部署代理
在此部分:
关于部署代理
部署代理是一种软件代理,必须部署到 管理中心 管理的所有客户端。部署代理作为 Windows 服务运行,并在管理服务器发出指示时在客户端上执行任务。这些任务包括安装、升级和卸载 User Workspace Manager 代理及配置,还包括收集和上传来自任何 User Workspace Manager 产品代理的审核信息。
部署代理定期轮询管理服务器,具体时间依其所属部署组的轮询周期确定。部署组的成员身份依管理控制台中定义的成员身份规则集确定。在每次轮询期间,部署代理会询问管理服务器应在客户端上安装哪些代理、配置和必备项,以及应收集哪些审核事件。部署代理使用此信息来确保客户端仅安装正确的代理和配置集,并筛选 User Workspace Manager 产品代理收集的事件。部署代理会定期将所有收集的事件上传到管理服务器。
支持的格式
通过管理中心的证书部署将支持 Azure Active Directory 条件和 RunAs 操作,目前我们不支持 HTTPS 证书的部署。通过管理中心部署的所有证书都必须采用 .PFX 格式,这包括任何组合证书(组合证书中的所有证书都必须是 .PFX)。
访问凭据
访问凭据用于指定管理服务器安装部署代理所用的凭据列表。
在尝试通过管理控制台在任何端点上安装部署代理之前,必须提供这些凭据。
可通过主页 > 全局设置 > 访问凭据选项卡对管理服务器的这些凭据配置进行全局设置,也可通过主页 > 部署组 > [部署组] > 详细信息部分 > 管理凭据按钮对每个部署组的凭据配置进行设置。
默认情况下,通过全局设置配置的访问凭据适用于所有部署组,除非在特定部署组中定义了特定凭据。在这种情况下,部署组的访问凭据优先于默认的全局凭据。
注意:如果尚未设置凭据,则无法使用集成的“安装部署代理”功能在任何端点上安装部署代理。
要添加访问凭据,请输入用户名和密码。这些凭据存储在数据库中。服务器配置门户 (SCP) 可创建 RSA 公钥-私钥对,并将其存储在服务器的 Microsoft 加密提供程序中。此密钥用于加密和解密存储在数据库中的凭据,因此能够保护信息安全。
在尝试安装部署代理时,系统将按照列表中定义的顺序尝试使用提供的凭据。可以使用操作面板的上移和下移选项对这些凭据进行排序。
部署代理与管理服务器通信
与管理服务器通信时,部署代理将使用管理服务器配置工具在管理服务器安装期间指定的客户端身份验证模式,即匿名或 Windows 身份验证模式。
选择“匿名”身份验证时,部署代理将使用指定用于匿名访问的特定帐户 IUSR_[server name] 与管理服务器进行通信。
与管理服务器的所有交互随后都将继承分配给此帐户的权限。
使用 Windows 身份验证时,计算机凭据用于与管理服务器进行通信。此种情况可能会出现一个问题,从而导致显示以下消息:
无法访问服务器上的主密钥,错误为密钥集不存在。
这是因为服务帐户无法访问存储在管理服务器上的解密证书。要解决此问题,必须为 管理中心 服务使用的任何身份授予访问密钥存储库所需的权限。为此,可以使用以下命令行:
aspnet_regiis.exe -pa AppSenseMasterKey <DOMAIN>\<USERNAME>
部署代理注册管理服务器
成功安装部署代理后,部署代理服务将注册管理服务器。
部署代理可以通过多种方式注册管理服务器:
- 通过管理控制台中的“安装部署代理”选项来直接安装部署代理,从而自动注册管理服务器。
- 使用从管理服务器网站下载的 ClientCommunicationsAgent.msi 文件手动安装部署代理,必须提供有效的管理服务器才能允许部署代理注册管理服务器并与之通信。
- 部署代理通过命令行手动安装,包括有效的管理服务器 URL 以及用于自助注册的特定部署组(可选)。
只有在主页 > 部署组 > [部署组] > 设置 > 常规选项卡 > 部署代理权限中选择“允许自助注册”,部署代理才可进行自助注册。
如果在安装过程中未指定部署组或相关组不允许部署代理自助注册,则管理服务器将搜索成员身份规则。如果找到匹配项,则计算机将被放置在组中;如果未找到匹配项,则计算机将被置于 catch-all(默认)部署组中。
在部署代理注册服务器后,部署代理服务将实施相关策略来安装软件、生成事件及轮询服务器,以便进行后续更改和程序包更新。
所有可用的代理、配置和必备程序包均存储在管理服务器安装过程填充的管理服务器数据库中。
受管端点设备的部署代理从管理服务器下载分配的程序包列表 - 经过配置后用于特定部署组。然后,将此列表与端点上安装的内容进行比较。
如果分配的程序包列表与端点上安装的内容不同,则从管理服务器下载所需的程序包。计算机重启根据相关部署组中指定的安装计划设置进行协调。然后,在计算机关闭或重启时安装程序包,具体取决于部署组安装设置。配置和已部署的部署代理升级程序可以在会话期间安装,无需重新启动,具体取决于部署组设置。