Управление мобильными устройствами на базе Windows Mobile 6.16.5 и Symbian Belle

Вам понадобится: рабочая инфраструктура PKI, рабочая инфраструктура SCCM, мобильные устройства 😉

  1. Настройка PKI.

Заходим в консоль Certification Authority, правой кнопкой мыши (далее “ПКМ”) шелкаем на папку Certificate Templates и выбираем Manage. Нам необходимо создать 3 шаблона, для служб IIS, для точек распространения контента (далее DP) и рабочих станций и для мобильных устройств.
Для этого копируем уже имеющиеся шаблоны (ПКМ, пункт Duplicate Template) для IIS - “Web Server”, для DP - “Workstation Authentication”, для мобильных устройств - ”Authenticated Session”. При копирования необходимо выбрать вариант “Windows Server 2003 Enterprise” (если Ваш PKI на Windows Server 2012 это можно сделать в настройках после копирования) задать имя нового шаблона и произвести следующие настройки.
Web Server: убедиться что в закладке “Subject Name” стоит галочка “Supply in the request”, в закладке “Security” необходимо добавить сервер который должен получать данные сертификаты и дать им разрешение “Enroll” (“Read” не убирать).
Workstation Authentication: в закладке “Request Handling” поставить галочку “Allow private key to be exported”,  в закладке “Security” необходимо добавить сервер который должен получать данные сертификаты и дать им разрешение “Enroll” (“Read” не убирать).
Authenticated Session: в закладке “Subject Name” выбрать галочку “Build from this Active Directory Information” выбрать “Common Name” в выпадающем меню и _убрать_ галочку с пункта User Principal Name (UPN), в закладке “Security” необходимо добавить пользователей или группу которые должны получать данные сертификаты и дать им разрешение “Enroll” (“Read” не убирать).
После того как все три шаблона созданны необходимо опубликовать их. Заходим в консоль Certification Authority, шелкаем на папку Certificate Templates (ПКМ) и выбираем “New” > “Certificate Template to Issue”.

  1. Запросить сертификат для роли IIS сервера который будут управлять мобильными устройствами и установить его.

Для этого необходимо открыть mmc, добавить оснастку сертификаты локального компьютера и запросить новый сертификат (в папке “Personal”). Выбрать созданный Вами шаблон для IIS и щелкнуть на ““More information is required to enroll for this certificate. Click here to configure settings”. В появившемся окне убедитесь что поле Subject Name пустое, в поле “Alternative Name” выберите значени DNS и добавьте FQDN значение имени ващего IIS сервера, после чего нажмите OK (для удобства перед этим можно задать отображаемое имя сертификата в закладке “General”). Далее пройдите весь мастер получения сертификата до конца. Чтобы установить данный сертификат необходимо зайти в оснастку IIS, выбрать “Default Web Site” и выбрать пункт “Edit Bindings”. В открывшемся окне выберите пункт “https” выберите только что созданный сертификат и нажмите OK.

  1. Запросить сертификат для DP и установить его.

Запрос сертификата аналогичен случаю с IIS, но в данном случае не нужно производить никаких дополнительных настроек. Процесс установки сертификата отличен. Его необходимо экспортировать и задать пароль при экспорте. Установка сертификата производится через консоль SCCM, об этом чуть позже.

  1. Настройка ролей SCCM.

Для того чтобы Configuration Manager отвечал на запросы “извне” его необходимо сконфигурировать соответствующим образом. Открываем консоль, выбираем раздел “Administration” пункт “Servers and site system roles” в папке “Site Configuration”. Для роли “Site System” необходимо задать FQDN по которому Configuration Manager будет доступен клиентам (галочка “Specify an FQDN for this site system for use on the Internet”). Далее необходимо задать для ролей DP и MP (Management Point) протокол HTTPS для работы с клиентами, выбрать пункт “Allow intranet and Internet connections”,  для роли DP необходимо импортировать ранее экспортированный сертификат и указать для него пароль, а для роли MP разрешить мобильным устройствам использовать данную точку управления клиентами (пункт ”Allow mobile devices and Mac computers to use this management point”)

  1. Установка ролей Enrollment Point, Enrollment Proxy Point.

По сути далее-далее-далее (Открываем консоль, выбираем раздел “Administration” пункт “Servers and site system roles” в папке “Site Configuration”. Выбираем нужный Вас сервер, ПКМ, “Add Site System Roles”), при установке ролей убедитесь что FQDN указан правильно, должен быть выбран протокол HTTPS.

На данном этапе настройка практически завершена 😉 Для проверки работы Enrollment Point можно зайти по ссылке вида https://FQDN/EnrollmentServer.

  1. Настройка политики для мобильных устройств

Открываем консоль, выбираем раздел “Administration” пункт “Client Settings”. Далее или создаем политику (предпочтительно) или редактируем политику по умолчанию. Для этого в окне политики выбираем пункт “Enrollment”, в выпадающем меню разрешаем управление мобильными устройствами. После чего настраиваем профиль (Set Profile). Нажимаем “Create” в открывшемся окне, в новом окне необходимо выбрать код сайта к которому будут привязанны мобильные устройста использующие данную политику, центр сертификации и ранее созданный шаблон сертификата для мобильных устройств.

  1. Подключение мобильного устройства и управление им.

Для этого с мобильного устройства заходим по ссылке https://FQDN/EnrollmentServer, скачиваем дистрибутив клиента и ставим его, после этого проходим процедуру “Enroll”.

Все, ваше мобильное устройство находится под управлением SCCM.

Troubleshooting:

Логи установки ролей Enrollment Point и Enrollment Proxy Point: C:\Program Files\Microsoft\ Configuration Manager\Logs файлы enrollsrvMSI.log и enrollwebMSI.log

Логи ролей Enrollment Point и Enrollment Proxy Point: C:\Program Files\SMS_CCM\Enrollment\PointLogs и C:\Program Files\SMS_CCM\Enrollment\ProxyPointLogs. Я почему-то долго не мог их найти ;).

Если Ваше устройство может связаться с MP, а далее выдает ошибку “Unable to enroll your device” дело _скорее_всего_ в вашей PKI инфраструктуре, на сервере PKI запустите PKIview.msc.

Бывает что в логах Enrollment Point иили Enrollment Proxy Point появляются ошибки наподобие “cannot establish trust relationship for the SSL\TLS secure channel” дело в сертификатах, пересоздайте сертификат для IIS, после чего перегрузите сервер (перезапустите IIS, как альтернатива) и переставьте роли Enrollment Point\Enrollment Proxy Point.

Еще одна причина возникновения проблем - отсутствие сетевого доступа. Если устройство не удается успешно enroll’ить попробуйте выключить фаервол на сервере SCCM и обеспечить устройству беспрепятственный доступ к данному серверу.

Written on July 5, 2013