Планирование обмена данными в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Перед установкой System Center 2012 Configuration Manager спланируйте сетевое взаимодействие между различными сайтами в иерархии, между различными серверами систем сайта на сайте и между клиентами и серверами систем сайта. Это взаимодействие может осуществляться в одном домене или охватывать несколько лесов Active Directory. Кроме того, может потребоваться спланировать взаимодействие для управления клиентами в Интернете.

Сведения о планировании взаимодействия в Configuration Manager см. в следующих разделах этой статьи.

• Планирование межсайтовых взаимодействий в Configuration Manager

  • Файловая репликация

  • Репликация базы данных

• Планирование внутрисайтовой передачи данных в Configuration Manager

• Планирование обмена данными с клиентами в Configuration Manager

  • Взаимодействие, инициированное клиентами

  • Обнаружение службы и определение клиентами назначенной им точки управления

  • Планирование способов перевода клиентов в рабочий режим

• Планирование взаимодействий между лесами в Configuration Manager

• Планирование управления клиентами через Интернет

  • Возможности, которые не поддерживаются при управлении через Интернет

  • Рекомендации по взаимодействию с клиентами из Интернета или ненадежного леса

  • Планирование интернет-клиентов

  • Необходимые условия для управления клиентами через Интернет

• Планирование пропускной способности сети в Configuration Manager

  • Управление использованием полосы пропускания сети между сайтами

  • Управление использованием полосы пропускания сети между серверами систем сайта

  • Управление использованием полосы пропускания сети между клиентами и серверами системы сайта

Новые возможности Configuration Manager

Примечание
Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager.

Следующие элементы взаимодействия между сайтами представлены впервые или были изменены с момента выпуска Configuration Manager 2007.

• Теперь наряду с файловой репликацией при передаче данных между несколькими сайтами, включая конфигурации и параметры, используется репликация базы данных.

• Использование сайтов Configuration Manager 2007 в смешанном и основном режимах для определения принципа взаимодействия клиентов с системами сайта на сайте было заменено ролями систем сайта, которые могут независимо поддерживать подключения клиентов по протоколу HTTP или HTTPS.

• Чтобы обеспечить поддержку клиентских компьютеров в других лесах, Configuration Manager может обнаруживать компьютеры в этих лесах и публиковать данные сайта в этих лесах.

• Точка обнаружения серверов больше не используется, а функции этой роли системы сайта переданы точке управления.

• Теперь управление клиентами через Интернет поддерживает следующие возможности и компоненты.

  • Политики пользователей, если интернет-точка управления проверяет подлинность пользователя с помощью проверки подлинности Windows (Kerberos или NTLM).

  • Последовательности простых задач, таких как сценарии. Развертывание операционной системы в Интернете не поддерживается.

  • Интернет-клиенты сначала пытаются загрузить необходимые обновления программного обеспечения из Центра обновления Майкрософт, а не из точки распространения в Интернете на назначенном им сайте. Если это сделать невозможно, они будут загружать необходимые обновления из точки распространения в Интернете.

Новые возможности Configuration Manager с пакетом обновления 1 (SP1)

Примечание
Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager.

Следующие элементы взаимодействия между сайтами представлены впервые или были изменены с момента выпуска Configuration Manager с пакетом обновления 1 (SP1).

• Маршруты репликации файлов заменяют адреса при репликации файлов между сайтами. Это изменение затрагивает только название файловой репликации, которое теперь звучит единообразно с именем репликации базы данных. Изменений в функционировании нет.

• Настройте каналы репликации базы данных между базами данных сайтов, чтобы управлять всем сетевым трафиком репликации баз данных и отслеживать его.

  • Используйте распределенные представления, чтобы предотвратить репликацию данных выбранного сайта с первичного сайта на сайт центра администрирования. В таком случае сайт центра администрирования получает доступ к этим данным напрямую из базы данных первичного сайта.

  • Запланируйте передачу данных выбранного сайта по каналам репликации базы данных.

  • Управляйте частотой, с которой трафик репликации суммируется для отчетов.

  • Определите пользовательские пороговые значения, при достижении которых рассылаются предупреждения о проблемах репликации.

• Настройте элементы управления репликацией для базы данных SQL Server на сайте:

  • Измените порт, который Configuration Manager использует для работы SQL Server Service Broker.

  • Настройте период времени ожидания, по истечении которого сбой репликации вызывает повторную инициализацию копии базы данных сайта.

  • Настройте базу данных сайта для сжатия данных, которые она передает в ходе репликации базы данных. Данные сжимаются только для передачи между сайтами, а не для хранения в базе данных какого-либо сайта.

• Когда на клиентах Configuration Manager с пакетом обновления 1 (SP1) запущена операционная система Windows 7, Windows 8, Windows Server 2008 R2 или Windows Server 2012, параметр пробуждения по локальной сети для пакетов одноадресной рассылки можно дополнить с помощью клиентских параметров прокси-сервера пробуждения. Это сочетание позволит выводить компьютеры в подсетях из спящего режима без обязательной перенастройки сетевых коммутаторов.

Планирование межсайтовых взаимодействий в Configuration Manager

В иерархии Configuration Manager каждый сайт взаимодействует со своим родительским сайтом и прямым дочерним сайтом с помощью двух методов передачи данных: файловой репликации и репликации базы данных. Вторичные сайты взаимодействуют не только со своими родительскими первичными сайтами, используя оба метода передачи данных, но и с другими вторичными сайтами, используя файловую репликацию для направления содержимого в удаленные сетевые расположения.

Configuration Manager использует файловую репликацию и репликацию базы данных для передачи различных типов данных между сайтами.

Файловая репликация

Для передачи файловых данных между сайтами в иерархии Configuration Manager использует файловую репликацию. Эти данные включают приложения и пакеты, которые требуется развернуть в точках распространения на дочерних сайтах, и необработанные записи данных обнаружения, которые передаются на родительские сайты для обработки.

Для файлового взаимодействия между сайтами используется протокол SMB с портом TCP/IP 445. Можно задать конфигурации с регулированием полосы пропускания и импульсным режимом для контроля объема данных, передаваемых по сети, и расписаниями для управления отправкой данных по сети.

Начиная с Configuration Manager с пакетом обновления 1 (SP1), адреса переименованы в маршруты репликации файлов, что позволяет обеспечить единообразие с репликацией базы данных. Перед выпуском пакета обновления 1 (SP1) Configuration Manager использовал адреса для подключения к общему ресурсу SMS_SITE на сервере конечного сайта для передачи файловых данных. Маршруты и адреса репликации файлов функционируют одинаково и поддерживают одни и те же конфигурации.

Следующие разделы составлены для изменений, представленных в пакете обновления 1, в них вместо адресов приведены маршруты репликации файлов. При использовании Configuration Manager без пакета обновления воспользуйтесь сведениями в следующей таблице для преобразования ссылок на маршруты репликации файлов в соответствующие адреса.

Начиная с Configuration Manager с пакетом обновления 1 (SP1)	Configuration Manager без пакета обновления
Учетная запись репликации файлов	Учетная запись адреса сайта
Маршрут репликации файлов	Адрес
Узел Репликация файлов в Configuration Manager консоли	Узел Адреса в консоли Configuration Manager

Маршруты репликации файлов

Для передачи файлов между сайтами в иерархии Configuration Manager использует маршруты репликации файловых данных. Маршруты репликации файлов заменяют собой адреса, которые использовались в предыдущих версиях Configuration Manager. Маршруты репликации файлов работают аналогично адресам. В таблице ниже приведены сведения о маршрутах репликации файлов.

Объект	Дополнительные сведения
Маршрут репликации файлов	Каждый маршрут репликации файлов определяет конечный сайт, на который передаются файловые данные. Каждый сайт поддерживает один маршрут репликации файлов для конкретного конечного сайта. Configuration Manager поддерживает следующие конфигурации маршрутов репликации файлов: Учетная запись репликации файлов. Эта учетная запись используется для подключения к конечному сайту и для записи данных в общий ресурс SMS_SITE сайта. Записанные в этот ресурс данные обрабатываются получающим сайтом. По умолчанию при добавлении сайта в иерархию Configuration Manager назначает ему в качестве Учетной записи репликации файлов учетную запись компьютера, служащего сервером новых сайтов. Эта учетная запись добавляется в группу SMS_SiteToSiteConnection_<код_сайта> конечного сайта, которая является логической группой на компьютере, предоставляющем доступ к общему ресурсу SMS_SITE. Эту учетную запись можно изменить на учетную запись пользователя Windows. При изменении учетной записи убедитесь, что новая учетная запись добавляется в группу SMS_SiteToSiteConnection_<код_сайта> конечного сайта. Примечание Вторичные сайты всегда используют учетную запись компьютера сервера вторичных сайтов со значением Учетная запись репликации файлов. Расписание. Для каждого маршрута репликации файлов можно создать расписание с целью ограничения типа данных и времени передачи данных на конечный сайт. Пределы скорости. Для каждого маршрута репликации файлов можно настроить пределы скорости передачи, что позволяет регулировать пропускную способность сети, используемую сайтом при передаче данных на конечный сайт. Чтобы указать размер блоков данных, отправляемых на конечный сайт, используйте параметр Импульсный режим. Можно также задать значение задержки между отправками каждого блока данных. Этот параметр используется при отправке данных на конечный сайт по очень медленному сетевому каналу. Например, независимо от скорости канала или интенсивности его использования в данный момент могут существовать ограничения на отправку 1 КБ данных каждые пять секунд, но не каждые три секунды. Параметр Ограничено указанной максимальной скоростью передачи в час предназначен для отправки данных с сайта на конечный сайт с использованием только указанного процента времени. В этом случае Configuration Manager не определяет доступную пропускную способность сети, а делит время отправки данных на отдельные периоды. После этого в течение короткого промежутка времени выполняется отправка данных, за которой следуют паузы. Например, если в качестве максимальной скорости задано 50%, Configuration Manager передает данные в течение определенного времени, за которым следует точно такой же период, когда данные не отправляются. Управление фактическим объемом данных или размером блока данных не осуществляется. Управляемым является только период времени, в течение которого идет отправка данных. Внимание По умолчанию для передачи данных на конечный сайт можно использовать до трех одновременных отправок. Если для маршрута репликации файлов включены ограничения скорости, доступна только одна одновременная отправка для передачи данных. Это действует и в случае, если параметру Ограничить доступную полосу пропускания (%) задано значение 100%. Использование заданных по умолчанию параметров для отправителя позволяет сократить скорость передачи на конечный сайт до трети от пропускной способности по умолчанию. Маршрут репликации файлов между двумя вторичными сайтами можно настроить для маршрутизации файлового содержимого между ними. Для управления маршрутом репликации файлов в рабочей области Администрирование разверните узел Конфигурация иерархии и выберите Репликация файлов.
Отправитель	На каждом сайте есть один отправитель. Отправитель управляет сетевым подключением одного сайта к конечному сайту и может устанавливать подключения к нескольким сайтам одновременно. Чтобы подключиться к сайту, отправитель использует маршрут репликации файлов к сайту для определения учетной записи, которую необходимо использовать для сетевого подключения. Отправитель также использует эту учетную запись для записи данных в общий ресурс SMS_SITE конечного сайта. По умолчанию отправитель записывает данные на конечный сайт с помощью нескольких одновременных отправок, которые обычно называются потоком. В составе каждой одновременной отправки или потока на конечный сайт могут передаваться различные файловые объекты. По умолчанию, когда отправитель начинает отправлять объект, он продолжает записывать для него блоки данных вплоть до полной отправки. После отправки всех данных для этого объекта можно приступить к отправке нового объекта в том же потоке. Можно настроить следующие параметры для отправителя. Максимальное число одновременных отправок. По умолчанию каждый сайт настроен для использования пяти одновременных отправок, причем три доступны для использования при отправке данных на любой конечный сайт. Увеличение этого числа приведет к увеличению скорости обмена данными между сайтами, поскольку Configuration Manager сможет передавать больше файлов одновременно. Увеличение этого числа также приводит к увеличению потребляемой пропускной способности сети между сайтами. Параметры повторных попыток. По умолчанию каждый сайт настроен для двукратного повторения подключения с минутной задержкой между попытками. Число попыток подключений сайта и время ожидания между попытками можно изменить. Чтобы начать управление отправителем для сайта, в рабочей области Администрирование разверните узел Конфигурация иерархии, затем разверните узел Сайты и нажмите кнопку Свойства для сайта, которым требуется управлять. Откройте вкладку Отправитель, чтобы изменить конфигурацию отправителя.

Репликация базы данных

Для передачи данных и объединения изменений, внесенных в базу данных сайта, со сведениями, хранящимися в базе данных на других сайтах иерархии, репликация базы данных Configuration Manager использует SQL Server. Это позволяет всем сайтам совместно использовать одни и те же данные. Репликация базы данных настраивается на всех сайтах Configuration Manager автоматически. Во время установки сайта в иерархии происходит автоматическая настройка репликации базы данных между новым сайтом и его родительским сайтом. По завершении установки сайта репликация базы данных запускается автоматически.

При установке нового сайта в иерархии Configuration Manager создает в нем универсальную базу данных. Затем родительский сайт создает снимок релевантных данных в своей базе данных и передает этот снимок на новый сайт с помощью репликации файлов. После этого новый сайт использует программу массового копирования (BCP) SQL Server для загрузки данных в свою локальную копию базы данных Configuration Manager. По завершении загрузки моментального снимка каждый сайт выполняет репликацию базы данных на другой сайт.

Для репликации данных между сайтами Configuration Manager использует собственную службу репликации базы данных. Служба репликации базы данных использует функцию отслеживания изменений SQL Server для мониторинга изменений локальной базы данных сайта, а затем с помощью SQL Server Service Broker реплицирует эти изменения на другие сайты. По умолчанию в этом процессе используется порт TCP/IP 4022.

Configuration Manager группирует данные, реплицируемые с помощью репликации базы данных, в различные группы репликации. Каждая группа репликации имеет отдельное, фиксированное расписание репликации, которое определяет частоту репликации изменений данных группы на другие сайты. Например, изменение конфигурации ролевого администрирования быстро реплицируется на другие сайты, чтобы как можно раньше вступить в силу. В то же время изменение конфигурации с более низким приоритетом, например запрос на установку нового вторичного сайта, реплицируется не так быстро, поэтому запрос на установку нового сайта поступает на конечный первичный сайт только через несколько минут.

Примечание

Репликация базы данных Configuration Manager настраивается автоматически и не поддерживает настройку групп или расписаний репликаций. Однако начиная с выпуска Configuration Manager с пакетом обновления 1 (SP1), можно настраивать каналы репликации базы данных для управления временем передачи конкретного трафика по сети. Также можно настроить отправку из Configuration Manager о наличии каналов репликации в состоянии сниженной работоспособности или отказа.

Configuration Manager классифицирует данные, реплицируемые с помощью репликации базы данных, на глобальные данные и данные сайта. При выполнении репликации базы данных изменения глобальных данных и данных сайтов передаются с помощью канала репликации базы данных. Глобальные данные могут реплицироваться на родительский или дочерний сайт, а данные сайта могут реплицироваться только на родительский сайт. Третий тип данных, называемый локальными данными, не реплицируется на другие сайты. В локальные данные входят сведения, которые не требуются для других сайтов.

• Глобальные данные. Глобальные данные — это созданные администратором объекты, которые реплицируются на все сайты иерархии, однако вторичные сайты получают только подмножество глобальных данных, таких как глобальные прокси-данные. В качестве примеров глобальных данных можно привести развертывания и обновления программного обеспечения, определения коллекций, области безопасности с ролевым администрированием. Администраторы могут создавать глобальные данные на сайтах центра администрирования и первичных сайтах.

• Данные сайта. Данные сайта являются операционными сведениями, создаваемыми первичными сайтами Configuration Manager и клиентами, которые формируют отчеты для первичных сайтов. Данные сайта реплицируются на сайт центра администрирования, но не на другие первичные сайты. В качестве примеров данных сайта можно привести данные инвентаризации оборудования, сообщения о состоянии, оповещения и результаты из коллекций на основе запросов. Данные сайта можно просмотреть только на сайте центра администрирования и на первичном сайте, из которого исходят эти данные. Данные сайта можно изменять только на первичном сайте, где эти данные были созданы.

  Все данные сайта реплицируются на сайт центра администрирования; благодаря этому сайт центра администрирования может осуществлять администрирование и создание отчетов для всей иерархии.

Воспользуйтесь сведениями в следующих разделах, чтобы спланировать использование элементов управления, доступных в Configuration Manager с пакетом обновления 1 (SP1), для настройки каналов репликации баз данных между сайтами, а также для настройки элементов управления для каждой базы данных сайтов. Эти элементы управления помогают управлять сетевым трафиком, который создает репликация баз данных, а также выполнять его отслеживание.

Каналы репликации базы данных

В ходе установки нового сайта в иерархии Configuration Manager автоматически создает канал репликации базы данных между двумя сайтами. Для соединения нового сайта с родительским создается одиночный канал.

Начиная с Configuration Manager с пакетом обновления 1 (SP1), каждый канал репликации базы данных поддерживает варианты конфигурации, что помогает управлять передачей данных по каналу репликации. Каждый канал репликации поддерживает отдельные конфигурации. Существуют следующие элементы управления каналами репликации базы данных.

• Используйте распределенные представления для остановки репликации данных выбранного сайта с первичного сайта на сайт центра администрирования, а также для того, чтобы разрешать сайту центра администрирования прямой доступ к этим данным из базы данных первичного сайта.

• Запланируйте передачу данных выбранного сайта с дочернего первичного сайта на сайт центра администрирования.

• Задайте параметры, определяющие состояние канала репликации базы данных: снижение работоспособности или отказ.

• Настройте время отображения оповещений об отказе канала репликации.

• Укажите периодичность, с которой Configuration Manager будет формировать сводку данных о трафике репликации для канала. Эти данные используются в отчетах.

Чтобы настроить канал репликации базы данных, необходимо изменить свойства канала в консоли Configuration Manager в узле Репликация базы данных. Этот узел отображается в рабочей области Мониторинг, а начиная с Configuration Manager с пакетом обновления 1 (SP1), этот узел также отображается в узле Конфигурация иерархии в рабочей области Администрирование. Канал репликации можно изменить в родительском или дочернем сайте этого канала.

Совет

Каналы репликации базы данных можно изменять в узле Репликация базы данных любой из указанных рабочих областей. Однако при использовании узла Репликация базы данных в рабочей области Мониторинг канала репликации также можно просмотреть в состоянии репликации базы данных. Кроме того, можно просматривать состояние репликации базы данных по тому или иному каналу, а также использовать Анализатор канала репликации для изучения проблем репликации базы данных.

Сведения о настройке каналов репликации см. в статье Элементы управления репликацией базы данных сайта. Дополнительные сведения о мониторинге репликации см. в разделе Как отслеживать состояние репликации и связи репликации базы данных статьи Мониторинг сайтов и иерархии Configuration Manager.

Воспользуйтесь сведениями в следующих разделах для планирования создаваемых каналов репликации базы данных.

Планирование для использования распределенных представлений

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий: 

Распределенные представления позволяют обеспечить для запросов данных выбранного сайта, создаваемых на сайте центра администрирования, доступ к данным этого сайта непосредственно из базы данных дочернего первичного сайта. Прямой доступ устраняет необходимость в репликации запрашиваемых данных с первичного сайта на сайт центра администрирования. Поскольку все каналы репликации независимы друг от друга, распределенные представления можно включить только для выбранных каналов репликации. Распределенные представления не поддерживаются при взаимодействии между первичным и вторичным сайтом одновременно.

Распределенные представления способны предоставлять следующие преимущества:

• Уменьшение нагрузки на ЦП при обработке изменений баз данных сайта центра администрирования и первичных сайтов.

• Уменьшение объема данных, передаваемых по сети сайту центра администрирования.

• Повышение производительности SQL Server, на котором размещается база данных сайтов центра администрирования.

• Сокращение места на диске, используемого базой данной сайта центра администрирования.

Распределенные представления рекомендуется использовать в тех случаях, когда первичный сайт расположен в сети в непосредственной близости от сайта центра администрирования, а также если оба сайта всегда активны и подключены к сети. Это связано с тем, что при распределенных представлениях вместо репликации выбранных данных между сайтами используются прямые соединения между серверами SQL Server на каждом сайте. Эти прямые соединения устанавливаются каждый раз, когда сайт центра администрирования отправляет запрос на получение данных. Как правило, запросы на получение данных, которые пользователь может включить в распределенные представления, приходят при создании отчетов или выполнении запросов, при просмотре информации в Обозревателе ресурсов и в ходе оценки тех коллекций, которые содержат правила, основанные на данных сайта.

По умолчанию распределенные представления отключены для каждого канала репликации. При включении распределенных представлений для канала репликации необходимо выбрать данные сайта, которые не будут реплицироваться на сайт центра администрирования с помощью этого канала. Кроме того, необходимо разрешить сайту центра администрирования прямой доступ к этим данным в базе данных дочернего первичного сайта, использующего этот же канал. Для распределенных представлений можно настроить следующие типы данных сайтов:

• Данные по инвентаризации оборудования, получаемые от клиентов.

• Данные инвентаризации программного обеспечения и контроля использования, получаемые от клиентов.

• Получаемые от клиентов сообщения о состоянии первичного сайта и всех вторичных сайтов.

С операционной точки зрения, распределенные представления невидимы для пользователя с правами администратора, просматривающего данные в консоли Configuration Manager или в отчетах. При запросе данных, разрешенных для отображения в распределенных представлениях, сервер SQL Server с размещенной на нем базой данных сайта центра администрирования напрямую соединяется с сервером SQL Server дочернего первичного сайта для получения этих данных. Например, с помощью консоли Configuration Manager на сайте центра администрирования пользователь запрашивает с двух сайтов информацию об инвентаризации оборудования, причем только у одного из этих сайтов инвентаризация оборудования разрешена для использования в распределенном представлении. Информация об инвентаризации по клиентам сайта, на котором не настроены распределенные представления, извлекается из базы данных сайта центра администрирования. Информация об инвентаризации по клиентам, сайты которых настроены для поддержки распределенных представлений, извлекается из базы данных дочернего первичного сайта. Эта информация появляется в консоли Configuration Manager или в отчете безотносительно ее источника.

Если для канала репликации разрешено использование конкретного типа данных в распределенных представлениях, дочерний первичный сайт не реплицирует эти данные на сайт центра администрирования. После отключения распределенных представлений для конкретных типов данных дочерний первичный сайт возобновляет репликацию этих данных на сайт центра администрирования, которая выполняется в ходе обычной репликации данных. Однако прежде чем эти данные окажутся доступными на сайте центра администрирования, группы репликации, содержащие эти данные, должны выполнить повторную инициализацию для поддержки взаимодействия между первичным сайтом и сайтом центра администрирования. То же самое происходит и в том случае, если пользователь удаляет первичный сайт, для которого включены распределенные представления. Сайт центра администрирования должен завершить повторную инициализацию своих данных, прежде чем пользователь получит доступ к тем данным, которые были разрешены для использования в распределенных представлениях на сайте центра администрирования.

Важно
При использовании распределенных представлений совместно с любым каналом репликации в иерархии необходимо отключить распределенные представления для всех каналов репликации перед удалением любых первичных сайтов. Дополнительные сведения см. в разделе Удаление первичного сайта с настроенными распределенными представлениями статьи Установка сайтов и создание иерархии для Configuration Manager.

Предварительные условия и ограничения для распределенных представлений

Ниже перечислены предварительные условия и ограничения для распределенных представлений.

• Сайт центра администрирования и первичный сайт должны использовать одну и ту же версию Configuration Manager и иметь минимальную версию пакета обновления 1 (SP1).

• Распределенные представления поддерживаются только для каналов репликации между сайтом центра администрирования и первичным сайтом.

• Сайт центра администрирования может иметь только один установленный экземпляр поставщика SMS, причем этот экземпляр должен быть установлен на сервере базы данных сайта. Это требуется для поддержки проверки подлинности Kerberos, которая необходима для того, чтобы сервер SQL Server центра администрирования имел доступ к серверу SQL Server на дочернем первичном сайте. На поставщика SMS, работающего на дочернем первичном сайте, не распространяются никакие ограничения.

• Сайт центра администрирования может иметь только одну установленную точку SQL Server Reporting Services, которая должна находиться на сервере базы данных сайта. Это требуется для поддержки проверки подлинности Kerberos, которая необходима для того, чтобы сервер SQL Server центра администрирования имел доступ к серверу SQL Server на дочернем первичном сайте.

• База данных сайта не может размещаться на кластере SQL Server.

• Учетная запись компьютера на сервере базы данных, расположенном на сайте центра администрирования, требует разрешения Read для доступа к базе данных сайта на первичном сайте.

• Распределенные представления и расписания репликации данных являются взаимоисключающими конфигурациями для канала репликации баз данных.

Планирование расписаний передачи данных сайта с помощью каналов репликации баз данных

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

Можно составить расписание использования канала репликации, а также указать время репликации других типов данных сайта. Это поможет регулировать пропускную способность сети, используемую для репликации данных с первичного дочернего сайта на сайт центра администрирования. Можно управлять временем репликации сообщений о состоянии, инвентаризации и данных учета на первичном сайте. Каналы репликации баз данных ссылок из вторичных сайтов не поддерживают расписания для данных сайта. Не удается запланировать перенос глобальных данных.

При настройке расписания для канала репликации базы данных можно ограничить передачу выбранных данных сайта с первичного сайта на сайт центра администрирования, а также настроить различное время репликации для разных типов данных.

Дополнительные сведения об управлении использованием пропускной способности сети при обмене данными между сайтами Configuration Manager см. в разделе Управление использованием полосы пропускания сети между сайтами этой статьи.

План формирования сводных данных по трафику репликации баз данных

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

Начиная с Configuration Manager с пакетом обновления 1 (SP1), каждый сайт периодически формирует сводные данные о сетевом трафике, проходящем по каналам репликации баз данных. Эти сводные данные используются для составления отчетов о репликации базы данных. Оба сайта в канале репликации формируют сводные данные обо всем сетевом трафике, который проходит через канал репликации. Формирование сводных данных производится с помощью сервера SQL Server, на котором размещена база данных сайта. После формирования сводных данных эта информация реплицируется на другие сайты в качестве глобальных данных.

По умолчанию формирование сводных данных происходит каждые 15 минут. Частоту формирования сводных данных о сетевом трафике можно изменить, отредактировав параметр Интервал формирования сводных данных в свойствах канала репликации баз данных. Частота формирования сводных данных влияет на информацию, доступную для просмотра в отчетах о репликации баз данных. Этот интервал можно устанавливать в пределах от 5 минут до 60 минут. Увеличение частоты формирования сводных данных приводит к увеличению вычислительной нагрузки на сервер SQL Server на каждом сайте канала репликации.

Планирование пороговых значений репликации базы данных

Пороговые значения репликации базы данных определяют состояние канала репликации базы данных: сниженная работоспособность или отказ. По умолчанию сниженная работоспособность канала фиксируется при невозможности любой из групп репликации завершить репликацию после 12 последовательных попыток, а отказ фиксируется при невозможности любой из групп репликации завершить репликацию после 24 последовательных попыток.

Начиная с Configuration Manager с пакетом обновления 1 (SP1), можно указывать настраиваемые значения для тонкой настройки параметров, при достижении которых Configuration Manager сообщает о снижении работоспособности или отказе канала репликации. До выпуска Configuration Manager с пакетом обновления 1 (SP1) настройка этих пороговых значения была невозможна. Изменение пороговых значений при каждом сообщении от Configuration Manager о состоянии каналов репликации баз данных обеспечивает точный мониторинг репликации баз данных при помощи каналов репликации.

Поскольку одна или несколько групп репликации могут столкнуться со сбоем репликации, в то время как другие группы репликации завершат ее успешно, запланируйте просмотр состояния репликации или канала репликации при получении первых сообщений о снижении работоспособности или отказе. Если для отдельных групп репликации наблюдаются повторяющиеся задержки, не создающие затруднений, или если сетевое соединение между сайтами имеет низкую пропускную способность, то изучите возможность изменения значений повтора отправки данных для канала, который имеет сниженную работоспособность или сообщает об отказе. Увеличив число попыток повторной отправки данных до того, как сетевое соединение сообщит о сниженной работоспособности или отказе, можно устранить ложные предупреждения об известных проблемах, что позволит точнее отслеживать состояние сетевого соединения.

Также необходимо изучить возможность изменения интервала синхронизации репликации для каждой из групп репликации, чтобы оценить частоту выполнения репликации для этих групп.Интервал синхронизации для групп репликации можно просмотреть на вкладке Подробности репликации канала репликации в узле Репликация баз данных, который относится к рабочей области Мониторинг.

Дополнительные сведения о мониторинге репликации баз данных и просмотре состояния репликации см. в разделе Как отслеживать состояние репликации и связи репликации базы данных статьи Мониторинг сайтов и иерархии Configuration Manager.

Сведения о настройке пороговых значений репликации баз данных см. в статье Элементы управления репликацией базы данных сайта.

Элементы управления репликацией базы данных сайта

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

База данных каждого сайта поддерживает конфигурации, способные помочь в регулировке пропускной способности сети, используемой для репликации баз данных. Эти конфигурации относятся только к базе данных сайта, где настраиваются эти параметры, а также всегда используются, когда сайт реплицирует любые данные на другой сайт с помощью репликации баз данных.

Следующие элементы управления репликацией доступны для каждой базы данных сайта:

• Измените порт, который Configuration Manager использует для работы SQL Server Service Broker.

• Настройка периода ожидания, после истечения которого сбои репликации вызывают повторную инициализацию сайтом своей копии базы данных сайта.

• Настройте базу данных сайта для сжатия данных, которые она передает в ходе репликации базы данных. Данные сжимаются только для передачи между сайтами, а не для хранения в базе данных какого-либо сайта.

Чтобы настроить элементы управления репликацией базы данных сайта, необходимо изменить свойства базы данных сайта в консоли Configuration Manager узла Репликация баз данных. Этот узел расположен ниже узла Конфигурация иерархии в рабочей области Администрирование, а также отображается в рабочей области "Мониторинг". Чтобы изменить свойства базы данных сайта, выберите канал репликации между сайтами, а затем откройте окно Свойства родительской базы данных или Свойства дочерней базы данных.

Совет
Элементы управления репликацией базы данных можно настроить в узле Репликация базы данных в любой из этих рабочих областей. Однако при использовании узла Репликация базы данных в рабочей области Мониторинг можно также просмотреть состояние репликации баз данных для конкретного канала репликации, а также воспользоваться средством Replication Link Analyzer для изучения проблем репликации.

Дополнительные сведения о настройке элементов управления репликацией базы данных см. в разделе "Настройка элементов управления репликации баз данных". Дополнительные сведения о мониторинге репликации см. раздел "Мониторинг репликации базы данных сайта".

Планирование внутрисайтовой передачи данных в Configuration Manager

Каждый сайт Configuration Manager содержит сервер сайта и может содержать один или несколько дополнительных серверов системы сайта, на которых размещаются роли системы сайта.Configuration Manager требует, чтобы каждый сервер системы сайта входил в домен Active Directory.Configuration Manager не поддерживает изменение имени компьютера или членства в домене, пока компьютер остается системой сайта.

Когда системы сайта Configuration Manager или компоненты обмениваются данными по сети с другими системами сайта или компонентами Configuration Manager, они используют протокол SMB, HTTP или HTTPS. Способ передачи данных зависит от конфигурации сайта. За исключением передачи данных с сервера сайта на точку распространения, этот обмен информацией между серверами может произойти в любое время и без использования механизмов управления пропускной способностью сети. Контролировать обмен данными между системами сайта невозможно, поэтому убедитесь, что серверы системы сайта установлены с надежным подключением к быстрым сетям.

Для управления передачей содержимого с сервера сайта в точки распространения можно использовать следующие возможности.

• Настройте точку распространения для управления пропускной способностью сети и планированием. Эти средства управления схожи с конфигурациями, используемыми межсайтовыми адресами. Зачастую можно использовать такую конфигурацию вместо установки еще одного сайта Configuration Manager, если передача содержимого в удаленные сетевые расположения является непростой задачей с точки зрения пропускной способности сети.

• Можно установить точку распространения в виде предварительно подготовленной точки распространения. Предварительно подготовленная точка распространения дает возможность использовать содержимое, вручную размещенное на сервере точки распространения, и устраняет необходимость в передаче файлов с этим содержимым через сеть.

Дополнительные сведения о рекомендациях относительно пропускной способности сети см. в разделе Рекомендации относительно пропускной способности сети для точек распространения статьи Планирование управления содержимым в Configuration Manager.

Планирование обмена данными с клиентами в Configuration Manager

Клиенты Configuration Manager и управляемые устройства обмениваются данными с компьютерами, на которых размещается инфраструктура Configuration Manager, такая как роли системы сайта, инфраструктура домена, такая как DNS или доменные службы Active Directory, а также со службами в Интернете.

При планировании взаимодействия клиентов необходимо учитывать следующее:

Сценарии взаимодействия	Дополнительные сведения
Взаимодействие, инициированное клиентами	Клиенты инициируют взаимодействие со следующими компонентами: Точки управления: для отправки данных об инвентаризации и состоянии, а также данных обнаружения. Для клиента точка управления является основной точкой связи с сайтом. Различные доменные службы: для запроса службы из доменных служб, например доменных служб Active Directory и DNS (для обнаружения службы). Доступ к содержимому: для доступа к содержимому из точек распространения на серверах, одноранговых узлах и облачных службах. Точки обновления программного обеспечения: для загрузки и установки развертываемых обновлений. Центр обновления Майкрософт: для защиты от вредоносных программ. Дополнительные серверы системы сайта: Точка веб-сайта каталога приложений. Модуль политики Configuration Manager (NDES) Резервная точка состояния. Точка миграции состояния Средство проверки работоспособности системы
Обнаружение службы	Обнаружение службы — это метод, с помощью которого клиенты могут определить назначенный сайт и в динамическом режиме обнаруживать точки управления. Для клиентов точки управления являются основной точкой связи и используются для: получения сведений о других доступных точках управления; загрузки клиентской политики; отправки на сайт клиентских данных, например, данных об инвентаризации, состоянии и обнаружении.

Воспользуйтесь информацией в следующих разделах для планирования обмена данными с клиентами на базе Windows.

Начиная с Configuration Manager с пакетом обновления 1 (SP1), можно управлять клиентами, работающими под управлением Linux и UNIX. Клиенты под управлением Linux и UNIX функционируют в качестве клиентов рабочих групп. Дополнительные сведения о поддержке компьютеров, которые находятся в рабочих группах, см. в разделе Планирование взаимодействий между лесами в Configuration Manager. Дополнительные сведения о взаимодействии для клиентов под управлением Linux и UNIX см. в разделе Планирование для связи через леса и доверие для серверов UNIX и Linux статьи Планирование развертывания клиента для серверов Linux и UNIX.

Взаимодействие, инициированное клиентами

Клиенты инициируют взаимодействие с ролями системы сайта, доменными службами Active Directory и интерактивными службами. Чтобы разрешить такое взаимодействие, брандмауэры должны пропускать сетевой трафик между клиентами и конечной точкой их взаимодействия. К конечным точкам относятся следующие компоненты:

• Точки управления, из которых клиенты загружают клиентскую политику.

• Точки распространения, из которых клиенты загружают содержимое.

• Точки обновления программного обеспечения

• Следующие дополнительные роли системы сайта предназначены для задач, свойственных определенным компонентам.

  • Точка веб-сайта каталога приложений.

  • Модуль политики Configuration Manager (NDES)

  • Резервная точка состояния.

  • Точка миграции состояния

  • Точка проверки работоспособности систем

• Различные службы домена, такие как доменные службы Active Directory и DNS (для обнаружения службы).

• Центр обновления Майкрософт для обеспечения защиты от вредоносных программ.

• Облачные ресурсы, такие как Центр обновления Майкрософт или Microsoft Azure и Microsoft Intune при использовании этих облачных служб вместе с Configuration Manager.

Дополнительные сведения о портах и протоколах, используемых клиентами при взаимодействии с этими конечными точками, см. в статье Техническая справка по портам, используемым в Configuration Manager.

Прежде чем клиент сможет связаться с ролью системы сайта, он использует обнаружение службы для поиска роли системы сайта, которая поддерживает клиентский протокол (HTTP или HTTPS). По умолчанию клиенты используют наиболее безопасный из доступных методов.

• Чтобы использовать протокол HTTPS, требуется инфраструктура открытых ключей (PKI); необходимо установить PKI-сертификаты на клиентах и серверах. Сведения о том, как использовать сертификаты, см. в разделе Требования к PKI-сертификатам для Configuration Manager.

• При развертывании роли системы сайта, использующей службы IIS и поддерживающей взаимодействие с клиентами, необходимо указать, по какому протоколу клиенты подключаются к системе сайта — HTTP или HTTPS. При использовании HTTP необходимо настроить параметры подписывания и шифрования. Дополнительные сведения см. в статье Планирование подписывания и шифрования.

Следующие роли системы сайта и службы поддерживают подключения клиентов по протоколу HTTPS:

• Точка веб-сайта каталога приложений.

• Модуль политики Configuration Manager

• Точка распространения (для облачных точек распространения требуется протокол HTTPS)

• Точка управления.

• Точка обновления программного обеспечения

• Точка миграции состояния

Помимо приведенных выше сведений при планировании работы клиентов, находящихся в ненадежных расположениях, следует учитывать рекомендации, приведенные в разделе "Рекомендации по взаимодействию с клиентами из Интернета или ненадежного леса".

Обнаружение службы и определение клиентами назначенной им точки управления

Клиенты определяют точку управления назначенного им сайта по умолчанию во время их первой установки и назначения сайту. Когда клиент находит точку управления своего сайта по умолчанию, эта точка управления становится назначенной точкой управления клиента. Такое назначение определяется клиентом.

• Начиная с накопительного пакета обновлений 3 для System Center 2012 R2 Configuration Manager можно использовать сходство точки управления (https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx), чтобы настроить клиент для использования одной или нескольких точек управления.

• Начиная с System Center 2012 Configuration Manager с пакетом обновления 2 (SP2), можно использовать предпочтительные точки управления. Предпочтительная точка управления — это точка, связанная с группой границ в качестве сервера системы сайта, аналогично тому, как точки распространения или точки миграции состояния связаны с группой границ. Если включены предпочтительные точки управления для иерархии, при использовании точки управления с назначенного сайта клиент будет пытаться использовать предпочтительную точку управления перед применением других точек управления назначенного сайта.

После клиент имеет назначенную точку управления, он периодически выполняет запрос обнаружения службы для точки управления по умолчанию своего сайта, если она изменилась.

Каждый раз, когда клиенту необходимо определить используемую точку управления, он проверяет список известных точек управления (который также называется списком MP), который хранит локально в инструментарии WMI. Клиент создает исходный список точек управления во время установки и затем периодически добавляет в него сведения о каждой точке управления в иерархии.

Если клиент не может найти допустимую точку управления в своем списке точек управления, он производит поиск по следующим источникам обнаружения службы в указанном порядке, пока не найдет точку управления, которую сможет использовать:

1. Точка управления.

2. Доменные службы Active Directory

3. DNS

4. WINS

Когда клиент успешно находит точку управления и связывается с ней, он загружает текущий список точек управления, доступных в иерархии, и обновляет свой локальный список. Это в равной степени относится к клиентам, как присоединенным, так и не присоединенным к домену.

Например, если расположенный в Интернете клиент Configuration Manager подключается к интернет-точке управления, эта точка управления отправляет такому клиенту список доступных на сайте интернет-точек управления. Аналогичным образом клиенты, присоединенные к домену или организованные в рабочие группы, получают список точек управления, которые они могут использовать.

• Клиенту, который не настроен для работы в Интернете, точки управления, доступные только через Интернет, не предоставляются.

• Клиенты рабочей группы, настроенные на работу через Интернет, взаимодействуют исключительно с точками управления, подключенными к Интернету.

Ниже приведены сведения о каждом источнике обнаружения службы:

Список точек управления

Список точек управления клиента — это предпочтительный источник для обнаружения службы, так как он представляет собой упорядоченный список точек управления, ранее определенных клиентом. Этот список сортируется по каждому клиенту в зависимости от того, где в сети находился клиент во время обновления списка, и затем сохраняется локально на клиенте в инструментарии WMI.

Создание исходного списка точек управления

Во время установки клиента для построения его исходного списка точек управления применяются следующие правила:

• Исходный список содержит точки управления, указанные во время установки клиента (при использовании параметра SMSMP= или /MP).

• Клиент запрашивает у доменных служб Active Directory (AD DS) опубликованные точки управления. Для идентификации из AD DS точка управления должна относится к назначенному клиенту сайту и иметь ту же версию продукта, что и клиент.

• Если во время установки клиента точка управления не была указана, а схема Active Directory не расширена, клиент проверяет DNS и WINS на наличие опубликованных точек управления.

• При построении исходного списка сведения о некоторых точках управления в иерархии не могут быть известны.

Упорядочение списка точек управления

Клиенты упорядочивают свой список точек управления по следующим категориям:

• Прокси: прокси-точка управления является точкой управления на вторичном сайте.

• Локальная: любая точка управления, сопоставленная с текущим сетевым расположением клиента в соответствии с границами сайта.

  • Когда клиент входит в несколько групп границ, список локальных точек управления определяется для совокупности всех границ, включающих в себя текущее сетевое расположение клиента.

  • Обычно локальные точки управления представляют собой подмножество назначенных клиенту точек управления, если только клиент не находится в сетевом расположении, которое сопоставлено с другим сайтом с точками управления, обслуживающими его группы границ.

• Назначенная: любая точка управления, которая является системой сайта для назначенного клиенту сайта.

  Начиная с System Center 2012 Configuration Manager с пакетом обновления 2 (SP2), можно использовать предпочтительные точки управления. Предпочтительные точки управления — это точки управления назначенного сайта клиента, связанные с группой границ, которую клиент использует для поиска серверов системы сайта.

  Точки управления на сайте, не связанные с группой границ или не входящие в группу границ, связанную с текущим сетевым расположением клиента, не считаются предпочтительными и будут использоваться, если клиент не сможет определить предпочтительную точку управления.

Выбор используемой точки управления

Обычно во время взаимодействия клиент пытается использовать точку управления из категорий в указанном ниже порядке в зависимости от своего сетевого расположения:

1. Прокси

2. Локально

3. Назначено

Однако клиент всегда использует назначенную точку управления для сообщений регистрации и определенных сообщений политики, даже если остальное взаимодействие осуществляется с прокси-точкой управления или локальной точкой управления.

Внутри каждой классификации (прокси, локальные или назначенные) клиенты пытаются использовать соответствующую заданным параметрам точку управления в следующем порядке:

1. С поддержкой HTTPS в доверенном или локальном лесу (когда клиент настроен для связи по протоколу HTTPS)

2. С поддержкой HTTPS вне доверенного или локального леса (когда клиент настроен для связи по протоколу HTTPS)

3. С поддержкой HTTP в доверенном или локальном лесу

4. С поддержкой HTTP вне доверенного или локального леса

Из набора точек управления, отсортированных по заданным параметрам, клиенты пытаются использовать самую первую точку управления в списке:

• Этот отсортированный список точек управления имеет случайный характер и не может быть упорядочен.

• Порядок элементов в списке может меняться при обновлении клиентом своего списка точек управления.

Если клиент не может установить соединение с первой точкой управления, он пробует связаться с каждой последующей точкой управления в списке, начиная с предпочтительных точек управления по заданной классификации. Если клиент не может успешно связаться с какой-либо точкой управления в данной классификации, он попытается связаться с предпочтительной точкой управления из следующей классификации и т. д., пока не найдет подходящую точку управления.

После установления соединения с точкой управления клиенты продолжают использовать ее до выполнения одного из следующих условий:

• Через 25 часов клиент случайным образом выбирает новую точку управления.

• Клиенту не удается связаться с точкой управления за 5 попыток в течение 10 минут, после чего клиент выбирает новую точку управления.

Active Directory

Присоединенные к домену клиенты могут использовать доменные службы Active Directory (AD DS) для обнаружения службы. Для этого сайты должны публиковать данные в Active Directory.

Клиенты могут использовать доменные службы Active Directory для обнаружения служб, если выполняются все перечисленные ниже условия:

• Схема Active Directory была расширена для System Center 2012 Configuration Manager либо для Configuration Manager 2007.

• Лес Active Directory настроен на публикацию, как и сайты Configuration Manager.

• Клиентский компьютер входит в домен Active Directory и имеет доступ к серверу глобального каталога.

Если клиенту не удается найти точку управления для обнаружения службы в доменных службах Active Directory, он предпринимает попытку использовать DNS. Присоединенные к домену клиенты могут использовать доменные службы Active Directory для обнаружения службы. Для этого сайты должны публиковать данные в Active Directory.

DNS

Клиенты в интрасети могут использовать DNS для обнаружения службы. Для этого хотя бы один сайт в иерархии должен публиковать сведения о точках управления в DNS.

Рассмотрите возможность использования DNS для обнаружения службы, если выполняется одно из следующих условий:

• Схема доменных служб Active Directory не расширена для поддержки Configuration Manager.

• Клиенты в интрасети расположены в лесу, в котором не включена публикация Configuration Manager.

• У вас есть клиенты на компьютерах рабочих групп, не настроенные для управления только через Интернет. (Клиент рабочей группы, настроенный на работу через Интернет, взаимодействует исключительно с точками управления, подключенными к Интернету, и не будет использовать DNS для обнаружения службы).

• Вы можете настроить клиенты на поиск точек управления в DNS.

Когда сайт публикует в DNS записи обнаружения службы для точек управления:

• Публикация применяется только к точкам управления, которые принимают клиентские подключения из интрасети.

• Публикация добавляет запись ресурса обнаружения службы (SRV RR) в зоне DNS на компьютере точки управления. В DNS для данного компьютера должна существовать соответствующая запись узла.

По умолчанию присоединенные к домену клиенты выполняют в DNS поиск записей точек управления из локального домена клиента. Вы можете настроить свойство клиента, указывающее доменный суффикс для домена, не имеющего опубликованных в DNS сведений о точке управления.

Дополнительные сведения о настройке свойства DNS-суффикса клиентов см. в разделе Настройка клиентских компьютеров на поиск точек управления с использованием публикации DNS в Configuration Manager.

Если клиенту не удается найти точку управления для обнаружения службы в DNS, он предпринимает попытку использовать WINS.

Публикация точки управления в DNS

Для публикации точек управления в DNS должны быть выполнены следующие два условия.

• DNS-серверы поддерживают записи обнаружения службы с использованием BIND версии 8.1.2 или более поздней.

• Указанные полные доменные имена точек управления в интрасети, хранящиеся в Configuration Manager, имеют записи узлов (например, записи A) в DNS.

Важно
Реализованная в Configuration Manager публикация в DNS не поддерживает использование несвязанного пространства имен. При наличии несвязанного пространства имен можно вручную опубликовать точки управления в DNS или воспользоваться одним из других альтернативных методов обнаружения служб, описанных в этом разделе.

Если DNS-серверы поддерживают автоматическое обновление, можно настроить Configuration Manager для автоматической публикации в DNS точек управления, находящихся в интрасети, или же можно вручную опубликовать эти записи в DNS. При публикации точек управления в DNS их полное доменное имя в интрасети и номер порта публикуются в записи обнаружения службы (SRV). Настройка публикации DNS на сайте осуществляется в разделе "Свойства компонента точки управления". Дополнительные сведения см. в статье Настройка компонентов сайта в Configuration Manager.

Если DNS-серверы не поддерживают автоматическое обновление, но поддерживают записи обнаружения службы, можно вручную опубликовать точки управления в DNS. Для этого необходимо вручную указать запись ресурса обнаружения службы (SRV RR) в DNS.

Configuration Manager поддерживает стандарт записи расположения служб RFC 2782, имеющий следующий формат:

_Service._Proto.Name TTL Class SRV Priority Weight Port Target

Чтобы опубликовать точку управления в Configuration Manager, укажите следующие значения:

• _Service: введите _mssms_mp*_<код_сайта>*, где <код_сайта> — это код сайта точки управления.

• ._Proto: укажите ._tcp.

• .Name: введите DNS-суффикс точки управления, например contoso.com.

• TTL: введите 14400, что составляет четыре часа.

• Класс: укажите IN (в соответствии с RFC 1035).

• Приоритет: это поле не используется в Configuration Manager.

• Вес: это поле не используется в Configuration Manager.

• Порт: введите номер порта, используемого точкой управления. Например, 80 для HTTP и 443 для HTTPS.

  Примечание
  Порт записи SRV должен соответствовать порту связи, используемому точкой управления. По умолчанию используется порт 80 для HTTP-соединений и порт 443 для HTTPS-соединений.

• Целевой объект: введите полное доменное имя в интрасети, указанное для системы сайта, для которой настроена роль сайта точки управления.

При использовании Windows Server DNS можно использовать следующую процедуру ввода DNS-записей для точек управления в интрасети. При использовании другой реализации DNS воспользуйтесь сведениями в этом разделе о значениях полей и обратитесь к документации к серверу DNS для адаптации описанной процедуры.

Порядок настройки автоматической публикации:

1. В консоли Configuration Manager разверните узел Администрирование > Конфигурация сайта > Сайты.

2. Выберите сайт и нажмите кнопку Настройка компонентов сайта.

3. Выберите элемент Точка управления.

4. Выберите точки управления, которые хотите опубликовать. (Этот выбор распространяется на публикацию как в доменных службах Active Directory, так и в DNS.)

5. Установите флажок для публикации в DNS:

   - В этом диалоговом окне можно выбрать публикуемые точки управления и выполнить публикацию в DNS.
   
   - Данное диалоговое окно не позволяет настроить публикацию в доменных службах Active Directory.
   

Публикация точек управления DNS в Windows Server вручную

1. В консоли Configuration Manager укажите полные доменные имена систем сайтов в интрасети.

2. В консоли управления DNS выберите зону DNS для компьютера точки управления.

3. Убедитесь в наличии записи узла (A или AAAA) для полного доменного имени интрасети системы сайта. Если запись не существует, создайте ее.

4. В разделе Новые прочие записи выберите параметр Расположение службы (SRV) в диалоговом окне Тип записи ресурса, затем нажмите Создать запись, введите приведенную ниже информацию и нажмите Готово.

   - **Домен**: если необходимо, введите DNS-суффикс точки управления, например **contoso.com**.
   
   - **Служба**: введите **\_mssms\_mp***\_\<код\_сайта\>*, где *\<код\_сайта\>* — это код сайта точки управления.
   
   - **Протокол**: введите **\_tcp**.
   
   - **Приоритет**: это поле не используется в Configuration Manager.
   
   - **Вес**: это поле не используется в Configuration Manager.
   
   - **Порт**: введите номер порта, используемого точкой управления. Например, **80** для HTTP и **443** для HTTPS.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Порт записи SRV должен соответствовать порту связи, используемому точкой управления. По умолчанию используется порт <strong>80</strong> для HTTP-соединений и порт <strong>443</strong> для HTTPS-соединений.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - **Узел этой службы**: введите полное доменное имя в интрасети, указанное для системы сайта, для которой настроена роль сайта точки управления.
   

Повторите эти действия для каждой точки управления в интрасети, которую нужно опубликовать в DNS.

WINS

В случае сбоя других механизмов обнаружения службы клиенты могут найти исходную точку управления, проверив WINS.

По умолчанию первичный сайт публикует в WINS первую точку управления на сайте, настроенную на использование протокола HTTP, и первую точку управления, настроенную на использование протокола HTTPS.

Если не требуется, чтобы клиенты находили точку управления HTTP в WINS, настройте их с помощью CCMSetup.exe Client.msi SMSDIRECTORYLOOKUP=NOWINS.

Планирование способов перевода клиентов в рабочий режим

Чтобы вывести компьютеры из спящего режима в случае, если требуется установить необходимое программное обеспечение (например, обновления ПО и приложения), Configuration Manager поддерживает две технологии пробуждения по локальной сети: традиционные wake-up пакеты и команды включения питания AMT.

Начиная с Configuration Manager с пакетом обновления 1 (SP1), традиционный метод пробуждения с помощью пакета можно дополнить еще одним методом с использованием клиентских параметров прокси-сервера пробуждения. Прокси-сервер пробуждения использует одноранговый протокол и специально выбранные компьютеры для проверки режима работы других компьютеров в подсети, а также для вывода их из спящего режима при необходимости. Когда сайт настроен для использования пробуждения по локальной сети и клиенты настроены для использования прокси-сервера пробуждения, эта процедура выглядит следующим образом:

1. Компьютеры с установленным клиентом Configuration Manager с пакетом обновления 1 (SP1), расположенные в одной подсети и не находящиеся в спящем режиме, проверяют, находятся ли другие компьютеры подсети в спящем режиме. С этой целью каждые 5 секунд компьютеры отправляют друг другу команду ping по TCP/IP.

2. Если от других компьютеров нет ответа, предполагается, что они находятся в спящем режиме. Вышедшие из спящего режима компьютеры становятся управляющими компьютерами подсети.

   Даже если компьютер не находится в спящем режиме, помешать отправке ответа могут и другие причины (например, компьютер может быть отключен, выведен из сети или к нему больше не применяются параметры прокси-сервера пробуждения). Поэтому компьютерам ежедневно в 14:00 дня по местному времени отправляется пакет пробуждения. Компьютеры, которые не отвечают на пакеты, считаются вышедшими из спящего режима и прокси-сервер пробуждения не будет выводить их из спящего режима.

   Поддержка прокси-сервера пробуждения требует наличия хотя бы трех пробудившихся компьютеров в каждой подсети. С этой целью три компьютера случайным образом выбираются в качестве контролеров подсети. Это означает, что данные компьютеры не переходят в спящий режим, несмотря на любые настроенные политики управления электропитанием, которые могу требовать перехода в спящий режим или гибернацию после периода бездействия. Компьютеры-контролеры откликаются на команды отключения или перезапуска, которые могут быть отданы в ходе их технического обслуживания. В этом случае оставшиеся компьютеры-контролеры выводят какой-либо другой компьютер из спящего режима, чтобы в подсети всегда оставалось три компьютера-контролера.

3. Управляющие компьютеры настраивают сетевые коммутаторы для перенаправления себе всего трафика, который передается компьютерам в спящем режиме.

   Перенаправление достигается путем широковещания компьютером-диспетчером фрейма Ethernet, который использует MAC-адрес компьютера в спящем режиме в качестве исходного адреса. Это создает такое поведение сетевого коммутатора, как если бы спящий компьютер переместился в тот порт, в котором находится компьютер-диспетчер. Компьютер-диспетчер также отправляет для спящего компьютера пакеты протокола ARP, чтобы поддерживать запись свежей в кэше ARP. Компьютер-диспетчер также будет реагировать на запросы ARP от имени спящего компьютера и отвечать MAC-адресом спящего компьютера.

   Предупреждение

   В течение этого процесса сопоставление IP-to-MAC остается прежним. Wake-up прокси работает путем информирования сетевого коммутатора, что порт, зарегистрированный одним сетевым адаптером, использует другой сетевой адаптер. Однако это поведение называется нестабильностью MAC-адреса (MAC flap) и не является обычным для стандартной работы сети. Некоторые инструменты мониторинга сети ищут такое поведение и могут предположить, что что-то не так. Следовательно, эти инструменты мониторинга могут создавать оповещения или отключать порты, если используется wake-up прокси. Не используйте wake-up прокси, если ваши инструменты и службы мониторинга сети не разрешают нестабильность MAC-адреса.

4. Когда компьютер-диспетчер видит новый запрос подключения TCP для спящего компьютера, и этот запрос поступает в порт, который прослушивался спящим компьютером до его перехода в спящий режим, компьютер-диспетчер отправляет на спящий компьютер wake-up пакет, а затем прекращает перенаправление трафика для этого компьютера.

5. Спящий компьютер получает wake-up пакет и выходит из спящего режима. Отправляющий компьютер автоматически повторяет подключение, и на этот раз компьютер находится в активном состоянии и может ответить.

Для wake-up прокси существуют следующие необходимые условия и ограничения.

Важно

Если имеется отдельная группа, которая отвечает за сетевую инфраструктуру и сетевые службы, следует уведомить и включить эту группу во время периода оценки и тестирования. Например, в сети, использующей управление сетевым доступом 802.1X, прокси пробуждения не будет работать и может повредить сетевую службу. Кроме того, прокси-сервер пробуждения может привести к тому, что некоторые инструменты мониторинга сети будут создавать оповещения при обнаружении трафика для пробуждения других компьютеров.

• Поддерживаемые клиенты — Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012.

• Не поддерживаются гостевые операционные системы, работающие на виртуальной машине.

• На клиентах должен работать Configuration Manager с пакетом обновления 1 (SP1), и должен быть разрешен wake-up прокси с помощью клиентских параметров. Хотя работа wake-up прокси не зависит от инвентаризации оборудования, клиенты не сообщают об установке службы wake-up прокси, пока для них не будет включена инвентаризация оборудования и не будет отправлена хотя бы одна инвентаризация оборудования.

• Для сетевых адаптеров (и возможно для BIOS) должны быть включены и настроены wake-up пакеты. Если для сетевого адаптера не настроены wake-up пакеты, или если этот параметр отключен, то Configuration Manager будет автоматически настраивать и включать его для компьютера при получении параметра клиента, включающего wake-up прокси.

• Если компьютер имеет несколько сетевых адаптеров, то невозможно настроить конкретный адаптер для использования wake-up прокси; этот выбор не является детерминированным. Однако выбранный адаптер записывается в файл SleepAgent_<ДОМЕН>@SYSTEM_0.log.

• Сеть должна разрешать запросы проверки связи ICMP (по крайней мере в подсети). Невозможно настроить 5-секундный интервал, используемый для отправки команд ping ICMP.

• Обмен данными осуществляется в незашифрованном виде и без проверки подлинности, и IPsec не поддерживается.

• Не поддерживаются следующие конфигурации сети:

  • 802.1X с проверкой подлинности портов;

  • беспроводные сети;

  • сетевые коммутаторы, привязывающие MAC-адреса к конкретным портам;

  • сети только с протоколом IPv6;

  • продолжительность аренды DHCP менее 24 часов.

По соображениям безопасности рекомендуется использовать команды включения питания AMT вместо wake-up пакетов, если это возможно. Поскольку команды включения питания AMT для защиты подключения применяют PKI-сертификаты, эта технология является более безопасной, чем отправка wake-up пакетов. Команды включения питания AMT используются только на компьютерах с поддержкой Intel AMT. Дополнительные сведения об управлении компьютерами с поддержкой AMT в Configuration Manager см. в статье Общие сведения об использовании аппаратного контроллера управления в Configuration Manager.

Чтобы перевести компьютеры в рабочий режим и выполнить запланированную установку программного обеспечения, на каждом первичном сайте необходимо настроить один из следующих трех параметров.

• Использовать команды включения питания AMT, если компьютеры поддерживают эту технологию; в противном случае использовать wake-up пакеты.

• Использовать только команды включения питания AMT.

• Использовать только wake-up пакеты.

Чтобы использовать wake-up прокси в Configuration Manager с пакетом обновления 1 (SP1), помимо выбора параметра Использовать только wake-up пакеты необходимо развернуть параметры клиента wake-up прокси управления питанием.

В следующей таблице содержатся дополнительные сведения о различиях между двумя технологиями пробуждения по локальной сети (WOL), традиционными wake-up пакетами и командами включения питания.

Технология	Преимущество	Недостаток
Традиционные wake-up пакеты	Дополнительные роли систем сайта не требуются. Поддерживаются многими сетевыми адаптерами. Быстрая отправка и обработка UDP wake-up пакетов. Не требуется инфраструктура PKI. Не требуется вносить изменения в доменные службы Active Directory. Поддерживаются на компьютерах рабочих групп, компьютерах из другого леса Active Directory и компьютерах из того же леса Active Directory, но с несмежным пространством имен.	Менее безопасное решение, чем команды включения питания AMT, поскольку оно не использует проверку подлинности или шифрование. Если для wake-up пакетов используются широковещательные передачи трафика для подсети, существует риск возникновения smurf-атак. На каждом компьютере может потребоваться ручная настройка параметров BIOS и конфигурации адаптера. Подтверждение о переводе компьютеров в рабочий режим не выводится. Отправки сигналов пробуждения в виде нескольких пакетов UDP могут привести к перегрузке доступной полосы пропускания. За исключением использования wake-up прокси с Configuration Manager SP1, невозможно интерактивное пробуждение компьютеров. Возврат компьютеров в режим сна невозможен. Функции управления ограничены только переводом компьютеров в рабочий режим.
Команды включения питания AMT	Более надежное решение по сравнению с традиционными wake-up пакетами, поскольку оно обеспечивает проверку подлинности и шифрование с помощью стандартных отраслевых протоколов безопасности. Это решение может интегрироваться с существующим развертыванием PKI, а управление элементами безопасности осуществляется независимо от продукта. Поддерживает процессы автоматической централизованной настройки и конфигурации (инициализация AMT). Установленный сеанс передачи для более надежного и доступного для аудита подключения. Компьютеры могут быть выведены из спящего режима (и перезапущены) в интерактивном режиме. Питание компьютеров может быть выключено в интерактивном режиме. Дополнительные возможности управления, в число которых входят следующие. Перезапуск неработающего компьютера или загрузка с локально подключенного устройства или известного неповрежденного загрузочного файла образа. Повторное развертывание образа на компьютере с использованием файла загрузочного образа, расположенного в сети, или с использованием сервера PXE. Перенастройка параметров BIOS на выбранном компьютере и обход пароля BIOS, если это поддерживается производителем BIOS. Загрузка операционной системы с интерфейсом командной строки для выполнения команд, запуска средств восстановления или диагностических приложений (например, обновления встроенного ПО или запуска средства восстановления диска).	На сайте требуется наличие точки обслуживания аппаратного контроллера управления и точки регистрации. Поддерживается только на компьютерах с набором микросхем Intel vPro и поддерживаемой версией микропрограммы Intel Active Management Technology (Intel AMT). Дополнительные сведения о поддерживаемых версиях AMT см. в статье Поддерживаемые конфигурации для диспетчера конфигурации. Для сеанса передачи требуется больше времени на установку, более высокий уровень обработки на сервере и больший объем передаваемых данных. Требуется развертывание PKI и конкретные сертификаты. Требуется контейнер Active Directory, который создан и настроен для публикации компьютеров с поддержкой AMT. Не поддерживает компьютеры рабочих групп, компьютеры из другого леса Active Directory или компьютеры из того же леса Active Directory, но с несмежным пространством имен. Требуются изменения DNS и DHCP для поддержки инициализации AMT.

Выберите способ перевода компьютеров в рабочий режим в зависимости от того, поддерживаются ли команды включения питания AMT и поддерживают ли компьютеры, назначенные сайту, технологию пробуждения по локальной сети. Также учтите преимущества и недостатки обеих указанных в предыдущей таблице технологий. Например, wake-up пакеты менее надежны и не защищены, а для установки команд включения питания требуется больше времени и ресурсов обработки на сервере системы сайта, который настроен с точкой обслуживания аппаратного контроллера управления.

Важно

Поскольку установка, поддержка и завершение сеанса использования аппаратного контроллера управления связаны с дополнительными издержками, проведите собственное тестирование решения, чтобы оценить фактические временные затраты на пробуждение нескольких компьютеров с помощью команд включения питания AMT в вашей среде (например, по медленным каналам подключения по глобальной сети к компьютерам на вторичных сайтах). Информация, полученная благодаря тестированию, позволяет определить, насколько практично использовать команды включения питания AMT для пробуждения нескольких компьютеров для выполнения запланированных действий, когда требуется пробудить большое число компьютеров в течение короткого периода.

Приняв решение об использовании традиционных wake-up пакетов, также необходимо выбрать использование пакетов широковещательной рассылки, направленных на подсеть, либо пакетов одноадресной рассылки и номер порта UDP. По умолчанию традиционные wake-up пакеты передаются с помощью порта UDP 9, однако для повышения уровня безопасности можно выбрать альтернативный порт для сайта, если этот порт поддерживается промежуточными маршрутизаторами и брандмауэрами.

Для обычных пакетов wake-up: выбор одноадресной рассылки или направленной на подсеть широковещательной рассылки для пробуждения по локальной сети

Если для пробуждения компьютеров выбрана отправка традиционных wake-up пакетов, необходимо решить, какие пакеты следует отправлять: пакеты одноадресной рассылки или направленные на подсеть пакеты широковещательной рассылки. Если используется wake-up прокси с Configuration Manager SP1, то необходимо использовать пакеты одноадресной рассылки. В противном случае обратитесь к следующей таблице, которая поможет выбрать метод передачи.

Метод передачи	Преимущество	Недостаток
Одноадресная рассылка	Более надежное решение по сравнению с направленной на подсеть широковещательной рассылкой, поскольку пакет отправляется непосредственно на компьютер, а не на все компьютеры подсети. Перенастройка маршрутизаторов может не потребоваться (может потребоваться настройка кэша ARP). Использует меньше пропускной способности сети, чем направленные на подсеть широковещательные передачи. Поддержка IPv4 и IPv6.	Wake-up пакеты не обнаруживают конечные компьютеры, адрес подсети которых был изменен после последнего расписания инвентаризации оборудования. Может потребоваться настройка параметров для пересылки пакетов UDP. Некоторые сетевые адаптеры могут не отвечать wake-up пакетам во всех режимах сна, если в качестве метода передачи они используют одноадресную рассылку.
Направленная на подсеть широковещательная рассылка	Более высокий процент успешных операций, чем при одноадресной рассылке (при наличии компьютеров с часто меняющимися IP-адресами в одной подсети). Перенастройка параметров не требуется. Высокий показатель совместимости с адаптерами компьютера для всех режимов сна, поскольку направленные на подсеть широковещательные рассылки были исходным методом передачи при отправке wake-up пакетов.	Менее надежное решение по сравнению с одноадресной рассылкой, поскольку злоумышленник может отправлять непрерывные потоки эхо-запросов протокола ICMP с поддельного исходного адреса на адрес направленной широковещательной рассылки. В результате все узлы будут отвечать на этот исходный адрес. Если маршрутизаторы настроены на разрешение направленных на подсеть широковещательных рассылок, из соображений безопасности рекомендуется выполнить дополнительные настройки: настройка маршрутизаторов для разрешения только IP широковещательных рассылок с сервера сайта Configuration Manager с помощью указанного номера порта UDP; настройка Configuration Manager для использования указанного номер порта не по умолчанию. Для включения направленных на подсеть широковещательных рассылок может потребоваться перенастройка всех промежуточных маршрутизаторов. Использует больше пропускной способности сети, чем одноадресные рассылки. Поддерживается только с IPv4; IPv6 не поддерживается.

Предупреждение

Существуют угрозы безопасности, связанные с трансляциями, направляемыми подсетями. Злоумышленник может отправлять непрерывные потоки запросов эха протокола ICMP с поддельного исходного адреса на адрес направленной широковещательной рассылки, в результате чего все узлы будут отвечать на этот исходный адрес. Этот тип атаки отказа в обслуживании обычно называется smurf-атакой, которая нейтрализуется путем запрета направленных на подсеть широковещательных рассылок.

Планирование взаимодействий между лесами в Configuration Manager

System Center 2012 Configuration Manager поддерживает сайты и иерархии, которые охватывают леса Active Directory.

Configuration Manager также поддерживает компьютеры домена, которые находятся не в одном с сервером сайта лесу Active Directory, и компьютеры, входящие в рабочие группы.

• Для поддержки компьютеров домена в лесу, не являющемся доверенным для леса сервера сайта, можно установить в этом ненадежном лесу роли систем сайта с возможностью публикации информации сайта в клиентском лесу Active Directory. Кроме того, этими компьютерами можно управлять как компьютерами рабочей группы. При установке серверов систем сайта в клиентском лесу обмен данными между клиентом и сервером происходит в пределах клиентского леса, и Configuration Manager может проверять подлинность компьютера с помощью Kerberos. При публикации информации сайта в клиентском лесу преимущество для клиентов состоит в получении информации сайта, такой как список доступных точек управления, из своего леса Active Directory вместо загрузки этой информации из своей назначенной точки управления.

  Примечание
  Если требуется управлять устройствами, находящимися в Интернете, можно установить интернет-роли систем сайта в сети периметра, когда серверы систем сайта находятся в лесу Active Directory. В этом сценарии не требуется двустороннее доверие между сетью периметра и лесом сервера сайта.

• Для поддержки компьютеров в рабочей группе необходимо вручную утвердить эти компьютеры, если они используют подключение клиентов к ролям систем сайта по протоколу HTTP, поскольку Configuration Manager не может проверить подлинность этих компьютеров с помощью Kerberos. Кроме того, необходимо настроить учетную запись доступа к сети, чтобы эти компьютеры могли извлекать содержимое из точек распространения. Поскольку эти клиенты не могут извлекать информацию сайта из доменных служб Active Directory, необходимо предоставить им другой механизм поиска точек управления. Можно использовать публикацию DNS, WINS или прямой доступ к точке управления.

  Дополнительные сведения об утверждении клиентов см. в разделе Настроить параметры для утверждения клиентов и конфликтующих записей клиентов статьи Настройка параметров для управления клиентами в Configuration Manager.

  Дополнительные сведения о настройке учетной записи сетевого доступа см. в разделе Настройка учетной записи доступа к сети статьи Настройка управления содержимым в Configuration Manager.

  Дополнительные сведения об установке клиентов на компьютерах рабочей группы см. в разделе Установка клиентов Configuration Manager на компьютерах в составе рабочей группы статьи Установка клиентов на компьютерах под управлением Windows в Configuration Manager.

Configuration Manager поддерживает коннектор Exchange Server, расположенный в лесу, отличном от леса сервера сайта. В этом случае необходимо убедиться, что в лесах выполняется разрешение имен (например, настроить пересылки DNS), и при настройке коннектора Exchange Server указать полное доменное имя сервера Exchange Server. Дополнительные сведения см. в статье Управление мобильными устройствами с помощью Configuration Manager и Exchange.

Если проект Configuration Manager охватывает несколько доменов и лесов Active Directory, используйте дополнительные сведения из следующей таблицы, которые будут полезны при планировании указанных типов взаимодействия.

Сценарий	Подробные сведения	Дополнительные сведения
Взаимодействие между сайтами в иерархии, распространяющееся на леса. Требуется двустороннее доверие между лесами, которое поддерживает необходимую для Configuration Manager проверку подлинности Kerberos.	Configuration Manager поддерживает установку дочернего сайта в удаленном лесу, где имеется необходимое двустороннее доверие с лесом родительского сайта. Например, вы можете разместить вторичный сайт в другом лесу, отличном от первичного родительского сайта, если существует нужное отношение доверия. Если двустороннее доверие между лесами, которое поддерживает проверку подлинности Kerberos, отсутствует, то Configuration Manager не поддерживает размещение дочернего сайта в удаленном лесу. Примечание Дочерний сайт может быть первичным сайтом (если сайт центра администрирования является родительским сайтом) или вторичным сайтом. Межсайтовое взаимодействие в Configuration Manager использует репликацию базы данных и передачи файлов. При установке сайта необходимо указать учетную запись для установки сайта на конечном сервере. Эта учетная запись также устанавливает и поддерживает взаимодействие между сайтами. После того, как успешно установленный сайт начнет передачу файлов и репликацию базы данных, дополнительные настройки выполнять не требуется. Дополнительные сведения об установке сайта см. в разделе Установка сервера сайта статьи Установка сайтов и создание иерархии для Configuration Manager.	При наличии двустороннего доверия между лесами Configuration Manager не требует дополнительных действий по настройке. По умолчанию при установке нового сайта в качестве дочернего сайта другого сайта Configuration Manager выполняет следующие настройки. Адрес межсайтовой файловой репликации на каждом сайте, который использует учетную запись компьютера сервера сайта.Configuration Manager добавляет учетную запись каждого компьютера в группу SMS_SiteToSiteConnection_ <код_сайта> на конечном компьютере. Репликация базы данных между SQL Server на каждом сайте. Необходимо также выполнить следующие настройки. Промежуточные брандмауэры и сетевые устройства должны разрешать передачу сетевых пакетов, необходимых Configuration Manager. Между лесами должно выполняться разрешение имен. Чтобы установить сайт или роль системы сайта, необходимо задать учетную запись с правами локального администратора на указанном компьютере.
Взаимодействие на сайте, охватывающем леса. Двустороннее доверие между лесами не требуется.	Первичные сайты поддерживают установку ролей системы сайта на компьютерах в других лесах. Существует два исключения — точка обслуживания аппаратного контроллера управления и точка веб-службы каталога приложений, которые следует устанавливать в том же лесу, что и сервер сайта. Если роль системы сайта принимает подключения из Интернета, следует принять во внимание рекомендации по обеспечению безопасности и установить эти роли систем сайта в таком расположении, где граница леса обеспечивает защиту сервера сайта (например, в сети периметра). При установке роли системы сайта на компьютере в лесу без доверия: Необходимо указать значение Учетная запись установки системы сайта, используемое для установки роли системы сайта. Эта учетная запись должна иметь учетные данные локального администратора для подключения к указанному компьютеру, на котором будут установлены роли систем сайта. Необходимо выбрать параметр системы сайта Сервер сайта должен инициировать подключения к этой системе сайта. Эта вынуждает сервер сайта устанавливать подключения к серверу системы сайта для передачи данных. Таким образом, компьютер в расположении, не имеющем доверия, не сможет подключаться к серверу сайта, расположенному в доверенной сети. Эти соединения используют значение Учетная запись установки системы сайта. При использовании роли системы сайта в лесу без доверия брандмауэры должны разрешать прохождение сетевого трафика, даже если сервер сайта инициирует передачу данных. Кроме того, следующим ролям системы сайта требуется прямой доступ к базе данных сайта. Поэтому брандмауэры должны разрешать прохождение соответствующего трафика из ненадежного леса на сайты SQL Server: точка синхронизации каталога аналитики активов; Точка Endpoint Protection Точка регистрации Точка управления. Точка служб отчетов Точка миграции среды Дополнительные сведения см. в разделе Техническая справка по портам, используемым в Configuration Manager.	Роли систем сайта точки управления и точки регистрации подключаются к базе данных сайта. По умолчанию если эти роли систем сайта установлены, Configuration Manager настраивает учетную запись компьютера нового сервера системы сайта в качестве учетной записи подключения и добавляет ее к соответствующей роли базы данных SQL Server. При установке этих ролей систем сайта в домене, не имеющем доверия, учетную запись подключения роли системы сайта необходимо настроить для получения сведений из базы данных. Настраивая учетную запись пользователя домена для этих учетных записей подключения, следует убедиться, что учетная запись имеет соответствующий доступ к базе данных SQL Server на этом сайте. Точка управления: учетная запись подключения к базе данных точки управления Точка регистрации: учетная запись подключения точки регистрации При планировании ролей систем сайта в других лесах примите во внимание следующие дополнительные сведения. При использовании брандмауэра Windows применимые профили брандмауэра следует настроить для передачи данных между серверами базы данных и компьютерами, установленными с ролями удаленной системы сайта. Дополнительные с сведения о профилях брандмауэра см. в статье Общие сведения о профилях брандмауэра. Если точка управления интернет-клиентами доверяет лесу, содержащему учетные записи пользователей, поддерживаются политики пользователей. Если доверие отсутствует, поддерживаются только политики компьютеров.
Взаимодействие между клиентами и ролями систем сайта, если клиенты и сервер сайта находятся в разных лесах Active Directory.	Configuration Manager поддерживает для клиентов, находящихся в разных лесах с сервером их сайта, следующие сценарии. Между лесом клиента и лесом сервера сайта существует двустороннее доверие. Сервер роли системы сайта расположен в одном лесу с клиентом. Клиент находится на компьютере домена, не имеющем двустороннего отношения доверия между лесами с сервером сайта, и роли систем сайта не установлены в лесу клиента. Клиент находится на компьютере рабочей группы. Примечание Configuration Manager не может управлять компьютерами с технологией AMT с использованием аппаратного контроллера, если эти компьютеры находятся в лесу, отличном от леса сервера сайта.	Клиенты на компьютере домена могут использовать доменные службы Active Directory для поиска служб, когда их сайт публикуется в их лесу Active Directory. Чтобы опубликовать сведения сайта в другом лесу Active Directory, необходимо указать лес, а затем включить публикацию в этом лесу в узле Леса Active Directory рабочей области Администрирование. Необходимо также включить публикацию на каждом сайте, который будет публиковать свои данные в доменных службах Active Directory. Такая конфигурация позволяет клиентам в этом лесу извлекать информацию сайта и обнаруживать точки управления. Для клиентов, которые не могут использовать доменные службы Active Directory для поиска служб, можно применять DNS, WINS или назначенную точку управления клиента.

Планирование управления клиентами через Интернет

Функция управления клиентами через Интернет позволяет управлять клиентами Configuration Manager, не подключенными к сети компании, но имеющими стандартное подключение к Интернету. У такого подхода есть несколько преимуществ, в том числе снижение расходов благодаря отсутствию необходимости запускать виртуальные частные сети и возможность своевременного развертывания обновлений программного обеспечения.

Поскольку при управлении клиентскими компьютерами в общедоступной сети действуют более строгие требования в области безопасности, в случае управления клиентами через Интернет клиенты и серверы системы сайта, к которым они подключаются, должны использовать PKI-сертификаты. Это гарантирует, что подключения проходят проверку подлинности независимым центром, а передаваемые между системами сайта данные шифруются при помощи протокола SSL.

В следующих разделах содержатся сведения о планировании управления клиентами через Интернет.

Возможности, которые не поддерживаются при управлении через Интернет

Не все возможности управления клиентами подходят для использования в Интернете, поэтому они не поддерживаются при управлении клиентами через Интернет. Возможности, которые не поддерживаются при управлении через Интернет, обычно связаны с доменными службами Active Directory или не подходят для общедоступной сети (например, функции обнаружения сетевых ресурсов и пробуждения по локальной сети).

При управлении клиентами через Интернет не поддерживаются следующие возможности.

• Развертывание клиентов через Интернет, например развертывание клиента на основе принудительной установки клиента и обновления ПО. Вместо этого используется установка клиента вручную.

• Автоматическое назначение сайта.

• Защита доступа к сети (NAP).

• Пробуждение по локальной сети.

• Развертывание операционной системы. Однако допускается развертывание последовательностей задач, которые не предназначены для развертывания операционной системы; например, последовательности задач, которые запускают сценарии и задачи обслуживания на клиентах.

• Удаленное управление.

• Использование аппаратного контроллера управления.

• Развертывание программного обеспечения для пользователей, если точка управления интернет-клиентами не проверяет подлинность пользователя в доменных службах Active Directory с помощью проверки подлинности Windows (Kerberos или NTLM). Это возможно в случае, если точка управления интернет-клиентами доверяет лесу, где находится учетная запись пользователя.

Кроме того, управление клиентом через Интернет не поддерживает роуминг. Роуминг дает клиентам возможность всегда находить ближайшие точки распространения для загрузки контента. Клиенты, управляемые через Интернет, взаимодействуют с системами сайта с назначенного им сайта, если эти системы сайта настроены для использования полного доменного имени в Интернете и роли системы сайта разрешают подключения клиентов из Интернета. Независимо от пропускной способности или физического расположения клиенты недетерминированно выбирают одну из систем сайта управления интернет-клиентами.

Примечание

Теперь в System Center 2012 Configuration Manager при наличии точки обновления программного обеспечения, которая настроена для принятия подключений из Интернета, интернет-клиенты Configuration Manager всегда сканируют эту точку на предмет определения требуемых обновлений программного обеспечения. Однако находясь в Интернете, эти клиенты сначала пытаются загрузить обновления программного обеспечения из Центра обновления Майкрософт, а не из точки распространения в Интернете. Если это сделать невозможно, они будут загружать необходимые обновления из точки распространения в Интернете. Клиенты, не настроенные для управления клиентами через Интернет, никогда не загружают обновления программного обеспечения из Центра обновления Майкрософт, а всегда используют точки распространения Configuration Manager.

Рекомендации по взаимодействию с клиентами из Интернета или ненадежного леса

Следующие роли системы сайта, установленные на первичных сайтах, поддерживают соединения от клиентов, находящихся в ненадежных расположениях, таких как Интернет или лес без доверия (вторичные сайты не поддерживают подключения клиентов из ненадежных расположений):

• Точка веб-сайта каталога приложений.

• Модуль политики Configuration Manager

• Точка распространения (для облачных точек распространения требуется протокол HTTPS)

• Прокси-точка регистрации.

• Резервная точка состояния.

• Точка управления.

• Точка обновления программного обеспечения

Сведения о системах сайтов с выходом в Интернет.
Несмотря на то что в случае, если лес, который содержит систему сайта с выходом в Интернет, доверяет лесу, который содержит учетные записи пользователей, доверие между лесом клиента и лесом сервера системы сайта не требуется, эта конфигурация поддерживает пользовательские политики для устройств в Интернете при установке значения Включить запросы политик пользователей с интернет-клиентов параметра клиента Политика клиента.

Например, следующие конфигурации демонстрируют ситуации, когда управление клиентами через Интернет поддерживает политики пользователей для устройств в Интернете.

• Интернет-точка управления находится в сети периметра, где размещен контроллер домена только для чтения для проверки подлинности пользователей, и промежуточный брандмауэр разрешает передачу пакетов Active Directory.

• Учетная запись пользователя находится в лесу А (интрасеть), а интернет-точка управления — в лесу Б (сеть периметра). Лес Б доверяет лесу А, а промежуточный брандмауэр разрешает передачу пакетов проверки подлинности.

• Учетная запись пользователя и интернет-точка управления находятся в лесу А (интрасеть). Точка управления публикуется в Интернете с помощью сервера веб-прокси (такого как Forefront Threat Management Gateway).

Примечание
Если происходит сбой проверки подлинности Kerberos, автоматически предпринимается попытка выполнения проверки подлинности NTLM.

Как показано в предыдущем примере, системы сайта управления интернет-клиентами можно разместить в интрасети, если они публикуются в Интернете с помощью прокси-сервера в Интернете, такого как ISA Server и Forefront Threat Management Gateway. Эти системы сайта настраиваются только для подключений клиента из Интернета или для подключений клиента из Интернета и интрасети. Используемый прокси-сервер в Интернете можно настроить для моста SSL-SSL (более высокий уровень безопасности) или туннелирования SSL.

• Мост SSL-SSL. 
  При использовании серверов веб-прокси для управления клиентами через Интернет рекомендуется использовать мост "SSL — SSL", где применяется завершение запросов SSL с проверкой подлинности. Клиентские компьютеры должны пройти проверку подлинности с помощью проверки подлинности компьютера, а устаревшие клиенты мобильных устройств проходят проверку подлинности пользователей. Мобильные устройства, зарегистрированные в Configuration Manager, не поддерживают мост SSL.

  Преимущество завершения запросов SSL на прокси-сервере в Интернете заключается в том, что пакеты из Интернета должны пройти проверку до перенаправления в интрасеть. Прокси-сервер в Интернете проверяет подлинность подключения от клиента, закрывает его, а затем открывает новое проверенное подключение к системам сайта управления интернет-клиентами. Если клиент Configuration Manager использует прокси-сервер в Интернете, удостоверение клиента (идентификатор GUID клиента) безопасно хранится в полезных данных пакета, поэтому точка управления не принимает прокси-сервер в Интернете за клиент. В Configuration Manager не поддерживаются мосты HTTP-HTTPS или HTTPS-HTTP.

• Туннелирование.
  Туннелирование SSL также поддерживается в случае, если сервер веб-прокси не поддерживает требования к мосту SSL или нужно настроить интернет-поддержку для мобильных устройств, зарегистрированных в Configuration Manager. Это менее безопасный вариант, поскольку пакеты SSL из Интернета перенаправляются в системы сайта без завершения запросов и не могут быть проверены на наличие вредоносного содержимого. При использовании туннелирования SSL сертификаты для прокси-сервера в Интернете не требуются.

Планирование интернет-клиентов

Необходимо решить, будут ли клиентские компьютеры, управление которыми будет осуществляться через Интернет, настроены для управления в интрасети и Интернете или для управления клиентами только через Интернет. Параметр управления клиентом можно настроить только во время установки клиентского компьютера. При изменении решения требуется переустановить клиент.

Примечание
Для System Center 2012 R2 Configuration Manager и более поздних версий: При настройке точки управления, поддерживающей Интернет, клиенты, подключающиеся к точке управления, становятся поддерживающими Интернет при следующем обновлении их списков доступных точек управления.

Совет
Не обязательно ограничивать конфигурацию управления клиентами в Интернете только лишь зоной Интернета; можно использовать данный метод управления и в интрасети.

Клиенты, настроенные на управление только в Интернете, соединяются только с системами сайта, настроенными на подключения клиентов из Интернета. Управление через Интернет предназначено для компьютеров, которые заведомо не подключаются к интрасети компании, например компьютеров в удаленных точках розничной торговли. Такой метод управления также может использоваться, если необходимо, чтобы клиенты подключались только по протоколу HTTPS (например, для обеспечения соответствия политике брандмауэра и ограниченной политике безопасности), а также при установке интернет-систем сайта в демилитаризованной зоне и необходимости управления этими серверами с помощью клиента Configuration Manager.

При необходимости управления клиентами рабочей группы через Интернет такие клиенты следует устанавливать как интернет-клиенты.

Примечание
Клиенты мобильных устройств автоматически становятся интернет-клиентами, если они настраиваются на использование точки управления, расположенной в Интернете.

Другие клиентские компьютеры можно настроить на управление в Интернете и в интрасети. В данном случае возможно автоматическое переключение между управлением через Интернет и управлением через интрасеть, происходящее при обнаружении смены сети. Если такие клиенты могут обнаружить точку управления, настроенную на подключения клиентов из интрасети, и подключиться к ней, управление ими осуществляется как для клиентов в интрасети, имеющих полный набор функций управления Configuration Manager. Если клиенты не могут обнаружить точку управления, настроенную на подключения клиентов из интрасети, или подключиться к ней, предпринимаются попытки подключиться к точке управления в Интернете, и в случае успешного подключения управление такими клиентами осуществляется интернет-системами сайта на назначенном им сайте.

Преимущество автоматического переключения между управлением клиентами через Интернет и управлением через интрасеть заключается в том, что клиентские компьютеры могут автоматически использоваться все возможности Configuration Manager, будучи подключенными через интрасеть, а также оставаться управляемыми при расположении в Интернете с обеспечением ключевых функций управления. Кроме того, процесс загрузки, начатый через Интернет, может быть автоматически продолжен в интрасети, и наоборот.

Необходимые условия для управления клиентами через Интернет

Управление клиентами через Интернет в Configuration Manager предусматривает следующие внешние зависимости.

Зависимость	Дополнительные сведения
Клиенты, управление которыми будет осуществляться через Интернет, должны иметь подключение к Интернету.	Configuration Manager использует существующие подключения к Интернету через поставщика услуг Интернета; это может быть как постоянное подключение, так и временное соединение. Клиенты мобильных устройств должны иметь прямое подключение к Интернету, а клиентские компьютеры могут подключаться как напрямую, так и через прокси-сервер.
Системы сайта, поддерживающие управление клиентами через Интернет, должны иметь подключение к Интернету и должны являться членами домена Active Directory.	Системы сайта, расположенные в Интернете, не требуют наличия отношений доверия с лесом Active Directory сервера сайта. Однако если Интернет-точка управления проверяет подлинность пользователя с помощью проверки подлинности Windows, то поддерживаются политики пользователей. При сбое проверки подлинности Windows поддерживаются только политики компьютера. Примечание Для поддержки политик пользователей также необходимо задать значение True для двух параметров клиента Политика клиента: Включить опрос политики пользователя на клиентах Включить запросы политик пользователей с интернет-клиентов Интернет-точка веб-сайта каталога приложений также требует выполнения проверки подлинности Windows в отношении пользователей, если они подключаются с компьютера, расположенного в Интернете. Это требование не зависит от политик пользователя.
Необходимо наличие вспомогательной инфраструктуры открытых ключей (PKI), которая может развертывать сертификаты, необходимые клиентам, и управлять такими сертификатами, причем управление должно осуществляться через Интернет и на серверах систем сайта, расположенных в Интернете.	Дополнительные сведения о PKI-сертификатах см. в разделе Требования к PKI-сертификатам для Configuration Manager.
Для поддержки управления клиентами через Интернет должны быть настроены следующие службы инфраструктуры. Общедоступные DNS-серверы. Полные доменные имена (FQDN) систем сайтов в Интернете, поддерживающих управление клиентами через Интернет, должны быть зарегистрированы в качестве записей узлов на публичных DNS-серверах. Создание брандмауэров или прокси-серверов. На этих сетевых устройствах должны быть разрешены подключения клиентов, связанные с системами сайтов в Интернете.	Требования к подключениям клиентов. Поддержка HTTP 1.1 Разрешить тип содержимого HTTP для составного вложения в формате MIME (multipart/mixed и application/octet-stream) Разрешить следующие команды для интернет-точки управления. HEAD CCM_POST BITS_POST GET PROPFIND Разрешить следующие команды для интернет-точки распространения. HEAD GET PROPFIND Разрешить следующие команды для резервной точки состояния в Интернете. POST Разрешить следующие команды для интернет-точки веб-сайта каталога приложений. POST GET Разрешить следующие заголовки HTTP для интернет-точки управления. Range: CCMClientID: CCMClientIDSignature: CCMClientTimestamp: CCMClientTimestampsSignature: Разрешить следующий заголовок HTTP для интернет-точки распространения. Range: Для получения сведений о настройках, обеспечивающих соответствие этим требованиям, обратитесь к документации брандмауэра или прокси-сервера. Для получения сведений об аналогичных требованиях к соединениям при использовании точки обновления программного обеспечения с подключением клиентов из Интернета обратитесь к документации служб WSUS. Например, см. параметры безопасности WSUS на Windows Server 2003 в разделе Приложение D: параметры безопасности.

Планирование пропускной способности сети в Configuration Manager

System Center 2012 Configuration Manager предусматривает несколько методов управления полосой пропускания сети, используемой для установки соединений между сайтами, серверами систем сайтов и клиентами. Однако не всеми сетевыми соединениями можно управлять. Сведения в следующих разделах позволят изучить методы, с помощью которых можно управлять полосой пропускания сети и построить иерархию сайтов.

При планировании иерархии для Configuration Manager следует принять во внимание объем данных, который будет передаваться по сети во время соединений между сайтами и внутри сайта.

Примечание
Маршруты репликации файлов (которые до Configuration Manager SP1 назывались адресами) используются только для обмена данными между сайтами, и не используются для обмена данными внутри сайта между серверами сайта и системами сайта.

Управление использованием полосы пропускания сети между сайтами

Configuration Manager передает данные между сайтами, используя репликацию базы данных и файловую репликацию. До Configuration Manager с пакетом обновления 1 (SP1) можно настраивать репликацию на основе файлов, чтобы управлять использованием пропускной способности сети для передачи данных, но нельзя настраивать использование пропускной способности сети для репликации баз данных. Начиная с Configuration Manager с пакетом обновления 1 (SP1), появилась возможность настройки использования пропускной способности сети для репликации баз данных для выбранных данных сайта.

При настройке элементов управления полосой пропускания сети следует иметь в виду потенциальные задержки при передаче данных. Если обмен данными между сайтами ограничен, или настроена передача данных только после обычных рабочих часов, администраторы родительского или дочернего сайта могут не получить определенные данные до тех пор, пока не будет установлено соединение между сайтами. Например, если на точки распространения, расположенные на дочернем сайте, отправляется важный пакет обновления программного обеспечения, такой пакет может быть недоступным на конечных сайтах до тех пор, пока не будут завершены все текущие сеансы передачи данных между сайтами. Например, в момент отправки такого пакета может быть еще не завершена передача другого пакета очень большого размера.

• Элементы управления репликацией на основе файлов. При передаче данных в виде файлов Configuration Manager использует всю доступную полосу пропускания сети для передачи данных между сайтами. Этим процессом можно управлять посредством увеличения или уменьшения числа потоков отправки данных между сайтами в настройках соответствующего отправителя. Поток отправки используется для единовременной передачи одного файла. Каждый дополнительный поток разрешает одновременную отправку других файлов, что приводит к использованию большей полосы пропускания. Чтобы настроить число отправляемых потоков, используемое при передаче данных между сайтами, настройте параметр Максимальное число одновременных отправок на вкладке Отправитель свойств сайта.

  Для управления передачей данных в виде файлов между сайтами можно запланировать, когда Configuration Manager может использовать маршрут репликации файлов на конкретный сайт. Можно настраивать степень использования полосы пропускания сети, размер блоков данных, а также частоту отправки блоков данных. Дополнительные настройки позволяют ограничивать передачу данных в соответствии с приоритетом того или иного типа данных. Для каждого сайта в иерархии можно задать расписания и пределы скорости, применяемые сайтом при передаче данных. Эти параметры можно настроить в свойствах маршрута репликации файлов на каждый конечный сайт. Конфигурации маршрута репликации файлов применяются только к передаче данных на конечный сайт, заданный для этого маршрута репликации файлов.

  Дополнительные сведения о маршрутах репликации файлов см. в подразделе "Маршруты репликации файлов" раздела Планирование межсайтовых взаимодействий в Configuration Manager данной статьи.

  Важно

  При настройке пределов скорости передачи с целью ограничения использования полосы пропускания в определенном маршруте репликации файлов Configuration Manager может использовать только один поток отправки данных соответствующему конечному сайту. Использование пределов скорости передачи для маршрута репликации файлов переопределяет использование нескольких потоков для сайта, число которых указано в параметре Максимальное число одновременных отправок для каждого сайта.

• Элементы управления для репликации базы данных. Начиная с Configuration Manager с пакетом обновления 1 (SP1), можно настраивать канал репликации баз данных, что помогает управлять использованием пропускной способности сети при передаче выбранных данных сайта между сайтами. Некоторые из этих элементов управления аналогичны соответствующим элементам управления для репликации на основе файлов, с дополнительной поддержкой планирования при репликации инвентаризации оборудования, инвентаризации программного обеспечения, контроля использования программных продуктов и сообщений о состоянии на родительский сайт по каналу репликации.

  Дополнительные сведения см. в разделе Репликация базы данных этой статьи.

Управление использованием полосы пропускания сети между серверами систем сайта

Внутри сайта соединения между системами сайта, использующие блоки сообщений сервера (SMB), могут происходить в любое время и не поддерживают механизм управления полосы пропускания. Однако при настройке сервера сайта на использование предельных значений скорости передачи, а также расписаний передачи данных через сеть на точку распространения, можно управлять передачей содержимого от сервера сайта точкам распространения с элементами управления, аналогичными тем, которые используются для передачи данных в виде файлов между сайтами.

Управление использованием полосы пропускания сети между клиентами и серверами системы сайта

Клиенты регулярно взаимодействуют с различными серверами систем сайта. Например, они соединяются с сервером системы сайта, на котором работает точка управления, если требуется проверить политику клиента, или с сервером системы сайта, на котором есть точка распространения, если требуется загрузить содержимое с целью установки приложения или обновления. Частота таких соединений и объем данных, передаваемых через сеть в направлении клиента или от него, зависят от расписаний и параметров, указанных в настройках клиента.

Обычно для запросов политики клиента используется лишь небольшая часть полосы пропускания сети. Полоса пропускания сети может активно использоваться при доступе клиентов к содержимому с целью развертывания или при отправке на сайт таких сведений как, например, данные инвентаризации оборудования.

Дополнительные параметры позволяют настроить частоту сетевых соединений, устанавливаемых клиентами. Кроме того, можно указать, каким образом клиенты осуществляют доступ к развертываемому содержимому. Для этого можно, например, использовать службу BITS. Для загрузки содержимого с использованием BITS необходимо, чтобы клиент и точка распространения были настроены для использования BITS. Если клиент не может использовать BITS, для передачи содержимого он применяет SMB.

Дополнительные сведения о параметрах клиента в Configuration Manager см. в разделе Планирование параметров клиентов в Configuration Manager.

См. также

Планирование сайтов и иерархий Configuration Manager