Rota de replicação de arquivo |
Cada rota de replicação de arquivo identifica um site de destino para o qual os dados baseados em arquivo podem ser transferidos. Cada site oferece suporte a uma única rota de replicação de arquivo para um site de destino específico.
O Gerenciador de Configurações oferece suporte para as seguintes configurações para rotas de replicação de arquivo:
Conta de replicação de arquivo: essa conta é usada para conectar-se ao site de destino e para gravar dados no compartilhamento SMS_SITE desse site. Os dados gravados nesse compartilhamento são processados pelo site de recebimento. Por padrão, quando um site é adicionado à hierarquia, o Gerenciador de Configurações atribui a conta do computador dos novos servidores do sistema de site como os sites Conta de Replicação de Arquivo. Esta conta é adicionada ao grupo SMS_SiteToSiteConnection_
Replicação de banco de dados
A replicação de banco de dados do Gerenciador de Configurações usa o SQL Server para transferir dados e mesclar as alterações feitas em um banco de dados do site com as informações armazenadas no banco de dados em outros sites na hierarquia. Isso permite que todos os sites compartilhem as mesmas informações. Replicação de banco de dados é configurada automaticamente por todos os sites do Gerenciador de Configurações. Quando você instala um site em uma hierarquia, a replicação de banco de dados automaticamente configura entre o novo site e seu site pai designado. Quando termina a instalação do site, a replicação de banco de dados é iniciada automaticamente.
Quando você instala um novo site em uma hierarquia, o Gerenciador de Configurações cria um banco de dados genérico no novo site. Em seguida, o site pai cria um instantâneo dos dados relevantes em seu banco de dados e transfere esse instantâneo para o novo site com uma replicação baseada em arquivo. O novo site usa um BCP (Programa de Cópia em Massa) para carregar as informações em sua cópia local do banco de dados do Gerenciador de Configurações. Depois que o instantâneo é carregado, cada site realiza replicação de banco de dados com o outro site.
Para replicar dados entre sites, o Gerenciador de Configurações usa seu próprio serviço de replicação de banco de dados. O serviço de replicação de banco de dados utiliza o controle de alterações do SQL Server para monitorar o banco de dados do site local quanto a alterações, e depois replica essas alterações em outros sites, usando um SQL Server Service Broker. Por padrão, esse processo usa a porta TCP/IP 4022.
O Gerenciador de Configurações agrupa os dados que replica pela replicação de banco de dados em grupos de replicação diferentes. Cada grupo de replicação tem uma agenda de replicação fixa, separada, que determina com que frequência as alterações de dados do grupo são replicadas em outros sites. Por exemplo, uma alteração de configuração em uma configuração de administração baseada em função é replicada rapidamente em outros sites para assegurar que essas alterações sejam aplicadas o mais cedo possível. Enquanto isso, uma alteração de configuração de menor prioridade, como uma solicitação para instalar um novo site secundário, replica com menos urgência e leva vários minutos para que a solicitação do novo site chegue ao site primário de destino.
A replicação do banco de dados do Gerenciador de Configurações é configurada automaticamente e não oferece suporte a configuração de grupos de replicação ou agendamentos de replicação. No entanto, começando com o Gerenciador de Configurações SP1, é possível configurar links de replicação de banco de dados para controlar quando um tráfego específico atravessa a rede. Você também pode configurar quando o Gerenciador de Configurações emite alertas sobre links de replicação com status degradado ou com falha. |
O Gerenciador de Configurações classifica os dados que são replicados pela replicação do banco de dados como dados globais ou do site. Quando a replicação do banco de dados ocorre, alterações em dados globais e dados do site são transferidas pelo link de replicação de banco de dados. Dados globais podem replicar para o site pai ou filho, e o site replica apenas para um site pai. Um terceiro tipo de dados, chamado de dados locais, não são replicados em outros sites. Dados locais incluem informações desnecessárias aos outros sites:
Dados globais: dados globais referem-se a objetos criados pelo administrador que são replicados em todos os sites, em toda a hierarquia, embora os sites secundários recebam apenas um subconjunto dos dados globais, como dados de proxy global. Exemplos de dados globais incluem implantações e atualizações de software, definições de coleção e escopos de segurança de administração baseada em funções. Os administradores podem criar dados globais em sites de administração central e primários.
Dados de site: os dados de site referem-se a informações operacionais criadas pelos sites primários do Gerenciador de Configurações e pelos clientes que relatam aos sites primários. Os dados do site replicam para o site de administração central, mas não para outros sites primários. Dados de inventário de hardware, mensagens de status, alertas e resultados de coleções baseadas em consulta são exemplos de dados do site. Os dados de site são visíveis somente no site de administração central e no site primário de onde os dados são originários. Dados do site podem ser modificados apenas no site primário em que foram criados.
Todos os dados do site replicam no site da administração central, por isso o site de administração central pode realizar administração e relatórios para toda a hierarquia.
Use as informações nas seções a seguir para planejar o uso de controles disponíveis com o Gerenciador de Configurações SP1 para configurar links de banco de dados de replicação entre os sites e controles em cada banco de dados do site. Esses controles podem ajudá-lo a controlar e monitorar o tráfego de rede que a replicação de banco de dados cria.
Links de replicação de banco de dados
Quando você instala um novo site em uma hierarquia, o Gerenciador de Configurações cria um link de replicação de banco de dados entre os dois sites. É criado um link único para conectar o novo site ao site pai.
Começando com o Gerenciador de Configurações SP1, cada link de replicação de banco de dados oferece suporte a configurações que ajudam a controlar a transferência de dados pelo link de replicação. Cada link de replicação oferece suporte a configurações separadas. Os controles de links de replicação de banco de dados incluem o seguinte:
Usar visões distribuídas para parar a replicação de dados de sites selecionados por meio de um site primário para o site de administração central, e permitir que o site de administração central acesse diretamente esses dados por meio do banco de dados do site primário.
Agendar quando os dados de sites selecionados são transferidos de um site primário filho para o site de administração central.
Definir as configurações que determinam quando um link de replicação de banco de dados está em um estado degradado ou falhou.
Configurar quando gerar alertas para um link de replicação com falha.
Especificar com que frequência o Gerenciador de Configurações resume dados sobre o tráfego de replicação que utiliza link de replicação. Esses dados são usados em relatórios.
Para configurar um link de replicação de banco de dados, você edita as propriedades do link no console do Gerenciador de Configurações no nó Replicação de banco de dados. Esse nó aparece no espaço de trabalho Monitoramento, e começando com o Gerenciador de Configurações SP1, esse nó também aparece no nó Configuração da Hierarquia no espaço de trabalho Administração. Você pode editar um link de replicação do pai site ou do site filho do link de replicação.
Você pode editar links de replicação de banco de dados no nó Replicação do Banco de Dados em qualquer um dos espaços de trabalho. No entanto, quando você usa o nó Replicação do Banco de Dados no espaço de trabalho Monitoramento também pode ver o status de replicação de banco de dados dos links de replicação e acessar a ferramenta Replication Link Analyzer para ajudar a investigar problemas com a replicação. |
Para obter informações sobre como configurar os links de replicação, consulte Controles de replicação de banco de dados do site. Para obter mais informações sobre como monitorar a replicação, consulte a seção Como monitorar o status de replicação e links de replicação de banco de dados no tópico Monitorar sites e hierarquia do Configuration Manager.
Use as informações nas seções a seguir para planejar links de replicação de banco de dados.
Planejando o uso de exibições distribuídas
Para o System Center 2012 Configuration Manager SP1 e posterior:
Exibições distribuídas habilitam solicitações feitas em um site de administração central para dados de site selecionados, para acessar esses dados diretamente do banco de dados em um site primário filho. Esse acesso direto substitui a necessidade de replicar os dados do site por meio do site primário para o site de administração central. Como cada link de replicação é independente de outros links de replicação, você pode habilitar exibições distribuídas apenas nos links de replicação que escolher. Não há suporte para exibições distribuídas entre um site primário e um secundário.
Exibições distribuídas podem fornecer os seguintes benefícios:
Reduzir a carga de CPU para processar alterações de banco de dados no site da administração central e sites primários.
Reduzir a quantidade de dados transferidos pela rede para o site de administração central.
Melhorar o desempenho do SQL Server que hospeda o banco de dados de sites de administração central.
Reduzir o espaço em disco usado pelo banco de dados no site da administração central.
Considere o uso de exibições distribuídas quando um site primário está localizado nas proximidades da rede do site de administração central, e os dois sites estão sempre ativados e sempre conectados. Isso porque exibições distribuídas substituem a replicação dos dados selecionados entre os sites com conexões diretas entre os SQL Servers em cada local. Essa conexão direta acontece cada vez que uma solicitação de dados é feita no site da administração central. Geralmente, solicitações de dados que possam ser habilitados para exibições distribuídas são feitas quando você executa relatórios ou consultas, visualiza informações no Gerenciador de Recursos e pela avaliação de coleções que incluem regras baseadas nos dados do site.
Por padrão, visões distribuídas estão desabilitadas para cada link de replicação. Quando você habilita exibições distribuídas para um link de replicação, seleciona os dados do site que não serão replicados no site de administração central por meio daquele link e habilita o site de administração central para acessar dados diretamente do banco de dados do site primário filho que compartilha o link. Você pode configurar os seguintes tipos de dados do site para exibições distribuídas:
Dados de inventário de hardware de clientes
Inventário e medição de software de dados de clientes
Mensagens de status de clientes, o site primário e todos os sites secundários
Operacionalmente, exibições distribuídas são invisíveis para um usuário administrativo que visualiza os dados no console do Gerenciador de Configurações ou em relatórios. Quando é feita uma solicitação de dados habilitados para exibições distribuídas, o SQL Server que hospeda o banco de dados do site de administração central acessa diretamente o SQL Server do site primário filho para recuperar as informações. Por exemplo, você usa um console do Gerenciador de Configurações no site de administração central para solicitar informações sobre o inventário de hardware por meio de dois sites, e apenas um site tem inventário de hardware habilitado para uma visão distribuída. As informações de inventário para clientes daquele site que não estão configuradas para exibições distribuídas são recuperadas do banco de dados no site de administração central. As informações de inventário para clientes do site que não estão configuradas para exibições distribuídas são acessadas por meio do banco de dados no site primário filho. Essas informações aparecem no console ou relatório do Gerenciador de Configurações sem distinção da origem.
Enquanto um link de replicação tiver um tipo de dados habilitado para exibições distribuídas, o site primário filho não replicará os dados no site de administração central. Assim que você desativa as exibições distribuídas de um tipo de dados, o site primário filho retoma a replicação desses dados no site de administração central como parte da replicação de dados normal. No entanto, para que esses dados estejam disponíveis no site de administração central, os grupos de replicação que os contêm devem reinicializar entre o site primário e o site de administração central. Da mesma forma, depois de desinstalar um site primário com visões distribuídas habilitadas, o site de administração central deve completar a reinicialização dos seus dados para acessar dados habilitados para visões distribuídas no site de administração central.
Pré-requisitos e limitações de exibições distribuídas
Estes são os pré-requisitos e as limitações de exibições distribuídas:
Tanto o site de administração central quanto o site primário devem executar a mesma versão do Gerenciador de Configurações e ter a versão mínima do SP1
Exibições distribuídas têm suporte apenas no links de replicação entre um site de administração central e um site primário.
O site de administração central pode ter apenas uma instância do Provedor de SMS instalado, e essa instância deve ser instalada no servidor de banco de dados do site. Isso é necessário para dar suporte à autenticação Kerberos necessária para habilitar o SQL Server no site de administração central para acessar o SQL Server no site primário filho. Não há limitações de Provedor de SMS no site primário filho.
O site de administração central pode ter apenas um ponto do SQL Server Reporting Services instalado, e deve estar localizado no servidor de banco de dados do site. Isso é necessário para dar suporte à autenticação Kerberos necessária para habilitar o SQL Server no site de administração central para acessar o SQL Server no site primário filho.
O banco de dados do site não pode ser hospedado em um cluster do SQL Server.
A conta de computador do servidor de banco de dados do site de administração central requer permissões de Read para o banco de dados do site primário.
Visões e agendamentos distribuídos para quando os dados puderem ser replicados são configurações mutuamente exclusivas para um vínculo de replicação de banco de dados.
Planejar agendamento de transferências de dados do site em vínculos de replicação de banco de dados
Para o System Center 2012 Configuration Manager SP1 e posterior:
Para ajudá-lo a controlar a largura de banda de rede que é usada para replicar dados do site de um site primário filho para o seu site de administração central, você pode agendar o uso de um vínculo de replicação e especificar quando se dará a replicação dos diferentes tipos de dados do site. Você pode controlar quando o site primário replica as mensagens de status, inventário e dados de medição. Vínculos de replicação de banco de dados de sites secundários não oferecem suporte a agendamentos de dados do site. A transferência de dados globais não pode ser agendada.
Quando você configurar um agendamento de vínculo de replicação de banco de dados, você pode restringir a transferência de dados do site selecionado do site primário para o site de administração central, e pode configurar diferentes horários para replicar diferentes tipos de dados do site.
Para obter mais informações sobre como controlar o uso da largura de banda entre os sites do Configuration Manager, consulte a seção Controlando o uso de largura de banda da rede entre sites neste tópico.
Planejar o resumo do tráfego de replicação de banco de dados
Para o System Center 2012 Configuration Manager SP1 e posterior:
Começando com o Gerenciador de Configurações SP1, cada site resume periodicamente dados de tráfego de rede que atravessam links de replicação de banco de dados que incluem o site. Esses dados resumidos são usados em relatórios para replicação de banco de dados. Ambos os sites em um vínculo de replicação resumem o tráfego de rede que atravessa o vínculo de replicação. O resumo dos dados é executado pelo SQL Server que hospeda o banco de dados do site. Após o resumo dos dados, essas informações são replicadas para outros sites como dados globais.
Por padrão, o resumo ocorre a cada 15 minutos. Você pode modificar a frequência de resumo do tráfego de rede editando o Intervalo de Resumo nas propriedades do vínculo de replicação de banco de dados. A frequência do resumo afeta as informações exibidas nos relatórios sobre a replicação de banco de dados. É possível modificar esse intervalo de 5 a 60 minutos. Quando você aumenta a frequência do resumo, aumenta a carga de processamento no SQL Server em cada site no vínculo de replicação.
Planejar limites de replicação de banco de dados
Limites de replicação de banco de dados definem quando o status de um vínculo de replicação de banco de dados é informado degradado ou com falha. Por padrão, um link é definido degradado quando algum grupo de replicação falha ao concluir a replicação por um período de 12 tentativas consecutivas, e definido com falha quando algum grupo de replicação não consegue replicar após 24 tentativas consecutivas.
Começando com o Gerenciador de Configurações SP1, é possível especificar valores personalizados para ajuste quando o Gerenciador de Configurações informa que um link de replicação está degradado ou com falha. Antes do SP1 do Gerenciador de Configurações, não era possível ajustar esses limites. O ajuste de quando o Gerenciador de Configurações relata cada status dos seus vínculos de replicação de banco de dados pode ajudar a monitorar com precisão a integridade da replicação de banco de dados por meio dos vínculos de replicação de banco de dados.
Como é possível que um ou alguns grupos de replicação não repliquem enquanto outros continuam a replicar com sucesso, planeje a revisão do status de replicação de um vínculo de replicação quando ele informar pela primeira vez um status degradado. Se houver atrasos recorrentes para grupos de replicação específicos e esse atraso não apresentar problema, ou onde o link de rede entre os sites tiver baixa largura de banda disponível, considere modificar os valores de repetição para os status degradado ou com falha do link. Ao aumentar o número de tentativas antes que o link seja definido degradado ou com falha, você pode eliminar falsos alertas para problemas conhecidos, permitindo o acompanhamento mais preciso do status do link.
Você também deve considerar o intervalo de sincronização da replicação para cada grupo de replicação, para entender com que frequência a replicação do grupo ocorre. Você pode ver o Intervalo de Sincronização para grupos de replicação na guia Detalhe de Replicação de um vínculo de replicação no nó Replicação do Banco de Dados no espaço de trabalho Monitoramento.
Para obter mais informações sobre como monitorar a replicação de banco de dados, incluindo como exibir o status de replicação, consulte a seção Como monitorar o status de replicação e links de replicação de banco de dados no tópico Monitorar sites e hierarquia do Configuration Manager.
Para obter informações sobre como configurar os limites de replicação do banco de dados, consulte Controles de replicação de banco de dados do site.
Controles de replicação de banco de dados do site
Para o System Center 2012 Configuration Manager SP1 e posterior:
Cada banco de dados do site oferece suporte a configurações que podem auxiliar no controle da largura de banda de rede usada na replicação de banco de dados. Essas configurações aplicam-se somente ao banco de dados do site onde você define as configurações, e são sempre usadas quando o site replica quaisquer dados por replicação de banco de dados para qualquer outro site.
Os controles de replicação para cada banco de dados do site incluem o seguinte:
Alterar a porta que o Gerenciador de Configurações usa para o SQL Server Service Broker.
Configurar o período de tempo de espera antes que as falhas de replicação acionem o site para reinicializar sua cópia de banco de dados do site.
Configurar um banco de dados do site para compactar os dados que ele replica pela replicação de banco de dados. Os dados são compactados apenas para a transferência entre sites, e não para o armazenamento no banco de dados do site em qualquer um dos sites.
Para configurar os controles de replicação para um banco de dados do site, você pode editar as propriedades do banco de dados do site no console do Gerenciador de Configurações do nó Replicação do Banco de Dados . Esse nó aparece no nó Configuração da Hierarquia, no espaço de trabalho Administração, e também é exibido no Espaço de Trabalho de Monitoramento. Para editar as propriedades do banco de dados do site, selecione o vínculo de replicação entre sites e depois abra Propriedades de Banco de Dados Pai ou Propriedades de Banco de Dados Filho.
Você pode configurar controles de replicação de banco de dados no nó Replicação do Banco de Dados em qualquer um dos espaços de trabalho. No entanto, quando você usa o nó Replicação do Banco de Dados no espaço de trabalho Monitoramento você também pode ver o status de replicação de banco de dados de um vínculo de replicação, e acessar a ferramenta Replication Link Analyzer para ajudar a investigar problemas com a replicação. |
Para obter mais informações sobre como configurar controles de replicação de banco de dados, consulte Configurar controles de replicação de banco de dados. Para obter mais informações sobre como monitorar a replicação, consulte Monitorar replicação de banco de dados do site.
Planejando comunicações entre sites no Configuration Manager
Cada site do Gerenciador de Configurações contém um servidor do site e pode ter um ou mais servidores do sistema de sites adicionais que hospedam as funções do sistema de sites. O Gerenciador de Configurações exige que cada servidor do sistema de sites seja um membro de um domínio do Active Directory. O Gerenciador de Configurações não dá suporte a uma alteração do nome do computador ou da associação de domínio enquanto o computador permanece um sistema de sites.
Quando os sistemas de site ou componentes do Gerenciador de Configurações se comunicam pela rede com outros sistemas de site ou componentes do Gerenciador de Configurações no site, usam protocolo SMB, HTTP ou HTTPS. O método de comunicação depende de como você optar por configurar o site. Com exceção da comunicação entre o servidor do site e um ponto de distribuição, essas comunicações servidor para servidor em um site podem ocorrer a qualquer momento e não usar mecanismos para controlar a largura de banda da rede. Como não é possível controlar a comunicação entre sistemas de site, certifique-se de instalar servidores do sistema de site em locais com conexões de rede boas e rápidas.
Você pode usar as seguintes opções para ajudá-lo a gerenciar a transferência de conteúdo do servidor do site para os pontos de distribuição:
Configurar o ponto de distribuição para agendamento e controle de largura de banda da rede. Esses controles lembram as configurações usadas por endereços entre sites, e muitas vezes você pode usar essa configuração em vez de instalar outro site do Gerenciador de Configurações quando a transferência de conteúdo para locais remotos da rede for sua consideração principal de largura de banda.
Você pode instalar um ponto de distribuição como um ponto de distribuição em pré-teste. Um ponto de distribuição em pré-teste permite que você use o conteúdo que é colocado manualmente no servidor de ponto de distribuição e remove a necessidade de transferir arquivos de conteúdo pela rede.
Para obter mais informações sobre as considerações de largura de banda de rede, consulte Considerações sobre largura de banda de rede para pontos de distribuição em Planejando o gerenciamento de conteúdo no Configuration Manager.
Planejando comunicação do cliente no Configuration Manager
Os clientes e dispositivos gerenciados do Gerenciador de Configurações se comunicam com computadores que hospedam a infraestrutura do Gerenciador de Configurações, como funções do sistema de sites, infraestrutura de domínio como DNS ou Serviços de Domínio do Active Directory, além de serviços na Internet.
Considere o seguinte ao planejar as comunicações do cliente:
Comunicações iniciadas por clientes |
Os clientes iniciam comunicações com o seguinte:
Pontos de gerenciamento: para enviar os dados de inventário, status e descoberta. O ponto de gerenciamento é o principal ponto de contato para um site do cliente. Vários serviços de domínio: para solicitar o serviço de serviços de domínio, como os Serviços de Domínio do Active Directory e DNS (para local de serviço). Acesso a conteúdo: para acessar o conteúdo dos pontos de distribuição em servidores, pares e serviços baseados em nuvem. Pontos de atualização de software: para baixar e instalar atualizações implantadas. Microsoft Update: para manter a proteção antimalware.
|
Local do serviço |
Local do serviço é o método pelo qual os clientes identificam um site atribuído e localizam dinamicamente os pontos de gerenciamento.
Pontos de gerenciamento são o principal ponto de contato para clientes e são usados para:
Saber mais sobre outros pontos de gerenciamento disponíveis Baixar a política do cliente Enviar dados do cliente para o site, como dados de status, inventário e descoberta. |
Use as informações nas seções a seguir para planejar comunicações por clientes baseados no Windows.
Começando com o Gerenciador de Configurações SP1, é possível gerenciar clientes que executem Linux e UNIX. Clientes que executam Linux e UNIX funcionam como clientes em grupos de trabalho. Para obter informações sobre o suporte a computadores que estão em grupos de trabalho, consulte o Planejando comunicações entre florestas no Configuration Manager, neste tópico. Para obter informações adicionais sobre a comunicação para clientes que executam Linux e UNIX, consulte a seção Planejamento para comunicação entre florestas confia para servidores Linux e UNIX no tópico Planejamento de implantação de cliente para servidores Linux e UNIX.
Comunicações iniciadas por clientes
Os clientes iniciam a comunicação com funções do sistema de site, Active Directory Domain Services e serviços online. Para habilitar essas comunicações, os firewalls devem permitir o tráfego de rede entre clientes e o ponto final de suas comunicações. Os pontos de extremidade incluem:
Pontos de gerenciamento dos quais os clientes baixam a política do cliente.
Pontos de distribuição dos quais os clientes baixam conteúdo.
Pontos de atualização de software
As seguintes funções adicionais do sistema do site, cada uma para tarefas específicas dos recursos:
Ponto de sites da Web do catálogo de aplicativos
Módulo de Política do Configuration Manager (NDES)
Ponto de status de fallback
Ponto de migração de estado
Ponto do Validador da Integridade do Sistema
Vários serviços de domínio, como o Active Directory Domain Services e DNS (para local de serviço).
Microsoft Update, para manter a proteção antimalware.
Recursos baseados em nuvem, como o Microsoft Update ou o Microsoft Azure e Microsoft Intune quando você usa esses serviços baseados em nuvem com Gerenciador de Configurações.
Para obter detalhes sobre portas e protocolos usados pelos clientes quando eles se comunicam com esses pontos de extremidade, consulte Referência técnica para as portas usadas no Configuration Manager.
Antes que um cliente possa se comunicar com uma função de sistema de site, o cliente usa o local do serviço para localizar uma função de sistema de site que oferece suporte ao protocolo do cliente (HTTP ou HTTPS). Por padrão, os clientes usam o método mais seguro disponível para eles:
Para usar HTTPS, é necessário ter uma infraestrutura de chave pública (PKI) e instalar certificados PKI em clientes e servidores. Para obter informações sobre como usar certificados, consulte Requisitos de certificado PKI para o Configuration Manager.
Quando você implanta uma função de sistema de site que usa o Internet Information Services (IIS) oferece suporte à comunicação de clientes, você deve especificar se os clientes conectam ao sistema de site usando HTTP ou HTTPS. Se você usar HTTP, também deve considerar as opções de assinatura e criptografia. Para obter mais informações, consulte Planejando para assinatura e criptografia.
As seguintes funções de sistema de site e serviços suportam a comunicações HTTPS de clientes:
Ponto de sites da Web do catálogo de aplicativos
Módulo de Política do Configuration Manager
Ponto de distribuição (HTTPS é exigido pelos pontos de distribuição baseados em nuvem)
Ponto de gerenciamento
Ponto de atualização de software
Ponto de migração de estado
Além das informações acima, ao planejar para clientes em locais não confiáveis, consulte as Considerações para comunicações de cliente da Internet ou de floresta não confiável
Local do serviço e como os clientes determinam seu ponto de gerenciamento atribuído
Clientes determinam o ponto de gerenciamento padrão do site atribuído quando são instalados e atribuídos a um site pela primeira vez. Depois de um cliente localizar o ponto de gerenciamento padrão do seu site, ponto de gerenciamento torna-se o ponto de gerenciamento dos clientes atribuídos. Essa atribuição é determinada pelo cliente.
A partir da atualização cumulativa 3 para o System Center 2012 R2 Configuration Manager, é possível HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" usar a afinidade do ponto de gerenciamento para configurar um cliente para usar um ou mais pontos de gerenciamento específicos.
Introdução ao System Center 2012 Configuration Manager SP2, você pode usar pontos de gerenciamento preferenciais. Um ponto de gerenciamento preferencial é um ponto de gerenciamento associado a um grupo de limites como o servidor do sistema de sites, semelhante ao modo como os pontos de distribuição ou pontos de migração de estado são associados a um grupo de limites. Se você habilitar pontos de gerenciamento preferenciais para a hierarquia, quando um cliente usar um ponto de gerenciamento do seu site atribuído, ele tentará usar um ponto de gerenciamento preferencial antes de usar outros pontos de gerenciamento de seu site atribuído.
Depois que um cliente tiver um ponto de gerenciamento atribuído, ele executa periodicamente uma solicitação de local de serviço para seu ponto de gerenciamento padrão do seu site, caso tenha sido alterado.
Cada vez que um cliente precisa identificar um ponto de gerenciamento a ser usado, ele verifica uma lista de pontos de gerenciamento conhecidos (conhecida como o lista de MP) a qual é localmente armazenada no WMI. O cliente cria uma lista de MP inicial quando é instalado e atualiza periodicamente a lista com detalhes sobre cada ponto de gerenciamento na hierarquia.
Quando o cliente não consegue localizar um ponto de gerenciamento válido na sua lista de MP, ele pesquisa as seguintes origens de local de serviço, em ordem, até encontrar um ponto de gerenciamento que pode ser usado:
Ponto de gerenciamento
Serviços de Domínio do Active Directory
DNS
WINS
Depois que um cliente localiza e entra em contato com um ponto de gerenciamento com êxito, ele baixa a lista atual de pontos de gerenciamento que estão disponíveis na hierarquia e atualiza sua lista local. Isso se aplica igualmente a clientes que estão associados ao domínio e os que não estão.
Por exemplo, quando um cliente do Gerenciador de Configurações que está na Internet se conecta a um ponto de gerenciamento baseado na Internet, o ponto de gerenciamento envia para esse cliente uma lista de pontos de gerenciamento disponíveis baseados na Internet no site. Da mesma forma, os clientes que ingressaram no domínio ou em grupos de trabalho também recebem a lista de pontos de gerenciamento que eles podem usar.
Um cliente que não está configurado para a Internet não receberia somente pontos de gerenciamento da Internet.
Clientes de grupo de trabalho configurados para a Internet comunicam-se apenas com pontos de gerenciamento da Internet.
Veja a seguir algumas informações sobre cada local de origem de serviço:
A lista de MP
Uma lista de MP do cliente é a origem preferencial para o local de origem do serviço porque é uma lista priorizada de pontos de gerenciamento que o cliente já identificou. Essa lista é classificada por cada cliente com base em seu local de rede no momento em que o cliente atualizou a lista, armazenando-a localmente no cliente no WMI.
Criando a lista inicial de MP
Durante a instalação do cliente, as regras a seguir são usadas para criar os a lista MP inicial do cliente:
A lista inicial inclui pontos de gerenciamento especificados durante a instalação do cliente (quando você usa o SMSMP= ou as opções /MP).
O cliente consulta o Active Directory Domain Services (AD DS) em busca de pontos de gerenciamento publicados. Para ser identificado no AD DS, o ponto de gerenciamento deve ser do site atribuído do cliente e da mesma versão do produto do cliente.
Se nenhum ponto de gerenciamento foi especificado durante a instalação do cliente e o esquema do Active Directory não foi estendido, o cliente verifica DNS e WINS em busca de pontos de gerenciamento publicados.
Ao criar a lista inicial, as informações sobre alguns pontos de gerenciamento na hierarquia podem não ser conhecidas.
Organizando a lista de pontos de gerenciamento
Os clientes organizam sua lista de pontos de gerenciamento usando as seguintes classificações:
Proxy: um ponto de gerenciamento de proxy é um ponto de gerenciamento em um site secundário.
Local: qualquer ponto de gerenciamento que está associado ao local de rede atual do cliente conforme definido pelos limites do site.
Quando um cliente pertence a mais de um grupo de limites, a lista de pontos de gerenciamento local é determinada pela união de todos os limites que incluem o local de rede atual do cliente.
Normalmente, os pontos de gerenciamento Local são um subconjunto de pontos de gerenciamento Atribuído, a menos que o cliente esteja em um local de rede associado a outro site com os pontos de manutenção de seus grupos de limites.
Atribuído: qualquer ponto de gerenciamento que é um sistema de site para o site atribuído do cliente.
Introdução ao System Center 2012 Configuration Manager SP2, você pode usar pontos de gerenciamento preferenciais. Os pontos de gerenciamento preferenciais são pontos de gerenciamento do site atribuído de um cliente associados a um grupo de limites que o cliente usa para encontrar servidores do sistema de sites.
Os pontos de gerenciamento em um site que não estão associados a um grupo de limites, ou que não estão em um grupo de limites associado ao local de rede atual de um cliente, não são considerados preferenciais e serão usados quando o cliente não conseguir identificar um ponto de gerenciamento preferencial disponível.
Selecionando um ponto de gerenciamento para usar
Para comunicações típicas, um cliente tenta usar um ponto de gerenciamento por meio das classificações na seguinte ordem, com base no local de rede do cliente:
Proxy
Local
Atribuído
No entanto, o cliente sempre usa o ponto de gerenciamento atribuído para mensagens de registro e determinadas mensagens de política, mesmo quando outras comunicações são enviadas para um proxy ou um ponto de gerenciamento local.
Dentro de cada classificação (proxy, local ou atribuído), os clientes tentarão usar um ponto de gerenciamento com base nas preferências, na seguinte ordem:
Compatível com HTTPS em uma floresta confiável ou local (quando o cliente está configurado para comunicação HTTPS)
Compatível com HTTPS fora de uma floresta confiável ou local (quando o cliente está configurado para comunicação HTTPS)
Compatível com HTTP em uma floresta confiável ou local
Compatível com HTTP fora de uma floresta confiável ou local
Do conjunto de pontos de gerenciamento classificadas pelas preferências, os clientes tentam usar o primeiro ponto de gerenciamento na lista:
Quando um cliente não puder estabelecer contato com o primeiro ponto de gerenciamento, ele tenta cada ponto de gerenciamento sucessivo em sua lista, tentando cada ponto de gerenciamento preferencial na classificação antes de tentar os pontos de gerenciamento não preferenciais. Se um cliente não puder se comunicar com êxito com nenhum ponto de gerenciamento na classificação, ele tentará contatar um ponto de gerenciamento preferido da próxima classificação, e assim por diante, até o cliente encontrar um ponto de gerenciamento para usar.
Depois de estabelecer comunicação com um ponto de gerenciamento, os clientes continuam a usar o mesmo ponto de gerenciamento até:
Após 25 horas, o cliente seleciona aleatoriamente um novo ponto de gerenciamento para usar.
O cliente não é capaz de se comunicar com o ponto de gerenciamento após 5 tentativas por um período de 10 minutos, quando então o cliente seleciona um novo ponto de gerenciamento para usar.
Active Directory
Clientes que ingressaram no domínio podem usar os o Active Directory Domain Services (AD DS) para o local do serviço. Isso requer que sites publiquem dados para o Active Directory.
Os clientes podem usar os o Active Directory Domain Services para o local do serviço quando todas as seguintes condições forem verdadeiras:
O esquema do Active Directory foi estendido para System Center 2012 Configuration Manager ou para Configuration Manager 2007.
A floresta do Active Directory é configurada para publicação e os sites do Configuration Manager estão configurados para publicação.
O computador cliente for um membro de um domínio do Active Directory e puder acessar um servidor de catálogo global.
Se um cliente não conseguir localizar um ponto de gerenciamento para usar a localização de serviço do AD DS, em seguida, ele tentará usar DNS. Clientes que ingressaram no domínio podem usar o AD DS para o local do serviço. Isso requer que sites publiquem dados para o Active Directory.
DNS
Clientes na intranet podem usar o DNS para o local do serviço. Isso exige que pelo menos um site em uma hierarquia publique informações sobre pontos de gerenciamento no DNS.
Considere usar o DNS para o local do serviço quando qualquer uma das seguintes condições forem verdadeiras:
O esquema dos Serviços de Domínio do Active Directory não for estendido para suportar o Gerenciador de Configurações.
Os clientes da intranet estiverem localizados em uma floresta que não esteja habilitada para publicar no Gerenciador de Configurações.
Você possui clientes em computadores do grupo de trabalho, os quais não estão configurados para gerenciamento de cliente somente pela Internet. (Um cliente de grupo de trabalho configurado para a Internet somente se comunicará com pontos de gerenciamento da Internet e não usará o DNS para o local do serviço.)
Você pode configurar clientes para localizar pontos de gerenciamento do DNS.
Quando um site publica registros de localização de serviço para pontos de gerenciamento no DNS:
A publicação é aplicável somente a pontos de gerenciamento que aceitam conexões de clientes da intranet.
A publicação adiciona um registro de recurso de local de serviço (SRV RR) na zona DNS do computador do ponto de gerenciamento. Deve haver uma entrada correspondente do host no DNS para o computador.
Por padrão, clientes ingressados no domínio pesquisam DNS em busca de registros de ponto de gerenciamento de domínio local do cliente. Você pode configurar uma propriedade de cliente que especifica um sufixo de domínio para um domínio que tem informações de ponto de gerenciamento publicadas no DNS.
Para obter mais informações sobre como configurar a propriedade de sufixo DNS do cliente, consulte Como configurar computadores cliente para localizar pontos de gerenciamento por meio de publicação do DNS no Configuration Manager.
Se um cliente não conseguir localizar um ponto de gerenciamento para usar a localização de serviço do DNS, em seguida, ele tentará usar WINS.
Publicar pontos de gerenciamento no DNS
Para publicar pontos de gerenciamento no DNS, as seguintes condições devem ser verdadeiras:
Seus servidores DNS suportarem registros de recursos de localização de serviço, usando no mínimo uma versão 8.1.2 do BIND.
Os FQDNs da intranet para os pontos de gerenciamento no Gerenciador de Configurações tiverem entradas de host (por exemplo, registros A) no DNS.
A publicação de DNS do Gerenciador de Configurações não suportarem um namespace separado. Se você tiver um namespace separado, você poderá publicar manualmente pontos de gerenciamento no DNS ou usar um dos outros métodos alternativos de localização de serviço documentados nesta seção. |
Quando os seus servidores DNS suportarem atualizações automáticas, você poderá configurar o Gerenciador de Configurações para publicar automaticamente pontos de gerenciamento da intranet no DNS ou você poderá publicar manualmente esses registros no DNS. Quando pontos de gerenciamento são publicados no DNS, seus números de portas e FQDNs da intranet são publicados no registro de localização de serviço (SRV). Você pode configurar a publicação de DNS em um site nos sites de propriedades do componente do ponto de gerenciamento. Para obter mais informações, consulte Configurando componentes do site no Configuration Manager.
Quando seus servidores DNS não suportarem atualizações automáticas, mas suportarem registros de localização de serviços, você poderá publicar manualmente pontos de gerenciamento no DNS. Para fazer isso, é necessário especificar manualmente o registro de recurso de localização de serviço (SRV RR) no DNS.
O Gerenciador de Configurações suporta RFC 2782 para registros de localização de serviços que têm o seguinte formato:
_Service._Proto.Name TTL Class SRV Priority Weight Port Target
Para publicar um ponto de gerenciamento no Gerenciador de Configurações, especifique os seguintes valores:
_Serviço: insira _mssms_mp*_<código_do_site>*, em que <código_do_site> é o código do site do ponto de gerenciamento.
._Proto: especifique ._tcp.
.Nome: insira o sufixo DNS do ponto de gerenciamento, por exemplo, contoso.com.
TTL: insira 14400, que é quatro horas.
Classe: especifique IN (de acordo com a RFC 1035).
Prioridade: esse campo não é usado pelo Gerenciador de Configurações.
Peso esse campo não é usado pelo Gerenciador de Configurações.
Porta: insira o número da porta que o ponto de gerenciamento usa, por exemplo 80 para HTTP e 443 para HTTPS.
A porta do registro SRV deve corresponder à porta de comunicação usada pelo ponto de gerenciamento. Por padrão, ela é 80 para comunicação HTTP e 443 para comunicações HTTPS. |
Destino: insira o FQDN da intranet especificado para o sistema de site que é configurado com a função do site do ponto de gerenciamento.
Se você estiver usando o DNS do Windows Server, você poderá usar o procedimento a seguir para inserir esse registro DNS nos pontos de gerenciamento da intranet. Se você estiver usando uma implementação diferente para DNS, use as informações desta seção sobre os valores dos campos e consulte a documentação de DNS para adaptar esse procedimento.
Para configurar a publicação automática:
-
No console do Gerenciador de Configurações, expanda Administração > Configuração do Site > Sites.
-
Selecione seu site e clique em Configurar Componentes do Site.
-
Selecione Ponto de Gerenciamento.
-
Selecione os pontos de gerenciamento que você deseja publicar. (Esta seleção se aplica à publicação no AD DS e DNS).
-
Marque a caixa de seleção para publicar no DNS:
- Essa caixa de diálogo permite selecionar quais pontos de gerenciamento publicar e publicá-los no DNS.
- Essa caixa de diálogo não configura a publicação para o AD DS.
Para publicar manualmente os pontos de gerenciamento no DNS do Windows Server
-
No console do Gerenciador de Configurações, especifique os FQDNs dos sistemas de site da intranet.
-
No console de gerenciamento do DNS, selecione a zona DNS para o computador do ponto de gerenciamento.
-
Verifique se há um registro de host (A ou AAAA) para o FQDN do sistema de site da intranet. Se esse registro não existir, crie-o.
-
Usando a opção Outros Novos Registros, clique em Local do Serviço (SRV) na caixa de diálogo Tipo de Registro de Recurso, clique em Criar Registro, digite as seguintes informações e clique em Concluído:
- **Domínio**: se necessário, digite o sufixo DNS do ponto de gerenciamento, por exemplo **contoso.com**.
- **Serviço**: digite **mssms\_mp***\_\<código\_do\_site\>*, em que *\<código\_do\_site\>* é o código do site do ponto de gerenciamento.
- **Protocolo**: digite **TCP**.
- **Prioridade**: esse campo não é usado pelo Gerenciador de Configurações.
- **Peso** esse campo não é usado pelo Gerenciador de Configurações.
- **Porta**: insira o número da porta que o ponto de gerenciamento usa, por exemplo **80** para HTTP e **443** para HTTPS.
<div class="alert">
<table>
<colgroup>
<col style="width: 100%" />
</colgroup>
<thead>
<tr class="header">
<th><img src="images/JJ851033.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Observação</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td><p>A porta do registro SRV deve corresponder à porta de comunicação usada pelo ponto de gerenciamento. Por padrão, ela é <strong>80</strong> para comunicação HTTP e <strong>443</strong> para comunicações HTTPS.</p></td>
</tr>
</tbody>
</table>
</div>
- **Host que oferece este serviço**: insira o nome de domínio totalmente qualificado da intranet especificado para o sistema de site que é configurado com a função do site do ponto de gerenciamento.
Repita essas etapas para cada ponto de gerenciamento da intranet que você desejar publicar no DNS.
WINS
Quando outros mecanismos de localização de serviço falharem, os clientes poderão encontrar um ponto de gerenciamento inicial verificando o WINS.
Por padrão, um site primário publica para o WINS, o primeiro ponto de gerenciamento no site que está configurado para HTTP e o primeiro ponto de gerenciamento configurado para HTTPS.
Se você não quiser que os clientes encontrem um ponto de gerenciamento HTTP em WINS, configure-os com a propriedade CCMSetup.exe Client.msi SMSDIRECTORYLOOKUP=NOWINS.
Planejando como ativar clientes
O Gerenciador de Configurações dá suporte a duas tecnologias LAN (rede local) que ativam os computadores no modo de suspensão quando você deseja instalar o software necessário, como atualizações de software e aplicativos: pacotes de ativação tradicionais e comandos de ativação AMT.
Começando com o Gerenciador de Configurações SP1, é possível completar o método tradicional do pacote de ativação usando as configurações cliente de proxy de ativação. Proxy de ativação usa um protocolo ponto a ponto e computadores selecionados para verificar se outros computadores na sub-rede estão ativos e ativá-los, se necessário. Quando o site está configurado para Wake on LAN e os clientes são configurados para proxy de ativação, o processo funciona da seguinte forma:
Computadores que têm o cliente do Gerenciador de Configurações SP1 instalado e que não estão em suspensão na sub-rede verificam se outros computadores na sub-rede estão ativos. Eles fazem isso enviando uns aos outros um comando ping do TCP/IP a cada 5 segundos.
Se não houver resposta de outros computadores, supõe-se que estarão em modo de suspensão. Os computadores ativos tornam-se computadores gerenciadores da sub-rede.
É possível que um computador não responda por outro motivo que não seja a suspensão (por exemplo, está desligado, removido da rede, ou a configuração de proxy de ativação do cliente não é mais aplicada), por isso recebem um pacote de ativação todos os dias às 14h, horário local. Computadores que não respondem não serão mais considerados como em suspensão e não serão despertados pelo proxy de ativação.
Para oferecer suporte ao proxy de ativação, pelo menos três computadores devem estar ativos em cada sub-rede. Para conseguir isso, três computadores, de forma não determinista, são escolhidos para serem computadores guardiões da sub-rede. Isso significa que permanecem ativos, apesar de qualquer política de ativação configurada para suspensão ou hibernação após um período de inatividade. Computadores guardiões respeitam comandos de desligamento ou reinicialização, por exemplo, como resultado de tarefas de manutenção. Se isso acontecer, os computadores guardiões restantes ativarão outro computador na sub-rede, de modo que a sub-rede continuará a ter três computadores guardiões.
Computadores gerenciadores solicitam comutador de rede para redirecionar tráfego de rede dos computadores em suspensão para si mesmos.
O redirecionamento é alcançado pela transmissão, por parte do computador gerenciador, de uma estrutura de Ethernet que usa o endereço MAC do computador em suspensão como endereço de origem. Isso faz com que o comutador de rede se comporte como se o computador em suspensão tivesse se movido para a mesma porta do computador gerenciador. O computador gerenciador também envia pacotes ARP para os computadores em suspensão, para manter a entrada como nova no cache ARP. O computador gerenciador também responderá a solicitações de ARP em nome do computador em suspensão e responderá com o endereço MAC do computador em suspensão.
Durante esse processo, o mapeamento IP-MAC para o computador em suspensão permanece o mesmo. O proxy de ativação funciona informando ao comutador de rede que um adaptador de rede diferente está usando a porta registrada por outro adaptador de rede. No entanto, esse comportamento é conhecido como flap de MAC e é incomum em operação de rede padrão. Algumas ferramentas de monitoramento de rede procuram esse comportamento e podem supor que algo está errado. Consequentemente, essas ferramentas de monitoramento podem gerar alertas ou fechar portas quando você usa o proxy de ativação.
Não use proxy de ativação se sua rede de serviços e ferramentas de monitoramento não permitirem flaps de MAC. |
Quando um computador gerenciador vê uma nova solicitação de conexão TCP para um computador suspenso e a solicitação é para uma porta que esse computador usava como escuta antes de entrar em suspensão, o computador gerenciador envia um pacote de ativação para o computador suspenso e depois interrompe o redirecionamento de tráfego para esse computador.
O computador em suspensão recebe o pacote e é ativado. O computador de envio automaticamente tenta novamente a conexão e desta vez, o computador está ativo e pode responder.
Proxy de ativação tem os seguintes pré-requisitos e limitações:
Se você dispõe de uma equipe separada responsável pela infraestrutura e pelos serviços de rede, notifique e inclua essa equipe durante o período de avaliação e teste. Por exemplo, em uma rede que usa o controle de acesso de rede 802.1X, o proxy de ativação não funciona e pode interromper o serviço de rede. Além disso, o proxy de ativação pode fazer com que algumas ferramentas de monitoramento de rede gerem alertas quando detectam o tráfego para ativar outros computadores. |
Os clientes com suporte são Windows 7, 8 do Windows, Windows Server 2008 R2, Windows Server 2012.
Não há suporte para sistemas operacionais convidados executados em uma máquina virtual.
Os clientes devem executar o Gerenciador de Configurações SP1 e serem habilitados para proxy de ativação usando as configurações do cliente. Embora a operação de proxy de ativação não dependa de inventário de hardware, os clientes não informam a instalação do proxy de ativação a menos que estejam habilitados para inventário de hardware e tenham enviado pelo menos um inventário de hardware.
Adaptadores de rede (e possivelmente o BIOS) devem ser habilitados e configurados para pacotes de ativação. Se o adaptador de rede não estiver configurado para pacotes de ativação ou se essa configuração estiver desabilitada, o Gerenciador de Configurações irá configurá-la e habilitá-la automaticamente em um computador ao receber a configuração do cliente para habilitar o proxy de ativação.
Se um computador tiver mais de um adaptador de rede, não será possível configurar qual adaptador usar para o proxy de ativação; a escolha é não determinista. No entanto, o adaptador escolhido é registrado no arquivo SleepAgent_<DOMÍNIO>@SYSTEM_0.log file.
A rede deve permitir solicitações de eco ICMP (pelo menos dentro da sub-rede). Não é possível configurar o intervalo de 5 segundos usado para enviar os comandos de ping ICMP.
A comunicação é descriptografada e não autenticada e não há suporte para IPsec.
Não há suporte para as seguintes configurações de rede:
802.1 X com autenticação de porta
Redes sem fio
Comutadores de rede que conectam endereços MAC a portas específicas
Redes somente IPv6
Durações de concessão de DHCP inferior a 24 horas
Como prática recomendada de segurança, use ativação AMT em comandos em vez de pacotes de ativação, quando possível. Como a ativação AMT em comandos usa certificados PKI para ajudar a proteger a comunicação, essa tecnologia é mais segura do que o envio de pacotes de ativação. No entanto, para usar ativação AMT em comandos, os computadores devem ser baseados em Intel AMT e provisionados para AMT. Para mais informações sobre como o Gerenciador de Configurações pode gerenciar computadores baseados em AMT, consulte Introdução ao gerenciamento fora de banda no Configuration Manager.
Para ativar computadores para instalação de software agendada, você deve configurar cada site primário para uma das três opções:
Usar ativação AMT em comandos se o computador oferecer suporte a essa tecnologia; caso contrário, usar pacotes de ativação
Usar ativação AMT somente em comandos.
Usar somente pacotes de ativação.
Para usar proxy de ativação com o Gerenciador de Configurações SP1,você deve implantar as configurações de cliente do proxy de ativação do Gerenciamento de Energia, além de selecionar a opção Usar somente pacotes de ativação.
Use a tabela a seguir para obter mais informações sobre as diferenças entre as duas tecnologias WOL (Wake-on-LAN), pacotes de ativação tradicionais e comandos de ativação.
Pacotes de ativação tradicionais |
Não requerem funções de sistema de site adicionais no site.
Têm o suporte de vários adaptadores de rede.
Pacotes de ativação UDP são rápidos para enviar e processar.
Não exigem uma infraestrutura de PKI.
Não requerem alterações nos Serviços de Domínio Active Directory.
Têm suporte em computadores de grupo de trabalho, computadores de outra floresta do Active Directory e computadores na mesma floresta do Active Directory, mas usando um namespace não contíguo. |
Uma solução menos segura do que a ativação AMT em comandos porque não usa autenticação nem criptografia. Se transmissões direcionadas a sub-rede forem usadas para os pacotes de ativação, correrão o risco de ataques smurf.
Pode ser necessário configurar manualmente cada computador com configurações de BIOS e adaptador.
Nenhuma confirmação de que os computadores foram ativados.
Transmissões de ativação como vários pacotes UDP (Protocolo de Datagrama de Usuário) podem, desnecessariamente, saturar a largura de banda de rede disponível.
A menos que você use a ativação proxy com o Gerenciador de Configurações SP1, não é possível ativar computadores interativamente.
Não é possível retornar computadores ao estado de suspensão.
Recursos de gerenciamento são restritos apenas a ativar computadores. |
Ativação AMT em comandos |
Uma solução mais segura do que os tradicionais pacotes de ativação, porque fornece autenticação e criptografia usando protocolos de segurança padrão do setor. Também pode se integrar a uma implantação de PKI existente, e os controles de segurança podem ser gerenciados de forma independente do produto.
Oferece suporte a instalação e configuração centralizada (provisionamento AMT).
Sessão de transporte estabelecida para uma conexão mais confiável e verificável.
Os computadores podem ser ativados (e reiniciados) interativamente.
Os computadores podem ser desligados interativamente.
Recursos de gerenciamento adicionais, que incluem o seguinte:
Reinicialização de um computador inoperante e inicialização por meio de um dispositivo conectado localmente ou arquivo de imagem de inicialização válido conhecido. Nova geração de imagens de um computador com inicialização por meio de um arquivo de imagem localizado na rede ou usando um servidor PXE. Reconfiguração das definições de BIOS em um computador selecionado e ignorar a senha do BIOS se houver suporte do fabricante do BIOS. Inicialização de um sistema operacional baseado em comandos para executar comandos, reparar ferramentas ou aplicativos de diagnóstico (por exemplo, a atualização do firmware ou execução de uma ferramenta de reparo de disco). |
Requer que o site tenha um pontos de serviço fora da banda e um ponto de registro.
Com suporte apenas em computadores que tenham o chip set Intel vPro e uma versão com suporte do firmware Intel AMT (Active Management Technology). Para mais informações sobre as versões de AMT com suporte, consulte Configurações com suporte para o Configuration Manager.
A sessão de transporte requer mais tempo para estabelecer, maior processamento no servidor e aumento dos dados transferidos.
Requer uma implantação de PKI e certificados específicos.
Requer um contêiner do Active Directory criado e configurado para computadores baseados em AMT de publicação.
Não oferece suporte a computadores de grupo de trabalho, computadores de outra floresta do Active Directory e computadores da mesma floresta do Active Directory que usem um namespace não contíguo.
Requer alterações no DNS e DHCP para dar suporte ao provisionamento AMT. |
Escolha como ativar computadores com base em se você pode dar suporte a ativação AMT em comandos e se os computadores atribuídos ao site oferecem suporte a tecnologia Wake-on-LAN. Além disso, considere as vantagens e desvantagens de ambas as tecnologias que estão listadas na tabela anterior. Por exemplo, pacotes de ativação são menos confiáveis e não estão garantidos, mas a ativação em comandos leva mais tempo para estabelecer e requer mais processamento no servidor do sistema de site que está configurado com o ponto de serviço de fora da banda.
Devido à sobrecarga adicional envolvida na criação, manutenção e encerramento de uma sessão de gerenciamento fora da banda para computadores baseados em AMT, realize seus próprios testes para que você possa avaliar com precisão quanto tempo demora para ativar vários computadores usando a ativação AMT em comandos em seu ambiente (por exemplo, através de links lentos de WAN para computadores em sites secundários). Esse conhecimento ajuda a determinar se a ativação de vários computadores para as atividades agendadas usando a ativação AMT em comandos é prática, quando você tem muitos computadores para ativar em pouco tempo. |
Se você decidir usar pacotes de ativação tradicionais, também deve decidir se pretende usar pacotes de transmissão para sub-rede, ou pacotes unicast, e que número de porta UDP usar. Por padrão, pacotes de ativação profissionais são transmitidos usando a porta UDP 9, mas para ajudar a aumentar a segurança, você pode selecionar uma porta alternativa para o site se essa porta alternativa tiver suporte para roteadores e firewalls intermediários.
Para pacotes de ativação tradicionais: escolha entre as difusões unicast e de sub-rede para Wake on LAN
Se você escolher ativar computadores enviando pacotes de ativação tradicionais, deve decidir se quer transmitir pacotes unicast ou pacotes de transmissão direcionados à sub-rede. Se você utilizar proxy de ativação com o Gerenciador de Configurações SP1, deve usar pacotes unicast. Caso contrário, use a tabela a seguir para ajudá-lo a determinar qual método de transmissão escolher.
Unicast |
Solução mais segura do que transmissões direcionadas a sub-rede porque o pacote é enviado diretamente a um computador, em vez de a todos os computadores de uma sub-rede.
Pode não ser necessário reconfigurar os roteadores (talvez seja necessário configurar o cache do ARP).
Consome menos largura de banda de rede de transmissões de difusão direcionadas à sub-rede.
Compatível com IPv4 e IPv6. |
Pacotes de ativação não encontram computadores de destino que alteraram seu endereço de sub-rede após o último agendamento de inventário de hardware.
Talvez seja necessário configurar os comutadores para encaminhar pacotes UDP.
Alguns adaptadores de rede podem não responder a pacotes de ativação em todos os estados de suspensão quando usam unicast como o método de transmissão. |
Transmissão direcionada à sub-rede |
Taxa de sucesso superior do que unicast se houver computadores que mudam frequentemente de endereço IP na mesma sub-rede.
Nenhuma reconfiguração de comutador é necessária.
Alta taxa de compatibilidade com adaptadores de computador para todos os estados de suspensão, porque as transmissões direcionadas à sub-rede eram o método de transmissão original para o envio de pacotes de ativação. |
Solução menos segura do que usar unicast porque um invasor pode enviar fluxos contínuos de solicitações de eco ICMP por meio de um endereço de origem falso para o endereço de transmissão direcionado. Isso faz com que todos os hosts respondam a esse endereço de origem. Quando os roteadores são configurados para permitir transmissões direcionadas à sub-rede, a configuração adicional é recomendada por razões de segurança:
Configure roteadores para permitir somente transmissões direcionadas a IP do servidor do site do Gerenciador de Configurações usando um número de porta UDP especificado. Configure o Gerenciador de Configurações para usar o número de porta não padrão especificado.
Pode ser necessário reconfigurar todos os roteadores intermediários para habilitar transmissões direcionadas a sub-redes.
Consome mais largura de banda de rede que as transmissões em unicast.
Compatível somente com IPv4. Não há suporte para IPv6. |
Há riscos de segurança associados a transmissões direcionadas a sub-redes: um invasor pode enviar fluxos contínuos de solicitações de eco de protocolo ICMP de um endereço de origem falsificado para o endereço de difusão direcionado, o que faz com que todos os hosts respondam àquele endereço de origem. Esse tipo de ataque de negação de serviço é comumente chamado de ataque smurf e é geralmente mitigado não permitindo transmissões direcionadas a sub-redes. |
Planejando comunicações entre florestas no Configuration Manager
O System Center 2012 Configuration Manager oferece suporte a sites e hierarquias que abrangem florestas do Active Directory.
O Gerenciador de Configurações também oferece suporte a computadores de domínio que não estão na mesma floresta do Active Directory que o servidor do site, e a computadores de grupos de trabalho:
Para dar suporte a computadores de domínio em uma floresta que não têm uma relação de confiança com a floresta do servidor do site, você pode instalar as funções do sistema de site nessa floresta não confiável, com a opção de publicar informações do site na floresta do Active Directory do cliente. Ou, você pode gerenciar esses computadores como se fossem computadores de grupo de trabalho. Quando você instala servidores do sistema de site na floresta do cliente, a comunicação entre cliente e o servidor é mantida dentro da floresta do cliente e o Gerenciador de Configurações pode autenticar o computador usando o Kerberos. Quando você publica informações do site na floresta do cliente, os clientes se beneficiam recuperando as informações do site, como uma lista de pontos de gerenciamento disponíveis da floresta do Active Directory, em vez de baixar essas informações de seu ponto de gerenciamento atribuído.
Para gerenciar dispositivos na Internet, você pode instalar funções do sistema de áreas baseado na Internet em sua rede de perímetro, quando os servidores do sistema de site estiverem em uma floresta do Active Directory. Esse cenário não requer uma relação de confiança bidirecional entre a rede de perímetro e a floresta do servidor do site. |
Para oferecer suporte a computadores em um grupo de trabalho, se eles usarem conexões de cliente HTTP com funções do sistema de site você deve aprová-los manualmente porque o Gerenciador de Configurações não pode autenticar esses computadores usando o Kerberos. Além disso, é necessário configurar a Conta de Acesso à Rede para que esses computadores possam recuperar conteúdo de pontos de distribuição. Como esses clientes não podem recuperar informações de site dos Serviços de Domínio Active Directory, você deve fornecer um mecanismo alternativo para eles encontrem pontos de gerenciamento. Você pode usar a publicação DNS ou WINS ou atribuir diretamente um ponto de gerenciamento.
Para saber mais sobre a aprovação de clientes, consulte Definir configurações para aprovação do cliente e registros de cliente em conflito em Definindo as configurações de gerenciamento de cliente no Configuration Manager.
Para obter mais informações sobre como configurar a conta de acesso de rede, consulte a seção Configurar a conta de acesso à rede no tópico Configurando o gerenciamento de conteúdo no Configuration Manager.
Para obter mais informações sobre como instalar clientes em computadores do grupo de trabalho, consulte a seção Como instalar clientes do Configuration Manager em computadores do grupo de trabalho no tópico Como instalar clientes em computadores com base em Windows no Configuration Manager.
O Gerenciador de Configurações oferece suporte ao conector do Exchange Server em uma floresta diferente do servidor do site. Para dar suporte a esse cenário, verifique se a resolução de nomes funciona nas florestas (por exemplo, configure encaminhamentos de DNS) e especifique o FQDN da intranet do Exchange Server ao configurar o conector do Exchange Server. Para obter mais informações, consulte Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange.
Quando o design do Gerenciador de Configurações abrange vários domínios e florestas do Active Directory, use as informações adicionais na tabela a seguir para ajudar a planejar os seguintes tipos de comunicação.
Comunicação entre sites em uma hierarquia que abrange florestas:
|
O Gerenciador de Configurações oferece suporte à instalação de um site filho em uma floresta remota que tem a relação de confiança bidirecional necessária com a floresta do site pai. Por exemplo: você pode colocar um site secundário em uma floresta diferente do seu site pai primário, contanto que a relação de confiança necessária exista. Se você não tiver uma relação de confiança bidirecional que ofereça suporte à autenticação Kerberos, o Gerenciador de Configurações não dará suporte ao site filho da floresta remota.
Um site filho pode ser um site primário (onde o site de administração central é o site pai), ou um site secundário. |
Comunicação entre sites no Gerenciador de Configurações usa replicação de banco de dados e transferências baseadas em arquivo. Quando você instala um site, deve especificar uma conta para instalar o site no servidor designado. Essa conta também estabelece e mantém a comunicação entre os sites.
Depois que o site é instalado com êxito e inicia transferências baseadas em arquivos e replicação de banco de dados, não é necessário configurar mais nada para a comunicação com o site.
Para obter mais informações sobre como instalar um site, consulte a seção Instalar um servidor do site no tópico Instalar sites e criar uma hierarquia para o Configuration Manager. |
Quando existe uma relação de confiança bidirecional na floresta, o Gerenciador de Configurações não necessita de nenhuma medida adicional de configuração.
Por padrão, quando você instala um novo site como filho de outro site, o Gerenciador de Configurações configura o seguinte:
| |
.jpeg "System_CAPS_note"){kind=icon}
Observação.jpeg "System_CAPS_tip")
Dica.jpeg "System_CAPS_important")
Importante.jpeg "System_CAPS_warning")
Aviso