标题:Windows Autopilot 网络要求 出处:gOxiA=苏繁=SuFan Blog 时间:Fri, 27 Dec 2019 15:42:25 +0000 作者:gOxiA 地址:https://goxia.maytide.net/read.php/1971.htm 内容: Windows Autopilot 网络要求 在一些网络访问限制性更强的企业环境下,要确保 Windows Autopilot 能够正常的部署,需要为其创建网络访问白名单。由于 Windows Autopilot 依赖相关的 Internet 服务有很多,必须逐个对这些服务进行评估和配置,才能确保 Autopilot 正常工作。以下是 gOxiA 整理的主要服务相关信息: Windows Autopilot 部署服务,即 Windows Autopilot Deployment Service,当 Windows 10 设备网络连接就绪后将会连接到该服务。https://ztd.dds.microsoft.com https://cs.dds.microsoft.comWindows 激活:https://go.microsoft.com/ http://go.microsoft.com/ https://login.live.com https://activation.sls.microsoft.com/ http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl https://validation.sls.microsoft.com/ https://activation-v2.sls.microsoft.com/ https://validation-v2.sls.microsoft.com/ https://displaycatalog.mp.microsoft.com/ https://licensing.mp.microsoft.com/ https://purchase.mp.microsoft.com/ https://displaycatalog.md.mp.microsoft.com/ https://licensing.md.mp.microsoft.com/ https://purchase.md.mp.microsoft.com/Azure Active Directory,由于涉及到身份验证所以必不可少的包含 AAD,具体可参考 https://docs.microsoft.com/zh-cn/office365/enterprise/office-365-ip-web-serviceIntune,在通过身份验证后,AAD 将在 Intune MDM 服务中出发设备注册,所以还要解决 Intune 的网络需求,具体可参考 https://docs.microsoft.com/zh-cn/intune/fundamentals/intune-endpoints在 Autopilot 配置过程中,Windows 可以获取最新的更新补丁,为此建议确保 Windows Update 访问可用,但它不是必须的,因为在 Windows 更新无法访问时,Autopilot 仍将继续。http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com https://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com在 Autopilot 部署过程中,会触发 Windows 更新, Store 应用和更新,Office更新和 Intune Win32 应用数据的下载,此过程将联系传递优化服务以启用对等共享内容,以便只有少数设备需要从 Internet 下载数据。如果传递优化服务不可访问,Autopilot 将继续从云中进行优化传递下载。除HTTP/HTTPS端口外,建议允许 TCP/IP 的 7680 和 3544 端口入站流量。*.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com 时间同步也是 Autopilot 成功部署的关键因素之一,当 Windows 设备启动时,将会与网络时间服务器同步,以确保设备时间准确。为此,我们需要确保 time.windows.com 的 UDP 端口 123 能够访问。域名服务(DNS)就不必过多介绍了,省略……如果您在通过 Windows Analytics 收集部署信息,需确保 诊断数据 有效。具体可参考 https://docs.microsoft.com/zh-cn/windows/privacy/configure-windows-diagnostic-data-in-your-organization#manage-enterprise-diagnostic-data-levelWindows 必须能够判断出设备可以访问 Internet,请确保能够通过 HTTP 访问 www.msftconnecttest.com,即 网络连接状态指示器(NCSI)Windows 推送通知服务(WNS),如果无法访问该服务,将不能接收来自应用和服务的通知,该服务不会阻止 Autopilot 部署,若要允许访问请配置通过 HTTPS 访问 *.wns.windows.com。如果要部署 Store 应用,需确保能够访问如下 URLlogin.live.com login.windows.net account.live.com clientconfig.passport.net windowsphone.com * .wns.windows.com * .microsoft.com * .s-microsoft.com www.msftncsi.com(Windows 10版本1607之前) www.msftconnecttest.com/connecttest.txt( 从Windows 10版本1607开始替换www.msftncsi.com)如果您需要部署 Office 365 ,请参考 Office 365 URL 和 IP 地址范围由于一些服务还需要检查证书吊销列表来确定服务中使用的证书,所以还需要参考 Office 365 URL 和 IP 地址范围,以及Office 365 证书链 继续访问配置。如果在应用 Autopilot Self-Deploying Mode 或 Autopilot White Glove,还需确保能够访问如下 URL,这是因为带有 TPM 的设备在首次使用时需要从制造商哪里检索证书。Intel- https://ekop.intel.com/ekcertservice Qualcomm- https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1 AMD- https://ftpm.amd.com/pki/aia Infineon- https://pki.infineon.com 参考文档:https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/windows-autopilot-requirements#networking-requirements Generated by Bo-blog 2.1.1 Release