Cloud Management Gateway en basit anlatımıyla Configuration Manager Client’ larımızın internet üzerinden güvenli bir biçimde yönetilmesine olanak sağlayan bir bulut çözümüdür.
MECM’in en temel MP ve DP rollerinin sağladığı hizmetin bulut üzerinden verildiğini düşünebilirsiniz.
Eger ortaminiz 2107 sürümünden daha düsük bir sürümde ise lütfen önce sürüm güncelleme yapiniz.
Güncellemeden sonra Client’larin da ajanlarinin güncellendiginden emin olunuz!
Bu yazı Configuration Manager 2107 sürümünde Cloud Management Gateway yapılandırmasının nasıl olduğunu anlatmaktadır.
Bu anlatımda Cloud Management Gateway yapılandırması Azure VM Scate Set kullanılarak Token-based authentication yöntemi ile yapılacaktır.
Başlamadan Önce;
- Azure subscriptions üzerinde Owner yetkisine sahip ve Azure AD üzerinde Global Admin olan bir kullanıcı gerekli.
- İç ve Dış DNS’lerde CNAME kaydı girilmesi gerekecek.
- Bu yazıda Wildcard bir Public Sertifika kullanılacaktır. Siz kullanacağınız isim için alacağınız bir Public sertifikada kullanabilirsiniz. Eğer * sertifikanız yoksa ortamdaki CA üzerinden bir sertifika üretmek gerekecektir.
Sertifikanın nasıl alındığını Bitlocker yazımın ilk kısmında bulunan Sertifika alma adımında görebilirsiniz. - CMG üzerinden desteklenen kullanım senaryoları aşağıdaki sitedeki gibidir. En sık sorulan soru Remote Tool oluyor genelde. Bu özellik MECM 2107 sürümü için henüz desteklenmiyor.
https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/cmg/supported-configurations
CMG kurulumunda 2 seçeneğimiz var; Cloud Service (Classic) ve Virtual Machine Scale Set. Bu yazıda VM Scale Set seçeneği ile kurulum yapacağız. Bu sebepten ilk olarak Features menüsünden Azure VM Scate Set özeliğini aktif hale getiriyoruz.
VM Scale Set kullanmaktaki bir diğer sebep 2107 sürümü ile Cloud Service (Classic) desteğinin kaldırılacağının duyurulmuş olması. Bu yöntem deprecated olan özellikler arasında ve Mart 2022’den sonra çıkacak ilk MECM sürümü ile artık desteklenmeyecek.
VM Scale Set’i bir Load Balancer arkasında çalışan VM’ler gibi düşünebilirsiniz. Bu sayede yedeklik ve yük dengeleme yetenekleri kazanılmış oluyor.
Kaynak: https://docs.microsoft.com/en-us/azure/virtual-machine-scale-sets/overview
CMG için gerekli olan Resource providers register işlemi için Azure portal üzerinden ilk olarak Subscriptions menüsüne, daha sonra kullanmak istediğimiz subscriptions a giriyoruz.
Eğer daha önce oluşturulmuş bir subscriptions yok ise +Add bağlantısı ile oluşturabilirsiniz.
Aşağıdaki Provider’ların Registered durumda olduğuna emin olunuz.
- Microsoft.KeyVault
- Microsoft.Storage
- Microsoft.Network
- Microsoft.Compute
- Microsoft.ClassicCompute
Yukarıdaki işlemleri tamamladıktan sonra MECM konsolundan Cloud Services başlığının altına gelerek Azure Services, sağ tık Configure Azure Services seçimi ile kurulum işlemlerine başlıyoruz.
Bir Application Name yazarak Sign in… butonuna basıyoruz.
Eğer Sign in… dediğinizde aşağıdaki gibi bir hata mesajı alıyorsanız denediğiniz hesap Global Admin yetkisine sahip değildir.
“Failed to Create Client App. Server app might not be present in the tenant specified. For More details you can refer to the AdminUILog.”
Eğer Azure AD ile Local AD’niz arasında bir SYNC işlemi yok ise @kurumadi.com şeklinde ya da @outlook.com şeklinde olan bir hesap ile giriş yapmayı deniyorsanız ve hesaplar Azure AD üzerinden Global Admin değilse bu hatayı alırsınız.
Global Admin yetkisine sahip bir kullanıcıyı aşağıdaki gibi oluşturabilirsiniz. Ya da varsa mevcut kullanıcınıza bu hakkı vererek kullanabilirsiniz.
Yukarıdaki gibi sorunlarınız yoksa direk oturup açarak devam edebilirsiniz.
Ayını işlemi Native Client App için de yaparak devam edebilirsiniz.
Aşağıdaki kutucuklar ortamınıza göre size kalmış şeyler.
Yaptığımız işlemin çıktısını konsolda aşağıdaki gibi görebiliriz.
Azure portal üzerinden App Registrations altında oluşan app’leri’de görebilirsiniz.
Sırada CMG kurulum işlemi var. Aşağıdaki menüden ilerliyoruz.
Yazının başında VM Scale Set özelliğini aktif ettiğimiz için aşağıdan da bu seçenek ile devam ediyoruz. Diğer seçenek bir süre sonra desteklenmeyeceği için bu şekilde ilerlemekte fayda var.
Ben aşağıda * sertifika kullandım. Eğer yıldız sertifikanız yok ise aşağıdaki isimde bir web sertifika üreterek de devam edebilirsiniz.
Local CA’den alınan Root sertifika bu noktada şart değil ama ilerisi için lazım olursa diye ekleyebilirsiniz. Ortamınız HTTPS ise mutlaka CARoot sertifikanızı burada ekleyiniz.
Cloud DP rolünü de kurmak için en alttaki kutucuğu işaretlemeniz yeterli. Bu sayede Azure üzerinde çalışan bir DP sahibi de olmuş olacağız.
VM Instance = Azure üstünde oluşacak VM sayısı. Çoğu senaryo için 1 yeterli olacaktır.
Resource Group = Yeni bir RG oluşturarak bu servisin maliyetini daha kolay takip edebilirsiniz. İstemezseniz mevcut bir RG de kullanabilirsiniz.
VM Size = Oluşacak VM Özellikleri aşağıdaki gibidir.
https://docs.microsoft.com/en-us/azure/virtual-machines/av2-series
Örnek iç DNS CNAME kaydı aşağıdaki gibidir. Aynısını dış DNS üzerine de girmeniz gerekli.
Aşağıdaki ayarlar yine size kalmış, ben devam ediyorum.
Artık gözünüz konsol da ve CloudMgr.log dosyasında. Ready olana kadar bekliyoruz. Bu işlem 20-30 dk arasında sürmektedir.
Her şey yolundaysa eğer artık CMG Connection Point rolünü eklememiz gerekiyor. Ben MECM sunucumun üstüne ekliyorum. Sizlerde böyle yapabilirsiniz.
Kurulumun bittiğini ve her şeyin düzgün çalıştığını aşağıdaki gibi kontrol ediyoruz. Connection Status bölümünün Connected olması biraz zaman alabilir sabırla bekleyin.
Kontrol etmek isterseniz Azure Portal’dan Resource Group’a gelerek nelerin oluştuğunu görebilirsiniz.
Oluşan VM’de aşağıdaki gibi görüntülenebilmektedir.
Sırada Management Point ve Software Update Point rollerinin CMG tarafından kullanılabilmesi için gerekli olan ayarın yapılması var.
Bunun için bu rollerin yüklü olduğu sunucuya gelerek ilgili rol’e sağ tık özellikler menüsünde “Alow Configuration Manager cloud Management gateway traffic” kutucuğunu işaretlemeliyiz.
Ortamınız HTTPS değil ise “enhanced http” özelliğini de aktif edebilirsiniz. Şart değil ama hazır bu işleri yapmışken bu ayarı da yapabilirsiniz.
Sırada CMG yi kullanabilmeleri için Client Settings tarafından gerekli olan ayarın gönderilmesi işlemi var. Tüm yapınızdaki bilgisayarların CMG kullanmasını isterseniz Default Client Settings i kullanabilirsiniz.
Eğer bir gurup bilgisayarın (VPN ile bağlı olanlar olabilir ya da sadece Laptop’lar gibi) CMG kullanmasını isterseniz ayrı bir Client Settings oluşturun ve ilgili Device Collection’a deploy edin.
Yapılması gereken ayar aşağıdaki gibidir.
Artık her şey tamam token-based authentication yönteminin avantajı client tarafı için herhangi bir sertifika vs gereksinimi olmaması.
Tek koşul Client’ların yapı kurulduktan sonra bir kez içerdeki Management Point ile görüşmesi ve Token almaları gerekmektedir. Yani uzakta çalışan kullanıcılarınız varsa ve bunların CMG kullanmalarını istiyorsanız bir şekilde local MP ile görüşmeleri gereklidir.
Client, Machine Policy aldığında ClientIDManagerStartup.log dosyasından durumu takip edebilirsiniz.
Local ağ’da bulunurken sistem çalışıyor mu diye test etmek isterseniz ufak bir registery ayarı ile Client bilgisayarın kendisini internette olarak görmesini sağlayabilirsiniz.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CCM\Security
ClientAlwaysOnInternet
1 = Internet
0 = Local Ağ
Ayarı değiştirdik sonra Ajanın servisini restart etmelisiniz.
Servisi reboot ettikten sonra ClientLocation.log dosyasından durumu takip edebilirsiniz.
Kontrol ve Takip:
Hangi Makinelerin CMG’den hizmet aldığını görmek için consol’u kullanabiliriz.
Ücretlendirme:
CMG ücretlendirmesinde oluşturulan VM ve Cloud DP’den yapılan download trafiği baz alınarak hesaplama yapılıyor. Sizin DP’ye upload trafiğinizden ücret alınmamaktadır.
A2_V2 bir VM aylık yaklaşık 45$
1 TB lık bir Download trafiği aylık yaklaşık = 80$
Yukarıdaki veriler ışığında aylık maliyet = 125$, Yıllık Maliyet = 1.500$ (Özel indirim vb şeyler olmadığı durumda)
Kaynaklar;
https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/cmg/cost
https://azure.microsoft.com/en-us/pricing/calculator/
https://azure.microsoft.com/en-us/pricing/details/bandwidth/
Troubleshooting:
Sorun olduğunda bakılması gereken log’lar aşağıdaki gibidir.
- CMGContentService.log
- SMS_Cloud_ProxyConnector.log
- CMGService.log
- CMGSetup.log
- CloudMgr.log
For troubleshooting deployments, use CloudMgr.log and CMGSetup.log
For troubleshooting service health, use CMGService.log and SMS_Cloud_ProxyConnector.log
For troubleshooting client traffic, use CMGHttpHandler.log, CMGService.log, and SMS_Cloud_ProxyConnector.log
Diyelim CMG kurulumu sırasında bir sorun oldu ve hata aldınız, o zaman silip tekrar oluşturmanız gerekmektedir. Ayrıca Azure üzerinde Resource Gurup altında oluşan tüm objeleri de silmelisiniz. Yoksa tekrar eklemek istediğinizde aynı isimde objeler olduğu için yine hata alacaksınız.
Kaynak: https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/cmg/overview