通过 Internet 部署任务序列

适用范围:Configuration Manager (Current Branch)

Configuration Manager 支持多种方法来通过 Internet 将任务序列部署到远程客户端。 你可部署 Windows 10 升级、使用可启动媒体,或者从软件中心启动。 本文介绍了这些方案的具体配置。 首先使用部署序列任务来创建基本部署。 然后,使用本文中的配置针对基于 Internet 的客户端自定义它。

警告

你可以管理高风险任务序列部署的行为。 高风险部署是自动安装、可能产生意外结果的部署。 例如,部署目的为“必需”且部署 OS 的任务序列被认为是高风险部署。 有关详细信息,请参阅用于管理高风险部署的设置

允许任务序列在 Internet 上运行

在部署软件向导的“用户体验”页面上,可将部署配置为“允许任务序列针对 Internet 上的客户端运行” 。 所有基于 Internet 的客户端方案都需要此设置。 以下部分介绍了启用此设置时的主要方案。

备注

“首先运行其他程序”的任务序列高级设置不适用于通过运管理网关 (CMG) 进行通信的客户端上运行的任务序列。 此选项使用包的 UNC 网络路径,无法通过 CMG 访问该路径。

Windows 10 就地升级

在通过云管理网关 (CMG) 将 Windows 10 就地升级任务序列部署到基于 Internet 的客户端时,使用此设置。 所有受支持的 Configuration Manager 版本都支持此方案。 有关详细信息,请参阅通过 CMG 部署 Windows 10 就地升级

从软件中心安装 Windows 映像任务序列

自版本 2006 起,可以将包含启动映像的任务序列部署到通过 CMG 通信的设备上。 用户需要从软件中心启动任务序列。

备注

当已建立 Azure Active Directory (Azure AD) 联接的客户端运行 OS 部署任务序列时,新 OS 中的客户端不会自动建立 Azure AD 联接。 即使没有建立 Azure AD 联接,客户端仍是受管理的。

在已建立 Azure AD 联接或使用基于令牌的身份验证的基于 Internet 的客户端上运行 OS 部署任务序列时,需要在安装 Windows 和 ConfigMgr 步骤中指定 CCMHOSTNAME 属性。

使用可启动媒体安装 Windows 映像任务序列

从版本 2010 开始,你可使用可启动媒体来重置通过 CMG 连接的基于 Internet 的设备的映像。 此方案可帮助你更好地支持远程辅助角色。 如果 Windows 无法启动,导致用户无法访问软件中心,你现在可以向他们发送一个 USB 驱动器来重新安装 Windows。 有关详细信息,请参阅使用可启动媒体通过 CMG 部署 OS

在版本 2002 及更低版本中,需要启动介质的操作无法与此设置相配合。 允许任务序列仅出于一般软件安装的目的在 Internet 上运行,或允许在标准 OS 中运行操作的基于通用脚本的任务序列。

备注

对于版本 2002 及更早版本中所有基于 Internet 的任务序列方案,请从软件中心启动任务序列。 这些方案不支持 Windows PE、PXE 或任务序列介质。

通过 CMG 部署 Windows 10 就地升级

Windows 10 就地升级任务序列支持部署到通过云管理网关 (CMG) 托管的 Internet 客户端。 此功能可让远程用户更轻松地升级到 Windows 10,无需连接 Intranet。

确保就地升级任务序列引用的所有内容均分发到内容已启用的 CMG。 启用 CMG 设置:允许 CMG 充当云分发点,并提供 Azure 存储中的内容。 否则设备无法运行任务序列。

在部署升级任务序列时,请使用以下设置:

  • 部署“用户体验”选项卡上的“允许任务序列针对 Internet 上的客户端运行”。

  • 在部署的“分发点”选项卡上选择以下选项之一:

    • 运行中任务序列需要时,从本地下载内容。 任务序列引擎可以按需从已启用内容的 CMG 中下载包。 此选项为基于 Internet 的设备的 Windows 10 就地升级部署提供了更大的灵活性。

    • 启动任务序列之前在本地下载所有内容。 借助此选项,在启动任务序列之前,Configuration Manager 客户端可从云资源下载内容。

  • (可选)部署“常规”选项卡上的“此任务序列的预下载内容”。 有关详细信息,请参阅配置预缓存内容

备注

从软件中心启动任务序列。 此方案不支持 Windows PE、PXE 或任务序列媒体。

可启动媒体对基于云的内容的支持

自版本 2010 起,可启动媒体可下载基于云的内容。 例如,你向远程办公用户发送一个 USB 密钥来重置其设备映像。 或者是一个安装了本地 PXE 服务器,但你希望设备尽量优先使用云服务的办公室。 启动媒体和 PXE 部署现在可以从基于云的源获取大型 OS 部署内容,而不必再费力地通过 WAN 下载。 例如,允许共享内容的云管理网关 (CMG)。

备注

设备仍需要与管理点建立 Intranet 连接。

当任务序列运行时,它从基于云的源下载内容。 在客户端上查看“smsts.log”。

可启动媒体的先决条件

  • 在“云服务”组中启用以下客户端设置:“允许访问云分发点”。 请确保将客户端设置部署到目标客户端。 有关详细信息,请参阅关于客户端设置 - 云服务

  • 对于客户端所在的边界组:

  • 将任务序列引用的内容分发到已启用内容的 CMG。

使用可启动媒体通过 CMG 部署 OS

从版本 2010 开始,可使用启动媒体来重置通过 CMG 连接的基于 Internet 的设备的映像。 此方案可帮助你更好地支持远程辅助角色。 如果 Windows 无法启动,导致用户无法访问软件中心,你现在可以向他们发送一个 USB 驱动器来重新安装 Windows。

通过 CMG 启动媒体的先决条件

  • 设置 CMG

  • 对于任务序列中引用的所有内容,将其分发到已启用内容的 CMG。 有关详细信息,请参阅分发内容

  • 云服务组中启用以下客户端设置:

    • 允许访问云分发点

    • 允许客户端使用云管理网关

  • 配置“应用网络设置”任务序列步骤来加入工作组。 在任务序列期间,设备无法加入本地 Active Directory 域。 它没有到域控制器的连接,无法加入域。

  • 当你部署任务序列到集合时,请配置以下设置:

    • 用户体验页面:允许任务序列针对 Internet 上的客户端运行

    • 部署设置页面:可用于包含媒体的选项。

    • 分发点页面,部署选项:运行中任务序列需要时,从本地下载内容。 有关详细信息,请参阅部署选项

  • 确保在任务序列运行时,设备有一个稳定的 Internet 连接。 Windows PE 不支持无线网络,因此设备需要有线网络连接。

  • 如果对启动媒体使用基于 PKI 的证书,请使用 Microsoft 增强 RSA 和 AES 提供程序为 SHA256 配置该证书。 推荐此证书配置,但不作要求。 证书可以是 v3 (CNG) 证书。

  • 在版本 2010 和 2103 中,如果将管理点配置为“仅允许 Internet 连接”,则无法通过 CMG 使用启动媒体。 若要解决此问题,请将管理点配置为“允许 Intranet 和 Internet 连接”。

  • 如果 CMG 使用基于 PKI 的证书,则需要将受信任的根证书添加到启动映像中。 否则,Windows PE 无法与 CMG 通信,因为它不信任 CMG 的证书。 有关详细信息,请参阅将受信任的根证书添加到启动映像中

创建启动媒体以使用 CMG

启动可启动媒体的“创建任务序列媒体”向导。 有关详细信息,请参阅创建可启动媒体。 使用以下步骤修改标准流程:

  • 在向导的“媒体管理”页面上,选择“基于站点的媒体”选项 。

  • 在“安全性”页上,设置一个强密码来保护此媒体。

  • 在“启动映像”页面的“管理点”下,从“添加管理点”对话框中选择“云管理网关” 。

当你使用此媒体启动连接了 Internet 的设备时,它会与指定的 CMG 通信。 启动媒体通过 CMG 下载任务序列部署的策略。 在任务序列运行时,它会通过 Internet 下载任何其他内容和策略。

任务序列运行后,客户端将使用基于令牌的身份验证。

将受信任的根证书添加到启动映像中

如果 CMG 使用基于 PKI 的证书,则需要将受信任的根证书添加到启动映像中。 否则,Windows PE 无法与 CMG 通信,因为它不信任 CMG 的证书。

步骤 1:导出证书注册表 blob

在已安装受信任的根证书的系统上:

  1. 单击“开始”菜单。 键入 run 打开“运行”窗口。 打开 mmc

  2. 在“文件”菜单中,选择“添加/删除管理单元...”。

  3. 在“添加/删除管理单元”对话框中,选择“证书”,然后选择“添加” 。

    1. 在“证书管理单元”对话框中,选择“计算机帐户”,然后选择“下一步” 。

    2. 在“选择计算机”对话框中,选择“本地计算机”,然后选择“完成” 。

    3. 在“添加/删除管理单元”对话框中,选择“确定”。

  4. 依次展开“证书”、“受信任的根证书颁发机构”,并选择“证书”。

  5. 选择根证书。 从“操作”菜单中,选择“打开” 。

  6. 切换到“详细信息”选项卡。

  7. 复制证书的指纹值。 例如: eb971f84c0c44b9eb22a378fecb45747eb971f84

  8. 从“开始”菜单中,运行 regedit

  9. 浏览到以下注册表项:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates。 有关此注册表项的详细信息,请参阅系统存储位置

  10. 选择与根证书的指纹相匹配的注册表项。

  11. 在“文件”菜单上,选择“导出”。 指定文件名,并保存 .reg 文件。

  12. 在记事本中编辑该文件。 在密钥路径中,将 SOFTWARE 更改为 winpe-offline,并保存该文件。 例如:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

  13. 将该文件复制到下一步可访问的位置。

步骤 2:将证书注册表 blob 导入脱机启动映像

在具有启动映像文件的系统上:

  1. 卸载 WIM 文件。 例如 DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount

  2. 从“开始”菜单中,运行 regedit

  3. 选择“HKEY_LOCAL_MACHINE”。 在“文件”菜单上,选择“加载 Hive” 。

  4. 浏览到 C:\Mount\Windows\System32\config 并选择“软件”。 此文件是装载到 C:\Mount 的 Windows PE 映像的脱机注册表配置单元。

    重要

    请确保这是已装载的 Windows PE 映像的路径,而不是默认的 Windows OS 路径。

  5. 指定已加载配置单元 winpe-offline 的密钥。

  6. 在“文件”菜单上,选择“导入”。 浏览到之前导出并修改的已修改 .reg 文件。 选择“打开”。

  7. 浏览到以下注册表项:Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates 并确认已添加新密钥。

  8. 选择以下注册表项:Computer\HKEY_LOCAL_MACHINE\winpe-offline。 在“文件”菜单上,选择“卸载配置单元”,然后选择“是”。

  9. 关闭注册表编辑器和引用 C:\Mount 中文件的其他任何窗口。

  10. 卸载启动映像并提交更改。 例如: DISM /Unmount-image /Commit /MountDir:C:\Mount

启动映像现在包括受信任的根证书。

后续步骤

监视 OS 部署

管理任务序列来自动执行任务