Exemples de scénarios d'itinérance pour Configuration Manager : Complexe
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Dernière mise à jour de la rubrique — Novembre 2007
Les informations de cette rubrique vous aideront à comprendre le fonctionnement de l'itinérance et des scénarios associés dans Configuration Manager 2007, à l'aide de scénarios plus complexes reposant sur les scénarios de base des Exemples de scénarios d'itinérance pour Configuration Manager : Simple et en recourant à la même entreprise fictive pour illustrer le déploiement de Configuration Manager sur plusieurs sites.
Avant de lire ces scénarios, consultez À propos de l'itinérance client dans Configuration Manager.
Les scénarios suivants traitent essentiellement de la méthode utilisée par les clients pour obtenir du contenu pour des publications et des mises à jour logicielles lorsque leur emplacement réseau se situe en dehors de leur site attribué dans la hiérarchie Configuration Manager :
L'utilisateur ne peut pas télécharger de contenu lors de l'itinérance en raison des paramètres de publication par défaut
L'utilisateur ne peut pas télécharger de contenu lors de l'itinérance en raison des points de distribution protégés
Un client attribué à un site mais situé en dehors des limites de son site ne peut pas exécuter de publication, ni d'installation de mises à jour logicielles
Accès d'un client en mode mixte à un site en mode natif
Accès d'un client en mode natif à un site en mode mixte
Accès d'un client dans une autre hiérarchie Configuration Manager 2007
Configuration Manager 2007 prend en charge la gestion des clients à tous les emplacements d'un environnement distribué ainsi que la protection des réseaux étendus (WAN) de façon à éviter que le trafic ne sature le réseau. Ces deux concepts entrent parfois en conflit et peuvent aboutir à des résultats inattendus ou non souhaités lorsque certains facteurs et configurations sont associés.
Par exemple, pour que les clients puissent toujours accéder au contenu dont ils ont besoin, lorsqu'ils se déplacent dans un autre site, ils doivent demander le contenu non disponible localement au site qui leur est attribué. Cependant, par défaut, les publications et les packages de mises à jour logicielles sont configurés de sorte que ce contenu ne puisse pas être téléchargé lorsqu'un client se connecte sur une limite lente. La configuration des points de distribution à protéger peut également empêcher des clients d'un autre site ou du même site de télécharger du contenu.
Les scénarios de cette rubrique illustrent certaines situations types dans lesquelles le comportement des clients en termes de téléchargement du contenu et de communication via les liaisons WAN est inattendu et généralement non souhaité. Toutefois, dans certaines situations, il est possible que le résultat soit souhaité en raison d'objectifs professionnels spécifiques.
Les meilleures pratiques suivantes vous permettront d'éviter ces conflits :
Assurez-vous que l'emplacement réseau des clients sur l'intranet se situe dans une limite définie dans la hiérarchie de Configuration Manager. Collaborez avec d'autres administrateurs de services tels que les administrateurs Active Directory qui définissent les sites Active Directory, et les administrateurs DHCP qui définissent les plages d'adresses utilisées par les clients (y compris les adresses des connexions VPN).
Assurez-vous que les limites définies ne contiennent pas l'adresse IP (ou sous-réseau) d'un client ou le site Active Directory pour plusieurs sites Configuration Manager (ou SMS 2003). Cette configuration engendre le chevauchement de limites et n'est donc pas prise en charge car le comportement du client ne peut pas être déterminé.
Lors de la configuration des limites lentes ou rapides, tenez compte des conséquences possibles si les clients peuvent télécharger du contenu lorsqu'ils ne sont pas connectés à une limite rapide.
Si vous devez interdire le trafic WAN dans un site spécifique, configurez ses points de distribution de sorte qu'ils soient protégés.
Pour minimiser le trafic entre un site principal et son site secondaire, installez un point de gestion proxy sur le site secondaire.
Pour minimiser le trafic sur les liaisons WAN lorsque les clients se déplacent, étendez le schéma Active Directory pour Configuration Manager 2007.
Pour plus d'informations sur les limites, reportez-vous aux rubriques suivantes :
Hiérarchie utilisée dans tous les exemples de scénarios d'itinérance
La hiérarchie présente trois niveaux de sites principaux :
Le site central constitue le sommet de la hiérarchie. Il s'agit de TOR qui se trouve à Toronto.
Au deuxième niveau des sites principaux, se situent les trois sites principaux enfants de Houston, Londres et Shanghai, respectivement HOU, LON et SHA.
Le site principal enfant de Houston possède deux sites secondaires à Seattle et Boston : SEA et BOS.
Le site principal enfant LON possède un site secondaire à Manchester : MAN.
Le site principal enfant SHA ne possède pas de site secondaire.
Au troisième niveau des sites principaux, se trouvent les deux sites principaux petits-enfants de Sydney et Helsinki, respectivement SYD et HEL.
Le site principal petit-enfant SYN possède deux sites secondaires à Melbourne et Brisbane : MEL et BRI.
Le site principal petit-enfant HEL ne possède pas de site secondaire.
Cette hiérarchie est représentée dans l'illustration suivante.
.gif "Hiérarchie ConfigMgr utilisée avec les scénarios")
L'utilisateur ne peut pas télécharger de contenu lors de l'itinérance en raison des paramètres de publication par défaut
Un utilisateur dont l'ordinateur portable est attribué à Houston (HOU) se déplace à Sydney (SYD).
L'administrateur de Houston a créé une publication pour Microsoft Office 2007, avec l'option Lorsqu'un client est connecté dans une limite réseau lente ou non fiable : Ne pas exécuter le programme sur la page Propriétés du nom de la publication : Onglet Points de distribution. Le package de publication est ajouté aux points de distribution de Houston (HOU), Seattle (SEA) et Boston (BOS), comme illustré ci-dessous.
.gif "Client itinérant dans l'impossibilité d'obtenir le contenu")
Fonction d'itinérance globale
Lorsque l'ordinateur portable se connecte au réseau à Sydney, l'utilisateur tente d'exécuter la publication. Le client configuration Manager contacte le point de gestion résident à Sydney, mais le contenu n'est pas disponible sur ce site.
Le client doit demander des points de distribution à son point de gestion par défaut à Houston pour pouvoir télécharger les packages sources depuis son site attribué à Houston (HOU).
Cependant, même si le contenu existe à Houston, la configuration de la publication empêche son téléchargement car le point de gestion par défaut détecte que l'emplacement réseau du client ne se situe pas dans les limites rapides configurées pour Houston.
L'utilisateur rentre de voyage mais fait un arrêt à Seattle pour se rendre sur son site secondaire attribué (SEA).
Lorsque l'ordinateur portable est connecté au réseau de Seattle, il identifie le site sur lequel il se trouve et recherche le point de gestion proxy dans les services de domaine Active Directory. Il communique avec le point de gestion proxy de SEA pour la stratégie, l'envoi de l'inventaire matériel et les requêtes d'emplacement de contenu.
L'utilisateur tente à nouveau d'exécuter la publication et y parvient parce que le point de gestion proxy trouve les points de distribution de SEA qui hébergent le contenu. Le client se situe maintenant dans les limites du site de Seattle.
Fonction d'itinérance régionale
Lorsque l'ordinateur portable se connecte au réseau à Sydney, l'utilisateur tente d'exécuter la publication. Le client Configuration Manager contacte son point de gestion par défaut à Houston qui ne connaît pas le site de Sydney. Cependant, le point de gestion connaît les points de distribution de Sydney mais ces points de distribution n'hébergent pas le contenu demandé par le client.
Le point de gestion par défaut de Houston renvoie la liste des points de distribution de Houston hébergeant le contenu demandé pour la publication.
Même si le contenu bien à Houston, la configuration de la publication empêche son téléchargement car le point de gestion par défaut détecte que l'adresse IP du client ne se situe pas dans ses limites rapides.
L'utilisateur rentre de voyage mais fait un arrêt à Seattle pour se rendre sur son site secondaire attribué (SEA).
Lorsque l'ordinateur portable est connecté au réseau de Seattle, il communique avec le point de gestion par défaut de Houston. Le point de gestion par défaut indique au client le point de gestion proxy de SEA à utiliser.
L'utilisateur tente à nouveau d'exécuter la publication et y parvient car le point de gestion proxy trouve les points de distribution de SEA qui hébergent le contenu et le client se situe sur une limite rapide du site de Seattle.
L'utilisateur ne peut pas télécharger de contenu lors de l'itinérance en raison des points de distribution protégés
Un utilisateur dont l'ordinateur portable est attribué à Shanghai (SHA) part à Londres (LON).
Le site de Shanghai a déployé un module complémentaire pour Microsoft Office et héberge le package logiciel sur tous les points de distribution du site de Shanghai.
Les liaisons WAN depuis et vers Shanghai sont lentes et onéreuses. Afin d'éviter que ces liaisons ne soient saturées par les téléchargements de contenu, tous les points de distribution du site de Shanghai sont configurés pour être protégés par les limites configurées pour le site de Shanghai.
Le contenu n'est pas disponible sur le site de Londres, l'ordinateur itinérant originaire de Shanghai demande donc la liste des points de distribution à son point de gestion par défaut de Shanghai. Même si le contenu est disponible à Shanghai, l'emplacement réseau du client à Londres ne se situe pas dans les limites configurées pour les points de distribution protégés à Shanghai, et l'utilisateur ne peut pas installer la publication tant qu'il ne se trouve pas à nouveau sur le site de Shanghai.
Ce scénario est représenté dans l'illustration suivante.
.gif "Client itinérant et points de distribution protégés")
Comportement similaire
Lorsque les points de distribution protégés à Shanghai sont configurés uniquement pour des limites rapides, les circonstances suivantes induisent le même comportement :
Si le site de Shanghai possède une limite lente définie pour le réseau privé virtuel (VPN) des utilisateurs distants, les utilisateurs qui se connectent via le VPN ne peuvent pas télécharger de contenu tant qu'ils ne se sont pas connectés directement à leur réseau à Shanghai (sur des limites rapides).
Si un client est attribué au site de Shanghai mais que son emplacement réseau ne se situe pas dans les limites configurées pour le site de Shanghai, il est automatiquement considéré comme se connectant via une limite lente. Cet utilisateur ne pourra donc jamais télécharger de contenu depuis les points de distribution de son site attribué tant que son emplacement réseau n'aura pas été ajouté à l'une des limites configurées pour les points de distribution protégés.
Un client attribué à un site mais situé en dehors des limites de son site ne peut pas exécuter de publication, ni d'installation de mises à jour logicielles
L'emplacement réseau d'un client se situe dans une limite rapide du site de Londres, mais ce client est attribué par erreur au site de Houston.
Une mise à jour logicielle est déployée sur le site de Toronto et hébergée sur tous les points de distribution de la hiérarchie, et le déploiement de la mise à jour logicielle est configuré avec le paramètre par défaut (non-exécution si le client se situe dans une limite lente). Ce scénario est représenté dans l'illustration suivante.
.gif "Client hors de ses limites de site")
Fonction d'itinérance globale
Le client reçoit la notification de la mise à jour logicielle et contacte le point de gestion résident du site de Londres (LON). Le point de gestion de Londres renvoie la liste des points de distribution de Londres disposant du contenu nécessaire à la mise à jour logicielle. Le client se situe dans une limite rapide sur le site de Londres et la mise à jour logicielle est installée.
Fonction d'itinérance régionale
Le client reçoit la notification de la mise à jour logicielle et contacte son point de gestion par défaut à Houston. Le point de gestion de Houston renvoie la liste des points de distribution de Houston disposant du contenu nécessaire à la mise à jour logicielle. Le client ne se situe pas dans une limite rapide sur le site de Houston et la mise à jour n'est donc pas installée.
Si la mise à jour n'est pas reconfigurée ou si le client n'est pas réattribué, le client pourra obtenir la mise à jour logicielle pour ce déploiement uniquement via l'itinérance vers Londres, car l'emplacement réseau du client sera situé dans une limite rapide pour le site.
Comportement similaire
Les clients ne peuvent pas non plus obtenir la mise à jour logicielle si une limite lente est définie pour le VPN du site de Houston (ou si aucune limite n'est définie) pour les connexions des utilisateurs distants. Dans ce cas, les utilisateurs qui se connectent via le VPN ne peuvent pas obtenir le contenu nécessaire.
Solutions possibles
Vous pouvez résoudre les problèmes liés à l'impossibilité d'obtenir le contenu en effectuant l'une des opérations de reconfiguration suivantes :
| Reconfiguration | Informations complémentaires |
|---|---|
Si un client qui ne dispose pas de la fonction d'itinérance globale est attribué à un site et si son emplacement réseau se situe dans les limites configurées d'un autre site (qui n'est pas un site secondaire du site attribué), réattribuez le client. Dans le scénario décrit, le client doit être réattribué au site de Londres. |
Comment attribuer des clients Configuration Manager à un site |
Pour les déploiements de publications et de mises à jour logicielles importantes, l'option par défaut consiste à ne pas installer le déploiement lorsque les clients sont connectés dans une limite réseau lente. Par mesure de sécurité, vous pouvez opter pour le téléchargement et l'exécution du contenu au niveau local. Notes Avec cette configuration, il est possible que d'autres clients installent également ce contenu lorsqu'ils se déplacent vers un autre site s'ils s'adressent à leur point de gestion par défaut pour l'obtention du contenu. |
Configurez les options suivantes dans les boîtes de dialogue ci-après : |
Optez pour la reconfiguration des limites lentes qui sont définies pour le site. Par exemple, une connexion VPN peut s'avérer suffisamment rapide et fiable pour être configurée en tant que limite rapide afin que les utilisateurs connectés via le VPN puissent toujours installer le contenu qui est hébergé sur leur site attribué. |
Accès d'un client en mode mixte à un site en mode natif
Un utilisateur d'ordinateur portable situé à Houston accède au site de Toronto immédiatement après le déploiement d'une mise à jour logicielle critique hébergée sur la totalité des points de distribution de la hiérarchie, avec l'option de téléchargement et d'exécution de la mise à jour au niveau local lorsque les clients se connectent depuis une limite lente, comme illustré ci-dessous.
.gif "Itinérance de client en mode mixte vers site en mode natif")
Fonction d'itinérance globale
Un client disposant de la fonction d'itinérance globale remarque qu'il est à présent connecté au site de Toronto, et il tente de communiquer avec le point de gestion résident. Cependant, le site de Toronto fonctionne en mode natif et n'autorise pas les communications à partir d'un client en mode mixte. Le client reprend donc la communication avec son point de gestion par défaut de Houston et installe la mise à jour logicielle depuis un point de distribution de Houston.
Fonction d'itinérance régionale
Un client disposant de la fonction d'itinérance régionale ne remarque pas qu'il a accédé à un autre site. Il continue donc à communiquer avec son point de gestion par défaut de Houston et lui demande la liste des points de distribution les plus proches, qui lui permettront de télécharger la mise à jour logicielle. Le point de gestion de Houston ne trouve pas les points de distribution de Toronto. Il renvoie donc la liste des points de distribution du site de Houston et le client installe la mise à jour logicielle depuis un point de distribution de Houston.
Solutions possibles
Il n'existe pas de solution permettant de supprimer cette hausse du trafic entre le client en itinérance vers le site de Toronto et son site attribué à Houston. Afin d'assurer l'intégrité du site, un site en mode natif refuse les communications des clients en mode mixte.
Si le site de Houston passe en mode natif, un client disposant de la fonction d'itinérance globale peut communiquer avec le point de gestion résident de Toronto et télécharger du contenu depuis les points de distribution de Toronto.
Accès d'un client en mode natif à un site en mode mixte
Un utilisateur d'ordinateur portable situé à Toronto accède au site de Houston immédiatement après le déploiement d'une mise à jour logicielle critique hébergée sur la totalité des points de distribution de la hiérarchie, avec l'option de téléchargement et d'exécution au niveau local lorsque les clients se connectent depuis une limite lente, comme illustré ci-dessous.
.gif "Itinérance de client en mode natif vers un site en mode mixte")
Fonction d'itinérance globale
Un client disposant de la fonction d'itinérance globale remarque qu'il est à présent connecté au site de Houston et tente de communiquer avec le point de gestion résident. Le site de Houston fonctionne en mode mixte, et l'authentification mutuelle entre le client et les points de gestion résidents à l'aide d'une autorité de certification échoue.
Si l'option Activer la communication HTTP pour l'itinérance et l'attribution de site est activée pour le client, celui-ci peut communiquer en mode mixte avec le point de gestion résident de Houston et lui demander la liste des points de distribution du site de Houston.
Cependant, si l'option Activer la communication HTTP pour l'itinérance et l'attribution de site n'est pas activée pour le client, celui-ci ne peut pas communiquer en mode mixte avec le point de gestion résident de Houston. Le client revient vers son point de gestion par défaut de Toronto et télécharge la mise à jour logicielle depuis l'un des points de distribution du site de Toronto.
Fonction d'itinérance régionale
Un client disposant de la fonction d'itinérance régionale ne remarque pas qu'il a accédé à un autre site. Il continue donc à communiquer avec son point de gestion par défaut de Toronto et lui demande la liste des points de distribution les plus proches, qui lui permettront de télécharger la mise à jour logicielle. Le point de gestion de Toronto renvoie la liste des points de distribution de Houston.
Si l'option Activer la communication HTTP pour l'itinérance et l'attribution de site est activée pour le client, celui-ci peut communiquer en mode mixte avec les points de distribution de Houston et il peut installer la mise à jour logicielle à partir du site de Houston.
Cependant, si l'option Activer la communication HTTP pour l'itinérance et l'attribution de site n'est pas activée pour le client, celui-ci ne peut pas communiquer en mode mixte avec les points de distribution de Houston. La mise à jour logicielle est donc installée à partir de son site attribué de Toronto.
Étapes critiques de configuration
L'étape de configuration suivante est essentielle à la réussite de ce scénario.
| Configuration | Informations complémentaires |
|---|---|
Si vous souhaitez qu'un client en mode natif accède à un site en mode mixte et télécharge du contenu localement à partir de ce site en mode mixte, vous devez configurer le client en utilisant l'option Activer la communication HTTP pour l'itinérance et l'attribution de site. Notes Cette option représente une configuration moins sécurisée que l'interdiction de la communication HTTP. |
Communication des clients en mode mixte et en mode natif Comment configurer des communications HTTP pour l'itinérance et l'attribution de site |
Accès d'un client dans une autre hiérarchie Configuration Manager 2007
Un consultant originaire du site de Houston rend visite à une autre société dans le Michigan où Configuration Manager 2007 est également installé. Lorsque son ordinateur portable est connecté au réseau de l'autre société, il reçoit une adresse IP d'un serveur DHCP et dispose d'une connexion réseau. Le consultant tente d'exécuter une publication facultative préalablement reçue afin d'installer un module complémentaire pour Microsoft Office 2007.
Ce module complémentaire est également disponible sous forme de publication facultative dans la hiérarchie Configuration Manager 2007 de l'autre société. L'utilisateur pense donc que l'installation va s'effectuer. Cependant, comme l'indique l'illustration suivante, le contenu n'est pas disponible pour cet utilisateur dans la hiérarchie de l'autre société.
.gif "Itinérance du client vers une autre hiérarchie")
Fonction d'itinérance globale
Un client disposant de la fonction d'itinérance globale interroge les services de domaine Active Directory pour connaître son site et son point de gestion par défaut.
Sur un autre réseau, l'ordinateur client ne peut pas être authentifié et ne peut pas accéder aux services de domaine Active Directory. Lorsque la fonction d'itinérance globale échoue, le client reprend son comportement d'itinérance régionale.
Fonction d'itinérance régionale
Un client disposant de la fonction d'itinérance régionale tente de trouver le point de gestion par défaut de son site attribué lorsqu'il se connecte au nouveau réseau.
Le scénario le plus probable est que le client ne trouvera pas le point de gestion de son site attribué sur le nouveau réseau. Si le nouveau réseau ne possède pas le même code de site ou si le client ne peut pas localiser de point de gestion, le client tente de nouveau d'utiliser le point de gestion de Houston qui lui est actuellement attribué. Sauf si les deux hiérarchies sont reliées par une connexion réseau, cette opération échoue et le client ne peut pas télécharger de contenu tant qu'il ne retourne pas sur sa propre hiérarchie Configuration Manager 2007.
Si le code de site attribué du client correspond à celui du nouveau réseau, le client tente de localiser le point de gestion par défaut de son site à l'aide de DNS, du point de recherche de serveur et de WINS. Pour que cette solution fonctionne, la nouvelle hiérarchie doit contenir un code de site identique à celui du site attribué du client, et l'une des conditions suivantes doit être vérifiée :
Pour que le client trouve un point de gestion pour son code de site attribué à l'aide de la publication DNS, il doit être configuré pour les serveurs DNS sur le nouveau réseau et, soit le point de gestion du nouveau réseau doit posséder le même suffixe de domaine que le point de gestion de Houston, soit la valeur de l'option Spécifier ou modifier un suffixe DNS pour l'attribution de site suivante est reconfigurée sur le client.
Pour que le client trouve un point de gestion à l'aide d'un point de recherche de serveur, le même nom de point de recherche de serveur ou la même adresse IP doit être utilisé dans le nouveau réseau si un point de recherche de serveur a été attribué au client, ou alors, le client doit être configuré pour les serveurs WINS sur le nouveau réseau disposant d'une entrée WINS manuelle pour un point de recherche de serveur. En outre, pour qu'un client en mode natif communique avec un point de recherche de serveur, l'option Activer la communication HTTP pour l'itinérance et l'attribution de site doit être activée sur le client.
Pour que le client puisse trouver un point de gestion à l'aide de WINS, il doit fonctionner en mode mixte et doit être configuré pour les serveurs WINS sur le nouveau réseau.
Si l'une de ces conditions est vérifiée, le client met à jour son point de gestion attribué avec un point de gestion de l'autre hiérarchie. Cependant, le client ne peut pas être géré étant donné qu'il n'approuve pas le point de gestion de la nouvelle hiérarchie pour l'une des raisons suivantes :
L'authentification mutuelle échoue en mode natif.
Le mode de communication du client diffère de celui du site du point de gestion.
Le numéro de port des requêtes client configuré sur le client diffère de celui que le site utilise.
Le client ne parvient pas à authentifier le certificat du point de gestion à l'aide de la clé racine approuvée de sa propre hiérarchie.
Solutions possibles
Si la publication est définie comme obligatoire et qu'elle est configurée pour être téléchargée et installée localement, ce scénario peut fonctionner, à condition que le contenu soit téléchargé en totalité avant le retrait de l'ordinateur portable du site de Houston.
La gestion des clients Internet constitue une autre solution possible pour les ordinateurs portables qui sont régulièrement déconnectés du réseau intranet de leur société. Sur le réseau intranet d'une autre société, le client tente de se connecter à son point de gestion Internet et de récupérer le contenu via Internet. Pour que cette méthode fonctionne, l'utilisateur devra peut-être configurer le client Configuration Manager pour qu'il utilise un serveur proxy local pour l'accès Internet. Pour plus d'informations, reportez-vous aux éléments suivants :
Voir aussi
Tâches
Comment désigner un point de distribution
Concepts
À propos de l'attribution de site client dans Configuration Manager
À propos de l'itinérance client dans Configuration Manager
À propos des points de distribution
Exemples de scénarios d'attribution pour Configuration Manager : sites principaux
Exemples de scénarios d'attribution pour Configuration Manager : sites secondaires
Exemples de scénarios d'itinérance pour Configuration Manager : Simple
Autres ressources
Référence technique pour le déploiement de Configuration Manager
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.