如何在 Configuration Manager 中设置管理服务

适用于: Configuration Manager(current branch)

使用本文中的步骤在 SMS 提供程序上设置管理服务。 在开始之前,请阅读管理服务 先决条件

启用安全 HTTPS 通信

将管理服务配置为使用安全的 HTTPS 连接来保护通过网络传输的数据。

从版本 2010 开始, 不再需要在管理服务的 SMS 提供程序上启用 IIS。 站点为 SMS 提供程序创建自签名证书,并自动绑定它,而无需 IIS。 如果以前已在 SMS 提供程序上安装 IIS,则可以将其删除。 然后重启SMS_REST_PROVIDER组件。 请记住,需要在防火墙上打开 HTTPS 端口 443。

管理服务自动使用站点的自签名证书。 此行为有助于减少摩擦,以便更轻松地使用管理服务。 站点始终生成此证书。 管理服务会忽略增强型 HTTP 站点设置,因为它始终使用站点的证书,即使没有其他站点系统使用增强型 HTTP 也是如此。 你仍然可以手动绑定基于 PKI 的服务器身份验证证书。 如果已将 PKI 证书绑定到 SMS 提供程序服务器上的端口 443,则管理服务会使用该现有证书。

使用服务器身份验证证书

注意

默认情况下,管理服务会自动使用站点的自签名证书。 你仍然可以手动绑定基于 PKI 的服务器身份验证证书。 在绑定基于 PKI 的证书之前,请从 SMS 提供程序上的端口 443 手动取消绑定站点的自签名证书。

使用服务器身份验证证书有两种主要方法:

  • 从组织的公钥基础结构 (PKI)

    • 如果环境已有 PKI,则可以使用它为 SMS 提供程序颁发服务器身份验证证书。 此证书类似于用于管理点或分发点的证书。 有关详细信息,请参阅 PKI 证书要求

    • 大多数企业 PKI 实现将受信任的根 CA 添加到 Windows 客户端。 例如,将 Active Directory 证书服务与组策略配合使用。 如果从客户端不自动信任的 CA 颁发证书,请将 CA 受信任的根证书添加到客户端。 可以将此信任范围限定为需要访问管理服务的客户端。

  • 使用来自公共和全局受信任的证书提供程序的证书。 Windows 客户端包括受信任的根证书颁发机构 (CA) 这些提供程序。 通过使用其中一个提供程序颁发的服务器身份验证证书,客户端会自动信任它。

获得 SMS 提供程序的服务器身份验证证书后,需要手动将其绑定到承载 SMS 提供程序角色的服务器上的 IIS 中的端口 443。

首先,将证书添加到服务器。 将证书导入本地计算机的 “个人” 存储。 然后,使用以下选项之一绑定证书:

使用 IIS 绑定证书

如果具有 SMS 提供程序角色的服务器具有 IIS 管理控制台,请在默认网站上使用 编辑绑定 操作。 添加端口 443,并从计算机的证书存储中指定证书。

注意

SMS 提供程序角色不需要 IIS。 此过程使用 IIS 控制台绑定证书。 这些证书绑定适用于计算机,而不是任何特定服务。

使用 netsh 绑定证书

使用 netsh 命令行绑定证书:

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

其中 <thumbprint> 是已安装证书的指纹,是 <GUID> 随机 GUID。

提示

使用 Windows PowerShell cmdlet New-Guid 生成随机 GUID。

例如:

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

启用 Internet 访问

只能在本地使用管理服务,也可以通过云管理网关 (CMG) 启用管理服务进行访问。 某些方案需要从 Internet 访问管理服务,例如通过电子邮件进行租户附加或应用审批。

在将 SMS 提供程序配置为允许 CMG 流量之前,请先设置 CMG。 有关详细信息,请参阅 CMG 概述

然后,使用以下过程通过 CMG 启用管理服务:

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“服务器和站点系统角色”节点。

  2. 选择具有 SMS 提供程序 角色的服务器。

    提示

    在功能区的“ 开始 ”选项卡中,选择“ 具有角色的服务器 ”,然后选择“ SMS 提供程序”。 此操作显示具有该角色的站点系统。

  3. 在详细信息窗格中,选择“SMS 提供程序”角色,然后在“站点角色”选项卡上的功能区中选择“属性”。

  4. 选择“允许管理服务Configuration Manager云管理网关流量”选项。

若要从 Internet 访问管理服务,请将 SMS 提供程序 FQDN 替换为 CMG 终结点。 例如:

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

提示

若要获取此终结点的值,请使用以下步骤:

  • 创建 CMG。 有关详细信息,请参阅 设置 CMG

  • 在活动客户端上,以管理员身份打开Windows PowerShell命令提示符。

  • 运行以下命令:

    (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
    

启用主机使用情况

注意

从版本 2111 开始,将删除“启用Configuration Manager控制台以使用管理服务”选项。 管理服务始终处于打开状态,因此控制台将在需要时使用它。

允许Configuration Manager控制台的某些节点使用管理服务。 此更改允许控制台通过 HTTPS 而不是通过 WMI 与 SMS 提供程序通信。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。 在功能区中,选择“层次结构设置”。

  2. 在“常规”页上,选择“启用Configuration Manager控制台以使用管理服务”选项。

此更改仅影响“管理”工作区中“安全”节点下的以下节点:

  • 管理用户
  • 安全角色
  • 安全范围
  • 控制台连接

选择其中一个节点时,如果显示以下错误消息:

Configuration Manager无法连接到管理服务

查看错误下面的信息。 然后,验证管理服务是否已启用、配置并正常运行。 有关详细信息,包括要查看的日志文件,请参阅 验证 部分。

验证

站点安装管理服务时,它会将活动记录到 Configuration Manager 安装目录中的 RESTPROVIDERSetup.log 文件中。 默认情况下,此路径为 C:\Program Files\Microsoft Configuration Manager\logs

站点跟踪 SMS_REST_PROVIDER.log 文件中管理服务的运行状况。 可以看到服务启动和有关证书的信息。

通过在 Web 浏览器中执行简单的查询来测试管理服务,例如:

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

管理服务将其活动记录到Configuration Manager安装目录中 SMS 提供程序服务器上的 adminservice.log 文件。

对于上述元数据查询,日志文件显示以下行:

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

后续步骤