Nasazení sekvence úloh přes internet prostřednictvím SCCM CMG

Tento výukový kurz vás provede nasazením sekvence úloh přes internet prostřednictvím SCCM CMG (Cloud Management Gateway). Pomocí funkce Povolit spuštění sekvence úloh pro klienta na internetu nasadíme OS přes ConfigMgr CMG.

Jednou z nových funkcí nástroje Configuration Manager 2010 bylo nasazení OS přes CMG pomocí zaváděcího média. Tato funkce byla také poprvé představena ve verzi Technical Preview 2009.

Podle společnosti Microsoft lze nyní pomocí zaváděcího média obnovovat internetová zařízení připojená přes CMG. Tento scénář vám pomůže lépe podporovat vzdálené pracovníky. Pokud se systém Windows nespustí tak, aby uživatel mohl přistupovat k Centru softwaru, můžete mu nyní poslat jednotku USB a přeinstalovat systém Windows.

Před nasazením sekvence úloh přes internet je třeba splnit spoustu předpokladů. Pokud dodržíte předpoklady, jsem si jistý, že OSD přes CMG bude fungovat bez problémů.

V mé laboratoři v současné době používám Configuration Manager 2010. Ujistěte se, že máte nainstalovanou opravu KB4594176, která se vztahuje pouze na ConfigMgr 2010 early update ring.

Mám také nastaveno PKI a bod správy a distribuční body jsou nakonfigurovány tak, aby používaly HTTPS. Pokud jste PKI nenastavili, podívejte se na mé průvodce PKI krok za krokem.

Nastavení brány pro správu cloudu

Nastavení brány pro správu cloudu je prvním předpokladem. Brána CMG poskytuje jednoduchý způsob správy klientů Configuration Manager na internetu.

Pokud nasadíte bránu CMG jako cloudovou službu v Microsoft Azure, můžete spravovat internetové klienty bez další infrastruktury. Pokud jste správu v cloudu nenastavili, můžete použít následující návod – https://www.prajwaldesai.com/setup-sccm-cloud-management-gateway/

Fungující CMG je nutností a musíte zajistit, aby CMG ve vašem nastavení fungoval správně. Abyste se ujistili, že je ConfigMgr CMG funkční, můžete použít RDP.

Můžete spustit analyzátor připojení brány správy cloudu. Výsledky analyzátoru by měly zobrazit chyby (pokud existují). Pokud všechny výsledky vykazují zelené kontroly, můžete přejít k dalšímu kroku.

Pokud navíc potřebujete soubory protokolu pro řešení problémů, můžete se podívat na Soubory protokolu CMG.

Distribuce sekvence úloh do CMG s podporou obsahu

Pokud vzdálený klient používá zaváděcí médium, připojí se k distribučnímu bodu CMG, aby stáhl obsah. Pokud CMG nemá obsah, sekvence úloh se nezdaří. Proto je důležité, abyste obsah sekvence úloh distribuovali do CMG.

Distribuce obsahu do CMG je velmi podobná způsobu distribuce obsahu do interních distribučních bodů. Klikněte pravým tlačítkem myši na sekvenci úloh a vyberte možnost Distribuovat obsah. V okně Cíl obsahu vyberte CMG a distribuujte obsah TS.

Chcete-li ověřit, zda je obsah distribuován do CMG, přejděte do části Sledování\Stav distribuce\Stav konfigurace distribučního bodu. Vyberte svůj CMG a dole se podívejte na statistiky dokončení.

Povolit přístup ke cloudovému distribučnímu bodu

Ve vašem nastavení klientského agenta musíte povolit přístup ke cloudovému distribučnímu bodu. V konzole Správce konfigurace přejděte do části Správa\Přehled\Nastavení klienta.

Zvolte možnost Cloudové služby. V části Nastavení zařízení/uživatele nastavte možnost Povolit přístup ke cloudovému distribučnímu bodu na hodnotu Ano, aby klienti mohli získávat obsah z cloudového distribučního bodu.

Povolit klientům používat bránu pro správu cloudu

Kromě povolení přístupu ke službě Cloud DP musíte klientům povolit také používání brány pro správu cloudu. V konzole Správce konfigurace přejděte do části Správa\Přehled\Nastavení klienta.

Zvolte možnost Cloudové služby. V části Nastavení zařízení/uživatele nastavte možnost Povolit klientům používat bránu pro správu cloudu na hodnotu Ano.

Klepnutím na tlačítko OK zavřete okno nastavení klienta.

Konfigurace kroku Použít sekvenci úloh síťových nastavení pro připojení k pracovní skupině

Pokud nasadíte sekvenci úloh přes internet prostřednictvím nástroje SCCM CMG, vzdálené zařízení se nemůže připojit k místní doméně Active Directory. Je to proto, že nemá připojení k řadiči domény, aby se mohlo připojit k doméně.

Proto musíme provést změnu v rámci kroku Použít nastavení sítě v sekvenci úloh. Upravte posloupnost úloh a klikněte na krok Použít nastavení sítě.

Zvolte možnost Připojit se k pracovní skupině a zadejte název pracovní skupiny. Pokud se jedná o novou sekvenci úloh, ujistěte se, že jste vybrali možnost Join a workgroup (Připojit se k pracovní skupině) namísto Join a domain (Připojit se k doméně).

Povolit spuštění sekvence úloh pro klienta na internetu

Pokud nasazujete sekvenci úloh přes internet, na kartě Uživatelské prostředí vyberte možnost Povolit spuštění sekvence úloh pro klienta na internetu. To platí i při vytváření nové sekvence úloh. Je to podmínka a tato možnost platí pouze pro klienty na internetu.

Nastavení nasazení – Zpřístupnit možnost, která obsahuje média

Při nasazení této sekvence úloh musíte v části Nastavení nasazení zadat následující údaje. Vyberte možnost Zpřístupnit pouze média a PXE.

Stáhnout obsah místně, pokud to spuštěná sekvence úloh potřebuje

Vlastnosti nasazení sekvence úloh musíte změnit také jinak. Na kartě Distribuční body v části Možnosti nasazení vyberte možnost Stáhnout obsah místně, když je to potřeba pro spuštěnou sekvenci úloh

Při výběru této možnosti určíte, že klienti budou stahovat obsah z distribučního bodu podle potřeby sekvence úloh. Klient spustí sekvenci úloh. Pokud krok sekvence úloh vyžaduje obsah, je stažen před spuštěním kroku.

Bez podpory bezdrátového připojení – pouze kabelové připojení k síti

Pokud nasazujete operační systém přes CMG pomocí zaváděcího média, ujistěte se, že zařízení má během spuštění sekvence úloh stálé připojení k internetu. Systém Windows PE nepodporuje bezdrátové sítě, takže zařízení potřebuje kabelové připojení k síti.

Předpoklady PKI pro zaváděcí médium

Pokud pro verzi 2010 early update ring používáte pro zaváděcí médium certifikát založený na PKI, nakonfigurujte jej pro SHA256 se zprostředkovatelem Microsoft Enhanced RSA a AES. Pro pozdější verze, včetně globálně dostupné verze 2010, je tato konfigurace certifikátu doporučena, ale není vyžadována. Certifikát může být certifikát v3 (CNG).

Pro hraniční skupinu, ve které se klient nachází :-

• Připojte systémy CMG nebo cloudové distribuční místo s povoleným obsahem.
• Povolte následující možnost: Preferovat cloudové zdroje před lokálními.

Vytvořit certifikát pro zaváděcí médium

Před vytvořením zaváděcího média vytvořme certifikát. Tento certifikát je vyžadován při vytváření we finalize boot media.

Přihlaste se k serveru s rolí certifikační autority. Klepněte pravým tlačítkem myši na položku Šablony certifikátů a klepněte na příkaz Spravovat.

Klepněte pravým tlačítkem myši na šablonu Ověřování pracovní stanice a klepněte na příkaz Duplikovat šablonu.

Ve vlastnostech nové šablony vyberte kartu Obecné a zadejte Název šablony, například SCCM Boot Media Cert.

Na kartě Zpracování požadavků se ujistěte, že jste povolili možnost Povolit export soukromého klíče.

Na kartě Kryptografie vyberte v části poskytovatelé možnost Microsoft Enhanced RSA a AES provider. Klikněte na tlačítko Použít a OK.

Klikněte pravým tlačítkem myši na Šablony certifikátů a klikněte na možnost Nová >Šablona certifikátu k vydání. Vyberte certifikát zaváděcího média a klikněte na tlačítko OK.

Před exportem certifikátu jej musíme nejprve importovat.

Na serveru webu spusťte konzolu certifikátů (spustit certlm.msc). Rozbalte položku Osobní a klepněte pravým tlačítkem myši na položku Certifikáty a klepněte na příkaz Všechny úlohy > Importovat. Vyberte certifikát zaváděcího média SCCM a klikněte na tlačítko Zapsat.

Nyní klikněte pravým tlačítkem myši na certifikát zaváděcího média a exportujte jej.

Zvolte Ano, exportovat privátní klíč.

Klikněte na tlačítko Další.

Zadejte heslo pro tento certifikát. Klikněte na tlačítko Další.

Exportujte certifikát.

Vytvořit zaváděcí médium sekvence úloh pro použití CMG

Pro vytvoření nového média sekvence úloh.

• V konzole Správce konfigurace přejděte do části Knihovna softwaru\Přehled\Operační systémy\Sekvence úloh.
• Na horním pásu klikněte na možnost Vytvořit médium sekvence úloh.

V okně Vyberte typ média vyberte zaváděcí médium. Klikněte na tlačítko Další.

Musíte vybrat, jak médium najde bod správy. Vyberte možnost Médium založené na místě. Klikněte na tlačítko Další.

Zadejte soubor média. Soubor by měl mít příponu .iso. Klikněte na tlačítko Další.

Zadejte heslo pro ochranu média sekvence úloh. V části Import certifikátu PKI klikněte na tlačítko Procházet a zadejte certifikát spouštěcího média a zadejte heslo. Klikněte na tlačítko Další.

Na stránce Zaváděcí obraz zadejte následující údaje.

• Zaváděcí obraz – Zadejte zaváděcí obraz x64.
• Distribuční místo – Toto je vaše distribuční místo, které je on-prem.
• Bod správy – Mělo by to být vaše CMG.

Klikněte na tlačítko Další.

Můžete přizpůsobit sekvenci úloh média. Klikněte na tlačítko Další.

Zavřete průvodce vytvořením média sekvence úloh.

Konec máme náš zaváděcí soubor média.

Nasazení Task Sequence přes internet prostřednictvím CMG

Nejprve musíte spustit zařízení pomocí zaváděcího média. V mé laboratoři mám nový prázdný virtuální počítač a připojím zaváděcí médium.

Virtuální počítač se zavede z média a během okamžiku byste měli najít průvodce Task Sequence. Zadejte heslo k zaváděcímu médiu a klikněte na tlačítko Další.

Vyberte sekvenci úloh a klikněte na tlačítko Další.

Musíte trpělivě čekat, až budou vyřešeny všechny závislosti sekvence úloh.

Začne nasazení sekvence úloh přes internet. Dále můžete spustit příkazový řádek a pomocí nástroje pro prohlížení souborů protokolu CMTrace zobrazit soubor smsts.log.

Pokud si nejste jisti umístěním souboru smsts.log, přečtěte si Umístění protokolu SMSTS během SCCM OSD.

Upozorňujeme, že stažení souboru .wim systému Windows 10 může trvat značnou dobu. Pokud se nezobrazí žádné chyby, počkejte, až se stahování dokončí.

Nakonec vidíme, že se instaluje agent Configuration Manager.

Úspěšně jsme nasadili OS přes CMG.