SCCM pilvehalduslüüsi paigaldamine (SCCM CMG)

Hei,

Käesolevas postituses vaatame peale sellisele teenusele nagu “SCCM Cloud Management Gateway – SCCM CMG“. Jah, pealkiri on eestikeelne, kuna tegu on eestikeelse blogiga, kuid leian, et maailmas on asju, mida ei tohiks teatud juhtudel tõlkida 🙂 Seega kasutan edaspidi antud blogipostituses lühendit CMG või pikalt Cloud Management Gateway.

Tegu on äärmiselt vajaliku teenusega, mis kindlasti tulevikus oma funktionaalsuse pagasit täiendab, kuid juba praegu saame me palju kasulikku endajaoks ära seadistada ning kasutusele võtta. Cloud Management Gateway on SCCM pilvelüüsi featuur (Cloud Gateway), mida majutatakse Azures. Kliendid ühenduvad Azure pilvelüüsi külge samalaadselt nagu nad ühenduvad otse SCCM teenuse külge kasutades selleks TCP porti 443 (HTTPS). CMG featuuri tutvustati esmakordselt versioonis 1610, kuid on tänaseni “Pre-release” staatuses. See tähendab, et ametlikult ta välja veel ei ole tulnud, kuid on nobedamatele juba kenasti kättesaadav. Antud teenus annab võimaluse olla kontaktis halduse all olevate masinatega ka väljaspool sisevõrku. Täna on CMG funktsionaalsus veel piiratud, mis tähendab, et kõike sama, mida on võimalik teha otse sisevõrgus oleva masinaga Te siiski üle CMG teha ei saa. Loetleme siinkohal funktsionaalsuse, mida CMG ei paku:

  • Kliendi paigaldamine
  • Automaatne saidi määramine (Automatic site assignment)
  • Applikatsiooni kataloog (k.a tarkvara tellimine)
  • OSD e. Operatsioonisüsteemi paigaldamine
  • TS – Ülesande Järjestus (Task Sequences)
  • SCCM konsooli kasutamine (väljaspool sisevõrku olles)
  • Kaughaldus tööriistad (Remote tools)
  • Raportite veebileht
  • WoL – Wake on Lan e. üle võrgu äratamine
  • Mac, Linux, ja UNIX kliendid
  • Azure ressursihaldus (Azure Resource Manager)
  • Peer cache (novot – kuidas seda nüüd tõlkida?)
  • Kohapealne mobiilseadmete haldus (On-premises Mobile Device Management)

Võib tunduda, et palju asju ei saa hetkel veel teha ning tõsi ta on – samas tuleb funktsionaalsust jooksvalt juurde ning lootust on, et ühel kenal päeval saab juba kõike eelmainitut ka antud teenuse raames kasutada. Olemasolevast funktsionaalsusest tooksin kindlasti välja:

  • Riist- ja tarkvara audit
  • Poliitikad (Policies)
  • Kliendi tervis
  • Tarkvara paigaldus* (juhul kui kasutuses on ka Cloud Distribution Point)

Tähtsad asjad kõigepealt!

CMG ei ole tasuta teenus. Litsentsivõtmes Te küll midagi juurde maksma ei pea, kuid teenuse kasutamine muutub tasuliseks just ressursside tõttu, mida pilves olete sunnitud majutama. Teen lühikese ülevaate hinnastamisest. CMG seadistamise ajal paigaldatakse Teie Azure tenanti külge “vähemalt” üks virtuaalmasin plaaniga “Azure Standard_A2“. Keskmine kulu antud plaani puhul on ca. $130/kuus. Sellele lisandub veel iga masina tekitatud liiklus. Keskelt läbi tekitab iga masin (ilma tarkvara publitseerimise vms) ca. 100MB/kuus. Täpsemalt saate kulu arvutada välja Azure hinnastamiskalkulaatoriga:

Paigalduseks ettevalmistumine – sertifikaadid

Keskne ning läbiv teema CMG juurutamisel on PKI ja sertifikaadid. Kui SCCM´i saab, ja pahatihti ka kasutatakse ilma PKI ehk otspunktide krüteeringuta, siis CMG eeldus ning nõue on, et PKI ja sertifikaadid on paigaldatud ning seda nii Azure pilve kui ka igasse tööjaama. Vajalikud on kaks sertifikaati, mida kasutatakse Azure pilves ning lisaks kasutajatele mõeldud sertifikaadid. Lisaks veel siis ka Root CA ning olemasolul ka Intermediate CA sertifikaadid. SCCM on võimeline täna küll kasutama SHA2 sertifikaate, kuid kahjuks ainult vanakooli template v2 versiooni. Seega kõik sertifikaadid peaksid olema:

  • Certidication Authority: Windows Server 2003
  • Certificate recipient: Windows XP/Server 2003

Täpsemalt saab sertifikaatide nõuetest lugeda siit:

https://docs.microsoft.com/en-us/sccm/core/plan-design/network/pki-certificate-requirements

Mina tegin valmis kolm erinevat CA templatet, mida kasutasin:

  1. ConfigMgr Azure Cloud Management SSL Certificate (Azure Subscription Management sertifikaat).
    1. Duplicate “Web Server” Certificate template
    2. SHA2
    3. Certidication Authority: Windows Server 2003
    4. Certificate recipient: Windows XP/Server 2003
    5. Allow private key to be exported
    6. Provider Category: Legacy Cryptographic Service Provider
    7. Minimum key size: 2048
    8. 2 years
  2. ConfigMgr Client Authentication – Computers (Kõikidele tööjaamadele, mis CMG´ga suhtlevad)
    1. Duplicate “Computer” Certificate template
    2. SHA2
    3. Certidication Authority: Windows Server 2003
    4. Certificate recipient: Windows XP/Server 2003
    5. DO NOT Allow private key to be exported
    6. Provider Category: Legacy Cryptographic Service Provider
    7. Minimum key size: 2048
    8. 1 year
  3. ConfigMgr Cloud Services SSL Certificate (Pilveteenuse sertifikaat)
    1. Duplicate “Web Server” Certificate template
    2. SHA2
    3. Certidication Authority: Windows Server 2003
    4. Certificate recipient: Windows XP/Server 2003
    5. Allow private key to be exported
    6. Provider Category: Legacy Cryptographic Service Provider
    7. Minimum key size: 2048
    8. 2 years

Küsi seadmest, millele on antud õigus eelmainitud sertifikaate pärida (Näiteks SCCM server), nii Azure Cloud Management sertifikaat kui Azure Cloud Services sertifikaat. Mõlemal juhul on pärides tähtis päritava sertifikaadi nimi:

Azure Cloud Management (Seda sertifikaati kasutatakse SCCM´i ja Azure Subscriptioni vaheliseks suhtluseks) puhul kasuta common name: “xxx.cludapp.net”, kus xxx on sinujaoks sobilik nimetus. Näiteks “firmanimiazuremgmt.cloudapp.net“. Kui sertifikaat on päritud, siis tuleb see exportida nii .pfx ku ka .cer formaadis välja, et seda sertifikaati saaks teenuse seadistamisel kasutada.

Azure Cloud Services (Seda sertifikaati kasutatakse kliendi ja Azure CMG vaheliseks suhtluseks) puhul kasuta samuti common name: xxx.cloudapp.net, kus xxx on sinujaoks sobilik nimetus. Näiteks “firmanimiCMG.cloudapp.net“. Kui sertifikaat on päritud, siis tuleb see exportida .pfx formaadis välja, et seda sertifikaati saaks teenuse seadistamisel kasutada.

Nüüd võiks sul olemas olla ja kättesaadav vähemalt 3 sertifikaati:

  1. Azure Management Certificate
  2. Azure Cloud Service Certificate
  3. Root CA/Intermediate CA

Alustame teenuse paigaldusega

Ava SCCM konsool ning manageeri Administration -> Cloud Services -> Cloud Management Gateway

Vajuta menüüribal “Create Cloud Management Gateway”

Avanenud menüüs vali:

  • Azure environment: AzurPublicCloud
  • Subscription ID: Teie Azure Subscription ID
  • Management certificate: Eelpool loodud Azure Management Certificate (.pfx formaadis)
  • Vajuta “Next
  • Uues aknas on vaja kõigepealt sisse importida Cloud Service sertifikaat. Vali “Browse” ning anna ette Azure Cloud Services sertifikaat.
  • Peale sertifikaadi tuvastust määratakse automaatselt teenuse nimi: firmanimiCMG
  • Vali kuhu soovid antud teenuse paigaldada. Mina valisin “West Europe
  • VM Instance: 1
  • Süstime sisse usaldatud Root sertifikaadi. Vajuta “Certificates…
  • Lisa oma asutuse Root CA ning vajadusel ka Intermediate CA kui Teil on kasutuses kahe või enam tieriga CA.
  • Linnukene “Verify Certificate Revocation” on soovituslik juhul kui Teil CRL või OCSP paistab sisevõrgust väljapoole. Sellisel juhul on võimalik sertifikaadi valiidsust kontrollida ja tõestada, mis turvalisuse aspektist on väga tähtis.

Kui eelmainitud rada on läbi käidud, siis põhimõtteliselt on su teenus kasutuskõlblik. Mõne minutijooksul luuakse su Azure tenantisse uued ressursid, mida saad ka portal.azure.com lehepealt näha. SCCM konsooli ilmub seadistatud CMG objekt ning staatuse all on nähtav ka ühendus SCCM ja CMG vahel.

Veatuvastus ning teenuse test

Sellest kirjutan juba lähiajal täpsemalt. Seniks head nokitsemist!

Kõikide küsimuste korral postitage kommentaar blogipostituse alla ning aitan meeleldi!

,

Comments are closed.