Freigeben über


Kommunikation zwischen Endpunkten in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

In diesem Artikel wird beschrieben, wie Configuration Manager Standortsysteme und -clients in Ihrem Netzwerk kommunizieren. Sie enthält die folgenden Abschnitte:

Kommunikation zwischen Standortsystemen an einem Standort

Wenn Configuration Manager Standortsysteme oder -komponenten über das Netzwerk mit anderen Standortsystemen oder Komponenten am Standort kommunizieren, verwenden sie eines der folgenden Protokolle, je nachdem, wie Sie den Standort konfigurieren:

  • Server message block (SMB)

  • HTTP

  • HTTPS

Mit Ausnahme der Kommunikation zwischen dem Standortserver und einem Verteilungspunkt kann die Server-zu-Server-Kommunikation an einem Standort jederzeit erfolgen. Diese Kommunikation verwendet keine Mechanismen, um die Netzwerkbandbreite zu steuern. Da Sie die Kommunikation zwischen Standortsystemen nicht steuern können, stellen Sie sicher, dass Sie Standortsystemserver an Standorten installieren, die über schnelle und gut verbundene Netzwerke verfügen.

Standortserver zu Verteilungspunkt

Verwenden Sie die folgenden Strategien, um die Übertragung von Inhalten vom Standortserver an Verteilungspunkte zu verwalten:

  • Konfigurieren Sie den Verteilungspunkt für die Steuerung und Planung der Netzwerkbandbreite. Diese Steuerelemente ähneln den Konfigurationen, die von standortübergreifenden Adressen verwendet werden. Verwenden Sie diese Konfiguration, anstatt einen anderen Configuration Manager Standort zu installieren, wenn die Übertragung von Inhalten an Remotenetzwerkstandorte Ihre Standard Bandbreite ist.

  • Sie können einen Verteilungspunkt als vorab bereitgestellten Verteilungspunkt installieren. Mit einem vorab bereitgestellten Verteilungspunkt können Sie Inhalte verwenden, die manuell auf dem Verteilungspunktserver abgelegt werden, und die Anforderung, Inhaltsdateien über das Netzwerk zu übertragen, entfernt.

Weitere Informationen finden Sie unter Verwalten der Netzwerkbandbreite für die Inhaltsverwaltung.

Kommunikation von Clients zu Standortsystemen und -diensten

Clients initiieren die Kommunikation mit Standortsystemrollen, Active Directory Domain Services und Onlinedienste. Um diese Kommunikation zu ermöglichen, müssen Firewalls den Netzwerkdatenverkehr zwischen Clients und dem Endpunkt ihrer Kommunikation zulassen. Weitere Informationen zu Ports und Protokollen, die von Clients bei der Kommunikation mit diesen Endpunkten verwendet werden, finden Sie unter In Configuration Manager verwendete Ports.

Bevor ein Client mit einer Standortsystemrolle kommunizieren kann, verwendet der Client den Dienstspeicherort, um eine Rolle zu finden, die das Protokoll des Clients (HTTP oder HTTPS) unterstützt. Standardmäßig verwenden Clients die sicherste Methode, die ihnen zur Verfügung steht. Weitere Informationen finden Sie unter Grundlegendes dazu, wie Clients Standortressourcen und -dienste finden.

Konfigurieren Sie eine der folgenden Optionen, um die Kommunikation zwischen Configuration Manager Clients und Standortservern zu schützen:

  • Verwenden Sie eine Public Key-Infrastruktur (PKI), und installieren Sie PKI-Zertifikate auf Clients und Servern. Ermöglichen Sie Standortsystemen die Kommunikation mit Clients über HTTPS. Informationen zur Verwendung von Zertifikaten finden Sie unter PKI-Zertifikatanforderungen.

  • Konfigurieren Sie den Standort so, dass Configuration Manager generierte Zertifikate für HTTP-Standortsysteme verwendet werden. Weitere Informationen finden Sie unter Erweitertes HTTP.

Wenn Sie eine Standortsystemrolle bereitstellen, die Internetinformationsdienste (IIS) verwendet und die Kommunikation von Clients unterstützt, müssen Sie angeben, ob Clients über HTTP oder HTTPS eine Verbindung mit dem Standortsystem herstellen. Wenn Sie HTTP verwenden, müssen Sie auch Die Signatur- und Verschlüsselungsoptionen in Betracht ziehen. Weitere Informationen finden Sie unter Planen der Signierung und Verschlüsselung.

Wichtig

Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.

Client-zu-Verwaltungspunkt-Kommunikation

Es gibt zwei Phasen, in denen ein Client mit einem Verwaltungspunkt kommuniziert: Authentifizierung (Transport) und Autorisierung (Nachricht). Dieser Prozess variiert je nach den folgenden Faktoren:

  • Standortkonfiguration: Nur HTTPS, http oder HTTPS oder HTTP oder HTTPS mit aktiviertem erweitertem HTTP
  • Konfiguration des Verwaltungspunkts: HTTPS oder HTTP
  • Geräteidentität für geräteorientierte Szenarien
  • Benutzeridentität für benutzerorientierte Szenarien

Verwenden Sie die folgende Tabelle, um zu verstehen, wie dieser Prozess funktioniert:

MP-Typ Clientauthentifizierung Clientautorisierung
Geräteidentität
Clientautorisierung
Benutzeridentität
HTTP Anonym
Mit Enhanced HTTP überprüft die Website das Microsoft Entra ID-Benutzer- oder Gerätetoken.
Standortanforderung: Anonym
Clientpaket: Anonym
Registrierung mit einer der folgenden Methoden zum Nachweis der Geräteidentität:
- Anonym (manuelle Genehmigung)
– Windows-integrierte Authentifizierung
Microsoft Entra-ID-Gerätetoken (erweitertes HTTP)
Nach der Registrierung verwendet der Client die Nachrichtensignatur, um die Geräteidentität nachzuweisen.
Verwenden Sie für benutzerorientierte Szenarien eine der folgenden Methoden, um die Benutzeridentität nachzuweisen:
– Windows-integrierte Authentifizierung
– Microsoft Entra-ID-Benutzertoken (erweitertes HTTP)
HTTPS Verwenden Sie eine der folgenden Methoden:
– PKI-Zertifikat
– Windows-integrierte Authentifizierung
– Microsoft Entra ID-Benutzer- oder Gerätetoken
Standortanforderung: Anonym
Clientpaket: Anonym
Registrierung mit einer der folgenden Methoden zum Nachweis der Geräteidentität:
- Anonym (manuelle Genehmigung)
– Windows-integrierte Authentifizierung
– PKI-Zertifikat
– Microsoft Entra ID-Benutzer- oder Gerätetoken
Nach der Registrierung verwendet der Client die Nachrichtensignatur, um die Geräteidentität nachzuweisen.
Verwenden Sie für benutzerorientierte Szenarien eine der folgenden Methoden, um die Benutzeridentität nachzuweisen:
– Windows-integrierte Authentifizierung
– Microsoft Entra ID-Benutzertoken

Tipp

Weitere Informationen zur Konfiguration des Verwaltungspunkts für verschiedene Geräteidentitätstypen und mit dem Cloudverwaltungsgateway finden Sie unter Aktivieren des Verwaltungspunkts für HTTPS.

Kommunikation zwischen Client und Verteilungspunkt

Wenn ein Client mit einem Verteilungspunkt kommuniziert, muss er sich nur vor dem Herunterladen des Inhalts authentifizieren. Verwenden Sie die folgende Tabelle, um zu verstehen, wie dieser Prozess funktioniert:

DP-Typ Clientauthentifizierung
HTTP - Anonym, sofern zulässig
– Windows-integrierte Authentifizierung mit Computerkonto oder Netzwerkzugriffskonto
– Inhaltszugriffstoken (erweitertes HTTP)
HTTPS – PKI-Zertifikat
– Windows-integrierte Authentifizierung mit Computerkonto oder Netzwerkzugriffskonto
– Inhaltszugriffstoken

Überlegungen zur Clientkommunikation über das Internet oder eine nicht vertrauenswürdige Gesamtstruktur

Weitere Informationen finden Sie in den folgenden Artikeln:

Kommunikation zwischen Active Directory-Gesamtstrukturen

Configuration Manager unterstützt Standorte und Hierarchien, die Active Directory-Gesamtstrukturen umfassen. Außerdem werden Domänencomputer unterstützt, die sich nicht in derselben Active Directory-Gesamtstruktur wie der Standortserver befinden, sowie Computer, die sich in Arbeitsgruppen befinden.

Unterstützung von Domänencomputern in einer Gesamtstruktur, die von der Gesamtstruktur Ihres Standortservers nicht als vertrauenswürdig eingestuft wird

  • Installieren von Standortsystemrollen in dieser nicht vertrauenswürdigen Gesamtstruktur mit der Option zum Veröffentlichen von Standortinformationen in dieser Active Directory-Gesamtstruktur

  • Verwalten Sie diese Computer so, als wären sie Arbeitsgruppencomputer.

Wenn Sie Standortsystemserver in einer nicht vertrauenswürdigen Active Directory-Gesamtstruktur installieren, wird die Client-zu-Server-Kommunikation von Clients in dieser Gesamtstruktur innerhalb dieser Gesamtstruktur beibehalten, und Configuration Manager können den Computer mithilfe von Kerberos authentifizieren. Wenn Sie Standortinformationen in der Gesamtstruktur des Clients veröffentlichen, profitieren Clients davon, Standortinformationen, z. B. eine Liste der verfügbaren Verwaltungspunkte, aus ihrer Active Directory-Gesamtstruktur abzurufen, anstatt diese Informationen von ihrem zugewiesenen Verwaltungspunkt herunterzuladen.

Hinweis

Wenn Sie Geräte im Internet verwalten möchten, können Sie internetbasierte Standortsystemrollen in Ihrem Umkreisnetzwerk installieren, wenn sich die Standortsystemserver in einer Active Directory-Gesamtstruktur befinden. Dieses Szenario erfordert keine bidirektionale Vertrauensstellung zwischen dem Umkreisnetzwerk und der Gesamtstruktur des Standortservers.

Unterstützen von Computern in einer Arbeitsgruppe

  • Genehmigen Sie Arbeitsgruppencomputer manuell, wenn sie HTTP-Clientverbindungen mit Standortsystemrollen verwenden. Configuration Manager können diese Computer nicht mithilfe von Kerberos authentifizieren.

  • Konfigurieren Sie Arbeitsgruppenclients für die Verwendung des Netzwerkzugriffskontos, damit diese Computer Inhalte von Verteilungspunkten abrufen können.

  • Stellen Sie einen alternativen Mechanismus für Arbeitsgruppenclients bereit, um Verwaltungspunkte zu finden. Verwenden Sie die DNS-Veröffentlichung, oder weisen Sie direkt einen Verwaltungspunkt zu. Diese Clients können keine Standortinformationen aus Active Directory Domain Services abrufen.

Weitere Informationen finden Sie in den folgenden Artikeln:

Szenarien zur Unterstützung eines Standorts oder einer Hierarchie, die sich über mehrere Domänen und Gesamtstrukturen erstreckt

Szenario 1: Kommunikation zwischen Standorten in einer Hierarchie, die Gesamtstrukturen umfasst

Dieses Szenario erfordert eine bidirektionale Gesamtstrukturvertrauensstellung, die die Kerberos-Authentifizierung unterstützt. Wenn Sie nicht über eine bidirektionale Gesamtstrukturvertrauensstellung verfügen, die die Kerberos-Authentifizierung unterstützt, unterstützt Configuration Manager keinen untergeordneten Standort in der Remotegesamtstruktur.

Configuration Manager unterstützt die Installation eines untergeordneten Standorts in einer Remotegesamtstruktur, die über die erforderliche bidirektionale Vertrauensstellung mit der Gesamtstruktur des übergeordneten Standorts verfügt. Beispielsweise können Sie einen sekundären Standort in einer anderen Gesamtstruktur als dem primären übergeordneten Standort platzieren, solange die erforderliche Vertrauensstellung vorhanden ist.

Hinweis

Ein untergeordneter Standort kann ein primärer Standort (bei dem der Standort der zentralen Verwaltung der übergeordnete Standort ist) oder ein sekundärer Standort sein.

Die standortübergreifende Kommunikation in Configuration Manager verwendet Datenbankreplikation und dateibasierte Übertragungen. Wenn Sie einen Standort installieren, müssen Sie ein Konto angeben, mit dem der Standort auf dem angegebenen Server installiert werden soll. Mit diesem Konto wird auch die Kommunikation zwischen Websites eingerichtet und verwaltet. Nachdem der Standort dateibasierte Übertragungen und Datenbankreplikation erfolgreich installiert und initiiert hat, müssen Sie nichts anderes für die Kommunikation mit dem Standort konfigurieren.

Wenn eine bidirektionale Gesamtstrukturvertrauensstellung vorhanden ist, sind Configuration Manager keine zusätzlichen Konfigurationsschritte erforderlich.

Wenn Sie einen neuen untergeordneten Standort installieren, konfiguriert Configuration Manager standardmäßig die folgenden Komponenten:

  • Eine standortübergreifende dateibasierte Replikationsroute an jedem Standort, der das Computerkonto des Standortservers verwendet. Configuration Manager fügt das Computerkonto jedes Computers der Gruppe SMS_SiteToSiteConnection_<sitecode> auf dem Zielcomputer hinzu.

  • Datenbankreplikation zwischen den SQL Server-Instanzen an jedem Standort.

Legen Sie außerdem die folgenden Konfigurationen fest:

  • Intervenierende Firewalls und Netzwerkgeräte müssen die Netzwerkpakete zulassen, die Configuration Manager benötigt.

  • Die Namensauflösung muss zwischen den Gesamtstrukturen funktionieren.

  • Um eine Standort- oder Standortsystemrolle zu installieren, müssen Sie ein Konto angeben, das über lokale Administratorberechtigungen auf dem angegebenen Computer verfügt.

Szenario 2: Kommunikation an einem Standort, der Gesamtstrukturen umfasst

Für dieses Szenario ist keine bidirektionale Gesamtstrukturvertrauensstellung erforderlich.

Primäre Standorte unterstützen die Installation von Standortsystemrollen auf Computern in Remotegesamtstrukturen.

  • Wenn eine Standortsystemrolle Verbindungen aus dem Internet akzeptiert, installieren Sie als bewährte Sicherheitsmethode die Standortsystemrollen an einem Ort, an dem die Gesamtstrukturgrenze Schutz für den Standortserver bietet (z. B. in einem Umkreisnetzwerk).

So installieren Sie eine Standortsystemrolle auf einem Computer in einer nicht vertrauenswürdigen Gesamtstruktur:

  • Geben Sie ein Standortsysteminstallationskonto an, das der Standort zum Installieren der Standortsystemrolle verwendet. (Dieses Konto muss über lokale Administratoranmeldeinformationen verfügen, mit denen eine Verbindung hergestellt werden kann.) Installieren Sie dann Standortsystemrollen auf dem angegebenen Computer.

  • Wählen Sie die Standortsystemoption Standortserver zum Initiieren von Verbindungen mit diesem Standortsystem erforderlich aus. Diese Einstellung erfordert, dass der Standortserver Verbindungen mit dem Standortsystemserver zum Übertragen von Daten herstellt. Diese Konfiguration verhindert, dass der Computer am nicht vertrauenswürdigen Speicherort den Kontakt mit dem Standortserver in Ihrem vertrauenswürdigen Netzwerk initiiert. Diese Verbindungen verwenden das Standortsysteminstallationskonto.

Um eine Standortsystemrolle zu verwenden, die in einer nicht vertrauenswürdigen Gesamtstruktur installiert wurde, müssen Firewalls den Netzwerkdatenverkehr auch dann zulassen, wenn der Standortserver die Datenübertragung initiiert.

Darüber hinaus erfordern die folgenden Standortsystemrollen direkten Zugriff auf die Standortdatenbank. Daher müssen Firewalls den anwendbaren Datenverkehr aus der nicht vertrauenswürdigen Gesamtstruktur an die SQL Server der Website zulassen:

  • Asset Intelligence-Synchronisierungspunkt

  • Endpoint Protection-Punkt

  • Registrierungspunkt

  • Verwaltungspunkt

  • Reporting Service-Punkt

  • Zustandsmigrationspunkt

Weitere Informationen finden Sie unter In Configuration Manager verwendete Ports.

Möglicherweise müssen Sie den Verwaltungspunkt- und Registrierungspunktzugriff auf die Standortdatenbank konfigurieren.

  • Wenn Sie diese Rollen installieren, konfiguriert Configuration Manager standardmäßig das Computerkonto des neuen Standortsystemservers als Verbindungskonto für die Standortsystemrolle. Anschließend wird das Konto der entsprechenden SQL Server Datenbankrolle hinzugefügt.

  • Wenn Sie diese Standortsystemrollen in einer nicht vertrauenswürdigen Domäne installieren, konfigurieren Sie das Verbindungskonto der Standortsystemrolle, damit die Standortsystemrolle Informationen aus der Datenbank abrufen kann.

Wenn Sie ein Domänenbenutzerkonto als Verbindungskonto für diese Standortsystemrollen konfigurieren, stellen Sie sicher, dass das Domänenbenutzerkonto über den entsprechenden Zugriff auf die SQL Server Datenbank an diesem Standort verfügt:

  • Verwaltungspunkt: Verbindungskonto der Verwaltungspunktdatenbank

  • Registrierungspunkt: Verbindungskonto für Den Registrierungspunkt

Berücksichtigen Sie die folgenden zusätzlichen Informationen, wenn Sie Standortsystemrollen in anderen Gesamtstrukturen planen:

  • Wenn Sie die Windows-Firewall ausführen, konfigurieren Sie die entsprechenden Firewallprofile für die Übergabe der Kommunikation zwischen dem Standortdatenbankserver und Computern, die mit Remotestandortsystemrollen installiert sind.

  • Wenn der internetbasierte Verwaltungspunkt der Gesamtstruktur vertraut, die die Benutzerkonten enthält, werden Benutzerrichtlinien unterstützt. Wenn keine Vertrauensstellung vorhanden ist, werden nur Computerrichtlinien unterstützt.

Szenario 3: Kommunikation zwischen Clients und Standortsystemrollen, wenn sich die Clients nicht in derselben Active Directory-Gesamtstruktur wie ihr Standortserver befinden

Configuration Manager unterstützt die folgenden Szenarien für Clients, die sich nicht in derselben Gesamtstruktur wie der Standortserver ihres Standorts befinden:

  • Es gibt eine bidirektionale Gesamtstrukturvertrauensstellung zwischen der Gesamtstruktur des Clients und der Gesamtstruktur des Standortservers.

  • Der Standortsystemrollenserver befindet sich in derselben Gesamtstruktur wie der Client.

  • Der Client befindet sich auf einem Domänencomputer, der keine bidirektionale Gesamtstrukturvertrauensstellung mit dem Standortserver aufweist, und Standortsystemrollen sind nicht in der Gesamtstruktur des Clients installiert.

  • Der Client befindet sich auf einem Arbeitsgruppencomputer.

Clients auf einem in die Domäne eingebundenen Computer können Active Directory Domain Services als Dienstspeicherort verwenden, wenn ihr Standort in ihrer Active Directory-Gesamtstruktur veröffentlicht wird.

So veröffentlichen Sie Standortinformationen in einer anderen Active Directory-Gesamtstruktur:

  • Geben Sie die Gesamtstruktur an, und aktivieren Sie dann die Veröffentlichung in dieser Gesamtstruktur im Knoten Active Directory-Gesamtstrukturen des Arbeitsbereichs Verwaltung .

  • Konfigurieren Sie jeden Standort so, dass seine Daten in Active Directory Domain Services veröffentlicht werden. Diese Konfiguration ermöglicht Clients in dieser Gesamtstruktur, Standortinformationen abzurufen und Verwaltungspunkte zu finden. Für Clients, die Active Directory Domain Services nicht als Dienststandort verwenden können, können Sie DNS oder den zugewiesenen Verwaltungspunkt des Clients verwenden.

Szenario 4: Platzieren des Exchange Server-Connectors in einer Remotegesamtstruktur

Stellen Sie zur Unterstützung dieses Szenarios sicher, dass die Namensauflösung zwischen den Gesamtstrukturen funktioniert. Konfigurieren Sie beispielsweise DNS-Weiterleitungen. Geben Sie beim Konfigurieren des Exchange Server-Connectors den Intranet-FQDN des Exchange Server an. Weitere Informationen finden Sie unter Verwalten mobiler Geräte mit Configuration Manager und Exchange.

Siehe auch