everythingpossible - stock.adobe

Wer von Azure SSCM profitiert

Der System Center Configuration Manager galt schon als angezählt. Durch die bessere Anbindung an Azure hat Microsoft jedoch ein klares Zeichen gesetzt, dass er uns erhalten bleibt.

Wahrscheinlich haben Sie schon viele Gerüchte darüber gehört, dass Microsoft System Center Configuration Manager alsbald eingestellt wird. Der Gedanke dahinter ist, dass er für die Verwaltung von Rechenzentren On-Premises gedacht ist und der Trend eher zu Cloud-Umgebungen geht.

Vor einigen Jahren hatte diese Befürchtung ihre Berechtigung. In den letzten Jahren hat Microsoft jedoch zahlreiche Cloud-Funktionen zum SCCM (Microsoft System Center Configuration Manager) hinzugefügt. Inzwischen ist SCCM Teil des neuen Endpoint Manager. Damit lassen sich Azure-basierte Dienste als PaaS (Platform as a Service) erweitern oder die gesamte SCCM-Infrastruktur in Azure als IaaS (Infrastructure as a Service) bereitstellen. 

Nicht nur seit der Umstellungen durch COVID-19 steigt die Nachfrage nach flexibleren IT-Lösungen und dieser Weg führt häufig in die Cloud. Einige traditionelle On-Premises-Systeme verschwinden mehr und mehr zugunsten neuer, skalierbarer Cloud-Servicemodelle. Eine vorhandene SCCM-Umgebung in Azure zu erweitern, ist eine ausgezeichnete Möglichkeit, mit einem hybriden Ansatz zu experimentieren.

Vor dem aktuellen Branch Update für SCCM, konnten Sie nur die ganze Infrastruktur in Azure verlagern, wenn Sie beides benutzen wollten. Jetzt lässt sich SCCM durch Azure-Backend-Dienste mit der Cloud verbinden. Unternehmen können sich das Beste herauspicken und ihre On-Premises-Ressourcen mit der Cloud kombinieren oder Teile davon auswechseln. Unternehmen, die ein reines Cloud-Tool verwenden möchten, können Intune in Betracht ziehen, das im Paket mit dem Configuration Manager im Endpoint-Management von Microsoft enthalten ist, das im November 2019 angekündigt wurde.

Es gibt drei Varianten, wie Sie SCCM mit Azure kombinieren können: Sie verschieben Update-Workloads von On-Premises zu Microsoft Update, Sie verwenden Cloud Management Gateway (CMG, Cloudverwaltungsgateway) oder Sie verlagern die SCCM-Infrastruktur nach Azure.

Option 1: Verlagerung der Update-Workloads von On-Premises auf Microsoft Update

Das Verschieben von Software-Update-Binärdateien von internen Servern auf Microsoft Update ist eine beliebte Strategien von Administratoren, um die durch VPN für Home-Office-Bereitstellungen beanspruchte Infrastruktur zu entlasten. Aber auch sonst gibt es keinen guten Grund, warum Mitarbeiter über das Internet für Updates auf die Infrastruktur zugreifen müssen, wenn sie ihre Daten genauso gut auch aus der Cloud beziehen können.

Wenn Sie die folgende Methode befolgen, können Sie über Ihre SCCM-Infrastruktur immer noch bestimmen, welche Software-Updates bereitgestellt werden, während die Benutzer die dafür benötigten Binärdateien direkt von Microsoft Updates beziehen. Findet der Client die Dateien nicht am SCCM-Verteilungspunkt, bezieht er sie aus der Cloud.

Voraussetzung: Split Tunneling für das VPN.

Konfiguration: Um Clients zu zwingen, Microsoft Update zu verwenden gehen Sie folgendermaßen vor:

  • Finden Sie heraus, welche IP-Bereiche Ihre VPN-Clients abdecken.
  • Erstellen Sie in SCCM eine Begrenzungsgruppe für die IP-Bereiche. Die IP-Bereiche können nicht Teil einer anderen Begrenzungsgruppe sein.
  • Erstellen Sie einen Verteilungspunkt, der alles außer Software-Updates enthält.
  • Weisen Sie den Verteilungspunkt der Begrenzungsgruppe zu.
  • Gehen Sie zu den Verteilungseinstellungen jeder Softwareaktualisierungsbereitstellung und zu allen automatischen Verteilungsregeln. Gehen Sie zur Registerkarte Download-Einstellungen und aktivieren Sie das Kontrollkästchen, das dafür sorgt, dass bei Unverfügbarkeit des Verteilungspunktes Aktualisierungen von Microsoft Updates heruntergeladen werden sollen. (Abbildung 1)
Abbildung 1: Um Microsoft Update statt eine Verbindung für den VPN-Client für Aktualisierungen zu verwenden, müssen Sie die Einstellungen in SCCM anpassen.
Abbildung 1: Um Microsoft Update statt eine Verbindung für den VPN-Client für Aktualisierungen zu verwenden, müssen Sie die Einstellungen in SCCM anpassen.

Kosten: Die einzigen Kosten können durch das Einrichten neuer Verteilungspunkte entstehen. Für die Verwendung von Microsoft Update fallen keine zusätzlichen Kosten an.

Unterstützung: Das Verschieben von Softwareupdate-Workloads auf Microsoft Update wird vollständig unterstützt und in diesem Blog von Microsoft dokumentiert.

Nachteile: Es gibt einige Risiken, die mit dieser Vorgehensweise verbunden sind:

  • Falsche oder fehlende Konfiguration von Split-Tunneling im VPN führt zu unbeabsichtigtem Folgen.
  • Überlappende Begrenzungsgruppen können ebenfalls zu unerwarteten Vorfällen führen.
  • Wenn sich die Clients On-Premises befinden, statt im Home-Office und die Daten für Software-Updates nicht an internen Verteilungspunkten gefunden werden, dann ziehen sie diese, wie erläutert, immer noch von Microsoft Update. Sie können das verhindern, indem Sie mehrere Bereitstellungen einrichten. Das erhöht jedoch die Komplexität.

Option 2: Cloudverwaltungsgateway

CMG ist ein Cloud-Service, der die Verwaltung von Internet-Clients vereinfacht, indem Kontakt über Azure-Dienste herstellt, statt direkt über VPNs. CMG ist ein PaaS und erfordert keine Verwaltung von virtuellen Maschinen (VMs) in Azure.

Sie können CMG sowohl für die Verwaltung von ausgehender Datenübertragung als auch als Content Delivery Service aus der Cloud nutzen. Der Dienst verwendet eine Standard A2 v2 VM. Die vollständige Konfiguration des CMG erfolgt über die SCCM-Konsole.

Seit SCCM 1810 enthält die Konsole nicht mehr den Cloud-Verteilungspunkt, er ist jetzt Teil von CMG.

Voraussetzungen:

  • Ein aktives Azure-Abonnement
  • Vorhandener Service-Verbindungspunkt im Online-Modus (kann mit anderen SCCM-Rollen zusammengelegt werden)
  • Zertifikate für die Serverauthentifizierung
  • CMG-Verwaltungspunkte im HTTPS-Modus
  • Clients im IPv4-Modus
  • Integration mit Azure Active Directory (Azure AD)
  • Ein weltweit einmaliger Name

Konfiguration:

  • Voraussetzungen prüfen
  • CGM in der SCCM-Konsole hinzufügen
  • Konfigurieren der primären Site für die Client-Zertifikat-Authentifizierung
  • Einen CMG-Verbindungspunkt hinzufügen
  • Verwaltungspunkt für HTTPS oder erweitertes HTTPS konfigurieren
  • eine Begrenzungsgruppe für externe Clients erstellen
  • CMG der neuen Begrenzungsgruppe zuweisen

Weitere Einzelheiten zum Einrichten von CMG finden Sie in der Dokumentation auf der Webseite von Microsoft.

Kosten: Durch CMG entstehen zusätzliche Kosten, darunter

  • durch neue VMs, abhängig von der Zahl der CMGs;
  • Speicherplatz, wobei die Kosten davon abhängen, wie viele Inhalte Sie verteilen; und
  • Kosten für ausgehenden Datenverkehr aus der Cloud.

Zum Einschätzen der Kosten verwenden Sie den Azure-Preisrechner und diese Seite für das Berechnen von Kosten für für Azure-Bandbreite.

Seit der Veröffentlichung von SCCM 1902 können Sie die Kosten über die SCCM-Konsole beschränken. Um dafür notwendigen Schwellenwerte zu konfigurieren, müssen Sie Warnungen für ausgehenden Verkehr einrichten. Das Anhalten des CMG wird nicht alle Kosten beseitigen; das Entfernen des CMG ist die einzige Möglichkeit, zusätzliche Gebühren zu vermeiden.

Support: CMGs sind einer der Schwerpunkte des Client-Managements mit Microsoft, daher ist zu erwarten, dass die Funktion in Zukunft noch ausgebaut wird.

Nachteile: Zwei eindeutige Nachteile der Nutzung von CMGs sind zusätzliche Kosten und zusätzliche Komplexität bei HTTPS.

Option 3: Verlagern der SCCM-Infrastruktur nach Azure

Bei dieser Variante wird SCCM-Infrastruktur mit dem Server in die Cloud verlegt.

Voraussetzungen: Azure VPN Gateway und Azure ExpressRoute.

Konfiguration: Bei der Einrichtung von SCCM in Azure folgen Sie in der Cloud der gleichen Konfiguration wie bei einer lokalen Umgebung.

Kosten: Die Kosten sind je nach Lizenzvertrag sehr unterschiedlich.

Zum Verlagern aller Server in Azure verwenden Sie am besten ExpressRoute. Sie sollten daher zuvor auf der Microsoft ExpressRoute-Preisseite nachschlagen, um zu sehen, welcher Plan für Sie am besten geeignet ist. Sobald Sie bestimmt haben, welche Server nach Azure umziehen sollen, können Sie den Azure-Preisrechner verwenden, um die Kosten zu ermitteln.

Support: Microsoft unterstützt vollständig mehrere SCCM in Azure-Konfigurationen, wie zum Beispiel B. Configuration Manager auf einer Azure-VM oder die Verwendung einer Azure-VM zur Ausführung verschiedener Configuration Manager-Standortsystemrollen mit anderen Rollen, die im Rechenzentrum ausgeführt werden.

Nachteile: Wenn Sie alle SCCM-Server in Microsoft Azure verlagern, benötigen Sie einen unbegrenzten Datenplan und eine zuverlässige Verbindung zwischen dem Rechenzentrum On-Premises und Microsoft Azure.

Was wird in welchem Szenario unterstützt?

In der folgenden Tabelle können Sie ablesen, welche Funktionen in den drei geschilderten Varianten verfügbar sind.

Tabelle: Die Funktionen von Microsoft Update, Cloud Management Gateway und SCCM in Azure
Tabelle: Die Funktionen von Microsoft Update, Cloud Management Gateway und SCCM in Azure

Wie kann ich überwachen, woher meine Inhalte stammen?

Um herauszufinden, woher Inhalte stammen, gibt es zwei Methoden. Zum einen das Überprüfen der Dashboards für Cloud Management und für Client-Datenquellen in SCCM der das Überprüfen der Protokolldateien auf dem Client.

Abbildung 2: Das Dashboard für Client-Datenquellen zeigt an, woher Clients Software-Updates beziehen.
Abbildung 2: Das Dashboard für Client-Datenquellen zeigt an, woher Clients Software-Updates beziehen.

Erfahren Sie mehr über Cloud Computing

ComputerWeekly.de

Close