在 Configuration Manager 中配置客户端管理设置

注意
本节中的信息还出现在 如何在 Configuration Manager 中配置客户端设置。

通过 Configuration Manager 控制台的“管理”工作区中的“客户端设置”节点来管理 System Center 2012 Configuration Manager 中的所有客户端设置。 在要为层次结构中的所有用户和设备配置设置时，请修改默认设置。 如果要将不同设置仅应用于某些用户或设备，请创建自定义设置并将它们分配到集合。

使用下列过程之一来配置客户端设置：

为客户端批准和冲突的客户端记录指定设置以帮助 配置管理器 安全地确定客户端。 这些设置适用于所有客户端的层次结构。

• 为客户端不使用 PKI 证书进行客户端身份验证的情况配置“客户端批准方法”设置。 默认情况下，配置管理器 自动批准受信任的域中的计算机，并使用设备的计算机帐户和 Kerberos 身份验证来验证是否信任设备。 使用此设置时，你必须手动查看 配置管理器 控制台中每一个显示为“未批准”的客户端，以确保它是受信任的设备，然后批准由 配置管理器 来管理它。 此方案适用于不受信任的林中以及工作组中的计算机。 如果 Kerberos 身份验证由于任何原因失败，则也适用。

  虽然 配置管理器 具有自动审批所有客户端的配置选项，但是不要使用此配置，除非 配置管理器 正在受保护的测试环境中运行。 你也可以选择始终手动批准客户端的配置选项。

  注意
  尽管某些管理功能可能对未获批准的客户端起作用，但 配置管理器 不支持管理这些设备。

• 为 配置管理器 检测到重复硬件 ID 并且无法解决冲突的情况配置“冲突的客户端记录”设置。配置管理器 使用硬件 ID 来尝试标识可能重复的客户端，并向你发出有关冲突的记录的警报。 例如，你重新安装计算机，则硬件 ID 将相同，但 配置管理器 使用的 GUID 可能已更改。 当 配置管理器 能够通过使用计算机帐户的 Windows 身份验证或来自受信任来源的 PKI 证书解决冲突时，将为你自动解决冲突。 但是，当 配置管理器 无法解决冲突时，它将使用层次结构设置，该设置会在检测到重复的硬件 ID 时自动合并记录（默认设置），或允许你决定是合并、阻止还是创建新客户端记录。 如果你决定手动管理重复记录，则必须通过使用 配置管理器 控制台手动解决冲突的记录。

你可以为自动站点分配指定层次结构范围的回退站点。

回退站点将分配给新客户端，当客户端位于未与为站点分配配置的任何边界组关联的网络边界上时，该客户端配置为自动发现其站点。

本节中的信息还出现在 如何在 Configuration Manager 中配置客户端通信端口号

可以更改 System Center 2012 Configuration Manager 客户端用来与使用 HTTP 和 HTTPS 进行通信的站点系统通信的请求端口号。 从 配置管理器 SP1 开始，如果你不想使用 HTTP 或 HTTPS，则还可以指定客户端通知端口。 虽然为防火墙配置了 HTTP 或 HTTPS 的可能性更高，但是，与使用自定义端口号相比，使用 HTTP 或 HTTPS 的客户端通知在管理点计算机上将需要使用更多的 CPU 资源和内存。 对于 配置管理器 的所有版本，如果你使用传统的唤醒数据包来唤醒客户端，则还可以指定要使用的站点端口号。

在指定 HTTP 和 HTTPS 请求端口时，可以指定默认端口号和备用端口号。 在使用默认端口通信失败后，客户端会自动尝试使用备用端口。 可以指定 HTTP 和 HTTPS 数据通信的设置。

客户端请求端口的默认值是 80（对于 HTTP 流量）和 443（对于 HTTPS 流量）。 仅在你不想使用这两个默认值时才更改它们。 使用自定义端口的典型情况是，你在 IIS 中使用自定义网站而不是默认网站。 如果更改 IIS 中的默认网站的默认端口号，而其他应用程序也使用此默认网站，则它们可能会失败。

重要事项
不要在不了解后果的情况下更改 配置管理器 中的端口号。 例如： 如果在站点配置中更改客户端请求服务的端口号，而且没有重新配置现有的客户端以使用新的端口号，则这些客户端将变为非管理的客户端。 在配置非默认的端口号之前，请确保防火墙和所有介入性网络设备都能支持此配置，并在必要时对它们进行重新配置。 如果你将在 Internet 上管理客户端，并且更改默认的 HTTPS 端口号 443，则 Internet 上的路由器和防火墙可能会阻止此通信。

为了确保在你更改请求端口号后客户端不会变为非管理的客户端，必须配置客户端以使用新的请求端口号。 在更改主站点上的请求端口时，任何连接的辅助站点均会自动继承相同的端口配置。 使用本主题中的过程来配置主站点上的请求端口。

注意
适用于 System Center 2012 Configuration Manager SP1 和更高版本： 有关如何为运行 Linux 和 UNIX 的计算机上的客户端配置请求端口的信息，请参阅适用于 Linux 和 UNIX 客户端配置请求端口。

在将 配置管理器 站点发布到 Active Directory 域服务时，可以访问此信息的新的和现有的客户端将自动使用其站点端口设置来配置，而且你无需执行更多操作。 无法访问发布到 Active Directory 域服务的此信息的客户端包括：工作组客户端、其他 Active Directory 林中的客户端、配置为仅通过 Internet 进行管理的客户端，以及目前位于 Internet 上的客户端。 如果在已安装这些客户端后更改默认端口号，请使用以下方法之一重新安装这些客户端和安装任何新的客户端：

• 使用“客户端请求安装向导”重新安装客户端。 客户端请求安装会自动使用当前的站点端口配置来配置客户端。 有关如何使用“客户端请求安装向导”的详细信息，请参阅如何使用客户端请求安装 Configuration Manager 客户端。

• 使用 CCMSetup.exe 以及 CCMHTTPPORT 和 CCMHTTPSPORT 的 client.msi 安装属性来重新安装客户端。 有关这些属性的详细信息，请参阅如何使用客户端请求安装 Configuration Manager 客户端。

• 使用搜索 Active Directory 域服务以查找 Configuration Manager 客户端安装属性这一方法来重新安装客户端。 有关详细信息，请参阅 关于 Configuration Manager 中的发布到 Active Directory 域服务的客户端安装属性。

若要重新配置现有客户端的端口号，你也可以使用随安装媒体提供的且位于 SMSSETUP\Tools\PortConfiguration 文件夹中的脚本 PORTSWITCH.VBS。

重要事项
对于当前在 Internet 上的现有客户端和新客户端，你必须使用 CCMHTTPPORT 和 CCMHTTPSPORT 的 CCMSetup.exe client.msi 属性来配置非默认端口号。

更改站点上的请求端口后，使用覆盖整个站点的客户端请求安装方法安装的新客户端将自动配置为站点的当前端口号。

在配置 配置管理器 以使用自定义网站之前，请查看利用 Configuration Manager 规划自定义网站中的计划信息。

大多数 配置管理器 站点系统角色都自动配置为使用自定义网站，但以下站点系统角色要求你手动配置自定义网站。

• 应用程序目录 Web 服务点

• 应用程序目录网站点

• 注册点

• 注册代理点

对于这些站点系统角色，你必须在站点系统角色安装期间指定自定义网站。 如果在为站点启用自定义网站时任何这些站点系统角色已安装，请卸载这些站点系统角色，然后重新安装它们。 当你重新安装这些站点系统角色时，请指定“SMSWEB”的自定义网站名称，并配置端口号。

使用以下过程在 配置管理器 站点上启用自定义网站，然后验证是否已成功创建了这些网站。 有关配置用于客户端通信的端口的信息，请在 配置客户端通信端口号 站点参阅配置管理器，然后验证是否成功创建了它们。 有关配置用于客户端通信的端口的信息，请参阅配置客户端通信端口号。

如果你要将计算机从休眠状态中唤醒以安装所需的软件（如软件更新、应用程序、任务序列和程序），请指定 LAN 唤醒设置。

从 System Center 2012 Configuration Manager SP1 开始，你可以使用唤醒代理客户端设置来对 LAN 唤醒进行补充。 但是，要使用唤醒代理，你必须首先为站点启用 LAN 唤醒，并为 LAN 唤醒传输方法指定“仅使用唤醒数据包”和“单播”选项。 这种唤醒解决方案也支持临时连接，例如远程桌面连接。

使用第一个过程来针对 LAN 唤醒配置主站点。 然后，若要使用 System Center 2012 Configuration Manager SP1 或更高版本中的唤醒代理，请使用第二个过程来配置唤醒代理客户端设置。 此第二个过程配置唤醒代理设置的默认客户端设置，以应用于层次结构中的所有计算机。 如果你希望这些设置仅应用于所选计算机，请创建一个自定义设备设置，并将其分配给包含要为唤醒代理配置的计算机的集合。 有关如何创建自定义客户端设置的详细信息，请参阅如何在 Configuration Manager 中配置客户端设置。

小心
为了避免网络服务意外中断，请首先在有代表性的隔离网络基础结构上评估唤醒代理。 然后，使用自定义客户端设置将测试范围扩展到若干子网上的所选计算机组。 有关唤醒代理如何工作的详细信息，请参阅规划如何唤醒客户端主题中的在 Configuration Manager 中规划通信部分。

配置唤醒代理客户端设置

1. 在 配置管理器 控制台中，单击“管理”。

2. 在“管理”工作区中，单击“客户端设置”。

3. 单击“默认客户端设置”。

4. 在“主页”选项卡上的“属性”组中，单击“属性”，

5. 选择“电源管理”，然后配置以下选项：

   - “启用唤醒代理”：“是”
   

6. 查看并在必要时配置其他唤醒代理设置。 有关这些设置的详细信息，请参阅电源管理主题中的关于 Configuration Manager 中的客户端设置部分。

   重要事项
   尽管存在为唤醒代理端口配置 Windows 防火墙的客户端设置，但 System Center 2012 Configuration Manager SP1 不会配置 Windows 防火墙以允许唤醒代理所需的入站 ICMP ping 命令。 除非正在运行 System Center 2012 R2 Configuration Manager 或更高版本，否则你必须手动配置 Windows 防火墙或者基于主机的备用防火墙以允许此通信。 有关如何针对唤醒代理所需的入站 ICMP ping 命令配置 Windows 防火墙的详细信息，请参阅 Configuration Manager 中客户端计算机的 Windows 防火墙和端口设置主题中的“唤醒代理”部分。

7. 单击“确定”关闭对话框，再单击“确定”关闭“默认客户端设置”对话框。

你可以使用以下 LAN 唤醒报表来监视唤醒代理的安装和配置：

• 唤醒代理部署状态摘要

• 唤醒代理部署状态详细信息

提示
要测试唤醒代理是否工作，请测试与休眠计算机的连接。 例如，连接到该计算机上的共享文件夹，或尝试通过使用远程桌面连接到该计算机。 如果使用 DirectAccess，请通过为当前位于 Internet 上的休眠计算机尝试相同的测试来检查 IPv6 前缀是否工作。

注意
本节中的信息还出现在 如何管理集合在配置管理器。

配置管理器 中的维护时段提供了一种方法，利用该方法，管理用户可以定义可通过各种 Configuration Manager 操作对设备集合的成员进行更新的时间段。 你可以使用维护时段来帮助确保客户端配置更改在将不会影响组织工作效率的期间进行。

以下 Configuration Manager 操作支持维护时段。

• 软件部署

• 软件更新部署

• 符合性设置部署

• 操作系统部署

• 任务序列部署

将为具有开始日期、开始和完成时间以及定期模式的集合配置维护时段。 每个维护时段的持续时间必须小于 24 小时。 默认情况下，不允许在维护时段外进行部署所导致的计算机重启，但你可以在每个部署的设置中撤消这一点。 维护时段仅影响部署程序的运行时间；配置为进行下载并在本地运行的应用程序可在维护时段外下载内容。

如果客户端计算机是配置了维护时段的设备集合的成员，那么，只有在允许的最长运行时间未超出为维护时段配置的持续时间时，部署程序才会运行。 如果程序未能运行，则会生成警报，并且部署将在具有可用时间的下一次计划的维护时段中重新运行。