Определение готовности клиентских компьютеров к основному режиму

Последнее обновление раздела: март 2008 г.

Чтобы сайт Configuration Manager 2007 успешно функционировал в основном режиме, необходимо установить на сайте Configuration Manager 2007 все необходимые сертификаты, прежде чем выполнять миграцию сайта в основной режим.

Чтобы до выполнения миграции сайта в основной режим определить, имеют ли клиентские компьютеры Configuration Manager 2007 действительный сертификат для успешной связи в основном режиме, запустите служебную программу, называемую инструментом готовности работы в основном режиме Configuration Manager. Эта служебная программа установлена вместе с клиентами Configuration Manager 2007 в папке %windir%\system32\CCM и должна запускаться с правами локального администратора. Чтобы запустить служебную программу, запустите Sccmnativemodereadiness.exe из папки CCM.

Без указания аргументов в командной строке эта служебная программа выбирает первый сертификат компьютера из локального хранилища по умолчанию на этом компьютере. Чтобы увидеть альтернативные параметры, которые можно задать, введите в командной строке: Sccmnativemodereadiness.exe /?

Доступные параметры и примеры перечислены в следующей таблице.

Параметр служебной программы Sccmnativemodereadiness	Описание
/criteria:<criteria>	Указывает критерий выбора сертификата, если у клиента имеется более одного сертификата, которые могут быть использованы для связи в основном режиме (допустимый сертификат, включающий возможность проверки подлинности клиента). Дополнительные сведения о том, требуется ли указывать этот параметр, см. в разделе Определение необходимости задания параметров сертификата клиента (основной режим). Параметры критериев следующие: SubjectStr:<subjectstring>. Это сопоставление без учета регистра подстроки <subjectstring> с именем получателя сертификата; Subject:<subjectstr>. Это сопоставление с учетом регистра подстроки <subjectstr> с именем получателя сертификата или именем альтернативного получателя (SAN); SubjectAttr:<OID>=<OIDstr>. Это сопоставляет любой действительный идентификатор объекта (OID) с <OIDstr>. Идентификатор объекта может быть атрибутом различающегося имени или номером OID. Примеры: sccmnativemodereadiness.exe /criteria:”SubjectStr:contoso.com” Sccmnativemodereadiness.exe /criteria:”Subject:computer1.contoso.com” Sccmnativemodereadiness exe /criteria:”SubjectAttr:2.5.4.11=Workstations” Sccmnativemodereadiness exe /criteria:”SubjectAttr:OU=Workstations” Полный список атрибутов, которые можно использовать с параметром SubjectAttr, см. в таблице в разделе Определение необходимости задания параметров сертификата клиента (основной режим).
/store:<name>	Указывает альтернативное имя хранилища сертификатов, если сертификат клиента, который должен использоваться для связи в основном режиме, не находится в хранилище сертификатов по умолчанию в хранилище компьютера Личное. Пример: Sccmnativemodereadiness.exe /store:”ConfigMgr”
/selectfirstcert	Указывает, что клиент должен выбрать любой действительный и соответствующий сертификат для связи в основном режиме, если в хранилище сертификатов найдено несколько действительных сертификатов. Однако, если на клиенте запущен Configuration Manager 2007 SP1, будет выбран сертификат с максимальным сроком действия. Этот параметр может потребоваться, если используется защита доступа к сети с системой ограничений IPSec. Пример: Sccmnativemodereadiness.exe /selectfirstcert

Параметр служебной программы Sccmnativemodereadiness

Описание

/criteria:<criteria>

Указывает критерий выбора сертификата, если у клиента имеется более одного сертификата, которые могут быть использованы для связи в основном режиме (допустимый сертификат, включающий возможность проверки подлинности клиента).

Дополнительные сведения о том, требуется ли указывать этот параметр, см. в разделе Определение необходимости задания параметров сертификата клиента (основной режим).

Параметры критериев следующие:

SubjectStr:<subjectstring>. Это сопоставление без учета регистра подстроки <subjectstring> с именем получателя сертификата;
Subject:<subjectstr>. Это сопоставление с учетом регистра подстроки <subjectstr> с именем получателя сертификата или именем альтернативного получателя (SAN);
SubjectAttr:<OID>=<OIDstr>. Это сопоставляет любой действительный идентификатор объекта (OID) с <OIDstr>. Идентификатор объекта может быть атрибутом различающегося имени или номером OID.

Примеры:

sccmnativemodereadiness.exe /criteria:”SubjectStr:contoso.com”
Sccmnativemodereadiness.exe /criteria:”Subject:computer1.contoso.com”
Sccmnativemodereadiness exe /criteria:”SubjectAttr:2.5.4.11=Workstations”
Sccmnativemodereadiness exe /criteria:”SubjectAttr:OU=Workstations”

Полный список атрибутов, которые можно использовать с параметром SubjectAttr, см. в таблице в разделе Определение необходимости задания параметров сертификата клиента (основной режим).

/store:<name>

Указывает альтернативное имя хранилища сертификатов, если сертификат клиента, который должен использоваться для связи в основном режиме, не находится в хранилище сертификатов по умолчанию в хранилище компьютера Личное.

Пример: Sccmnativemodereadiness.exe /store:”ConfigMgr”

/selectfirstcert

Указывает, что клиент должен выбрать любой действительный и соответствующий сертификат для связи в основном режиме, если в хранилище сертификатов найдено несколько действительных сертификатов. Однако, если на клиенте запущен Configuration Manager 2007 SP1, будет выбран сертификат с максимальным сроком действия. Этот параметр может потребоваться, если используется защита доступа к сети с системой ограничений IPSec.

Пример: Sccmnativemodereadiness.exe /selectfirstcert

Хотя эту программу можно запустить отдельно для конкретного компьютера перед выполнением миграции сайта в основной режим, убедитесь, что все клиентские компьютеры подготовлены для основного режима, запустив эту программу как обязательное объявление для всех клиентских компьютеров, назначенных сайту.

Примечание
Для этой программы должен быть установлен клиент Configuration Manager 2007.

Затем можно посмотреть результаты этой служебной программы с помощью следующих отчетов:

клиенты, не имеющие возможность работать в основном режиме;
Сводные сведения о клиентах, имеющих возможность работать в основном режиме.

Все вопросы с клиентскими сертификатами необходимо разрешить до миграции сайта в основной режим. Клиенты без действительных сертификатов будут неуправляемыми после миграции сайта в основной режим.

Важно!
Инструмент готовности работы в основном режиме Configuration Manager проверяет только сертификат клиентского компьютера, но не проверяет сертификаты, необходимые для систем сайта или устройств. Configuration Manager проверяет сертификат сервера сайта, если сайт установлен для работы в основном режиме или выполнена миграция сайта из смешанного режима. Но сертификаты сервера для веб-сайтов и для мобильных устройств клиентов необходимо проверить вручную.

Важно!

Инструмент готовности работы в основном режиме Configuration Manager проверяет только сертификат клиентского компьютера, но не проверяет сертификаты, необходимые для систем сайта или устройств. Configuration Manager проверяет сертификат сервера сайта, если сайт установлен для работы в основном режиме или выполнена миграция сайта из смешанного режима. Но сертификаты сервера для веб-сайтов и для мобильных устройств клиентов необходимо проверить вручную.

Чтобы определить готовность клиентских компьютеров Configuration Manager 2007 к основному режиму, следуйте этим процедурам для запуска инструмента готовности работы в основном режиме Configuration Manager, а затем просмотрите итоговые отчеты.

Чтобы определить готовность клиентских компьютеров к основному режиму

На консоли администратора перейдите к узлу Распространение программного обеспечения и создайте пакет распространения программного обеспечения без исходных файлов.
Выделите этот только что созданный пакет, щелкните правой кнопкой мыши Программы и выберите Создать.
В мастере создания программы укажите команду для запуска инструмента готовности работы в основном режиме Configuration Manager (например %windir%\system32\CCM\Sccmnativemodereadiness.exe).
На странице мастера Среда выберите Режим выполнения в Запустить с правами администратора и завершите работу мастера.
Щелкните правой кнопкой мыши узел Объявления, выберите Создать, а затем выберите Объявление.
В мастере создания объявления выберите только что созданные пакет и программу, а затем выберите коллекцию, содержащую все клиентские компьютеры, назначенные сайту.
На странице Расписание мастера создания объявления создайте обязательное объявление, так чтобы команда выполнялась автоматически, и завершите работу мастера.
Когда объявление успешно выполнено на клиентах, на консоли администратора перейдите к System Center Configuration Manager / База данных сайта / Управление компьютером / Служба отчетов / Отчеты.
В узле Отчеты щелкните столбец Категория, чтобы отсортировать отчеты для упрощения поиска отчетов с категорией Сайт: сведения о клиенте.
Щелкните правой кнопкой мыши один из следующих отчетов и выберите команду Запустить:
- клиенты, не имеющие возможность работать в основном режиме;
- сводные сведения о клиентах, имеющих возможность работать в основном режиме.
На странице Сведения об отчете укажите любые необходимые дополнительные сведения, а затем нажмите кнопку Отобразить для просмотра отчета. Обратите внимание на компьютеры, не имеющие действительный сертификат, и на причину такой идентификации.
Закройте отчет.
Разрешите сообщенные вопросы сертификатов клиентов и перезапускайте объявление и отчеты, пока не будет сообщений о сбоях сертификатов клиентов.

См. также

Основные понятия

Требования к сертификатам для работы в основном режиме