Udostępnij za pośrednictwem


Komunikacja między punktami końcowymi w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

W tym artykule opisano sposób, w jaki Configuration Manager systemy lokacji i klienci komunikują się w sieci. Zawiera następujące sekcje:

Komunikacja między systemami lokacji w lokacji

Gdy Configuration Manager systemy lokacji lub składniki komunikują się przez sieć z innymi systemami lokacji lub składnikami w lokacji, używają jednego z następujących protokołów, w zależności od sposobu konfigurowania lokacji:

  • Blok komunikatów serwera (SMB)

  • HTTP

  • HTTPS

Z wyjątkiem komunikacji między serwerem lokacji a punktem dystrybucji komunikacja między serwerami w lokacji może wystąpić w dowolnym momencie. Ta komunikacja nie używa mechanizmów do kontrolowania przepustowości sieci. Ponieważ nie można kontrolować komunikacji między systemami lokacji, upewnij się, że serwery systemu lokacji są instalowane w lokalizacjach, które mają szybkie i dobrze połączone sieci.

Serwer lokacji do punktu dystrybucji

Aby ułatwić zarządzanie transferem zawartości z serwera lokacji do punktów dystrybucji, użyj następujących strategii:

  • Skonfiguruj punkt dystrybucji na potrzeby kontroli przepustowości sieci i planowania. Te kontrolki przypominają konfiguracje używane przez adresy międzylokacyjne. Użyj tej konfiguracji zamiast instalowania innej lokacji Configuration Manager, gdy transfer zawartości do lokalizacji sieci zdalnej jest głównym zagadnieniem dotyczącym przepustowości.

  • Punkt dystrybucji można zainstalować jako wstępnie przygotowany punkt dystrybucji. Wstępnie przygotowany punkt dystrybucji umożliwia użycie zawartości, która jest ręcznie umieszczana na serwerze punktu dystrybucji i usuwa wymaganie transferu plików zawartości przez sieć.

Aby uzyskać więcej informacji, zobacz Zarządzanie przepustowością sieci na potrzeby zarządzania zawartością.

Komunikacja między klientami a systemami lokacji i usługami

Klienci inicjują komunikację z rolami systemu lokacji, Active Directory Domain Services i Usługi online. Aby umożliwić komunikację, zapory muszą zezwalać na ruch sieciowy między klientami a punktem końcowym ich komunikacji. Aby uzyskać więcej informacji na temat portów i protokołów używanych przez klientów podczas komunikowania się z tymi punktami końcowymi, zobacz Porty używane w Configuration Manager.

Zanim klient będzie mógł komunikować się z rolą systemu lokacji, klient używa lokalizacji usługi do znalezienia roli, która obsługuje protokół klienta (HTTP lub HTTPS). Domyślnie klienci używają najbezpieczniejszej dostępnej dla nich metody. Aby uzyskać więcej informacji, zobacz Artykuł Understand how clients find site resources and services (Dowiedz się, jak klienci znajdują zasoby i usługi lokacji).

Aby zabezpieczyć komunikację między klientami Configuration Manager i serwerami lokacji, skonfiguruj jedną z następujących opcji:

  • Użyj infrastruktury kluczy publicznych (PKI) i zainstaluj certyfikaty infrastruktury kluczy publicznych na klientach i serwerach. Umożliwianie systemom lokacji komunikowania się z klientami za pośrednictwem protokołu HTTPS. Aby uzyskać informacje o sposobie używania certyfikatów, zobacz Wymagania dotyczące certyfikatów infrastruktury kluczy publicznych.

  • Skonfiguruj lokację tak, aby używała certyfikatów generowanych przez Configuration Manager dla systemów lokacji HTTP. Aby uzyskać więcej informacji, zobacz Rozszerzony protokół HTTP.

Podczas wdrażania roli systemu lokacji, która korzysta z usług Internet Information Services (IIS) i obsługuje komunikację z klientami, należy określić, czy klienci łączą się z systemem lokacji przy użyciu protokołu HTTP lub HTTPS. Jeśli używasz protokołu HTTP, należy również rozważyć opcje podpisywania i szyfrowania. Aby uzyskać więcej informacji, zobacz Planowanie podpisywania i szyfrowania.

Ważna

Począwszy od Configuration Manager wersji 2103, witryny, które zezwalają na komunikację klienta HTTP, są przestarzałe. Skonfiguruj witrynę pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji, zobacz Włączanie witryny dla protokołu HTTPS lub rozszerzonego protokołu HTTP.

Komunikacja między klientem a punktem zarządzania

Istnieją dwa etapy, gdy klient komunikuje się z punktem zarządzania: uwierzytelnianie (transport) i autoryzacja (komunikat). Ten proces różni się w zależności od następujących czynników:

  • Konfiguracja lokacji: tylko protokół HTTPS, zezwala na protokół HTTP lub HTTPS albo zezwala na protokół HTTP lub HTTPS z rozszerzonym protokołem HTTP
  • Konfiguracja punktu zarządzania: HTTPS lub HTTP
  • Tożsamość urządzenia dla scenariuszy zorientowanych na urządzenia
  • Tożsamość użytkownika dla scenariuszy zorientowanych na użytkownika

Skorzystaj z poniższej tabeli, aby zrozumieć, jak działa ten proces:

Typ MP Uwierzytelnianie klienta Autoryzacja klienta
Tożsamość urządzenia
Autoryzacja klienta
Tożsamość użytkownika
HTTP Anonimowy
W przypadku rozszerzonego protokołu HTTP witryna weryfikuje token użytkownika lub urządzenia Microsoft Entra identyfikatora.
Żądanie lokalizacji: anonimowe
Pakiet klienta: Anonimowy
Rejestracja przy użyciu jednej z następujących metod w celu udowodnienia tożsamości urządzenia:
— Anonimowe (ręczne zatwierdzanie)
— Uwierzytelnianie zintegrowane z systemem Windows
— token urządzenia z identyfikatorem Microsoft Entra (rozszerzony protokół HTTP)
Po rejestracji klient używa podpisywania komunikatów, aby udowodnić tożsamość urządzenia
W przypadku scenariuszy zorientowanych na użytkownika użyj jednej z następujących metod, aby udowodnić tożsamość użytkownika:
— Uwierzytelnianie zintegrowane z systemem Windows
— token użytkownika identyfikatora Microsoft Entra (rozszerzony protokół HTTP)
HTTPS Przy użyciu jednej z następujących metod:
- Certyfikat infrastruktury kluczy publicznych
— Uwierzytelnianie zintegrowane z systemem Windows
— Microsoft Entra identyfikatora użytkownika lub tokenu urządzenia
Żądanie lokalizacji: anonimowe
Pakiet klienta: Anonimowy
Rejestracja przy użyciu jednej z następujących metod w celu udowodnienia tożsamości urządzenia:
— Anonimowe (ręczne zatwierdzanie)
— Uwierzytelnianie zintegrowane z systemem Windows
- Certyfikat infrastruktury kluczy publicznych
— Microsoft Entra identyfikatora użytkownika lub tokenu urządzenia
Po rejestracji klient używa podpisywania komunikatów, aby udowodnić tożsamość urządzenia
W przypadku scenariuszy zorientowanych na użytkownika użyj jednej z następujących metod, aby udowodnić tożsamość użytkownika:
— Uwierzytelnianie zintegrowane z systemem Windows
— token użytkownika Microsoft Entra identyfikatora

Porada

Aby uzyskać więcej informacji na temat konfiguracji punktu zarządzania dla różnych typów tożsamości urządzeń i bramy zarządzania chmurą, zobacz Włączanie punktu zarządzania dla protokołu HTTPS.

Komunikacja między klientem a punktem dystrybucji

Gdy klient komunikuje się z punktem dystrybucji, musi tylko uwierzytelnić się przed pobraniem zawartości. Skorzystaj z poniższej tabeli, aby zrozumieć, jak działa ten proces:

Typ dp Uwierzytelnianie klienta
HTTP — Anonimowe, jeśli jest dozwolone
— Uwierzytelnianie zintegrowane z systemem Windows przy użyciu konta komputera lub konta dostępu do sieci
— Token dostępu do zawartości (rozszerzony protokół HTTP)
HTTPS - Certyfikat infrastruktury kluczy publicznych
— Uwierzytelnianie zintegrowane z systemem Windows przy użyciu konta komputera lub konta dostępu do sieci
— Token dostępu do zawartości

Zagadnienia dotyczące komunikacji klienta z Internetu lub niezaufanego lasu

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Komunikacja między lasami usługi Active Directory

Configuration Manager obsługuje lokacje i hierarchie obejmujące lasy usługi Active Directory. Obsługuje również komputery domeny, które nie znajdują się w tym samym lesie usługi Active Directory co serwer lokacji, oraz komputery znajdujące się w grupach roboczych.

Obsługa komputerów domeny w lesie, który nie jest zaufany przez las serwera lokacji

  • Zainstaluj role systemu lokacji w tym niezaufanym lesie z opcją publikowania informacji o lokacji w tym lesie usługi Active Directory

  • Zarządzaj tymi komputerami tak, jakby były komputerami grupy roboczej

Podczas instalowania serwerów systemu lokacji w niezaufanym lesie usługi Active Directory komunikacja klient-serwer z klientów w tym lesie jest przechowywana w tym lesie, a Configuration Manager może uwierzytelnić komputer przy użyciu protokołu Kerberos. Podczas publikowania informacji o lokacji w lesie klienta klienci korzystają z pobierania informacji o lokacji, takich jak lista dostępnych punktów zarządzania, z lasu usługi Active Directory, zamiast pobierać te informacje z przypisanego do nich punktu zarządzania.

Uwaga

Jeśli chcesz zarządzać urządzeniami w Internecie, możesz zainstalować internetowe role systemu lokacji w sieci obwodowej, gdy serwery systemu lokacji znajdują się w lesie usługi Active Directory. Ten scenariusz nie wymaga dwukierunkowego zaufania między siecią obwodową a lasem serwera lokacji.

Obsługa komputerów w grupie roboczej

  • Ręczne zatwierdzanie komputerów grupy roboczej podczas korzystania z połączeń klienta HTTP z rolami systemu lokacji. Configuration Manager nie może uwierzytelnić tych komputerów przy użyciu protokołu Kerberos.

  • Skonfiguruj klientów grupy roboczej, aby korzystali z konta dostępu do sieci, aby te komputery mogły pobierać zawartość z punktów dystrybucji.

  • Udostępnij klientom grupy roboczej alternatywny mechanizm znajdowania punktów zarządzania. Użyj publikowania DNS lub bezpośrednio przypisz punkt zarządzania. Ci klienci nie mogą pobierać informacji o lokacji z Active Directory Domain Services.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Scenariusze obsługi lokacji lub hierarchii obejmującej wiele domen i lasów

Scenariusz 1. Komunikacja między lokacjami w hierarchii obejmującej lasy

Ten scenariusz wymaga dwukierunkowego zaufania lasu, które obsługuje uwierzytelnianie kerberos. Jeśli nie masz dwukierunkowego zaufania lasu, który obsługuje uwierzytelnianie Kerberos, Configuration Manager nie obsługuje lokacji podrzędnej w lesie zdalnym.

Configuration Manager obsługuje instalowanie lokacji podrzędnej w lesie zdalnym, który ma wymagane dwukierunkowe zaufanie do lasu lokacji nadrzędnej. Na przykład lokację dodatkową można umieścić w innym lesie niż jej podstawowa lokacja nadrzędna, o ile istnieje wymagane zaufanie.

Uwaga

Lokacja podrzędna może być lokacją główną (gdzie centralna lokacja administracyjna jest lokacją nadrzędną) lub lokacją dodatkową.

Komunikacja międzylokacyjna w Configuration Manager korzysta z replikacji bazy danych i transferów opartych na plikach. Podczas instalowania lokacji należy określić konto, za pomocą którego ma zostać zainstalowana lokacja na wyznaczonym serwerze. To konto umożliwia również nawiązywanie i utrzymywanie komunikacji między lokacjami. Po pomyślnym zainstalowaniu lokacji i zainicjowaniu transferów opartych na plikach i replikacji bazy danych nie trzeba konfigurować żadnych innych elementów do komunikacji z lokacją.

Gdy istnieje dwukierunkowa relacja zaufania lasu, Configuration Manager nie wymaga żadnych dodatkowych kroków konfiguracji.

Domyślnie podczas instalowania nowej lokacji podrzędnej Configuration Manager konfiguruje następujące składniki:

  • Międzylokacyjna trasa replikacji oparta na plikach w każdej lokacji, która korzysta z konta komputera serwera lokacji. Configuration Manager dodaje konto komputera każdego komputera do grupy SMS_SiteToSiteConnection_<sitecode> na komputerze docelowym.

  • Replikacja bazy danych między serwerami SQL Server w każdej lokacji.

Ustaw również następujące konfiguracje:

  • Interweniujące zapory i urządzenia sieciowe muszą zezwalać na pakiety sieciowe, których Configuration Manager wymaga.

  • Rozpoznawanie nazw musi działać między lasami.

  • Aby zainstalować rolę lokacji lub systemu lokacji, należy określić konto, które ma uprawnienia administratora lokalnego na określonym komputerze.

Scenariusz 2. Komunikacja w lokacji obejmującej lasy

Ten scenariusz nie wymaga dwukierunkowego zaufania lasu.

Lokacje główne obsługują instalację ról systemu lokacji na komputerach w lasach zdalnych.

  • Gdy rola systemu lokacji akceptuje połączenia z Internetu, jako najlepsze rozwiązanie w zakresie zabezpieczeń zainstaluj role systemu lokacji w lokalizacji, w której granica lasu zapewnia ochronę serwera lokacji (na przykład w sieci obwodowej).

Aby zainstalować rolę systemu lokacji na komputerze w niezaufanym lesie:

  • Określ konto instalacji systemu lokacji używane przez lokację do zainstalowania roli systemu lokacji. (To konto musi mieć lokalne poświadczenia administracyjne, z którymi chcesz nawiązać połączenie). Następnie zainstaluj role systemu lokacji na określonym komputerze.

  • Wybierz opcję System lokacji Wymagaj od serwera lokacji inicjowania połączeń z tym systemem lokacji. To ustawienie wymaga, aby serwer lokacji nawiązywał połączenia z serwerem systemu lokacji w celu przesyłania danych. Ta konfiguracja uniemożliwia komputerowi w niezaufanej lokalizacji inicjowanie kontaktu z serwerem lokacji znajdującym się w zaufanej sieci. Te połączenia używają konta instalacji systemu lokacji.

Aby użyć roli systemu lokacji zainstalowanej w niezaufanym lesie, zapory muszą zezwalać na ruch sieciowy nawet wtedy, gdy serwer lokacji inicjuje transfer danych.

Ponadto następujące role systemu lokacji wymagają bezpośredniego dostępu do bazy danych lokacji. W związku z tym zapory muszą zezwalać na odpowiedni ruch z niezaufanego lasu do SQL Server lokacji:

  • Punkt synchronizacji analizy zasobów

  • Punkt ochrony punktu końcowego

  • Punkt rejestracji

  • Punkt zarządzania

  • Punkt usługi raportowania

  • Punkt migracji stanu

Aby uzyskać więcej informacji, zobacz Porty używane w Configuration Manager.

Może być konieczne skonfigurowanie punktu zarządzania i dostępu punktu rejestracji do bazy danych lokacji.

  • Domyślnie podczas instalowania tych ról Configuration Manager konfiguruje konto komputera nowego serwera systemu lokacji jako konto połączenia dla roli systemu lokacji. Następnie dodaje konto do odpowiedniej roli bazy danych SQL Server.

  • Podczas instalowania tych ról systemu lokacji w niezaufanej domenie skonfiguruj konto połączenia roli systemu lokacji, aby umożliwić roli systemu lokacji uzyskiwanie informacji z bazy danych.

Jeśli skonfigurujesz konto użytkownika domeny jako konto połączenia dla tych ról systemu lokacji, upewnij się, że konto użytkownika domeny ma odpowiedni dostęp do bazy danych SQL Server w tej lokacji:

  • Punkt zarządzania: konto połączenia z bazą danych punktu zarządzania

  • Punkt rejestracji: konto połączenia punktu rejestracji

Podczas planowania ról systemu lokacji w innych lasach należy wziąć pod uwagę następujące dodatkowe informacje:

  • Jeśli uruchamiasz zaporę systemu Windows, skonfiguruj odpowiednie profile zapory tak, aby przekazywały komunikację między serwerem bazy danych lokacji a komputerami zainstalowanymi z rolami zdalnego systemu lokacji.

  • Gdy internetowy punkt zarządzania ufa lasowi zawierającemu konta użytkowników, zasady użytkownika są obsługiwane. Jeśli zaufanie nie istnieje, obsługiwane są tylko zasady komputera.

Scenariusz 3. Komunikacja między klientami a rolami systemu lokacji, gdy klienci nie są w tym samym lesie usługi Active Directory co serwer lokacji

Configuration Manager obsługuje następujące scenariusze dla klientów, którzy nie znajdują się w tym samym lesie co serwer lokacji lokacji:

  • Istnieje dwukierunkowe zaufanie lasu między lasem klienta a lasem serwera lokacji.

  • Serwer roli systemu lokacji znajduje się w tym samym lesie co klient.

  • Klient znajduje się na komputerze domeny, który nie ma dwukierunkowego zaufania lasu z serwerem lokacji, a role systemu lokacji nie są instalowane w lesie klienta.

  • Klient znajduje się na komputerze grupy roboczej.

Klienci na komputerze przyłączonym do domeny mogą używać Active Directory Domain Services dla lokalizacji usługi, gdy ich lokacja zostanie opublikowana w lesie usługi Active Directory.

Aby opublikować informacje o witrynie w innym lesie usługi Active Directory:

  • Określ las, a następnie włącz publikowanie w tym lesie w węźle Lasy usługi Active Directory obszaru roboczego Administracja .

  • Skonfiguruj każdą witrynę tak, aby publikowała swoje dane w celu Active Directory Domain Services. Ta konfiguracja umożliwia klientom w tym lesie pobieranie informacji o lokacji i znajdowanie punktów zarządzania. W przypadku klientów, którzy nie mogą używać Active Directory Domain Services dla lokalizacji usługi, można użyć systemu DNS lub przypisanego punktu zarządzania klienta.

Scenariusz 4. Umieszczanie łącznika Exchange Server w lesie zdalnym

Aby obsłużyć ten scenariusz, upewnij się, że rozpoznawanie nazw działa między lasami. Na przykład skonfiguruj przekazywanie dns. Podczas konfigurowania łącznika Exchange Server określ intranetowe nazwy FQDN Exchange Server. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami przenośnymi za pomocą Configuration Manager i programu Exchange.

Zobacz też