Настройка CMG для Configuration Manager

  • Статья

Относится к Configuration Manager (Current Branch)

После выполнения предварительных требований можно приступить к настройке шлюза управления облаком (CMG). Перед началом этого процесса убедитесь, что у вас есть необходимые сведения и необходимые условия для создания CMG. Дополнительные сведения см. в разделе Настройка контрольного списка для CMG.

Этот шаг общего процесса включает в себя следующие действия:

  • Используйте консоль Configuration Manager для создания службы CMG в Azure.
  • Настройте основной сайт для проверки подлинности сертификата клиента.
  • Добавьте роль системы сайта точки подключения шлюза управления облачными клиентами.
  • Настройте точку управления и точку обновления программного обеспечения для трафика CMG.
  • Настройка групп границ.

Настройка CMG

Примечание.

Развертывание CMG с масштабируемым набором виртуальных машин в Azure впервые появилось в версии 2010 в качестве функции предварительной версии. Начиная с версии 2107, эта функция больше не является предварительной версией.

Configuration Manager не включает эту необязательную функцию по умолчанию. Перед ее использованием необходимо включить эту функцию. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.

Выполните эту процедуру на сайте верхнего уровня. Этот сайт является либо автономным первичным сайтом, либо сайтом центра администрирования (CAS).

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните Облачные службы и выберите Шлюз управления облаком.

  2. Выберите Создать шлюз управления облаком на ленте.

  3. На странице Общие мастера сначала укажите среду Azure для этого шлюза управления облачными клиентами:

    • AzurePublicCloud. Создайте службу в глобальном облаке Azure.
    • AzureUSGovernmentCloud. Создайте службу в облаке Azure для государственных организаций США.

  4. Затем выберите способ развертывания CMG в Azure:

    • Масштабируемый набор виртуальных машин

      • Начиная с версии 2203 масштабируемый набор виртуальных машин является единственным вариантом.

      • Начиная с версии 2107 этот параметр является рекомендуемой методикой развертывания. Даже если у вас есть группа управления облачными клиентами, развернутая с помощью метода облачной службы (классической), разверните новые экземпляры CMG как масштабируемый набор виртуальных машин.

      • В версиях 2010 и 2103 необходимо включить эту функцию предварительной версии, чтобы увидеть ее. В этих выпусках он предназначен только для клиентов с подпиской поставщика облачных решений (CSP). Если вы уже развернули CMG с помощью метода облачной службы (классической), этот параметр недоступен. Дополнительные сведения см. в статье Планирование CMG: масштабируемые наборы виртуальных машин.

    • Облачная служба (классическая)

      Важно!

      Начиная с версии 2203 возможность развертывания CMG в качестве облачной службы (классической) удаляется. Все развертывания CMG должны использовать масштабируемый набор виртуальных машин. Дополнительные сведения см. в статье Удаленные и нерекомендуемые функции.

      • В версии 2107 и более поздних этот параметр используется только в том случае, если не удается выполнить развертывание с масштабируемым набором виртуальных машин из-за одного из ограничений.

      • В версиях 2010 и 2103 большинство клиентов должны использовать этот метод развертывания.

  5. Начиная с версии 2309 выберите Microsoft Entra имя клиента, Microsoft Entra автоматически заполняется имя приложения. Щелкните ссылку Войти. Проверка подлинности с помощью учетной записи владельца подписки Azure. Если у вас несколько подписок, выберите идентификатор подписки , которую вы хотите использовать.

    Примечание.

    Начиная с версии 2309, мы не рекомендуем использовать стороннее приложение для создания CMG. Теперь CMG использует стороннее серверное приложение для получения маркеров носителя.

  6. В версиях 2303 и более поздних выберите Войти. Проверка подлинности с помощью учетной записи владельца подписки Azure. Мастер автоматически заполняет оставшиеся поля из сведений, хранящихся во время Microsoft Entra интеграции. Если у вас несколько подписок, выберите идентификатор подписки , которую вы хотите использовать.

    Нажмите кнопку Далее и подождите, пока сайт проверит подключение к Azure.

  7. На странице Параметры мастера сначала перейдите к . PFX-файл для сертификата проверки подлинности сервера CMG (файл сертификата). Общее имя этого сертификата используется для заполнения полей Имя службы и Имя развертывания .

    Если вы используете подстановочный сертификат, замените звездочку (*) в поле Имя службы префиксом глобально уникального имени развертывания для шлюза управления облачными клиентами.

    1. При необходимости укажите описание для дальнейшего определения этого шлюза управления облачными клиентами в консоли Configuration Manager.

    2. Выберите регион Azure для этого шлюза управления облачными клиентами. Список доступных регионов может отличаться в зависимости от выбранной подписки.

    3. Выберите параметр Группа ресурсов :

      • Если выбран вариант Использовать существующую, выберите существующую группу ресурсов в списке. Эта группа ресурсов должна уже существовать в том же регионе, который вы выбрали для шлюза управления облачными клиентами. Если выбрать существующую группу ресурсов, которая находится в другом регионе, отличном от выбранного ранее региона, шлюзу управления облачными клиентами не удастся развернуть.

      • Если вы выберете Создать, введите имя новой группы ресурсов.

    4. По умолчанию размер виртуальной машиныСтандартный (A2_V2). Выберите другой параметр, как указано в конструкторе. Например, Большой (A4_v2) для увеличения емкости клиента на виртуальную машину или Лаборатория (B2s) в небольшой тестовой среде.

      Важно!

      Виртуальная машина размера Lab (B2s) предназначена только для тестирования лаборатории и небольших сред подтверждения концепции. Например, с Configuration Manager ветвью technical preview. Виртуальные машины B2s не предназначены для использования в рабочей среде с CMG. Они отличаются низкой стоимостью и низкой производительности.

    5. В поле Экземпляр виртуальной машины введите количество виртуальных машин для этой службы. Значение по умолчанию — один, но вы можете масштабировать до 16 виртуальных машин на cmg.

    6. Если вы используете сертификаты проверки подлинности клиента, выберите Сертификаты , чтобы добавить доверенные корневые сертификаты. Добавьте все сертификаты в цепочку доверия.

      Примечание.

      Доверенный корневой сертификат не требуется при использовании идентификатора Microsoft Entra или маркеров, выданных сайтом для проверки подлинности клиента.

    7. По умолчанию мастер включает параметр Проверить отзыв сертификата клиента. Чтобы эта проверка работала, необходимо опубликовать список отзыва сертификатов (CRL). Дополнительные сведения см. в статье Публикация списка отзыва сертификатов.

    8. По умолчанию мастер включает параметр Принудительное применение TLS 1.2. Для этого параметра виртуальная машина Azure должна использовать протокол шифрования TLS 1.2. Он не применяется к локальным серверам или клиентам Configuration Manager сайта. Начиная с версии 2107 с накопительным пакетом обновления этот параметр также применяется к учетной записи хранения CMG. Дополнительные сведения см. в разделе Включение TLS 1.2.

    9. По умолчанию мастер включает параметр Разрешить CMG функционировать в качестве облачной точки распространения и обслуживать содержимое из хранилища Azure. Если вы планируете нацеливать развертывания с содержимым на клиенты, необходимо настроить CMG для обслуживания содержимого.

  8. Далее находится страница "Оповещения " мастера. Чтобы отслеживать трафик CMG с 14-дневным пороговым значением, включите оповещение о пороге. Затем укажите пороговое значение и процент, в котором необходимо повысить различные уровни оповещений. Вы также можете включить пороговое значение оповещений хранилища. По завершении нажмите кнопку Далее .

  9. Просмотрите параметры и завершите работу мастера.

Configuration Manager начинается настройка службы. Время, необходимое для полной подготовки службы в Azure, зависит от указанных параметров. Чтобы определить, когда служба будет готова, просмотрите столбец Состояние для нового шлюза управления облачными клиентами.

Чтобы устранить неполадки с развертываниями CMG, используйте CloudMgr.log и CMGSetup.log. Дополнительные сведения см. в разделе Мониторинг CMG.

Совет

Для этого процесса также можно использовать командлет PowerShell New-CMCloudManagementGateway . При необходимости используйте этот командлет для создания службы CMG. Дополнительные сведения см. в разделе New-CMCloudManagementGateway.

Настройка первичного сайта для проверки подлинности сертификата клиента

Если вы используете сертификаты проверки подлинности клиентов для проверки подлинности с помощью шлюза управления облачными клиентами, выполните следующую процедуру, чтобы настроить каждый первичный сайт.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите Сайты.

  2. Выберите основной сайт, которому назначены интернет-клиенты, и выберите Свойства.

  3. Перейдите на вкладку Безопасность связи и выберите Использовать PKI-сертификат клиента (проверка подлинности клиента), если это доступно.

  4. Если вы не публикуете список отзыва сертификатов, отключите следующий параметр: Клиенты проверка список отзыва сертификатов (CRL) для систем сайта.

Добавление точки подключения шлюза управления облачными клиентами

Точка подключения CMG — это роль системы сайта, необходимая для обмена данными из локального Configuration Manager развертывания с облачным шлюзом управления облачными клиентами. Перед началом этого процесса необходимо уже разработать план для роли и определить по крайней мере один существующий сервер системы сайта. Дополнительные сведения см. в разделе Планирование CMG.

Чтобы добавить точку подключения CMG, выполните следующие действия, чтобы выполнить инструкции по установке ролей системы сайта.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Серверы и роли системы сайта.

  2. Выберите существующий сервер сайта, на который нужно добавить эту роль. На ленте на вкладке Главная выберите Добавить роли системы сайта.

  3. На экране Выбор системной роли выберите Точка подключения шлюза управления облаком, а затем нажмите кнопку Далее. Выберите имя шлюза управления облаком , к которому подключается этот сервер. Мастер покажет регион для выбранного шлюза управления облачными клиентами.

Важно!

Если вы используете сертификаты проверки подлинности клиента, точка подключения CMG нуждается в этом сертификате. Дополнительные сведения см. в разделе Сертификат проверки подлинности клиента.

Чтобы устранить неполадки с работоспособностью службы CMG, используйте CMGService.log и SMS_Cloud_ProxyConnector.log. Дополнительные сведения см. в разделе Файлы журнала.

Совет

При необходимости можно также использовать командлет PowerShell Add-CMCloudManagementGatewayConnectionPoint , чтобы добавить роль точки подключения CMG на сервер системы сайта.

Дополнительные сведения см. в разделе Add-CMCloudManagementGatewayConnectionPoint.

Настройка клиентских ролей для трафика ШЛЮЗА управления облачными клиентами

Настройте системы сайта точки управления и точки обновления программного обеспечения для приема трафика CMG. Выполните эту процедуру на основном сайте для всех точек управления и точек обновления программного обеспечения, обслуживающих интернет-клиенты.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Серверы и роли системы сайта. На вкладке Главная ленты в группе Вид выберите Серверы с ролью. Затем выберите Пункт управления в списке.

  2. Выберите сервер системы сайта, который требуется настроить для трафика CMG. Выберите роль Точка управления в области сведений, а затем в группе Роль сайта на ленте выберите Свойства.

  3. На странице Свойства точки управления в разделе Клиентские подключения выберите Разрешить Configuration Manager трафик шлюза управления облаком.

    В зависимости от структуры CMG и Configuration Manager версии может потребоваться включить параметр HTTPS. Дополнительные сведения см. в разделе Включение точки управления для HTTPS.

  4. Нажмите кнопку ОК , чтобы закрыть окно свойств точки управления.

Повторите эти действия для других точек управления при необходимости и для любых точек обновления программного обеспечения.

Настройка групп границ

Шлюз управления облачными клиентами можно связать с группой границ. Эта конфигурация позволяет клиентам использовать CMG для обмена данными с клиентами в соответствии с связями групп границ. Эта конфигурация полезна для клиентов VPN или филиалов, где лучше управлять ими через шлюз управления облачными клиентами, чем через VPN-подключение или глобальной сети. Если включить параметр Предпочитать облачные источники, а не локальные источники , клиенты будут предпочитать CMG как для политики, так и для содержимого.

Дополнительные сведения о группах границ см. в разделе Настройка групп границ.

При создании или настройке группы границ на вкладке Ссылки добавьте шлюз управления облаком. Это действие связывает CMG с этой группой границ.

Branchcache

Чтобы разрешить CMG с поддержкой содержимого использовать Windows BranchCache, установите компонент BranchCache на сервере сайта.

  • Если сервер сайта имеет роль системы сайта локальной точки распространения, настройте параметр в свойствах этой роли , чтобы включить и настроить BranchCache. Дополнительные сведения см. в разделе Настройка точки распространения.

  • Если на сервере сайта нет роли точки распространения, установите компонент BranchCache в Windows. Дополнительные сведения см. в разделе Установка компонента BranchCache.

Если вы уже распространили содержимое в CMG, а затем решили включить BranchCache, сначала установите эту функцию. Затем перераспространите содержимое в CMG.

Распространение содержимого и управление ими

Распространяйте содержимое в cmG с поддержкой содержимого так же, как и в любую другую точку распространения. Точка управления не включает CMG в список расположений содержимого, если у нее нет содержимого, запрашиваемого клиентами. Дополнительные сведения см. в разделе Распространение содержимого и управление ими.

Управление содержимым в шлюзе управления облачными клиентами аналогично любой другой точке распространения. Эти действия включают назначение его группе точек распространения и управление пакетами содержимого. Дополнительные сведения см. в статье Установка и настройка точек распространения.

Дальнейшие действия

Продолжите настройку CMG, настроив клиенты для CMG:

Настройка клиентов для CMG