Примеры сценариев роуминга для Configuration Manager: сложный
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Последнее обновление раздела: ноябрь 2007 г.
Описанные в этом разделе сценарии помогут понять работу роуминга и связанных с ним сценариев в Configuration Manager 2007 на примере более сложных сценариев, чем те, которые созданы на основе базовых сценариев и описаны в разделе Примеры сценариев роуминга для Configuration Manager: простой, а также на том же примере развертывания Configuration Manager на нескольких сайтах вымышленной компании.
Прежде чем осваивать эти сценарии, ознакомьтесь с разделом О роуминге клиента в Configuration Manager.
В описанных ниже сценариях основное внимание уделяется клиентам, которые получают содержимое для объявлений и обновлений программного обеспечения, находясь за пределами назначенного им сайта в иерархии Configuration Manager:
Пользователю в роуминге не удается загрузить содержимое из-за параметров по умолчанию объявления
Пользователю в роуминге не удается загрузить содержимое из-за защищенных точек распространения
Клиенту назначен сайт, но за пределами своего сайта на нем не удается показывать объявления или устанавливать обновления программного обеспечения
Клиент в смешанном режиме перемещается на сайт в основном режиме
Клиент в смешанном режиме перемещается на сайт в основном режиме
Клиент перемещается в другую иерархию Configuration Manager 2007
В приложении Configuration Manager 2007 поддерживается как управление клиентами из любого места распределенной среды, так и защита глобальных сетей (WAN) от перенасыщения сетевым трафиком. Две упомянутые выше концепции иногда конфликтуют, и определенное сочетание конфигураций и факторов иногда приводит к неожиданным результатам.
Например, чтобы обеспечить клиентам постоянный доступ к необходимому содержимому, клиенты, перенесенные на другой сайт, переключаются обратно, чтобы запросить содержимое с назначенного им сайта, если оно недоступно локально. Однако если клиент подключен в пределах медленной сети, в соответствии с заданной по умолчанию конфигурацией объявлений и пакетов обновления программного обеспечения загружать это содержимое не разрешено. Настройка защиты точек распределения также может блокировать загрузку содержимого на клиенты не только с другого сайта, но и с того же самого сайта.
На примере сценариев в этом разделе иллюстрируются некоторые типичные ситуации, в которых клиенты ведут себя неожиданно и зачастую нежелательно в плане загрузки содержимого и обмена данными по соединениям глобальной сети. Однако в некоторых ситуациях такой результат может подойти в силу определенных бизнес-требований.
Ниже изложены лучшие методики, позволяющие избежать подобных конфликтов.
Клиенты должны располагаться в интрасети в пределах границы, заданной в иерархии Configuration Management. Согласуйте свои действия с администраторами других служб, таких как администраторы Active Directory, которые определяют сайты Active Directory, и администраторами DHCP, которые определяют диапазоны адресов, используемых клиентами (включая адреса VPN-подключений).
Убедитесь, что заданные границы не содержат IP-адресов клиентов (или подсетей), и что сайт Active Directory не указан для нескольких сайтов Configuration Manager (или SMS 2003). В такой конфигурации границы перекрываются, что не поддерживается из-за неопределенного поведения клиентов.
Выбирая скорость работы сети в тех или иных границах, следует учитывать, как это повлияет на возможность загрузки содержимого клиентами, которые не подключены в пределах быстрой границы.
Если для определенного сайта нужно запретить передачу трафика по глобальной сети, настройте на этом сайте защиту точки распространения.
Чтобы свести к минимум обмен трафиком между основным и дополнительным сайтами, установите на дополнительном сайте прокси-точку управления.
Чтобы свести к минимуму трафик по соединениям глобальной сети, когда клиент в роуминге, расширьте схему Active Directory для Configuration Manager 2007.
Дополнительные сведения о границах см. в следующих разделах:
Иерархия, используемая во всех примерах сценария роуминга
У данной иерархии есть три уровня основных сайтов:
На верхнем уровне иерархии расположен центральный сайта, — основной сайт в Торонто с именем TOR.
На втором уровне основных сайтов находится три основных дочерних сайта, которые расположены в Хьюстоне, Лондоне и Шанхае. Их имена: HOU, LON и SHA, соответственно.
У дочернего сайта в Хьюстоне два дополнительных сайта в Сиэтле и Бостоне: SEA и BOS.
У основного дочернего сайта LON один дополнительный сайт в Манчестере: MAN.
У основного дочернего сайта SHA нет вспомогательных сайтов.
На третьем уровне основных сайтов находится два основных внучатых сайта, расположенных в Сиднее и Хельсинки. Их имена: SYD и HEL, соответственно.
У внучатого основного сайта SYN два дополнительных сайта в Мельбурне и Брисбене: MEL, BRI.
У внучатого основного веб-сайта HEL нет дополнительных веб-сайтов.
Данная иерархическая структура показана на приведенном ниже рисунке.
.gif "Иерархия диспетчера конфигурации, использованная вместе со сценариями")
Пользователю в роуминге не удается загрузить содержимое из-за параметров по умолчанию объявления
Пользователь, переносному компьютеру которого назначен сайт в Хьюстоне (HOU), приезжает в Сидней (SYD).
Администратор в Хьюстоне создал объявление, связанное с программой Microsoft Office 2007, и задал параметр Если клиент соединяется в пределах границ медленной или ненадежной сети: Не запускать программу на вкладке Свойства имени объявления: вкладка "Точки распространения". Пакет объявлений добавляется в точки распространения на сайтах в Хьюстоне (HOU), Сиэтле (SEA) и Бостоне (BOS) (см. рис. ниже).
.gif "Мобильному клиенту не удается получить содержимое")
Возможность глобального роуминга
Пользователь, подключивший свой переносной компьютер к сайту в Сиднее, пытается просмотреть объявление. Клиент Configuration Manager связывается с локальной точкой управления в Сиднее, но на том сайте нужное содержимое недоступно.
Клиент возвращается к запросу своей точки распространения по умолчанию в Хьюстоне, чтобы получить возможность загружать исходные пакеты с сайта в Хьюстоне (HOU), который ему назначен.
Однако, несмотря на наличие содержимого на сайте в Хьюстоне, конфигурация объявлений не позволяет его загружать, поскольку в точке управления по умолчанию установлено, что клиент расположен в сети вне быстрых границ, настроенных для Хьюстона.
Пользователь возвращается из командировки, но на обратном пути останавливается Сиэтле, где находится сайт SEA, который является вторичным по отношению к сайту, назначенному клиенту.
Когда переносной компьютер подключается к сети в Сиэтле, он устанавливает, на каком сайте он находится, и обнаруживает прокси-точку управления доменных служб Active Directory. Он отправляет на прокси-точку управления на сайте SEA запросы политики, инвентаризации оборудования и расположения содержимого.
Пользователь повторно пытается просмотреть объявление, и на этот раз ему это удается, поскольку прокси-точка управления находит на сайте SEA точки распространения, на которых размещено содержимое. Теперь клиент подключен в рамках быстрых границ сайта в Сиэтле.
Возможность регионального роуминга
Пользователь, подключивший свой переносной компьютер к сайту в Сиднее, пытается просмотреть объявление. Клиент Configuration Manager связывается со своей точкой управления по умолчанию в Хьюстон, на которой ничего неизвестно о сайте в Сиднее. С другой стороны, в точке управления есть сведения о точках распространения в Сиднее, но в этих точках распространения отсутствует содержимое, которое запросил клиент.
Расположенная в Хьюстоне точка управления по умолчанию возвращает список точек распространения в Хьюстоне, на которых есть содержимое, необходимое для показа объявления.
Однако, несмотря на наличие содержимого на сайте в Хьюстоне, конфигурация объявлений не позволяет его загружать, поскольку в точке управления по умолчанию по IP-адресу клиента установлено, что он расположен в сети вне быстрых границ.
Пользователь возвращается, но на обратном пути останавливается в Сиэтле и заходит на сайт SEA, который является вторичным по отношению к сайту, назначенному клиенту.
Когда переносной компьютер подключается к сети в Сиэтле, он связывается с точкой управления по умолчанию в Хьюстоне. Точка управления по умолчанию сообщает клиенту о прокси-точке управления на сайте SEA.
Пользователь повторно пытается просмотреть объявление, и на этот раз ему это удается, поскольку прокси-точка управления находит на сайте SEA точки распространения, на которых размещено содержимое, и клиент подключен в рамках быстрых границ сайта в Сиэтле.
Пользователю в роуминге не удается загрузить содержимое из-за защищенных точек распространения
Пользователь, переносному компьютеру которого назначен сайт в Шанхае (SHA), приезжает в Лондон (LON).
На сайте в Шанхае развернута надстройка для пакета программ Microsoft Office, а на всех точках распространения этого сайта находится программный пакет.
Входящие и исходящие соединения глобальной сети для сайта в Шанхае являются медленными и дорогостоящими. Чтобы предотвратить интенсивную загрузку содержимого по этим соединениям, все точки распространения на сайте в Шанхае настроены как защищенные с границами, настроенными для сайта в Шанхае.
Содержимое на сайте в Лондоне недоступно, поэтому переносной компьютер в роуминге из Шанхая возвращается к запросу на своей точке управления по умолчанию, расположенной в Шанхае, списка точек распространения. Хотя содержимое на сайте в Шанхае доступно, клиент, расположенный в Лондоне, находится за границами, настроенными для защищенных точек распространения в Шанхае, и пользователь не сможет установить объявление, пока не вернется на сайт в Шанхае.
Этот сценарий проиллюстрирован на следующем рисунке.
.gif "Мобильный клиент и защищенные точки распространения")
Аналогичное поведение
Если защищенные точки распространения в Шанхае настроены только для быстрых границ, такое же поведение клиента будет наблюдаться в описанной ниже конфигурации.
Если для сайта в Шанхае задана медленная граница для VPN-области для удаленных пользователей, то пользователи, которые подключаются по протоколу VPN, не смогут загружать содержимое, пока не подключатся к сети непосредственно в Шанхае (в пределах быстрых границ).
Если клиенту назначен сайт в Шанхае, но он подключен к сети за пределами границ, настроенных для этого сайта, то автоматически считается, что такой клиент подключен в рамках медленных границ. Пользователь не сможет загрузить содержимое с точек распространения назначенного ему сайта, пока его сетевое расположение не будет добавлено в какую-то из границ, настроенных для защищенных точек распространения.
Клиенту назначен сайт, но за пределами своего сайта на нем не удается показывать объявления или устанавливать обновления программного обеспечения
Сетевое расположение клиента попадает в быструю границу сайта в Лондоне, но клиенту по ошибке назначен сайт в Хьюстоне.
Обновление программного обеспечения развертывается в Торонто и размещено на всех точках распространения в иерархии. Для развертывания обновления программного обеспечения настроен параметр по умолчанию, согласно которому обновление не развертывается, если клиент находится в медленных границах. Этот сценарий проиллюстрирован на следующем рисунке.
.gif "Клиент определяет внешние границы своего сайта")
Возможность глобального роуминга
Клиент получает уведомление об обновлении программного обеспечения и связывается с локальной точкой управления на сайте в Лондоне (LON). Расположенная в Лондоне точка управления возвращает список точек распространения в Лондоне, на которых есть содержимое, необходимое для обновления программного обеспечения. Клиент подключен в рамках быстрой границы для сайта в Лондоне, и обновление программного обеспечения устанавливается.
Возможность регионального роуминга
Клиент получает уведомление об обновлении программного обеспечения и связывается с точкой управления по умолчанию на сайте в Хьюстоне. Расположенная в Хьюстоне точка управления возвращает список точек распространения в Хьюстоне, на которых есть содержимое, необходимое для обновления программного обеспечения. Однако клиент находится за быстрой границей, установленной для сайта в Хьюстоне, и обновление программного обеспечения не устанавливается.
Единственная возможность для клиента обновить программное обеспечение, если не изменятся настройки обновления программного обеспечения или назначение клиента, — переместиться в Лондон и подключиться к сети в месте, расположенном в быстрой границе, заданной для сайта.
Аналогичное поведение
На клиенты также не получится установить обновление программного обеспечения, если на сайте в Хьюстоне для удаленных пользователей определена медленная граница (или не определено никаких границ) для области VPN. В этом случае пользователи, подключившиеся по VPN, не смогут получить содержимое.
Решения для приведенных сценариев
Проблемы, связанные с тем, что клиент не может получить содержимое, решаются путем выполнения рекомендованных ниже действий.
| Изменение конфигурации | Дополнительные сведения |
|---|---|
Если клиент, у которого нет возможности глобального роуминга, и которому назначен какой-то сайт, подключается к сети в рамках границ, назначенных для другого сайта (но не вспомогательного по отношению к тому сайту, который назначен клиенту), переназначьте клиенту сайт. В описанном выше сценарии клиенту следует переназначить сайт в Лондоне. |
|
В качестве меры, повышающей степень отказоустойчивости, возможно, имеет смысл не оставлять параметр по умолчанию, при котором обновления не устанавливаются, если клиент подключается к сети в рамках медленной границы, а настроить локальную загрузку содержимого и локальное выполнение важных объявлений и развертываний обновлений программного обеспечения. Примечание В такой конфигурации другие клиенты, перемещенные на другой сайт, также смогут устанавливать это содержимое, если возвратятся за его поиском к точке управления по умолчанию |
Настройте параметры в следующих диалоговых окнах: |
Пересмотрите медленные границы, настроенные для сайта. Например, VPN-подключение может оказаться достаточно быстрым и надежным для настройки в качестве быстрой границы. В этом случае пользователи VPN всегда смогут установить содержимое, размещенное на назначенном им сайте. |
Клиент в смешанном режиме перемещается на сайт в основном режиме
Пользователь переносного компьютера переезжает из Хьюстона в Торонто сразу после того, как во всех точках распространения в иерархии развернуто и размещено критическое обновление программного обеспечения, для которого настроены локальная загрузка и локальное выполнение содержимого, если клиенты подключаются в медленной границе (см. рис. ниже).
.gif "Клиент в смешанном режиме осуществляет роуминг к сайту в основном режиме")
Возможность глобального роуминга
Клиент с возможностью глобального роуминга устанавливает, что он подключен к сайту Торонто, и пытается связаться с локальной точкой управления. Однако сайт в Торонто работает в основном режиме, и связь с клиентом в смешанном режиме на нем запрещена. Клиент возвращается к запросу своей точки управления по умолчанию в Хьюстоне и устанавливает обновление программного обеспечения с точки распространения в Хьюстоне.
Возможность регионального роуминга
Клиент с возможностью регионального роуминга не в состоянии определить, что он перемещен на другой сайт. Он продолжает попытки связаться со своей точкой управления по умолчанию в Хьюстоне и запрашивает сведения о ближайших точках распространения, откуда можно загрузить обновление программного обеспечения. Точка управления в Хьюстоне не может найти точки распространения в Торонто и возвращает список точек распространения на сайте в Хьюстоне. В результате клиент устанавливает обновление программного обеспечения с точки распространения в Хьюстоне.
Решения для приведенных сценариев
Нет возможности избежать обмена трафиком между клиентом, перемещенным в Торонто, и назначенным ему сайтом в Хьюстоне. Сайт, который работает в основном режиме, для сохранения своей целостности отклоняет попытки связаться с ним, которые предпринимают клиенты в смешанном режиме.
Если сайт в Хьюстоне перейдет в основной режим, клиент с возможностью глобального роуминга сможет связываться с локальной точкой управления в Торонто и загружать содержимое с точек распространения в Торонто.
Клиент в смешанном режиме перемещается на сайт в основном режиме
Пользователь переносного компьютера переезжает из Торонто в Хьюстон сразу после того, как во всех точках распространения в иерархии развернуто и размещено критическое обновление программного обеспечения, для которого настроены локальная загрузка и локальное выполнение содержимого, если клиенты подключаются в медленной границе (см. рис. ниже).
.gif "Клиент в основном режиме осуществляет роуминг к сайту в смешанном режиме")
Возможность глобального роуминга
Клиент с возможностью глобального роуминга, устанавливает, что он подключен к сайту Хьюстоне, и пытается связаться с локальной точкой управления. Однако сайт в Хьюстоне работает в смешанном режиме, и не удается выполнить взаимную проверку подлинности клиента и локальной точки управления с помощью центра сертификации.
Если для клиента настроен параметр Включить HTTP-связь для роуминга и присоединения сайтов, он может связаться с локальной точкой управления в Хьюстоне с помощью смешанного режима и запросить точки распространения, расположенные на сайте в Хьюстоне.
Если же для клиента параметр Включить HTTP-связь для роуминга и присоединения сайтов не настроен, он не сможет связаться с локальной точкой управления в Хьюстоне с помощью смешанного режима. Он возвращается к запросу своей точки управления по умолчанию в Торонто и загружает обновление программного обеспечения с одной из точек распространения, расположенных на сайте в Торонто.
Возможность регионального роуминга
Клиент с возможностью регионального роуминга не в состоянии определить, что он перемещен на другой сайт. Он продолжает попытки связаться со своей точкой управления по умолчанию в Торонто и запрашивает сведения о ближайших точках распространения, откуда можно загрузить обновление программного обеспечения. Точка управления в Торонто возвращает список точек распределения в Хьюстоне.
Если для клиента настроен параметр Включить HTTP-связь для роуминга и присоединения сайтов, он может связаться с точками распределения в Хьюстоне с помощью смешанного режима и установить обновление программного обеспечения с сайта в Хьюстоне.
Если же для клиента параметр Включить HTTP-связь для роуминга и присоединения сайтов не настроен, он не сможет связаться с точками распределения в Хьюстоне с помощью смешанного режима. Обновление программного обеспечения он установит с сайте в Торонто, который ему назначен.
Критические действия по настройке
Чтобы этот сценарий успешно работал, необходимо выполнить описанное ниже действие по настройке.
| Конфигурация | Дополнительные сведения |
|---|---|
Если клиент перемещается с сайта в основном режиме на сайт в смешанном режиме, то для локальной загрузки содержимого с сайта в смешанном режиме настройте для клиента параметр Включить HTTP-связь для роуминга и присоединения сайтов. Примечание Эта конфигурация является менее безопасной, чем та, при которой запрещена связь по протоколу HTTP. |
Определение необходимости настройки HTTP-связи для роуминга и присоединения сайтов (основной режим) Обмен данными между клиентами в смешанном и основном режимах |
Клиент перемещается в другую иерархию Configuration Manager 2007
Консультант, обслуживающий сайт в Хьюстоне, приезжает в другую компанию в Мичиган, где тоже установлен программный продукт Configuration Manager 2007. Когда консультант подключает свой переносной компьютер к сети другой компании, DHCP-сервер присваивает компьютеру IP-адрес, после чего устанавливается сетевое подключение. Консультант пытается просмотреть полученное ранее извещение о необязательном дополнении к программному пакету Microsoft Office 2007.
Объявление о необязательном дополнении к программному пакету Microsoft Office 2007 также доступно в иерархии Configuration Manager 2007 другой компании, и пользователь собирается его установить. Однако содержимое для этого пользователя в иерархии другой компании недоступно (см. рис. ниже).
.gif "Клиент осуществляет роуминг к другой иерархии")
Возможность глобального роуминга
Клиент с возможностью глобального роуминга запросит в доменных службах Active Directory свой сайт и свою точку управления по умолчанию.
В другой же сети клиентский компьютер не сможет пройти проверку подлинности и получить доступ к доменным службам Active Directory. Когда возможность глобального роуминга приведет к ошибке, поведение клиента изменится и будет соответствовать возможности регионального роуминга.
Возможность регионального роуминга
Клиент с возможностью регионального роуминга, подключенный к новой сети, попытается найти назначенную ему точку управления по умолчанию.
Вероятнее всего, что клиенту из новой сети не удастся найти точку управления на назначенном ему сайте. Если в новой сети не используется тот же самый код сайта, что и в старой, или если клиенту не удается найти точку управления, клиент возобновляет попытки использовать назначенную ему в данный момент точку управления в Хьюстоне. Если между двумя иерархиями отсутствует сетевое подключение, эта попытка тоже окажется неудачной, и клиент не сможет загрузить содержимое, пока не вернется в свою иерархию Configuration Manager 2007.
Если код назначенного клиенту сайта в старой сети совпадает с кодом этого же сайта в новой сети, клиент попытается найти точку управления по умолчанию назначенного ему сайта с помощью службы DNS, а также точку обнаружения серверов и WINS. Чтобы это у него получилось, новая иерархия должна содержать код сайта, совпадающий с кодом назначенного клиенту сайта, и должно выполняться одно из сформулированных ниже условий:
Чтобы клиент мог найти точку управления по коду назначенного ему сайта с помощью публикации DNS, его необходимо настроить для DNS-серверов в новой сети, и у всех точек управления в новой сети должен быть такой же суффикс домена, что и у точки управления в Хьюстоне, или на клиенте необходимо перенастроить значение параметра Укажите или измените ниже DNS-суффикс для назначения сайта.
Чтобы клиент мог найти точку управления с помощью точки обнаружения серверов, назначенная клиенту точка обнаружения серверов в новой сети должна иметь точно такое же имя или такой же IP-адрес, или клиент должен быть настроен в новой сети для WINS-серверов, на которых для этой точки обнаружения серверов имеется введенная вручную запись WINS. Кроме того, чтобы работающий в основном режиме клиент мог связаться с точкой обнаружения серверов, для него необходимо настроить параметр Включить HTTP-связь для роуминга и присоединения сайтов.
Чтобы клиент мог найти точку управления с помощью службы WINS, он должен работать в смешанном режиме и настроен для WINS-серверов в новой сети.
Если любое из сформулированных выше условий выполняется, приписанная клиенту точка управления будет обновлена точкой управления в альтернативной иерархии. Однако клиентом нельзя будет управлять, поскольку клиент не будет доверять точке управления в новой иерархии по одной из приведенных ниже причин.
Не удается выполнить взаимную проверку подлинности в основном режиме.
Режим связи клиента отличается от режима работы сайта точки управления.
Для клиента настроен номер порта запроса клиента, который отличается от того, который используется на сайте.
Клиенту не удается проверить подлинность сертификата точки управления с помощью собственного ключа доверенного корня иерархии.
Решения для приведенных сценариев
Если объявление настроено как необязательное с локальной загрузкой и локальной установкой, этот сценарий удалось бы выполнить успешно, если бы загрузка завершилась до перемещения переносного компьютера с сайта в Хьюстоне.
Для переносных компьютеров, которые постоянно отключаются от интрасети своей компании, возможно другое решение на основе управления компьютерами по Интернету. В интрасети другой компании клиент пытается подключиться к своей точке управления по Интернету и извлекает содержимое по Интернету. Чтобы это удалось, пользователю, возможно, нужно будет настроить доступ клиента Configuration Manager к Интернету с помощью локального прокси-сервера. Дополнительные сведения см. в следующих разделах:
См. также
Задачи
Назначение точки распространения
Основные понятия
О назначении сайта клиентам в Configuration Manager
О роуминге клиента в Configuration Manager
О точках распространения
Примеры сценариев назначения для Configuration Manager: основные сайты
Примеры сценариев назначения для Configuration Manager: дополнительные сайты
Примеры сценариев роуминга для Configuration Manager: простой
Другие ресурсы
Технический справочник по развертыванию клиента Configuration Manager
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.