Deze tutorial helpt u bij het implementeren van een taaksequentie via internet via SCCM CMG (Cloud Management Gateway). Met behulp van de functie Allow task sequence to run for client on the Internet, zullen we OS uitrollen over ConfigMgr CMG.

Eén van de nieuwe functies van Configuration Manager 2010 was het uitrollen van een OS over CMG met behulp van opstartbare media. Deze functie werd ook voor het eerst geïntroduceerd in de technische preview 2009 versie.

Volgens Microsoft, kunt u nu bootable media gebruiken om internet-gebaseerde apparaten die verbinding maken via een CMG te re-imagen. Dit scenario helpt u om externe medewerkers beter te ondersteunen. Als Windows niet wil starten zodat de gebruiker toegang heeft tot Software Center, kun je ze nu een USB-stick sturen om Windows opnieuw te installeren.

Het belangrijkste is dat er veel voorwaarden zijn voordat je de taakreeks via internet implementeert. Als je aan de voorwaarden voldoet, weet ik zeker dat de OSD via CMG goed zal werken.

In mijn lab draai ik momenteel Configuration Manager 2010. Zorg ervoor dat u hebt geïnstalleerd hotfix KB4594176 die alleen van toepassing op ConfigMgr 2010 vroege update ring.

Ik heb ook setup PKI en management point en distributiepunten zijn geconfigureerd om HTTPS te gebruiken. Als u PKI nog niet hebt ingesteld, raadpleeg dan mijn stapsgewijze PKI-handleidingen.

Inhoud

Een cloud-beheergateway instellen

Een cloud-beheergateway instellen is de eerste vereiste. CMG biedt een eenvoudige manier om Configuration Manager-clients op internet te beheren.

Wanneer u CMG inzet als een cloudservice in Microsoft Azure, kunt u internetclients beheren zonder extra infrastructuur. Als je het cloudbeheer nog niet hebt ingesteld, kun je de volgende handleiding gebruiken – https://www.prajwaldesai.com/setup-sccm-cloud-management-gateway/

Een werkende CMG is een must en je moet ervoor zorgen dat de CMG goed werkt in je setup. U kunt uw ConfigMgr CMG RDP-en om er zeker van te zijn dat deze werkt.

U kunt de cloud management gateway connection analyzer uitvoeren. De analyseresultaten zouden fouten moeten tonen (indien aanwezig). Als alle resultaten groene vinkjes laten zien, kunt u doorgaan naar de volgende stap.

Daarnaast kunt u, als u log bestanden nodig heeft voor troubleshooting, de CMG Log Files raadplegen.

CMG Connection Analyzer
CMG Connection Analyzer

Taakreeks distribueren naar een CMG met inhoud

Wanneer een externe client opstartmedia gebruikt, maakt deze verbinding met het CMG-distributiepunt om de inhoud te downloaden. Als de CMG de inhoud niet heeft, zal je taaksequentie mislukken. Daarom is het belangrijk dat u de inhoud van de taakreeks distribueert naar CMG.

Het distribueren van de inhoud naar CMG lijkt veel op de manier waarop u de inhoud distribueert naar uw interne distributiepunten. Klik met de rechter muisknop op de taakreeks en selecteer Distribute Content. In het Content Destination venster, selecteer CMG en distribueer de TS content.

Om te controleren of de content is gedistribueerd naar CMG, ga naar Monitoring\Distribution Status\Distribution Point Configuration Status. Selecteer uw CMG en kijk onderaan naar de voltooiingsstatistieken.

Taakreeks distribueren naar een CMG met inhoud
Taakreeks distribueren naar een CMG met inhoud

Toegang tot clouddistributiepunt toestaan

Vanuit uw client-agentinstellingen moet u toegang tot clouddistributiepunt toestaan. Ga in de Configuration Manager-console naar Beheer, overzicht, clientinstellingen

Selecteer cloudservices. Stel onder Apparaat-/gebruikersinstellingen de optie Toegang tot clouddistributiepunt toestaan in op Ja zodat clients inhoud kunnen verkrijgen van een clouddistributiepunt.

Toegang tot clouddistributiepunt toestaan
Toegang tot clouddistributiepunt toestaan

Clients inschakelen om een cloudbeheergateway te gebruiken

Naast het toestaan van toegang tot Cloud DP moet u clients ook inschakelen om een cloudbeheergateway te gebruiken. Ga in de Configuration Manager-console naar Beheer, overzicht, clientinstellingen

Selecteer Cloud Services. Zet onder Device/User Settings de optie Enable clients to use a cloud management gateway op Yes.

Klik op OK om het client settings venster te sluiten.

Clients inschakelen om een gateway voor cloudbeheer te gebruiken
Clients inschakelen om een gateway voor cloudbeheer te gebruiken

Configureer de taaksequentiestap Netwerkinstellingen toepassen om lid te worden van een werkgroep

Wanneer u de taaksequentie via internet implementeert via SCCM CMG, kan het externe apparaat geen lid worden van het on-premises Active Directory-domein. Dat komt omdat het geen verbinding heeft met een domeincontroller om lid te worden van het domein.

Daarom moeten we een wijziging aanbrengen in de stap Netwerkinstellingen toepassen in de taaksequentie. Bewerk de taaksequentie en klik op de stap Netwerkinstellingen toepassen.

Selecteer Join a workgroup en geef de naam van de werkgroep op. Als het een nieuwe taakreeks is, zorg ervoor dat u Join a workgroup selecteert in plaats van Join a domain.

Configureer de stap Netwerkinstellingen toepassen taaksequentie om lid te worden van een werkgroep
Configureer de stap Netwerkinstellingen toepassen taaksequentie om lid te worden van een werkgroep

Sta toe dat taaksequentie wordt uitgevoerd voor client op internet

Wanneer u de taaksequentie via internet implementeert, selecteert u op het tabblad Gebruikerservaring de optie Sta toe dat taaksequentie wordt uitgevoerd voor client op het internet. Dit geldt zelfs wanneer u een nieuwe taakreeks maakt. Deze optie is alleen van toepassing op clients die via internet werken.

Taakreeks toestaan om te worden uitgevoerd voor client op internet
Taakreeks toestaan om te worden uitgevoerd voor client op internet

Implementatie-instellingen – Beschikbaar maken voor een optie die media bevat

Wanneer u deze taakreeks implementeert, moet u onder de implementatie-instellingen het volgende opgeven. Selecteer beschikbaar maken voor alleen media en PXE.

Toedieningsinstellingen - Beschikbaar maken voor een optie die media bevat
Toedieningsinstellingen – Beschikbaar maken voor een optie die media bevat

Download inhoud lokaal wanneer dit nodig is voor de lopende taaksequentie

U moet ook nog een andere wijziging aanbrengen in de eigenschappen van de taaksequentie die wordt geïmplementeerd. Op het tabblad Distributiepunten, onder Implementatieopties, selecteert u Download inhoud lokaal wanneer nodig voor de lopende taaksequentie.

Met deze optie selecteert u dat clients inhoud downloaden van het distributiepunt wanneer het nodig is voor de taaksequentie. De client start de takenreeks. Wanneer voor een stap in de takenreeks inhoud nodig is, wordt deze gedownload voordat de stap wordt uitgevoerd.

Download inhoud lokaal wanneer deze nodig is voor de lopende takenreeks
Download inhoud lokaal wanneer deze nodig is voor de lopende takenreeks

Geen draadloze ondersteuning – Alleen bekabelde netwerkverbinding

Wanneer u een besturingssysteem via CMG implementeert met behulp van opstartbare media, moet u ervoor zorgen dat het apparaat een constante internetverbinding heeft terwijl de takenreeks wordt uitgevoerd. Windows PE ondersteunt geen draadloze netwerken, dus het apparaat heeft een bekabelde netwerkverbinding nodig.

PKI-vereisten voor opstartbare media

Voor versie 2010 vroege update ring, als u een PKI-gebaseerd certificaat gebruikt voor de opstartmedia, configureert u deze voor SHA256 met de Microsoft Enhanced RSA en AES provider. Voor latere releases, inclusief de wereldwijd beschikbare versie 2010, wordt deze certificaatconfiguratie aanbevolen, maar is deze niet vereist. Het certificaat kan een v3 (CNG)-certificaat zijn.

PKI-voorwaarde voor opstartbare media
PKI-voorwaarde voor opstartbare media

Voor de grensgroep waarin de client zich bevindt :-

  • Sluit de voor inhoud geschikte CMG- of clouddistributiepunt-site-systemen aan.
  • Sluit de volgende optie in: Prefer cloud-gebaseerde bronnen boven on-premise bronnen.

Certificaat voor Boot Media aanmaken

Voordat u een bootable media aanmaakt, laten we een certificaat aanmaken. Dit certificaat is nodig bij het maken van de uiteindelijke boot media.

Log in op de server met de Certification Authority rol. Klik met de rechtermuisknop op Certificaatsjablonen en klik op Beheren.

Beheer Certificaatsjablonen
Beheer Certificaatsjablonen

Klik met de rechtermuisknop op de sjabloon Werkstationauthenticatie en klik op Dupliceer sjabloon.

Dupliceer sjabloon voor werkstationauthenticatie
Dupliceer sjabloon voor werkstationauthenticatie

Selecteer in de eigenschappen van de nieuwe sjabloon het tabblad Algemeen en geef de sjabloonnaam op, zoals SCCM Boot Media Cert.

Specify Template Name
Specify Template Name

Op het tabblad Request Handling moet u ervoor zorgen dat u toestaan dat de privésleutel wordt geëxporteerd inschakelt.

Toelaten dat privésleutel wordt geëxporteerd
Toelaten dat privésleutel wordt geëxporteerd

Op het tabblad Cryptography moet u onder providers Microsoft Enhanced RSA- en AES-provider selecteren. Klik op Toepassen en OK.

Microsoft Enhanced RSA- en AES-provider
Microsoft Enhanced RSA- en AES-provider

Klik met de rechtermuisknop op Certificaatsjablonen en klik op Nieuw > Certificaatsjabloon om uit te geven. Selecteer het boot media-certificaat en klik op OK.

Het SCCM Boot Media-certificaat inschakelen
Het SCCM Boot Media-certificaat inschakelen

Voordat we het certificaat exporteren, moeten we het eerst importeren.

Op uw siteserver start u de certificatenconsole (voer certlm.msc uit). Vouw Personal uit en klik met de rechtermuisknop op Certificates en klik op All Tasks > Import. Selecteer het SCCM Boot Media Cert en klik op Enroll.

Issue the SCCM Boot Media Certificate
Issue the SCCM Boot Media Certificate

Klik nu met de rechtermuisknop op het boot media cert en exporteer het.

Export the Certificate
Export the Certificate

Selecteer Ja, exporteer de privésleutel.

Exporteer het certificaat - Particuliere sleutel
Exporteer het certificaat – Particuliere sleutel

Klik op Volgende.

Exporteer het certificaat - Particuliere sleutel
Exporteer het certificaat – Particuliere sleutel

Stel een wachtwoord in voor dit certificaat. Klik op Volgende.

Het wachtwoord voor het certificaat opgeven
Het wachtwoord voor het certificaat opgeven

Het certificaat exporteren.

Create Certificate for Boot Media
Create Certificate for Boot Media

Er moet een opstartbaar medium voor taaksequenties worden gemaakt om CMG te gebruiken

Er moet een nieuw medium voor taaksequenties worden gemaakt.

  • In de Configuration Manager-console gaat u naar Softwarebibliotheek Besturingssystemen
  • Op het bovenste lint klikt u op Create Task Sequence Media.
Maak een opstartbaar medium van een taaksequentie om CMG te gebruiken
Maak een opstartbaar medium van een taaksequentie om CMG te gebruiken

Selecteer in het venster Type media selecteren het type opstartbaar medium. Klik op Volgende.

Een opstartbaar medium uit de taaksequentie maken om CMG te gebruiken
Een opstartbaar medium uit de taaksequentie maken om CMG te gebruiken

U moet selecteren hoe media een beheerpunt vinden. Selecteer Sitegebaseerde media. Klik op Volgende.

Selecteer Sitegebaseerde media
Selecteer Sitegebaseerde media

Specificeer het mediabestand. Het bestand moet de extensie .iso hebben. Klik op Volgende.

Specifieer het mediabestand
Specifieer het mediabestand

Specifieer een wachtwoord om de media van de taaksequentie te beveiligen. Klik onder PKI-certificaat importeren op Bladeren en geef het opstartmediacertificaat op en voer het wachtwoord in. Klik op Volgende.

Import PKI Certificate
Import PKI Certificate

Specifieer het volgende op de pagina Boot Image.

  • Boot Image – Geef de x64 boot image op.
  • Distributiepunt – Dit is uw distributiepunt dat on-prem is.
  • Management Point – Dit moet uw CMG zijn.

Klik op Next.

Selecteer de boot image voor Media
Selecteer de boot image voor Media

U kunt de taakvolgorde media aanpassen. Klik op Volgende.

Taaksequentie via internet via SCCM CMG
Taaksequentie via internet via SCCM CMG

Sluit de wizard Taaksequentie-media maken.

OS implementeren via CMG
OS implementeren via CMG

Uit eindelijk hebben we ons opstartbaar mediabestand.

Task Sequence bootable media to use CMG
Task Sequence bootable media to use CMG

Deploy Task Sequence over Internet via CMG

Vooreerst moet je je apparaat opstarten met de boot media. In mijn lab heb ik een nieuwe lege VM en ik ga de opstartmedia mounten.

Mount the Bootable Media
Mount the Bootable Media

De VM start op vanaf de media en in een mum van tijd zou u de wizard Task Sequence moeten vinden. Voer het wachtwoord voor het opstartmedium in en klik op Volgende.

Voer het wachtwoord voor het opstartmedium in
Voer het wachtwoord voor het opstartmedium in

Selecteer de taaksequentie en klik op Volgende.

Selecteer de taaksequentie
Selecteer de taaksequentie

U moet geduldig wachten tot alle afhankelijkheden van de taaksequentie zijn opgelost.

Oplossen van geselecteerde afhankelijkheden van taaksequentie
Oplossen van geselecteerde afhankelijkheden van taaksequentie

De implementatie van de taaksequentie via internet begint. Bovendien kunt u opdrachtprompt starten en het hulpprogramma CMTrace voor het bekijken van logbestanden gebruiken om smsts.log.

Als u niet zeker bent van de locatie van het bestand smsts.log, leest u Locatie van SMSTS-logboek tijdens SCCM OSD.

Taaksequentie via internet uitrollen via SCCM CMG
Taaksequentie via internet uitrollen via SCCM CMG

Merk op dat het downloaden van het Windows 10 .wim-bestand veel tijd in beslag kan nemen. Als u geen fouten ziet, wacht u tot het downloaden is voltooid.

Taaksequentie via internet verspreiden via SCCM CMG
Taaksequentie via internet verspreiden via SCCM CMG

Tot slot zien we dat de Configuration Manager-agent wordt geïnstalleerd.

Configuration Manager Agent Setup
Configuration Manager Agent Setup

We hebben met succes het besturingssysteem via CMG geïmplementeerd.

Windows 10 geïmplementeerd via CMG
Windows 10 geïmplementeerd via CMG
Avatar van Prajwal Desai

Hoi, ik ben Prajwal Desai. De laatste paar jaar heb ik gewerkt aan meerdere technologieën, zoals SCCM / Configuration Manager, Intune, Azure, Security enz. Ik heb deze site gemaakt zodat ik waardevolle informatie met iedereen kan delen.

Reageren

Het e-mailadres wordt niet gepubliceerd.