Configuration Manager中的终结点之间的通信
适用于: Configuration Manager(current branch)
本文介绍Configuration Manager站点系统和客户端如何跨网络进行通信。 它包括以下部分:
站点中站点系统之间的通信
当Configuration Manager站点系统或组件通过网络与站点中的其他站点系统或组件通信时,它们使用以下协议之一,具体取决于站点的配置方式:
服务器消息块 (SMB)
HTTP
HTTPS
除了从站点服务器到分发点的通信外,站点中的服务器到服务器通信可能随时发生。 这些通信不使用机制来控制网络带宽。 由于无法控制站点系统之间的通信,因此请确保在具有快速且连接良好的网络的位置安装站点系统服务器。
站点服务器到分发点
为了帮助你管理从站点服务器到分发点的内容传输,请使用以下策略:
为网络带宽控制和计划配置分发点。 这些控件类似于站点间地址使用的配置。 将内容传输到远程网络位置是main带宽注意事项时,使用此配置而不是安装另一个Configuration Manager站点。
可以将分发点安装为预留分发点。 预留分发点允许你使用手动放置在分发点服务器上的内容,并且无需通过网络传输内容文件。
有关详细信息,请参阅 管理内容管理的网络带宽。
从客户端到站点系统和服务之间的通信
客户端启动与站点系统角色、Active Directory 域服务和联机服务的通信。 若要启用这些通信,防火墙必须允许客户端与其通信终结点之间的网络流量。 有关客户端在与这些终结点通信时使用的端口和协议的详细信息,请参阅 Configuration Manager 中使用的端口。
在客户端可以与站点系统角色通信之前,客户端使用服务位置来查找支持客户端协议的角色, (HTTP 或 HTTPS) 。 默认情况下,客户端使用可供其使用的最安全的方法。 有关详细信息,请参阅 了解客户端如何查找站点资源和服务。
若要帮助保护Configuration Manager客户端和站点服务器之间的通信,请配置以下选项之一:
使用公钥基础结构 (PKI) 并在客户端和服务器上安装 PKI 证书。 允许站点系统通过 HTTPS 与客户端通信。 有关如何使用证书的信息,请参阅 PKI 证书要求。
将站点配置为对 HTTP 站点系统使用Configuration Manager生成的证书。 有关详细信息,请参阅 增强型 HTTP。
部署使用 Internet Information Services (IIS) 并支持从客户端进行通信的站点系统角色时,必须指定客户端是使用 HTTP 还是 HTTPS 连接到站点系统。 如果使用 HTTP,还必须考虑签名和加密选项。 有关详细信息,请参阅 规划签名和加密。
重要
从 Configuration Manager 版本 2103 开始,将弃用允许 HTTP 客户端通信的站点。 为 HTTPS 或增强 HTTP 配置站点。 有关详细信息,请参阅 为仅 HTTPS 或增强的 HTTP 启用站点。
客户端到管理点的通信
客户端与管理点通信有两个阶段:身份验证 (传输) 和授权 (消息) 。 此过程因以下因素而异:
- 站点配置:仅限 HTTPS,允许 HTTP 或 HTTPS,或者允许启用增强 HTTP 的 HTTP 或 HTTPS
- 管理点配置:HTTPS 或 HTTP
- 以设备为中心的方案的设备标识
- 以用户为中心的方案的用户标识
使用下表了解此过程的工作原理:
| MP 类型 | 客户端身份验证 | 客户端授权 设备标识 |
客户端授权 用户标识 |
|---|---|---|---|
| HTTP | 匿名 使用增强型 HTTP,站点验证Microsoft Entra ID 用户或设备令牌。 |
位置请求:匿名 客户端包:匿名 注册,使用以下方法之一来证明设备标识: - 匿名 (手动审批) - Windows 集成身份验证 - Microsoft Entra ID 设备令牌 (增强的 HTTP) 注册后,客户端使用消息签名来证明设备标识 |
对于以用户为中心的方案,请使用以下方法之一来证明用户标识: - Windows 集成身份验证 - Microsoft Entra ID 用户令牌 (增强的 HTTP) |
| HTTPS | 使用以下方法之一: - PKI 证书 - Windows 集成身份验证 - Microsoft Entra ID 用户或设备令牌 |
位置请求:匿名 客户端包:匿名 注册,使用以下方法之一来证明设备标识: - 匿名 (手动审批) - Windows 集成身份验证 - PKI 证书 - Microsoft Entra ID 用户或设备令牌 注册后,客户端使用消息签名来证明设备标识 |
对于以用户为中心的方案,请使用以下方法之一来证明用户标识: - Windows 集成身份验证 - Microsoft Entra ID 用户令牌 |
提示
有关为不同设备标识类型和云管理网关配置管理点的详细信息,请参阅 为 HTTPS 启用管理点。
客户端到分发点的通信
当客户端与分发点通信时,它只需在下载内容之前进行身份验证。 使用下表了解此过程的工作原理:
| DP 类型 | 客户端身份验证 |
|---|---|
| HTTP | - 匿名(如果允许) - 使用计算机帐户或网络访问帐户进行 Windows 集成身份验证 - 内容访问令牌 (增强的 HTTP) |
| HTTPS | - PKI 证书 - 使用计算机帐户或网络访问帐户进行 Windows 集成身份验证 - 内容访问令牌 |
来自 Internet 或不受信任的林的客户端通信的注意事项
有关详细信息,请参阅以下文章:
跨 Active Directory 林的通信
Configuration Manager支持跨 Active Directory 林的站点和层次结构。 它还支持与站点服务器不在同一 Active Directory 林中的域计算机,以及工作组中的计算机。
支持站点服务器林不信任的林中的域计算机
在该不受信任的林中安装站点系统角色,以及将站点信息发布到该 Active Directory 林的选项
像管理工作组计算机一样管理这些计算机
在不受信任的 Active Directory 林中安装站点系统服务器时,来自该林中的客户端的客户端到服务器的通信将保留在该林中,Configuration Manager可以使用 Kerberos 对计算机进行身份验证。 将站点信息发布到客户端林时,客户端可以从其 Active Directory 林中检索站点信息(例如可用管理点的列表),而不是从其分配的管理点下载此信息。
注意
如果要管理 Internet 上的设备,可以在站点系统服务器位于 Active Directory 林中时,在外围网络中安装基于 Internet 的站点系统角色。 此方案不需要外围网络和站点服务器林之间的双向信任。
支持工作组中的计算机
使用 HTTP 客户端连接到站点系统角色时,手动批准工作组计算机。 Configuration Manager无法使用 Kerberos 对这些计算机进行身份验证。
将工作组客户端配置为使用网络访问帐户,以便这些计算机可以从分发点检索内容。
为工作组客户端提供替代机制来查找管理点。 使用 DNS 发布或直接分配管理点。 这些客户端无法从Active Directory 域服务检索站点信息。
有关详细信息,请参阅以下文章:
支持跨多个域和林的站点或层次结构的方案
方案 1:跨林的层次结构中的站点之间的通信
此方案需要支持 Kerberos 身份验证的双向林信任。 如果没有支持 Kerberos 身份验证的双向林信任,则Configuration Manager不支持远程林中的子站点。
Configuration Manager支持在与父站点的林具有所需双向信任的远程林中安装子站点。 例如,只要存在所需的信任,就可以将辅助站点放置在与其主父站点不同的林中。
注意
子站点可以是主站点 (管理中心站点是父站点) 或辅助站点。
Configuration Manager 中的站点间通信使用数据库复制和基于文件的传输。 安装站点时,必须指定用于在指定服务器上安装站点的帐户。 此帐户还建立和维护站点之间的通信。 站点成功安装并启动基于文件的传输和数据库复制后,无需配置任何其他内容即可与站点通信。
当存在双向林信任时,Configuration Manager不需要任何其他配置步骤。
默认情况下,安装新的子站点时,Configuration Manager配置以下组件:
在每个站点上使用站点服务器计算机帐户的基于站点间文件的复制路由。 Configuration Manager将每台计算机的计算机帐户添加到目标计算机上的 SMS_SiteToSiteConnection_<sitecode> 组中。
每个站点上的 SQL Server 之间的数据库复制。
另请设置以下配置:
干预防火墙和网络设备必须允许Configuration Manager所需的网络数据包。
名称解析必须在林之间工作。
若要安装站点或站点系统角色,必须指定在指定计算机上具有本地管理员权限的帐户。
方案 2:跨林的站点中的通信
此方案不需要双向林信任。
主站点支持在远程林中的计算机上安装站点系统角色。
- 当站点系统角色接受来自 Internet 的连接时,作为安全最佳做法,请在林边界为站点服务器提供保护的位置安装站点系统角色 (,例如,在外围网络) 中。
若要在不受信任的林中的计算机上安装站点系统角色,请执行以下操作:
指定 站点系统安装帐户,站点使用该帐户来安装站点系统角色。 (此帐户必须具有本地管理凭据才能连接到 。) 然后在指定的计算机上安装站点系统角色。
选择站点系统选项 “要求站点服务器启动到此站点系统的连接”。 此设置要求站点服务器与站点系统服务器建立连接以传输数据。 此配置可防止位于不受信任位置的计算机发起与受信任网络内的站点服务器的联系。 这些连接使用 站点系统安装帐户。
若要使用安装在不受信任的林中的站点系统角色,即使站点服务器启动数据传输,防火墙也必须允许网络流量。
此外,以下站点系统角色需要直接访问站点数据库。 因此,防火墙必须允许从不受信任的林到站点SQL Server的适用流量:
资产智能同步点
Endpoint Protection 点
注册点
管理点
Reporting 服务点
状态迁移点
有关详细信息,请参阅 Configuration Manager 中使用的端口。
可能需要配置对站点数据库的管理点和注册点访问权限。
默认情况下,安装这些角色时,Configuration Manager将新站点系统服务器的计算机帐户配置为站点系统角色的连接帐户。 然后,它将帐户添加到相应的SQL Server数据库角色。
在不受信任的域中安装这些站点系统角色时,请配置站点系统角色连接帐户,使站点系统角色能够从数据库获取信息。
如果将域用户帐户配置为这些站点系统角色的连接帐户,请确保域用户帐户对该站点上的 SQL Server 数据库具有适当的访问权限:
管理点: 管理点数据库连接帐户
注册点: 注册点连接帐户
规划其他林中的站点系统角色时,请考虑以下附加信息:
如果运行 Windows 防火墙,请配置适用的防火墙配置文件,以传递站点数据库服务器与安装了远程站点系统角色的计算机之间的通信。
当基于 Internet 的管理点信任包含用户帐户的林时,支持用户策略。 如果不存在信任,则仅支持计算机策略。
方案 3:当客户端与其站点服务器不在同一 Active Directory 林中时,客户端与站点系统角色之间的通信
对于与其站点的站点服务器不在同一林中的客户端,Configuration Manager支持以下方案:
客户端的林和站点服务器的林之间存在双向林信任。
站点系统角色服务器与客户端位于同一林中。
客户端位于与站点服务器不具有双向林信任的域计算机上,并且客户端林中未安装站点系统角色。
客户端位于工作组计算机上。
已加入域的计算机上的客户端在其站点发布到 Active Directory 林时,可以使用Active Directory 域服务作为服务位置。
将站点信息发布到另一个 Active Directory 林:
指定林,然后在“管理”工作区的“Active Directory 林”节点中启用发布到该林。
配置每个站点以将其数据发布到Active Directory 域服务。 此配置使该林中的客户端能够检索站点信息并查找管理点。 对于无法使用 Active Directory 域服务 服务位置的客户端,可以使用 DNS 或客户端分配的管理点。
方案 4:将Exchange Server连接器置于远程林中
若要支持此方案,请确保名称解析在林之间有效。 例如,配置 DNS 转发。 配置Exchange Server连接器时,请指定Exchange Server的 Intranet FQDN。 有关详细信息,请参阅使用 Configuration Manager 和 Exchange 管理移动设备。
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈