SCCM 2012 SP1でワークグループ端末をHTTPS接続で管理する必要があり、いくつかハマりどころがありましたので共有しておきます。
一般的な手順
一般的な手順は以下のあたりで公開されています。ありがたいです。
- [SCCM2012のインストール ~ https編 « Always on the clock](http://sophiakunii.wordpress.com/2013/01/31/sccm2012%E3%81%AE%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB-%EF%BD%9E-https%E7%B7%A8/)
- [How to install a ConfigMgr Client on a WORKGROUP computer, when the ConfigMgr Site is in Native Mode. | Nothing but ConfigMgr](http://www.petervanderwoude.nl/post/how-to-install-a-configmgr-client-on-a-workgroup-computer-when-the-configmgr-site-is-in-native-mode/)
ポイントはクライアント証明書を配布、構成する必要があるという点ですね。ドメイン環境なら色々自動的にばらまく方法がありますが、ワークグループ環境だと中々厳しいですね・・・。
CRLの取得
話はこれで終わらずこの状況でドメイン参加しているクライアントはHTTPS通信できるようになりましたが、ワークグループ環境の端末はHTTPSで通信できないという状況になってしまいました。クライアントのログをよくみてみると「WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED」というようなエラーが出ており、それを元に検索すると証明書のCLRをとりにいって失敗しているということがわかりました。
手順通りに構成するとCRLはldap://から始まるアドレスで構成されており、ドメインに参加していないとこれが取得できないのかな?と推測されました。そこで「CRLを無効化すればいいんだろう」とおもって、すぐに思い浮かんだのはIEの設定です。
上記の「サーバーの証明書失効を確認する」のチェックボックスを外して試してみたところ…状況変わらず。CRLの線は外れだったのだろうと思い込んでまた別のことを色々調べ始めてしまいました。ですが、CRLを無効化すればとりあえず動くというのは当たりでした。実はSCCMではMP側にCRLをチェックする、しないの設定があったのでした。
以下のページを参考に、MPにてCRLのチェックを無効化し、クライアントを入れなおす(上書きインストール)することでこの問題はクリアすることができました。
- [RegTask: Failed to send registration request message. Error: 0x87d00231](http://social.technet.microsoft.com/Forums/en-US/configmanagerdeployment/thread/907fe750-3282-4f9e-b75a-f6e29696c30c/)
SMSSLPパラメータの付与
上記の対応を行った上で、さらに、ワークグループクライアントに関してはコマンドラインのインストールパラメータでSMSSLPオプションを指定してあげないときちんとMPと通信出来ませんでした。ログ上ではAD上から管理ポイントを発見できないと出ていました。SMSSLPパラメータを付与することで解決しました。