规划如何在 Configuration Manager 中唤醒客户端
适用于: Configuration Manager(current branch)
Configuration Manager支持传统的唤醒数据包,以便在要安装所需的软件(如软件更新和应用程序)时唤醒处于睡眠模式的计算机。
注意
本文介绍旧版 LAN 唤醒的工作原理。 此功能仍存在于Configuration Manager版本 1810 中,其中还包括较新版本的 LAN 唤醒。 这两个版本的 LAN 唤醒可以同时启用,并且在许多情况下会启用。 有关从 1810 年开始的新版本 LAN 唤醒如何正常运行并启用任一版本或两个版本的详细信息,请参阅 如何配置 LAN 唤醒。
如何在 Configuration Manager 中唤醒客户端
Configuration Manager支持传统的唤醒数据包,以便在要安装所需的软件(如软件更新和应用程序)时唤醒处于睡眠模式的计算机。
可以使用唤醒代理客户端设置来补充传统的唤醒数据包方法。 唤醒代理使用对等协议和选定的计算机来检查子网上的其他计算机是否处于唤醒状态,并在必要时唤醒它们。 当为 LAN 唤醒配置站点,并为唤醒代理配置客户端时,该过程将如下所示:
安装了 Configuration Manager 客户端且子网上未处于睡眠状态的计算机检查子网上的其他计算机是否处于唤醒状态。 他们通过每隔五秒向对方发送一个 TCP/IP ping 命令来执行此检查。
如果没有来自其他计算机的响应,则假定它们处于睡眠状态。 已唤醒的计算机将成为子网的 管理器计算机 。
例如,由于计算机可能由于睡眠 (以外的原因而没有响应,因此它已关闭、从网络中删除或代理唤醒客户端设置不再应用于) ,因此每天在本地时间下午 2 点向计算机发送唤醒数据包。 不响应的计算机将不再被假定为处于睡眠状态,也不会被唤醒代理唤醒。
若要支持唤醒代理,每个子网至少必须唤醒三台计算机。 为了实现此要求,三台计算机被非确定性地选择为子网的 守护者计算机 。 此状态意味着它们会保持清醒状态,尽管任何配置的电源策略在一段时间处于非活动状态后处于睡眠或休眠状态。 卫报计算机遵循关闭或重启命令,例如,由于维护任务。 如果执行此操作,剩余的守护者计算机将唤醒子网上的另一台计算机,使子网继续拥有三台保护者计算机。
管理器计算机要求网络交换机将睡眠计算机的网络流量重定向到自己。
重定向是通过管理器计算机广播使用睡眠计算机的 MAC 地址作为源地址的以太网帧来实现的。 此行为使网络交换机的行为就像睡眠计算机已移动到管理器计算机所在的端口一样。 管理器计算机还会为睡眠计算机发送 ARP 数据包,使条目在 ARP 缓存中保持最新。 管理器计算机还代表睡眠计算机响应 ARP 请求,并使用睡眠计算机的 MAC 地址进行答复。
警告
在此过程中,睡眠计算机的 IP 到 MAC 映射保持不变。 唤醒代理的工作原理是通知网络交换机不同的网络适配器正在使用另一个网络适配器注册的端口。 但是,此行为称为 MAC 翻盖,对于标准网络操作来说并不常见。 某些网络监视工具会查找此行为,并可能认为存在错误。 因此,当你使用唤醒代理时,这些监视工具可以生成警报或关闭端口。
如果网络监视工具和服务不允许 MAC 翼动,请不要使用唤醒代理。
当管理器计算机看到睡眠计算机的新 TCP 连接请求,并且请求是睡眠计算机进入睡眠状态之前正在侦听的端口时,管理器计算机将向睡眠计算机发送唤醒数据包,然后停止重定向此计算机的流量。
睡眠计算机接收唤醒数据包并唤醒。 发送的计算机会自动重试连接,这一次,计算机处于唤醒状态并可以响应。
唤醒代理具有以下先决条件和限制:
重要
如果你有一个单独的团队负责网络基础结构和网络服务,请在评估和测试期间通知并包括此团队。 例如,在使用 802.1X 网络访问控制的网络上,唤醒代理将不起作用,并且可能会中断网络服务。 此外,当某些网络监视工具检测到唤醒其他计算机的流量时,唤醒代理可能会导致某些网络监视工具生成警报。
LAN 唤醒支持所有在 客户端和设备支持的操作系统中列为支持的客户端 的 Windows 操作系统。
不支持在虚拟机上运行的来宾操作系统。
必须使用客户端设置为客户端启用唤醒代理。 尽管唤醒代理操作不依赖于硬件清单,但客户端不会报告唤醒代理服务的安装情况,除非它们启用了硬件清单并提交了至少一个硬件清单。
必须为唤醒数据包启用和配置 (网络适配器,并且可能还要配置 BIOS) 。 如果未为唤醒数据包配置网络适配器或禁用此设置,Configuration Manager将在计算机收到启用唤醒代理的客户端设置时自动配置并启用它。
如果计算机有多个网络适配器,则无法配置用于唤醒代理的适配器;选择是不确定的。 但是,所选的适配器记录在 SleepAgent_<DOMAIN>@SYSTEM_0.log 文件中。
网络必须允许 ICMP 回显请求至少 (子网) 。 无法配置用于发送 ICMP ping 命令的 5 秒间隔。
通信未加密且未经身份验证,不支持 IPsec。
不支持以下网络配置:
具有端口身份验证的 802.1X
无线网络
将 MAC 地址绑定到特定端口的网络交换机
仅限 IPv6 的网络
DHCP 租约持续时间小于 24 小时
如果要唤醒计算机进行计划的软件安装,必须将每个主站点配置为使用唤醒数据包。
若要使用唤醒代理,除了配置主站点外,还必须部署 Power Management 唤醒代理客户端设置。
决定是使用子网定向的广播数据包还是单播数据包,以及要使用的 UDP 端口号。 默认情况下,传统的唤醒数据包使用 UDP 端口 9 传输,但为了帮助提高安全性,如果干预路由器和防火墙支持此备用端口,则可以为站点选择备用端口。
选择“单播”和“Subnet-Directed广播”,实现 LAN 唤醒
如果选择通过发送传统的唤醒数据包来唤醒计算机,则必须决定是传输单播数据包还是子网直接广播数据包。 如果使用唤醒代理,则必须使用单播数据包。 否则,请使用下表来帮助确定要选择的传输方法。
| 传输方法 | 优点 | 缺点 |
|---|---|---|
| 播 | 比子网定向广播更安全的解决方案,因为数据包直接发送到计算机,而不是发送到子网上的所有计算机。 可能不需要重新配置路由器, (可能需要配置 ARP 缓存) 。 与子网定向的广播传输相比,网络带宽消耗更少。 支持 IPv4 和 IPv6。 |
唤醒数据包在上一个硬件清单计划后找不到已更改其子网地址的目标计算机。 交换机可能必须配置为转发 UDP 数据包。 某些网络适配器使用单播作为传输方法时,可能无法响应处于所有睡眠状态的唤醒数据包。 |
| Subnet-Directed广播 | 如果计算机经常在同一子网中更改其 IP 地址,则成功率高于单播。 无需重新配置交换机。 对于所有睡眠状态,与计算机适配器的高兼容性,因为子网定向广播是发送唤醒数据包的原始传输方法。 |
与使用单播相比,解决方案安全性较低,因为攻击者可能会将 ICMP 回显请求的连续流从伪造的源地址发送到定向广播地址。 这会导致所有主机回复该源地址。 如果路由器配置为允许子网定向的广播,出于安全原因,建议使用其他配置: - 使用指定的 UDP 端口号将路由器配置为仅允许来自Configuration Manager站点服务器的 IP 定向广播。 - 将Configuration Manager配置为使用指定的非默认端口号。 可能需要重新配置所有干预路由器才能启用子网定向广播。 比单播传输消耗更多的网络带宽。 仅支持 IPv4;不支持 IPv6。 |
警告
子网定向广播存在安全风险:攻击者可能会将 Internet 控制消息协议的连续流 (ICMP) 回显请求从伪造的源地址发送到定向广播地址,从而导致所有主机回复该源地址。 这种类型的拒绝服务攻击通常称为 smurf 攻击,通常通过不启用子网定向广播来缓解。