especifique o limiar e a percentagem no qual pretende elevar os diferentes níveis de alerta.Then, specify the threshold, and the percentage at which to raise the different alert levels. Escolher seguinte quando terminar.Choose Next when you're done.

  6. Reveja as definições e escolha seguinte.Review the settings, and choose Next. Gestor de configuração é iniciado como configurar o serviço.Configuration Manager starts setting up the service. Depois de fechar o assistente irá demorar entre 5 a 15 minutos para aprovisionar o serviço completamente no Azure.After you close the wizard it will take between 5 to 15 minutes to provision the service completely in Azure. Verifique o estado coluna para o recentemente a configuração nuvem management gateway para determinar quando o serviço está pronto.Check the Status column for the newly setup cloud management gateway to determine when the service is ready.

Passo 5: Configurar o site primário para autenticação de certificação de clienteStep 5: Configure primary site for client certification authentication

  1. Na consola do Configuration Manager, aceda a administração > configuração do Site > Sites.In the Configuration Manager console, go to Administration > Site Configuration > Sites.

  2. Selecione o site primário para os clientes que pretende gerir através do gateway de gestão de nuvem e escolher propriedades.Select the primary site for the clients you want to manage through cloud management gateway, and choose Properties.

  3. No separador das comunicações do computador cliente da folha de propriedades de site primário, verifique certificado de cliente PKI de utilização (autenticação do cliente) se estiver disponível.On the Client Computer Communications tab of the primary site property sheet, check Use PKI client certificate (client authentication) when available.

  4. Certifique-se limpar verificam a lista de revogação de certificados (CRL) para sistemas de sites.Make sure to clear Clients check the certificate revocation list (CRL) for site systems. Esta opção apenas seria necessária se foram publicamente publicação de CRL.This option would only be required if you were publicly publishing your CRL.

Passo 6: Adicionar o ponto de conector de gateway de gestão de nuvemStep 6: Add the cloud management gateway connector point

O ponto de conector do gateway de gestão na nuvem é uma nova função de sistema de sites para comunicação com gateway de gestão da nuvem.The cloud management gateway connector point is a new site system role for communicating with cloud management gateway. Para adicionar o ponto de conector do gateway de gestão na nuvem, siga as instruções em adicionar funções do sistema de sites para o System Center Configuration Manager.To add the cloud management gateway connector point, follow the instructions in Add site system roles for System Center Configuration Manager.

Passo 7: Configurar funções para o tráfego de gateway de gestão de nuvemStep 7: Configure roles for cloud management gateway traffic

É o último passo na configuração do gateway de gestão da nuvem configurar as funções de sistema de sites para aceitar o tráfego de gateway de gestão de nuvem.The final step in setting up cloud management gateway is to configure the site system roles to accept cloud management gateway traffic. Para Tech 1606 de pré-visualização, apenas o ponto de gestão, ponto de distribuição e as funções de ponto de atualização de software são suportadas para o gateway de gestão da nuvem.For Tech Preview 1606, only the management point, distribution point, and software update point roles are supported for cloud management gateway. Tem de configurar cada função separadamente.You must configure each role separately.

  1. Na consola do Configuration Manager, aceda a administração > configuração do Site > servidores e funções de sistema de sites.In the Configuration Manager console, go to Administration > Site Configuration > Servers and Site System Roles.

  2. Selecione o servidor de sistema de sites para a função que pretende configurar para o tráfego de gateway de gestão de nuvem.Choose the site system server for the role you want to configure for cloud management gateway traffic.

  3. Selecione a função e, em seguida, selecione propriedades.Choose the role, and then choose Properties.

  4. Na folha de propriedades da função, em ligações de cliente, escolha HTTPS, a caixa de verificação junto a tráfego de gateway de gestão de nuvem de permitir que o Configuration Managere, em seguida, escolha OK.In the role Properties sheet, under Client Connections, choose HTTPS, check the box next to Allow Configuration Manager cloud management gateway traffic, and then choose OK. Repita estes passos para as restantes funções.Repeat these steps for the remaining roles.

Passo 8: Configurar clientes para gateway de gestão da nuvemStep 8: Configure clients for cloud management gateway

Após a gestão de nuvem funções do sistema de sites e de gateway são completamente configuradas e em execução, os clientes obterão a localização do serviço de gateway de nuvem gestão automaticamente no pedido de localização seguinte.After the cloud management gateway and site system roles are completely configured and running, clients will get the location of the cloud management gateway service automatically on the next location request. Os clientes devem estar na rede da empresa para receber a localização do serviço de gateway de gestão de nuvem.Clients must be on the corporate network to receive the location of the cloud management gateway service. O ciclo de consulta para pedidos de localização é a cada 24 horas.The polling cycle for location requests is every 24 hours. Se não pretender aguardar que o pedido de localização normalmente agendadas, pode forçar o pedido, reiniciando o serviço de anfitrião de agente do SMS (ccmexec.exe) no computador.If you don't want to wait for the normally scheduled location request, you can force the request by restarting the SMS Agent Host service (ccmexec.exe) on the computer.

Com a localização do serviço de gateway de nuvem gestão configurado no cliente, automaticamente pode determinar se está na intranet ou na Internet.With the location of the cloud management gateway service configured on the client, it can automatically determine whether it’s on the intranet or the Internet. Se o cliente pode contactar o controlador de domínio ou o ponto de gestão no local, irá utilizá-lo para comunicar com o Configuration Manager, caso contrário,-iremos considerá-lo está na Internet e utilizar a localização do management gateway na nuvem do serviço para comunicar.If the client can contact the domain controller or the on-premises management point, it will use it for communicating with Configuration Manager, Otherwise, it will consider it’s on the Internet and use the location of the cloud management gateway service to communicate.

Nota

Pode forçar o cliente utiliza sempre o gateway de gestão da nuvem independentemente de ser na intranet ou Internet.You can force the client to always use cloud management gateway regardless of whether it’s on the intranet or Internet. Para tal, defina a seguinte chave de registo no computador cliente: \To do that, you set the following registry key on the client computer:\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CCM\Security, ClientAlwaysOnInternet = 1

Para verificar que os clientes podem contactar do Configuration Manager, pode executar o seguinte comando do PowerShell no computador cliente:To verify that clients can contact Configuration Manager, you can run the following PowerShell command on the client computer:

gwmi -namespace root\ccm\locationservices -class SMS_ActiveMPCandidate

Este comando apresenta os pontos de gestão, que o cliente pode contactar incluindo o serviço de gateway de gestão de nuvem.This command displays the management points the client can contact including the cloud management gateway service.

Passos seguintesNext steps

Monitorize os clientes para gateway de gestão da nuvemMonitor clients for cloud management gateway