SCCM 2012でワークグループ端末をHTTPS接続で管理する方法

SCCM 2012 SP1でワークグループ端末をHTTPS接続で管理する必要があり、いくつかハマりどころがありましたので共有しておきます。

一般的な手順

一般的な手順は以下のあたりで公開されています。ありがたいです。

ポイントはクライアント証明書を配布、構成する必要があるという点ですね。ドメイン環境なら色々自動的にばらまく方法がありますが、ワークグループ環境だと中々厳しいですね・・・。

CRLの取得

話はこれで終わらずこの状況でドメイン参加しているクライアントはHTTPS通信できるようになりましたが、ワークグループ環境の端末はHTTPSで通信できないという状況になってしまいました。クライアントのログをよくみてみると「WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED」というようなエラーが出ており、それを元に検索すると証明書のCLRをとりにいって失敗しているということがわかりました。

手順通りに構成するとCRLはldap://から始まるアドレスで構成されており、ドメインに参加していないとこれが取得できないのかな?と推測されました。そこで「CRLを無効化すればいいんだろう」とおもって、すぐに思い浮かんだのはIEの設定です。

image
上記の「サーバーの証明書失効を確認する」のチェックボックスを外して試してみたところ…状況変わらず。CRLの線は外れだったのだろうと思い込んでまた別のことを色々調べ始めてしまいました。ですが、CRLを無効化すればとりあえず動くというのは当たりでした。実はSCCMではMP側にCRLをチェックする、しないの設定があったのでした。

以下のページを参考に、MPにてCRLのチェックを無効化し、クライアントを入れなおす(上書きインストール)することでこの問題はクリアすることができました。

image

SMSSLPパラメータの付与

上記の対応を行った上で、さらに、ワークグループクライアントに関してはコマンドラインのインストールパラメータでSMSSLPオプションを指定してあげないときちんとMPと通信出来ませんでした。ログ上ではAD上から管理ポイントを発見できないと出ていました。SMSSLPパラメータを付与することで解決しました。

Microsoft MVP for Microsoft Azure。「Windowインフラ管理者入門」著者。Windows系中心のインフラよりの何でも屋。エレキベースを演奏します。将棋も少しやります。ハイブリッドクラウド研究会(HCCJP)主催。最近はYouTuberです http://bit.ly/2NTCKmj

コメントを残す

メールアドレスが公開されることはありません。

x
いつもブログをご覧いただきありがとうございます!最近はブログよりもYoutubeに力を入れていますので是非Youtubeもご覧ください!
胡田昌彦のコンピューター系チャンネル