Planera kommunikation i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Innan du installerar System Center 2012 Configuration Manager bör du planera nätverkskommunikationen mellan olika platser i hierarkin, mellan olika platssystemservrar på en plats samt mellan klienter och platssystemservrar. Sådan kommunikation kan finnas inom en enda domän eller kan omfatta flera Active Directory-skogar. Du kanske även måste planera kommunikationen för hantering av klienter på Internet.

Använd följande rubriker i det här avsnittet när du ska planera för kommunikation i Configuration Manager.

• Planera kommunikation mellan platser i Configuration Manager

  • Filbaserad replikering

  • Databasreplikering

• Planera för kommunikation mellan platser i Configuration Manager

• Planera för klientkommunikation i Configuration Manager

  • Kommunikationen initieras av klienter

  • Tjänstlokalisering och hur klienter avgör sina tilldelade hanteringsplatser

  • Planera för aktivering av klienter

• Planera för kommunikation över skogar i Configuration Manager

• Planera för internetbaserad klienthantering

  • Funktioner som inte stöds på internet

  • Att tänka på när det gäller klientkommunikation från Internet eller ej betrodda skogar

  • Planering för Internetbaserade klienter

  • Förutsättningar för Internetbaserad klienthantering

• Planering för nätverksbandbredd i Configuration Manager

  • Styra användningen av nätverksbandbredd mellan platser

  • Styra användningen av nätverksbandbredd mellan platssystemservrar

  • Styra användningen av nätverksbandbredd mellan klienter oh platssystemservrar

Nyheter i Configuration Manager

Obs!
Informationen i det här avsnittet visas även i handboken Komma i gång med System Center 2012 Configuration Manager.

Följande objekt är nya eller har ändrats för platskommunikation sedan Configuration Manager 2007:

• Vid kommunikation mellan platser används förutom filbaserad replikering nu även databasreplikering för många överföringar mellan platser, inklusive konfigurationer och inställningar.

• Configuration Manager 2007-begreppet ”platser med blandat läge eller enhetligt läge”, som definierar hur klienter kommunicerar med platssystem på platsen, har ersatts av platssystemroller, som oberoende av varandra har stöd för HTTP- eller HTTPS-klientkommunikation.

• Som stöd för klientdatorer i andra skogar kan Configuration Manager identifiera datorer i dessa skogar och publicera platsinformation i skogarna.

• Serverlokaliseringspunkten används inte längre och funktionerna för den här platssystemrollen har flyttats till hanteringsplatsen.

• Internetbaserad klienthantering stöder nu följande:

  • Användarprinciper när den Internetbaserad hanteringsplatsen kan autentisera användaren med Windows-autentisering (Kerberos eller NTLM).

  • Enkla aktivitetssekvenser, till exempel skript. Operativsystemdistribution på Internet stöds fortfarande inte.

  • Internetbaserade klienter på Internet försöker först ladda ned nödvändiga programuppdateringar från Microsoft Update i stället för från en Internetbaserad distributionsplats på den tilldelade webbplatsen. Om det inte fungerar försöker de därefter ladda ned uppdateringarna från en Internetbaserad distributionsplats.

Nyheter i Configuration Manager SP1

Obs!
Informationen i det här avsnittet visas även i handboken Komma i gång med System Center 2012 Configuration Manager.

Följande objekt är nya eller har ändrats för platskommunikation för Configuration Manager SP1:

• Filreplikeringsflöden ersätter adresser för filbaserad replikering mellan platser. Detta är endast en ändring av namnet för filbaserad replikering och ger konsekvens med databasreplikering. Ingen ändring har gjorts av funktioner.

• Konfigurera databasreplikeringslänkar mellan platsdatabaser för att kontrollera och övervaka nätverkstrafik för databasreplikering:

  • Använd distribuerade vyer för att förhindra replikering av valda data från en primär plats till den centrala administrationsplatsen. Den centrala administrationsplatsen kommer sedan åt dessa data direkt från den primära platsdatabasen.

  • Schemalägg överföringen av valda platsdata över databasreplikeringslänkar.

  • Kontrollera den frekvens med vilken replikeringstrafiken sammanfattas för rapporter.

  • Definiera anpassade trösklar som genererar aviseringar för replikeringsproblem.

• Konfigurera replikeringskontroller för SQL Server-databasen på en plats:

  • Ändra den port som används av Configuration Manager för SQL Server Service Broker.

  • Konfigurera väntetiden innan ett replikeringsfel utlöser ominitiering av platsens kopia av platsdatabasen.

  • Konfigurera en platsdatabas för att komprimerar de data som replikeras via databasreplikering. Data komprimeras bara för att överföras mellan platser, inte för att lagras på någon av platsernas databas.

• När Configuration Manager SP1-klienter kör Windows 7, Windows 8, Windows Server 2008 R2 eller Windows Server 2012 kan du komplettera Wake on LAN-platsinställningen för unicast-paket med att använda klientinställningarna för aktiveringsproxy. Med den här kombinationen kan du aktivera datorer i undernät utan att behöva konfigurera om nätverksväxlar.

Planera kommunikation mellan platser i Configuration Manager

I en Configuration Manager-hierarki använder varje plats två dataöverföringsmetoder för att kommunicera med sin överordnade plats och sina direkt underordnade platser: filbaserad replikering och databasreplikering. Sekundära platser använder båda metoderna för att kommunicera med sina överordnade primära platser, men kan även kommunicera med andra sekundära platser genom att använda filbaserad replikering för dirigering av innehåll till fjärrnätverksplatser.

Configuration Manager använder filbaserad replikering och databasreplikering för att överföra olika typer av data mellan platser.

Filbaserad replikering

Configuration Manager använder filbaserad replikering för att överföra filbaserade data mellan platser i hierarkin. Överförda data kan vara program och paket som du vill distribuera till distributionsplatser på underordnade platser, och obearbetade identifieringsdataposter som överförs till överordnade platser där de bearbetas.

Vid filbaserad kommunikation mellan platser används Server Message Block-protokollet (SMB) via TCP/IP-port 445. Du kan ange konfigurationer för exempelvis bandbreddsbegränsning och pulsläge för att reglera mängden data som överförs i nätverket, och scheman för att reglera när data ska skickas i nätverket.

Från och med Configuration Manager SP1 ändras adresser till filreplikeringsflöden, för att ge konsekvens med databasreplikering. Före SP1 använde Configuration Manager en adress för att ansluta till SMS_SITE-resursen på målplatsservern för överföring av filbaserade data. Filreplikeringsflöden och adresser fungerar på samma sätt och har stöd för samma konfigurationer.

I följande avsnitt beskrivs de ändringar som har införts i service pack 1, och i beskrivningarna används referenser till filreplikeringsflöden i stället för adresser. Om du använder Configuration Manager utan service pack kan du använda följande tabell för att ”översätta” filreplikeringsrelaterade begrepp till motsvarande adressbegrepp.

Från och med Configuration Manager med SP1	Configuration Manager utan service pack
Filreplikeringskonto	Platsadresskonto
Filreplikeringsflöde	Adress
Noden Filreplikering i Configuration Manager-konsolen	Noden Adresser i Configuration Manager-konsolen

Filreplikeringsflöden

Configuration Manager använder filreplikeringsflöden för att överföra filbaserade data mellan platser i hierarkin. Filreplikeringsflöden ersätter adresser, som används i tidigare versioner av Configuration Manager. Filreplikeringsflöden fungerar på samma sätt som adresser. Följande tabell innehåller information om filreplikeringsflöden.

Objekt

Mer information

Filreplikeringsflöde

Varje filreplikeringsflöde motsvarar en målplats dit filbaserade data kan överföras. Varje plats har stöd för ett enda filreplikeringsflöde till en specifik målplats. Configuration Manager har stöd för följande konfigurationer för filreplikeringsflöden: Filreplikeringskonto: Det här kontot används för att ansluta till målplatsen och för att skriva data till målplatsens SMS_SITE-resurs. Data som skrivs till resursen bearbetas av den mottagande platsen. När en plats läggs till i hierarkin tilldelar Configuration Manager som standard datorkontot för de nya platserna platsservern som den platsens Filreplikeringskonto. Det här kontot läggs sedan till i målplatsens SMS_SiteToSiteConnection_ Databasreplikering Configuration Manager-databasreplikering använder SQL Server för att överföra data och slå samman ändringar som görs i en platsdatabas med den information som finns sparad i databasen på andra platser i hierarkin. På så vis kan alla platser dela samma information. Databasreplikering konfigureras automatiskt av alla Configuration Manager-platser. Om du installerar en plats i en hierarki konfigureras databasreplikeringen automatiskt mellan den nya platsen och den dedikerade överordnade platsen. När platsinstallationen är klar startar databasreplikeringen automatiskt. Om du installerar en ny plats i en hierarki skapar Configuration Manager en generisk databas på den nya platsen. Sedan skapar en överordnade platsen en ögonblicksbild av relevanta data i sin databas och överför denna ögonblicksbild till den nya platsen md hjälp av filbaserad replikering. Den nya platsen använder sedan ett SQL Server BCP-program (Bulk Copy Program) för att läsa in informationen till den lokala kopian av Configuration Manager-databasen. När ögonblicksbilden har lästs in utför varje plats en databasreplikering med den andra platsen. För att replikera data mellan platserna använder Configuration Manager sin egen databasreplikeringstjänst. Databasreplikeringstjänsten använder SQL Server-ändringsspårning för att övervaka ändringar i den lokala platsdatabasen, och replikerar sedan dessa ändringar till andra platser med hjälp av en Service Broker för SQL Server. Som standard används TCP/IP-port 4022 vid den här processen. Configuration Manager grupperar data som replikeras med databasreplikering i olika replikeringsgrupper. Varje replikeringsgrupp har ett separat, fast replikeringsschema som avgör hur ofta ändringar av data i gruppen replikeras till andra platser. Exempelvis replikeras en konfigurationsändring av en rollbaserad administrationskonfiguration snabbt till andra platser för att säkerställa att ändringarna verkställs så snart som möjligt. En konfigurationsändring med lägre prioritet, exempelvis en begäran om att installera en ny sekundär plats, replikerar däremot med mindre angelägenhetsgrad och det tar flera minuter för den nya platsbegäran att nå den primära målplatsen. Obs! Configuration Manager-databasreplikering konfigureras automatiskt och har inte stöd för konfiguration av replikeringsgrupper eller replikeringsscheman. Från och med Configuration Manager SP1 är det dock möjligt att konfigurera databasreplikeringslänkar för att styra när viss trafik färdas genom nätverket. Du kan även konfigurera när Configuration Manager ska generera en avisering om replikeringslänkar som har status degraderad eller misslyckad. Configuration Manager klassificerar data som replikeras med databasreplikering som antingen globala data eller platsdata. När databasreplikering sker överförs ändringar i globala data och platsdata överförs via databasreplikeringslänken. Globala data kan replikeras till både en överordnad och en underordnad plats, och platsreplikering enbart till en överordnad plats. En tredje datatyp som kallas lokala data replikeras inte till andra platser. Lokala data omfattar information som inte krävs av andra platser. Globala data:Globala data avser objekt som skapas av administratörer och som replikeras till alla platser inom hela hierarkin, även om sekundära platser enbart tar emot en underuppsättning med globala data, som globala proxydata. Exempel på globala data är programvarudistributioner, programuppdateringar, samlingsdefinitioner och rollbaserade säkerhetsomfattningar för administration. Administratörer kan skapa globala data på alla administrationsplatser och primära platser. Platsdata: Platsdata avser funktionsinformation som de primära Configuration Manager-platserna och klienterna som rapporterar till primära platser skapar. Platsdata replikeras till den centrala administrationsplatsen men inte till andra primära platser. Exempel på platsdata är maskinvaruinventeringsdata, statusmeddelanden, aviseringar samt resultaten från frågebaserade samlingar. Platsdata kan enbart visas på den centrala administrationsplatsen och den primära plats där data har sitt ursprung. Platsdata kan ändras enbart på den primära plats där den skapades. Alla platsdata replikeras till den centrala administrationsplatsen, och därför kan den centrala administrationsplatsen utföra administration och rapportering för hela hierarkin. Använd informationen i följande avsnitt om du vill planera för användning av de kontroller som är tillgängliga från och med Configuration Manager SP1 för att konfigurera databasreplikeringslänkar mellan platser, och för att konfigurera kontroller för varje platsdatabas. Dessa kontroller kan hjälpa dig att kontrollera och övervaka den nätverkstrafik som skapas vid databasreplikeringen. Databasreplikeringslänkar När du installerar en ny plats i en hierarki skapar Configuration Manager automatiskt en databasreplikeringslänk mellan de två platserna. En enda länk skapas för att ansluta den nya platsen till den överordnade platsen. Från och med Configuration Manager SP1 har alla databasreplikeringslänkar stöd för konfigurationer som anvädna för att kontrollera överföringen av data via replikeringslänken. Varje replikeringslänk har stöd för separata konfigurationer. Kontrollerna för databasreplikeringslänkar inkluderar följande: Använd distribuerade vyer för att stoppa replikeringen av valda platsdata från en primär plats till den centrala administrationsplatsen, och aktivera den centrala administrationsplatsen för att få direkt åtkomst till dessa data från databasen till den primära platsen. Schemalägg när valda platsdata överförs från en primär underordnad plats till den centrala administrationsplatsen. Definiera de inställningar som avgör när en databasreplikeringslänk får status degraderad eller misslyckad. Konfigurera när aviseringar ska genereras för en misslyckad replikeringslänk. Ange hur ofta Configuration Manager ska sammanfatta data om den replikeringstrafik som använder replikeringslänken. Dessa data används i rapporter. Om du vill konfigurera en databasreplikeringslänk måste du redigera egenskaperna för länken i Configuration Manager-konsolen från noden Databasreplikering. Den här noden visas på arbetsytan Övervakning och från och med Configuration Manager SP1 visas den här noden även under noden Hierarkikonfiguration på arbetsytan Administration. Du kan redigera en replikeringslänk från antingen den överordnade eller underordnade platsen för replikeringslänken. Tips Du kan redigera länkar för databasreplikering från noden Databasreplikering på valfri arbetsyta. Om du använder noden Databasreplikering på arbetsytan Övervakning kan du dock även visa status för databasreplikeringen för replikeringslänkarna och komma åt verktyget Replikeringslänkanalys för att få hjälp att utreda problem med databasreplikeringen. Mer information om hur du konfigurerar replikeringslänkar finns i Replikeringskontroller för platsdatabasen. Mer information om hur du övervakar replikering finns i avsnittet Så här övervakar du databasreplikeringslänkar och replikeringsstatusen i hjälpavsnittet Övervaka platser och hierarki i Configuration Manager. Använd informationen i följande avsnitt om du vill planera för databasreplikeringslänkar. Planera för användning av distribuerade vyer För System Center 2012 Configuration Manager SP1 och senare:  Distribuerade vyer möjliggör begäranden som görs vid en central administrationsplats för valda platsdata, för att komma åt dessa platsdata direkt från databasen för en underordnad primär plats. Denna direktåtkomst ersätter behovet av att replikera dessa platsdata från den primära platsen till den centrala administrationsplatsen. Eftersom varje replikeringslänk är fristående från övriga replikeringslänkar, kan du aktivera distribuerade vyer på enbart de replikeringslänkar som du väljer. Distribuerade vyer stöds inte mellan en primär plats och en sekundär plats. Distribuerade vyer kan ge följande fördelar: Minska processorbelastningen för behandling av databasändringar på den centrala administrationsplatsen och de primära platserna. Minska den mängd data som överförs via nätverket till den centrala administrationsplatsen. Förbättra prestanda för den SQL Server som är värd för den centrala administrationsplatsens databas. Minska det diskutrymme som används av databasen på den centrala administrationsplatsen. Överväg att använda distribuerade vyer när en primär plats befinner sig nära den centrala administrationsplatsen i nätverket, och de två platserna alltid är aktiva och alltid anslutna. Detta beror på att distribuerade vyer ersätter replikeringen av valda data mellan platserna med direkta anslutningar mellan SQL Server-servrar på varje plats. Denna direktanslutning upprättas varje gång en begäran om dessa data görs på den centrala administrationsplatsen. Typiskt sett skickas begäranden om data som du kan aktivera för distribuerade vyer när du kör rapporter eller frågor, visar information i Resursläsaren samt efter samlingsutvärdering för samlingar som inkluderar regler som är baserade på platsdata. Som standard är distribuerade vyer inaktiverade för varje replikeringslänk. Om du aktiverar distribuerade vyer för en replikeringslänk väljer du platsdata som inte kommer att replikeras till den centrala administrationsplatsen via den länken, och aktiverar den centrala administrationsplatsen för att komma åt dessa data direkt från databasen till den underordnade primära plats som delar länken. Du kan konfigurera följande typer av platsdata för distribuerade vyer: Maskinvaruinventeringsdata från klienterna Programvaruinventerings-- och mätningsdata från klienterna Statusmeddelanden från klienterna, den primära platsen och alla sekundära platser Distribuerade vyer som används är osynliga för en administrativ användare som visar data i Configuration Manager-konsolen eller i rapporter. När en begäran om data som är aktiverade för distribuerade vyer görs, kommer den SQL Server som är värd för databasen för den centrala administrationsplatsen direkt åt SQL Server för den underordnade primära platsen för att hämta informationen. Ett exempel: Du använder en Configuration Manager-konsol på den centrala administrationsplatsen för att begära information om maskinvaruinventering från två platser, och enbart en plats som har maskinvaruinventering aktiverad för en distribuerad vy. Inventeringsinformation för klienter från den plats som inte är konfigurerad för distribuerade vyer hämtas från databasen på den centrala administrationsplatsen. Inventeringsinformation för klienter från den plats som är konfigurerad för distribuerade vyer koms åt från databasen på en underordnad primär plats. Den här informationen visas i Configuration Manager-konsolen eller -rapporten utan skillnad vad gäller källan. Så länge en replikeringslänk har en typ av data aktiverad för distribuerade vyer, replikerar inte den underordnade primära platsen dessa data till den centrala administrationsplatsen. Så snart du inaktiverar distribuerade vyer för en typ av data återupptar den underordnande primära platsen replikeringen av dessa data till den centrala administrationsplatsen som en del i den normala datareplikeringen. Innan dessa data blir tillgängliga på den centrala administrationsplatsen måste dock de replikeringsgrupper som innehåller dessa data initieras om mellan den primära platsen och den centrala administrationsplatsen. När du har avinstallerat en primär plats som har distribuerade vyer aktiverade, måste den centrala administrationsplatsen på liknande sätt slutföra ominitieringen av sina data innan du kan komma åt data som har aktiverats för distribuerade vyer på den centrala administrationsplatsen. Viktigt Om du använder distribuerade vyer på någon replikeringslänk i hierarkin måste du inaktivera distribuerade vyer för alla replikeringslänkar innan du avinstallerar en primär plats. Mer information finns i avsnittet Avinstallera en primär plats som är konfigurerad med distribuerade vyer i artikeln Installera platser och skapa en hierarki för Configuration Manager. Förutsättningar och begränsningar för distribuerade vyer Följande förutsättningar och begränsningar finns för distribuerade vyer: Både den centrala administrationsplatsen och den primära platsen måste köra samma version av Configuration Manager och ha lägst versionen SP1 Distribuerade vyer stöds enbart för replikeringslänkar mellan en central administrationsplats och en primär plats. Den centrala administrationsplatsen kan ha enbart en instans av SMS-providern installerad, och den instansen måste vara installerad på platsdatabasservern. Detta krävs för att stödja den Kerberos-autentisering som behövs för att göra det möjligt för SQL Server på den centrala administrationsplatsen att få åtkomst till SQL Server på den primära underordnade platsen. Det finns inga begränsningar för SMS-providern på den underordnade primära platsen. Den centrala administrationsplatsen kan enbart ha en SQL Server Reporting Services-plats installerad, och denna måste finnas på platsdatabasservern. Detta krävs för att stödja den Kerberos-autentisering som behövs för att göra det möjligt för SQL Server på den centrala administrationsplatsen att få åtkomst till SQL Server på den primära underordnade platsen. Platsdatabasen kan inte har ett SQL Server-kluster som värd. Datorkontot för databasservern från den centrala administrationsplatsen kräver Read-behörigheter till platsdatabasen för den primära platsen. Distribuerade vyer och scheman för när data kan replikeras kan inte anges samtidigt som konfigurationer för en databasreplikeringslänk. Planera för schemaläggning av överföringar av platsdata för databasreplikeringslänkar För System Center 2012 Configuration Manager SP1 och senare: Du kan få kontroll över den nätverksbandbredd som används för att replikera platsdata från underordnade primära platser till den centrala administrationswebbplatsen genom att ange ett schema för när en replikeringslänk används, och ange när olika typer av platsdata replikeras. Du kan bestämma när den primära platsen replikerar statusmeddelanden, inventerings- och mätdata. Databasreplikeringslänkar från sekundära platser stöder inte schemaläggning av platsdata. Det går inte att schemalägga överföringen av globala data. När du konfigurerar schemat för en databasreplikeringslänk, kan du begränsa överföringen av utvalda platsdata från den primära platsen till den centrala administrationswebbplatsen, och du kan välja olika tider för att replikera olika typer av platsdata. Mer information om hur du styr användningen av nätverksbandbredden mellan Configuration Manager-platser finns i avsnittet Styra användningen av nätverksbandbredd mellan platser i det här hjälpavsnittet. Planera för sammanfattning av databasreplikeringstrafik För System Center 2012 Configuration Manager SP1 och senare: Från och med Configuration Manager SP1 sammanfattar varje plats med jämna mellanrum data om nätverkstrafiken som skickas via platsens databasreplikeringslänkar. Dessa sammanfattande data används i rapporter om databasreplikering. Bägge platserna som deltar i en replikeringslänk sammanfattar nätverkstrafiken som går via replikeringslänken. Sammanfattningen av data utförs av den SQL Server där platsdatabasen finns. När alla data har sammanfattats, replikeras informationen till andra platser i form av globala data. Sammanfattningen sker varje kvart som standard. Du kan ändra hur ofta nätverkstrafiken sammanfattas genom att ändra Sammanfattningsintervall i databasreplikeringslänkens egenskaper. Sammanfattningarnas frekvens påverkar vilken information du kan se i rapporter om databasreplikering. Du kan ändra intervallet mellan 5 och 60 minuter. Om du ökar sammanfattningsfrekvensen, ökar belastningen på SQL Server på varje plats som ingår i replikeringslänken. Planera för databasreplikeringströsklar Databasreplikeringströsklar bestämmer när statusen för en databasreplikeringslänk rapporteras ha försämrats eller inte fungera. Om inget annat anges sägs en länk vara försämrad om en valfri replikeringsgrupp inte replikeras klart under en period om 12 på varandra följande försök, och den sägs inte fungera om en valfri replikeringsgrupp inte replikeras på 24 på varandra följande försök. Från och med Configuration Manager SP1 kan du ange anpassade världen och finjustera när Configuration Manager rapporterar att en replikeringslänk är försämrad eller inte fungerar. Det går inte att anpassa dessa tröskelvärlden i tidigare versioner än Configuration Manager SP1. Du kan noga övervaka databasreplikeringens hälsotillstånd för alla databasreplikeringslänkar genom att anpassa när Configuration Manager rapporterar varje status för databasreplikeringslänkarna. Eftersom det är möjligt att en eller ett par replikeringsgrupper inte går att replikera medan andra replikeringsgrupper fortsätter att replikeras, bör du planera att granska replikeringsstatusen för en replikeringslänk första gången dess status rapporteras vara försämrad. Om vissa replikeringsgrupper rapporteras vara försenade upprepade gånger, och om förseningen inte utgör något problem, eller om nätverkslänken mellan platserna har lite tillgänglig bandbredd, kan du kanske ändra värdena för nya försök för länkar med försämrad eller misslyckad status. Om du ökar antalet nya försök innan länken anges vara försämrad eller inte fungerar, kan du bli kvitt falsklarm om kända problem, vilket gör att du får bättre information om länkens status. Du bör även fundera över synkroniseringsintervallet för replikering för alla replikeringsgrupper och försöka förstå hur ofta gruppen replikeras. Du kan visa Synkroniseringsintervall för replikeringsgrupper på fliken Replikeringsinformation för en replikeringslänk i noden Databasreplikering på arbetsytan Övervakning. Mer information om hur du övervakar databasreplikering, bl.a. hur du visar replikeringsstatus, finns i avsnittet Så här övervakar du databasreplikeringslänkar och replikeringsstatusen i hjälpavsnittet Övervaka platser och hierarki i Configuration Manager. Mer information om hur du konfigurerar tröskelvärden för databasreplikering finns i Replikeringskontroller för platsdatabasen. Replikeringskontroller för platsdatabasen För System Center 2012 Configuration Manager SP1 och senare: Varje platsdatabas stöder konfigurationer som hjälper dig att kontrollera den nätverksbandbredd som används för databasreplikering. Dessa konfigurationer gäller bara platsdatabasen där du anger inställningarna, och de används alltid när platsen replikerar data genom databasreplikering till en annan plats. Detta är replikeringskontrollerna för varje platsdatabas: Ändra den port som används av Configuration Manager för SQL Server Service Broker. Konfigurera väntetiden innan replikeringsfel gör att platsen initierar sin kopia av platsdatabasen igen. Konfigurera en platsdatabas för att komprimerar de data som replikeras via databasreplikering. Data komprimeras bara för att överföras mellan platser, inte för att lagras på någon av platsernas databas. Du konfigurerar replikeringskontrollerna för en platsdatabas genom att redigera platsdatabasens egenskaper i Configuration Manager-konsolen från noden Databasreplikering. Denna nod finns under noden Hierarkikonfiguration på arbetsytan Administration. Den finns även på arbetsytan Övervakning. Redigera platsdatabasens egenskaper genom att välja replikeringslänken mellan platserna och sedan öppna antingen Egenskaper för överordnad databas eller Egenskaper för underordnad databas. Tips Du kan konfigurera databasreplikeringskontrollerna från noden Databasreplikering på bägge arbetsytorna. Men om du använder noden Databasreplikering på arbetsytan Övervakning kan du även visa statusen för databasreplikeringen av en replikeringslänk, samt komma åt verktyget Replikeringslänkanalys för att få hjälp med att undersöka replikeringsproblem. Mer information om hur du konfigurerar databasreplikeringskontroller finns i Konfigurera databasreplikeringskontroller. Mer information om hur du övervakar replikering finns i Övervaka platsdatabasreplikering. Planera för kommunikation mellan platser i Configuration Manager Varje Configuration Manager-plats innehåller en platsserver och kan ha en eller flera ytterligare platssystemsservrar som agerar värd för platssystemsroller.Configuration Manager kräver att varje platssystemserver är medlem av en Active Directory-domän.Configuration Manager stöder inte att datornamnet eller domänmedlemskapet ändras medan datorn fortfarande är ett platssystem. När Configuration Manager-platssystem eller -komponenter kommunicerar via nätverket med andra platssystem eller Configuration Manager-komponenter på platser, använder de antingen SMB (server message block), HTTP eller HTTPS. Kommunikationsmetoden beror på hur du väljer att konfigurera platsen. Med undantag av kommunikationen från platsservern till en distributionsplats, kan denna kommunikation mellan servrar ske när som helst, och de använder inga mekanismer för att kontrollera nätverksbandbredden. Eftersom du inte kan kontrollera kommunikationen mellan platssystem, måste du se till att du installerar platsservrar på platser med goda anslutningar och snabba nätverk. Du kan hantera överföringen av innehåll från platsservern till distributionsplatserna med de följande alternativen: Konfigurera distributionsplatsen för nätverksbandbreddskontroll och schemaläggning. Dessa kontroller liknar de konfigurationer som används av adresser mellan platser, och det går många gånger att använda denna konfiguration i stället för att installera ytterligare en Configuration Manager-plats om överföringen av innehåll till fjärran liggande nätverksplatser är ditt huvudsakliga bandbreddsbekymmer. Du kan installera en distributionsplats som en förinstallerad distributionsplats. Med en förinstallerad distributionsplats kan du använda innehåll som sparas manuellt på distributionsplatsservern, och det undanröjer behovet av att överföra innehållsfiler i nätverket. Mer information om saker att tänka på när det gäller nätverksbandbredd finns i Överväganden i fråga om nätverksbandbredd för distributionsplatser i Planera innehållshantering i Configuration Manager. Planera för klientkommunikation i Configuration Manager Configuration Manager klienter och hanterade enheter kommunicerar med datorer som är värdar för Configuration Manager-infrastrukturer som platssystemroller, domäninfrastrukturer som DNS eller Active Directory Domain Services och tjänster på Internet. Tänk på följande när du planerar för klientkommunikation: Kommunikationsscenarion Mer information Kommunikation initieras av klienter Klienterna initierar kommunikation till följande: Hanteringsplatser: Att skicka data för lager, status och identifiering. Hanteringsplatsen är klientens primära kontakt för en plats. Olika domäntjänster: Att begära tjänster från domäntjänster som Active Directory Domain Services och DNS (för tjänstplats). Innehållsåtkomst: Åtkomst till innehåll från distributionsplatser på servrar, peer-datorer och molnbaserade tjänster. Programuppdateringspunkter: Hämta och installera de uppdateringar som du distribuerar. Microsoft Update: För att upprätthålla skydd mot skadlig kod. Ytterligare platssystemsservrar: Webbplatspunkt för programkatalog Configuration Manager-principmodul (NDES) Status för återställningsplats Tillståndsmigreringsplats Systemhälsoverifierare Tjänstlokalisering Tjänstlokalisering är den metod som klienter använder för att identifiera en tilldelad webbplats och för att hitta hanteringsplatser dynamiskt. Hanteringsplatser är de primära kontaktpunkterna för klienter och du kan använda dem för att: Lära dig mer om andra tillgängliga hanteringsplatser Hämta klientprinciper Skicka klientdata till platsen, t.ex. information om status, inventering och data. Använd informationen i de följande avsnitten när du planerar kommunikationen som Windows-baserade klienter ska använda. Från och med Configuration Manager SP1 kan du hantera klienter som kör Linux eller UNIX. Klienter som kör Linux eller UNIX fungerar som klienter i arbetsgrupper. Mer information om hur du stöder datorer i arbetsgrupper finns i avsnittet Planera för kommunikation över skogar i Configuration Manager i den här artikeln. Mer information om kommunikation för klienter som kör Linux och UNIX finns i avsnittet Planera för kommunikation mellan skogen förtroenden för Linux och UNIX-servrar i artikeln Planera för distribution av klienter för Linux och UNIX-servrar. Kommunikationen initieras av klienter Klienter som initierar kommunikation till platssystemroller, Active Directory DS och online-tjänster. Om du vill aktivera dessa meddelanden måste brandväggarna tillåta nätverkstrafik mellan klienterna och slutpunkten för deras kommunikation. Slutpunkter är: Hanteringsplatser från vilka klienterna kan hämta klientprinciper. Distributionsplatser från vilka klienterna kan hämta innehåll. Programuppdateringsplatser Följande ytterligare platssystemroller, en för varje funktionsspecifik uppgift: Webbplatspunkt för programkatalog Configuration Manager-principmodul (NDES) Status för återställningsplats Tillståndsmigreringsplats Systemhälsoverifierarpunkt Olika domäntjänster, t.ex. Active Directory DS och DNS (för tjänstlokalisering). Microsoft Update, för att upprätthålla skydd mot skadlig kod. Molnbaserade resurser, t.ex. Microsoft Update eller Microsoft Azure och Microsoft Intune när du använder dessa molnbaserade tjänster med Configuration Manager. Mer information om portar och protokoll som används av klienter när de kommunicerar till dessa slutpunkter finns i Teknisk referens för portar som används i Configuration Manager. Innan en klient kan kommunicera med en platssystemsroll använder klienten tjänstlokalisering för att hitta ett platssystem som stöder klientens protokoll (HTTP eller HTTPS). Klienterna använder normalt den säkraste tillgängliga metoden: Om du vill använda HTTPS måste du ha en PKI (public key infrastructure) och installera PKI-certifikat på klienterna och servrarna. Mer information om hur du använder certifikat finns i PKI-certifikatkrav för Configuration Manager. När du distribuerar en platssystemsroll som använder IIS (Internet Information Services) och stöder kommunikation från klienter, måste du ange om klienterna ansluter till platssystemet via HTTP eller HTTPS. Om du använder HTTP, måste du även fundera på signerings- och krypteringsval. Mer information finns i avsnittet Planera för signering och kryptering. Följande platssystemroller och tjänster stöder HTTPS-kommunikation från klienter: Webbplatspunkt för programkatalog Principmodul för Configuration Manager Distributionsplats (HTTPS krävs av molnbaserade distributionsplatser) Hanteringsplats Programuppdateringsplats Tillståndsmigreringsplats Förutom informationen ovan bör du läsa Om klientkommunikation från Internet eller den ej betrodda skogen när du planerar för klienter på ej betrodda platser Tjänstlokalisering och hur klienter avgör sina tilldelade hanteringsplatser Klienterna fastställer sina tilldelade platsers standardhanteringsplatser när de installeras och kopplas till en plats. När en klient har hittat sin standardhanteringsplats blir denna hanteringsplats klientens tilldelade hanteringsplats. Denna tilldelning bestäms av klienten. Från och med samlad uppdatering 3 för System Center 2012 R2 Configuration Manager kan du HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" använda hanteringsplatsens tillhörighet för att konfigurera en klient som använder en eller flera specifika hanteringsplatser. Från och med System Center 2012 Configuration Manager SP2, du kan använda önskade hanteringsplatser. En önskad hanteringsplats är en hanteringsplats som är kopplad till en gränsgrupp som platssystemserver, på liknande sätt som distributionsplatser eller platser för tillståndsmigrering är kopplade till en gränsgrupp. Om du aktiverar önskade hanteringsplatser för hierarkin kommer en klient att försöka använda en önskad hanteringsplats innan den använder andra hanteringsplatser från den tilldelade webbplatsen när den använder en hanteringsplats från den tilldelade webbplatsen. När en klient har tilldelats en hanteringsplats genomför den regelbundet en tjänstlokaliseringsförfrågan för platsens standardhanteringsplats, ifall den skulle ha ändrats. Varje gång en klient behöver identifiera en hanteringsplats att använda kontrollerar den en lista över kända hanteringsplatser (den så kallade MP-listan) som den lagrar lokalt i WMI. Klienten skapar en initial MP-lista när den installeras och uppdaterar sedan regelbundet listan med information om varje hanteringsplats i hierarkin. När klienten inte kan hitta någon giltig hanteringsplats i MP-listan söker den igenom följande tjänstlokaliseringskällor tills den hittar en hanteringsplats som kan användas: Hanteringsplats Active Directory Domain Services DNS WINS När en klient har hittat och kontaktat en hanteringsplats, laddar den ned den aktuella listan över de hanteringsplatser som är tillgängliga i hierarkin och uppdaterar sin lokala lista. Detta gäller såväl de klienter som är domänanslutna som de som inte är det. När en Configuration Manager-klient som är på Internet t.ex. ansluter till en Internetbaserad hanteringsplats skickar hanteringsplatsen en lista över tillgängliga Internetbaserade hanteringsplatser på webbplatsen. På samma sätt klienter som är domänanslutna eller i arbetsgrupper kan på motsvarande sätt få en lista över hanteringspunkter som de kan använda. En klient som inte har konfigurerats för Internet förses inte med några Internetuppkopplade hanteringsplatser. Arbetsgruppsklienter som har konfigurerats för Internet kommunicerar bara med Internetuppkoplade hanteringsplatser. Här följer en lista med information om respektive tjänstlokaliseringskälla: MP-listan En klients MP-lista är förstahandsvalet som källa för tjänstlokalisering, eftersom det är en prioriterad lista med hanteringsplatser som klienten redan har identifierat. Den här listan sorteras efter respektive klient baserat på dess nätverksplats när klienten uppdaterar listan och sedan sparas lokalt på klienten i WMI. Skapa den initiala MP-listan Under installationen av klienten används följande regler för att skapa klientens initiala MP-lista: Den ursprungliga listan innehåller hanteringsplatser som anges vid klientinstallationen (när du använder något av alternativen SMSMP= eller /MP). Klienten frågar Active Directory DS (AD DS) om publicerade hanteringsplatser. För att hanteringsplatsen ska kunna identifieras från AD DS måste den komma från klientens tilldelade plats och tillhöra samma produktversion som klienten. Om ingen hanteringsplats angavs vid klientinstallationen och Active Directory-schemat inte är utökat söker klienten igenom DNS och WINS efter publicerade hanteringsplatser. När du skapar den initiala listan har du inte kunskap alla hanteringsplatserna i hierarkin. Ordna listan över hanteringsplatser Klienterna orndar listan över hanteringsplatser med hjälp av följande klassificeringar: Proxy: En proxyhanteringsplats är en hanteringsplats på en sekundär plats. Lokala: Alla hanteringsplatser som är associerade till klientens aktuella nätverksplats så som den definieras av platsens gränser. När en klient tillhör mer än en gränsgrupp bestäms listan över lokala hanteringsplatser från sammanslagningen av alla gränser som innehåller klientens aktuella nätverksplats. Lokala hanteringsplatser är vanligtvis underordnade klientens tilldelade hanteringsplatser, såvida inte klienten är på en nätverksplats som är kopplad till annan plats med hanteringsplatser som betjänar dess gränsgrupper. Tilldelade: Alla hanteringsplatser som fungerar som platssystem för kundens tilldelade plats. Från och med System Center 2012 Configuration Manager SP2, du kan använda önskade hanteringsplatser. Önskade hanteringsplatser är hanteringsplatser från en klients tilldelade webbplats som är kopplade till en gränsgrupp som klienten använder för att hitta platssystemservrar. Hanteringsplatser pekar på en plats som inte är kopplad till en gränsgrupp eller som inte finns i en gränsgrupp som är kopplad till en klients aktuella nätverksplats, inte anses önskad och används när klienten inte kan identifiera en tillgänglig önskad hanteringsplats. Välja en hanteringsplats att använda Vid normal kommunikation försöker klienten normalt använda en hanteringsplats utifrån klassificeringarna i följande ordning, baserat på klientens nätverksplats: Proxy Lokala Tilldelade Klienten använder dock alltid den tilldelade hanteringsplatsen för registreringsmeddelanden och vissa principmeddelanden även när andra meddelanden skickas till en proxy eller lokal hanteringsplats. I varje klassificering (proxy, lokal eller tilldelad) försöker klienterna använda en hanteringsplats utifrån inställningarna i följande ordning: HTTPS-kompatibel i en betrodd eller lokal skog (när klienten har konfigurerats för HTTPS-kommunikation) HTTPS-kompatibel ej i en betrodd eller lokal skog (när klienten har konfigurerats för HTTPS-kommunikation) HTTP-kompatibel i en betrodd eller lokal skog HTTP-kompatibel ej i en betrodd eller lokal skog Från uppsättningen av hanteringsplatser sorterade efter inställningar försöker klienterna använda den första hanteringsplatsen på listan: Den här sorterade listan över hanteringsplatser är slumpmässig och går inte att sortera. Ordningen i listan kan ändras varje gång klienten uppdaterar listan över hanteringsplatser. När en klient inte kan upprätta kontakt med den första hanteringsplatsen på listan testar den de efterföljande hanteringsplatserna en efter en, och testar de önskade hanteringsplatserna innan den testar övriga hanteringsplatser. Om en klient inte kan kommunicera med någon av de klassificerade hanteringsplatserna försöker den kontakta en önskad hanteringsplats från nästa klassificering, och så vidare tills klienten hittar en hanteringsplats som kan användas. När du har etablerat kommunikation med en hanteringsplats fortsätterr klienterna att använda samma hanteringspunkt tills: Efter 25 timmar väljer klienten slumpmässigt en ny hanteringsplats som ska användas. Om klienten inte kan kommunicera efter 5 försök under en 10-minutersperiod, väljer klienten en ny hanteringsplats att använda. Active Directory Klienter som är domänanslutna kan använda Active Directory Domain Services (AD DS) för att söka efter tjänster. Detta kräver att webbplatserna publicerar data till Active Directory. Klienter kan använda Active Directory Domain Services för att söka efter platser när följande villkor uppfylls: Active Directory-schemat har utökats för System Center 2012 Configuration Manager eller har utökats för Configuration Manager 2007. Active Directory-skogen har konfigurerats för att publicera, och Configuration Manager-platser har konfigurerats för att publicera. Klientdatorn är medlem i en Active Directory-domän och har åtkomst till en global katalogserver. Om en klient inte hittar någon hanteringsplats för tjänstlokalisering från AD DS försöker den använda DNS. Klienter som är domänanslutna kan använda AD DS för tjänstlokalisering. Detta kräver att webbplatserna publicerar data till Active Directory. DNS Klienter på intranätet kan använda DNS för tjänstlokalisering. Detta kräver minst en plats i en hierarki för att publicera information om hanteringsplatser till DNS. Överväg att använda DNS för tjänstlokalisering när något av följande villkor är uppfyllt: Active Directory Domain Services-schemat har inte utökats för att stödja Configuration Manager. Klienter på intranätet finns i en skog som inte är aktiverad för Configuration Manager-publicering. Om du har klienter på arbetsgruppsdatorer, och dessa klienter inte har konfigurerats för enbart Internetklienthantering. (En arbetsgruppsklient som har konfigurerats för Internet kommunicerar bara med Internetuppkopplade hanteringsplatser och använder inte DNS för tjänstlokalisering). Du kan konfigurera klienter för att hitta hanteringsplatser från DNS. När en plats publicerar tjänstlokaliseringsposter för hanteringsplatser till DNS: Publicering gäller endast för hanteringsplatser som accepterar klientanslutningar från intranätet. Publicering lägger till en resurspost för tjänstlokalisering (SRV RR) i hanteringsplatsdatorns DNS-zon. Det måste finnas en motsvarande värdpost i DNS för den datorn. Domänanslutna klienter söker normalt genom DNS efter hanteringsplatsposter från klientens lokala domän. Du kan konfigurera en klientegenskap som anger ett domänsuffix för en domän som inte har hanteringsplatsinformation som publicerats till DNS. Mer information om hur du konfigurerar klientegenskapen DNS-suffix finns i Konfigurera klientdatorer så att de hittar hanteringsplatser med DNS-publicering i Configuration Manager. Om en klient inte kan hitta någon hanteringsplats för tjänstlokalisering från DNS försöker den använda WINS. Publicera hanteringsplatser i DNS Följande villkor måste vara uppfyllda för att publicera hanteringsplatser i DNS: DNS-servrarna har stöd för resursposter för att hitta tjänster genom att använda Berkely Internet Name Domän (BIND) med lägst version 8.1.2. De fullständiga domännamnen för intranätet som angetts för hanteringsplatserna i Configuration Manager har värdposter (till exempel A-poster) i DNS. Viktigt DNS-publicering i Configuration Manager har inte stöd för uppdelade namnrymder. Om du har en uppdelad namnrymd kan du publicera hanteringsplatser i DNS manuellt eller använda någon av de andra tjänstlokaliseringsmetoderna som beskrivs i det här avsnittet. Om DNS-servrarna har stöd för automatiska uppdateringar kan du konfigurera Configuration Manager att automatiskt publicera hanteringsplatser på intranätet till DNS, eller så kan du publicera posterna manuellt till DNS. När hanteringsplatser publiceras i DNS publiceras deras fullständiga intranätdomännamn och portnummer i posten för att hitta en tjänst (SRV). Du kan konfigurera DNS-publicering på en plats i platsens egenskaper för hanteringsplatskomponenter. Mer information finns i avsnittet Konfigurera platskomponenter i Configuration Manager. Om DNS-servrarna inte har stöd för automatiska uppdateringar men har stöd för tjänstlokaliseringsposter, kan du publicera hanteringsplatser manuellt till DNS. Det gör du genom att manuellt ange resursposten för att hitta en tjänst (SRV RR) i DNS. Configuration Manager har stöd för RFC 2782 för poster för att hitta en tjänst, med följande format: _Tjänst._Proto.Namn TTL klass SRV prioritet vikt port mål Ange följande värden om du vill publicera en hanteringsplats i Configuration Manager: _Service: Ange _mssms_mp*_<platskod>*, där <platskod> är hanteringsplatsens platskod. ._Proto: Ange ._tcp. .Name: Ange hanteringsplatsens DNS-suffix, till exempel contoso.com. TTL: Ange 14400, vilket är fyra timmar. Klass: Ange IN (kompatibelt med RFC 1035). Prioritet: Det här fältet används inte av Configuration Manager. Vikt: Det här fältet används inte av Configuration Manager. Port: Ange det portnummer som hanteringsplatsen använder, till exempel 80 för HTTP och 443 för HTTPS. Obs! SRV-postporten ska matcha den kommunikationsport som används av hanteringsplatsen. Detta är som standard 80 för HTTP-kommunikation och 443 för HTTPS-kommunikation. Mål: Ange det fullständiga intranätdomännamnet som är angivet för det platssystem som är konfigurerat med hanteringsplatsens platsroll. Om du använder Windows Server-DNS kan du ange DNS-posten för intranäthanteringsplatser på följande sätt. Om du använder en annan DNS-implementering läser du informationen om fältvärden i det här avsnittet, och läser den DNS-dokumentationen för att använda den här metoden. Konfigurera automatisk publicering: I Configuration Manager-konsolen expanderar du Administration > Platskonfiguration > Platser. Välj plats och klicka sedan på Konfigurera platskomponenter. Välj Hanteringsplats. Välj de hanteringsplatser som du vill publicera. (Det här alternativet gäller för publicering till AD DS och DNS). Markera kryssrutan om du vill publicera till DNS: - Med den här dialogrutan kan du välja vilka hanteringsplatser som ska publiceras och publicera till DNS. - Den här dialogrutan konfigurerar inte publicering till AD DS. Publicera hanteringsplatser manuellt i DNS på Windows Server Ange intranätets fullständiga domännamn för platssystem i Configuration Manager-konsolen. Ange DNS-zonen för hanteringsplatsdatorn i DNS-hanteringskonsolen. Kontrollera att det finns en värdpost (A eller AAA) för intranätets fullständiga domännamn för platsssystemet. Om posten inte finns skapar du den. Genom att använda alternativet Andra nya poster klickar du på Tjänstplats (SRV) i dialogrutan Typ av resurspost, klickar på Skapa post, anger följande information och klickar sedan på Klart: - **Domän**: Ange hanteringsplatsens DNS-suffix om det behövs, till exempel **contoso.com**. - **Tjänst**: Ange **\_mssms\_mp***\_\<platskod\>* där *\<platskod\>* är hanteringsplatsens platskod. - **Protokoll**: Typen **\_tcp**. - **Prioritet**: Det här fältet används inte av Configuration Manager. - **Vikt**: Det här fältet används inte av Configuration Manager. - **Port**: Ange det portnummer som hanteringsplatsen använder, till exempel **80** för HTTP och **443** för HTTPS. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/JJ992580.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Obs!</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>SRV-postporten ska matcha den kommunikationsport som används av hanteringsplatsen. Detta är som standard <strong>80</strong> för HTTP-kommunikation och <strong>443</strong> för HTTPS-kommunikation.</p></td> </tr> </tbody> </table> </div> - **Värddator som erbjuder den här tjänsten**: Ange intranätets fullständiga domännamn som är angivet för det platssystem som är konfigurerat med hanteringsplatsens platsroll. Upprepa de här stegen för alla hanteringsplatser på intranätet som du vill publicera i DNS. WINS Om andra metoder för att hitta en tjänst misslyckas kan klienterna hitta en första hanteringsplats genom att söka i WINS. En primär plats publiceras som standard till WINS. Den första hanteringsplatsen som har konfigurerats för HTTP och den första hanteringsplatsen som har konfigurerats för HTTPS. Om du inte vill att klienter ska hitta en HTTP-hanteringsplats i WINS konfigurerar du klienterna med CCMSetup.exe-egenskapen Client.msi SMSDIRECTORYLOOKUP=NOWINS. Planera för aktivering av klienter Configuration Manager har stöd för två Wake On LAN-metoder för att aktivera datorer i viloläge när nödvändig programvara ska installeras, till exempel programvaruuppdateringar och program: traditionella aktiveringspaket och AMT-aktiveringskommandon. Från och med Configuration Manager SP1 kan du komplettera den traditionella aktiveringspaketmetoden genom att använda klientinställningarna för aktiveringsproxy. Aktiveringsproxyn använder ett peer-till-peer-protokoll och utvalda datorer för att kontrollera om andra datorer på undernätet är aktiverade, och aktivera dem om det behövs. När platsen är konfigurerad för Wake On LAN och klienterna är konfigurerade för aktiveringsproxyn, fungerar metoden så här: Datorer som har Configuration Manager SP1-klienten installerad och som inte är vilande vid undernätskontrollen oavsett om andra datorer i undernätet är aktiva. Detta utförs genom att ett TCP-IP-pingkommando skickas mellan dessa var 5:e sekund. Om det inte kommer något svar från andra datorer, antas dessa vara vilande. De datorer som är aktiva blir hanteringsdatorer för undernätet. Eftersom det är möjligt att en dator inte svarar på grund av någon annan orsak än att den är vilande (till exempel att den är avstängd, har tagits bort från nätverket eller att inställningen för proxyns aktiveringsklient inte längre används), så skickas ett väckningspaket till datorerna varje dag klockan 14 lokal tid. Datorer som inte svarar antas inte längre vara vilande och kommer inte att väckas av aktivitetsproxyn. Minst tre datorer måste vara aktiva för varje undernät som stöd för aktivitetsproxyn. För att uppnå detta väljs tre datorer ut icke-deterministiskt som skyddsdatorer för undernätet. Detta innebär att de fortsätter att vara aktiva, trots eventuella konfigurerade energiprinciper för viloläge eller energisparläge efter en period av inaktivitet. Skyddsdatorer mottar till exempel nedstängnings- eller omstartskommandon, som ett resultat av underhållsaktiviteter. Om detta händer aktiverar de återstående skyddsdatorerna ytterligare an dator på undernätet, så att undernätet fortsätter att ha tre skyddsdatorer. Hanteringsdatorerna ber nätverksväxeln att omdirigera nätverkstrafik för de vilande datorerna till dem själva. Omdirigeringen utförs av den hanteringsdator som sänder en Ethernet-ram där den vilande datorns MAC-adress används som källadress. Detta gör att nätverksväxeln fungerar som om den vilande datorn har flyttat till samma port där hanteringsdatorn finns. Hanteringsdatorn skickar också ARP-paket för de vilande datorerna för att behålla posten som ny i ARP-cachen. Hanteringsdatorn svarar också på ARP-begäranden på uppdrag av den vilande datorn och svarar med MAC-adresserna för den vilande datorn. Varning Under den här processen är IP-till-MAC-mappningen för den vilande datorn samma. Aktiveringsproxyn används för att informera nätverksväxeln att en annan nätverksadapter använder den port som har registrerats av en annan nätverksadapter. Det här beteendet kallas för en MAC-flik och är ovanlig i vanlig nätverksdrift. Vissa nätverksövervakningsverktyg söker efter det här beteendet och kan anta att något är fel. Dessa övervakningsverktyg kan därför generera aviseringar eller stänga portar när du använder en aktiveringsproxy. Använd inte aktiveringsproxy om verktygen och tjänsterna för nätverksövervakning inte tillåter MAC-flikar. När en hanteringsdator ser en ny TCP-anslutningsbegäran för en vilande dator och begäran gäller en port som den vilande datorn har lyssnat på innan den gick in i viloläge skickar hanteringsdatorn ett väckningspaket till den vilande datorn och slutar sedan att omdirigera trafik för den här datorn. Den vilande datorn tar emot väckningspaketet och aktiveras. Den skickande datorn försöker ansluta igen automatiskt och den här gången är datorn aktiv och kan svara. Aktiveringsproxyn har följande förutsättningar och begränsningar: Viktigt Om du har ett separat team som är ansvarigt för nätverksinfrastrukturen och nätverkstjänsterna, meddelar och inkluderar du det här teamet under din utvärdering och testperiod. På ett nätverk där 802.1X-nätverksåtkomstkontrollen används fungerar inte aktiveringsproxyn och kan avbryta nätverkstjänsten. Dessutom kan en aktiveringsproxy leda till att vissa nätverksövervakningsverktyg genererar aviseringar när verktygen identifierar den trafik som aktiverar andra datorer. De klienter som stöds är Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012. Gästoperativsystem som körs på en virtuell dator stöds inte. Klienter måste köra Configuration Manager SP1 och vara aktiva för aktiveringsproxyn genom att använda klientinställningar. Även om aktiveringsproxyåtgärden inte är beroende av maskinvaruinventeringen rapporterar klienter inte installationen av aktiveringsproxytjänsten om de inte är aktiverade för maskinvaruinventering och har skickat minst en maskinvaruinventering. Nätverksadaptrar (och troligtvis BIOS) måste aktiveras och konfigureras för väckningspaket. Om nätverksadaptern inte har konfigurerats för väckningspaket eller om den här inställningen har inaktiverats kommer Configuration Manager automatiskt att konfigurera och aktivera den för en dator när den tar emot klientinställningen för att aktivera aktiveringsproxyn. Om en dator har fler än en nätverksadapter kan du inte konfigurera vilken adapter som ska användas som aktiveringsproxy, valet är icke-deterministiskt. Den valda adaptern registreras dock i filen SleepAgent_<DOMAIN>@SYSTEM_0.log. Nätverket måste tillåta ICMP-ekobegäranden (åtminstone inom undernätet). Du kan inte konfigurera 5-sekundersintervallet som används för att skicka ICMP-pingkommandona. Kommunikationen är krypterad och ej autentiserad och IPsec stöds inte. Följande nätverkskonfigurationer stöds inte: 802.1X med portautentisering Trådlösa nätverk Nätverksväxlar som binder MAC-adresser till specifika portar Nätverk med endast IPv6 DHCP-lånvaraktigheter på mindre än 24 timmar Som säkerhetsregel ska du använda AMT-startkommandon snarare än väckningspaket när det är möjligt. På grund av att AMT-startkommandon använder PKI-certifikat för att hjälpa till att säkra kommunikationen är den här tekniken mer säker än att skicka väckningspaket. Om du vill använda AMT-startkommandon måste datorerna vara Intel AMT-baserade datorer som har etablerats för AMT. Mer information om hur Configuration Manager kan hantera AMT-baserade datorer finns i Introduktion till out-of-Band-hantering i Configuration Manager. Om du vill aktivera datorer för schemalagd programinstallation måste du först konfigurera varje primär plats för ett av följande tre alternativ: Använd AMT-energiaktiveringsfunktioner om datorn stöder den här tekniken, annars använder du väckningspaket Använd endast AMT-startkommandon. Använd endast väckningspaket. Om du vill använda aktiveringsproxyn med Configuration Manager SP1 måste du, förutom att välja alternativet Använd endast väckningspaket, distribuera klientinställningar för energisparfunktioner för aktiveringsproxy. Använd följande tabell om du vill ha mer information om skillnaderna mellan två Wake-on-LAN-tekniker, traditionella aktiveringspaket och startkommandon. Teknik Fördel Nackdel Traditionella väckningspaket Kräver inga ytterligare platssystemroller på platsen. Stöds av många nätverksadaptrar. UDP-väckningspaket går snabbt att skicka och bearbeta. Kräver inte någon PKI-infrastruktur. Kräver inte några ändringar av Active Directory Domain Services. Stöds på arbetsgruppsdatorer, datorer från en annan Active Directory-skog och datorer i samma Active Directory-skog, men använder en icke-sammanhängande namnrymd. Mindre säker lösning än AMT-startkommandon eftersom den inte använder autentisering eller kryptering. Om undernätsriktade sändningsöverföringar används för väckningspaket finns det en risk för smurfangrepp. Kan kräva manuell konfiguration på varje dator för BIOS-inställningar och adapterkonfiguration. Ingen bekräftelse att datorer har aktiverats. Om du aktiverar överföringar som flera UDP-paket (User Datagram Protocol) kan det leda till att den tillgängliga bandbredden överbelastas i onödan. Om du inte använder aktiveringsproxyn med Configuration Manager SP1, kan du inte aktivera datorer interaktivt. Det går inte att returnera datorer till viloläge. Hanteringsfunktioner är begränsade till att endast aktivera datorer. AMT-startkommandon Mer säker lösning än traditionella väckningspaket eftersom den erbjuder autentisering och kryptering med hjälp av säkerhetsprotokoll som är standard i branschen. Det går också att integrera med PKI-distribution och säkerhetskontroller kan hanteras oberoende från produkten. Stöder automatiskt centraliserad installation och konfiguration (AMT-etablering). Etablerad transportsession för en mer tillförlitlig anslutning och granskningsbar anslutning. Datorer kan inte aktiveras interaktivt (och startas om). Datorer kan stängas ned interaktivt. Ytterligare hanteringsfunktioner, vilket inkluderar följande: Starta om en dator som inte fungerar och starta från en lokalt ansluten enhet eller en avbildningsfil som du vet är bra. Avbilda en dator på nytt genom att starta från en startavbildningsfil som finns på nätverket eller genom att använda en PXE-server. Konfigurera om BIOS-inställningarna på en vald dator och hoppa över BIOS-lösenordet om det stöds av BIOS-tillverkaren. Starta till ett kommandobaserat operativsystem för att köra kommandon, reparera verktyg eller diagnostiska program (till exempel uppgradera programvaran eller köra ett diskreparationsverktyg). Kräver att platsen har en out-of-band-serviceplats och en registreringsplats. Stöds endast på datorer som har Intel vPro-chipuppsättningen och en version av programvaran Intel Active Management Technology (Intel AMT) som stöds. Mer information om vilka AMT-versioner som stöds finns i Konfigurationer som stöds för Configuration Manager. Transportsessionen kräver mer tid för att etableras, högre belastning på servern och en ökning av data som överförs. Kräver PKI-distribution och specifika certifikat. Kräver en Active Directory-behållare som har skapats och konfigurerats för att publicera AMT-baserade datorer. Det går inte att ge stöd för arbetsgruppsdatorer, datorer från en annan Active Directory-skog eller datorer i samma Active Directory-skog men som använder en icke-sammanhängande namnrymd. Kräver ändringar av DNS och DHCP för att stödja AMT-etablering. Välj hur du vill aktivera datorer baserat på om du kan ge stöd för AMT-startkommandon och om de datorer som har tilldelats till platsen stöder Wake-on-LAN-teknik. Du kan även överväga fördelarna och nackdelarna med båda teknikerna som listas i föregående tabell. Väckningspaket är till exempel mindre tillförlitliga och är inte säkrade, men startkommandon tar längre tid att etablera och kräver en högre belastning på den platssystemserver som har konfigurerats med out-of-band-serviceplatsen. Viktigt På grund av de ytterligare omkostnader som det medför att etablera, underhålla och slutföra en out-of-band-hanteringssession till AMT-baserade datorer bör du utföra egna test för att på ett korrekt sätt kunna bedöma hur lång tid det tar att aktivera flera datorer med hjälp av AMT-startkommandon i din miljö (till exempel över långsamma WAN-länkar till datorer på sekundära platser). Med hjälp av den här kunskapen kan du bestämma om det är praktiskt att aktivera flera datorer för schemalagda aktiviteter med hjälp av AMT-startkommandon när du har flera datorer att aktivera på kort tid. Om du bestämmer dig för att använda traditionella väckningspaket måste du också bestämma om du ska använda undernätsriktade sändningspaket eller unicast-paket och vilket UDP-portnummer som ska användas. Som standard överförs traditionella väckningspaket med hjälp av UDP-port 9, men för att hjälpa till att öka säkerheten kan du välja en alternativ port för platsen om den här alternativa porten stöds av mellanliggande routrar och brandväggar. För traditionella aktiveringspaket: Välj mellan unicast och undernätsriktad sändning för Wake on LAN Om du väljer att aktivera datorer genom att skicka traditionella väckningspaket måste du bestämma om du ska överföra unicast-paket eller undernätsriktade sändningspaket. Om du använder aktiveringsproxyn med Configuration Manager SP1 måste du använda unicast-paket. Annars använder du följande tabell som hjälp för att bestämma vilken överföringsmetod du ska välja. Överföringsmetod Fördel Nackdel Unicast Mer säker lösning än undernätsriktade sändningar eftersom paketet skickas direkt till en dator i stället för till alla datorer i ett undernät. Kanske inte kräver omkonfiguration av routrar (du kanske måste konfigurera ARP-cachen). Tar upp mindre bandbredd i nätverket än undernätsriktade överföringssändningar. Stöds med IPv4 och IPv6. Väckningspaket hittar inte måldatorer som har ändrat sin undernätsriktade adress efter det senaste maskinvaruinventeringsschemat. Växlar måste kanske konfigureras för att vidarebefordra UDP-paket. Vissa nätverksadaptrar svarar kanske inte på väckningspaket i alla vilolägen när de använder inicast som överföringsmetod. Undernätsriktad sändning Högre slutförandenivå än unicast om du har datorer som ofta ändrar sin IP-adress i samma undernät. Ingen omkonfiguration av växeln krävs. Hög kompatibilitetsnivå med alla datoradaptrar för alla vilolägen, eftersom undernätsriktade sändningar var den ursprungliga överföringsmetoden för att skicka väckningspaket. Mindre säker lösning än när unicast används eftersom en attackerare kan skicka kontinuerliga strömmar av ICMP-ekobegäranden från en förfalskad källadress till den riktade sändningsadressen. Detta leder till att alla värdar svarar på den källadressen. Om routrar har konfigurerats för att tillåta undernätsriktade sändningar rekommenderas den ytterligare konfigurationen av säkerhetsskäl: Konfigurera routrar för att tillåta IP-riktade sändningar från Configuration Manager-platsservern, genom att använda ett specificerat UDP-portnummer. Konfigurera Configuration Manager för att använda det angivna portnumret som inte är standard. Kan kräva omkonfiguration av alla mellanliggande routrar för att aktivera undernätsriktade sändningar. Tar upp mer bandbredd i nätverket än unicast-överföringar. Stöds endast med IPv4. IPv6 stöds inte. Varning Det finns säkerhetsrisker kopplade till undernätsriktade sändningar: En attackerare kan skicka kontinuerliga strömmar av ICMP-ekobegäransmeddelanden (Internet Control Message Protocol) från en förfalskad källadress till den riktade sändningsadressen, vilket leder till att alla värdar svarar på den källadressen. Den här typen av förnekande av en serviceattack kallas vanligtvis för smurfattack och minimeras vanligtvis genom att aktivera undernätsriktade sändningar. Planera för kommunikation över skogar i Configuration Manager System Center 2012 Configuration Manager stöder platser och hierarkier som sträcker sig över Active Directory-skogar. Configuration Manager stöder också domändatorer som finns i samma Active Directory-skog som platsservern och datorer som finns i arbetsgrupper: Om du vill ange stöd för datorer i en skog som inte är betrodd av platsserverns skog kan du installera platssystemroller i den ej betrodda skogen, med alternativet att publicera platsinformation till klientens Active Directory-skog. Du kan också hantera dessa datorer på samma sätt som arbetsgruppsdatorer. När du installerar platssystemservrar i klientens skog, behålls klient-till-server-kommunikationen i klientens skog och Configuration Manager kan autentisera datorn med hjälp av Kerberos. När du publicerar platsinformation till klientens skog drar klienterna nytta av att platsinformation hämtas, till exempel en lista över tillgängliga hanteringsplatser, från Active Directory-skogen snarare än att den här informationen hämtas från den tilldelade hanteringsplatsen. Obs! Om du vill hantera enheter som finns på Internet kan du installera Internet-baserade platssystemroller i ditt perimeternätverk när platssystemservrarna finns i en Active Directory-skog. Det här scenariot kräver inte att perimeternätverket och platsserverns skog är betrodda i båda riktningarna. Om du vill ange stöd för datorer i en arbetsgrupp måste du manuellt godkänna dessa datorer om de använder HTTP-klientanslutningar till platssystemroller eftersom Configuration Manager inte kan autentisera dessa datorer med hjälp av Kerberos. Dessutom måste du konfigurera nätverksåtkomstkontot så att dessa datorer kan hämta innehåll från distributionsplatser. Eftersom dessa datorer inte kan hämta platsinformation från Active Directory Domain Services måste du ange en alternativ mekanisk för dessa så att de kan hitta hanteringsplatser. Du kan använda DNS-publicering eller WINS. Du kan också tilldela en hanteringsplats direkt. Du hittar mer information om klientgodkännande under Konfigurera inställningar för klientgodkännanden och klientposter som står i konflikt med varandra i Konfigurera inställningar för klienthantering i Configuration Manager. Information om hur du konfigurerar Network Access-kontot finns i avsnittet Konfigurera nätverksåtkomstkontot i hjälpavsnittet Konfigurera innehållshantering i Configuration Manager. Information om hur du installerar klienter på arbetsgruppsdatorer finns i avsnittet Hur du installerar Configuration Manager-klienter på arbetsgruppsdatorer i hjälpavsnittet Installera klienter på Windows-baserade datorer i Configuration Manager. Configuration Manager stöder Exchange Server-kopplingen i en annan skog från platsservern. Se till att detta scenario fungerar genom att se till att namnmatchningen fungerar i skogarna (konfigurera t.ex. DNS-vidarebefordran), och ange det fullständigt bestämda domännamnet på Exchange Server i intranätet när du konfigurerar Exchange Server-kopplingen. Mer information finns i avsnittet Hantera mobila enheter med Configuration Manager och Exchange. Om din design av Configuration Manager omfattar flera Active Directory-domäner och -skogar, kan du använda informationen i tabellen nedan som hjälp när du planerar för de följande typerna av kommunikation. Scenario Information Mer information Kommunikation mellan platser i en hierarki som omfattar skogar: Kräver dubbelriktat skogsförtroende, vilket stöder den Kerberos-autentisering som Configuration Manager kräver. Configuration Manager stöder installation av en underordnad plats i en fjärransluten skog som har det nödvändiga dubbelriktade förtroendet för den överordnade platsens skog. Till exempel: Du kan placera en sekundär plats i en annan skog än dess primära överordnade plats om bara det nödvändiga förtroendet föreligger. Om du inte har det dubbelriktade skogsförtroende som krävs för Kerberos-autentisering så stöder Configuration Manager inte att den underordnade platsen placeras i den fjärranslutna skogen. Obs! En underordnad plats kan vara den primära platsen (där den centrala administrationswebbplatsen är den överordnade platsen) eller en sekundär plats. Kommunikation mellan platser i Configuration Manager sker genom databasreplikering och filöverföringar. När du installerar en plats, måste du ange ett konto för att installera platsen på den utsedda servern. Detta konto upprättar och upprätthåller dessutom kommunikationen mellan platserna. Efter att platsen har installerats och initierar filöverföringar och databasreplikering, behöver du inte konfigurera något annat för kommunikationen till platsen. Mer information om hur du installerar en webbplats finns i avsnittet Installera en platsserver i hjälpavsnittet Installera platser och skapa en hierarki för Configuration Manager. Om det finns ett dubbelriktat skogsförtroende behöver Configuration Manager inte konfigureras ytterligare. Om du installerar en ny plats som underordnad till en annan, konfigurerar Configuration Manager de följande sakerna som standard: En filbaserad replikeringsadress mellan platser på varje plats som använder platsserverns datorkonto.Configuration Manager lägger till datorkontot för varje dator i gruppen SMS_SiteToSiteConnection_ Planera för internetbaserad klienthantering Med internetbaserad klienthantering kan du hantera Configuration Manager-klienter om de inte är anslutna till företagets nätverk men har en normal internetanslutning. Detta arrangemang har flera fördelar, däribland sänkta kostnader eftersom du inte behöver köra några virtuella privata nätverk, och att du kan distribuera programuppdateringar snabbare. Eftersom hantering av klientdatorer i offentliga nätverk kräver högre säkerhet, kräver internetbaserad klienthantering att klienterna och platssystemsservrarna att klienterna ansluter med PKI-certifikat. Detta säkerställer att anslutningarna autentiseras av en oberoende auktoritet, och att alla data till och från dessa platssystem krypteras med SSL (Secure Sockets Layer). Använd följande avsnitt när du planerar för internetbaserad klienthantering: Funktioner som inte stöds på internet Alla klienthanteringsfunktioner lämpar sig inte för internet, och de stöds därför inte om klienterna hanteras via internet. De funktioner som inte stöds för internethantering förlitar sig i allmänhet på Active Directory Domain Services eller lämpar sig inte för offentliga nätverk, t.ex. nätverksidentifiering och Wake-on-LAN (WOL). De följande funktionerna stöds inte om klienter hanteras på internet: Klientdistribution via internet, t.ex. push-installation av klienter och klientdistribution via programuppdateringar. Installera klienterna manuellt. Automatisk platstilldelning. NAP (Network Access Protection). Wake-on-LAN. Distribution av operativsystem. Du kan emellertid distribuera aktivitetssekvenser som inte distribuerar ett operativsystem, t.ex. aktivitetssekvenser som kör skript och underhållsåtgärder på klienter. Fjärrstyrning. Out-of-band-hantering. Programdistribution till användare, såvida inte hanteringsplatsen på internet kan autentisera användaren i Active Directory Domain Services genom att använda Windows-autentisering (Kerberos eller NTLM). Detta är möjligt om hanteringsplatsen på internet litar på skogen där användarkontot finns. Dessutom stöds inte nätverksväxling vid internetbaserad klienthantering. Med nätverksväxling kan klienterna alltid lokalisera de närmaste distributionsplatserna för att hämta innehåll. Klienter som hanteras på internet kommunicerar med platssystem från sin tilldelade plats när dessa platssystem är konfigurerade att använda ett fullständigt bestämt internetnamn, och när platssystemsrollen tillåter klientanslutningar från internet. Klienter väljer ett slumpmässigt platssystem på internet, oavsett bandbredd och fysisk plats. Obs! En nyhet i System Center 2012 Configuration Manager är, att när du har en programuppdateringsplats som är konfigurerad för att godkänna anslutningar från internet, så söker internetbaserade Configuration Manager-klienter alltid på den för att ta reda på om programuppdateringar krävs. Men när de här klienterna är på internet försöker de först ladda ned programuppdateringarna via Microsoft Update i stället för från en distributionsplats på internet. Om det inte fungerar försöker de därefter ladda ned uppdateringarna från en Internetbaserad distributionsplats. Klienter som inte är konfigurerade för klienthantering på internet försöker aldrig ladda ned programuppdateringar från Microsoft Update, utan använder alltid Configuration Managers distributionsplatser. Att tänka på när det gäller klientkommunikation från Internet eller ej betrodda skogar Följande platssystemroller som installerats på primära platser stöder anslutningar från klienter som finns på ej betrodda platser, t.ex. Internet eller en ej betrodd skog (sekundära platser stöder inte klientanslutningar från ej betrodda platser): Webbplatspunkt för programkatalog Principmodul för Configuration Manager Distributionsplats (HTTPS krävs av molnbaserade distributionsplatser) Registreringsproxyplats Status för återställningsplats Hanteringsplats Programuppdateringsplats Om platssystem mot Internet: Det finns visserligen inte några krav att det ska finnas ett förtroende mellan en klients skog och platssystemserverns skog, om den skog som innehåller ett Internetuppkopplat platssystem har förtroende för den skog som innehåller användarkontona. Ändå stöder den här konfigurationen användarbaserade principer för enheter på Internet när du aktiverar Klientprincip-inställningen Aktivera användarprincipbegäranden från Internetklienter. De följande konfigurationerna illustrerar när internetbaserad klienthantering stöder användarprinciper för enheter på internet: Den internetbaserade hanteringsplatsen finns i randnätverket, där en skrivskyddad domänkontrollant finns för att autentisera användaren och en mellanliggande brandvägg släpper igenom Active Directory-paket. Användarkontot i Skog A (intranätet) och den internetbaserade hanteringsplatsen i Skog B (randnätverket). Skog B litar på Skog A, och en mellanliggande brandvägg släpper igenom autentiseringspaket. Användarkontot och den internetbaserade hanteringsplatsen finns i Skog A (intranätet). Hanteringsplatsen publiceras till Internet med hjälp av en webbproxyserver (som Forefront Threat Management Gateway). Obs! Om Kerberos-autentisering misslyckas prövas NTLM-autentisering automatiskt. Som det föregående exemplet visar, kan du placera internetbaserade platssystem i intranätet, där de publiceras till internet med hjälp av en webbproxyserver, t.ex. ISA Server och Forefront Threat Management Gateway. Dessa platssystem kan konfigureras för klientanslutning endast från internet, eller från både internet och intranätet. Om du använder en webbproxyserver, kan du konfigurera den för SSL-bryggning (Secure Sockets Layer) till SSL (säkrare) eller SSL-tunnling: SSL-bryggning till SSL: Den rekommenderade konfigurationen när du använder proxywebbservrar för Internetbaserad klienthantering är SSL-bryggning till SSL, som använder SSL-avslutning med autentisering. Klientdatorer måste autentiseras med hjälp av datorautentisering, och äldre klienters mobila enheter autentiseras med hjälp av användarautentisering. Mobila enheter som är registrerade av Configuration Manager har inte stöd för SSL-bryggning. Fördelen med SSL-avslutning vid proxywebbservern är att paket från Internet genomgår en inspektion innan de vidarebefordras till det interna nätverket. Proxywebbservern autentiserar anslutningen från klienten, avslutar den och öppnar sedan en ny autentiserad anslutning till de Internetbaserade platssystemen. När Configuration Manager-klienterna använder en proxywebbserver finns klientens identitet (klientens GUID) i säkert förvar i paketets nyttolast, så att hanteringsplatsen inte ser proxywebbservern som klienten. Bryggning stöds inte i Configuration Manager med HTTP till HTTPS, eller från HTTPS till HTTP. Tunneltrafik: Om proxywebbservern inte kan stödja kraven för SSL-bryggning, eller om du vill konfigurera Internetstöd för mobila enheter som har registrerats av Configuration Manager, stöds även SSL-tunneltrafik. Detta är ett mindre säkert alternativ eftersom SSL-paketen från Internet vidarebefordras till platssystemen utan SSL-avslutning, så de kan inte granskas för att se om det finns skadligt innehåll. När du använder SSL-tunneltrafik finns det inga certifikatkrav för proxywebbservern. Planering för Internetbaserade klienter Du måste avgöra om de klientdatorer som ska hanteras via Internet kommer att konfigureras för hantering via intranätet och Internet, eller för klienthantering enbart via Internet. Du kan enbart konfigurera klienthanteringsalternativet under installationen av en klientdator. Om du ändrar dig senare måste du installera om klienten. Obs! För System Center 2012 R2 Configuration Manager och senare: Om du konfigurerar en internetkapabel hanteringsplats, kan klienter som ansluter till hanteringsplatsen bli internetkapabla när de uppdaterar sin lista över tillgängliga hanteringsplatser. Tips Du behöver inte begränsa konfigurationen av klienthantering enbart via Internet till Internet utan du kan även använda den på intranätet. Klienter som är konfigurerade för klienthantering enbart via Internet kommunicerar enbart med de platssystem som är konfigurerade för klientanslutningar från Internet. Den här konfigurationen skulle vara lämplig för datorer som du vet aldrig ansluter till ditt företags intranät, exempelvis säljpunktsdatorer på fjärrplatser. Detta kan även vara lämpligt när du vill begränsa klientkommunikationen till enbart HTTPS (till exempel för att stödja brandväggsprinciper och begränsade säkerhetsprinciper), och när du installerar Internetbaserade platssystem i ett perimeternätverk och du vill hantera dessa servrar med hjälp av Configuration Manager-klienten. Om du vill hantera arbetsgruppsklienter på Internet måste du installera dem som enbart för Internet- Obs! Mobila enhetsklienter konfigureras automatiskt som enbart för Internet när de är konfigurerade för att använda en Internetbaserad hanteringsplats. Andra klientdatorer kan konfigureras för Internet och intranätsklienthantering. De kan automatiskt växla mellan Internetbaserad klienthantering och intranätsklienthantering när de identifierar en förändring av nätverket. Om dessa klienter kan hitta och ansluta till en hanteringsplats som är konfigurerad för klientanslutningar på intranätet hanteras dessa klienter som intranätsklienter som har fullständiga Configuration Manager-hanteringsfunktioner. Om klienterna inte kan hitta eller ansluta till en hanteringsplats som är konfigurerad för klientanslutningar på intranätet, försöker de ansluta till en Internetbaserad hanteringsplats. Om detta lyckas hanteras dessa klienter sedan av de Internetbaserade platssystemen på den tilldelade platsen. Fördelen med automatisk växling mellan Internetbaserad klienthantering och klienthantering via intranät är att klientdatorerna automatiskt kan använda samtliga Configuration Manager-funktioner när de är anslutna till intranätet och fortsätter att hanteras för grundläggande hanteringsfunktioner när de är anslutna till Internet. En nedladdning som började på Internet kan dessutom fortsätta utan avbrott på intranätet och vice versa. Förutsättningar för Internetbaserad klienthantering Internetbaserad klienthantering i Configuration Manager har följande externa beroenden: Beroende Mer information Klienter som ska hanteras på Internet måste ha en Internetanslutning. Configuration Manager använder befintliga Internetleverantörsanslutningar till Internet, som kan vara antingen permanenta eller tillfälliga anslutningar. Mobila klientenheter måste ha en direkt Internetanslutning, men klientdatorer kan ha antingen en direkt Internetanslutning eller ansluta via en proxywebbserver. Platssystem som har stöd för Internetbaserad klienthantering måste ha en Internetanslutning och måste finnas i en Active Directory-domän. De Internetbaserade platssystemen kräver ingen förtroenderelation till Active Directory-skogen på platsservern. Om den Internetbaserade hanteringsplatsen kan autentisera användaren med hjälp av Windows-autentisering stöds dock användarprinciper. Om Windows-autentiseringen misslyckas stöds enbart datorprinciper. Obs! Om du vill ha stöd för användarprinciper måste du även ställa in Sant för de två Klientprincip-klientinställningarna. Aktivera avsökning av användarprinciper på klienter Aktivera användarprincipsbegäranden från Internetklienter En Internetbaserad webbplats för programkatalogen kräver också Windows-autentisering för att autentisera användarna när datorn finns på Internet. Det här kravet är fristående från användarprinciperna. Du måste ha en understödjande offentlig nyckelstruktur (PKI) som kan distribuera och hantera de certifikat som klienterna kräver och som hanteras på Internet och de Internetbaserade platssystemservrarna. Mer information om PKI-certifikaten finns i PKI-certifikatkrav för Configuration Manager Följande infrastrukturtjänster måste konfigureras för att stödja Internetbaserad klienthantering: Offentliga DNS-servrar: Det fullständigt kvalificerade domännamnet (FQDN) till de platssystem som stöder Internetbaserad klienthantering måste registreras som värdposter på offentliga DNS-servrar. Mellanliggande brandväggar eller proxyservrar: Dessa nätverksenheter måste tillåta klientkommunikation som är kopplad till Internetbaserade platssystem. Krav för klientkommunikation: Stöd för HTTP 1.1 Tillåt HTTP-innehållstypen för MIME-multipartsbilaga (multipart/blandad och program/oktett-ström) Tillåt följande verb för den Internetbaserade hanteringsplatsen: HEAD CCM_POST BITS_POST GET PROPFIND Tillåt följande verb för den Internetbaserade distributionsplatsen: HEAD GET PROPFIND Tillåt följande verb för den Internetbaserade återställningsstatuspunkten: POST Tillåt följande verb för den Internetbaserade programkatalogens webbplats: POST GET Tillåt följande HTTP-huvuden för den Internetbaserade hanteringsplatsen: Intervall: CCMklientID: CCMklientIDSignature: CCMklientTimestamp: CCMklientTimestampsSignature: Tillåt följande HTTP-huvud för den Internetbaserade distributionsplatsen: Intervall: Information om konfigurationer som stödjer de här kraven finns i dokumentationen till din brandvägg eller proxyserver. Information om liknande kommunikationskrav när du använder programuppdateringsplatsen för klientanslutningar från Internet finns i dokumentationen till WSUS (Windows Server Update Services). Information om WSUS på Windows Server 2003 finns exempelvis i Bilaga D: Säkerhetsinställningar, distributionsbilaga för säkerhetsinställningar. Planering för nätverksbandbredd i Configuration Manager System Center 2012 Configuration Manager innehåller flera metoder för att kontrollera bandbredden på det nätverk som används vid kommunikation mellan platser, platssystemservrar och klienter. Dock kan inte all kommunikation inom nätverket hanteras. Använd följande avsnitt om du vill få hjälp att förstå de metoder som du kan använda för att kontrollera nätverkets bandbredd och för att utforma din platshierarki. När du planerar Configuration Manager-hierarkin bör du väga in den mängd nätverksdata som kommer att överföras vid kommunikation mellan och inom platser. Obs! Filreplikeringsflöden (kallades adresser före Configuration Manager SP1) används enbart för kommunikation inom platser och inte för kommunikation inom platser mellan platsservrarna och platssystemen. Styra användningen av nätverksbandbredd mellan platser Configuration Manager överför data mellan platser med hjälp av både filbaserad replikering och databasreplikering. Före Configuration Manager med SP1 kunde man konfigurera filbaserad replikering för att styra användningen av nätverksbandbredd för överföringar, men det gick inte att konfigurera användningen av nätverksbandbredd för databasreplikering. Från och med Configuration Manager SP1 är det möjligt att konfigurera användningen av nätverksbandbredd för databasreplikering av utvalda platsdata. När du konfigurerar kontrollerna för nätverksband bör du vara medveten om risken för datafördröjning. Om kommunikationen mellan platserna är begränsad eller konfigurerad för att enbart överföra data efter vanlig arbetstid, kan administratörerna för antingen den överordnade eller den underordnade platsen eventuellt inte se vissa data förrän kommunikationen mellan platserna har ägt rum. Om exempelvis ett viktigt programuppdateringspaket skickas till distributionsplatser som finns på underordnade platser, blir paketet eventuellt inte tillgängligt på dessa platser förrän all väntande kommunikation mellan platserna har slutförts. Väntande kommunikation kan inbegripa leverans av ett paket som är mycket stort och där överföringen ännu inte har slutförts. Kontroller för filbaserad replikering: Under filbaserade dataöverföringar använder Configuration Manager hela den tillgängliga nätverksbandbredden för att skicka data mellan platser. Du kan styra den här processen genom att konfigurera avsändaren på en plats för att öka eller minska sändningstrådarna mellan olika platser. En sändningstråd används för att överföra en fil åt gången. Varje ytterligare tråd gör det möjligt att överföra ytterligare filer samtidigt, vilket resulterar i ökad bandbreddsanvändning. Om du vill konfigurera det antal trådar som ska användas för plats-till-plats-överföringar ställer du in Maximalt antal samtidiga sändningar på fliken Avsändare för platsegenskaperna. Om du vill kontrollera filbaserade dataöverföringar mellan platser kan du schemalägga de tidpunkter då Configuration Manager kan använda ett filreplikeringsflöde till en viss plats. Du kan styra den mängd nätverksbandbredd som ska användas, storleken på datablocken och med vilken frekvens datablocken ska skickas. Ytterligare konfigurationer kan begränsa dataöverföringarna utifrån datatypens prioritet. För varje plats i hierarkin kan du ställa in scheman och hastighetsbegränsningar för den platsen, som ska användas vid överföring av data genom att konfigurera egenskaperna för filreplikeringsflödet till varje målplats. Konfigurationer för ett filreplikeringsflöde gäller enbart för dataöverföringarna till den målplats som angetts för detta filreplikeringsflöde. Mer information om filreplikeringsflöden finns i underavsnittet Filreplikeringsflöden i avsnittet Planera kommunikation mellan platser i Configuration Manager i det här hjälpavsnittet. Viktigt När du konfigurerar hastighetsbegränsningar för att begränsa bandbreddsanvändningen i ett visst filreplikeringsflöde kan Configuration Manager använda endast en tråd för att överföra data till den här målplatsen. Användning av hastighetsbegränsningar för ett filreplikeringsflöde åsidosätter den användning av flera trådar per plats som har konfigurerats i Maximalt antal samtidiga sändningar för varje plats. Kontroller för databasreplikering: Från och med Configuration Manager SP1 är det möjligt att konfigurera databasreplikeringslänkar, vilket bidrar till att kontrollera användningen av nätverkets bandbredd för överföring av valda platsdata mellan platser. En del av kontrollerna liknar de som används för filbaserad replikering, med ytterligare stöd för schemaläggning av när maskinvaruinventering, programvaruinventering, programmätning och statusmeddelanden ska replikeras till den överordnade platsen via länken. Mer information finns i avsnittet Databasreplikering i det här hjälpavsnittet. Styra användningen av nätverksbandbredd mellan platssystemservrar Inom en plats används SMB:er (Server Message Block) vid kommunikation mellan platssystemen. Kommunikationen kan ske när som helst och stöder inte någon mekanism för kontroll av nätverksbandbredden. När du konfigurerar platsservern för användning av hastighetsbegränsningar och scheman för att styra överföringen av data via nätverket till en distributionsplats kan du dock hantera överföringen av innehåll från platsservern till distributionsplatserna med kontroller som liknar de kontroller som används för filbaserade plats-till-plats-överföringar. Styra användningen av nätverksbandbredd mellan klienter oh platssystemservrar Klienterna kommunicerar regelbundet med olika platssystemservrar. De kan till exempel kommunicera med en platssystemserver som kör en hanteringsplats när de måste kontrollera om det finns en klientprincip och kommunicera med en platssystemserver som kör en distributionsplats när de måste ladda ned innehåll för att installera ett program eller en programuppdatering. Frekvensen hos de här anslutningarna och den mängd data som överförs via nätverket till eller från en klient är beroende av de scheman och konfigurationer som du anger som klientinställningar. Vanligtvis begär klientprincipen att en låg nätverksbandbredd ska användas. Nätverksbandbredden kan vara hög när klienter får åtkomst till innehåll för distributioner eller skickar information som exempelvis maskinvaruinventeringsdata till platsen. Du kan ange klientinställningar som styr frekvensen hos den klientinitierade nätverkskommunikationen. Dessutom kan du konfigurera hur klienterna får åtkomst till distributionens innehåll, exempelvis genom att använda tjänsten Background Intelligent Transfer Service (BITS). Klienten måste vara konfigurerad för användning av BITS för att kunna använda BITS för att ladda ned innehåll. Om klienten inte kan använda BITS används i stället SMB för att överföra innehållet. Information om klientinställningar i Configuration Manager finns i Planera klientinställningar i Configuration Manager. Se även Planera för platser och hierarki i Configuration Manager