Comunicaciones entre puntos de conexión en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
En este artículo se describe cómo Configuration Manager sistemas de sitio y clientes se comunican a través de la red. Incluye las secciones siguientes:
Comunicaciones entre sistemas de sitio en un sitio
Cuando Configuration Manager sistemas de sitio o componentes se comunican a través de la red con otros sistemas de sitio o componentes del sitio, usan uno de los siguientes protocolos, en función de cómo configure el sitio:
Bloque de mensajes del servidor (SMB)
HTTP
HTTPS
Con la excepción de la comunicación desde el servidor de sitio a un punto de distribución, las comunicaciones de servidor a servidor en un sitio pueden producirse en cualquier momento. Estas comunicaciones no usan mecanismos para controlar el ancho de banda de red. Dado que no puede controlar la comunicación entre sistemas de sitio, asegúrese de instalar servidores de sistema de sitio en ubicaciones que tengan redes rápidas y bien conectadas.
Servidor de sitio al punto de distribución
Para ayudarle a administrar la transferencia de contenido desde el servidor de sitio a los puntos de distribución, use las estrategias siguientes:
Configure el punto de distribución para el control y la programación del ancho de banda de red. Estos controles son similares a las configuraciones que usan las direcciones entre sitios. Use esta configuración en lugar de instalar otro sitio Configuration Manager cuando la transferencia de contenido a ubicaciones de red remotas sea su principal consideración de ancho de banda.
Puede instalar un punto de distribución como punto de distribución preconfigurado. Un punto de distribución preconfigurado permite usar contenido que se coloca manualmente en el servidor de punto de distribución y elimina el requisito de transferir archivos de contenido a través de la red.
Para obtener más información, consulte Administración del ancho de banda de red para la administración de contenido.
Comunicaciones de clientes a sistemas y servicios de sitio
Los clientes inician la comunicación con roles de sistema de sitio, Servicios de dominio de Active Directory y servicios en línea. Para habilitar estas comunicaciones, los firewalls deben permitir el tráfico de red entre los clientes y el punto de conexión de sus comunicaciones. Para obtener más información sobre los puertos y protocolos que usan los clientes cuando se comunican con estos puntos de conexión, consulte Puertos usados en Configuration Manager.
Antes de que un cliente pueda comunicarse con un rol de sistema de sitio, el cliente usa la ubicación del servicio para buscar un rol que admita el protocolo del cliente (HTTP o HTTPS). De forma predeterminada, los clientes usan el método más seguro disponible para ellos. Para obtener más información, consulte Descripción de cómo los clientes encuentran recursos y servicios del sitio.
Para ayudar a proteger la comunicación entre Configuration Manager clientes y servidores de sitio, configure una de las siguientes opciones:
Use una infraestructura de clave pública (PKI) e instale certificados PKI en clientes y servidores. Permitir que los sistemas de sitio se comuniquen con los clientes a través de HTTPS. Para obtener información sobre cómo usar certificados, consulte Requisitos de certificados PKI.
Configure el sitio para usar certificados generados por Configuration Manager para sistemas de sitio HTTP. Para obtener más información, vea HTTP mejorado.
Al implementar un rol de sistema de sitio que usa Internet Information Services (IIS) y admite la comunicación desde clientes, debe especificar si los clientes se conectan al sistema de sitio mediante HTTP o HTTPS. Si usa HTTP, también debe considerar las opciones de firma y cifrado. Para obtener más información, consulte Planeamiento de la firma y el cifrado.
Importante
A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.
Comunicación entre el cliente y el punto de administración
Hay dos fases cuando un cliente se comunica con un punto de administración: autenticación (transporte) y autorización (mensaje). Este proceso varía en función de los siguientes factores:
- Configuración del sitio: solo HTTPS, permite HTTP o HTTPS, o permite HTTP o HTTPS con HTTP mejorado habilitado
- Configuración del punto de administración: HTTPS o HTTP
- Identidad del dispositivo para escenarios centrados en dispositivos
- Identidad de usuario para escenarios centrados en el usuario
Use la tabla siguiente para comprender cómo funciona este proceso:
Tipo de MP | Autenticación del cliente | Autorización de cliente Identidad del dispositivo |
Autorización de cliente Identidad de usuario |
---|---|---|---|
HTTP | Anónimo Con HTTP mejorado, el sitio comprueba el token de dispositivo o usuario de identificador de Microsoft Entra. |
Solicitud de ubicación: anónima Paquete de cliente: Anónimo Registro, mediante uno de los métodos siguientes para probar la identidad del dispositivo: - Anónimo (aprobación manual) - Autenticación integrada de Windows : Microsoft Entra token de dispositivo de identificador (HTTP mejorado) Después del registro, el cliente usa la firma de mensajes para demostrar la identidad del dispositivo. |
Para escenarios centrados en el usuario, use uno de los métodos siguientes para demostrar la identidad del usuario: - Autenticación integrada de Windows - Microsoft Entra token de usuario de identificador (HTTP mejorado) |
HTTPS | Con uno de los métodos siguientes: - Certificado PKI - Autenticación integrada de Windows - Microsoft Entra token de dispositivo o usuario de identificador |
Solicitud de ubicación: anónima Paquete de cliente: Anónimo Registro, mediante uno de los métodos siguientes para probar la identidad del dispositivo: - Anónimo (aprobación manual) - Autenticación integrada de Windows - Certificado PKI - Microsoft Entra token de dispositivo o usuario de identificador Después del registro, el cliente usa la firma de mensajes para demostrar la identidad del dispositivo. |
Para escenarios centrados en el usuario, use uno de los métodos siguientes para demostrar la identidad del usuario: - Autenticación integrada de Windows : Microsoft Entra token de usuario de id. |
Sugerencia
Para obtener más información sobre la configuración del punto de administración para diferentes tipos de identidad de dispositivo y con la puerta de enlace de administración en la nube, consulte Habilitación del punto de administración para HTTPS.
Comunicación entre el cliente y el punto de distribución
Cuando un cliente se comunica con un punto de distribución, solo necesita autenticarse antes de descargar el contenido. Use la tabla siguiente para comprender cómo funciona este proceso:
Tipo DP | Autenticación del cliente |
---|---|
HTTP | - Anónimo, si se permite - Autenticación integrada de Windows con cuenta de equipo o cuenta de acceso de red - Token de acceso al contenido (HTTP mejorado) |
HTTPS | - Certificado PKI - Autenticación integrada de Windows con cuenta de equipo o cuenta de acceso de red - Token de acceso al contenido |
Consideraciones sobre las comunicaciones de cliente desde Internet o un bosque que no es de confianza
Para más información, consulte los siguientes artículos:
Comunicaciones entre bosques de Active Directory
Configuration Manager admite sitios y jerarquías que abarcan bosques de Active Directory. También admite equipos de dominio que no están en el mismo bosque de Active Directory que el servidor de sitio y equipos que están en grupos de trabajo.
Compatibilidad con equipos de dominio en un bosque que no es de confianza para el bosque del servidor de sitio
Instalar roles de sistema de sitio en ese bosque que no es de confianza, con la opción de publicar información del sitio en ese bosque de Active Directory
Administrar estos equipos como si fueran equipos de grupo de trabajo
Al instalar servidores de sistema de sitio en un bosque de Active Directory que no es de confianza, la comunicación de cliente a servidor de los clientes de ese bosque se mantiene dentro de ese bosque y Configuration Manager puede autenticar el equipo mediante Kerberos. Al publicar información del sitio en el bosque del cliente, los clientes se benefician de recuperar información del sitio, como una lista de puntos de administración disponibles, de su bosque de Active Directory, en lugar de descargar esta información desde su punto de administración asignado.
Nota:
Si desea administrar dispositivos que están en Internet, puede instalar roles de sistema de sitio basados en Internet en la red perimetral cuando los servidores del sistema de sitio se encuentren en un bosque de Active Directory. Este escenario no requiere confianza bidireccional entre la red perimetral y el bosque del servidor de sitio.
Compatibilidad con equipos en un grupo de trabajo
Apruebe manualmente los equipos del grupo de trabajo cuando usen conexiones de cliente HTTP a roles de sistema de sitio. Configuration Manager no puede autenticar estos equipos mediante Kerberos.
Configure los clientes del grupo de trabajo para que usen la cuenta de acceso de red para que estos equipos puedan recuperar contenido de puntos de distribución.
Proporcione un mecanismo alternativo para que los clientes del grupo de trabajo busquen puntos de administración. Use la publicación de DNS o asigne directamente un punto de administración. Estos clientes no pueden recuperar información del sitio de Servicios de dominio de Active Directory.
Para más información, consulte los siguientes artículos:
Escenarios para admitir un sitio o jerarquía que abarca varios dominios y bosques
Escenario 1: Comunicación entre sitios de una jerarquía que abarca bosques
Este escenario requiere una confianza de bosque bidireccional que admita la autenticación Kerberos. Si no tiene una confianza de bosque bidireccional que admita la autenticación Kerberos, Configuration Manager no admite un sitio secundario en el bosque remoto.
Configuration Manager admite la instalación de un sitio secundario en un bosque remoto que tenga la confianza bidireccional necesaria con el bosque del sitio primario. Por ejemplo, puede colocar un sitio secundario en un bosque diferente de su sitio primario principal siempre que exista la confianza necesaria.
Nota:
Un sitio secundario puede ser un sitio primario (donde el sitio de administración central es el sitio primario) o un sitio secundario.
La comunicación entre sitios en Configuration Manager usa la replicación de bases de datos y las transferencias basadas en archivos. Al instalar un sitio, debe especificar una cuenta con la que instalar el sitio en el servidor designado. Esta cuenta también establece y mantiene la comunicación entre sitios. Una vez que el sitio se instala e inicia correctamente las transferencias basadas en archivos y la replicación de base de datos, no es necesario configurar nada más para la comunicación con el sitio.
Cuando existe una confianza de bosque bidireccional, Configuration Manager no requiere ningún paso de configuración adicional.
De forma predeterminada, al instalar un nuevo sitio secundario, Configuration Manager configura los siguientes componentes:
Una ruta de replicación basada en archivos entre sitios en cada sitio que usa la cuenta de equipo del servidor de sitio. Configuration Manager agrega la cuenta de equipo de cada equipo al grupo SMS_SiteToSiteConnection_<sitecode> en el equipo de destino.
Replicación de base de datos entre los servidores SQL Server en cada sitio.
Establezca también las siguientes configuraciones:
Los firewalls intermedios y los dispositivos de red deben permitir los paquetes de red que Configuration Manager requiere.
La resolución de nombres debe funcionar entre los bosques.
Para instalar un rol de sistema de sitio o sitio, debe especificar una cuenta que tenga permisos de administrador local en el equipo especificado.
Escenario 2: Comunicación en un sitio que abarca bosques
Este escenario no requiere una confianza de bosque bidireccional.
Los sitios primarios admiten la instalación de roles de sistema de sitio en equipos de bosques remotos.
- Cuando un rol de sistema de sitio acepta conexiones desde Internet, como procedimiento recomendado de seguridad, instale los roles de sistema de sitio en una ubicación donde el límite del bosque proporciona protección para el servidor de sitio (por ejemplo, en una red perimetral).
Para instalar un rol de sistema de sitio en un equipo de un bosque que no es de confianza:
Especifique una cuenta de instalación del sistema de sitio, que el sitio usa para instalar el rol de sistema de sitio. (Esta cuenta debe tener credenciales administrativas locales a las que conectarse). A continuación, instale los roles de sistema de sitio en el equipo especificado.
Seleccione la opción del sistema de sitio Requerir que el servidor de sitio inicie conexiones a este sistema de sitio. Esta configuración requiere que el servidor de sitio establezca conexiones con el servidor de sistema de sitio para transferir datos. Esta configuración impide que el equipo de la ubicación que no es de confianza inicie contacto con el servidor de sitio que se encuentra dentro de la red de confianza. Estas conexiones usan la cuenta de instalación del sistema de sitio.
Para usar un rol de sistema de sitio que se instaló en un bosque que no es de confianza, los firewalls deben permitir el tráfico de red incluso cuando el servidor de sitio inicia la transferencia de datos.
Además, los siguientes roles de sistema de sitio requieren acceso directo a la base de datos del sitio. Por lo tanto, los firewalls deben permitir el tráfico aplicable desde el bosque que no es de confianza al SQL Server del sitio:
Punto de sincronización de Asset Intelligence
Punto de Endpoint Protection
Punto de inscripción
Punto de administración
Punto de servicio de informes
Punto de migración de estado
Para obtener más información, consulte Puertos usados en Configuration Manager.
Es posible que tenga que configurar el punto de administración y el acceso del punto de inscripción a la base de datos del sitio.
De forma predeterminada, al instalar estos roles, Configuration Manager configura la cuenta de equipo del nuevo servidor de sistema de sitio como cuenta de conexión para el rol de sistema de sitio. A continuación, agrega la cuenta al rol de base de datos de SQL Server adecuado.
Al instalar estos roles de sistema de sitio en un dominio que no es de confianza, configure la cuenta de conexión de rol de sistema de sitio para habilitar el rol de sistema de sitio para obtener información de la base de datos.
Si configura una cuenta de usuario de dominio para que sea la cuenta de conexión de estos roles de sistema de sitio, asegúrese de que la cuenta de usuario de dominio tenga acceso adecuado a la base de datos de SQL Server en ese sitio:
Punto de administración: Cuenta de conexión de base de datos de punto de administración
Punto de inscripción: cuenta de conexión de punto de inscripción
Tenga en cuenta la siguiente información adicional cuando planee roles de sistema de sitio en otros bosques:
Si ejecuta Firewall de Windows, configure los perfiles de firewall aplicables para pasar las comunicaciones entre el servidor de base de datos de sitio y los equipos instalados con roles de sistema de sitio remotos.
Cuando el punto de administración basado en Internet confía en el bosque que contiene las cuentas de usuario, se admiten las directivas de usuario. Cuando no existe confianza, solo se admiten directivas de equipo.
Escenario 3: Comunicación entre clientes y roles de sistema de sitio cuando los clientes no están en el mismo bosque de Active Directory que su servidor de sitio
Configuration Manager admite los siguientes escenarios para los clientes que no están en el mismo bosque que el servidor de sitio de su sitio:
Hay una confianza de bosque bidireccional entre el bosque del cliente y el bosque del servidor de sitio.
El servidor de roles de sistema de sitio se encuentra en el mismo bosque que el cliente.
El cliente está en un equipo de dominio que no tiene una confianza de bosque bidireccional con el servidor de sitio y los roles de sistema de sitio no están instalados en el bosque del cliente.
El cliente está en un equipo de grupo de trabajo.
Los clientes de un equipo unido a un dominio pueden usar Servicios de dominio de Active Directory para la ubicación del servicio cuando su sitio se publica en su bosque de Active Directory.
Para publicar información del sitio en otro bosque de Active Directory:
Especifique el bosque y, a continuación, habilite la publicación en ese bosque en el nodo Bosques de Active Directory del área de trabajo Administración .
Configure cada sitio para publicar sus datos en Servicios de dominio de Active Directory. Esta configuración permite a los clientes de ese bosque recuperar información del sitio y buscar puntos de administración. Para los clientes que no pueden usar Servicios de dominio de Active Directory para la ubicación del servicio, puede usar DNS o el punto de administración asignado del cliente.
Escenario 4: Colocación del conector de Exchange Server en un bosque remoto
Para admitir este escenario, asegúrese de que la resolución de nombres funciona entre los bosques. Por ejemplo, configure los reenvíos de DNS. Al configurar el conector de Exchange Server, especifique el FQDN de intranet del Exchange Server. Para obtener más información, consulte Administración de dispositivos móviles con Configuration Manager y Exchange.