通过 Internet 部署任务序列

适用于: Configuration Manager(current branch)

Configuration Manager 支持通过 Internet 将任务序列部署到远程客户端的各种方法。 可以部署 Windows 升级、使用可启动媒体,或从软件中心启动它。 本文介绍这些方案的特定配置。 首先使用 “部署任务序列 ”创建基本部署。 然后使用本文中的配置为基于 Internet 的客户端自定义它。

警告

可以管理高风险任务序列部署的行为。 高风险部署是自动安装的部署,并可能导致不需要的结果。 例如,用途为 “必需 ”的任务序列将部署 OS 视为高风险部署。 有关详细信息,请参阅 用于管理高风险部署的设置

允许任务序列在 Internet 上运行

在“部署软件向导”的“ 用户体验 ”页上,可以将部署配置为 “允许在 Internet 上为客户端运行任务序列”。 所有基于 Internet 的客户端方案都需要此设置。 以下部分介绍启用此设置时的主要方案。

注意

首先运行另一个程序的任务序列高级设置不适用于在客户端上运行的任务序列,这些客户端通过云管理网关 (CMG) 进行通信。 此选项使用无法通过 CMG 访问的包的 UNC 网络路径。

Windows 就地升级

使用此设置通过云管理网关将 Windows 就地升级任务序列部署到基于 Internet 的客户端 (CMG) 。 所有受支持的 Configuration Manager 版本都支持此方案。 有关详细信息,请参阅 通过 CMG 部署 Windows 就地升级

从软件中心安装 Windows 映像任务序列

从版本 2006 开始,可以将带有启动映像的任务序列部署到通过 CMG 进行通信的设备。 用户需要从软件中心启动任务序列。

注意

当已加入 Microsoft Entra 的客户端运行 OS 部署任务序列时,新 OS 中的客户端不会自动加入 entra ID Microsoft。 即使它未Microsoft Entra 联接,客户端仍受管理。

在基于 Internet 的客户端上运行 OS 部署任务序列(Microsoft Entra 联接或使用基于令牌的身份验证)时,需要在“设置 Windows 和 ConfigMgr”步骤中指定 CCMHOSTNAME 属性。

使用可启动媒体安装 Windows 映像任务序列

从版本 2010 开始,可以使用可启动媒体来重置通过 CMG 连接的基于 Internet 的设备映像。 此方案有助于更好地支持远程工作者。 如果 Windows 无法启动以便用户可以访问软件中心,你现在可以向他们发送 U 盘来重新安装 Windows。 有关详细信息,请参阅 使用可启动媒体通过 CMG 部署 OS

在版本 2002 及更早版本中,此设置不支持需要启动媒体的操作。 允许任务序列仅在通用软件安装或基于脚本的任务序列(在标准 OS 中运行操作)在 Internet 上运行。

注意

对于版本 2002 及更早版本中的所有基于 Internet 的任务序列方案,请从软件中心启动任务序列。 它们不支持 Windows PE、PXE 或任务序列媒体。

通过 CMG 部署 Windows 就地升级

Windows 就地升级任务序列支持部署到通过 云管理网关 (CMG) 管理的基于 Internet 的客户端。 此功能使远程用户无需连接到 Intranet 即可更轻松地升级到 Windows。

确保就地升级任务序列引用的所有内容都分发到已启用内容的 CMG。 启用 CMG 设置允许 CMG 充当云分发点并提供 Azure 存储中的内容。 否则,设备无法运行任务序列。

部署升级任务序列时,请使用以下设置:

  • 允许任务序列在部署的“用户体验”选项卡上为 Internet 上的客户端运行

  • 在部署的“分发点”选项卡上选择以下选项之一:

    • 运行中的任务序列在需要时在本地下载内容。 任务序列引擎可以从已启用内容的 CMG 按需下载包。 此选项为将 Windows 就地升级部署到基于 Internet 的设备提供了更大的灵活性。

    • 在启动任务序列之前在本地下载所有内容。 使用此选项,Configuration Manager 客户端会在启动任务序列之前从云源下载内容。

  • 部署的“ 常规”选项卡上, (此任务序列的可选) 预下载内容。 有关详细信息,请参阅 配置预缓存内容

注意

从软件中心启动任务序列。 此方案不支持 Windows PE、PXE 或任务序列媒体。

基于云的内容的可启动媒体支持

从版本 2010 开始, 可启动媒体 可以下载基于云的内容。 例如,你向远程办公室的用户发送 USB 密钥以重置其设备映像。 或者具有本地 PXE 服务器的办公室,但你希望设备尽可能确定云服务的优先级。 启动媒体和 PXE 部署现在可以从基于云的源获取内容,而无需进一步对 WAN 进行下载大型 OS 部署内容。 例如,云管理网关 (启用共享内容的 CMG) 。

注意

设备仍然需要与管理点建立 Intranet 连接。

任务序列运行时,它会从基于云的源下载内容。 查看客户端上的 smsts.log

可启动媒体的先决条件

  • 云服务 组中启用以下客户端设置: 允许访问云分发点。 确保客户端设置已部署到目标客户端。 有关详细信息,请参阅 关于客户端设置 - 云服务

  • 对于客户端位于的边界组:

  • 将任务序列引用的内容分发到已启用内容的 CMG。

使用可启动媒体通过 CMG 部署 OS

从版本 2010 开始,可以使用启动媒体来重置通过 CMG 连接的基于 Internet 的设备映像。 此方案有助于更好地支持远程工作者。 如果 Windows 无法启动以便用户可以访问软件中心,你现在可以向他们发送 U 盘来重新安装 Windows。

通过 CMG 启动媒体的先决条件

  • 设置 CMG

  • 对于任务序列中引用的所有内容,请将其分发到已启用内容的 CMG。 有关详细信息,请参阅 分发内容

  • 云服务 组中启用以下客户端设置:

    • 允许访问云分发点

    • 允许客户端使用云管理网关

  • 配置 “应用网络设置” 任务序列步骤以加入工作组。 在任务序列期间,设备无法加入本地 Active Directory 域。 它无法连接到域控制器以加入域。

  • 将任务序列部署到集合时,请配置以下设置:

    • 用户体验页: 允许任务序列在 Internet 上为客户端运行

    • 部署设置页:可用于包含媒体的选项。

    • 分发点页,部署选项: 运行中的任务序列在需要时在本地下载内容。 有关详细信息,请参阅 部署选项

  • 确保设备在任务序列运行时具有恒定的 Internet 连接。 Windows PE 不支持无线网络,因此设备需要有线网络连接。

  • 如果将基于 PKI 的证书用于启动媒体,请使用Microsoft增强型 RSA 和 AES 提供程序为 SHA256 配置它。 建议使用此证书配置,但不是必需的。 证书可以是 v3 (CNG) 证书。

  • 在版本 2010 和 2103 中,如果将管理点配置为 允许仅 Internet 连接,则不能通过 CMG 使用启动媒体。 若要解决此问题,请将管理点配置为 “允许 Intranet 和 Internet 连接”。

  • 如果 CMG 使用基于 PKI 的证书,则需要将受信任的根证书添加到启动映像。 否则,Windows PE 无法与 CMG 通信,因为它不信任 CMG 的证书。 有关详细信息,请参阅 将受信任的根证书添加到启动映像

创建启动媒体以使用 CMG

启动可启动媒体的创建任务序列媒体向导。 有关详细信息,请参阅 创建可启动媒体。 使用以下步骤修改标准过程:

  • 在向导的“ 媒体管理 ”页上,选择 “基于站点的媒体”选项。

  • 在“ 安全性 ”页上,设置强密码以保护此媒体。

  • “启动映像”页上的“管理点”下,从“添加管理点”对话框中选择“云管理网关”。

使用此媒体启动连接 Internet 的设备时,它会与指定的 CMG 通信。 启动媒体通过 CMG 下载任务序列部署的策略。 任务序列运行时,它会通过 Internet 下载任何其他内容和策略。

任务序列运行后,客户端使用基于令牌的身份验证。

将受信任的根证书添加到启动映像

如果 CMG 使用基于 PKI 的证书,则需要将受信任的根证书添加到启动映像。 否则,Windows PE 无法与 CMG 通信,因为它不信任 CMG 的证书。

步骤 1:导出证书注册表 Blob

在安装了受信任的根证书的系统上:

  1. 打开“开始”菜单。 键入 run 以打开“运行”窗口。 打开 mmc

  2. 在“文件”菜单中,选择 “添加/删除管理单元...”

  3. 在“添加或删除管理单元”对话框中,选择“ 证书”,然后选择“ 添加”。

    1. 在“证书”管理单元对话框中,选择“ 计算机帐户”,然后选择“ 下一步”。

    2. 在“选择计算机”对话框中,选择“ 本地计算机”,然后选择“ 完成”。

    3. 在“添加或删除管理单元”对话框中,选择“ 确定”。

  4. 展开 “证书”,展开“ 受信任的根证书颁发机构”,然后选择“ 证书”。

  5. 选择根证书。 在 “操作 ”菜单上,选择“ 打开”。

  6. 切换到“ 详细信息 ”选项卡。

  7. 复制证书指纹的值。 例如 eb971f84c0c44b9eb22a378fecb45747eb971f84

  8. 在“开始”菜单中,运行 regedit

  9. 浏览到以下注册表项: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates。 有关此注册表项的详细信息,请参阅 系统存储位置

  10. 选择与根证书指纹匹配的注册表项。

  11. 在“ 文件 ”菜单上,选择“ 导出”。 指定文件名并保存 .reg 文件。

  12. 在记事本中编辑文件。 在密钥路径中,将 更改为 SOFTWAREwinpe-offline,然后保存文件。 例如:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

  13. 将此文件复制到可在下一步中访问的位置。

步骤 2:将证书注册表 Blob 导入脱机启动映像

在具有启动映像文件的系统上:

  1. 装载 WIM 文件。 例如,DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount

  2. 在“开始”菜单中,运行 regedit

  3. 选择 “HKEY_LOCAL_MACHINE”。 在“ 文件 ”菜单上,选择“ 加载配置单元”。

  4. 浏览到 C:\Mount\Windows\System32\config 并选择“ 软件”。 此文件是装载到 C:\Mount的 Windows PE 映像的脱机注册表配置单元。

    重要

    请确保此路径指向已装载的 Windows PE 映像,而不是默认的 Windows OS 路径。

  5. 将已加载配置单元 winpe-offline的键命名为 。

  6. 在“ 文件 ”菜单上,选择“ 导入”。 浏览到 .reg 之前导出和修改的已修改文件。 选择 “打开”

  7. 浏览到以下注册表项: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates 并确认已添加新密钥。

  8. 选择以下注册表项: Computer\HKEY_LOCAL_MACHINE\winpe-offline。 在“ 文件 ”菜单上,选择“ 卸载 Hive”,然后选择“ ”。

  9. 关闭注册表编辑器和引用 中 C:\Mount文件的任何其他窗口。

  10. 卸载启动映像 并提交更改。 例如,DISM /Unmount-image /Commit /MountDir:C:\Mount

启动映像现在包含受信任的根证书。

后续步骤

监视 OS 部署

管理任务序列以自动执行任务