通过 SCCM CMG 通过 Internet 部署任务序列

本教程将指导您通过 SCCM CMG（云管理网关）通过互联网部署任务序列。使用允许任务序列在 Internet 上为客户端运行功能，我们将通过 ConfigMgr CMG 部署操作系统。

Configuration Manager 2010 的新功能之一是使用可启动媒体通过 CMG 部署操作系统。通过互联网部署任务序列的功能也在2009年技术预览版中首次引入。

根据 Microsoft 的说法，您现在可以使用可启动媒体来重新映像通过 CMG 连接的基于互联网的设备。此场景可帮助您更好地支持远程工作人员。如果 Windows 无法启动，用户无法访问软件中心，您现在可以向他们发送 USB 驱动器以重新安装 Windows。

最重要的是，在通过 Internet 部署任务序列之前有很多先决条件。如果您遵循先决条件，我确信通过 CMG 的 OSD 会正常工作。

在我的实验室中，我当前正在运行 Configuration Manager 2010。确保您已安装仅适用于 ConfigMgr 2010 早期更新环的修补程序 KB4594176。

我还设置了 PKI 证书，并将管理点和分发点配置为使用 HTTPS。如果您尚未设置 PKI，请参阅我的 PKI 分步指南。

设置云管理网关

设置云管理网关是首要前提。 CMG 提供了一种管理 Internet 上的 Configuration Manager 客户端的简单方法。

当您将 CMG 作为 Microsoft Azure 中的云服务部署时，您无需额外的基础设施即可管理 Internet 客户端。如果您尚未设置云管理，可以使用以下指南 - https://www.prajwaldesai.com/setup-sccm-cloud-management-gateway/

工作的 CMG 是必须的，您必须确保 CMG 在您的设置中正常工作。您可以 RDP ConfigMgr CMG 以确保其正常运行。

您可以运行云管理网关连接分析器。分析仪结果应显示错误（如果有）。如果所有结果都显示绿色勾号，则可以继续下一步。

此外，如果您需要日志文件进行故障排除，可以参考 CMG 日志文件。

将任务序列分发到启用内容的 CMG

当远程客户端使用启动介质时，它会连接到 CMG 分发点以下载内容。如果 CMG 没有内容，您的任务序列将会失败。因此，将任务序列内容分发到 CMG 非常重要。

将内容分发到 CMG 与将内容分发到内部分发点的方式非常相似。右键单击任务序列并选择分发内容。在“内容目标”窗口中，选择“CMG”并分发 TS 内容。

要验证内容是否已分发到 CMG，请转至监控\分发状态\分发点配置状态。选择您的 CMG，然后在底部查看完成统计数据。

允许访问云分发点

在客户端代理设置下，您必须允许访问云分发点。在 Configuration Manager 控制台中，转到管理\概述\客户端设置。选择云服务。在“设备/用户设置”下，将选项允许访问云分发点设置为是，以便客户端从云分发点获取内容。

允许客户端使用云管理网关

除了允许访问 Cloud DP 之外，您还必须允许客户端使用云管理网关。在 Configuration Manager 控制台中，转到管理\概述\客户端设置。

选择云服务。在“设备/用户设置”下，将“允许客户端使用云管理网关”选项设置为是。

单击确定关闭客户端设置窗口。

配置应用网络设置任务序列加入工作组的步骤

当您通过 SCCM CMG 通过 Internet 部署任务序列时，远程设备无法加入本地 Active Directory 域。这是因为它没有与域控制器的连接来加入域。

因此，我们需要在任务序列中的“应用网络设置”步骤下进行更改。编辑任务序列并单击应用网络设置步骤。

选择加入工作组并指定工作组名称。如果是新任务序列，请确保选择加入工作组而不是加入域。

允许客户端在 Internet 上运行任务序列

通过 Internet 部署任务序列时，在用户体验选项卡上，选择允许客户端在 Internet 上运行任务序列。即使您创建新的任务序列，这也适用。这是先决条件，此选项仅适用于基于互联网的客户端。

部署设置 - 制作可用于包含媒体的选项

部署此任务序列时，您需要在部署设置下指定以下内容。选择仅媒体和 PXE 对以下内容可用。

运行任务序列需要时在本地下载内容

您还需要对任务序列部署属性进行另一项更改。在分发点选项卡的“部署选项”下，选择运行任务序列需要时在本地下载内容。

选择此选项后，您可以指定客户端根据任务序列的需要从分发点下载内容。客户端启动任务序列。当任务序列中的某个步骤需要内容时，会在该步骤运行之前下载该内容。

无无线支持 - 仅有线网络连接

当您使用可启动媒体通过 CMG 部署操作系统时，请确保任务序列运行时设备具有持续的 Internet 连接。 Windows PE 不支持无线网络，因此设备需要有线网络连接。

可启动媒体的 PKI 先决条件

对于版本 2010 早期更新环，如果您使用基于 PKI 的证书作为启动介质，请使用 Microsoft 增强型 RSA 和 AES 提供程序将其配置为 SHA256。对于更高版本（包括全球可用的版本 2010），建议但不是必需的此证书配置。该证书可以是 v3 (CNG) 证书。

对于客户端所在的边界组：-

• 关联支持内容的 CMG 或云分发点站点系统。
• 启用以下选项：优先选择基于云的源而不是本地源。

为启动媒体创建证书

在创建可启动媒体之前，让我们创建一个证书。创建我们最终确定的启动介质时需要此证书。

登录到运行证书颁发机构角色的服务器。右键单击证书模板，然后单击管理。

右键单击工作站身份验证模板，然后单击复制模板。

在新模板属性上，选择常规选项卡并指定模板名称，例如 SCCM 启动媒体证书。

在请求处理选项卡上，确保启用允许导出私钥。

在加密选项卡上的提供程序下，选择Microsoft 增强型 RSA 和 AES 提供程序。单击应用和确定。

右键单击“证书模板”，然后单击新建 > 要颁发的证书模板。选择启动介质证书并单击确定。

在导出证书之前，我们必须先导入它。

在站点服务器上，启动证书控制台（运行 certlm.msc）。展开个人并右键单击证书，然后单击所有任务 > 导入。选择 SCCM 启动介质证书并单击注册。

现在右键单击启动媒体证书并将其导出。

选择是，导出私钥。

单击下一步。

为此证书设置密码。单击下一步。

导出证书。

创建任务序列可启动媒体以使用 CMG

使用以下步骤在 SCCM 中创建新的任务序列媒体。

• 在 Configuration Manager 控制台中，转到软件库\概述\操作系统\任务序列。
• 在顶部功能区上，单击创建任务序列媒体。

在“选择媒体类型”窗口中，选择可启动媒体。单击下一步。

您必须选择媒体查找管理点的方式。选择基于网站的媒体。单击下一步。

指定媒体文件。该文件应以 .iso 作为扩展名。单击下一步。

指定密码以保护任务序列媒体。在导入 PKI 证书下，单击浏览并指定启动介质证书并输入密码。单击下一步。

在启动映像页面上指定以下内容。

• 启动映像 - 指定 x64 启动映像。
• 分发点 - 这是您的本地分发点。
• 管理点 - 这应该是您的 CMG。

单击下一步。

您可以自定义任务序列媒体。单击下一步。

关闭创建任务序列媒体向导。

最后我们准备好了可启动媒体文件。

通过 CMG 通过 Internet 部署任务序列

我们现在将通过 SCCM CMG 通过互联网部署任务序列。首先，您已使用启动介质启动设备。在我的实验室中，我有一个新的空白虚拟机，我将安装启动介质。

VM 从媒体启动，您很快就会找到任务序列向导。输入启动介质密码，然后单击下一步。

选择任务序列并单击下一步。

您必须耐心等待，直到解决所有任务序列依赖性。

开始通过 Internet 部署任务序列。此外，您可以启动命令提示符并使用 CMTrace 日志文件查看器工具来查看 smsts.log。

如果您不确定 smsts.log 文件位置，请阅读 SCCM OSD 期间 SMSTS 日志的位置。

请注意，下载 Windows 10 .wim 文件可能需要大量时间。如果您没有看到任何错误，请等待下载完成。

最后我们看到正在安装 Configuration Manager 代理。

这样就完成了通过 SCCM CMG 通过 Internet 部署任务序列的步骤。我们已成功部署 Windows 10 并且可以使用。