Pianificazione delle comunicazioni in Configuration Manager
Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Prima di installare System Center 2012 Configuration Manager, è necessario pianificare le comunicazioni di rete tra i diversi siti all'interno della gerarchia, tra i differenti server del sistema del sito all'interno del sito e tra i client e i server del sistema del sito. Tali comunicazioni potrebbero essere contenute in un singolo dominio o estese su più foreste di Active Directory. È inoltre necessario pianificare le comunicazioni per la gestione dei client su Internet.
Usare le sezioni seguenti di questo argomento per la pianificazione delle comunicazioni in Configuration Manager.
Pianificazione delle comunicazioni tra siti in Configuration Manager
Replica basata su file
Replica di database
Pianificazione delle comunicazioni all'interno del sito in Configuration Manager
Pianificazione delle comunicazioni client in Configuration Manager
Comunicazioni avviate dai client
Posizione del servizio e modo in cui i client determinano il relativo punto di gestione assegnato
Pianificazione della riattivazione dei client
Pianificazione delle comunicazioni tra foreste in Configuration Manager
Pianificazione della gestione client basata su Internet
Funzionalità non supportate su Internet
Considerazioni per le comunicazioni client da Internet o da una foresta non trusted
Pianificazione dei client basati su Internet
Prerequisiti per la gestione client basata su Internet
Pianificazione della larghezza di banda di rete in Configuration Manager
Controllo dell'utilizzo della larghezza di banda di rete tra siti
Controllo dell'utilizzo della larghezza di banda di rete tra i server del sistema del sito
Controllo dell'utilizzo della larghezza di banda di rete tra client e server del sistema del sito
Novità di Configuration Manager
Nota
Le informazioni contenute in questa sezione appaiono anche in nella Guida Introduzione a System Center 2012 Configuration Manager.
I seguenti elementi sono nuovi o sono stati modificati per la comunicazione tra siti rispetto a Configuration Manager 2007:
La comunicazione da sito a sito ora usa la replica di database oltre alla replica basata su file per molti trasferimenti di dati da sito a sito, comprese le configurazioni e le impostazioni.
Il concetto di siti in modalità mista o modalità nativa di Configuration Manager 2007 per definire come i client comunicano ai sistemi del sito nel sito è stato sostituito dai ruoli del sistema del sito che possono supportare indipendentemente le comunicazioni client HTTP o HTTPS.
Per supportare i computer client in altre foreste, Configuration Manager può individuare i computer nelle foreste e pubblicare le informazioni del sito nelle foreste.
Il punto di localizzazione del server non viene più usato e la funzionalità di questo ruolo del sistema del sito è stata spostata nel punto di gestione.
La gestione client basata su Internet ora supporta le operazioni seguenti:
Criteri utente quando il punto di gestione basato su Internet è in grado di autenticare l'utente usando l'autenticazione Windows (Kerberos o NTLM).
Sequenze attività semplici, ad esempio script. La distribuzione del sistema operativo su Internet rimane non supportata.
I client basati su Internet per prima cosa provano a scaricare gli aggiornamenti software richiesti da Microsoft Update piuttosto che da un punto di distribuzione basato su Internet nel sito assegnato di appartenenza. Solo in caso di errore, proveranno quindi a scaricare gli aggiornamenti software richiesti da un punto di distribuzione basato su Internet.
Novità di Configuration Manager SP1
Nota
Le informazioni contenute in questa sezione appaiono anche in nella Guida Introduzione a System Center 2012 Configuration Manager.
I seguenti elementi sono nuovi o sono stati modificati per la comunicazione tra siti per Configuration Manager SP1:
Le route di replica file sostituiscono gli indirizzi per la replica basata su file tra siti. Si tratta solo di una modifica del nome per la replica basata su file e fornisce coerenza con la replica del database. Non sussiste alcuna modifica della funzionalità.
Configurare i collegamenti di replica del database tra i database del sito per controllare e monitorare il traffico di rete per la replica del database:
Usare le viste distribuite per impedire la replica di dati del sito selezionati da un sito primario al sito di amministrazione centrale. Il sito di amministrazione centrale accede quindi a questi dati direttamente dal database del sito primario.
Pianificare il trasferimento dei dati del sito selezionati tra i collegamenti di replica del database.
Controllare la frequenza con cui il traffico di replica è riepilogato per i report.
Definire le soglie personalizzate che generano avvisi per i problemi di replica.
Configurare i controlli di replica per il database di SQL Server in un sito:
Cambiare la porta che Configuration Manager usa per SQL Server Service Broker.
Configurare il periodo di tempo di attesa prima che un errore di replica attivi la reinizializzazione della copia del database del sito.
Configurare un database del sito per comprimere i dati di replica dalla replica del database. I dati sono compressi solo per il trasferimento tra siti e non per l'archiviazione nel database del sito su ogni sito.
Quando i client di Configuration Manager SP1 eseguono Windows 7, Windows 8, Windows Server 2008 R2 o Windows Server 2012, è possibile integrare l'impostazione Riattivazione LAN del sito per i pacchetti unicast usando le impostazioni client del proxy di riattivazione. Questa combinazione consente di riattivare i computer nelle subnet senza la necessità di riconfigurare i commutatori di rete.
Pianificazione delle comunicazioni tra siti in Configuration Manager
All'interno di una gerarchia di Configuration Manager ogni sito comunica con il relativo sito padre e i siti figlio diretti mediante due metodi di trasferimento dei dati: replica basata su file e replica di database. I siti secondari non solo comunicano con i relativi siti primari padre usando entrambi i metodi di trasferimento dei dati, ma sono anche in grado di comunicare con altri siti secondari usando la replica basata su file per distribuire contenuto in percorsi di rete remoti.
Configuration Manager usa la replica basata su file e la replica di database per il trasferimento di diversi tipi di informazioni tra siti.
Replica basata su file
Configuration Manager usa la replica basata su file per trasferire i dati basati su file tra i siti all'interno della gerarchia. Tali dati includono contenuti quali applicazioni e pacchetti che si desidera distribuire in punti di distribuzione nei siti figlio, oltre ai record dei dati di individuazione non elaborati che vengono trasferiti ai siti padre in fase di elaborazione.
La comunicazione basata su file tra siti usa il protocollo Server Message Block (SMB) tramite la porta TCP/IP 445. È possibile specificare configurazioni che includano la limitazione della larghezza di banda e la modalità a impulsi per controllare la quantità di dati trasferiti attraverso la rete, oltre a pianificazioni per controllare quando inviare i dati attraverso la rete.
A partire da Configuration Manager SP1, gli indirizzi vengono rinominati in route di replica file per garantire coerenza con la replica di database. Nelle versioni precedenti a SP1, Configuration Manager usava un indirizzo per connettersi alla condivisione SMS_SITE nel server del sito di destinazione per il trasferimento di dati basati su file. Le route di replica file e gli indirizzi funzionano nello stesso modo e supportano le stesse configurazioni.
Le sezioni seguenti sono pensate per le modifiche introdotte con Service Pack 1 e fanno riferimento alle route di replica file anziché agli indirizzi. Se si usa Configuration Manager senza un Service Pack, usare le informazioni riportate nella tabella seguente per convertire nuovamente i riferimenti alle route di replica file nei corrispettivi riferimenti agli indirizzi.
A partire da Configuration Manager con SP1 |
Configuration Manager senza Service Pack |
|---|---|
Account replica file |
Account indirizzo sito |
Route di replica file |
Indirizzo |
Nodo Replica file nella console di Configuration Manager |
Nodo Indirizzi nella console di Configuration Manager |
Route di replica file
Configuration Manager usa le route di replica file per trasferire i dati basati su file tra siti all'interno di una gerarchia. Le route di replica file sostituiscono gli indirizzi usati nelle versioni precedenti di Configuration Manager. La funzionalità delle route di replica file è inalterata rispetto a quella degli indirizzi. Nella seguente tabella vengono fornite informazioni sulle route di replica file.
Oggetto |
Altre informazioni |
||
|---|---|---|---|
Route di replica file |
Ogni route di replica file identifica un sito di destinazione a cui è possibile trasferire dati basati su file. Ogni sito supporta una sola route di replica file a uno specifico sito di destinazione. Configuration Manager supporta le seguenti configurazioni per le route di replica file:
Per gestire una route di replica file, nell'area di lavoro Amministrazione espandere il nodo Configurazione della gerarchia e selezionare Replica file. |
||
Mittente |
Ogni sito dispone di un mittente. Il mittente gestisce la connessione di rete da un sito a un sito di destinazione e può stabilire connessioni simultanee con più siti. Per connettersi a un sito, il mittente usa la route di replica file al sito per identificare l'account da usare al fine di stabilire la connessione di rete. Il mittente usa inoltre questo account per scrivere i dati nella condivisione SMS_SITE del sito di destinazione. Per impostazione predefinita, il mittente scrive i dati in un sito di destinazione usando più invii simultanei, in genere indicati come thread. Ogni invio simultaneo, o thread, è in grado di trasferire un oggetto basato su file differente al sito di destinazione. Per impostazione predefinita, una volta avviato l'invio di un oggetto, il mittente continua a scrivere blocchi di dati relativi a tale oggetto fino al suo completo invio. Dopo l'invio di tutti i dati relativi all'oggetto, sarà possibile iniziare l'invio di un nuovo oggetto su tale thread. È possibile configurare le seguenti impostazioni per un mittente:
Per gestire il mittente per un sito, espandere il nodo Configurazione del sito nell'area di lavoro Amministrazione, selezionare il nodo Siti, quindi fare clic su Proprietà per il sito che si desidera gestire. Fare clic sulla scheda Mittente per modificare la configurazione del mittente. |
.jpeg "System_CAPS_caution"){kind=icon}
Attenzione
Replica di database
La replica di database di Configuration Manager usa SQL Server per trasferire i dati e unire le modifiche apportate in un database del sito alle informazioni memorizzate nel database di altri siti della gerarchia. In questo modo, tutti i siti condividono le stesse informazioni. La replica di database viene configurata automaticamente da tutti i siti di Configuration Manager. Quando si installa un sito in una gerarchia, la replica di database viene configurata automaticamente tra il nuovo sito e il sito padre designato. Al termine dell'installazione del sito, la replica di database viene avviata automaticamente.
Quando si installa un nuovo sito in una gerarchia, Configuration Manager crea un database generico nel nuovo sito. Successivamente, il sito padre crea uno snapshot dei dati rilevanti nel relativo database e trasferisce tale snapshot nel nuovo sito tramite replica basata su file. Il nuovo sito usa quindi un programma di copia bulk SQL Server (BCP) per caricare le informazioni nella copia locale del database di Configuration Manager. Dopo il caricamento dello snapshot, ogni sito esegue la replica di database con l'altro sito.
Per replicare i dati tra siti, Configuration Manager usa il proprio servizio di replica database. Il servizio di replica database usa il rilevamento delle modifiche SQL Server per monitorare eventuali cambiamenti del database del sito locale, quindi replica tali variazioni su altri siti usando SQL Server Service Broker. Per impostazione predefinita, questo processo usa la porta TCP/IP 4022.
Configuration Manager riunisce i dati replicati tramite replica di database in differenti gruppi di replica. Ciascun gruppo di replica dispone di una pianificazione di replica fissa, separata, che determina la frequenza di replica delle modifiche apportate ai dati del gruppo su altri siti. Ad esempio, una modifica alla configurazione dell'amministrazione basata su ruoli viene rapidamente replicata su altri siti per garantire che tali cambiamenti vengano applicati il prima possibile. Al contempo, una modifica alla configurazione di minore rilevanza, come una richiesta di installazione di un sito secondario, viene replicata con meno urgenza e sono necessari diversi minuti affinché la richiesta del nuovo sito raggiunga il sito primario di destinazione.
Nota
La replica di database di Configuration Manager viene configurata automaticamente e non supporta la configurazione di gruppi o pianificazioni di replica. Tuttavia, a partire da Configuration Manager SP1, è possibile configurare i collegamenti di replica di database per controllare il momento in cui traffico specifico attraversa la rete. È inoltre possibile configurare il momento in cui Configuration Manager genera avvisi sui collegamenti di replica con stato ridotto o non riuscito.
Configuration Manager classifica i dati replicati tramite replica di database come dati globali o dati del sito. Quando si verifica la replica di database, le modifiche ai dati globali e ai dati del sito vengono trasferite attraverso il collegamento di replica di database. I dati globali possono essere replicati sul sito padre o sito figlio e il sito viene replicato solo su un sito padre. Un terzo tipo di dati, denominato dati locali, non viene replicato su altri siti. I dati locali includono informazioni non richieste da altri siti:
Dati globali: i dati globali fanno riferimento a oggetti creati dall'amministratore che vengono replicati in tutti i siti dell'intera gerarchia, sebbene i siti secondari ricevano solo un sottoinsieme di dati globali, come dati proxy globali. Esempi di dati globali includono distribuzioni e aggiornamenti software, definizioni di raccolte e ambiti di protezione amministrazione basata sui ruoli. Gli amministratori possono creare dati globali in siti di amministrazione centrale e siti primari.
Dati del sito: i dati del sito fanno riferimento a informazioni operative create dai siti primari di Configuration Manager e dai client relativi ai siti primari. I dati del sito vengono replicati nel sito di amministrazione centrale, ma non in altri siti primari. Esempi di dati del sito includono dati dell'inventario hardware, messaggi di stato, avvisi e i risultati delle raccolte basate su query. I dati del sito possono essere visualizzati solo nel sito di amministrazione centrale e nel sito primario da originano. Possono essere modificati solo nel sito primario in cui sono stati creati.
Tutti i dati del sito vengono replicati sul sito di amministrazione centrale; pertanto, quest'ultimo si occupa dell'amministrazione e del reporting dell'intera gerarchia.
Usare le informazioni riportate nelle sezioni seguenti per pianificare l'utilizzo dei controlli disponibili a partire da Configuration Manager SP1 per la configurazione dei collegamenti di replica di database tra siti e per configurare i controlli su ciascun database del sito. Questi controlli consentono di verificare e monitorare il traffico di rete generato dalla replica di database.
Collegamenti di replica di database
Quando si installa un nuovo sito in una gerarchia, Configuration Manager crea automaticamente un collegamento di replica di database tra i due siti. Viene creato un singolo collegamento per collegare il nuovo sito al sito padre.
A partire da Configuration Manager SP1, ciascun collegamento di replica di database supporta delle configurazioni che ne controllano il trasferimento dei dati. Ogni collegamento di replica supporta configurazioni separate. I controlli per i collegamenti di replica di database includono:
Usare le viste distribuite per arrestare la replica dei dati del sito selezionati da un sito primario al sito di amministrazione centrale, quindi abilitare il sito di amministrazione centrale per accedere direttamente a questi dati dal database del sito primario.
Pianificare le tempistiche di trasferimento dei dati del sito selezionati da un sito primario figlio al sito di amministrazione centrale.
Definire le impostazioni che determinano quando un collegamento di replica di database è in uno stato danneggiato o non è riuscito.
Configurare le tempistiche di generazione degli avvisi per un collegamento di replica non riuscito.
Specificare la frequenza di riepilogo di Configuration Manager dei dati sul traffico di replica che usa il collegamento di replica. Questi dati vengono usati nei report.
Per configurare un collegamento di replica di database, è necessario modificare le proprietà per il collegamento nella console di Configuration Manager dal nodo Replica di database. È possibile visualizzare questo nodo nell'area di lavoro Monitoraggio e, a partire da Configuration Manager SP1, viene anche visualizzato nel nodo Configurazione della gerarchia nell'area di lavoro Amministrazione. È possibile modificare un collegamento di replica dal relativo sito padre o sito figlio.
.jpeg "System_CAPS_tip") Suggerimento |
|---|
È possibile modificare i collegamenti di replica di database dal nodo Replica di database in qualsiasi area di lavoro. Tuttavia, quando si usa il nodo Replica di database nell'area di lavoro Monitoraggio, è possibile anche visualizzare lo stato della replica di database per i collegamenti di replica e accedere allo strumento Replication Link Analyzer che consente all'utente di esaminare eventuali problemi di replica. |
Per informazioni su come configurare i collegamenti di replica, vedere Controlli di replica del database del sito. Per altre informazioni su come monitorare la replica, vedere la sezione Come monitorare lo stato e i collegamenti di replica di database nell'argomento Monitoraggio dei siti e della gerarchia di Configuration Manager.
Usare le informazioni nelle sezioni seguenti per pianificare i collegamenti di replica di database.
Utilizzo delle viste distribuite
per System Center 2012 Configuration Manager SP1 e versioni successive:
Le viste distribuite consentono le richieste effettuate su un sito di amministrazione centrale per i dati del sito selezionati, per l'accesso ai dati stessi direttamente dal database presente nel sito primario figlio. L'accesso diretto elimina la necessità di replicare questi dati dal sito primario al sito di amministrazione centrale. Poiché ogni collegamento di replica è indipendente dagli altri, è possibile abilitare le viste distribuite solo sui collegamenti di replica desiderati. Le viste distribuite non sono supportate tra un sito primario e un sito secondario.
Le viste distribuite possono offrire i seguenti vantaggi:
Ridurre il carico della CPU per elaborare le modifiche del database sul sito di amministrazione centrale e sui siti primari.
Ridurre la quantità di dati trasferiti attraverso la rete al sito di amministrazione centrale.
Migliorare le prestazioni di SQL Server che ospita il database dei siti di amministrazione centrale.
Ridurre lo spazio su disco usato dal database sul sito di amministrazione centrale.
Considerare l'utilizzo di viste distribuite quando un sito primario si trova molto vicino al sito di amministrazione centrale sulla rete e i due siti sono sempre attivi, sempre connessi. Le viste distribuite sostituiscono la replica dei dati selezionati tra i siti con le connessioni dirette tra server SQL in ciascun sito. Questa connessione diretta viene eseguita ogni volta che viene effettuata una richiesta per questi dati nel sito di amministrazione centrale. In genere, le richieste di dati per le quali è possibile abilitare le viste distribuite vengono effettuate quando si eseguono report o query, si visualizzano le informazioni in Esplora inventario risorse e tramite valutazione delle raccolte che includono regole basate sui dati del sito.
Per impostazione predefinita, le viste distribuite sono disabilitate per ciascun collegamento di replica. Quando vengono abilitate le viste distribuite per un collegamento di replica, è necessario selezionare i dati del sito che non saranno replicati nel sito di amministrazione centrale nel collegamento. È inoltre necessario abilitare il sito di amministrazione centrale per l'accesso diretto a questi dati dal database del sito primario figlio che condivide il collegamento. È possibile configurare i seguenti tipi di dati del sito per le viste distribuite:
Dati di inventario hardware dai client
Dati di controllo e inventario software dai client
Messaggi di stato dai client, dal sito primario e da tutti i siti secondari
Da un punto di vista operativo, le viste distribuite non sono visibili a un utente amministratore che visualizza i dati nella console di Configuration Manager o nei report. Quando viene effettuata una richiesta di dati abilitata per le viste distribuite, il server SQL che ospita il database per il sito di amministrazione centrale accede direttamente al server SQL del sito primario figlio per recuperare le informazioni. Supponiamo, ad esempio, che si usi una console di Configuration Manager nel sito di amministrazione centrale per richiedere dati di inventario hardware da due siti, ma che solo un sito abbia un inventario hardware abilitato per una vista distribuita. Le informazioni di inventario per i client del sito non configurato per le viste distribuite vengono recuperate dal database nel sito di amministrazione centrale. È possibile accedere alle informazioni di inventario relative ai client del sito che è configurato per le viste distribuite dal database del sito primario figlio. Queste informazioni vengono visualizzate nella console di Configuration Manager o nel report senza distinzione dell'origine.
Finché un collegamento di replica dispone di un tipo di dati abilitato per le viste distribuite, il sito primario figlio non replica tali dati nel sito di amministrazione centrale. Non appena vengono disattivate le viste distribuite per un tipo di dati, il sito primario figlio riprende la replica di tali dati sul sito di amministrazione centrale come parte della normale replica di dati. Tuttavia, prima che questi dati siano resi disponibili sul sito di amministrazione centrale, i gruppi di replica che li contengono devono essere reinizializzati tra il sito primario e il sito di amministrazione centrale. Allo stesso modo, dopo aver disinstallato un sito primario abilitato per le viste distribuite, il sito di amministrazione centrale deve completare la reinizializzazione dei suoi dati affinché i dati che erano abilitati alle viste distribuite siano accessibili al suo interno.
.jpeg "System_CAPS_important") Importante |
|---|
Quando si usano le viste distribuite su un collegamento di replica nella gerarchia, è necessario disabilitare le viste distribuite per tutti i collegamenti di replica prima di disinstallare qualsiasi sito primario. Per altre informazioni, vedere la sezione Disinstallare un sito primario configurato con viste distribuite nell'argomento Installare siti e creare una gerarchia per Configuration Manager. |
Prerequisiti e limitazioni per le viste distribuite
Di seguito sono riportati i prerequisiti e le limitazioni per le viste distribuite:
È necessario che sul sito di amministrazione centrale e sul sito primario sia in esecuzione la stessa versione di Configuration Manager e che entrambi dispongano di una versione minima di SP1
Le viste distribuite sono supportate solo sui collegamenti di replica tra un sito di amministrazione centrale e un sito primario.
Il sito di amministrazione centrale prevede l'installazione di una singola istanza del provider SMS, che deve essere eseguita nel server di database del sito. Ciò è richiesto per supportare l'autenticazione Kerberos necessaria per consentire al server SQL sul sito di amministrazione centrale di accedere al server SQL sul sito primario figlio. Non esistono limitazioni nel provider SMS nel sito primario figlio.
Il sito di amministrazione centrale prevede l'installazione di un solo punto di Reporting Services SQL Server, che deve essere ubicato nel server di database del sito. Ciò è richiesto per supportare l'autenticazione Kerberos necessaria per consentire al server SQL sul sito di amministrazione centrale di accedere al server SQL sul sito primario figlio.
Il database del sito non può essere ospitato su un cluster SQL Server.
L'account computer del server del database dal sito di amministrazione centrale richiede le autorizzazioni di Read per il database del sito primario.
Le viste e pianificazioni distribuite per quando possono essere replicati i dati sono configurazioni reciprocamente esclusive per un collegamento di replica del database.
Pianificazione dei trasferimenti di dati del sito su collegamenti di replica del database
per System Center 2012 Configuration Manager SP1 e versioni successive:
Per consentire all'utente di controllare la larghezza di banda di rete usata per replicare i dati del sito da un sito primario figlio al relativo sito di amministrazione centrale, è possibile pianificare quando un collegamento di replica viene usato e specificare quando diversi tipi di dati del sito vengono replicati. È possibile controllare quando il sito primario replica i messaggi di stato, l'inventario e i dati di controllo. I collegamenti di replica del database dei siti secondari non supportano le pianificazioni per i dati del sito. Non è possibile pianificare il trasferimento di dati globali.
Quando si configura un collegamento di replica del database, è possibile limitare il trasferimento di dati del sito selezionati dal sito primario al sito di amministrazione centrale e configurare diversi cicli per replicare diversi tipi di dati del sito.
Per altre informazioni su come controllare l'uso della larghezza della banda di rete tra i siti di Configuration Manager, vedere la sezione Controllo dell'utilizzo della larghezza di banda di rete tra siti in questo argomento.
Pianificazione del riepilogo del traffico di replica del database
per System Center 2012 Configuration Manager SP1 e versioni successive:
A partire da Configuration Manager SP1, ciascun sito riepiloga periodicamente i dati sul traffico di rete che attraversa i collegamenti di replica del database che includono il sito. Tali dati riepilogati vengono usati nei report per la replica del database. Entrambi i siti su un collegamento di replica riepilogano il traffico di rete che attraversa il collegamento di replica. Il riepilogo dei dati viene eseguito da SQL Server che ospita il database del sito. Dopo il riepilogo dei dati, queste informazioni replicano su altri siti come dati globali.
Per impostazione predefinita, il riepilogo avviene ogni 15 minuti. È possibile modificare la frequenza del riepilogo per il traffico di rete modificando l'Intervallo riepilogo nelle proprietà del collegamento di replica del database. La frequenza di riepilogo riguarda le informazioni visualizzate nei report sulla replica del database. È possibile modificare questo intervallo da 5 a 60 minuti. Quando si aumenta la frequenza di riepilogo, è possibile aumentare il carico di elaborazione su SQL Server in ogni sito sul collegamento di replica.
Pianificazione delle soglie di replica del database
Le soglie di replica del database definiscono quando lo stato di un collegamento di replica del database risulta ridotto o non riuscito. Per impostazione predefinita, un collegamento viene impostato su ridotto quando un gruppo di replica non riesce a completare la replica con 12 tentativi consecutivi e su non riuscito quando non riesce a effettuare la replica con 24 tentativi consecutivi.
A partire da Configuration Manager SP1, è possibile specificare dei valori personalizzati con cui definire quando Configuration Manager riporta un collegamento di replica come ridotto o non riuscito. Nelle versioni precedenti a Configuration Manager SP1, non è possibile modificare tali soglie. Regolare quando Configuration Manager riporta ogni stato per i collegamenti di replica del database può consentire all'utente di monitorare con precisione l'integrità della replica del database attraverso i collegamenti di replica del database.
Poiché è possibile che uno o alcuni gruppi di replica non riescano a replicare mentre altri gruppi di replica continuano a replicare correttamente, pianificare la revisione dello stato di replica di un collegamento di replica quando questo riporta per primo lo stato di ridotto. Se sono presenti dei ritardi ricorrenti per specifici gruppi di replica ma il ritardo non rappresenta un problema oppure il collegamento di replica tra siti ha una bassa larghezza di banda disponibile, è possibile modificare i valori dei tentativi per lo stato ridotto o non riuscito del collegamento. Quando si aumenta il numero di tentativi prima che il collegamento sia impostato su ridotto o non riuscito, è possibile eliminare i falsi avvisi per i problemi noti, cosa che consente all'utente di tenere traccia con più precisione dello stato del collegamento.
È necessario prendere in considerazione anche l'intervallo di sincronizzazione di replica per ogni gruppo di replica per comprendere la frequenza con cui viene eseguita la replica di tale gruppo. L'Intervallo di sincronizzazione per i gruppi di replica è disponibile nella scheda Dettaglio di replica di un collegamento di replica nel nodo Replica di database nell'area di lavoro Monitoraggio.
Per altre informazioni sul monitoraggio della replica di database, inclusa la visualizzazione dello stato della replica, vedere la sezione Come monitorare lo stato e i collegamenti di replica di database nell'argomento Monitoraggio dei siti e della gerarchia di Configuration Manager.
Per informazioni sulla configurazione delle soglie di replica di database, vedere Controlli di replica del database del sito.
Controlli di replica del database del sito
per System Center 2012 Configuration Manager SP1 e versioni successive:
Ogni database del sito supporta le configurazioni che consentono di controllare la larghezza di banda di rete usata per la replica del database. Queste configurazioni si applicano solo al database del sito laddove si configurano le impostazioni e vengono sempre usate quando il sito replica qualsiasi dato per replica del database su qualsiasi altro sito.
I controlli di replica per ogni database del sito includono i seguenti elementi:
Cambiare la porta che Configuration Manager usa per SQL Server Service Broker.
Configurare il tempo di attesa prima che venga reinizializzata la copia del database del sito a seguito di tentativi di replica non riusciti.
Configurare un database del sito per comprimere i dati di replica dalla replica del database. I dati sono compressi solo per il trasferimento tra siti e non per l'archiviazione nel database del sito su ogni sito.
Per configurare i controlli di replica per un database del sito, si modificano le proprietà del database del sito nella console di Configuration Manager dal nodo Replica di database. È possibile visualizzare questo nodo sotto il nodo Configurazione della gerarchia nell'area di lavoro Amministrazione e anche in Area di lavoro di monitoraggio. Per modificare le proprietà del database del sito, selezionare il collegamento di replica tra i siti e aprire Proprietà database principale oppure Proprietà database secondario.
| Suggerimento |
|---|
È possibile configurare i controlli di replica del database dal nodo Replica di database in qualsiasi area di lavoro. Tuttavia, quando si usa il nodo Replica di database nell'area di lavoro Monitoraggio, è possibile anche visualizzare lo stato della replica del database per un collegamento di replica e accedere allo strumento Replication Link Analyzer che consente all'utente di esaminare eventuali problemi di replica. |
Per altre informazioni su come configurare i controlli di replica del database, vedere Configurazione dei controlli di replica del database. Per altre informazioni sul monitoraggio della replica, vedere Monitoraggio della replica del database del sito.
Pianificazione delle comunicazioni all'interno del sito in Configuration Manager
Ogni sito Configuration Manager contiene un server del sito e può avere uno o più server del sistema del sito aggiuntivi che ospitano i ruoli del sistema del sito.Configuration Manager richiede che ogni server del sistema del sito sia membro di un dominio di Active Directory.Configuration Manager non supporta la modifica del nome del computer o dell'appartenenza al dominio se il computer è un sistema del sito.
Quando i sistemi o componenti del sito di Configuration Manager comunicano in rete con altri sistemi del sito oppure con componenti di Configuration Manager nel sito, essi usano SMB (Server Message Block), HTTP o HTTPS. Il metodo di comunicazione dipende dal modo in cui si sceglie di configurare il sito. Con l'eccezione della comunicazione dal server del sito a un punto di distribuzione, queste comunicazioni tra server in un sito possono verificarsi in qualsiasi momento e non usano meccanismi per controllare la larghezza di banda di rete. Poiché non è possibile controllare la comunicazione tra sistemi del sito, assicurarsi di installare i server del sistema del sito in posizioni che abbiano reti ben connesse e veloci.
Per gestire il trasferimento di contenuto dal server del sito ai punti di distribuzione, è possibile usare le seguenti opzioni:
Configurare il punto di distribuzione per il controllo della larghezza di banda di rete e la pianificazione. Questi controlli sono simili alle configurazioni usate dagli indirizzi intrasito ed è spesso possibile usare questa configurazione invece di installare un altro sito di Configuration Manager quando la larghezza di banda incide soprattutto sul trasferimento di contenuti su percorsi di rete remoti.
È possibile installare un punto di distribuzione come punto di distribuzione pre-installato. Un punto di distribuzione pre-installato consente di usare contenuto che viene messo manualmente sul server del punto di distribuzione e rimuove il requisito di trasferire i file di contenuto sulla rete.
Per altre informazioni sulle considerazioni relative alla larghezza di banda di rete, vedere Considerazioni sulla larghezza di banda di rete per i punti di distribuzione in Pianificazione della gestione dei contenuti in Configuration Manager.
Pianificazione delle comunicazioni client in Configuration Manager
I client e i dispositivi gestiti di Configuration Manager comunicano con i computer che ospitano l'infrastruttura di Configuration Manager, ad esempio i ruoli del sistema del sito, l'infrastruttura di dominio come DNS o Servizi di dominio Active Directory e con i servizi su Internet.
Tenere presente quanto segue nella pianificazione delle comunicazioni client:
Scenari di comunicazione |
Altre informazioni |
|---|---|
Comunicazioni avviate dai client |
I client avviano le comunicazioni con:
|
Posizione del servizio |
La posizione del servizio è il metodo mediante il quale i client identificano un sito assegnato e individuano dinamicamente i punti di gestione. I punti di gestione sono il punto di contatto principale per i client e vengono usati per:
|
Usare le informazioni nelle sezioni riportate di seguito per pianificare le comunicazioni da client basati su Windows.
A partire da Configuration Manager SP1, è possibile gestire i client con sistema operativo Linux e UNIX. I client con Linux e UNIX funzionano come client in gruppi di lavoro. Per informazioni sul supporto dei computer che si trovano in gruppi di lavoro, vedere Pianificazione delle comunicazioni tra foreste in Configuration Manager in questo argomento. Per altre informazioni sulla comunicazione per i client che eseguono Linux e UNIX, vedere la sezione Pianificazione per la comunicazione tra insiemi di strutture e trust per i server UNIX e Linux nell'argomento Pianificazione della distribuzione Client per i server Linux e UNIX.
Comunicazioni avviate dai client
I client avviano le comunicazioni con i ruoli del sistema del sito, servizi di dominio Active Directory e servizi online. Per abilitare queste comunicazioni, i firewall devono consentire il traffico di rete tra i client e gli endpoint delle comunicazioni. Gli endpoint includono:
Punti di gestione da cui i client scaricano i criteri client.
Punti di distribuzione da cui i client scaricano il contenuto.
Punti di aggiornamento software
I seguenti ruoli del sistema del sito aggiuntivi, ciascuno per attività specifiche delle funzionalità:
Punto per siti Web del Catalogo applicazioni
Modulo criteri di Configuration Manager (NDES)
Punto di stato di fallback
Punto di migrazione stato
Punto di Convalida integrità sistema
Vari servizi di dominio, ad esempio Servizi di dominio Active Directory e DNS (per la posizione del servizio).
Microsoft Update, per mantenere la protezione antimalware.
Risorse basate sul cloud, come Microsoft Update oppure Microsoft Azure e Microsoft Intune quando questi servizi cloud vengono usati con Configuration Manager.
Per informazioni dettagliate sulle porte e i protocolli usati dai client durante la comunicazione con questi endpoint, vedere Guida tecnica per le porte usate in Configuration Manager.
Per poter comunicare con un ruolo del sistema del sito, il client usa la posizione del servizio per individuare un ruolo del sistema del sito che supporta il protocollo del client (HTTP o HTTPS). Per impostazione predefinita, i client usano il metodo più sicuro a loro disposizione:
Per usare HTTPS, è necessario disporre di un'infrastruttura a chiave pubblica (PKI) e installare i certificati PKI sui client e sui server. Per informazioni sulle modalità di utilizzo dei certificati, vedere Requisiti dei certificati PKI per Configuration Manager.
Quando si distribuisce un ruolo del sistema del sito che usa Internet Information Services (IIS) e supporta le comunicazioni dai client, è necessario specificare se i client si connettono al sistema del sito tramite HTTP o HTTPS. Se si usa HTTP, è necessario considerare anche le opzioni di firma e crittografia. Per altre informazioni, vedere Pianificazione di firma e crittografia.
I seguenti ruoli e servizi del sistema del sito supportano le comunicazioni HTTPS dai client:
Punto per siti Web del Catalogo applicazioni
Modulo criteri di Configuration Manager
Punto di distribuzione (HTTPS è richiesto dai punti di distribuzione basati sul cloud)
Punto di gestione
Punto di aggiornamento software
Punto di migrazione stato
Oltre alle informazioni precedenti, durante la pianificazione per i client in posizioni non attendibili vedere Considerazioni per le comunicazioni client da Internet o da una foresta non trusted
Posizione del servizio e modo in cui i client determinano il relativo punto di gestione assegnato
I client determinano il punto di gestione predefinito del relativo sito assegnato quando vengono installati e assegnati a un sito. Quando un client trova il punto di gestione predefinito del proprio sito, il punto di gestione diventa il punto di gestione assegnato dei client. Questa assegnazione è determinata dal client.
A partire dall'aggiornamento cumulativo 3 per System Center 2012 R2 Configuration Manager, è possibile usare affinità del punto di gestione per configurare un client per l'uso di uno o più punti di gestione specifici.
A partire da System Center 2012 Configuration Manager SP2, è possibile usare i punti di gestione preferiti. Un punto di gestione preferito è associato a un gruppo di limiti come server del sistema del sito, analogamente a come i punti di distribuzione o i punti di migrazione stato sono associati a un gruppo di limiti. Se si abilitano i punti di gestione preferiti per la gerarchia, quando un client usa un punto di gestione dal sito assegnato, verrà effettuato un tentativo di usare un punto di gestione preferito prima di altri punti di gestione dal sito assegnato.
Quando un client dispone di un punto di gestione assegnato, esegue periodicamente una richiesta di posizione del servizio per il punto di gestione predefinito del proprio sito, per controllare eventuali variazioni.
Ogni volta che un client deve identificare un punto di gestione da usare, controlla un elenco di punti di gestione noti archiviato in locale in WMI. Il client crea un elenco di punti di gestione iniziale al momento dell'installazione, quindi aggiorna periodicamente l'elenco con informazioni dettagliate su ogni punto di gestione nella gerarchia.
Quando non riesce a trovare un punto di gestione valido nel proprio elenco di punti di gestione, il client esegue una ricerca nelle seguenti origini di posizioni del servizio, in ordine, finché non trova un punto di gestione da usare:
Punto di gestione
Servizi di dominio Active Directory
DNS
WINS
Dopo avere individuato e contattato un punto di gestione, il client scarica l'elenco corrente dei punti di gestione disponibili nella gerarchia e aggiorna il proprio elenco locale. Questo vale per i client appartenenti o non appartenenti a un dominio.
Ad esempio, quando un client di Configuration Manager che si trova su Internet si connette a un punto di gestione basato su Internet, il punto di gestione invia a tale client un elenco di punti di gestione basati su Internet disponibili nel sito. Analogamente, anche i client appartenenti a un dominio o in gruppi di lavoro ricevono l'elenco dei punti di gestione che possono usare.
A un client non configurato per Internet non vengono forniti punti di gestione solo per Internet.
I client di gruppi di lavoro configurati per Internet comunicano solo con punti di gestione per Internet.
Di seguito sono riportate informazioni su ogni origine di posizione del servizio:
Elenco dei punti di gestione
Un elenco dei punti di gestione del client è l'origine preferita per la posizione del servizio poiché si tratta di un elenco dei punti di gestione identificati in precedenza dal client, in ordine di priorità. Questo elenco viene ordinato per client, in base alla relativa posizione di rete al momento dell'aggiornamento dell'elenco, quindi viene archiviato in locale sul client in WMI.
Creazione dell'elenco di punti di gestione iniziale
Durante l'installazione del client vengono usate le regole seguenti per creare l'elenco di punti di gestione iniziale dei client:
L'elenco iniziale include i punti di gestione specificati durante l'installazione del client (quando si usano le opzioni SMSMP= o /MP).
Il client esegue una query in Servizi di dominio Active Directory alla ricerca dei punti di gestione pubblicati. Affinché possa essere identificato da Servizi di dominio Active Directory, è necessario che il punto di gestione provenga dal sito assegnato del client e che sia della stessa versione di prodotto del client.
Se durante l'installazione del client non è stato specificato alcun punto di gestione, e quando lo schema di Active Directory non è esteso, il client ricerca in DNS e WINS i punti di gestione pubblicati.
Durante la creazione dell'elenco iniziale è possibile che alcuni punti di gestione nella gerarchia non siano noti.
Organizzazione dell'elenco di punti di gestione
I client organizzano il proprio elenco di punti di gestione usando la classificazione seguente:
Proxy: un punto di gestione proxy è un punto di gestione in un sito secondario.
Locale: qualsiasi punto di gestione associato al percorso di rete corrente del client definito dai limiti del sito.
Quando un client appartiene a più gruppi di limiti, l'elenco dei punti di gestione locali è determinato dall'unione di tutti i limiti che includono il percorso di rete corrente del client.
In genere, i punti di gestione locali sono un sottoinsieme dei punti di gestione assegnati, a meno che il client non si trovi in un percorso di rete associato a un altro sito con punti di gestione che servono i relativi gruppi di limiti.
Assegnato: qualsiasi punto di gestione che corrisponde a un sistema del sito per il sito assegnato del client.
A partire da System Center 2012 Configuration Manager SP2, è possibile usare i punti di gestione preferiti. I punti di gestione preferiti sono punti di gestione del sito assegnato del client associati a un gruppo di limiti che il client usa per trovare i server del sistema del sito.
I punti di gestione di un sito che non sono associati a un gruppo di limiti o che non sono in un gruppo di limiti associato al percorso di rete corrente del client, non sono considerati preferiti e verranno usati quando il client non è in grado di identificare un punto di gestione preferito disponibile.
Selezione di un punto di gestione da usare
Per le comunicazioni tipiche, un client tenta di usare un punto di gestione dalle classificazioni nell'ordine seguente, in base al percorso di rete del client:
Proxy
Locale
Assegnato
Tuttavia, il client usa sempre il punto di gestione assegnato per i messaggi di registrazione e per alcuni messaggi di criteri, anche quando vengono inviate altre comunicazioni a un punto di gestione proxy o locale.
All'interno di ogni classificazione (proxy, locale o assegnato), i client tentano di usare un punto di gestione in base alle preferenze, nell'ordine seguente:
Idoneo per HTTPS in una foresta trusted o locale (quando il client è configurato per le comunicazioni HTTPS)
Idoneo per HTTPS non in una foresta trusted o locale (quando il client è configurato per le comunicazioni HTTPS)
Idoneo per HTTP in una foresta trusted o locale
Idoneo per HTTP non in una foresta trusted o locale
Dal set di punti di gestione ordinato in base alle preferenze, i client tentano di usare il primo punto di gestione nell'elenco:
Questo elenco ordinato di punti di gestione è casuale e non può essere ordinato.
L'ordine dell'elenco può cambiare ogni volta che il client aggiorna il proprio elenco di punti di gestione.
Quando un client non riesce a mettersi in contatto con il primo punto di gestione, tenta ogni punto di gestione successivo nell'elenco, iniziando dai punti di gestione preferiti nella classificazione prima di passare a quelli non preferiti. Se un client non riesce a comunicare con nessun punto di gestione della classificazione, tenterà di contattare un punto di gestione preferito della classificazione successiva e così via fino a quando non individua un punto di gestione da usare.
Dopo aver stabilito la comunicazione con un punto di gestione, i client continuano a usare lo stesso punto di gestione fino a quando:
Dopo 25 ore il client seleziona casualmente un nuovo punto di gestione da usare.
Il client non è in grado di comunicare con il punto di gestione per 5 tentativi in un periodo di 10 minuti, quindi seleziona un nuovo punto di gestione da usare.
Active Directory
I client appartenenti a un dominio possono usare Servizi di dominio Active Directory per la posizione del servizio. Questa operazione richiede che i siti pubblichino dati in Active Directory.
I client possono usare Servizi di dominio Active Directory per il percorso del servizio quando si verificano tutte le condizioni seguenti:
Lo schema Active Directory è stato esteso per System Center 2012 Configuration Manager o per Configuration Manager 2007.
La foresta Active Directory è configurata per la pubblicazione e i siti di Configuration Manager sono configurati per la pubblicazione.
Il computer client è membro di un dominio Active Directory ed è in grado di accedere a un server di catalogo globale.
Se un client non trova un punto di gestione da usare per la posizione del servizio in Servizi di dominio Active Directory, tenta di usare DNS. I client appartenenti a un dominio possono usare Servizi di dominio Active Directory per la posizione del servizio. Questa operazione richiede che i siti pubblichino dati in Active Directory.
DNS
I client sulla Intranet possono usare DNS per il percorso del servizio. In questo caso è necessario almeno un sito in una gerarchia per pubblicare informazioni sui punti di gestione in DNS.
È consigliabile usare DNS per la posizione del servizio in presenza di una delle condizioni seguenti:
Lo schema di Servizi di dominio Active Directory non viene esteso per supportare Configuration Manager.
I client della rete Intranet si trovano in una foresta che non è abilitata per la pubblicazione in Configuration Manager.
Sono presenti client nei computer del gruppo di lavoro che non sono configurati per la gestione client basata solo su Internet (un client del gruppo di lavoro configurato per Internet comunicherà solo con i punti di gestione per Internet e non userà DNS per la posizione del servizio).
È possibile configurare i client per individuare i punti di gestione da DNS.
Quando un sito pubblica i record di individuazione del servizio per i punti di gestione in DNS:
La pubblicazione è applicabile solo ai punti di gestione che accettano le connessioni client dalla rete Intranet.
La pubblicazione aggiunge un record di risorse di posizione del servizio nella zona DNS del computer del punto di gestione. Deve essere presente una voce host corrispondente in DNS per il computer.
Per impostazione predefinita, i client appartenenti a un dominio cercano in DNS i record dei punti di gestione dal dominio locale del client. È possibile configurare una proprietà client che specifica un suffisso di dominio per un dominio in cui le informazioni relative ai punti di gestione vengono pubblicate in DNS.
Per altre informazioni su come configurare la proprietà client del suffisso DNS, vedere Come configurare i computer client per trovare i punti di gestione tramite la pubblicazione DNS in Configuration Manager.
Se un client non trova un punto di gestione da usare per la posizione del servizio in DNS, tenta di usare WINS.
Pubblicare punti di gestione in DNS
Per pubblicare punti di gestione in DNS, devono verificarsi le due condizioni seguenti:
I server DNS supportano i record di risorse di individuazione del servizio usando una versione di BIND corrispondente a 8.1.2.
I nomi FQDN Intranet specificati per i punti di gestione in Configuration Manager dispongono di voci host (ad esempio, record A) in DNS.
| Importante |
|---|
La pubblicazione DNS in Configuration Manager non supporta uno spazio dei nomi indipendente. Se si dispone di uno spazio dei nomi indipendente, è possibile pubblicare manualmente i punti di gestione in DNS o usare uno degli altri metodi alternativi di individuazione del servizio documentati in questa sezione. |
Quando i server DNS supportano gli aggiornamenti automatici, è possibile configurare Configuration Manager per la pubblicazione automatica dei punti di gestione della Intranet in DNS oppure pubblicare manualmente tali record in DNS. Quando i punti di gestione vengono pubblicati in DNS, il nome FQDN Intranet e il numero di porta corrispondenti sono pubblicati nel record di individuazione del servizio (SRV). La pubblicazione DNS in un sito viene configurata nelle proprietà del componente del punto di gestione dei siti. Per altre informazioni, vedere Configurazione dei componenti del sito in Configuration Manager.
Quando i server DNS non supportano gli aggiornamenti automatici ma supportano i record di individuazione del servizio, è possibile pubblicare manualmente i punti di gestione in DNS. A tale scopo, è necessario specificare manualmente il record di risorse di individuazione del servizio (SRV RR) in DNS.
Configuration Manager supporta RFC 2782 per i record di individuazione del servizio, che hanno il seguente formato:
_Servizio._Proto.Nome TTL Classe SRV Priorità Peso Porta Destinazione
Per pubblicare un punto di gestione in Configuration Manager, specificare i seguenti valori:
_Service: immettere _mssms_mp*_<sitecode>*, dove <sitecode> corrisponde al codice del sito del punto di gestione.
._Proto: specificare ._tcp.
.Name: immettere il suffisso DNS del punto di gestione, ad esempio contoso.com.
TTL: immettere 14400, che corrisponde a quattro ore.
Classe: specificare IN (in conformità con RFC 1035).
Priorità: questo campo non è usato da Configuration Manager.
Peso: questo campo non è usato da Configuration Manager.
Porta: immettere il numero di porta usato dal punto di gestione, ad esempio 80 per HTTP e 443 per HTTPS.
Nota
La porta dei record SRV deve corrispondere alla porta di comunicazione usata dal punto di gestione. Per impostazione predefinita si tratta della porta 80 per le comunicazioni HTTP e 443 per le comunicazioni HTTPS.
Destinazione: immettere il nome di dominio completo Intranet specificato per il sistema del sito configurato con il ruolo del sito del punto di gestione.
Se si usa il DNS di Windows Server, è possibile usare la procedura seguente per immettere questo record DNS per i punti di gestione Intranet. Se si usa un'implementazione differente per DNS, usare le informazioni riportate in questa sezione sui valori dei campi e consultare la documentazione relativa al DNS per adattare questa procedura.
Per configurare la pubblicazione automatica:
-
Nella console di Configuration Manager espandere Amministrazione > Configurazione del sito > Siti.
-
Selezionare il sito e quindi fare clic su Configura componenti del sito.
-
Selezionare Punto di gestione.
-
Selezionare i punti di gestione da pubblicare (questa selezione vale per la pubblicazione in Servizi di dominio Active Directory e DNS).
-
Selezionare la casella di controllo per la pubblicazione in DNS:
- Questa finestra di dialogo consente di selezionare i punti di gestione da pubblicare e di pubblicare in DNS. - Questa finestra di dialogo non consente di configurare la pubblicazione in Servizi di dominio Active Directory.
Per pubblicare manualmente i punti di gestione in DNS in Windows Server
-
Nella console di Configuration Manager specificare i nomi FQDN Intranet dei sistemi del sito.
-
Nella console di gestione DNS selezionare la zona DNS per il computer del punto di gestione.
-
Verificare che sia presente un record host (A o AAAA) per il nome FQDN Intranet del sistema del sito. Se il record non esiste, crearlo.
-
Usando l'opzione Altri nuovi record, fare clic su Posizione servizio (SRV) nella finestra di dialogo Tipo record di risorse, fare clic su Crea record, immettere le informazioni seguenti e infine fare clic su Chiudi:
- **Dominio**: se necessario, immettere il suffisso DNS del punto di gestione, ad esempio **contoso.com**. - **Servizio**: digitare **\_mssms\_mp***\_\<sitecode\>*, dove *\<sitecode\>* corrisponde al codice del sito del punto di gestione. - **Protocollo**: digitare **\_tcp**. - **Priorità**: questo campo non è usato da Configuration Manager. - **Peso**: questo campo non è usato da Configuration Manager. - **Porta**: immettere il numero di porta usato dal punto di gestione, ad esempio **80** per HTTP e **443** per HTTPS. <div class="alert"> > [!NOTE] > <P>La porta dei record SRV deve corrispondere alla porta di comunicazione usata dal punto di gestione. Per impostazione predefinita si tratta della porta <STRONG>80</STRONG> per le comunicazioni HTTP e <STRONG>443</STRONG> per le comunicazioni HTTPS.</P> </div> - **Host che offre il servizio**: immettere il nome di dominio completo Intranet specificato per il sistema del sito configurato con il ruolo del sito del punto di gestione.
Ripetere questi passaggi per ogni punto di gestione della rete Intranet che si desidera pubblicare in DNS.
WINS
Quando gli altri meccanismi di individuazione del servizio hanno esito negativo, i client possono trovare un punto di gestione iniziale tramite WINS.
Per impostazione predefinita, un sito primario pubblica in WINS il primo punto di gestione nel sito configurato per HTTP e il primo punto di gestione configurato per HTTPS.
Se non si desidera che i client trovino un punto di gestione HTTP in WINS, configurare i client con la proprietà CCMSetup.exe Client.msi SMSDIRECTORYLOOKUP=NOWINS.
Pianificazione della riattivazione dei client
Configuration Manager supporta due tecnologie LAN (Local Area Network) di riattivazione per riattivare computer in modalità sospensione quando si desidera installare software richiesto, come aggiornamenti software e applicazioni: i pacchetti di riattivazione tradizionali e i comandi di accensione AMT.
A partire da Configuration Manager SP1, è possibile integrare il metodo tradizionale di riattivazione pacchetti usando le impostazioni client proxy di riattivazione. Il proxy di riattivazione usa un protocollo peer-to-peer e computer selezionati per controllare se nella subnet sono attivi altri computer e per riattivarli se necessario. Quando il sito è configurato per la riattivazione LAN e i client sono configurati per il proxy di riattivazione, il processo funziona nel modo seguente:
I computer che hanno installato il client di Configuration Manager SP1 e che non sono in stato di sospensione nella subnet controllano se nella subnet sono attivi altri computer. A tal fine si inviano tra di loro un comando ping TCP/IP ogni 5 secondi.
Se non esiste alcuna risposta da altri computer, questi verranno considerati in stato di sospensione. I computer attivi diventano computer di gestione per la subnet.
Poiché è possibile che un computer possa non rispondere per un motivo che non sia collegato alla sospensione (ad esempio, è spento, rimosso dalla rete o non è più applicata l'impostazione client di riattivazione proxy), ai computer viene inviato un pacchetto di riattivazione ogni giorno alle 14:00 ora locale. I computer che non rispondono non verranno più considerati in stato di sospensione e non verranno riattivati da proxy di riattivazione.
Per il supporto dei proxy di riattivazione, devono essere attivi almeno tre computer per ogni subnet. Per ottenere questo risultato, tre computer vengono scelti in modo non deterministico come computer tutori della subnet. Ciò significa che rimangono attivi, nonostante siano presenti criteri di risparmio energia configurati in modalità di sospensione o di ibernazione dopo un periodo di inattività. I computer tutori rispettano i comandi di arresto o di riavvio, ad esempio, in seguito ad attività di manutenzione. Se ciò accade, i computer tutori rimanenti riattivano un altro computer nella subnet in modo che la subnet stessa continui ad avere tre computer tutori.
I computer di gestione chiedono al commutatore di rete di reindirizzare il traffico di rete dei computer in sospensione verso sé stessi.
Il reindirizzamento avviene mediante la trasmissione dal parte del computer di gestione di un frame Ethernet che usa l'indirizzo MAC del computer in sospensione come indirizzo di origine. In questo modo il commutatore di rete si comporta come se il computer in sospensione sia stato spostato sulla stessa porta su cui si trova il computer di gestione. Il computer di gestione invia anche pacchetti ARP per i computer in sospensione per mantenere la voce nella cache ARP. Il computer di gestione risponderà anche alle richieste ARP per conto del computer in sospensione e con l'indirizzo MAC del computer in sospensione.
.jpeg "System_CAPS_warning")
AvvisoDurante questo processo, il mapping da indirizzo IP a indirizzo MAC per il computer in sospensione rimane lo stesso. Il proxy di riattivazione informa il commutatore di rete che una scheda di rete differente sta usando la porta registrata da un altra scheda di rete. Tuttavia, questo comportamento è noto come flap MAC ed è insolito per operazioni di rete standard. Alcuni strumenti di monitoraggio della rete cercano questo comportamento e possono presumere che qualcosa non vada. Di conseguenza, questi strumenti di monitoraggio sono in grado di generare avvisi o chiudere le porte quando si usa il proxy di riattivazione.
Non usare il proxy di riattivazione se gli strumenti e i servizi di monitoraggio di rete e servizi non consentono i flap MAC.
Quando un computer di gestione visualizza una nuova richiesta di connessione TCP per un computer in sospensione e la richiesta è su una porta su cui tale computer era in ascolto prima di andare in sospensione, il computer di gestione invia un pacchetto di riattivazione, quindi smette di reindirizzare il traffico per questo computer.
Il computer in sospensione riceve il pacchetto di riattivazione e viene riattivato. Il computer di invio ritenta automaticamente la connessione e questa volta, il computer viene riattivato ed è in grado di rispondere.
Il proxy di riattivazione presenta i prerequisiti e le limitazioni seguenti:
| Importante |
|---|
Se un team separato è responsabile dell'infrastruttura di rete e dei servizi di rete, inviare una notifica e includere tale team nel periodo di valutazione e verifica. Ad esempio, in una rete che usa il controllo accesso alla rete mediante 802.1 X, il proxy di attivazione non funziona e può causare l'interruzione del servizio di rete. Il proxy di riattivazione potrebbe inoltre causare la generazione di avvisi da parte di alcuni strumenti di monitoraggio della rete quando viene rilevato il traffico per la riattivazione di altri computer. |
I client supportati sono Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012.
Non sono supportati i sistemi operativi guest in esecuzione su una macchina virtuale.
I client devono eseguire Configuration Manager SP1 ed essere abilitati per il proxy di riattivazione usando le impostazioni client. Nonostante il funzionamento del proxy di riattivazione non dipenda dall'inventario hardware, i client non riportano l'installazione del servizio del proxy di riattivazione a meno che non siano abilitati per l'inventario hardware e non ne abbiano inviato almeno uno.
Le schede di rete (ed eventualmente il BIOS) devono essere abilitate e configurate per i pacchetti di riattivazione. Se la scheda di rete non è configurata per i pacchetti di riattivazione oppure questa impostazione è disabilitata, Configuration Manager la configurerà e abiliterà automaticamente per un computer quando riceve l'impostazione client per abilitare i proxy di riattivazione.
Se un computer dispone di più di una scheda di rete, non è possibile configurare la scheda da usare per il proxy di riattivazione; la scelta è non deterministica. Tuttavia, la scheda selezionata viene registrata nel file SleepAgent_<DOMAIN>@SYSTEM_0.log.
La rete deve consentire le richieste echo ICMP (almeno all'interno della subnet). Non è possibile configurare l'intervallo di 5 secondi usato per inviare i comandi ping ICMP.
La comunicazione non è crittografata né autenticate e IPsec non è supportato.
Non sono supportate le seguenti configurazioni di rete:
802.1X con autenticazione della porta
Reti wireless
Commutatori di rete che associano indirizzi MAC a porte specifiche
Reti solo IPv6
Durata dei lease DHCP inferiore a 24 ore
Come procedura di protezione ottimale, usare l'accensione AMT sui comandi anziché pacchetti di riattivazione quando possibile. Poiché l'accensione AMT sui comandi usa certificati PKI per proteggere la comunicazione, questa tecnologia è più sicura dell'invio di pacchetti di riattivazione. Tuttavia, per usare l'accensione AMT sui comandi, i computer devono essere computer Intel basati su AMT su cui viene effettuato il provisioning per AMT. Per altre informazioni su come Configuration Manager può gestire computer basati su AMT, vedere Introduzione alla gestione fuori banda in Configuration Manager.
Se si desidera riattivare i computer per un'installazione software pianificata, è necessario configurare ciascun sito primario con una delle tre opzioni:
Usare l'accensione AMT sui comandi se il computer supporta tale tecnologia; in caso contrario usare pacchetti di riattivazione
Usare l'accensione AMT solo sui comandi.
Usare solo pacchetti di riattivazione.
Per usare i pacchetti di riattivazione con Configuration Manager SP1, occorre distribuire le impostazioni client del proxy di riattivazione di Risparmio energia oltre a selezionare l'opzione Usa solo pacchetti di riattivazione.
Per altre informazioni sulle differenze tra le due tecnologie di riattivazione LAN, i pacchetti di riattivazione tradizionali e i comandi di accensione, usare la tabella seguente.
Tecnologia |
Vantaggio |
Svantaggio |
|---|---|---|
Pacchetti di riattivazione tradizionali |
Non richiede alcun ruolo del sistema del sito aggiuntivo nel sito. Supportato da molte schede di rete. I pacchetti di riattivazione UDP sono rapidi da inviare ed elaborare. Non richiede un'infrastruttura PKI. Non richiede modifiche ai Servizi di dominio Active Directory. Supportato in computer del gruppo di lavoro, computer di un'altra foresta Active Directory e computer presenti nella stessa foresta Active Directory, ma usando uno spazio dei nomi non contiguo. |
Soluzione meno sicura dell'accensione AMT sui comandi, poiché non usa l'autenticazione o la crittografia. Se le trasmissioni di broadcast con riferimento a subnet vengono usate per i pacchetti di riattivazione, questo presenta il rischio di protezione di attacchi smurf. Potrebbe richiedere la configurazione manuale su ciascun computer per le impostazioni del BIOS e la configurazione della scheda. Nessuna conferma sulla riattivazione dei computer. Trasmissioni di riattivazione, poiché più pacchetti UDP (User Datagram Protocol) possono saturare inutilmente la larghezza di banda di rete disponibile. A meno che non si utilizzino proxy di riattivazione con Configuration Manager SP1, non è possibile riattivare i computer in modo interattivo. Non può riportare il computer a uno stato di sospensione. Le funzionalità di gestione sono limitate solo alla riattivazione dei computer. |
Accensione AMT sui comandi |
Soluzione più sicura dei pacchetti di riattivazione tradizionali poiché fornisce l'autenticazione e la crittografia usando protocolli di protezione standard di settore. Inoltre può integrarsi con una distribuzione PKI esistente e i controlli di protezione possono essere gestiti in modo indipendente dal prodotto. Supporta l'installazione e la configurazione automatica centralizzata (provisioning AMT). Sessione di trasporto stabilita per una connessione più affidabile e controllabile. I computer possono essere riattivati in modo interattivo (e riavviati). I computer possono essere spenti in modo interattivo. Funzionalità di gestione aggiuntive che includono quanto segue:
|
Richiede che il sito disponga di un punto di servizio fuori banda e di un punto di registrazione. Supportata solo in computer con chipset Intel vPro e una versione supportata del firmware Intel Active Management Technology (Intel AMT). Per altre informazioni sulle versioni AMT supportate, vedere .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty. La sessione di trasporto richiede più tempo per stabilirsi, una maggiore elaborazione sul server e un aumento dei dati trasferiti. Richiede una distribuzione PKI e certificati specifici. Richiede un contenitore Active Directory che venga creato e configurato per la pubblicazione di computer basati su AMT. Non è in grado di supportare computer del gruppo di lavoro, computer di un'altra foresta Active Directory o computer presenti nella stessa foresta Active Directory ma che usano uno spazio dei nomi non contiguo. Richiede modifiche a DNS e DHCP per supportare il provisioning AMT. |
Scegliere come riattivare computer basati sulla possibilità di supporto dell'accensione AMT sui comandi o sul supporto della tecnologia di riattivazione LAN da parte dei computer assegnati al sito. Considerare inoltre i vantaggi e gli svantaggi di entrambe le tecnologie elencate nella tabella precedente. Ad esempio, i pacchetti di riattivazione sono meno affidabili e non sono protetti, ma l'accensione sui comandi impiega più tempo per stabilirsi e richiede una maggiore elaborazione sul server del sistema del sito configurato con il punto di servizio fuori banda.
| Importante |
|---|
A causa del carico aggiuntivo per lo stabilimento, il mantenimento e la conclusione di una sessione di gestione fuori banda nei computer basati su AMT, condurre dei test personali in modo da poter giudicare accuratamente quanto tempo ci vuole per riattivare più computer usando l'accensione AMT sui comandi nel relativo ambiente (ad esempio, su link WAN lenti in computer presenti in siti secondari). Tale consapevolezza consente di stabilire se la riattivazione di più computer per attività pianificate usando l'accensione AMT sui comandi è pratica quando si devono riattivare più computer in poco tempo. |
Se si decide di usare i pacchetti di riattivazione tradizionali, è necessario anche decidere se usare pacchetti di broadcast con riferimento a subnet oppure pacchetti unicast, nonché quale numero di porta UDP usare. Per impostazione predefinita, i pacchetti di riattivazione tradizionali vengono trasmessi usando la porta UDP 9 ma, per una maggior sicurezza, è possibile selezionare una porta alternativa per il sito se supportata dai router e firewall coinvolti.
Per i pacchetti di riattivazione tradizionali: scegliere tra il broadcast unicast e con riferimento a subnet per la riattivazione LAN
Se si è scelto di riattivare i computer inviando pacchetti di riattivazione tradizionali, occorre decidere se trasmettere pacchetti unicast o pacchetti di broadcast con riferimento a subnet. Se si usa il proxy di riattivazione con Configuration Manager SP1, è necessario usare pacchetti unicast. In caso contrario, usare la tabella seguente per determinare quale metodo di trasmissione scegliere.
Metodo di trasmissione |
Vantaggio |
Svantaggio |
|---|---|---|
Unicast |
Soluzione più sicura dei broadcast con riferimento a subnet perché il pacchetto viene inviato direttamente a un computer invece che a tutti i computer su una subnet. Potrebbe non richiedere la riconfigurazione di router (potrebbe essere necessario configurare la cache ARP). Consuma meno larghezza di banda di rete rispetto alle trasmissioni di broadcast con riferimento a subnet. Supportato con IPv4 e IPv6. |
I pacchetti di riattivazione non trovano i computer di destinazione che hanno modificato i relativi indirizzi di subnet dopo l'ultima pianificazione dell'inventario hardware. I commutatori potrebbero dover essere configurati per inoltrare pacchetti UDP. Alcune schede di rete potrebbero non rispondere ai pacchetti di riattivazione in tutti gli stati di sospensione quando usano unicast come metodo di trasmissione. |
Broadcast con riferimento a subnet |
Maggiore percentuale di successo rispetto a unicast se si dispone di computer che cambiano spesso l'indirizzo IP nella stessa subnet. Non è necessaria nessuna riconfigurazione del commutatore. Elevata percentuale di compatibilità con schede di computer per tutti gli stati di sospensione, perché i broadcast con riferimento a subnet erano il metodo di trasmissione originale per l'invio di pacchetti di riattivazione. |
Soluzione meno sicuro rispetto all'utilizzo di unicast, poiché un utente malintenzionato potrebbe inviare flussi continui di richieste echo di Internet Control Message Protocol (ICMP) da un indirizzo di origine falsificato all'indirizzo di broadcast con riferimento a subnet. Ciò provocherebbe la risposta di tutti gli host a tale indirizzo di origine. Se i router sono configurati per consentire trasmissioni con riferimento a subnet, per motivi di sicurezza è consigliabile la configurazione aggiuntiva:
Potrebbe essere richiesta la riconfigurazione di tutti i router coinvolti per abilitare broadcast con riferimento a subnet. Usa una larghezza di banda di rete maggiore rispetto a trasmissioni unicast. Supportato solo con IPv4 e non con IPv6. |
| Avviso |
|---|
Esistono rischi per la sicurezza associati ai broadcast con riferimento a subnet: un utente malintenzionato potrebbe inviare flussi continui di richieste echo di Internet Control Message Protocol (ICMP) da un indirizzo di origine falsificato all'indirizzo di broadcast con riferimento a subnet, determinando la risposta di tutti gli host a tale indirizzo di origine. Questo tipo di attacco Denial of Service è comunemente denominato attacco smurf e viene in genere limitato non abilitando le broadcast con riferimento a subnet. |
Pianificazione delle comunicazioni tra foreste in Configuration Manager
System Center 2012 Configuration Manager supporta siti e gerarchie che si estendono su foreste Active Directory.
Configuration Manager supporta inoltre computer del dominio che non si trovano nella stessa foresta Active Directory del server del sito e computer che appartengono a gruppi di lavoro:
Per supportare tali computer del dominio in una foresta non considerata attendibile dalla foresta del server del sito, è possibile installare ruoli del sistema del sito in tale foresta non trusted, con l'opzione di pubblicazione delle informazioni del sito sulla foresta Active Directory del client. In alternativa, è possibile gestire questi computer come computer di un gruppo di lavoro. Quando si installano i server del sistema del sito nella foresta del client, la comunicazione tra client e server viene mantenuta all'interno della foresta del client e Configuration Manager è in grado di autenticare il computer tramite Kerberos. Quando vengono pubblicate le informazioni del sito sulla foresta del client, i client possono recuperare le informazioni del sito, come ad esempio un elenco di punti di gestione disponibili, dalla relativa foresta Active Directory invece di scaricarle dal punto di gestione assegnato.
Nota
Se si desidera gestire i dispositivi su Internet, è possibile installare ruoli del sistema del sito basati su Internet nella rete perimetrale quando i server del sistema del sito si trovano nella foresta Active Directory. In questo scenario non è richiesto un trust bidirezionale tra la rete perimetrale e la foresta del server del sito.
Per supportare i computer in un gruppo di lavoro, è necessario approvarli manualmente nel caso in cui utilizzino connessioni client HTTP ai ruoli del sistema del sito perché Configuration Manager non è in grado di autenticare questi computer tramite Kerberos. Inoltre, è necessario configurare l'Account di accesso alla rete in modo che questi computer possano recuperare il contenuto dai punti di distribuzione. Dal momento che questi client non possono recuperare le informazioni del sito da Servizi di dominio Active Directory, è necessario adottare un meccanismo alternativo affinché possano rilevare i punti di gestione. È possibile usare la pubblicazione DNS o WINS oppure assegnare direttamente un punto di gestione.
Per informazioni sull'approvazione del client, vedere Configurare le impostazioni per approvazione client e record client in conflitto in Configurazione delle impostazioni per la gestione client in Configuration Manager.
Per informazioni su come configurare l'account di accesso alla rete, vedere la sezione Configurare l'account di accesso alla rete nell'argomento Configurazione della gestione dei contenuti in Configuration Manager.
Per altre informazioni su come installare i client nei computer del gruppo di lavoro, vedere la sezione Come installare i client di Configuration Manager sui computer del gruppo di lavoro nell'argomento Come installare i client in computer basati su Windows in Configuration Manager.
Configuration Manager supporta il connettore Exchange Server in una foresta diversa dal server del sito. Per supportare questo scenario, assicurarsi che la risoluzione dei nomi funzioni nelle foreste (ad esempio, configurare inoltri DNS) e specificare l'FQDN intranet di Exchange Server quando si configura il relativo connettore. Per altre informazioni, vedere Come gestire i dispositivi mobili utilizzando Configuration Manager e Exchange.
Quando la struttura di Configuration Manager si estende su più domini e foreste Active Directory, usare le informazioni aggiuntive della tabella di seguito riportata per pianificare i seguenti tipi di comunicazione.
Scenario |
Dettagli |
Altre informazioni |
|---|---|---|
Comunicazione tra siti in una gerarchia che si estende su più foreste:
|
Configuration Manager supporta l'installazione di un sito figlio in una foresta remota che disponga del trust bidirezionale richiesto con la foresta del sito padre. Ad esempio: è possibile inserire un sito secondario in una foresta diversa da quella dal sito primario padre a condizione che sia presente il trust necessario. Se non si dispone di un trust tra foreste bidirezionale che supporti l'autenticazione Kerberos, allora Configuration Manager non supporterà il sito figlio nella foresta remota. Nota Un sito figlio può essere un sito primario (dove il sito di amministrazione centrale è il sito padre) o un sito secondario. La comunicazione tra siti in Configuration Manager usa la replica di database e i trasferimenti basati su file. Quando si installa un sito, è necessario specificare un account per installare il sito nel server designato. Inoltre, questo account stabilisce e mantiene la comunicazione tra siti. Dopo che il sito è stato installato correttamente e i trasferimenti basati su file e la replica di database sono stati avviati, non sarà necessario eseguire ulteriori configurazioni per la comunicazione con il sito. Per altre informazioni su come installare un sito, vedere la sezione Installazione di un server del sito nell'argomento Installare siti e creare una gerarchia per Configuration Manager. |
In presenza di un trust tra foreste bidirezionale, Configuration Manager non richiede ulteriori passaggi di configurazione. Per impostazione predefinita, quando si installa un nuovo sito come figlio di un altro sito, Configuration Manager configura gli elementi seguenti:
È necessario impostare anche le seguenti configurazioni:
|
Comunicazione in un sito che si estende su più foreste:
|
I siti primari supportano l'installazione dei ruoli del sistema del sito su computer in altre foreste. Due eccezioni sono il punto di servizio fuori banda e il punto per servizi Web del Catalogo applicazioni, che devono essere installati nella stessa foresta del server del sito. Quando un ruolo del sistema del sito accetta connessioni da Internet, la procedura ottimale di protezione prevede l'installazione dei ruoli del sistema del sito in una posizione in cui i limiti della foresta forniscono la protezione per il server del sito, ad esempio in una rete perimetrale. Quando si installa un ruolo del sistema del sito in un computer in una foresta non trusted:
Quando si usa un ruolo del sistema del sito in una foresta non trusted, i firewall devono consentire il traffico di rete, anche quando il server del sito avvia il trasferimento dei dati. Inoltre, i seguenti ruoli del sistema del sito richiedono l'accesso diretto al database del sito. È quindi necessario che i firewall consentano il traffico applicabile dalla foresta non trusted a SQL Server dei siti:
Per altre informazioni, vedere Guida tecnica per le porte usate in Configuration Manager. |
I ruoli del sistema del sito del punto di registrazione e punto di gestione si connettono al database del sito. Per impostazione predefinita, quando questi ruoli vengono installati, Configuration Manager configura l'account computer del nuovo server del sistema del sito come account di connessione e aggiunge l'account al ruolo del database SQL Server appropriato. Quando si installano questi ruoli del sistema del sito in un dominio non attendibile, è necessario configurare l'account di connessione del ruolo del sistema del sito per abilitarne la ricezione delle informazioni dal database. Se si configura un account utente di dominio per questi account di connessione, assicurarsi che l'account disponga dell'accesso appropriato al database di SQL Server in quel sito:
Considerare le seguenti informazioni aggiuntive per la pianificazione di ruoli del sistema del sito in altre foreste:
|
Comunicazione tra client e ruoli del sistema del sito quando i client non si trovano nella stessa foresta Active Directory del relativo server del sito. |
Configuration Manager supporta i seguenti scenari per i client che non si trovano nella stessa foresta del relativo server del sito:
Nota Configuration Manager non è in grado di gestire computer basati su AMT fuori banda quando questi computer si trovano in una foresta diversa rispetto al server del sito. |
I client in un computer di dominio possono usare Servizi di dominio Active Directory per la posizione del servizio quando il relativo sito è pubblicato nella foresta Active Directory. Per pubblicare le informazioni del sito su un'altra foresta Active Directory, è necessario specificare innanzitutto la foresta, quindi abilitare la pubblicazione in tale foresta nel nodo Foreste Active Directory dell'area di lavoro Amministrazione. Inoltre, è necessario abilitare ogni sito per la pubblicazione dei relativi dati in Servizi di dominio Active Directory. Questa configurazione consente ai client di tale foresta di recuperare le informazioni del sito e trovare punti di gestione. Per i client che non possono usare Servizi di dominio Active Directory per la posizione del servizio, è possibile usare DNS, WINS o il punto di gestione client assegnato. |
Pianificazione della gestione client basata su Internet
La gestione client basata su Internet consente di gestire i client di Configuration Manager quando non sono connessi alla rete aziendale ma dispongono di una connessione Internet standard. Tale disposizione presenta diversi vantaggi che includono la riduzione dei costi associata alla possibilità di non dover eseguire reti private virtuali (VPN) e di poter distribuire aggiornamenti software in modo tempestivo.
Dati i requisiti di protezione più elevati per la gestione di computer client su una rete pubblica, la gestione client basata su Internet richiede che i client e i server del sistema del sito ai quali si collegano utilizzino certificati PKI. Ciò garantisce che le connessioni vengano autenticate da un'autorità indipendente e che i dati provenienti da e diretti a questi sistemi del sito vengano crittografati tramite Secure Sockets Layer (SSL).
Usare le sezioni seguenti per la pianificazione della gestione client basata su Internet.
Funzionalità non supportate su Internet
Non tutte le funzionalità di gestione client sono adatte a Internet e, pertanto, non sono supportate quando i client vengono gestiti su Internet. Le funzionalità non supportate per la gestione su Internet in genere si basano su Servizi di dominio Active Directory o non sono adatte a una rete pubblica, come individuazione rete e riattivazione LAN (WOL).
Le caratteristiche seguenti non sono supportate quando i client sono gestiti su Internet:
Distribuzione di client su Internet, ad esempio la distribuzione client basata su aggiornamento software e push client. Usare invece l'installazione client manuale.
Assegnazione automatica del sito.
Protezione accesso alla rete (NAP).
Riattivazione LAN.
Distribuzione del sistema operativo. Tuttavia, è possibile distribuire le sequenze attività che non distribuiscono un sistema operativo, come ad esempio sequenze che eseguono script e attività di manutenzione sui client
Controllo remoto.
Gestione fuori banda.
Distribuzione software agli utenti a meno che il punto di gestione basato su Internet sia in grado di autenticare l'utente in Servizi di dominio Active Directory tramite l'autenticazione di Windows (Kerberos o NTLM). Questo è possibile quando il punto di gestione basato su Internet considera attendibile la foresta in cui risiede l'account utente.
La gestione client basata su Internet, inoltre, non supporta il roaming. Il roaming consente ai client di individuare sempre i punti di distribuzione più vicini per scaricare il contenuto. I client gestiti su Internet comunicano con i sistemi del sito dal relativo sito assegnato quando tali sistemi sono configurati per l'utilizzo di un FQDN Internet e i ruoli del sistema del sito consentono connessioni client da Internet. I client selezionano in modo non deterministico uno dei sistemi del sito basati su Internet, indipendentemente dalla posizione fisica o dalla larghezza di banda.
Nota
Novità di System Center 2012 Configuration Manager, quando si dispone di un punto di aggiornamento software configurato per accettare le connessioni da Internet, i client basati su Internet di Configuration Manager eseguono sempre l'analisi rispetto a questo punto per determinare gli aggiornamenti software necessari. Tuttavia, i client su Internet provano a scaricare prima gli aggiornamenti software da Microsoft Update piuttosto che da un punto di distribuzione basato su Internet. Solo in caso di errore, proveranno quindi a scaricare gli aggiornamenti software richiesti da un punto di distribuzione basato su Internet. I client non configurati per la gestione basata su Internet non provano mai a scaricare gli aggiornamenti software da Microsoft Update, ma usano sempre i punti di distribuzione di Configuration Manager.
Considerazioni per le comunicazioni client da Internet o da una foresta non trusted
I seguenti ruoli del sistema del sito installati nei siti primari supportano connessioni da client che si trovano in percorsi non attendibili, come Internet o una foresta non trusted (i siti secondari non supportano le connessioni client da percorsi non attendibili):
Punto per siti Web del Catalogo applicazioni
Modulo criteri di Configuration Manager
Punto di distribuzione (HTTPS è richiesto dai punti di distribuzione basati sul cloud)
Punto proxy di registrazione
Punto di stato di fallback
Punto di gestione
Punto di aggiornamento software
Informazioni sui sistemi del sito con connessione Internet:
sebbene non sia richiesto un trust tra la foresta di un client e quella di un server del sistema del sito, quando la foresta che contiene i sistemi del sito con connessione Internet considera attendibile la foresta che contiene gli account utente, questa configurazione supporta criteri basati sull'utente per i dispositivi su Internet quando si abilita l'impostazione client Abilitare le richieste dei criteri utente dai client Internet di Criteri client.
Ad esempio, le configurazioni seguenti illustrano quando la gestione client basata su Internet supporta criteri utente per i dispositivi su Internet:
Il punto di gestione basato su Internet si trova nella rete perimetrale in cui risiede un controller di dominio di sola lettura per autenticare l'utente e un firewall consente pacchetti di Active Directory.
L'account utente si trova nella Foresta A (intranet) e il punto di gestione basato su Internet si trova nella Foresta B (la rete perimetrale). La Foresta B considera attendibile la Foresta A e un firewall consente i pacchetti di autenticazione.
L'account utente e il punto di gestione basato su Internet si trovano nella Foresta A (intranet). Il punto di gestione viene pubblicato su Internet usando un server Web proxy, ad esempio Forefront Threat Management Gateway.
Nota
Se l'autenticazione Kerberos ha esito negativo, sarà automaticamente tentata l'autenticazione NTLM.
Come mostrato nell'esempio precedente, è possibile posizionare i sistemi del sito basati su Internet nella intranet quando vengono pubblicati su Internet usando un server Web proxy, come ISA Server e Forefront Threat Management Gateway. Questi sistemi del sito possono essere configurati per connessioni client solo da Internet o per connessioni client da Internet e intranet. Quando si usa un server Web proxy, è possibile configurarlo per il bridging Secure Sockets Layer (SSL) a SSL (più sicuro) o tunneling SSL:
Bridging SSL a SSL:
la configurazione consigliata quando si usano server Web proxy per la gestione client basata su Internet è il bridging SSL a SSL, che usa la terminazione SSL con l'autenticazione. I computer client devono essere autenticati usando l'autenticazione computer e i client legacy di dispositivi mobili vengono autenticati usando l'autenticazione utente. I dispositivi mobili che vengono registrati da Configuration Manager non supportano il bridging SSL.Il vantaggio della terminazione SSL sul server Web proxy è che i pacchetti provenienti da Internet sono soggetti alla verifica prima di essere inoltrati alla rete interna. Il server Web proxy autentica la connessione dal client, la termina, quindi apre una nuova connessione autenticata ai sistemi del sito basati su Internet. Quando i client di Configuration Manager usano un server Web proxy, l'identità client (GUID client) viene contenuta in modo protetto all'interno del payload dei pacchetti in modo che il punto di gestione non consideri il server Web proxy come il client. Il bridging non è supportato in Configuration Manager da HTTP a HTTPS o da HTTPS a HTTP.
Tunneling:
se il server Web proxy non è in grado di supportare i requisiti per il bridging SSL o se si vuole configurare il supporto Internet per i dispositivi mobili registrati da Configuration Manager, è supportato anche il tunneling SSL. Si tratta di un'opzione meno sicura perché i pacchetti SSL provenienti da Internet vengono inoltrati ai sistemi del sito senza terminazione SSL e, pertanto, non possono essere verificati per l'eventuale presenza di contenuto dannoso. Quando si usa il tunneling SSL, non sono previsti requisiti di certificato per il server Web proxy.
Pianificazione dei client basati su Internet
È necessario decidere se i computer client che saranno gestiti su Internet debbano essere configurati per la gestione sulla intranet e su Internet o solo per la gestione client basata su Internet. L'opzione di gestione client può essere configurata solo durante l'installazione di un computer client. Se si cambia idea, sarà necessario reinstallare il client.
Nota
Per System Center 2012 R2 Configuration Manager e versioni successive: Se si configura un punto di gestione con Internet, i client che si connettono al punto di gestione potranno usare Internet dopo aver aggiornato l'elenco di punti di gestione disponibili.
| Suggerimento |
|---|
Non si dovrà limitare la configurazione esclusivamente alla gestione client basata su Internet in modo da poterla usare anche sulla intranet. |
I client configurati solo per la gestione basata su Internet comunicano esclusivamente con i sistemi del sito configurati per le connessioni client da Internet. Questa configurazione sarebbe ideale per i computer che non vengono mai connessi alla intranet aziendale, ad esempio computer POS in sedi remote. Potrebbe inoltre essere appropriata se si desidera limitare la comunicazione client solo a HTTPS (ad esempio per supportare firewall e criteri di protezione limitati), si installano sistemi del sito basati su Internet in una rete perimetrale e si desidera gestire tali server usando il client di Configuration Manager.
Quando si desidera gestire client di un gruppo di lavoro su Internet, è necessario installarli con una configurazione limitata a Internet.
Nota
I client dei dispositivi mobili vengono configurati automaticamente solo per Internet quando sono configurati per l'utilizzo di un punto di gestione basato su Internet.
È possibile configurare altri computer client per la gestione client Internet e intranet. Possono passare automaticamente dalla gestione client basata su Internet a quella basata sulla intranet e viceversa quando rilevano una modifica della rete. Se questi client sono in grado di rilevare e di connettersi a un punto di gestione configurato per le connessioni client sulla intranet, vengono gestiti come client intranet con piene funzionalità di gestione Configuration Manager. Se i client non sono in grado di rilevare o di connettersi a un punto di gestione configurato per le connessioni client sulla intranet, cercano di connettersi a un punto di gestione basato su Internet e, se vi riescono, vengono gestiti come sistemi del sito basati su Internet nel rispettivo sito assegnato.
Il vantaggio di un passaggio automatico tra la gestione client basata su Internet e una gestione client basata sulla intranet è che i computer client possono usare automaticamente tutte le funzioni di Configuration Manager ogni volta che si connettono alla intranet e continuano a essere gestiti per le funzioni di gestione essenziali quando sono connessi a Internet. Inoltre, un download iniziato su Internet può riprendere senza problemi sulla intranet e viceversa.
Prerequisiti per la gestione client basata su Internet
La gestione client basata su Internet in Configuration Manager presenta le seguenti dipendenze esterne:
Dipendenza |
Altre informazioni |
|---|---|
I client che verranno gestiti su Internet devono disporre di una connessione a Internet. |
Configuration Manager usa le connessioni del Provider di servizi Internet (ISP) a Internet, che possono essere di natura permanente o temporanea. I dispositivi mobili client devono disporre di una connessione diretta a Internet, mentre i computer client possono usufruire di una connessione Internet diretta oppure di una connessione tramite server Web proxy. |
I sistemi del sito che supportano la gestione client basata su Internet devono disporre della connettività a Internet e devono trovarsi in un dominio Active Directory. |
I sistemi del sito basati su Internet non richiedono una relazione di trust con la foresta Active Directory del server del sito. Tuttavia, quando il punto di gestione basato su Internet è in grado di autenticare l'utente usando l'autenticazione di Windows, sono supportati criteri utente. Se l'autenticazione di Windows ha esito negativo, sono supportati solo i criteri computer. Nota Per supportare i criteri utente è inoltre necessario impostare True per le due impostazioni client Criteri client:
Un punto per siti Web del Catalogo applicazioni basato su Internet richiede inoltre l'autenticazione di Windows per autenticare gli utenti quando il relativo computer si trova su Internet. Questo requisito è indipendente dai criteri utente. |
È necessario disporre di un'infrastruttura a chiave pubblica (PKI) di supporto che possa distribuire e gestire i certificati richiesti dai client e gestiti su Internet e sui server del sistema del sito basati su Internet. |
Per altre informazioni sui certificati PKI, vedere Requisiti dei certificati PKI per Configuration Manager. |
Per supportare la gestione client basata su Internet, è necessario configurare i seguenti servizi di infrastruttura:
|
Requisiti di comunicazione client:
Per informazioni sulla configurazione richiesta per supportare tali requisiti, consultare la documentazione sul server proxy o firewall. Per i requisiti di comunicazione simili richiesti quando si usa il punto di aggiornamento software per le connessioni client da Internet, vedere la documentazione per Windows Server Update Services (WSUS). Ad esempio, per WSUS in Windows Server 2003, vedere Appendice D: impostazioni di sicurezza, l'appendice relativa alla distribuzione per le impostazioni di sicurezza. |
Pianificazione della larghezza di banda di rete in Configuration Manager
System Center 2012 Configuration Manager include vari metodi di controllo della larghezza di banda della rete usata dalle comunicazioni tra siti, server del sistema del sito e client. Tuttavia, non tutte le comunicazioni sulla rete possono essere gestite. Usare le sezioni seguenti per comprendere i metodi utilizzabili per controllare la larghezza di banda di rete e per progettare la gerarchia del sito.
Quando si pianifica la gerarchia di Configuration Manager, considerare la quantità di dati della rete che saranno trasferiti attraverso le comunicazioni tra siti e all'interno del sito.
Nota
Le route di replica file (conosciute come indirizzi prima di Configuration Manager SP1) sono usate solo per le comunicazioni tra siti e non per le comunicazioni all'interno del sito tra server e sistemi.
Controllo dell'utilizzo della larghezza di banda di rete tra siti
Configuration Manager trasferisce i dati tra siti usando la replica di database e la replica basata su file. Prima di Configuration Manager con SP1 era possibile configurare la replica basata su file per controllare l'utilizzo della larghezza di banda della rete per i trasferimenti, ma non era possibile configurare l'utilizzo della larghezza di banda della rete per la replica di database. A partire da Configuration Manager SP1, è possibile configurare l'utilizzo della larghezza di banda della rete per la replica database per dati del sito selezionati.
Quando si configurano i controlli della larghezza di banda di rete, è necessario essere consapevoli del potenziale di latenza dei dati. Se le comunicazioni tra siti vengono limitate o viene configurato solo il trasferimento dati dopo l'orario di lavoro regolare, gli amministratori del sito padre o del sito figlio potrebbero non essere in grado di visualizzare alcuni dati fino alla comunicazione tra siti. Ad esempio, se un importante pacchetto di aggiornamento software viene inviato ai punti di distribuzione ubicati nei siti figlio, tale pacchetto potrebbe non essere disponibile per quei siti fino al completamento della comunicazione tra siti in sospeso. Una comunicazione in sospeso può includere la consegna di un pacchetto di dimensioni molto grandi il cui trasferimento non è stato ancora completato.
Controlli per la replica basata su file: durante i trasferimenti di dati basati su file, Configuration Manager usa tutta la larghezza di banda di rete disponibile per inviare dati tra i siti. È possibile controllare questo processo configurando il mittente di un sito per l'aumento o la diminuzione di thread di invio tra siti. Un thread di invio viene usato per trasferire un file alla volta. Ogni thread aggiuntivo consente il trasferimento simultaneo di altri file, con conseguente maggiore utilizzo della larghezza di banda. Per configurare il numero di thread da usare per i trasferimenti tra siti, impostare Numero massimo di invii simultanei nella scheda Mittente delle proprietà del sito.
Per controllare i trasferimenti di dati basati su file tra siti, è possibile programmare la tempistica di utilizzo di una route di replica file per un sito specifico da parte di Configuration Manager. È possibile controllare la quantità di larghezza di banda della rete da usare, la dimensione dei blocchi di dati e la relativa frequenza di invio. Configurazioni aggiuntive possono limitare i trasferimenti di dati in base alla priorità del tipo di dati. Per ciascun sito nella gerarchia, è possibile impostare le pianificazioni e i limiti di velocità da usare durante il trasferimento dei dati configurando le proprietà della route di replica file per ciascun sito di destinazione. Le configurazioni per una route di replica file sono valide solo per i trasferimenti di dati a un sito di destinazione specificato per tale route.
Per altre informazioni sulle route di replica file, vedere la sottosezione Route di replica file nella sezione Pianificazione delle comunicazioni tra siti in Configuration Manager in questo argomento.
ImportanteQuando si configurano i limiti di velocità per restringere l'utilizzo della larghezza di banda su una route di replica file specifica, Configuration Manager è in grado di usare solo un singolo thread per trasferire i dati a tale sito di destinazione. L'utilizzo dei limiti di velocità per una route di replica file sostituisce l'uso di più thread per sito configurati nell'opzione Numero massimo di invii simultanei per ciascun sito.
Controlli per la replica del database: a partire da Configuration Manager SP1, è possibile configurare i collegamenti della replica di database per controllare l'utilizzo della larghezza di banda di rete per il trasferimento dei dati del sito selezionati tra siti diversi. Alcuni dei controlli sono simili a quelli per la replica basata su file, con il supporto aggiuntivo per la pianificazione della replica di inventario hardware, di inventario software, del controllo software e dei messaggi di stato sul sito padre attraverso il collegamento.
Per altre informazioni, vedere la sezione Replica di database in questo argomento.
Controllo dell'utilizzo della larghezza di banda di rete tra i server del sistema del sito
All'interno di un sito, la comunicazione tra sistemi del sito usa SMB (Server Message Blocks), può verificarsi in ogni momento e non supporta un meccanismo per il controllo della larghezza di banda della rete. Tuttavia, quando si configura il server del sito per l'utilizzo di limiti di velocità e pianificazioni per controllare il trasferimento dei dati sulla rete a un punto di distribuzione, è possibile gestire il trasferimento del contenuto dal server del sito ai punti di distribuzione con controlli simili a quelli per i trasferimenti tra siti basati su file.
Controllo dell'utilizzo della larghezza di banda di rete tra client e server del sistema del sito
I client comunicano regolarmente con server di sistema del sito diversi. Ad esempio, comunicano con un server del sistema del sito che esegue un punto di gestione quando devono cercare un criterio client e comunicano con un server del sistema del sito che esegue un punto di distribuzione quando devono scaricare del contenuto per installare un'applicazione o un aggiornamento software. La frequenza di queste connessioni e la quantità di dati trasferiti sulla rete a o da un client dipendono dalla pianificazioni e dalle configurazioni specificate come impostazioni client.
In genere, le richieste di criteri client usano una larghezza di banda ridotta. La larghezza di banda può essere elevata quando i client accedono al contenuto per le distribuzioni o inviano informazioni come dati di inventario hardware al sito.
È possibile specificare le impostazioni dei client che controllano la frequenza delle comunicazioni di rete avviate da client. Inoltre, è possibile configurare la modalità di accesso dei client al contenuto di distribuzione, ad esempio usando il Servizio trasferimento intelligente in background (BITS). Per usare il servizio BITS per scaricare il contenuto, il client deve essere configurato per l'utilizzo di BITS. Se il client non può usare il servizio BITS, utilizzerà il servizio SMB per trasferire il contenuto.
Per informazioni sulle impostazioni client di Configuration Manager, vedere Pianificazione delle impostazioni client in Configuration Manager.