部署代理程式
在這個部分中:
關於部署代理程式
部署代理程式是必須部署到由 管理中心 管理的所有用戶端的軟體代理程式。部署代理程式做為 Windows 服務執行,並在管理伺服器指示時在用戶端上執行任務。這些任務包括安裝、升級和解除安裝 User Workspace Manager 代理程式和組態,以及從任何 User Workspace Manager 產品代理程式收集和上傳稽核資訊。
部署代理程式會定期輪詢管理伺服器,這將由所屬的部署群組的輪詢期間決定。部署群組的成員資格是由管理控制台中定義的一組成員資格規則決定。在每次輪詢期間,部署代理程式會詢問管理伺服器應在用戶端上安裝哪些代理程式、組態和先決條件,以及應該收集哪些稽核事件。部署代理程式使用這些資訊確保在用戶端上僅安裝正確的代理程式和組態集,並篩選 User Workspace Manager 由產品代理程式收集的事件。部署代理程式會定期將所有收集的事件上傳到管理伺服器。
支援的格式
透過管理中心進行的憑證部署將同時支援 Azure Active Directory 條件和 RunAs 動作,目前我們不支援部署 HTTPS 的憑證。透過管理中心部署的所有憑證都必須採用 .PFX 格式,這包括任何組合的憑證 (組合憑證中的所有憑證都必須是 .PFX)。
訪問憑證
存取認證用於指定管理伺服器用於安裝部署代理程式的認證清單。
嘗試透過管理控制台在任何端點上安裝部署代理程式之前,必須提供這些認證。
對於管理伺服器,在首頁 > 全域組態> 存取認證,可以全域設定這些憑證的組態,也可以對於部署群組,透過首頁 > 部署群組 > [部署群組] > 詳細資訊區段 > 管理憑證按鈕,設定這些憑證的組態。
除非已在特定部署群組中定義特定認證,否則透過全域設定所設定的存取認證會預設套用於所有部署群組。在這種情況下,部署群組的存取認證優先於預設全域認證。
警告: 若尚未設定認證,您將無法使用整合的「安裝部署代理程式」功能在任何端點上安裝「部署代理程式」。
若要新增存取認證,請輸入使用者名稱和密碼。這些認證儲存在資料庫中。伺服器組態入口網站 (SCP) 會建立 RSA 公開金錀/私密金鑰配對,此配對儲存在伺服器的 Microsoft 密碼編譯提供者中。此金鑰用於加密及解密儲存於資料庫的認證,所以可保護資訊。
在嘗試安裝部署代理程式時,將按清單中定義的順序嘗試提供的認證。可以使用動作面板的上移和下移選項來調整這些認證的順序。
與管理伺服器通訊的部署代理程式
與管理伺服器進行通訊時,部署代理程式將在安裝管理伺服器期間使用管理伺服器組態公用程式中指定的指定用戶端驗證模型。這會使用匿名或 Windows 驗證。
如果已選取匿名驗證,部署代理程式會使用對於匿名存取所指定的特定帳戶 IUSR_[server name] 與管理伺服器進行通訊。
然後,與管理伺服器的所有互動都將繼承指派給此帳戶的權限。
使用 Windows 驗證時,電腦認證會用於與管理伺服器進行通訊。可能會出現問題,導致顯示以下訊息:
無法存取伺服器上的主要金鑰,錯誤是金鑰集不存在。
這是由於服務帳戶無法存取管理伺服器上儲存的解密憑證。若要解決此問題,管理中心 服務所使用的任何身分必須被授予存取金鑰存放區的權限。這可以透過使用下列指令列來達到:
aspnet_regiis.exe -pa AppSenseMasterKey <DOMAIN>\<USERNAME>
註冊至管理伺服器的部署代理程式
成功安裝部署代理程式後,部署代理程式服務會向管理伺服器註冊。
可以透過多種方式向管理伺服器註冊部署代理程式:
- 透過管理控制台中的「安裝部署代理程式」選項直接安裝部署代理程式,該控制台會自動向管理伺服器註冊。
- 使用 ClientCommunicationsAgent.msi 檔案手動安裝從管理伺服器網站下載的部署代理程式時,必須提供有效的管理伺服器,以便部署代理程式與管理伺服器進行通訊並向其註冊。
- 從指令列手動安裝部署代理程式,其中包括有效的管理伺服器 URL 以及自行向其註冊的特定部署群組 (選擇性)。
只有在首頁 > 部署群組 > [部署群組] > 設定 > 一般索引標籤 > 部署代理程式權限中選取「允許自行註冊」的情況下,部署代理程式才能自行註冊。
如果在安裝過程中未指定部署群組,或相關群組不允許部署代理程式自行註冊,則管理伺服器會尋找成員資格規則,如果發現相符項目,則電腦會放入群組中。如果未找到相符項目,則電腦會放入全部擷取 (預設) 部署群組中。
部署代理程式向伺服器註冊後,部署代理程式服務會採用原則來安裝軟體,並產生事件,然後輪詢伺服器是否有後續變更和套件更新。
所有可用的代理程式、組態和先決條件套件都儲存在管理伺服器資料庫中,該資料庫中已填入管理伺服器安裝程序。
受管端點裝置上的部署代理程式從管理伺服器下載為特定部署群組設定的已指派的套件清單。然後將此清單與端點上安裝的套件比較。
如果此份指派的套件清單與端點上安裝的套件不同,則會從管理伺服器下載所需的套件。電腦重新啟動會根據相關部署群組上指定的安裝排程設定進行協調。然後會根據部署群組安裝設定,在電腦關閉或重新啟動時安裝套件。視部署群組設定而定,組態和部署的部署代理程式升級可以在工作階段中安裝,而不需要重新開機。