Configuration Manager においての拡張 HTTP 構成についての考察

皆さん、こんばんは。

今回は、Microsoft Endpoint Configuration Manager (MECM, SCCM, Configuration Manager) の拡張 HTTP (Enhanced HTTP) について取り上げようと思います。

というのも、以前の記事で案内したように、2022 年 11 月 1 日以降にリリースされる Microsoft Endpoint Configuration Manager のバージョンより、既存の HTTP 通信方式がサポートされなくなるため、移行記事を書こうと思ったためです。

<拡張 HTTP への設定変更方法>

HTTP 構成から拡張 HTTP への変更はとても簡単に行えます。

  1. Configuration Manager コンソールを開き、[管理] > [概要] > [サイトの構成] > [サイト] を開きます。
  2. サイトを選択し、右クリックから [プロパティ] を開きます。
  3. サイトのプロパティをが開きますので、[通信セキュリティ] を選択します。
  4. [HTTP サイト システムには Configuration Manager によって生成された証明書を使用する] にチェックを入れて、[適用] を選択し、画面を閉じます。

<考察ポイント : IIS のバインド設定>

[前提条件]

Microsoft Endpoint Configuration Manager CB 2207 環境

上記の手順を実施すると、IIS のバインドの設定が変更されます。ただし、私の検証環境では、プライマリ サイト サーバー上の IIS バインドの設定は HTTP 構成の時から既に、構成済みの状態でした。

しかしながら、プライマリ サイト サーバー配下の管理ポイントについては、HTTP 構成時は、IIS のバインドは http のみとなっており、Configuration Manager コンソールから拡張 HTTP を構成した後に、https のバインドの設定が自動的に設定されました。

このような動作となりました。

<考察ポイント : DNS (_mssms_mp_<サイト コード>) について>

[前提条件]

Microsoft Endpoint Configuration Manager CB 2207 環境

通常の、Microsoft Endpoint Configuration Manager 環境下なら意識する必要は無い、DNS 設定 (_mssms_mp_<サイト コード>) ですが、例えば、Active Directory スキーマ拡張や Active Directory への発行が出来ない環境下の場合、DNS レコード (_mssms_mp_<サイト コード>) を手動で作成する必要があります。ただし、この際、管理ポイントへの通信時のポートを設定する必要があります。この DNS レコードが拡張 HTTP にした時に自動的に 80 から 443 に変わるか確認しましたが、私の検証環境では、80 のままでした。

<考察ポイント : クライアント <> サーバー間通信の際のポート>

あくまで、私の検証環境で確認した結果、拡張 HTTP の構成においても、HTTP 構成時と同じ、80 番ポートを使用してクライアントとサーバー間の通信がされていました。

これは時間を置けば 443 になるかは不明ですが、確認した限りでは 80 でした。

みんな大好き Wireshark で調査した結果です。

[拡張 HTTP 有効化前の通信]

[拡張 HTTP 有効化後の通信 (443 ポートのみフィルター)]

<まとめ>

拡張 HTTP について改めて検証してみましたが、本当に暗号化して通信しているのかはよく分かりませんでした。これが仕様なのか、何か設定が間違っているのかもう少し調査してみたいと思います。