다음을 통해 공유


Configuration Manager 엔드포인트 간 통신

적용 대상: Configuration Manager(현재 분기)

이 문서에서는 Configuration Manager 사이트 시스템과 클라이언트가 네트워크를 통해 통신하는 방법을 설명합니다. 여기에는 다음 섹션이 포함되어 있습니다.

사이트의 사이트 시스템 간 통신

Configuration Manager 사이트 시스템 또는 구성 요소가 네트워크를 통해 사이트의 다른 사이트 시스템 또는 구성 요소와 통신하는 경우 사이트를 구성하는 방법에 따라 다음 프로토콜 중 하나를 사용합니다.

  • 서버 메시지 블록(SMB)

  • HTTP

  • HTTPS

사이트 서버에서 배포 지점으로의 통신을 제외하고 사이트의 서버 간 통신은 언제든지 발생할 수 있습니다. 이러한 통신은 메커니즘을 사용하여 네트워크 대역폭을 제어하지 않습니다. 사이트 시스템 간의 통신을 제어할 수 없으므로 빠르고 잘 연결된 네트워크가 있는 위치에 사이트 시스템 서버를 설치해야 합니다.

사이트 서버에서 배포 지점으로

사이트 서버에서 배포 지점으로 콘텐츠 전송을 관리하는 데 도움이 되도록 다음 전략을 사용합니다.

  • 네트워크 대역폭 제어 및 일정에 대한 배포 지점을 구성합니다. 이러한 컨트롤은 사이트 간 주소에서 사용되는 구성과 유사합니다. 원격 네트워크 위치로 콘텐츠를 전송하는 것이 기본 대역폭 고려 사항인 경우 다른 Configuration Manager 사이트를 설치하는 대신 이 구성을 사용합니다.

  • 배포 지점을 사전 준비된 배포 지점으로 설치할 수 있습니다. 사전 준비된 배포 지점을 사용하면 배포 지점 서버에 수동으로 배치되는 콘텐츠를 사용할 수 있으며 네트워크를 통해 콘텐츠 파일을 전송해야 하는 요구 사항을 제거할 수 있습니다.

자세한 내용은 콘텐츠 관리를 위한 네트워크 대역폭 관리를 참조하세요.

클라이언트에서 사이트 시스템 및 서비스로의 통신

클라이언트는 사이트 시스템 역할, Active Directory Domain Services 및 온라인 서비스 통신을 시작합니다. 이러한 통신을 사용하도록 설정하려면 방화벽에서 클라이언트와 해당 통신의 엔드포인트 간의 네트워크 트래픽을 허용해야 합니다. 클라이언트가 이러한 엔드포인트와 통신할 때 사용하는 포트 및 프로토콜에 대한 자세한 내용은 Configuration Manager 사용되는 포트를 참조하세요.

클라이언트가 사이트 시스템 역할과 통신하기 전에 클라이언트는 서비스 위치를 사용하여 클라이언트의 프로토콜(HTTP 또는 HTTPS)을 지원하는 역할을 찾습니다. 기본적으로 클라이언트는 사용할 수 있는 가장 안전한 방법을 사용합니다. 자세한 내용은 클라이언트가 사이트 리소스 및 서비스를 찾는 방법 이해를 참조하세요.

Configuration Manager 클라이언트와 사이트 서버 간의 통신을 보호하려면 다음 옵션 중 하나를 구성합니다.

  • PKI(공개 키 인프라)를 사용하고 클라이언트 및 서버에 PKI 인증서를 설치합니다. 사이트 시스템이 HTTPS를 통해 클라이언트와 통신할 수 있도록 설정합니다. 인증서를 사용하는 방법에 대한 자세한 내용은 PKI 인증서 요구 사항을 참조하세요.

  • HTTP 사이트 시스템에 대해 Configuration Manager 생성된 인증서를 사용하도록 사이트를 구성합니다. 자세한 내용은 고급 HTTP를 참조하세요.

IIS(인터넷 정보 서비스)를 사용하고 클라이언트의 통신을 지원하는 사이트 시스템 역할을 배포하는 경우 클라이언트가 HTTP 또는 HTTPS를 사용하여 사이트 시스템에 연결할지 여부를 지정해야 합니다. HTTP를 사용하는 경우 서명 및 암호화 선택도 고려해야 합니다. 자세한 내용은 서명 및 암호화 계획을 참조하세요.

중요

Configuration Manager 버전 2103부터 HTTP 클라이언트 통신을 허용하는 사이트는 더 이상 사용되지 않습니다. HTTPS 또는 고급 HTTP에 대한 사이트를 구성합니다. 자세한 내용은 HTTPS 전용 또는 향상된 HTTP에 사이트 사용을 참조하세요.

클라이언트에서 관리 지점으로 통신

클라이언트가 관리 지점과 통신하는 경우 인증(전송) 및 권한 부여(메시지)의 두 단계가 있습니다. 이 프로세스는 다음 요인에 따라 달라집니다.

  • 사이트 구성: HTTPS만 허용하거나, HTTP 또는 HTTPS를 허용하거나, 향상된 HTTP를 사용하도록 설정된 HTTP 또는 HTTPS를 허용합니다.
  • 관리 지점 구성: HTTPS 또는 HTTP
  • 디바이스 중심 시나리오에 대한 디바이스 ID
  • 사용자 중심 시나리오에 대한 사용자 ID

다음 표를 사용하여 이 프로세스의 작동 방식을 이해합니다.

MP 유형 클라이언트 인증 클라이언트 권한 부여
장치 ID
클라이언트 권한 부여
사용자 ID
HTTP 익명
고급 HTTP를 사용하면 사이트에서 Microsoft Entra ID 사용자 또는 디바이스 토큰을 확인합니다.
위치 요청: 익명
클라이언트 패키지: 익명
등록- 다음 방법 중 하나를 사용하여 디바이스 ID를 증명합니다.
- 익명(수동 승인)
- Windows 통합 인증
- Microsoft Entra ID 디바이스 토큰(향상된 HTTP)
등록 후 클라이언트는 메시지 서명을 사용하여 디바이스 ID를 증명합니다.
사용자 중심 시나리오의 경우 다음 방법 중 하나를 사용하여 사용자 ID를 증명합니다.
- Windows 통합 인증
- id 사용자 토큰 Microsoft Entra(향상된 HTTP)
HTTPS 다음 방법 중 하나를 사용합니다.
- PKI 인증서
- Windows 통합 인증
- ID 사용자 또는 디바이스 토큰 Microsoft Entra
위치 요청: 익명
클라이언트 패키지: 익명
등록- 다음 방법 중 하나를 사용하여 디바이스 ID를 증명합니다.
- 익명(수동 승인)
- Windows 통합 인증
- PKI 인증서
- ID 사용자 또는 디바이스 토큰 Microsoft Entra
등록 후 클라이언트는 메시지 서명을 사용하여 디바이스 ID를 증명합니다.
사용자 중심 시나리오의 경우 다음 방법 중 하나를 사용하여 사용자 ID를 증명합니다.
- Windows 통합 인증
- ID 사용자 토큰 Microsoft Entra

다양한 디바이스 ID 유형 및 클라우드 관리 게이트웨이에 대한 관리 지점 구성에 대한 자세한 내용은 HTTPS에 대한 관리 지점 사용을 참조하세요.

클라이언트-배포 지점 통신

클라이언트가 배포 지점과 통신하는 경우 콘텐츠를 다운로드하기 전에 인증하기만 하면 됩니다. 다음 표를 사용하여 이 프로세스의 작동 방식을 이해합니다.

DP 형식 클라이언트 인증
HTTP - 익명(허용되는 경우)
- 컴퓨터 계정 또는 네트워크 액세스 계정을 사용한 Windows 통합 인증
- 콘텐츠 액세스 토큰(고급 HTTP)
HTTPS - PKI 인증서
- 컴퓨터 계정 또는 네트워크 액세스 계정을 사용한 Windows 통합 인증
- 콘텐츠 액세스 토큰

인터넷 또는 신뢰할 수 없는 포리스트의 클라이언트 통신에 대한 고려 사항

자세한 내용은 다음 문서를 참조하세요.

Active Directory 포리스트 간 통신

Configuration Manager Active Directory 포리스트에 걸쳐 있는 사이트 및 계층 구조를 지원합니다. 또한 사이트 서버와 동일한 Active Directory 포리스트에 없는 도메인 컴퓨터와 작업 그룹에 있는 컴퓨터를 지원합니다.

사이트 서버의 포리스트에서 신뢰할 수 없는 포리스트의 도메인 컴퓨터 지원

  • 해당 Active Directory 포리스트에 사이트 정보를 게시하는 옵션을 사용하여 신뢰할 수 없는 포리스트에 사이트 시스템 역할을 설치합니다.

  • 이러한 컴퓨터는 작업 그룹 컴퓨터인 것처럼 관리

신뢰할 수 없는 Active Directory 포리스트에 사이트 시스템 서버를 설치하면 해당 포리스트의 클라이언트 간 통신이 해당 포리스트 내에 유지되고 Configuration Manager Kerberos를 사용하여 컴퓨터를 인증할 수 있습니다. 클라이언트의 포리스트에 사이트 정보를 게시할 때 클라이언트는 할당된 관리 지점에서 이 정보를 다운로드하는 대신 Active Directory 포리스트에서 사용 가능한 관리 지점 목록과 같은 사이트 정보를 검색할 수 있습니다.

참고

인터넷에 있는 디바이스를 관리하려는 경우 사이트 시스템 서버가 Active Directory 포리스트에 있을 때 경계 네트워크에 인터넷 기반 사이트 시스템 역할을 설치할 수 있습니다. 이 시나리오에서는 경계 네트워크와 사이트 서버의 포리스트 간에 양방향 트러스트가 필요하지 않습니다.

작업 그룹의 컴퓨터 지원

  • 사이트 시스템 역할에 대한 HTTP 클라이언트 연결을 사용할 때 작업 그룹 컴퓨터를 수동으로 승인합니다. Configuration Manager Kerberos를 사용하여 이러한 컴퓨터를 인증할 수 없습니다.

  • 이러한 컴퓨터가 배포 지점에서 콘텐츠를 검색할 수 있도록 네트워크 액세스 계정을 사용하도록 작업 그룹 클라이언트를 구성합니다.

  • 작업 그룹 클라이언트가 관리 지점을 찾을 수 있는 대체 메커니즘을 제공합니다. DNS 게시를 사용하거나 관리 지점을 직접 할당합니다. 이러한 클라이언트는 Active Directory Domain Services 사이트 정보를 검색할 수 없습니다.

자세한 내용은 다음 문서를 참조하세요.

여러 도메인 및 포리스트에 걸쳐 있는 사이트 또는 계층 구조를 지원하는 시나리오

시나리오 1: 포리스트에 걸쳐 있는 계층 구조의 사이트 간 통신

이 시나리오에서는 Kerberos 인증을 지원하는 양방향 포리스트 트러스트가 필요합니다. Kerberos 인증을 지원하는 양방향 포리스트 트러스트가 없는 경우 Configuration Manager 원격 포리스트의 자식 사이트를 지원하지 않습니다.

Configuration Manager 부모 사이트의 포리스트에 필요한 양방향 트러스트가 있는 원격 포리스트에 자식 사이트 설치를 지원합니다. 예를 들어 필요한 트러스트가 있는 한 기본 부모 사이트와 다른 포리스트에 보조 사이트를 배치할 수 있습니다.

참고

자식 사이트는 기본 사이트(중앙 관리 사이트가 부모 사이트인 경우) 또는 보조 사이트일 수 있습니다.

Configuration Manager 사이트 간 통신은 데이터베이스 복제 및 파일 기반 전송을 사용합니다. 사이트를 설치할 때 지정된 서버에 사이트를 설치할 계정을 지정해야 합니다. 또한 이 계정은 사이트 간 통신을 설정하고 유지 관리합니다. 사이트가 파일 기반 전송 및 데이터베이스 복제를 성공적으로 설치하고 시작한 후에는 사이트 통신을 위해 다른 항목을 구성할 필요가 없습니다.

양방향 포리스트 트러스트가 있는 경우 Configuration Manager 추가 구성 단계가 필요하지 않습니다.

기본적으로 새 자식 사이트를 설치할 때 Configuration Manager 다음 구성 요소를 구성합니다.

  • 사이트 서버 컴퓨터 계정을 사용하는 각 사이트의 사이트 간 파일 기반 복제 경로입니다. Configuration Manager 대상 컴퓨터의 SMS_SiteToSiteConnection_< 사이트 코드> 그룹에 각 컴퓨터의 컴퓨터 계정을 추가합니다.

  • 각 사이트의 SQL Server 간에 데이터베이스 복제.

또한 다음 구성을 설정합니다.

  • 중간 방화벽 및 네트워크 디바이스는 Configuration Manager 필요한 네트워크 패킷을 허용해야 합니다.

  • 포리스트 간에 이름 확인이 작동해야 합니다.

  • 사이트 또는 사이트 시스템 역할을 설치하려면 지정된 컴퓨터에 대한 로컬 관리자 권한이 있는 계정을 지정해야 합니다.

시나리오 2: 포리스트에 걸쳐 있는 사이트의 통신

이 시나리오에서는 양방향 포리스트 트러스트가 필요하지 않습니다.

기본 사이트는 원격 포리스트의 컴퓨터에 사이트 시스템 역할 설치를 지원합니다.

  • 사이트 시스템 역할이 인터넷 연결을 허용하는 경우 보안 모범 사례로 포리스트 경계가 사이트 서버(예: 경계 네트워크)에 대한 보호를 제공하는 위치에 사이트 시스템 역할을 설치합니다.

신뢰할 수 없는 포리스트의 컴퓨터에 사이트 시스템 역할을 설치하려면 다음을 수행합니다.

  • 사이트에서 사이트 시스템 역할을 설치하는 데 사용하는 사이트 시스템 설치 계정을 지정합니다. (이 계정에 연결하려면 로컬 관리 자격 증명이 있어야 합니다.) 그런 다음, 지정된 컴퓨터에 사이트 시스템 역할을 설치합니다.

  • 사이트 시스템 옵션 사이트 서버에서 이 사이트 시스템에 대한 연결을 시작하도록 요구 옵션을 선택합니다. 이 설정을 사용하려면 사이트 서버가 데이터를 전송하기 위해 사이트 시스템 서버에 대한 연결을 설정해야 합니다. 이 구성을 사용하면 신뢰할 수 없는 위치에 있는 컴퓨터가 신뢰할 수 있는 네트워크 내에 있는 사이트 서버와의 접촉을 시작할 수 없습니다. 이러한 연결은 사이트 시스템 설치 계정을 사용합니다.

신뢰할 수 없는 포리스트에 설치된 사이트 시스템 역할을 사용하려면 사이트 서버가 데이터 전송을 시작하는 경우에도 방화벽에서 네트워크 트래픽을 허용해야 합니다.

또한 다음 사이트 시스템 역할은 사이트 데이터베이스에 직접 액세스해야 합니다. 따라서 방화벽은 신뢰할 수 없는 포리스트에서 사이트의 SQL Server 해당하는 트래픽을 허용해야 합니다.

  • Asset Intelligence 동기화 지점

  • Endpoint Protection 지점

  • 등록 지점

  • 관리 포인트

  • 보고 서비스 지점

  • 상태 마이그레이션 지점

자세한 내용은 Configuration Manager 사용되는 포트를 참조하세요.

사이트 데이터베이스에 대한 관리 지점 및 등록 지점 액세스를 구성해야 할 수 있습니다.

  • 기본적으로 이러한 역할을 설치할 때 Configuration Manager 새 사이트 시스템 서버의 컴퓨터 계정을 사이트 시스템 역할에 대한 연결 계정으로 구성합니다. 그런 다음 적절한 SQL Server 데이터베이스 역할에 계정을 추가합니다.

  • 신뢰할 수 없는 도메인에 이러한 사이트 시스템 역할을 설치하는 경우 사이트 시스템 역할이 데이터베이스에서 정보를 가져올 수 있도록 사이트 시스템 역할 연결 계정을 구성합니다.

이러한 사이트 시스템 역할에 대한 연결 계정으로 도메인 사용자 계정을 구성하는 경우 도메인 사용자 계정에 해당 사이트의 SQL Server 데이터베이스에 대한 적절한 액세스 권한이 있는지 확인합니다.

  • 관리 지점: 관리 지점 데이터베이스 연결 계정

  • 등록 지점: 등록 지점 연결 계정

다른 포리스트에서 사이트 시스템 역할을 계획할 때 다음 추가 정보를 고려합니다.

  • Windows 방화벽을 실행하는 경우 사이트 데이터베이스 서버와 원격 사이트 시스템 역할과 함께 설치된 컴퓨터 간의 통신을 전달하도록 해당 방화벽 프로필을 구성합니다.

  • 인터넷 기반 관리 지점에서 사용자 계정이 포함된 포리스트를 신뢰하는 경우 사용자 정책이 지원됩니다. 트러스트가 없으면 컴퓨터 정책만 지원됩니다.

시나리오 3: 클라이언트가 사이트 서버와 동일한 Active Directory 포리스트에 없는 경우 클라이언트와 사이트 시스템 역할 간의 통신

Configuration Manager 사이트의 사이트 서버와 동일한 포리스트에 있지 않은 클라이언트에 대해 다음 시나리오를 지원합니다.

  • 클라이언트의 포리스트와 사이트 서버의 포리스트 간에 양방향 포리스트 트러스트가 있습니다.

  • 사이트 시스템 역할 서버는 클라이언트와 동일한 포리스트에 있습니다.

  • 클라이언트는 사이트 서버와 양방향 포리스트 트러스트가 없는 도메인 컴퓨터에 있으며 사이트 시스템 역할은 클라이언트의 포리스트에 설치되지 않습니다.

  • 클라이언트가 작업 그룹 컴퓨터에 있습니다.

도메인에 가입된 컴퓨터의 클라이언트는 사이트가 Active Directory 포리스트에 게시될 때 서비스 위치에 Active Directory Domain Services 사용할 수 있습니다.

다른 Active Directory 포리스트에 사이트 정보를 게시하려면 다음을 수행합니다.

  • 포리스트를 지정한 다음 관리 작업 영역의 Active Directory 포리스트 노드에서 해당 포리스트에 게시를 사용하도록 설정합니다.

  • 데이터를 Active Directory Domain Services 게시하도록 각 사이트를 구성합니다. 이 구성을 사용하면 해당 포리스트의 클라이언트가 사이트 정보를 검색하고 관리 지점을 찾을 수 있습니다. 서비스 위치에 Active Directory Domain Services 사용할 수 없는 클라이언트의 경우 DNS 또는 클라이언트의 할당된 관리 지점을 사용할 수 있습니다.

시나리오 4: 원격 포리스트에 Exchange Server 커넥터 배치

이 시나리오를 지원하려면 포리스트 간에 이름 확인이 작동하는지 확인합니다. 예를 들어 DNS 전달을 구성합니다. Exchange Server 커넥터를 구성할 때 Exchange Server 인트라넷 FQDN을 지정합니다. 자세한 내용은 Configuration Manager 및 Exchange를 사용하여 모바일 디바이스 관리를 참조하세요.

참고 항목