Condividi tramite


Comunicazioni tra endpoint in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Questo articolo descrive come Configuration Manager i sistemi del sito e i client comunicano attraverso la rete. Include le sezioni seguenti:

Comunicazioni tra sistemi del sito in un sito

Quando Configuration Manager sistemi o componenti del sito comunicano attraverso la rete ad altri sistemi o componenti del sito, usano uno dei protocolli seguenti, a seconda della configurazione del sito:

  • Blocco messaggi server (SMB)

  • HTTP

  • HTTPS

Fatta eccezione per le comunicazioni dal server del sito a un punto di distribuzione, le comunicazioni da server a server in un sito possono verificarsi in qualsiasi momento. Queste comunicazioni non usano meccanismi per controllare la larghezza di banda di rete. Poiché non è possibile controllare la comunicazione tra i sistemi del sito, assicurarsi di installare i server del sistema del sito in posizioni con reti veloci e ben connesse.

Da server del sito a punto di distribuzione

Per gestire il trasferimento del contenuto dal server del sito ai punti di distribuzione, usare le strategie seguenti:

  • Configurare il punto di distribuzione per il controllo e la pianificazione della larghezza di banda di rete. Questi controlli sono simili alle configurazioni usate dagli indirizzi tra siti. Usare questa configurazione invece di installare un altro sito Configuration Manager quando il trasferimento di contenuto in posizioni di rete remote è la considerazione principale per la larghezza di banda.

  • È possibile installare un punto di distribuzione come punto di distribuzione pre-installato. Un punto di distribuzione pre-installato consente di usare il contenuto inserito manualmente nel server del punto di distribuzione e rimuove il requisito di trasferire i file di contenuto nella rete.

Per altre informazioni, vedere Gestire la larghezza di banda di rete per la gestione del contenuto.

Comunicazioni dai client ai sistemi e ai servizi del sito

I client avviano la comunicazione con ruoli del sistema del sito, Active Directory Domain Services e Servizi online. Per abilitare queste comunicazioni, i firewall devono consentire il traffico di rete tra i client e l'endpoint delle comunicazioni. Per altre informazioni sulle porte e sui protocolli usati dai client quando comunicano con questi endpoint, vedere Porte usate in Configuration Manager.

Prima che un client possa comunicare con un ruolo del sistema del sito, il client usa la posizione del servizio per trovare un ruolo che supporti il protocollo del client (HTTP o HTTPS). Per impostazione predefinita, i client usano il metodo più sicuro disponibile. Per altre informazioni, vedere Informazioni sul modo in cui i client trovano le risorse e i servizi del sito.

Per proteggere la comunicazione tra client Configuration Manager e server del sito, configurare una delle opzioni seguenti:

  • Usare un'infrastruttura a chiave pubblica (PKI) e installare i certificati PKI in client e server. Abilitare i sistemi del sito per comunicare con i client tramite HTTPS. Per informazioni su come usare i certificati, vedere Requisiti dei certificati PKI.

  • Configurare il sito in modo che usi i certificati generati da Configuration Manager per i sistemi del sito HTTP. Per altre informazioni, vedere HTTP avanzato.

Quando si distribuisce un ruolo del sistema del sito che usa Internet Information Services (IIS) e supporta la comunicazione dai client, è necessario specificare se i client si connettono al sistema del sito tramite HTTP o HTTPS. Se si usa HTTP, è anche necessario prendere in considerazione le scelte di firma e crittografia. Per altre informazioni, vedere Pianificazione della firma e della crittografia.

Importante

A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.

Comunicazione da client a punto di gestione

Esistono due fasi in cui un client comunica con un punto di gestione: autenticazione (trasporto) e autorizzazione (messaggio). Questo processo varia a seconda dei fattori seguenti:

  • Configurazione del sito: solo HTTPS, consente HTTP o HTTPS o consente HTTP o HTTPS con HTTP avanzato abilitato
  • Configurazione del punto di gestione: HTTPS o HTTP
  • Identità del dispositivo per scenari incentrati sul dispositivo
  • Identità utente per scenari incentrati sull'utente

Usare la tabella seguente per comprendere il funzionamento di questo processo:

Tipo MP Authentification client Autorizzazione client
Identità del dispositivo
Autorizzazione client
Identità utente
HTTP Anonimo
Con HTTP avanzato, il sito verifica l'utente o il token del dispositivo Microsoft Entra ID.
Richiesta di posizione: Anonimo
Pacchetto client: Anonimo
Registrazione, usando uno dei metodi seguenti per dimostrare l'identità del dispositivo:
- Anonimo (approvazione manuale)
- Autenticazione integrata di Windows
- Microsoft Entra token del dispositivo ID (HTTP avanzato)
Dopo la registrazione, il client usa la firma dei messaggi per dimostrare l'identità del dispositivo
Per gli scenari incentrati sull'utente, usare uno dei metodi seguenti per dimostrare l'identità dell'utente:
- Autenticazione integrata di Windows
- Microsoft Entra token utente ID (HTTP avanzato)
HTTPS Utilizzando uno dei metodi seguenti:
- Certificato PKI
- Autenticazione integrata di Windows
- Microsoft Entra id utente o token del dispositivo
Richiesta di posizione: Anonimo
Pacchetto client: Anonimo
Registrazione, usando uno dei metodi seguenti per dimostrare l'identità del dispositivo:
- Anonimo (approvazione manuale)
- Autenticazione integrata di Windows
- Certificato PKI
- Microsoft Entra id utente o token del dispositivo
Dopo la registrazione, il client usa la firma dei messaggi per dimostrare l'identità del dispositivo
Per gli scenari incentrati sull'utente, usare uno dei metodi seguenti per dimostrare l'identità dell'utente:
- Autenticazione integrata di Windows
- Microsoft Entra token utente ID

Consiglio

Per altre informazioni sulla configurazione del punto di gestione per diversi tipi di identità del dispositivo e con il gateway di gestione cloud, vedere Abilitare il punto di gestione per HTTPS.

Comunicazione da client a punto di distribuzione

Quando un client comunica con un punto di distribuzione, deve eseguire l'autenticazione solo prima di scaricare il contenuto. Usare la tabella seguente per comprendere il funzionamento di questo processo:

Tipo DP Authentification client
HTTP - Anonimo, se consentito
- Autenticazione integrata di Windows con account computer o account di accesso alla rete
- Token di accesso al contenuto (HTTP avanzato)
HTTPS - Certificato PKI
- Autenticazione integrata di Windows con account computer o account di accesso alla rete
- Token di accesso al contenuto

Considerazioni sulle comunicazioni client da Internet o da una foresta non attendibile

Per altre informazioni, vedere gli articoli seguenti:

Comunicazioni tra foreste di Active Directory

Configuration Manager supporta siti e gerarchie che si estendono su foreste di Active Directory. Supporta anche i computer di dominio che non si trovano nella stessa foresta di Active Directory del server del sito e i computer che si trovano in gruppi di lavoro.

Supportare i computer di dominio in una foresta non attendibile dalla foresta del server del sito

  • Installare i ruoli del sistema del sito in tale foresta non attendibile, con l'opzione per pubblicare le informazioni del sito in tale foresta active directory

  • Gestire questi computer come se fossero computer del gruppo di lavoro

Quando si installano server del sistema del sito in una foresta active directory non attendibile, la comunicazione da client a server da client in tale foresta viene mantenuta all'interno di tale foresta e Configuration Manager può autenticare il computer tramite Kerberos. Quando si pubblicano informazioni sul sito nella foresta del client, i client traggono vantaggio dal recupero delle informazioni del sito, ad esempio un elenco di punti di gestione disponibili, dalla foresta di Active Directory, anziché scaricare queste informazioni dal punto di gestione assegnato.

Nota

Se si desidera gestire i dispositivi che si trovano su Internet, è possibile installare i ruoli del sistema del sito basati su Internet nella rete perimetrale quando i server del sistema del sito si trovano in una foresta di Active Directory. Questo scenario non richiede l'attendibilità bidirezionale tra la rete perimetrale e la foresta del server del sito.

Supportare i computer in un gruppo di lavoro

  • Approvare manualmente i computer del gruppo di lavoro quando usano connessioni client HTTP ai ruoli del sistema del sito. Configuration Manager non è possibile autenticare questi computer usando Kerberos.

  • Configurare i client del gruppo di lavoro per l'uso dell'account di accesso alla rete in modo che questi computer possano recuperare il contenuto dai punti di distribuzione.

  • Fornire un meccanismo alternativo per i client del gruppo di lavoro per trovare i punti di gestione. Usare la pubblicazione DNS o assegnare direttamente un punto di gestione. Questi client non possono recuperare informazioni sul sito da Active Directory Domain Services.

Per altre informazioni, vedere gli articoli seguenti:

Scenari per supportare un sito o una gerarchia che si estende su più domini e foreste

Scenario 1: Comunicazione tra siti in una gerarchia che si estende su foreste

Questo scenario richiede un trust tra foreste bidirezionale che supporta l'autenticazione Kerberos. Se non si dispone di un trust tra foreste bidirezionale che supporta l'autenticazione Kerberos, Configuration Manager non supporta un sito figlio nella foresta remota.

Configuration Manager supporta l'installazione di un sito figlio in una foresta remota con l'attendibilità bidirezionale necessaria con la foresta del sito padre. Ad esempio, è possibile inserire un sito secondario in una foresta diversa dal sito padre primario, purché esista il trust richiesto.

Nota

Un sito figlio può essere un sito primario (in cui il sito di amministrazione centrale è il sito padre) o un sito secondario.

La comunicazione tra siti in Configuration Manager usa la replica del database e i trasferimenti basati su file. Quando si installa un sito, è necessario specificare un account con cui installare il sito nel server designato. Questo account stabilisce e mantiene anche la comunicazione tra siti. Dopo che il sito ha installato e avviato correttamente i trasferimenti basati su file e la replica del database, non è necessario configurare nient'altro per la comunicazione con il sito.

Quando esiste un trust tra foreste bidirezionale, Configuration Manager non richiede alcuna procedura di configurazione aggiuntiva.

Per impostazione predefinita, quando si installa un nuovo sito figlio, Configuration Manager configura i componenti seguenti:

  • Route di replica basata su file tra siti in ogni sito che usa l'account computer del server del sito. Configuration Manager aggiunge l'account computer di ogni computer al gruppo SMS_SiteToSiteConnection_<sitecode> nel computer di destinazione.

  • Replica del database tra i server SQL in ogni sito.

Impostare anche le configurazioni seguenti:

  • I firewall e i dispositivi di rete intermedi devono consentire i pacchetti di rete richiesti Configuration Manager.

  • La risoluzione dei nomi deve funzionare tra le foreste.

  • Per installare un ruolo del sito o del sistema del sito, è necessario specificare un account con autorizzazioni di amministratore locale nel computer specificato.

Scenario 2: Comunicazione in un sito che si estende su foreste

Questo scenario non richiede un trust tra foreste bidirezionale.

I siti primari supportano l'installazione dei ruoli del sistema del sito nei computer in foreste remote.

  • Quando un ruolo del sistema del sito accetta connessioni da Internet, come procedura consigliata per la sicurezza, installare i ruoli del sistema del sito in una posizione in cui il limite della foresta fornisce protezione per il server del sito, ad esempio in una rete perimetrale.

Per installare un ruolo del sistema del sito in un computer in una foresta non attendibile:

  • Specificare un account di installazione del sistema del sito, usato dal sito per installare il ruolo del sistema del sito. Questo account deve avere credenziali amministrative locali a cui connettersi. Installare quindi i ruoli del sistema del sito nel computer specificato.

  • Selezionare l'opzione Del sistema del sito Richiedere al server del sito di avviare le connessioni al sistema del sito. Questa impostazione richiede che il server del sito stabilisca connessioni al server del sistema del sito per trasferire i dati. Questa configurazione impedisce al computer nella posizione non attendibile di avviare il contatto con il server del sito all'interno della rete attendibile. Queste connessioni usano l'account di installazione del sistema del sito.

Per usare un ruolo del sistema del sito installato in una foresta non attendibile, i firewall devono consentire il traffico di rete anche quando il server del sito avvia il trasferimento dei dati.

Inoltre, i ruoli del sistema del sito seguenti richiedono l'accesso diretto al database del sito. Pertanto, i firewall devono consentire il traffico applicabile dalla foresta non attendibile alla SQL Server del sito:

  • Punto di sincronizzazione di Asset Intelligence

  • Punto di Endpoint Protection

  • Punto di registrazione

  • Punto di gestione

  • Punto del servizio di creazione di report

  • Punto di migrazione stato

Per altre informazioni, vedere Porte usate in Configuration Manager.

Potrebbe essere necessario configurare l'accesso del punto di gestione e del punto di registrazione al database del sito.

  • Per impostazione predefinita, quando si installano questi ruoli, Configuration Manager configura l'account computer del nuovo server del sistema del sito come account di connessione per il ruolo del sistema del sito. Aggiunge quindi l'account al ruolo di database SQL Server appropriato.

  • Quando si installano questi ruoli del sistema del sito in un dominio non attendibile, configurare l'account di connessione del ruolo del sistema del sito per consentire al ruolo del sistema del sito di ottenere informazioni dal database.

Se si configura un account utente di dominio come account di connessione per questi ruoli del sistema del sito, assicurarsi che l'account utente di dominio disponga dell'accesso appropriato al database SQL Server in tale sito:

  • Punto di gestione: account di connessione al database del punto di gestione

  • Punto di registrazione: account di connessione del punto di registrazione

Quando si pianificano ruoli del sistema del sito in altre foreste, prendere in considerazione le informazioni aggiuntive seguenti:

  • Se si esegue Windows Firewall, configurare i profili firewall applicabili per passare le comunicazioni tra il server di database del sito e i computer installati con i ruoli del sistema del sito remoto.

  • Quando il punto di gestione basato su Internet considera attendibile la foresta che contiene gli account utente, sono supportati i criteri utente. Quando non esiste alcun trust, sono supportati solo i criteri del computer.

Scenario 3: Comunicazione tra i client e i ruoli del sistema del sito quando i client non si sono nella stessa foresta di Active Directory del server del sito

Configuration Manager supporta gli scenari seguenti per i client non presenti nella stessa foresta del server del sito del sito:

  • Esiste un trust tra foresta bidirezionale tra la foresta del client e la foresta del server del sito.

  • Il server ruolo del sistema del sito si trova nella stessa foresta del client.

  • Il client si trova in un computer di dominio che non ha un trust tra foreste bidirezionale con il server del sito e i ruoli del sistema del sito non vengono installati nella foresta del client.

  • Il client si trova in un computer del gruppo di lavoro.

I client in un computer aggiunto a un dominio possono usare Active Directory Domain Services per il percorso del servizio quando il sito viene pubblicato nella foresta di Active Directory.

Per pubblicare informazioni sul sito in un'altra foresta di Active Directory:

  • Specificare la foresta e quindi abilitare la pubblicazione in tale foresta nel nodo Foreste di Active Directory dell'area di lavoro Amministrazione .

  • Configurare ogni sito per pubblicare i dati in Active Directory Domain Services. Questa configurazione consente ai client della foresta di recuperare le informazioni sul sito e trovare i punti di gestione. Per i client che non possono usare Active Directory Domain Services per la posizione del servizio, è possibile usare DNS o il punto di gestione assegnato del client.

Scenario 4: Inserire il connettore Exchange Server in una foresta remota

Per supportare questo scenario, assicurarsi che la risoluzione dei nomi funzioni tra le foreste. Ad esempio, configurare gli inoltro DNS. Quando si configura il connettore Exchange Server, specificare il nome di dominio completo intranet del Exchange Server. Per altre informazioni, vedere Gestire i dispositivi mobili con Configuration Manager ed Exchange.

Vedere anche