Comunicações entre pontos de extremidade no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Este artigo descreve como Configuration Manager sistemas de sites e clientes se comunicam em toda a rede. Ele inclui as seguintes seções:
Comunicações entre sistemas de site em um site
Quando Configuration Manager sistemas de site ou componentes se comunicam em toda a rede com outros sistemas de site ou componentes no site, eles usam um dos seguintes protocolos, dependendo de como você configurar o site:
SMB (bloco de mensagens do servidor)
HTTP
HTTPS
Com exceção da comunicação do servidor do site para um ponto de distribuição, as comunicações servidor a servidor em um site podem ocorrer a qualquer momento. Essas comunicações não usam mecanismos para controlar a largura de banda de rede. Como você não pode controlar a comunicação entre sistemas de site, verifique se você instala servidores do sistema de sites em locais com redes rápidas e bem conectadas.
Servidor de site para ponto de distribuição
Para ajudar você a gerenciar a transferência de conteúdo do servidor do site para os pontos de distribuição, use as seguintes estratégias:
Configure o ponto de distribuição para controle e agendamento de largura de banda de rede. Esses controles se assemelham às configurações usadas por endereços intersites. Use essa configuração em vez de instalar outro site Configuration Manager quando a transferência de conteúdo para locais de rede remota for sua main consideração de largura de banda.
Você pode instalar um ponto de distribuição como um ponto de distribuição pré-configurado. Um ponto de distribuição com prestaged permite que você use o conteúdo que é colocado manualmente no servidor de ponto de distribuição e remove o requisito de transferir arquivos de conteúdo pela rede.
Para obter mais informações, consulte Gerenciar largura de banda de rede para gerenciamento de conteúdo.
Comunicações de clientes para sistemas de sites e serviços
Os clientes iniciam a comunicação com funções do sistema de sites, Active Directory Domain Services e serviços online. Para habilitar essas comunicações, os firewalls devem permitir o tráfego de rede entre clientes e o ponto de extremidade de suas comunicações. Para obter mais informações sobre portas e protocolos usados pelos clientes quando eles se comunicam com esses pontos de extremidade, consulte Portas usadas em Configuration Manager.
Antes que um cliente possa se comunicar com uma função de sistema de site, o cliente usa o local de serviço para encontrar uma função compatível com o protocolo do cliente (HTTP ou HTTPS). Por padrão, os clientes usam o método mais seguro que está disponível para eles. Para obter mais informações, confira Entender como os clientes encontram recursos e serviços do site.
Para ajudar a proteger a comunicação entre Configuration Manager clientes e servidores de site, configure uma das seguintes opções:
Use uma PKI (infraestrutura de chave pública) e instale certificados PKI em clientes e servidores. Permitir que os sistemas de site se comuniquem com clientes por https. Para obter informações sobre como usar certificados, consulte Requisitos de certificado PKI.
Configure o site para Usar certificados gerados por Configuration Manager para sistemas de sites HTTP. Para obter mais informações, consulte HTTP aprimorado.
Ao implantar uma função de sistema de site que usa o IIS (Internet Information Services) e dá suporte à comunicação dos clientes, você deve especificar se os clientes se conectam ao sistema de sites usando HTTP ou HTTPS. Se você usar HTTP, também deve considerar as opções de assinatura e criptografia. Para obter mais informações, consulte Planejamento para assinatura e criptografia.
Importante
A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.
Comunicação de ponto de gerenciamento do cliente para o gerenciamento
Há dois estágios em que um cliente se comunica com um ponto de gerenciamento: autenticação (transporte) e autorização (mensagem). Esse processo varia dependendo dos seguintes fatores:
- Configuração do site: somente HTTPS, permite HTTP ou HTTPS ou permite HTTP ou HTTPS com HTTP aprimorado habilitado
- Configuração do ponto de gerenciamento: HTTPS ou HTTP
- Identidade do dispositivo para cenários centrados no dispositivo
- Identidade do usuário para cenários centrados no usuário
Use a tabela a seguir para entender como esse processo funciona:
| Tipo MP | Autenticação do cliente | Autorização do cliente Identidade do dispositivo |
Autorização do cliente Identidade do usuário |
|---|---|---|---|
| HTTP | Anônimo Com HTTP aprimorado, o site verifica o Microsoft Entra token de usuário ou dispositivo de ID. |
Solicitação de local: Anônimo Pacote cliente: Anônimo Registro, usando um dos seguintes métodos para provar a identidade do dispositivo: – Anônimo (aprovação manual) - Autenticação integrada ao Windows - Microsoft Entra token de dispositivo ID (HTTP aprimorado) Após o registro, o cliente usa a assinatura de mensagem para provar a identidade do dispositivo |
Para cenários centrados no usuário, use um dos seguintes métodos para provar a identidade do usuário: - Autenticação integrada ao Windows - Microsoft Entra token de usuário de ID (HTTP aprimorado) |
| HTTPS | Usando um dos seguintes métodos: - Certificado PKI - Autenticação integrada ao Windows - Microsoft Entra token de usuário ou dispositivo de ID |
Solicitação de local: Anônimo Pacote cliente: Anônimo Registro, usando um dos seguintes métodos para provar a identidade do dispositivo: – Anônimo (aprovação manual) - Autenticação integrada ao Windows - Certificado PKI - Microsoft Entra token de usuário ou dispositivo de ID Após o registro, o cliente usa a assinatura de mensagem para provar a identidade do dispositivo |
Para cenários centrados no usuário, use um dos seguintes métodos para provar a identidade do usuário: - Autenticação integrada ao Windows - Microsoft Entra token de usuário de ID |
Dica
Para obter mais informações sobre a configuração do ponto de gerenciamento para diferentes tipos de identidade de dispositivo e com o gateway de gerenciamento de nuvem, consulte Habilitar ponto de gerenciamento para HTTPS.
Comunicação cliente a ponto de distribuição
Quando um cliente se comunica com um ponto de distribuição, ele só precisa se autenticar antes de baixar o conteúdo. Use a tabela a seguir para entender como esse processo funciona:
| Tipo DP | Autenticação do cliente |
|---|---|
| HTTP | - Anônimo, se permitido – Autenticação integrada ao Windows com conta de computador ou conta de acesso à rede - Token de acesso ao conteúdo (HTTP aprimorado) |
| HTTPS | - Certificado PKI – Autenticação integrada ao Windows com conta de computador ou conta de acesso à rede – Token de acesso ao conteúdo |
Considerações sobre comunicações de cliente da Internet ou de uma floresta não confiável
Para saber mais, confira os seguintes artigos:
Comunicações em florestas do Active Directory
Configuration Manager dá suporte a sites e hierarquias que abrangem florestas do Active Directory. Ele também dá suporte a computadores de domínio que não estão na mesma floresta do Active Directory que o servidor do site e computadores que estão em grupos de trabalho.
Suporte a computadores de domínio em uma floresta que não é confiável pela floresta do servidor do site
Instalar funções do sistema de sites nessa floresta não confiável, com a opção de publicar informações do site nessa floresta do Active Directory
Gerenciar esses computadores como se fossem computadores de grupo de trabalho
Quando você instala servidores do sistema de sites em uma floresta do Active Directory não confiável, a comunicação cliente-servidor de clientes nessa floresta é mantida dentro dessa floresta e Configuration Manager pode autenticar o computador usando Kerberos. Quando você publica informações do site na floresta do cliente, os clientes se beneficiam da recuperação de informações do site, como uma lista de pontos de gerenciamento disponíveis, de sua floresta do Active Directory, em vez de baixar essas informações do ponto de gerenciamento atribuído.
Observação
Se você quiser gerenciar dispositivos que estão na Internet, poderá instalar funções do sistema de sites baseadas na Internet em sua rede de perímetro quando os servidores do sistema de sites estiverem em uma floresta do Active Directory. Esse cenário não requer confiança bidirecional entre a rede de perímetro e a floresta do servidor do site.
Suporte a computadores em um grupo de trabalho
Aprove manualmente computadores de grupo de trabalho quando eles usam conexões de cliente HTTP com funções do sistema de sites. Configuration Manager não pode autenticar esses computadores usando Kerberos.
Configure clientes de grupo de trabalho para usar a Conta de Acesso à Rede para que esses computadores possam recuperar conteúdo dos pontos de distribuição.
Forneça um mecanismo alternativo para os clientes do grupo de trabalho encontrarem pontos de gerenciamento. Use a publicação DNS ou atribua diretamente um ponto de gerenciamento. Esses clientes não podem recuperar informações do site de Active Directory Domain Services.
Para saber mais, confira os seguintes artigos:
Cenários para dar suporte a um site ou hierarquia que abrange vários domínios e florestas
Cenário 1: Comunicação entre sites em uma hierarquia que abrange florestas
Esse cenário requer uma confiança de floresta bidirecional que dá suporte à autenticação Kerberos. Se você não tem uma confiança florestal bidirecional que dá suporte à autenticação Kerberos, então Configuration Manager não dá suporte a um local filho na floresta remota.
Configuration Manager dá suporte à instalação de um site filho em uma floresta remota que tenha a confiança bidirecional necessária com a floresta do local pai. Por exemplo, você pode colocar um site secundário em uma floresta diferente de seu site pai primário, desde que exista a confiança necessária.
Observação
Um site filho pode ser um site primário (onde o site de administração central é o site pai) ou um site secundário.
A comunicação entre sites no Configuration Manager usa a replicação de banco de dados e as transferências baseadas em arquivos. Ao instalar um site, você deve especificar uma conta com a qual instalar o site no servidor designado. Essa conta também estabelece e mantém a comunicação entre sites. Depois que o site instala e inicia com êxito transferências baseadas em arquivos e replicação de banco de dados, você não precisa configurar mais nada para comunicação com o site.
Quando existe uma confiança de floresta bidirecional, Configuration Manager não requer nenhuma etapa de configuração adicional.
Por padrão, quando você instala um novo site filho, Configuration Manager configura os seguintes componentes:
Uma rota de replicação baseada em arquivo intersite em cada site que usa a conta do computador do servidor do site. Configuration Manager adiciona a conta de computador de cada computador ao grupo SMS_SiteToSiteConnection_<sitecode> no computador de destino.
Replicação de banco de dados entre os SQL Servers em cada site.
Defina também as seguintes configurações:
A intervenção de firewalls e dispositivos de rede deve permitir os pacotes de rede que Configuration Manager requer.
A resolução de nomes deve funcionar entre as florestas.
Para instalar uma função de site ou sistema de site, você deve especificar uma conta que tenha permissões de administrador local no computador especificado.
Cenário 2: Comunicação em um site que abrange florestas
Esse cenário não requer uma confiança de floresta bidirecional.
Os sites primários dão suporte à instalação de funções do sistema de sites em computadores em florestas remotas.
- Quando uma função do sistema de site aceita conexões da Internet, como uma prática recomendada de segurança, instale as funções do sistema de sites em um local onde o limite da floresta fornece proteção para o servidor do site (por exemplo, em uma rede de perímetro).
Para instalar uma função de sistema de site em um computador em uma floresta não confiável:
Especifique uma Conta de Instalação do Sistema de Site, que o site usa para instalar a função do sistema de sites. (Essa conta deve ter credenciais administrativas locais para se conectar.) Em seguida, instale funções do sistema de sites no computador especificado.
Selecione a opção sistema de site Exigir que o servidor do site inicie conexões com este sistema de site. Essa configuração exige que o servidor do site estabeleça conexões com o servidor do sistema de sites para transferir dados. Essa configuração impede que o computador no local não confiável inicie contato com o servidor do site que está dentro de sua rede confiável. Essas conexões usam a Conta de Instalação do Sistema de Site.
Para usar uma função do sistema de site instalada em uma floresta não confiável, os firewalls devem permitir o tráfego de rede mesmo quando o servidor do site inicia a transferência de dados.
Além disso, as funções do sistema de site a seguir exigem acesso direto ao banco de dados do site. Portanto, os firewalls devem permitir o tráfego aplicável da floresta não confiável para o SQL Server do site:
Ponto de sincronização do Asset Intelligence
Ponto de Proteção de Ponto de Extremidade
Ponto de registro
Ponto de gerenciamento
Ponto de serviço de relatório
Ponto de migração de estado
Para obter mais informações, consulte Portas usadas em Configuration Manager.
Talvez seja necessário configurar o ponto de gerenciamento e o acesso do ponto de registro ao banco de dados do site.
Por padrão, quando você instala essas funções, Configuration Manager configura a conta de computador do novo servidor do sistema de sites como a conta de conexão para a função do sistema de site. Em seguida, ele adiciona a conta à função de banco de dados SQL Server apropriada.
Ao instalar essas funções do sistema de sites em um domínio não confiável, configure a conta de conexão de função do sistema de site para habilitar a função do sistema de sites para obter informações do banco de dados.
Se você configurar uma conta de usuário de domínio para ser a conta de conexão para essas funções do sistema de site, verifique se a conta de usuário de domínio tem acesso apropriado ao banco de dados SQL Server nesse site:
Ponto de gerenciamento: Conta de conexão de banco de dados de ponto de gerenciamento
Ponto de registro: Conta de conexão de ponto de registro
Considere as seguintes informações adicionais quando você planeja funções do sistema de sites em outras florestas:
Se você executar o Firewall do Windows, configure os perfis de firewall aplicáveis para passar comunicações entre o servidor de banco de dados do site e os computadores instalados com funções remotas do sistema de sites.
Quando o ponto de gerenciamento baseado na Internet confia na floresta que contém as contas de usuário, há suporte para políticas de usuário. Quando não há confiança, há suporte apenas para políticas de computador.
Cenário 3: Comunicação entre clientes e funções do sistema de sites quando os clientes não estão na mesma floresta do Active Directory que seu servidor de site
Configuration Manager dá suporte aos seguintes cenários para clientes que não estão na mesma floresta que o servidor de site do site:
Há uma confiança de floresta bidirecional entre a floresta do cliente e a floresta do servidor do site.
O servidor de função do sistema de site está localizado na mesma floresta que o cliente.
O cliente está em um computador de domínio que não tem uma confiança de floresta bidirecional com o servidor do site e as funções do sistema de site não são instaladas na floresta do cliente.
O cliente está em um computador de grupo de trabalho.
Os clientes em um computador ingressado no domínio podem usar Active Directory Domain Services para o local de serviço quando seu site é publicado na floresta do Active Directory.
Para publicar informações do site em outra floresta do Active Directory:
Especifique a floresta e habilite a publicação nessa floresta no nó Florestas do Active Directory do workspace Administração .
Configure cada site para publicar seus dados para Active Directory Domain Services. Essa configuração permite que os clientes nessa floresta recuperem informações do site e encontrem pontos de gerenciamento. Para clientes que não podem usar Active Directory Domain Services para o local do serviço, você pode usar o DNS ou o ponto de gerenciamento atribuído pelo cliente.
Cenário 4: Colocar o conector Exchange Server em uma floresta remota
Para dar suporte a esse cenário, verifique se a resolução de nomes funciona entre as florestas. Por exemplo, configure encaminhamentos DNS. Ao configurar o conector Exchange Server, especifique o FQDN de intranet do Exchange Server. Para obter mais informações, consulte Gerenciar dispositivos móveis com Configuration Manager e Exchange.
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de