如何在 Configuration Manager 中将客户端部署到 Windows 计算机
适用于: Configuration Manager(current branch)
本文详细介绍了如何将 Configuration Manager 客户端部署到 Windows 计算机。 有关规划和准备客户端部署的详细信息,请参阅以下文章:
客户端推送安装
使用客户端请求有三种主要方法:
为站点配置客户端请求安装时,客户端安装会自动在该站点发现的计算机上运行。 当这些边界配置为边界组时,此方法的范围限定为站点的已配置边界。
通过为集合中的特定集合或资源运行客户端请求安装向导来启动客户端请求安装。
使用客户端请求安装向导安装 Configuration Manager 客户端,可用于 查询 结果。 仅当查询返回的项之一是 System Resource 类的 ResourceID 属性时,安装才会成功。
如果站点服务器无法联系客户端计算机或启动安装过程,则每小时自动重试安装。 服务器会持续重试长达 7 天。
若要帮助跟踪客户端安装过程,请在安装客户端之前安装回退状态点。 安装回退状态点时,当客户端请求安装方法安装客户端时,会自动将其分配给这些客户端。 若要跟踪客户端安装进度,请查看客户端部署和分配报告。
客户端日志文件提供了更详细的故障排除信息。 日志文件不需要回退状态点。 例如,站点服务器上的 CCM.log 文件记录站点服务器连接到计算机时出现的任何问题。 客户端上的 CCMSetup.log 文件记录安装过程。
重要
仅当满足所有先决条件时,客户端推送才会成功。 有关详细信息,请参阅 安装方法依赖项。
将站点配置为自动对发现的计算机使用客户端请求
在 Configuration Manager 控制台中,转到 “管理 ”工作区,展开“ 站点配置”,然后选择“ 站点” 节点。
选择要为其配置站点范围的客户端请求自动安装的站点。
在功能区的“ 主页 ”选项卡上的 “设置” 组中,选择“ 客户端安装设置”,然后选择“ 客户端请求安装”。
在“客户端请求安装属性”窗口的“ 常规 ”选项卡上,选择“ 启用站点范围的客户端自动请求安装”。
从版本 1806 开始,更新站点时,将启用 Kerberos 客户端推送检查。 默认情况下启用 “允许连接到 NTLM ”选项,这与之前的行为一致。 如果站点无法使用 Kerberos 对客户端进行身份验证,它将使用 NTLM 重试连接。 提高安全性的建议配置是禁用此设置,这要求 Kerberos 不带 NTLM 回退。
建议在现有环境中禁用此选项(如果可能),以提高安全性。
注意
使用客户端请求安装 Configuration Manager 客户端时,站点服务器会创建与客户端的远程连接。 从版本 1806 开始,站点可以通过在建立连接之前不允许回退到 NTLM 来要求 Kerberos 相互身份验证。 此增强功能有助于保护服务器和客户端之间的通信。
根据安全策略,你的环境可能已经首选或要求 Kerberos 而不是旧版 NTLM 身份验证。 有关这些身份验证协议的安全注意事项的详细信息,请阅读 用于限制 NTLM 的 Windows 安全策略设置。
若要使用此功能,客户端必须位于受信任的 Active Directory 林中。 Windows 中的 Kerberos 依赖于 Active Directory 进行相互身份验证。
从版本 2207 开始,更新站点时,新站点安装上默认禁用 “允许连接到 NTLM ”选项。 建议提高安全性。
选择 Configuration Manager 应向其推送客户端软件的系统类型。 选择是否要在域控制器上安装客户端。
在“ 帐户 ”选项卡上,指定 Configuration Manager 在连接到目标计算机时要使用的一个或多个帐户。 选择 “创建 ”图标,输入 “用户名 ”和“ 密码 (不超过 38 个字符) ,确认密码,然后选择” 确定”。 指定至少一个客户端请求安装帐户。 此帐户必须在目标计算机上具有本地管理员权限才能安装客户端。 如果未指定客户端请求安装帐户,Configuration Manager 会尝试使用站点系统计算机帐户。 使用站点系统计算机帐户时,跨域客户端推送失败。
在“安装属性”选项卡上指定任何必需的 安装属性 。
如果已扩展 Configuration Manager 的 Active Directory 架构,站点会将指定的 客户端安装属性 发布到 Active Directory 域服务。 当 CCMSetup 在没有安装属性的情况下运行时,它会从 Active Directory 读取这些属性。
注意
如果在辅助站点上启用客户端请求安装,请将 SMSSITECODE 属性设置为其父主站点的 Configuration Manager 站点代码。 如果已扩展 Configuration Manager 的 Active Directory 架构,若要自动查找正确的站点分配,请将此属性设置为 AUTO。
使用客户端请求安装向导
在 Configuration Manager 控制台中,转到 “管理 ”工作区,展开“ 站点配置”,然后选择“ 站点” 节点。
选择要为其配置站点范围的客户端请求自动安装的站点。
在功能区的“ 主页 ”选项卡上的 “设置” 组中,选择“ 客户端安装设置”,然后选择“ 客户端请求安装”。
在“安装属性”选项卡上指定任何必需的 安装属性 。
如果已扩展 Configuration Manager 的 Active Directory 架构,站点会将指定的 客户端安装属性 发布到 Active Directory 域服务。 当 CCMSetup 在没有安装属性的情况下运行时,它会从 Active Directory 读取这些属性。
在 Configuration Manager 控制台中,转到“资产和合规性”工作区。
在 “设备” 节点中,选择一台或多台计算机。 或者在“设备集合”节点中选择计算机 集合 。
在功能区的“ 开始 ”选项卡上,选择以下选项之一:
若要将客户端推送到一个或多个设备,请在 “设备 ”组中,选择“ 安装客户端”。
若要将客户端推送到设备的集合,请在 “集合 ”组中,选择“ 安装客户端”。
在“安装 Configuration Manager 客户端向导”的“ 开始之前 ”页上,查看信息,然后选择“ 下一步”。
在“ 安装选项” 页上选择相应的选项。
查看安装设置,然后完成向导。
注意
使用此向导安装客户端,即使站点未配置客户端请求。
基于软件更新的安装
基于软件更新的客户端安装将客户端作为软件更新发布到软件更新点。 使用此方法进行首次安装或升级。
如果 Configuration Manager 客户端安装在计算机上,则计算机将从站点接收客户端策略。 此策略包括软件更新点服务器名称和从中获取软件更新的端口。
重要
对于基于软件更新的安装,请使用相同的 Windows Server Update Services (WSUS) 服务器进行客户端安装和软件更新。 此服务器必须是主站点中的活动软件更新点。 有关详细信息,请参阅 安装软件更新点。
如果计算机上未安装 Configuration Manager 客户端,请配置并分配组策略对象。 组策略指定软件更新点的服务器名称。
无法向基于软件更新的客户端安装添加命令行属性。 如果已扩展 Configuration Manager 的 Active Directory 架构,则客户端安装会自动查询 Active Directory 域服务以获取安装属性。
如果尚未扩展 Active Directory 架构,请使用组策略预配客户端安装设置。 这些设置会自动应用于任何基于软件更新的客户端安装。 有关详细信息,请参阅 如何预配客户端安装属性 部分和 有关如何将客户端分配到站点的文章。
使用以下过程将没有 Configuration Manager 客户端的计算机配置为使用软件更新点。 还有一个将客户端软件发布到软件更新点的过程。
提示
如果计算机在以前的软件安装后处于挂起重启状态,则基于软件更新的客户端安装可能会导致计算机重启。
配置组策略对象以指定软件更新点
使用 组策略管理控制台 打开新的或现有的组策略对象。
展开 “计算机配置”、“ 管理模板”和“ Windows 组件”,然后选择“ Windows 更新”。
打开“ 指定 intranet Microsoft更新服务位置”设置的属性,然后选择“ 已启用”。
设置用于检测更新的 Intranet 更新服务:指定软件更新点服务器的名称和端口。
如果已将 Configuration Manager 站点系统配置为使用完全限定的域名 (FQDN) ,请使用该格式。
如果 Configuration Manager 站点系统未配置为使用 FQDN,请使用短名称格式。
提示
若要确定端口号,请参阅 如何确定 WSUS 使用的端口设置。
FQDN 格式的示例:
http://server1.contoso.com:8530
设置 Intranet 统计信息服务器:通常使用相同的服务器名称配置此设置。
将组策略对象分配给要在其上安装客户端和接收软件更新的计算机。
将 Configuration Manager 客户端发布到软件更新点
在 Configuration Manager 控制台中,转到 “管理 ”工作区,展开“ 站点配置”,然后选择“ 站点” 节点。
选择要为其配置基于软件更新的客户端安装的站点。
在功能区的“ 主页 ”选项卡上的 “设置” 组中,选择“ 客户端安装设置”,然后选择“ 软件 Update-Based 客户端安装”。
选择 “启用基于软件更新的客户端安装”。
如果站点的客户端版本比软件更新点上的版本更新,则会打开“ 检测到客户端包的更高版本 ”对话框。 选择“ 是 ”发布最新版本。
注意
如果尚未将客户端软件发布到软件更新点,则此对话框为空白。
存在新版本时,不会自动更新 Configuration Manager 客户端的软件更新。 更新站点时,重复此过程以更新客户端。
组策略安装
使用 Active Directory 域服务中的组策略发布或分配 Configuration Manager 客户端。 客户端在计算机启动时安装。 使用组策略时,客户端将显示在“控制面板”中的“ 添加或删除程序 ”中。 用户可以从那里安装它。
将 Windows Installer 包 CCMSetup.msi 用于基于组策略的安装。 此文件位于 <ConfigMgr installation directory>\bin\i386
站点服务器上的 文件夹中。 无法向此文件添加属性来更改安装行为。
重要
必须具有管理员权限才能访问客户端安装文件。
如果已扩展 Configuration Manager 的 Active Directory 架构,并在“站点属性”对话框的“发布”选项卡上选择了域,则客户端计算机会自动在 Active Directory 域服务中搜索安装属性。 有关详细信息,请参阅 关于发布到 Active Directory 域服务的客户端安装属性。
如果尚未扩展 Active Directory 架构,请参阅有关 预配客户端安装属性 的部分,了解如何在计算机的 Windows 注册表中存储安装属性。 客户端在安装时使用这些安装属性。
有关详细信息,请参阅 如何使用组策略远程安装软件。
手动安装
使用 CCMSetup.exe 在计算机上手动安装客户端软件。 可以在站点服务器上的 Configuration Manager 安装文件夹中的 Client 文件夹中找到此程序及其支持文件。 站点将此文件夹共享到网络,如下所示:
\\<site server name>\SMS_<site code>\Client\
<site server name>
是主站点服务器名称。
<site code>
是客户端分配到的主站点代码。 若要从客户端上的命令行运行 CCMSetup.exe,请连接到此网络位置,然后运行 命令。
重要
必须具有管理员权限才能访问客户端安装文件。
CCMSetup.exe 将所有必需的先决条件复制到客户端计算机,并调用 Windows Installer 包 (Client.msi) 来安装客户端。 不能直接运行 Client.msi。
若要修改客户端安装的行为,请为 CCMSetup.exe 和 Client.msi 指定命令行选项。 在指定 Client.msi 属性之前,请确保指定以 /
开头的 CCMSetup 参数。 例如:
CCMSetup.exe /mp:SMSMP01 /logon SMSSITECODE=AUTO FSP=SMSFP01
在此示例中,客户端使用以下选项进行安装:
选项 | 说明 |
---|---|
/mp:SMSMP01 |
此 CCMSetup 参数指定用于下载所需客户端安装文件的管理点SMSMP01。 |
/logon |
此 CCMSetup 参数指定,如果在计算机上找到现有的 Configuration Manager 客户端,则安装应停止。 |
SMSSITECODE=AUTO |
此 Client.msi 属性指定客户端尝试查找要使用的 Configuration Manager 站点代码,例如,通过使用 Active Directory 域服务。 |
FSP=SMSFP01 |
此 Client.msi 属性指定名为 SMSFP01 的回退状态点用于接收从客户端计算机发送的状态消息。 |
有关详细信息,请参阅 关于客户端安装参数和属性。
提示
有关使用 Microsoft Entra 标识在现代 Windows 设备上安装 Configuration Manager 客户端的过程,请参阅 使用 Microsoft Entra ID 进行身份验证来安装和分配 Configuration Manager 客户端。 此过程适用于 Intranet 或 Internet 上的客户端。
手动安装示例
这些示例适用于 Intranet 上已加入 Active Directory 的客户端。 它们使用以下值:
- MPSERVER:托管管理点的服务器
- FSPSERVER:托管回退状态点的服务器
- ABC:站点代码
- contoso.com:域名
假设你已使用 Intranet FQDN 配置所有站点系统服务器,并将站点信息发布到 Active Directory。
首先,在客户端计算机上执行以下步骤:
- 以本地管理员身份登录。
- 将驱动器 Z 映射到
\\MPSERVER\SMS_ABC\Client
。 - 将命令提示符切换到驱动器 Z。
然后运行以下命令之一:
手动示例 1
CCMSetup.exe
此命令安装客户端时没有其他参数或属性。 客户端会自动配置发布到 Active Directory 域服务的客户端安装属性,包括以下设置:
- 站点代码:此设置要求将客户端的网络位置包含在已为客户端分配配置的边界组中。
- 管理点。
- 回退状态点。
- 仅使用 HTTPS 进行通信。
有关详细信息,请参阅 关于发布到 Active Directory 域服务的客户端安装属性。
手动示例 2
CCMSetup.exe /MP:mpserver.contoso.com /UsePKICert SMSSITECODE=ABC CCMHOSTNAME=server05.contoso.com CCMFIRSTCERT=1 FSP=server06.constoso.com
此命令将替代 Active Directory 域服务提供的自动配置。 它不要求在为客户端分配配置的边界组中包括客户端的网络位置。 相反,安装会指定以下设置:
- 站点代码
- Intranet 管理点
- 基于 Internet 的管理点
- 接受来自 Internet 的连接的回退状态点
- 使用客户端公钥基础结构 (PKI) 证书 ((如果可用) 具有最长有效期)
登录脚本安装
Configuration Manager 支持使用登录脚本安装 Configuration Manager 客户端软件。 使用登录脚本中的程序文件 CCMSetup.exe 触发客户端安装。
登录脚本安装使用与手动客户端安装相同的方法。 指定 /logon
CCMSsetup.exe 的安装参数。 如果计算机上已存在任何版本的客户端,此参数将阻止客户端安装。 此行为可防止每次运行登录脚本时重新安装客户端。
如果未使用 /Source
参数指定安装源,并且参数未指定 /MP
用于获取安装的管理点,CCMSetup.exe 通过搜索 Active Directory 域服务来查找管理点。 仅当已扩展 Configuration Manager 的架构并将站点发布到 Active Directory 域服务时,才会发生此行为。 或者,客户端可以使用 DNS 查找管理点。
包和程序安装
使用 Configuration Manager 创建并部署一个包和程序,用于升级所选设备的客户端软件。 Configuration Manager 提供了一个包定义文件,该文件使用常用的值填充包属性。 通过指定其他命令行参数和属性来自定义客户端安装的行为。
注意
无法使用此方法升级 Configuration Manager 2007 客户端。 请改用自动客户端升级,自动创建并部署包含客户端最新版本的包。 有关详细信息,请参阅 升级客户端。
有关如何从旧版 Configuration Manager 客户端迁移的详细信息,请参阅 规划客户端迁移策略。
为客户端软件创建包和程序
使用以下过程创建 Configuration Manager 包和程序,你可以将其部署到 Configuration Manager 客户端计算机以升级客户端软件。
在 Configuration Manager 控制台中,转到 “软件库 ”工作区,展开“ 应用程序管理”,然后选择“ 包” 节点。
在功能区的“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 从定义创建包”。
在向导的“包定义”页上,从“发布服务器”列表中选择“Microsoft”,然后从“包定义”列表中选择“Configuration Manager 客户端升级”。
在 “源文件” 页上,选择“ 始终从源文件夹获取文件”。
在“ 源文件夹” 页上,选择“ 网络路径” (UNC 名称) 。 然后,输入包含客户端安装文件的服务器和共享的网络路径。
注意
运行 Configuration Manager 部署的计算机必须有权访问指定的网络文件夹。 否则,客户端安装将失败。
若要更改任何客户端安装属性,请在 Configuration Manager 代理无提示升级属性程序对话框的“常规”选项卡上修改 CCMSetup.exe 命令行。 默认安装属性为
/noservice SMSSITECODE=AUTO
。将包分发到要托管客户端升级包的所有分发点。 然后将包部署到包含要升级的客户端的设备集合。
Intune MDM 托管的 Windows 设备
将 Configuration Manager 客户端部署到已注册 Microsoft Intune 的设备。
此过程适用于连接到 Intranet 的传统客户端。 它使用传统的客户端身份验证方法。 若要确保设备在安装客户端后保持托管状态,它必须位于 Intranet 和 Configuration Manager 站点边界内。
有关使用 Microsoft Entra 标识在 Windows 设备上安装 Configuration Manager 客户端的过程,请参阅 使用 Microsoft Entra ID 进行身份验证安装和分配 Configuration Manager 客户端。
安装 Configuration Manager 客户端后,设备不会从 Intune 取消注册。 他们可以同时使用 Configuration Manager 客户端和 MDM 注册。 有关详细信息,请参阅 共同管理概述。
注意
可以使用其他客户端安装方法在 Intune 托管的设备上安装 Configuration Manager 客户端。 例如,如果 Intune 托管的设备位于 Intranet 上,并且已加入 Active Directory 域,则可以使用组策略安装 Configuration Manager 客户端。
使用 Intune 安装 Configuration Manager 客户端
在 Intune 中,添加包含 Configuration Manager 客户端安装文件的 Windows 业务线应用 ,CCMSetup.msi。 可以在站点服务器上的 Configuration Manager 安装目录的 文件夹中找到此文件
\bin\i386
。在 Intune Software Publisher 中,输入命令行参数。 例如,将此命令用于 Intranet 上的传统客户端:
CCMSETUPCMD="/MP:<FQDN of management point> SMSMP=<FQDN of management point> SMSSITECODE=<your site code> DNSSUFFIX=<DNS suffix of management point>"
注意
有关使用 Microsoft Entra 身份验证与 Windows 客户端配合使用的命令示例,请参阅 如何准备基于 Internet 的设备进行共同管理。
将应用分配给 一组已注册的 Windows 计算机。
OS 映像安装
在用于创建 OS 映像的引用计算机上预安装 Configuration Manager 客户端。
重要
使用 Configuration Manager 任务序列部署 OS 映像时, “准备 ConfigMgr 客户端” 步骤将完全删除 Configuration Manager 客户端。
准备客户端计算机进行映像处理
在引用计算机上安装 Configuration Manager 客户端软件。 有关详细信息,请参阅 如何手动安装 Configuration Manager 客户端。
重要
不要在 CCMSetup.exe 命令行属性中为客户端指定 Configuration Manager 站点代码。
在命令提示符下,键入
net stop ccmexec
以停止引用计算机上的 SMS 代理主机服务 (CcmExec.exe) 。从引用计算机上的 Windows 文件夹中删除 SMSCFG.INI 文件。
从本地计算机的 SMS 证书存储中删除证书。
删除引用计算机上的本地计算机存储中存储的任何其他有效客户端身份验证证书。 例如,如果使用 PKI 证书,在对计算机进行映像之前,请删除计算机和用户的个人存储中的证书。
如果客户端安装在与引用计算机的层次结构不同的 Configuration Manager 层次结构中,请从引用计算机中删除受信任的根密钥。
注意
如果客户端无法查询 Active Directory 域服务来查找管理点,则它们使用受信任的根密钥来确定受信任的管理点。 如果将所有映像客户端部署在与主计算机的层次结构相同的层次结构中,请保留受信任的根密钥。
如果在不同的层次结构中部署客户端,请删除受信任的根密钥。 此外,为这些客户端预配新的受信任的根密钥。 有关详细信息,请参阅 规划受信任的根密钥。
使用映像软件捕获引用计算机的图像。
将映像部署到目标计算机。
工作组计算机
Configuration Manager 支持为工作组中的计算机安装客户端。 使用 如何手动安装 Configuration Manager 客户端中指定的方法在工作组计算机上安装客户端。
先决条件
在每台工作组计算机上手动安装客户端。 在安装过程中,交互式用户必须具有本地管理员权限。
若要访问 Configuration Manager 站点服务器域中的资源,请为站点配置网络访问帐户。 在软件分发站点组件中指定此帐户。 有关详细信息,请参阅 站点组件。
限制
工作组客户端无法从 Active Directory 域服务中找到管理点。 而是使用 DNS 或其他管理点。
不支持全局漫游。 工作组客户端无法查询 Active Directory 域服务以获取站点信息。
Active Directory 发现方法无法发现工作组中的计算机。
无法将软件部署到工作组计算机的用户。
不能使用客户端请求安装方法在工作组计算机上安装客户端。
工作组客户端无法使用 Kerberos 进行身份验证,它们可能需要手动批准。
无法将工作组客户端配置为分发点。 Configuration Manager 要求分发点计算机是域的成员。
在工作组计算机上安装客户端
检查先决条件,然后按照 如何手动安装 Configuration Manager 客户端部分中的说明进行操作。
工作组示例 1
此示例执行以下操作:
- 安装用于 Intranet 客户端管理的客户端
- 指定站点代码
- 指定用于查找管理点的 DNS 后缀
CCMSetup.exe SMSSITECODE=ABC DNSSUFFIX=constoso.com
工作组示例 2
此示例要求客户端位于边界组中配置的网络位置上。 如果不满足此要求,则自动站点分配将不起作用。 命令包括服务器 FSPSERVER 上的回退状态点。 此属性有助于跟踪客户端部署并识别任何客户端通信问题。
CCMSetup.exe FSP=fspserver.constoso.com
基于 Internet 的客户端管理
注意
本部分不适用于使用 云管理网关的客户端。 若要使用云管理网关安装基于 Internet 的客户端,请参阅 使用 Microsoft Entra ID 进行身份验证安装和分配 Configuration Manager 客户端。
当 Configuration Manager 站点支持对有时位于 Intranet 和 Internet 上的客户端进行 基于 Internet 的客户端管理 时,在 Intranet 上安装客户端时有两个选项:
安装客户端时,请包括 Client.msi 属性
CCMHOSTNAME=<internet FQDN of the internet-based management point>
,例如使用手动安装或客户端请求。 使用此方法时,请直接将客户端分配到站点。 不能使用自动站点分配。 请参阅 如何手动安装 Configuration Manager 客户端 部分,其中提供了此配置方法的示例。安装客户端进行 Intranet 客户端管理,然后将基于 Internet 的客户端管理点分配给客户端。 通过使用控制面板中 Configuration Manager 页上的客户端属性或使用脚本更改管理点。 使用此方法时,可以使用自动客户端分配。 有关详细信息,请参阅 如何在客户端安装后为基于 Internet 的客户端管理配置客户端 部分。
若要安装 Internet 上的客户端,请选择以下受支持的方法之一:
提供一种机制,让这些客户端使用 VPN 临时连接到 Intranet。 然后使用任何适当的客户端安装方法安装客户端。
使用独立于 Configuration Manager 的安装方法。 例如,将客户端安装源文件打包到可移动媒体上,并将媒体发送给用户。 客户端安装源文件位于
<installation path>\Client
Configuration Manager 站点服务器上的 文件夹中。 在媒体上,包括用于手动复制客户端文件夹的脚本。 在此文件夹中,使用 CCMSetup.exe 和所有相应的 CCMSetup 命令行属性安装客户端。
注意
Configuration Manager 不支持直接从基于 Internet 的管理点或基于 Internet 的软件更新点安装客户端。
通过 Internet 管理的客户端必须与基于 Internet 的站点系统通信。 在安装客户端之前,请确保这些客户端还具有公钥基础结构 (PKI) 证书。 独立于 Configuration Manager 安装这些证书。 有关详细信息,请参阅 PKI 证书要求。
通过指定 CCMSetup 命令行属性在 Internet 上安装客户端
按照 如何手动安装 Configuration Manager 客户端部分中的说明进行操作。 始终包含以下选项:
CCMSetup 命令行参数
/source:<local path of the copied Client folder>
CCMSetup 命令行参数
/UsePKICert
Client.msi 属性
CCMHOSTNAME=<FQDN of internet-based management point>
Client.msi 属性
SMSSIGNCERT=<local path of exported site server signing certificate>
Client.msi 属性
SMSSITECODE=<site code of internet-based management point>
注意
如果网站有多个基于 Internet 的管理点,则为
CCMHOSTNAME
属性指定哪一个管理点并不重要。 当 Configuration Manager 客户端连接到指定的基于 Internet 的管理点时,它会向客户端发送站点中基于 Internet 的可用管理点的列表。 客户端从列表中随机选择一个。如果不希望客户端检查证书吊销列表 (CRL) ,请指定 CCMSetup 命令行参数
/NoCRLCheck
。如果使用基于 Internet 的回退状态点,请指定 Client.msi 属性
FSP=<internet FQDN of the internet-based fallback status point>
。如果要安装客户端进行仅限 Internet 的客户端管理,请指定 Client.msi 属性
CCMALWAYSINF=1
。确定是否必须指定其他 CCMSetup 命令行参数。 例如,如果客户端有多个有效的 PKI 证书,则可能必须指定证书选择条件。 有关可用属性的列表,请参阅 关于客户端安装参数和属性。
基于 Internet 的示例
CCMSetup.exe /source: D:\Clients /UsePKICert CCMHOSTNAME=server1.contoso.com SMSSIGNCERT=siteserver.cer SMSSITECODE=ABC FSP=server2.contoso.com CCMALWAYSINF=1 CCMFIRSTCERT=1
此示例使用以下行为安装客户端:
- 使用驱动器 D 上的文件夹中的源文件。
- 使用客户端 PKI 证书。
- 选择有效期最长的证书。
- 仅限 Internet 的客户端管理。
- 分配客户端以使用名为 SERVER1 的基于 Internet 的管理点。
- 在 contoso.com 域中分配基于 Internet 的回退状态点。
- 将客户端分配到 ABC 站点。
在客户端安装后为基于 Internet 的客户端管理配置客户端
若要在安装客户端后分配基于 Internet 的管理点,请使用以下过程之一。 第一个需要手动配置,适用于一些客户端。 第二个更适合配置许多客户端。
从 Configuration Manager 控制面板安装客户端后,为客户端配置基于 Internet 的客户端管理
打开客户端上的 Configuration Manager 控制面板。
在“ 网络 ”选项卡上,输入基于 Internet 的管理点的完全限定域名 (FQDN) 作为 Internet FQDN。
注意
仅当客户端具有客户端 PKI 证书时,“ 网络 ”选项卡才可用。
如果客户端使用代理服务器访问 Internet,请输入代理服务器设置。
使用脚本在客户端安装后为基于 Internet 的客户端管理配置客户端
PowerShell
打开 PowerShell 内联编辑器,例如 PowerShell ISE 或 Visual Studio Code。 还可以使用文本编辑器,例如记事本。
将以下代码行复制并插入编辑器中。 将 替换为
'mp.contoso.com'
基于 Internet 的管理点的 Internet FQDN。$newInternetBasedManagementPointFQDN = 'mp.contoso.com' $client = New-Object -ComObject Microsoft.SMS.Client $client.SetInternetManagementPointFQDN($newInternetBasedManagementPointFQDN) Restart-Service CcmExec $client.GetInternetManagementPointFQDN()
注意
最后一行仅用于验证新的 Internet 管理点值。
若要删除基于 Internet 的指定管理点,请删除引号内的服务器 FQDN 值。 该行变为
$newInternetBasedManagementPointFQDN = ''
。使用 .ps1 扩展名保存文件。
在客户端计算机上使用提升的权限运行脚本。 使用以下方法之一:
使用包和程序将文件部署到现有 Configuration Manager 客户端。
通过在文件资源管理器中双击脚本文件,在现有 Configuration Manager 客户端本地运行该文件。
可能需要重启客户端才能使更改生效。
预配客户端安装属性
为组策略和基于软件更新的客户端安装预配客户端安装属性。 使用 Windows 组策略预配具有 Configuration Manager 客户端安装属性的计算机。 这些属性存储在计算机的注册表中。 客户端在安装时读取它们。 此过程通常不是必需的,但某些客户端安装方案可能需要此过程,例如:
你使用的是组策略设置或基于软件更新的客户端安装方法。 尚未扩展 Configuration Manager 的 Active Directory 架构。
你想要替代特定计算机上的客户端安装属性。
注意
如果在 CCMSetup.exe 命令行上提供了任何安装属性,则不会使用在计算机上预配的安装属性。
Configuration Manager 安装介质上提供了名为 的 ConfigMgrInstallation.adm
组策略管理模板。 使用此模板预配具有安装属性的客户端计算机。
提示
默认情况下, ConfigMgrInstallation.adm
不支持大于 255 个字符的字符串。 此配置可能会影响添加具有长值的多个参数或参数,例如 CCMCERTISSUERS。
若要解决此问题,请执行以下操作:
- 在记事本中编辑
ConfigMgrInstallation.adm
。 - 对于 属性
VALUENAME SetupParameters
,将MAXLEN
值更改为较大的整数。 例如,MAXLEN 511
。
使用组策略对象配置和分配客户端安装属性
使用 Windows 组策略对象编辑器等编辑器将 ConfigMgrInstallation.adm 管理模板导入新的或现有的组策略对象, (GPO) 。 可以在 Configuration Manager 安装媒体上的 文件夹中找到此文件
TOOLS\ConfigMgrADMTemplates
。打开导入设置 “配置客户端部署设置”的属性。
选择“已启用”。
在 CCMSetup 框中,输入所需的 CCMSetup 命令行属性。 有关所有 CCMSetup 命令行属性的列表及其使用示例,请参阅 关于客户端安装参数和属性。
将 GPO 分配给要使用 Configuration Manager 客户端安装属性预配的计算机。