(0) exportieren Drucken
Alle erweitern

Installieren von Clients auf Macintosh-Computern in Configuration Manager

Letzte Aktualisierung: Dezember 2014

Betrifft: System Center 2012 Configuration Manager SP1, System Center 2012 R2 Configuration Manager

noteHinweis
Diese Informationen gelten nur für System Center 2012 Configuration Manager SP1 und System Center 2012 R2 Configuration Manager.

In System Center 2012 Configuration Manager sind für Macintosh-Computer für die Clientinstallation und -verwaltung PKI-Zertifikate (Public Key Infrastructure) erforderlich. Von Konfigurationsmanager kann ein Benutzerclientzertifikat angefordert und installiert werden. Dies erfolgt mithilfe der Microsoft Zertifikatdienste mit einer Unternehmenszertifizierungsstelle und unter Verwendung der Konfigurationsmanager-Standortsystemrollen Anmeldungspunkt und Anmeldungsproxypunkt. Sie können auch unabhängig von Konfigurationsmanager ein Computerzertifikat anfordern und installieren, sofern das Zertifikat die Anforderungen für Konfigurationsmanager erfüllt. Durch PKI-Zertifikate wird die Kommunikation zwischen den Macintosh-Computern und dem Konfigurationsmanager-Standort mithilfe gegenseitiger Authentifizierung und verschlüsselter Datenübertragungen gesichert.

ImportantWichtig
Im Gegensatz zu Konfigurationsmanager-Clients unter Windows wird die Zertifikatsperrüberprüfung auf Konfigurationsmanager-Mac-Clients immer durchgeführt. Sie können diese Funktion zur Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) also dort nicht deaktivieren.

Wenn Mac-Clients den Zertifikatsperrstatus für ein Serverzertifikat nicht bestätigen können, weil die Zertifikatsperrliste nicht gefunden werden kann, ist keine erfolgreiche Verbindung mit Konfigurationsmanager-Standortsystemen (beispielsweise mit Verwaltungspunkten und Verteilungspunkten) möglich. Überprüfen Sie den Entwurf der Zertifikatsperrliste insbesondere für Mac-Clients, die sich in einer anderen Gesamtstruktur als die ausstellende Zertifizierungsstelle befinden, um sicherzustellen, dass ein Sperrlisten-Verteilungspunkt für die Verbindung mit Standortsystemservern von den Mac-Clients gefunden und eine Verbindung damit hergestellt werden kann.

Legen Sie vor dem Installieren des Konfigurationsmanager-Clients auf einem Macintosh-Computer fest, wie das Clientzertifikat installiert werden soll:

  • Verwenden Sie die Konfigurationsmanager-Anmeldung mithilfe des Tools CMEnroll, und führen Sie die im nächsten Abschnitt dieses Themas beschriebenen Schritte aus. Die automatische Zertifikatserneuerung wird bei der Anmeldung nicht unterstützt, sodass Sie Macintosh-Computer vor dem Ablaufdatum des installierten Zertifikats erneut anmelden müssen.

  • Verwenden Sie eine von Konfigurationsmanager unabhängige Zertifikatanforderungs- und -installationsmethode. Informationen zu dieser Installationsmethode finden Sie im Abschnitt Verwenden einer von Configuration Manager unabhängigen Zertifikatanforderungs- und -installationsmethode dieses Themas.

noteHinweis
Weitere Informationen zur Zertifikatanforderung für Mac-Clients und zu anderen PKI-Zertifikaten, die zur Unterstützung von Macintosh-Computern erforderlich sind, finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

Mac-Clients werden automatisch dem Konfigurationsmanager-Standort zugewiesen, von dem sie verwaltet werden. Macintosh-Clients werden als reine Internetclients installiert, selbst wenn die Kommunikation auf das Intranet beschränkt ist. Diese Clientkonfiguration bedeutet, dass die Kommunikation zwischen den Clients und den Standortsystemrollen (Verwaltungspunkte und Verteilungspunkte) am zugewiesenen Standort erfolgt, wenn Sie diese Standortsystemrollen so konfigurieren, dass Clientverbindungen aus dem Internet zulässig sind. Eine Kommunikation mit Standortsystemrollen außerhalb des zugewiesenen Standorts findet auf Macintosh-Computern nicht statt.

Verwenden Sie die folgenden Abschnitte, um Macintosh-Computer für Konfigurationsmanager zu installieren, zu konfigurieren und zu verwalten:

In der folgenden Tabelle finden Sie die Schritte, Details und weitere Informationen zum Installieren und Konfigurieren des Clients für Macintosh-Computer.

ImportantWichtig
Stellen Sie vor dem Ausführen dieser Schritte sicher, dass auf dem Macintosh-Computer die unter Supported Configurations for Configuration Manager im Abschnitt Client Requirements for Mac Computers (Clientanforderungen für Macintosh-Computer) aufgeführten Voraussetzungen erfüllt sind.

 

Schritte Details Weitere Informationen

Schritt 1: Stellen Sie ein Webserverzertifikat für Standortsystemserver bereit.

Auf den Standortsystemen ist dieses Zertifikat möglicherweise bereits für andere Konfigurationsmanager-Clients vorhanden. Falls das nicht der Fall sein sollte, müssen Sie auf den entsprechenden Computern, auf denen sich die folgenden Standortsystemrollen befinden, ein Webserverzertifikat bereitstellen:

  • Verwaltungspunkt

  • Verteilungspunkt

  • Anmeldungspunkt

  • Anmeldungsproxypunkt

ImportantWichtig
Im Webserverzertifikat muss der Internet-FQDN, der in den Eigenschaften des Standortsystems angegeben ist, enthalten sein.

Dies bedeutet nicht, dass Zugriff auf den Server über das Internet möglich sein muss, um Macintosh-Computer zu unterstützen. Wenn Sie keine internetbasierte Clientverwaltung benötigen, können Sie den Wert des Intranet-FQDN für den Internet-FQDN angeben.

Eine Beispielbereitstellung, bei der dieses Webserverzertifikat erstellt und installiert wird, finden Sie im Abschnitt Bereitstellen des Webserverzertifikats für Standortsysteme mit IIS des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.

ImportantWichtig
Achten Sie darauf, den Wert des Internet-FQDN für das Standortsystem im Webserverzertifikat für den Verwaltungspunkt, für den Verteilungspunkt und für den Anmeldungsproxypunkt anzugeben.

Schritt 2: Stellen Sie ein Clientauthentifizierungszertifikat für Standortsystemserver bereit.

Auf den Standortsystemen ist dieses Zertifikat möglicherweise bereits für Konfigurationsmanager-Funktionen vorhanden. Falls das nicht der Fall sein sollte, müssen Sie auf den entsprechenden Computern, auf denen sich die folgenden Standortsystemrollen befinden, ein Clientauthentifizierungszertifikat bereitstellen:

  • Verwaltungspunkt

  • Verteilungspunkt

Eine Beispielbereitstellung, bei der das Clientzertifikat für Verwaltungspunkte erstellt und installiert wird, finden Sie im Abschnitt Bereitstellen des Clientzertifikats für Computer des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.

Eine Beispielbereitstellung, bei der das Clientzertifikat für Verteilungspunkte erstellt und installiert wird, finden Sie im Abschnitt Bereitstellen des Clientzertifikats für Verteilungspunkte des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.

Schritt 3: Bereiten Sie die Clientzertifikatvorlage für Macintosh-Computer vor.

noteHinweis
Sie müssen über ein Active Directory-Benutzerkonto verfügen, um das Konfigurationsmanager-Anmeldungstool ausführen zu können.

Die Zertifikatvorlage muss über die Berechtigungen Lesen und Anmelden für das Benutzerkonto verfügen, mit dem das Zertifikat auf dem Macintosh-Computer angemeldet wird.

Informationen hierzu finden Sie im Abschnitt Bereitstellen des Clientzertifikats für Macintosh-Computer des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.

Schritt 4: Konfigurieren Sie den Verwaltungspunkt und den Verteilungspunkt.

Konfigurieren Sie Verwaltungspunkte für die folgenden Optionen:

  • HTTPS

  • Clientverbindungen aus dem Internet zulassen

    noteHinweis
    Dieser Konfigurationswert wird benötigt, um Macintosh-Computer zu verwalten. Dies bedeutet jedoch nicht, dass Zugriff auf Standortsystemserver über das Internet möglich sein muss.

  • Verwendung dieses Verwaltungspunkts durch mobile Geräte und Macintosh-Computer zulassen

Verteilungspunkte sind zum Installieren des Clients auf Macintosh-Computern nicht erforderlich. Sie müssen jedoch Verteilungspunkte konfigurieren, um Clientverbindungen aus dem Internet zuzulassen, wenn Sie nach der Installation des Konfigurationsmanager-Clients auf diesen Macintosh-Computern Software bereitstellen möchten.

Informationen finden Sie im folgenden Verfahren in diesem Thema: Schritt 4: Konfigurieren von Verwaltungspunkten und Verteilungspunkten für die Unterstützung von Macintosh-Computern

Schritt 5: Konfigurieren Sie den Anmeldungsproxypunkt und den Anmeldungspunkt.

Sie müssen diese beiden Standortsystemrollen am gleichen Standort installieren. Eine Installation auf dem gleichen Standortsystemserver oder in der gleichen Active Directory-Gesamtstruktur ist jedoch nicht erforderlich.

Weitere Informationen zu Überlegungen und Platzierung von Standortsystemrollen finden Sie im Abschnitt Planning Where to Install Sites System Roles in the Hierarchy des Themas Planen der Standortsysteme in Configuration Manager.

Konfigurieren Sie den Anmeldungsproxypunkt und den Anmeldungspunkt anhand des folgenden Verfahrens in diesem Thema: Schritt 5: Installieren und Konfigurieren der Standortsysteme für die Anmeldung

Schritt 6: Optional:

  • Installieren Sie den Reporting Services-Punkt.

Installieren Sie den Reporting Services-Punkt, wenn Sie Berichte für Macintosh-Computer ausführen möchten.

Weitere Informationen zum Installieren und Konfigurieren des Reporting Services-Punkts finden Sie unter Konfigurieren der Berichterstattung in Configuration Manager.

Schritt 7: Konfigurieren Sie die Clienteinstellungen für die Anmeldung.

Sie müssen zum Konfigurieren der Anmeldung für Macintosh-Computer die Clientstandardeinstellungen verwenden. Benutzerdefinierte Clienteinstellungen dürfen hierzu nicht verwendet werden.

Weitere Informationen zu Clienteinstellungen finden Sie unter Informationen zu Clienteinstellungen in Configuration Manager.

Informationen zum Konfigurieren dieser Clienteinstellungen finden Sie im folgenden Verfahren in diesem Thema: Schritt 7: Konfigurieren der Clienteinstellungen für die Anmeldung

Schritt 8: Laden Sie die Clientquelldateien für Mac-Clients herunter.

Laden Sie die Installationsdateien herunter, und installieren Sie sie dann auf dem Macintosh-Computer.

Informationen finden Sie im folgenden Verfahren in diesem Thema: Schritt 8: Herunterladen und Installieren der Mac-Clientdateien

Schritt 9: Installieren Sie den Client, und melden Sie dann das Clientzertifikat auf dem Macintosh-Computer an.

Wenn Sie die Konfigurationsmanager-Anmeldung verwenden, müssen Sie zuerst den Client mithilfe der Anwendung Ccmsetup installieren und dann das Clientzertifikat mithilfe des Tools CMEnroll anmelden.

Informationen finden Sie im folgenden Verfahren in diesem Thema: Schritt 9: Installieren des Clients und Anmelden des Zertifikats auf dem Macintosh-Computer mithilfe des Tools „CMEnroll“

Verwenden Sie die folgenden Informationen, wenn die Schritte in der vorstehenden Tabelle zusätzliche Verfahren erfordern.

Mithilfe dieses Verfahrens werden vorhandene Verwaltungspunkte und Verteilungspunkte für die Unterstützung von Macintosh-Computern konfiguriert. Bevor Sie das Verfahren anwenden, vergewissern Sie sich, dass der Standortsystemserver, auf dem der Verwaltungspunkt und der Verteilungspunkt ausgeführt werden, mit einem Internet-FQDN konfiguriert ist. Wenn von diesen Standortsystemservern keine internetbasierte Clientverwaltung unterstützt wird, können Sie den Intranet-FQDN als Wert des Internet-FQDN angeben. Außerdem müssen sich diese Standortsystemrollen an einem primären Standort befinden.

  1. Klicken Sie in der Konfigurationsmanager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, klicken Sie auf Server und Standortsystemrollen, und wählen Sie den Server aus, auf dem sich die zu konfigurierenden Standortsystemrollen befinden.

  3. Führen Sie im Detailbereich einen Rechtsklick auf Verwaltungspunkt aus, und klicken Sie auf die Eigenschaften der Rolle. Konfigurieren Sie im Dialogfeld Eigenschaften des Verwaltungspunkts die folgenden Optionen, und klicken Sie dann auf OK:

    1. Wählen Sie HTTPS aus.

    2. Wählen Sie Nur Internetverbindungen zulassen oder Intranet- und Internet-Clientverbindungen zulassen aus. Für diese Optionen muss ein Internet-FQDN in den Standortsystemeigenschaften angegeben werden, auch wenn kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll.

    3. Aktivieren Sie das Kontrollkästchen Verwendung dieses Verwaltungspunkts durch mobile Geräte und Macintosh-Computer zulassen.

  4. Führen Sie im Detailbereich einen Rechtsklick auf Verteilungspunkt aus, und klicken Sie auf die Eigenschaften der Rolle. Konfigurieren Sie im Dialogfeld Eigenschaften des Verteilungspunkts die folgenden Optionen, und klicken Sie dann auf OK:

    • Wählen Sie HTTPS aus.

    • Wählen Sie Nur Internetverbindungen zulassen oder Intranet- und Internet-Clientverbindungen zulassen aus. Für diese Optionen muss ein Internet-FQDN in den Standortsystemeigenschaften angegeben werden, auch wenn kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll.

    • Klicken Sie auf Zertifikat importieren, suchen Sie die exportierte Clientzertifikatdatei für den Verteilungspunkt, und geben Sie das Kennwort an.

  5. Wiederholen Sie die Schritte 2 bis 4 dieses Verfahrens für alle Verwaltungspunkte und Verteilungspunkte an primären Standorten, die mit Macintosh-Computern verwendet werden sollen.

Mithilfe dieser Verfahren werden die Standortsystemrollen für die Unterstützung von Macintosh-Computern konfiguriert. Wählen Sie abhängig davon, ob Sie zur Unterstützung von Macintosh-Computern einen neuen Standortsystemserver installieren oder einen vorhandenen Standortsystemserver verwenden, eines der folgenden Verfahren aus:

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Knoten Standortkonfiguration, und klicken Sie dann auf Server und Standortsystemrollen.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Standortsystemserver erstellen.

  4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für den Standortsystemserver an, und klicken Sie dann auf Weiter.

    ImportantWichtig
    Stellen Sie sicher, dass Sie einen Wert für den Internet-FQDN angeben, auch wenn kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll. Wenn Sie nicht über einen Internet-FQDN verfügen, weil kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll, können Sie den Wert des Intranet-FQDN als Internet-FQDN angeben. Macintosh-Computer stellen immer eine Verbindung mit dem Internet-FQDN her, auch wenn sie sich im Intranet befinden.

  5. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen Anmeldungsproxypunkt und Anmeldungspunkt aus, und klicken Sie dann auf Weiter.

  6. Überprüfen Sie auf der Seite Anmeldungsproxypunkt die Einstellungen, führen Sie gegebenenfalls Änderungen aus, und klicken Sie dann auf Weiter.

  7. Überprüfen Sie auf der Seite Einstellungen des Anmeldungspunkts die Einstellungen, führen Sie gegebenenfalls Änderungen aus, und klicken Sie dann auf Weiter.

  8. Beenden Sie den Assistenten.

  1. Klicken Sie in der Konfigurationsmanager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, wählen Sie Server und Standortsystemrollen aus, und wählen Sie dann den Server aus, der zur Unterstützung von Macintosh-Computern verwendet werden soll.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Standortsystemrollen hinzufügen.

  4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für den Standortsystemserver an, und klicken Sie dann auf Weiter.

    ImportantWichtig
    Stellen Sie sicher, dass Sie einen Wert für den Internet-FQDN angeben, auch wenn kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll. Wenn Sie nicht über einen Internet-FQDN verfügen, weil kein Zugriff auf den Standortsystemserver über das Internet möglich sein soll, können Sie den Wert des Intranet-FQDN als Internet-FQDN angeben. Macintosh-Computer stellen immer eine Verbindung mit dem Internet-FQDN her, auch wenn sie sich im Intranet befinden.

  5. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen Anmeldungsproxypunkt und Anmeldungspunkt aus, und klicken Sie dann auf Weiter.

  6. Überprüfen Sie auf der Seite Anmeldungsproxypunkt die Einstellungen, führen Sie gegebenenfalls Änderungen aus, und klicken Sie dann auf Weiter.

  7. Überprüfen Sie auf der Seite Einstellungen des Anmeldungspunkts die Einstellungen, führen Sie gegebenenfalls Änderungen aus, und klicken Sie dann auf Weiter.

  8. Beenden Sie den Assistenten.

Dieser Schritt ist in Konfigurationsmanager zum Anfordern und Installieren des Zertifikats auf dem Macintosh-Computer erforderlich.

  1. Klicken Sie in der Konfigurationsmanager-Konsole auf Verwaltung.

  2. Klicken Sie im Arbeitsbereich Verwaltung auf Clienteinstellungen.

  3. Klicken Sie auf Clientstandardeinstellungen.

    ImportantWichtig
    Sie können für die Anmeldungskonfiguration keine benutzerdefinierte Clienteinstellung verwenden. Sie müssen die Clientstandardeinstellungen verwenden.

  4. Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.

  5. Wählen Sie den Abschnitt Anmeldung aus, und konfigurieren Sie dann die folgenden Benutzereinstellungen:

    1. Benutzern die Anmeldung mobiler Geräte und von Macintosh-Computern gestatten: Ja

    2. Anmeldungsprofil: Klicken Sie auf Profil festlegen.

  6. Klicken Sie im Dialogfeld Anmeldungsprofil für mobile Geräte auf Erstellen.

  7. Geben Sie im Dialogfeld Anmeldungsprofil erstellen einen Namen für dieses Anmeldungsprofil ein, und konfigurieren Sie dann den Verwaltungsstandortcode. Wählen Sie den primären Konfigurationsmanager SP1-Standort aus, der die Verwaltungspunkte enthält, von denen die Macintosh-Computer verwaltet werden sollen.

    noteHinweis
    Wenn ein Auswählen des Standorts nicht möglich ist, achten Sie darauf, dass mindestens ein Verwaltungspunkt am Standort für die Unterstützung mobiler Geräte konfiguriert ist.

  8. Klicken Sie auf Hinzufügen.

  9. Wählen Sie im Dialogfeld Zertifizierungsstelle für mobile Geräte hinzufügen den Server der Zertifizierungsstelle aus, von der Zertifikate für Macintosh-Computer ausgestellt werden, und klicken Sie dann auf OK.

  10. Wählen Sie im Dialogfeld Anmeldungsprofil erstellen die Zertifikatvorlage für Macintosh-Computer aus, die Sie in Schritt 3 erstellt haben, und klicken Sie dann auf OK.

  11. Klicken Sie auf OK, um das Dialogfeld Anmeldungsprofil zu schließen, und klicken Sie dann erneut auf OK, um das Dialogfeld Clientstandardeinstellungen zu schließen.

    TipTipp
    Wenn Sie das Clientrichtlinienintervall ändern möchten, verwenden Sie in der Clienteinstellungsgruppe Clientrichtlinie die Clienteinstellung Clientrichtlinien-Abrufintervall.

Alle Benutzer werden beim nächsten Clientrichtliniendownload mit diesen Einstellungen konfiguriert. Zum Initiieren des Richtlinienabrufs für einen einzelnen Client lesen Sie den Abschnitt Initiieren des Richtlinienabrufs für einen Configuration Manager-Client des Themas Verwalten von Clients in Configuration Manager.

Zusätzlich zu den Clienteinstellungen für die Anmeldung müssen Sie unbedingt auch die folgenden Konfigurationsmanager-Clientgeräteeinstellungen konfigurieren:

noteHinweis
Weitere Informationen zu Konfigurationsmanager-Clienteinstellungen finden Sie unter Konfigurieren von Clienteinstellungen in Configuration Manager.

Bevor Sie den Konfigurationsmanager-Client auf Macintosh-Computern installieren und verwalten können, müssen Sie die folgenden Programme herunterladen und installieren:

  • Ccmsetup: Verwenden Sie diese Anwendung, um den Konfigurationsmanager-Client auf den Macintosh-Computern in Ihrer Organisation zu installieren.

  • CMDiagnostics: Verwenden Sie dieses Tool, um Diagnoseinformationen zu dem auf den Macintosh-Computern in Ihrer Organisation installierten Konfigurationsmanager-Client zu sammeln.

  • CMUninstall: Verwenden Sie dieses Tool, um den Konfigurationsmanager-Client auf den Macintosh-Computern in Ihrer Organisation zu deinstallieren.

  • CMAppUtil: Verwenden Sie dieses Tool, um Apple-Anwendungspakete in ein Format zu konvertieren, das als Konfigurationsmanager-Anwendung bereitgestellt werden kann.

  • CMEnroll: Verwenden Sie dieses Tool, um das Clientzertifikat für einen Macintosh-Computer anzufordern und zu installieren, damit Sie den Konfigurationsmanager-Client installieren können.

Diese Programme sind in der Windows Installer-Datei ConfigmgrMacClient.msi enthalten. Diese Datei ist nicht auf den Konfigurationsmanager-Installationsmedien enthalten. Sie können diese Datei im Microsoft Download Center für Konfigurationsmanager SP1 bzw. im Microsoft Download Center für System Center 2012 R2 Configuration Manager herunterladen.

  1. Laden Sie das Mac OS X-Clientdateipaket ConfigmgrMacClient.msi aus dem Microsoft Download Center herunter, und speichern Sie die Datei auf einem Computer unter Windows.

  2. Führen Sie auf dem Windows-Computer die soeben heruntergeladene Datei ConfigmgrMacClient.msi aus, um das Mac-Clientpaket Macclient.dmg in einem Ordner auf der lokalen Festplatte (standardmäßig C:\Programme (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client\) zu extrahieren.

  3. Kopieren Sie die Datei Macclient.dmg in einen Ordner auf dem Macintosh-Computer.

  4. Führen Sie auf dem Macintosh-Computer die soeben heruntergeladene Datei Macclient.dmg aus, um die Dateien in einem Ordner auf der lokalen Festplatte zu extrahieren.

  5. Überprüfen Sie im Ordner, ob die Dateien Ccmsetup und CMClient.pkg extrahiert wurden und ein Ordner mit dem Namen Tools erstellt wurde, in dem die Tools CMDiagnostics, CMUninstall, CMAppUtil und CMEnroll enthalten sind.

Mithilfe dieses Verfahrens wird der Client installiert. Anschließend wird das Tool CMEnroll ausgeführt, um das Clientzertifikat für einen Macintosh-Computer anzufordern und zu installieren, sodass Sie diesen Computer mithilfe von Konfigurationsmanager verwalten können.

Nur für System Center 2012 R2 Configuration Manager: Sie können den Client mit dem Assistenten für die Macintosh-Computeranmeldung anmelden, ohne das Tool „CMEnroll“ zu verwenden. Weitere Informationen finden Sie im folgenden Verfahren.

  1. Navigieren Sie auf dem Macintosh-Computer zu dem Ordner, in dem Sie den Inhalt der von der Microsoft Download Center-Website heruntergeladenen Datei Macclient.dmg extrahiert haben.

  2. Geben Sie die folgende Befehlszeile ein: sudo ./ccmsetup

  3. Warten Sie, bis die Meldung Installation abgeschlossen angezeigt wird. Vom Installationsprogramm wird eine Meldung angezeigt, dass Sie den Computer jetzt neu starten müssen. Führen Sie den Neustart jedoch nicht aus, sondern fahren Sie mit dem nächsten Schritt fort.

  4. Geben Sie auf dem Macintosh-Computer im Ordner Tools Folgendes ein: sudo ./CMEnroll -s <Anmeldung_Proxyservername> -ignorecertchainvalidation -u <'Benutzername'>

    noteHinweis
    In System Center 2012 R2 Configuration Manager wird nach der Clientinstallation der Assistent für die Macintosh-Computeranmeldung geöffnet, um Ihnen beim Anmelden des Macintosh-Computers zu helfen. Weitere Informationen zum Anmelden des Clients mit dieser Methode finden Sie unter So melden Sie den Client mit dem Assistenten für die Macintosh-Computeranmeldung an (nur System Center 2012 R2 Configuration Manager) in diesem Thema.

    Sie werden dann aufgefordert, das Kennwort für das Active Directory-Benutzerkonto einzugeben.

    ImportantWichtig
    Wenn Sie diesen Befehl eingeben, müssen Sie tatsächlich zwei Kennwörter eingeben: Zuerst müssen Sie das Kennwort für das Administratorkonto eingeben, um den Befehl auszuführen. Die zweite Eingabeaufforderung bezieht sich auf das Active Directory-Benutzerkonto. Da beide Eingabeaufforderungen identisch aussehen, achten Sie darauf, dass Sie die richtige Reihenfolge einhalten.

    Der Benutzername kann die folgenden Formate aufweisen:

    • 'Domäne\Name'. Zum Beispiel: 'contoso\mrankenburg'

    • 'Benutzer@Domäne'. Zum Beispiel: 'mrankenburg@contoso.com'

    Der Benutzername und das zugehörige Kennwort müssen mit den entsprechenden Angaben eines Active Directory-Benutzerkontos übereinstimmen, für das in der Mac-Clientzertifikatvorlage die Berechtigungen Lesen und Anmelden zugewiesen wurden.

    Beispiel: Wenn der Anmeldungsproxypunkt-Servername server02.contoso.com lautet und dem Benutzernamen contoso\mnorth Berechtigungen für die Mac-Clientzertifikatvorlage erteilt wurden, geben Sie Folgendes ein: sudo ./CMEnroll -s server02.contoso.com –ignorecertchainvalidation -u 'contoso\mnorth'

    noteHinweis
    Zur Verbesserung der Benutzerfreundlichkeit können Sie ein Skript für die Installationsschritte und -befehle erstellen, sodass die Benutzer nur ihren Benutzernamen und ihr Kennwort angeben müssen.

  5. Warten Sie, bis die Meldung angezeigt wird, dass die Anmeldung erfolgreich war.

  6. Gilt nur für Konfigurationsmanager SP1: Öffnen Sie auf dem Macintosh-Computer ein Terminalfenster, und nehmen Sie folgende Änderungen vor, um das angemeldete Zertifikat auf Konfigurationsmanager zu beschränken:

    1. Geben Sie den Befehl sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access ein.

    2. Klicken Sie im Dialogfeld Schlüsselbundverwaltung im Abschnitt Schlüsselbunde auf System und im Abschnitt Kategorie anschließend auf Schlüssel.

    3. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem gerade installierten privaten Schlüssel identifiziert haben, doppelklicken Sie auf dem Schlüssel.

    4. Wählen Sie auf der Registerkarte Zugriffssteuerung die Option Bestätigen, bevor Zugriff zugelassen wird aus.

    5. Navigieren Sie zum Ordner /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient aus, und klicken Sie dann auf Hinzufügen.

    6. Klicken Sie auf Änderungen sichern, und schließen Sie das Dialogfeld Schlüsselbundverwaltung.

  7. Starten Sie den Macintosh-Computer neu.

Überprüfen Sie, ob die Clientinstallation erfolgreich ausgeführt wurde. Öffnen Sie hierzu auf dem Macintosh-Computer in den Systemeinstellungen das Element Configuration Manager. Sie können auch die Sammlung Alle Systeme aktualisieren und anzeigen, um sicherzustellen, dass der Macintosh-Computer jetzt in der Sammlung als verwalteter Client angezeigt wird.

TipTipp
Sie können Probleme mit dem Mac-Client mithilfe des Programms CMDiagnostics beheben, das im Mac OS X-Clientpaket enthalten ist. Damit können die folgenden Diagnoseinformationen gesammelt werden:

  • Eine Liste der ausgeführten Prozesse

  • Die Version des Mac OS X-Betriebssystems

  • Mac OS X-Absturzberichte, die sich auf den Konfigurationsmanager-Client beziehen, einschließlich CCM*.crash und System Preference.crash.

  • Die BOM-Datei (Bill of Materials) und die Eigenschaftenlistendatei (PLIST-Datei), die im Rahmen der Konfigurationsmanager-Clientinstallation erstellt wurden

  • Der Inhalt des Ordners /Library/Application Support/Microsoft/CCM/Logs

Die von CmDiagnostics gesammelten Informationen werden einer ZIP-Datei (cmdiag-<Hostname>-<Datum und Uhrzeit>.zip) hinzugefügt, die auf dem Desktop des Computers gespeichert wird.

  1. Nach der Installation des Clients wird der Assistent für die Computeranmeldung wird geöffnet. Klicken Sie auf Weiter, um die nächste Seite zu öffnen.

    noteHinweis
    Wird der Assistent nicht geöffnet, oder haben Sie ihn versehentlich geschlossen, dann klicken Sie auf der Einstellungsseite von Configuration Manager auf Anmelden, um den Assistenten zu öffnen.

  2. Geben Sie auf der nächsten Seite des Assistenten die folgenden Informationen an:

    • Benutzername: Der Benutzername kann die folgenden Formate aufweisen:

      • 'Domäne\Name'. Zum Beispiel: 'contoso\mrankenburg'

      • 'Benutzer@Domäne'. Zum Beispiel: 'mrankenburg@contoso.com'

        ImportantWichtig
        Wenn Sie in das Feld Benutzername eine E-Mail-Adresse eingeben, wird von Konfigurationsmanager automatisch der Domänenname der E-Mail-Adresse und der Standardname des Anmeldungsproxypunkt-Servers für das Feld Servername verwendet. Wenn der Domänenname und der Servername nicht mit dem Namen des Anmeldungsproxypunkt-Servers übereinstimmen, müssen Sie die Benutzer über den richtigen Namen informieren, damit sie diesen bei der Anmeldung ihrer Macintosh-Computer eingeben können.

      Der Benutzername und das zugehörige Kennwort müssen mit den entsprechenden Angaben eines Active Directory-Benutzerkontos übereinstimmen, für das in der Mac-Clientzertifikatvorlage die Berechtigungen Lesen und Anmelden zugewiesen wurden.

    • Kennwort: Geben Sie ein passendes Kennwort für den angegebenen Benutzernamen ein.

    • Servername: Geben Sie den Namen des Anmeldungsproxypunkt-Servers ein.

  3. Klicken Sie auf Weiter, um den Vorgang fortzusetzen, und schließen Sie dann den Assistenten ab.

Zum Deinstallieren des Macintosh-Clients müssen Sie das Skript CMUninstall verwenden, das Sie zusammen mit den Dateien des Macintosh-Clients aus dem Internet heruntergeladen haben. Mithilfe des folgenden Verfahrens können Sie den Configuration Manager-Client von Macintosh-Computern deinstallieren.

  1. Öffnen Sie auf einem Macintosh-Computer ein Terminal-Fenster, und navigieren Sie zu dem Ordner, in dem Sie den Inhalt der von der Microsoft Download Center-Website heruntergeladenen Datei macclient.dmg extrahiert haben.

  2. Navigieren Sie zum Ordner Tools, und geben Sie die folgende Befehlszeile ein:

    ./CMUninstall -c

    noteHinweis
    Durch die Eigenschaft –c werden bei der Deinstallation des Clients auch die Absturzprotokolle und die Protokolldateien des Clients entfernt. Ihre Angabe ist optional, stellt aber eine bewährte Methode dar, um Verwirrungen bei einer späteren erneuten Installation zu vermeiden.

  3. Entfernen Sie bei Bedarf manuell das Clientauthentifizierungszertifikat, das von Konfigurationsmanager verwendet wurde, oder widerrufen Sie es. Von „CMUninstall“ wird dieses Zertifikat nicht entfernt oder widerrufen.

Verwenden Sie eines der folgenden Verfahren, um das Zertifikat für den Macintosh-Client zu erneuern:

Gehen Sie wie folgt vor, um den Assistenten zum Erneuern von Zertifikaten in System Center 2012 R2 Configuration Manager zu konfigurieren und zu verwenden.

  1. Konfigurieren Sie die folgenden Werte in der Datei „ccmclient.plist“, mit denen gesteuert wird, wann der Assistent zum Erneuern von Zertifikaten geöffnet wird:

    ImportantWichtig
    Sie müssen diese Werte als Zeichenfolgen konfigurieren. Wenn Sie diese Werte mit der Eigenschaft –int als ganzzahlige Datentypen konfigurieren, werden sie nicht gelesen.

    • RenewalPeriod1: Hiermit wird der erste Erneuerungszeitraum (in Sekunden) angegeben, in dem Benutzer das Zertifikat erneuern können. Der Standardwert beträgt 3.888.000 Sekunden (45 Tage).

      noteHinweis
      Wenn RenewalPeriod1 konfiguriert und der Wert größer oder gleich 300 Sekunden ist, wird der konfigurierte Wert verwendet. Wenn der konfigurierte Wert größer als 0 und kleiner als 300 Sekunden ist, wird der Standardwert von 45 Tagen verwendet.

    • RenewalPeriod2: Hiermit wird der zweite Erneuerungszeitraum (in Sekunden) angegeben, in dem Benutzer das Zertifikat erneuern können. Der Standardwert beträgt 259.200 Sekunden (3 Tage).

      noteHinweis
      Wenn RenewalPeriod2 konfiguriert wird und der Wert größer oder gleich 300 Sekunden, aber kleiner oder gleich RenewalPeriod1 ist, wird der konfigurierte Wert verwendet. Wenn RenewalPeriod1 größer als 3 Tage ist, wird ein Wert von 3 Tagen für RenewalPeriod2 verwendet. Wenn RenewalPeriod1 kleiner als 3 Tage ist, wird RenewalPeriod2 auf denselben Wert wie RenewalPeriod1 festgelegt.

    • RenewalReminderInterval1: Gibt die Häufigkeit (in Sekunden) an, mit der der Assistent zum Erneuern von Zertifikaten Benutzern während des ersten Erneuerungszeitraums angezeigt wird. Der Standardwert beträgt 86.400 Sekunden (1 Tag).

      noteHinweis
      Wenn RenewalReminderInterval1 größer als 300 Sekunden, aber kleiner als der für RenewalPeriod1 konfigurierte Wert ist, wird der konfigurierte Wert verwendet. Andernfalls wird der Standardwert 1 Tag verwendet.

    • RenewalReminderInterval2: Gibt die Häufigkeit (in Sekunden) an, mit der der Assistent zum Erneuern von Zertifikaten Benutzern während des zweiten Erneuerungszeitraums angezeigt wird. Der Standardwert beträgt 28.800 Sekunden (8 Stunden).

      noteHinweis
      Wenn RenewalReminderInterval2 größer als 300 Sekunden, aber kleiner oder gleich RenewalReminderInterval1 und kleiner oder gleich RenewalPeriod2 ist, wird der konfigurierte Wert verwendet. Andernfalls wird ein Wert von 8 Stunden verwendet.

    Beispiel: Werden die Standardwerte nicht geändert, dann wird der Assistent 45 Tage vor Ablauf des Zertifikats alle 24 Stunden geöffnet. In den letzten 3 Tagen vor Zertifikatsablauf wird der Assistent alle 8 Stunden geöffnet.

    Beispiel: Legen Sie mit der folgenden Befehlszeile oder einem Skript den ersten Erneuerungszeitraum auf 20 Tage fest.

    sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000

  2. Wenn der Assistent zum Erneuern von Zertifikaten geöffnet wird, sind die Felder Benutzername und Servername normalerweise bereits ausgefüllt, und der Benutzer muss lediglich ein Kennwort eingeben, um das Zertifikat zu erneuern.

    noteHinweis
    Wird der Assistent nicht geöffnet, oder haben Sie ihn versehentlich geschlossen, dann klicken Sie auf der Einstellungsseite von Configuration Manager auf Erneuern, um den Assistenten zu öffnen.

Der typische Gültigkeitszeitraum für das Macintosh-Clientzertifikat beträgt 1 Jahr. Das während der Anmeldung angeforderte Benutzerzertifikat wird von Konfigurationsmanager nicht automatisch erneuert, weswegen Sie wie folgt vorgehen müssen, um das Zertifikat zu erneuern.

ImportantWichtig
Wenn das Zertifikat abläuft, müssen Sie den Macintosh-Client deinstallieren, neu installieren und dann erneut anmelden.

Durch dieses Verfahren wird die SMS-ID entfernt, die zur Anforderung eines neuen Zertifikats für denselben Macintosh-Computer erforderlich ist. Nach der Anforderung des neuen Zertifikats wird es automatisch von Konfigurationsmanager verwendet.

ImportantWichtig
Wenn Sie die Client-SMS-ID entfernen und ersetzen, wird der gesamte gespeicherte Clientverlauf, wie beispielsweise die Inventur, nach dem Löschen des Clients über die Konfigurationsmanager-Konsole gelöscht.

  1. Erstellen Sie für die Macintosh-Computer, deren Benutzerzertifikate erneuert werden müssen, eine Gerätesammlung, und fügen Sie die Macintosh-Computer dieser Sammlung anschließend hinzu.

    WarningWarnung
    Der Gültigkeitszeitraum des für Macintosh-Computer angemeldeten Zertifikats wird von Konfigurationsmanager nicht überwacht. Dies müssen Sie unabhängig von Konfigurationsmanager übernehmen, um die Macintosh-Computer zu identifizieren, die dieser Sammlung hinzugefügt werden müssen.

  2. Starten Sie im Arbeitsbereich Bestand und Kompatibilität den Assistenten zum Erstellen von Konfigurationselementen.

  3. Geben Sie auf der Seite Allgemein des Assistenten die folgenden Informationen an:

    • Name: SMS-ID für Mac entfernen

    • Typ: Mac OS X

  4. Vergewissern Sie sich auf der Seite Unterstützte Plattformen des Assistenten, dass alle Versionen von Mac OS X ausgewählt sind.

  5. Klicken Sie auf der Seite Einstellungen des Assistenten auf Neu, und geben Sie anschließend im Dialogfeld Einstellung erstellen die folgenden Informationen an:

    • Name: SMS-ID für Mac entfernen

    • Einstellungstyp: Skript

    • Datentyp: Zeichenfolge

  6. Klicken Sie im Dialogfeld Einstellung erstellen für Ermittlungsskript auf Skript hinzufügen, um ein Skript anzugeben, mit dem Macintosh-Computer ermittelt werden können, die über eine konfigurierte SMS-ID verfügen.

  7. Geben Sie im Dialogfeld Ermittlungsskript bearbeiten das folgende Shellskript ein:

    defaults read com.microsoft.ccmclient SMSID
    
  8. Klicken Sie auf OK, um das Dialogfeld Ermittlungsskript bearbeiten zu schließen.

  9. Klicken Sie im Dialogfeld Einstellung erstellen für Wiederherstellungsskript (optional) auf Skript hinzufügen, um ein Skript anzugeben, mit dem die SMS-ID von Macintosh-Computern entfernt wird, wenn sie gefunden wird.

  10. Geben Sie im Dialogfeld Wiederherstellungsskript erstellen das folgende Shellskript ein:

    defaults delete com.microsoft.ccmclient SMSID
    
  11. Klicken Sie auf OK, um das Dialogfeld Wiederherstellungsskript erstellen zu schließen.

  12. Klicken Sie auf der Seite Kompatibilitätsregeln des Assistenten auf Neu, und geben Sie anschließend im Dialogfeld Regel erstellen die folgenden Informationen an:

    • Name: SMS-ID für Mac entfernen

    • Ausgewählte Einstellung: Klicken Sie auf Durchsuchen, und wählen Sie anschließend das Ermittlungsskript aus, das Sie zuvor angegeben haben.

    • Geben Sie Das Domänen-/Standardpaar (com.microsoft.ccmclient, SMS-ID) existiert nicht in das Feld die folgenden Werte ein.

    • Aktivieren Sie die Option Das angegebene Wiederherstellungsskript ausführen, wenn diese Einstellung nicht kompatibel ist.

  13. Beenden Sie den Assistenten zum Erstellen von Konfigurationselementen.

  14. Erstellen Sie eine Konfigurationsbasislinie mit dem Konfigurationselement, das Sie gerade erstellt haben, und stellen Sie es für die Gerätesammlung bereit, die Sie in Schritt 1 erstellt haben.

    Weitere Informationen zum Erstellen und Bereitstellen von Konfigurationsbasislinien finden Sie unter Erstellen von Konfigurationsbasislinien für Kompatibilitätseinstellungen in Configuration Manager und Bereitstellen von Konfigurationsbasislinien in Configuration Manager.

  15. Führen Sie auf Macintosh-Computern, auf denen die SMS-ID entfernt wurde, den folgenden Befehl aus, um ein neues Zertifikat zu installieren:

    sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>
    

    Geben Sie das Kennwort für das Administratorkonto ein, wenn Sie dazu aufgefordert werden, um den Befehl auszuführen. Geben Sie dann das Kennwort für das Active Directory-Benutzerkonto ein.

  16. Gilt nur für Konfigurationsmanager SP1: Öffnen Sie auf dem Macintosh-Computer ein Terminalfenster, und nehmen Sie folgende Änderungen vor, um das angemeldete Zertifikat auf Konfigurationsmanager zu beschränken:

    1. Geben Sie den Befehl sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access ein.

    2. Klicken Sie im Dialogfeld Schlüsselbundverwaltung im Abschnitt Schlüsselbunde auf System und im Abschnitt Kategorie anschließend auf Schlüssel.

    3. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem gerade installierten privaten Schlüssel identifiziert haben, doppelklicken Sie auf dem Schlüssel.

    4. Wählen Sie auf der Registerkarte Zugriffssteuerung die Option Bestätigen, bevor Zugriff zugelassen wird aus.

    5. Navigieren Sie zum Ordner /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient aus, und klicken Sie dann auf Hinzufügen.

    6. Klicken Sie auf Änderungen sichern, und schließen Sie das Dialogfeld Schlüsselbundverwaltung.

  17. Starten Sie den Macintosh-Computer neu.

Nur für System Center 2012 R2 Configuration Manager:

In der folgenden Tabelle finden Sie die Schritte, Details und weitere Informationen zum Aktualisieren des Clients für Macintosh-Computer mithilfe einer Konfigurationsmanager-Anwendung. Alternativ können Sie auch die Macintosh-Clientinstallationsdatei herunterladen, in einen freigegebenen Netzwerkpfad oder einen lokalen Ordner auf dem Macintosh-Computer kopieren und dann die Benutzer auffordern, die Installation manuell auszuführen.

noteHinweis
Stellen Sie vor dem Ausführen dieser Schritte sicher, dass auf dem Macintosh-Computer die unter Supported Configurations for Configuration Manager im Abschnitt Client Requirements for Mac Computers (Clientanforderungen für Macintosh-Computer) aufgeführten Voraussetzungen erfüllt sind.

 

Schritte Details Weitere Informationen

Schritt 1: Herunterladen der aktuellen Macintosh-Clientinstallationsdatei aus dem Microsoft Download Center

Der Macintosh-Client für Konfigurationsmanager wird nicht auf den Konfigurationsmanager-Installationsmedien bereitgestellt und muss aus dem Microsoft Download Center heruntergeladen werden. Die Macintosh-Clientinstallationsdateien sind in einer Windows Installer-Datei mit dem Namen ConfigmgrMacClient.msi enthalten.

Weitere Informationen finden Sie im Microsoft Download Center.

Schritt 2: Ausführen der heruntergeladenen Installationsdatei zum Erstellen der Macintosh-Clientinstallationsdatei

Führen Sie auf einem Computer unter Windows die heruntergeladene Datei ConfigmgrMacClient.msi aus, um die Macintosh-Clientinstallationsdatei mit dem Namen Macclient.dmg zu entpacken. Nach dem Entpacken der Dateien befindet sich diese Datei standardmäßig im Ordner C:\Programme (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client auf dem Windows-Computer.

keine zusätzlichen Informationen

Schritt 3: Extrahieren der Clientinstallationsdateien

Kopien Sie die Datei Macclient.dmg in eine Netzwerkfreigabe oder einen lokalen Ordner auf dem Macintosh-Computer. Stellen Sie dann auf dem Macintosh-Computer die Datei Macclient.dmg bereit, und öffnen Sie sie. Kopieren Sie die Dateien in einen Ordner auf dem Macintosh-Computer.

keine zusätzlichen Informationen

Schritt 4: Erstellen einer CMMAC-Datei zum Erstellen einer Anwendung

Erstellen Sie mit dem Tool CMAppUtil (aus dem Ordner Tools der Macintosh-Clientinstallationsdateien) eine CMMAC-Datei aus dem Clientinstallationspaket. Mit dieser Datei wird die Konfigurationsmanager-Anwendung erstellt.

Kopieren Sie die neue Datei CMClient.pkg.cmmac in einen Speicherort, der für den Computer mit der Konfigurationsmanager-Konsole verfügbar ist.

Weitere Informationen finden Sie im Abschnitt Schritt 1: Vorbereiten von Macintosh-Anwendungen für Configuration Manager im Thema Erstellen und Bereitstellen von Anwendungen für Macintosh-Computer in Configuration Manager.

Schritt 5: Erstellen und Bereitstellen einer Konfigurationsmanager-Anwendung mit den Macintosh-Clientdateien

Erstellen Sie in der Konfigurationsmanager-Konsole eine Anwendung aus der Datei CMClient.pkg.cmmac, die die Clientinstallationsdateien enthält.

Stellen Sie diese Anwendung auf Macintosh-Computern in Ihrer Hierarchie bereit.

Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Anwendungen für Macintosh-Computer in Configuration Manager.

Schritt 6: Installieren des aktuellen Clients durch Benutzer

Benutzer von Macintosh-Clients werden informiert, dass ein Update für den Konfigurationsmanager-Client verfügbar ist und installiert werden muss. Nachdem die Benutzer den Client installiert haben, müssen sie ihren Macintosh-Computer neu starten.

Nach dem Neustart des Computers wird automatisch der Assistent für die Computeranmeldung ausgeführt, um ein neues Benutzerzertifikat anzufordern.

Wenn Sie nicht die Konfigurationsmanager-Anmeldung verwenden, sondern das Clientzertifikat unabhängig von Konfigurationsmanager installieren, lesen Sie Aktualisieren des Clients im Abschnitt Verwenden einer von Configuration Manager unabhängigen Zertifikatanforderungs- und -installationsmethode in diesem Thema.

Wenn Sie keine Konfigurationsmanager-Anmeldung verwenden, sondern das Clientzertifikat unabhängig von Konfigurationsmanager anfordern und installieren, gibt es bei den Konfigurationsschritten kleine Unterschiede:

  1. Führen Sie die Schritte 1, 2, 4, 6 (optional) und 8 durch.

  2. Führen Sie die Schritte 3, 5, 7 und 9 nicht durch.

  3. Installieren Sie den Client mithilfe der folgenden Anweisungen.

  1. Gehen Sie zur Installation des Clientzertifikats unabhängig von Konfigurationsmanager gemäß den Anweisungen der ausgewählten Methode zur Zertifikatbereitstellung vor, um das Clientzertifikat anzufordern und auf jedem Macintosh-Computer zu installieren.

  2. Öffnen Sie auf dem Macintosh-Computer ein Terminal-Fenster, und nehmen Sie folgende Änderungen vor, um sicherzustellen, dass ein Zugriff von Konfigurationsmanager auf dieses Zertifikat möglich ist:

    1. Geben Sie den Befehl sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access ein.

    2. Klicken Sie im Dialogfeld Schlüsselbundverwaltung im Abschnitt Schlüsselbunde auf System und im Abschnitt Kategorie anschließend auf Schlüssel.

    3. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem gerade installierten privaten Schlüssel identifiziert haben, doppelklicken Sie auf dem Schlüssel.

    4. Wählen Sie auf der Registerkarte Zugriffssteuerung die Option Bestätigen, bevor Zugriff zugelassen wird aus.

    5. Navigieren Sie zum Ordner /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient aus, und klicken Sie dann auf Hinzufügen.

    6. Klicken Sie auf Änderungen sichern, und schließen Sie das Dialogfeld Schlüsselbundverwaltung.

  3. Navigieren Sie zu dem Ordner, in dem Sie den Inhalt der von der Microsoft Download Center-Website heruntergeladenen Datei macclient.dmg extrahiert haben.

  4. Geben Sie die folgende Befehlszeile ein: sudo ./ccmsetup –MP <Internet-FQDN des Verwaltungspunkts> -SubjectName <Wert für Zertifikatantragsteller>

    ImportantWichtig
    Beim Wert für den Zertifikatantragsteller muss die Groß-/Kleinschreibung beachtet werden, daher muss dieser genauso eingegeben werden, wie er in den Zertifikatdetails angezeigt wird.

    Beispiel: Wenn der Internet-FQDN in den Systemeigenschaften server03.contoso.com und der FQDN des allgemeinen Namens im Zertifikatantragsteller des Macintosh-Clients mac12.contoso.com lautet, geben Sie Folgendes ein: Sudo. / Ccmsetup –MP server03.contoso.com –SubjectName mac12.contoso.com

  5. Warten Sie, bis die Meldung Installation abgeschlossen angezeigt wird, und starten Sie anschließend den Macintosh-Computer neu.

  6. Wenn Sie über mehrere Zertifikate mit dem gleichen Wert für den Antragsteller verfügen, müssen Sie die Seriennummer des Zertifikats angeben, um das für den Konfigurationsmanager-Client zu verwendende Zertifikat zu bestimmen. Verwenden Sie hierzu den folgenden Befehl: sudo defaults write com.microsoft.ccmclient SerialNumber -data "<Seriennummer>".

    Zum Beispiel: sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"

  7. Öffnen Sie auf dem Macintosh-Computer ein Terminalfenster, und nehmen Sie folgende Änderungen vor, um dieses Zertifikat auf Konfigurationsmanager zu beschränken:

    1. Geben Sie den Befehl sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access ein.

    2. Klicken Sie im Dialogfeld Schlüsselbundverwaltung im Abschnitt Schlüsselbunde auf System und im Abschnitt Kategorie anschließend auf Schlüssel.

    3. Erweitern Sie die Schlüssel, um die Clientzertifikate anzuzeigen. Wenn Sie das Zertifikat mit einem gerade installierten privaten Schlüssel identifiziert haben, doppelklicken Sie auf dem Schlüssel.

    4. Wählen Sie auf der Registerkarte Zugriffssteuerung die Option Bestätigen, bevor Zugriff zugelassen wird aus.

    5. Navigieren Sie zum Ordner /Library/Application Support/Microsoft/CCM, wählen Sie CCMClient aus, und klicken Sie dann auf Hinzufügen.

    6. Klicken Sie auf Änderungen sichern, und schließen Sie das Dialogfeld Schlüsselbundverwaltung.

Überprüfen Sie, ob die Clientinstallation erfolgreich ausgeführt wurde. Öffnen Sie hierzu auf dem Macintosh-Computer in den Systemeinstellungen das Element Configuration Manager. Sie können auch die Sammlung Alle Systeme aktualisieren und anzeigen, um sicherzustellen, dass der Macintosh-Computer jetzt in der Sammlung als verwalteter Client angezeigt wird.

Gehen Sie folgendermaßen vor, bevor Sie das Computerzertifikat auf Macintosh-Computern erneuern.

Bei diesem Verfahren wird die SMS-ID entfernt, welche vom Client zur Verwendung eines neuen oder erneuerten Zertifikats auf dem Macintosh-Computer benötigt wird.

ImportantWichtig
Wenn Sie die Client-SMS-ID entfernen und ersetzen, wird der gesamte gespeicherte Clientverlauf, wie beispielsweise die Inventur, nach dem Löschen des Clients über die Konfigurationsmanager-Konsole gelöscht.

  1. Erstellen Sie für die Macintosh-Computer, deren Computerzertifikate erneuert werden müssen, eine Gerätesammlung, und fügen Sie die Macintosh-Computer dieser Sammlung anschließend hinzu.

  2. Starten Sie im Arbeitsbereich Bestand und Kompatibilität den Assistenten zum Erstellen von Konfigurationselementen.

  3. Geben Sie auf der Seite Allgemein des Assistenten die folgenden Informationen an:

    • Name: SMS-ID für Mac entfernen

    • Typ: Mac OS X

  4. Vergewissern Sie sich auf der Seite Unterstützte Plattformen des Assistenten, dass alle Versionen von Mac OS X ausgewählt sind.

  5. Klicken Sie auf der Seite Einstellungen des Assistenten auf Neu, und geben Sie anschließend im Dialogfeld Einstellung erstellen die folgenden Informationen an:

    • Name: SMS-ID für Mac entfernen

    • Einstellungstyp: Skript

    • Datentyp: Zeichenfolge

  6. Klicken Sie im Dialogfeld Einstellung erstellen für Ermittlungsskript auf Skript hinzufügen, um ein Skript anzugeben, mit dem Macintosh-Computer ermittelt werden können, die über eine konfigurierte SMS-ID verfügen.

  7. Geben Sie im Dialogfeld Ermittlungsskript bearbeiten das folgende Shellskript ein:

    defaults read com.microsoft.ccmclient SMSID
    
  8. Klicken Sie auf OK, um das Dialogfeld Ermittlungsskript bearbeiten zu schließen.

  9. Klicken Sie im Dialogfeld Einstellung erstellen für Wiederherstellungsskript (optional) auf Skript hinzufügen, um ein Skript anzugeben, mit dem die SMS-ID von Macintosh-Computern entfernt wird, wenn sie gefunden wird.

  10. Geben Sie im Dialogfeld Wiederherstellungsskript erstellen das folgende Shellskript ein:

    defaults delete com.microsoft.ccmclient SMSID
    
  11. Klicken Sie auf OK, um das Dialogfeld Wiederherstellungsskript erstellen zu schließen.

  12. Klicken Sie auf der Seite Kompatibilitätsregeln des Assistenten auf Neu, und geben Sie anschließend im Dialogfeld Regel erstellen die folgenden Informationen an:

    • Name: SMS-ID für Mac entfernen

    • Ausgewählte Einstellung: Klicken Sie auf Durchsuchen, und wählen Sie anschließend das Ermittlungsskript aus, das Sie zuvor angegeben haben.

    • Geben Sie Das Domänen-/Standardpaar (com.microsoft.ccmclient, SMS-ID) existiert nicht in das Feld die folgenden Werte ein.

    • Aktivieren Sie die Option Das angegebene Wiederherstellungsskript ausführen, wenn diese Einstellung nicht kompatibel ist.

  13. Beenden Sie den Assistenten zum Erstellen von Konfigurationselementen.

  14. Erstellen Sie eine Konfigurationsbasislinie mit dem Konfigurationselement, das Sie gerade erstellt haben, und stellen Sie es für die Gerätesammlung bereit, die Sie in Schritt 1 erstellt haben.

    Weitere Informationen zum Erstellen und Bereitstellen von Konfigurationsbasislinien finden Sie unter Erstellen von Konfigurationsbasislinien für Kompatibilitätseinstellungen in Configuration Manager und Bereitstellen von Konfigurationsbasislinien in Configuration Manager.

  15. Führen Sie den folgenden Befehl aus, nachdem Sie ein neues Zertifikat auf Macintosh-Computern mit entfernter SMS-ID installiert haben, um den Client so zu konfigurieren, dass das neue Zertifikat verwendet wird:

    sudo defaults write com.microsoft.ccmclient SubjectName –string <Subject_Name_of_New_Certificate>
    
  16. Wenn Sie über mehrere Zertifikate mit dem gleichen Wert für den Antragsteller verfügen, müssen Sie die Seriennummer des Zertifikats angeben, um das für den Konfigurationsmanager-Client zu verwendende Zertifikat zu bestimmen. Verwenden Sie hierzu den folgenden Befehl: sudo defaults write com.microsoft.ccmclient SerialNumber -data "<Seriennummer>".

    Zum Beispiel: sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"

  17. Starten Sie den Macintosh-Computer neu.

Nur für System Center 2012 R2 Configuration Manager:

Folgen Sie den Verfahren unter Schritte zur Aktualisierung des Clients für Macintosh-Computer. Führen Sie nach der Aktualisierung des Clients das folgenden Verfahren aus, um zu verhindern, dass der Assistent für die Computeranmeldung ausgeführt wird und um den aktualisierten Client für die Verwendung eines vorhandenen Clientzertifikats zu konfigurieren.

  1. Erstellen Sie in der Konfigurationsmanager-Konsole ein Konfigurationselement mit dem Typ Mac OS X.

  2. Fügen Sie diesem Konfigurationselement eine Einstellung mit dem Einstellungstyp Skript hinzu.

  3. Fügen Sie der Einstellung das folgende Skript hinzu:

    #!/bin/sh
    echo "Starting script\n"
    echo "Changing directory to MAC Client\n"
    cd /Users/Administrator/Desktop/'MAC Client'/
    echo "Import root cert\n"
    /usr/bin/sudo /usr/bin/security import /Users/Administrator/Desktop/'MAC Client'/Root.pfx -A -k /Library/Keychains/System.Keychain -P ROOT
    echo "Using openssl to convert pfx to a crt\n"
    /usr/bin/sudo openssl pkcs12 -in /Users/Administrator/Desktop/'MAC Client'/Root.pfx -out Root1.crt -nokeys -clcerts -passin pass:ROOT
    echo "Adding trust to root cert\n"
    /usr/bin/sudo /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.Keychain Root1.crt
    echo "Import client cert\n"
    /usr/bin/sudo /usr/bin/security import /Users/Administrator/Desktop/'MAC Client'/MacClient.pfx -A -k /Library/Keychains/System.Keychain -P MAC
    echo "Executing ccmclient with MP\n"
    sudo ./ccmsetup -MP https://SCCM34387.SCCM34387DOM.NET/omadm/cimhandler.ashx
    echo "Editing Plist file\n"
    sudo /usr/libexec/Plistbuddy -c 'Add:SubjectName string CMMAC003L' /Library/'Application Support'/Microsoft/CCM/ccmclient.plist
    echo "Changing directory to CCM\n"
    cd /Library/'Application Support'/Microsoft/CCM/
    echo "Making connection to the server\n"
    sudo open ./CCMClient
    echo "Ending Script\n"
    exit
    
    
    
  4. Fügen Sie das Konfigurationselement einer Konfigurationsbasislinie hinzu, und stellen Sie dann die Konfigurationsbasislinie auf allen Macintosh-Computern bereit, auf denen ein Zertifikat unabhängig von Konfigurationsmanager installiert wird.

Weitere Informationen zum Erstellen und Bereitstellen von Konfigurationselementen für Macintosh-Computer finden Sie unter Mac Computer Konfigurationselemente in Configuration Manager erstellen und Bereitstellen von Konfigurationsbasislinien in Configuration Manager.

-----
For additional resources, see Information and Support for Configuration Manager.

Tip: Use this query to find online documentation in the TechNet Library for System Center 2012 Configuration Manager. For instructions and examples, see Search the Configuration Manager Documentation Library.
-----
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft