Planowanie komunikacji w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Przed instalacją programu System Center 2012 Configuration Manager należy zaplanować komunikację sieciową między różnymi lokacjami w hierarchii, różnymi serwerami systemu lokacji w ramach lokacji oraz między klientami i serwerami systemu lokacji. Komunikacja może być realizowana w ramach jednej domeny lub wielu lasów usługi Active Directory. Można także zaplanować komunikację z zakresu zarządzania klientami przez Internet.

W następujących sekcjach tego tematu znajdują się informacje, które pozwolą zaplanować komunikację w programie Menedżer konfiguracji:

• Planowanie komunikacji między lokacjami w programie Configuration Manager

  • Replikacja oparta na plikach

  • Replikacja bazy danych

• Planowanie komunikacji międzylokacyjnej w programie Configuration Manager

• Planowanie komunikacji z klientem w programie Configuration Manager

  • Komunikacja zainicjowana przez klientów

  • Usługa lokacji i metoda określania przypisanego punktu zarządzania przez klientów

  • Planowanie sposobu wznawiania działania klientów

• Planowanie komunikacji między lasami w programie Configuration Manager

• Planowanie internetowego zarządzania klientami

  • Funkcje nieobsługiwane przez Internet

  • Uwagi dotyczące komunikacji klienta z Internetu lub niezaufanego lasu

  • Planowanie obsługi klientów internetowych

  • Wymagania wstępne dotyczące internetowego zarządzania klientami

• Planowanie przepustowości sieci w programie Configuration Manager

  • Kontrolowanie użycia przepustowości sieci między lokacjami

  • Kontrolowanie użycia przepustowości sieci między serwerami systemu lokacji

  • Kontrolowanie użycia przepustowości sieci między klientami a serwerami systemu lokacji

Co nowego w programie Configuration Manager

Uwaga

Informacje podane w tej części występują również w— przewodnik Wprowadzenie do programu System Center 2012 Configuration Manager.

Następujące elementy są nowe lub zostały zmienione pod względem komunikacji z lokacją od wydania programu Configuration Manager 2007:

• Oprócz replikacji plikowej, konfiguracja między lokacjami korzysta obecnie z replikacji bazy danych do wielu transferów danych między lokacjami, w tym konfiguracji i ustawień.

• Koncepcja zastosowana w programie Configuration Manager 2007 polegająca na użyciu lokacji trybu mieszanego lub macierzystego w celu określania sposobu, w jaki klienci komunikują się z systemami lokacji w danej lokacji, została zastąpiona rolami systemu lokacji niezależnie obsługującymi komunikację z klientem za pośrednictwem protokołu HTTP lub HTTPS.

• Aby obsługiwać komputery klienckie w innych lasach, program Menedżer konfiguracji może odkrywać komputery w takich lasach i publikować w nich informacje o lokacji.

• Punkt lokalizacji serwera nie jest już używany, a funkcjonalność tej roli systemu lokacji została przeniesiona do punktu zarządzania.

• Internetowe zarządzanie klientami obsługuje obecnie następujące funkcje:

  • Zasady użytkownika, jeśli internetowy punkt zarządzania uwierzytelnił użytkownika za pomocą uwierzytelniania systemu Windows (Kerberos lub NTLM).

  • Proste sekwencje zadań, jak skrypty. Wdrożenie systemu operacyjnego przez Internet nadal nie jest obsługiwane.

  • Klienci internetowi w Internecie najpierw spróbują pobrać wymagane aktualizacje oprogramowania z witryny Microsoft Update, a nie z internetowego punktu dystrybucji w przypisanej lokacji. Dopiero, gdy to się nie powiedzie, zostanie podjęta próba pobrania niezbędnych aktualizacji oprogramowania z internetowego punktu dystrybucji.

Co nowego w programie Configuration Manager SP1

Uwaga

Informacje podane w tej części występują również w— przewodnik Wprowadzenie do programu System Center 2012 Configuration Manager.

Następujące elementy są nowe lub zostały zmienione pod względem komunikacji z lokacją od wydania programu Menedżer konfiguracji SP1:

• Używane w replikacji plikowej adresy zostały zastąpione przez marszruty replikacji plików. Zmiana ta dotyczy jedynie nazwy w replikacjach plikowych, a została wprowadzona w celu zapewnienia spójności z replikacją baz danych. W funkcjonalności nie nastąpiła żadna zmiana.

• Konfiguracja odnośników replikacji bazy danych między bazami danych lokacji pozwala na kontrolowanie i monitorowanie ruchu sieciowego w zakresie replikacji bazy danych:

  • Widoki rozproszone uniemożliwiają replikację wybranych danych lokacji z lokacji głównej do centralnej lokacji administracyjnej. Centralna lokacja administracyjna następnie uzyskuje bezpośredni dostęp do tych danych z baza danych lokacji głównej.

  • Zaplanuj transfer wybranych danych lokacji między odnośnikami replikacji bazy danych.

  • Kontroluj częstotliwość zestawiania w raportach ruchu w sieci powodowanego przez replikację.

  • Zdefiniuj niestandardowe progi powodujące zgłoszenie alertu dotyczącego problemu z replikacją.

• Skonfiguruj sterowanie replikacją bazy danych programu SQL Server w lokacji:

  • Zmień port używany przez program Menedżer konfiguracji dla usługi SQL Server Service Broker.

  • Skonfiguruj czas oczekiwania zanim błąd replikacji wywoła w lokacji ponowną inicjalizację kopii bazy danych lokacji.

  • Skonfiguruj bazę danych lokacji, aby dane były kompresowane w ramach replikacji bazy danych. Dane są kompresowane tylko w ramach transferu między lokacjami, a nie przechowywania w bazie danych lokacji po jednej stronie.

• Gdy klient Menedżer konfiguracji SP1 jest uruchomiony na komputerze z systemem operacyjnym Windows 7, Windows 8, Windows Server 2008 R2 i Windows Server 2012, można uzupełnić ustawienie Wake On LAN o pakiety przesyłane w emisji pojedynczej, używając ustawień klienta serwera proxy wzbudzania. Pozwala to na wzbudzenie komputerów w podsieciach bez konieczności rekonfiguracji przełączników sieciowych.

Planowanie komunikacji między lokacjami w programie Configuration Manager

W hierarchii programu Menedżer konfiguracji każda lokacja komunikuje się z lokacją nadrzędną i bezpośrednimi lokacjami podrzędnymi za pomocą dwóch metod transferu danych: replikacji plikowej oraz replikacji baz danych. Lokacje dodatkowe nie tylko komunikują się z nadrzędnymi lokacjami głównymi za pomocą obu metod transferu danych, lecz także z lokacjami dodatkowymi za pomocą replikacji plikowej. Pozwala to na opracowanie marszruty zawartości do zdalnych lokacji sieciowych.

Program Menedżer konfiguracji używa replikacji plikowej oraz replikacji baz danych do transferowania różnych typów informacji między lokacjami.

Replikacja oparta na plikach

Program Menedżer konfiguracji używa replikacji plikowej oraz replikacji baz danych do transferowania lokacji w ramach hierarchii. W danych tych znajdują się m.in aplikacje i pakiety, które chcesz wdrożyć w punktach dystrybucji w lokacjach podrzędnych, oraz nieprzetworzone rekordy danych odnajdywania przetransferowane w trakcie przetwarzania do lokacji nadrzędnych.

Komunikacja plikowa między lokacjami używa protokołu SMB i portu TCP/IP 445. Istnieje możliwość skonfigurowania ograniczenia przepustowości i trybu impulsów w celu sterowania ilością danych transferowanych przez sieć oraz ustalenia jego harmonogramu.

Od programu Menedżer konfiguracji SP1 adresy zostały zmienione na marszruty replikacji plików. Pozwoliło to osiągnąć spójność z replikacją baz danych. Przed dodatkiem SP1 program Menedżer konfiguracji nawiązywał połączenie z udziałem lokacji SMS_SITE na serwerze lokacji docelowej w celu transferu danych opartych na pliku, używając do tego adresu. Marszruty replikacji plików i adresy działają w ten sam sposób i obsługują takie same konfiguracje.

Następujące sekcje zostały napisane z uwzględnieniem zmian w dodatku Service Pack 1 z wprowadzonym odniesieniem do marszrut replikacji plików, a nie do adresów. Jeśli program Menedżer konfiguracji jest używany bez dodatku Service Pack, należy użyć informacji z poniższej tabeli w celu zamiany odniesień do marszrut replikacji plików na adresy.

Od programu Menedżer konfiguracji z dodatkiem SP1	Menedżer konfiguracji bez dodatku Service Pack
Konto replikacji plików	Konto adresu lokacji
Marszruta replikacji plików	Adres
Węzeł Replikacja plików w konsoli programu Menedżer konfiguracji	Węzeł Adres w konsoli programu Menedżer konfiguracji

Marszruty replikacji plików

Program Menedżer konfiguracji używa między lokacjami w ramach hierarchii marszrut replikacji plików oraz replikacji danych opartej na plikach. Marszruty replikacji plików zastąpił używane w poprzednich wersjach programu Menedżer konfiguracji adresy. Funkcjonalność marszrut replikacji plików jest taka sama, co adresów. Poniższa tabela zawiera informacje o marszrutach replikacji plików.

Obiekt	Więcej informacji
Marszruta replikacji plików	Każda marszruta replikacji plików określa lokację docelową, do której można przetransferować dane oparte na plikach. Każda lokacja obsługuje jedną marszrutę replikacji plików do określonej lokacji docelowej. Program Menedżer konfiguracji obsługuje następujące konfiguracje marszrut replikacji plików: Konto replikacji plików: to konto jest używane do łączenia się z lokacją docelową i zapisywania danych w udziale SMS_SITE w tej lokacji. Dane zapisywane w tym udziale są przetwarzane przez lokację odbierającą. Domyślnie po dodaniu lokacji do hierarchii program Menedżer konfiguracji przypisuje konto komputera nowego serwera lokacji do konta replikacji plików danych lokacji. Następnie to konto jest dodawane do grupy SMS_SiteToSiteConnection_<kod_lokacji> w lokacji docelowej. Jest to grupa lokalna na komputerze przyznająca dostęp do udziału SMS_SITE. Można zmienić to konto na konto użytkownika systemu Windows. Po zmianie konta należy pamiętać o jego dodaniu do grupy SMS_SiteToSiteConnection_<kod_lokacji> w lokacji docelowej. Uwaga Lokacje dodatkowe zawsze używają konta komputera serwera lokacji dodatkowej jako konta replikacji plików. Harmonogram: można skonfigurować harmonogram każdej trasy replikacji plików w celu ograniczenia typu danych oraz czasu przesłania danych do lokacji docelowej. Limity szybkości: można skonfigurować limity szybkości dla każdej trasy replikacji plików. Pozwala to na sterowanie przepustowością sieci używaną do przesyłania danych do lokacji docelowej. Funkcja Tryb impulsu pozwala określić rozmiar bloków danych wysyłanych do lokacji docelowej. Można również określić opóźnienie między wysłaniem kolejnych bloków danych. Tej opcji można użyć podczas przesyłania danych do lokacji docelowej przy użyciu połączenia sieciowego o bardzo niskiej przepustowości. Można na przykład ustawić ograniczenie zezwalające na przesyłanie 1 KB danych co pięć sekund, lecz nie co trzy sekundy, niezależnie od szybkości łącza lub jego obciążenia w danym momencie. Za pomocą opcji Ograniczone do podanych maksymalnych szybkości transferu wg godziny można ustawić, aby dane były wysyłane do lokacji docelowej wyłącznie z wykorzystaniem skonfigurowanej wartości procentowej czasu. W przypadku wybrania tej opcji program Menedżer konfiguracji nie będzie rozpoznawał dostępnej przepustowości sieci, lecz podzieli dostępny czas przesyłania danych na okresy. Następnie dane będą wysyłane przez krótki czas, po którym nastąpią okresy bez przesyłania danych. Jeśli na przykład maksymalna szybkość wynosi 50%, naprzemienne okresy przesyłania i nieprzesyłania danych przez program Menedżer konfiguracji będą równej długości. Zarządzanie nie dotyczy rzeczywistej ilości danych lub rozmiaru bloku danych, lecz jedynie czasu przesyłania danych. Przestroga Domyślne jedna lokacja może realizować maksymalnie trzy jednoczesne procesy transferowania danych do lokacji docelowej. Po włączeniu limitów szybkości dla marszruty replikacji plików liczba jednoczesnych procesów zostanie zredukowana do jednego. Ma to zastosowanie nawet przy opcji Ogranicz dostępną przepustowość (%) ustawionej na 100%. Przykładowo po wybraniu domyślnego ustawienia dla nadawcy szybkość transferu do lokacji docelowej zostanie zredukowana do 1/3 wydajności domyślnej. Istnieje możliwość skonfigurowania marszruty replikacji plików między dwiema lokacjami dodatkowymi tak, aby realizować między nimi przesyłanie zawartości opartej na plikach. Aby obsłużyć marszrutę replikacji plików, w obszarze roboczym Administracja rozwiń węzeł Konfiguracja hierarchii i wybierz polecenie Replikacja plików.
Nadawca	Każda lokacja ma jednego nadawcę. Nadawca obsługuje połączenie sieciowe z lokacji źródłowej do lokacji docelowej i może nawiązywać jednoczesne połączenia z wieloma lokacjami. Aby nawiązać połączenie z lokacją, w celu identyfikacji konta używanego do ustanowienia połączenia sieciowego nadawca korzysta ze skierowanej do lokacji marszruty replikacji plików. Nadawca używa tego konta również do zapisu danych do udziału SMS_SITE w lokacji docelowej. Domyślnie nadawca zapisuje dane do lokacji docelowej za pomocą wielu jednoczesnych procesów nazywanych zwyczajowo wątkami. Każdy jednoczesny proces (wątek) może transferować różne obiekty plikowe do lokacji docelowej. Domyślnie gdy nadawca zaczyna wysyłać obiekt, kolejne bloki danych będą zapisywane do momentu wysłania całego obiektu. Po wysłaniu wszystkich danych obiektu wątek może zostać wykorzystane do rozpoczęcia przesyłania nowego obiektu. U nadawcy można konfigurować następujące ustawienia: Maksymalna liczba jednoczesnych operacji wysyłania: domyślnie każda lokacja jest skonfigurowana do używania pięciu jednoczesnych operacji wysyłania, z których trzy są dostępne do wysyłania danych do jednej z lokacji docelowych. Wraz ze zwiększeniem tej liczby wzrasta przepływność danych między lokacjami, umożliwiając programowi Menedżer konfiguracji jednoczesny transfer większej liczby plików. Ponadto po zwiększeniu tej liczby jest wymagana większa przepustowość sieci między lokacjami. Ustawienia ponawiania: domyślnie każda lokacja jest skonfigurowana w celu dwukrotnego ponawiania próby nawiązania połączenia co minutę. Istnieje możliwość zmodyfikowania liczby prób nawiązania połączenia realizowanych przez lokację oraz interwału między tymi próbami. Aby zarządzać nadawcą w ramach lokacji, w obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji, wybierz węzeł Lokacje, a następnie kliknij przycisk Właściwości przy lokacji do zarządzania. Aby zmienić konfigurację nadawcy, kliknij kartę Nadawca.

Replikacja bazy danych

Replikacja bazy danych programu Menedżer konfiguracji korzysta z programu SQL Server w celu transferu danych i scalania zmian wprowadzonych w bazie danych lokacji z informacjami przechowywanymi w bazie danych innych lokacji w hierarchii. Umożliwia udostępnianie tych samych informacji między wszystkimi lokacjami. Replikacja bazy danych jest automatycznie konfigurowana przez wszystkie lokacje programu Menedżer konfiguracji. Podczas instalowania lokacji w hierarchii zostaje automatycznie skonfigurowana replikacja bazy danych między nową lokacją a jej wyznaczoną lokacją nadrzędną. Po zakończeniu instalacji lokacji replikacja bazy danych zostanie automatycznie uruchomiona.

W przypadku instalowania nowej lokacji w hierarchii program Menedżer konfiguracji tworzy w tej lokacji ogólną bazę danych. Następnie lokacja nadrzędna tworzy w swojej bazie danych migawkę odpowiednich danych i transferuje ją do nowej lokacji za pośrednictwem replikacji opartej na plikach. Nowa lokacja ładuje te informacje do swojej lokalnej kopii bazy danych programu Menedżer konfiguracji przy użyciu programu do kopiowania zbiorczego (BCP) programu SQL Server. Po załadowaniu migawki między lokacjami odbywa się replikacja bazy danych.

Program Menedżer konfiguracji replikuje dane między lokacjami przy użyciu własnej usługi replikacji bazy danych. Usługa replikacji bazy danych monitoruje zmiany w lokalnej bazie danych lokacji przy użyciu funkcji śledzenia zmian programu SQL Server, a następnie replikuje dane dotyczące tych zmian do innych lokacji za pomocą usługi SQL Server Service Broker. W ramach tego procesu domyślnie jest używany port TCP/IP 4022.

Program Menedżer konfiguracji grupuje dane objęte replikacją bazy danych do różnych grup replikacji. Każda grupa replikacji ma oddzielny, stały harmonogram replikacji. Określa on częstotliwość replikacji zmian wprowadzonych w danych w grupie do pozostałych lokacji. Replikacja zmian w konfiguracji administracji opartej na rolach do pozostałych lokacji odbywa się szybko, aby jak najszybciej wymusić wprowadzenie tych zmian. Natomiast replikacja zmian w konfiguracji o niższym priorytecie, na przykład żądania zainstalowania nowej lokacji dodatkowej, jest mniej pilna i żądanie nowej lokacji dociera do docelowej lokacji głównej w ciągu kilku minut.

Uwaga

Replikacja bazy danych programu Menedżer konfiguracji jest automatycznie konfigurowana i nie obsługuje konfiguracji grup lub harmonogramów replikacji. Począwszy od programu Menedżer konfiguracji SP1 można jednak skonfigurować łącza replikacji bazy danych w celu kontroli przechodzenia ruchu w sieci. Istnieje również możliwość skonfigurowania warunków zgłaszania przez program Menedżer konfiguracji alertów dotyczących łącz replikacji, które nie działają prawidłowo lub są uszkodzone.

Program Menedżer konfiguracji klasyfikuje dane replikowane w ramach replikacji bazy danych jako dane globalne lub dane lokacji. W ramach replikacji bazy danych zmiany wprowadzone w danych globalnych i danych lokacji są transferowane za pośrednictwem łącza replikacji danych. Dane globalne można replikować do lokacji nadrzędnych i podrzędnych, a dane lokacji tylko do lokacji nadrzędnej. Trzeci typ danych określany jako dane lokalne nie jest replikowany do innych lokacji. Dane lokalne zawierają informacje niewymagane przez inne lokacje:

• Dane globalne: dane globalne dotyczą obiektów utworzonych przez administratora, które są replikowane do wszystkich lokacji w hierarchii. Jednak lokacje dodatkowe odbierają tylko podzestaw danych globalnych w formie danych globalnych serwera proxy. Przykłady danych globalnych to między innymi wdrożenia oprogramowania, aktualizacje oprogramowania, definicje kolekcji oraz zakresy zabezpieczeń administracji opartej na rolach. Administratorzy mogą tworzyć dane globalne w centralnych lokacjach administracyjnych i w lokacjach głównych.

• Dane lokacji: dane lokacji to informacje operacyjne, które są tworzone przez lokacje główne programu Menedżer konfiguracji oraz klientów raportujących do lokacji głównych. Dane lokacji są replikowane do centralnej lokacji administracyjnej, ale nie do innych lokacji głównych. Przykłady danych lokacji to między innymi dane dotyczące zapasów sprzętu, komunikaty o stanie, alerty i wyniki kolekcji opartych na kwerendach. Dane lokacji są widoczne tylko w centralnej lokacji administracyjnej i lokacji głównej, z których pochodzą dane. Dane lokacji można modyfikować tylko w lokacji głównej, w której zostały utworzone.

  Wszystkie dane lokacji są replikowane w centralnej lokacji administracyjnej. W związku z tym ta lokacja wykonuje operacje związane z administracją i raportowaniem w całej hierarchii.

Informacje w poniższych sekcjach umożliwiają zaplanowanie używania kontrolek dostępnych w programie Menedżer konfiguracji SP1 do konfigurowania łącz replikacji bazy danych między lokacjami oraz kontrolek w każdej bazie danych lokacji. Te kontrolki ułatwiają kontrolę i monitorowanie obciążenia sieci spowodowanego replikacją bazy danych.

Łącza replikacji bazy danych

W przypadku instalowania nowej lokacji w hierarchii program Menedżer konfiguracji automatycznie tworzy łącze replikacji bazy danych między dwiema lokacji. Jedno łącze służy do połączenia nowej lokacji z lokacją nadrzędną.

Począwszy od programu Menedżer konfiguracji SP1 każde łącze replikacji bazy danych obsługuje konfiguracje ułatwiające kontrolę transferu danych za pośrednictwem tego łącza. Każde łącze replikacji obsługuje różne konfiguracje. Są dostępne następujące kontrolki łączy replikacji bazy danych:

• Używanie widoków rozproszonych w celu zatrzymania replikacji danych wybranej lokacji między lokacją główną a centralną lokacją administracyjną oraz zezwalanie centralnej lokacji administracyjnej na bezpośredni dostęp do tych danych za pośrednictwem bazy danych lokacji głównej.

• Planowanie transferu wybranych danych z podrzędnej lokacji głównej do centralnej lokacji administracyjnej.

• Definiowanie ustawień umożliwiających określenie nieprawidłowego działania lub uszkodzenia łącza replikacji danych.

• Konfigurowanie warunków zgłaszania alertów dotyczących uszkodzonego łącza replikacji.

• Określenie częstotliwości podsumowywania przez program Menedżer konfiguracji danych dotyczących obciążenia związanego z replikacją za pośrednictwem łącza. Te dane są używane w raportach.

Aby skonfigurować łącze replikacji bazy danych, należy edytować właściwości odpowiedniego łącza w konsoli programu Menedżer konfiguracji w węźle Replikacja bazy danych. Ten węzeł jest dostępny w obszarze roboczym Monitorowanie, a począwszy od programu Menedżer konfiguracji SP1 również w obszarze roboczym Administracja w węźle Konfiguracja hierarchii. Łącze replikacji można edytować z poziomu lokacji nadrzędnej lub podrzędnej.

Porada
Łącza replikacji bazy danych można edytować w węźle Replikacja bazy danych w każdym obszarze roboczym. W węźle Replikacja bazy danych w obszarze roboczym Monitorowanie można jednak również wyświetlić stan replikacji bazy danych za pośrednictwem łączy oraz badać problemy dotyczące replikacji bazy danych przy użyciu narzędzia Analizator łącza replikacji.

Informacje o sposobie konfiguracji łączy replikacji znajdują się w temacie Kontrolki replikacji bazy danych lokacji. Więcej informacji o monitorowaniu replikacji znajduje się w sekcji Jak monitorować łącza replikacji bazy danych i stan replikacji w temacie Monitorowanie lokacji i hierarchii w programie Configuration Manager.

Informacje podane w poniższych sekcjach umożliwiają zaplanowanie łączy replikacji bazy danych.

Planowanie używania widoków rozproszonych

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji: 

Widoki rozproszone umożliwiają żądaniom wybranych danych lokacji wysyłanym do centralnej lokacji administracyjnej uzyskanie bezpośrednio dostępu do tych danych w bazie danych w podrzędnej lokacji głównej. Dzięki bezpośredniemu dostępowi nie jest wymagana replikacja danych między lokacją główną a centralną lokacją administracyjną. Łącza replikacji danych są od siebie niezależne. Dzięki temu widoki rozproszone można włączyć tylko w wybranych łączach replikacji. Widoki rozproszone nie są obsługiwane między lokacją główną a lokacją dodatkową.

Widoki rozproszone zapewniają następujące korzyści:

• Zmniejszenie obciążenia procesora CPU związanego z przetwarzaniem zmian w bazie danych w centralnej lokacji administracyjnej i w lokacjach głównych.

• Zmniejszenie ilości danych transferowanych między siecią a centralną lokacją administracyjną.

• Lepsza wydajność programu SQL Server hostującego bazę danych centralnych lokacji administracyjnych.

• Zmniejszenie miejsca na dysku używanego przez bazę danych w centralnej lokacji administracyjnej.

Widoki rozproszone są przydatne, gdy lokacja główna znajduje się w sieci w bliskim sąsiedztwie centralnej lokacji administracyjnej, a dwie lokacje są stale włączone i połączone. Wynika to z faktu, iż dzięki widokom rozproszonym zamiast replikacji wybranych danych między lokacjami można używać bezpośrednich połączeń między wystąpieniami programu SQL Server w każdej lokacji. Połączenie bezpośrednie jest nawiązywane po każdym odebraniu żądania danych w centralnej lokacji administracyjnej. Zazwyczaj żądania danych dostępnych w ramach widoków rozproszonych są wysyłane w przypadku uruchamiania raportów lub kwerend, wyświetlania informacji w Eksploratorze zasobów oraz oceny kolekcji zawierających zasady oparte na danych lokacji.

Domyślnie widoki rozproszone są wyłączone w ramach poszczególnych łączy replikacji. Po włączeniu widoków rozproszonych w ramach łącza replikacji należy wybrać dane lokacji, które nie będą replikowane do centralnej lokacji administracyjnej za pośrednictwem tego łącza, a także zezwolić centralnej lokacji administracyjnej na dostęp do tych danych bezpośrednio z bazy danych lokacji podrzędnej udostępniającej łącze. W widokach rozproszonych można skonfigurować następujące typy danych lokacji:

• Dane dotyczące zapasów sprzętu klientów

• Dane dotyczące zapasów oprogramowania i pomiarów klienta

• Komunikaty o stanie klientów, lokacji głównej i wszystkich lokacji dodatkowych

Pod względem operacyjnym widoki rozproszone nie są widoczne dla użytkowników administracyjnych wyświetlających dane w raportach lub konsoli programu Menedżer konfiguracji. Po wysłaniu żądania danych uwzględnionych w widokach rozproszonych program SQL Server hostujący bazę danych centralnej lokacji administracyjnej pobiera odpowiednie informacje, uzyskując bezpośrednio dostęp do wystąpienia programu SQL Server podrzędnej lokacji głównej. Użytkownik na przykład wysyła przy użyciu konsoli programu Menedżer konfiguracji w centralnej lokacji administracyjnej żądanie informacji dotyczących zapasów sprzętu z dwóch lokacji, a tylko jedna lokacja zawiera te informacje dostępne w widoku rozproszonym. Informacje o zapasach klientów z lokacji nieskonfigurowanej w ramach widoków rozproszonych są pobierane z bazy danych w centralnej lokacji administracyjnej. Dostęp do informacji o zapasach klientów z lokacji skonfigurowanych w ramach widoków rozproszonych można uzyskać za pośrednictwem bazy danych w podrzędnej lokacji głównej. Informacje te pojawiają się w raporcie lub konsoli programu Menedżer konfiguracji bez rozróżnienia ich źródła.

Gdy łącze replikacji zawiera typ danych uwzględnionych w widokach rozproszonych, podrzędna lokacja główna nie replikuje tych danych do centralnej lokacji administracyjnej. Po wyłączeniu widoków rozproszonych określonego typu danych podrzędna lokacja główna wznowi replikację tych danych do centralnej lokacji administracyjnej w ramach normalnego procesu replikacji danych. Jednak przed udostępnieniem tych danych w centralnej lokacji administracyjnej należy ponownie zainicjować grupy replikacji między lokacją główną a centralną lokacją administracyjną. Również po odinstalowaniu lokacji głównej z włączonymi widokami rozproszonymi, aby uzyskać dostęp do danych uwzględnionych w tych widokach w centralnej lokacji administracyjnej, należy ponownie zainicjować jej dane.

Ważne
W przypadku używania widoków rozproszonych w dowolnym łączu replikacji w hierarchii, przed odinstalowaniem lokacji głównej należy wyłączyć te widoki. Więcej informacji znajduje się w sekcji Odinstalowywanie lokacji głównej skonfigurowanej z widokami rozproszonymi w temacie Instalowanie lokacji i tworzenie hierarchii programu Configuration Manager.

Wymagania wstępne i ograniczenia dotyczące widoków rozproszonych

Poniżej wymieniono wymagania wstępne i ograniczenia dotyczące widoków rozproszonych:

• Zarówno centralna lokacja administracyjna, jak i lokacja główna, muszą mieć uruchomioną tę samą wersję programu Menedżer konfiguracji z dodatkiem SP1 lub nowszą.

• Widoki rozproszone są obsługiwane tylko w łączach replikacji między centralną lokacją administracyjną a lokacją główną.

• Centralna lokacja administracyjna może mieć zainstalowane tylko jedno wystąpienie dostawcy programu SMS, które znajduje się na serwerze bazy danych lokacji. Jest to wymagane w celu obsługi uwierzytelniania przy użyciu protokołu Kerberos, aby program SQL Server w centralnej lokacji administracyjnej mógł uzyskać dostęp do swojego wystąpienia w podrzędnej lokacji głównej. Nie istnieją ograniczenia dotyczące dostawcy programu SMS w podrzędnej lokacji głównej.

• Centralna lokacja administracyjna może mieć zainstalowane tylko jeden punkt usług SQL Server Reporting Services, który znajduje się na serwerze bazy danych lokacji. Jest to wymagane w celu obsługi uwierzytelniania przy użyciu protokołu Kerberos, aby program SQL Server w centralnej lokacji administracyjnej mógł uzyskać dostęp do swojego wystąpienia w podrzędnej lokacji głównej.

• Bazy danych lokacji nie można hostować w klastrze programu SQL Server.

• Konto komputera serwera bazy danych należące do centralnej lokacji administracyjnej wymaga uprawnień Read w bazie danych lokacji głównej.

• Widoki rozproszone i harmonogramy replikacji danych to wzajemnie wykluczające się konfiguracje w ramach łącza replikacji bazy danych.

Planowanie harmonogramu transferów danych lokacji w łączach replikacji bazy danych

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

W celu ułatwienia kontroli przepustowości sieci używanej w ramach replikacji danych z podrzędnej lokacji głównej do jej centralnej lokacji administracyjnej istnieje można zaplanować używanie łącza replikacji oraz określić moment replikacji poszczególnych typów danych lokacji. Istnieje możliwość skonfigurowania, kiedy lokacja główna ma replikować komunikaty o stanie, zapasy oraz dane pomiarów. Łącza replikacji bazy danych z lokacji dodatkowych nie obsługują harmonogramów dla danych lokacji. Zaplanowanie transferu danych globalnych nie jest możliwe.

Podczas konfigurowania harmonogramu łącza replikacji bazy danych można ograniczyć transfer wybranych danych z lokacji głównej do centralnej lokacji administracyjnej oraz skonfigurować różne czasy replikacji poszczególnych typów danych lokacji.

Więcej informacji na temat kontrolowania wykorzystania przepustowości sieci między lokacjami programu Configuration Manager znajduje się w sekcji Kontrolowanie użycia przepustowości sieci między lokacjami w tym temacie.

Planowanie podsumowania obciążenia związanego z replikacją bazy danych

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

Począwszy od programu Menedżer konfiguracji SP1 każda lokacja okresowo tworzy podsumowanie danych dotyczących obciążenia sieci w ramach łączy replikacji bazy danych obejmujących daną lokację. To podsumowanie danych jest używane w raportach dotyczących replikacji bazy danych. Obie lokacje należące do łącza replikacji podsumowują obciążenie sieci występujące na tym łączu. Dane podsumowuje programu SQL Server hostujący bazę danych lokacji. Po podsumowaniu informacje te są replikowane do innych lokacji w formie danych globalnych.

Podsumowanie odbywa się domyślnie co 15 minut. Częstotliwość podsumowania danych dotyczących obciążenia sieci można zmodyfikować, edytując ustawienie Interwał podsumowania we właściwościach łącza replikacji bazy danych. Częstotliwość podsumowania wpływa na informacje widoczne w raportach dotyczących replikacji bazy danych. Ten interwał można modyfikować w zakresie od 5 do 60 minut. Zwiększenie wartości częstotliwości podsumowania powoduje wzrost obciążenia związanego z przetwarzaniem danych w programie SQL Server w każdej lokacji objętej łączem replikacji.

Planowanie progów replikacji bazy danych

Progi replikacji bazy danych pozwalają zdefiniować, kiedy ma być zgłaszane nieprawidłowe działanie lub uszkodzenie łącza replikacji bazy danych. Domyślnie nieprawidłowe działanie łącza jest zgłaszane, gdy replikacja nie powiedzie się w dowolnej grupie replikacji mimo 12 kolejnych prób, a uszkodzenie — mimo 24 kolejnych prób.

Począwszy od programu Menedżer konfiguracji SP1 można określić wartości niestandardowe w celu dopasowania, kiedy program Menedżer konfiguracji ma zgłaszać nieprawidłowe działanie lub uszkodzenie łącza replikacji. W programach starszych niż program Menedżer konfiguracji SP1 nie można dostosować tych progów. Dostosowanie warunków zgłaszania poszczególnych stanów łączy replikacji bazy danych przez program Menedżer konfiguracji ułatwia precyzyjne monitorowanie kondycji replikacji bazy danych za pośrednictwem łączy.

Ponieważ replikacja może zakończyć się niepowodzeniem w jednej lub w kilku grupach replikacji, a w pozostałych grupach odbywać się prawidłowo, należy zaplanować sprawdzenie stanu łącza replikacji, gdy po raz pierwszy zgłosi nieprawidłowe działanie. Jeżeli w pewnych grupach replikacji cyklicznie występują opóźnienia, które nie powodują problemu, lub gdy przepustowość łącza sieciowego między lokacjami jest niska, zaleca się zmodyfikowanie wartości ponownych prób przed zgłoszeniem nieprawidłowego działania lub uszkodzenia łącza. Zwiększenie liczby ponownych prób przed zgłoszeniem nieprawidłowego działania lub uszkodzenia łącza pozwala wyeliminować fałszywe ostrzeżenia dotyczące znanych problemów, a tym samym bardziej precyzyjnie monitorować stan łącza.

Należy również wziąć pod uwagę interwał synchronizacji replikacji w poszczególnych grupach replikacji, aby poznać częstotliwość wykonywania replikacji w danej grupie.Interwał synchronizacji w grupach replikacji można wyświetlić w obszarze roboczym Monitorowanie w węźle Replikacja bazy danych na karcie Szczegóły replikacji łącza replikacji.

Więcej informacji o monitorowaniu replikacji bazy danych, w tym wyświetlaniu stanu replikacji, znajduje się w sekcji Jak monitorować łącza replikacji bazy danych i stan replikacji w temacie Monitorowanie lokacji i hierarchii w programie Configuration Manager.

Informacje o konfigurowaniu progów replikacji bazy danych znajdują się w sekcji Kontrolki replikacji bazy danych lokacji.

Kontrolki replikacji bazy danych lokacji

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

Każda baza danych lokacji obsługuje konfiguracje ułatwiające kontrolę przepustowości sieci używanej w ramach replikacji bazy danych. Te konfiguracje mają zastosowanie tylko do bazy danych lokacji, której ustawienia zostały skonfigurowane, i są zawsze stosowane podczas replikacji danych między lokacjami.

W każdej bazie danych lokacji są dostępne następujące kontrolki replikacji:

• Zmień port używany przez program Menedżer konfiguracji dla usługi SQL Server Service Broker.

• Skonfiguruj okres oczekiwania zanim niepowodzenia replikacji wyzwolą ponowne zainicjowanie kopiowania bazy danych przez lokację.

• Skonfiguruj bazę danych lokacji, aby dane były kompresowane w ramach replikacji bazy danych. Dane są kompresowane tylko w ramach transferu między lokacjami, a nie przechowywania w bazie danych lokacji po jednej stronie.

Aby skonfigurować kontrolki replikacji bazy danych lokacji, należy edytować właściwości bazy danych lokacji w konsoli programu Menedżer konfiguracji w węźle Replikacja bazy danych. Ten węzeł jest dostępny w węźle Konfiguracja hierarchii obszaru roboczego Administracja, a także w obszarze roboczym Monitorowanie. Aby edytować właściwości bazy danych lokacji, wybierz łącze replikacji między lokacjami, a następnie otwórz okno dialogowe Właściwości nadrzędnej bazy danych lub Właściwości podrzędnej bazy danych.

Porada
Kontrolki replikacji bazy danych można skonfigurować w węźle Replikacja bazy danych w każdym obszarze roboczym. W węźle Replikacja bazy danych w obszarze roboczym Monitorowanie można jednak również wyświetlić stan replikacji bazy danych za pośrednictwem łącza oraz badać problemy dotyczące replikacji przy użyciu narzędzia Analizator łącza replikacji.

Więcej informacji o sposobie konfigurowania kontrolek replikacji bazy danych znajduje się w sekcji Konfigurowanie kontrolek replikacji bazy danych. Więcej informacji o sposobie monitorowania replikacji znajduje się w sekcji Monitorowanie replikacji bazy danych lokacji.

Planowanie komunikacji międzylokacyjnej w programie Configuration Manager

Każda lokacja programu Menedżer konfiguracji obejmuje serwer lokacji i może zawierać jeden lub większą liczbę dodatkowych serwerów systemu lokacji hostujących role systemu lokacji. Program Menedżer konfiguracji wymaga, aby każdy serwer systemu lokacji należał do domeny usługi Active Directory. Program Menedżer konfiguracji nie obsługuje zmiany nazwy lub członkostwa w domenie komputera, gdy znajduje się on w systemie lokacji.

Systemy lokacji lub składniki programu Menedżer konfiguracji komunikują się za pośrednictwem sieci z innymi systemami lokacji lub składnikami programu Menedżer konfiguracji w danej lokacji przy użyciu bloku komunikatów serwera (SMB) albo protokołu HTTP lub HTTPS. Metoda komunikacji zależy od konfiguracji lokacji. Z wyjątkiem komunikacji między serwerem lokacji a punktem dystrybucji, komunikacja między serwerami w lokacji może odbywać się w dowolnym momencie i nie używa mechanizmów kontroli przepustowości sieci. Ponieważ nie ma możliwości kontroli komunikacji między systemami lokacji, serwery systemu lokacji należy zainstalować w lokalizacjach z dobrze połączonymi i szybkimi sieciami.

Aby ułatwić zarządzanie transferem zawartości między serwerem lokacji a punktami dystrybucji, można użyć następujących opcji:

• Skonfiguruj punkt dystrybucji pod kątem kontroli przepustowości sieci i planowania. Ta konfiguracja kontrolek przypomina konfiguracje używane przez adresy międzylokacyjne i można jej użyć zamiast instalowania kolejnej lokacji programu Menedżer konfiguracji, gdy największy wpływ na przepustowość ma transfer zawartości ze zdalnych lokalizacji sieciowych.

• Punkt dystrybucji można zainstalować jako wstępnie przygotowany punkt dystrybucji. Dzięki wstępnie przygotowanemu punktowi dystrybucji można używać zawartości umieszczonej na serwerze punktu dystrybucji ręcznie i nie trzeba transferować plików zawartości za pośrednictwem sieci.

Więcej informacji o kwestiach związanych z przepustowością sieci znajduje się w sekcji Uwagi dotyczące przepustowości sieci dla punktów dystrybucji w temacie Planowanie zarządzania zawartością w programie Configuration Manager.

Planowanie komunikacji z klientem w programie Configuration Manager

Klienci i urządzenia zarządzane Menedżer konfiguracji komunikują się z komputerami hostującymi infrastrukturę Menedżer konfiguracji, w tym z rolami systemu lokacji, infrastrukturą domeny, np. klientami i usługami domenowymi w usłudze Active Directory, oraz z usługami w Internecie.

Podczas planowania komunikacji z klientem należy uwzględnić następujące kwestie:

Scenariusze komunikacji	Więcej informacji
Komunikacja zainicjowana przez klientów	Klienci inicjują komunikację z następującymi elementami: Punkty zarządzania: umożliwiają przesyłanie spisu, stanu i danych odnajdywania. Punkt zarządzania jest podstawowym punktem kontaktu klienta dla lokacji. Różne usługi domenowe: umożliwiają żądanie usługi z usług domenowych, takich jak Usługi domenowe Active Directory i DNS (dla lokalizacji usługi). Dostęp do zawartości: pozwala uzyskiwać dostęp do zawartości z punktów dystrybucji na serwerach, w elementach równorzędnych i w usługach w chmurze. Punkt aktualizacji oprogramowania: umożliwia pobieranie i instalowanie wdrażanych aktualizacji. Microsoft Update: zapewnia ochronę przed złośliwym oprogramowaniem. Dodatkowe serwery systemu lokacji: Punkt witryny sieci Web katalogu aplikacji Moduł zasad programu Configuration Manager (NDES) Rezerwowy punkt stanu Punkt migracji stanu Moduł sprawdzania kondycji systemu
Lokalizacja usługi	Lokalizacja usługi to metoda, za pomocą której klienci identyfikują przypisane lokacje oraz dynamicznie lokalizują punkty zarządzania. Punkty zarządzania to podstawowy punkt kontaktu klientów i służą do: Uzyskiwania informacji na temat innych dostępnych punktów zarządzania Pobierania zasad klienta Przesyłania do lokacji danych klienta, takich jak stan, magazyn i dane odnajdywania.

Informacje podane w poniższych sekcjach umożliwiają zaplanowanie komunikacji realizowanej przez klientów z systemem Windows.

Począwszy od programu Menedżer konfiguracji SP1 można zarządzać klientami z systemami Linux i UNIX. Klienci z systemami Linux i UNIX działają jako klienci w grupach roboczych. Informacje dotyczące obsługi komputerów należących do grup roboczych znajdują się w sekcji Planowanie komunikacji między lasami w programie Configuration Manager w tym temacie. Dodatkowe informacje o komunikacji dla klientów korzystających z systemów Linux i UNIX znajdują się w sekcji w temacie Planowanie wdrożenia klienta serwerów systemu UNIX i Linux.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_PlanningforCommunicationsforLnU

Komunikacja zainicjowana przez klientów

Klienci inicjują komunikację z rolami systemu lokacji, usługami domenowymi w usłudze Active Directory i usługami online. W celu umożliwienia tej komunikacji, zapory muszą zezwalać na ruch sieciowy między klientami a punktem końcowym ich komunikacji. Punkty końcowe obejmują:

• Punkty zarządzania, z których klienci pobierają zasady klientów.

• Punkty dystrybucji, z których klienci pobierają zawartość.

• Punkty aktualizacji oprogramowania

• Następujące role dodatkowe systemu lokacji przeznaczone do zadań właściwych dla funkcji:

  • Punkt witryny sieci Web katalogu aplikacji

  • Moduł zasad programu Configuration Manager (NDES)

  • Rezerwowy punkt stanu

  • Punkt migracji stanu

  • Punkt modułu sprawdzania kondycji systemu

• Różne usługi domenowe, takie jak usługi domenowe w usłudze Active Directory i DNS (dla lokacji usług).

• Microsoft Update, zapewniająca ochronę przed złośliwym oprogramowaniem.

• Zasoby oparte na chmurze, takie jak usługi Microsoft Update lub Microsoft Azure i Microsoft Intune podczas korzystania z tych usług w chmurze wraz z programem Menedżer konfiguracji.

Szczegółowe informacje o portach i protokołach używanych przez klientów podczas komunikacji z tymi punktami końcowymi można znaleźć w temacie Informacje techniczne dotyczące portów używanych w programie Configuration Manager.

Przed umożliwieniem komunikacji klienta z rolą systemu lokacji klient używa lokacji usługi w celu odnalezienia roli systemu lokacji, która obsługuje protokół klienta (HTTP lub HTTPS). Domyślnie klienci używają najbezpieczniejszej dostępnej metody:

• Zastosowanie protokołu HTTPS wymaga skonfigurowania infrastruktury kluczy publicznych (PKI) i instalacji certyfikatów PKI na klientach i serwerach. Informacje o sposobie używania certyfikatów znajdują się w temacie Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager.

• Podczas wdrażania roli systemu lokacji, która korzysta z internetowych usług informacyjnych (IIS) i obsługuje komunikację od klientów, należy określić, czy klienci łączą się z systemem lokacji przy użyciu protokołu HTTP, czy HTTPS. W przypadku wybrania protokołu HTTP należy również skonfigurować opcje podpisywania i szyfrowania. Aby uzyskać więcej informacji, zobacz Planowanie podpisywania i szyfrowania.

Następujące role systemu lokacji i usługi obsługują komunikację HTTPS od klientów:

• Punkt witryny sieci Web katalogu aplikacji

• Moduł zasad programu Configuration Manager

• Punkt dystrybucji (protokół HTTPS jest wymagany przez punkty dystrybucji oparte na chmurze)

• Punkt zarządzania

• Punkt aktualizacji oprogramowania

• Punkt migracji stanu

Oprócz informacji przedstawionych powyżej, podczas planowania pod kątem klientów w niezaufanych lokalizacjach należy zapoznać się z sekcją Kwestie związane z komunikacją klientów z Internetu lub niezaufanego lasu

Usługa lokacji i metoda określania przypisanego punktu zarządzania przez klientów

Klienci określają swój przypisany domyślny punkt zarządzania lokacją przy pierwszej instalacji i przypisaniu do lokacji. Po odnalezieniu domyślnego punktu zarządzania swojej lokacji przez klienta, ten punkt zarządzania staje się przypisanym punktem zarządzania klienta. To przypisanie jest określane przez klienta.

• Od aktualizacji zbiorczej 3 dla programu System Center 2012 R2 Configuration Manager można HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" używać koligacji punktu zarządzania w celu skonfigurowania klienta do korzystania z jednego lub większej liczby konkretnych punktów zarządzania.

• Począwszy od wersji System Center 2012 Configuration Manager z dodatkiem SP2, możesz użyć preferowanych punktów zarządzania. Preferowany punkt zarządzania to punkt zarządzania skojarzony z grupą granic jako serwer systemu lokacji podobnie do sposobu, w jaki punkty dystrybucji lub punkty migracji stanu są skojarzone z grupą granic. Gdy po włączeniu w hierarchii preferowanych punktów zarządzania klient będzie chciał użyć punktu zarządzania z przypisanej do niego lokacji, podejmie próbę użycia preferowanego punktu zarządzania przed użyciem innych punktów zarządzania z przypisanej do niego lokacji.

Po przypisaniu punktu zarządzania do klienta okresowo przesyła on żądanie lokacji usługi do domyślnego punktu zarządzania swojej lokacji w celu sprawdzenia, czy nie uległ on zmianie.

Za każdym razem, gdy klient musi zidentyfikować punkt zarządzania do użycia, sprawdza listę znanych punktów zarządzania (znanych jako Lista punktów zarządzania), którą przechowuje lokalnie w usłudze WMI. Klient tworzy wstępną listę punktów zarządzania podczas instalacji, a następnie okresowo aktualizuje listę przy użyciu szczegółów dotyczących poszczególnych punktów zarządzania w hierarchii.

Gdy klient nie może znaleźć prawidłowego punktu zarządzania na swojej liście punktów zarządzania, przeszukuje kolejno następujące źródła lokalizacji do momentu znalezienia punktu zarządzania, którego może użyć:

1. Punkt zarządzania

2. Usługi domenowe Active Directory

3. DNS

4. Usługa WINS

Gdy klient pomyślnie zlokalizuje i skontaktuje się z punktem zarządzania, pobiera bieżącą listę punktów zarządzania dostępnych w hierarchii i aktualizuje swoją listę lokalną. Dotyczy to zarówno klientów przyłączonych do domeny, jak i nieprzyłączonych.

Na przykład gdy klient programu Menedżer konfiguracji, który znajduje się w Internecie, łączy się z internetowym punktem zarządzania, punkt zarządzania wysyła temu klientowi listę internetowych punktów zarządzania dostępnych w lokacji. Podobnie klienci przyłączeni do domeny lub znajdujący się w grupach roboczych również otrzymują listę punktów zarządzania, których mogą użyć.

• Klient, który nie jest skonfigurowany do korzystania z Internetu, nie otrzyma punktów zarządzania dostępnych wyłącznie przez Internet.

• Klienci grup roboczych skonfigurowanych do korzystania wyłącznie z Internetu komunikują się jedynie z punktami zarządzania dostępnymi przez Internet.

Poniżej znajdują się informacje o poszczególnych źródłach lokalizacji usług:

Lista punktów zarządzania

Lista punktów zarządzania klienta jest preferowanym źródłem usługi lokalizacji, ponieważ jest priorytetową listą punktów zarządzania zidentyfikowanych uprzednio przez klienta. Ta lista jest sortowana przez każdego klienta na podstawie jego lokalizacji w momencie aktualizacji listy przez klienta, a następnie zapisywana lokalnie na kliencie w usłudze WMI.

Tworzenie początkowej listy punktów zarządzania

Podczas instalacji klienta następujące zasady są używane do utworzenia początkowej listy punktów zarządzania klienta:

• Początkowa lista zawiera punkty zarządzania określone podczas instalacji klienta (w przypadku użycia opcji SMSMP= lub /MP).

• Klient wysyła zapytanie do Usług domenowych Active Directory (AD DS) o opublikowane punkty zarządzania. Aby możliwa była identyfikacja punktu zarządzania z usług AD DS, punkt zarządzania musi pochodzić z lokacji przypisanej klientowi oraz mieć tę samą wersję produktu co klient.

• Jeśli podczas instalacji klienta nie określono żadnego punktu zarządzania, a schemat usługi Active Directory nie został rozszerzony, klient sprawdza serwery DNS i WINS pod kątem opublikowanych punktów zarządzania.

• Podczas tworzenia początkowej listy informacje o niektórych punktach zarządzania mogą nie być znane.

Organizowanie listy punktów zarządzania

Klienci organizują swoje listy punktów zarządzania za pomocą poniższej klasyfikacji:

• Proxy: punkt zarządzania proxy to punkt zarządzania w lokacji dodatkowej.

• Lokalny: dowolny punkt zarządzania skojarzony z bieżącą lokalizacją sieciową klienta zdefiniowaną przez granice lokacji.

  • Jeśli klient należy do więcej niż jednej grupy granic, lista lokalnych punktów zarządzania lokalnego jest określana na podstawie połączenia wszystkich granic obejmujących bieżącą lokalizację sieciową klienta.

  • Zazwyczaj lokalne punkty zarządzania są podzbiorem przypisanych punktów zarządzania klienta, chyba że klient znajduje się w lokalizacji sieciowej skojarzonej z inną lokalizacją z punktami zarządzania obsługującymi jego grupę granic.

• Przypisany: dowolny punkt zarządzania będący systemem lokacji dla lokacji, do której przypisano klienta.

  Począwszy od wersji System Center 2012 Configuration Manager z dodatkiem SP2, możesz użyć preferowanych punktów zarządzania. Preferowane punkty zarządzania to punkty zarządzania z lokacji przypisanej do klienta, które są skojarzone z grupą granic używaną przez klienta do wyszukiwania serwerów systemu lokacji.

  Punkty zarządzania w lokalizacji, które nie są skojarzone z grupą granic ani nie znajdują się w grupie granic skojarzonej z bieżącą lokalizacją sieciową klienta, nie są uważane za preferowane i są używane, gdy klient nie może zidentyfikować dostępnego preferowanego punktu zarządzania.

Wybieranie używanego punktu zarządzania

W przypadku typowej komunikacji klient próbuje użyć punktu zarządzania z klasyfikacji w poniższej kolejności, bazując na lokalizacji sieciowej klienta:

1. Proxy

2. Lokalne

3. Przypisane

Jednak klient zawsze używa przypisanego punktu zarządzania dla komunikatów rejestracji i niektórych komunikatów zasad, nawet jeśli pozostała komunikacja jest przesyłana do punktu zarządzania proxy lub lokalnego.

W ramach każdej klasyfikacji (proxy, lokalne i przypisane) klienci próbują użyć punktu zarządzania na podstawie preferencji, w następującej kolejności:

1. Obsługa protokołu HTTPS w lesie zaufanym lub lokalnym (jeśli klient jest skonfigurowany do komunikacji HTTPS)

2. Obsługa protokołu HTTPS poza lasem zaufanym lub lokalnym (jeśli klient jest skonfigurowany do komunikacji HTTPS)

3. Obsługa protokołu HTTP w lesie zaufanym lub lokalnym

4. Obsługa protokołu HTTP poza lasem zaufanym lub lokalnym

Po uzyskaniu zbioru punktów zarządzania posortowanego według preferencji klienci podejmują próbę użycia pierwszego punktu zarządzania na liście:

• Ta posortowana lista punktów zarządzania jest losowa i nie jest możliwe jej porządkowanie.

• Porządek listy może zmieniać się przy każdej aktualizacji listy punktów zarządzania przez klienta.

Jeśli klient nie może nawiązać kontaktu z pierwszym punktem zarządzania, podejmuje próby dla kolejnych punktów zarządzania na swojej liście, próbując każdego preferowanego punktu zarządzania w klasyfikacji przed punktami niepreferowanymi. Jeśli klient nie może nawiązać pomyślnej komunikacji z żadnym punktem zarządzania w klasyfikacji, podejmuje następnie próbę skontaktowania się z preferowanym punktem zarządzania z następnej klasyfikacji i tak dalej, aż do znalezienia punktu zarządzania do użycia.

Po ustanowieniu komunikacji z punktem zarządzania klienci kontynuują korzystanie z niego aż do momentu, w którym:

• Po 25 godzinach klient losowo wybiera nowy punkt zarządzania do użycia.

• Klient nie może komunikować się z punktem zarządzania po 5 próbach w okresie 10 minut. Po tym czasie klient wybiera nowy punkt zarządzania do użycia.

Usługi domenowe

Klienci przyłączeni do domeny mogą używać Usług domenowych Active Directory (AD DS) na potrzeby lokalizacji usługi. Wymaga to od lokacji publikowania danych w usłudze Active Directory.

Klienci mogą używać Usług domenowych Active Directory dla lokalizacji usługi, jeśli spełniono wszystkie poniższe warunki:

• Schemat usługi Active Directory został rozszerzony dla programu System Center 2012 Configuration Manager lub przedłużony dla programu Configuration Manager 2007.

• Las usługi Active Directory jest skonfigurowany do publikowania oraz lokacje programu Configuration Manager są skonfigurowane do publikowania.

• Komputer kliencki jest członkiem domeny usługi Active Directory i może uzyskać dostęp do serwera wykazu globalnego.

Jeśli klient nie może znaleźć punktu zarządzania na potrzeby lokalizacji usługi z usług AD DS, w następnej kolejności podejmuje próbę skorzystania z serwera DNS. Klienci przyłączeni do domeny mogą używać usług AD DS na potrzeby lokalizacji usług. Wymaga to od lokacji publikowania danych w usłudze Active Directory.

DNS

Klienci w intranecie mogą używać serwera DNS do lokalizacji usług. Wymagane jest, by co najmniej jedna lokacja w hierarchii publikowała informacje na temat punktów zarządzania na serwerze DNS.

Należy rozważyć zastosowanie serwera DNS na potrzeby lokalizacji usług, jeśli spełniono następujące warunki:

• Schemat usług domenowych Active Directory nie jest rozszerzony do obsługi programu Menedżer konfiguracji.

• Klienci należący do sieci intranet znajdują się w lesie, który nie umożliwia publikowania w ramach programu Menedżer konfiguracji.

• Klienci znajdują się na komputerach grupy roboczej i nie są skonfigurowani do zarządzania klientami wyłącznie przez Internet. (Klient grupy roboczej skonfigurowany do korzystania z Internetu komunikuje się tylko z punktami zarządzania dostępnymi przez Internet i nie używa serwera DNS do lokalizacji usług).

• Można skonfigurować klientów do wyszukiwania punktów zarządzania przy użyciu serwera DNS.

Jeśli lokacja publikuje rekordy lokalizacji usług dla punktów zarządzania na serwerze DNS:

• Publikowanie ma zastosowanie tylko do punktów zarządzania, które akceptują połączenia klientów z intranetu.

• Publikowanie dodaje rekord zasobu lokalizacji usługi (SRV RR) w strefie DNS komputera punktu zarządzania. Na serwerze DNS musi występować wpis hosta odpowiadający danemu komputerowi.

Domyślnie klienci przyłączeni do domeny przeszukują serwer DNS pod kątem rekordów punktów zarządzania z domeny lokalnej klienta. Istnieje możliwość skonfigurowania właściwości klienta, która określa sufiks domeny dla domeny, której dane punktów zarządzania są publikowane na serwerze DNS.

Więcej informacji o sposobie konfigurowania sufiksu DNS we właściwości klienta znajduje się w temacie Jak skonfigurować komputery klienckie w celu znalezienia punktów zarządzania przy użyciu publikowania DNS w programie Configuration Manager.

Jeśli klient nie może znaleźć punktu zarządzania na potrzeby lokalizacji usług na serwerze DNS, w następnej kolejności podejmuje próbę skorzystania z serwera WINS.

Publikowanie punktów zarządzania w systemie DNS

Aby publikować punkty zarządzania w systemie DNS, należy spełnić następujące dwa warunki:

• Serwery DNS obsługują rekordy zasobów lokalizacji usługi przy użyciu oprogramowania BIND w wersji 8.1.2 lub nowszej.

• Intranetowe nazwy FQDN określone dla punktów zarządzania w programie Menedżer konfiguracji mają wpisy hosta (na przykład rekordy A) w systemie DNS.

Ważne
Funkcja publikowania w systemie DNS programu Menedżer konfiguracji nie obsługuje rozłącznego obszaru nazw. W przypadku rozłącznego obszaru nazw można ręcznie opublikować punkty zarządzania w systemie DNS lub zastosować jedną z alternatywnych metod lokalizacji usługi opisanych w tej sekcji.

Jeżeli serwery DNS obsługują aktualizacje automatyczne, można skonfigurować program Menedżer konfiguracji do automatycznego publikowania punktów zarządzania w intranecie w systemie DNS, a także ręcznie opublikować te rekordy w systemie DNS. W przypadku publikowania punktów zarządzania w systemie DNS ich intranetowa nazwa FQDN i numer portu są publikowane w rekordzie lokalizacji usługi (SRV). Publikowanie w systemie DNS można skonfigurować w lokacji przy użyciu właściwości składnika punktu zarządzania. Aby uzyskać więcej informacji, zobacz Konfigurowanie składników lokacji w programie Configuration Manager.

Jeżeli serwery DNS nie obsługują aktualizacji automatycznych, ale obsługują rekordy lokalizacji usług, punkty zarządzania można publikować w systemie DNS ręcznie. W tym celu należy ręcznie określić rekord zasobów lokalizacji usługi (SRV RR) w systemie DNS.

Program Menedżer konfiguracji obsługuje rekordy lokalizacji usługi w standardzie RFC 2782 w następującym formacie:

_Usługa._Proto.Nazwa TTL Klasa SRV Priorytet Waga Port Element docelowy

Aby opublikować punkt zarządzania w programie Menedżer konfiguracji, określ następujące wartości:

• Usługa: wprowadź ciąg _mssms_mp*_<kod_lokacji>*, gdzie <kod_lokacji> to kod lokacji punktu zarządzania.

• ._Proto: określ wartość ._tcp.

• .Nazwa: wprowadź sufiks DNS punktu zarządzania, na przykład contoso.com.

• TTL: wprowadź wartość 14400, która odpowiada czterem godzinom.

• Klasa: określ wartość IN (zgodnie ze standardem RFC 1035).

• Priorytet: to pole nie jest używane przez program Menedżer konfiguracji.

• Waga: to pole nie jest używane przez program Menedżer konfiguracji.

• Port: wprowadź numer portu używanego przez punkt zarządzania, na przykład 80 w przypadku połączeń HTTP i 443 w przypadku połączeń HTTPS.

  Uwaga

  Port rekordu SRV powinien odpowiadać portowi komunikacyjnemu używanemu przez punkt zarządzania. Domyślnie jest to port 80 w przypadku komunikacji HTTP i 443 w przypadku HTTPS.

• Cel: wprowadź intranetową nazwę FQDN określoną dla systemu lokacji skonfigurowanego przy użyciu roli lokacji punktu zarządzania.

W przypadku używania systemu DNS w ramach systemu Windows Server można wprowadzić rekord DNS dla intranetowych punktów zarządzania, wykonując czynności opisane w poniższej procedurze. W przypadku stosowania innej implementacji systemu DNS, w celu zastosowania tej procedury należy skorzystać z informacji dotyczących wartości pól w tej sekcji oraz zapoznać się z dokumentacją systemu DNS.

Aby skonfigurować publikowanie automatyczne:

1. W konsoli programu Menedżer konfiguracji rozwiń opcję Administracja > Konfiguracja lokacji > Lokacje.

2. Wybierz lokację i kliknij przycisk Konfiguruj składniki lokacji.

3. Wybierz opcję Punkt zarządzania.

4. Wybierz punkty zarządzania, które chcesz publikować. (Wybór ten dotyczy publikowania w usługach AD DS i systemie DNS).

5. Zaznacz pole wyboru, aby publikować w systemie DNS:

   - To okno dialogowe umożliwia wybór punktów zarządzania do publikowania oraz publikację w systemie DNS.
   
   - To okno dialogowe nie służy do konfiguracji publikowania w usługach AD DS.
   

Aby ręcznie opublikować punkty zarządzania w systemie DNS w ramach systemu Windows Server

1. W konsoli programu Menedżer konfiguracji określ intranetowe nazwy FQDN systemów lokacji.

2. W konsoli zarządzania systemem DNS wybierz strefę DNS dla komputera punktu zarządzania.

3. Sprawdź, czy występuje rekord hosta (A lub AAAA) dla intranetowej nazwy FQDN systemu lokacji. Jeżeli ten rekord nie istnieje, utwórz go.

4. Przy użyciu opcji Nowe inne rekordy kliknij w oknie dialogowym Typ rekordu zasobów pozycję Lokalizacja usługi (SRV), kliknij przycisk Utwórz rekord, wprowadź następujące informacje, a następnie kliknij przycisk Gotowe:

   - **Domena**: w razie potrzeby wprowadź sufiks DNS punktu zarządzania, na przykład **contoso.com**.
   
   - **Usługa**: wpisz ciąg **\_mssms\_mp***\_\<kod\_lokacji\>*, gdzie *\<kod\_lokacji\>* to kod lokacji punktu zarządzania.
   
   - **Protokół**: wpisz ciąg **\_tcp**.
   
   - **Priorytet**: to pole nie jest używane przez program Menedżer konfiguracji.
   
   - **Waga**: to pole nie jest używane przez program Menedżer konfiguracji.
   
   - **Port**: wprowadź numer portu używanego przez punkt zarządzania, na przykład **80** w przypadku połączeń HTTP i **443** w przypadku połączeń HTTPS.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Port rekordu SRV powinien odpowiadać portowi komunikacyjnemu używanemu przez punkt zarządzania. Domyślnie jest to port <STRONG>80</STRONG> w przypadku komunikacji HTTP i <STRONG>443</STRONG> w przypadku HTTPS.</P>
   
   
     </div>
   
   - **Host oferujący tę usługę**: wprowadź intranetową w pełni kwalifikowaną nazwę domeny określoną dla systemu lokacji skonfigurowanego przy użyciu roli lokacji punktu zarządzania.
   

Powtórz te czynności dla każdego punktu zarządzania w sieci intranet, który ma zostać opublikowany w systemie DNS.

Usługa WINS

W przypadku niepowodzenia innych mechanizmów lokalizacji usługi klienci mogą znaleźć początkowy punkt zarządzania, sprawdzając usługę WINS.

Domyślnie lokacja główna publikuje w systemie WINS pierwszy punkt zarządzania w lokacji skonfigurowany do komunikacji HTTP i pierwszy punkt zarządzania skonfigurowany do komunikacji HTTPS.

Aby klienci nie mogli znaleźć w usłudze WINS punktu zarządzania HTTP, skonfiguruj klientów przy użyciu właściwości SMSDIRECTORYLOOKUP=NOWINS pliku Client.msi w programie CCMSetup.exe.

Planowanie sposobu wznawiania działania klientów

Program Menedżer konfiguracji obsługuje dwie technologie sieci lokalnych Wake On LAN służące do wznawiania działania komputerów z trybu uśpienia w celu zainstalowania wymaganego oprogramowania, np. aktualizacji oprogramowania i aplikacji: tradycyjne pakiety wznawiania i polecenia włączania zasilania AMT.

W programie Menedżer konfiguracji SP1 można uzupełnić tradycyjną metodę pakietu wznawiania, używając ustawień klienta serwera proxy wznawiania. Serwer proxy wznawiania sprawdza przy użyciu protokołu równorzędnego oraz wybranych komputerów, czy inne komputery w podsieci są w stanie aktywności i w razie potrzeby wznawia ich działanie. W przypadku skonfigurowania lokacji pod kątem sieci Wake On LAN i klientów pod kątem serwera proxy wznawiania, proces odbywa się w następujący sposób:

1. Komputery z zainstalowanym klientem programu Menedżer konfiguracji SP1, które nie są uśpione w podsieci, sprawdzają, czy inne komputery w podsieci są wznowione. Robią to, wysyłając wzajemnie do siebie polecenie TCP/IP Ping co 5 sekund.

2. Komputery nieodpowiadające na to polecenie zostaną uznane za uśpione. Komputery wznowione stają się komputerami zarządzającymi podsiecią.

   Ponieważ istnieje możliwość, że komputer może nie odpowiadać z powodów innych niż uśpienie (może być na przykład wyłączony, odłączony od sieci lub ustawienie serwera proxy wznawiania klienta nie jest już stosowane), do komputerów będzie wysyłany pakiet wznawiania codziennie o godzinie 14 czasu lokalnego. Nieodpowiadające komputery nie będą już uważane za uśpione i nie będą wznawiane przez serwer proxy wznawiania.

   Aby umożliwić działanie serwera proxy wznawiania, w każdej podsieci muszą znajdować się co najmniej trzy wznowione komputery. Aby to osiągnąć, trzy komputery zostaną wybrane w sposób niejednoznaczny do pełnienia funkcji komputerów stróżujących podsieci. Oznacza to, że będą stale wznowione, niezależnie od ewentualnych skonfigurowanych zasad zasilania nakazujących uśpienie lub hibernację po upływie określonego czasu nieaktywności. Komputery stróżujące wykonują polecenia wyłączenia lub ponownego uruchomienia wynikające na przykład z zadań konserwacji. W takim przypadku pozostałe komputery stróżujące wznowią inny komputer w podsieci, aby zagwarantować, że w podsieci zawsze będą trzy komputery stróżujące.

3. Komputery zarządzające nakazują przełącznikowi sieciowemu przekierowywanie ruchu sieciowego skierowanego do uśpionych komputerów do siebie.

   Przekierowanie odbywa się w ten sposób, że komputer zarządzający przesyła ramkę Ethernet używającą adresu MAC uśpionego komputera jako adresu źródłowego. Sprawia to, że przełącznik sieciowy zachowuje się tak, jakby uśpiony komputer przeniósł się do portu zajmowanego przez komputer zarządzający. Komputer zarządzający wysyła również pakiety ARP przeznaczone dla uśpionych komputerów, aby zapewnić bieżące wpisy w pamięci podręcznej ARP. Komputer zarządzający będzie także odpowiadał na żądania ARP w imieniu uśpionego komputera przy użyciu jego adresu MAC.

   Ostrzeżenie

   Podczas tego procesu mapowanie adresu IP do MAC dla uśpionego komputera nie ulegnie zmianie. Serwer proxy wznawiania działa w ten sposób, że informuje przełącznik sieciowy o karcie sieciowej używającej portu zarejestrowanego przez inną kartę. Takie zachowanie nazywane jest niestabilnością adresu MAC i nie jest typowe dla standardowego działania sieci. Niektóre narzędzia monitorowania sieci szukają oznak takiego działania i mogą zauważyć, że wystąpił problem. W konsekwencji mogą generować alerty lub wyłączać porty w przypadku użycia serwera proxy wznawiania. Nie należy używać serwera proxy wznawiania, jeśli używane narzędzia i usługi monitorowania sieci nie zezwalają na niestabilności adresów MAC.

4. Gdy komputer zarządzający dostrzeże nowe żądanie połączenia TCP skierowane do uśpionego komputera i wysyłane do portu, na którym uśpiony komputer prowadził nasłuchiwanie przed uśpieniem, wyśle pakiet wznawiania do tego komputera, a następnie wstrzyma przekierowywanie ruchu dla tego komputera.

5. Uśpiony komputer otrzyma pakiet wznawiania i wznowi się. Wysyłający komputer automatycznie ponowi próbę nawiązania połączenia, które tym razem zostanie odebrane, ponieważ komputer będzie wznowiony.

Działanie serwera proxy wznawiania jest obwarowane następującymi wymaganiami wstępnymi i ograniczeniami:

Ważne

Jeśli infrastrukturą i usługami sieciowymi zajmuje się odrębny zespół, należy go powiadomić o prowadzonej ewaluacji i testowaniu, a także włączyć do tych prac. Jeśli na przykład sieć używa kontroli dostępu do sieci według standardu 802.1X, serwer proxy wznawiania nie będzie działał i może zakłócać funkcjonowanie sieci. Serwer proxy wznawiania może ponadto powodować generowanie alertów przez niektóre narzędzia monitorowania sieci w sytuacji wykrycia przez nie ruchu mającego na celu wznowienie innych komputerów.

• Obsługiwane systemy operacyjne komputerów klienckich to Windows 7, Windows 8, Windows Server 2008 R2 i Windows Server 2012.

• Systemy operacyjne gościa na maszynie wirtualnej nie są obsługiwane.

• Na komputerach klienckich musi być zainstalowany program Menedżer konfiguracji SP1, muszą one również obsługiwać serwer proxy wznawiania przy użyciu ustawień klienta. Działanie serwera proxy wznawiania nie jest uzależnione od spisu sprzętu, klienty nie zgłaszają zainstalowania usługi serwera proxy wznawiania, jeśli nie włączono na nich funkcji spisu sprzętowego i jeśli nie przesłały przynajmniej jednego takiego spisu.

• Na kartach sieciowych (oraz w miarę możliwości w systemie BIOS) należy włączyć i skonfigurować obsługę pakietów wznawiania. Jeśli na karcie sieciowej nie zostanie skonfigurowana obsługa pakietów wznawiania lub to ustawienie zostanie wyłączone, program Menedżer konfiguracji automatycznie skonfiguruje i włączy je na komputerze w momencie otrzymania ustawienia klienta dotyczącego włączenia obsługi serwera proxy wznawiania.

• Jeśli komputer jest wyposażony w więcej niż jedną kartę sieciową, nie można skonfigurować, która karta będzie używana do obsługi serwera proxy wznawiania: ten wybór przebiega w sposób niejednoznaczny. Wybrana karta sieciowa zostanie jednak zapisana w pliku SleepAgent_<DOMENA>@SYSTEM_0.log

• Sieć musi zezwalać na żądania echa ICMP (przynajmniej w obrębie podsieci). Nie można skonfigurować 5-sekundowego interwału używanego podczas wysyłania poleceń ICMP Ping.

• Komunikacja będzie przebiegała bez szyfrowania i uwierzytelniania, a protokół IPsec nie będzie obsługiwany.

• Następujące konfiguracje sieciowe nie będą obsługiwane:

  • standard 802.1X z funkcją uwierzytelniania portu,

  • sieci bezprzewodowe,

  • przełączniki sieciowe wiążące adresy MAC z określonymi portami,

  • sieci obsługujące wyłącznie protokół IPv6,

  • dzierżawy DHCP wygasające przed upływem 24 godzin.

Zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń należy w miarę możliwości używać poleceń włączenia zasilania AMT zamiast pakietów wznawiania. Ponieważ polecenia włączania zasilania AMT używają certyfikatów PKI do zabezpieczenia komunikacji, ta technologia jest bezpieczniejsza niż wysyłanie pakietów wznawiania. Aby jednak używać poleceń włączania zasilania AMT, komputery muszą być oparte na Intel AMT z obsługą administracyjną technologii AMT. Więcej informacji o zarządzaniu komputerami opartymi na technologii AMT przez program Menedżer konfiguracji znajduje się w sekcji Wprowadzenie do zarządzania poza pasmem w programie Configuration Manager.

Aby wznowić komputery w związku z zaplanowaną instalacją oprogramowania, należy skonfigurować lokację główną w odniesieniu do jednej z trzech opcji:

• Użyj poleceń włączania zasilania AMT, jest komputer obsługuje tę technologię, w przeciwnym razie użyj pakietów wznawiania;

• Użyj tylko poleceń włączania zasilania AMT;

• Użyj tylko pakietów wznawiania.

Aby użyć serwera proxy wznawiania z programem Menedżer konfiguracji SP1, należy wdrożyć ustawienia klienta serwera proxy wznawiania zarządzania energią, a także wybrać opcję Użyj tylko pakietów wzbudzania.

Więcej informacji o różnicach między dwoma technologiami Wake-on-LAN (WOL): tradycyjnymi pakietami wznawiania i poleceniami włączania zasilania, znajduje się w następującej tabeli.

Technologia	Zaleta	Wada
Tradycyjne pakiety wznawiania	Nie wymaga żadnych dodatkowych ról systemu lokacji w lokacji Obsługiwana przez wiele kart sieciowych. Wysyłanie i przetwarzanie pakietów wznawiania UDP nie zajmuje wiele czasu. Nie wymaga infrastruktury PKI. Nie wymaga żadnych zmian dotyczących usług domenowych w usłudze Active Directory. Obsługiwana na komputerach grupy roboczej, komputerach z innego lasu usługi Active Directory oraz komputerach z tego samego lasu usługi Active Directory, lecz używających nieciągłego obszaru nazw.	Ta technologia jest mniej bezpieczna od poleceń włączania zasilania AMT, ponieważ nie używa funkcji uwierzytelnień ani szyfrowania. Jeśli do przesyłania pakietów wznawiania używa się skierowanych do podsieci transmisji, może wystąpić ryzyko w postaci ataku określanego mianem „smurf attack”. Może wymagać ręcznego skonfigurowania ustawień systemu BIOS i konfiguracji karty sieciowej na poszczególnych komputerach. Brak potwierdzenia o wznowieniu komputerów. Transmisje wznawiania w postaci wielu pakietów UDP (User Datagram Protocol) mogą niepotrzebnie obciążać dostępną przepustowość sieci. Interaktywne wznawianie komputerów jest możliwe tylko w przypadku serwera proxy wznawiania z programem Menedżer konfiguracji SP1. Nie można przywrócić stanu uśpienia komputera. Funkcje zarządzania są ograniczone wyłącznie do wznawiania komputerów.
Polecenia włączania zasilania AMT	Wyższy poziom bezpieczeństwa w porównaniu z tradycyjnymi pakietami wznawiania dzięki użyciu funkcji uwierzytelniania i szyfrowania za pomocą protokołów zabezpieczeń będących standardami branżowymi. Technologię można również zintegrować z istniejącym wdrożeniem PKI, a kontrolami zabezpieczeń można zarządzać w sposób niezależny z poziomu produktu. Obsługuje automatyczną scentralizowaną instalację i konfigurację (udostępnianie AMT). Sesja transportowa umożliwia bardziej niezawodne i kontrolowane połączenie. Komputery można wznawiać (i uruchamiać ponownie) w sposób interaktywny. Komputery można wyłączać w sposób interaktywny. Dodatkowe funkcje zarządzania, w tym: uruchamianie niedziałającego komputera i rozruch z lokalnie podłączonego urządzenia lub znanego dobrego pliku obrazu rozruchowego; ponowne tworzenie obrazu komputera przy użyciu rozruchu z pliku obrazu rozruchowego zlokalizowanego w sieci lub za pomocą serwera PXE; ponowne konfigurowanie ustawień systemu BIOS na wybranym komputerze i pomijanie hasła systemu BIOS, jeśli taka funkcja jest obsługiwana przez dostawcę systemu BIOS; rozruch do systemu operacyjnego opartego na poleceniach w celu uruchamiania poleceń, narzędzi do naprawy lub aplikacji diagnostycznych (na przykład w celu uaktualnienia oprogramowania sprzętowego lub uruchomienia narzędzi naprawy dysku).	Wymaga, by lokacja była wyposażona w punkt obsługi poza pasmem oraz punkt rejestracji. Obsługiwana tylko na komputerach z mikroukładem Intel vPro oraz obsługiwaną wersją oprogramowania sprzętowego technologii zarządzania aktywnego firmy Intel (Intel AMT). Więcej informacji o obsługiwanych wersjach AMT znajduje się w sekcji .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty. Sesja transportowa wymaga dłuższego czasu nawiązywania, wyższego poziomu przetwarzania na serwerze oraz większej ilości przesyłanych danych. Wymaga wdrożenia PKI oraz certyfikatów. Wymaga kontenera usługi Active Directory tworzonego i konfigurowanego w celu publikowania komputerów opartych na technologii AMT. Nie obsługuje komputerów grupy roboczej, komputerów z innego lasu usługi Active Directory oraz komputerów z tego samego lasu usługi Active Directory, lecz używających nieciągłego obszaru nazw. Wymaga zmian w systemie DNS i protokole DHCP, aby umożliwić udostępnianie AMT.

Istnieje możliwość wyboru metody wznawiania komputerów w zależności od tego, czy polecenia włączania zasilania są obsługiwane oraz czy komputery przypisane do lokacji obsługują technologię Wake-on-LAN. Należy również rozważyć wady i zalety oby technologii opisanych w poprzedniej tabeli. Pakiety wznawiania są na przykład bardziej zawodne i niezabezpieczone, jednak polecenia włączania zasilania wymagają więcej czasu i dłuższego przetwarzania na serwerze systemu lokacji skonfigurowanym z punktem obsługi poza pasmem.

Ważne

Z uwagi na dodatkowe obciążenie związane z nawiązywaniem, utrzymywaniem i kończeniem sesji zarządzania poza pasmem dotyczącej komputerów opartych na technologii AMT należy przeprowadzić własne testy umożliwiające precyzyjną ocenę czasu wznawiania wielu komputerów przy użyciu poleceń włączania zasilania AMT w danym środowisku (na przykład w wolno działających sieciach WAN łączących komputery w lokacjach dodatkowych). Ta wiedza pozwoli zdecydować, czy wznawianie wielu komputerów do zaplanowanych działań przy użyciu poleceń włączania zasilania AMT jest praktyczne w sytuacji, gdy występuje konieczność wznowienia dużej liczby komputerów w krótkim czasie.

W przypadku wybrania tradycyjnych pakietów wznawiania należy również postanowić, czy używać pakietów emisji skierowanych do podsieci, czy też pakietów emisji pojedynczej oraz wybrać numer używanego portu UDP. Tradycyjne pakiety wznawiania są przesyłane domyślnie przy użyciu portu 9 UDP, jednak aby zwiększyć poziom bezpieczeństwa, można wybrać alternatywny port do obsługi lokacji, jeśli jest on obsługiwany przez pośredniczące routery i zapory.

W przypadku tradycyjnych pakietów wznawiania: wybór między emisją pojedynczą i emisją kierowaną do podsieci na potrzeby funkcji Wake-on-LAN

W przypadku wybrania wznawiania komputerów przy użyciu tradycyjnych pakietów wznawiania należy zdecydować, czy wysyłane pakiety mają być pakietami emisji pojedynczej, czy też emisji skierowanej do podsieci. Używając serwera proxy wznawiania z programem Menedżer konfiguracji SP1, należy wybrać opcję pakietów emisji pojedynczej. W innych sytuacjach należy użyć następującej tabeli w celu określenia, którą metodę transmisji należy wybrać.

Metoda transmisji	Zaleta	Wada
Emisja pojedyncza	To rozwiązanie odznacza się wyższym poziomem bezpieczeństwa w porównaniu z emisją skierowaną do podsieci, ponieważ pakiet jest wysyłany bezpośrednio do komputera zamiast do wszystkich komputerów w podsieci. Może nie wymagać ponownego skonfigurowania routerów (może wystąpić konieczność skonfigurowania pamięci podręcznej ARP). Powoduje mniejsze obciążenie przepustowości sieci niż transmisje skierowane do podsieci. Obsługiwana przez protokół IPv4 oraz IPv6.	Pakiety wznawiania nie odnajdą komputerów docelowych, których adres podsieci ulegnie zmianie po ostatnim zaplanowanym spisie sprzętu. Może wystąpić konieczność skonfigurowania przełączników do przekazywania pakietów UDP. Niektóre karty sieciowe mogą nie reagować na pakiety wznawiania we wszystkich stanach uśpienia w przypadku używania emisji pojedynczej jako metody transmisji.
Emisja skierowana do podsieci	Wyższy poziom skuteczności w porównaniu z emisją pojedynczą w przypadku komputerów, których adresy IP ulegają częstym zmianom w ramach tej samej podsieci. Nie jest wymagane ponowne skonfigurowanie przełączników. Wysoki poziom zgodności z kartami sieciowymi we wszystkich stanach uśpienia, ponieważ emisje skierowane do podsieci stanowiły oryginalną metodę transmisji pakietów wznawiania.	To rozwiązanie odznacza się niższym poziomem bezpieczeństwa w porównaniu z emisją pojedynczą, ponieważ umożliwia osobie atakującej przesyłanie ciągłego strumienia żądań echa ICMP ze sfałszowanego adresu źródłowego na adres ukierunkowanej emisji. W rezultacie wszystkie hosty będą odpowiadać na ten adres źródłowy. Jeśli konfiguracja routerów zezwala na emisje skierowane do podsieci, ze względów bezpieczeństwa zaleca się przeprowadzenie dodatkowej konfiguracji: Skonfiguruj routery, aby zezwalały tylko na emisje skierowane do adresu IP z serwera lokacji programu Menedżer konfiguracji przy użyciu określonego numeru portu UDP. Skonfiguruj program Menedżer konfiguracji, aby używał określonego, niedomyślnego numeru portu. Włączenie funkcji emisji skierowanych do podsieci może wymagać ponownego skonfigurowania wszystkich pośredniczących routerów. Generuje większe obciążenie przepustowości sieci w porównaniu z emisjami pojedynczymi. Obsługiwana tylko przez protokół IPv4, brak obsługi przez protokół IPv6.

Ostrzeżenie

Emisje skierowane do podsieci wiążą się z zagrożeniem bezpieczeństwa: osoba atakująca może wysyłać ciągłe strumienie żądań echa protokołu ICMP (Internet Control Message Protocol) ze sfałszowanego adresu źródłowego na adres ukierunkowanej emisji, co może powodować, że wszystkie hosty będą odpowiadać na adres źródłowy. Ten rodzaj ataku typu „odmowa usługi” jest popularnie określany mianem „smurf attack”. Można mu zazwyczaj zapobiec, nie włączając funkcji emisji skierowanej do podsieci.

Planowanie komunikacji między lasami w programie Configuration Manager

Program System Center 2012 Configuration Manager obsługuje lokacje i hierarchie obejmujące różne lasy usługi Active Directory.

Program Menedżer konfiguracji obsługuje również komputery domeny znajdujące się w innym lesie usługi Active Directory niż serwer lokacji oraz komputery w grupach roboczych:

• Aby umożliwić obsługę komputerów domeny znajdujących się w lesie niepołączonym relacją zaufania z lasem serwera lokacji, można zainstalować role systemu lokacji w niezaufanym lesie z opcją publikowania informacji o lokacji w lesie usługi Active Directory klienta. Można również zarządzać tymi komputerami jak komputerami grupy roboczej. Po zainstalowaniu serwerów systemu lokacji w lesie klienta komunikacja między klientem a serwerem będzie odbywała się w ramach lasu klienta, a program Menedżer konfiguracji będzie w stanie uwierzytelniać komputer przy użyciu technologii Kerberos. W przypadku publikowania informacji o lokacji w lesie klienta klienty mogą odzyskiwać informacje o lokacji, na przykład listę dostępnych punktów zarządzania, z własnego lasu usługi Active Directory zamiast pobierać te informacje z przypisanego do nich punktu zarządzania.

  Uwaga

  Aby zarządzać urządzeniami w sieci internetowej, należy zainstalować role internetowego systemu lokacji w sieci obwodowej, jeśli serwery systemu lokacji znajdują się w lesie usługi Active Directory. Ten scenariusz nie wymaga dwustronnej relacji zaufania między siecią obwodową a lasem serwera lokacji.

• Aby umożliwić obsługę komputerów w grupie roboczej, należy ręcznie zatwierdzić te komputery, jeśli używają one połączeń klienta HTTP z rolami systemu lokacji, ponieważ program Menedżer konfiguracji nie może uwierzytelnić tych komputerów przy użyciu technologii Kerberos. Należy ponadto skonfigurować konto dostępu do sieci, aby umożliwić tym komputerom pobieranie zawartości z punktów dystrybucji. Ponieważ klienty nie mogą pobierać informacji o lokacji z usług domenowych w usłudze Active Directory, należy udostępnić im alternatywny mechanizm znajdowania punktów zarządzania. Można użyć funkcji publikowania DNS, usługi WINS lub bezpośrednio przypisać punkt zarządzania.

  Informacje dotyczące zatwierdzania klienta w programie Konfigurowanie ustawień zatwierdzania klienta i rekordów klientów powodujących konflikt znajdują się w temacie Konfigurowanie ustawień zarządzania klientami w programie Configuration Manager.

  Informacje na temat konfigurowania konta dostępu do sieci znajdują się w sekcji Konfigurowanie konta dostępu do sieci w temacie Konfigurowanie zarządzania zawartością w programie Configuration Manager.

  Informacje na temat instalacji klientów na komputerach grupy roboczej znajdują się w sekcji Jak instalować klientów programu Configuration Manager na komputerach grupy roboczej w temacie Jak zainstalować klientów na komputerach z systemem Windows w programie Configuration Manager.

Program Menedżer konfiguracji obsługuje łącznik serwera Exchange znajdujący się w innym lesie niż serwer lokacji. Postępując zgodnie z tym scenariuszem, należy się upewnić, że nazwy są rozpoznawane w lasach (skonfiguruj na przykład operacje przekazywania serwera DNS) oraz określić intranetową nazwę FQDN programu Exchange Server podczas konfigurowania łącznika serwera Exchange. Aby uzyskać więcej informacji, zobacz Jak zarządzać urządzeniami przenośnymi za pomocą programu Configuration Manager i Exchange.

Jeżeli projekt program Menedżer konfiguracji obejmuje wiele lasów i domen usługi Active Directory, dodatkowe informacje w poniższej tabeli ułatwią planowanie opisanych typów komunikacji.

Scenariusz	Szczegóły	Więcej informacji
Komunikacja między lokacjami w hierarchii obejmującej lasy: Wymaga dwukierunkowego zaufania z lasem, które obsługuje wymagane przez program Menedżer konfiguracji uwierzytelnianie przy użyciu protokołu Kerberos.	Program Menedżer konfiguracji umożliwia zainstalowanie lokacji podrzędnej w lesie zdalnym z relacją zaufania dwukierunkowego z lasem lokacji nadrzędnej. Przykład: lokację dodatkową można umieścić w innym lesie niż jej nadrzędną lokację główną pod warunkiem, że istnieje wymagana relacja zaufania. Jeżeli nie istnieje dwukierunkowe zaufanie z lasem obsługujące uwierzytelnianie przy użyciu protokołu Kerberos, program Menedżer konfiguracji nie będzie obsługiwał lokacji podrzędnej w lesie zdalnym. Uwaga Lokacja podrzędna może być lokacją główną (której nadrzędną lokacją jest centralna lokacja administracyjna) lub lokacją dodatkową. Komunikacja międzylokacyjna w programie Menedżer konfiguracji odbywa się przy użyciu replikacji bazy danych i transferów opartych na plikach. Podczas instalowania lokacji należy określić konto używane do zainstalowania jej na wyznaczonym serwerze. To konto będzie również służyło do nawiązywania i utrzymywania komunikacji między lokacjami. Po pomyślnym zainstalowaniu lokacji i zainicjowaniu transferów opartych na plikach oraz replikacji bazy danych nie trzeba konfigurować żadnych ustawień komunikacji z lokacją. Więcej informacji na temat sposobu instalacji lokacji zawiera sekcja Instalacja serwera lokacji w temacie Instalowanie lokacji i tworzenie hierarchii programu Configuration Manager.	Gdy istnieje relacja zaufania dwukierunkowego z lasem, nie trzeba wykonywać żadnych dodatkowych czynności konfiguracyjnych w programie Menedżer konfiguracji. Podczas instalowania nowej lokacji podrzędnej względem innej lokacji program Menedżer konfiguracji domyślnie konfiguruje następujące opcje: Oparty na plikach adres replikacji między lokacjami dla każdej lokacji korzystającej z konta komputera serwera lokacji. Program Menedżer konfiguracji dodaje konta poszczególnych komputerów do grupy SMS_SiteToSiteConnection_<kod_lokacji> na komputerze docelowym. replikację bazy danych z programem SQL Server w każdej lokacji. Należy również wprowadzić następujące konfiguracje: Pośredniczące zapory i urządzenia sieciowe muszę zezwalać na pakiety sieciowe wymagane przez program Menedżer konfiguracji. Musi działać funkcja rozpoznawania nazw lasów. Aby zainstalować lokację lub rolę systemu lokacji, należy określić konto z uprawnieniami administratora lokalnego na wybranym komputerze.
Komunikacja w lokacji obejmującej lasy: Nie wymaga dwukierunkowego zaufania z lasem.	Lokacje główne obsługują instalację ról systemu lokacji na komputerach w innych lasach. Dwa wyjątki to punkt usługi poza pasmem i punkt usługi sieci Web katalogu aplikacji, które muszą być instalowane w tym samym lesie co serwer lokacji. Gdy rola systemu lokacji akceptuje połączenia z Internetu, najlepszym rozwiązaniem w zakresie zabezpieczeń jest instalacja ról systemu lokacji w miejscu, w którym granica lasu zapewnia ochronę serwera lokacji (na przykład w sieci obwodowej). W przypadku instalacji roli systemu lokacji na komputerze w niezaufanym lesie: Należy określić konto instalacji systemu lokacji używane do instalowania roli systemu lokacji. To konto musi mieć lokalne poświadczenia administracyjne w celu połączenia się z określonym komputerem i zainstalowania na nim ról systemu lokacji. Należy wybrać opcję systemu lokacji Wymagaj serwera lokacji do zainicjowania połączeń z tym systemem lokacji. Wymaga to od serwera lokacji ustanowienia połączeń z serwerem systemu lokacji w celu przesyłania danych. Zapobiega to inicjowaniu przez komputer w niezaufanej lokacji kontaktu z serwerem lokacji znajdującym się wewnątrz zaufanej sieci. Połączenia te używają konta instalacji systemu lokacji. W przypadku korzystania z roli systemu lokacji w lesie niezaufanym zapory muszą zezwalać na ruch sieciowy nawet wtedy, gdy transfer danych jest inicjowany przez serwer lokacji. Ponadto następujące role systemu lokacji wymagają bezpośredniego dostępu do bazy danych lokacji. Dlatego zapory muszą zezwalać na odpowiedni ruch z niezaufanego lasu do lokacji programu SQL Server: Punkt synchronizacji analizy zasobów Punkt ochrony punktu końcowego Punkt rejestracji Punkt zarządzania Punkt usług raportowania Punkt migracji stanu Więcej informacji znajduje się w sekcji Informacje techniczne dotyczące portów używanych w programie Configuration Manager.	Role systemu lokacji punktu zarządzania i punktu rejestracyjnego łączą się z bazą danych lokacji. Po zainstalowaniu tych ról systemu lokacji program Menedżer konfiguracji domyślnie konfiguruje konto komputera nowego serwera systemu lokacji jako konto połączenia i dodaje je do odpowiedniej roli bazy danych programu SQL Server. W przypadku instalowania tych ról systemu lokacji w niezaufanej domenie należy skonfigurować konto połączenia roli systemu lokacji tak, aby zezwalało tej roli na pobieranie informacji z bazy danych. Jeżeli w ramach tych kont połączeń skonfigurowano konto użytkownika domeny, to konto musi mieć odpowiednie uprawnienia dostępu do bazy danych programu SQL Server w następujących lokacjach: Punkt zarządzania: konto połączenia bazy danych punktu zarządzania Punkt rejestracji: konto połączenia punktu rejestracji Podczas planowania ról systemu lokacji w innych lasach należy wziąć pod uwagę następujące informacje: W przypadku używania zapory systemu Windows należy skonfigurować odpowiednie profile zapory, aby umożliwić komunikację między serwerem bazy danych lokacji a komputerami zainstalowanymi przy użyciu ról systemu lokacji. Informacje o profilach zapory znajdują się w temacie Opis profilów zapory. Jeżeli między internetowym punktem zarządzania a lasem zawierającym konta użytkowników istnieje relacja zaufania, obsługiwane są zasady użytkownika. Gdy relacja zaufania nie istnieje, obsługiwane są tylko zasady komputera.
Komunikacja między klientami a rolami systemu lokacji, gdy klienci nie znajdują się w tym samym lesie usługi Active Directory co ich serwer lokacji.	W przypadku klientów nieznajdujących się w tym samym lesie co serwer ich lokacji program Menedżer konfiguracji obsługuje następujące scenariusze: Między lasem klienta a lasem serwera lokacji istnieje relacja dwukierunkowego zaufania Serwer roli systemu lokacji znajduje się w tym samym lesie co klient Klient znajduje się na komputerze domeny, na którym nie istnieje relacja dwukierunkowego zaufania między lasem a serwerem lokacji, a role systemu lokacji nie są zainstalowane w lesie klienta Klient znajduje się na komputerze grupy roboczej Uwaga Program Menedżer konfiguracji nie może zarządzać komputerami z technologią AMT poza pasmem, gdy te komputery znajdują się w innym lesie niż serwer lokacji.	Klienci na komputerze domeny mogą lokalizować usługi za pomocą usług domenowych Active Directory, gdy ich lokacja jest opublikowana w lesie usługi Active Directory. Aby opublikować informacje o lokacji w innym lesie usługi Active Directory, należy w pierwszej kolejności określić las, a następnie włączyć w tym lesie funkcję publikowania w węźle Lasy usługi Active Directory obszaru roboczego Administracja. Ponadto należy włączyć publikowanie w każdej lokacji, która będzie publikować swoje dane w usługach domenowych Active Directory. Przy użyciu tej konfiguracji klienci w tym lesie mogą pobierać informacje o lokacji i wyszukiwać punkty zarządzania. Na klientach, którzy nie mogą lokalizować usług za pomocą usług domenowych Active Directory, można użyć serwera DNS, usługi WINS lub punktu zarządzania przypisanego klientowi.

Planowanie internetowego zarządzania klientami

Funkcja internetowego zarządzania klientami umożliwia zarządzanie klientami programu Menedżer konfiguracji, którzy nie są podłączeni do sieci firmowej, ale używają standardowego połączenia internetowego. Taki układ zapewnia kilka korzyści, takich jak mniejsze koszty ze względu na brak konieczności uruchomienia wirtualnych sieci prywatnych (VPN) oraz możliwość wdrażania aktualizacji oprogramowania w odpowiednim czasie.

Zarządzanie komputerami klienckimi w sieci publicznej wiąże się z większymi wymaganiami w zakresie zabezpieczeń, dlatego w ramach internetowego zarządzania klienci muszą łączyć się z serwerami systemu lokacji przy użyciu certyfikatów PKI. Dzięki temu połączenia są uwierzytelnianie przez niezależny urząd, a dane przesyłane między tymi systemami lokacji są szyfrowane przy użyciu protokołu SSL (Secure Sockets Layer).

W poniższych sekcjach znajdują się informacje ułatwiające planowanie internetowego zarządzania klientami.

Funkcje nieobsługiwane przez Internet

Nie wszystkich funkcji zarządzania klientami można używać za pośrednictwem Internetu; z tego powodu nie są one obsługiwane w przypadku zarządzania klientami przez Internet. Funkcje nieobsługiwane w przypadku zarządzania internetowego zazwyczaj są zależne od usług domenowych Active Directory lub nie można ich używać w sieci publicznej, na przykład odnajdywanie sieci i Wake-on-LAN (WOL).

Następujące funkcje nie są obsługiwane w przypadku zarządzania klientami przez Internet:

• Wdrażanie klientów przez Internet, na przykład instalacja wypychana i wdrażanie klienta oparte na aktualizacjach oprogramowania; klienta należy zainstalować ręcznie

• Automatyczne przypisanie lokacji

• Ochrona dostępu do sieci (NAP)

• Wake-on-LAN

• Wdrożenie systemu operacyjnego (istnieje jednak możliwość wdrożenia sekwencji zadań nie obejmujących wdrożenia systemu operacyjnego; na przykład sekwencji uruchamiających skrypty i zadania obsługi na kliencie)

• Zdalne sterowanie

• Zarządzanie poza pasmem

• Wdrożenie oprogramowania dla użytkowników, jeżeli internetowy punkt zarządzania nie może uwierzytelnić użytkownika w usługach domenowych Active Directory za pomocą uwierzytelniania systemu Windows (Kerberos lub NTLM); jest to możliwe, gdy istnieje relacja zaufania między internetowym punktem zarządzania a lasem, w którym znajduje się konto użytkownika

Ponadto internetowe zarządzanie klientami nie obsługuje roamingu. Klienci mogą przy użyciu roamingu zawsze znaleźć najbliższe punkty dystrybucji z dostępna do pobrania zawartością. Klienci zarządzani przez Internet komunikują się z systemami lokacji z poziomu przypisanej im lokacji, jeśli systemy te zostały skonfigurowane do używania internetowej nazwy FQDN, a role systemu lokacji zezwalają na połączenia z klientem przez Internet. Klienci wybierają w sposób niejednoznaczny jeden z internetowych systemów lokacji niezależnie od przepustowości lub lokalizacji fizycznej.

Uwaga

W programie System Center 2012 Configuration Manager wprowadzono nową funkcję: jeśli istnieje punkt aktualizacji oprogramowania skonfigurowany do akceptowania połączeń z Internetu, klienci internetowi programu Menedżer konfiguracji połączenie z Internetem będą zawsze skanowani względem tego punktu aktualizacji oprogramowania w celu określenia wymaganych aktualizacji. Jednak gdy ci klienci są połączeni z Internetem, najpierw próbują pobrać aktualizacje oprogramowania z usługi Microsoft Update, a nie z internetowego punktu dystrybucji. Dopiero, gdy to się nie powiedzie, zostanie podjęta próba pobrania niezbędnych aktualizacji oprogramowania z internetowego punktu dystrybucji. Klienci, którzy nie zostali skonfigurowani w ramach internetowego zarządzania, nigdy nie próbują pobrać aktualizacji oprogramowania z usługi Microsoft Update, lecz używają do tego celu punktów dystrybucji programu Menedżer konfiguracji.

Uwagi dotyczące komunikacji klienta z Internetu lub niezaufanego lasu

Następujące role systemu lokacji zainstalowane w lokacjach głównych obsługują połączenia od klientów z lokalizacji niezaufanych, takich jak Internet lub niezaufany las (lokacje dodatkowe nie obsługują połączeń klientów z niezaufanych lokalizacji):

• Punkt witryny sieci Web katalogu aplikacji

• Moduł zasad programu Configuration Manager

• Punkt dystrybucji (protokół HTTPS jest wymagany przez punkty dystrybucji oparte na chmurze)

• Punkt proxy rejestracji

• Rezerwowy punkt stanu

• Punkt zarządzania

• Punkt aktualizacji oprogramowania

Systemy lokacji dostępne w Internecie: 
relacja zaufania między lasem klienta i lasem serwera systemu lokacji nie jest wymagana, gdy las zawierający system lokacji dostępny w Internecie ufa lasowi zawierającemu konta użytkowników, jednak ta konfiguracja obsługuje zasady oparte na użytkowniku dla urządzeń w Internecie po włączeniu ustawienia klienta Włącz żądania zasad użytkownika od klientów internetowych w obszarze Zasady klienta.

Następujące konfiguracje stanowią przykłady obsługi zasad użytkowników na urządzeniach połączonych z Internetem w ramach internetowego zarządzania klientami:

• Internetowy punkt zarządzania należy do sieci obwodowej, w której znajduje się kontroler domeny tylko do odczytu umożliwiający uwierzytelnianie użytkownika, a pośrednicząca zapora zezwala na pakiety usługi Active Directory.

• Konto użytkownika znajduje się w lesie A (sieć intranet), a internetowy punkt zarządzania znajduje się w lesie B (sieć obwodowa). Między lasem B a lasem A istnieje relacja zaufania i pośrednicząca zapora zezwala na pakiety uwierzytelniania.

• Konto użytkownika i internetowy punkt zarządzania znajdują się w lesie A (sieć intranet). Punkt zarządzania jest publikowany w Internecie przy użyciu serwera proxy sieci Web (na przykład Forefront Threat Management Gateway).

Uwaga

W przypadku niepowodzenia uwierzytelniania przy użyciu Kerberos automatycznie zostanie podjęta próba uwierzytelniania NTLM.

Zgodnie z poprzednim przykładem internetowe systemy lokacji można umieścić w sieci intranet, gdy są publikowane w Internecie przy użyciu serwera proxy sieci web (na przykład ISA Server i Forefront Threat Management Gateway). Te systemy lokacji można skonfigurować do połączeń z klientem tylko przez Internet lub zarówno przez Internet, jak i sieć intranet. W przypadku używania serwera proxy sieci web można na nim skonfigurować mostkowanie SSL (bezpieczniejsza konfiguracja) lub tunelowanie SSL:

• Mostkowanie do protokołu SSL: 
  to zalecana konfiguracja w przypadku korzystania z serwerów proxy sieci Web do internetowego zarządzania klientami, która obejmuje kończenie żądań SSL z uwierzytelnianiem. Uwierzytelnianie komputerów klienckich musi odbywać się przy użyciu uwierzytelniania komputera, a uwierzytelnianie starszych klientów urządzeń przenośnych przy użyciu uwierzytelniania użytkownika. Urządzenia przenośne zarejestrowane przez program Menedżer konfiguracji nie obsługują mostkowania SSL.

  Dzięki funkcji kończenia żądań SSL na serwerze proxy sieci web pakiety z Internetu są poddawane inspekcji przed przekazaniem ich do sieci wewnętrznej. Serwer proxy sieci web uwierzytelnia połączenie nawiązywane przez klienta, kończy je, a następnie nawiązuje nowe uwierzytelnione połączenie z internetowymi systemami lokacji. Gdy klienci programu Menedżer konfiguracji korzystają z serwera proxy sieci web, tożsamość klienta (jego identyfikator GUID) jest bezpiecznie przechowywana w ładunku pakietu, dzięki czemu punkt zarządzania nie traktuje serwera proxy sieci web jako klienta. Mostkowanie nie jest obsługiwane w programie Menedżer konfiguracji między protokołami HTTP i HTTPS.

• Tunelowanie:
  jeśli serwer proxy sieci Web nie spełnia wymagań mostkowania SSL lub gdy chcesz skonfigurować obsługę internetową urządzeń przenośnych zarejestrowanych przez program Menedżer konfiguracji, obsługiwana jest również funkcja tunelowania SSL. To mniej bezpieczna opcja, ponieważ pakiety SSL z Internetu są przekazywane do systemów lokacji bez zakończenia żądań SSL, a tym samym nie można przeprowadzić ich inspekcji pod kątem złośliwej zawartości. W przypadku używania funkcji tunelowania SSL nie istnieją wymagania dotyczące certyfikatów serwera proxy sieci web.

Planowanie obsługi klientów internetowych

Należy wybrać, czy komputery klienckie zarządzane za pośrednictwem Internetu mają zostać skonfigurowane do zarządzania w sieci intranet oraz w Internecie, czy tylko do zarządzania internetowego. Opcję zarządzania klientami można skonfigurować tylko podczas instalacji komputera klienckiego. Aby później zmienić tę opcję, należy ponownie zainstalować klienta.

Uwaga

Dla programu System Center 2012 R2 Configuration Manager i nowszych wersji: W przypadku skonfigurowania punktu zarządzania z dostępem do Internetu klient połączony z tym punktem zarządzania również uzyska dostęp do Internetu po odświeżeniu listy dostępnych punktów zarządzania.

Porada
Konfiguracja zarządzania klientami nie musi obejmować tylko zarządzania za pośrednictwem Internetu. Można również korzystać do tego celu z sieci intranet.

Klienci skonfigurowani wyłącznie do zarządzania internetowego komunikują się tylko z systemami lokacji skonfigurowanymi do połączeń z klientami za pośrednictwem Internetu. Ta konfiguracja jest odpowiednia w przypadku komputerów, które nigdy nie łączą się z firmową siecią intranet, na przykład komputerów w punktach sprzedaży w lokalizacjach zdalnych. Można ją również zastosować w celu ograniczenia komunikacji z klientami tylko do komunikacji przy użyciu protokołu HTTPS (na przykład w celu obsługi zapory oraz zasad ograniczonych zabezpieczeń) oraz w przypadku instalowania internetowych systemów lokacji w sieci obwodowej i zarządzania tymi serwerami przy użyciu klienta programu Menedżer konfiguracji.

Aby zarządzać klientami grupy roboczej w Internecie, należy zainstalować ich jako klientów zarządzanych tylko internetowo.

Uwaga

Klienci urządzeń przenośnych są automatycznie konfigurowani do zarządzania tylko za pośrednictwem Internetu, gdy używają internetowego punktu zarządzania.

Pozostałe komputery klienckie można skonfigurować do zarządzania internetowego i intranetowego. Ci klienci mogą automatycznie wybierać internetowe lub intranetowe zarządzanie klientami po wykryciu zmiany sieci. Klienci po znalezieniu punktu zarządzania skonfigurowanego do połączeń z klientem za pośrednictwem sieci intranet i połączeniu się z nim są zarządzani jako klienci intranetowi ze wszystkimi funkcjami zarządzania programu Menedżer konfiguracji. Jeżeli klienci nie mogą znaleźć lub połączyć się z punktem zarządzania skonfigurowanym do połączeń za pośrednictwem sieci intranet, próbują nawiązać połączenie z internetowym punktem zarządzania. Gdy połączenie zostanie pomyślnie nawiązane, zarządzanie tymi klientami odbywa się przy użyciu internetowych systemów lokacji w przypisanej do nich lokacji.

Automatyczne wybieranie internetowego i intranetowego zarządzania klientami pozwala komputerom klienckim automatycznie korzystać ze wszystkich funkcji programu Menedżer konfiguracji po nawiązaniu połączenia z siecią intranet, a w przypadku połączenia z Internetem zarządzanie tymi klientami nadal odbywa się w ramach podstawowych funkcji zarządzania. Ponadto pobieranie rozpoczęte w Internecie można bezbłędnie wznowić w sieci intranet i odwrotnie.

Wymagania wstępne dotyczące internetowego zarządzania klientami

Internetowe zarządzanie klientami w programie Menedżer konfiguracji charakteryzuje się następującymi zależnościami zewnętrznymi:

Zależność	Więcej informacji
Klienci zarządzani za pośrednictwem Internetu muszą mieć połączenie internetowe.	Program Menedżer konfiguracji używa istniejących stałych lub tymczasowych połączeń usługodawcy internetowego (ISP). Klienckie urządzenia przenośne muszą mieć bezpośrednie połączenie internetowe, lecz komputery klienckie mogą oprócz tego połączenia łączyć się również przy użyciu serwera proxy sieci web.
Systemy lokacji obsługujące internetowe zarządzanie klientami muszą mieć łączność z Internetem i należeć do domeny usługi Active Directory.	Internetowe systemy lokacji nie wymagają relacji zaufania z lasem usługi Active Directory serwera lokacji. Jeżeli jednak internetowy punkt zarządzania uwierzytelnia użytkownika za pomocą uwierzytelniania systemu Windows, obsługiwane są zasady użytkownika. W przypadku niepowodzenia uwierzytelniania systemu Windows obsługiwane są tylko zasady komputera. Uwaga Aby umożliwić obsługę zasad użytkownika, należy również ustawić wartość Prawda w dwóch ustawieniach klienta Zasady klienta: Włącz sondowanie zasad użytkownika na klientach Włącz żądania dotyczące zasad użytkownika od klientów internetowych Internetowy punkt witryny sieci Web katalogu aplikacji również wymaga uwierzytelniania systemu Windows do uwierzytelniania użytkowników, gdy należący do niego komputer jest połączony z Internetem. To wymaganie jest niezależne od zasad użytkownika.
Wymagana jest obsługiwana infrastruktura kluczy publicznych (PKI), która umożliwia wdrażanie i zarządzanie certyfikatami wymaganymi przez klientów, zarządzanymi za pośrednictwem Internetu oraz internetowych serwerów systemu lokacji.	Więcej informacji o certyfikatach PKI znajduje się w temacie Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager.
Należy skonfigurować następujące usługi infrastruktury do obsługi internetowego zarządzania klientami: Publiczne serwery DNS: internetowa w pełni kwalifikowana nazwa domeny (FQDN) systemów lokacji obsługujących internetowe zarządzanie klientami musi być zarejestrowana w ramach wpisów hosta na serwerach DNS. Pośredniczące zapory lub serwery proxy: te urządzenia sieciowe muszą zezwalać na komunikację klienta skojarzonego z internetowymi systemami lokacji.	Wymagania dotyczące komunikacji z klientem: Obsługa protokołu HTTP 1.1 Zezwalanie na typ zawartości HTTP wieloczęściowego załącznika MIME (wieloczęściowy/mieszany oraz aplikacja/strumień oktetu) Zezwalanie na następujące czasowniki internetowego punktu zarządzania: HEAD CCM_POST BITS_POST GET PROPFIND Zezwalanie na następujące czasowniki internetowego punktu dystrybucji: HEAD GET PROPFIND Zezwalanie na następujące czasowniki internetowego rezerwowego punktu stanu: POST Zezwalanie na następujące czasowniki internetowego punktu witryny sieci Web katalogu aplikacji: POST GET Zezwalanie na następujące nagłówki HTTP internetowego punktu zarządzania: Zakres: CCMClientID: CCMClientIDSignature: CCMClientTimestamp: CCMClientTimestampsSignature: Zezwalanie na następujący nagłówek HTTP internetowego punktu dystrybucji: Zakres: Informacje dotyczące konfiguracji zapewniającej obsługę tych wymagań znajdują się w dokumentacji zapory lub serwera proxy. Informacje o podobnych wymaganiach dotyczących komunikacji w przypadku połączeń internetowych z klientami za pośrednictwem punktu aktualizacji oprogramowania znajdują się w dokumentacji usług Windows Server Update Services (WSUS). Na przykład informacje dotyczące programu WSUS w systemie Windows Server 2003 znajdują się w temacie Appendix D: Security Settings (Załącznik D: ustawienia zabezpieczeń), który zawiera załącznik poświęcony wdrażaniu i ustawieniom zabezpieczeń.

Planowanie przepustowości sieci w programie Configuration Manager

W programie System Center 2012 Configuration Manager są dostępne różne metody kontroli przepustowości sieci używanej w ramach komunikacji między lokacjami, serwerami systemu lokacji i klientami. Nie istnieje jednak możliwość zarządzania całą komunikacją w sieci. Informacje w poniższych sekcjach ułatwiają poznanie metod służących do kontroli przepustowości sieci i projektowania hierarchii lokacji.

Podczas planowania hierarchii programu Menedżer konfiguracji należy wziąć pod uwagę ilość danych w sieci transferowanych za pośrednictwem komunikacji międzylokacyjnej i wewnątrzlokacyjnej.

Uwaga

Trasy replikacji plików (w wersjach starszych niż wersja programu Menedżer konfiguracji SP1 określane jako adresy) służą tylko do komunikacji międzylokacyjnej i nie można ich używać do komunikacji wewnątrzlokacyjnej między serwerami lokacji a systemami lokacji.

Kontrolowanie użycia przepustowości sieci między lokacjami

Program Menedżer konfiguracji transferuje dane między lokacjami, używając replikacji opartej na plikach i replikacji bazy danych. W wersjach programu starszych niż Menedżer konfiguracji z dodatkiem SP1 można skonfigurować replikację opartą na plikach w celu kontroli użycia przepustowości sieci w ramach transferu danych. Nie ma jednak możliwości skonfigurowania użycia przepustowości sieci w ramach replikacji bazy danych. Począwszy od wersji programu Menedżer konfiguracji SP1 można skonfigurować użycie przepustowości sieci w ramach replikacji bazy danych wybranej lokacji.

Podczas konfigurowania kontrolek przepustowości sieci należy pamiętać o możliwym opóźnieniu przesyłania danych. W przypadku ograniczenia komunikacji między lokacjami lub skonfigurowania jej tylko do transferu danych po standardowych godzinach pracy administratorzy mogą nie mieć możliwości wyświetlania określonych danych w lokacji nadrzędnej albo podrzędnej dopóki nie zostanie nawiązana komunikacja międzylokacyjna. Jeżeli na przykład ważny pakiet aktualizacji oprogramowania jest wysyłany do punktów dystrybucji znajdujących się w lokacjach podrzędnych, ten pakiet może być niedostępny w tych lokacjach przed ukończeniem oczekującej komunikacji międzylokacyjnej. Komunikacja oczekująca może obejmować dostarczanie bardzo dużego pakietu, które nie zostało jeszcze ukończone.

• Kontrolki replikacji opartej na plikach: podczas transferu danych opartych na plikach program Menedżer konfiguracji wysyła te dane między lokacjami przy użyciu całej dostępnej przepustowości sieci. Ten proces można kontrolować, konfigurując nadawcę w lokacji w celu zwiększenia lub zmniejszenia wątków wysyłania międzylokacyjnego. Wątek wysyłania służy do transferowania plików pojedynczo. Każdy dodatkowy wątek umożliwia jednoczesny transfer dodatkowych plików, co skutkuje większym użyciem przepustowości. Aby skonfigurować liczbę wątków używanych podczas międzylokacyjnego transferu danych, we właściwościach lokacji na karcie Nadawca skonfiguruj ustawienie Maksymalna liczba jednoczesnych operacji wysyłania.

  W celu kontroli transferu danych opartych na plikach między lokacjami można zaplanować, kiedy program Menedżer konfiguracji ma używać trasy replikacji plików do określonej lokacji. Istnieje możliwość kontroli ilości używanej przepustowości sieci, rozmiarów bloków danych oraz częstotliwości wysyłania bloków danych. Dodatkowe konfiguracje mogą ograniczyć transfer danych zależnie od priorytetu typu danych. Dla każdej lokacji w hierarchii można ustawić harmonogramy i limity szybkości używane podczas transferu danych. W tym celu należy skonfigurować właściwości trasy replikacji plików do każdej lokacji docelowej. Konfiguracje trasy replikacji plików obejmują tylko transfer danych do lokacji docelowej określonej w ramach tej trasy.

  Więcej informacji dotyczących tras replikacji plików znajduje się w podsekcji Trasy replikacji w plików w sekcji Planowanie komunikacji między lokacjami w programie Configuration Manager w tym temacie.

  Ważne

  Po skonfigurowaniu limitów szybkości w celu ograniczenia użycia przepustowości w określonej trasie replikacji plików program Menedżer konfiguracji może transferować dane do danej lokacji docelowej, używając tylko jednego wątku. Zastosowanie limitów szybkości dla trasy replikacji plików zastępuje używanie wielu wątków na lokację skonfigurowanych w ustawieniu Maksymalna liczba jednoczesnych operacji wysyłania poszczególnych lokacji.

• Kontrolki replikacji bazy danych: począwszy od programu Menedżer konfiguracji SP1, można skonfigurować linki replikacji danych, które ułatwiają kontrolę użycia przepustowości sieci podczas transferu wybranych danych między lokacjami. Niektóre kontrolki są podobne do tych używanych w przypadku replikacji opartej na plikach, ale umożliwiają ponadto planowanie replikacji zapasów sprzętu, zapasów oprogramowania, pomiarów użytkowania oprogramowania i komunikatów o stanie do lokacji nadrzędnej za pośrednictwem łącza.

  Więcej informacji znajduje się w sekcji Replikacja bazy danych w tym temacie.

Kontrolowanie użycia przepustowości sieci między serwerami systemu lokacji

Komunikacja między systemami lokacji w ramach danej lokacji odbywa się przy użyciu bloków komunikatów serwera (SMB), może zostać nawiązana w dowolnym momencie i nie obsługuje mechanizmu kontroli przepustowości sieci. Konfigurowanie na serwerze lokacji limitów szybkości i harmonogramów w celu kontroli transferu danych do punktu dystrybucji za pośrednictwem sieci pozwala jednak zarządzać transferem zawartości z serwera lokacji do punktów dystrybucji przy użyciu podobnych kontrolek do tych używanych w ramach międzylokacyjnego transferu danych opartych na plikach.

Kontrolowanie użycia przepustowości sieci między klientami a serwerami systemu lokacji

Klienci regularnie komunikują się z różnymi serwerami systemu lokacji. Dotyczy to na przykład komunikacji z serwerem systemu lokacji z uruchomionym punktem zarządzania w celu sprawdzenia zasad klienta oraz komunikacji z serwerem systemu lokacji z uruchomionym punktem dystrybucji w celu pobrania zawartości wymaganej do zainstalowania aktualizacji oprogramowania lub aplikacji. Częstotliwość tych połączeń oraz ilość danych transferowanych za pośrednictwem sieci między serwerem a klientem zależą od harmonogramów i konfiguracji określonych w ustawieniach klienta.

Zazwyczaj zgodnie z zasadami klienta należy używać niskiej przepustowości sieci. Przepustowość sieci może być wysoka, gdy klienci uzyskują dostęp do zawartości związanych z wdrożeniami lub wysyłają do lokacji informacje, takie jak dane dotyczące zapasów sprzętu.

Istnieje możliwość określenia ustawień klienta służących do kontroli częstotliwości komunikacji sieciowej inicjowanej przez klienta. Ponadto użytkownik może skonfigurować sposób uzyskiwania przez klientów dostępu do zawartości, na przykład przy użyciu Usługi inteligentnego transferu w tle (BITS). W celu pobierania zawartości za pomocą usługi BITS należy skonfigurować klienta do korzystania z tej usługi. Gdy klient nie może korzystać z usługi BITS, transferuje zawartość za pomocą bloku SMB.

Informacje dotyczące ustawień klienta w programie Menedżer konfiguracji znajduje się w temacie Planowanie ustawień klienta w programie Configuration Manager.

Zobacz też

Planowanie lokacji i hierarchii w programie Configuration Manager