Подготовка серверов Windows для поддержки Configuration Manager Prepare Windows Servers to support Configuration Manager

Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)

Прежде чем использовать компьютер Windows в качестве сервера системы сайта для Configuration Manager, убедитесь, что он соответствует требованиям, предъявляемым для применения в качестве сервера сайта или сервера системы сайта. Before you can use a Windows computer as a site system server for Configuration Manager, the computer must meet the prerequisites for its intended use as a site server or site system server.

В эти требования часто входит одна или несколько функций или ролей Windows, которые включаются с помощью диспетчера серверов на компьютере. These prerequisites often include one or more Windows features or roles, which are enabled by using the computers Server Manager.

Так как способ включения функций и ролей Windows в версиях операционной системы отличается, см. документацию со сведениями о настройке используемой версии операционной системы. Because the method to enable Windows features and roles differs among OS versions, refer to the documentation for your OS version for detailed information about how to set up the OS that you use.

Этот раздел содержит обзор типов конфигураций Windows, которые необходимы для поддержки систем сайта Configuration Manager. The information in this article provides an overview of the types of Windows configurations that are required to support Configuration Manager site systems. Подробные сведения о конфигурациях для отдельных ролей системы сайта см. в статье Предварительные требования для сайта и системы сайта в System Center Configuration Manager. For configuration details for specific site system roles, see Site and site system prerequisites.

Функции и роли Windows Windows features and roles

При настройке функций и ролей Windows на компьютере может потребоваться его перезагрузить, чтобы завершить эту настройку. When you set up Windows features and roles on a computer, you might be required to reboot the computer to complete that configuration. Перед установкой сайта или сервера системы сайта Configuration Manager мы рекомендуем определить компьютеры, на которых будут располагаться конкретные роли системы сайта. Therefore, it’s a good idea to identify computers that will host specific site system roles before you install a Configuration Manager site or site system server.

Функции Features

Следующие функции Windows необходимы для определенных серверов системы сайта. Их следует настроить перед установкой роли системы сайта на данном компьютере. The following Windows features are required on certain site system servers and should be set up before you install a site system role on that computer.

.NET Framework. Включает: .NET Framework: Including

• ASP.NET ASP.NET
• Активация по протоколам HTTP HTTP Activation
• Активация по отличным от HTTP протоколам Non-HTTP Activation
• Службы Windows Communication Foundation Windows Communication Foundation (WCF) Services

Разным ролям системы сайта требуются разные версии платформы .NET Framework. Different site system roles require different versions of .NET Framework.

Платформа .NET Framework 4.0 и более поздних версий не является обратно совместимой, чтобы заменить платформу 3.5 и более ранних версий, поэтому если требуется использовать разные версии платформы, планируйте внедрить каждую из них на одном компьютере. Because .NET Framework 4.0 and later isn’t backward compatible to replace 3.5 and earlier versions, when different versions are listed as required, plan to enable each version on the same computer.

Фоновая интеллектуальная служба передачи (BITS) . Точкам управления требуется BITS (и автоматически выбранные параметры) для поддержки связи с управляемыми устройствами. Background Intelligent Transfer Services (BITS): Management points require BITS (and automatically selected options) to support communication with managed devices.

BranchCache. Точки распространения можно настроить с помощью BranchCache для поддержки клиентов, использующих BranchCache. BranchCache: Distribution points can be set up with BranchCache to support clients that use BranchCache.

Дедупликация данных. Точки распространения можно настроить на использование преимуществ дедупликации данных. Data Deduplication: Distribution points can be set up with and benefit from data deduplication.

Удаленное разностное сжатие (RDC) . Каждому компьютеру, на котором размещен сервер сайта или точка распространения, требуется RDC. Remote Differential Compression (RDC): Each computer that hosts a site server or a distribution point requires RDC. RDC используется для формирования подписей пакетов и сравнения подписей. RDC is used to generate package signatures and perform signature comparisons.

Роли Roles

Следующие роли Windows требуются для поддержки определенных функциональных возможностей, таких как развертывания обновлений программного обеспечения и операционных систем, а службы IIS требуются для наиболее типичных ролей системы сайта. The following Windows roles are required to support specific functionality, like software updates and OS deployments, while IIS is required by the most common site system roles.

Служба регистрации сертификатов для сетевых устройств (в составе служб сертификатов Active Directory) Эта роль Windows является необходимым условием для использования профилей сертификатов в Configuration Manager. Network Device Enrollment Service (under Active Directory Certificate Services): This Windows role is a prerequisite to use certificate profiles in Configuration Manager.

Веб-сервер (IIS) . Включает: Web server (IIS): Including:

• Общие функции HTTP Common HTTP Features
  — Перенаправление HTTP HTTP Redirection
• Разработка приложения Application Development
  — Расширяемость .NET .NET Extensibility
  — ASP.NET ASP.NET
  — Расширения ISAPI ISAPI Extensions
  — Фильтры ISAPI ISAPI Filters
• Средства управления Management Tools
  — Совместимость управления IIS 6 IIS 6 Management Compatibility
  — Совместимость метабазы IIS 6 IIS 6 Metabase Compatibility
  — Совместимость с инструментарием управления Windows IIS 6 IIS 6 Windows Management Instrumentation (WMI) Compatibility
• Безопасность Security
  — Фильтрация запросов Request Filtering
  — Проверка подлинности Windows Windows Authentication

Следующие роли системы сайта используют одну или несколько указанных конфигураций IIS: The following site system roles use one or more of the listed IIS configurations:

• Тточка веб-службы каталога приложений Application Catalog web service point
• Точка веб-сайта каталога приложений Application Catalog website point
• Точка распространения Distribution point
• Точка регистрации Enrollment point
• Прокси-точка регистрации. Enrollment proxy point
• Резервная точка состояния Fallback status point
• Точка управления Management point
• Точка обновления программного обеспечения Software update point
• точка миграции состояния, State migration point

Минимальная необходимая версия служб IIS представляет собой версию, входящую в состав операционной системы сервера сайта. The minimum version of IIS that’s required is the version that’s supplied with the OS of the site server.

Помимо этих конфигураций IIS может потребоваться настроить фильтрацию запросов служб IIS для точек распространения. In addition to these IIS configurations, you might need to set up IIS Request Filtering for distribution points.

Службы развертывания Windows. Эта роль используется при развертывании операционной системы. Windows Deployment Services: This role is used with OS deployment.

Windows Server Update Services. Эта роль необходима для обновления программного обеспечения. Windows Server Update Services: This role is required for software updates.

Фильтрация запросов служб IIS для точек распространения IIS request filtering for distribution points

По умолчанию службы IIS используют фильтрацию запросов, чтобы заблокировать доступ к различным расширениям имен файлов и расположениям папок для подключений по протоколу HTTP или HTTPS. By default, IIS uses request filtering to block several file name extensions and folder locations from access by HTTP or HTTPS communication. На точке распространения это не позволяет клиентам скачивать пакеты, содержащие заблокированные расширения или папки. On a distribution point, this prevents clients from downloading packages that have blocked extensions or folder locations.

Если исходные файлы пакета содержат расширения, заблокированные в службах IIS конфигурацией фильтрации запросов, необходимо настроить фильтрацию запросов, чтобы разрешить их. When your package source files have extensions that are blocked in IIS by your request filtering configuration, you must set up request filtering to allow them. Это можно сделать, изменив функцию фильтрации запроса в диспетчере IIS на компьютерах точек распространения. This is done by editing the request filtering feature in the IIS Manager on your distribution point computers.

Кроме того, Configuration Manager использует перечисленные ниже расширения имен файлов для пакетов и приложений. Additionally, the following file name extensions are used by Configuration Manager for packages and applications. Убедитесь, что конфигурации фильтрации запросов не блокируют эти расширения имен файлов: Make sure that your request filtering configurations don’t block these file extensions:

Например, в пакете развертывания программного обеспечения могут содержаться исходные файлы, включающие папку с именем bin или файл с расширением MDB. For example, source files for a software deployment might include a folder named bin or have a file that has the .mdb file name extension.

По умолчанию фильтрация запросов IIS блокирует доступ к этим элементам (bin блокируется как скрытый сегмент, а MDB блокируется как расширение имени файла). By default, IIS request filtering blocks access to these elements (bin is blocked as a Hidden Segment and .mdb is blocked as a file name extension).

Если на точке распространения используется конфигурация IIS по умолчанию, клиенты, использующие службу BITS, не смогут загрузить это развертывание программного обеспечения с точки распространения и отображают состояние ожидания содержимого. When you use the default IIS configuration on a distribution point, clients that use BITS fail to download this software deployment from the distribution point and indicate that they’re waiting for content.

Чтобы дать клиентам возможность скачать это содержимое, на каждой соответствующей точке распространения измените значение Фильтрация запросов в диспетчере IIS для разрешения доступа к расширениям файлов и папкам, содержащимся в развертываемых пакетах и приложениях. To let the clients download this content, on each applicable distribution point, edit Request Filtering in IIS Manager to allow access to the file extensions and folders that are in the packages and applications that you deploy.

Правки к фильтру запроса повышают уязвимость компьютера. Edits to the request filter can increase the attack surface of the computer.

• Изменения, вносимые на уровне сервера, применяются ко всем веб-сайтам на сервере. Edits that you make at the server level apply to all websites on the server.
  • Изменения, вносимые для отдельного веб-сайта, применяются только к этому веб-сайту. Edits that you make to individual websites apply to only that website.

В целях безопасности рекомендуется использовать Configuration Manager на выделенном веб-сервере. The security best practice is to run Configuration Manager on a dedicated web server. Если на веб-сервере требуется запускать другие приложения, используйте для Configuration Manager специальный веб-сайт. If you must run other applications on the web server, use a custom website for Configuration Manager. Дополнительные сведения см. в статье Веб-сайты для серверов системы сайта в System Center Configuration Manager. For information, see Websites for site system servers.

Команды HTTP HTTP verbs

Точки управления. Чтобы обеспечить возможность связи клиентов с точкой управления, убедитесь, что на сервере точки управления разрешены следующие HTTP-команды: Management points: To ensure that clients can successfully communicate with a management point, on the management point server ensure the following HTTP verbs are allowed:

• GET GET
• POST POST
• CCM_POST CCM_POST
• HEAD HEAD
• PROPFIND PROPFIND

Точки распространения. Для точек распространения необходимо разрешить следующие HTTP-команды: Distribution points: Distribution points require that the following HTTP verbs as allowed:

• GET GET
• HEAD HEAD
• PROPFIND PROPFIND

Дополнительные сведения см. в статье Configure Request Filtering in IIS (Настройка фильтрации запросов в IIS). For more information, see Configure request filtering in IIS.

Step 2 Configure the Remote Access Server

Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

This topic describes how to configure the client and server settings that are required for remote management of DirectAccess clients. Before you begin the deployment steps, ensure that you have completed the planning steps that are described in Step 2 Plan the Remote Access Deployment.

Task	Description
Install the Remote Access role	Install the Remote Access role.
Configure the deployment type	Configure the deployment type as DirectAccess and VPN, DirectAccess only, or VPN only.
Configure DirectAccess clients	Configure the Remote Access server with the security groups that contain DirectAccess clients.
Configure the Remote Access server	Configure the Remote Access server settings.
Configure the infrastructure servers	Configure the infrastructure servers that are used in the organization.
Configure application servers	Configure the application servers to require authentication and encryption.
Configuration summary and alternate GPOs	View the Remote Access configuration summary, and modify the GPOs if desired.

This topic includes sample Windows PowerShell cmdlets that you can use to automate some of the procedures described. For more information, see Using Cmdlets.

Install the Remote Access role

You must install the Remote Access role on a server in your organization that will act as the Remote Access server.

To install the Remote Access role

To install the Remote Access role on DirectAccess servers

On the DirectAccess server, in the Server Manager console, in the Dashboard, click Add roles and features.

Click Next three times to get to the server role selection screen.

On the Select Server Roles dialog, select Remote Access, and then click Next.

Click Next three times.

On the Select role services dialog, select DirectAccess and VPN (RAS) and then click Add Features.

Select Routing, select Web Application Proxy, click Add Features, and then click Next.

Click Next, and then click Install.

On the Installation progress dialog, verify that the installation was successful, and then click Close.

Windows PowerShell equivalent commands

The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Configure the deployment type

There are three options that you can use to deploy Remote Access from the Remote Access Management console:

DirectAccess and VPN

This guide uses the DirectAccess only method of deployment in the example procedures.

To configure the deployment type

On the Remote Access server, open the Remote Access Management console: On the Start screen, type, type Remote Access Management Console, and then press ENTER. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.

In the Remote Access Management Console, in the middle pane, click Run the Remote Access Setup Wizard.

In the Configure Remote Access dialog box, select DirectAccess and VPN, DirectAccess only, or VPN only.

Configure DirectAccess clients

For a client computer to be provisioned to use DirectAccess, it must belong to the selected security group. After DirectAccess is configured, client computers in the security group are provisioned to receive the DirectAccess Group Policy Objects (GPOs) for remote management.

To configure DirectAccess clients

In the middle pane of the Remote Access Management console, in the Step 1 Remote Clients area, click Configure.

In the DirectAccess Client Setup Wizard, on the Deployment Scenario page, click Deploy DirectAccess for remote management only, and then click Next.

On the Select Groups page, click Add.

In the Select Groups dialog box, select the security groups that contain the DirectAccess client computers, and then click Next.

On the Network Connectivity Assistant page:

In the table, add the resources that will be used to determine connectivity to the internal network. A default web probe is created automatically if no other resources are configured. When configuring the web probe locations for determining connectivity to the enterprise network, ensure that you have at least one HTTP based probe configured. Configuring only a ping probe is not sufficient, and it could lead to an inaccurate determination of connectivity status. This is because ping is exempted from IPsec. As a result, ping does not ensure that the IPsec tunnels are properly established.

Add a Help Desk email address to allow users to send information if they experience connectivity issues.

Provide a friendly name for the DirectAccess connection.

Select the Allow DirectAccess clients to use local name resolution check box, if required.

When local name resolution is enabled, users who are running the NCA can resolve names by using DNS servers that are configured on the DirectAccess client computer.

Click Finish.

Configure the Remote Access server

To deploy Remote Access, you need to configure the server that will act as the Remote Access server with the following:

Correct network adapters

A public URL for the Remote Access server to which client computers can connect (the ConnectTo address)

An IP-HTTPS certificate with a subject that matches the ConnectTo address

Client computer authentication

To configure the Remote Access server

In the middle pane of the Remote Access Management console, in the Step 2 Remote Access Server area, click Configure.

In the Remote Access Server Setup Wizard, on the Network Topology page, click the deployment topology that will be used in your organization. In Type the public name or IPv4 address used by clients to connect to the Remote Access server, enter the public name for the deployment (this name matches the subject name of the IP-HTTPS certificate, for example, edge1.contoso.com), and then click Next.

On the Network Adapters page, the wizard automatically detects:

Network adapters for the networks in your deployment. If the wizard does not detect the correct network adapters, manually select the correct adapters.

IP-HTTPS certificate. This is based on the public name for the deployment that you set during the previous step of the wizard. If the wizard does not detect the correct IP-HTTPS certificate, click Browse to manually select the correct certificate.

Click Next.

On the Prefix Configuration page (this page is only visible if IPv6 is detected in the internal network), the wizard automatically detects the IPv6 settings that are used on the internal network. If your deployment requires additional prefixes, configure the IPv6 prefixes for the internal network, an IPv6 prefix to assign to DirectAccess client computers, and an IPv6 prefix to assign to VPN client computers.

On the Authentication page:

For multisite and two-factor authentication deployments, you must use computer certificate authentication. Select the Use computer certificates check box to use computer certificate authentication and select the IPsec root certificate.

To enable client computers running Windows 7 to connect via DirectAccess, select the Enable Windows 7 client computers to connect via DirectAccess check box. You must also use computer certificate authentication in this type of deployment.

Click Finish.

Configure the infrastructure servers

To configure the infrastructure servers in a Remote Access deployment, you must configure the following:

Network location server

DNS settings, including the DNS suffix search list

Any management servers that are not automatically detected by Remote Access

To configure the infrastructure servers

In the middle pane of the Remote Access Management console, in the Step 3 Infrastructure Servers area, click Configure.

In the Infrastructure Server Setup Wizard, on the Network Location Server page, click the option that corresponds to the location of the network location server in your deployment.

If the network location server is on a remote web server, enter the URL, and then click Validate before you continue.

If the network location server is on the Remote Access server, click Browse to locate the relevant certificate, and then click Next.

On the DNS page, in the table, enter additional name suffixes that will be applied as Name Resolution Policy Table (NRPT) exemptions. Select a local name resolution option, and then click Next.

On the DNS Suffix Search List page, the Remote Access server automatically detects domain suffixes in the deployment. Use the Add and Remove buttons to create the list of domain suffixes that you want to use. To add a new domain suffix, in New Suffix, enter the suffix, and then click Add. Click Next.

On the Management page, add management servers that are not detected automatically, and then click Next. Remote Access automatically adds domain controllers and Configuration Manager servers.

Click Finish.

Configure application servers

In a full Remote Access deployment, configuring application servers is an optional task. In this scenario for remote management of DirectAccess clients, application servers are not utilized and this step is greyed out to indicate that it is not active. Click Finish to apply the configuration.

Configuration summary and alternate GPOs

When the Remote Access configuration is complete, the Remote Access Review is displayed. You can review all of the settings that you previously selected, including:

GPO Settings

The DirectAccess server GPO name and Client GPO name are listed. You can click the Change link next to the GPO Settings heading to modify the GPO settings.

Remote Clients

The DirectAccess client configuration is displayed, including the security group, connectivity verifiers, and DirectAccess connection name.

Remote Access Server

The DirectAccess configuration is displayed, including the public name and address, network adapter configuration, and certificate information.

Infrastructure Servers

This list includes the network location server URL, DNS suffixes that are used by DirectAccess clients, and management server information.