Kommunikáció a végpontok között a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ez a cikk azt ismerteti, hogy Configuration Manager helyrendszerek és ügyfelek hogyan kommunikálnak a hálózaton. A következő szakaszokat tartalmazza:
Kommunikáció a hely helyrendszere között
Amikor Configuration Manager helyrendszerek vagy összetevők a hálózaton keresztül kommunikálnak a hely más helyrendszereivel vagy összetevőikkel, a hely konfigurálásának módjától függően az alábbi protokollok egyikét használják:
Kiszolgálói üzenetblokk (SMB)
HTTP
HTTPS
A helykiszolgáló és a terjesztési pont közötti kommunikáció kivételével a helyeken a kiszolgálók közötti kommunikáció bármikor megtörténhet. Ezek a kommunikációk nem használnak mechanizmusokat a hálózati sávszélesség szabályozására. Mivel nem tudja szabályozni a helyrendszerek közötti kommunikációt, győződjön meg arról, hogy a helyrendszer-kiszolgálókat olyan helyekre telepíti, amelyekhez gyors és jól csatlakoztatott hálózatok tartoznak.
Helykiszolgálóról terjesztési pontra
A tartalom helykiszolgálóról terjesztési pontokra való átvitelének kezeléséhez használja az alábbi stratégiákat:
Konfigurálja a terjesztési pontot a hálózati sávszélesség szabályozásához és ütemezéséhez. Ezek a vezérlők hasonlítanak a helyek közötti címek által használt konfigurációkra. Ezt a konfigurációt használja egy másik Configuration Manager hely telepítése helyett, ha a tartalom távoli hálózati helyekre történő átvitele a fő sávszélesség-szempont.
Terjesztési pontot előre előkészített terjesztési pontként is telepíthet. Az előkészített terjesztési pontok lehetővé teszik olyan tartalmak használatát, amelyek manuálisan kerülnek a terjesztésipont-kiszolgálóra, és eltávolítják a tartalomfájlok hálózaton keresztüli átvitelének követelményét.
További információ: A tartalomkezelés hálózati sávszélességének kezelése.
Kommunikáció az ügyfelektől a helyrendszerek és szolgáltatások felé
Az ügyfelek kezdeményeznek kommunikációt a helyrendszerszerepkörökkel, Active Directory tartományi szolgáltatások és online szolgáltatások. A kommunikáció engedélyezéséhez a tűzfalaknak engedélyezniük kell az ügyfelek és a kommunikáció végpontja közötti hálózati forgalmat. Az ügyfelek által a végpontokkal való kommunikáció során használt portokkal és protokollokkal kapcsolatos további információkért lásd: Az Configuration Manager használt portok.
Mielőtt az ügyfél kommunikálhat egy helyrendszerszerepkörrel, az ügyfél szolgáltatáshelyet használ az ügyfél protokollját (HTTP vagy HTTPS) támogató szerepkör megkereséséhez. Alapértelmezés szerint az ügyfelek a számukra elérhető legbiztonságosabb módszert használják. További információ: Annak ismertetése, hogy az ügyfelek hogyan találják meg a helyerőforrásokat és -szolgáltatásokat.
A Configuration Manager-ügyfelek és a helykiszolgálók közötti kommunikáció biztonságossá tételéhez konfigurálja az alábbi lehetőségek egyikét:
Nyilvános kulcsú infrastruktúrát (PKI) használjon, és telepítse a PKI-tanúsítványokat az ügyfelekre és kiszolgálókra. Engedélyezze a helyrendszerek számára, hogy HTTPS-en keresztül kommunikáljanak az ügyfelekkel. További információ a tanúsítványok használatáról: PKI-tanúsítványkövetelmények.
Konfigurálja a helyet úgy, hogy Configuration Manager által létrehozott tanúsítványokat használjon HTTP-helyrendszerekhez. További információ: Bővített HTTP.
Amikor olyan helyrendszerszerepkört helyez üzembe, amely internet information services (IIS) szolgáltatást használ, és támogatja az ügyfelektől érkező kommunikációt, meg kell adnia, hogy az ügyfelek HTTP vagy HTTPS használatával csatlakoznak-e a helyrendszerhez. HA HTTP-t használ, érdemes megfontolnia az aláírási és titkosítási lehetőségeket is. További információ: Tervezés aláíráshoz és titkosításhoz.
Fontos
A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.
Ügyfél és felügyeleti pont közötti kommunikáció
Az ügyfélnek két fázisa van, amikor egy felügyeleti ponttal kommunikál: hitelesítés (átvitel) és engedélyezés (üzenet). Ez a folyamat a következő tényezőktől függ:
- Helykonfiguráció: csak HTTPS, http vagy HTTPS engedélyezése, illetve HTTP vagy HTTPS engedélyezése továbbfejlesztett HTTP-vel
- Felügyeleti pont konfigurálása: HTTPS vagy HTTP
- Eszközidentitás eszközközpontú forgatókönyvekhez
- Felhasználói identitás felhasználóközpontú forgatókönyvekhez
Az alábbi táblázatból megtudhatja, hogyan működik ez a folyamat:
MP típusa | Ügyfél-hitelesítés | Ügyfél-engedélyezés Eszközidentitás |
Ügyfél-engedélyezés Felhasználói identitás |
---|---|---|---|
HTTP | Névtelen A bővített HTTP-vel a webhely ellenőrzi a Microsoft Entra-azonosító felhasználóját vagy eszközjogkivonatát. |
Helykérés: Névtelen Ügyfélcsomag: Névtelen Regisztráció az alábbi módszerek egyikével az eszközidentitás igazolására: - Névtelen (manuális jóváhagyás) – Integrált Windows-hitelesítés - Microsoft Entra id eszközjogkivonat (enhanced HTTP) A regisztrációt követően az ügyfél üzenet-aláírással igazolja az eszköz identitását |
Felhasználóközpontú forgatókönyvek esetén az alábbi módszerek egyikével igazolhatja a felhasználói identitást: – Integrált Windows-hitelesítés - Microsoft Entra azonosító felhasználói jogkivonata (bővített HTTP) |
HTTPS | Az alábbi módszerek egyikével: - PKI-tanúsítvány – Integrált Windows-hitelesítés – Microsoft Entra azonosító felhasználó vagy eszköz jogkivonata |
Helykérés: Névtelen Ügyfélcsomag: Névtelen Regisztráció az alábbi módszerek egyikével az eszközidentitás igazolására: - Névtelen (manuális jóváhagyás) – Integrált Windows-hitelesítés - PKI-tanúsítvány – Microsoft Entra azonosító felhasználó vagy eszköz jogkivonata A regisztrációt követően az ügyfél üzenet-aláírással igazolja az eszköz identitását |
Felhasználóközpontú forgatókönyvek esetén az alábbi módszerek egyikével igazolhatja a felhasználói identitást: – Integrált Windows-hitelesítés - Microsoft Entra azonosító felhasználói jogkivonat |
Tipp
A felügyeleti pont különböző eszközidentitás-típusokhoz és a felhőfelügyeleti átjáróhoz való konfigurálásának további információiért lásd: Felügyeleti pont engedélyezése HTTPS-hez.
Ügyfél és terjesztési pont közötti kommunikáció
Amikor egy ügyfél egy terjesztési ponttal kommunikál, csak a tartalom letöltése előtt kell hitelesítenie magát. Az alábbi táblázatból megtudhatja, hogyan működik ez a folyamat:
DP-típus | Ügyfél-hitelesítés |
---|---|
HTTP | - Névtelen, ha engedélyezve van – Integrált Windows-hitelesítés számítógépfiókkal vagy hálózati hozzáférési fiókkal - Tartalom-hozzáférési jogkivonat (bővített HTTP) |
HTTPS | - PKI-tanúsítvány – Integrált Windows-hitelesítés számítógépfiókkal vagy hálózati hozzáférési fiókkal – Tartalom-hozzáférési jogkivonat |
Az internetről vagy nem megbízható erdőből érkező ügyfélkommunikációval kapcsolatos szempontok
További információért olvassa el az alábbi témaköröket:
Active Directory-erdők közötti kommunikáció
Configuration Manager támogatja az Active Directory-erdőkre kiterjedő helyeket és hierarchiát. Támogatja azokat a tartományi számítógépeket is, amelyek nem ugyanabban az Active Directory-erdőben találhatók, mint a helykiszolgáló, valamint a munkacsoportokban lévő számítógépeket.
Tartományi számítógépek támogatása olyan erdőben, amelyet a helykiszolgáló erdője nem megbízható
Telepítse a helyrendszerszerepköröket a nem megbízható erdőben, és tegye közzé a helyadatokat az Active Directory-erdőben
Ezeket a számítógépeket úgy kezelheti, mintha munkacsoport-számítógépek lennének.
Amikor helyrendszer-kiszolgálókat telepít egy nem megbízható Active Directory-erdőben, az adott erdő ügyfeleinek kommunikációja az erdőben marad, és Configuration Manager a Kerberos használatával hitelesítheti a számítógépet. Amikor helyadatokat tesz közzé az ügyfél erdőiben, az ügyfelek a helyadatokat, például az elérhető felügyeleti pontok listáját az Active Directory-erdőjükből kérhetik le, ahelyett, hogy letöltenék ezeket az információkat a hozzárendelt felügyeleti pontjukról.
Megjegyzés:
Ha az interneten található eszközöket szeretné felügyelni, internetalapú helyrendszerszerepköröket telepíthet a szegélyhálózatra, amikor a helyrendszer-kiszolgálók egy Active Directory-erdőben találhatók. Ebben a forgatókönyvben nincs szükség kétirányú megbízhatóságra a szegélyhálózat és a helykiszolgáló erdője között.
Munkacsoportban lévő számítógépek támogatása
A munkacsoport számítógépeinek manuális jóváhagyása, ha HTTP-ügyfélkapcsolatokat használnak a helyrendszerszerepkörökhöz. Configuration Manager nem tudja hitelesíteni ezeket a számítógépeket a Kerberos használatával.
Konfigurálja a munkacsoport-ügyfeleket a hálózati hozzáférési fiók használatára, hogy ezek a számítógépek le tudják kérni a tartalmat a terjesztési pontokról.
Biztosítson egy alternatív mechanizmust a munkacsoport-ügyfelek számára a felügyeleti pontok megkereséséhez. Használjon DNS-közzétételt, vagy rendeljen hozzá közvetlenül egy felügyeleti pontot. Ezek az ügyfelek nem tudják lekérni a helyadatokat Active Directory tartományi szolgáltatások.
További információért olvassa el az alábbi témaköröket:
Forgatókönyvek több tartományra és erdőre kiterjedő webhely vagy hierarchia támogatásához
1. forgatókönyv: Erdőkre kiterjedő hierarchiában lévő helyek közötti kommunikáció
Ehhez a forgatókönyvhöz kétirányú erdőmegbízhatóságra van szükség, amely támogatja a Kerberos-hitelesítést. Ha nem rendelkezik kétirányú erdőmegbízhatóságtal, amely támogatja a Kerberos-hitelesítést, akkor Configuration Manager nem támogatja a távoli erdőben található gyermekhelyeket.
Configuration Manager támogatja a gyermekhelyek telepítését olyan távoli erdőben, amely rendelkezik a szülőhely erdőjével a szükséges kétirányú megbízhatósági kapcsolattal. Elhelyezhet például egy másodlagos helyet az elsődleges szülőhelyétől eltérő erdőben, ha a szükséges megbízhatósági kapcsolat létezik.
Megjegyzés:
A gyermekhely lehet elsődleges hely (ahol a központi adminisztrációs hely a szülőhely) vagy egy másodlagos hely.
A helyek közötti kommunikáció Configuration Manager adatbázis-replikációt és fájlalapú átvitelt használ. Hely telepítésekor meg kell adnia egy fiókot, amellyel telepíteni szeretné a helyet a kijelölt kiszolgálón. Ez a fiók a webhelyek közötti kommunikációt is létrehozza és fenntartja. Miután a hely sikeresen telepítette és elindította a fájlalapú átviteleket és az adatbázis-replikációt, nem kell mást konfigurálnia a hely felé irányuló kommunikációhoz.
Ha létezik kétirányú erdőmegbízhatóság, Configuration Manager nincs szükség további konfigurációs lépésekre.
Alapértelmezés szerint új gyermekhely telepítésekor Configuration Manager a következő összetevőket konfigurálja:
Helyek közötti fájlalapú replikációs útvonal minden olyan helyen, amely a helykiszolgáló számítógépfiókot használja. Configuration Manager hozzáadja az egyes számítógépek számítógépfiókját a célszámítógép SMS_SiteToSiteConnection_<sitecode> csoportjához.
Adatbázis-replikáció az egyes helyek SQL-kiszolgálói között.
Állítsa be a következő konfigurációkat is:
A beavatkozó tűzfalaknak és hálózati eszközöknek engedélyeznie kell a Configuration Manager szükséges hálózati csomagokat.
A névfeloldásnak működnie kell az erdők között.
Hely- vagy helyrendszerszerepkör telepítéséhez olyan fiókot kell megadnia, amely helyi rendszergazdai engedélyekkel rendelkezik a megadott számítógépen.
2. forgatókönyv: Erdőkre kiterjedő hely kommunikációja
Ehhez a forgatókönyvhöz nincs szükség kétirányú erdőszintű megbízhatóságra.
Az elsődleges helyek támogatják a helyrendszerszerepkörök telepítését a távoli erdőkben lévő számítógépeken.
- Ha egy helyrendszerszerepkör elfogadja az internetről érkező kapcsolatokat, biztonsági ajánlott eljárásként telepítse a helyrendszerszerepköröket olyan helyre, ahol az erdő határa védelmet biztosít a helykiszolgáló számára (például szegélyhálózaton).
Helyrendszerszerepkör telepítése nem megbízható erdőben lévő számítógépre:
Adjon meg egy helyrendszer-telepítési fiókot, amelyet a hely a helyrendszerszerepkör telepítéséhez használ. (Ehhez a fiókhoz helyi rendszergazdai hitelesítő adatokkal kell rendelkeznie a csatlakozáshoz.) Ezután telepítse a helyrendszerszerepköröket a megadott számítógépre.
Válassza a Helyrendszer megkövetelése a helykiszolgálótól a kapcsolat kezdeményezése ehhez a helyrendszerhez beállítást. Ehhez a beállításhoz a helykiszolgálónak kapcsolatot kell létesítenie a helyrendszer-kiszolgálóval az adatátvitelhez. Ez a konfiguráció megakadályozza, hogy a nem megbízható helyen lévő számítógép kapcsolatot létesítsen a megbízható hálózaton belüli helykiszolgálóval. Ezek a kapcsolatok a helyrendszer-telepítési fiókot használják.
Nem megbízható erdőben telepített helyrendszerszerepkör használatához a tűzfalaknak akkor is engedélyezniük kell a hálózati forgalmat, ha a helykiszolgáló kezdeményezi az adatok átvitelét.
Emellett a következő helyrendszerszerepkörök közvetlen hozzáférést igényelnek a helyadatbázishoz. Ezért a tűzfalaknak engedélyeznie kell a nem megbízható erdő és a hely SQL Server közötti megfelelő forgalmat:
Eszközintelligencia szinkronizálási pontja
Endpoint Protection-pont
Regisztrációs pont
Felügyeleti pont
Jelentéskészítési szolgáltatási pont
Állapotáttelepítési pont
További információ: A Configuration Manager használt portok.
Előfordulhat, hogy konfigurálnia kell a felügyeleti ponthoz és a beléptetési ponthoz való hozzáférést a helyadatbázishoz.
Alapértelmezés szerint a szerepkörök telepítésekor a Configuration Manager az új helyrendszer-kiszolgáló számítógépfiókját konfigurálja a helyrendszerszerepkör kapcsolatfiókjaként. Ezután hozzáadja a fiókot a megfelelő SQL Server adatbázis-szerepkörhöz.
Ha ezeket a helyrendszerszerepköröket nem megbízható tartományba telepíti, konfigurálja a helyrendszerszerepkör kapcsolatfiókot úgy, hogy a helyrendszerszerepkör adatokat szerezzen be az adatbázisból.
Ha tartományi felhasználói fiókot konfigurál ezen helyrendszerszerepkörök kapcsolatfiókjának, győződjön meg arról, hogy a tartományi felhasználói fiók megfelelő hozzáféréssel rendelkezik az adott helyen található SQL Server adatbázishoz:
Felügyeleti pont: Felügyeleti pont adatbázis-kapcsolati fiókja
Beléptetési pont: Regisztrációs pont csatlakozási fiókja
A helyrendszerszerepkörök más erdőkben való tervezésekor vegye figyelembe a következő további információkat:
Ha Windows tűzfalat futtat, konfigurálja a megfelelő tűzfalprofilokat a helyadatbázis-kiszolgáló és a távoli helyrendszerszerepkörökkel telepített számítógépek közötti kommunikáció továbbítására.
Ha az internetalapú felügyeleti pont megbízik a felhasználói fiókokat tartalmazó erdőben, a felhasználói házirendek támogatottak. Ha nem létezik megbízhatóság, csak a számítógép-házirendek támogatottak.
3. forgatókönyv: Kommunikáció az ügyfelek és a helyrendszerszerepkörök között, ha az ügyfelek nem ugyanabban az Active Directory-erdőben találhatók, mint a helykiszolgálójuk
Configuration Manager az alábbi forgatókönyveket támogatja az olyan ügyfelek esetében, amelyek nem ugyanabban az erdőben találhatóak, mint a helykiszolgálójuk:
Kétirányú erdőmegbízhatóság van az ügyfél erdője és a helykiszolgáló erdője között.
A helyrendszerszerepkör-kiszolgáló ugyanabban az erdőben található, mint az ügyfél.
Az ügyfél olyan tartományi számítógépen található, amely nem rendelkezik kétirányú erdőmegbízhatóságtal a helykiszolgálóval, és a helyrendszerszerepkörök nincsenek telepítve az ügyfél erdőjében.
Az ügyfél munkacsoport-számítógépen található.
A tartományhoz csatlakoztatott számítógépen lévő ügyfelek Active Directory tartományi szolgáltatások használhatnak a szolgáltatás helyéhez, amikor a helyüket közzéteszik az Active Directory-erdőjükben.
Helyadatok közzététele egy másik Active Directory-erdőben:
Adja meg az erdőt, majd engedélyezze a közzétételt az adott erdőben az Adminisztráció munkaterület Active Directory-erdők csomópontjában.
Konfigurálja az egyes helyeket úgy, hogy az adatokat közzétegye Active Directory tartományi szolgáltatások. Ez a konfiguráció lehetővé teszi, hogy az adott erdőben lévő ügyfelek lekérjék a helyadatokat, és felügyeleti pontokat keressenek. Azok az ügyfelek, amelyek nem tudják használni a Active Directory tartományi szolgáltatások a szolgáltatás helyéhez, használhatják a DNS-t vagy az ügyfél hozzárendelt felügyeleti pontját.
4. forgatókönyv: Az Exchange Server-összekötő elhelyezése távoli erdőben
A forgatókönyv támogatásához győződjön meg arról, hogy a névfeloldás működik az erdők között. Konfigurálja például a DNS-továbbításokat. A Exchange Server-összekötő konfigurálásakor adja meg a Exchange Server intranetes teljes tartománynevét. További információ: Mobileszközök kezelése a Configuration Manager és az Exchange használatával.