Планирование пробуждения клиентов в Configuration Manager
Относится к Configuration Manager (Current Branch)
Configuration Manager поддерживает традиционные пакеты пробуждения для пробуждения компьютеров в спящем режиме при установке необходимого программного обеспечения, например обновлений программного обеспечения и приложений.
Примечание.
В этой статье описывается, как работает более старая версия пробуждения по локальной сети. Эта функция по-прежнему существует в Configuration Manager версии 1810, которая также включает в себя более новую версию пробуждения по локальной сети. Обе версии пробуждения по локальной сети могут и во многих случаях будут включены одновременно. Дополнительные сведения о том, как работает новая версия пробуждения по локальной сети, начиная с версии 1810 и включения обеих версий, см. в разделе Настройка пробуждения по локальной сети.
Пробуждение клиентов в Configuration Manager
Configuration Manager поддерживает традиционные пакеты пробуждения для пробуждения компьютеров в спящем режиме при установке необходимого программного обеспечения, например обновлений программного обеспечения и приложений.
Вы можете дополнить традиционный метод пакетного пробуждения с помощью параметров прокси-сервера пробуждения. Прокси-сервер пробуждения использует одноранговый протокол и выбранные компьютеры, чтобы проверить, не активируются ли другие компьютеры в подсети, и при необходимости разбудить их. Если сайт настроен для пробуждения по локальной сети, а клиенты настроены для прокси-сервера пробуждения, процесс работает следующим образом:
Компьютеры с установленным клиентом Configuration Manager, которые не находятся в спячем режиме в подсети, проверяют, не работают ли другие компьютеры в подсети. Они выполняют эту проверку, отправляя друг другу команду связи TCP/IP каждые пять секунд.
Если нет ответа от других компьютеров, предполагается, что они спят. Компьютеры, которые находятся в состоянии пробуждения, становятся компьютером диспетчера для подсети.
Так как возможно, что компьютер может не отвечать по причине, отличной от спящего режима (например, он отключен, удален из сети или параметр прокси-клиента пробуждения больше не применяется), компьютеры отправляют пакет пробуждения каждый день в 14:00 по местному времени. Компьютеры, которые не отвечают, больше не будут считаться спящими и не будут разбужены прокси-сервером пробуждения.
Для поддержки прокси-сервера пробуждения для каждой подсети должно быть не менее трех компьютеров. Для выполнения этого требования три компьютера не детерминировано выбираются в качестве компьютеров-хранителей для подсети. Это состояние означает, что они остаются не в состоянии, несмотря на любую настроенную политику питания для спящего режима или гибернации после периода бездействия. Компьютеры-хранители выполняют команды завершения работы или перезапуска, например в результате задач обслуживания. Если это действие произойдет, остальные компьютеры-опекуны активит другой компьютер в подсети, чтобы в подсети по-прежнему было три компьютера-опекуна.
Компьютеры диспетчера просят сетевой коммутатор перенаправить сетевой трафик для спящих компьютеров к себе.
Перенаправление достигается компьютером управляющего, транслирующим кадр Ethernet, который использует MAC-адрес спящего компьютера в качестве исходного адреса. Это поведение заставляет сетевой коммутатор вести себя так, как если бы спящий компьютер переместился на тот же порт, на который находится компьютер диспетчера. Компьютер диспетчера также отправляет пакеты ARP для спящих компьютеров, чтобы сохранить запись в кэше ARP. Компьютер диспетчера также отвечает на запросы ARP от имени спящего компьютера и отвечает MAC-адрес спящего компьютера.
Предупреждение
Во время этого процесса сопоставление IP-адресов и MAC для спящего компьютера остается прежним. Прокси-сервер пробуждения работает, информируя сетевой коммутатор о том, что другой сетевой адаптер использует порт, зарегистрированный другим сетевым адаптером. Однако это поведение называется заслоном MAC и является необычным для стандартной сетевой операции. Некоторые средства мониторинга сети ищут это поведение и могут предположить, что что-то не так. Следовательно, эти средства мониторинга могут создавать оповещения или завершать работу портов при использовании прокси-сервера пробуждения.
Не используйте прокси-сервер пробуждения, если средства и службы мониторинга сети не разрешают mac-закрылки.
Когда компьютер диспетчера видит новый запрос tcp-подключения для спящего компьютера и запрос направляется на порт, который прослушивал спящий компьютер перед переходом в спящий режим, компьютер диспетчера отправляет пакет пробуждения на спящий компьютер, а затем прекращает перенаправление трафика для этого компьютера.
Спящий компьютер получает пакет пробуждения и просыпается. Отправляя компьютер автоматически повторяет подключение, и на этот раз компьютер находится в состоянии пробуждения и может ответить.
Прокси-сервер пробуждения имеет следующие предварительные требования и ограничения.
Важно!
Если у вас есть отдельная команда, которая отвечает за сетевую инфраструктуру и сетевые службы, сообщите об этом и включите ее в период оценки и тестирования. Например, в сети, которая использует управление доступом к сети 802.1X, прокси-сервер пробуждения не будет работать и может нарушить работу сетевой службы. Кроме того, прокси-сервер пробуждения может привести к тому, что некоторые средства мониторинга сети создают оповещения, когда средства обнаруживают трафик для пробуждения других компьютеров.
Все операционные системы Windows, перечисленные как поддерживаемые клиенты в разделе Поддерживаемые операционные системы для клиентов и устройств , поддерживаются для пробуждения по локальной сети.
Гостевые операционные системы, работающие на виртуальной машине, не поддерживаются.
Клиенты должны быть включены для прокси-сервера пробуждения с помощью параметров клиента. Хотя операция прокси-сервера пробуждения не зависит от инвентаризации оборудования, клиенты не сообщают об установке прокси-службы пробуждения, если они не включены для инвентаризации оборудования и не отправлены по крайней мере одну инвентаризацию оборудования.
Сетевые адаптеры (и, возможно, BIOS) должны быть включены и настроены для пакетов пробуждения. Если сетевой адаптер не настроен для пакетов пробуждения или этот параметр отключен, Configuration Manager автоматически настроит и включит его для компьютера при получении параметра клиента для включения прокси-сервера пробуждения.
Если на компьютере есть несколько сетевых адаптеров, вы не можете настроить, какой адаптер следует использовать для прокси-сервера пробуждения. выбор не детерминирован. Однако выбранный адаптер записывается в файл SleepAgent_<DOMAIN>@SYSTEM_0.log.
Сеть должна разрешать запросы на эхо ICMP (по крайней мере в подсети). Невозможно настроить пятисекундный интервал, который используется для отправки команд проверки проверки связью ICMP.
Обмен данными не зашифровывается и не прошел проверку подлинности, а IPsec не поддерживается.
Следующие конфигурации сети не поддерживаются:
802.1X с проверкой подлинности через порт
Беспроводные сети
Сетевые коммутаторы, которые привязывают MAC-адреса к определенным портам
Сети, доступные только для IPv6
Длительность аренды DHCP менее 24 часов
Если вы хотите разбудить компьютеры для запланированной установки программного обеспечения, необходимо настроить каждый первичный сайт для использования пакетов пробуждения.
Чтобы использовать прокси-сервер пробуждения, необходимо развернуть параметры клиента прокси-сервера пробуждения Power Management в дополнение к настройке первичного сайта.
Определите, следует ли использовать широковещательные пакеты, направленные на подсеть, или одноадресные пакеты, и какой номер порта UDP следует использовать. По умолчанию традиционные пакеты пробуждения передаются через UDP-порт 9, но для повышения безопасности можно выбрать альтернативный порт для сайта, если этот альтернативный порт поддерживается с помощью промежуточных маршрутизаторов и брандмауэров.
Выбор между одноадресной и Subnet-Directed широковещательной трансляцией для пробуждения по локальной сети
Если вы решили разбудить компьютеры, отправляя традиционные пакеты пробуждения, необходимо решить, следует ли передавать одноадресные пакеты или пакеты прямой трансляции подсети. При использовании прокси-сервера пробуждения необходимо использовать одноадресные пакеты. В противном случае используйте следующую таблицу, чтобы определить, какой метод передачи следует выбрать.
Метод передачи | Преимущество | Недостаток |
---|---|---|
Одноадресной рассылки | Более безопасное решение, чем широковещательная передача, направленная на подсеть, так как пакет отправляется непосредственно на компьютер, а не на все компьютеры в подсети. Может не требоваться перенастройка маршрутизаторов (может потребоваться настроить кэш ARP). Потребляет меньше пропускной способности сети, чем широковещательная передача, направленная на подсеть. Поддерживается с IPv4 и IPv6. |
Пакеты пробуждения не находят конечные компьютеры, которые изменили адрес подсети после последнего расписания инвентаризации оборудования. Возможно, потребуется настроить параметры для пересылки пакетов UDP. Некоторые сетевые адаптеры могут не реагировать на пакеты пробуждения во всех состояниях спящего режима, если они используют одноадресную рассылку в качестве метода передачи. |
Subnet-Directed трансляция | Более высокий показатель успешного выполнения, чем одноадресная рассылка, если компьютеры часто меняют СВОЙ IP-адрес в одной подсети. Перенастройка переключателя не требуется. Высокий уровень совместимости с адаптерами компьютера для всех состояний спящего режима, так как трансляции, направленные на подсеть, были исходным методом передачи для отправки пакетов пробуждения. |
Менее безопасное решение, чем использование одноадресной рассылки, так как злоумышленник может отправлять непрерывные потоки запросов эха ICMP с фальсифицированного исходного адреса на адрес направленной широковещательной передачи. Это приводит к тому, что все узлы будут отвечать на этот исходный адрес. Если маршрутизаторы настроены так, чтобы разрешать широковещательные передачи, направленные на подсети, рекомендуется использовать дополнительную конфигурацию по соображениям безопасности: — Настройте маршрутизаторы так, чтобы разрешить передачу с сервера сайта Configuration Manager только по IP-адресу, используя указанный номер порта UDP. — настройка Configuration Manager для использования указанного номера порта, отличного от номера порта по умолчанию. Может потребоваться перенастройка всех промежуточных маршрутизаторов для включения широковещательной передачи, направленной на подсеть. Потребляет больше пропускной способности сети, чем одноадресная передача. Поддерживается только для IPv4; IPv6 не поддерживается. |
Предупреждение
Существуют риски безопасности, связанные с трансляциями, направленными на подсеть. Злоумышленник может отправлять непрерывные потоки запросов на эхо-сообщения по протоколу ICMP с фальсифицированного исходного адреса на адрес направленной широковещательной передачи, в результате чего все узлы будут отвечать на этот исходный адрес. Этот тип атаки типа "отказ в обслуживании" обычно называется атакой smurf и обычно устраняется путем запрета трансляций, направленных на подсеть.