A kommunikáció tervezése a Configuration Manager alkalmazásban
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Mielőtt telepítené a System Center 2012 Configuration Managert, tervezze meg a hálózati kommunikációt a hierarchiában lévő különböző helyek, a helyen lévő különböző helyrendszer-kiszolgálók, valamint az ügyfelek és helyrendszer-kiszolgálók között. Előfordulhat, hogy ezek a kommunikációk egyetlen tartományban történnek, de kiterjedhetnek több Active Directory-erdőre is. Az internetes ügyfelek kezeléséhez szükséges kommunikáció megtervezésére is szükség lehet.
A témakör következő részei a Configuration Manager kommunikációjának megtervezéséhez nyújtanak segítséget.
A helyek közötti kommunikáció tervezése a Configuration Manager alkalmazásban
Fájlalapú replikáció
Adatbázis-replikáció
A helyek közötti kommunikáció tervezése a Configuration Manager alkalmazásban
Az ügyfél-kommunikáció tervezése a Configuration Manager alkalmazásban
Ügyfél által kezdeményezett kommunikáció
Szolgáltatáskeresés és az ügyfélhez rendelt felügyeleti pont meghatározása az ügyfél által
Ügyfelek felébresztése
Az erdőkön keresztül folytatott kommunikáció tervezése a Configuration Managerben
Az internetalapú ügyfélfelügyelet tervezése
Az interneten nem támogatott funkciók
Az internetről vagy nem megbízható erdőből kapcsolódó ügyfelekkel folytatott kommunikáció esetén megfontolandó szempontok
Az internetalapú ügyfelek tervezése
Az internetalapú ügyfélfelügyelet előfeltételei
Hálózati sávszélesség tervezése a Configuration Manager rendszerben
A hálózati sávszélesség használatának szabályozása a helyek között
A hálózati sávszélesség használatának szabályozása a helyrendszer-kiszolgálók között
A hálózati sávszélesség használatának szabályozása az ügyfelek és a helyrendszer-kiszolgálók között
A Configuration Manager újdonságai
.jpeg "System_CAPS_note") Megjegyzés |
|---|
Az ebben a szakaszban szereplő információk a következő helyen is megjelennek: az Getting Started with System Center 2012 Configuration Manager (Az első lépések a System Center 2012 Configuration Managerrel) útmutatóban. |
A helyek kommunikációjának újdonságai és változásai a Configuration Manager 2007 óta:
A helyek közötti adatátvitelhez a rendszer már sok esetben adatbázis-replikációt használ a fájlalapú replikáció mellett, például a konfigurációk és a beállítások átviteléhez is.
A Configuration Manager 2007 rendszerben az ügyfelek és a helyrendszerek közötti kommunikáció a vegyes és natív módú helyekre épülő koncepció mentén zajlott. Az új verzióban ezt a helyrendszerszerepkörök váltották fel, amelyek egymástól függetlenül képesek támogatni a HTTP- és a HTTPS-alapú ügyfél-kommunikációt.
Az egyszerűbb támogatás érdekében a Configuration Manager képes felderíteni a más erdőkben található ügyfélszámítógépeket is, és helyinformációkat is közzétehet más erdők számára.
A rendszer már nem használ kiszolgálókeresési pontot, a helyrendszerszerepkör erre szolgáló funkcionalitását pedig a felügyeleti pont vette át.
Az internetes ügyfélfelügyelet már támogatja az alábbi funkciókat:
A felhasználói házirendeket, ha az internetes felügyeleti pont képes sikeresen hitelesíteni a felhasználót Windows-hitelesítés (Kerberos vagy NTLM) használatával.
Az egyszerű feladatütemezéseket, például a parancsfájlokat. Az operációs rendszerek internetes központi telepítése továbbra sem támogatott.
Az internetalapú ügyfelek az interneten először a Microsoft Update szolgáltatásból próbálják meg letölteni a kötelező szoftverfrissítéseket, nem pedig a hozzárendelt hely internetes terjesztési pontjáról. Csak akkor próbálják internetes terjesztési pontról letölteni a szükséges szoftverfrissítéseket, ha ez a művelet nem sikerül.
A Configuration Manager SP1 újdonságai
| Megjegyzés |
|---|
Az ebben a szakaszban szereplő információk a következő helyen is megjelennek: az Getting Started with System Center 2012 Configuration Manager (Az első lépések a System Center 2012 Configuration Managerrel) útmutatóban. |
A helyek kommunikációjának újdonságai és változásai a Configuration Manager SP1 óta:
A fájlreplikációs útvonalak felváltják a helyek közötti fájlalapú replikáció címeit. Ez a változás csak a fájlalapú replikáció nevét érinti, és egységesíti az adatbázis-replikációt. A funkciókat nem érinti a változás.
Konfigurálja a helyadatbázisok közötti replikálási csatlakozásokat az adatbázis-replikáció hálózati forgalmának vezérlése és figyelése céljából:
Az elosztott nézetek használatával megelőzhető az elsődleges helyről származó kiválasztott helyadatoknak a központi felügyeleti helyre történő replikálása. A központi felügyeleti hely ezt követően közvetlenül az elsődleges hely adatbázisából éri el ezeket az adatokat.
Ütemezze a kiválasztott helyadatok áthelyezését az adatbázis-replikálási csatlakozásokon keresztül.
Állítsa be azt, hogy a rendszer milyen gyakorisággal összegezze a replikációs forgalmat a jelentésekhez.
Határozzon meg egyedi küszöbértékeket, amelyek alapján a rendszer replikációs problémák esetén riasztásokat küld.
Konfiguráljon replikációvezérlőket az SQL Server-adatbázishoz egy adott helyen:
Módosítsa a Configuration Manager által az SQL Server Service Broker eszközhöz használt portot.
Állítsa be, hogy mennyit kell várni, mielőtt egy replikációs hiba arra utasít egy helyet, hogy újrainicializálja a helyadatbázis saját példányát.
Állítson be egy helyadatbázist az adatbázis-replikáció során replikált adatok tömörítésére. A rendszer csak a helyek közötti adatátvitelhez tömöríti az adatokat, a helyadatbázisban való tároláshoz egyik helyen sem.
Ha a Configuration Manager SP1-ügyfelek Windows 7, Windows 8, Windows Server 2008 R2 vagy Windows Server 2012 rendszert használnak, egyedi küldésű csomagok esetében kiegészítheti a hálózati ébresztés helybeállítást az ébresztési proxy ügyfélbeállításokkal. Ezek együttesen segítenek felébreszteni az alhálózatokon található számítógépeket anélkül, hogy újra kellene konfigurálni a hálózati kapcsolókat.
A helyek közötti kommunikáció tervezése a Configuration Manager alkalmazásban
A Configuration Manager-hierarchiákban minden hely kommunikál a szülőhelyével és a közvetlen gyermekével. Ehhez két adattovábbítási módszert használnak: a fájlalapú replikálást és az adatbázis-replikálást. A másodlagos helyek nemcsak az elsődleges szülőhelyükkel kommunikálnak mindkét adatátviteli módszer segítségével, de a többi másodlagos hellyel is képesek kommunikálni a fájlalapú replikációt használva, amelynek segítségével a tartalmat távoli hálózati helyekre továbbítják.
A Configuration Manager fájlalapú replikációt és adatbázis-replikációt használ a különböző típusú adatok helyek közötti átviteléhez.
Fájlalapú replikáció
A Configuration Manager fájlalapú replikációt használ a fájlalapú adatok átviteléhez a hierarchiában lévő helyek között. Ilyen adatok lehetnek például olyan alkalmazások és csomagok, amelyeket a gyermekhelyek terjesztési pontjaira szeretne telepíteni központilag, vagy olyan feldolgozatlan felderítési adatrekordok, amelyeket a szülőhelyekre másol, ahol feldolgozásra kerülnek.
A helyek közötti fájlalapú kommunikáció a kiszolgáló-üzenetblokk (SMB) protokollt használja a 445-ös TCP/IP porton keresztül. Megadhat olyan konfigurációkat, amelyek sávszélesség-szabályozással és impulzusos móddal szabályozzák a hálózaton keresztül továbbított adatmennyiséget, és ütemezésekkel vezérlik a hálózati adatküldés időpontját.
A Configuration Manager SP1 verziójával kezdődően a címeket fájlreplikációs útvonalak váltják fel az adatbázis-replikáció egységesítése érdekében. Az SP1 előtti verziókban a Configuration Manager egy címet használ az SMS_SITE-megosztáshoz történő csatlakozáshoz a célhely kiszolgálóján a fájlalapú adatok átviteléhez. A fájlreplikációs útvonalak és címek működése azonos, és ugyanazokat a konfigurációkat támogatják.
A következő részek az 1. szervizcsomagban bevezetett változások szerint íródtak, és a hivatkozások a címek helyett a fájlreplikációs útvonalakra történnek. Ha szervizcsomag nélküli Configuration Managert használ, akkor az alábbi táblázat segítségével át tudja alakítani a fájlreplikációs útvonalakra történő hivatkozásokat a megfelelő címhivatkozásokra.
A Configuration Manager SP1 verziójától kezdve |
Configuration Manager szervizcsomag nélkül |
|---|---|
Fájlreplikációs fiók |
Hely címének fiókja |
Fájlreplikációs útvonal |
Utca, házszám |
Fájlreplikáció csomópont a Configuration Manager konzolban |
Címek csomópont a Configuration Manager konzolban |
Fájlreplikációs útvonalak
A Configuration Manager fájlreplikációs útvonalakat használ a fájlalapú adatok átviteléhez a hierarchiában lévő helyek között. A fájlreplikációs útvonalak a Configuration Manager korábbi verzióiban használt címeket váltják fel. A fájlreplikációs útvonalak funkciója nem változott a címek funkciójához képest. Az alábbi táblázatban bővebb információt talál a fájlreplikációs útvonalakkal kapcsolatban.
Objektum |
További információ |
||||
|---|---|---|---|---|---|
Fájlreplikációs útvonal |
Minden fájlreplikációs útvonal egy célhelyet azonosít, amelyre fájlalapú adatok vihetők át. Minden hely egyetlen, egy meghatározott célhelyre irányuló fájlreplikációs útvonalat támogat. A Configuration Manager a következő konfigurációkat támogatja a fájlreplikációs útvonalakhoz kapcsolódóan:
Fájlreplikációs útvonal kezeléséhez bontsa ki az Adminisztráció munkaterület Hierarchiakonfiguráció csomópontját, és válassza a Fájlreplikáció elemet. |
||||
Küldő |
Minden hely egy küldővel rendelkezik. A küldő kezeli a hálózati kapcsolatot egy hely és egy célhely között, és egyidejűleg több hellyel képes kapcsolatot létrehozni. A helyhez való kapcsolódáshoz a küldő a helyre vezető fájlreplikációs útvonalat használja, ennek segítségével azonosítja a fiókot, amelyet a hálózati kapcsolat létrehozásához kell használnia. A küldő ezt a fiókot használja arra is, hogy adatokat írjon az adott hely SMS_SITE-megosztására. A küldő alapértelmezés szerint több párhuzamos küldést használva írja az adatokat a célhelyre. Ezeket általában szálnak nevezik. Minden egyes párhuzamos küldés (vagy szál) egy eltérő fájlalapú objektumot képes a célhelyre másolni. Alapértelmezés szerint, amikor a küldő megkezdi egy objektum küldését, folyamatosan írja az adott objektum adatblokkjait, amíg a teljes objektumot el nem küldte. Miután az adott objektumhoz tartozó összes adatot elküldte, egy új objektum küldése kezdődhet meg az adott szálon. A küldőhöz az alábbi beállításokat konfigurálhatja:
A helyhez tartozó küldő beállításához bontsa ki a Helykonfiguráció csomópontot az Adminisztráció munkaterületen, válassza a Helyek csomópontot, majd kattintson a kezelni kívánt helyhez tartozó Tulajdonságok lehetőségre. A küldő beállításainak módosításához kattintson a Küldő fülre. |
.jpeg "System_CAPS_caution"){kind=icon}
Figyelem!
Adatbázis-replikáció
A Configuration Manager adatbázis-replikáció az SQL Server segítségével végez adatátvitelt, és egyesíti az egyes helyadatbázisokban végrehajtott módosításokat a hierarchia más helyein levő adatbázisokban tárolt információkkal. Ez lehetővé teszi, hogy az összes hely ugyanazokat az információkat használja. Az adatbázis-replikáció automatikusan be van állítva minden Configuration Manager-helyen. Amikor telepít egy helyet, a rendszer automatikusan beállítja az adatbázis-replikációt az új hely és a kijelölt szülőhely között. A telepítés végeztével automatikusan elindul az adatbázis-replikáció.
Amikor új helyet telepít egy hierarchiában, a Configuration Manager létrehoz egy általános adatbázis az új helyen. Ezután a szülőhely pillanatképet készít a saját adatbázisában található megfelelő adatokról, és azt fájlalapú replikálás útján továbbítja az új helyre. Az új hely az SQL Server tömeges másolási funkciója révén betölti az információt a Configuration Manager-adatbázis helyi példányába. A pillanatkép betöltése után minden hely adatbázis-replikációt végez a másik hellyel.
A Configuration Manager a saját adatbázis-replikációs szolgáltatását használja az adatok helyek közti replikálásához. Az adatbázis-replikációs szolgáltatás az SQL Server változáskövetési funkciójával figyeli a helyi adatbázis módosításait, amelyeket azután replikál a többi hely felé az SQL Server Service Broker segítségével. Ez az eljárás alapértelmezésben a 4022-es TCP/IP-portot használja.
A Configuration Manager replikációs csoportokba sorolja az adatbázis-replikáció során replikált adatokat. Minden replikációs csoportnak külön, rögzített replikációs ütemezése van, amely meghatározza, hogy a rendszer milyen gyakran replikálja a csoportban levő adatok módosításait a többi hely felé. Például a szerepköralapú adminisztrációs beállítások módosításait gyorsan replikálja, hogy a lehető leghamarabb érvénybe lépjenek minden helyen. Az alacsonyabb prioritású konfigurációs változásokat, például egy új másodlagos hely telepítési kérését, viszont nem replikálja olyan sürgősen, és több perbe telik, mire az új hely iránti kérés elér a célként megadott elsődleges helyre.
| Megjegyzés |
|---|
A Configuration Manager adatbázis-replikációjának beállítása automatikusan történik, és nem lehet konfigurálni a replikációs csoportokat vagy a replikációs ütemezéseket. A Configuration Manager 1. szervizcsomagjától kezdve azonban lehetőség van adatbázis-replikációs hivatkozások megadására, amelyekkel szabályozható, hogy mikor kerüljön sor bizonyos jellegű adatforgalomra a hálózaton. Az is beállítható, mikor adjon ki riasztást a Configuration Manager a nem megfelelő állapotú vagy sikertelen replikációs hivatkozások miatt. |
A Configuration Manager két osztályba sorolja az adatbázis-replikáció útján replikált adatokat: a globális adatok vagy a helyadatok közé. Az adatbázis-replikáció során az adatbázis-replikációs hivatkozáson keresztül történik a globális és a helyadatok módosításainak továbbítása. A globális adatok egyaránt replikálhatók a szülő vagy a gyermekhely felé, de a helyadatokat csak a szülőhely felé replikálja a rendszer. Van egy harmadik adattípus is, a helyi adatok, amelyeket nem replikál a rendszer a többi hely felé. A helyi adatok olyan információk, amelyekre a többi helynek nincs szüksége:
Globális adatok: A globális adatok a rendszergazdák által létrehozott azon objektumok, amelyek a hierarchia összes helyére replikálódnak. A másodlagos helyek ezeknek a globális adatoknak csak egy részhalmazát kapják meg, globális proxyadatokként. A globális adatok közé tartoznak például a szoftverek központi telepítései, a szoftverfrissítések, a gyűjteménymeghatározások és a szerepköralapú adminisztrációs biztonsági hatókörök. A rendszergazdák a központi adminisztrációs helyen és az elsődleges helyeken hozhatnak létre globális adatokat.
Helyadatok: A helyadatok azok a műveleti információk, amelyeket a Configuration Manager elsődleges helyei és az elsődleges helyekhez tartozó ügyfelek hoznak létre. A helyadatok replikálódnak a központi felügyeleti hely részére, de más elsődleges helyek részére nem. Az ilyen helyadatok közé tartoznak a hardverleltári adatok, az állapotüzenetek, a riasztások és a lekérdezésalapú gyűjtemények eredményei. A helyadatok csak a központi adminisztrációs helyen és azon az elsődleges helyen tekinthetők meg, ahonnan az adatok származnak. A helyadatot csak azon az elsődleges helyen lehet módosítani, ahol létrehozták.
A replikáció során minden helyadat eljut a központi adminisztrációs helyre, amely ezért tudja ellátni az adminisztrációt és a jelentéskészítést az egész hierarchiára vonatkozóan.
Az alábbi szakaszok segítségével megtervezheti azoknak a vezérlőknek a használatát, amelyek a Configuration Manager 1. szervizcsomagjától kezdve érhetők el, és a helyek közti adatbázis-replikációs hivatkozások beállítására szolgálnak, és beállíthatja az egyes helyadatbázisokra vonatkozó vezérlőket. Ezen vezérlők segítségével szabályozhatja és figyelheti az adatbázis-replikáció által keltett hálózati forgalmat.
Adatbázis-replikációs hivatkozások
Amikor új helyet telepít egy hierarchiában, a Configuration Manager automatikusan létrehoz egy adatbázis-replikációs hivatkozást a két hely között. Létrejön egy hivatkozás, amely a szülőhelyhez kapcsolja az új helyet.
A Configuration Manager 1. szervizcsomagjától kezdve minden adatbázis-replikációs hivatkozás konfigurálható, hogy szabályozni lehessen a replikációs hivatkozáson keresztüli adatátvitelt. Minden replikációs hivatkozásnak külön beállításai vannak. Az adatbázis-replikációs hivatkozások esetében a következő vezérlők használhatók:
Az elosztott nézetek segítségével leállíthatja egy kijelölt hely adatainak a replikálását egy elsődleges helyről a központi adminisztrációs hely felé, és engedélyezheti, hogy a központi adminisztrációs hely közvetlenül elérje ezeket az adatokat az elsődleges hely adatbázisában.
Meghatározhatja, hogy mikor továbbítsa a rendszer a kijelölt hely adatait az elsődleges gyermekhelyről a központi adminisztrációs hely felé.
Megadhatja azokat a beállításokat, amelyek meghatározzák, hogy mikor nem megfelelő vagy sikertelen egy adatbázis-replikációs hivatkozás állapota.
Beállíthatja, mikor kell riasztást kiadni egy sikertelen replikációs hivatkozás miatt.
Megadhatja, milyen gyakran összegezze a Configuration Manager a replikációs hivatkozást használó replikációs forgalommal kapcsolatos adatokat. Ezek az adatok a jelentésekhez kellenek.
Ha konfigurálni szeretne egy adatbázis-replikációs hivatkozást, szerkesztenie kell a hivatkozás tulajdonságait a Configuration Manager konzolon, az Adatbázis-replikáció csomópontból. Ez a csomópont a Figyelés munkaterületen található, illetve a Configuration Manager 1. szervizcsomagjától kezdve az Adminisztráció munkaterület Hierarchiakonfiguráció csomópontja alatt is megjelenik. A replikációs hivatkozás a megfelelő szülő vagy gyermekhelyen is szerkeszthető.
.jpeg "System_CAPS_tip"){kind=icon} Tipp |
|---|
Az adatbázis-replikációs hivatkozások az Adatbázis-replikáció csomópontból szerkeszthetők a fenti két munkaterület bármelyikén. De ha a Figyelés munkaterület használja az Adatbázis-replikáció csomópontot, akkor a replikációs hivatkozáshoz tartozó adatbázis-replikáció állapotát is megtekintheti, és elérheti a Replication Link Analyzer eszközt, amely segítséget nyújt az adatbázis-replikációval kapcsolatos problémák kivizsgálásához. |
Információ a replikációs hivatkozások konfigurálásáról: Helyadatbázis-replikációs beállítások. A replikálás figyeléséről Az adatbázis-replikációs hivatkozások és a replikáció állapotának figyelése című témakör A Configuration Manager-helyek és hierarchia figyelése szakasza ír bővebben.
Az alábbi szakaszok segítségével megtervezheti az adatbázis-replikációs hivatkozásokat.
Elosztott nézetek használatának tervezése
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:
Az elosztott nézetek lehetővé teszik, hogy azok a lekérdezések, amelyek a központi adminisztrációs helyen keletkeznek egy kijelölt hely adataira vonatkozóan, közvetlenül az elsődleges gyermekhely adatbázisából olvashassák ki a kért helyadatokat. Ez a közvetlen hozzáférés feleslegessé teszi, hogy a rendszer replikálja annak a helynek az adatait az elsődleges helyről a központi adminisztrációs hely felé. Mivel a replikációs hivatkozások függetlenek egymástól, megteheti, hogy csak az Ön által kiválasztott replikációs hivatkozások esetében engedélyezi az elosztott nézetet. Nem használhat elosztott nézeteket egy elsődleges és egy másodlagos hely között.
Az elosztott nézetek előnyei a következők:
Csökkentik a CPU-terhelést, hogy fel lehessen dolgozni az adatbázis-változásokat a központi adminisztrációs helyen és az elsődleges helyeken.
Kevesebb adatot kell továbbítani a hálózaton a központi adminisztrációs hely felé.
Javítják a központi adminisztrációs hely adatbázisát futtató SQL Server teljesítményét.
Kevesebb lemezterületet használ a központi adminisztrációs hely adatbázisa.
Akkor érdemes elosztott nézeteket használni, ha az elsődleges hely közel van a központi adminisztrációs helyhez a hálózaton belül, a két hely mindig működik, és folyamatos kapcsolatban állnak. Az elosztott nézetek használata esetén ugyanis nem kell replikálni a kijelölt adatokat a helyek között, az egyes helyek SQL Server kiszolgálói közti közvetlen kapcsolatokon keresztül. Ez a közvetlen kapcsolat minden alkalommal létrejön, amikor a központi adminisztrációs hely lekérdezi ezeket az adatokat. Jellemzően akkor keletkeznek lekérdezések azokra az adatokra vonatkozóan, amelyekre engedélyezni lehet az elosztott nézeteket, amikor jelentéseket vagy lekérdezéseket készítenek, megtekintik az információkat az Erőforrás-kezelőben, illetve azon gyűjtemények értékelése esetén, amelyek a helyadatokon alapuló szabályokat tartalmaznak.
Az elosztott nézetek alapértelmezésben le vannak tiltva minden replikációs hivatkozás esetében. Amikor engedélyezi az elosztott nézeteket egy replikációs hivatkozásra vonatkozóan, kiválasztja azokat a helyadatokat, amelyeket nem kell replikálni a központi adminisztrációs hely felé az adott hivatkozáson keresztül, és engedélyezi, hogy a központi adminisztrációs hely közvetlenül elérje ezeket az adatokat a hivatkozáshoz tartozó elsődleges gyermekhely adatbázisában. Az alábbi típusú helyadatokra lehet beállítani az elosztott nézeteket:
az ügyfelek hardverleltáradatai
az ügyfelek szoftverleltár- és mérési adatai
az ügyfelek, az elsődleges hely és az összes másodlagos hely állapotüzenetei
Az elosztott nézetek nem láthatók azon rendszergazda felhasználó számára, akik megtekinti az adatokat a Configuration Manager konzolon vagy a jelentésekben. Ha olyan adatokat kérdeznek le, amelyekre engedélyezve vannak az elosztott nézetek, a központi adminisztrációs hely adatbázisát futtató SQL Server közvetlenül hozzáfér az elsődleges gyermekhely SQL Server kiszolgálójához, és lekéri az információkat. Tegyük fel például, hogy a központi adminisztrációs helyen levő Configuration Manager konzol segítségével hardverleltár-adatokat kér két helytől, és csak az egyik hely esetében van engedélyezve a hardverleltárra az elosztott nézet. Az ahhoz a helyhez tartozó ügyfelek leltáradatait, amely nincs beállítva az elosztott nézetek számára, a központi adminisztrációs hely adatbázisából kéri le a rendszer. Az ahhoz a helyhez tartozó ügyfelek leltáradatait, amely be van állítva az elosztott nézetek számára, az elsődleges gyermekhely adatbázisából olvassa be a rendszer. Ezek az információk forrástól függetlenül megjelennek a Configuration Manager konzolon és a jelentésekben.
Amíg egy replikációs hivatkozás esetében engedélyezve van valamilyen adatra az elosztott nézet, addig az elsődleges gyermekhely nem replikálja azokat az adatokat a központi adminisztrációs hely felé. Amint kikapcsolják az elosztott nézeteket valamelyik adattípusra vonatkozóan, az elsődleges gyermekhely folytatja a szóban forgó adatok replikálását a központi adminisztrációs hely felé a rendes adatreplikáció részeként. Mielőtt azonban ezek az adatok elérhetővé válnának a központi adminisztrációs helyen, újra kell inicializálni a kérdéses adatokat tartalmazó replikációs csoportokat az elsődleges hely és a központi adminisztrációs hely között. Hasonlóképpen, miután eltávolít egy elsődleges helyet, amelyen engedélyezve vannak az elosztott nézetek, a központi adminisztrációs helynek el kell végeznie az adatai újrainicializálását, mielőtt elérhetné azokat az adatokat, amelyekre engedélyezve voltak az elosztott nézetek.
.jpeg "System_CAPS_important") Fontos! |
|---|
Ha elosztott nézeteket használ a hierarchia bármelyik replikációs hivatkozása esetében, és el szeretné távolítani valamelyik elsődleges helyet, előbb le kell tiltania az elosztott nézeteket az összes replikációs hivatkozás esetében. További információ: Elosztott nézetekkel konfigurált elsődleges hely eltávolítása című rész, Helyek telepítése és hierarchia létrehozása a Configuration Manager részére témakör. |
Elosztott nézetekre vonatkozó előfeltételek és korlátozások
A következő előfeltételek és korlátozások vonatkoznak az elosztott nézetekre:
Ugyanannak a Configuration Manager-verziónak, és legalább az 1. szervizcsomagnak kell futnia a központi adminisztrációs helyen és az elsődleges helyen.
Az elosztott nézetek csak a központi adminisztrációs hely és valamelyik elsődleges hely közti replikációs hivatkozások esetében használhatók.
A központi adminisztrációs helyen csak egy példányban lehet telepítve SMS szolgáltató, és annak a példánynak a helyadatbázis-kiszolgálón kell lennie. Ez a Kerberos-hitelesítés használatához kell, amelyre azért van szükség, hogy a központi adminisztrációs helyen levő SQL Server elérje az elsődleges gyermekhelyen levő SQL Servert. Az elsődleges gyermekhelyen levő SMS szolgáltatóra vonatkozóan nincs korlátozás.
A központi adminisztrációs helyen csak egy SQL Server jelentéskészítési szolgáltatási pont lehet telepítve, és annak a helyadatbázis-kiszolgálón kell lennie. Ez a Kerberos-hitelesítés használatához kell, amelyre azért van szükség, hogy a központi adminisztrációs helyen levő SQL Server elérje az elsődleges gyermekhelyen levő SQL Servert.
A helyadatbázis nem futhat egy SQL Server fürtön.
A központi adminisztrációs hely adatbázis-kiszolgálójának számítógépfiókja számára Read jogosultságot kell biztosítani az elsődleges hely helyadatbázisához.
Egy adatbázis-replikációs hivatkozásban nem használhatók egyszerre az elosztott nézetek és az adatreplikálási ütemezés beállításai.
Helyadat-átvitel ütemezésének tervezése az adatbázis-replikációs hivatkozások esetében
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:
A gyermek típusú elsődleges hely adatainak a központi adminisztrációs helyre történő replikálásához használt hálózati sávszélesség szabályozásához beütemezheti, hogy mikor használandók a replikációs hivatkozások, és megadhatja, hogy mikor történjen meg a különböző típusú helyadatok replikálása. Azt is szabályozhatja, hogy az elsődleges hely mikor replikálja az állapotüzeneteket, a leltáradatokat és a mérési adatokat. A másodlagos helyekről létrehozott adatbázis-replikációs hivatkozások nem támogatják az ütemezést a helyadatoknál. A globális adatok átvitele nem ütemezhető.
Az adatbázis-replikációs hivatkozás ütemezésének konfigurálásakor korlátozhatja a kiválasztott helyadatok átvitelét az elsődleges helyről a központi adminisztrációs helyre, és különböző időpontokat állíthat be a különböző típusú helyadatok replikálásához.
A Configuration Manager-helyek közötti hálózati sávszélesség használatának szabályozásáról a jelen témakör A hálózati sávszélesség használatának szabályozása a helyek között című részében olvashat részletesen.
Az adatbázis-replikációs forgalom összefoglalásának tervezése
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:
A Configuration Manager SP1 verziótól kezdve mindegyik hely rendszeres időközönként összegzi annak a hálózati forgalomnak az adatait, amely áthalad a helyet tartalmazó adatbázis-replikációs hivatkozásokon. Ezek az összegzett adatok az adatbázis-replikációs jelentésekben jelennek meg. A replikációs hivatkozáshoz tartozó mindkét hely összegzi a replikációs hivatkozáson áthaladó hálózati forgalmat. Az adatok összegzését a helyadatbázist futtató SQL Server rendszer hajtja végre. Az adatok összegzése után a rendszer ezt az információt replikálja a többi helyre globális adatokként.
Alapértelmezés szerint az összegzés 15 percenként történik. A hálózati forgalom összegzésének gyakoriságát az adatbázis-replikációs hivatkozás tulajdonságai között található Összegzési időköz beállítás szerkesztésével módosíthatja. Az összegzés gyakorisága hatással van az adatbázis-replikációra vonatkozó jelentésekben megjelenített információra. Az időköz 5 perc és 60 perc közötti értékre állítható be. Az összegzés gyakoriságának megnövelésekor az SQL Server feldolgozási terhelését is megnöveli a replikációs hivatkozáshoz tartozó helyekre vonatkozóan.
Az adatbázis-replikáció küszöbértékeinek tervezése
Az adatbázis-replikáció küszöbértékei határozzák meg, hogy mikor jelentendő csökkentett teljesítményűnek vagy sikertelennek az adatbázis-replikációs hivatkozások állapota. Alapértelmezés szerint a hivatkozás akkor minősül csökkentett teljesítményűnek, amikor valamelyik replikációs csoport nem tudja befejezni a replikációt 12 egymást követő kísérlet alatt, és akkor minősül sikertelennek, amikor valamelyik replikációs csoport nem tudja végrehajtani a replikációt 24 egymást követő kísérlet alatt.
A Configuration Manager SP1 verziótól kezdve egyéni értékeket adhat meg annak finomhangolásához, hogy a Configuration Manager mikor jelezze csökkentett teljesítményűnek vagy sikertelennek a replikációs hivatkozásokat. A Configuration Manager SP1 előtti verziókban nincs lehetőség ezen küszöbértékek módosítására. Ha beállítja, hogy a Configuration Manager mikor jelezze az adatbázis-replikációs hivatkozások állapotát, pontosabb képet kaphat az adatbázis-replikáció állapotáról az adatbázis-replikációs hivatkozásokat figyelembe véve.
Mivel előfordulhat az is, hogy egy vagy több replikációs csoport esetében sikertelen a replikáció, míg a többi replikációs csoport sikeresen végrehajtja a replikációt, tervezze meg arra az időpontra a replikációs hivatkozás replikációs állapotának ellenőrzését, amikor a rendszer első alkalommal jelzi a csökkentett teljesítményt. Ha meghatározott replikációs csoportok esetében ismétlődő késések fordulnak elő, de ez a késés nem jelent problémát, vagy ha a helyek közötti hálózati kapcsolat kis sávszélességű, próbálja meg módosítani a hivatkozás csökkentett teljesítményű vagy sikertelen állapotához tartozó újrapróbálkozási értéket. A hivatkozás csökkentett teljesítményű vagy sikertelen állapotra állítása előtti újrapróbálkozások számának megnövelésével kiküszöbölheti az ismert problémákkal kapcsolatos téves figyelmeztetéseket, így pontosabban nyomon követheti a hivatkozás állapotát.
Figyelembe kell vennie az egyes replikációs csoportok replikációs szinkronizálási időközét is annak megállapításához, hogy milyen gyakran kerül sor az adott csoportok replikációjára. A replikációs csoportok Szinkronizálás időköze beállítását a Figyelés munkaterület Adatbázis replikálása csomópontjában, a replikációs hivatkozás Replikálás részletei lapján tekintheti meg.
Az adatbázis-replikálás figyeléséről, valamint a replikációs állapot megtekintéséről Az adatbázis-replikációs hivatkozások és a replikáció állapotának figyelése című témakör A Configuration Manager-helyek és hierarchia figyelése része nyújt további felvilágosítást.
További információ az adatbázis-replikálás küszöbértékeiről: Helyadatbázis-replikációs beállítások.
Helyadatbázis-replikációs beállítások
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:
Minden helyadatbázis támogat olyan konfigurációkat, amelyekkel szabályozhatja az adatbázis-replikációhoz használt hálózati sávszélességet. Ezek a konfigurációk csak arra a helyadatbázisra vonatkoznak, amelynél a beállításokat konfigurálja, és a rendszer mindig ezeket használja, amikor a hely bármilyen adatokat replikál egy másik helyre adatbázis-replikáció használatával.
Az egyes adatbázisok replikációs beállításai a következők:
Módosítsa a Configuration Manager által az SQL Server Service Broker eszközhöz használt portot.
Állítsa be az a várakozási időközt, amely után a replikáció sikertelensége következében a hely újból inicializálja a helyadatbázis példányát.
Állítson be egy helyadatbázist az adatbázis-replikáció során replikált adatok tömörítésére. A rendszer csak a helyek közötti adatátvitelhez tömöríti az adatokat, a helyadatbázisban való tároláshoz egyik helyen sem.
A helyadatbázis replikációs beállításait a helyadatbázis tulajdonságainak szerkesztésével adhatja meg az Configuration Manager konzolon az Adatbázis replikálása csomópontban. Ez a csomópont a Felügyelet munkaterület Hierarchiakonfiguráció csomópontjában található, és a Figyelés munkaterületen is megjelenik. A helyadatbázis tulajdonságainak szerkesztéséhez jelölje ki a helyek közötti replikációs hivatkozást, majd nyissa meg a Szülő adatbázis tulajdonságai vagy a Gyermek adatbázis tulajdonságai párbeszédpanelt.
| Tipp |
|---|
Az adatbázis-replikáció beállításait bármelyik munkaterület Adatbázis replikálása csomópontjában konfigurálhatja. Amikor azonban a Figyelés munkaterület Adatbázis replikálása csomópontját használja, megtekintheti az adatbázis-replikáció állapotát a replikációs hivatkozásoknál, és a Replication Link Analyzer eszköz segítségével megvizsgálhatja a replikációval kapcsolatos problémákat. |
További információ az adatbázis-replikáció beállításainak konfigurálásáról: Az adatbázis-replikációs beállítások konfigurálása. További információ a replikáció figyeléséről: A helyadatbázis replikációjának figyelése.
A helyek közötti kommunikáció tervezése a Configuration Manager alkalmazásban
Minden Configuration Manager-hely tartalmaz egy helykiszolgálót, és egy vagy több további, helyrendszerszerepköröket üzemeltető helyrendszer-kiszolgáló is tartozhat hozzá. A Configuration Manager követelménye, hogy mindegyik helyrendszer-kiszolgáló egy Active Directory-tartomány tagja legyen. A Configuration Manager nem támogatja a számítógépnév vagy a tartományi tagság módosítását, amíg a számítógép helyrendszer marad.
Amikor a Configuration Manager helyrendszerei vagy összetevői a hálózaton keresztül kommunikálnak más helyrendszerekkel vagy a Configuration Manager összetevőivel a helyen, ehhez az SMB, a HTTP vagy a HTTPS protokollt használják. A kommunikációs módszer a hely konfigurációjától függ. A helykiszolgáló és a terjesztési pontok közötti kommunikáció kivételével ez a kiszolgáló és kiszolgáló közötti kommunikáció bármikor végbemehet a helyeken, és nem használ olyan mechanizmust, amely szabályozza a hálózati sávszélességet. Mivel a helyrendszerek közötti kommunikációt nem szabályozhatja, ügyeljen arra, hogy a helyrendszer-kiszolgálókat sok kapcsolattal rendelkező és gyors hálózatokban található helyekre telepítse.
A következő beállítások segítségével felügyelheti a tartalom átvitelét a helykiszolgálóról a terjesztési pontokra:
A terjesztési ponton állítsa be a hálózati sávszélesség szabályozását és az ütemezést. Ezek a beállítások a helyek közötti címek által használt konfigurációkra hasonlítanak, és ezt a konfigurációt használhatja sok esetben egy másik Configuration Manager-hely telepítése helyett, amikor a távoli hálózati helyekre történő tartalomátvitel a sávszélességgel kapcsolatos elsődleges szempont.
A terjesztési pontokat telepítheti előkészített terjesztési pontként. Az előkészített terjesztési pont lehetővé teszi olyan tartalom használatát, amelyet kézzel helyez el a terjesztési pont kiszolgálóján, és nincs szükség arra, hogy a hálózaton keresztül továbbítsa a tartalomfájlokat.
A hálózati sávszélességgel kapcsolatos megfontolásokkal A hálózati sávszélességgel kapcsolatos szempontok terjesztési pontoknál című témakör A tartalomkezelés tervezése a Configuration Manager alkalmazásban része foglalkozik behatóbban.
Az ügyfél-kommunikáció tervezése a Configuration Manager alkalmazásban
A Configuration Manager-ügyfelek és a felügyelt eszközök a Configuration Manager-infrastruktúrát, például a helyrendszer-kiszolgálókat, illetve a tartományi infrastruktúrát, például a DNS-t és az Active Directory tartományi szolgáltatásokat üzemeltető számítógépekkel, valamint internetes szolgáltatásokkal kommunikálnak.
Az ügyfél-kommunikáció tervezésekor vegye figyelembe a következő szempontokat:
Kommunikációs helyzetek |
További információ |
|---|---|
Ügyfél által kezdeményezett kommunikáció |
Az ügyfelek a következőkkel kezdeményezhetnek kommunikációt:
|
Szolgáltatáskeresés |
Az ügyfelek szolgáltatáskeresés útján azonosítják a hozzájuk rendelt helyeket, és dinamikusan megkeresik a felügyeleti pontokat. A felügyeleti pontok az elsődleges kapcsolódási pontot jelentik az ügyfelek számára, és a következőkre szolgálnak:
|
A következő részekben található információ segítségével tervezheti meg a Windows rendszerű ügyfelek kommunikációját.
A Configuration Manager SP1 verziótól kezdve Linux és UNIX rendszerű ügyfelek kezelésére is lehetőség van. A Linux és a UNIX rendszerű ügyfelek úgy működnek, mint a munkacsoportokban lévő ügyfelek. További információ a munkacsoportban lévő számítógépek támogatásáról: Az erdőkön keresztül folytatott kommunikáció tervezése a Configuration Managerben a jelen témakörben. A Linux és a UNIX rendszerű ügyfelek kommunikációjáról A Linux és UNIX kiszolgálók erdő közötti kommunikáció tervezési adatait. című témakör Ügyfelek központi telepítése Linux és UNIX kiszolgálók tervezése részében olvashat bővebben.
Ügyfél által kezdeményezett kommunikáció
Az ügyfelek különböző helyrendszerszerepkörökkel, az Active Directory tartományi szolgáltatásokkal és online szolgáltatásokkal kezdeményeznek kommunikációt. Ezekhez a kommunikációs kapcsolatokhoz a tűzfalnak engedélyeznie kell a hálózati forgalmat az ügyfél és a kommunikáció végpontja között. Ilyen végpontok lehetnek például a következők:
Felügyeleti pontok, amelyekről az ügyfelek ügyfélházirendet töltenek le.
Terjesztési pontok, amelyekről az ügyfelek tartalmat töltenek le.
Szoftverfrissítési pontok
A következő további helyrendszer-szerepkörök, melyek mindegyike a szolgáltatás egy feladatának elvégzésére szolgál:
Alkalmazáskatalógus weboldal-elérési pontja
Configuration Manager-házirendmodul (NDES)
Tartalék állapotkezelő pont
Állapotáttelepítési pont
Rendszerállapot-érvényesítő pont
Különböző tartományi szolgáltatások, például az Active Directory tartományi szolgáltatások, illetve a DNS (szolgáltatáskereséshez).
Microsoft Update, a kártevőkkel szembeni védelem fenntartása céljából.
Felhőalapú erőforrások, például Microsoft Update, Microsoft Azure és Microsoft Intune, e felhőszolgáltatások Configuration Managerrel történő használatakor.
Tájékoztatás az ügyfelek által a fenti végpontokkal való kommunikáció során használt portokról és protokollokról: Műszaki útmutató a Configuration Managerben használt portokhoz.
A helyrendszerszerepkörrel folytatott kommunikációhoz az ügyfélnek előbb szolgáltatáskeresés útján keresnie kell egy olyan helyrendszerszerepkört, amely támogatja az ügyfél által használt protokollt (HTTPS vagy HTTP). Az ügyfelek alapértelmezés szerint a rendelkezésükre álló legbiztonságosabb módszert használják.
A HTTPS protokoll használatához rendelkeznie kell nyilvános kulcsokra épülő infrastruktúrával (PKI), és telepítenie kell a PKI-tanúsítványokat az ügyfelekre és a kiszolgálókra. További információ a tanúsítványok használatáról: PKI-tanúsítványkövetelmények a Configuration Managerben.
Amikor az IIS-t (Internet Information Services) használó helyrendszerszerepkört telepít, amely támogatja az ügyfelekről érkező kommunikációt, meg kell adnia, hogy az ügyfelek a HTTP vagy a HTTPS protokoll használatával csatlakoznak-e a helyrendszerhez. A HTTP használata esetén meg kell fontolnia az aláírás és a titkosítás alkalmazását is. További információ: Az aláírás és a titkosítás tervezése.
A következő helyrendszerszerepkörök és szolgáltatások támogatják az ügyfelek által kezdeményezett HTTPS-kommunikációt:
Alkalmazáskatalógus weboldal-elérési pontja
Configuration Manager-házirendmodul
Terjesztési pont (felhőalapú terjesztési pontok esetén HTTPS protokoll használata kötelező)
Felügyeleti pont
Szoftverfrissítési pont
Állapotáttelepítési pont
Az előző információk mellett a nem megbízható helyeken működő ügyfelekkel folytatott kommunikáció tervezéséhez olvassa el „Az internetről vagy nem megbízható erdőből kapcsolódó ügyfelekkel folytatott kommunikáció esetén megfontolandó szempontok” című részt.
Szolgáltatáskeresés és az ügyfélhez rendelt felügyeleti pont meghatározása az ügyfél által
Az ügyfél az első telepítéskor és helyhez rendelésekor megállapítja a hozzárendelt hely alapértelmezett felügyeleti pontját. Ha az ügyfél megtalálta a hely alapértelmezett felügyeleti pontját, az a felügyeleti pont lesz az ügyfélhez rendelt felügyeleti pont. Ezt a hozzárendelést az ügyfél határozza meg.
A System Center 2012 R2 Configuration Manager 3. összegző frissítésétől kezdve használhatja HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" a felügyeletipont-affinitást annak konfigurálására, hogy egy ügyfél egy vagy több adott felügyeleti pontot használjon.
A A System Center 2012 Configuration Manager SP2 használatának első lépései és újabb verziókban előnyben részesített felügyeleti pontokat is használhat. Az előnyben részesített felügyeleti pont egy olyan felügyeleti pont, amely helyrendszer-kiszolgálóként van társítva egy határcsoporthoz, hasonlóan ahhoz, ahogyan a terjesztési pontok vagy állapot-áttelepítési pontok vannak társítva egy határcsoporthoz. Ha engedélyezi az előnyben részesített felügyeleti pontokat a hierarchiához, és egy ügyfél felügyeleti pontot használ a hozzárendelt helyéről, akkor az ügyfél először előnyben részesített felügyeleti pontot meg használni, mielőtt más felügyeleti pontokat használna a hozzárendelt helyéről.
Ha az ügyfél már rendelkezik hozzárendelt felügyeleti ponttal, rendszeres időközönként szolgáltatáskeresési kérelmet küld a hely alapértelmezett felügyeleti pontjának annak megállapítása érdekében, hogy az változott-e.
Minden alkalommal, amikor egy ügyfélnek azonosítania kell egy használni kívánt felügyeleti pontot, ellenőrzi az ismert felügyeleti pontok listáját (más néven a felügyeletipont-listát), amelyet helyben tárol a WMI-ben. Az ügyfél a telepítésekor létrehoz egy kezdeti felügyeletipont-listát, és rendszeres időközönként frissíti azt a hierarchia egyes felügyeleti pontjainak adataival.
Ha az ügyfél nem talál érvényes felügyeleti pontot a listán, akkor a soron következő szolgáltatáskeresési forrásokon fog keresést végezni, egészen addig, amíg nem talál használható felügyeleti pontot:
Felügyeleti pont
Active Directory tartományi szolgáltatások
DNS
WINS
Ha az ügyfél talál megfelelő felügyeleti pontot, és csatlakozik ahhoz, akkor letölti a hierarchiában elérhető felügyeleti pontok aktuális listáját, és frissíti a helyi listát. Ez a tartományhoz csatlakoztatott és nem csatlakoztatott ügyfelekre egyaránt érvényes.
Ha például egy internetes Configuration Manager-ügyfél kapcsolódik egy internetes felügyeleti ponthoz, a felügyeleti pont elküldi az ügyfélnek a helyen rendelkezésre álló internetes felügyeleti pontok listáját. Ugyanígy, a tartományhoz csatlakoztatott vagy munkacsoporthoz tartozó ügyfelek is megkapják az általuk használható felügyeleti pontok listáját.
Az internethasználatra nem konfigurált ügyfelek nem kapnak csak internetkapcsolattal használható felügyeleti pontokat.
Az internethasználatra konfigurált, munkacsoporthoz tartozó ügyfelek csak internetkapcsolattal használható felügyeleti pontokkal kommunikálnak.
A különböző szolgáltatáskeresési forrásokról a következőkben olvashat:
A felügyeleti pontok listája
A preferált szolgáltatáskeresési forrás az ügyfél felügyeletipont-listája, ezen ugyanis rangsorolva szerepelnek az ügyfél által korábban azonosított felügyeleti pontok. A lista elemeit az ügyfél a lista frissítésekor hálózati hely szerint rendezi, és a helyi WMI szolgáltatásban tárolja.
A felügyeleti pontok kiindulási listájának összeállítása
Az ügyfél telepítése során a rendszer a következő szabályok alapján állítja össze az ügyfél kiindulási felügyeletipont-listáját:
A kiindulási lista az ügyfél telepítése során megadott felügyeleti pontokat tartalmazza (az SMSMP= vagy a /MP kapcsoló használata esetén).
Az ügyfél az Active Directory tartományi szolgáltatásokból (AD DS) lekérdezi a közzétett felügyeleti pontok listáját. Ahhoz, hogy a felügyeleti pont azonosítható legyen az Active Directory tartományi szolgáltatásokból, annak az ügyfél hozzárendelt helyéhez kell tartoznia, és az ügyféllel azonos termékverziót kell használnia.
Ha az ügyfél telepítése során nem határoztak meg felügyeleti pontot, és nem bővítették ki az Active Directory-sémát, az ügyfél a DNS és a WINS szolgáltatásban keres közzétett felügyeleti pontokat.
A kiindulási lista összeállításakor előfordulhat, hogy a hierarchia egyes felügyeleti pontjairól nem állnak rendelkezésre információk.
A felügyeleti pontok listájának rendezése
Az ügyfelek a következő kategóriák szerint rendezik felügyeletipont-listájukat:
Proxy: A proxyfelügyeleti pont egy másodlagos helyen lévő felügyeleti pont.
Helyi: Minden olyan felügyeleti pont, amely a helyhatárok alapján az ügyfél jelenlegi hálózati helyéhez van társítva.
Ha az ügyfél több határcsoporthoz tartozik, a rendszer az ügyfél aktuális hálózati helyét tartalmazó összes határ uniója alapján határozza meg a helyi felügyeleti pontok listáját.
A helyi felügyeleti pontok jellemzően az ügyfélhez hozzárendelt felügyeleti pontok közül kerülnek ki, kivéve, ha az ügyfél egy másik helyhez társított hálózati helyen található, amely rendelkezik a határcsoportjait kiszolgáló felügyeleti pontokkal.
Hozzárendelt: Minden olyan felügyeleti pont, amely az ügyfélhez rendelt hely egyik helyrendszere.
A A System Center 2012 Configuration Manager SP2 használatának első lépései és újabb verziókban előnyben részesített felügyeleti pontokat is használhat. Az előnyben részesített felügyeleti pontok olyan felügyeleti pontok egy ügyfél hozzárendelt helyéről, amelyek társítva vannak egy ügyfél által helyrendszer-kiszolgálók keresésére használt határcsoporthoz.
Egy hely határcsoporthoz nem társított, vagy az ügyfél jelenlegi hálózati helyéhez nem társított határcsoportban levő felügyeleti pontjai nem tekinthetők előnyben részesítettnek, és csak akkor lesznek használatban, ha az ügyfél nem talál elérhető előnyben részesített felügyeleti pontot.
A használandó felügyeleti pont kiválasztása
Az ügyfél hálózati helye alapján jellemzően kategória szerint a következő sorrendben választ felügyeleti pontot a kommunikációhoz:
Proxy
Helyi
Hozzárendelt
Az ügyfél ugyanakkor mindig a hozzárendelt felügyeleti pontot használja a regisztrációs üzenetekhez és egyes házirendüzenetekhez, még akkor is, ha más üzeneteket proxy típusú vagy helyi felügyeleti pontra küld.
Az egyes kategóriákban (proxy, helyi és hozzárendelt) az ügyfelek a következő preferenciális sorrend alapján próbálnak felügyeleti pontot választani:
HTTPS-kommunikációra alkalmas felügyeleti pont megbízható vagy helyi erdőben (ha az ügyfél HTTPS-kommunikációra van konfigurálva)
HTTPS-kommunikációra alkalmas felügyeleti pont a megbízható vagy helyi erdőkön kívül (ha az ügyfél HTTPS-kommunikációra van konfigurálva)
HTTP-kommunikációra alkalmas felügyeleti pont megbízható vagy helyi erdőben
HTTP-kommunikációra alkalmas felügyeleti pont a megbízható vagy helyi erdőkön kívül
A felügyeleti pontok preferencia szerint rendezett listájáról az ügyfél az első felügyeleti pontot próbálja meg használni:
A listán az azonos preferenciáknak megfelelő felügyeleti pontok sorrendje véletlenszerű, és nem rendezhető.
Amikor az ügyfél frissíti a felügyeleti pontok listáját, a lista elemeinek sorrendje megváltozhat.
Ha az ügyfél nem képes csatlakozni az első felügyeleti ponthoz, sorrendben megpróbál csatlakozni a listán szereplő további felügyeleti pontokhoz. A nem preferált felügyeleti pontokkal csak akkor próbálkozik, ha már az összes előnyben részesített felügyeleti ponthoz megpróbált kapcsolódni. Ha az ügyfél nem képes kommunikálni valamelyik felügyeleti ponttal az adott kategóriában, a következő kategóriából próbál kapcsolódni egy előnyben részesített felügyeleti ponthoz – és így tovább, egészen addig, amíg nem talál használható felügyeleti pontot.
Ha az ügyfél sikeresen csatlakozott egy felügyeleti ponthoz, akkor ezt a felügyeleti pontot fogja használni a továbbiakban is, és csak a következő esetekben próbál másikra váltani:
25 óra elteltével az ügyfél véletlenszerűen új felügyeleti pontot választ.
Ha az ügyfél 10 perc alatt 5 sikertelen kísérletet tesz a felügyeleti ponttal való kommunikációra, az ügyfél új felügyeleti pontot választ.
Active Directory
A tartományhoz csatlakoztatott ügyfelek az Active Directory tartományi szolgáltatásokat (AD DS) használhatják szolgáltatáskeresésre. Ennek feltétele, hogy a helyek közzétegyék adataikat az Active Directoryban.
Az ügyfelek abban az esetben használhatják az Active Directory tartományi szolgáltatásokat szolgáltatáskeresésre, ha az alábbi feltételek közül mind teljesül:
Az Active Directory-séma ki van bővítve a System Center 2012 Configuration Manager vagy a Configuration Manager 2007 rendszerre.
Az Active Directory-erdőnek és a Configuration Manager-helyeknek egyaránt engedélyezve van a közzététel.
Az ügyfélszámítógép Active Directory-tartományhoz tartozik, és van számára elérhető globáliskatalógus-kiszolgáló.
Ha az ügyfél az AD DS-ből nem talál szolgáltatáskereséshez használható felügyeleti pontot, megpróbálja a DNS szolgáltatást használni. A tartományhoz csatlakoztatott ügyfelek az AD DS-t használhatják szolgáltatáskeresésre. Ennek feltétele, hogy a helyek közzétegyék adataikat az Active Directoryban.
DNS
Az intranethez kapcsolódó ügyfelek a DNS szolgáltatást használhatják szolgáltatáskeresésre. Ennek feltétele, hogy a hierarchiában legalább egy hely közzétegyen információkat a felügyeleti pontokról a DNS-ben.
Akkor célszerű megfontolni a DNS használatát szolgáltatáskeresésre, ha az alábbi feltételek közül valamelyik teljesül:
Az Active Directory-séma nincs kibővítve a Configuration Manager támogatására.
Az intranethez kapcsolódó ügyfelek olyan erdőben találhatók, amelyen nincs engedélyezve a Configuration Manager-közzététel.
Egyes ügyfelek munkacsoportba tartozó számítógépeken futnak, és nincsenek beállítva kizárólag internetes ügyfélfelügyeletre. (Az internethasználatra konfigurált, munkacsoporthoz tartozó ügyfelek csak internetkapcsolattal használható felügyeleti pontokkal kommunikálnak, és nem használhatják a DNS-t szolgáltatáskeresésre.)
Az ügyfelek beállíthatók a felügyeleti pontok keresésére a DNS szolgáltatásból.
Ha egy hely szolgáltatáskeresési rekordokat tesz közzé a felügyeleti pontokról a DNS-ben:
A közzététel csak olyan felügyeleti pontok esetében alkalmazható, amelyek fogadják az intranetről érkező ügyfélkapcsolatokat.
A hely szolgáltatáskeresési erőforrásrekordot (SRV RR) helyez el a felügyeleti pontot üzemeltető számítógép DNS-zónájában. Az adott számítógépnek rendelkeznie kell egy gazdagépbejegyzéssel a DNS-ben.
A tartományhoz csatlakoztatott ügyfelek alapértelmezés szerint a saját tartományukhoz tartozó felügyeletipont-rekordokat keresnek a DNS-ben. A megfelelő ügyféltulajdonság konfigurálásával meghatározhatja annak a tartománynak az utótagját, amely felügyeleti ponttal kapcsolatos információkat tesz közzé a DNS-ben.
További információ a DNS-utótag ügyféltulajdonság konfigurálásáról: Ügyfélgépek konfigurálása felügyeleti pont keresésére DNS-közzététel segítségével a Configuration Managerben.
Ha az ügyfél a DNS szolgáltatásban nem talál szolgáltatáskeresésre használható felügyeleti pontot, megpróbálja a WINS szolgáltatást használni.
Felügyeleti pontok közzététele a DNS szolgáltatásban
A felügyeleti pontok DNS szolgáltatásban való közzétételéhez teljesülnie kell az alábbi két feltételnek:
A DNS-kiszolgálóknak támogatniuk kell a szolgáltatáskeresési erőforrásrekordokat, 8.1.2-es vagy újabb BIND használatával.
A Configuration Manager felügyeleti pontjaihoz megadott intranetes teljes tartományneveknek állomásbejegyzéssel (például A rekorddal) kell rendelkezniük a DNS szolgáltatásban.
| Fontos! |
|---|
A Configuration Manager DNS-közzététele nem támogatja az elkülönülő névtereket. Ha elkülönülő névtérrel rendelkezik, manuális módszerrel tegye közzé a felügyeleti pontokat a DNS szolgáltatásban, vagy válasszon az itt bemutatott alternatív szolgáltatáskeresési módszerek közül. |
Ha a DNS-kiszolgálók támogatják az automatikus frissítéseket, a Configuration Managerben beállíthatja a felügyeleti pontok DNS szolgáltatásbeli automatikus közzétételét az intraneten, vagy manuálisan is közzéteheti ezeket a rekordokat a DNS-ben. A felügyeleti pontok DNS szolgáltatásban való közzétételekor a rendszer a felügyeleti pontok intranetes teljes tartománynevét és portszámát közzéteszi a szolgáltatáskeresési (SRV) rekordban. A DNS-közzététel a hely Felügyeletipont-összetevő tulajdonságai között konfigurálható. További információ: Helyösszetevők konfigurálása a Configuration Manager alkalmazásban.
Ha a DNS-kiszolgálók nem támogatják az automatikus frissítéseket, a szolgáltatáskeresési rekordokat azonban igen, manuális módszerrel közzéteheti a felügyeleti pontokat a DNS-ben. Ehhez manuálisan kell meghatároznia a szolgáltatáskeresési erőforrásrekordot (SRV RR) a DNS szolgáltatásban.
A Configuration Manager RFC 2782 szabványnak megfelelő szolgáltatáskeresési rekordok használatát támogatja, melyek formátuma a következő:
_Szolgáltatás._Protokoll.Név Élettartam Osztály SRV Prioritás Súly Port Cél
A Configuration Manager rendszerben felügyeleti pont közzétételéhez a következő értékeket határozza meg:
_Szolgáltatás: Írja be az _mssms_mp*_<helykód>* értéket, ahol a <helykód> a felügyeleti pont helykódja.
._Protokoll: Írja be a ._tcp értéket.
.Név: Írja be a felügyeleti pont DNS-utótagját (például contoso.com).
Élettartam: Írja be a 14400 értéket (ez négy órát jelent).
Osztály: Az IN értéket adja meg (az RFC 1035 szabványnak megfelelően).
Prioritás: A Configuration Manager nem használja ezt a mezőt.
Súly: A Configuration Manager nem használja ezt a mezőt.
Port: Írja be a felügyeleti pont által használt port számát, például 80 HTTP esetén, vagy 443 HTTPS esetén.
MegjegyzésAz SRV rekord portjának meg kell egyeznie a felügyeleti pont által használt kommunikációs porttal. Ez alapértelmezés szerint HTTP-kommunikáció esetén a 80-as, HTTPS-kommunikáció esetén pedig a 443-as port.
Cél: Írja be a felügyeleti pont helyszerepkörével konfigurált helyrendszerhez tartozó intranetes teljes tartománynevet.
Windows Server DNS használata esetén az alábbi módszerrel adhatja meg a DNS-rekordot az intranetes felügyeleti pontokhoz. Ha más DNS-implementációt használ, a jelen szakaszban ismertetett mezőértékek és a DNS szolgáltatás dokumentációja alapján ültesse át az eljárást saját környezetére.
Az automatikus közzététel konfigurálása:
-
A Configuration Manager-konzolon bontsa ki az Adminisztráció > Helykonfiguráció > Helyek csomópontot.
-
Jelölje ki a saját helyét, és kattintson a Helyösszetevők konfigurálása elemre.
-
Válassza a Felügyeleti pont lehetőséget.
-
Jelölje ki a közzétenni kívánt felügyeleti pontokat. (A választás az AD DS és a DNS szolgáltatásban való közzétételre vonatkozik.)
-
Jelölje be a DNS-közzétételre vonatkozó jelölőnégyzetet:
- Ezen a párbeszédpanelen kiválaszthatja, hogy mely felügyeleti pontokat szeretné közzétenni, majd közzéteheti őket a DNS-ben. - Az AD DS-ben történő közzététel ezen a párbeszédpanelen nem konfigurálható.
Felügyeleti pontok manuális közzététele a Windows Server DNS szolgáltatásában
-
A Configuration Manager-konzolon adja meg a helyrendszerek teljes tartománynevét.
-
A DNS-kezelőkonzolon jelölje ki a felügyeleti pont számítógépének DNS-zónáját.
-
Győződjön meg arról, hogy a helyrendszer intranetes teljes tartománynevéhez tartozik állomásrekord (A vagy AAAA). Ha nincs, hozzon létre egyet.
-
Kattintson az Egyéb új rekordok, majd az SRV rekord lehetőségre az Erőforrásrekord típusa párbeszédpanelen, kattintson a Rekord létrehozása parancsra, adja meg az alábbi információkat, majd kattintson a Kész gombra.
- **Tartomány:** Ha szükséges, adja meg a felügyeleti pont DNS-utótagját, például: **contoso.com**. - **Szolgáltatás:** Írja be az **\_mssms\_mp***\_\<helykód\>* értéket, ahol a *\<helykód\>* a felügyeleti pont helykódja. - **Protokoll:** Írja be a **\_tcp** értéket. - **Prioritás:** A Configuration Manager nem használja ezt a mezőt. - **Súly:** A Configuration Manager nem használja ezt a mezőt. - **Port:** Írja be a felügyeleti pont által használt port számát, például **80** HTTP esetén, vagy **443** HTTPS esetén. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Gg712272.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Megjegyzés</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Az SRV rekord portjának meg kell egyeznie a felügyeleti pont által használt kommunikációs porttal. Ez alapértelmezés szerint HTTP-kommunikáció esetén a <strong>80-as</strong>, HTTPS-kommunikáció esetén pedig a <strong>443-as</strong> port.</p></td> </tr> </tbody> </table> </div> - **A szolgáltatást nyújtó állomás:** Írja be a felügyeleti pont helyszerepkörével konfigurált helyrendszerhez tartozó intranetes teljes tartománynevet.
Ismételje meg ezeket a lépéseket a DNS-ben közzétenni kívánt valamennyi felügyeleti ponthoz az intraneten.
WINS
Ha a többi szolgáltatáskeresési módszer nem jár eredménnyel, az ügyfelek a WINS szolgáltatásban is kereshetnek kezdeti felügyeleti pontot.
Alapértelmezés szerint az elsődleges hely az első HTTP-kommunikációra és az első HTTPS-kommunikációra konfigurált felügyeleti pontot teszi közzé a WINS szolgáltatásban.
Ha nem szeretné, hogy az ügyfelek a WINS-ben HTTP-kommunikációra konfigurált felügyeleti pontot találjanak, az ügyfelek konfigurálásához használja a CCMSetup.exe SMSDIRECTORYLOOKUP=NOWINS Client.msi-tulajdonságát.
Ügyfelek felébresztése
A Configuration Manager két hálózati ébresztési technológiát támogat a számítógépek alvó üzemmódból való felébresztésére a kötelező szoftverek, például szoftverfrissítések és alkalmazások telepítéséhez: a hagyományos ébresztési csomagokat és az AMT bekapcsolási parancsokat.
A Configuration Manager SP1 kiadásától kezdve a hagyományos ébresztési csomagokat alkalmazó módszer kiegészíthető az ébresztési proxy ügyfélbeállításaival. Az ébresztési proxy társ-társ (peer-to-peer) protokollt és választott számítógépeket használ annak ellenőrzésére, hogy az alhálózat más számítógépei ébren vannak-e, illetve szükség esetén a felébresztésükre. Ha a helyen hálózati ébresztés van konfigurálva, és az ügyfelek ébresztési proxy használatára vannak beállítva, a folyamat a következőképpen zajlik:
A Configuration Manager SP1-ügyfelet futtató számítógépek, ha nincsenek alvó állapotban az alhálózaton, folyamatosan ellenőrzik, hogy az alhálózat más számítógépei ébren vannak-e. Ez úgy történik, hogy 5 másodpercentként TCP/IP ping parancsot küldenek egymásnak.
Ha egy számítógép nem ad választ, akkor alvó állapotúnak tekintik. Az ébren lévő számítógépek lesznek az alhálózat kezelő-számítógépei.
Mivel előfordulhat, hogy egy számítógép nem azért nem válaszol, mert alvó állapotban van (például ki van kapcsolva, eltávolították a hálózatról, vagy az ébresztési proxy ügyfélbeállítás nincs alkalmazva), a számítógépek minden nap helyi idő szerint 14:00 órakor ébresztési csomagot kapnak. A nem válaszoló számítógépeket a rendszer ettől kezdve nem tekinti alvó állapotúnak, és többé nem ébreszti ébresztési proxy használatával.
Az ébresztési proxy támogatásához legalább három számítógépnek ébren kell lennie az egyes alhálózatokon. Ennek érdekében a rendszer három számítógépet választ ki nem determinisztikus módon az alhálózat őrszámítógépeinek szerepére. Ez azt jelenti, hogy mindenképpen ébrenléti állapotban maradnak, még akkor is, ha a rajtuk beállított energiagazdálkodási házirend szerint adott ideig tartó tétlenséget követően alvó vagy hibernált állapotba kerülnének. Az őrszámítógépek ugyanakkor teljesítik a leállítási vagy újraindítási parancsokat, amelyek például karbantartási feladatok során válhatnak szükségessé. Ilyen esetben a többi őrszámítógép felébreszt egy másik számítógépet az alhálózaton, így az alhálózat ezután is három őrszámítógéppel működik tovább.
A kezelő-számítógépek arra utasítják a hálózati kapcsolót, hogy az alvó számítógépek hálózati forgalmát feléjük irányítsa át.
Az átirányítás úgy történik, hogy a kezelő-számítógép olyan Ethernet-keretet továbbít, amely az alvó számítógép MAC-címét használja forráscímként. A hálózati kapcsoló ezért úgy viselkedik, mintha az alvó számítógép arra a portra került volna, amelyen a kezelő-számítógép található. A kezelő-számítógép emellett ARP-csomagokat is küld az alvó számítógépekkel kapcsolatban, hogy az ARP-gyorsítótárban lévő adatok ne avuljanak el. A kezelő-számítógép az alvó számítógépek nevében az ARP-kérésekre is válaszol, és a választ az alvó számítógép MAC-címének használatával küldi el.
.jpeg "System_CAPS_warning")
FigyelmeztetésA folyamat során az alvó számítógép IP–MAC leképezése változatlan marad. Az ébresztési proxy tájékoztatja a hálózati kapcsolót arról, hogy a portot nem az a hálózati adapter használja, amely regisztrálta. Ez a „MAC flap” néven ismert viselkedés azonban a normál hálózati működés során ritka. Egyes hálózatfigyelő eszközök figyelik az ilyen viselkedést, amelyet hibaként észlelhetnek. Ezért az ilyen figyelőeszközök az ébresztési proxy használatakor riasztásokat generálhatnak vagy lezárhatják a portokat.
Ne használjon ébresztési proxyt, ha a hálózatfigyelő eszközök és szolgáltatások nem teszik lehetővé a „MAC flap” használatát.
Ha egy kezelő-számítógép új TCP-kapcsolatkérést észlel egy alvó számítógéphez, és a kérés olyan portra vonatkozik, amelyet az alvó számítógép figyelt az alvó állapotba lépése előtt, a kezelő-számítógép ébresztési csomagot küld az alvó számítógépnek, majd leállítja a forgalom átirányítását ehhez a számítógéphez.
Az alvó számítógép megkapja az ébresztési csomagot, és felébred. A küldő számítógép automatikusan újrapróbálkozik a kapcsolódással, és ezúttal a célszámítógép már ébren van, és képes válaszolni.
Az ébresztési proxyra a következő előfeltételek és korlátozások vonatkoznak:
| Fontos! |
|---|
Ha külön csapat foglalkozik a hálózati infrastruktúrával és a hálózati szolgáltatásokkal, az értékelési és tesztelési időszak alatt működjön együtt ezzel a csapattal. Például egy 802.1X hálózati hozzáférés-vezérlést használó hálózaton az ébresztési proxy nem működik, és akár meg is zavarhatja a hálózati szolgáltatás működését. Az ébresztési proxy emellett egyes hálózatfigyelő eszközökön riasztásokat válthat ki, ha az eszközök észlelik a többi számítógép felébresztésére irányuló forgalmat. |
Támogatott ügyfelek: Windows 7, Windows 8, Windows Server 2008 R2 és Windows Server 2012.
Virtuális gépen futtatott vendég operációs rendszerek használata nem támogatott.
Az ügyfeleken Configuration Manager SP1 verziónak kell futnia ahhoz, hogy ügyfélbeállításaikban engedélyezni lehessen az ébresztési proxy használatát. Habár az ébresztési proxy működése nem függ a hardverleltártól, az ügyfelek csak akkor jelentik az ébresztési proxy szolgáltatás telepítését, ha engedélyezve van rajtuk a hardverleltározás, és legalább egy hardverleltárt már benyújtottak.
A hálózati adaptereken (és sokszor a BIOS-ban is) engedélyezni és konfigurálni kell az ébresztési csomagok használatát. Ha a hálózati adapter nincs konfigurálva az ébresztési csomagokhoz, illetve ha ez a beállítás le van tiltva, a Configuration Manager automatikusan konfigurálja és engedélyezi azt a számítógéphez, ha az ébresztési proxy engedélyezésére vonatkozó ügyfélbeállítást kap.
Ha egy számítógép egynél több hálózati adapterrel rendelkezik, nem állítható be, melyik adaptert használja az ébresztési proxyhoz; a rendszer ezt nem determinisztikus módon választja ki. A kiválasztott adapter azonban bekerül a SleepAgent_<TARTOMÁNY>@RENDSZER_0.log fájlba.
A hálózatnak engedélyeznie kell az ICMP Echo kéréseket (legalább az alhálózaton belül). Az ICMP ping parancsok küldésének 5 másodperces időköze nem módosítható.
A kommunikáció titkosítás és hitelesítés nélkül történik, és az IPsec használata nincs támogatva.
A következő hálózati konfigurációk nincsenek támogatva:
802.1X porthitelesítéssel
Vezeték nélküli hálózatok
MAC-címeket adott portokhoz kapcsoló hálózatok
Kizárólag IPv6-ot használó hálózatok
24 óránál rövidebb DHCP-bérleti időtartamok
Bevált biztonsági gyakorlat, hogy lehetőség szerint az AMT bekapcsolási parancsokat használják az ébresztési csomagok helyett. Mivel az AMT bekapcsolási parancsok PKI-tanúsítványok használatával biztonságossá teszik a kommunikációt, ez a technológia biztonságosabb, mint az ébresztési csomagok küldése. Az AMT bekapcsolási parancsok használatához azonban AMT-hez kiépített Intel AMT-alapú számítógépek szükségesek. További információ az AMT-alapú számítógépek kezeléséről a Configuration Manager szoftverben: Bevezetés a sávon kívüli felügyelet a Configuration Manager.
Ha ütemezett szoftvertelepítéshez szeretné felébreszteni a számítógépeket, minden elsődleges helyhez a következő három beállítás egyikét kell konfigurálnia:
AMT bekapcsolási parancsok használata, ha a számítógépek támogatják ezt a technológiát; más esetben ébresztési csomagok használata
Csak AMT bekapcsolási parancsok használata.
Csak ébresztési csomagok használata.
Az ébresztési proxy Configuration Manager SP1 verzióban való használatához az energiagazdálkodás ébresztési proxyra vonatkozó ügyfélbeállításait is telepíteni kell a Csak ébresztési csomagok használata beállítás mellett.
A következő táblázatban bővebb információkat talál a két hálózati ébresztési (WOL) technológia, a hagyományos ébresztési csomagok és a bekapcsolási parancsok közötti különbségekről.
Technológia |
Előnye |
Hátránya |
|---|---|---|
Hagyományos ébresztési csomagok |
Nem igényel további helyrendszerszerepköröket a helyen. Számos hálózati adapter támogatja. Az UDP ébresztési csomagok küldése és feldolgozása gyors. Nem igényel nyilvános kulcsokra épülő infrastruktúrát. Nem igényel módosításokat az Active Directory tartományi szolgáltatásokban. Használható a munkacsoportban lévő számítógépeken, a más Active Directory-erdőből származó számítógépeken, valamint az ugyanazon Active Directory-erdőben található de nem folyamatos névteret használó számítógépeken. |
Kevésbé biztonságos megoldás, mint az AMT bekapcsolási parancsok, mivel nem használ titkosítást vagy hitelesítést. Ha az ébresztési csomagokhoz alhálózat által vezérelt szórásos küldést használnak, fennáll az úgynevezett „smurf” támadások veszélye. Az egyes számítógépeken szükség lehet a BIOS-beállítások és az adapterkonfiguráció manuális megadására. Nincs visszajelzés arról, hogy a számítógépek felébredtek. A több UDP-csomagként küldött ébresztési üzenetek szükségtelenül sok hálózati sávszélességet foglalhatnak. A számítógépek nem ébreszthetők fel interaktív módon, kivéve ha az ébresztési proxyt a Configuration Manager SP1 verzióval használja. A számítógépek nem állíthatók vissza alvó állapotba. A kezelési lehetőségek csak a számítógépek felébresztésére korlátozódnak. |
AMT bekapcsolási parancsok |
Biztonságosabb megoldás a hagyományos ébresztési csomagoknál, mert az iparágban használt szabványos biztonsági protokollokkal végzett hitelesítést és titkosítást is kínál. Meglévő, nyilvános kulcsú infrastruktúrára épülő központi telepítéssel is integrálható, a biztonsági funkciók pedig a terméktől függetlenül kezelhetők. Támogatja az automatikus centralizált telepítést és konfigurálást (AMT kiépítés). Átviteli munkamenet a megbízhatóbb, naplózható kapcsolat érdekében. A számítógépek interaktív módon felébreszthetők (és újraindíthatók). A számítógépek interaktív módon kikapcsolhatók. Kiegészítő kezelési lehetőségek, többek között az alábbiak:
|
Sávon kívüli szolgáltatási pont és beléptetési pont meglétét igényli a helyen. Csak Intel vPro chipkészlettel rendelkező számítógépen támogatott, amelyen az Intel Active Management Technology (Intel AMT) firmware támogatott verziója található. További információ az AMT támogatott verzióiról: A Configuration Manager által támogatott konfigurációk. Az átviteli munkamenet létrehozása több időt igényel, nagyobb terhelést jelent a kiszolgálón, és növeli az átvitt adatok mennyiségét. Nyilvános kulcsokra épülő infrastruktúrát használó központi telepítést és megfelelő tanúsítványokat igényel. Olyan Active Directory-tárolót igényel, amelyet AMT-alapú számítógépek közzétételére hoztak létre és konfiguráltak. Nem használható munkacsoportban lévő számítógépeken, más Active Directory-erdőből származó számítógépeken, valamint az ugyanazon Active Directory-erdőben található de nem folyamatos névteret használó számítógépeken. A DNS és DHCP módosítását igényli az AMT kiépítés támogatásához. |
Válassza ki a számítógépek felébresztésének módját annak alapján, hogy alkalmas-e a rendszerkörnyezet az AMT bekapcsolási parancsok támogatására, illetve hogy a helyhez rendelt számítógépek támogatják-e a hálózati ébresztést. Vegye figyelembe továbbá a két technológia előző táblázatban felsorolt előnyeit és hátrányait. Az ébresztési csomagok például kevésbé megbízhatóak és nem biztonságosak, a bekapcsolási parancsok viszont hosszabb időt igényelnek, és nagyobb számítási terhet rónak a sávon kívüli szolgáltatási ponttal konfigurált helyrendszer-kiszolgálóra.
| Fontos! |
|---|
Az AMT-alapú számítógépek sávon kívüli kezelési munkamenetének létrehozásával, fenntartásával és befejezésével járó nagyobb terhelés miatt érdemes saját teszteket végezni, hogy pontosan meg tudja ítélni, mennyi időbe telik több számítógép felébresztése AMT bekapcsolási parancsokkal az adott környezetben (például a másodlagos helyeken lévő számítógépek lassú WAN-kapcsolatain keresztül). Ennek az információnak a birtokában könnyebben eldöntheti, hogy érdemes-e AMT bekapcsolási parancsokat használni több számítógép ütemezett tevékenységekhez történő felébresztésére, ha rövid idő alatt sok számítógép ébresztésére van szükség. |
Ha a hagyományos ébresztési csomagokat választja, azt is el kell döntenie, hogy az alhálózat által vezérelt szórási csomagokat vagy egyedi küldésű csomagokat szeretne-e alkalmazni, valamint hogy melyik UDP-portszámot fogja használni. A hagyományos ébresztési csomagok küldése alapértelmezés szerint a 9-es UDP-port használatával történik, de a nagyobb biztonság érdekében választhat a helyhez más portot is, ha a beavatkozó útválasztók és tűzfalak támogatják azt.
Hagyományos ébresztési csomagok esetén: A hálózati ébresztés beállításához válasszon az egyedi küldés és az alhálózat által vezérelt szórás között.
Ha a számítógépeket hagyományos ébresztési csomagok küldésével szeretné felébreszteni, el kell döntenie, hogy egyedi küldésű csomagokat vagy alhálózat által vezérelt szórási csomagokat használ. Ha a Configuration Manager SP1 verzió esetén ébresztési proxyt használ, akkor egyedi küldésű csomagokat kell választania. Más esetekben használja az alábbi táblázatot az átviteli módszer kiválasztásához.
Átviteli módszer |
Előnye |
Hátránya |
|---|---|---|
Egyedi küldés |
Biztonságosabb az alhálózat által vezérelt szórásnál, mivel a csomag küldése közvetlenül egy számítógépnek történik, nem az alhálózat összes számítógépének. Nem mindig igényli az útválasztók újrakonfigurálását (szükség lehet az ARP-gyorsítótár konfigurálására). Kisebb hálózati sávszélességet igényel, mint az alhálózat által vezérelt szórásos átvitel. Az IPv4 és az IPv6 is támogatja. |
Az ébresztési csomagok nem találják meg azokat a célszámítógépeket, amelyeknek alhálózati címe a legutóbbi hardverleltár-ütemezés óta megváltozott. Lehet, hogy a kapcsolókat az UDP-csomagok továbbítására kell konfigurálni. Egyes hálózati adapterek nem biztos, hogy minden alvási állapotban válaszolnak az ébresztési csomagokra, ha egyedi küldéses átviteli módszert alkalmaznak. |
Alhálózat által vezérelt szórás |
Az egyedi küldésnél nagyobb sikeres küldési arány olyan számítógépek esetében, amelyek gyakran módosítják IP-címüket ugyanazon az alhálózaton belül. Nincs szükség a kapcsoló újrakonfigurálására. Magas kompatibilitási arány a számítógép-adapterekkel minden alvási állapot esetében, mivel az alhálózat által vezérelt szórás volt az ébresztési csomagok eredeti átviteli módszere. |
Az egyedi küldésnél kevésbé biztonságos megoldás, mivel az esetleges támadók folyamatos ICMP Echo-kéréseket küldhetnek egy hamisított forráscímről a vezérelt szórási címre. Ilyenkor az összes gazdagép ugyanarra a forráscímre válaszol. Ha az útválasztók az alhálózat által vezérelt szórás engedélyezésére vannak konfigurálva, biztonsági okokból ajánlott a következők beállítása is:
Az összes beavatkozó útválasztó újrakonfigurálását igényelheti az alhálózat által vezérelt szórás engedélyezésére. Nagyobb hálózati sávszélességet igényel, mint az egyedi küldéses átvitel. Csak az IPv4 támogatja, az IPv6 nem. |
| Figyelmeztetés |
|---|
Az alhálózat által vezérelt szórás esetén biztonsági kockázatokkal kell számolni: a támadók ICMP-alapú folyamatos visszhangkéréseket küldhetnek egy hamisított forráscímről a vezérelt szórási címre, így az összes gazdagép erre a hamis forráscímre válaszol. Ezt a fajta szolgáltatásmegtagadásos támadást gyakran Smurf-támadásnak is hívják, és általában csökkenthető a kockázata, ha nem engedélyezik az alhálózat által vezérelt szórást. |
Az erdőkön keresztül folytatott kommunikáció tervezése a Configuration Managerben
A System Center 2012 Configuration Manager olyan helyeket és hierarchiákat is támogat, amelyek több Active Directory-erdőre is kiterjednek.
A Configuration Manager emellett támogatja az olyan tartományi számítógépeket, amelyek a helykiszolgálótól eltérő Active Directory-erdőben vannak, valamint a munkacsoportokban lévő számítógépeket:
A helykiszolgáló által nem megbízhatóként számon tartott erdőben lévő tartományi számítógépek támogatásához a nem megbízható erdőben helyrendszerszerepköröket telepíthet, és opcionálisan a helyre vonatkozó információkat is közzéteheti az ügyfél Active Directory-erdőjében. Arra is van lehetősége, hogy ezeket a számítógépeket úgy kezelje, mintha munkacsoportban lévő számítógépek lennének. Ha az ügyfél erdőjében telepít helyrendszer-kiszolgálókat, az ügyfél–kiszolgáló kommunikáció az ügyfél erdőjében zajlik, és a Configuration Manager Kerberos használatával képes hitelesíteni a számítógépet. Ha a helyinformációkat közzéteszi az ügyfél erdőjében, az ügyfelek lekérhetik a helyinformációkat – például az elérhető felügyeleti pontok listáját – az Active Directory-erdőjükből, és nem kell a hozzájuk rendelt felügyeleti pontról letölteniük őket.
MegjegyzésHa interneten lévő eszközöket szeretne kezelni, internetalapú helyrendszerszerepköröket telepíthet a szegélyhálózatban, ha a helyrendszer-kiszolgálók Active Directory-erdőben találhatók. Ilyen esetben nincs szükség kétirányú megbízható kapcsolatra a szegélyhálózat és a helykiszolgáló erdője között.
A munkacsoportban lévő számítógépek támogatásához manuálisan jóvá kell hagynia a kérdéses számítógépeket, ha azok HTTP-ügyfélkapcsolatokat használnak a helyrendszerszerepkörökhöz, mivel a Configuration Manager ezeket a számítógépeket nem képes Kerberos segítségével hitelesíteni. Emellett úgy kell konfigurálnia a hálózatelérési fiókot, hogy ezek a számítógépek tartalmakat kérhessenek le a terjesztési pontokról. Mivel ezek az ügyfelek nem kérhetnek le helyinformációkat az Active Directory tartományi szolgáltatásoktól, alternatív módszert kell biztosítani a számukra a felügyeleti pontok megtalálásához. Használható például DNS-közzététel vagy WINS, de a felügyeleti pontok közvetlenül is hozzárendelhetők.
Az ügyféljóváhagyással kapcsolatban a Az ügyféljóváhagyás és az ütköző ügyfélrekordok beállításainak konfigurálása című témakör Az ügyfélkezelés beállításainak megadása a Configuration Managerben című szakaszában olvashat bővebben.
A hálózatelérési fiók konfigurálásáról a A hálózatelérési fiók konfigurálása című témakör Tartalomkezelés konfigurálása a Configuration Managerben szakaszában olvashat részletesen.
Az ügyfelek munkacsoporthoz tartozó számítógépen történő telepítéséről az A Configuration Manager-ügyfelek telepítése munkacsoporthoz tartozó számítógépekre című témakör Ügyfélszoftverek telepítése Windows-alapú számítógépekre a Configuration Manager segítségével része ír bővebben.
A Configuration Manager támogatja az Exchange Server-összekötő használatát a helykiszolgálótól különböző erdőben. Ennek támogatásához ellenőrizze, hogy névfeloldás működik-e az erdőben (például állítsa be a DNS-továbbítást), és adja meg az Exchange Server intranetes teljes tartománynevét az Exchange Server-összekötő konfigurálásakor. További információ: Mobileszközök kezelése a Configuration Manager és az Exchange használatával.
Ha a Configuration Manager kialakítása több Active Directory-tartományra és -erdőre is kiterjed, a következő táblázatban található információt alapul véve tervezheti meg a következő kommunikációtípusokat.
Forgatókönyv |
Részletek |
További információ |
||
|---|---|---|---|---|
A több erdőre kiterjedő hierarchiában lévő helyek közötti kommunikáció:
|
A Configuration Manager támogatja a gyermekhelyek telepítését olyan távoli erdőbe, amely rendelkezik kétirányú erdőszintű megbízható kapcsolattal a szülőhely erdőjéhez. Amíg a szükséges bizalmi kapcsolat fennáll, a másodlagos helyeket elhelyezheti például egy olyan erdőben, amely nem azonos az elsődleges szülőhelyük erdőjével. Ha nem rendelkezik kétirányú erdőszintű megbízható kapcsolattal, amely támogatja a Kerberos-hitelesítést, akkor a Configuration Manager nem támogatja a távoli erdőben lévő gyermekhelyet.
A Configuration Manager alkalmazásban a helyek közötti kommunikáció adatbázis-replikációt és fájlalapú átvitelt használ. Amikor helyet telepít, meg kell adnia egy fiókot a hely telepítéséhez a kijelölt kiszolgálón. Ez a fiók hozza létre és kezeli a helyek közötti kommunikációt is. Miután sikeresen befejeződött a hely telepítése, és elkezdődik a fájlalapú átvitel és az adatbázis-replikáció, nincs szükség további beállítások megadására a hellyel való kommunikációhoz. A helyek telepítéséről a Helykiszolgáló telepítése című témakör Helyek telepítése és hierarchia létrehozása a Configuration Manager részére szakasza ír bővebben. |
Ha létezik kétirányú erdőszintű megbízható kapcsolat, a Configuration Manager nem igényli további beállítások megadását. Alapértelmezés szerint a gyermekhelyként telepített új helyek esetében a Configuration Manager a következőket konfigurálja:
A következő beállításokat is meg kell adni:
|
||
A több erdőre kiterjedő helyen folytatott kommunikáció:
|
Az elsődleges helyek támogatják a helyrendszerszerepkörök telepítését más erdőkben lévő számítógépekre. Két kivétel van ez alól: a sávon kívüli szolgáltatási pont és az alkalmazáskatalógus webszolgáltatási pontja, amelyeket a helykiszolgálóval azonos erdőben kell telepíteni. Ha a helyrendszerszerepkör fogadja az internetről érkező kapcsolatokat, biztonsági szempontból célszerű olyan helyre telepíteni a helyrendszerszerepköröket, ahol az erdő határa védelmet biztosít a helykiszolgáló számára (például szegélyhálózaton). Ha a helyrendszerszerepkört nem megbízható erdőben lévő számítógépre telepíti:
Ha nem megbízható erdőben használ helyrendszerszerepkört, a tűzfalnak akkor is engedélyeznie kell a hálózati forgalmat, ha az adatátvitelt a helykiszolgáló kezdeményezi. A következő helyrendszerszerepkörök emellett közvetlen hozzáférést igényelnek a helyadatbázishoz, ezért a tűzfalnak engedélyeznie kell a megfelelő forgalmat a nem megbízható erdőből a hely SQL Server rendszeréhez:
További információ: Műszaki útmutató a Configuration Managerben használt portokhoz. |
A felügyeleti pont és a beléptetési pont helyrendszerszerepkör csatlakozik a helyadatbázishoz. Amikor telepítve vannak ezek a helyrendszerszerepkörök, a Configuration Manager alapértelmezés szerint a kapcsolathoz használt fiókként állítja be az új helyrendszer-kiszolgáló számítógépfiókját, és felveszi a fiókot az SQL Server megfelelő adatbázis-szerepkörébe. Amikor nem megbízható tartományba telepíti ezeket a helyrendszerszerepköröket, a helyrendszerszerepkör csatlakozási fiókját úgy kell beállítania, hogy engedélyezze a helyrendszerszerepkör számára az adatok lekérését az adatbázisból. Ha tartományi felhasználói fiókot állít be ezekhez a csatlakozási fiókokhoz, ügyeljen arra, hogy a fióknak megfelelő hozzáférése legyen az SQL Server-adatbázishoz az adott helyen:
Vegye figyelembe a következő információt, amikor a más erdőkben használandó helyrendszerszerepköröket tervezi:
|
||
Az ügyfelek és a helyrendszerszerepkörök közötti kommunikáció, amikor az ügyfelek nem abban az Active Directory-erdőben találhatók, mint a helykiszolgálójuk |
A Configuration Manager a következő eseteket támogatja az olyan ügyfeleknél, amelyek nem abban az erdőben találhatók, mint a helykiszolgálójuk:
|
A tartományi számítógépen található ügyfelek használhatják szolgáltatáskeresésre az Active Directory tartományi szolgáltatásokat, amikor a helyük közzé van téve az Active Directory-erdőjükbe. A helyadatok másik Active Directory-erdőbe való közzétételéhez először meg kell adnia az erdőt, majd engedélyeznie kell a közzétételt az adott erdőbe a Felügyelet munkaterület Active Directory-erdők csomópontjában. Ezenkívül engedélyeznie kell, hogy az egyes helyek közzétegyék az adataikat az Active Directory tartományi szolgáltatásokba. Ez a konfiguráció lehetővé teszi, hogy az adott erdőben található ügyfelek lekérjék a helyadatokat és megkeressék a felügyeleti pontokat. Azoknál az ügyfeleknél, amelyek nem tudják az Active Directory tartományi szolgáltatásokat használni a szolgáltatáskereséshez, a DNS, a WINS vagy az ügyfélhez rendelt felügyeleti pont használható. |
Az internetalapú ügyfélfelügyelet tervezése
Az internetalapú ügyfélfelügyelet lehetővé teszi a Configuration Manager-ügyfelek felügyeletét, amikor azok nem csatlakoznak a vállalati hálózathoz, de rendelkeznek normál internetkapcsolattal. Ennek a megoldásnak több előnye is van, például csökkenti a költségeket azzal, hogy nem kell virtuális magánhálózatokat (VPN) futtatni, és a legalkalmasabb időpontban lehet végrehajtani a szoftverfrissítések központi telepítését.
A nyilvános hálózatban lévő ügyfelekkel kapcsolatos fokozottabb biztonsági követelmények miatt az internetalapú ügyfélfelügyelethez az szükséges, hogy PKI-tanúsítványt használjanak mind az ügyfelek, mind azok a helyrendszer-kiszolgálók, amelyekhez az ügyfelek csatlakoznak. Ez lehetővé teszi, hogy a kapcsolatokat független hitelesítésszolgáltató hitelesítse, valamint azt, hogy a helyrendszer-kiszolgálóknak küldött és a helyrendszer-kiszolgálók által küldött adatok titkosíthatók legyenek az SSL (Secure Sockets Layer) protokoll használatával.
Az ügyfelek internetalapú felügyeletének megtervezésekor vegye figyelembe a következő részekben foglalt információt:
Az interneten nem támogatott funkciók
Nem minden ügyfél-felügyeleti funkció alkalmas az interneten való használatra, ezért ezek a funkciók nem támogatottak, amikor az ügyfelek felügyelete az interneten történik. Az internetes felügyelet esetében nem támogatott funkciók jellemzően azok a funkciók, amelyek az Active Directory tartományi szolgáltatásokon alapulnak, illetve amelyek nem alkalmazhatók a nyilvános hálózatokban, például a hálózati felderítés és a hálózati ébresztés.
A következő funkciók nem támogatottak az internetalapú ügyfélfelügyelet esetében:
Az ügyfelek központi telepítése az interneten keresztül, például az ügyfélleküldéses telepítés és a szoftverfrissítéses ügyféltelepítés. Ezek helyett kézi ügyféltelepítést kell használnia.
Automatikus helyhozzárendelés.
Hálózati hozzáférés-védelem (NAP).
Hálózati ébresztés.
Az operációs rendszer központi telepítése. Telepíthet azonban olyan feladatütemezéseket, amelyek nem az operációs rendszer központi telepítését hajtják végre, például olyan feladatütemezéseket, amelyek parancsfájlokat és karbantartási feladatokat futtatnak az ügyfeleken.
Távvezérlés.
Sávon kívüli felügyelet.
A szoftverek központi telepítése a felhasználók számára, kivéve ha az internetes felügyeleti pont hitelesíteni tudja a felhasználót az Active Directory tartományi szolgáltatásokban Windows-hitelesítés (Kerberos vagy NTLM) használatával. Ez akkor lehetséges, amikor az internetes felügyeleti pont megbízhatónak tekinti azt az erdőt, amelyben a felhasználói fiók található.
Ezenkívül az internetes ügyfélfelügyelet nem támogatja a barangolást. A barangolás lehetővé teszi, hogy az ügyfelek mindig a legközelebbi terjesztési pontot találják meg a tartalom letöltéséhez. Az interneten felügyelt ügyfelek a hozzájuk rendelt helyről kommunikálnak a helyrendszerekkel, amikor ezek a helyrendszerek internetes teljes tartománynév használatára vannak beállítva, és a helyrendszerszerepkörök engedélyezik az internetről érkező ügyfélkapcsolatokat. Az ügyfelek nem determinisztikus módon választanak egy internetes helyrendszert, függetlenül a fizikai hely sávszélességtől.
| Megjegyzés |
|---|
A System Center 2012 Configuration Manager újdonsága, hogy ha internetkapcsolatok fogadására konfigurált szoftverfrissítési ponttal rendelkezik, a Configuration Manager internetes ügyfelei a szükséges szoftverfrissítések megállapításához mindig ellenőrzik a szoftverfrissítési pontot. Ha azonban ezek az ügyfelek kapcsolódnak az internethez, elsőként nem az internetes terjesztési pontokról, hanem a Microsoft Update szolgáltatásból próbálják meg letölteni a szoftverfrissítéseket. Csak akkor próbálják internetes terjesztési pontról letölteni a szükséges szoftverfrissítéseket, ha ez a művelet nem sikerül. Azok az ügyfelek, amelyek nincsenek beállítva az internetes ügyfélfelügyeletre, soha nem próbálkoznak a szoftverfrissítések letöltésével a Microsoft Update szolgáltatásból, hanem mindig a Configuration Manager terjesztési pontjait használják. |
Az internetről vagy nem megbízható erdőből kapcsolódó ügyfelekkel folytatott kommunikáció esetén megfontolandó szempontok
Elsődleges helyen való telepítés esetén a következő helyrendszerszerepkörök támogatják a nem megbízható helyen, például az interneten vagy nem megbízható erdőben található ügyfelektől érkező kapcsolatokat (a másodlagos helyek nem támogatják az ügyfelek kapcsolódását nem megbízható helyekről):
Alkalmazáskatalógus weboldal-elérési pontja
Configuration Manager-házirendmodul
Terjesztési pont (felhőalapú terjesztési pontok esetén HTTPS protokoll használata kötelező)
Beléptetési proxypont
Tartalék állapotkezelő pont
Felügyeleti pont
Szoftverfrissítési pont
Az internetes helyrendszerekről:
Nem követelmény, hogy az ügyfél és a helyrendszer-kiszolgáló erdője között bizalmi kapcsolat legyen. Ennek ellenére, amikor az internetes helyrendszert tartalmazó erdő megbízhatónak tekinti a felhasználói fiókokat tartalmazó erdőt, a konfiguráció támogatja a felhasználóalapú házirendek érvénybe léptetését az internethez csatlakozó eszközökön. Ehhez az Ügyfélházirend ügyfélbeállításnál engedélyezze az Internetes ügyfelektől jövő, felhasználói házirendre vonatkozó kérések engedélyezése lehetőséget.
A következő konfigurációk bemutatják, hogy az internetes ügyfélfelügyelet mikor támogatja az interneten lévő eszközökre vonatkozó felhasználói házirendeket:
Az internetes felügyeleti pont a szegélyhálózatban található, ahol egy csak olvasható tartományvezérlő hitelesíti a felhasználót, és egy beavatkozó tűzfal engedélyezi az Active Directory-csomagokat.
A felhasználói fiók az A erdőben (az intraneten), az internetes felügyeleti pont pedig a B erdőben (a szegélyhálózatban) található. A B erdő megbízhatónak tekinti az A erdőt, és egy beavatkozó tűzfal engedélyezi a hitelesítési csomagokat.
A felhasználói fiók és az internetes felügyeleti pont az A erdőben (az intraneten) található. A felügyeleti pont proxy-webkiszolgáló (például a Forefront Threat Management Gateway) használatával van közzétéve az interneten.
| Megjegyzés |
|---|
Ha a Kerberos-hitelesítés nem sikerül, a rendszer automatikusan az NTLM-hitelesítéssel próbálkozik. |
Amint az előző példa is mutatja, az internetes helyrendszereket elhelyezheti az intraneten, amikor proxy-webkiszolgáló, például az ISA Server és a Forefront Threat Management Gateway használatával teszi közzé azokat az interneten. Ezek a helyrendszerek beállíthatók úgy, hogy csak az internetről érkező ügyfélkapcsolatokat fogadják, vagy úgy, hogy az internetről és az intranetről érkező kapcsolatokat is fogadják. Amikor proxy-webkiszolgálót használ, beállíthatja azt az SSL-hídképzés (biztonságosabb) vagy az SSL-protokollbújtatás használatára:
SSL–SSL hídképzés:
Ha proxyként működő webkiszolgálókat használ az ügyfelek internetes felügyeletéhez, javasolt beállítani az SSL–SSL-hídképzést, amely SSL-lezárást használ hitelesítéssel együtt. Az ügyfélszámítógépeket számítógép-hitelesítéssel kell hitelesíteni, míg a régebbi mobileszközügyfelek felhasználói hitelesítést használnak. A Configuration Manager által beléptetett mobileszközök esetében nem használható SSL-hídképzés.A proxy webkiszolgálón történő SSL-lezárás előnye, hogy a rendszer megvizsgálja az internetről érkező csomagokat, mielőtt továbbítaná őket a belső hálózatra. A proxy-webkiszolgáló hitelesíti az ügyféltől érkező kapcsolatot, lezárja azt, majd új hitelesített kapcsolatot nyit az internetes helyrendszerek felé. Ha a Configuration Manager-ügyfelek proxy webkiszolgálót használnak, a csomag tartalmazza az ügyfélidentitást (az ügyfél GUID azonosítóját), így a felügyeleti pont nem tekinti ügyfélnek a proxy webkiszolgálót. HTTP–HTTPS vagy HTTPS–HTTP kapcsolat esetén a Configuration Manager nem támogatja a hídképzést.
Bújtatás:
Ha a proxyként működő webkiszolgáló nem tesz eleget az SSL-hídképzés követelményeinek, vagy internetes támogatást szeretne beállítani a Configuration Manager által beléptetett eszközökhöz, SSL-bújtatást is használhat. Ez a megoldás kevésbé biztonságos, mivel az internetről érkező SSL-csomagok SSL-lezárás nélkül jutnak el a helyrendszerekhez, ezért nem lehet ellenőrizni, hogy nincs-e bennük kártékony tartalom. SSL-bújtatás használata esetén a proxy webkiszolgáló nem végez hitelesítést.
Az internetalapú ügyfelek tervezése
El kell döntenie, hogy az interneten keresztül felügyelt ügyfélszámítógépek esetében intranetes és internetes, vagy csak internetes ügyfélfelügyeletet kíván-e alkalmazni. Az ügyfélfelügyelet módját csak az ügyfél telepítésekor lehet beállítani. Ha később változtatni szeretne rajta, újra kell telepíteni az ügyfelet.
| Megjegyzés |
|---|
A System Center 2012 R2 Configuration Manager és újabb verziók esetén: Ha egy internetkapcsolattal rendelkező felügyeleti pontot állít be, a felügyeleti ponthoz csatlakozó ügyfelek az elérhető felügyeleti pontokat tartalmazó listájuk következő frissítése után képesek lesznek csatlakozni az internethez. |
| Tipp |
|---|
A csak internetes ügyfélfelügyelet nemcsak az interneten, hanem az intraneten is használható. |
A csak internetes ügyfélfelügyeletre konfigurált ügyfelek csak azokkal a helyrendszerekkel kommunikálnak, amelyeken engedélyezve vannak az internetes ügyfélkapcsolatok. Ez a konfiguráció olyan számítógépek esetén javasolt, amelyek biztosan soha nem csatlakoznak a vállalat belső hálózatához; például a távoli értékesítési pontokon elhelyezett számítógépek esetében. Olyan esetekben is megfelelő lehet, ha csak HTTPS-kapcsolaton keresztüli ügyfél-kommunikációt kíván engedélyezni (például a tűzfal- vagy korlátozott biztonsági házirend támogatása érdekében), illetve ha internetalapú helyrendszereket telepít egy szegélyhálózatra, és a Configuration Manager-ügyfél segítségével kívánja felügyelni a kiszolgálókat.
Ha munkacsoport-ügyfeleket szeretne felügyelni az interneten, akkor a csak internetes felügyeleti módot válassza.
| Megjegyzés |
|---|
Ha úgy állít be egy mobileszközügyfelet, hogy internetalapú felügyeleti pontot használjon, akkor az ügyfélfelügyelet automatikusan csak internetes lesz. |
Másféle ügyfélszámítógépek esetén használhatja az internetes és intranetes ügyfélfelügyeletet. Ezek az ügyfelek automatikusan tudnak váltani az internetalapú és az intranetes ügyfélfelügyelet között, amikor észlelik, hogy megváltozott a hálózat. Ha egy ilyen ügyfél talál olyan felügyeleti pontot, amely engedélyezi az intranetes ügyfélkapcsolatokat, és csatlakozni tud hozzá, akkor a rendszer intranetes ügyfélként kezeli, amely rendelkezik a Configuration Manager összes felügyeleti funkciójával. Ha az ügyfél nem talál olyan felügyeleti pontot, amely engedélyezi az intranetes ügyfélkapcsolatokat, vagy nem tud csatlakozni hozzá, akkor egy internetalapú felügyeleti ponthoz próbál kapcsolódni, és ha ez sikerül, akkor az internetalapú helyrendszer felügyeli az ügyfelet a hozzá társított helyen.
Az internetalapú és az intranetes ügyfélfelügyelet közti automatikus váltás azért előnyös, mert az ügyfélszámítógépek automatikusan használhatják a Configuration Manager összes funkcióját, amíg az intranethez kapcsolódnak, a fontos felügyeleti funkciók pedig akkor is érvényesek rájuk, amikor az interneten vannak. Emellett az intraneten megkezdett letöltések zökkenőmentesen folytatódnak az intraneten, illetve fordítva.
Az internetalapú ügyfélfelügyelet előfeltételei
A Configuration Manager internetalapú ügyfélfelügyeletének működéséhez a következő feltételeknek kell teljesülnie:
Függőség |
További információ |
||
|---|---|---|---|
Az interneten felügyelt ügyfeleknek rendelkezniük kell internetkapcsolattal. |
A Configuration Manager a meglévő ISP-kapcsolaton keresztül csatlakozik az internethez, ami állandó vagy ideiglenes lehet. A mobil ügyféleszközöknek közvetlen internetkapcsolattal kell rendelkezniük, míg az ügyfélszámítógépeknek lehet közvetlen internetkapcsolata, vagy egy proxy webkiszolgálón keresztül is csatlakozhatnak. |
||
Az internetalapú ügyfélfelügyeletet támogató helyrendszernek rendelkeznie kell internetkapcsolattal, és egy Active Directory-tartományhoz kell tartoznia. |
Az internetalapú helyrendszernek nem kell megbízhatósági kapcsolatban állnia a helykiszolgáló Active Directory-erdőjével. Ha az internetalapú felügyeleti pont hitelesíteni tudja a felhasználót Windows-hitelesítéssel, akkor a rendszer támogatja a felhasználói házirendeket. Ha a Windows-hitelesítés sikertelen, akkor a rendszer csak a számítógép-házirendeket támogatja.
Az internetalapú alkalmazáskatalógus weboldal-elérési pontnak is szüksége van Windows-hitelesítésre azon felhasználók esetében, akiknek a számítógépe az interneten van. Ez a követelmény független a felhasználói házirendektől. |
||
Rendelkeznie kell alkalmas nyilvános kulcsú infrastruktúrával (PKI), amely telepíti és kezeli a tanúsítványokat, amelyekre az ügyfeleknek szükségük van, és amelyeket az interneten és az internetalapú helyrendszer-kiszolgálókon kezelnek. |
További információ a PKI-tanúsítványokról: PKI-tanúsítványkövetelmények a Configuration Managerben. |
||
A következő infrastruktúra-szolgáltatásokat kell beállítani az internetalapú ügyfélkezelés használata érdekében:
|
Ügyfél-kommunikációs követelmények:
A követelmények teljesítéséhez szükséges beállításokról a tűzfal vagy a proxykiszolgáló dokumentációjában talál részletes leírást. Hasonló kommunikációs követelményeket kell teljesíteni abban az esetben is, ha szoftverfrissítési pontot használ az internetes ügyfélkapcsolatokhoz. Erről a Windows Server Update Services (WSUS) dokumentációjában olvashat. A Windows Server 2003 WSUS szolgáltatása esetén érdemes elolvasni a biztonsági beállítások konfigurálását ismertető D függelék: Biztonsági beállítások című témakört. |
Hálózati sávszélesség tervezése a Configuration Manager rendszerben
A System Center 2012 Configuration Manager többféle módszert kínál a helyek, a helyrendszer-kiszolgálók és az ügyfelek közti kommunikáció által használt hálózati sávszélesség szabályozására. Azonban nem minden hálózati kommunikációt lehet felügyelni. Az alábbiakban megismerkedhet azokkal a módszerekkel, melyek segítségével szabályozhatja a hálózati sávszélességet, és megtervezheti a hely hierarchiáját.
A Configuration Manager-hierarchia tervezésekor gondolja át, mekkora hálózati adatforgalmat jelent a helyek közti és a helyen belüli kommunikáció.
| Megjegyzés |
|---|
A fájlreplikációs útvonalak (vagy címek, a Configuration Manager SP1 előtti elnevezés szerint) csak a helyközi kommunikációt segítik, a helykiszolgálók és helyrendszerek közti helyen belüli kommunikációt nem. |
A hálózati sávszélesség használatának szabályozása a helyek között
A Configuration Manager fájlalapú és adatbázis-replikációt alkalmaz a helyek közti adatátvitelhez. A Configuration Manager SP1 előtti verziók esetén csak a fájlalapú replikáció konfigurálásával szabályozható az adatátvitel által felhasznált hálózati sávszélesség, de az adatbázis-replikáció sávszélesség-használatát nem lehet beállítani. A Configuration Manager 1. szervizcsomagjától kezdve beállíthatja az adatbázis-replikáció sávszélesség-használatát a kijelölt helyadatok esetében.
A hálózati sávszélesség vezérlőinek beállításakor vegye figyelembe a lehetséges adatkésleltetést. Ha a helyek közti kommunikáció korlátozott vagy úgy van beállítva, hogy csak munkaidő után kerüljön sor adatátvitelre, előfordulhat, hogy a szülőhely vagy a gyermekhely rendszergazdái nem láthatnak bizonyos adatokat, amíg meg nem történik a helyközi kommunikáció. Ha például egy fontos szoftverfrissítési csomagot küld a rendszer a gyermekhelyeken található terjesztési pontokra, a csomag valószínűleg csak akkor válik elérhetővé ezeken a helyeken, amikor minden függőben levő helyközi kommunikáció befejeződött. A rendszer felfüggesztheti például egy túl nagy csomag kézbesítését, amelynek még nem fejeződött be az átvitele.
A fájlalapú replikáció vezérlői: A Configuration Manager a fájlalapú adatátvitel során a teljes rendelkezésre álló sávszélességet igénybe veszi a helyek közötti adatküldéshez. Ezt a folyamatot szabályozhatja, ha beállítja a küldőt az egyik helyen, és növeli vagy csökkenti a helyek közti küldő szálak számát. Egy küldő szálon egyszerre egy fájlt lehet átvinni. Minden további szállal további fájlokat vihet át a rendszer ugyanabban az időben, ami viszont növeli a sávszélesség használatát. A helyek közti adatátvitelhez használható szálak számát a hely tulajdonságai között lehet beállítani, a Küldő lapon található Maximális párhuzamos küldés értékének megadásával.
A helyek közti fájlalapú adatátvitel szabályozása érdekében meghatározhatja, hogy a Configuration Manager mikor használhat egy bizonyos helyhez tartozó fájlreplikációs útvonalat. Beállíthatja a felhasználható sávszélesség mennyiségét, az adatblokkok méretét és az adatblokkok küldésének gyakoriságát. Emellett korlátozhatja az adatátvitelt az adattípus fontossága alapján. A hierarchia minden egyes helye esetében megadhatja az ütemezést és a sebességhatárt a hely adatátvitelére vonatkozóan az egyes célhelyekhez tartozó fájlreplikációs útvonalak tulajdonságainak beállításával. A fájlreplikációs útvonal beállításai csak arra az adatforgalomra érvényesek, amely az adott útvonal által meghatározott célhelyre irányul.
A fájlreplikációs útvonalakkal kapcsolatban további információ található jelen témakör A helyek közötti kommunikáció tervezése a Configuration Manager alkalmazásban című részének Fájlreplikációs útvonalak című szakaszában.
Fontos!Ha a sebességhatár beállításával korlátozza a sávszélesség használatát valamelyik fájlreplikációs útvonalon, a Configuration Manager csak egyetlen szálon vihet át adatokat az adott célhelyre. A fájlreplikációs útvonalak esetében a sebességhatár megadása felülírja az egyszerre használható szálak számát, amelyet a Maximális párhuzamos küldés értékének beállításával lehet megadni az egyes helyekre vonatkozóan.
Az adatbázis-replikáció vezérlői: A Configuration Manager 1. szervizcsomagjától (SP1) kezdve adatbázis-replikációs hivatkozásokat lehet megadni, amelyekkel szabályozható a kijelölt helyadatok helyek közötti átviteléhez felhasznált sávszélesség. Néhány vezérlő hasonló a fájlalapú replikáció vezérlőihez, de emellett azt is meghatározhatja, mikor replikálja a rendszer a hardverleltár, a szoftverleltár, a szoftverhasználat-mérés és az állapotüzenetek adatait a szülőhely felé az adott hivatkozáson keresztül.
További információért tekintse meg jelen témakör Adatbázis-replikáció című részét.
A hálózati sávszélesség használatának szabályozása a helyrendszer-kiszolgálók között
Egy helyen belül a helyrendszerek kiszolgálói üzenetblokkok (SMB protokoll) útján kommunikálnak egymással tetszőleges időpontban, és nincs módszer a hálózati sávszélesség szabályozására. Ha azonban beállítja a helykiszolgálón a sebességhatárok és az ütemezések használatát, hogy szabályozza a terjesztési pontok felé történő adatátvitelt, akkor hasonló eszközökkel felügyelheti a tartalomtovábbítást a helykiszolgáló és a terjesztési pontok között, mint a helyek közti fájlalapú adatátvitel esetében.
A hálózati sávszélesség használatának szabályozása az ügyfelek és a helyrendszer-kiszolgálók között
Az ügyfelek rendszeresen kommunikálnak a különböző helyrendszer-kiszolgálókkal. Például lekérik az ügyfél-házirendet a felügyeleti pontot futtató helyrendszer-kiszolgálótól, vagy tartalmat töltenek le egy terjesztési pontot futtató helyrendszer-kiszolgálóról, ha telepíteni kell egy alkalmazást vagy szoftverfrissítést. Ezeknek a kapcsolatoknak a gyakorisága, valamint az ügyfél és a kiszolgáló közti hálózati adatforgalom mennyisége az ütemezéstől és az ügyfélbeállításoktól függ.
Az ügyfélházirend-kérelmek általában kis sávszélességet igényelnek. Olyankor lehet magas a sávszélesség használata, ha az ügyfelek telepítési tartalmakat töltenek le, vagy például hardverleltár-adatokat küldenek a helynek.
A megfelelő ügyfélbeállítások segítségével szabályozhatja az ügyfél által kezdeményezett hálózati kommunikáció gyakoriságát. Emellett beállíthatja, hogyan férhetnek hozzá az ügyfelek a telepítési tartalmakhoz, például a Háttérben futó intelligens átviteli szolgáltatás (BITS) segítségével. Ha a háttérben futó intelligens átviteli szolgáltatást szeretné alkalmazni a tartalmak letöltéséhez, akkor az ügyfelet be kell állítani a BITS használatára. Ha az ügyfél nem használhatja a BITS szolgáltatást, akkor az SMB segítségével viszi át a tartalmat.
További információ a Configuration Manager ügyfélbeállításairól: Az ügyfélbeállítások tervezése a Configuration Manager alkalmazásban.