規劃如何在 Configuration Manager 中喚醒用戶端
適用於:Configuration Manager (目前的分支)
Configuration Manager 支援傳統喚醒封包,以在您想要安裝必要的軟體時喚醒處於睡眠模式的計算機,例如軟體更新和應用程式。
注意事項
本文說明較舊版本的網路喚醒功能。 此功能仍存在於 Configuration Manager 1810 版中,其中也包含較新版本的網路喚醒。 在許多情況下,這兩個版本的網路喚醒都可以同時啟用。 如需新版網路喚醒功能從 1810 開始並啟用任一或兩個版本的詳細資訊,請參閱 如何設定網路喚醒。
如何喚醒 Configuration Manager 中的用戶端
Configuration Manager 支援傳統喚醒封包,以在您想要安裝必要的軟體時喚醒處於睡眠模式的計算機,例如軟體更新和應用程式。
您可以使用喚醒 Proxy 用戶端設定來補充傳統的喚醒封包方法。 喚醒 Proxy 會使用點對點通訊協議和選取的計算機來檢查子網上的其他計算機是否處於喚醒狀態,並在必要時加以喚醒。 當月臺設定為網路喚醒,且用戶端設定為喚醒 Proxy 時,此程序的運作方式如下:
已安裝 Configuration Manager 用戶端且未在子網上睡眠的計算機,會檢查子網上的其他計算機是否處於喚醒狀態。 他們會每隔五秒傳送一次 TCP/IP ping 命令來執行這項檢查。
如果沒有來自其他計算機的回應,則會假設它們處於睡眠狀態。 喚醒的計算機會成為子網的 管理員計算機 。
計算機可能因為睡眠 (以外的原因而無法回應,例如,計算機已關閉、從網路中移除,或不再套用 Proxy 喚醒用戶端設定) ,所以計算機會在當地時間每天下午 2 點傳送喚醒封包。 不再假設沒有回應的計算機處於睡眠狀態,且不會被喚醒 Proxy 喚醒。
若要支持喚醒 Proxy,每個子網至少必須有三部計算機處於喚醒狀態。 若要達到此需求,三部計算機不具決定性地選擇為子網的 守護者計算機 。 此狀態表示即使任何已設定的電源原則在閑置一段時間後進入睡眠或休眠狀態,它們仍會保持睡眠狀態。 例如,守護者計算機會接受關機或重新啟動命令,這是維護工作的結果。 如果發生此動作,剩餘的守護者計算機會喚醒子網上的另一部計算機,讓子網繼續有三部守護者計算機。
管理員計算機會要求網路交換器將睡眠中計算機的網路流量重新導向至自己。
重新導向是透過管理員電腦廣播乙太網路框架來達成,該畫面格會使用睡眠中計算機的 MAC 位址作為來源位址。 此行為讓網路交換器的行為就像睡眠中計算機已移至管理員計算機所在的相同埠一樣。 管理員計算機也會傳送睡眠中計算機的 ARP 封包,讓 ARP 快取中的專案保持最新狀態。 管理員計算機也會代表睡眠中計算機回應ARP要求,並以睡眠中計算機的MAC位址回復。
警告
在此程式中,睡眠中計算機的IP對MAC對應維持不變。 喚醒 Proxy 的運作方式是通知網路交換器,不同的網路適配器正在使用另一個網路適配器所註冊的埠。 不過,此行為稱為 MAC Flap,對於標準網路作業而言很不尋常。 某些網路監視工具會尋找此行為,並可假設發生錯誤。 因此,當您使用喚醒 Proxy 時,這些監視工具可以產生警示或關閉埠。
如果您的網路監視工具和服務不允許 MAC Flap,請勿使用喚醒 Proxy。
當管理員計算機看到睡眠中計算機的新 TCP 連線要求,且要求是在睡眠計算機進入睡眠之前接聽的埠時,管理員計算機會將喚醒封包傳送至睡眠中計算機,然後停止重新導向這部計算機的流量。
睡眠中的計算機會收到喚醒封包並喚醒。 傳送的計算機會自動重試連線,這次計算機會醒著並可以回應。
喚醒 Proxy 具有下列必要條件和限制:
重要事項
如果您有負責網路基礎結構和網路服務的個別小組,請在評估和測試期間通知並包含此小組。 例如,在使用 802.1X 網路存取控制的網路上,喚醒 Proxy 將無法運作,而且可能會中斷網路服務。 此外,當工具偵測到喚醒其他計算機的流量時,喚醒 Proxy 可能會導致某些網路監視工具產生警示。
在 用戶端和裝置支援的作系統 中列為支援用戶端的所有 Windows作系統,都支援網路喚醒。
不支援在虛擬機上執行的客體作系統。
用戶端必須使用用戶端設定來啟用喚醒 Proxy。 雖然喚醒 Proxy 作業不相依於硬體清查,但用戶端不會回報喚醒 Proxy 服務的安裝,除非它們已啟用硬體清查並提交至少一個硬體清查。
網路適配器 (,而且可能必須針對喚醒封包啟用和設定 BIOS) 。 如果未針對喚醒封包設定網路適配器,或停用此設定,Configuration Manager 會在收到客戶端設定以啟用喚醒 Proxy 時,自動為計算機設定及啟用它。
如果計算機有多個網路適配器,您就無法設定要用於喚醒 Proxy 的適配卡;選擇不具決定性。 不過,選擇的配接器會記錄在 SleepAgent_<DOMAIN>@SYSTEM_0.log 檔案中。
網路必須允許至少在子網) 內 (ICMP回應要求。 您無法設定用來傳送 ICMP ping 命令的五秒間隔。
通訊未加密且未經驗證,且不支援 IPsec。
不支援下列網路組態:
具有埠驗證的 802.1X
無線網路
將 MAC 位址系結至特定埠的網路交換器
僅限 IPv6 的網路
DHCP 租用持續時間小於 24 小時
如果您想要喚醒計算機以進行排程的軟體安裝,您必須將每個主要月臺設定為使用喚醒封包。
若要使用喚醒 Proxy,除了設定主要月臺之外,您還必須部署 Power Management 喚醒 Proxy 用戶端設定。
決定是否要使用子網導向的廣播封包或單播封包,以及要使用的 UDP 埠號碼。 根據預設,傳統喚醒封包會使用UDP埠9來傳輸,但為了協助提高安全性,如果此替代埠受到路由器和防火牆的介入支援,您可以選取月臺的替代埠。
針對網络喚醒選擇 [單播] 和 [Subnet-Directed 廣播]
如果您選擇透過傳送傳統喚醒封包來喚醒計算機,您必須決定是否要傳輸單播封包或子網直接廣播封包。 如果您使用喚醒 Proxy,則必須使用單播封包。 否則,請使用下表來協助您判斷要選擇的傳輸方法。
| 傳輸方法 | 利用 | 缺點 |
|---|---|---|
| Unicast | 比子網導向的廣播更安全的解決方案,因為封包會直接傳送至計算機,而不是傳送到子網上的所有計算機。 可能不需要重新設定路由器 (您可能必須設定ARP快取) 。 比起子網導向的廣播傳輸,耗用較少的網路頻寬。 支援 IPv4 和 IPv6。 |
喚醒封包找不到在最後一個硬體清查排程之後變更其子網位址的目的地計算機。 參數可能必須設定為轉送 UDP 封包。 某些網路適配器在使用單播作為傳輸方法時,可能不會響應處於所有睡眠狀態的喚醒封包。 |
| Subnet-Directed 廣播 | 如果您的電腦經常在相同的子網中變更其IP位址,則成功率高於單播。 不需要重新設定參數。 所有睡眠狀態的計算機適配器相容性率很高,因為子網導向的廣播是傳送喚醒封包的原始傳輸方法。 |
比起使用單播,較不安全的解決方案,因為攻擊者可以將ICMP回應要求的連續串流從偽造的來源位址傳送至導向的廣播位址。 這會導致所有主機回復該來源位址。 如果路由器設定為允許子網導向的廣播,則基於安全性考慮,建議使用額外的設定: - 使用指定的 UDP 連接埠號碼,將路由器設定為只允許來自 Configuration Manager 月台伺服器的 IP 導向廣播。 - 設定 Configuration Manager 使用指定的非預設埠號碼。 可能需要重新設定所有中間路由器,才能啟用子網導向的廣播。 耗用比單播傳輸更多的網路頻寬。 僅支援 IPv4;不支援 IPv6。 |
警告
有與子網導向廣播相關聯的安全性風險:攻擊者可能會將因特網控制訊息通訊協定 (ICMP 的連續串流) 來自偽造來源地址的回應要求傳送到導向的廣播位址,這會導致所有主機回復該來源位址。 這種類型的阻斷服務攻擊通常稱為 s cerf 攻擊,而且通常會藉由不啟用子網導向的廣播來降低風險。