Planear a comunicações no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Antes de instalar o System Center 2012 Configuration Manager, planeie as comunicações de rede entre diferentes sites numa hierarquia, entre diferentes servidores de sistema de sites num site, e entre clientes e servidores de sistema de sites. Estas comunicações podem estar contidas num único domínio ou abranger múltiplas florestas do Active Directory. Também poderá ser necessário planear as comunicações para gerir clientes na Internet.

Utilize as secções seguintes deste tópico para o ajudar a planear as comunicações no Gestor de configuração.

• Planear Comunicações Entre Sites no Configuration Manager

  • Replicação Baseada em Ficheiros

  • Replicação de Base de Dados

• Planear Comunicações Dentro do Site no Configuration Manager

• Planear a Comunicação do Cliente no Configuration Manager

  • Comunicações Iniciadas por Clientes

  • Localização do Serviço e como os clientes determinam o seu ponto de gestão atribuído

  • Planear como Reativar Clientes

• Planeamento de Comunicações entre Florestas no Configuration Manager

• Planear a Gestão de Clientes Baseada na Internet

  • Funcionalidades que Não São Suportadas na Internet

  • Considerações sobre comunicações do cliente a partir da Internet ou de uma floresta não fidedigna

  • Planear Clientes Baseados na Internet

  • Pré-requisitos da Gestão de Clientes Baseada na Internet

• Planear a Largura de Banda de Rede no Configuration Manager

  • Controlar a Utilização de Largura de Banda de Rede Entre Sites

  • Controlar a Utilização de Largura de Banda de Rede entre Servidores de Sistema de Sites

  • Controlar a Utilização de Largura de Banda de Rede entre Clientes e Servidores de Sistema de Sites

Novidades do Configuration Manager

Nota

As informações desta secção também constam de o manual Getting Started with System Center 2012 Configuration Manager (Introdução ao System Center 2012 Configuration Manager).

Os itens seguintes são novos ou foram alterados para a comunicação entre sites desde o Configuration Manager 2007:

• A comunicação site a site utiliza agora a replicação de base de dados, além da replicação baseada em ficheiros, para muitas transferências de dados site a site, incluindo configurações e definições.

• O conceito de sites de modo misto ou de modo nativo do Configuration Manager 2007 para definir a forma como os clientes comunicam com sistemas de sites no site foi substituído por funções de sistema de sites que podem suportar comunicações HTTP ou HTTPS de clientes de forma independente.

• Para ajudar a suportar computadores cliente noutras florestas, o Gestor de configuração pode detetar computadores nestas florestas e publicar informações do site nas mesmas.

• O ponto de localização do servidor já não é utilizado e a funcionalidade desta função de sistema de sites foi movida para o ponto de gestão.

• A gestão de clientes baseada na Internet agora suporta o seguinte:

  • Políticas de utilizador quando o ponto de gestão baseado na Internet consegue autenticar o utilizador através da autenticação do Windows (Kerberos ou NTLM).

  • Sequências de tarefas simples, como scripts. A implementação de sistema operativo na Internet continua a não ser suportada.

  • Os clientes baseados na Internet começam por tentar transferir as atualizações de software necessárias a partir do Microsoft Update, em vez de recorrerem a um ponto de distribuição baseado na Internet do respetivo site atribuído. Só em caso de insucesso é que tentarão transferir as atualizações de software necessárias a partir de um ponto de distribuição baseado na Internet.

Novidades no Configuration Manager SP1

Nota

As informações desta secção também constam de o manual Getting Started with System Center 2012 Configuration Manager (Introdução ao System Center 2012 Configuration Manager).

Os seguintes itens são novos ou foram alterados para fins de comunicação entre sites no Gestor de configuração SP1:

• As rotas de replicação de ficheiros substituem os endereços para replicação baseada em ficheiros entre sites. Esta alteração refere-se exclusivamente ao nome da replicação baseada em ficheiros e assegura a consistência com a replicação de base de dados. Não existe qualquer alteração de funcionalidade.

• Configurar as ligações de replicação de base de dados entre as bases de dados do site para controlar e monitorizar o tráfego de rede resultante da replicação de bases de dados:

  • Utilizar vistas distribuídas para impedir a replicação dos dados selecionados do site a partir de um site primário para o site de administração central. Em seguida, o site de administração central acede diretamente a estes dados a partir da base de dados do site primário.

  • Agendar a transferência de dados selecionados do site para várias ligações de replicação de base de dados.

  • Controlar a frequência de resumo do tráfego de replicação nos relatórios.

  • Definir limiares personalizados para a emissão de alertas relativos a problemas de replicação.

• Configurar os controlos de replicação da base de dados do SQL Server num site:

  • Altere a porta utilizada pelo Gestor de configuração para o SQL Server Service Broker.

  • Configurar o tempo de espera antes de uma falha de replicação acionar a reinicialização de um site utilizando a respetiva cópia da base de dados do site.

  • Configure uma base de dados de sites para comprimir os dados que este replica por replicação da base de dados. Os dados são comprimidos apenas para transferência entre sites e não para armazenamento na base de dados de sites de qualquer um dos sites.

• Se os clientes do Gestor de configuração SP1 executarem Windows 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012, é possível completar a definição de site de Reativação por LAN para pacotes unicast utilizando as definições de cliente de proxy de reativação. Esta combinação ajuda-o a reativar computadores de sub-redes sem necessidade de reconfigurar os comutadores de rede.

Planear Comunicações Entre Sites no Configuration Manager

Numa hierarquia do Gestor de configuração, cada site comunica com o respetivo site principal e sites subordinados diretos ao utilizar dois métodos de transferência de dados: replicação baseada em ficheiros e replicação de base de dados. Os sites secundários não só comunicam com os seus sites primários principais através de ambos os métodos de transferência de dados, como também conseguem comunicar com outros sites secundários através de replicação baseada em ficheiros para encaminhar conteúdo para localizações de rede remotas.

O Gestor de configuração utiliza a replicação baseada em ficheiros e a replicação de base de dados para transferir tipos diferentes de informações entre sites.

Replicação Baseada em Ficheiros

O Gestor de configuração utiliza a replicação baseada em ficheiros para transferir dados baseados em ficheiros entre sites na hierarquia. Estes dados incluem conteúdo como aplicações e pacotes que pretenda implementar em pontos de distribuição de sites subordinados, bem como registos de dados de deteção não processados que são transferidos para sites principais onde são processados.

A comunicação baseada em ficheiros entre sites utiliza o protocolo SMB (Server Message Block) com a porta TCP/IP 445. Pode especificar configurações que incluam limitação de largura de banda e modo de impulso para controlar a quantidade de dados transferidos pela rede e agendamentos para controlar quando enviar dados pela rede.

A partir do Gestor de configuração SP1, os nomes dos endereços são alterados para rotas de replicação de ficheiros para assegurar a consistência com a replicação de base de dados. Nas versões anteriores ao SP1, o Gestor de configuração utiliza um endereço para ligar à partilha do SMS_SITE no servidor do site de destino para transferir dados baseados em ficheiros. Os endereços e as rotas de replicação de ficheiros operam da mesma forma e suportam as mesmas configurações.

As secções seguintes são escritas para alterações introduzidas com o service pack 1 e fazem referência a rotas de replicação de ficheiros em vez de endereços. Se utiliza o Gestor de configuração sem um service pack, utilize as informações da tabela seguinte para converter as referências a rotas de replicação de ficheiros para as referências a endereços relacionadas.

A partir do Gestor de configuração com SP1	Gestor de configuração sem service pack
Conta de Replicação de Ficheiros	Conta de Endereço do Site
Rota de Replicação de Ficheiros	Endereço
Nó Replicação de Ficheiros na consola do Gestor de configuração	Nó Endereços na consola do Gestor de configuração

Rotas de Replicação de Ficheiros

O Gestor de configuração utiliza rotas de replicação de ficheiros para transferir dados baseados em ficheiros entre sites numa hierarquia. As rotas de replicação de ficheiros substituem endereços, que são utilizados em versões anteriores do Gestor de configuração. A funcionalidade das rotas de replicação de ficheiros não foi alterada em relação aos endereços. A tabela seguinte fornece informações sobre rotas de replicação de ficheiros.

Objeto	Mais informações
Rota de Replicação de Ficheiros	Cada rota de replicação de ficheiros identifica um site de destino para o qual podem ser transferidos dados baseados em ficheiros. Cada site suporta uma rota de replicação de ficheiros única para um site de destino específico. O Gestor de configuração suporta as seguintes configurações para rotas de replicação de ficheiros: Conta de Replicação de Ficheiros: Esta conta é utilizada para ligar ao site de destino e escrever dados na partilha SMS_SITE desse site. Os dados escritos nesta partilha são processados pelo site recetor. Por predefinição, quando um site é adicionado à hierarquia, o Gestor de configuração atribui a conta de computador do servidor de sites do novo site como Conta de Replicação de Ficheiros desse site. Esta conta é então adicionada ao grupo SMS_SiteToSiteConnection_ Nota Os sites secundários utilizam sempre a conta de computador do servidor do site secundário como Conta de Replicação de Ficheiros. Agendamento: Pode configurar o agendamento de cada rota de replicação de ficheiros para restringir o tipo de dados e a hora de transferência dos dados para o site de destino. Limites de Velocidade: Pode configurar limites de velocidade para cada rota de replicação de ficheiros, a fim de controlar a largura de banda da rede que é utilizada quando o site transfere dados para o site de destino: Utilize o Modo de impulsos para especificar o tamanho dos blocos de dados que são enviados para o site de destino. Também pode especificar um atraso de tempo entre o envio de cada bloco de dados. Utilize esta opção quando tiver de enviar dados para o site de destino através de uma ligação de rede de largura de banda muito baixa. Por exemplo, poderá ter limitações para enviar 1 KB de dados a cada cinco segundos, mas não 1 KB a cada três segundos, independentemente da velocidade da ligação ou da sua utilização num determinado momento. Utilize Limitado a velocidades máximas de transferência por hora para que um site envie dados para um site de destino utilizando apenas a percentagem de tempo especificada. Quando utiliza esta opção, o Gestor de configuração não identifica a largura de banda disponível da rede. Em vez disso, divide o tempo durante o qual pode enviar dados em frações de tempo. Em seguida, os dados são enviados num curto bloco de tempo, que é seguido de blocos de tempo em que não são enviados dados. Por exemplo, se a velocidade máxima for definida para 50%, o Gestor de configuração transmite dados durante um período de tempo seguido por um período de tempo igual sem qualquer envio de dados. A quantidade real de dados ou o tamanho do bloco de dados não são geridos. Em vez disso, apenas é gerida a quantidade de tempo durante a qual são enviados dados. Cuidado Por predefinição, um site pode utilizar até três envios simultâneos para transferir dados para um site de destino. Quando são ativados limites de velocidade para uma rota de replicação de dados, o número de envios simultâneos para enviar dados para esse site é limitado a um. Isto aplica-se mesmo quando o Limite de largura de banda disponível (%) é definido como 100%. Por exemplo, se utilizar as predefinições para o remetente, a taxa de transferência para o site de destino é reduzida para um terço da capacidade predefinida. É possível configurar uma rota de replicação de ficheiros entre dois sites secundários para encaminhar conteúdo baseado em ficheiros entre esses sites. Para gerir um rota de replicação de ficheiros, na área de trabalho Administração, expanda o nó Configuração da Hierarquia e selecione Replicação de Ficheiros.
Remetente	Cada site tem um remetente. O remetente gere a ligação de rede de um site para um site de destino e pode estabelecer ligações a múltiplos sites ao mesmo tempo. Para ligar a um site, o remetente utiliza a rota de replicação de ficheiros para o site para identificar a conta utilizada para estabelecer a ligação de rede. O remetente também utiliza esta conta para escrever dados na partilha SMS_SITE do site de destino. Por predefinição, o remetente escreve dados num site de destino através de múltiplos envios simultâneos, normalmente referidos como threads. Cada envio simultâneo, ou thread, pode transferir um objeto baseado em ficheiros diferente para o site de destino. Por predefinição, quando o remetente começa a enviar um objeto, continua a escrever blocos de dados nesse objeto até que todo o objeto seja enviado. Depois de terem sido enviados todos os dados de um objeto, pode começar a ser enviado um novo objeto nesse thread. Pode configurar as seguintes definições para um remetente: Limite de envios simultâneos: Por predefinição, cada site é configurado para utilizar cinco envios simultâneos, estando três disponíveis para utilização quando são enviados dados para qualquer site de destino. Quando aumenta este número, pode aumentar o débito de dados entre sites permitindo que o Gestor de configuração transfira mais ficheiros ao mesmo tempo. Aumentar este número também aumenta a necessidade de largura de banda de rede entre sites. Definições de repetição: Por predefinição, cada site está configurado para repetir uma ligação problemática duas vezes com o intervalo de um minuto entre tentativas de ligação. Pode modificar o número de tentativas de ligação efetuada pelo site e o intervalo de tempo entre essas tentativas. Para gerir o remetente de um site, expanda o nó Configuração do Site na área de trabalho Administração, selecione o nó Sites e depois clique em Propriedades para o site que pretende gerir. Clique n separador Remetente para alterar a configuração do remetente.

Replicação de Base de Dados

A replicação de base de dados do Gestor de configuração utiliza o SQL Server para transferir dados e intercalar as alterações efetuadas numa base de dados do site com as informações armazenadas na base de dados de outros sites da hierarquia. Permite que todos os sites partilhem as mesmas informações. A replicação de base de dados é automaticamente configurada por todos os sites do Gestor de configuração. Quando instala um site numa hierarquia, a replicação de base de dados é configurada automaticamente entre o novo local e o respetivo site principal designado. Quando é concluída a instalação do site, a replicação de base de dados é iniciada automaticamente.

Quando instala um novo site numa hierarquia, o Gestor de configuração cria uma base de dados genérica no novo site. Em seguida, o site principal cria um instantâneo dos dados relevantes na respetiva base de dados e transfere esse instantâneo para o novo site através da replicação baseada em ficheiros. O novo site utiliza um programa de cópia em massa (BCP) do SQL Server para carregar as informações na respetiva cópia local da base de dados do Gestor de configuração. Após o carregamento do instantâneo, cada site efetua a replicação de base de dados com outro site.

Para replicar dados entre sites, o Gestor de configuração utiliza o seu próprio serviço de replicação de base de dados. O serviço de replicação de base de dados utiliza o registo de alterações do SQL Server para monitorizar a base de dados do site local e, em seguida, replica essas alterações para outros sites utilizando um SQL Server Service Broker. Por predefinição, este processo utiliza a porta TCP/IP 4022.

O Gestor de configuração agrupa dados que são replicados através da replicação de base de dados em grupos de replicação diferentes. Cada grupo de replicação tem uma agenda de replicação separada e fixa que determina a frequência com que as alterações dos dados no grupo são replicadas para outros sites. Por exemplo, uma alteração de configuração para uma configuração de administração baseada em funções replica rapidamente para outros sites para assegurar que estas alterações são impostas assim que possível. Por outro lado, uma alteração de configuração menos prioritária como, por exemplo, um pedido de instalação de um novo site secundário, replica com menos urgência e o pedido de novo site demora vários minutos a chegar ao site primário de destino.

Nota

A replicação de base de dados do Gestor de configuração é configurada automaticamente e não suporta a configuração de grupos de replicação ou agendas de replicação. No entanto, a partir do Gestor de configuração SP1, é possível configurar ligações de replicação de base de dados para controlar quando é que tráfego específico atravessa a rede. Também é possível configurar quando o Gestor de configuração gera alertas sobre ligações de replicação degradadas ou falhadas.

O Gestor de configuração classifica os dados que replica através da replicação de base de dados como dados globais ou dados de site. Quando ocorre a replicação da base de dados, as alterações aos dados globais e aos dados de site são transferidas através da ligação da replicação de base de dados. É possível replicar dados globais para um site principal ou subordinado, os dados de site são replicados apenas para um site principal. Um terceiro tipo de dados designado dados locais não é replicado para outros sites. Os dados locais incluem informações que não são necessárias para outros sites:

• Dados Globais: Os dados globais referem-se a objetos criados por um administrador que são replicados para todos os sites na hierarquia, apesar de os sites secundários receberem apenas um subconjunto de dados globais, como dados de proxy global. Exemplos de dados globais incluem implementações de software, atualizações de software, definições de coleção e âmbitos de segurança de administração baseados em funções. Os administradores podem criar dados globais em sites de administração central e sites primários.

• Dados do Site: Os dados do site referem-se a informações operacionais criadas pelos sites primários do Gestor de configuração e pelos clientes que dependem dos sites primários. Os dados do site replicam para o site de administração central, mas não para outros sites primários. São exemplos de dados do site os dados de inventário de hardware, as mensagens de estado, os alertas e os resultados de coleções baseadas em consulta. Os dados do site só são visualizáveis no site de administração central e no site primário onde os dados têm origem. Os dados do site apenas podem ser modificados no site primário onde foram criados.

  Todos os dados do site são replicados para o site de administração central; assim, o site de administração central pode efetuar a administração e comunicação por toda a hierarquia.

Utilize as informações nas seguintes secções para planear a utilização de controlos disponíveis a partir do Gestor de configuração SP1 para configurar ligações de replicação de base de dados entre sites e para configurar controlos em cada base de dados do site. Estes controlos podem ajudar a controlar e monitorizar o tráfego de rede que a replicação de base de dados cria.

Ligações de Replicação de Base de Dados

Quando instala um novo site numa hierarquia, o Gestor de configuração cria automaticamente uma ligação de replicação de base de dados entre os dois sites. É criada uma única ligação para ligar o novo site ao site principal.

A partir do Gestor de configuração SP1, cada ligação de replicação de base de dados suporta configurações para ajudar a controlar a transferência de dados ao longo da ligação de replicação. Cada ligação de replicação suporta configurações separadas. Os controlos para ligações de replicação de base de dados incluem o seguinte:

• Utilizar vistas distribuídas para parar a replicação dos dados de site selecionados de um site primário para o site de administração central e para permitir que o site de administração aceda diretamente a estes dados a partir da base de dados do site primário.

• Agendar quando os dados de sites selecionados são transferidos de um site primário subordinado para o site de administração central.

• Definir as definições que determinam quando uma ligação de replicação de base de dados está num estado degradado ou falhado.

• Configurar quando aumentar alertas para uma ligação de replicação falhada.

• Especificar a frequência com que o Gestor de configuração resume os dados sobre o tráfego de replicação que utiliza a ligação de replicação. Estes dados são utilizados em relatórios.

Para configurar uma ligação de replicação de base de dados, tem de editar as propriedades da ligação na consola do Gestor de configuração a partir do nó Replicação de Base de Dados. Este nó aparece na área de trabalho Monitorização e, a partir do Gestor de configuração SP1, este nó também aparece no nó Configuração da Hierarquia na área de trabalho Administração. Pode editar uma ligação de replicação a partir do site principal ou do site subordinado da ligação de replicação.

Sugestão

Pode editar ligações de replicação de base de dados a partir do nó Replicação de Base de Dados em qualquer uma das áreas de trabalho. No entanto, quando utiliza o nó Replicação de Base de Dados na área de trabalho Monitorização também pode visualizar o estado da replicação de base de dados para as ligações de replicação e aceder à ferramenta Analisador de Ligações de Replicação para ajudar a investigar problemas durante a replicação de base de dados.

Para obter informações sobre como configurar ligações de replicação, consulte Controlos de Replicação de Base de Dados do Site. Para mais informações sobre como monitorizar a replicação, consulte a secção Como Monitorizar Ligações de Replicação de Base de Dados e o Estado da Replicação do tópico Monitorizar os sites e a hierarquia do Configuration Manager.

Utilize as informações nas secções seguintes para planear ligações de replicação de base de dados.

Planear a Utilização de Vistas Distribuídas

Para o System Center 2012 Configuration Manager SP1 e posterior: 

As vistas distribuídas permitem que pedidos feitos num site de administração central para dados de site selecionados acedam a esses dados de site diretamente a partir da base de dados num site primário subordinado. Este acesso direto substitui a necessidade de replicar estes dados de site a partir do site primário para o site de administração central. Dado que cada ligação de replicação é independente de outras ligações de replicação, pode ativar as vistas distribuídas apenas nas ligações de replicação que escolher. As vistas distribuídas não são suportadas entre um site primário e um site secundário.

As vistas distribuídas podem fornecer as seguintes vantagens:

• Reduzir a carga de CPU para processar alterações de base de dados no site de administração central e em sites primários.

• Reduzir a quantidade de dados transferidos através da rede para o site de administração central.

• Melhorar o desempenho do SQL Server que aloja a base de dados do site de administração central.

• Reduzir o espaço em disco utilizado pela base de dados no site de administração central.

Considere utilizar as vistas distribuídas quando um site primário está localizado muito perto do site de administração central na rede e os dois sites estão sempre ativos e sempre ligados. Isto acontece porque as vistas distribuídas substituem a replicação dos dados selecionados entre os sites com ligações diretas entre os SQL Servers em cada site. Esta ligação direta é estabelecida sempre que é efetuado um pedido para estes dados no site de administração central. Normalmente, os pedidos de dados permitidos para as vistas distribuídas são efetuados quando executa relatórios ou consultas, visualiza informações no Explorador de Recursos e durante a avaliação da coleção em coleções que incluem regras baseadas nos dados de site.

Por predefinição, as vistas distribuídas estão desativadas para cada ligação de replicação. Quando ativa as vistas distribuídas para uma ligação de replicação, seleciona os dados de site que não são replicados para o site de administração central ao longo dessa ligação e permite que o site de administração central aceda a estes dados diretamente a partir da base de dados do site primário subordinado que partilha a ligação. Pode configurar os seguintes tipos de dados de site para vistas distribuídas:

• Dados de inventário de hardware a partir de clientes

• Dados de inventário de software e medição de clientes

• Mensagens de estado de clientes, do site primário e de todos os sites secundários

Do ponto de vista operacional, as vistas distribuídas são invisíveis ao utilizador administrativo que visualiza dados na consola ou em relatórios do Gestor de configuração. Quando é efetuado um pedido de dados que é permitido para vistas distribuídas, o SQL Server que aloja a base de dados do site de administração central acede ao SQL Server do site primário subordinado para obter as informações. Por exemplo, tem de utilizar uma consola do Gestor de configuração no site de administração central para pedir informações sobre o inventário de hardware a partir de dois sites e apenas um site tem inventário de hardware ativado para uma vista distribuída. As informações de inventário para clientes a partir do site que não está configurado para vistas distribuídas são obtidas da base de dados no site de administração central. As informações de inventário para clientes do site que está configurado para vistas distribuídas são acedidas a partir da base de dados do site primário subordinado. Estas informações aparecem na consola ou no relatório do Gestor de configuração, sem distinção da origem.

Desde que a ligação de replicação possua um tipo de dados ativado para vistas distribuídas, o site primário subordinado não replica esses dados pata o site de administração central. Assim que desativa as vistas distribuídas para um tipo de dados, o site primário subordinado retoma a replicação desses dados para o site de administração central como parte da replicação de dados normal. No entanto, antes de estes dados ficarem disponíveis no site de administração central, os grupos de replicação que contêm estes dados têm de ser reinicializados entre o site primário e o site de administração central. De igual modo, após a instalação de um site primário que possui as vistas distribuídas ativadas, o site primário tem de concluir a reinicialização dos respetivos dados antes de poder aceder aos dados que estavam ativados para vistas distribuídas no site de administração central.

Importante
Quando utiliza vistas distribuídas em qualquer ligação de replicação na hierarquia, tem de desativar as vistas distribuídas para todas as ligações de replicação antes de instalar um site primário. Para obter mais informações, consulte a secção Desinstalar um site primário configurado com vistas distribuídas do tópico Instalar Sites e Criar uma Hierarquia para o Configuration Manager.

Pré-requisitos e Limitações das Vistas Distribuídas

Seguem-se os pré-requisitos e as limitações das vistas distribuídas:

• Tanto o site de administração central como o site primário têm de executar a mesma versão do Gestor de configuração e ter a SP1 como versão mínima.

• As vistas distribuídas são suportadas apenas em ligações de replicação entre um site de administração central e um site primário.

• O site de administração central pode ter apenas uma instância do fornecedor de SMS instalado e essa instância tem de estar instalada no servidor de base de dados do site. Isto é necessário para suportar a autenticação Kerberos necessária para ativar o SQL Server no site de administração central para aceder ao SQL Server no site primário subordinado. Não existem limites para o fornecedor de SMS no site primário subordinado.

• O site de administração central pode ter apenas um ponto do Reporting Services do SQL Server instalado e este tem de estar localizado no servidor da base de dados do site. Isto é necessário para suportar a autenticação Kerberos necessária para ativar o SQL Server no site de administração central para aceder ao SQL Server no site primário subordinado.

• A base de dados do site não pode estar alojada num cluster do SQL Server.

• A conta de computador do servidor de base de dados a partir do site de administração central necessita de permissões de Read para a base de dados de site do site primário.

• As vistas distribuídas e agendas de replicação dos dados são configurações mutuamente exclusivas para uma ligação de replicação de base de dados.

Planear o Agendamento de Transferências de Dados de Site em Ligações de Replicação de Base de Dados

Para o System Center 2012 Configuration Manager SP1 e posterior:

Para ajudar a controlar a largura de banda de rede que é utilizada para replicar dados de site de um site primário subordinado para o respetivo site de administração central, pode agendar quando é utilizada uma ligação de replicação e especificar quando são replicados diferentes tipos de dados. Pode controlar quando as mensagens de estado, os dados de inventário e de medição são replicados pelo site primário. As ligações de replicação de base de dados de sites secundários não suportam agendas para dados de sites. Não é possível agendar a transferência de dados globais.

Quando configura uma agenda de ligação de replicação de base de dados, pode restringir a transferência de dados de site selecionados do site primário para o site de administração central e pode configurar diferentes horas para replicar diferentes tipos de dados de site.

Para mais informações sobre como controlar a utilização da largura de banda de rede entre sites do Configuration Manager, consulte a secção Controlar a Utilização de Largura de Banda de Rede Entre Sites deste tópico.

Plano de Resumo do Tráfego da Replicação de Base de Dados

Para o System Center 2012 Configuration Manager SP1 e posterior:

A partir do Gestor de configuração SP1, cada site resume periodicamente os dados sobre o tráfego da rede que atravessa as ligações de replicação de base de dados que incluem o site. Estes dados resumidos são utilizados em relatórios da replicação de base de dados. Ambos os sites numa ligação de replicação resumem o tráfego de rede que atravessa a ligação de replicação. O resumo de dados é efetuado pelo SQL Server que aloja a base de dados do site. Após o resumo dos dados, estas informações são replicadas para outros sites como dados globais.

Por predefinição, o resumo ocorre a cada 15 minutos. Pode modificar a frequência do resumo do tráfego da rede editando o Intervalo de resumo nas propriedades da ligação de replicação de base de dados. A frequência do resumo afeta as informações visualizadas em relatórios sobre a replicação de base de dados. Pode modificar este intervalo de 5 a 60 minutos. Quando aumenta a frequência do resumo, aumenta a carga de processamento no SQL Server de cada site na ligação de replicação.

Plano de Limiares de Replicação de Base de Dados

Os limiares de replicação de base de dados definem quando o estado de uma ligação de replicação de base de dados é comunicado como degradado ou falhado. Por predefinição, uma ligação é definida como degradada quando ocorrem consecutivamente 12 tentativas de replicação falhadas de qualquer um dos grupos de replicação e é definida como falhada quando ocorrem consecutivamente 24 tentativas de replicação falhadas de qualquer um dos grupos de replicação.

A partir do Gestor de configuração SP1, pode especificar valores personalizados para otimizar a definição de ligação de replicação degradada ou falhada nos relatórios do Gestor de configuração. Antes do Gestor de configuração SP1, não é possível ajustar estes limiares. Ajustar quando o Gestor de configuração comunica cada estado das ligações de replicação de base de dados ajuda a monitorizar eficazmente o bom estado de funcionamento da replicação de base de dados em todas as ligações de replicação de base de dados.

Uma vez que é possível um ou mais grupos de replicação falharem durante a replicação enquanto outros grupos continuam a replicar com êxito, planeie uma revisão do estado de replicação de uma ligação de replicação quando esta comunica um estado de degradada pela primeira vez. Se ocorrerem atrasos recorrentes em grupos de replicação específicos e estes atrasos não apresentarem um problema ou sempre que a ligação de rede entre os sites tiver pouca largura de banda disponível, considere modificar os valores de tentativa do estado degradado ou falhado da ligação. Quando aumenta o número de tentativas antes de a ligação ser definida como degradada ou falhada, pode eliminar os avisos falsos para problemas conhecidos, permitindo-lhe rastrear com maior precisão o estado da ligação.

Também deve considerar o intervalo de sincronização de replicação para cada grupo de replicação de forma a compreender com que frequência ocorre a replicação desse grupo. Pode visualizar o Intervalo de Sincronização dos grupos de replicação no separador Detalhes da Replicação de uma ligação de replicação no nó Replicação de Base de Dados na área de trabalho Monitorização.

Para mais informações sobre como monitorizar a replicação de base de dados, incluindo como ver o estado de replicação, consulte a secção Como Monitorizar Ligações de Replicação de Base de Dados e o Estado da Replicação do tópico Monitorizar os sites e a hierarquia do Configuration Manager.

Para obter informações sobre a configuração de limiares de replicação de base de dados, consulte Controlos de Replicação de Base de Dados do Site.

Controlos de Replicação de Base de Dados do Site

Para o System Center 2012 Configuration Manager SP1 e posterior:

Cada base de dados do site suporta configurações que podem ajudar a controlar a largura de banda de rede utilizada para a replicação de base de dados. Estas configurações aplicam-se apenas à base de dados do site onde configurou as definições e são sempre utilizadas quando o site replica dados através da replicação de base de dados para outro site.

Os controlos de replicação para cada base de dados do site incluem o seguinte:

• Altere a porta utilizada pelo Gestor de configuração para o SQL Server Service Broker.

• Configure o período de tempo a aguardar antes de as falhas de replicação fazerem com que o site reinicialize a respetiva cópia da base de dados do site.

• Configure uma base de dados de sites para comprimir os dados que este replica por replicação da base de dados. Os dados são comprimidos apenas para transferência entre sites e não para armazenamento na base de dados de sites de qualquer um dos sites.

Para configurar os controlos de replicação de uma base de dados do site, tem de editar as propriedades base de dados do site na consola do Gestor de configuração a partir do nó Replicação de Base de Dados. Este nó aparece por baixo do nó Configuração da Hierarquia na área de trabalho Administração e também aparece na área de trabalho Monitorização. Para editar as propriedades da base de dados do site, selecione a ligação de replicação entres o sites e depois abra as Propriedades da Base de Dados Principal ou as Propriedades da Base de Dados Subordinada.

Sugestão

Pode configurar os controlos de replicação de base de dados no nó Replicação de Base de Dados em ambas as áreas de trabalho. No entanto, quando utiliza o nó Replicação de Base de Dados na área de trabalho Monitorização também pode visualizar o estado da replicação de base de dados para uma ligação de replicação e aceder à ferramenta Analisador da ligação de replicação para ajudar a investigar problemas durante a replicação.

Para mais informações sobre como configurar os controlos de replicação de base de dados, consulte Configurar os Controlos de Replicação de Base de Dados. Para mais informações sobre como monitorizar a replicação, consulte Monitorizar a Replicação de Base de Dados do Site.

Planear Comunicações Dentro do Site no Configuration Manager

Cada site do Gestor de configuração contém um servidor de site e pode ter um ou mais servidores do sistema de site adicionais que alojam as funções do sistema de sites. O Gestor de configuração necessita que cada servidor do sistema de sites seja um membro de um domínio do Active Directory. O Gestor de configuração não suporta uma alteração do nome do computador ou dos membros do domínio enquanto o computador permanecer num sistema de sites.

Quando os sistemas de sites ou componentes do Gestor de configuração comunicam através da rede com outros sistemas de sites ou componentes do Gestor de configuração, utilizam blocos de mensagens de servidor (SMB), HTTP ou HTTPS. O método de comunicação depende de como escolher configurar o site. À exceção da comunicação de um servidor do site para um ponto de distribuição, estas comunicações de servidor para servidor num site podem ocorrer a qualquer hora e não utilizam mecanismos para controlar a largura de banda de rede. Uma vez que não é possível controlar a comunicação entre sistemas de sites, certifique-se de que instala servidores do sistema de sites em localizações com boa ligação e redes rápidas.

Pode utilizar as seguintes opções para ajudar a gerir a transferência de conteúdo do servidor de site para pontos de distribuição:

• Configure o ponto de distribuição para o controlo da largura de banda de rede e o agendamento. Estes controlos assemelham-se às configurações utilizadas por endereços entre sites e, muitas vezes, pode utilizar esta configuração em vez de instalar outro site do Gestor de configuração quando a transferência de conteúdos para localizações de rede remotas é a sua principal consideração em termos de largura de banda.

• Pode instalar um ponto de distribuição como um ponto de distribuição pré-configurado. Um ponto de distribuição pré-configurado permite-lhe utilizar o conteúdo que é manualmente colocado no servidor do ponto de distribuição e remove o requisito de transferir ficheiros de conteúdo através da rede.

Para mais informações sobre considerações a ter em termos de largura de banda de rede, consulte Considerações sobre Largura de Banda de Rede de Pontos de Distribuição em Planear a gestão de conteúdo no Configuration Manager.

Planear a Comunicação do Cliente no Configuration Manager

Os clientes e os dispositivos geridos do Gestor de configuração comunicam com computadores que alojem a infraestrutura do Gestor de configuração como as funções de sistema de sites, infraestrutura de domínios como o DNS ou os Serviços de Domínio do Active Directory e com serviços na Internet.

Pondere os seguintes aspetos ao planear as comunicações de clientes:

Cenários de comunicação	Mais informações
Comunicações iniciadas por clientes	O cliente inicia as comunicações do seguinte: Pontos de gestão: Para submeter o inventário, o estado e os dados de deteção. O ponto de gestão é o ponto de contacto primário do cliente de um site. Vários serviços de domínio: Para pedir serviço de serviços de domínio, como os Serviços de Domínio do Active Directory e DNS (para localização do serviço). Acesso a conteúdos: Para aceder a conteúdo a partir de pontos de distribuição nos servidores, elementos da rede e serviços baseados na nuvem. Pontos de atualização de software: Para transferir e instalar as atualizações que implementar. Microsoft Update: Para manter a proteção antimalware. Servidores do sistema de sites adicionais: Ponto de Web site do Catálogo de Aplicações Módulo de Política do Configuration Manager (NDES) Ponto de estado de contingência Ponto de Migração de Estado Validador de Estado de Funcionamento do Sistema
Localização do serviço	A localização do serviço é o método através do qual os clientes identificam um site atribuído e localizam pontos de gestão de forma dinâmica. Os pontos de gestão são o ponto de contacto primário dos clientes e são utilizados para: Aprender sobre outros pontos de gestão disponíveis Transferir política do cliente Submeter dados de cliente no site, como o estado, o inventário e os dados de deteção.

Utilize as informações nas secções seguintes para planear as comunicações de clientes baseados no Windows.

A partir do Gestor de configuração SP1, pode gerir clientes que executam o Linux e UNIX. Os clientes que executam o Linux e UNIX funcionam como clientes em grupos de trabalho. Para informações sobre o suporte de computadores em grupos de trabalho, consulte Planeamento de Comunicações entre Florestas no Configuration Manager neste tópico. Para obter informações adicionais sobre a comunicação de clientes com o Linux e UNIX, consulte a secção do tópico Planear a implementação de clientes para Linux e servidores UNIX.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_PlanningforCommunicationsforLnU

Comunicações Iniciadas por Clientes

Os clientes iniciam a comunicação com as funções do sistema de sites, os Serviços de Domínio do Active Directory e os serviços online. Para ativar estas comunicações, as firewalls têm de permitir o tráfego de rede entre os clientes e o ponto final das suas comunicações. Os pontos finais incluem:

• Pontos de gestão a partir dos quais os clientes transferem a política do cliente.

• Pontos de distribuição a partir dos quais os clientes transferem conteúdo.

• Pontos de atualização de software

• As seguintes funções do sistema de sites adicionais, cada uma destinada a tarefas específicas de funcionalidades:

  • Ponto de Web site do Catálogo de Aplicações

  • Módulo de Política do Configuration Manager (NDES)

  • Ponto de estado de contingência

  • Ponto de Migração de Estado

  • Ponto de Validação do Estado de Funcionamento do Sistema

• Vários serviços de domínio, como os Serviços de Domínio do Active Directory e DNS (para localização do serviço).

• Microsoft Update, para manter a proteção antimalware.

• Recursos baseados na nuvem, como o Microsoft Update ou o Microsoft Azure e o Microsoft Intune quando utiliza estes serviços baseados na nuvem com o Gestor de configuração.

Para obter detalhes sobre as portas e os protocolos utilizados pelos clientes quando comunicam com estes pontos finais, consulte Referência Técnica para Portas Utilizadas no Configuration Manager.

Para que um cliente possa comunicar com uma função do sistema de sites, o cliente utiliza a localização do serviço para encontrar uma função do sistema de sites que suporte o protocolo (HTTPS ou HTTP) do cliente. Por predefinição, os clientes utilizam o método mais seguro disponível:

• Para utilizar HTTPS, tem de ter uma infraestrutura de chaves públicas (PKI) e instalar certificados PKI nos clientes e servidores. Para informações sobre como utilizar certificados, consulte Requisitos de Certificado PKI para o Configuration Manager.

• Ao implementar uma função do sistema de sites que utiliza Serviços de Informação Internet (IIS) e suporta comunicações de clientes, tem de especificar se os clientes ligam ao sistema de sites através de HTTP ou HTTPS. Se utilizar HTTP, também tem de considerar as opções de assinatura e encriptação. Para mais informações, consulte Planear a Assinatura e Encriptação.

As seguintes funções do sistema de sites e serviços suportam comunicações HTTPS de clientes:

• Ponto de Web site do Catálogo de Aplicações

• Módulo de Política do Configuration Manager

• Ponto de distribuição (os pontos de distribuição baseados na nuvem precisam de HTTPS)

• Ponto de gestão

• Ponto de atualização de Software

• Ponto de Migração de Estado

Além das informações anteriores, ao planear clientes em localizações não fidedignas, consulte as Considerações sobre comunicações do cliente a partir da Internet ou de uma floresta não fidedigna

Localização do Serviço e como os clientes determinam o seu ponto de gestão atribuído

Os clientes determinam o seu ponto de gestão predefinido do site atribuído quando são instalados pela primeira vez e atribuídos a um site. Depois de um cliente encontrar o seu ponto de gestão predefinido do site, esse ponto de gestão passa a ser o ponto de gestão atribuído do cliente. Esta atribuição é determinada pelo cliente.

• A partir da atualização cumulativa 3 para o System Center 2012 R2 Configuration Manager, pode utilizar a afinidade de ponto de gestão para configurar um cliente para utilizar um ou mais pontos de gestão específicos.

• Começar com o System Center 2012 Configuration Manager SP2, pode utilizar pontos de gestão preferenciais. Um ponto de gestão preferencial é um ponto de gestão que está associado a um grupo de limites como servidor de sistema de sites, semelhante à forma como os pontos de distribuição ou pontos de migração de estado estão associados a um grupo de limites. Se ativar pontos de gestão preferenciais para a hierarquia, quando um cliente utilizar um ponto de gestão a partir do site atribuído, este tentará utilizar um ponto de gestão preferencial antes de utilizar outros pontos de gestão a partir do site atribuído.

Após um cliente ter um ponto de gestão atribuído, este executa periodicamente um pedido de localização do serviço para o ponto de gestão predefinido do seu site, no caso de ter sofrido alterações.

Sempre que um cliente precisar de identificar um ponto de gestão a utilizar, este verifica uma lista de pontos de gestão conhecidos (conhecida como a lista MP), que armazena localmente no WMI. O cliente cria uma lista MP inicial ao instalar e, em seguida, atualiza periodicamente a lista com detalhes sobre cada ponto de gestão na hierarquia.

Quando o cliente não consegue encontrar um ponto de gestão válido na sua lista MP, este pesquisa as seguintes origens de localização do serviço, por ordem, até que seja encontrado um ponto de gestão que possa utilizar:

1. Ponto de gestão

2. Serviços de Domínio do Active Directory

3. DNS

4. WINS

Após um cliente localizar e contactar um ponto de gestão com êxito, este transfere a lista atual de pontos de gestão disponíveis na hierarquia e atualiza a lista local. O mesmo aplica-se a clientes com um domínio associado e aos que não têm.

Por exemplo, quando um cliente do Gestor de configuração, que se encontra na Internet, se liga a um ponto de gestão baseado na Internet, o ponto de gestão envia uma lista dos pontos de gestão baseados na Internet disponíveis no site para esse cliente. Do mesmo modo, os clientes com um domínio associado ou em grupos de trabalho também recebem uma lista dos pontos de utilização que podem utilizar.

• Um cliente que não esteja configurado para a Internet não recebe os pontos de gestão com acesso apenas à Internet.

• Os clientes de grupo de trabalho configurados para a Internet apenas comunicam com os pontos de gestão com acesso à Internet.

Seguem-se informações sobre cada origem de localização do serviço:

A lista MP

Uma lista MP de clientes é a origem preferencial da origem de localização do serviço, uma vez que se trata de uma lista prioritária de pontos de gestão que o cliente identificou anteriormente. Esta lista é ordenada por cada cliente com base na respetiva localização de rede quando o cliente atualiza a lista e, em seguida, é armazenada localmente no cliente no WMI.

Criar a lista MP Inicial

Durante a instalação do cliente, são utilizadas as seguintes regras para criar a lista MP inicial do cliente:

• A lista inicial inclui pontos de gestão especificados durante a instalação do cliente (quando utiliza as opções SMSMP= ou /MP).

• O cliente consulta os pontos de gestão publicados dos Serviços de Domínio do Active Directory (AD DS). Para que seja identificado no AD DS, o ponto de gestão tem de pertencer ao site atribuído do cliente e ser da mesma versão de produto que o cliente.

• Se não foi especificado um ponto de gestão durante a instalação do cliente e o esquema do Active Directory não for expandido, o cliente verifica a existência de pontos de gestão publicados no DNS e WINS.

• Ao criar a lista inicial, as informações sobre alguns pontos de gestão na hierarquia poderão não ser conhecidos.

Organizar a lista de pontos de gestão

Os clientes organizam a sua lista de pontos de gestão com as seguintes classificações:

• Proxy: Um ponto de gestão do proxy é um ponto de gestão num site secundário.

• Local: Qualquer ponto de gestão que esteja associado à localização de rede atual do cliente, como definido pelos limites do site.

  • Quando um cliente pertence a mais de um grupo de limites, a lista de pontos de gestão locais é determinada a partir da união de todos os limites que incluem a localização de rede atual do cliente.

  • Normalmente, os pontos de gestão Locais são um subconjunto dos pontos de gestão Atribuídos do cliente, a menos que o cliente se encontre numa localização de rede associada a outro site com pontos de gestão que fazem a manutenção dos respetivos grupos de limites.

• Atribuído: Qualquer ponto de gestão que seja um sistema de sites para o site atribuído do cliente.

  Começar com o System Center 2012 Configuration Manager SP2, pode utilizar pontos de gestão preferenciais. Os pontos de gestão preferenciais são pontos de gestão de um site atribuído de um cliente que está associado a um grupo de limites que o cliente está a utilizar para localizar servidores de sistema de sites.

  Os pontos de gestão num site que não estejam associados a um grupo de limites ou que não estejam num grupo de limites associado à localização de rede atual do cliente não são considerados preferenciais e serão utilizados quando o cliente não conseguir identificar um ponto de gestão preferencial disponível.

Selecionar um ponto de gestão a utilizar

Em comunicações típicas, um cliente tenta utilizar um ponto de gestão a partir das classificações pela seguinte ordem, com base na localização de rede do cliente:

1. Proxy

2. Local

3. Atribuído

No entanto, o cliente utiliza sempre o ponto de gestão atribuído para o registo de mensagens e determinadas políticas de mensagens, mesmo quando são enviadas outras comunicações para um ponto de gestão local ou de um proxy.

Em cada classificação (proxy, local ou atribuída), os clientes tentam utilizar um ponto de gestão com base em preferências, pela seguinte ordem:

1. Compatível com HTTPS numa floresta local ou fidedigna (quando o cliente está configurado para comunicação HTTPS)

2. Compatível com HTTPS que não esteja numa floresta local ou fidedigna (quando o cliente está configurado para comunicação HTTPS)

3. Compatível com HTTP numa floresta local ou fidedigna

4. Compatível com HTTP que não esteja numa floresta local ou fidedigna

A partir do conjunto de pontos de gestão ordenados por preferências, os clientes tentam utilizar o primeiro ponto de gestão da lista:

• Esta lista ordenada de pontos de gestão é aleatória e não pode ser ordenada.

• A ordem da lista pode mudar sempre que o cliente atualizar a sua lista de pontos de gestão.

Quando um cliente não consegue estabelecer contacto com o primeiro ponto de gestão, este tenta com cada ponto de gestão da lista, tentando cada ponto de gestão preferencial na classificação antes de tentar os pontos de gestão não preferenciais. Se um cliente não conseguir comunicar com qualquer ponto de gestão na classificação com êxito, este irá tentar contactar um ponto de gestão preferencial da próxima classificação e assim sucessivamente, até que encontre um ponto de gestão para utilizar.

Após estabelecer comunicação com um ponto de gestão, os clientes continuam a utilizar o mesmo ponto de gestão até que:

• Após 25 horas o cliente selecione de forma aleatória um novo ponto de gestão a utilizar.

• O cliente não consegue comunicar com o ponto de gestão por cinco vezes num período de dez minutos, momento este em que o cliente seleciona um novo ponto de gestão a utilizar.

Serviços de Domínio do

Os clientes que estão associados a um domínio podem utilizar os Serviços de Domínio do Active Directory (AD DS) para localização de serviços. Isto requer que os sites publiquem dados no Active Directory.

Os clientes podem utilizar os Serviços de Domínio do Active Directory para localização de serviços quando se verificarem todas as seguintes condições:

• O esquema do Active Directory foi expandido para o System Center 2012 Configuration Manager ou foi expandido para o Configuration Manager 2007.

• A floresta do Active Directory está configurada para publicar e os sites do Configuration Manager estão configurados para publicar.

• O computador cliente é membro de um domínio do Active Directory e consegue aceder a um servidor de catálogo global.

Se um cliente não conseguir encontrar um ponto de gestão a utilizar para a localização de serviços a partir do AD DS, este tenta, em seguida, utilizar o DNS. Os clientes que têm um domínio associado podem utilizar o AD DS para a localização de serviços. Isto requer que os sites publiquem dados no Active Directory.

DNS

Os clientes na intranet podem utilizar o DNS para localização de serviços. Isto requer que, pelo menos, um site numa hierarquia publique informações sobre os pontos de gestão no DNS.

Considere a utilização do DNS para localização de serviços quando se verificar qualquer das seguintes condições:

• O esquema dos Serviços de Domínio do Active Directory não é expandido para suportar o Gestor de configuração.

• Os clientes da intranet estão localizados numa floresta que não está ativada para publicação do Gestor de configuração.

• Tem clientes que se encontram em computadores do grupo de trabalho, não estando configurados para gestão de clientes apenas na Internet. (Um cliente de grupo de trabalho configurado para aceder à Internet irá apenas comunicar com os pontos de gestão com acesso à Internet e não irá utilizar o DNS para localização de serviços).

• Pode configurar clientes para encontrar pontos de gestão do DNS.

Quando um site publica registos de localização de serviços para pontos de gestão no DNS:

• A publicação é aplicável apenas a pontos de gestão que aceitem ligações de clientes a partir da Internet.

• A publicação adiciona um registo de recurso de localização de serviços (SRV RR) na zona DNS do computador do ponto de gestão. Tem de existir uma entrada de anfitrião correspondente no DNS desse computador.

Por predefinição, os clientes com domínio associado pesquisam os registos de ponto de gestão do DNS no domínio local do cliente. Pode configurar uma propriedade do cliente que especifique o sufixo de domínio de um domínio que não tenha informações do ponto de gestão publicadas no DNS.

Para mais informações sobre como configurar a propriedade de cliente do sufixo DNS, consulte Como Configurar Computadores Cliente para Localizar Pontos de Gestão através de Publicação de DNS no Configuration Manager.

Se um cliente não conseguir encontrar um ponto de gestão a utilizar para a localização de serviços a partir do DNS, este tenta, em seguida, utilizar o WINS.

Publicar Pontos de Gestão no DNS

Para publicar pontos de gestão no DNS, terão de se verificar as duas condições seguintes:

• Os servidores de DNS suportam registos de recursos de localização de serviço, utilizando a versão 8.1.2 ou superior do BIND.

• Os FQDNs da intranet especificados para os pontos de gestão no Gestor de configuração têm entradas de anfitrião (por exemplo, registos A) no DNS.

Importante
A publicação DNS do Gestor de configuração não suporta um espaço de nomes não contíguo. Se possuir um espaço de nomes não contíguo, poderá publicar manualmente pontos de gestão no DNS ou utilizar um dos métodos alternativos de localização do serviço documentados nesta secção.

Se os seus servidores DNS suportarem atualizações automáticas, poderá configurar o Gestor de configuração para publicar automaticamente pontos de gestão na intranet no DNS ou publicar manualmente estes registos no DNS. Quando os pontos de gestão são publicados no DNS, o respetivo FQDN da intranet e número de porta são publicados no registo de localização de serviço (SRV). Configure a publicação DNS num site nas Propriedades do Componente do Ponto de Gestão dos sites. Para mais informações, consulte Configurar Componentes do Site no Configuration Manager.

Se os servidores DNS não suportarem atualizações automáticas, mas suportarem registos de localização de serviço, poderá publicar manualmente os pontos de gestão no DNS. Para tal, terá de especificar manualmente o registo de recursos de localização de serviço (SRV RR) no DNS.

O Gestor de configuração suporta RFC 2782 para registos de localização de serviço, com o seguinte formato:

_Service._Proto.Name TTL Classe SRV Prioridade Importância Porta Destino

Para publicar um ponto de gestão no Gestor de configuração, especifique os seguintes valores:

• _Service: Introduza _mssms_mp*_<CódigoDoSite>*, onde <CódigoDoSite> é o código do site do ponto de gestão.

• ._Proto: Especifique ._tcp.

• .Name: Introduza o sufixo DNS do ponto de gestão, como por exemplo contoso.com.

• TTL: Introduza 14400, que corresponde a quatro horas.

• Classe: Especifique IN (em conformidade com RFC 1035).

• Prioridade: Este campo não é utilizado pelo Gestor de configuração.

• Importância: Este campo não é utilizado pelo Gestor de configuração.

• Porta: Introduza o número de porta utilizado pelo ponto de gestão, como por exemplo 80 para HTTP e 443 para HTTPS.

  Nota

  A porta do registo SRV deve corresponder à porta de comunicação utilizada pelo ponto de gestão. Por predefinição, é 80 para comunicação HTTP e 443 para comunicações HTTPS.

• Destino: Introduza o FQDN da intranet especificado para o sistema de site que está configurado com a função de site do ponto de gestão.

Se utilizar o DNS do Windows Server, poderá utilizar o procedimento seguinte para introduzir este registo DNS para pontos de gestão da intranet. Se utilizar outra implementação para DNS, utilize as informações desta secção relativas aos valores dos campos e consulte a documentação do DNS para adaptar este procedimento.

Para configurar a publicação automática:

1. Na consola do Gestor de configuração, expanda Administração > Configuração do Site > Sites.

2. Selecione o seu site e, em seguida, clique em Configurar Componentes do Site.

3. Selecione Ponto de Gestão.

4. Selecione os pontos de gestão que pretende publicar. (Esta seleção aplica-se à publicação no AD DS e no DNS).

5. Selecione a caixa de verificação para publicar no DNS:

   - Este diálogo permite-lhe selecionar os pontos de gestão a publicar, e publicar no DNS.
   
   - Este diálogo não configura a publicação no AD DS.
   

Para publicar manualmente pontos de gestão no DNS no Windows Server

1. Na consola do Gestor de configuração, especifique os FQDNs da intranet dos sistemas de sites.

2. Na consola de gestão de DNS, selecione a zona DNS do computador do ponto de gestão.

3. Verifique se existe um registo de anfitrião (A ou AAAA) para o FQDN da intranet do sistema de sites. Se o registo não existir, crie-o.

4. Utilizando a opção Novos Outros Registos, clique em Localização de Serviço (SRV) na caixa de diálogo Tipo de Registo de Recurso, clique em Criar Registo, introduza as seguintes informações e clique em Concluído:

   - **Domínio**: Se necessário, introduza o sufixo DNS do ponto de gestão, como por exemplo **contoso.com**.
   
   - **Serviço**: Introduza **\_mssms\_mp***\_\<CódigoDoSite\>*, onde *\<CódigoDoSite\>* é o código do site do ponto de gestão.
   
   - **Protocolo**: Escreva **\_tcp**.
   
   - **Prioridade**: Este campo não é utilizado pelo Gestor de configuração.
   
   - **Importância**: Este campo não é utilizado pelo Gestor de configuração.
   
   - **Porta**: Introduza o número de porta utilizado pelo ponto de gestão, como por exemplo **80** para HTTP e **443** para HTTPS.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>A porta do registo SRV deve corresponder à porta de comunicação utilizada pelo ponto de gestão. Por predefinição, é <STRONG>80</STRONG> para comunicação HTTP e <STRONG>443</STRONG> para comunicações HTTPS.</P>
   
   
     </div>
   
   - **Anfitrião que oferece este serviço**: Introduza o nome de domínio completamente qualificado da intranet especificado para o sistema de site que está configurado com a função de site do ponto de gestão.
   

Repita estes passos para cada ponto de gestão da intranet que pretenda publicar no DNS.

WINS

Se os outros mecanismos de localização de serviço falharem, os clientes poderão encontrar um ponto de gestão inicial consultando o WINS.

Por predefinição, um site primário publica no WINS o primeiro ponto de gestão no site que está configurado para HTTP e o primeiro ponto de gestão configurado para HTTPS.

Se não pretender que os clientes encontrem um ponto de gestão HTTP no WINS, configure-os com a propriedade CCMSetup.exe Client.msi SMSDIRECTORYLOOKUP=NOWINS.

Planear como Reativar Clientes

O Gestor de configuração suporta duas tecnologias de reativação por LAN para reativar os computadores em modo de suspensão quando quer instalar software necessário, tal como aplicações e atualizações de software: pacotes de reativação e comandos de ativação AMT.

A partir do Gestor de configuração SP1, poderá complementar o método de pacote de reativação tradicional utilizando as definições de cliente do proxy de reativação. O proxy de reativação utiliza um protocolo ponto a ponto e computadores selecionados para verificar se outros computadores da sub-rede estão ativos, reativando-os se necessário. Quando o site se encontra configurado para Reativação por LAN e os clientes estão configurados para o proxy de reativação, o processo funciona do seguinte modo:

1. Os computadores que tenham o cliente do Gestor de configuração SP1 instalado e que não estejam em modo de suspensão na sub-rede verificam se existem outros computadores na sub-rede que estejam ativos. Para tal, enviam entre si um comando ping de TCP/IP de 5 em 5 segundos.

2. Se não houver resposta de outros computadores, os mesmos serão considerados em modo de suspensão. Os computadores que estiverem ativos tornam-se computadores gestores da sub-rede.

   Dada a possibilidade de um computador não responder por um motivo que não o de estar em modo de suspensão (por exemplo, se estiver desligado, removido da rede ou se a definição de proxy de reativação do cliente já não estiver a ser aplicada), será enviado aos computadores um pacote de reativação todos os dias às 14h00 (hora local). Os computadores que não responderem deixarão de ser considerados como estando no modo de suspensão e não serão reativados através do proxy de reativação.

   Para assegurar o suporte de proxy de reativação, têm de estar ativos em cada sub-rede pelo menos três computadores. Para tal, são escolhidos de forma não determinística três computadores para funcionarem como computadores responsáveis pela sub-rede. Isto significa que os mesmos permanecerão ativos, independentemente de qualquer política de gestão de energia que esteja configurada para entrar em modo de suspensão ou em hibernação após um período de inatividade. Os computadores responsáveis respeitarão os comandos de encerramento ou de reinício, resultantes, por exemplo, de tarefas de manutenção. Se tal acontecer, os restantes computadores responsáveis ativarão outro computador da sub-rede para que a sub-rede continue a dispor de três computadores responsáveis.

3. Os computadores gestores solicitam ao comutador de rede o redirecionamento para si próprios do tráfego de rede destinado aos computadores em modo de suspensão.

   O redirecionamento é assegurado através da difusão pelo computador gestor de um pacote Ethernet que utiliza o endereço MAC do computador em modo de suspensão como endereço de origem. Desta forma, o comutador de rede funcionará como se o computador em modo de suspensão tivesse mudado para a mesma porta à qual o computador gestor se encontra ligado. O computador gestor também envia pacotes ARP para os computadores em modo de suspensão, a fim de manter a entrada da cache ARP atualizada. O computador gestor também responderá aos pedidos ARP destinados ao computador em modo de suspensão enviando o endereço MAC do computador em modo de suspensão.

   Aviso

   Durante este processo, o mapeamento de IP para MAC para o computador em modo de suspensão permanecerá igual. O proxy de reativação informa o comutador de rede de que uma placa de rede diferente está a utilizar a porta que se encontrava registada por outra placa de rede. Contudo, este comportamento é conhecido como uma deflexão de MAC e é considerado excecional em termos de funcionamento padrão de rede. Algumas ferramentas de monitorização de rede procuram este comportamento para concluir que existe alguma anomalia. Por conseguinte, estas ferramentas de monitorização poderão gerar alertas ou encerrar portas quando é utilizado um proxy de reativação. Não utilize um proxy de reativação se as suas ferramentas e serviços de monitorização de rede não permitirem deflexões de MAC.

4. Quando o computador gestor deteta um novo pedido de ligação TCP a um computador em modo de suspensão efetuado através de uma porta que o computador em modo de suspensão estava a escutar quando entrou no modo de suspensão, o computador gestor envia um pacote de reativação ao computador em modo de suspensão e, em seguida, interrompe o redirecionamento de tráfego para esse computador.

5. O computador em modo de suspensão recebe o pacote de reativação e é reativado. O computador remetente repetirá automaticamente a ligação e, desta vez, o computador estará ativo e poderá responder.

O proxy de reativação tem os seguintes pré-requisitos e limitações:

Importante

Se dispuser de uma equipa individual que é responsável pela infraestrutura de rede e pelos serviços de rede, deverá notificar e incluir essa equipa no período de avaliação e testes. Por exemplo, numa rede que utilize o controlo de acessos de rede 802.1X, o proxy de reativação não funcionará e poderá interromper o serviço de rede. Além disso, o proxy de reativação pode fazer com que algumas ferramentas de monitorização de rede gerem alertas ao detetarem o tráfego de reativação de outros computadores.

• Os clientes suportados são o Windows 7, o Windows 8, o Windows Server 2008 R2 e o Windows Server 2012.

• Não são suportados sistemas operativos convidados que sejam executados numa máquina virtual.

• Os clientes têm de executar o Gestor de configuração SP1 e de estar ativados para o proxy de reativação nas respetivas definições de cliente. Embora o funcionamento do proxy de reativação não depender do inventário de hardware, os clientes não comunicarão a instalação do serviço de proxy de reativação a menos que estejam ativados para o inventário de hardware e tenham submetido pelo menos um inventário de hardware.

• As placas de rede (e possivelmente o BIOS) deverão estar ativadas e configuradas para receberem pacotes de reativação. Se uma placa de rede não estiver configurada para receber pacotes de reativação ou se esta definição estiver desativada, o Gestor de configuração configura e ativa-a automaticamente para um computador quando receber a definição de cliente para ativar o proxy de reativação.

• Se um computador tiver mais do que uma placa de rede, não poderá configurar qual a placa a utilizar para o proxy de reativação; a escolha é não determinística. No entanto, a placa selecionada é registada no ficheiro SleepAgent_<DOMÍNIO>@SYSTEM_0.log.

• A rede tem de permitir pedidos de eco ICMP (pelo menos no contexto da sub-rede). Não é possível configurar o intervalo de 5 segundos que é utilizado para enviar os comandos ping de ICMP.

• As comunicações são desencriptadas, não autenticadas e o IPsec não é suportado.

• As seguintes configurações de rede não são suportadas:

  • 802.1X com autenticação de porta

  • Redes sem fios

  • Comutadores de rede que vinculam endereços MAC a portas específicas

  • Redes apenas IPv6

  • Durações de concessão DHCP inferiores a 24 horas

Como procedimento recomendado de segurança, deverá utilizar comandos de ativação AMT em vez de pacotes de reativação, sempre que tal for possível. Dado que os comandos de ativação AMT utilizam certificados PKI para ajudar a proteger as comunicações, esta tecnologia é mais segura do que o envio de pacotes de reativação. No entanto, para poderem utilizar comandos de ativação AMT, os computadores têm de ser computadores baseados em Intel AMT aprovisionados para AMT. Para mais informações sobre como o Gestor de configuração permite gerir computadores baseados em AMT, consulte Introdução à gestão fora de banda no Configuration Manager.

Para ativar computadores para instalações de software agendadas, configure cada site primário para uma de três opções:

• Utilizar comandos de reativação AMT se o computador suportar esta tecnologia; caso contrário, utilizar pacotes de reativação

• Utilizar apenas comandos de ativação AMT.

• Utilizar apenas pacotes de reativação.

Para utilizar o proxy de reativação com o Gestor de configuração SP1, necessita de implementar as definições de cliente de proxy de reativação para Gestão de Energia, além de selecionar a opção Utilizar apenas pacotes de reativação.

Utilize a seguinte tabela para obter mais informações sobre as diferenças entre as duas tecnologias de reativação por LAN (WOL), os pacotes de reativação tradicionais e os comandos de reativação.

Tecnologia	Vantagem	Desvantagem
Pacotes de reativação tradicionais	Não necessitam de quaisquer funções do sistema de sites adicionais no site. Suportados por muitas placas de rede. Os pacotes de reativação UDP são rápidos de enviar e processar. Não necessitam de uma infraestrutura PKI. Não necessitam de quaisquer alterações aos Serviços de Domínio do Active Directory. Suportados em computadores de grupo de trabalho, em computadores de outra floresta do Active Directory e em computadores da mesma floresta do Active Directory, mas que utilizem um espaço de nomes não contíguo.	Solução menos segura do que os comandos de ativação AMT, dado que não utiliza autenticação ou encriptação. Se forem utilizadas transmissões de difusão direcionadas para sub-redes para o envio dos pacotes de reativação, tal comportará um risco de segurança de ataques "smurf". Tal poderá necessitar de uma configuração manual de cada computador em matéria de definições de BIOS e de configuração da placa. Não existe qualquer confirmação de que computadores foram ativados. As transmissões de reativação sob a forma de múltiplos pacotes de protocolo de datagrama de utilizador (UDP) podem saturar desnecessariamente a largura de banda de rede disponível. A menos que utilize o proxy de reativação com o Gestor de configuração SP1, não é possível reativar os computadores de forma interativa. Não é possível repor os computadores no estado de suspensão. As funcionalidades de gestão estão limitadas à reativação de apenas computadores.
Comandos de ativação AMT	Uma solução mais segura do que os pacotes de reativação tradicionais, dado que assegura autenticação e encriptação através de protocolos de segurança padrão da indústria. Também pode ser integrada com uma implementação de PKI existente e permite uma gestão dos controlos de segurança independentemente do produto. Suporta a instalação e configuração centralizadas e automáticas (aprovisionamento AMT). Sessão de transporte estabelecida para uma ligação mais fiável e passível de auditoria. Os computadores podem ser reativados (e reiniciados) de forma interativa. Os computadores podem ser desligados de forma interativa. Capacidades de gestão adicionais, incluindo as seguintes: Reinício de um computador desativado e arranque a partir de um dispositivo ligado localmente ou de um ficheiro de imagem de arranque em condições conhecido. Reposição da imagem de um computador através do arranque a partir de um ficheiro de imagem de arranque localizado na rede ou através de um servidor PXE. Reconfiguração das definições do BIOS num computador selecionado e omissão da introdução da palavra-passe do BIOS, se tal for suportado pelo fabricante do BIOS. Arranque para um sistema operativo baseado em comandos para executar comandos, ferramentas de reparação ou aplicações de diagnóstico (por exemplo, para atualizar o firmware ou executar uma ferramenta de reparação de disco).	Necessita que o site disponha de um ponto de serviço e um ponto de inscrição fora de banda. Apenas suportada em computadores com o conjunto de chips Intel vPro e uma versão suportada do firmware Intel Active Management Technology (Intel AMT). Para mais informações sobre as versões de AMT suportadas, consulte .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty. A sessão de transporte necessita de mais tempo para ser estabelecida, mais processamento do servidor e um aumento do volume de dados transferidos. Necessita de uma implementação PKI e de certificados específicos. Necessita de um contentor Active Directory que é criado e configurado para publicação dos computadores baseados em AMT. Não suporta computadores de grupo de trabalho, computadores de outra floresta do Active Directory ou computadores da mesma floresta do Active Directory, mas que utilizem um espaço de nomes não contíguo. São necessárias alterações de DNS e DHCP para suportar o aprovisionamento AMT.

Escolha como pretende reativar os computadores com base na possibilidade de suportar os comandos de ativação AMT e de os computadores atribuídos ao site suportarem a tecnologia de reativação por LAN. Pondere também as vantagens e as desvantagens de ambas as tecnologias, identificadas na tabela anterior. Por exemplo, os pacotes de reativação são menos fiáveis e não são seguros, mas os comandos de ativação demoram mais tempo a serem estabelecidos e necessitam de mais processamento por parte do servidor do sistema de sites que estiver configurado com o ponto de serviço fora de banda.

Importante

Devido à sobrecarga adicional inerente ao estabelecimento, manutenção e conclusão de uma sessão de gestão fora de banda com computadores baseados em AMT, realize os seus próprios testes para que possa calcular com exatidão quanto tempo demorará a reativação de múltiplos computadores utilizando comandos de ativação AMT no seu ambiente (por exemplo, utilizando ligações WAN lentas para computadores localizados em sites secundários). Estes conhecimentos irão ajudá-lo a determinar se a reativação de múltiplos computadores para atividades agendadas utilizando comandos de ativação AMT será prática caso disponha de muitos computadores para reativar num período reduzido de tempo.

Se optar por utilizar pacotes de reativação tradicionais, também deverá decidir se pretende utilizar pacotes de difusão direcionados para a sub-rede ou pacotes unicast, bem como o número da porta UDP que pretende utilizar. Por predefinição, os pacotes de reativação tradicionais são transmitidos através da porta UDP 9, embora para maior segurança seja possível selecionar uma porta alternativa para o site, desde que a mesma seja suportada pelos routers e firewalls intervenientes.

Para pacotes de reativação tradicionais: Escolher entre unicast e difusão direcionada para sub-rede para reativação por LAN

Se optar por reativar os computadores enviando pacotes de reativação tradicionais, deverá decidir se pretende transmitir pacotes unicast ou pacotes de difusão direcionados para a sub-rede. Se utilizar o proxy de reativação com o Gestor de configuração SP1, deverá utilizar pacotes unicast. Caso contrário, utilize a tabela seguinte para ajudar a identificar o método de transmissão adequado.

Método de transmissão	Vantagem	Desvantagem
Unicast	Uma solução mais segura do que as difusões direcionadas para a sub-rede dado que o pacote é enviado diretamente para um computador, em vez de todos os computadores de uma sub-rede. Pode não necessitar da reconfiguração dos routers (poderá ser necessário configurar a cache ARP). Consome menos largura de banda de rede do que as transmissões de difusão direcionadas para a sub-rede. Suportado com IPv4 e IPv6.	Os pacotes de reativação não conseguirão localizar os computadores de destino cujo endereço de sub-rede tenha sido alterado após o último inventário de hardware agendado. Os comutadores poderão ter de ser configurados para reencaminhar os pacotes UDP. Algumas placas de rede poderão não responder aos pacotes de reativação em todos os modos de suspensão se utilizarem unicast como método de transmissão.
Difusão direcionada para sub-rede	Taxa de êxito superior à do unicast se tiver computadores que mudam frequentemente de endereço IP na mesma sub-rede. Não é necessária qualquer reconfiguração do comutador. Elevada taxa de compatibilidade com placas de computador em todos os estados de suspensão, dado que as difusões direcionadas para a sub-rede eram o método de transmissão original para o envio de pacotes de reativação.	Uma solução menos segura do que o unicast, dado que permite aos intrusos enviar sequências contínuas de pedidos de eco ICMP a partir de um endereço de origem falsificado para o endereço de difusão especificado. Dessa forma, todos os anfitriões responderão a esse endereço de origem. Se os routers estiverem configurados para permitir difusões direcionadas para a sub-rede, a configuração adicional é recomendada por razões de segurança: Configure os routers para permitirem apenas difusões direcionadas por IP a partir do servidor do site do Gestor de configuração, utilizando um número de porta UDP especificado. Configure o Gestor de configuração para utilizar o número de porta especificado não predefinido. Poderá necessitar da reconfiguração de todos os routers intervenientes para permitir difusões direcionadas para a sub-rede. Consome mais largura de banda de rede do que as transmissões unicast. Apenas suportado com IPv4; o IPv6 não é suportado.

Aviso

Existem riscos de segurança associados às difusões direcionadas para a sub-rede: Um intruso poderá enviar sequências contínuas de pedidos de eco ICMP (Internet Control Message Protocol) a partir de um endereço de origem falsificado para o endereço de difusão especificado, fazendo com que todos os anfitriões respondam a esse endereço de origem. Este tipo de ataque de negação de serviço, geralmente designado como ataque "smurf", é normalmente limitado através da não reativação das difusões direcionadas para a sub-rede.

Planeamento de Comunicações entre Florestas no Configuration Manager

O System Center 2012 Configuration Manager suporta sites e hierarquias que abrangem florestas do Active Directory.

O Gestor de configuração também suporta computadores de domínio que não se encontrem na mesma floresta do Active Directory que o servidor do site, bem como computadores que se encontrem em grupos de trabalho:

• Para suportar computadores de domínio localizados numa floresta que não seja considerada fidedigna pela floresta do seu servidor de sites, poderá instalar funções do sistema de sites nessa floresta não fidedigna, com a opção de publicação das informações do site na floresta do Active Directory. Em alternativa, poderá gerir os computadores como se fossem computadores de grupo de trabalho. Ao instalar servidores de sistemas de sites na floresta do cliente, as comunicações cliente-servidor são mantidas ao nível da floresta do cliente e o Gestor de configuração poderá autenticar o computador utilizando Kerberos. Se publicar informações relativas ao site na floresta do cliente, os clientes beneficiarão da possibilidade de obtenção de informações sobre o site, tais como uma lista dos pontos de gestão disponíveis, a partir da respetiva floresta do Active Directory, em vez de terem de a transferir a partir do ponto de gestão que lhes estiver atribuído.

  Nota

  Para gerir os dispositivos que se encontrem na Internet, pode instalar funções de sistema de sites baseadas na Internet na sua rede de perímetro desde que os servidores do sistema de sites se encontrem numa floresta do Active Directory. Este cenário não necessita de uma fidedignidade bidirecional entre a rede de perímetro e a floresta do servidor de sites.

• Para suportar computadores de um grupo de trabalho, necessitará de aprovar manualmente esses computadores, caso utilizem ligações de cliente HTTP às funções do sistema de sites, dado que o Gestor de configuração não permite a autenticação desses computadores através de Kerberos. Além disso, necessitará de configurar a Conta de Acesso a Rede para que estes computadores possam receber conteúdos dos pontos de distribuição. Dado que estes clientes não podem obter informações a partir dos Serviços de Domínio do Active Directory, necessitará de disponibilizar um mecanismo alternativo que lhes permita localizar pontos de gestão. Pode utilizar a publicação de DNS ou WINS, ou atribuir diretamente um ponto de gestão.

  Para obter mais informações sobre a aprovação de clientes, consulte Configurar Definições para Aprovação de Clientes e Registos de Cliente em Conflito em Configurar Definições para a Gestão de Clientes no Configuration Manager.

  Para obter informações sobre como configurar a Conta de Acesso à Rede, consulte a secção Configurar a Conta de Acesso à Rede do tópico Configurar a Gestão de Conteúdos no Configuration Manager.

  Para obter informações sobre como instalar clientes em computadores de grupo de trabalho, consulte a secção Como Instalar Clientes do Configuration Manager em Computadores de Grupo de Trabalho do tópico Como Instalar Clientes em Computadores Baseados no Windows no Configuration Manager.

O Gestor de configuração suporta o conector do Exchange Server noutra floresta do servidor do site. Para suportar este cenário, certifique-se de que a resolução de nomes funciona em todas as florestas (por exemplo, configurando reencaminhamentos de DNS) e especifique o FQDN da intranet do Exchange Server ao configurar o conector do Exchange Server. Para mais informações, consulte Como Gerir Dispositivos Móveis Através do Configuration Manager e do Exchange.

Se a estrutura do Gestor de configuração abranger múltiplos domínios e florestas do Active Directory, utilize as informações adicionais da tabela seguinte para o ajudar a planear os seguintes tipos de comunicação.

Cenário	Detalhes	Mais informações
Comunicação entre sites numa hierarquia que abranja florestas: Requer uma fidedignidade de floresta bidirecional, que suporta a autenticação Kerberos de que o Gestor de configuração necessita.	O Gestor de configuração suporta a instalação de um site subordinado numa floresta remota que possua a fidedignidade bidirecional necessária com a floresta do site principal. Por exemplo: Poderá colocar um site secundário noutra floresta do respetivo site primário principal, desde que a fidedignidade necessária exista. Se não possui uma fidedignidade de floresta bidirecional que suporte a autenticação Kerberos, o Gestor de configuração não suportará o site subordinado na floresta remota. Nota Um site subordinado pode ser um site primário (em que o site de administração central é o site principal) ou um site secundário. A comunicação entre sites no Gestor de configuração utiliza a replicação de base de dados e transferências baseadas em ficheiros. Ao instalar um site, terá de especificar uma conta para instalar o site no servidor designado. Esta conta também estabelece e mantém a comunicação entre sites. Após o site ter sido instalado com êxito e ter iniciado transferências baseadas em ficheiros e a replicação de base de dados, não será necessária qualquer configuração adicional para a comunicação com o site. Para mais informações sobre como instalar um site, consulte a secção Instalar um Servidor do Site do tópico Instalar Sites e Criar uma Hierarquia para o Configuration Manager.	Se existir uma fidedignidade de floresta bidirecional, o Gestor de configuração não requer quaisquer passos de configuração adicionais. Por predefinição, quando instala um novo site como subordinado de outro site, o Gestor de configuração configura o seguinte: Um endereço de replicação entre sites baseado em ficheiros em cada site que utiliza a conta de computador do servidor de sites. O Gestor de configuração adiciona a conta de computador de cada computador ao grupo SMS_SiteToSiteConnection_ Nota O Gestor de configuração não consegue gerir computadores baseados em AMT fora de banda quando esses computadores se encontram numa floresta diferente do servidor de site.	Os clientes de um computador do domínio podem utilizar os Serviços de Domínio do Active Directory para localização de serviços quando o respetivo site for publicado na sua Floresta do Active Directory. Para publicar as informações de site noutra floresta do Active Directory, terá de especificar primeiro a floresta, ativando em seguida a publicação para essa floresta no nó Florestas do Active Directory da área de trabalho Administração. Além disso, terá de ativar cada site para publicar os respetivos dados nos Serviços de Domínio do Active Directory. Esta configuração permite aos clientes dessa floresta obter as informações de site e localizar pontos de gestão. Para clientes que não possam utilizar os Serviços de Domínio do Active Directory para localização de serviços, poderá utilizar DNS, WINS ou o ponto de gestão atribuído ao cliente.

Planear a Gestão de Clientes Baseada na Internet

A Gestão de Clientes Baseada na Internet permite gerir clientes do Gestor de configuração que não se encontrem ligados à rede da empresa mas que possuam uma ligação padrão à Internet. Este esquema apresenta diversas vantagens, incluindo a redução de custos associada à não execução de redes privadas virtuais (VPNs) e à capacidade de implementar atempadamente as atualizações de software.

Devido aos requisitos de segurança superiores associados à gestão de computadores cliente numa rede pública, a gestão de clientes baseada na Internet requer que os clientes e os servidores do sistema de sites a que estes ligam utilizem certificados PKI. Isto permite garantir que as ligações são autenticadas por uma autoridade independente e que os dados de e para estes sistemas de sites são encriptados utilizando Secure Sockets Layer (SSL).

Utilize as secções seguintes para o ajudar a planear a gestão de clientes baseada na Internet.

Funcionalidades que Não São Suportadas na Internet

Nem todas as funcionalidades de gestão de clientes são adequadas para a Internet. Por conseguinte, não são suportadas quando os clientes são geridos na Internet. Normalmente, as funcionalidades que não são suportadas para gestão na Internet baseiam-se nos Serviços de Domínio do Active Directory ou não são adequadas para uma rede pública, como é o caso da deteção de rede e da reativação por LAN (WOL).

As funcionalidades seguintes não são suportadas quando os clientes são geridos na Internet:

• Implementação de cliente através da Internet, como por exemplo push de cliente e implementação de cliente baseada em atualização de software. Em vez disso, utilize a instalação manual de cliente.

• Atribuição automática de site.

• Proteção de Acesso à Rede (NAP).

• Reativação por LAN.

• Implementação do sistema operativo. No entanto, poderá implementar sequências de tarefas que não implementem um sistema operativo, como por exemplo sequências de tarefas que executem scripts e tarefas de manutenção em clientes.

• Controlo remoto.

• Gestão fora de banda.

• Implementação de software para utilizadores, a menos que o ponto de gestão baseado na Internet consiga autenticar o utilizador nos Serviços de Domínio do Active Directory utilizando a autenticação do Windows (Kerberos ou NTLM). Tal poderá suceder quando o ponto de gestão baseado na Internet confiar na floresta em que reside a conta do utilizador.

Além disso, a gestão de clientes baseada na Internet não suporta roaming. O roaming permite aos clientes localizar sempre os pontos de distribuição mais próximos para transferir conteúdo. Os clientes geridos na Internet comunicam com os sistemas de sites a partir do site atribuído quando tais sistemas são configurados para utilizar um FQDN da Internet, e as funções do sistema de sites permitem ligações de cliente a partir da Internet. Os clientes selecionam de forma não determinística um dos sistemas de sites baseados na Internet, independentemente da largura de banda ou da localização física.

Nota

A partir do System Center 2012 Configuration Manager, quando tiver um ponto de atualização de software configurado para aceitar ligações a partir da Internet, os clientes baseados na Internet do Gestor de configuração efetuam sempre uma análise contra esse ponto de atualização de software para determinar que atualizações de software são necessárias. No entanto, quando estes clientes se encontram na Internet, começam por tentar transferir as atualizações de software a partir do Microsoft Update, em vez de recorrerem a um ponto de distribuição baseado na Internet. Só em caso de insucesso é que tentarão transferir as atualizações de software necessárias a partir de um ponto de distribuição baseado na Internet. Os clientes que não se encontrem configurados para gestão de clientes baseada na Internet nunca tentam transferir as atualizações de software a partir do Microsoft Update, utilizando sempre pontos de distribuição do Gestor de configuração.

Considerações sobre comunicações do cliente a partir da Internet ou de uma floresta não fidedigna

As seguintes funções do sistema de sites instaladas nos sites primários suportam ligações de clientes que se encontram em localizações não fidedignas, como a Internet ou uma floresta não fidedigna (os sites secundários não suportam ligações de clientes de localizações não fidedignas):

• Ponto de Web site do Catálogo de Aplicações

• Módulo de Política do Configuration Manager

• Ponto de distribuição (os pontos de distribuição baseados na nuvem precisam de HTTPS)

• Ponto proxy de registo

• Ponto de estado de contingência

• Ponto de gestão

• Ponto de atualização de Software

Acerca dos sistemas de sites com acesso à Internet: 
Embora não exista qualquer requisito de confiança entre a floresta de um cliente e a do servidor do sistema de sites, quando a floresta que contém um sistema de sites com acesso à Internet confia na floresta que contém as contas de utilizador, esta configuração suporta políticas baseadas em utilizadores para dispositivos na Internet quando ativa a definição de cliente da Política do Cliente, Ativar pedidos da política do utilizador dos clientes Internet.

Por exemplo, as configurações seguintes ilustram quando a gestão de clientes baseada na Internet suporta políticas de utilizador para dispositivos na Internet:

• O ponto de gestão baseado na Internet encontra-se na rede de perímetro em que reside um controlador de domínio para autenticar o utilizador e uma firewall intermediária permite pacotes do Active Directory.

• A conta de utilizador encontra-se na Floresta A (a intranet) e o ponto de gestão baseado na Internet encontra-se na Floresta B (a rede de perímetro). A Floresta B confia na Floresta A e uma firewall intermediária permite os pacotes de autenticação.

• A conta de utilizador e o ponto de gestão baseado na Internet encontram-se na Floresta A (a intranet). O ponto de gestão é publicado na Internet através de um servidor Web proxy (como o Forefront Threat Management Gateway).

Nota

Se a autenticação Kerberos falhar, será automaticamente tentada a autenticação NTLM.

Como mostra o exemplo anterior, é possível colocar sistemas de sites baseados na Internet na intranet quando estes forem publicados na Internet utilizando um servidor Web proxy, tal como o ISA Server ou o Forefront Threat Management Gateway. Estes sistemas de sites podem ser configurados apenas para ligações de cliente a partir da Internet, ou para ligações de cliente provenientes da Internet e da intranet. Ao utilizar um servidor Web proxy, poderá configurá-lo para bridge de Secure Sockets Layer (SSL) para SSL (mais seguro) ou túnel SSL:

• Protocolo de bridge SSL para SSL: 
  A configuração recomendada quando utiliza servidores Web proxy para a gestão de clientes baseada na Internet é o protocolo de bridge SSL para SSL, que utiliza a terminação de SSL com autenticação. Os computadores cliente têm de ser autenticados utilizando a autenticação de computador e os clientes antigos do dispositivo móvel são autenticados utilizando a autenticação de utilizador. Os dispositivos móveis que são inscritos pelo Gestor de configuração não suportam o protocolo de bridge SSL.

  A vantagem da terminação de SSL no servidor Web proxy é que os pacotes da Internet são sujeitos a inspeção antes de serem encaminhados para a rede interna. O servidor Web proxy autentica a ligação do cliente, termina-a e, em seguida, abre uma nova ligação autenticada para os sistemas de sites baseados na Internet. Quando os clientes do Gestor de configuração utilizam um servidor Web proxy, a identidade do cliente (GUID do cliente) está contida em segurança no payload do pacote de forma que o ponto de gestão não considere que o servidor Web proxy é o cliente. O protocolo de bridge não é suportado no Gestor de configuração com HTTP para HTTPS ou de HTTPS para HTTP.

• Protocolo de túnel:
  Se o seu servidor Web proxy não suportar os requisitos do protocolo de bridge SSL ou se quiser configurar o suporte de Internet em dispositivos móveis que estão inscritos no Gestor de configuração, também é suportado o protocolo de túnel SSL. É uma opção menos segura porque os pacotes SSL da Internet são encaminhados para os sistemas de sites sem a terminação de SSL, não podendo ser, assim, inspecionados quanto a conteúdo malicioso. Quando utiliza o protocolo de túnel SSL, não existem requisitos de certificado para o servidor Web proxy.

Planear Clientes Baseados na Internet

É necessário decidir se os computadores cliente que são geridos pela Internet são configurados para gestão na intranet e Internet ou para gestão de clientes apenas na Internet. Apenas é possível configurar a opção de gestão de clientes durante a instalação de um computador cliente. Se mudar de ideias mais tarde, tem de reinstalar o cliente.

Nota

Para o System Center 2012 R2 Configuration Manager e posterior: Se configurar um ponto de gestão compatível com Internet, os clientes que se liguem ao ponto de gestão serão compatíveis com Internet quando atualizarem a respetiva lista de pontos de gestão disponíveis.

Sugestão
Não é necessário restringir à Internet a configuração de gestão de clientes apenas na Internet e também é possível utilizá-la na intranet.

Os clientes que estão configurados para gestão de clientes apenas na Internet comunicam apenas com os sistemas de sites que estão configurados para ligações de cliente da Internet. Esta configuração seria adequada para computadores que sabe que nunca ligam à intranet da empresa, por exemplo, computadores em pontos de venda em localizações remotas. Também pode ser apropriada se pretender restringir a comunicação de clientes para apenas HTTPS (por exemplo, para suportar a firewall e políticas de segurança restringidas), e se instalar sistemas de sites baseados na Internet numa rede de perímetro e pretender gerir esses servidores utilizando o cliente do Gestor de configuração.

Se pretender gerir clientes de grupo de trabalho na Internet, tem de os como apenas Internet.

Nota

Os clientes de dispositivo móvel são configurados automaticamente como apenas Internet quando são configurados para utilizar um ponto de gestão baseado na Internet.

Outros computadores cliente podem ser configurados para gestão de clientes na Internet e intranet. Estes podem alternar automaticamente entre a gestão de clientes baseada na Internet e a gestão de clientes na intranet quando detetam uma alteração de rede. Se estes clientes conseguirem localizar e estabelecer ligação a um ponto de gestão que está configurado para ligações de cliente na intranet, estes clientes são geridos como clientes de intranet que possuem total funcionalidade de gestão do Gestor de configuração. Se os clientes não conseguirem localizar ou estabelecer ligação a um ponto de gestão que está configurado para ligações de cliente na intranet, tentam estabelecer ligação a um ponto de gestão baseado na Internet, e se esta ligação tiver êxito, estes clientes são geridos pelos sistemas de sites baseados na Internet no respetivo site atribuído.

A vantagem da mudança automática entre gestão de clientes baseados na Internet e gestão de clientes na intranet é que os computadores clientes podem utilizar automaticamente todas as funcionalidades do Gestor de configuração sempre que estiverem ligados à intranet e continuarem a ser geridos em funções de gestão essenciais quando estão na Internet. Além disso, uma transferência que começou na Internet pode continuar sem interrupções na intranet e vice versa.

Pré-requisitos da Gestão de Clientes Baseada na Internet

A gestão de clientes baseados na Internet no Gestor de configuração tem as seguintes dependências externas:

Dependência	Mais informações
Os clientes que são geridos na Internet têm de ter uma ligação à Internet.	O Gestor de configuração utiliza ligações à Internet existentes de Fornecedor de Serviços Internet (ISP), que podem ser ligações permanentes ou temporárias. Os dispositivos móveis clientes têm de ter uma ligação à Internet direta, mas com computadores cliente podem ter uma ligação à Internet direta ou estabelecer ligação utilizando um servidor Web proxy.
Os sistemas de sites que suportam a gestão de clientes baseados na Internet têm de ter conectividade à Internet e têm de estar num domínio do Active Directory.	Os sistemas de sites baseados na Internet não necessitam de uma relação de confiança com a floresta do Active Directory do servidor de sites. No entanto, quando o ponto de gestão baseado na Internet consegue autenticar o utilizador através da autenticação do Windows, são suportadas as políticas de utilizador. Se a autenticação do Windows falhar, apenas são suportadas as políticas de computador. Nota Para suportar as políticas de utilizador, é necessário configurar para Verdadeiro as duas definições de cliente Política do Cliente: Ativar consulta de política de utilizador nos clientes Ativar pedidos da política do utilizador dos clientes Internet Um ponto do Web site do Catálogo de Aplicações baseado na Internet também necessita de autenticação do Windows para autenticar os utilizadores quando o respetivo computador está na Internet. Este requisito é independente das políticas de utilizador.
É necessário ter uma infraestrutura de chaves públicas (PKI) compatível que possa implementar e gerir os certificados que os clientes necessitam e que são geridos na Internet e nos servidores dos sistemas de site baseados na Internet.	Para mais informações sobre certificados PKI, consulte Requisitos de Certificado PKI para o Configuration Manager
Os seguintes serviços de infraestrutura devem estar configurados para suportar a gestão de clientes baseados na Internet: Servidores DNS públicos: O nome de domínio completamente qualificado (FQDN) na Internet dos sistemas de sites que suportam a gestão de clientes baseados na Internet tem de estar registado como entradas de anfitrião nos servidores DNS públicos. Firewalls intervenientes ou servidores proxy: Estes dispositivos de rede têm de permitir a comunicação de clientes que está associada a sistemas de sites baseados na Internet.	Requisitos da comunicação de clientes: Suportar HTTP 1.1 Permitir que o tipo de conteúdo HTTP do anexo multiparte de MIME (multiparte/misto e aplicação/sequência de octetos) Permitir os seguintes verbos para o ponto de gestão baseado na Internet: HEAD CCM_POST BITS_POST GET PROPFIND Permitir os seguintes verbos para o ponto de distribuição baseado na Internet: HEAD GET PROPFIND Permitir os seguintes verbos para o ponto de estado de contingência baseado na Internet: POST Permitir os seguintes verbos para o ponto de Web site do Catálogo de Aplicações baseado na Internet: POST GET Permitir os seguintes cabeçalhos HTTP para o ponto de gestão baseado na Internet: Intervalo: CCMClientID: CCMClientIDSignature: CCMClientTimestamp: CCMClientTimestampsSignature: Permitir o seguinte cabeçalho HTTP para o ponto de distribuição baseado na Internet: Intervalo: Para informações de configuração para suportar estes requisitos, consulte a documentação da sua firewall ou do seu servidor proxy. Para requisitos de comunicação semelhantes quando utiliza o ponto de atualização de software para ligações de cliente a partir da Internet, consulte a documentação do Windows Server Update Services (WSUS). Por exemplo, para o WSUS no Windows Server 2003, consulte o Apêndice D: Definições de Segurança, o apêndice de implementação para definições de segurança.

Planear a Largura de Banda de Rede no Configuration Manager

O System Center 2012 Configuration Manager inclui vários métodos para controlar a largura de banda de rede que é utilizada pelas comunicações entre sites, servidores do sistema de sites e clientes. No entanto, nem todas as comunicações na rede podem ser geridas. Utilize as secções seguintes para ajudar a compreender os métodos que pode utilizar para controlar a largura de banda de rede e estruturar a sua hierarquia do site.

Quando planeia a hierarquia do Gestor de configuração, considere a quantidade de dados de rede que serão transferidos nas comunicações nos sites e dentro dos sites.

Nota

As rotas de replicação de ficheiros (conhecidas como endereços antes do Gestor de configuração SP1) são utilizadas apenas para as comunicações entre sites e não são utilizadas para as comunicações dentro dos sites entre servidores de site e sistemas de sites.

Controlar a Utilização de Largura de Banda de Rede Entre Sites

O Gestor de configuração transfere dados entre sites através da replicação de ficheiros e da replicação de base de dados. Antes do Gestor de configuração SP1, é possível configurar a replicação de ficheiros para controlar a utilização da largura de banda de rede para as transferências, mas não é possível configurar a utilização da largura de banda de rede para a replicação de base de dados. A partir do Gestor de configuração SP1, é possível configurar a utilização da largura de banda de rede para a replicação de base dados em dados de site selecionados.

Quando configura os controlos da largura de banda de rede, deve ter em mente a potencial latência de dados. Se as comunicações entre sites forem restringidas ou configuradas para apenas transferirem dados após o horário de funcionamento normal, os administradores no site principal ou no site subordinado podem ficar impedidos de visualizar certos dados até ocorrer a comunicação entre sites. Por exemplo, se for enviado um importante pacote de atualização de software para pontos de distribuição que estejam localizados em sites subordinados, o pacote pode não estar disponível nesses sites até ser concluída toda a comunicação entre sites pendente. A comunicação pendente pode incluir a entrega de um pacote que é muito grande e que ainda não concluiu a transferência.

• Controlos de Replicação de Ficheiros: Durante as transferências de dados de ficheiros, o Gestor de configuração utiliza toda a largura de banda de rede disponível para enviar dados entre sites. Pode controlar este processo, configurando o remetente num site para aumentar ou diminuir os threads de envio de local para local. É utilizado um thread de envio para transferir um ficheiro de cada vez. Cada thread adicional permite que os ficheiros adicionais sejam transferidos ao mesmo tempo, o que resulta numa maior utilização da largura de banda. Para configurar o número de threads a utilizar nas transferências de site para site, configure o Limite de envios simultâneos no separador Remetente das propriedades de sites.

  Para controlar as transferências de dados de ficheiros entre sites, pode agendar quando o Gestor de configuração pode utilizar uma rota de replicação de ficheiros para um site específico. Pode controlar a quantidade de largura de banda de rede a utilizar, o tamanho de blocos de dados e a frequência de envio dos blocos de dados. Configurações adicionais podem limitar as transferências de dados com base na prioridade do tipo de dados. Para cada site na hierarquia, pode definir o agendamento e limites de velocidade para esse site utilizar ao transferir dados configurando as propriedades da rota de replicação de ficheiros para cada site de destino. As configurações de uma rota de replicação de ficheiros apenas se aplicam às transferências de dados para o site de destino especificado para essa rota de replicação de ficheiros.

  Para mais informações sobre as rotas de replicação de ficheiros, consulte a subsecção Rota de Replicação de Ficheiros na secção Planear Comunicações Entre Sites no Configuration Manager deste tópico.

  Importante

  Quando configura os limites de velocidade para restringir a utilização da largura de banda numa rota de replicação de ficheiros específica, o Gestor de configuração apenas pode utilizar um único thread para transferir dados para esse site de destino. A utilização de limites de velocidade para uma rota de replicação de ficheiros sobrepõem-se à utilização de múltiplos threads por site que estejam configurados no Limite de envios simultâneos para cada site.

• Controlos da Replicação de Base de Dados: A partir do Gestor de configuração SP1, é possível configurar ligações de replicação de base de dados para ajudar a controlar a utilização da largura de banda de rede para a transferência de dados de site selecionados entre sites. Alguns dos controlos são semelhantes aos da replicação de ficheiros, com suporte adicional de agendamento quando são replicados dados de inventário de hardware, inventário de software, medição de software e mensagens de estado para o site principal através da ligação.

  Para mais informações, consulte a secção Replicação de Base de Dados deste tópico.

Controlar a Utilização de Largura de Banda de Rede entre Servidores de Sistema de Sites

Dentro de um site, a comunicação entre sistemas de sites utiliza blocos de mensagens de servidor (SMB), pode ocorrer em qualquer altura e não suporta um mecanismo de controlo da largura de banda de rede. No entanto, quando configura o servidor do site para utilizar limites de velocidade e agendamentos para controlar a transferência de dados ao longo da rede para um ponto de distribuição, pode gerir a transferência de conteúdo do servidor do site para pontos de distribuição com controlos semelhantes aos das transferências de ficheiros de site para site.

Controlar a Utilização de Largura de Banda de Rede entre Clientes e Servidores de Sistema de Sites

Os clientes comunicam regularmente com diferentes servidores do sistema de sites. Por exemplo, comunicam com um servidor do sistema de sites que executa um ponto de gestão quando têm de verificar uma política do cliente e comunicam com um servidor do sistema de sites que executa um ponto de distribuição quando têm de transferir conteúdos para a instalação de uma aplicação ou atualização de software. A frequência destas ligações e a quantidade de dados que é transferida através da rede para ou de um cliente depende das agendas e configurações que especificar como definições do cliente.

Normalmente, os pedidos de política do cliente utilizam pouca largura de banda de rede. A largura de banda de rede pode ser elevada quando os clientes acedem a conteúdo para implementações ou enviam informações como dados de inventário de hardware para o site.

Pode especificar definições do cliente que controlem a frequência das comunicações na rede iniciadas por clientes. Além disso, pode configurar o modo como os clientes a conteúdos de implementação, por exemplo, utilizando o Serviço de Transferência Inteligente em Segundo Plano (BITS). Para utilizar o BITS para transferir conteúdo, o cliente tem de estar configurado para utilizar o BITS. Se não é possível o cliente utilizar o BITS, utiliza o SMB para transferir o conteúdo.

Para informações sobre as definições do cliente no Gestor de configuração, consulte Planear as definições de cliente no Configuration Manager.

Consultar Também

Planear os sites e a hierarquia do Configuration Manager