规划如何在 Configuration Manager 中唤醒客户端

适用范围:Configuration Manager (Current Branch)

Configuration Manager 支持传统唤醒数据包,以在你要安装必需的软件(如软件更新和应用程序)时唤醒处于睡眠模式下的计算机。

备注

本文介绍较旧版本的 LAN 唤醒的工作方式。 此功能在 Configuration Manager 版本 1810 中仍然存在,该版本还包括较新版本的 LAN 唤醒。 在许多情况下,可以同时启用这两种版本的 LAN 唤醒。 若要详细了解从 1810 开始新版 LAN 唤醒的工作方式以及如何启用其中一个版本或同时启用两个版本,请参阅如何配置 LAN 唤醒

如何在 Configuration Manager 中唤醒客户端

Configuration Manager 支持传统唤醒数据包,以在你要安装必需的软件(如软件更新和应用程序)时唤醒处于睡眠模式下的计算机。

可以使用唤醒代理客户端设置来对传统唤醒数据包方法进行补充。 唤醒代理使用对等协议和选定的计算机来检查子网上的其他计算机是否已唤醒并在必要时唤醒这些计算机。 在为 LAN 唤醒配置站点并为唤醒代理配置客户端后,过程将按以下方式工作:

  1. 安装有 Configuration Manager 的客户端并且未在子网上处于睡眠状态的计算机将检查子网上的其他计算机是否已唤醒。 它们通过每隔五秒就相互发送 TCP/IP ping 命令来完成此检查。

  2. 如果其他计算机没有响应,则假定它们已处于睡眠状态。 已唤醒的计算机将成为子网的“管理器计算机”。

    可能由于除计算机处于睡眠状态以外的原因(例如,计算机已关闭、已从网络中移除或者不再应用代理唤醒客户端设置)而导致计算机可能无法响应,因此将于当地时间每天下午两点向计算机发送唤醒数据包 。 未响应的计算机将不会被认为处于睡眠状态并且唤醒代理不会将其唤醒。

    若要支持唤醒代理,必须为每个子网至少唤醒三台计算机。 若要实现此要求,必须为子网随机选择三台计算机作为“守护计算机”。 该状态意味着尽管任何配置的电源策略在一段不活动时间后处于睡眠或休眠状态,它们也将保持唤醒状态。 例如为了维护任务,守护计算机将遵守关闭或重启命令。 如果发生此操作,则其余守护计算机将唤醒子网上的另一计算机,从而子网将继续拥有三台守护计算机。

  3. 管理器计算机将要求网络交换机为睡眠计算机将网络流量重定向到自身。

    此重定向是通过管理器计算机对使用睡眠计算机的 MAC 地址作为源地址的以太网帧进行广播实现的。 此行为使网络交换机按睡眠计算机已移至管理器计算机所在的同一端口来处理。 管理器计算机还会发送 ARP 包,以使睡眠计算机将 ARP 缓存中的条目保持最新。 管理器计算机还将代表睡眠计算机响应 ARP 请求,并使用睡眠计算机的 MAC 地址进行答复。

    警告

    在此过程中,睡眠计算机的 IP 至 MAC 映射将保持不变。 唤醒代理的工作方式是将其他网络适配器正在使用另一网络适配器所注册端口的情况通知网络交换机。 但是,这种称作 MAC 漂移的行为在标准网络操作中并不常见。 有些网络监控工具会查找此行为并可假定存在错误。 因此,这些监控工具可在你使用唤醒代理时生成警报或关闭端口。

    如果你的网络监控工具和服务不允许 MAC 漂移,则请勿使用唤醒代理。

  4. 当管理器计算机发现针对睡眠计算机的新 TCP 连接请求,并且该请求发往睡眠计算机在睡眠前侦听的端口,则管理器计算机会向睡眠计算机发送唤醒数据包,然后阻止为此计算机重定向流量。

  5. 睡眠计算机会收到唤醒数据包并唤醒。 发送计算机将自动重试连接,并且计算机这次会唤醒并可以响应。

    唤醒代理具有下列先决条件和限制:

重要

如果由独立团队负责网络基础结构和网络服务,则在评估和测试期间通知此团队并将其包括进来。 例如,在使用 802.1X 网络访问控制的网络上,唤醒代理将无法工作,而且可能会破坏网络服务。 此外,唤醒代理可能会导致某些网络监视工具在检测到与唤醒其他计算机相关的流量时生成警报。

  • Wake On LAN 支持所有在客户端和设备支持的操作系统中列为受支持客户端的 Windows 操作系统。

  • 不支持在虚拟机上运行来宾操作系统。

  • 必须使用客户端设置为唤醒代理启用客户端。 尽管唤醒代理操作并不依赖硬件清单,但是除非已针对硬件清单将它们启用并在至少一个硬件清单中提交,否则客户端不会报告唤醒代理服务的安装。

  • 对于唤醒数据包,必须启用并配置网络适配器(并且还有可能要启用 BIOS)。 如果未为唤醒数据包配置网络适配器或者此设置已禁用,则 Configuration Manager 将在收到客户端设置时为计算机自动配置并启用该设置,以启用唤醒代理。

  • 如果计算机具有多个网络适配器,则你无法配置即将用于唤醒代理的适配器;选择是不确定的。 不过,所选的适配器记录在 SleepAgent_<DOMAIN>@SYSTEM_0.log 文件中。

  • 网络必须允许 ICMP 回显请求(至少在子网中)。 你无法将用于发送 ICMP ping 命令的间隔配置为五秒。

  • 通信未加密并且未经过身份验证,不支持 IPsec。

  • 不支持下列网络配置:

    • 具有端口身份验证的 802.1X

    • 无线网络

    • 将 MAC 地址绑定到特定端口的网络交换机

    • 仅适用于 IPv6 的网络

    • DHCP 租赁持续时间不到 24 小时

如果希望唤醒计算机以执行计划的软件安装,则必须配置每个主站点以使用唤醒数据包。

若要使用唤醒代理,除了配置主站点之外,还必须部署电源管理唤醒代理客户端设置。

决定是使用子网导向型广播包还是单播包以及要使用什么 UDP 端口号。 默认情况下,传统唤醒数据包通过 UDP 端口 9 传输,但为便于提高安全级别,你可以为站点选择备用端口(如果干预路由器和防火墙支持该备用端口)。

为 LAN 唤醒在单播和子网导向型广播之间选择

如果选择通过发送传统的唤醒数据包来唤醒计算机,则你必须决定是传输单播包,还是传输子网导向型广播包。 如果使用唤醒代理,则必须使用单播包。 或者,可使用下表来帮助你确定要选择的传输方法。

传输方法 优点 缺点
单播 此解决方案比子网导向型广播更为安全,因为数据包被直接发送到某台计算机而非子网上的所有计算机。

可能不需要重新配置路由器(你可能必须配置 ARP 高速缓存)。

比子网导向型广播传输消耗更少的网络带宽。

支持 IPv4 和 IPv6。
唤醒数据包不会查找在最后硬件清单计划之后更改了子网地址的目标计算机。

可能必须配置交换机以转发 UDP 包。

当使用单播作为传输方法时,某些网络适配器可能均会处于睡眠状态而不会响应唤醒数据包。
子网导向型广播 如果你在同一子网上具有频繁更改其 IP 地址的计算机,则此解决方案比单播的成功率更高。

无需进行交换机重新配置。

对于所有睡眠状态,与计算机适配器具有较高的符合率,因为子网导向型广播是用于发送唤醒数据包的原始传输方法。
此解决方案没有使用单播安全,因为攻击者可能会从伪造的源地址向定向广播地址发送 ICMP 回显请求持续流。 这导致所有主机均回复该源地址。 如果路由器已配置为允许子网导向型广播,则出于安全原因,建议使用附加配置:

- 通过使用指定的 UDP 端口号,将路由器配置为只允许来自 Configuration Manager 站点服务器的 IP 导向型广播。
- 将 Configuration Manager 配置为使用指定的非默认端口号。

可能需要重新配置所有干预路由器以启用子网定向广播。

比单播传输消耗更多网络带宽。

仅支持 IPv4;不支持 IPv6。

警告

与子网定向广播相关的安全风险:攻击者可能会从伪造的源地址向定向广播地址发送 Internet 控制消息协议 (ICMP) 回显请求连续流,这可能会使主机回复该源地址。 此类型的拒绝服务攻击通常叫做 Smurf 攻击,通常可以通过不启用子网定向广播得到缓解。