CMG云管理网关的最佳设置指南欢迎您~
本文详细介绍了设置SCCM云管理网关角色的步骤。欢迎您~SCCM没有发生提供了一种在internet上管理Configuration Manager客户端的简单方法。
您可以使用本云管理网关实施指南安装欢迎您~和配置CMG。在SCCM中,设置CMG(云管理网关)非欢迎您~常简单。
在Microsoft Azure中将CM欢迎您~G部署为云服务。SCCM CMG设置的最大优点是不需要将本地基础设施暴露给internet。你的管理分使用CMG时不会接触到网络。
您可以在主站点或中央管理站点(CAS)上安装云管理网关(CMG)的多个实例。欢迎您~
在本指南中,我们将了解什么是SCCM CMG,如何设置和配置CMG以及用于故障排除的CMG日志文件。
目录
什么是SCCM云管理网关?欢迎您~
云管理网欢迎您~关也称为SCCM没有发生提供了一种在internet上管理Configuration Manager客户端的简单方法。当您将SCCM CMG部署为云服务时欢迎您~微软Azure,您可以管理Internet客户端,而无需额外的基础设施。
SCCM云管理网关的最大优势或好处是您不需要将本地基础设施暴露给internet。欢迎您~如果你打算使用CMG,我建议你阅读这篇文章文章由微软。
CMG使用Azure云服务作为PaaS欢迎您~,该服务使用涉及计算成本的虚拟机(vm)。缺省情况下,SCCM CMG使用Standard A2 V2虚拟机。
在设置SCCM云管理网关时,您可以选择支持欢迎您~CMG的虚拟机实例的数量。一个CMG在Azure云服务中最多支持16个虚拟机(VM)实例。欢迎您~
SCCM CMG高级步骤
- 设置SCCM CMG服务器认证证书
- 向客户端设置SCCM CMG可信根证书
- 安装客户端信任的根证书到SCCM CMG
- 为管理点配置HTTPS证书
- 配置Azure管理证书
- 指定唯一SCCM CMG DNS名称
- 为云管理配置Azure服务欢迎您~
- 验证配置管理器Azure服务
- 创建并颁发Web服务器SCCM CMG证书模板
- 在主站点服务器上导入Web Server CMG证书
- 导出CMG Web服务器证书
- 设置SCCM云管理网关欢迎您~(SCCM CMG)
- 安装云管理网关连欢迎您~接点
- 允许SCCM云管理网关欢迎您~流量和云分发点
- 将SCCM CMG与边界组联系起来
- 为CMG配置客户端
CMG端口和数据流
当您计划设置SCCM CMG时,您不需要向本地网络开放任何入站端口。的服务连接点而且CMG连接点是启动与Azure和CMG的所有通信的程序。
服务连接点在Azure中部署和监视服务,因此它必须处于在线模式。SCCM CMG连接点连接到CMG,以管理SCCM CMG和本地站点系统角色之间的通信。
下面的截图显示了SCCM云管理网关图。欢迎您~有关SCCM云管理网关端口的完整信息,请阅读以下内容欢迎您~文章.
前提条件
以下是SCCM CMG的重要要求或先决条件:
- 首先,您需要一个Azure订阅来托管云管理网关。欢迎您~它可以是全球Azure云或Azure美国政府云。欢迎您~
- 订阅了云服务提供商(CSP)的客户欢迎您~需要使用SCCM 2010或更高版本的虚拟机规模集部署。
- 您的用户帐户需要是完整的管理员或基础设施管理员在配置管理器中。
- 如果您正在部署SCCM CMG,那么您需要一个Subscription Admin。要将站点与Azure AD集成,以便使用Azure资源管理器部署CMG,您需要一个全局管理员。
- 在建立云管理网关之前,SCCM服务连接点应处于在线模式。欢迎您~
- 您需要CMG的服务器身份验证证书。
- 客户端必须使用IPv4协议。
- 配置管理点允许来自CMG的流量。它还需要HTTPS,或者配置站点为Enhanced HTTP.
- 与Azure AD集成,用于使用Azure资源管理器部署服务。
- 在将站点与Azure AD集成以使用Azure资源管理器部署CMG时,您需要一个全球管理员.
- 创建CMG时,需要一个Azure订阅所有者帐户和一个Azure AD全局管理员.
- 您至少需要一台本地Windows Server来托管CMG连接点。
- 对于将使用CMG的设备,云服务组中的以下客户端设置已启用:欢迎您~
- 允许客户端使用云管理网关欢迎您~
- 允许访问云分发点欢迎您~
- 从ConfigMgr版本2203,将CMG部署为云服务(经典)的选项被删除。欢迎您~所有CMG部署都应该使用虚拟机规模集。
云管理网关支持的配置欢迎您~
当您计划CMG时,了解云管理网关支持哪些配置非常重要。欢迎您~
- 对于Windows版本,几乎所有配置管理器支持的Windows版本都支持CMG。
- CMG只支持管理点和软件更新点角色。华体会体育系列你也可以使用CMG在互联网上部署任务序列.
- CMG不支持只与IPv6地址通信的客户端。CMG完全支持IPv4客户端。
- 华体会体育系列使用网络负载均衡器的软件更新点不适用于CMG。
- 从版本2203开始,将CMG部署为云服务(经典)的选项被删除。欢迎您~所有CMG部署都应该使用虚拟机规模集。
云管理网关的成本欢迎您~
当您在SCCM中计划CMG时,您必须知道它不是免费的,并且有相关的成本。用它。CMG是有成本的,因为它使用了Azure中的几个组件。
成本费用由Azure订阅帐户承担。有些费用是固定的,但有些费用根据使用情况而变化。
两种主要的CMG成本包括托管CMG服务的虚拟机成本和传输到CMG的数据量。
在计算CMG的成本时,涉及以下组件:
- 虚拟机规模集
- 出站数据传输
- 内容存储
有关CMG成本的更多信息,请参阅云管理网关的成本欢迎您~篇文章。
配置管理器CMG组件
当您计划CMG时,CMG的部署和操作包括以下组件:
- Azure中的C欢迎您~MG云服务通过internet对配置管理器客户端请求进行身份验证并将其转发到本地CMG连接点。
- CMG连接点站点系统角色可以实现从本地网络到Azure中的CMG服务的一致的高性能连接。它还向CMG发布设置,包括连接信息和安全设置。CMG连接点根据URL映射将客户端请求从CMG转发到本地角色。
- 服务连接点站点系统角色运行云服务管理器组件,该组件处理所有CMG部署任务。欢迎您~此外,它还监视和报告来自Azure Active Directory (Azure AD)的服务运行状况和日志信息。确保您的服务连接点处于在线模式。
- 管理要点华体会体育系列软件更新点站点系统角色正常服务客户端请求。
- CMG使用基于证书的HTTPS web服务来帮助与客户端进行安全的网络通信。
- 基于internet的客户端连接到CMG以访问内部配置管理器组件。客户端标识和身份验证有多种选项:
- Azure的广告
- PKI证书
- 配置管理器站点颁发的令牌
- CMG创建一个Azure存储帐户,用于其标准操作。默认情况下,CMG也是支持内容的,可以向基于internet的客户端提供部署内容。此存储帐户不支持自定义,例如虚拟网络限制。
CMG证书要求
在您设置ConfigMgr CMG之前,有一件事是您必须真正做的没有发生证书.我没有在SCCM CMG先决条件部分中包括这些信息,因为这个主题相当复杂。但是,我会尽我最大的努力让你轻松。
- CMG服务器认证证书
- CMG信任根证书给客户端
- 公共提供商/企业PKI颁发的服务器认证证书
- 客户端认证证书
- 客户端信任的根证书到SCCM CMG
- 用于管理点的HTTPS证书
- Azure管理证书
SCCM CMG服务器认证证书
在Configuration Manager控制台中创建云管理网关时,需要服务器身份验证证书。欢迎您~SCCM CMG设置基本上创建了一个HTTPS服务,您的互联网客户端连接到该服务。
对于有效的Configuration Manager CMG服务器身份验证证书,您可以从公共提供者获得证书,也可以从您的公共密钥基础设施(PKI)颁发证书。在这篇文章中,我将从我的PKI颁发证书。
如果您使用的是SCCM版本1802及以上,您可以使用通配符证书作为CMG服务器证书。在创建此证书之前,请确保用于CMG的Azure域名是唯一的。
SCCM CMG信任根证书给客户端
此证书适用于必须信任CMG服务器认证证书的客户端。有两种方法可以做到这一点:-
- 使用来自公共且全球受信任的证书提供者的证书。
- 使用企业CA从您的公共密钥基础设施(PKI)颁发的证书。
客户端信任的根证书到SCCM CMG
在Configuration Manager控制台中设置云管理网关时提供此根证书。欢迎您~CMG必须信任客户端认证证书。如果使用PKI客户端身份验证证书,则必须向CMG添加受信任的根证书。
用于管理点的HTTPS证书
在管理点上配置HTTPS需要PKI,这个主题是巨大的。不要担心,我已经介绍了用于SCCM的PKI证书的逐步部署在这里.
Azure管理证书
Azure管理证书是经典服务部署所必需的。对于SCCM 1810及以上版本,Azure中的经典服务部署已弃用。因此,开始为云管理网关使用Azure资源管理器部署吧。欢迎您~
指定唯一SCCM CMG DNS名称
用于在Azure中设置CMG的DNS名称必须是唯一的。您可以在Azure门户中检查CMG DNS名称的可用性。当您输入DNS名称时,您应该看到一个绿色勾号或红色勾号X.绿色勾号表示域名可用,红色X表示DNS名称不可用。
登录到Azure门户并选择欢迎您~云服务(经典).点击+添加按钮。
输入DNS名称,该名称应该是唯一的,正如我前面提到的那样。在我的情况下,我看到一个绿色勾,所以我将使用prajwalcmg.cloudapp.net作为CMG DNS名称。欢迎您~
此时,您有两种选择。您可以跳过创建这个服务,因为它将在我们设置SCCM CMG时自动创建。您还可以创建服务并在设置SCCM CMG时使用它。
为云管理配置Azure服务欢迎您~
我们现在将为CMG配置Azure云服务,您可以使用欢迎您~Azure服务向导.我们将创建web应用程序和本地客户端应用程序,提供订阅和配置细节,并验证与Azure AD的通信。
去政府>概述>欢迎您~云服务>Azure服务.右击Azure服务并点击配置Azure服务.
选择Azure服务为欢迎您~云管理并指定名称和描述。点击下一个.
选择Azure环境AzurePublicCloud。欢迎您~首先,我们将创建一个web应用程序,单击浏览.
在服务器应用程序框中,单击创建.
在“创建服务器应用程序”框中输入应用程序名称。它可以是任何东西。指定密钥验证周期,然后单击下一步登录按钮。
您现在应该看到一个框,您必须在其中登录。输入正确的凭据后,将显示Azure AD租户名称登录成功消息。点击好吧.
选择刚才创建的服务器应用程序并单击好吧.
现在我们将创建一个本地客户端应用程序,因此单击浏览.
输入应用程序名称,然后必须再次登录。当你这样做时,点击好吧.
现在我们已经创建了服务器和客户端应用程序。点击下一个.
你可以离开这个选项。”启用Azure活动目录用户发现”选中。点击下一个.
点击下一个在摘要页。
最后,在Completion窗口中单击关闭.
验证配置管理器Azure服务
要验证为配置管理器创建的Azure服务,请单击Azure服务.在右侧窗格中,您应该看到Azure服务和关联Azure服务这是欢迎您~云管理.
如果你点击Azure Active Directory租户,您应该看到租户名称和租户ID。除此之外,您还将看到应用程序名称,承租者ID,客户机ID在底部的窗格中。
创建并颁发Web服务器SCCM CMG证书模板
在本节中,我们将使用web服务器证书模板创建一个新的自定义证书。此时,如果在实现PKI期间创建了模板,则可以简单地复制SCCM IIS证书并利用它。
如果没有,可以复制web服务器模板进行配置。此证书将用于SCCM云管理网关的安装。欢迎您~
登录到证书颁发机构服务器,打开证书颁发机构控制台。右键单击证书模板并选择管理.
右击Web服务器并点击复制模板.
点击兼容性选项卡,并确保设置与以下截图相同。
点击一般选项卡并指定此神殿的名称。我把它命名为CMG证书.
点击请求处理并确保允许导出私钥检查。
现在点击安全选项卡,添加包含SCCM主站点服务器计算机帐户的组。选择组并启用招收许可。
对于企业管理员,可以取消勾选招收许可。点击应用而且好吧.关闭控制台。
现在右击证书模板,然后单击新>要颁发的证书模板.
选择SCCM CMG证书,单击好吧.
在主站点服务器上导入Web Server CMG证书
在您创建了SCCM CMG证书之后,我们现在将在我们的SCCM服务器上导入这个证书。
登录到SCCM服务器。打开Certificates控制台(运行该命令certlm.msc-这可以节省你的时间)。扩大个人>证书.右击证书>所有任务年代>申请新证书.
从证书列表中,选择SCCM CMG Certificate并单击下面的链接。
在“证书属性”对话框中,在“主题名称”下,选择“类型”为“完整DN”。在“Alternative name”中选择“Type”为“DNS”,并输入服务名称。
输入要与SCCM CMG一起使用的公共DNS名称。我将在这里输入*.prajwal.org,这允许我使用CMG的任何子域。
点击一般选项卡并为此证书指定一个友好的名称,然后单击应用而且好吧.
点击招收.
注册证书成功。点击完成.
导出CMG Web服务器证书
在上面的步骤中,在站点服务器上,您请求了CMG证书并注册了它。现在,我们将以. pfx格式导出该证书。在创建云管理网关时需要此证书。欢迎您~
选择CMG证书,右键单击所有任务>出口.
在“欢迎使用证书导出向导”上,单击下一个.
选择是,导出私钥.点击下一个.
此处不做任何更改,然后单击下一个.
输入CMG证书密码,单击下一个.
将CMG证书保存在您的计算机上。点击下一个.
点击完成.这就完成了CMG证书导出过程。
设置SCCM云管理网关欢迎您~(SCCM CMG)
按照以下步骤在SCCM中设置云管理网关:欢迎您~
- 启动SCCM控制台。
- 导航到政府>欢迎您~云服务>欢迎您~云管理网关.
- 右击欢迎您~云管理网关并点击创建欢迎您~云管理网关
您现在应该看到创建云管理网关向导。欢迎您~点击登录并登录您的订阅管理帐户。
成功登录后,您应该看到订阅ID、Azure AD应用程序名称和租户名称自动填充。点击下一个
在“设置”页面,单击浏览并选择CMG证书。服务名称和部署名称将自动填充。
可以使用已有资源组,也可以新建资源组。我将只使用一个虚拟机实例。
您将看到两个选项和一个证书按钮。
- 验证客户端证书撤销.
- 允许CMG作为云分发点,并提供来自Azure存储的内容欢迎您~- SCCM 1806,你得到这个新的选项。现在CMG也可以为客户提供内容。该功能降低了Azure vm所需的证书和成本。
我将选中上述两个选项。下一个点击证书.
您需要指定一个证书,告诉CMG需要信任哪些证书。在我的例子中,我已经安装了PKI,所以我将添加根证书。如果在导出根证书时需要帮助,请参见如何导出ConfigMgr的根CA证书.
点击下一个.
在警报页面,点击下一个.
在完成页面点击关闭.
欢迎您~云管理网关状态
设置云管理网关后,在SCCM控制台欢迎您~中监视状态。现在的状态是供应。
几分钟后,状态变为配置完成.稍后,我将介绍您需要监视哪些日志文件。
安装云管理网关连欢迎您~接点
在SCCM中安装云管理欢迎您~网关连接点角色:
- 在SCCM控制台中,转到政府>网站配置>服务器和站点系统角色.
- 右键单击站点服务器并选择添加站点系统角色.
在一般窗口,单击下一个.
在方框中选中欢迎您~云管理网关连接点.点击下一个.
选择云管理网关,单击欢迎您~下一个.
在“完成”窗口单击关闭.
允许云管理网欢迎您~关流量
您必须配置管理的观点而且华体会体育系列软件更新点站点系统接受欢迎您~云管理网关流量。在主站点上执行此过程,用于为基于internet的客户端服务的所有管理点和软件更新点。华体会体育系列
去政府>网站配置>服务器和站点系统角色.选择站点服务器,并在底部窗格中右键单击“管理点”,然后单击属性.
下管理点属性,在方框上打勾允许配置管理云管理网关流量欢迎您~.点击好吧.
在“软件更新华体会体育系列点属性”下,选中复选框允许配置管理云管理网关流量欢迎您~.点击好吧.
允许访问云分发点欢迎您~
在客户端设置下,单击欢迎您~云服务.下设备/用户设置,设置允许访问云分发点欢迎您~来是的.
边界集团
如果你正在使用配置经理1902,可以将SCCM云管理网关与边界组关联。欢迎您~您可以在设置SCCM云管理网关之后执行此操作。欢迎您~创建或配置边界组时,请在References选项卡中添加云管理网关。欢迎您~
为CMG配置客户端
在您设置了SCCM云管理网关并且所有站点系统欢迎您~角色都在运行之后,客户机将在下一个位置请求时自动获得CMG服务的位置。
大多数客户端必须在内部网上才能接收SCCM CMG服务的位置。默认情况下,位置请求的轮询周期为每24小时一次。但是,为了加快请求,您可以这样做重新启动计算机上的SMS代理主机服务(ccmeexx .exe)。
有时当您将客户端切换到internet时,客户端仍然与您的内部管理点对话。在这种情况下,您可以通过更改注册表项强制客户端始终使用CMG。此配置对于测试目的很有用,或者对于您希望强制始终使用CMG的客户端很有用。
您可以在客户端设置以下注册表项。通过设置ClientAlwaysOnInternet = 1,客户端将使用SCCM CMG服务。
HKEY_LOCAL_MACHINE\华体会体育系列SOFTWARE\Microsoft\CCM\Security, ClientAlwaysOnInternet = 1
要排除CMG客户端流量故障,请使用CMGHttpHandler.log,CMGService.log,SMS_欢迎您~Cloud_ProxyConnector.log.我将在另一篇文章中介绍更多关于CMG故障排除和其他相关的东西。
在SCCM CMG上启用远程桌面
一旦设置了SCCM CMG,就可以启用远程桌面并访问位于Azure中的虚拟机。在CMG上启用远程桌面后,可以从CMG虚拟机查看IIS日志文件。这里有一个循序渐进的指南如何开启远程桌面在SCCM云管理欢迎您~网关。
SCCM CMG故障处理日志
在设置SCCM云管理网关时,必须了解欢迎您~CMG日志文件这可以帮助您排除问题。
下表列出了用于解决与云管理网关相关的问题的所有CMG日志文件。欢迎您~
| CMG日志文件名 | 描述 | 日志文件位置 |
| SMS_欢迎您~Cloud_ProxyConnector.log | 记录云管理网关服务与云管理网关连接点建立连接的详细信息。欢迎您~ | 该日志文件位于站点系统服务器- C:\Program Files\Microsoft Configuration Manager\Logs |
| 欢迎您~CloudMgr.log | 此文件记录与云管理网关服务、正在进行的服务状态以及与服务相关的所有数欢迎您~据相关的详细信息。 | 在站点服务器- C:\Program Files\Microsoft配置管理器\日志 |
| CMGContentService.log | 当您启用CMG同时提供来自Azure存储的内容时,此日志记录服务的详细信息。 | % apot %\日志在Azure服务器上 |
| CMGService.log | 记录Azure中有关云管理网关(CMG)服务核心组件欢迎您~的详细信息。 | % apot %\日志在Azure服务器上 |
| CMGHttpHandler.log | 只有在使用版本1802时才能看到此日志文件。这是因为在SCCM 1806中,此日志已被删除。组件功能被合并到CMG服务组件中。因此,请参阅CMGService.log代替。 | % apot %\日志在Azure服务器上 |
| CMGSetup.log | 记录关于云管理网关部署(Azure中的本地部署)第二阶段的详细信息。欢迎您~ | % apot %\日志在Azure服务器上 |
SCCM CMG (欢迎您~Cloud Management Gateway)常见问题
与SCCM云管理网关设置相关的一些常见问题。欢迎您~
什么是SCCM CMG?
SCCM云欢迎您~管理网关(CMG)是一个Azure服务(PAAS),用于在互联网上管理SCCM客户端。云管理网欢迎您~关提供了一种通过internet管理SCCM客户机的简单方法。
我可以使用PowerShell命令来设置CMG吗?
您可以使用New-CMCloudMa欢迎您~nagementGateway使用PowerShell来设置CMG。
主站点可以有多个CMG实例吗?
是的,您可以在主站点上安装CMG连接点的多个实例。
CMG需要PKI吗?
是的,服务器需要服务器身份验证证书来构建安全通道。您可以为此目的从公共提供者获得证书,或者从您的公钥基础设施(PKI)颁发证书。
CMG需要Azure ExpressRoute吗?
答案是否定的。CMG不需要ExpressRoute或任何类似的虚拟网络连接。
嗨Prajwal,
我面临的问题是我没有看到任何云分发点。欢迎您~我已经在客户端设置中启用了它->云服务和我的云管理网关已安装,并且已就绪-在状态和已连接欢迎您~中也是如此。
你能告诉我另一个入口点在哪里吗?我应该寻找云分布点。欢迎您~
谢谢你!
问候,
Shailesh
在“云分发点”下看不到它。欢迎您~当您需要一个单独的云分发点时,这是一个遗留选项。欢迎您~如果您选中了CMG也是云分布点的复选框,它将显示在您的正态分布点之下欢迎您~
嗨Prajwal,
你能告诉我,我是否可以在Azure的某个地方找到这个vm到cmg ?我在资源组中看不到这个虚拟机。我可以在Azure的某个地方检查这个运行服务的成本吗?
问候,
Antoonioo
一切都呈现在蔚蓝中
对于Azure中的CMG服务部署:
阿兹登录
az provider register -n微软。KeyVault
az provider register -n Microsoft.Microsoft.Network
az provider register -n Microsoft.Microsoft.Storage
然后可以从CM控制台创建服务
我要做的是重新安装客户端(将其FTP给他们或其他什么),命令行选项SMSMPLIST包含列表中CMG的FQDN。由于阻止url,我不能输入这个响应,但你可以在微软的网站上找到关于SMSMPLIST的信息:
搜索标题:关于客户端安装属性smsmplist
- - -
由于您已经在设备上有一个SCCM客户端,用您的CMG服务器的FQDN填充HKLM - SOFTWARE - Microsoft - CCM 华体会体育系列- cmgfqdn可能可以工作,但也可能需要更多,所以我只是使用客户端重新安装。
普拉吉,我客户的网站出了点问题。他们正在设置CMG,但没有打开“虚拟机缩放设置”功能。我花了大约一个小时的时间进行故障排除,才意识到问题出在这里。现在,虚拟机规模设置是安装CMG的唯一方法,而“经典”是SCCM使用的默认值,安装将总是失败,直到您打开这个特性。没有打开它,你将不会有选择虚拟机规模设置的选项。我想我应该发给你,因为很多人使用你的文档(感谢我们所有人),而且到目前为止,我还没有在任何人的博客中看到“在安装CMG之前打开虚拟机缩放设置”。
你好,Prahth华体会体育全站jwal Desai,
像往常一样干得好!你有用来创建图表的Visio模板吗?(B&W SCCM服务器在SCCM CMG端口和数据流部分)
谢谢你!文章中的第一个图实际上来自微软。我会试着看看是否有新的模板可供下载。
祝贺你的帖子很棒!!
谢谢你!
你好,
感谢这篇很棒的文章
我有一个问题:我应该为计算机全互联网(不是lan或vpn)添加什么边界到CMG边界组
有一些事情我不太明白,因为我想使用这个CMG仅用于互联网计算机,而不是内部网,所以不可能知道ip范围
谢谢
杰拉德
由于您的域名没有处于任何活动的网络连接中,因此只能由CMG提供服务。例如,您正在运行mycorp.com。好吧,因为没有活跃的互联网连接有mycorp.com的域名后缀,这个设备是在互联网上。
CMG边界组用于重定向VPN连接,远离on-prem分布点(也可能远离on-prem mp),它与管理既不在on-prem上也不在VPN上的计算机无关。
嗨,我尝试了所有这些,并在创建CMG时得到错误。
下面是错误,
“向资源组****CMG的AzureAD应用程序授予贡献者权限时发生错误。更多信息请参见smsadmini .log "
你能帮帮我吗?
在Azure中将订阅管理角色添加到您的帐户中,然后再次运行向导。
你好,Prajwal,我试图安装CMG,但首先我需要配置Azure服务>云Gestion。欢迎您~所以我有一个错误的应用程序创建…Azure连接失败(我是Azure管理员)。
你有什么想法吗?
我遇到了同样的问题,然后我用PIM激活了全局管理员角色。这对我很有效。
您可以在Azure AD中创建一个新用户,并提供全局管理特权并使用该帐户登录。在我的情况下,它工作得很好
嗨,普拉杰瓦尔,我关注你的视频很长时间了。干得好,
如何在sccm中添加额外的云管理网关?欢迎您~你能写一篇教程吗?谢谢
在单一的SCCM环境中添加额外的cmg并不是什么事情。CMG是云中的服务。欢迎您~您可以向CMG服务添加其他服务器(前提是您打开了Virtual machine scale set),以适应更高的流量。假设您可以在不同的地理区域提供这些vm,尽管我从未尝试过。理论上,它的工作方式是增加虚拟机的数量,然后在Azure中选择单个虚拟机并在区域之间移动它们。使用Azure SME确保正确配置了地理负载平衡等。无论如何,它仍然是一个CMG,只是有多个(可能是地理上不同的)服务器来处理流量。
你好,
有没有办法告诉互联网计算机存在一个CMG ?我们的计算机在我们的网络之外,无法访问我们的网络(没有VPN访问),我们想添加到一个CMG。SCCM已经有了使用CMG的客户端配置,但是位置是未知的,因为它当时并不存在。我们可以推送一个wmi入口或其他东西(我们可以远程与skype在他们)?
谢谢你!
你好,
首先让我感谢你们出色的工作,你们的导游很棒。
实际上,我们正在实现CMG,但我对“在主站点服务器上导入Web服务器CMG证书”有些担忧。在这种情况下,您正在为您的域创建DNS,但是当您将.pfx文件导入到CMG向导时,它会使用您的name.cloudapp.net填充服务欢迎您~
是否需要用Azure资源组创建的DNS创建/匹配此DNS条目?在我的公司中,需要在创建CER文件之前创建CSR,而不是使用通用模板发布程序。
提前谢谢你
嗨,首先感谢你们所有的指导。他们对像我这样的人有很大的帮助,所以我称自己为菜鸟。正因如此,我才向专业人士寻求帮助。
请记住,我已经说过,我是一个新手,有有限的知道如何排除故障
微软。经典计算和微软。已注册存储资源
在应用程序注册/API授权下,我确实有以下服务器应用程序的条目
Microsoft Graph =>目录全部读取=>管理员同意YES =>授予我的企业
在我的案例中,我确实有一个名为CMG的资源组。但是在这个组内部没有入口。
我确实按照这个指南创建了一个CMG,并得到了下面的错误。
我的猜测是服务器APP没有足够或正确的权限。但是我不知道如何使用Azure门户视图。
谢谢你的支持。
马库斯
Azure监控
列出存储帐户KeysEreignis initiiert von
SCCM服务器APP
Fehlercode
ResourceNotFound
Meldung
微软资源。资源组“cmg”下的“Storage/storageAccounts/cmg”未找到。详情请见https://aka.ms/ARMResourceNotFoundFix
(请不要指向我这个链接,因为我不知道如何检查所有的点)
欢迎您~CloudMgr.log:
错误:资源管理器-未能列出存储服务cmg的键与状态码NotFound。在Azure门户上查看[监控/活动日志]以获取更多信息SMS_CLOUD_SERVICES_MANAGER 19.06.2020 09:27欢迎您~:34 18748 (0x493C)
ERROR: Exception occurred during monitoring of service cmg: Exception Hyak.Common.欢迎您~CloudException: Failed to start deployment slot~~ bei Microsoft.ConfigurationManager.AzureManagement.ResourceManager. ERROR: Exception occurred during monitoring of service cmg: Exception Hyak.Common.CloudException: Failed to start deployment slot~~ beiGetStorageServiceKey(String resourceGroupName, String storageServiceName)~~ bei Microsoft.ConfigurationManager.欢迎您~CloudServicesManager.ServiceMonitorTask.MonitorCloudDistributionPoint() SMS_CLOUD_SERVICES_MANAGER 19.06.2020 09:27:34 18748 (0x493C)
STATMSG: ID=9429 SEV=E LEV=M SOURCE= " SMS Server " COMP= "欢迎您~ SMS_CLOUD_SERVICES_MANAGER " SYS=SC1.xy.com SITE=MSW PID=13240 TID=18748 GMTDATE=Fr。Jun 19 07:27:34.622 2020 ISTR0= " cmg " ISTR1= " Failed to start deployment slot " ISTR2= " " ISTR3= " " ISTR4= " " ISTR5= " " ISTR6= " " ISTR7= " " ISTR8= " " ISTR9= " " NUMATTRS=1 AID0=404 AVAL0= " [" Display=\\cmg.xy.com\ "]MSWNET:[" SMS_SI欢迎您~TE=MSW "]\\cmg.xy.com\ " SMS_CLOUD_SERVICES_MANAGER 19.06.2020 09:27:34 18748 (0x493C)
cmg SMS_CLOUD_SERVICES_MANAGER的云服务监欢迎您~控任务异常(0x493C)
警告:异常Hyak.Common。欢迎您~cloudception:Failed to start deployment slot SMS_CLOUD_SERVICES_MANAGER 19.06.2020 09:27:34 18748 (0x493C)
警告:Stack trace: bei Microsoft.ConfigurationManager.AzureManagement.ResourceManager. Stack trace: bei Microsoft.ConfigurationManager.AzureManagement.ResourceManager. Stack trace: beiGetStorageServiceKey(String resourceGroupName, String storageServiceName)~~ bei Microsoft.ConfigurationManager.欢迎您~CloudServicesManager.ServiceMonitorTask. monitorclouddistributionpoint ()~~ bei Microsoft.ConfigurationManager.CloudServicesManager.ServiceMonitorTask. GetStorageServiceKey(String resourceGroupName, String storageServiceName)~~ bei启动(Object taskState) SMS_CLO欢迎您~UD_SERVICES_MANAGER 19.06.2020 09:27:34 18748 (0x493C)
嗨
我的案子没办法解决吗?
THX马库斯
嗨Markus,你还没有解决这个问题吗?I am having the same issue just now . does anyone else knows how to resolve this issue?
是的,我可以完成安装。它与云网关服务名称有关。欢迎您~它必须是uniq。你可以在Azure中检查。
你好。首先,感谢你的这份指南和你所做的所有其他的帖子,在微软这个大世界里,它真的有很多好的和详细的信息。
现在,我有一个简单的问题,我不知道如何回答自己。目前,我得到了这些网站和角色
站点服务器与服务连接点(用于WSfB同步)
SUS服务器连接到SCCM(所有更新都通过SCCM管理,没有WUFB)
DPs, 1用于VPN连接用户,具有速度限制
数据库服务器
远程内容库服务器
报告服务器
现在,我正在计划部署CMG。根据指南和其他我发现的,我需要新的服务器吗?我目前的SUS服务器只允许SSL内网连接,我没有允许Internet连接的选项(可能是因为我不管理任何Internet连接的计算机,选项是灰色的)。我是否需要创建一个CMG SUS角色将同步到的新角色?这样做,我想我应该使用共享数据库WSUSDB?
对于另一个连接,是否更好地将其托管在单独的服务器上?
谢谢你!
有一个问题,如果我有一个全球性的需求,我能在全球范围内添加更多的连接点吗?比如亚太地区1个,澳大利亚1个,这样反应更好?像一个正态分布点?
是的,你可以设置多个CMG。
如何在sccm控制台设置多个CMG实例,以及如何根据站点/等分配机器?
我们的CMG已经启动并运行,并成功地在Internet和Intranet之间切换。我的问题是它如何知道在互联网和内部网之间切换
使用网络连接域后缀。如果您的域不在任何当前活动网络连接(IPCONFIG /all)的域后缀中,则您在Internet上。它会在每次创建网络连接时进行检查。
你好Prajwal,
由于某些原因,我尝试多次在ConfigMgr 2002 keep fail with status error中创建CMG。
here ERROR: TaskManager: Task [AnalyticsCollectionTask: Service parklandcmg] has failed。异常Hyak.Common。欢迎您~CloudException,启动部署槽失败。
有什么你能帮忙的吗?
我们目前还没有完整的PKI,但正在努力在我们的基础设施上实现它。我们在ConfigMgr 2002上使用了EHTTP。在这种情况下如何配置MP ?我们确实使用了PKI证书,虽然我们的CMG与受信任的根CA,并试图使用新的批量令牌注册,但我们无法安装客户端。此外,在上面的指南中,我没有看到任何提到配置DNS的内容。如果全PKI,需要在内部和面向公共的DNS上配置CNAME记录,还是只需要面向公共?
你好香农,
希望CMG为你工作。
请问我们到底需要在哪里创建CNAME记录?它是在公共DNS和内部DNS中,还是只有公共DNS。
另外,在导入CMG证书时,我们需要在Full DN & DNS字段中提到的所有条目。
谢谢你的职位。真的有帮助。我只是有点小头痛。所有过程完成,但我有客户端无法在配置管理器中看到云DP的FQDN的问题。欢迎您~
我可以在非PKI基础设施上配置CMG吗?因为我们没有PKI设置,所有的客户端证书都是自签名证书。
CMG必须在其面向Internet的一侧有一个可信的证书。它可以在没有完整的PKI的情况下与MP进行内部对话,因为Azure AD将处理这一侧的内容。
证书不必是完整PKI的一部分,您可以通过可信的权威机构(如DigiCert或GoDaddy)获得一个单一证书,并将其应用于您的CMG。正如我所说的,它必须是可信的,所以无论您选择哪个权威机构,要么必须已经被您的客户信任,要么需要向他们分发一个可信的根权威证书(通常通过GPO完成)。
谢谢你的评论,很有帮助。我让CMG启动并运行并提供内容。我遇到的一个问题是VPN用户。我根据VPN IP范围创建了一个边界和组。它工作,但如果某人的家庭物理IP地址与其他内部公司网络边界范围之一重叠。SCCM似乎看到来自客户端的多个IP地址、VPN适配器地址和机器的本地家庭无线网络IP。我发现,如果家庭无线IP与分配给内部DP的内部边界IP范围重叠,那么它就忽略了VPN边界。有人有这方面的经验吗?目前我阻止了VPN用户能够访问一些内部DPs,并设置回退到CMG,这是有效的,但肯定不是一个完美的解决方案。
如何创建受信任的根证书?
当我导入CMG证书时,它说:“证书不是有效的根”
我一直在我的试验环境中得到这个错误:
{
“代码”:“DeploymentFailed”,
" message ": "至少一个资源部署操作失败。"请详细列出部署操作。请参阅https://aka.ms/DeployOperations有关使用详情。”
“细节”:(
{
“代码”:“BadRequest”,
" message ": " {\r\n \ " error\ ": {\r\n \ " code\ ": \ " OperationFailed\ ",\r\n \ " message ": \ " The operation ' 62b5e2289f8a7231870fdcf54f64ee3a ' failed: '所请求的VM tier目前在美国中部无法用于此订阅。请尝试另一层或部署到不同的位置。\ \ r \ n} \ r \ n}”
}
]
}
我还尝试了其他几个地区,比如:
中南部
北欧
美国东部
你找到解决这个问题的方法了吗?
微软已经在试用环境中禁用了该功能。你需要升级才能边走边付
我也遇到了同样的问题。我在每个地区都试过了,并将试用版升级为现收现付。
我们也遇到了同样的问题。我们尝试了欧盟和美国的多个地区,他们总是以相同的错误信息失败。当我尝试手动部署A2_V2虚拟机时,它部署得很好。大约一周前,我们已经在微软打开了支持票据,但还没有解决方案。有人修好了吗?
在您或MS看来,对于局部CMG环境,最佳的签入频率是多少?
@Prajwal,你有实现CMG + Azure + SCCM配置的拓扑吗?
当您导入“服务名称”始终是站点服务器名称的证书时,您如何通过该证书。证书有正确的详细信息,但SCCM(1910)不会填充“服务名称”或“部署名称”与站点服务器名称以外的任何东西?
哎!固定的。使用错误的模板
我遵循了这些步骤,但在SCCM 1902环境中设置SCCM云管理网关(CMG)时,总是收到错误消息“未能提供云服务”错误。欢迎您~
我可以采取哪些步骤来确定导致此错误的原因,以便修复它?
您选择部署到哪个区域?
我会看看你的Azure活动日志
https://portal.azure.com/#blade/Microsoft_Azure_ActivityLog/ActivityLogBlade
这可能会提供一些线索,看看红色的错误。
在查看Azure活动日志时遇到了同样的问题,它说我缺少资源Microsoft.ClassicCompute。
我不得不去订阅>资源供应商>找到微软。classicCompute >按寄存器
我猜如果你创建一个试用订阅,它不会自动注册。
在此之后,您将需要在SCCM控制台中删除并重新创建CMG
我遵循了这篇文章中的说明,但当我进入“创建云管理网关向导”部分并导入证书文件时,我得到一条消息,说“服务证书有以下错误/警告。欢迎您~
[警告]服务证书中存在通配符DNS名称。确保您使用正确的FQDN更新了Service CName。”
我该如何解决这个问题?
如何发布此错误消息的截图?
下面是一个屏幕截图,显示了我收到的错误:https://imgur.com/6bqSpne
死链接
你好,我遵循了一步一步,但当我试图创建CMG时,我得到了这条消息。
“需要一个有效的Azure AD应用程序。请首先为云管理部署Azure服务。”欢迎您~
什么好主意吗?
我也一样……
我也有同样的问题。我首先在Azure服务中添加了“云管理”服务来解决这个问题。欢迎您~
只是一个警告,请确保CDP服务器名称与您的主站点名称不相同。
添加站点系统角色选项是灰色的,当我尝试添加角色,我已经运行控制台作为管理员,也尝试了原来的安装程序帐户。
我读到的一件事是服务器的FQN不能与CMG的FQN相同,有些人建议删除CMG并重新开始,然而有些人说这会导致额外的问题
回滚服务器到前一个虚拟机快照,在部署CMG期间,我们的SCCM发生了一些奇怪的事情。
InfoSec希望在CMG和内部部署系统之间建立一层保护,那么我们应该允许哪些特定端口来构建适当的ACL呢?
我已经在CMG端口部分介绍了这一信息。
说明之间:
"在证书属性对话框中,在“主题名称”下,选择“类型”为“完整DN”。在“备选名称”下,选择“类型”为“DNS”,并输入服务名称。
和
"输入要与CMG一起使用的公共DNS名称。所以我将在这里输入*.prajwal.org,这允许我使用CMG的任何子域名。”
我认为你忘记插入一个截图,我可以为每一步使用一个插图,因为我的CMG证书似乎继续失败或提示错误时,使用如上所述。
我们有sccm1902和配置的CMG
所以
我们可以在CMG的工作组机器上安装sccm客户端吗?(没有在Azure AD中但连接到internet的机器)
先生
感谢SCCM 1902文件
很少有与先决条件相关的问题
必须有Azure AD吗(因为我们有Azure订阅,但我们的机器没有在Azure AD中注册)
我们正在实现CMG来管理工作组中的笔记本电脑(漫游用户)(不在域中也不在Azure AD中)
所以在CMG中管理工作组机是可能的?
我们在连接到internet的工作组Pc上安装sccm客户端时遇到错误
我是第一次建立CMG。我在连接分析器的最后一部分得到以下错误,无法解决。
使用Azure AD令牌获取ConfigMgr令牌失败。状态码为“500”,状态描述为“CMGConnector_InternalServerError”。谷歌结果对这个错误没有太大帮助。
确保您将正确的web服务器证书绑定到IIS,或确保添加了正确的根和/或中间CA。
微软网站上没有关于使用由公共CA颁发的Wilcard域名的适当文件。
我从公共机构获得了通配符证书,但无法从客户端验证。客户端需要客户端认证证书,我正在努力寻找
通配符证书应该在所有情况下都有效。即使对我来说也是如此。
嗨Prajwal,
我已经配置的东西,但它给我一个错误在供应。error: Failed to start deployment slot .... .错误在cl欢迎您~oudmgr.log
我能看到完整的日志文件而不是只有一行吗?
我有一个问题要问你,我们已经为我们的分发点设置了PKI证书,并在内部使用Https。我是否需要设置另一个证书,或者我可以使用我们已经使用的现有证书。我想问的是,我们使用网关的主要原因是给那些域加入的机器打补丁,但它们不经常使用VPN来打补丁。如有任何指导将不胜感激。
如果您已经设置了PKI,那就很好了。您所需要做的就是配置CMG证书,仅此而已。
您是否建议使用具有临时全局管理员权限的服务帐户来设置Azure AD链接,还是需要永久的全局管理员角色?
只是好奇,如果我需要使用一个全局管理帐户只是为了设置,那么它就完成了,还是使用来自SCCM的服务帐户与全局管理?
在设置CMG时使用全局管理帐户。这样可以节省你的时间。
谢谢你的努力,我想问一个问题,我有两个mp,是需要让他们在https上工作,还是我应该创建一个新的专门的,关于边界组,将用于CMG,边界配置是什么
伟大的 ..........终于让它工作了
很高兴听你这么说。
好的文章! !谢谢Prajwal !
很高兴听你这么说。
伟大的文档!如果你有证书的话,设置并使它工作并不太难。我们遇到的问题是我们的客户端没有加入Azure AD,所以我们使用证书进行身份验证。然而,互联网上的客户端不报告安装的状态,状态消息查询保持为空,部署保持状态在进行中。微软已经证实这是一个漏洞,但令我惊讶的是,我在互联网上找不到任何关于这个问题的文件,也没有人有这个问题。有人认识这个吗?
你能把微软说这是一个漏洞的链接发给我吗?