Planeación de las comunicaciones en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Antes de instalar System Center 2012 Configuration Manager, planee comunicaciones de red entre los diferentes sitios de una jerarquía, los diferentes servidores de sistema de sitio de un sitio, y los clientes y servidores de sistema de sitio. Estas comunicaciones pueden encontrarse en un único dominio, o pueden comprender varios bosques de Active Directory. También tendrá que planear las comunicaciones para administrar clientes en Internet.
Consulte las siguientes secciones de este tema para ayudarle a planear las comunicaciones en Configuration Manager.
Planeación de las comunicaciones entre sitios en Configuration Manager
Replicación basada en archivo
Replicación de base de datos
Planeación de las comunicaciones entre sitios en Configuration Manager
Planeación de las comunicaciones de cliente en Configuration Manager
Comunicaciones iniciadas por clientes
Ubicación del servicio y cómo los clientes averiguan su punto de administración asignado
Planeación de la reactivación de clientes
Planeación de las comunicaciones a través de bosques en Configuration Manager
Planeación de la administración de cliente basada en Internet
Características no admitidas en Internet
Consideraciones sobre las comunicaciones de cliente desde Internet o desde un bosque que no es de confianza
Planeación de clientes basados en Internet
Requisitos previos para la administración de cliente basada en Internet
Planeación del ancho de banda de red en Configuration Manager
Control del uso de ancho de banda de red entre sitios
Control del uso de ancho de banda de red entre servidores de sistema de sitio
Control del uso de ancho de banda de red entre clientes y servidores de sistema de sitio
Novedades de Configuration Manager
Nota
La información de esta sección también aparece en la guía Introducción a System Center 2012 Configuration Manager.
Los elementos siguientes son nuevos o han cambiado para la comunicación de sitios desde Configuration Manager 2007:
La comunicación de sitio a sitio ahora utiliza la replicación de base de datos además de la replicación basada en archivo para muchas de las transferencias de datos de sitio a sitio, incluida la configuración.
El concepto de Configuration Manager 2007 de sitios de modo mixto o modo nativo para definir la forma en que los clientes se comunican con los sistemas de sitio en el sitio se ha cambiado por roles de sistema de sitio que pueden admitir de forma independiente comunicaciones de clientes HTTP o HTTPS.
Para ayudar a admitir equipos cliente en otros bosques, Configuration Manager puede detectar equipos y publicar información del sitio en estos bosques.
Ya no se utiliza el punto de ubicación de servidor y la funcionalidad de este rol de sistema de sitio se trasladó al punto de administración.
La administración de clientes basada en Internet ahora es compatible con lo siguiente:
Directivas de usuario cuando el punto de administración basado en Internet puede autenticar al usuario mediante la autenticación de Windows (Kerberos o NTLM).
Secuencias de tareas simples, tales como scripts. La implementación del sistema operativo en Internet sigue siendo no compatible.
Los clientes basados en Internet primero intentan descargar las actualizaciones de software necesarias desde Microsoft Update, en lugar de hacerlo desde un punto de distribución basado en Internet en su sitio asignado. Solo si se produce un error, intentan descargar las actualizaciones de software necesarias desde un punto de distribución basado en Internet.
Novedades de Configuration Manager SP1
Nota
La información de esta sección también aparece en la guía Introducción a System Center 2012 Configuration Manager.
Los elementos siguientes son nuevos o cambiaron para la comunicación de sitios para Configuration Manager SP1:
Las rutas de replicación de archivos reemplazan las direcciones para la replicación basada en archivos entre sitios. Esto es solo un cambio en el nombre para la replicación basada en archivos, y aporta coherencia con la replicación de base de datos. No hay ningún cambio en la funcionalidad.
Configurar vínculos de replicación de bases de datos entre bases de datos del sitio para controlar, y supervisar el tráfico de red para la replicación de bases de datos:
Utilizar las vistas distribuidas para impedir la replicación de datos del sitio seleccionados de un sitio primario al sitio de administración central. El sitio de administración central, a continuación, obtiene acceso a estos datos directamente desde la base de datos del sitio primario.
Programar la transferencia de datos del sitio seleccionados a través de vínculos de replicación de bases de datos.
Controlar la frecuencia en que se resume el tráfico de replicación para los informes.
Definir umbrales personalizados que generen alertas si hay problemas de replicación.
Configurar los controles de replicación para la base de datos de SQL Server en un sitio:
Cambiar el puerto que Configuration Manager usa para SQL Server Service Broker.
Configurar el período de tiempo de espera antes de que un error de replicación active un sitio para que reinicialice su copia de la base de datos de sitio.
Configurar una base de datos de sitio para comprimir los datos que se replican mediante replicación de base de datos. Los datos se comprimen solo para transferirse entre sitios y no para almacenarse en la base de datos de cada sitio.
Cuando los clientes de Configuration Manager SP1 ejecutan Windows 7, Windows 8, Windows Server 2008 R2 o Windows Server 2012, es posible complementar la configuración de Wake On LAN del sitio para paquetes de unidifusión mediante la configuración de cliente proxy de reactivación. Esta combinación ayuda a reactivar equipos en subredes sin la necesidad de volver a configurar los conmutadores de red.
Planeación de las comunicaciones entre sitios en Configuration Manager
En una jerarquía de Configuration Manager, cada sitio se comunica con su sitio principal y sus sitios secundarios directos mediante dos métodos de transferencia de datos: replicación basada en archivos y replicación de base de datos. Los sitios secundarios no sólo se comunican con sus sitios primarios principales mediante la utilización de ambos métodos de transferencia de datos, pero también se pueden comunicar con otros sitios secundarios mediante la replicación basada en archivos para distribuir contenido a ubicaciones de red remotas.
Configuration Manager utiliza la replicación basada en archivos y la replicación de base de datos para transferir distintos tipos de información entre sitios.
Replicación basada en archivo
Configuration Manager utiliza la replicación basada en archivos para transferir datos basados en archivos entre sitios de la jerarquía. Estos datos incluyen contenido, como aplicaciones y paquetes, que desea implementar en puntos de distribución de sitios secundarios, así como registros de datos de detección no procesados que se transfieren a sitios principales donde se procesan.
La comunicación entre sitios basada en archivos usa el protocolo de Bloque de mensajes del servidor (SMB) a través del puerto TCP/IP 445 Puede especificar configuraciones que incluyan la limitación de ancho de banda y el modo por pulsos para controlar el volumen de datos transferidos a través de la red, y programas para controlar cuándo enviar datos a través de la red.
A partir de Configuration Manager SP1, se cambia el nombre de las direcciones a las rutas de replicación de archivos a fin de que sean coherentes con la replicación de base de datos. Con anterioridad a SP1, Configuration Manager utiliza una dirección para conectarse al recurso compartido SMS_SITE en el servidor de sitio de destino para transferir datos basados en archivos. Las direcciones y rutas de replicación de archivos funcionan de la misma forma, y admiten la misma configuración.
Las siguientes secciones están dedicadas a los cambios introducidos en el Service Pack 1, y se hace referencia a las rutas de replicación de archivos, en lugar de a las direcciones. Si utiliza Configuration Manager sin Service Pack, utilice la información de la siguiente tabla para volver a convertir las referencias a las rutas de replicación de archivos en referencias relacionadas con las direcciones.
A partir de Configuration Manager con SP1 |
Configuration Manager sin Service Pack |
---|---|
Cuenta de replicación de archivos |
Cuenta de dirección de sitio |
Ruta de replicación de archivos |
Dirección |
Nodo Replicación de archivos en la consola de Configuration Manager |
Nodo Direcciones en la consola de Configuration Manager |
Rutas de replicación de archivos
Configuration Manager utiliza rutas de replicación de archivos para transferir datos basados en archivos entre los sitios de una jerarquía. Las rutas de replicación de archivos reemplazan las direcciones, que se utilizan en versiones anteriores de Configuration Manager. La funcionalidad de las rutas de replicación de archivos no varía con respecto a las direcciones. En la siguiente tabla se proporciona información acerca de las rutas de replicación de archivos.
Objeto |
Más información |
||
---|---|---|---|
Ruta de replicación de archivos |
Cada ruta de replicación de archivos identifica un sitio de destino al que se pueden transferir los datos basados en archivos. Cada sitio admite una única ruta de replicación de archivos en un sitio de destino específico. Configuration Manager admite las siguientes configuraciones para las rutas de replicación de archivos:
Para administrar una ruta de replicación de archivos, en el área de trabajo Administración, expanda el nodo Configuración de jerarquía y, a continuación, seleccione Replicación de archivos. |
||
Remitente |
Cada sitio tiene un remitente. El remitente administra la conexión de red desde un sitio a un sitio de destino y puede establecer conexiones a varios sitios al mismo tiempo. Para conectarse a un sitio, el remitente utiliza la ruta de replicación de archivos al sitio para identificar la cuenta que se va a utiliza para establecer la conexión de red. El remitente también utiliza esta cuenta para escribir datos en el recurso compartido SMS_SITE del sitio de destino. De forma predeterminada, el remitente escribe datos en un sitio de destino mediante el uso de varios envíos simultáneos, lo que normalmente se conoce como un subproceso. Cada envío simultáneo, o subproceso, puede transferir un objeto basado en archivo diferente al sitio de destino. De forma predeterminada, cuando el remitente comienza a enviar un objeto, continúa escribiendo bloques de datos para ese objeto hasta que se envía todo el objeto. Una vez que se han enviado todos los datos para el objeto, un nuevo objeto puede empezar a enviar ese subproceso. Puede configurar los siguientes valores para un remitente:
Para administrar el remitente para un sitio, expanda el nodo Configuración de sitio del área de trabajo Administración, seleccione Sitios y, a continuación, haga clic en Propiedades del sitio que desea administrar. Haga clic en la pestaña Remitente para cambiar la configuración del remitente. |
Replicación de base de datos
La replicación de base de datos de Configuration Manager usa SQL Server para transferir datos y combinar cambios realizados en una base de datos de sitio con la información almacenada en la base de datos de otros sitios de la jerarquía. Esto permite que todos los sitios compartan la misma información. La replicación de base de datos se configura automáticamente en todos los sitios de Configuration Manager. Cuando se instala un sitio en una jerarquía, la replicación de base de datos se configura automáticamente entre el nuevo sitio y su sitio primario designado. Cuando finaliza la instalación del sitio, se inicia automáticamente la replicación de base de datos.
Cuando se instala un nuevo sitio en una jerarquía, Configuration Manager crea una base de datos genérica en el nuevo sitio. A continuación, el sitio primario crea una instantánea de los datos relevantes en su base de datos y transfiere esa instantánea al nuevo sitio mediante replicación basada en archivos. A continuación, el nuevo sitio usa un programa de copia masiva (BCP) de SQL Server para cargar la información en su copia local de la base de datos de Configuration Manager. Después de cargar la instantánea, cada sitio lleva a cabo la replicación de base de datos con el otro sitio.
Para replicar datos entre sitios, Configuration Manager utiliza su propio servicio de replicación de base de datos. El servicio de replicación de base de datos utiliza el seguimiento de cambios de SQL Server para supervisar los cambios de la base de datos de sitio local y, a continuación, replica esos cambios en otros sitios mediante SQL Server Service Broker. De forma predeterminada, este proceso utiliza el puerto TCP/IP 4022.
Configuration Manager agrupa los datos replicados mediante la replicación de base de datos en grupos de replicación diferentes. Cada grupo de replicación tiene una programación de replicación independiente y fija que determina la frecuencia con que los cambios en los datos del grupo se replican a otros sitios. Por ejemplo, un cambio en una configuración de administración basada en roles se replica rápidamente en otros sitios para garantizar que estos cambios se apliquen lo más pronto posible. Sin embargo, un cambio de configuración de menor prioridad, como una solicitud para instalar un nuevo sitio secundario, se replica con menos urgencia, y transcurren varios minutos hasta que la solicitud de nuevo sitio alcanza el sitio primario de destino.
Nota
La replicación de base de datos de Configuration Manager está configurada automáticamente y no admite la configuración de grupos de replicación o programaciones de replicación. Sin embargo, a partir de Configuration Manager SP1, puede configurar vínculos de replicación de base de datos para controlar cuándo recorre la red un determinado tipo de tráfico. También puede configurar cuándo Configuration Manager genera alertas relativas a los vínculos de replicación que tengan un estado degradado o con errores.
Configuration Manager clasifica los datos replicados mediante replicación de base de datos como datos globales o datos de sitio. Cuando se produce la replicación de base de datos, los cambios en los datos globales y los datos de sitio se transfieren a través del vínculo de replicación de base de datos. Los datos globales se pueden replicar en un sitio primario o en un sitio secundario, mientras que los datos de sitio sólo se replican en un sitio primario. Existe un tercer tipo de datos denominado datos locales, que no se replica en otros sitios. Los datos locales incluyen información que no requieren otros sitios:
Datos globales: los datos globales hacen referencia a objetos creados por el administrador que se replican en todos los sitios a lo largo de la jerarquía, aunque los sitios secundarios reciben sólo un subconjunto de datos globales, como los datos de proxy globales. Entre los ejemplos de datos globales, se incluyen implementaciones de software, actualizaciones de software, definiciones de colecciones y ámbitos de seguridad de la administración basada en roles. Los administradores pueden crear datos globales en sitios de administración central y en sitios primarios.
Datos del sitio: los datos de sitio hacen referencia a información operativa creada por sitios primarios de Configuration Manager y los clientes que se comunican con los sitios primarios. Los datos de sitio se replican en el sitio de administración central pero no en otros sitios primarios. Entre los ejemplos de datos de sitio se incluyen datos de inventario de hardware, mensajes de estado, alertas y los resultados de las recopilaciones basadas en consultas. Los datos de sitio solo están visibles en el sitio de administración central y en el sitio primario donde se originan los datos. Los datos de sitio pueden modificarse únicamente en el sitio primario donde se crearon.
Todos los datos de sitio se replican en el sitio de administración central; por lo tanto, el sitio de administración central puede encargarse de la administración y la generación de informes para toda la jerarquía.
Use la información de las secciones siguientes para planear el uso de los controles disponibles a partir de Configuration Manager SP1 para configurar vínculos de replicación de base de datos entre sitios y para configurar controles en cada base de datos de sitio. Estos controles pueden ayudarle a controlar y supervisar el tráfico de red creado por la replicación de bases de datos.
Vínculos de replicación de base de datos
Cuando se instala un nuevo sitio en una jerarquía, Configuration Manager crea automáticamente un vínculo de replicación de base de datos entre los dos sitios. Para conectar el nuevo sitio al sitio primario, se crea un único vínculo.
A partir de Configuration Manager SP1, cada vínculo de replicación de base de datos admite configuraciones que le ayudan a controlar la transferencia de datos a través del vínculo de replicación. Cada vínculo de replicación es compatible con configuraciones independientes. Los controles para los vínculos de replicación de base de datos incluyen los siguientes:
Usar vistas distribuidas para detener la replicación de datos de sitio seleccionados desde un sitio primario al sitio de administración central, y habilitar el sitio de administración central para que acceda directamente a estos datos desde la base de datos del sitio primario.
Programar cuándo se transfieren los datos de sitio seleccionados desde un sitio primario secundario al sitio de administración central.
Definir la configuración que determina cuándo un vínculo de replicación de base de datos está en un estado degradado o con errores.
Configurar cuándo se generan alertas para un vínculo de replicación con errores.
Especificar la frecuencia con que Configuration Manager resume los datos sobre el tráfico de replicación que utiliza el vínculo de replicación. Estos datos se utilizan en los informes.
Para configurar una replicación de base de datos, es necesario editar las propiedades para el vínculo en la consola de Configuration Manager, desde el nodo Replicación de base de datos. Este nodo aparece en el área de trabajo Supervisión. A partir de Configuration Manager SP1, este nodo también aparece en el nodo Configuración de jerarquía del área de trabajo Administración. Es posible editar un vínculo de replicación desde el sitio primario o el sitio secundario del vínculo de replicación.
Sugerencia |
---|
Es posible editar los vínculos de replicación de base de datos desde el nodo Replicación de base de datos en cualquier área de trabajo. No obstante, cuando se usa el nodo Replicación de base de datos en el área de trabajo Supervisión, también se puede ver el estado de la replicación de base de datos para los vínculos de replicación y acceder a la herramienta Replication Link Analyzer para investigar problemas con la replicación de base de datos. |
Para más información sobre cómo configurar vínculos de replicación, consulte Controles de replicación de bases de datos de sitio. Para más información sobre cómo supervisar la replicación, consulte la sección Cómo supervisar los vínculos de replicación de bases de datos y el estado de replicación en el tema Supervisión de sitios y jerarquía de Configuration Manager.
Utilice la información de las secciones siguientes para planear los vínculos de replicación de base de datos.
Planeación del uso de vistas distribuidas
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
Las vistas distribuidas permiten realizar solicitudes en un sitio de administración central para datos de sitio seleccionados, para acceder a esos datos de sitio directamente desde la base de datos en un sitio primario secundario. Este acceso directo reemplaza la necesidad de replicar estos datos de sitios desde el sitio primario al sitio de administración central. Dado que cada vínculo de replicación es independiente de otros vínculos de replicación, se pueden habilitar las vistas distribuidas solo en los vínculos de replicación elegidos. No se admiten vistas distribuidas entre un sitio primario y un sitio secundario.
Las vistas distribuidas pueden proporcionar las siguientes ventajas:
Reducir la carga de CPU para procesar los cambios de la base de datos en el sitio de administración central y los sitios primarios.
Reducir la cantidad de datos que se transfieren a través de la red al sitio de administración central.
Mejorar el rendimiento del servidor SQL Server que hospeda la base de datos de sitios de administración central.
Reducir el espacio en disco utilizado por la base de datos en el sitio de administración central.
Considere la posibilidad de usar vistas distribuidas cuando un sitio primario esté cerca del sitio de administración central en la red, y los dos sitios estén siempre activados y siempre conectados. Las vistas distribuidas reemplazan la replicación de los datos seleccionados entre los sitios con conexiones directas entre los servidores SQL Server en cada sitio. Esta conexión directa se realiza cada vez que se realiza una solicitud de estos datos en el sitio de administración central. Normalmente, las solicitudes de datos que se puedan habilitar para vistas distribuidas se realizan al ejecutar informes o consultas, ver información en Explorador de recursos o mediante la evaluación de colecciones que incluyen reglas basadas en los datos del sitio.
De forma predeterminada, las vistas distribuidas están deshabilitadas para cada vínculo de replicación. Cuando se habilitan vistas distribuidas para un vínculo de replicación, se seleccionan datos de sitio que no se replicarán en el sitio de administración central a través de ese vínculo, y se habilita el sitio de administración central para acceder a estos datos directamente desde la base de datos del sitio primario secundario que comparte el vínculo. Puede configurar los siguientes tipos de datos de sitio para las vistas distribuidas:
Datos de inventario de hardware de clientes
Datos de inventario y de disponibilidad de software de clientes
Mensajes de estado de clientes, el sitio primario y todos los sitios secundarios
Desde el punto de vista operativo, las vistas distribuidas son invisibles para los usuarios administrativos que visualizan datos en la consola de Configuration Manager o en los informes. Cuando se realiza una solicitud de datos que están habilitados para vistas distribuidas, el servidor SQL Server que hospeda la base de datos para el sitio de administración central accede directamente al servidor SQL Server del sito primario secundario para recuperar la información. Un ejemplo sería cuando se usa una consola de Configuration Manager en el sitio de administración central para solicitar información sobre inventario de hardware de dos sitios, y solamente un sitio tiene el inventario de hardware habilitado para una vista distribuida. La información de inventario para los clientes del sitio que no está configurada para vistas distribuidas se recupera de la base de datos en el sitio de administración central. A la información de inventario para los clientes del sitio que está configurado para vistas distribuidas se accede desde la base de datos del sitio primario secundario. Esta información aparece en la consola de Configuration Manager o en el informe sin que haya distinción en cuanto a la fuente.
Siempre que un vínculo de replicación tenga un tipo de datos habilitado para vistas distribuidas, el sitio primario secundario no replica esos datos en el sitio de administración central. Tan pronto como se desactiven las vistas distribuidas para un tipo de datos, el sitio primario secundario reanuda la replicación de esos datos en el sitio de administración central como parte de la replicación de datos normal. Sin embargo, antes de que estos datos estén disponibles en el sitio de administración central, los grupos de replicación que contienen estos datos se deben reinicializar entre el sitio primario y el sitio de administración central. Igualmente, una vez que se desinstale un sitio primario que tenga habilitadas las vistas distribuidas, el sitio de administración central deberá completar la reinicialización de sus datos antes de que se pueda acceder a los datos que se habilitaron para vistas distribuidas en el sitio de administración central.
Importante |
---|
Cuando se usan vistas distribuidas en cualquier vínculo de replicación en la jerarquía, se deben deshabilitar las vistas distribuidas para todos los vínculos de replicación antes de desinstalar cualquier sitio primario. Para obtener más información, consulte la sección Desinstalar un sitio primario configurado con vistas distribuidas del tema Instalación de sitios y creación de una jerarquía para Configuration Manager. |
Requisitos previos y limitaciones para las vistas distribuidas
A continuación, se indican los requisitos previos y las limitaciones para las vistas distribuidas:
El sitio de administración central y en el sitio principal deben ejecutar la misma versión de Configuration Manager y deben tener una versión mínima de SP1
Las vistas distribuidas solo son compatibles con vínculos de replicación entre un sitio de administración central y un sitio primario.
El sitio de administración central sólo puede tener una instancia del proveedor de SMS instalada, y esa instancia debe estar instalada en el servidor de base de datos del sitio. Esto es necesario para admitir la autenticación Kerberos requerida para habilitar el servidor SQL Server en el sitio de administración central y acceder así al servidor SQL Server en el sitio primario secundario. No hay limitaciones en el proveedor de SMS del sitio primario secundario.
El sitio de administración central puede sólo puede tener un punto de SQL Server Reporting Services instalado, y debe estar ubicado en el servidor de base de datos del sitio. Esto es necesario para admitir la autenticación Kerberos requerida para habilitar el servidor SQL Server en el sitio de administración central y acceder así al servidor SQL Server en el sitio primario secundario.
La base de datos del sitio no puede hospedarse en un clúster de SQL Server.
La cuenta de equipo del servidor de base de datos del sitio de administración central requiere permisos de Read en la base de datos del sitio primario.
Las vistas distribuidas y las programaciones de replicación de datos son configuraciones mutuamente exclusivas para un vínculo de replicación de base de datos.
Plan para programar transferencias de datos de sitio en vínculos de replicación de base de datos
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
Para poder controlar el ancho de banda de red que se utiliza para replicar datos de un sitio primario secundario en su sitio de administración central, es posible programar cuándo se va a utilizar un vínculo de replicación y especificar cuándo se van a replicar los distintos tipos de datos de sitio. Es posible controlar cuándo el sitio primario va a replicar los mensajes de estado, el inventario y los datos de disponibilidad. Los vínculos de replicación de base de datos de sitios secundarios no son compatibles con programaciones para datos de sitio. No se puede programar la transferencia de datos globales.
Cuando se configura una programación de vínculos de replicación de base de datos, es posible restringir la transferencia de datos de sitio seleccionados desde el sitio primario al sitio de administración central, además de configurar momentos diferentes para replicar distintos tipos de datos de sitio.
Para más información sobre cómo controlar el uso del ancho de banda de red entre sitios de Configuration Manager, consulte la sección Control del uso de ancho de banda de red entre sitios en este tema.
Plan de resumen de tráfico de replicación de base de datos
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
A partir de Configuration Manager SP1, cada sitio resume periódicamente los datos relativos al tráfico de red que recorre los vínculos de replicación de base de datos que incluyen el sitio. Estos datos resumidos se usan en informes para la replicación de base de datos. Ambos sitios de un vínculo de replicación resumen el tráfico de red que recorre el vínculo de replicación. El resumen de los datos lo realiza el servidor SQL Server que hospeda la base de datos del sitio. Después de resumirse los datos, esta información se replica en otros sitios como datos globales.
De forma predeterminada, el resumen se produce cada 15 minutos. Es posible modificar la frecuencia de resumen del tráfico de red mediante la edición del Intervalo de resumen en las propiedades del vínculo de replicación de base de datos. La frecuencia de resumen afecta a la información que se puede ver en los informes acerca de la replicación de base de datos. Este intervalo se puede establecer entre 5 y 60 minutos. Al aumentar la frecuencia de resumen, aumenta la carga de procesamiento en el servidor SQL Server de cada sitio del vínculo de replicación.
Plan para umbrales de replicación de base de datos
Los umbrales de replicación de base de datos definen cuándo el estado de un vínculo de replicación de base de datos se establece como degradado o con errores. De forma predeterminada, un vínculo se establece como degradado cuando algún grupo de replicación no puede completar la replicación durante 12 intentos consecutivos, y se establece como erróneo cuando no puede replicar durante 24 intentos consecutivos.
A partir de Configuration Manager SP1, se pueden especificar valores personalizados para ajustar cuándo Configuration Manager va a notificar el estado de un vínculo de replicación como degradado o con errores. Con anterioridad a Configuration Manager SP1, no era posible ajustar estos umbrales. La posibilidad de ajustar cuándo Configuration Manager va a notificar cada uno de los estados de los vínculos de replicación de base de datos puede ayudarle a supervisar de forma precisa el estado de la replicación de base de datos en todos los vínculos de replicación.
Ya que es posible que uno o varios grupos de replicación no puedan replicar mientras que otros grupos de replicación continúan replicando correctamente, se debe planear la revisión del estado de replicación de un vínculo de replicación cuando notifique por primera vez un estado degradado. Si algunos grupos de replicación específicos presentan retrasos periódicos, pero ese retraso no representa un problema, o si el vínculo de red entre los sitios dispone de poco ancho de banda, considere la posibilidad de modificar los valores de reintento para el estado degradado o con errores del vínculo. Si aumenta el número de reintentos antes de que el estado del vínculo se establezca en degradado o con errores, podrá eliminar avisos falsos de problemas conocidos, lo que le permitirá realizar un seguimiento más preciso del estado del vínculo.
También se debe considerar el intervalo de sincronización de replicación para cada grupo de replicación para comprender la frecuencia con la que se produce la replicación de ese grupo. Puede ver el Estado de sincronización de los grupos de replicación en la pestaña Detalle de la replicación de un vínculo de replicación del nodo Replicación de base de datos en el área de trabajo Supervisión.
Para más información sobre cómo supervisar la replicación de bases de datos, incluido cómo ver el estado de una replicación, consulte la sección Cómo supervisar los vínculos de replicación de bases de datos y el estado de replicación en el tema Supervisión de sitios y jerarquía de Configuration Manager.
Para más información sobre cómo configurar los umbrales de replicación de base de datos, consulte Controles de replicación de bases de datos de sitio.
Controles de replicación de bases de datos de sitio
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
Cada base de datos de sitio admite configuraciones que pueden ayudarle a controlar el ancho de banda de red utilizado para la replicación de base de datos. Estas configuraciones se aplican solo a la base de datos de sitio en la que se realiza la configuración, y se usan siempre que el sitio replica cualquier dato mediante replicación de base de datos en otro sitio.
Los controles de replicación para cada base de datos de sitio incluyen los siguientes:
Cambiar el puerto que Configuration Manager usa para SQL Server Service Broker.
Configurar el tiempo de espera antes de que los errores de replicación provoquen que el sitio reinicialice su copia de la base de datos del sitio.
Configurar una base de datos de sitio para comprimir los datos que se replican mediante replicación de base de datos. Los datos se comprimen solo para transferirse entre sitios y no para almacenarse en la base de datos de cada sitio.
Para configurar los controles de replicación de una base de datos de sitio, es necesario editar las propiedades de la base de datos en la consola de Configuration Manager, desde el nodo Replicación de base de datos. Este nodo aparece en el nodo Configuración de jerarquía del área de trabajo Administración y también aparece en el área de trabajo Supervisión. Para editar las propiedades de la base de datos del sitio, seleccione el vínculo de replicación entre los sitios y, a continuación, abra las Propiedades de base de datos primaria o las Propiedades de base de datos secundaria.
Sugerencia |
---|
Es posible configurar los controles de replicación de base de datos desde el nodo Replicación de base de datos en cualquier área de trabajo. No obstante, cuando se usa el nodo Replicación de base de datos en el área de trabajo Supervisión, también se puede ver el estado de la replicación de base de datos para un vínculo de replicación y acceder a la herramienta Replication Link Analyzer para investigar problemas de replicación. |
Para obtener más información acerca de la configuración de los controles de replicación de base de datos, consulte Configurar controles de replicación de bases de datos. Para obtener más información acerca de la supervisión de la replicación, consulte Supervisar replicación de base de datos de sitio.
Planeación de las comunicaciones entre sitios en Configuration Manager
Cada sitio de Configuration Manager contiene un servidor de sitio y puede tener uno o varios servidores de sistema de sitio adicionales que hospedan roles de sistema de sitio.Configuration Manager requiere que cada servidor de sistema de sitio sea miembro de un dominio de Active Directory.Configuration Manager no admite un cambio en el nombre de equipo o la pertenencia al dominio mientras el equipo sigue siendo un sistema de sitio.
Cuando los sistemas de sitio o los componentes de Configuration Manager se comunican a través de la red con otros sistemas de sitio u otros componentes de Configuration Manager del sitio, usan Bloque de mensajes del servidor (SMB), HTTP o HTTPS. El método de comunicación depende de la configuración del sitio elegida. Con la excepción de la comunicación desde el servidor de sitio a un punto de distribución, estas comunicaciones entre los servidores de un sitio se pueden producir en cualquier momento y no usan mecanismos para controlar el ancho de banda de red. Ya que no es posible controlar la comunicación entre sistemas de sitio, asegúrese de instalar servidores de sistema de sitio en ubicaciones que cuenten con redes rápidas y bien conectadas.
Puede utilizar las siguientes opciones para administrar la transferencia de contenido desde el servidor de sitio a los puntos de distribución:
Configurar el punto de distribución para el control de ancho de banda de red y la programación. Estos controles son similares a las configuraciones usadas por las direcciones entre sitios, por lo que a menudo se puede usar esta configuración en lugar de instalar otro sitio de Configuration Manager cuando la transferencia de contenido a ubicaciones de red remotas es la principal consideración de ancho de banda.
Es posible instalar un punto de distribución como un punto de distribución preconfigurado. Un punto de distribución preconfigurado le permite utilizar el contenido que se coloca manualmente en el servidor de punto de distribución y elimina el requisito de transferir archivos de contenido a través de la red.
Para más información sobre las consideraciones de ancho de banda de red, consulte Consideraciones de ancho de banda de red para puntos de distribución en Planeación de la administración de contenido en Configuration Manager.
Planeación de las comunicaciones de cliente en Configuration Manager
Los dispositivos administrados y clientes de Configuration Manager se comunican con equipos que alojan infraestructuras de Configuration Manager, como roles del sistema de sitio, infraestructuras de dominio como DNS o Servicios de dominio de Active Directory y con servicios de Internet.
Tenga en cuenta lo siguiente al planear las comunicaciones de cliente:
Escenarios de comunicación |
Más información |
---|---|
Comunicaciones iniciadas por clientes |
Los clientes inician comunicaciones con lo siguiente:
|
Ubicación del servicio |
La ubicación del servicio es el método por el que los clientes identifican un sitio asignado y buscan puntos de administración dinámicamente. Los puntos de administración son el punto de contacto principal de los clientes y sirven para lo siguiente:
|
Use la información de las secciones siguientes para planear las comunicaciones mediante clientes basados en Windows.
A partir de Configuration Manager SP1, puede administrar clientes que ejecutan Linux y UNIX. Los clientes que ejecutan Linux y UNIX funcionan como clientes en grupos de trabajo. Para obtener información sobre la compatibilidad de equipos que están en grupos de trabajo, consulte la sección Planeación de las comunicaciones a través de bosques en Configuration Manager de este tema. Para más información sobre la comunicación en clientes que ejecutan Linux y UNIX, consulte la sección Planeación para la comunicación a través de bosque confía para servidores Linux y UNIX en el tema Planear la implementación de cliente para servidores Linux y UNIX.
Comunicaciones iniciadas por clientes
Los clientes inician comunicaciones con roles de sistema de sitio, con Servicios de dominio de Active Directory y con servicios en línea. A fin de permitir estas comunicaciones, los firewalls deben permitir el tráfico de red entre los clientes y el extremo de sus comunicaciones. Estos extremos pueden ser los siguientes:
Puntos de administración desde los que los clientes descargan la directiva de cliente.
Puntos de distribución desde los que los clientes descargan contenido.
Puntos de actualización de software
Los siguientes roles de sistema de sitio adicionales, cada uno para tareas específicas de características:
Punto de sitios web del catálogo de aplicaciones
Módulo de directivas de Configuration Manager (NDES)
Punto de estado de reserva
Punto de migración de estado
Punto de Validador de mantenimiento del sistema
Varios servicios de dominio, como Servicios de dominio de Active Directory y DNS (para la ubicación del servicio).
Microsoft Update, para mantener la protección antimalware.
Recursos basados en la nube, como Microsoft Update o Microsoft Azure y Microsoft Intune cuando estos servicios basados en nube se usan con Configuration Manager.
Para más información sobre los puertos y protocolos que los clientes usan al comunicarse con estos extremos, consulte Referencia técnica para puertos utilizados en Configuration Manager.
Para que un cliente pueda comunicarse con un rol de sistema de sitio, el cliente usa la ubicación del servicio para encontrar un rol de sistema de sitio que admita el protocolo del cliente (HTTP o HTTPS). Los clientes usan de forma predeterminada el método más seguro que tengan a su disposición:
Para usar HTTPS, es necesario disponer de una infraestructura de clave pública (PKI) e instalar certificados PKI en los clientes y servidores. Para obtener información sobre el uso de certificados, consulte Requisitos de certificados PKI para Configuration Manager.
Cuando se implementa un rol de sistema de sitio que usa Internet Information Services (IIS) y que admite la comunicación desde clientes, es necesario especificar si los clientes se conectan al sistema de sitio mediante HTTP o HTTPS. Si utiliza HTTP, también debe tener en cuenta las opciones de firma y cifrado. Para obtener más información, vea Planeación de la firma y el cifrado.
Los siguientes servicios y roles de sistema de sitio admiten comunicaciones HTTPS procedentes de clientes:
Punto de sitios web del catálogo de aplicaciones
Módulo de directivas de Configuration Manager
Punto de distribución (los puntos de distribución basados en la nube requieren HTTPS)
Punto de administración
Punto de actualización de software
Punto de migración de estado
Aparte de la información anterior, cuando planee para los clientes en ubicaciones que no son de confianza, consulte Consideraciones sobre las comunicaciones de cliente desde Internet o desde un bosque que no es de confianza.
Ubicación del servicio y cómo los clientes averiguan su punto de administración asignado
Los clientes determinan el punto de administración predeterminado de su sitio asignado cuando se instalan por primera vez y se asignan a un sitio. Una vez que un cliente encuentra el punto de administración predeterminado de su sitio, dicho punto de administración pasa a ser el punto de administración asignado del cliente. El cliente es el que determina esta asignación;
A partir de la actualización acumulativa 3 para System Center 2012 R2 Configuration Manager, puede HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" usar la afinidad de punto de administración para configurar un cliente para usar uno o varios puntos de administración específicos.
A partir de System Center 2012 Configuration Manager SP2, puede usar puntos de administración preferidos. Un punto de administración preferido es un punto de administración que está asociado a un grupo de límites como servidor de sistema de sitio, de manera similar a cómo los puntos de distribución o puntos de migración de estado están asociados a un grupo de límites. Si habilita puntos de administración preferidos para la jerarquía, cuando un cliente usa un punto de administración desde su sitio asignado intentará usar un punto de administración preferido antes de usar otros puntos de administración desde su sitio asignado.
Una vez que un cliente tiene un punto de administración asignado, realiza periódicamente una solicitud de ubicación del servicio relativa al punto de administración predeterminado de su sitio, por si hubiera cambiado.
Cada vez que un cliente necesita identificar un punto de administración para usarlo, consulta una lista de puntos de administración conocidos (denominada lista de puntos de administración) que se almacena localmente en WMI. El cliente crea una lista de puntos de administración inicial cuando se instala y la actualiza periódicamente con detalles sobre cada punto de administración en la jerarquía.
Cuando el cliente no puede encontrar un punto de administración válido en la lista de puntos de administración, busca en los siguientes orígenes de ubicación del servicio (en el orden dispuesto) hasta que encuentra uno que pueda usar:
Punto de administración
Servicios de dominio de Active Directory
DNS
WINS
Después de que un cliente localice un punto de administración correctamente y se comunique con él, descargará la lista actual de los puntos de administración que hay disponibles en la jerarquía y actualizará su lista local. Esto es válido para los clientes que están unidos a un dominio y los que no, indistintamente.
Por ejemplo, cuando un cliente de Configuration Manager que está en Internet se conecta a un punto de administración basado en Internet, el punto de administración envía a ese cliente una lista de puntos de administración basados en Internet disponibles en el sitio. De forma similar, los clientes que están unidos a un dominio o en grupos de trabajo también reciben la lista de puntos de administración que pueden usar.
Un cliente que no esté configurado para Internet no recibirá puntos de administración con conexión a Internet.
Los clientes de grupo de trabajo configurados para Internet se comunicarán únicamente con puntos de administración con conexión a Internet.
A continuación encontrará información sobre cada origen de ubicación del servicio:
La lista de puntos de administración
La lista de puntos de administración de un cliente es el origen de ubicación del servicio preferido, ya que es una lista de prioridades de los puntos de administración que el cliente ha identificado anteriormente. Cada cliente ordena esta lista en función de su ubicación de red cuando el cliente la actualiza y, luego, la almacena localmente en el cliente en WMI.
Creación de la lista de puntos de administración inicial
Durante la instalación del cliente, se emplean las siguientes reglas para generar la lista de puntos de administración inicial del cliente:
La lista inicial contiene los puntos de administración especificados durante la instalación del cliente (usando las opciones SMSMP= o /MP).
El cliente consulta a Servicios de dominio de Active Directory (AD DS) para conocer los puntos de administración publicados. Para poder identificarse en AD DS, el punto de administración debe proceder del sitio asignado del cliente y tener la misma versión de producto que el cliente.
Si no se ha especificado ningún punto de administración durante la instalación del cliente y el esquema de Active Directory no es extendido, el cliente consulta a DNS y WINS para conocer los puntos de administración publicados.
Al generar la lista inicial, puede que la información sobre algunos puntos de administración en la jerarquía no sea conocida.
Organización de la lista de puntos de administración
Los clientes organizan su lista de puntos de administración mediante las siguientes clasificaciones:
Proxy: un punto de administración proxy es un punto de administración en un sitio secundario.
Local: cualquier punto de administración asociado a la ubicación de red actual del cliente, según definen los límites del sitio.
Cuando un cliente pertenece a más de un grupo de límites, la lista de puntos de administración local se determina a partir de la unión de todos los límites que incluyen la ubicación de red actual del cliente.
Normalmente, los puntos de administración locales son un subconjunto de puntos de administración asignados de un cliente, a menos que el cliente esté en una ubicación de red asociada a otro sitio con puntos de administración que mantienen sus grupos de límites.
Asignado: cualquier punto de administración que sea un sistema de sitio del sitio asignado del cliente.
A partir de System Center 2012 Configuration Manager SP2, puede usar puntos de administración preferidos. Los puntos de administración preferidos son los puntos de administración de un sitio asignado del cliente que están asociados a un grupo de límites que el cliente usa para buscar servidores de sistema de sitio.
Los puntos de administración en un sitio que no están asociados con un grupo de límites, o que no están en un grupo de límites asociado con la ubicación de red actual del cliente, no se consideran preferidos y se usarán cuando el cliente no pueda identificar un punto de administración preferido disponible.
Selección de un punto de administración para usarlo
En una comunicación típica, un cliente intenta usar un punto de administración de las clasificaciones en el siguiente orden, según cuál sea la ubicación de red del cliente:
Proxy
Local
Asignado
Sin embargo, el cliente siempre usa el punto de administración asignado para los mensajes de registro y para determinados mensajes de la directiva, aun cuando se envíen otras comunicaciones a un punto de administración proxy o local.
Dentro de cada clasificación (proxy, local o asignado), los clientes intentan usar un punto de administración según las preferencias, en el orden siguiente:
Con capacidad para HTTPS en un bosque de confianza o local (cuando el cliente está configurado para la comunicación HTTPS)
Con capacidad para HTTPS pero no en un bosque de confianza o local (cuando el cliente está configurado para la comunicación HTTPS)
Con capacidad para HTTPS en un bosque de confianza o local
Con capacidad para HTTPS pero no en un bosque de confianza o local
Desde el conjunto de puntos de administración ordenado por preferencias, los clientes intentan usar el primer punto de administración de la lista:
Esta lista ordenada de puntos de administración es aleatoria y no se puede ordenar.
El orden de la lista puede cambiar cada vez que el cliente actualice su lista de puntos de administración.
Cuando un cliente no puede establecer contacto con el primer punto de administración, lo intenta con cada punto de administración sucesivo de su lista, y trata de usar cada punto de administración preferido de la clasificación antes de pasar a probar con los puntos de administración no preferidos. Si un cliente no se puede comunicar correctamente con un punto de administración en la clasificación, intenta ponerse en contacto con un punto de administración preferido de la siguiente clasificación, y así sucesivamente hasta que el cliente encuentra un punto de administración que pueda usar.
Después de establecer la comunicación con un punto de administración, el cliente seguirá usándolo hasta que tenga lugar una de las siguientes situaciones:
Transcurridas 25 horas, el cliente selecciona aleatoriamente un nuevo punto de administración que usar.
Tras 5 intentos durante un período de 10 minutos, el cliente no puede comunicarse con el punto de administración, momento en el que selecciona un nuevo punto de administración que usar.
Active Directory
Los clientes que están unidos a un dominio pueden usar Servicios de dominio de Active Directory (AD DS) para la ubicación del servicio. Para ello, es necesario que los sitios publiquen datos en Active Directory.
Los clientes pueden usar Servicios de dominio de Active Directory para la ubicación del servicio cuando se cumplen todas estas condiciones:
El esquema de Active Directory se ha extendido para System Center 2012 Configuration Manager o se extendió para Configuration Manager 2007.
El bosque de Active Directory está configurado para publicación y los sitios de Configuration Manager están configurados para publicar.
El equipo cliente forma parte de un dominio de Active Directory y puede tener acceso a un servidor de catálogo global.
Si un cliente no puede encontrar un punto de administración para usarlo en la ubicación del servicio desde AD DS, lo intenta recurriendo a DNS. Los clientes que están unidos a un dominio pueden usar AD DS para la ubicación del servicio. Para ello, es necesario que los sitios publiquen datos en Active Directory.
DNS
Los clientes de la intranet pueden usar DNS para la ubicación del servicio. Esto requiere al menos un sitio en una jerarquía para publicar información sobre los puntos de administración en DNS.
Considere la posibilidad de usar DNS para la ubicación del servicio cuando se cumpla alguna de las siguientes condiciones:
No se extiende el esquema de Servicios de dominio de Active Directory para admitir Configuration Manager.
Los clientes de la intranet se encuentran en un bosque que no está habilitado para la publicación de Configuration Manager.
Hay clientes en equipos de grupo de trabajo que no están configurados para la administración de clientes de solo Internet (un cliente de grupo de trabajo configurado para Internet se comunicará únicamente con puntos de administración con conexión a Internet y no usará DNS para la ubicación del servicio).
Puede configurar clientes para que busquen puntos de administración desde DNS.
Cuando un sitio publica registros de ubicación del servicio de los puntos de administración en DNS:
La publicación solo será factible en los puntos de administración que acepten conexiones de clientes desde la intranet.
La publicación agrega un registro de recursos de ubicación del servicio (SRV RR) en la zona DNS del equipo del punto de administración. Debe haber una entrada de host correspondiente en DNS para ese equipo.
Los clientes unidos a un dominio buscan de forma predeterminada en DNS para hallar los registros de punto de administración desde el dominio del cliente local. Puede configurar una propiedad del cliente que especifique un sufijo de dominio relativo a un dominio que tenga información de puntos de administración publicada en DNS.
Para obtener más información acerca de cómo configurar la propiedad del cliente del sufijo DNS, consulte Cómo configurar los equipos cliente para buscar los puntos de administración mediante el uso de la publicación en DNS en Configuration Manager.
Si un cliente no puede encontrar un punto de administración para usarlo para la ubicación del servicio desde DNS, intentará usar WINS.
Publicar puntos de administración en DNS
Para publicar puntos de administración en DNS, deben cumplirse las dos condiciones siguientes:
Los servidores DNS admiten registros de recursos de ubicación de servicio mediante el uso de una versión de BIND que es al menos 8.1.2.
Los FQDN de intranet especificados para los puntos de administración en Configuration Manager tienen entradas de host (por ejemplo, registros A) en DNS.
Importante |
---|
La publicación en DNS de Configuration Manager no es compatible con un espacio de nombres discontinuo. Si tiene un espacio de nombres discontinuo, puede publicar manualmente puntos de administración en DNS o puede usar uno de los otros métodos de ubicación de servicio alternativos que están documentados en esta sección. |
Cuando los servidores DNS admiten actualizaciones automáticas, puede configurar Configuration Manager para publicar automáticamente puntos de administración en la intranet en DNS, o bien puede publicar manualmente estos registros en DNS. Cuando los puntos de administración se publican en DNS, el número de puerto y FQDN de la intranet se publican en el registro de ubicación de servicio (SRV). La publicación en DNS en un sitio se configura en las propiedades de componente de punto de administración del sitio en cuestión. Para obtener más información, vea Configuración de los componentes de sitio en Configuration Manager.
Cuando los servidores DNS no admiten actualizaciones automáticas, pero son compatibles con los registros de ubicación del servicio, puede publicar manualmente los puntos de administración en DNS. Para ello, debe especificar manualmente el registro de recurso de ubicación de servicio (SRV RR) en DNS.
Configuration Manager es compatible con RFC 2782 para registros de ubicación de servicio, que tiene el siguiente formato:
_Servicio._Proto.Nombre TTL Clase SRV Prioridad Peso Puerto Destino
Para publicar un punto de administración en Configuration Manager, especifique los valores siguientes:
_Servicio: escriba _mssms_mp*_<código de sitio>*, donde <código de sitio> es el código del sitio del punto de administración.
._Proto: especifique ._tcp.
.Nombre: escriba el sufijo DNS del punto de administración, por ejemplo contoso.com.
TTL: escriba 14400, que es cuatro horas.
Clase: especifique IN (de acuerdo con RFC 1035).
Prioridad: Configuration Manager no usa este campo.
Peso: Configuration Manager no usa este campo.
Puerto: escriba el número de puerto que usa el punto de administración, por ejemplo, 80 para HTTP y 443 para HTTPS.
Nota
El puerto del registro SRV debe coincidir con el puerto de comunicación que el punto de administración usa. De forma predeterminada, es 80 para la comunicación HTTP y 443 para la comunicación HTTPS.
Destino: escriba el FQDN de la intranet especificado para el sistema de sitio que está configurado con el rol de sitio de punto de administración.
Si utiliza DNS de Windows Server, puede utilizar el siguiente procedimiento para especificar este registro de DNS para los puntos de administración de la intranet. Si utiliza una implementación distinta para DNS, utilice la información de esta sección acerca de los valores de campo y consulte la documentación de ese DNS para adaptar este procedimiento.
Para configurar la publicación automática:
-
En la consola de Configuration Manager, expanda Administración > Configuración del sitio > Sitios.
-
Seleccione el sitio y, después, haga clic en Configurar componentes de sitio.
-
Seleccione Punto de administración.
-
Seleccione los puntos de administración que quiera publicar (esta selección es válida para la publicación tanto en AD DS como en DNS).
-
Active la casilla para publicar en DNS:
- Este cuadro de diálogo permite seleccionar qué puntos de administración se van a publicar y publicar en DNS. - En este cuadro de diálogo no se configura la publicación en AD DS.
Para publicar manualmente puntos de administración en DNS en Windows Server
-
En la consola de Configuration Manager, especifique los FQDN de intranet de los sistemas de sitio.
-
En la consola de administración de DNS, seleccione la zona DNS para el equipo de punto de administración.
-
Compruebe que existe un registro de host (A o AAAA) para el FQDN de intranet del sistema de sitio. Si este registro no existe, créelo.
-
Con la opción Otros registros nuevos, haga clic en Ubicación de servicio (SRV) en el cuadro de diálogo Tipo de registro del recurso, haga clic en Crear registro, escriba la información siguiente y, a continuación, haga clic en Listo:
- **Dominio**: si es necesario, escriba el sufijo DNS del punto de administración, por ejemplo **contoso.com**. - **Servicio**: escriba **\_mssms\_mp***\_\<código de sitio\>*, donde *\<código de sitio\>* es el código del sitio del punto de administración. - **Protocolo**: escriba **\_tcp**. - **Prioridad**: Configuration Manager no usa este campo. - **Peso**: Configuration Manager no usa este campo. - **Puerto**: escriba el número de puerto que usa el punto de administración, por ejemplo, **80** para HTTP y **443** para HTTPS. <div class="alert"> > [!NOTE] > <P>El puerto del registro SRV debe coincidir con el puerto de comunicación que el punto de administración usa. De forma predeterminada, es <STRONG>80</STRONG> para la comunicación HTTP y <STRONG>443</STRONG> para la comunicación HTTPS.</P> </div> - **Host que ofrece este servicio**: escriba el nombre de dominio completo de la intranet especificado para el sistema de sitio que está configurado con el rol de sitio de punto de administración.
Repita estos pasos por cada punto de administración de la intranet que desee publicar en DNS.
WINS
Cuando se produce un error en otros mecanismos de ubicación de servicio, los clientes pueden buscar un punto de administración inicial mediante la comprobación de WINS.
De forma predeterminada, un sitio primario publica en WINS el primer punto de administración en el sitio que está configurado para HTTP y el primer punto de administración configurado para HTTPS.
Si no desea que los clientes encuentren un punto de administración HTTP en WINS, configure los clientes con la propiedad Client.msi de CCMSetup.exe SMSDIRECTORYLOOKUP=NOWINS.
Planeación de la reactivación de clientes
Configuration Manager admite dos tecnologías Wake On LAN (red de área local) para reactivar equipos en modo de suspensión si desea instalar software requerido, como actualizaciones de software y aplicaciones: paquetes de reactivación tradicionales y comandos de encendido AMT.
A partir de Configuration Manager SP1, puede complementar el método de los paquetes de reactivación tradicionales mediante la configuración del cliente proxy de reactivación. El proxy de reactivación usa un protocolo punto a punto y equipos elegidos para comprobar si otros equipos de la subred están activados y, si no es así, reactivarlos en caso necesario. Si el sitio está configurado para Wake On LAN y los clientes están configurados para el proxy de reactivación, el proceso funciona del siguiente modo:
Los equipos que tengan instalado el cliente Configuration Manager SP1 y que no estén inactivos en la subred comprueban si los demás equipos de la subred están activos. Para ello, se envían entre sí un comando ping de TCP/IP cada 5 segundos.
Si no hay respuesta desde los demás equipos, se asume que están en modo de suspensión. Los equipos que están activos se convierten en los equipos administradores de la subred.
Dado que es posible que un equipo no responda por un motivo distinto a estar inactivo (por ejemplo, si está apagado o fuera de la red o si ya no se aplica la configuración del cliente proxy de activación), se enviará a los equipos un paquete de reactivación cada día a las 14.00 h. (hora local). Dejará de suponerse que los equipos que no responden están inactivos, y no se reactivarán mediante el proxy de reactivación.
Para admitir el proxy de reactivación, es necesario que al menos tres equipos estén activos para cada subred. Para conseguir esto, se eligen tres equipos de manera no determinista para que sean los equipos guardianes para la subred. Esto significa que permanecerán activos, independientemente de la directiva de energía que tengan configurada para que entren en modo de suspensión o hibernación después de un determinado período de inactividad. Los equipos guardianes obedecen los comandos de apagado o reinicio, por ejemplo, resultantes de las tareas de mantenimiento. Si esto ocurre, los demás equipos guardianes activan a otros equipos de la subred para que esta siga teniendo tres equipos guardianes.
Los equipos administradores piden al conmutador de la red que redirija el tráfico de red para los equipos inactivos a ellos mismos.
La redirección se consigue mediante la difusión por parte del equipo administrador de una trama Ethernet que utiliza la dirección MAC del equipo inactivo como dirección de origen. Esto hace que el conmutador de red se comporte como si el equipo inactivo se hubiera movido al mismo puerto en el que se encuentra el equipo administrador. El equipo administrador también envía paquetes ARP para que los equipos inactivos conserven la capacidad de admitir entradas en la memoria caché de ARP. El equipo administrador también responderá a las solicitudes ARP en nombre del equipo inactivo y responderá con la dirección MAC del equipo inactivo.
Advertencia Durante este proceso, la asignación de IP a MAC del equipo inactivo seguirá siendo la misma. El proxy de reactivación funciona informando al conmutador de red de que un adaptador de red diferente utiliza el puerto que fue registrado por otro adaptador de red. Sin embargo, este comportamiento (conocido como solapa de MAC) es poco común para el funcionamiento de redes estándar. Algunas herramientas de supervisión de red buscan este comportamiento y pueden dar por hecho que algo no funciona correctamente. Por lo tanto, estas herramientas de supervisión pueden generar alertas o cerrar puertos cuando se utiliza el proxy de reactivación.
No utilice el proxy de reactivación si las herramientas y servicios de supervisión de su red no permiten solapas de MAC.
Cuando un equipo administrador ve una solicitud de conexión de TCP nueva para un equipo inactivo y la solicitud es a un puerto al que estaba escuchando el equipo inactivo antes de quedar inactivo, el equipo administrador enviará un paquete de reactivación al equipo inactivo, y dejará de redirigir tráfico a dicho equipo.
El equipo inactivo recibirá el paquete de reactivación y se reactivará. El equipo remitente reintentará automáticamente la conexión y, esta vez, el equipo estará activo y podrá responder.
El proxy de reactivación tiene los siguientes requisitos previos y limitaciones:
Importante |
---|
Si dispone de un equipo independiente que se encargue de la infraestructura de red y de los servicios de red, notifique a este equipo e inclúyalo durante su período de evaluación y pruebas. Por ejemplo, en una red que utilice el control de acceso de red 802.1X, el proxy de reactivación no funcionará y podrá interrumpir el servicio de red. Además, el proxy de reactivación podría provocar que algunas herramientas de supervisión de red generen alertas cuando las herramientas detecten el tráfico para reactivar otros equipos. |
Los clientes compatibles son Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012.
No se admiten sistemas operativos invitados que se ejecuten en una máquina virtual.
Los clientes deberán ejecutar Configuration Manager SP1 y estar habilitados para el proxy de reactivación mediante la configuración de cliente. Aunque el funcionamiento del proxy de reactivación no depende del inventario de hardware, los clientes no notifican la instalación del servicio proxy de reactivación a menos que estén habilitados para el inventario de hardware y hayan enviado al menos un inventario de hardware.
Es necesario que los adaptadores de red (y posiblemente el BIOS) estén habilitados y configurados para los paquetes de reactivación. Si el adaptador de red no está configurado para los paquetes de reactivación, o si esta configuración está deshabilitada, Configuration Manager lo configurará automáticamente y lo habilitará para un equipo si recibe la configuración cliente para habilitar el proxy de reactivación.
Si un equipo tiene más de un adaptador de red, no podrá configurar qué adaptador se debe usar para el proxy de activación; la opción es no determinista. Sin embargo, el adaptador seleccionado se registra en el archivo SleepAgent_<DOMINIO>@SYSTEM_0.log
La red deberá permitir solicitudes de eco ICMP (al menos dentro de la subred). No se puede configurar el intervalo de 5 segundos que se utiliza para enviar los comandos ping de ICMP.
La comunicación está sin encriptar y sin autenticar y no se admite IPsec.
No se admiten las siguientes configuraciones de red:
802.1X con autenticación de puertos
Redes inalámbricas
Conmutadores de red que enlacen direcciones MAC con puertos específicos
Redes exclusivamente IPv6
Duración de las concesiones DHCP de menos de 24 horas
Como práctica recomendada de seguridad, use comandos de encendido AMT en lugar de paquetes de reactivación cuando sea posible. Dado que los comandos de encendido AMT utilizan certificados PKI para proteger la comunicación, esta tecnología es más segura que el envío de paquetes de reactivación. Sin embargo, para utilizar los comandos de encendido AMT, los equipos deben ser equipos basados en Intel AMT y estar aprovisionados para AMT. Para obtener más información acerca de cómo puede Configuration Manager administrar equipos basados en AMT, consulte Introducción a la administración fuera de banda en Configuration Manager.
Si desea reactivar equipos para la instalación programada de software, deberá configurar cada sitio primario para una de las tres opciones:
Usar comandos de encendido AMT si los equipos admiten esta tecnología; de lo contrario, usar paquetes de reactivación
Usar comandos de encendido AMT solamente.
Usar paquetes de reactivación solamente.
Para usar el proxy de reactivación con Configuration Manager SP1, deberá implementar la configuración del cliente proxy de reactivación de Administración de energía además de seleccionar la opción Usar paquetes de reactivación solamente.
Utilice la siguiente tabla para obtener más información acerca de las diferencias entre las dos tecnologías Wake-on-LAN (WOL), los paquetes de reactivación tradicionales y los comandos de encendido.
Tecnología |
Ventaja |
Desventaja |
---|---|---|
Paquetes de reactivación tradicionales |
No se requiere ninguna función del sistema de sitio adicional en el sitio. Compatible con muchos adaptadores de red. Los paquetes de reactivación UDP son rápidos de enviar y de procesar. No se requiere una infraestructura de PKI. No se requieren cambios en los servicios de dominio de Active Directory. Se admite en equipos del grupo de trabajo, equipos de otro bosque de Active Directory y equipos del mismo bosque de Active Directory que usen un espacio de nombres no contiguo. |
Solución menos segura que los comandos de encendido AMT, pues no utiliza la autenticación o cifrado. Si se utilizan transmisiones de difusión dirigidas por subred para los paquetes de reactivación, se tiene el riesgo de recibir ataques tipo "smurf". Puede requerir una configuración manual en cada equipo para la configuración de BIOS y la configuración del adaptador. No hay confirmación de que se hayan activado los equipos. Las transmisiones de reactivación como múltiples paquetes del protocolo de datagrama de usuario (UDP) pueden saturar innecesariamente el ancho de banda de red disponible. A menos que utilice el proxy de reactivación con Configuration Manager SP1, no es posible reactivar los equipos de forma interactiva. No se puede devolver a los equipos al estado de suspensión. Las características de administración están restringidas a la mera reactivación de equipos. |
Comandos de encendido AMT |
Solución más segura que los paquetes de reactivación tradicionales ya que proporciona autenticación y cifrado mediante el uso de protocolos de seguridad estándar del sector. También puede integrarse con una implementación de PKI existente y los controles de seguridad pueden administrarse de forma independiente del producto. Es compatible con la instalación y configuración automáticas centralizadas (aprovisionamiento AMT). Sesión de transporte establecida para una conexión más fiable y una conexión auditable. Los equipos pueden reactivarse (y reiniciarse) de forma interactiva. Los equipos pueden apagarse de forma interactiva. Capacidades de administración adicionales, como las siguientes:
|
Requiere que el sitio tenga un punto de servicio fuera de banda y un punto de inscripción. Solo se admite en equipos que tengan el conjunto de chips de Intel vPro establecido y una versión compatible del firmware de la tecnología de administración activa Intel (Intel AMT). Para obtener más información acerca de qué versiones de AMT se admiten, consulte Opciones de configuración admitidas en Configuration Manager. La sesión de transporte requiere más tiempo para su establecimiento, mayor procesamiento del servidor y un aumento de los datos transferidos. Requiere una implementación de PKI y certificados específicos. Requiere un contenedor de Active Directory creado y configurado para equipos de publicación basados en AMT. No admite equipos del grupo de trabajo, equipos de otro bosque de Active Directory ni equipos del mismo bosque de Active Directory que usen un espacio de nombres no contiguo. Requiere cambios en DNS y DHCP para admitir el aprovisionamiento de AMT. |
Elija cómo desea reactivar los equipos basándose en si puede admitir o no los comandos de encendido AMT, y si los equipos asignados al sitio admiten o no la tecnología Wake-on-LAN. Considere también las ventajas y desventajas de ambas tecnologías que se muestran en la tabla anterior. Por ejemplo, los paquetes de reactivación son menos confiables y no están protegidos, pero los comandos de encendido requieren más tiempo para su establecimiento y más procesamiento en el servidor del sistema de sitio que el configurado con el punto de servicio fuera de banda.
Importante |
---|
Dada la sobrecarga adicional implicada en el establecimiento, el mantenimiento y la finalización de una sesión de administración fuera de banda en equipos basados en AMT, realice sus propias pruebas para que pueda juzgar con precisión cuánto tiempo lleva reactivar varios equipos mediante comandos de encendido AMT en su entorno (por ejemplo, a través de vínculos WAN lentos a equipos de sitios secundarios). Esta información le permitirá determinar si resulta práctico reactivar varios equipos para actividades programadas mediante el uso de comandos de encendido AMT si tiene demasiados equipos que reactivar en poco tiempo. |
Si decide utilizar los paquetes de reactivación tradicionales, también deberá decidir si desea utilizar paquetes de difusiones dirigidas a subred o paquetes de unidifusión y qué número de puerto UDP usar. De forma predeterminada, los paquetes de reactivación tradicionales se transmiten mediante el puerto 9 de UDP, pero, para aumentar la seguridad, puede seleccionar un puerto alternativo para el sitio si lo admiten los enrutadores y firewalls intervinientes.
Para paquetes de reactivación tradicionales: elija entre Unidifusión y Difusión dirigida a subred para Wake-on-LAN
Si decide reactivar equipos mediante el envío de paquetes de reactivación tradicionales, deberá decidir si desea transmitir paquetes de unidifusión o paquetes de difusión dirigida a subred. Si utiliza el proxy de reactivación con Configuration Manager SP1, deberá utilizar paquetes de unidifusión. De lo contrario, utilice la siguiente tabla como ayuda para determinar qué método de transmisión desea elegir.
Método de transmisión |
Ventaja |
Desventaja |
---|---|---|
Unidifusión |
Solución más segura que las difusiones dirigidas a subred, porque el paquete se envía directamente a un equipo en lugar de hacerlo a todos los equipos de una subred. Podría no requerir la reconfiguración de los enrutadores (puede que tenga que configurar la memoria caché de ARP). Consume menos ancho de banda de red que las transmisiones de difusión dirigida a subred. Compatible con IPv4 e IPv6. |
Los paquetes de reactivación no encuentran los equipos de destino que cambiaron su dirección de subred después de la última programación de inventario de hardware. Es posible que haya que configurar los conmutadores para reenviar paquetes UDP. Algunos adaptadores de red podrían no responder a los paquetes de reactivación en todos los estados de suspensión si usan la unidifusión como método de transmisión. |
Difusión dirigida a subred |
Mayor proporción de éxito que la unidifusión si tiene equipos que cambian frecuentemente su dirección IP en la misma subred. No se requiere la reconfiguración de conmutadores. Elevada tasa de compatibilidad con los adaptadores de equipos para todos los estados de suspensión, pues las transmisiones dirigidas a subred eran el método de transmisión original para el envío de paquetes de reactivación. |
Solución menos segura que el uso de unidifusión, ya que un atacante podría enviar secuencias continuas de solicitudes de eco ICMP desde una dirección de origen falsificada a la dirección de difusión dirigida. Esto haría que todos los hosts respondieran a esa dirección de origen. Si los enrutadores están configurados para permitir las difusiones dirigidas a subred, se recomienda una configuración adicional por razones de seguridad:
Es posible que sea necesario volver a configurar todos los enrutadores que intervienen para habilitar las difusiones dirigidas de subred. Consume más ancho de banda de red que las transmisiones de difusión. Compatible sólo con IPv4; no se admite IPv6. |
Advertencia |
---|
Hay riesgos de seguridad asociados con difusiones dirigidas por subred. Un atacante podría enviar un flujo continuo de solicitudes de eco del Protocolo de mensajes de control de Internet (ICMP) a la dirección de difusión dirigida desde una dirección de origen falsificada, lo que provocaría que todos los hosts respondieran a esa dirección de origen. Este tipo de ataque de denegación de servicio se suele denominar ataque smurf y normalmente se mitiga no habilitando las difusiones dirigidas de subred. |
Planeación de las comunicaciones a través de bosques en Configuration Manager
System Center 2012 Configuration Manager es compatible con sitios y jerarquías que se distribuyen por bosques de Active Directory.
Configuration Manager también admite equipos de dominio que no están en el mismo bosque de Active Directory que el servidor de sitio, y equipos que están en grupos de trabajo:
Para que el bosque de su servidor de sitio admita equipos de dominio de un bosque que no es de confianza, es posible instalar roles de sistema de sitio en ese bosque que no es de confianza, con la opción de publicar información del sitio en el bosque de Active Directory del cliente. O bien, puede administrar estos equipos como si fueran equipos del grupo de trabajo. Cuando se instalan servidores de sistema de sitio en el bosque del cliente, la comunicación entre cliente y servidor se mantiene en el bosque del cliente, por lo que Configuration Manager puede autenticar el equipo mediante el uso de Kerberos. Cuando se publica información del sitio en el bosque del cliente, los clientes se benefician de la posibilidad de recuperar información del sitio, como por ejemplo una lista de los puntos de administración disponibles, desde su bosque de Active Directory en lugar de tener que descargar esta información desde su punto de administración asignado.
Nota
Si desea administrar dispositivos que están en Internet, puede instalar roles de sistema de sitio basados en Internet en su red perimetral cuando los servidores de sistema de sitio estén en un bosque de Active Directory. Este escenario no requiere una confianza bidireccional entre la red perimetral y el bosque del servidor del sitio.
Para admitir equipos en un grupo de trabajo, debe aprobar manualmente estos equipos si usan conexiones de cliente HTTP en roles de sistema de sitio, ya que Configuration Manager no puede autenticar estos equipos mediante Kerberos. Además, debe configurar la cuenta de acceso de red para que estos equipos puedan recuperar contenido de los puntos de distribución. Dado que estos clientes no pueden recuperar información del sitio de Servicios de dominio de Active Directory, debe proporcionar un mecanismo alternativo para que puedan buscar puntos de administración. Puede utilizar publicación en DNS, o WINS, o asignar directamente un punto de administración.
Para obtener información sobre la aprobación del cliente, consulte Configurar las opciones para la aprobación de cliente y los registros de cliente en conflicto en Establecer la configuración de la administración de clientes en Configuration Manager.
Para más información sobre cómo configurar la cuenta de acceso de red, consulte la sección Configurar la cuenta de acceso de red en el tema Configuración de administración de contenido en Configuration Manager.
Para más información sobre cómo instalar clientes en equipos de grupo de trabajo, consulte la sección Instalación de clientes de Configuration Manager en equipos de grupo de trabajo en el tema Instalación de clientes en equipos Windows en Configuration Manager.
Configuration Manager es compatible con el conector de Exchange Server en un bosque diferente al del servidor del sitio. Para admitir este escenario, asegúrese de que la resolución de nombres funcione a través de los bosques (por ejemplo, configure reenvío de DNS) y especifique el FQDN de la intranet del servidor Exchange Server al configurar este conector de Exchange Server. Para obtener más información, vea Cómo configurar dispositivos móviles mediante Configuration Manager y Exchange.
Cuando su diseño de Configuration Manager abarque varios dominios y bosques de Active Directory, use la información adicional de la tabla siguiente para planear los tipos de comunicación siguientes.
Escenario |
Detalles |
Más información |
---|---|---|
Comunicación entre sitios en una jerarquía que abarca bosques:
|
Configuration Manager admite la instalación de un sitio secundario en un bosque remoto que tenga la confianza bidireccional necesaria con el bosque del sitio primario. Por ejemplo, puede colocar un sitio secundario en un bosque diferente al del sitio primario principal siempre y cuando exista la confianza necesaria. Si no dispone de una confianza de bosque bidireccional que admita autenticación Kerberos, entonces Configuration Manager no admitirá el sitio secundario del bosque remoto. Nota Un sitio secundario puede ser un sitio primario (donde el sitio de administración central es el sitio principal), o un sitio secundario. La comunicación entre sitios de Configuration Manager usa replicación de base de datos y transferencias basadas en archivos. Cuando se instala un sitio, se debe especificar una cuenta para instalar el sitio en el servidor designado. Esta cuenta también establece y mantiene la comunicación entre sitios. Una vez que el sitio se instala correctamente e inicia las transferencias basadas en archivos y la replicación de base de datos, no es necesario configurar nada más para la comunicación con el sitio. Para más información sobre cómo instalar un sitio, consulte la sección Instalación de un servidor de sitio en el tema Instalación de sitios y creación de una jerarquía para Configuration Manager. |
Cuando existe una confianza de bosque bidireccional, Configuration Manager no requiere ningún paso de configuración adicional. De forma predeterminada, al instalar un nuevo sitio como un elemento secundario de otro sitio, Configuration Manager configura lo siguiente:
También se deben realizar las siguientes configuraciones:
|
La comunicación en un sitio que abarca bosques:
|
Los sitios primarios admiten la instalación de roles de sistema de sitio en equipos de otros bosques. Las dos excepciones son el punto de servicio fuera de banda y el punto de servicio web del catálogo de aplicaciones, que deben estar instalados en el mismo bosque que el servidor de sitio. Cuando el rol de sistema de sitio acepta conexiones de Internet, por motivos de seguridad se recomienda instalar los roles de sistema de sitio en una ubicación donde los límites del bosque proporcionen protección al servidor de sitio (por ejemplo, en una red perimetral). Cuando se instala un rol de sistema de sitio en un equipo en un bosque que no es de confianza:
Cuando se usa un rol de sistema de sitio en un bosque que no es de confianza, los firewalls deben permitir el tráfico de red incluso cuando el servidor de sitio inicie la transferencia de datos. Además, los siguientes roles de sistema de sitio requieren acceso directo a la base de datos del sitio. Por lo tanto, los firewalls deben permitir el tráfico pertinente desde el bosque que no es de confianza hasta SQL Server en el sitio:
Vea Referencia técnica para puertos utilizados en Configuration Manager para obtener más información. |
Los roles de sistema de sitio de punto de administración y punto de inscripción se conectan a la base de datos del sitio. De forma predeterminada, cuando estos roles de sistema de sitio están instalados, Configuration Manager configura la cuenta de equipo del nuevo servidor de sistema de sitio como la cuenta de conexión y agrega la cuenta al rol de base de datos de SQL Server apropiado. Cuando se instalan estos roles de sistema de sitio en un dominio que no es de confianza, se debe configurar la cuenta de conexión del rol de sistema de sitio para que permita al rol obtener información de la base de datos. Si configura una cuenta de usuario de dominio para estas cuentas de conexión, asegúrese de que la cuenta tenga acceso adecuado a la base de datos de SQL Server en ese sitio:
Tenga en cuenta la siguiente información adicional cuando planee roles de sistema de sitio en otros bosques:
|
Comunicación entre clientes y roles de sistema de sitio cuando los clientes no están en el mismo bosque de Active Directory que su servidor de sitio. |
Configuration Manager admite los siguientes escenarios para los clientes que no están en el mismo bosque que el servidor de sitio de su sitio:
Nota Configuration Manager no puede administrar equipos basados en AMT fuera de banda cuando estos equipos se encuentran en un bosque diferente al del servidor del sitio. |
Los clientes de un equipo de dominio pueden utilizar Servicios de dominio de Active Directory para la ubicación del servicio cuando se publique su sitio en su bosque de Active Directory. Para publicar información del sitio en otro bosque de Active Directory, debe especificar primero el bosque y, a continuación, habilitar la publicación en ese bosque en el nodo Bosques de Active Directory del área de trabajo Administración. Además, debe habilitar cada sitio para publicar sus datos en Servicios de dominio de Active Directory. Esta configuración permite a los clientes de ese bosque recuperar información del sitio y buscar puntos de administración. Para los clientes que no pueden utilizar Servicios de dominio de Active Directory para la ubicación del servicio, se puede usar DNS, WINS o el punto de administración asignado por el cliente. |
Planeación de la administración de cliente basada en Internet
La administración de cliente basada en Internet le permite administrar clientes de Configuration Manager cuando no están conectados a la red de su empresa, pero disponen de una conexión de Internet estándar. Esta disposición tiene varias ventajas, entre las que se incluye la reducción de costes al no tener que ejecutar redes privadas virtuales (VPN) ni implementar actualizaciones de software de una manera regular.
Debido a los mayores requisitos de seguridad derivados de la administración de equipos cliente en una red pública, la administración de cliente basada en Internet requiere que los clientes y los servidores de sistema de sitio a los que se conectan los clientes usen certificados PKI. Esto garantiza que las conexiones queden autenticadas por una autoridad independiente, y que los datos que se dirigen a estos sistemas de sitio o que proceden de ellos se cifren mediante Capa de sockets seguros (SSL).
Utilice las siguientes secciones para planear la administración de cliente basada en Internet.
Características no admitidas en Internet
No todas las funciones de administración de cliente son apropiadas para Internet y, por lo tanto, no son compatibles cuando se administran clientes en Internet. Las características que no son compatibles con la administración basada en Internet suelen estar basadas en Servicios de dominio de Active Directory, o no son apropiadas para una red pública; por ejemplo, la detección de redes y Wake on LAN (WOL).
No se admiten las siguientes características cuando los clientes se administran en Internet:
Implementación de cliente a través de Internet, como la inserción de cliente y la implementación de cliente basada en actualización de software. Utilice en su lugar la instalación de cliente manual.
Asignación automática de sitio.
Protección de acceso a redes (NAP).
Wake on LAN.
Implementación de sistema operativo. Sin embargo, puede implementar secuencias de tareas que no implementan un sistema operativo; Por ejemplo, secuencias de tareas que ejecutan scripts y tareas de mantenimiento en clientes.
Control remoto.
Administración fuera de banda.
Implementación de software en usuarios, a menos que el punto de administración basado en Internet pueda autenticar al usuario en Servicios de dominio de Active Directory mediante la autenticación de Windows (Kerberos o NTLM). Esto es posible cuando el punto de administración basado en Internet confía en el bosque donde reside la cuenta de usuario.
Además, la administración de cliente basada en Internet no admite la movilidad. La movilidad permite a los clientes buscar siempre los puntos de distribución más cercanos para descargar contenido. Los clientes administrados en Internet se comunican con sistemas de sitio desde su sitio asignado cuando estos sistemas de sitio están configurados para usar un FQDN de Internet y los roles de sistema de sitio permiten conexiones de cliente desde Internet. Los clientes seleccionan de manera no determinista uno de los sistemas de sitio basados en Internet, independientemente del ancho de banda o de la ubicación física.
Nota
Como novedad de System Center 2012 Configuration Manager, cuando tiene un punto de actualización de software que se ha configurado para aceptar conexiones de Internet, los clientes basados en Internet de Configuration Manager siempre realizan una búsqueda con respecto a este punto de actualización de software para determinar las actualizaciones de software que son necesarias. No obstante, cuando estos clientes se encuentran en Internet, primero intentan descargar las actualizaciones de software de Microsoft Update, en lugar de hacerlo desde un punto de distribución basado en Internet. Solo si se produce un error, intentan descargar las actualizaciones de software necesarias desde un punto de distribución basado en Internet. Los clientes que no están configurados para la administración de cliente basada en Internet nunca intentan descargar las actualizaciones de software desde Microsoft Update; siempre utilizan los puntos de distribución de Configuration Manager.
Consideraciones sobre las comunicaciones de cliente desde Internet o desde un bosque que no es de confianza
Los siguientes roles de sistema de sitio instalados en los sitios primarios admiten conexiones provenientes de clientes que se encuentran en ubicaciones que no son de confianza, como Internet o un bosque que no es de confianza (los sitios secundarios no admiten conexiones de cliente desde ubicaciones que no son de confianza):
Punto de sitios web del catálogo de aplicaciones
Módulo de directivas de Configuration Manager
Punto de distribución (los puntos de distribución basados en la nube requieren HTTPS)
Punto de proxy de inscripción
Punto de estado de reserva
Punto de administración
Punto de actualización de software
Acerca de los sistemas de sitio dirigidos a Internet.
Aunque no es necesario tener una relación de confianza entre el bosque de un cliente y el de un servidor de sistema de sitio, cuando el bosque que contiene un sistema de sitio con conexión a Internet confía en el bosque que contiene las cuentas de usuario, esta configuración admite directivas basadas en usuario para los dispositivos en Internet si se habilita la configuración de cliente de directiva de clienteHabilitar solicitudes de directiva de usuario de clientes de Internet.
Por ejemplo, las configuraciones siguientes ilustran cuándo la administración de cliente basada en Internet es compatible con las directivas de usuario para dispositivos de Internet:
El punto de administración basado en Internet se encuentra en la red perimetral, donde se encuentra un controlador de dominio de solo lectura para autenticar al usuario, y el firewall que interviene admite los paquetes de Active Directory.
La cuenta de usuario está en el bosque A (la intranet) y el punto de administración basado en Internet se encuentra en el bosque B (la red perimetral). El bosque B confía en el bosque A y el firewall que interviene admite los paquetes de autenticación.
La cuenta de usuario y el punto de administración basado en Internet están en el bosque A (la intranet). El punto de administración se publica en Internet mediante el uso de un servidor proxy web (como Forefront Threat Management Gateway).
Nota
Si se produce un error en la autenticación Kerberos, a continuación, se intenta automáticamente la autenticación NTLM.
Como se muestra en el ejemplo anterior, es posible colocar sistemas de sitio basados en Internet en la intranet cuando están publicados en Internet mediante un servidor proxy web, como ISA Server y Forefront Threat Management Gateway. Estos sistemas de sitio pueden configurarse para conexión de cliente solo desde Internet, o conexiones de cliente desde Internet e intranet. Cuando se utiliza un servidor proxy web, puede configurarlo para protocolo de puente de Capa de sockets seguros (SSL) a SSL (más seguro) o protocolo de túnel SSL:
Protocolo de puente SSL a SSL:
La configuración recomendada cuando se usan servidores proxy web para la administración de clientes basada en Internet es el protocolo de puente SSL a SSL, que usa la terminación SSL con autenticación. Los equipos cliente deben ser autenticados mediante autenticación de equipo, mientras que los clientes heredados de dispositivos móviles se autentican mediante autenticación de usuario. Los dispositivos móviles inscritos por Configuration Manager no son compatibles con el protocolo de puente SSL.La ventaja de terminación SSL en el servidor proxy web es que los paquetes de Internet están sujetos a inspección antes de que se reenvíen a la red interna. El servidor proxy web autentica la conexión desde el cliente, la termina y, a continuación, abre una nueva conexión autenticada para los sistemas de sitio basados en Internet. Cuando los clientes de Configuration Manager usan un servidor proxy web, la identidad del cliente (GUID de cliente) se incluye de forma segura en la carga de paquete para que el punto de administración no considere como cliente al servidor proxy web. En Configuration Manager no se admite el protocolo de puente con HTTP a HTTPS o de HTTPS a HTTP.
Tunelización:
Si su servidor proxy web no puede admitir los requisitos del protocolo de puente SSL o si quiere configurar la compatibilidad con Internet para dispositivos móviles inscritos por Configuration Manager, también se admite el protocolo de túnel SSL. Esto es una opción menos segura porque los paquetes SSL de Internet se reenvían a los sistemas de sitio sin terminación SSL, por lo que no se puede comprobar si incluyen contenido malintencionado. Cuando se utiliza el protocolo de túnel SSL, no hay ningún requisito de certificado para el servidor proxy web.
Planeación de clientes basados en Internet
Debe decidir si los equipos cliente que se administrarán a través de Internet van a configurarse para administración en la intranet e Internet, o solamente para administración de cliente basada en Internet. Solo se puede configurar la opción de administración de cliente durante la instalación de un equipo cliente. Si cambia de opinión más adelante, debe volver a instalar al cliente.
Nota
Solo para System Center 2012 R2 Configuration Manager y versiones más recientes: Si se configura un punto de administración compatible con Internet, los clientes que se conectan al punto de administración serán compatibles con Internet la próxima vez que actualicen su lista de puntos de administración disponibles.
Sugerencia |
---|
No es necesario restringir la configuración de administración de cliente solamente a Internet, sino que también puede usarla en la intranet. |
Los clientes que están configurados para la administración de cliente basada únicamente en Internet sólo se comunican con los sistemas de sitio que están configurados para conexiones de cliente de Internet. Esta configuración sería apropiada para equipos que sabe que nunca se conectan a la intranet de su empresa, por ejemplo, equipos para puntos de venta en ubicaciones remotas. También podría ser apropiada si se desea restringir la comunicación de cliente a HTTPS solamente (por ejemplo, par admitir firewall y directivas de seguridad restringidas), y cuando se instalan sistemas de sitio basados en Internet en una red perimetral y se quiere administrar estos servidores mediante el cliente de Configuration Manager.
Si desea administrar clientes de grupo de trabajo en Internet, debe instalarlos como solo de Internet.
Nota
Los clientes de dispositivos móviles se configuran automáticamente como solo de Internet cuando están configurados para utilizar un punto de administración basado en Internet.
Otros equipos cliente pueden configurarse para la administración de clientes de Internet e intranet. Estos equipos pueden cambiar automáticamente entre administración de cliente basada en Internet y administración de cliente de intranet cuando detectan un cambio de red. Si estos clientes pueden encontrar y conectarse a un punto de administración configurado para conexiones de cliente en la intranet, se administrarán como clientes de intranet con funcionalidad de administración de Configuration Manager completa. Si los clientes no pueden encontrar o conectarse a un punto de administración configurado para conexiones de cliente en la intranet, intentarán conectarse a un punto de administración basado en Internet. Si la conexión se realiza correctamente, estos clientes pasarán entonces a ser administrados por los sistemas de sitio basados en Internet en su sitio asignado.
La ventaja de poder cambiar de forma automática entre administración de cliente basada en Internet y administración de cliente de intranet es que los equipos cliente pueden usar automáticamente todas las características de Configuration Manager cada vez que estén conectados a la intranet, a la vez que continúan siendo administrados para funciones de administración esenciales cuando están en Internet. Además, una descarga que haya comenzado en Internet se puede reanudar sin problemas en la intranet y viceversa.
Requisitos previos para la administración de cliente basada en Internet
La administración de cliente basada en Internet de Configuration Manager presenta las siguientes dependencias externas:
Dependencia |
Más información |
---|---|
Los clientes que van a administrarse en Internet deben tener una conexión a Internet. |
Configuration Manager utiliza conexiones de proveedor de servicios de Internet (ISP) a Internet existentes, que pueden ser permanentes o temporales. Los dispositivos móviles de cliente deben tener una conexión directa a Internet, pero los equipos cliente pueden tener una conexión directa a Internet o conectarse mediante un servidor proxy web. |
Los sistemas de sitios que admiten administración de cliente basada en Internet deben tener conectividad a Internet y deben estar en un dominio de Active Directory. |
Los sistemas de sitio basados en Internet no requieren una relación de confianza con el bosque de Active Directory del servidor del sitio. Sin embargo, cuando el punto de administración basado en Internet puede autenticar al usuario mediante la autenticación de Windows, se admiten las directivas de usuario. Si se produce un error en la autenticación de Windows, se admiten solo las directivas de equipo. Nota Para admitir las directivas de usuario, también se debe establecer como VERDADERO las dos configuraciones de cliente de Directiva de cliente:
Un punto de sitio web del catálogo de aplicaciones basado en Internet también requiere autenticación de Windows para autenticar usuarios cuando su equipo se encuentra en Internet. Este requisito es independiente de las directivas de usuario. |
Es necesario disponer de una infraestructura de clave pública (PKI) compatible que pueda implementar y administrar los certificados que los clientes requieren y que se administran en Internet y en los servidores de sistema de sitio basados en Internet. |
Para obtener más información acerca de los certificados PKI, consulte Requisitos de certificados PKI para Configuration Manager. |
Los siguientes servicios de infraestructura deben configurarse para admitir la administración de cliente basada en Internet:
|
Requisitos de comunicación de cliente:
Para obtener información de configuración compatible con estos requisitos, consulte la documentación del firewall o del servidor proxy. Para obtener información sobre requisitos de comunicación similares cuando se utiliza el punto de actualización de software para conexiones de cliente de Internet, consulte la documentación de Windows Server Update Services (WSUS). Por ejemplo, para WSUS en Windows Server 2003, consulte Apéndice D: Configuración de seguridad, el apéndice de implementación para la configuración de seguridad. |
Planeación del ancho de banda de red en Configuration Manager
System Center 2012 Configuration Manager incluye varios métodos para controlar el ancho de banda de red utilizado en comunicaciones entre sitios, servidores de sistema de sitio y clientes. Sin embargo, no se puede administrar toda la comunicación de la red. Utilice las siguientes secciones para comprender los métodos que puede utilizar para controlar el ancho de banda de red y para diseñar la jerarquía del sitio.
Al planear la jerarquía de Configuration Manager, tenga en cuenta la cantidad de datos de red que se transferirá de las comunicaciones entre sitios y de las comunicaciones dentro de un sitio.
Nota
Las rutas de replicación de archivos (conocidas como direcciones antes de Configuration Manager SP1) solo se usan para comunicaciones entre sitios y no se utilizan para comunicaciones dentro del sitio entre servidores y sistemas del sitio.
Control del uso de ancho de banda de red entre sitios
Configuration Manager transfiere datos entre sitios mediante replicación basada en archivos y replicación de base de datos. Con anterioridad a Configuration Manager con SP1, era posible configurar la replicación basada en archivos para controlar el uso de ancho de banda de red para transferencias, pero no era posible configurar el uso de ancho de banda de red para la replicación de base de datos. A partir de Configuration Manager SP1, es posible configurar el uso del ancho de banda de red para la replicación de base de datos de los datos del sitio seleccionados.
Al configurar los controles de ancho de banda de red, debe tener en cuenta la posible latencia de datos. Si las comunicaciones entre sitios se restringen o configuran para la transferencia de datos después del horario comercial habitual exclusivamente, es posible que los administradores del sitio primario o del sitio secundario no puedan ver determinados datos hasta que se produzca la comunicación entre sitios. Por ejemplo, si se está enviando un paquete de actualización de software importante a puntos de distribución ubicados en sitios secundarios, es posible que el paquete no esté disponible en esos sitios hasta que se complete toda la comunicación entre sitios pendiente. La comunicación pendiente podría incluir la entrega de un paquete muy grande, cuya transferencia aún no se ha completado.
Controles para replicación basada en archivos: durante las transferencias de datos basadas en archivos, Configuration Manager usa todo el ancho de banda de red disponible para enviar datos entre sitios. Para controlar este proceso, puede configurar el remitente de un sitio con el fin de aumentar o disminuir los subprocesos de envío de sitio a sitio. Un subproceso de envío se utiliza para transferir un archivo a la vez. Cada subproceso adicional permite que los archivos adicionales se transfieran al mismo tiempo, lo que aumenta el uso de ancho de banda. Para configurar el número de subprocesos que se va a utilizar para las transferencias de sitio a sitio, configure el Máximo de envíos simultáneos de la pestaña Remitente de las propiedades de los sitios.
Para controlar las transferencias de datos basadas en archivos entre sitios, puede programar cuándo Configuration Manager puede utilizar una ruta de replicación de archivos a un sitio específico. Es posible controlar la cantidad de ancho de banda de red que se va a utilizar, el tamaño de bloques de datos y la frecuencia de envío de los bloques de datos. Las configuraciones adicionales pueden limitar las transferencias de datos en función de la prioridad del tipo de datos. Para cada sitio de la jerarquía, es posible establecer las programaciones y los límites de velocidad que ese sitio va a usar al transferir datos: Para ello, deberá configurar las propiedades de la ruta de replicación de archivos a cada sitio de destino. Las configuraciones para una ruta de replicación de archivos solo se aplican a las transferencias de datos al sitio de destino especificado para esa ruta de replicación de archivos.
Para obtener más información sobre las rutas de replicación de archivos, consulte la subsección Rutas de replicación de archivos de la sección Planeación de las comunicaciones entre sitios en Configuration Manager de este tema.
Importante Cuando se configuran los límites de velocidad para restringir el uso de ancho de banda en una ruta de replicación de archivos, Configuration Manager sólo puede usar un único subproceso para transferir datos a ese sitio de destino. El uso de límites de velocidad para una ruta de replicación de archivos anula el uso de los distintos subprocesos por sitio que están configurados en el Máximo de envíos simultáneos para cada sitio.
Controles para la replicación de base de datos: a partir de Configuration Manager SP1 puede configurar vínculos de replicación de base de datos para controlar el uso de ancho de banda de red para la transferencia de datos de sitio seleccionados entre sitios. Algunos de los controles son similares a los de la replicación basada en archivos, aunque con compatibilidad adicional para programar cuándo el inventario de hardware, el inventario de software, la disponibilidad de software y los mensajes de estado se replican en el sitio primario a través del vínculo.
Para obtener más información, consulte la sección Replicación de base de datos de este tema.
Control del uso de ancho de banda de red entre servidores de sistema de sitio
Dentro de un sitio, la comunicación entre sistemas de sitio utiliza bloques de mensajes del servidor (SMB) puede producirse en cualquier momento y no es compatible con un mecanismo para controlar el ancho de banda de red. No obstante, cuando se configura el servidor de sitio para usar límites de velocidad y programaciones para controlar la transferencia de datos a través de la red a un punto de distribución, es posible administrar la transferencia de contenido desde el servidor de sitio a los puntos de distribución con controles similares a los de las transferencias basadas en archivos de sitio a sitio.
Control del uso de ancho de banda de red entre clientes y servidores de sistema de sitio
Los clientes se comunican regularmente con distintos servidores de sistema de sitio. Por ejemplo, se comunican con un servidor de sistema de sitio que ejecuta un punto de administración cuando tienen que comprobar una directiva de cliente, y se comunican con un servidor de sistema de sitio que ejecuta un punto de distribución cuando tienen que descargar contenido para instalar una aplicación o una actualización de software. La frecuencia de estas conexiones y la cantidad de datos que se transfiere a través de la red a un cliente o desde el mismo depende las programaciones y configuraciones especificadas como configuraciones de cliente.
Normalmente, las solicitudes de directiva de cliente utilizan un ancho de banda de red bajo. Es posible que el ancho de banda de red sea alto cuando los clientes tengan acceso al contenido para las implementaciones o envíen información como, por ejemplo, datos de inventario de hardware al sitio.
Puede especificar la configuración de cliente que controla la frecuencia de las comunicaciones de red iniciadas por el cliente. Además, puede configurar el acceso de los clientes al contenido de implementación, por ejemplo, utilizando el Servicio de transferencia inteligente en segundo plano (BITS). Para utilizar BITS para descargar el contenido, el cliente debe estar configurado para utilizar BITS. Si el cliente no puede utilizar BITS utiliza SMB para transferir el contenido.
Para obtener información sobre la configuración de cliente en Configuration Manager, consulte Planeación de la configuración de cliente en Configuration Manager.