Planen der Kommunikation in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Planen Sie die Netzwerkkommunikation zwischen verschiedenen Standorten einer Hierarchie, zwischen verschiedenen Standortsystemservern an einem Standort sowie zwischen Clients und Standortsystemservern, bevor Sie System Center 2012 Configuration Manager installieren. Diese Kommunikation kann in einer einzigen Domäne erfolgen oder sich über mehrere Active Directory-Gesamtstrukturen erstrecken. Außerdem müssen Sie möglicherweise die Kommunikation zur Verwaltung von Clients im Internet planen.

Anhand der folgenden Abschnitte dieses Themas können Sie die Kommunikation in Configuration Manager planen.

• Planen der Kommunikation zwischen Standorten in Configuration Manager

  • Dateibasierte Replikation

  • Datenbankreplikation

• Planen der standortinternen Kommunikation in Configuration Manager

• Planen der Clientkommunikation in Configuration Manager

  • Von Clients initiierte Kommunikation

  • Dienstidentifizierung und wie Clients den ihnen zugewiesenen Verwaltungspunkt ermitteln

  • Planen der Clientaktivierung

• Planen der Kommunikation zwischen Gesamtstrukturen im Configuration Manager

• Planen der internetbasierten Clientverwaltung

  • Features, die im Internet nicht unterstützt werden

  • Überlegungen zur Clientkommunikation aus dem Internet oder einer nicht vertrauenswürdigen Gesamtstruktur

  • Planen internetbasierter Clients

  • Voraussetzungen für die internetbasierte Clientverwaltung

• Planen der Netzwerkbandbreite in Configuration Manager

  • Steuern der Auslastung der Netzwerkbandbreite zwischen Standorten

  • Steuern der Auslastung der Netzwerkbandbreite zwischen Standortsystemservern

  • Steuern der Auslastung der Netzwerkbandbreite zwischen Clients und Standortsystemservern

Neuheiten in Configuration Manager

Hinweis
Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager.

Die folgenden Elemente bei der Standortkommunikation sind neu oder wurden seit Configuration Manager 2007 geändert:

• Bei vielen standortübergreifenden Datenübertragungen (z. B. auch bei der Übertragung von Konfigurationen und Einstellungen) wird nun neben der dateibasierten Replikation auch die Datenbankreplikation zur Kommunikation zwischen den Standorten verwendet.

• In Configuration Manager 2007 wurden Standorte mit gemischtem oder mit einheitlichem Modus verwendet, um die Kommunikation der Clients mit den Standortsystemen am Standort zu definieren. Dieses Konzept wurde nun durch Standortsystemrollen ersetzt, mit denen die Clientkommunikation über HTTP oder HTTPS unabhängig unterstützt werden kann.

• In anderen Gesamtstrukturen können von Configuration Manager Computer ermittelt und Standortinformationen veröffentlicht werden, um Clientcomputer in diesen Gesamtstrukturen zu unterstützen.

• Der Serverlocatorpunkt wird nicht mehr verwendet, und die Funktion dieser Standortsystemrolle wurde zum Verwaltungspunkt verschoben.

• Von der internetbasierten Clientverwaltung wird nun Folgendes unterstützt:

  • Benutzerrichtlinien, wenn eine Authentifizierung des Benutzers mithilfe der Windows-Authentifizierung (Kerberos oder NTLM) durch den internetbasierten Verwaltungspunkt möglich ist

  • Einfache Tasksequenzen, beispielsweise Skripts; eine Betriebssystembereitstellung im Internet wird weiterhin nicht unterstützt.

  • Von internetbasierten Clients im Internet wird zunächst versucht, erforderliche Softwareupdates von Microsoft Update herunterzuladen anstatt von einem internetbasierten Verteilungspunkt an ihrem zugewiesenen Standort. Nur wenn dies nicht möglich ist, wird versucht, die erforderlichen Softwareupdates von einem internetbasierten Verteilungspunkt herunterzuladen.

Neuheiten in Configuration Manager SP1

Hinweis
Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager.

Die folgenden Elemente bei der Standortkommunikation sind neu oder wurden für Configuration Manager SP1 geändert:

• Adressen für die dateibasierte Replikation zwischen Standorten werden durch Dateireplikationsrouten ersetzt. Es handelt sich hier lediglich um eine Begriffsänderung für die dateibasierte Replikation, um Konsistenz mit dem Begriff Datenbankreplikation herzustellen. Die Funktionalität bleibt unverändert.

• Konfigurieren von Datenbankreplikationslinks zwischen Standortdatenbanken zum Steuern und Überwachen des Netzwerkverkehrs bei der Datenbankreplikation:

  • Verwenden Sie verteilte Ansichten, um die Replikation ausgewählter Standortdaten von einem primären Standort zum Standort der zentralen Verwaltung zu verhindern. Der Zugriff auf diese Daten in der Datenbank des primären Standorts erfolgt dann direkt vom Standort der zentralen Verwaltung aus.

  • Planen Sie die Übertragung ausgewählter Standortdaten über Datenbankreplikationslinks hinweg.

  • Steuern Sie, wie häufig der Replikationsdatenverkehr für Berichte zusammengefasst wird.

  • Definieren Sie benutzerdefinierte Schwellenwerte, durch die Warnungen zu Replikationsproblemen ausgelöst werden.

• Konfigurieren von Replikationssteuerelementen für die SQL Server-Datenbank an einem Standort:

  • Ändern Sie den Port, der von Configuration Manager für den SQL Server Service Broker verwendet wird.

  • Konfigurieren Sie den Zeitraum, nach dessen Ablauf ein Standort aufgrund eines Replikationsfehlers dazu veranlasst wird, seine Kopie der Standortdatenbank neu zu initialisieren.

  • Konfigurieren Sie eine Standortdatenbank so, dass die von ihr bei der Datenbankreplikation replizierten Daten komprimiert werden. Die Daten werden nur für die Übertragung zwischen Standorten komprimiert, nicht aber für die Speicherung in den Standortdatenbanken der Standorte.

• Wenn auf Configuration Manager SP1-Clients Windows 7, Windows 8, Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird, können Sie die Wake-on-LAN-Standorteinstellungen für Unicastpakete durch die Clienteinstellungen für den Aktivierungsproxy ergänzen. Mit dieser Kombination werden Computer in Subnetzen aktiviert, ohne dass Netzwerkswitches neu konfiguriert werden müssen.

Planen der Kommunikation zwischen Standorten in Configuration Manager

In einer Configuration Manager-Hierarchie erfolgt die Kommunikation eines Standorts mit seinem übergeordneten Standort und seinen direkten untergeordneten Standorten mithilfe von zwei Datenübertragungsmethoden: dateibasierte Replikation und Datenbankreplikation. Für die Kommunikation von sekundären Standorten mit ihren übergeordneten primären Standorten werden beide Übertragungsmethoden verwendet. Außerdem ist auch eine Kommunikation mit anderen sekundären Standorten mithilfe von dateibasierter Replikation möglich, um Inhalt an Remotenetzwerkorte weiterzuleiten.

Dateibasierte Replikation und Datenbankreplikation werden in Configuration Manager zur Übertragung unterschiedlicher Informationsarten zwischen den Standorten verwendet.

Dateibasierte Replikation

Mithilfe der dateibasierten Replikation werden dateibasierte Daten von Configuration Manager zwischen den Standorten in Ihrer Hierarchie übertragen. Zu diesen Daten gehört Inhalt wie Anwendungen und Pakete, die Sie für Verteilungspunkte an untergeordneten Standorten bereitstellen möchten, sowie unverarbeitete Discovery Data Records (DDRs), die zur Verarbeitung an übergeordnete Standorte übertragen werden.

Bei der dateibasierten Kommunikation zwischen Standorten wird das Server Message Block-Protokoll (SMB) über TCP/IP-Port 445 verwendet. Sie können Konfigurationen angeben, in denen die Bandbreiteneinschränkung und der Pulsmodus zur Steuerung der im Netzwerk übertragenen Datenmenge verwendet werden, und Sie können Zeitpläne angeben, um den Zeitpunkt der Datenübertragung im Netzwerk zu steuern.

Ab Configuration Manager SP1 wurde der Begriff „Adresse“ durch „Dateireplikationsroute“ ersetzt, um die sprachliche Konsistenz mit dem Begriff „Datenbankreplikation“ herzustellen. In Versionen vor SP1 wird von Configuration Manager mithilfe einer Adresse eine Verbindung mit der SMS_SITE-Freigabe auf dem Zielstandortserver hergestellt, um dateibasierte Daten zu übertragen. Dateireplikationsrouten und Adressen sind aus funktionaler Sicht identisch, und es werden die gleichen Konfigurationen unterstützt.

Die folgenden Abschnitte wurden aufgrund von Änderungen verfasst, die mit Service Pack 1 eingeführt wurden. Anstelle des Begriffs „Adressen“ wird hier der Begriff „Dateireplikationsrouten“ verwendet. Wenn Sie Configuration Manager ohne Service Pack verwenden, können Sie die Begriffe im Zusammenhang mit Dateireplikationsrouten anhand der nachfolgenden Tabelle durch die entsprechenden Begriffe für Adressen ersetzen.

Ab Configuration Manager mit SP1	Configuration Manager ohne Service Pack
Dateireplikationskonto	Standortadresskonto
Dateireplikationsroute	Adresse
Knoten Dateireplikation in der Configuration Manager-Konsole	Knoten Adressen in der Configuration Manager-Konsole

Dateireplikationsrouten

In Configuration Manager werden dateibasierte Daten über Dateireplikationsrouten zwischen Standorten in einer Hierarchie übertragen. Dateireplikationsrouten wurden in früheren Versionen von Configuration Manager als Adressen bezeichnet. Aus funktionaler Sicht sind Dateireplikationsrouten und Adressen identisch. Die folgende Tabelle enthält Informationen zu Dateireplikationsrouten.

Objekt	Weitere Informationen
Dateireplikationsroute	Von jeder Dateireplikationsroute wird ein Zielstandort identifiziert, an den dateibasierte Daten übertragen werden können. Von jedem Standort wird eine einzelne Dateireplikationsroute zu einem bestimmten Zielstandort unterstützt. Die folgenden Konfigurationen für Dateireplikationsrouten werden von Configuration Manager unterstützt: Dateireplikationskonto: Dieses Konto wird für die Verbindung mit dem Zielstandort sowie zum Schreiben von Daten auf die SMS_SITE-Freigabe dieses Standorts verwendet. Daten, die in diese Freigabe geschrieben werden, werden am Zielstandort verarbeitet. Wenn ein Standort der Hierarchie hinzugefügt wird, wird das Computerkonto des Standortservers am neuen Standort von Configuration Manager als Dateireplikationskonto dieses Standorts zugewiesen. Dieses Konto wird dann der Gruppe SMS_SiteToSiteConnection_<Standortcode> des Zielstandorts hinzugefügt. Bei dieser Gruppe handelt es sich um eine lokale Gruppe auf dem Computer, durch die ein Zugriff auf die SMS_SITE-Freigabe ermöglicht wird. Sie können dieses Konto in ein Windows-Benutzerkonto ändern. Wenn Sie das Konto ändern, achten Sie darauf, das neue Konto der Gruppe SMS_SiteToSiteConnection_<Standortcode> des Zielstandorts hinzuzufügen. Hinweis An sekundären Standorten wird stets das Computerkonto des sekundären Standortservers als Dateireplikationskonto verwendet. Zeitplan: Sie können den Zeitplan für jede Dateireplikationsroute so konfigurieren, dass der Datentyp und der Zeitpunkt der Datenübertragung an den Zielstandort eingeschränkt werden. Begrenzung der Datenübertragungsrate: Sie können eine Begrenzung der Datenübertragungsrate für jede Dateireplikationsroute konfigurieren, um die bei der Datenübertragung an den Zielstandort in Anspruch genommene Netzwerkbandbreite zu steuern: Verwenden Sie den Pulsmodus, um die Größe der Datenblöcke anzugeben, die an den Zielstandort gesendet werden. Sie können auch eine zeitliche Verzögerung zwischen dem Senden der einzelnen Datenblöcke angeben. Wählen Sie diese Option aus, wenn Sie Daten über Netzwerke mit sehr niedriger Bandbreite an den Zielstandort senden müssen. Dies kann beispielsweise der Fall sein, wenn eine Beschränkung vorliegt, dass unabhängig von der Geschwindigkeit der Verknüpfung oder deren Auslastung zu einem bestimmten Zeitpunkt nur alle fünf Sekunden 1 KB Daten gesendet werden dürfen und nicht alle drei Sekunden. Wählen Sie das Optionsfeld Begrenzt auf angegebene maximale Übertragungsraten pro Stunde aus, damit die Datenübertragung an den Zielstandort nur in dem von Ihnen angegebenen Zeitanteil erfolgt. Wenn Sie diese Option auswählen, wird von Configuration Manager nicht die verfügbare Netzwerkbandbreite identifiziert, sondern die zum Senden verfügbare Zeit wird in Blöcke unterteilt. Die Daten werden dann innerhalb eines kurzen Zeitblocks gesendet. In den darauffolgenden Zeitblöcken werden keine Daten gesendet. Wenn die Höchstrate beispielsweise auf 50 % festgelegt ist, werden die Daten von Configuration Manager für eine bestimmte Dauer übertragen, und für eine ebenso lange Dauer werden anschließend keine Daten übertragen. Die tatsächliche Datenmenge bzw. die Größe der Datenblöcke wird nicht verwaltet. Stattdessen wird nur die Dauer der Datenübertragung verwaltet. Achtung Von einem Standort können standardmäßig bis zu 3 gleichzeitige Sendevorgänge zur Datenübertragung an einen Zielstandort verwendet werden. Wenn Sie für eine Dateireplikationsroute die Begrenzung der Datenübertragungsrate aktivieren, ist die Anzahl gleichzeitiger Sendevorgänge an den entsprechenden Standort auf 1 begrenzt. Dies gilt auch dann, wenn für die Option Verfügbare Bandbreite beschränken (%) der Wert 100 % festgelegt ist. Wenn Sie beispielsweise für den Sender die Standardeinstellungen verwenden, wird hierdurch die Übertragungsrate an den Zielstandort auf ein Drittel der Standardkapazität reduziert. Sie können eine Dateireplikationsroute zwischen zwei sekundären Standorten zum Weiterleiten dateibasierten Inhalts zwischen diesen Standorten konfigurieren. Zur Verwaltung einer Dateireplikationsroute erweitern Sie im Arbeitsbereich Verwaltung den Knoten Hierarchiekonfiguration und wählen Dateireplikation aus.
Sender	An jedem Standort ist ein Sender verfügbar. Von diesem Sender wird die Netzwerkverbindung von einem Standort zu einem Zielstandort verwaltet. Der Sender kann auch verwendet werden, um Verbindungen zu mehreren Standorten gleichzeitig herzustellen. Zum Herstellen einer Verbindung mit einem Standort wird vom Sender mithilfe der Dateireplikationsroute zum Standort das Konto identifiziert, über das die Verbindungsherstellung erfolgt. Dieses Konto wird vom Sender auch dazu verwendet, Daten in die SMS_SITE-Freigabe des Zielstandorts zu schreiben. Vom Sender werden Daten standardmäßig mithilfe von gleichzeitigen Sendevorgängen, die in der Regel als Thread bezeichnet werden, in den Zielstandort geschrieben. Von jedem gleichzeitigen Sendevorgang oder Thread kann ein anderes dateibasiertes Objekt an den Zielstandort übertragen werden. Nachdem der Sendevorgang für ein Objekt gestartet wurde, werden vom Sender standardmäßig so lange Datenblöcke für dieses Objekt geschrieben, bis die Übertragung des gesamten Objekts abgeschlossen ist. Anschließend kann der Sendevorgang oder Thread für ein weiteres Objekt gestartet werden. Sie können die folgenden Einstellungen für einen Sender konfigurieren: Maximale Anzahl gleichzeitiger Sendevorgänge: Standardmäßig ist jeder Standort für fünf gleichzeitige Sendevorgänge konfiguriert, wobei drei dieser Sendevorgänge zur Datenübertragung an einen beliebigen Zielstandort verfügbar sind. Wenn Sie diese Anzahl erhöhen, nimmt der Datendurchsatz zwischen Standorten zu, da von Configuration Manager mehr Dateien gleichzeitig übertragen werden können. Die Erhöhung dieser Anzahl bedeutet auch höhere Anforderungen an die Netzwerkbandbreite zwischen Standorten. Wiederholungseinstellungen: Standardmäßig wird die Herstellung einer problematischen Verbindung zweimal im Abstand von einer Minute an jedem Standort versucht. Sie können sowohl die Anzahl der Verbindungsversuche als auch deren Abstand ändern. Zur Verwaltung des Senders eines Standorts erweitern Sie im Arbeitsbereich Verwaltung den Knoten Standortkonfiguration. Erweitern Sie dann den Knoten Standorte, und klicken Sie auf die Eigenschaften des zu verwaltenden Standorts. Klicken Sie auf die Registerkarte Sender, um die Senderkonfiguration zu ändern.

Datenbankreplikation

SQL Server wird von der Configuration Manager-Datenbankreplikation dazu verwendet, Daten zu übertragen und an Standortdatenbanken ausgeführte Änderungen mit den Informationen in den Datenbanken anderer Standorte in der Hierarchie zusammenzuführen. So können an allen Standorten die gleichen Informationen gemeinsam verwendet werden. Die Datenbankreplikation wird automatisch an allen Configuration Manager-Standorten konfiguriert. Wenn Sie einen Standort in einer Hierarchie installieren, wird automatisch eine Datenbankreplikation zwischen dem neuen Standort und dem vorgesehenen übergeordneten Standort konfiguriert. Nach Abschluss der Standortinstallation wird die Datenbankreplikation automatisch gestartet.

Wenn Sie einen neuen Standort in einer Hierarchie installieren, wird von Configuration Manager eine generische Datenbank am neuen Standort erstellt. Anschließend wird ein Snapshot der relevanten Daten in der Datenbank des übergeordneten Standorts erstellt und mithilfe dateibasierter Replikation an den neuen Standort übertragen. Mithilfe von BCP, eines Massenkopierprogramms für SQL Server, werden die Informationen dann in die lokale Kopie der Configuration Manager-Datenbank am neuen Standort geladen. Nach dem Laden des Snapshots wird an jedem Standort eine Datenbankreplikation mit dem anderen Standort ausgeführt.

Daten werden von Configuration Manager mithilfe eines Datenbankreplikationsdienstes zwischen Standorten repliziert. Hierbei kommen die Änderungsnachverfolgung von SQL Server, mit der die lokale Standortdatenbank auf Änderungen hin überwacht wird, und ein SQL Server Service Broker, mit dem alle Änderungen auf andere Standorte repliziert werden, zum Einsatz. Für diesen Prozess wird standardmäßig TCP/IP-Port 4022 verwendet.

Daten, die mithilfe der Datenbankreplikation repliziert werden, werden von Configuration Manager in verschiedene Replikationsgruppen unterteilt. Für jede Replikationsgruppe gibt es einen separaten, festen Replikationszeitplan, aus dem hervorgeht, wie häufig Änderungen an den Daten in der Gruppe an andere Standorte repliziert werden. Beispielsweise wird eine Konfigurationsänderung an der rollenbasierten Verwaltung rasch auf andere Standorte repliziert, um zu gewährleisten, dass diese Änderung so schnell wie möglich erzwungen wird. Bei Konfigurationsänderungen mit niedrigerer Priorität, beispielsweise Anforderungen zur Installation eines neuen sekundären Standorts, werden nachrangiger repliziert, und es kann einige Minuten dauern, bis eine solche Anforderung am primären Zielstandort angekommen ist.

Hinweis

Die Configuration Manager-Datenbankreplikation wird automatisch konfiguriert. Konfigurationen von Replikationsgruppen oder Replikationszeitplänen werden von ihr nicht unterstützt. Ab Configuration Manager SP1 können Sie jedoch Datenbankreplikationslinks konfigurieren, um den Zeitpunkt des Datenverkehrs im Netzwerk gezielt zu steuern. Sie können auch festlegen, wann von Configuration Manager Warnungen zu Replikationslinks mit dem Status Heruntergestuft oder Fehler ausgelöst werden.

Mithilfe von Datenbankreplikation replizierte Daten werden von Configuration Manager entweder als globale Daten oder als Standortdaten klassifiziert. Im Rahmen der Datenbankreplikation werden Änderungen an globalen Daten und Standortdaten über den Datenbankreplikationslink übertragen. Globale Daten können sowohl an einen übergeordneten als auch an einen untergeordneten Standort repliziert werden. Standortdaten werden nur an einen übergeordneten Standort repliziert. Die sogenannten lokalen Daten als dritter Datentyp werden nicht auf andere Standorte repliziert. Lokale Daten enthalten Informationen, die für andere Standorte nicht erforderlich sind:

• Globale Daten: Als globale Daten werden Objekte bezeichnet, die von Administratoren erstellt wurden und die an alle Standorte innerhalb der Hierarchie repliziert werden, wobei sekundäre Standorte nur eine Untergruppe globaler Daten wie beispielsweise globale Proxydaten erhalten. Zu den globalen Daten werden beispielsweise Softwarebereitstellungen, Softwareupdates, Sammlungsdefinitionen und rollenbasierte Verwaltungssicherheitsbereiche gezählt. Administratoren können globale Daten an Standorten der zentralen Verwaltung und an primären Standorten erstellen.

• Standortdaten: Als Standortdaten werden Betriebsinformationen bezeichnet, die von primären Configuration Manager-Standorten und den Clients, die primären Standorten unterstellt sind, erstellt werden. Standortdaten werden am Standort der zentralen Verwaltung repliziert, jedoch nicht an anderen Standorten. Zu den Standortdaten werden beispielsweise Hardwareinventurdaten, Statusmeldungen, Warnungen und die Ergebnisse von abfragebasierten Sammlungen gezählt. Standortdaten können nur am Standort der zentralen Verwaltung und an dem primären Standort, von dem sie stammen, angezeigt werden. Standardortdaten können nur an dem primären Standort geändert werden, an dem sie erstellt wurden.

  Alle Standortdaten werden am Standort der zentralen Verwaltung repliziert. Aus diesem Grund können die Verwaltung und Berichterstattung für die gesamte Hierarchie vom Standort der zentralen Verwaltung ausgeführt werden.

Verwenden Sie die Informationen in den nachfolgenden Abschnitten, um den Einsatz der ab Configuration Manager SP1 verfügbaren Steuerelemente zum Konfigurieren von Datenbankreplikationslinks zwischen Standorten zu planen und entsprechende Steuerelemente in jeder Standortdatenbank zu konfigurieren. Mit diesen Steuerelementen können Sie den durch die Datenbankreplikation verursachten Netzwerkverkehr steuern und überwachen.

Datenbankreplikationslinks

Wenn Sie in einer Hierarchie einen neuen Standort installieren, wird von Configuration Manager ein Datenbankreplikationslink zwischen den beiden Standorten erstellt. Der neue Standort und der übergeordnete Standort werden durch einen einzelnen neu erstellten Link miteinander verbunden.

Ab Configuration Manager SP1 werden von jedem Datenbankreplikationslink Konfigurationen unterstützt, mit denen die Datenübertragung über den Replikationslink gesteuert werden kann. Von jedem Replikationslink werden separate Konfigurationen unterstützt. Die Steuerelemente für Datenbankreplikationslinks umfassen Folgendes:

• Verwenden Sie verteilte Ansichten, um die Replikation ausgewählter Standortdaten von einem primären Standort zum Standort der zentralen Verwaltung zu beenden und es Letzterem zu ermöglichen, direkt auf diese Daten in der Datenbank des primären Standorts zuzugreifen.

• Legen Sie in einem Zeitplan fest, wann ausgewählte Standortdaten von einem untergeordneten primären Standort zum Standort der zentralen Verwaltung übertragen werden.

• Legen Sie fest, wann sich ein Datenbankreplikationslink im Status Heruntergestuft oder Fehler befindet.

• Geben Sie an, wann Warnungen zu einem fehlgeschlagenen Replikationslink ausgelöst werden sollen.

• Geben Sie an, wie häufig Daten zum Replikationsverkehr, der über den Replikationslink abgewickelt wird, von Configuration Manager zusammengefasst werden. Diese Daten werden in Berichten verwendet.

Zum Konfigurieren eines Datenbankreplikationslinks müssen Sie die Eigenschaften des Links in der Configuration Manager-Konsole im Knoten Datenbankreplikation bearbeiten. Dieser Knoten befindet sich im Arbeitsbereich Überwachung. Ab Configuration Manager SP1 befindet er sich außerdem im Knoten Hierarchiekonfiguration des Arbeitsbereichs Verwaltung. Sie können einen Replikationslink entweder am übergeordneten Standort oder am untergeordneten Standort des Replikationslinks bearbeiten.

Tipp

Sie können Datenbankreplikationslinks über den Knoten Datenbankreplikation in beiden Arbeitsbereichen bearbeiten. Wenn Sie aber den Knoten Datenbankreplikation im Arbeitsbereich Überwachung verwenden, können Sie auch den Status der Datenbankreplikation für Replikationslinks anzeigen. Außerdem haben Sie Zugriff auf die Replikationslinkanalyse, mit der Sie Probleme bei der Datenbankreplikation untersuchen können.

Informationen zum Konfigurieren von Replikationslinks finden Sie unter Steuerelemente für die Replikation von Standortdatenbanken. Weitere Informationen zur Überwachung der Replikation finden Sie im Abschnitt Überwachen der Datenbankreplikationslinks und Replikationsstatus des Themas Überwachen von Configuration Manager-Standorten und -Hierarchien.

Verwenden Sie die Informationen in den folgenden Abschnitten, um Datenbankreplikationslinks zu planen.

Planen der Verwendung geteilter Ansichten

Für System Center 2012 Configuration Manager SP1 und höher: 

Bei Verwendung verteilter Ansichten ist es möglich, am Standort der zentralen Verwaltung einen direkten Zugriff auf ausgewählte Standortdaten in der Datenbank eines untergeordneten primären Standorts anzufordern. Da ein direkter Zugriff gewährt wird, ist es nicht mehr erforderlich, diese Standortdaten vom primären Standort an den Standort der zentralen Verwaltung zu replizieren. Sie können verteilte Ansichten nur auf den von Ihnen ausgewählten Replikationslinks aktivieren, da Replikationslinks voneinander unabhängig sind. Verteilte Ansichten zwischen einem primären und einem sekundären Standort werden nicht unterstützt.

Aus verteilten Ansichten ergeben sich die folgenden Vorteile:

• Verringerung der CPU-Last bei der Verarbeitung von Datenbankänderungen am Standort der zentralen Verwaltung und an primären Standorten

• Verringerung der Datenmengen, die über das Netzwerk an den Standort der zentralen Verwaltung übertragen werden

• Verbesserung der Leistung der SQL Server-Instanz, auf dem die Datenbank des Standorts der zentralen Verwaltung gehostet wird

• Verringerung des Speicherplatzes, der von der Datenbank am Standort der zentralen Verwaltung in Anspruch genommen wird

Die Verwendung verteilter Ansichten bietet sich an, wenn sich ein primärer Standort im Netzwerk in der Nähe des Standorts der zentralen Verwaltung befindet und beide Standorte stets aktiviert und verbunden sind. Der Grund hierfür ist, dass die Replikation ausgewählter Daten zwischen den Standorten dank der verteilten Ansichten durch direkte Verbindungen zwischen den SQL Server-Instanzen an beiden Standorten ersetzt wird. Diese direkte Verbindung wird jedes Mal hergestellt, wenn diese Daten am Standort der zentralen Verwaltung angefordert werden. Daten, die Sie für verteilte Ansichten aktivieren, werden in der Regel angefordert, wenn Sie Berichte oder Abfragen ausführen bzw. Informationen im Ressourcen-Explorer anzeigen. Daten werden auch bei der Auswertung von Sammlungen angefordert, die auf den Standortdaten beruhende Regeln umfassen.

Verteilte Ansichten sind standardmäßig für alle Replikationslinks deaktiviert. Bei der Aktivierung verteilter Ansichten für einen Replikationslink wählen Sie Standortdaten aus, die nicht über diesen Link an den Standort der zentralen Verwaltung repliziert werden. Gleichzeitig ermöglichen Sie es dem Standort der zentralen Verwaltung, direkt auf diese Daten in der Datenbank des untergeordneten primären Standorts zuzugreifen, der mit diesem Link verbunden ist. Sie können die folgenden Arten von Standortdaten für verteilte Ansichten konfigurieren:

• Hardwareinventurdaten von Clients

• Softwareinventurdaten und Softwaremessungsdaten von Clients

• Statusmeldungen von Clients, vom primären Standort und von allen sekundären Standorten

Verteilte Ansichten sind für Administratoren, die Daten in der Configuration Manager-Konsole oder in Berichten anzeigen, nicht sichtbar. Wenn Daten angefordert werden, die für verteilte Ansichten aktiviert sind, wird von der SQL Server-Instanz, auf der die Datenbank für den Standort der zentralen Verwaltung gehostet wird, direkt auf die SQL Server-Instanz am untergeordneten primären Standort zugegriffen, um die gewünschten Informationen abzurufen. Angenommen, Sie fordern am Standort der zentralen Verwaltung über eine Configuration Manager-Konsole Hardwareinventurinformationen von zwei Standorten an, und nur an einem der Standorte ist die Hardwareinventur für eine verteilte Ansicht aktiviert. Die Inventurinformationen für Clients an dem Standort, der nicht für verteilte Ansichten konfiguriert ist, werden aus der Datenbank am Standort der zentralen Verwaltung abgerufen. Die Inventurinformationen für Clients an dem Standort, der für verteilte Ansichten konfiguriert ist, werden aus der Datenbank am untergeordneten primären Standort abgerufen. Diese Informationen werden in der Configuration Manager-Konsole bzw. in einem Bericht ohne Hinweise auf die Quelle angezeigt.

Solange bei einem Replikationslink ein Datentyp für verteilte Ansichten aktiviert ist, werden diese Daten nicht vom untergeordneten primären Standort an den Standort der zentralen Verwaltung repliziert. Sobald verteilte Ansichten für einen Datentyp deaktiviert werden, wird die Replikation dieser Daten vom untergeordneten primären Standort an den Standort der zentralen Verwaltung im Rahmen der normalen Datenreplikation wiederaufgenommen. Allerdings müssen die Replikationsgruppen, die diese Daten enthalten, zwischen dem primären Standort und dem Standort der zentralen Verwaltung neu initialisiert werden, damit diese Daten am Standort der zentralen Verwaltung verfügbar sind. Nach der Deinstallation eines primären Standorts mit aktivierten verteilten Ansichten müssen die Daten des Standorts der zentralen Verwaltung neu initialisiert werden, damit Sie auf Daten zugreifen können, die am Standort der zentralen Verwaltung für verteilte Ansichten aktiviert waren.

Wichtig

Wenn Sie auf einem Replikationslink in der Hierarchie verteilte Ansichten verwenden, müssen Sie die verteilten Ansichten aller Replikationslinks deaktivieren, bevor Sie einen primären Standort deinstallieren. Weitere Informationen finden Sie im Abschnitt Deinstallieren eines primären Standorts, der mit verteilten Ansichten konfiguriert ist des Themas Installieren von Standorten und Erstellen einer Hierarchie für Configuration Manager.

Voraussetzungen und Einschränkungen für verteilte Ansichten

Für verteilte Ansichten gelten die folgenden Voraussetzungen und Einschränkungen:

• Auf dem Standort der zentralen Verwaltung und dem primären Standort muss dieselbe Version von Configuration Manager mit SP1 als Mindestanforderung ausgeführt werden

• Verteilte Ansichten werden nur auf Replikationslinks zwischen einem Standort der zentralen Verwaltung und einem primären Standort unterstützt.

• Am Standort der zentralen Verwaltung darf nur eine Instanz des SMS-Anbieters installiert sein, und diese Instanz muss sich auf dem Standortdatenbankserver befinden. Dies ist zur Unterstützung der Kerberos-Authentifizierung erforderlich, durch die es dem SQL Server am Standort der zentralen Verwaltung ermöglicht wird, auf den SQL Server am untergeordneten primären Standort zuzugreifen. Für den SMS-Anbieter am untergeordneten primären Standort gelten keine Einschränkungen.

• Am Standort der zentralen Verwaltung darf nur ein SQL Server Reporting Services-Punkt installiert sein, und dieser Punkt muss sich auf dem Standortdatenbankserver befinden. Dies ist zur Unterstützung der Kerberos-Authentifizierung erforderlich, durch die es dem SQL Server am Standort der zentralen Verwaltung ermöglicht wird, auf den SQL Server am untergeordneten primären Standort zuzugreifen.

• Die Standortdatenbank darf nicht auf einem SQL Server-Cluster gehostet werden.

• Für das Computerkonto des Datenbankservers am Standort der zentralen Verwaltung sind Read-Berechtigungen für die Standortdatenbank des primären Standorts erforderlich.

• Bei einem Datenbankreplikationslink schließen verteilte Ansichten und Zeitpläne für die Datenreplikation einander aus.

Planen der Übertragung von Standortdaten auf Datenbankreplikationslinks

Für System Center 2012 Configuration Manager SP1 und höher:

Sie können einen Zeitplan aufstellen, aus dem hervorgeht, wann ein Replikationslink verwendet wird und wann verschiedene Arten von Standortdaten repliziert werden. Auf diese Weise können Sie die Netzwerkbandbreite steuern, die beim Replizieren von Standortdaten von einem untergeordneten primären Standort an den entsprechenden Standort der zentralen Verwaltung in Anspruch genommen wird. Sie können festlegen, wann Statusmeldungen, Inventurdaten und Messungsdaten vom primären Standort repliziert werden. Zeitpläne für Standortdaten werden von Datenbankreplikationslinks sekundärer Standorte nicht unterstützt. Für die Übertragung globaler Daten kann kein Zeitplan festgelegt werden.

Beim Festlegen eines Zeitplans für einen Datenbankreplikationslink können Sie die Übertragung ausgewählter Standortdaten vom primären Standort zum Standort der zentralen Verwaltung einschränken und unterschiedliche Zeiten für die Replikation unterschiedlicher Arten von Standortdaten konfigurieren.

Weitere Informationen dazu, wie Sie die Nutzung der Netzwerkbandbreite zwischen den Configuration Manager-Standorten steuern, finden Sie im Abschnitt Steuern der Auslastung der Netzwerkbandbreite zwischen Standorten in diesem Thema.

Planen der Zusammenfassung des Datenbankreplikationsverkehrs

Für System Center 2012 Configuration Manager SP1 und höher:

Ab Configuration Manager SP1 werden regelmäßig Daten zum Netzwerkverkehr zusammengefasst, der über die Datenbankreplikationslinks abgewickelt wird, die sich auf den jeweiligen Standort ziehen. Diese zusammengefassten Daten fließen in Berichte über die Datenbankreplikation ein. Der der über einen Replikationslink abgewickelte Netzwerkverkehr wird von beiden Standorten des Replikationslinks zusammengefasst. Die Datenzusammenfassung wird vom SQL Server ausgeführt, auf dem die Standortdatenbank gehostet wird. Nach der Datenzusammenfassung werden diese Informationen als globale Daten an andere Standorte repliziert.

Die Zusammenfassung erfolgt standardmäßig alle 15 Minuten. Sie können die Häufigkeit, mit der der Netzwerkverkehr zusammengefasst wird, ändern. Bearbeiten Sie dazu das Zusammenfassungsintervall in den Eigenschaften des Datenbankreplikationslinks. Die Häufigkeit der Zusammenfassung wirkt sich auf die Informationen aus, die Sie in Berichten über die Datenbankreplikation sehen. Dieses Intervall kann auf 5 bis 60 Minuten eingestellt werden. Wenn Sie die Häufigkeit der Zusammenfassung erhöhen, steigern Sie die Verarbeitungslast des SQL Servers an jedem Standort des Replikationslinks.

Planen von Schwellenwerten für die Datenbankreplikation

Mit Schwellenwerten für die Datenbankreplikation wird bestimmt, wann ein Datenbankreplikationslink als heruntergestuft oder fehlerhaft gemeldet wird. Ein Link gilt standardmäßig als heruntergestuft, wenn bei 12 aufeinanderfolgenden Replikationsversuchen einer Replikationsgruppe ein Fehler auftritt. Bleiben 24 aufeinanderfolgende Versuche einer Replikationsgruppe erfolglos, wird dem Link der Status Fehler zugewiesen.

Ab Configuration Manager SP1 können Sie durch benutzerdefinierte Werte bestimmen, wann ein Replikationslink von Configuration Manager als heruntergestuft oder fehlerhaft gemeldet wird. In den Versionen vor Configuration Manager SP1 war die Anpassung dieser Schwellenwerte nicht möglich. Durch Festlegen des Zeitpunkts, zu dem der Status der einzelnen Datenreplikationslinks von Configuration Manager gemeldet wird, können Sie die Integrität der Datenbankreplikation über diese Links genauer überwachen.

Es kann vorkommen, dass einige Replikationsgruppen nicht repliziert werden können, während die Replikation anderer Replikationsgruppen weiterhin erfolgreich ist. Planen Sie daher, den Replikationsstatus eines Replikationslinks zu prüfen, wenn er zum ersten Mal als heruntergestuft gemeldet wird. Wenn bei bestimmten Replikationsgruppen wiederholt Verzögerungen auftreten, die kein Problem darstellen, oder wenn für die Netzwerkverbindung zwischen Standorten nur eine geringe Bandbreite verfügbar ist, erwägen Sie, den Wiederholungswert für den heruntergestuften oder fehlerhaften Status des Links zu ändern. Wenn Sie die Anzahl der Wiederholungen erhöhen, nach denen der Link als heruntergestuft oder fehlerhaft gilt, können Sie falsche Warnungen für bekannte Probleme verhindern und den Linkstatus genauer nachverfolgen.

Sie müssen auch das Synchronisierungsintervall jeder Replikationsgruppe betrachten, um zu verstehen, wie häufig diese Gruppe repliziert wird. Im Knoten Datenbankreplikation des Arbeitsbereichs Überwachung können Sie das Synchronisierungsintervall von Replikationsgruppen auf der Registerkarte Replikationsdetail eines Replikationslinks anzeigen.

Weitere Informationen zum Überwachen der Datenbankreplikation, einschließlich des Anzeigens des Replikationsstatus, finden Sie im Abschnitt Überwachen der Datenbankreplikationslinks und Replikationsstatus des Themas Überwachen von Configuration Manager-Standorten und -Hierarchien.

Informationen zum Konfigurieren von Schwellenwerten für die Datenbankreplikation finden Sie unter Steuerelemente für die Replikation von Standortdatenbanken.

Steuerelemente für die Replikation von Standortdatenbanken

Für System Center 2012 Configuration Manager SP1 und höher:

Von jeder Standortdatenbank werden Konfigurationen unterstützt, mit denen Sie die für die Datenbankreplikation verwendete Netzwerkbandbreite steuern können. Diese Konfigurationen gelten nur für die Standortdatenbank, für die Sie die Einstellungen konfigurieren. Sie werden stets eingesetzt, wenn Daten im Rahmen einer Datenbankreplikation vom jeweiligen Standort an einen anderen Standort repliziert werden.

Folgende Replikationssteuerelemente sind für Standortdatenbanken verfügbar:

• Ändern Sie den Port, der von Configuration Manager für den SQL Server Service Broker verwendet wird.

• Konfigurieren Sie den Zeitraum, nach dessen Ablauf der Standort aufgrund von Replikationsfehlern dazu veranlasst wird, seine Kopie der Standortdatenbank neu zu konfigurieren.

• Konfigurieren Sie eine Standortdatenbank so, dass die von ihr bei der Datenbankreplikation replizierten Daten komprimiert werden. Die Daten werden nur für die Übertragung zwischen Standorten komprimiert, nicht aber für die Speicherung in den Standortdatenbanken der Standorte.

Zum Konfigurieren der Replikationssteuerelemente für eine Standortdatenbank müssen Sie die Eigenschaften der Standortdatenbank in der Configuration Manager-Konsole über den Knoten Datenbankreplikation bearbeiten. Dieser Knoten befindet sich unter dem Knoten Hierarchiekonfiguration der Arbeitsbereiche Verwaltung und Überwachung. Zur Bearbeitung der Eigenschaften der Standortdatenbank wählen Sie den Replikationslink zwischen den Standorten aus und öffnen dann entweder Eigenschaften der übergeordneten Datenbank oder Eigenschaften der untergeordneten Datenbank.

Tipp

In beiden Arbeitsbereichen können Sie Steuerelemente für die Datenbankreplikation über den Knoten Datenbankreplikation konfigurieren. Wenn Sie aber den Knoten Datenbankreplikation im Arbeitsbereich Überwachung verwenden, können Sie auch den Status der Datenbankreplikation für einen Replikationslink anzeigen. Außerdem haben Sie Zugriff auf die Replikationslinkanalyse, mit der Sie Probleme bei der Replikation untersuchen können.

Weitere Informationen zum Konfigurieren von Steuerelementen für die Datenbankreplikation finden Sie unter Konfigurieren von Steuerelementen für die Datenbankreplikation. Weitere Informationen zum Überwachen der Replikation finden Sie unter Überwachen der Datenbankreplikation.

Planen der standortinternen Kommunikation in Configuration Manager

Jeder Configuration Manager-Standort enthält einen Standortserver und kann zusätzliche Standortsystemserver umfassen, auf denen Standortsystemrollen gehostet werden. In Configuration Manager muss jeder Standortsystemserver ein Mitglied einer Active Directory-Domäne sein. Bei Standortsystemcomputern wird eine Änderung des Computernamens oder der Domänenmitgliedschaft von Configuration Manager nicht unterstützt.

Für die standortinterne Netzwerkkommunikation zwischen Configuration Manager-Standortsystemen oder Configuration Manager-Komponenten und anderen Standortsystemen oder -Komponenten wird SMB (Server Message Block), HTTP oder HTTPS verwendet. Welche Kommunikationsmethode konkret verwendet wird, hängt davon ab, wie Sie den Standort konfigurieren. Die Kommunikation zwischen den Servern an einem Standort kann jederzeit und ohne Steuerung der Netzwerkbandbreite auftreten. Dies trifft nicht auf die Kommunikation zwischen dem Standortserver und einem Verteilungspunkt zu. Da Sie die Kommunikation zwischen Standortsystemen nicht steuern können, achten Sie darauf, die Standortsystemserver an Orten mit guter Verbindung und schnellen Netzwerken zu installieren.

Für die Verwaltung der Inhaltsübertragung vom Standortserver zu Verteilungspunkten stehen die folgenden Möglichkeiten zur Auswahl:

• Konfigurieren Sie den Verteilungspunkt für die Steuerung und Planung der Netzwerkbandbreite. Diese Steuerelemente ähneln den von standortübergreifenden Adressen verwendeten Konfigurationen. Häufig können Sie diese Konfiguration verwenden, anstatt einen weiteren Configuration Manager-Standort zu installieren, falls die Übertragung von Inhalt an Remotenetzwerkorte bei der Bandbreite Priorität hat.

• Sie können einen Verteilungspunkt als vorab bereitgestellten Verteilungspunkt installieren. Mithilfe eines vorab bereitgestellten Verteilungspunkts können Sie Inhalt verwenden, der auf dem Verteilungspunktserver manuell abgelegt wird. Die Notwendigkeit, Inhaltsdateien über das Netzwerk zu übertragen, entfällt damit.

Weitere Informationen zu Überlegungen hinsichtlich der Netzwerkbandbreite finden Sie unter Überlegungen zur Netzwerkbandbreite für Verteilungspunkte in Planen der Inhaltsverwaltung in Configuration Manager.

Planen der Clientkommunikation in Configuration Manager

Configuration Manager-Clients und verwaltete Geräte kommunizieren mit Computern, die Configuration Manager-infrastrukturartige Standortsystemrollen, Domänenstruktur wie DNS oder Active Directory-Domänendienste und Dienste im Internet hosten.

Berücksichtigen Sie beim Planen der Clientkommunikation Folgendes:

Kommunikationsszenarien	Weitere Informationen
Von Clients initiierte Kommunikation	Clients initiieren die Kommunikation mit folgenden Komponenten: Verwaltungspunkte: Zum Übermitteln von Inventur-, Status- und Ermittlungsdaten. Der Verwaltungspunkt ist der primäre Kontaktpunkt des Clients für einen Standort. Verschiedene Domänendienste: Zum Anfordern eines Diensts von Domänendiensten wie Active Directory-Domänendienste und DNS (zur Dienstidentifizierung). Inhaltszugriff: Zum Zugreifen auf Inhalte von Verteilungspunkten auf Servern, Peers und in cloudbasierten Diensten. Softwareupdatepunkte: Zum Herunterladen und Installieren von Updates, die Sie bereitstellen. Microsoft Update: Zum Aufrechterhalten des Schutzes durch Antischadsoftware. Zusätzliche Standortsystemserver: Anwendungskatalog-Websitepunkt Configuration Manager-Richtlinienmodul (NDES) Fallbackstatuspunkt Zustandsmigrationspunkt Systemintegritätsprüfung
Dienstidentifizierung	Die Dienstidentifizierung ist die Methode, mit der Clients einen zugewiesenen Standort identifizieren und Verwaltungspunkte dynamisch suchen. Verwaltungspunkte sind die primären Kontaktpunkte für Clients und werden zu folgenden Zwecken verwendet: Abrufen von Informationen zu anderen verfügbaren Verwaltungspunkten Herunterladen der Clientrichtlinie Übermitteln von Clientdaten an den Standort, z. B. wie Status-, Inventur- und Ermittlungsdaten.

Verwenden Sie die Informationen in den folgenden Abschnitten, um die Kommunikation über Windows-basierte Clients zu planen.

Ab Configuration Manager SP1 können Sie Clients verwalten, auf denen Linux und UNIX ausgeführt werden. Clients, auf denen Linux und UNIX ausgeführt werden, sind Clients in Arbeitsgruppen. Weitere Informationen zur Unterstützung von Computern in Arbeitsgruppen finden Sie unter Planen der Kommunikation zwischen Gesamtstrukturen im Configuration Manager in diesem Thema. Weitere Informationen zur Kommunikation für Clients, auf denen Linux und UNIX ausgeführt werden, finden Sie im Abschnitt Planen der Kommunikation über Gesamtstruktur vertraut für Linux und UNIX-Server des Themas Planen der Clientbereitstellung für Linux- und UNIX-Server.

Von Clients initiierte Kommunikation

Clients initiieren die Kommunikation mit Standortsystemrollen, Active Directory-Domänendiensten und Onlinediensten. Damit diese Kommunikation möglich ist, müssen die Firewalls den Netzwerkdatenverkehr zwischen Clients und dem Endpunkt der Kommunikation zulassen. Endpunkte können Folgendes sein:

• Verwaltungspunkte, von denen Clients die Clientrichtlinie herunterladen.

• Verteilungspunkte, von denen Clients Inhalt herunterladen.

• Softwareupdatepunkte

• Die folgenden zusätzlichen Standortsystemrollen, jeweils für bestimmte Feature-Aufgaben:

  • Anwendungskatalog-Websitepunkt

  • Configuration Manager-Richtlinienmodul (NDES)

  • Fallbackstatuspunkt

  • Zustandsmigrationspunkt

  • Systemintegritätsprüfungspunkt

• Verschiedene Domänendienste wie Active Directory-Domänendienste und DNS (für Dienstidentifizierung).

• Microsoft Update zum Aufrechterhalten des Schutzes durch Antischadsoftware.

• Cloudbasierte Ressourcen wie Microsoft Update oder Microsoft Azure und Microsoft Intune, wenn Sie diese cloudbasierten Dienste mit Configuration Manager verwenden.

Ausführliche Informationen zu Ports und Protokollen, die von Clients für die Kommunikation mit diesen Endpunkten verwendet werden, finden Sie unter Technische Referenz für Ports in Configuration Manager.

Bevor ein Client mit einer Standortsystemrolle kommunizieren kann, verwendet der Client die Dienstidentifizierung, um nach einer Standortsystemrolle zu suchen, die das Protokoll des Clients (HTTP oder HTTPS) unterstützt. Die Wahl fällt standardmäßig auf die sicherste der verfügbaren Methoden:

• Zur Verwendung von HTTPS müssen Sie über eine Public Key-Infrastruktur (PKI) verfügen und PKI-Zertifikate auf Clients und Servern installieren. Informationen zum Verwenden von Zertifikaten finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

• Wenn Sie eine Standortsystemrolle bereitstellen, die Internetinformationsdienst (IIS) verwendet und die Kommunikation von Clients unterstützt, müssen Sie angeben, ob Clients eine Verbindung mit dem Standortsystem über HTTP oder HTTPS herstellen. Falls Sie sich für HTTP entscheiden, müssen Sie auch Signierungs- und Verschlüsselungsoptionen erwägen. Weitere Informationen finden Sie unter Planen von Signierung und Verschlüsselung.

Die folgenden Standortsystemrollen und Dienste unterstützen die HTTPS-Kommunikation von Clients:

• Anwendungskatalog-Websitepunkt

• Configuration Manager-Richtlinienmodul

• Verteilungspunkt (HTTPS ist für cloudbasierte Verteilungspunkte erforderlich)

• Verwaltungspunkt

• Softwareupdatepunkt

• Zustandsmigrationspunkt

Zusätzlich zu den obigen Informationen finden Sie weitere Informationen für die Planung für Clients an nicht vertrauenswürdigen Standorten in den Überlegungen zur Clientkommunikation aus dem Internet oder der nicht vertrauenswürdigen Gesamtstruktur.

Dienstidentifizierung und wie Clients den ihnen zugewiesenen Verwaltungspunkt ermitteln

Clients bestimmen den Standardverwaltungspunkt des zugewiesenen Standorts, wenn sie erstmals installiert und einem Standort zugewiesen werden. Nachdem ein Client den Standardverwaltungspunkt seines Standorts gefunden hat, wird dieser Verwaltungspunkt zum zugewiesenen Verwaltungspunkt des Clients. Diese Zuordnung wird durch den Client bestimmt.

• Beginnend mit dem kumulativen Update 3 für System Center 2012 R2 Configuration Manager können Sie jedoch die HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" Verwaltungspunktaffinität verwenden, um einen Client für die Verwendung eines oder mehrerer bestimmter Verwaltungspunkte zu konfigurieren.

• Einstieg in System Center 2012 Configuration Manager SP2, Sie können bevorzugte Verwaltungspunkte verwenden. Ein bevorzugter Verwaltungspunkt ist ein Verwaltungspunkt, der einer Begrenzungsgruppe als Standortserver zugeordnet ist, ähnlich der Zuordnung von Verteilungspunkten oder Zustandsmigrationspunkten zu einer Begrenzungsgruppe. Wenn Sie bevorzugte Verwaltungspunkte für die Hierarchie aktivieren, versucht ein Client einen bevorzugten Verwaltungspunkt zu verwenden, wenn er einen Verwaltungspunkt von seinem zugewiesenen Standort verwendet, bevor andere Verwaltungspunkte des zugewiesenen Standorts verwendet werden.

Nachdem einem Client ein Verwaltungspunkt zugewiesen wurde, führt er regelmäßig eine Dienstidentifizierungsanforderung für den Standardverwaltungspunkt seines Standorts durch, um bei Änderungen auf dem aktuellen Stand zu bleiben.

Jedes Mal, wenn ein Client einen zu verwendenden Verwaltungspunkt identifizieren muss, überprüft er eine Liste bekannter Verwaltungspunkte (die als MP-Liste bezeichnet wird), die lokal in WMI gespeichert ist. Der Client erstellt eine anfängliche MP-Liste, wenn er installiert wird, und aktualisiert die Liste dann regelmäßig mit Details zu jedem Verwaltungspunkt in der Hierarchie.

Wenn der Client keinen gültigen Verwaltungspunkt in seiner MP-Liste findet, durchsucht er die folgenden Dienstidentifizierungsquellen in der angegebenen Reihenfolge, bis er einen Verwaltungspunkt findet, den er verwenden kann:

1. Verwaltungspunkt

2. Active Directory-Domänendienste

3. DNS

4. WINS

Nachdem ein Client Verwaltungspunkt erfolgreich gesucht und kontaktiert hat, lädt er die aktuelle Liste von Verwaltungspunkten herunter, die in der Hierarchie verfügbar sind, und aktualisiert seine lokale Liste. Dies gilt für alle Clients, unabhängig davon, ob sie einer Domäne angehören oder nicht.

Wenn beispielsweise ein Configuration Manager-Client, der sich im Internet befindet, eine Verbindung zu einem internetbasierten Verwaltungspunkt herstellt, sendet der Verwaltungspunkt diesem Client eine Liste der verfügbaren internetbasierten Verwaltungspunkte am Standort. Auf ähnliche Weise erhalten auch Clients, die sich in einer Domäne oder in Arbeitsgruppen befinden, die Liste der Verwaltungspunkte, die sie verwenden können.

• Einem Client, der nicht für das Internet konfiguriert ist, würden keine nur in das Internet gerichtete Verwaltungspunkte bereitgestellt werden.

• Arbeitsgruppenclients, die für das Internet konfiguriert sind, kommunizieren nur mit Verwaltungspunkten mit Internetzugriff.

Im Folgenden finden Sie Informationen zu den einzelnen Dienstidentifizierungsquellen:

MP-Liste

Die MP-Liste eines Clients ist die bevorzugte Quelle für die Dienstidentifizierung, da sie eine priorisierte Liste von Verwaltungspunkten ist, die der Client zuvor identifiziert hat. Diese Liste wird nach einzelnen Clients basierend auf dem Netzwerkstandort sortiert, wenn der Client die Liste aktualisiert, und dann lokal auf dem Client in WMI gespeichert.

Erstellen der anfänglichen MP-Liste

Während der Installation des Clients werden die folgenden Regeln zum Erstellen der anfänglichen MP-Liste des Clients verwendet:

• Die anfängliche Liste enthält Verwaltungspunkte, die während der Clientinstallation angegeben wurden (bei Verwendung von SMSMP= oder /MP).

• Der Client fragt Active Directory-Domänendienste (AD DS) nach veröffentlichten Verwaltungspunkten ab. Für eine Identifizierung von AD DS muss der Verwaltungspunkt vom zugewiesenen Standort des Clients stammen und der Produktversion des Clients entsprechen.

• Wenn kein Verwaltungspunkt während der Clientinstallation angegeben wurde und das Active Directory-Schema nicht erweitert ist, überprüft der Client DNS und WINS auf veröffentlichte Verwaltungspunkte.

• Beim Erstellen der anfänglichen Liste sind möglicherweise keine Informationen zu einigen Verwaltungspunkten in der Hierarchie bekannt.

Organisieren der Verwaltungspunktliste

Clients organisieren ihre Liste mit Verwaltungspunkten mithilfe der folgenden Klassifizierungen:

• Proxy: Ein Proxyverwaltungspunkt ist ein Verwaltungspunkt an einem sekundären Standort.

• Lokal: Jeder Verwaltungspunkt, der dem aktuellen Netzwerkstandort des Clients zugeordnet ist (gemäß Definition durch Standortgrenzen).

  • Wenn ein Client zu mehreren Grenzgruppen gehört, wird die Liste der lokalen Verwaltungspunkte aus der Vereinigung aller Grenzen bestimmt, die den aktuellen Netzwerkstandort des Clients enthalten.

  • In der Regel sind lokale Verwaltungspunkte eine Teilmenge der zugewiesenen Verwaltungspunkte eines Clients, es sei denn, der Client befindet sich an einem Netzwerkstandort, der mit einem anderen Standort mit Verwaltungspunkten verbunden ist, die Grenzgruppen bereitstellen.

• Zugewiesen: Alle Verwaltungspunkte, die ein Standortsystem für den zugewiesenen Standort des Clients sind.

  Einstieg in System Center 2012 Configuration Manager SP2, Sie können bevorzugte Verwaltungspunkte verwenden. Bevorzugte Verwaltungspunkte sind Verwaltungspunkte vom zugewiesenen Standort eines Clients, die einer Begrenzungsgruppe zugeordnet sind, die vom Client verwendet wird, um Standortsystemserver zu finden.

  Verwaltungspunkte an einem Standort, die keiner Begrenzungsgruppe zugeordnet sind oder sich nicht in einer Begrenzungsgruppe befinden, die dem aktuellen Netzwerkspeicherort des Clients zugeordnet ist, gelten nicht als bevorzugt und werden verwendet, wenn der Client keinen verfügbaren bevorzugten Verwaltungspunkte identifizieren kann.

Auswählen eines zu verwendenden Verwaltungspunkts

Für eine typische Kommunikation versucht ein Client, einen Verwaltungspunkt aus den Klassifizierungen in der folgenden Reihenfolge zu verwenden, basierend auf dem Netzwerkstandort des Clients:

1. Proxy

2. Lokal

3. Zugewiesen

Allerdings verwendet der Client immer den zugewiesenen Verwaltungspunkt für Registrierungsmeldungen und bestimmte Richtlinienmeldungen, selbst andere Mitteilungen an einen Proxy oder lokalen Verwaltungspunkt gesendet werden.

In jeder Klassifizierung (Proxy, lokal oder zugewiesen) versuchen Clients, einen Verwaltungspunkt auf der Basis von Einstellungen in der folgenden Reihenfolge zu verwenden:

1. HTTPS-fähig in einer vertrauenswürdigen oder lokalen Gesamtstruktur (wenn der Client für die HTTPS-Kommunikation konfiguriert ist)

2. HTTPS-fähig in einer nicht vertrauenswürdigen oder lokalen Gesamtstruktur (wenn der Client für die HTTPS-Kommunikation konfiguriert ist)

3. HTTP-fähig in einer vertrauenswürdigen oder lokalen Gesamtstruktur

4. HTTP-fähig nicht in einer vertrauenswürdigen oder lokalen Gesamtstruktur

Clients versuchen, aus dem Satz der nach Einstellungen sortierten Verwaltungspunkten den ersten Verwaltungspunkt in der Liste zu verwenden:

• Diese sortierte Liste von Verwaltungspunkten ist zufällig und nicht sortiert werden.

• Die Reihenfolge der Liste kann sich jedes Mal ändern, wenn der Client seine Verwaltungspunktliste aktualisiert.

Wenn ein Client keinen Kontakt mit dem ersten Verwaltungspunkt herstellen kann, versucht er es bei jedem nachfolgenden Verwaltungspunkt in der Liste und probiert dabei jeden bevorzugten Verwaltungspunkt in der Klassifizierung aus, bevor er zu den nicht bevorzugten Verwaltungspunkten übergeht. Wenn ein Client keine erfolgreiche Kommunikation mit einem der Verwaltungspunkte in der Klassifizierung herstellen kann, versucht er, einen Kontakt zu einem bevorzugten Verwaltungspunkt aus der nächsten Klassifizierung herzustellen, und setzt diese Vorgehensweise fort, bis er einen Verwaltungspunkt zum Verwenden gefunden hat.

Nach dem Einrichten der Kommunikation mit einem Verwaltungspunkt verwendet der Client weiterhin denselben Verwaltungspunkt bis zum folgenden Punkt:

• Nach 25 Stunden wählt der Client nach dem Zufallsprinzip einen neuen Verwaltungspunkt aus.

• Wenn der Client nach 5 Versuchen über einen Zeitraum von 10 Minuten nicht mit dem Verwaltungspunkt kommunizieren kann, wählt er einen neuen Verwaltungspunkt aus.

Active Directory

Clients, die der Domäne beigetreten sind, können Active Directory-Domänendienste (AD DS) für die Dienstidentifizierung verwenden. Dafür müssen Standorte Daten in Active Directory veröffentlichen.

Die Active Directory-Domänendienste können von Clients für die Dienstidentifizierung verwendet werden, wenn alle folgenden Bedingungen erfüllt sind:

• Das Active Directory-Schema wurde erweitert für System Center 2012 Configuration Manager oder wurde für erweiterte Configuration Manager 2007.

• Die Active Directory-Gesamtstruktur ist für die Veröffentlichung konfiguriert und Configuration Manager-Standorte sind für das Veröffentlichen konfiguriert.

• Der Clientcomputer ist ein Mitglied einer Active Directory-Domäne, und der Zugriff auf den globalen Katalogserver ist möglich.

Wenn ein Client keinen Verwaltungspunkt für die Dienstidentifizierung von AD DS finden kann, versucht er, DNS zu verwenden. Clients, die der Domäne beigetreten sind, können AD DS für die Dienstidentifizierung verwenden. Dafür müssen Standorte Daten in Active Directory veröffentlichen.

DNS

Clients im Intranet können DNS für die Dienstidentifizierung verwenden. Dafür ist mindestens einen Standort in einer Hierarchie erforderlich, um Informationen zu Verwaltungspunkten in DNS zu veröffentlichen.

Ziehen Sie die Verwendung von DNS für die Dienstidentifizierung in Betracht, wenn eine der folgenden Bedingungen erfüllt ist:

• Das Schema der Active Directory-Domänendienste wurde nicht für die Unterstützung von Configuration Manager erweitert.

• Intranetclients befinden sich in einer Gesamtstruktur, die nicht für die Configuration Manager-Veröffentlichung aktiviert ist.

• Sie haben Clients auf Arbeitsgruppencomputern, und diese Clients sind nicht für eine rein internetbasierte Clientverwaltung konfiguriert. (Ein für das Internet konfigurierter Arbeitsgruppenclient kommuniziert nur mit Verwaltungspunkten mit Internetzugriff und verwendet nicht DNS für die Dienstidentifizierung.)

• Sie können Clients für die Suche von Verwaltungspunkten von DNS konfigurieren.

Wenn ein Standort Dienstidentifizierungseinträge für Verwaltungspunkte an DNS veröffentlicht:

• Die Veröffentlichung gilt nur für Verwaltungspunkte, die Clientverbindungen aus dem Intranet akzeptieren.

• Durch die Veröffentlichung wird ein Ressourceneintrag für die Dienstidentifizierung (SRV RR) in der DNS-Zone des Verwaltungspunktcomputers hinzugefügt. In DNS muss ein entsprechender Hosteintrag für diesen Computer vorhanden sein.

Standardmäßig durchsuchen in die Domäne eingebundene Clients DNS nach Verwaltungspunkteinträgen aus der lokalen Domäne des Clients. Sie können eine Clienteigenschaft konfigurieren, die ein Domänensuffix für eine Domäne angibt, in der Verwaltungspunktinformationen in DNS veröffentlicht werden.

Weitere Informationen zum Konfigurieren des DNS-Suffixes in einer Clienteigenschaft finden Sie unter Konfigurieren von Clientcomputern für die Suche nach Verwaltungspunkten mithilfe der DNS-Veröffentlichung in Configuration Manager.

Wenn ein Client keinen Verwaltungspunkt für die Dienstidentifizierung von DNS finden kann, versucht er, WINS zu verwenden.

Veröffentlichen von Verwaltungspunkten in DNS

Die Veröffentlichung von Verwaltungspunkten in DNS ist nur möglich, wenn die beiden folgenden Bedingungen erfüllt sind:

• Von den DNS-Servern werden Ressourceneinträge für Dienste unterstützt (durch Verwendung von BIND 8.1.2 oder höher).

• Zu den angegebenen Intranet-FQDNs für die Verwaltungspunkte in Configuration Manager müssen Hosteinträge z. B. (A-Datensätze) in DNS vorhanden sein.

Wichtig
Bei der DNS-Veröffentlichung über Configuration Manager werden keine separaten Namespaces unterstützt. Liegt ein separater Namespace vor, können Sie Verwaltungspunkte manuell in DNS veröffentlichen oder eine der alternativen Dienstidentifizierungsmethoden verwenden, die in diesem Abschnitt beschrieben sind.

Falls von den DNS-Servern automatische Updates unterstützt werden, können Sie festlegen, dass Verwaltungspunkte von Configuration Manager im Intranet automatisch in DNS veröffentlicht werden. Alternativ können Sie diese Datensätze manuell in DNS veröffentlichen. Bei der Veröffentlichung von Verwaltungspunkten in DNS werden der zugehörige Intranet-FQDN und die Portnummer im SRV-Eintrag veröffentlicht. Sie konfigurieren die DNS-Veröffentlichung an einem Standort über die Eigenschaften für Verwaltungspunktkomponenten am Standort. Weitere Informationen finden Sie unter Konfigurieren von Standortkomponenten in Configuration Manager.

Wenn von den DNS-Servern SRV-Einträge unterstützt werden, nicht aber automatische Updates, können Sie Verwaltungspunkte manuell in DNS veröffentlichen. Dafür müssen Sie den Ressourceneintrag für Dienste (SRV RR) manuell in DNS angeben.

Configuration Manager unterstützt RFC 2782 für Ressourceneinträge für Dienste im folgenden Format:

_Dienst._Proto.Name TTL Klasse SRV Priorität Gewichtung Port Ziel

Geben Sie die folgenden Werte an, um einen Verwaltungspunkt in Configuration Manager zu veröffentlichen:

• _Service: Geben Sie _mssms_mp*_<Standortcode>* ein, wobei <Standortcode> der Standortcode des Verwaltungspunkts ist.

• ._Proto: Geben Sie ._tcp an.

• .Name: Geben Sie das DNS-Suffix des Verwaltungspunkts an, z. B. contoso.com.

• TTL: Geben Sie 14400 an, das bedeutet vier Stunden.

• Klasse: Geben Sie IN an (in Übereinstimmung mit RFC 1035).

• Priorität: Dieses Feld wird nicht von Configuration Manager verwendet.

• Gewichtung: Dieses Feld wird nicht von Configuration Manager verwendet.

• Port: Geben Sie die Portnummer des Verwaltungspunkts ein, beispielsweise 80 für HTTP und 443 für HTTPS.

  Hinweis
  Der Port für den SRV-Datensatz sollte dem vom Verwaltungspunkt verwendeten Kommunikationsport entsprechen. Standardmäßig ist dies 80 für die HTTP-Kommunikation und 443 für die HTTPS-Kommunikation.

• Ziel: Geben Sie den Intranet-FQDN des Standortsystems an, das mit der Standortrolle „Verwaltungspunkt“ konfiguriert ist.

Wenn Sie Windows Server DNS verwenden, können Sie diesen DNS-Eintrag anhand des folgenden Verfahrens für Intranet-Verwaltungspunkte eingeben. Wenn Sie für DNS eine andere Implementierung verwenden, prüfen Sie in der DNS-Dokumentation anhand der Informationen zu den Feldwerten in diesem Abschnitt, wie Sie dieses Verfahren anpassen müssen.

So konfigurieren Sie die automatische Veröffentlichung:

1. Erweitern Sie in der Configuration Manager-Konsole Administration > Standortkonfiguration > Standorte.

2. Wählen Sie Ihren Standort aus, und klicken Sie dann auf Standortkomponenten konfigurieren.

3. Wählen Sie Verwaltungspunkt aus.

4. Wählen Sie die Verwaltungspunkte aus, die Sie veröffentlichen möchten. (Diese Option gilt für die Veröffentlichung in AD DS und DNS).

5. Aktivieren Sie das Kontrollkästchen für das Veröffentlichen in DNS:

   - In diesem Dialogfeld können Sie auswählen, welche Verwaltungspunkte veröffentlicht werden sollen und dass sie in DNS veröffentlicht werden.
   
   - In diesem Dialogfeld wird nicht die Veröffentlichung in AD DS konfiguriert.
   

So können Sie Verwaltungspunkte unter Windows Server manuell in DNS veröffentlichen

1. Geben Sie in der Configuration Manager-Konsole die Intranet-FQDNs der Standortsysteme an.

2. Wählen Sie in der DNS-Verwaltungskonsole die DNS-Zone für den Verwaltungspunktcomputer aus.

3. Überprüfen Sie, ob es einen Hostdatensatz (A oder AAAA) für den Intranet-FQDN des Standortsystems gibt. Ist dieser Datensatz nicht vorhanden, erstellen Sie ihn.

4. Verwenden Sie die Option Neue andere Einträge. Klicken Sie im Dialogfeld Ressourceneintragstyp auf Dienstidentifizierung (SRV). Klicken Sie auf Eintrag erstellen, geben Sie die folgenden Informationen ein, und klicken Sie auf Fertig:

   - **Domäne**: Geben Sie gegebenenfalls das DNS-Suffix des Verwaltungspunkts an, z. B. **contoso.com**.
   
   - **Dienst**: Geben Sie **\_mssms\_mp***\_\<Standortcode\>* ein, wobei *\<Standortcode\>* der Standortcode des Verwaltungspunkts ist.
   
   - **Protokoll**: Geben Sie **\_tcp** ein.
   
   - **Priorität**: Dieses Feld wird nicht von Configuration Manager verwendet.
   
   - **Gewichtung**: Dieses Feld wird nicht von Configuration Manager verwendet.
   
   - **Port**: Geben Sie die Portnummer des Verwaltungspunkts ein, beispielsweise **80** für HTTP und **443** für HTTPS.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Der Port für den SRV-Datensatz sollte dem vom Verwaltungspunkt verwendeten Kommunikationsport entsprechen. Standardmäßig ist dies <strong>80</strong> für die HTTP-Kommunikation und <strong>443</strong> für die HTTPS-Kommunikation.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - **Host, der diesen Dienst anbietet**: Geben Sie den vollqualifizierten Intranetdomänennamen des Standortsystems ein, das mit der Standortrolle „Verwaltungspunkt“ konfiguriert ist.
   

Wiederholen Sie diese Schritte für jeden Verwaltungspunkt im Intranet, der in DNS veröffentlicht werden soll.

WINS

Falls andere Dienstidentifizierungsmechanismen erfolglos bleiben, kann durch Überprüfen von WINS ein erster Verwaltungspunkt gefunden werden.

Standardmäßig veröffentlicht ein primärer Standort in WINS den ersten Verwaltungspunkt am Standort, der für HTTP konfiguriert ist, und den ersten Verwaltungspunkt, der für HTTPS konfiguriert ist.

Wenn Sie nicht wünschen, dass ein HTTP-Verwaltungspunkt in WINS gefunden wird, konfigurieren Sie für Clients die Client.msi-Eigenschaft SMSDIRECTORYLOOKUP=NOWINS mit CCMSetup.exe.

Planen der Clientaktivierung

In Configuration Manager werden zwei Wake-On-LAN-Technologien (Local Area Network) unterstützt, über die Computer im Energiesparmodus aktiviert werden, wenn Sie erforderliche Software wie Softwareupdates und Anwendungen installieren möchten. Dabei handelt es sich um herkömmliche Aktivierungspakete und um AMT-Einschaltbefehle.

Ab Configuration Manager SP1 können Sie die herkömmliche, auf Aktivierungspaketen beruhende Methode durch die Verwendung von Clienteinstellungen für den Aktivierungsproxy ergänzen. Vom Aktivierungsproxy wird mithilfe eines Peer-zu-Peer-Protokolls und ausgewählten Computern überprüft, ob andere Computer im Subnetz aktiv sind. Diese werden bei Bedarf dann aktiviert. Wenn der Standort für Wake-On-LAN konfiguriert ist und gleichzeitig Clients für den Aktivierungsproxy konfiguriert sind, gilt Folgendes:

1. Von Computern, auf denen der Configuration Manager SP1-Client installiert ist und die nicht im Subnetz inaktiv sind, wird geprüft, ob andere Computer im Subnetz aktiv sind. Hierzu wird von den Computern alle 5  Sekunden ein TCP/IP-Pingbefehl gesendet.

2. Wenn keine Antwort von anderen Computern eingeht, wird davon ausgegangen, dass sie inaktiv sind. Die aktiven Computer werden als Manager-Computer des Subnetzes eingesetzt.

   Nicht alle Computer, von denen keine Antwort eingeht, sind inaktiv (manche wurden möglicherweise ausgeschaltet oder aus dem Netzwerk entfernt, oder die Clienteinstellung für den Aktivierungsproxy wird nicht mehr angewendet). Aus diesem Grund wird täglich um 14 Uhr (Ortszeit) ein Aktivierungspaket an die Computer gesendet. Computer, von denen keine Antwort eingeht, werden nicht mehr als inaktiv eingestuft und nicht durch den Aktivierungsproxy aktiviert.

   Zur Unterstützung des Aktivierungsproxys müssen in jedem Subnetz mindestens drei Computer aktiv sein. Hierzu werden drei Computer auf nicht deterministische Weise als Wächter-Computer für das Subnetz ausgewählt. Dies bedeutet, dass sie unabhängig von einer konfigurierten Energierichtlinie aktiv bleiben und nicht nach einer gewissen Zeit der Inaktivität in den Energiespar- oder Ruhemodus umgeschaltet werden. Befehle zum Herunterfahren oder Neustarten, die mit Wartungstasks zusammenhängen, werden von Wächter-Computern beachtet. In einem solchen Fall wird von den verbleibenden Wächter-Computern ein weiterer Computer im Subnetz aktiviert, damit das Subnetz weiterhin drei Wächter-Computer aufweist.

3. Der Netzwerkswitch wird von den Manager-Computern angewiesen, den für die inaktiven Computer vorgesehenen Netzwerkverkehr zu den Manager-Computern umzuleiten.

   Die Umleitung erfolgt durch den Manager-Computer, von dem ein Ethernet-Frame übertragen wird. Von diesem wird die MAC-Adresse des Computers, der sich im Ruhezustand befindet, als Quelladresse verwendet. Dadurch reagiert der Netzwerkswitch so, als ob der inaktive Computer auf den Port verschoben wurde, auf dem sich auch der Manager-Computer befindet. Vom Manager-Computer werden außerdem ARP-Pakete für die inaktiven Computer gesendet, damit der Eintrag im ARP-Cache aktuell bleibt. Darüber hinaus werden vom Manager-Computer im Auftrag des inaktiven Computers Antworten auf ARP-Anfragen gesendet. Die Antwort erfolgt mit der MAC-Adresse des inaktiven Computers.

   Warnung

   Während dieses Vorgangs bleibt die IP-zu-MAC-Zuordnung für den inaktiven Computer bestehen. Der Netzwerkswitch wird über einen Aktivierungsproxy darüber informiert, dass der von einer Netzwerkkarte registrierte Port von einer anderen Netzwerkkarte verwendet wird. Dieses Verhalten wird als MAC-Flapping bezeichnet und ist bei Standardnetzwerkvorgängen nicht üblich. Von einigen Netzwerküberwachungstools wird geprüft, ob dieses Verhalten auftritt. Falls ja, werden Fehler angenommen. Durch diese Überwachungstools können also Warnungen generiert oder Ports heruntergefahren werden, wenn Sie einen Aktivierungsproxy verwenden. Verwenden Sie keinen Aktivierungsproxy, wenn Ihre Netzwerküberwachungstools und -dienste kein MAC-Flapping zulassen.

4. Wird von einem Manager-Computer eine neue TCP-Verbindungsanforderung für einen Computer erkannt, der sich im Ruhezustand befindet, und die Anforderung erfolgt an einem Port, der vom Computer vor den Wechsel in den Ruhezustand abgehört wurde, wird vom Manager-Computer ein Aktivierungspaket an den inaktiven Computer gesendet. Außerdem wird das Umleiten von Datenverkehr für diesen Computer beendet.

5. Der inaktive Computer erhält das Aktivierungspaket und wird dadurch aktiviert. Vom sendenden Computer wird automatisch versucht, die Verbindung wiederherzustellen. Der Computer ist nun aktiv und kann antworten.

Für Aktivierungsproxys gelten die folgenden Voraussetzungen und Einschränkungen:

Wichtig

Wenn in Ihrem Unternehmen ein eigenes Team für die Netzwerkstruktur und die Netzwerkdienste verantwortlich ist, sollten Sie dieses Team informieren und während des Testzeitraums einbeziehen. Beispiel: In einem Netzwerk, von dem eine 802.1X-Zugriffssteuerung verwendet wird, funktioniert der Aktivierungsproxy nicht. Der Netzwerkdienst wird möglicherweise unterbrochen. Außerdem kann es durch den Aktivierungsproxy dazu kommen, dass von einigen Netzwerküberwachungstools Warnungen generiert werden, wenn Datenverkehr zur Aktivierung anderer Computer erkannt wird.

• Unterstützte Clients sind Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012.

• Es werden keine Gastbetriebssysteme unterstützt, die auf einem virtuellen Computer ausgeführt werden.

• Auf Clients muss Configuration Manager SP1 ausgeführt werden, und sie müssen durch die Verwendung von Clienteinstellungen für den Aktivierungsproxy aktiviert sein. Zwar hängt der Vorgang des Aktivierungsproxys nicht von der Hardwareinventur ab, aber die Installation des Aktivierungsproxydiensts wird von Clients erst dann gemeldet, wenn sie für die Hardwareinventur aktiviert sind und von ihnen mindestens eine Hardwareinventur gesendet wurde.

• Für Aktivierungspakete müssen Netzwerkkarten (und möglichst das BIOS) aktiviert und konfiguriert sein. Ist die Netzwerkkarte nicht für Aktivierungspakete konfiguriert bzw. wurde diese Einstellung deaktiviert, wird sie von Configuration Manager automatisch konfiguriert und für einen Computer aktiviert, wenn die Clienteinstellung zum Aktivieren des Aktivierungsproxys empfangen wird.

• Verfügt ein Computer über mehrere Netzwerkkarten, können Sie nicht auswählen, welche Karte für den Aktivierungsproxy verwendet werden soll. Die Auswahl ist nicht deterministisch. Die ausgewählte Karte wird in der Datei „SleepAgent_<DOMÄNE>@SYSTEM_0.log“ aufgezeichnet.

• Vom Netzwerk müssen ICMP-Echoanforderungen zugelassen werden, zumindest innerhalb des Subnetzes. Es ist nicht möglich, das 5-Minuten-Intervall zum Senden der ICMP-Ping-Befehle zu konfigurieren.

• Die Kommunikation ist unverschlüsselt und nicht authentifiziert, und IPsec wird nicht unterstützt.

• Die folgenden Netzwerkkonfigurationen werden nicht unterstützt:

  • 802.1 X mit Portauthentifizierung

  • Drahtlosnetzwerke

  • Netzwerkswitches, von denen MAC-Adressen an bestimmte Ports gebunden werden

  • Netzwerke, die nur IPv6 unterstützen

  • DHCP-Lease-Dauer von weniger als 24 Stunden

Aus Sicherheitsgründen wird empfohlen, nach Möglichkeit anstelle der Aktivierungspakete die AMT-Einschaltbefehle zu verwenden. Bei dieser Technologie wird mithilfe von PKI-Zertifikaten für eine sichere Kommunikation gesorgt und so ein höheres Maß an Sicherheit als bei der Übermittlung von Aktivierungspaketen geboten. Die Verwendung von AMT-Einschaltbefehlen ist aber nur möglich, wenn es sich bei den Computern um Intel AMT-basierte Computer handelt, die für AMT bereitgestellt werden. Weitere Informationen zur Verwaltung AMT-basierter Computer mit Configuration Manager finden Sie unter Einführung zur Out-of-Band-Verwaltung in Configuration Manager.

Falls Sie Computer für eine geplante Softwareinstallation aktivieren möchten, müssen Sie jeden primären Standort für eine der folgenden drei Optionen konfigurieren:

• AMT-Einschaltbefehle verwenden, sofern die Computer diese Technologie unterstützen, andernfalls Aktivierungspakete verwenden

• Nur AMT-Einschaltbefehle verwenden

• Nur Aktivierungspakete verwenden

Zur Verwendung eines Aktivierungsproxys mit Configuration Manager SP1 müssen Sie in der Energieverwaltung die Clienteinstellungen für den Aktivierungsproxy bereitstellen und die Option Nur Aktivierungspakete verwenden auswählen.

Die folgende Tabelle bietet weitere Informationen zu den Unterschieden zwischen den zwei Wake-On-LAN-Technologien (WOL), herkömmliche Aktivierungspakete und AMT-Einschaltbefehle.

Technologie	Vorteil	Nachteil
Herkömmliche Aktivierungspakete	Am Standort sind keine zusätzlichen Standortsystemrollen erforderlich. Wird von einer Vielzahl von Netzwerkadaptern unterstützt. UDP-Reaktivierungspakete können schnell gesendet und verarbeitet werden. Erfordert keine PKI-Infrastruktur. Erfordert keine Änderung der Active Directory-Domänendienste. Wird auf Arbeitsgruppencomputern, Computern einer anderen Active Directory-Gesamtstruktur sowie Computern in derselben Active Directory-Gesamtstruktur, die jedoch einen nicht zusammenhängenden Namespace verwenden, unterstützt.	Diese Technologie ist weniger sicher als AMT-Einschaltbefehle, da keine Authentifizierung oder Verschlüsselung verwendet wird. Wenn subnetzgesteuerte Broadcasts für die Reaktivierungspakete verwendet werden, besteht ein Sicherheitsrisiko durch „Smurf Attacks“. Möglicherweise muss auf den einzelnen Computern eine manuelle Konfiguration der BIOS-Einstellung sowie eine Adapterkonfiguration durchgeführt werden. Die Reaktivierung von Computern wird nicht bestätigt. Durch Aktivierungsübertragungen in Form von mehreren UDP-Paketen (User Datagram Protocol) kann die verfügbare Netzwerkbandbreite unnötig ausgelastet werden. Computer können nur dann interaktiv reaktiviert werden, wenn Sie einen Aktivierungsproxy mit Configuration Manager SP1 verwenden. Computer können nicht zurück in den Ruhestand versetzt werden. Die Verwaltungsfeatures sind auf die Reaktivierung der Computer beschränkt.
AMT-Einschaltbefehle	Diese Technologie ist sicherer als herkömmliche Aktivierungspakete, da für die Authentifizierung und Verschlüsselung Sicherheitsprotokolle verwendet werden, die dem Industriestandard entsprechen. Kann in eine vorhandene PKI-Bereitstellung integriert werden, und die Sicherheitssteuerung ist vom Produkt unabhängig verwaltbar. Die automatische zentralisierte Installation und Konfiguration (AMT-Bereitstellung) werden unterstützt. Festgelegte Transportsitzung für eine zuverlässigere und überprüfbarere Verbindung. Computer können interaktiv reaktiviert (und neu gestartet) werden. Computer können interaktiv heruntergefahren werden. Zusätzliche Verwaltungsfunktionen. Dazu gehören u. a.: Neustarten eines nicht funktionstüchtigen Computers und Starten von einem lokal angeschlossenen Gerät bzw. aus einer bekanntermaßen guten Startabbilddatei Erstellen eines neuen Abbilds für einen Computer durch Starten von einer im Netzwerk gespeicherten Startabbilddatei oder durch Verwenden eines PXE-Servers. Erneutes Konfigurieren der BIOS-Einstellungen auf einem ausgewählten Computer und Umgehen des BIOS-Kennworts, wenn diese Funktion vom BIOS-Hersteller unterstützt wird. Starten eines befehlszeilenbasierten Betriebssystems zum Ausführen von Befehlen, Reparaturtools oder Diagnoseanwendungen (z. B. Aktualisieren der Firmware oder Ausführen eines Tools zum Reparieren des Datenträgers).	Für den Standort müssen ein Out-of-Band-Dienstpunkt und ein Anmeldungspunkt verfügbar sein. Diese Technologie wird nur auf Computern mit dem Intel vPro-Chipsatz und einer unterstützten Version der Intel AMT-Firmware (Active Management Technology) unterstützt. Weitere Informationen darüber, welche AMT-Versionen unterstützt werden, finden Sie unter Unterstützte Konfigurationen für den Konfigurations-Manager. Das Festlegen der Transportsitzung dauert länger, erfordert eine höhere Verarbeitungsleistung auf dem Server und eine erhöhte Datenübertragung. Erfordert eine PKI-Bereitstellung und bestimmte Zertifikate. Erfordert einen für die Veröffentlichung von AMT-basierten Computern erstellten und konfigurierten Active Directory-Container. Arbeitsgruppencomputer, Computer einer anderen Active Directory-Gesamtstruktur sowie Computer in derselben Active Directory-Gesamtstruktur, von denen jedoch ein nicht zusammenhängender Namespace verwendet wird, werden nicht unterstützt. DNS und DHCP müssen geändert werden, damit die AMT-Bereitstellung unterstützt werden kann.

Geben Sie an, wie Computer aktiviert werden sollen. Berücksichtigen Sie dabei, ob Sie AMT-Einschaltbefehle unterstützen können und ob die Wake-On-LAN-Technologie von den Computern unterstützt wird, die dem Standort zugewiesen wurden. Erwägen Sie auch die in der obigen Tabelle aufgeführten Vor- und Nachteile beider Technologien. Beispielsweise sind Reaktivierungspakete unzuverlässiger und nicht gesichert, jedoch nimmt das Festlegen von Einschaltbefehlen mehr Zeit in Anspruch und erfordert eine höhere Verarbeitungsleistung auf dem Standortsystemserver, auf dem Out-of-Band-Dienstpunkte konfiguriert sind.

Wichtig

Führen Sie aufgrund des zusätzlichen Arbeitsaufwands zum Festlegen, Verwalten und Beenden einer Out-of-Band-Sitzung mit AMT-basierten Computern Ihre eigenen Tests aus, sodass Sie genau beurteilen können, wie lange die Aktivierung mehrerer Computer mithilfe von AMT-Einschaltbefehlen in Ihrer Umgebung dauert (z. B. über langsame WAN-Verbindungen mit Computern an sekundären Standorten). Anhand der Ergebnisse können Sie entscheiden, ob die Aktivierung mehrerer Computer für geplante Aktivitäten mithilfe von AMT-Einschaltbefehlen zweckmäßig ist, wenn zahlreiche Computer innerhalb eines kurzen Zeitraums aktiviert werden müssen.

Falls Sie sich für herkömmliche Aktivierungspakete entscheiden, müssen Sie außerdem entweder subnetzgesteuerte Broadcastpakete oder Unicastpakete wählen und die UDP-Portnummer angeben. Herkömmliche Aktivierungspakete werden standardmäßig über UDP-Port 9 übertragen. Zur Steigerung der Sicherheit können Sie aber für den Standort einen anderen Port auswählen, sofern dieser Port von beteiligten Routern und Firewalls unterstützt wird.

Bei herkömmlichen Aktivierungspaketen: Auswahl zwischen Unicast und subnetzgesteuerten Broadcasts für Wake-On-LAN

Falls Sie sich für die Aktivierung von Computern mit herkömmlichen Aktivierungspaketen entscheiden, müssen Sie angeben, ob Unicastpakete oder subnetzgesteuerte Broadcastpakete übertragen werden sollen. Wenn Sie einen Aktivierungsproxy mit Configuration Manager SP1 nutzen, müssen Sie Unicastpakete verwenden. Orientieren Sie sich andernfalls bei der Auswahl der Übertragungsmethode an der folgenden Tabelle.

Übertragungsmethode	Vorteil	Nachteil
Unicast	Diese Lösung ist sicherer als subnetzgesteuerte Broadcasts, weil das Paket nicht an alle Computer in einem Subnetz, sondern direkt an einen Computer gesendet wird. Eine Neukonfiguration der Router ist möglicherweise nicht erforderlich (Sie müssen eventuell den ARP-Cache konfigurieren). Belegt weniger Netzwerkbandbreite als subnetzgesteuerte Broadcasts. Unterstützt mit IPv4 und IPv6.	Zielcomputer, deren Subnetzadresse seit der letzten geplanten Hardwareinventur geändert wurde, werden von Aktivierungspaketen nicht gefunden. Es müssen möglicherweise Switches zum Weiterleiten der UDP-Pakete konfiguriert werden. Bei manchen Netzwerkadapter ist die Aktivierung durch Aktivierungspakete möglicherweise nicht in allen Ruhezuständen möglich, wenn als Übertragungsmethode Unicast verwendet wird.
Subnetzgesteuerte Broadcasts	Höhere Erfolgsrate als Unicast, wenn die IP-Adressen einiger Computer innerhalb des gleichen Subnetzes sich oft ändern Keine Switchneukonfiguration erforderlich Hohe Kompatibilitätsrate mit Computernetzwerkkarten in allen Ruhezuständen, weil subnetzgesteuerte Broadcasts die Originalübertragungsmethode zum Senden von Reaktivierungspaketen sind	Diese Lösung ist weniger sicher als Unicast, da von einem Angreifer kontinuierlich ICMP-Echoanforderungen von einer gefälschten Quelladresse an die gesteuerte Broadcastadresse gesendet werden könnten. Dies führt dazu, dass von allen Hosts Antworten an diese Quelladresse gesendet werden. Wenn Router für die Verwendung subnetzgesteuerter Broadcasts konfiguriert sind, wird die folgende zusätzliche Konfiguration aus Sicherheitsgründen empfohlen: Konfigurieren Sie Router so, dass von ihnen nur IP-gesteuerte Broadcasts vom Configuration Manager-Standortserver zugelassen werden. Verwenden Sie hierzu die angegebene UDP-Portnummer. Configuration Manager muss so konfiguriert werden, dass die angegebene, nicht der Standardeinstellung entsprechende Portnummer verwendet wird. Erfordert möglicherweise die Neukonfiguration aller beteiligten Router, damit subnetzgesteuerte Broadcasts möglich werden. Belegt mehr Netzwerkbandbreite als Unicast-Übertragungen. Nur mit IPv4 unterstützt, keine Unterstützung für IPv6.

Warnung

Subnetzgesteuerte Broadcasts gehen mit Sicherheitsrisiken einher: Ein Angreifer könnte permanent ICMP-Echoanforderungen (Internet Control Message Protocol) von einer gefälschten Quelladresse an die gesteuerte Broadcastadresse senden. Dies würde dazu führen, dass alle Hosts Antworten an diese Quelladresse senden. Diese Art von DoS-Angriff wird allgemein als „Smurf Attack“ bezeichnet und üblicherweise dadurch verhindert, dass keine subnetzgesteuerten Broadcasts zugelassen werden.

Planen der Kommunikation zwischen Gesamtstrukturen im Configuration Manager

Von System Center 2012 Configuration Manager werden Standorte und Hierarchien unterstützt, die mehrere Active Directory-Gesamtstrukturen umfassen.

Von Configuration Manager werden auch Domänencomputer unterstützt, die sich nicht in der gleichen Active Directory-Gesamtstruktur wie der Standortserver befinden, sowie Computer in Arbeitsgruppen:

• Zur Unterstützung von Domänencomputern in einer Gesamtstruktur, die von der Gesamtstruktur des Standortservers als nicht vertrauenswürdig eingestuft wird, können Sie Standortsystemrollen in der nicht vertrauenswürdigen Gesamtstruktur installieren. Die Standortinformationen können Sie dann in der Active Directory-Gesamtstruktur des Clients veröffentlichen. Sie können diese Computer aber auch so verwalten, als ob es sich um Arbeitsgruppencomputer handeln würde. Wenn sie Standortsystemserver in der Gesamtstruktur des Clients installieren, verbleibt die Kommunikation zwischen Client und Server in der Gesamtstruktur des Clients. Der Computer kann in Configuration Manager mithilfe von Kerberos authentifiziert werden. Wenn Sie Standortinformationen in der Gesamtstruktur des Clients veröffentlichen, hat dies Vorteile für die Clients, denn Standortinformationen, beispielsweise eine Liste verfügbarer Verwaltungspunkte, werden aus ihrer Active Directory-Gesamtstruktur abgerufen und müssen nicht vom ihnen zugewiesenen Verwaltungspunkt heruntergeladen werden.

  Hinweis
  Wenn Sie Geräte im Internet verwalten möchten, können Sie internetbasierte Standortsystemrollen in Ihrem Umkreisnetzwerk installieren, wenn sich die Standortsystemserver in einer Active Directory-Gesamtstruktur befinden. Für dieses Szenario ist keine bidirektionale Vertrauensstellung zwischen dem Umkreisnetzwerk und der Gesamtstruktur des Standortservers erforderlich.

• Zur Unterstützung von Computern in einer Arbeitsgruppe müssen Sie diese manuell genehmigen, wenn von ihnen HTTPS-Client-Verbindungen zu Standortsystemrollen verwendet werden, da diese Computer von Configuration Manager nicht mithilfe von Kerberos authentifiziert werden können. Darüber hinaus müssen Sie das Netzwerkzugriffskonto konfigurieren, damit von diesen Computern Inhalt vom Verteilungspunkt abgerufen werden kann. Da von diesen Clients keine Standortinformationen aus den Active Directory-Domänendiensten abgerufen werden können, brauchen Sie eine Alternative zum Suchen von Verwaltungspunkten. Sie können die DNS-Veröffentlichung oder WINS verwenden bzw. einen Verwaltungspunkt direkt zuweisen.

  Weitere Informationen zur Clientgenehmigung in Konfigurieren von Einstellungen für Clientgenehmigung und in Konflikt stehende Datensätze finden Sie unter Konfigurieren von Einstellungen für die Clientverwaltung in Configuration Manager.

  Informationen zum Konfigurieren des Netzwerkzugriffskontos finden Sie im Abschnitt Konfigurieren des Netzwerkzugriffskontos des Themas Konfigurieren der Inhaltsverwaltung in Configuration Manager.

  Informationen zum Installieren von Clients auf Arbeitsgruppencomputern finden Sie im Abschnitt Installieren von Configuration Manager-Clients auf Arbeitsgruppencomputern des Themas Installieren von Clients auf Windows-Computern in Configuration Manager.

Der Exchange Server-Connector wird von Configuration Manager in einer anderen Gesamtstruktur als der Standortserver unterstützt. Achten Sie in diesem Fall darauf, dass die Namensauflösung in allen Gesamtstrukturen möglich ist (konfigurieren Sie beispielsweise DNS-Weiterleitung), und geben Sie beim Konfigurieren des Exchange Server-Connectors die Intranet-FQDN von Exchange Server an. Weitere Informationen finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Exchange.

Wenn ein Configuration Manager-Entwurf mehrere Active Directory-Domänen und -Gesamtstrukturen umfasst, verwenden Sie die zusätzlichen Informationen in der nachstehenden Tabelle, um die folgenden Kommunikationstypen zu planen.

Szenario	Details	Weitere Informationen
Kommunikation zwischen Standorten in einer Hierarchie, die mehrere Gesamtstrukturen umfasst: Zwischen Gesamtstrukturen ist eine bidirektionale Vertrauensstellung, die die von Configuration Manager benötigte Kerberos-Authentifizierung unterstützt, erforderlich.	Die Installation eines untergeordneten Standorts in einer Remotegesamtstruktur, die die erforderliche bidirektionale Vertrauensstellung mit der Gesamtstruktur des übergeordneten Standorts hat, wird von Configuration Manager unterstützt. Beispiel: Sie können einen sekundären Standort in einer anderen Gesamtstruktur als den übergeordneten primären Standort platzieren, sofern die erforderliche Vertrauensstellung vorliegt. Falls es zwischen Gesamtstrukturen keine bidirektionale Vertrauensstellung gibt, die die Kerberos-Authentifizierung unterstützt, wird die Platzierung des untergeordneten Standorts in der Remotegesamtstruktur von Configuration Manager nicht unterstützt. Hinweis Bei einem untergeordneten Standort kann es sich um einen primären Standort (wobei der Standort der zentralen Verwaltung der übergeordnete Standort ist) oder um einen sekundären Standort handeln. Für die standortübergreifende Kommunikation werden in Configuration Manager die Datenbankreplikation und dateibasierte Übertragungen verwendet. Beim Installieren eines Standorts müssen Sie ein Konto angeben, um den Standort auf dem gewünschten Server zu installieren. Über dieses Konto wird auch die Kommunikation zwischen Standorten hergestellt und verwaltet. Nachdem der Standort erfolgreich installiert wurde und dateibasierte Übertragungen sowie die Datenbankreplikation initiiert wurden, ist die Konfiguration der Kommunikation für diesen Standort abgeschlossen. Weitere Informationen zum Installieren eines Standorts finden Sie im Abschnitt Installieren eines Standortservers des Themas Installieren von Standorten und Erstellen einer Hierarchie für Configuration Manager.	Wenn eine bidirektionale Vertrauensstellung zwischen Gesamtstrukturen gegeben ist, sind in Configuration Manager keine weiteren Konfigurationsschritte erforderlich. Bei der Installation eines neuen Standorts, der einem anderen Standort untergeordnet ist, wird von Configuration Manager standardmäßig Folgendes konfiguriert: Eine Adresse für die standortübergreifende, dateibasierte Replikation an jedem Standort, von dem das Computerkonto des Standortservers verwendet wird. Das Computerkonto jedes Computers wird von Configuration Manager der Gruppe SMS_SiteToSiteConnection_<Standortcode> auf dem Zielcomputer hinzugefügt. Datenbankreplikation zwischen SQL Server an jedem Standort Außerdem muss Folgendes konfiguriert werden: Die von Configuration Manager benötigten Netzwerkpakete müssen von beteiligten Firewalls und Netzwerkgeräte zugelassen werden. Die Namensauflösung muss zwischen den Gesamtstrukturen möglich sein. Zum Installieren eines Standorts oder einer Standortsystemrolle müssen Sie ein Konto mit lokalen Administratorrechten auf dem angegebenen Computer angeben.
Kommunikation an einem Standort, der mehrere Gesamtstrukturen umfasst: Keine bidirektionale Vertrauensstellung erforderlich	Primäre Standorte unterstützen die Installation von Standortsystemrollen auf Computern in anderen Gesamtstrukturen. Zwei Ausnahmen sind der Out-of-Band-Dienstpunkt und der Anwendungskatalog-Webdienstpunkt, die in derselben Gesamtstruktur wie der Standortserver installiert werden müssen. Wenn von einer Standortsystemrolle Verbindungen aus dem Internet akzeptiert werden, wird empfohlen, diese Standortsystemrollen an einem Standort zu installieren, an dem die Gesamtstrukturgrenze Schutz für den Standortserver bereitstellt (z. B. in einem Umkreisnetzwerk). Wenn Sie eine Standortsystemrolle auf einem Computer in einer nicht vertrauenswürdigen Gesamtstruktur installieren: Geben Sie ein Standortsystem-Installationskonto an, das verwendet wird, um die Standortsystemrolle zu installieren. Für dieses Konto sind lokale Administratorrechte zum Herstellen einer Verbindung mit dem angegebenen Computer sowie zum Installieren von Standortsystemrollen auf diesem Computer erforderlich. Sie müssen die Standortsystemoption Verbindungen mit diesem Standortsystem müssen vom Standortserver hergestellt werden aktivieren. Damit müssen vom Standortserver Verbindungen mit dem Standortsystemserver hergestellt werden, um Daten zu übertragen. Dies verhindert, dass der Computer am nicht vertrauenswürdigen Standort einen Kontakt mit dem Standortserver initiiert, der sich in Ihrem vertrauenswürdigen Netzwerk befindet. Diese Verbindungen verwenden das Standortsystem-Installationskonto. Wenn Sie eine Standortsystemrolle in einer nicht vertrauenswürdigen Gesamtstruktur verwenden, müssen Firewalls den Netzwerkdatenverkehr zulassen, selbst wenn der Standortserver die Datenübertragung initiiert. Außerdem benötigen die folgenden Standortsystemrollen einen direkten Zugriff auf die Standortdatenbank. Aus diesem Grund müssen Firewalls entsprechenden Datenverkehr aus der nicht vertrauenswürdigen Gesamtstruktur an SQL-Standortserver zulassen: Asset Intelligence-Synchronisierungspunkt Endpoint Protection-Punkt Anmeldungspunkt Verwaltungspunkt Reporting Services-Punkt Zustandsmigrationspunkt Weitere Informationen finden Sie unter Technische Referenz für Ports in Configuration Manager.	Von den Standortsystemrollen „Verwaltungspunkt“ und „Anmeldungspunkt“ wird eine Verbindung mit der Standortdatenbank hergestellt. Bei der Installation dieser Standortsystemrollen wird das Computerkonto des neuen Standortsystemservers von Configuration Manager standardmäßig als Verbindungskonto konfiguriert und der entsprechenden SQL Server-Datenbankrolle hinzugefügt. Wenn Sie diese Standortsystemrollen in einer nicht vertrauenswürdigen Domäne installieren, müssen Sie das Verbindungskonto der Standortsystemrolle konfigurieren, damit von der Standortsystemrolle Informationen aus der Datenbank abgerufen werden können. Wenn Sie für diese Verbindungskonten ein Domänenbenutzerkonto konfigurieren, achten Sie darauf, dass diesem Konto geeignete Zugriffsrechte für die SQL Server-Datenbank am Standort erteilt wurden: Verwaltungspunkt: Verwaltungspunkt-Datenbankverbindungskonto Anmeldungspunkt: Anmeldungspunkt-Verbindungskonto Erwägen Sie beim Planen von Standortsystemrollen in anderen Gesamtstrukturen auch die folgenden Punkte: Legen Sie bei Verwendung einer Windows-Firewall in den entsprechenden Firewall-Profilen fest, dass die Kommunikation zwischen dem Standortdatenbankserver und Computern, auf den Remote-Standortsystemrollen installiert sind, zulässig ist. Informationen zu Firewall-Profilen finden Sie unter Grundlegendes zu Firewall-Profilen. Wenn die Gesamtstruktur, die die Benutzerkonten enthält, von den internetbasierten Verwaltungspunkten als vertrauenswürdig eingestuft wird, werden Benutzerrichtlinien unterstützt. Wenn keine Vertrauensstellung vorhanden ist, werden nur Computerrichtlinien unterstützt.
Kommunikation zwischen Clients und Standortsystemrollen, wenn die Clients nicht der gleichen Active Directory-Gesamtstruktur wie der zugehörige Standortserver angehören	Von Configuration Manager werden die folgenden Szenarien für Clients unterstützt, die sich nicht in derselben Gesamtstruktur wie der Standortserver ihres Standorts befinden: Zwischen der Gesamtstruktur des Clients und der Gesamtstruktur des Standortservers besteht eine bidirektionale Vertrauensstellung. Der Standortsystemrollenserver befindet sich in der gleichen Gesamtstruktur wie der Client. Der Client befindet sich auf einem Domänencomputer ohne bidirektionale Vertrauensstellung mit der Gesamtstruktur, und es sind keine Standortsystemrollen in der Gesamtstruktur des Clients installiert. Der Client befindet sich auf einem Arbeitsgruppencomputer. Hinweis Die Out-of-Band-Verwaltung AMT-basierter Computer durch Configuration Manager ist nicht möglich, wenn diese Computer sich in einer anderen Gesamtstruktur als der Standortserver befinden.	Die Active Directory-Domänendienste können von Clients auf einem Domänencomputer zur Dienstidentifizierung verwendet werden, sofern der entsprechende Standort in der Active Directory-Gesamtstruktur veröffentlicht wurde. Zum Veröffentlichen von Standortinformationen in einer anderen Active Directory-Gesamtstruktur müssen Sie zuerst die Gesamtstruktur angeben. Aktivieren Sie dann im Arbeitsbereich Verwaltung im Knoten Active Directory-Gesamtstrukturen die Veröffentlichung in dieser Gesamtstruktur. Außerdem müssen Sie für jeden Standort festlegen, dass die Standortdaten in den Active Directory-Domänendiensten veröffentlicht werden sollen. Von den Clients in dieser Gesamtstruktur können dann Standortinformationen abgerufen und Verwaltungspunkte gefunden werden. Für Clients, von denen keine Active Directory-Domänendienste zur Dienstidentifizierung verwendet werden können, besteht die Möglichkeit, DNS, WINS oder den Verwaltungspunkt zu verwenden, der dem Client zugewiesen wurde.

Planen der internetbasierten Clientverwaltung

Mithilfe der internetbasierten Clientverwaltung können Sie Configuration Manager-Clients verwalten, wenn diese nicht mit Ihrem Unternehmensnetzwerk, sondern standardmäßig mit dem Internet verbunden sind. Diese Möglichkeit bietet eine Reihe von Vorteilen, einschließlich geringerer Kosten, da keine VPNs (Virtuelle Private Netzwerke) ausgeführt werden müssen und Softwareupdates umgehend bereitgestellt werden können.

Für die Verwaltung von Clientcomputern in einem öffentlichen Netzwerk gelten höhere Sicherheitsanforderungen. Bei der internetbasierten Clientverwaltung müssen sowohl von den Clients, als auch von den Standortsystemservern, mit denen von den Clients eine Verbindung hergestellt wird, PKI-Zertifikate verwendet werden. Hierdurch wird gewährleistet, dass Verbindungen von einer unabhängigen Stelle authentifiziert und Daten bei der Übertragung von und zu diesen Standortsystemen mit Secure Sockets Layer (SSL) verschlüsselt werden.

In den folgenden Abschnitten wird die Planung der internetbasierten Clientverwaltung eingehender erörtert.

Features, die im Internet nicht unterstützt werden

Einige Clientverwaltungsfunktionen eignen sich nicht für das Internet und werden daher bei der Clientverwaltung im Internet nicht unterstützt. Viele Features, die bei der internetbasierten Verwaltung nicht unterstützt werden, sind auf die Active Directory-Domänendienste angewiesen oder für ein öffentliches Netzwerk ungeeignet, wie z. B. Netzwerkermittlung und Wake-On-LAN (WOL).

Die folgenden Features werden bei Clientverwaltung im Internet nicht unterstützt:

• Clientbereitstellung über das Internet, wie Clientpush und die auf Softwareupdates basierende Clientbereitstellung. Verwenden Sie stattdessen die manuelle Clientinstallation.

• Automatische Standortzuweisung

• Netzwerkzugriffsschutz (NAP)

• Wake-On-LAN

• Betriebssystembereitstellung Sie können aber Tasksequenzen bereitstellen, mit denen kein Betriebssystem bereitgestellt wird. Dazu gehören beispielsweise Tasksequenzen zur Ausführung von Skripts und Wartungstasks auf Clients.

• Remotesteuerung

• Out-of-Band-Verwaltung

• Softwarebereitstellung für Benutzer, es sei denn, der Benutzer kann vom internetbasierten Verwaltungspunkt in den Active Directory-Domänendiensten mit der Windows-Authentifizierung (Kerberos oder NTLM) authentifiziert werden. Dies ist möglich, wenn die Gesamtstruktur, in der das Benutzerkonto sich befindet, vom internetbasierten Verwaltungspunkt als vertrauenswürdig eingestuft wird.

Im Übrigen wird von der internetbasierten Clientverwaltung kein Roaming unterstützt. Mithilfe von Roaming kann von Clients immer der nächstgelegene Verteilungspunkt zum Herunterladen von Inhalt ermittelt werden. Bei den im Internet verwalteten Clients erfolgt die Kommunikation mit Standortsystemen über den jeweils zugewiesenen Standort. Dies ist nur möglich, wenn diese Standortsysteme zur Verwendung eines Internet-FQDN konfiguriert wurden und Clientverbindungen aus dem Internet von den Standortsystemrollen gestattet werden. Eines der internetbasierten Standortsysteme wird auf nicht deterministische Weise und unabhängig von der Bandbreite oder vom physischen Standort von den Clients ausgewählt.

Hinweis

Softwareupdatepunkte, von denen Verbindungen aus dem Internet akzeptiert werden, werden in System Center 2012 Configuration Manager jetzt immer von internetbasierten Configuration Manager-Clients geprüft. Auf diese Weise wird festgestellt, welche Softwareupdates erforderlich sind. Allerdings wird von internetbasierten Clients immer zuerst versucht, die Softwareupdates von Microsoft Update herunterzuladen, anstatt von einem internetbasierten Verteilungspunkt. Nur wenn dies nicht möglich ist, wird versucht, die erforderlichen Softwareupdates von einem internetbasierten Verteilungspunkt herunterzuladen. Softwareupdates werden von Clients, die nicht für die internetbasierte Clientverwaltung konfiguriert sind, immer über Configuration Manager-Verteilungspunkte und nie von Microsoft Update heruntergeladen.

Überlegungen zur Clientkommunikation aus dem Internet oder einer nicht vertrauenswürdigen Gesamtstruktur

Die folgenden, an primären Standorten installierten Standortsystemrollen unterstützen Verbindungen von Clients, die sich an nicht vertrauenswürdigen Standorten wie dem Internet oder einer nicht vertrauenswürdigen Gesamtstruktur befinden (sekundäre Standorte unterstützen keine Clientverbindungen von nicht vertrauenswürdigen Standorten):

• Anwendungskatalog-Websitepunkt

• Configuration Manager-Richtlinienmodul

• Verteilungspunkt (HTTPS ist für cloudbasierte Verteilungspunkte erforderlich)

• Anmeldungsproxypunkt

• Fallbackstatuspunkt

• Verwaltungspunkt

• Softwareupdatepunkt

Informationen zu Standortsystemen mit Internetzugriff:
Es gibt zwar keine Voraussetzung, eine Vertrauensstellung zwischen der Gesamtstruktur eines Clients und der des Standortservers einzurichten, aber wenn die Gesamtstruktur mit einem Standortsystem mit Internetzugriff der Gesamtstruktur vertraut, die die Benutzerkonten enthält, unterstützt diese Konfiguration benutzerbasierte Richtlinien für Geräte im Internet, wenn Sie die Clientrichtlinien-Clienteinstellung Benutzerrichtlinienanforderungen von Internetclients aktivieren aktivieren.

Aus den nachstehenden Konfigurationsbeispielen geht hervor, unter welchen Umständen Benutzerrichtlinien für Geräte im Internet von der internetbasierten Clientverwaltung unterstützt werden:

• Der internetbasierte Verwaltungspunkt befindet sich im Umkreisnetzwerk, wo der Benutzer von einem schreibgeschützten Domänencontroller authentifiziert wird und Active Directory-Pakete von einer beteiligten Firewall zugelassen werden.

• Das Benutzerkonto befindet sich in Gesamtstruktur A (im Internet) und der internetbasierte Verwaltungspunkt in Gesamtstruktur B (im Umkreisnetzwerk). Gesamtstruktur A wird von Gesamtstruktur B als vertrauenswürdig eingestuft, und die Authentifizierungspakete werden von einer beteiligten Firewall zugelassen.

• Das Benutzerkonto und der internetbasierte Verwaltungspunkt befinden sich in Gesamtstruktur A (im Intranet). Der Verwaltungspunkt wird über einen Webproxyserver im Internet veröffentlicht (wie Forefront Threat Management Gateway).

Hinweis
Sollte die Kerberos-Authentifizierung nicht möglich sein, wird automatisch die Authentifizierung über NTLM versucht.

Wie aus dem vorstehenden Beispiel hervorgeht, können Sie internetbasierte Standortsysteme im Intranet platzieren, wenn diese über einen Webproxyserver wie ISA Server und Forefront Threat Management Gateway im Internet veröffentlicht werden. Sie können für diese Standortsysteme festlegen, dass Clientverbindungen nur aus dem Internet oder sowohl aus dem Intranet als auch aus dem Internet unterstützt werden. Einen Webproxyserver können Sie für SSL-zu-SSL-Bridging (Secure Sockets Layer) oder SSL-Tunneling konfigurieren (wobei von Ersterem ein höheres Maß an Sicherheit geboten wird):

• SSL-zu-SSL-Bridging:
  Wenn Sie Proxywebserver bei der internetbasierten Clientverwaltung einsetzen, ist SSL-zu-SSL-Bridging empfehlenswert, bei dem ein SSL-Tunnelabschluss mit Authentifizierung verwendet wird. Die Authentifizierung von Clientcomputern muss über die Computerauthentifizierung erfolgen. Die Authentifizierung der Legacyclients mobiler Geräte erfolgt über die Benutzerauthentifizierung. SSL-Bridging wird von mobilen Geräten, die mithilfe von Configuration Manager angemeldet wurden, nicht unterstützt.

  Der SSL-Tunnelabschluss für den Proxywebserver hat den Vorteil, dass Pakete aus dem Internet überprüft werden, bevor sie an das interne Netzwerk weitergeleitet werden. Die vom Client eingehende Verbindung wird vom Proxywebserver authentifiziert und beendet, und dann wird eine neue authentifizierte Verbindung mit dem internetbasierten Standortsystem hergestellt. Wenn von Configuration Manager-Clients ein Proxywebserver verwendet wird, wird die Clientidentität (Client-GUID) sicher als Bestandteil der Paketnutzdaten transportiert, sodass der Proxywebserver vom Verwaltungspunkt nicht als Client betrachtet wird. In Configuration Manager wird kein HTTP-zu-HTTPS- oder HTTPS-zu-HTTP-Bridging unterstützt.

• Tunneling:
  Falls die Anforderungen für SSL-Bridging vom Proxywebserver nicht erfüllt werden können oder falls Sie die Internetunterstützung für mobile Geräte, die mithilfe von Configuration Manager angemeldet wurden, konfigurieren möchten, wird auch SSL-Tunneling unterstützt. Diese Option ist weniger sicher, da die SSL-Pakete aus dem Internet ohne SSL-Tunnelabschluss an die Standortsysteme weitergeleitet werden und daher nicht auf schädliche Inhalte überprüft werden können. Bei der Verwendung von SSL-Tunneling müssen vom Proxywebserver keine Zertifikatanforderungen erfüllt werden.

Planen internetbasierter Clients

Sie müssen entscheiden, ob die Clientcomputer, die über das Internet verwaltet werden sollen, für die Verwaltung im Intranet und im Internet oder lediglich für die internetbasierte Clientverwaltung konfiguriert werden. Die Konfiguration der Clientverwaltungsoption ist nur während der Installation eines Clientcomputers möglich. Sollten Sie Ihre Meinung später ändern, müssen Sie den Client neu installieren.

Hinweis
Für System Center 2012 R2 Configuration Manager und höher:Wenn Sie einen internetfähigen Verwaltungspunkt konfigurieren, werden Clients, die eine Verbindung zu dem Verwaltungspunkt herstellen internetfähig, wenn sie als Nächstes die Liste der verfügbaren Verwaltungspunkte aktualisieren.

Tipp
Sie müssen die Konfiguration der internetbasierten Clientverwaltung nicht auf das Internet beschränken, sondern können sie auch im Intranet einsetzen.

Bei Clients, die nur für die internetbasierte Clientverwaltung konfiguriert sind, ist die Kommunikation nur mit Standortsystemen möglich, die für Clientverbindungen aus dem Internet konfiguriert sind. Diese Konfiguration eignet sich für Computer, bei denen eine Verbindung mit dem Unternehmensintranet grundsätzlich ausgeschlossen werden kann, z. B. Point-of-Sale-Computer an Remotestandorten. Sie ist gegebenenfalls auch dann die richtige Lösung, wenn Sie die Clientkommunikation auf HTTPS beschränken möchten (z. B. zur Unterstützung von Firewall- und Sicherheitsrichtlinien). Denkbar ist ihre Verwendung auch, wenn Sie internetbasierte Standortsysteme in einem Umkreisnetzwerk installieren und diese Server mit dem Configuration Manager-Client verwalten möchten.

Wenn Sie Arbeitsgruppen im Internet verwalten möchten, müssen Sie bei der Installation angeben, dass von ihnen nur Internetverbindungen zugelassen werden.

Hinweis
Clients für mobile Geräte werden automatisch nur für das Internet konfiguriert, wenn sie zur Verwendung eines internetbasierten Verwaltungspunkts konfiguriert sind.

Andere Clientcomputer können für die Clientverwaltung über das Internet oder das Intranet konfiguriert werden. Bei einer Netzwerkänderung ist ein automatischer Wechsel zwischen internet- und intranetbasierter Clientverwaltung möglich. Falls keine Verbindung mit einem für Clientverbindungen im Intranet konfigurierten Verwaltungspunkt möglich ist bzw. kein solcher Verwaltungspunkt gefunden wird, werden diese Clients als Intranetclients mit voller Configuration Manager-Verwaltungsfunktionalität verwaltet. Falls keine Verbindung mit einem für Clientverbindungen im Intranet konfigurierten Verwaltungspunkt möglich ist bzw. kein solcher Verwaltungspunkt gefunden wird, wird versucht, eine Verbindung mit einem internetbasierten Verwaltungspunkt herzustellen. Ist dies möglich, werden diese Clients von den internetbasierten Standortsystemen am zugewiesenen Standort verwaltet.

Der automatische Wechsel zwischen internet- und intranetbasierter Clientverwaltung bietet folgende Vorteile: Bei einer Verbindung mit dem Intranet stehen den Clientcomputern automatisch alle Configuration Manager-Features zur Verfügung, und bei einer Verbindung mit dem Internet werden wichtige Verwaltungsfunktionen weiterhin verwendet. Außerdem kann ein im Internet begonnener Download nahtlos im Intranet fortgeführt werden und umgekehrt.

Voraussetzungen für die internetbasierte Clientverwaltung

Für die internetbasierte Clientverwaltung in Configuration Manager gelten die folgenden externen Abhängigkeiten:

Abhängigkeit	Weitere Informationen
Über das Internet verwaltete Clients müssen über eine Internetverbindung verfügen.	In Configuration Manager werden vorhandene Internetverbindungen von Internetdienstanbietern (Internet Service Provider, ISP) verwendet, bei denen es sich um permanente oder temporäre Verbindungen handeln kann. Für mobile Clientgeräte muss es eine direkte Internetverbindung geben. Bei Clientcomputern hingegen ist eine direkte Internetverbindung oder eine Verbindung über einen Proxywebserver möglich.
Standortsysteme, von den die internetbasierte Clientverwaltung unterstützt wird, müssen eine Internetverbindung haben und sich in einer Active Directory-Domäne befinden.	Für internetbasierte Standortsysteme ist keine Vertrauensstellung mit der Active Directory-Gesamtstruktur des Standortservers erforderlich. Wenn aber die Authentifizierung des Benutzers mithilfe der Windows-Authentifizierung durch den internetbasierten Verwaltungspunkt möglich ist, werden Benutzerrichtlinien unterstützt. Falls bei der Windows-Authentifizierung ein Fehler auftritt, werden nur Computerrichtlinien unterstützt. Hinweis Zur Unterstützung von Benutzerrichtlinien müssen Sie die beiden folgenden Clienteinstellungen unter Clientrichtlinie auf Wahr festlegen: Benutzerrichtlinienabruf auf Clients aktivieren Benutzerrichtlinienanforderungen von Internetclients aktivieren Bei einem internetbasierten Anwendungskatalog-Websitepunkt müssen Benutzer, deren Computer sich im Internet befinden, ebenfalls über die Windows-Authentifizierung authentifiziert werden. Diese Anforderung besteht unabhängig von Benutzerrichtlinien.
Sie benötigen eine Public Key-Infrastruktur (PKI) zur Bereitstellung und Verwaltung der Zertifikate, die für die Clients erforderlich sind und. Die Zertifikate müssen sowohl im Internet als auch auf den internetbasierten Standortsystemservern verwaltet werden.	Weitere Informationen zu den PKI-Zertifikaten finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.
Die folgenden Infrastrukturdienste müssen zur Unterstützung der internetbasierten Clientverwaltung konfiguriert werden: Öffentliche DNS-Server: Der internetgestützte, vollständig qualifizierte Domänenname (FQDN) von Standortsystemen, die die internetbasierte Clientverwaltung unterstützen, muss auf öffentlichen DNS-Servern als Hosteintrag registriert sein. Beteiligte Firewalls oder Proxyserver: Die mit internetbasierten Standortsystemen verbundene Clientkommunikation muss von diesen Netzwerkgeräten zugelassen werden.	Anforderungen für die Clientkommunikation: Unterstützung von HTTP 1.1 Zulassen des HTTP-Inhaltstyps mehrteiliger MIME-Anlagen (mehrteilige/gemischte und Anwendungs-/Oktettstream) Zulassen der folgenden Verben für den internetbasierten Verwaltungspunkt: HEAD CCM_POST BITS_POST GET PROPFIND Zulassen der folgenden Verben für den internetbasierten Verteilungspunkt: HEAD GET PROPFIND Zulassen der folgenden Verben für den internetbasierten Fallbackstatuspunkt: POST Zulassen der folgenden Verben für den internetbasierten Anwendungskatalog-Websitepunkt: POST GET Zulassen der folgenden HTTP-Header für den internetbasierten Verwaltungspunkt: Range: CCMClientID: CCMClientIDSignature: CCMClientTimestamp: CCMClientTimestampsSignature: Zulassen des folgenden HTTP-Headers für den internetbasierten Verwaltungspunkt: Range: Informationen zu diesen Anforderungen finden Sie in der Dokumentation zur Firewall oder zum Proxyserver. Informationen zu ähnlichen Kommunikationsanforderungen bei Verwendung des Softwareupdatepunkts für Clientverbindungen über das Internet finden Sie in der Dokumentation zu Windows Server Update Services (WSUS). Weitere Informationen zu WSUS unter Windows Server 2003 finden Sie in Appendix D: Security Settings (Anhang D: Sicherheitseinstellungen).

Planen der Netzwerkbandbreite in Configuration Manager

In System Center 2012 Configuration Manager gibt es mehrere Methoden zur Steuerung der Netzwerkbandbreite, die bei der Kommunikation zwischen Standorten, Standortsystemservern und Clients in Anspruch genommen wird. Allerdings kann nicht die gesamte Kommunikation im Netzwerk verwaltet werden. In den folgenden Abschnitten werden die Methoden erläutert, die Ihnen zur Steuerung der Netzwerkbandbreite und beim Entwerfen der Standorthierarchie zur Verfügung stehen.

Beim Entwerfen der Configuration Manager-Hierarchie sollten Sie bedenken, in welchem Umfang Netzwerkdaten bei der standortübergreifenden und standortinternen Kommunikation übertragen werden.

Hinweis
Dateireplikationsrouten (vor Configuration Manager SP1 als Adressen bezeichnet) werden lediglich für die standortübergreifende Kommunikation verwendet. Bei der standortinternen Kommunikation zwischen Standortservern und Standortsystemen kommen sie nicht zum Einsatz.

Steuern der Auslastung der Netzwerkbandbreite zwischen Standorten

Von Configuration Manager werden Daten mithilfe von dateibasierter Replikation und Datenbankreplikation zwischen den Standorten übertragen. In den Versionen vor Configuration Manager mit SP1 konnten Sie die dateibasierte Replikation zum Steuern der Netzwerkbandbreite für Übertragungen konfigurieren, nicht aber die Netzwerkbandbreite für die Datenbankreplikation. Ab Configuration Manager SP1 können Sie für ausgewählte Standortdaten die Nutzung der Netzwerkbandbreite für die Datenbankreplikation konfigurieren.

Wenn Sie Netzwerkbandbreitensteuerungen konfigurieren, müssen Sie sich auf potenzielle Datenlatenz einstellen. Wurde die Kommunikation zwischen Standorten eingeschränkt oder nur für die Datenübertragung außerhalb der normalen Geschäftszeiten konfiguriert, können Administratoren am übergeordneten oder untergeordneten Standort bestimmte Daten möglicherweise erst einsehen, wenn die standortübergreifende Kommunikation stattgefunden hat. Wird beispielsweise ein wichtiges Softwareupdatepaket an Verteilungspunkte gesendet, die sich auf untergeordneten Standorten befinden, steht das Paket diesen Standorten möglicherweise erst nach Abschluss der gesamten noch ausstehenden standortübergreifenden Kommunikation zur Verfügung. Dabei kann es sich beispielsweise um sehr große Pakete handeln, die noch nicht vollständig übertragen wurden.

• Steuerelemente für die dateibasierte Replikation: Bei dateibasierten Datenübertragungen zwischen Standorten wird die gesamte verfügbare Netzwerkbandbreite von Configuration Manager in Anspruch genommen. Sie können diesen Prozess steuern, indem Sie den Absender an einem Standort zum Vergrößern oder Verkleinern der zwischen Standorten gesendeten Threads konfigurieren. Gesendete Threads dienen zur Übertragung jeweils einer Datei. Durch zusätzliche Threads können weitere Dateien zum gleichen Zeitpunkt übertragen werden, wodurch die Auslastung der Bandbreite zunimmt. Geben Sie in den Standorteigenschaften auf der Registerkarte Absender unter Maximale Anzahl gleichzeitiger Sendevorgänge einen Wert ein, um die Threadanzahl bei Übertragungen zwischen Standorten festzulegen.

  Zum Steuern von dateibasierten Datenübertragungen zwischen Standorten können Sie planen, wann von Configuration Manager eine Dateireplikationsroute an einen bestimmten Standort verwendet werden darf. Sie können den Umfang der verfügbaren Netzwerkbandbreite, die Größe der Datenblöcke und das Intervall zum Senden der Datenblöcke steuern. Über zusätzliche Konfigurationen können Sie Datenübertragungen anhand der Priorität des Datentyps einschränken. Sie können für jeden Standort in der Hierarchie Zeitpläne festlegen und die Datenübertragungsrate begrenzen, indem Sie die Eigenschaften der Dateireplikationsroute für jeden Zielstandort konfigurieren. Konfigurationen für eine Dateireplikationsroute gelten nur für die Datenübertragungen an den Zielstandort, der für diese Route angegeben wurde.

  Weitere Informationen über Dateireplikationsrouten finden Sie im Unterabschnitt „Dateireplikationsrouten“ im Abschnitt Planen der Kommunikation zwischen Standorten in Configuration Manager dieses Themas.

  Wichtig

  Wenn Sie eine Begrenzung der Übertragungsrate für eine bestimmte Dateireplikationsroute konfigurieren, steht für Configuration Manager nur ein einziger Thread für die Übertragung von Daten auf diesen Zielstandort zur Verfügung. Durch die Verwendung von Übertragungsratenbegrenzungen für eine Dateireplikationsroute wird die unter Maximale Anzahl gleichzeitiger Sendevorgänge konfigurierte Verwendung mehrerer Threads für jeden Standort außer Kraft gesetzt.

• Steuerelemente für die Datenbankreplikation: Ab Configuration Manager SP1 können Sie Datenbankreplikationslinks konfigurieren, um die Verwendung der Netzwerkbandbreite für die Übertragung ausgewählter Standortdaten zwischen Standorten zu steuern. Einige Steuerelemente ähneln denjenigen für dateibasierte Replikation. Es kann jedoch zusätzlich geplant werden, wann über diesen Link die Replikation von Hardwareinventur, Softwareinventur, Softwaremessung und Statusmeldungen an den übergeordneten Standort erfolgt.

  Weitere Informationen finden Sie im Abschnitt Datenbankreplikation dieses Themas.

Steuern der Auslastung der Netzwerkbandbreite zwischen Standortsystemservern

Innerhalb eines Standorts geschieht die Kommunikation zwischen Standortsystemen mithilfe von Server Message Blocks (SMB). Diese Kommunikation kann jederzeit stattfinden und bietet keine Möglichkeit zur Steuerung der Netzwerkbandbreite. Wenn Sie allerdings auf den Standortservern Übertragungsratenbegrenzungen und Zeitpläne zum Steuern der Übertragung von Daten über das Netzwerk auf Vermittlungspunkte konfigurieren, stehen Ihnen für die Verwaltung von Inhaltsübertragungen vom Standortserver auf Verteilungspunkte ähnliche Steuerungselemente zur Verfügung wie für dateibasierte Übertragungen zwischen Standorten.

Steuern der Auslastung der Netzwerkbandbreite zwischen Clients und Standortsystemservern

Zwischen Clients und verschiedenen Standortsystemservern wird häufig kommuniziert. Von Clients wird beispielsweise mit einem Standortsystemserver kommuniziert, auf dem ein Verwaltungspunkt ausgeführt wird, um das Vorhandensein einer Clientrichtlinie zu überprüfen, oder mit einem Standortsystemserver, auf dem ein Verteilungspunkt ausgeführt wird, um Inhalte zum Installieren einer Anwendung oder eines Softwareupdates herunterzuladen. Die Häufigkeit dieser Verbindungen und der Umfang der über das Netzwerk übertragenen Daten auf einen oder von einem Client sind abhängig von den Zeitplänen und Konfigurationen, die Sie als Clienteinstellungen festlegen.

In der Regel ist für Richtlinienanforderungen von Clients eine geringe Netzwerkbandbreite erforderlich. Die Netzwerkbandbreite kann hoch sein, wenn Clients auf Inhalte für Bereitstellungen zugreifen oder Informationen, wie z. B. Hardwareinventurdaten, an den Standort senden.

Sie können Clienteinstellungen angeben, um die Häufigkeit der vom Client initiierten Netzwerkkommunikation steuern. Darüber hinaus können Sie konfigurieren, wie Clients auf Bereitstellungsinhalte zugreifen, z. B. mithilfe von BITS (Background Intelligent Transfer Service). Damit Inhalte über BITS heruntergeladen werden können, muss der Client für die Verwendung von BITS konfiguriert sein. Wenn der Client BITS nicht verwenden kann, wird SMB für die Übertragung von Inhalten verwendet.

Weitere Informationen zu Clienteinstellungen in Configuration Manager finden Sie unter Planen von Clienteinstellungen in Configuration Manager.

Siehe auch

Planen der Configuration Manager-Standorte und -Hierarchie