Configuration Manager 的示例漫游方案:复杂
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
本主题的方案将帮助您了解 Configuration Manager 2007 中漫游及相关方案的工作原理,其中介绍了一些较复杂的方案(基于Configuration Manager 的示例漫游方案:简单中的基本方案构建)和同一虚构公司的 Configuration Manager 多站点部署。
在阅读这些方案之前,请参阅关于 Configuration Manager 中的客户端漫游。
下列方案着眼于当客户端的网络位置位于 Configuration Manager 层次结构中的已分配站点外部时,客户端如何获取播发和软件更新的内容:
漫游时,用户由于默认的播发设置而无法下载内容
漫游时,用户由于受保护的分发点而无法下载内容
已分配给站点但位于它的站点边界外部的客户端无法运行播发或安装软件更新
混合模式客户端漫游到纯模式站点
纯模式客户端漫游到混合模式站点
客户端漫游到其他 Configuration Manager 2007 层次结构
Configuration Manager 2007 支持下列两个概念:在分布式环境中的任何位置管理客户端;保护广域网 (WAN) 以便它们不会发生网络流量饱和问题。这两个概念有时会冲突,并且各种配置和因素的组合有时可能导致意外或不需要的结果。
例如,当所需内容不在本地时,为确保客户端始终可以访问此内容,漫游到其他站点的客户端将回退,向已分配站点询问此内容。然而,当客户端连接在慢速边界上时,播发和软件更新包的默认配置将不允许下载此内容。将分发点配置为受保护不仅可以阻止来自其他站点的客户端下载内容,还可以阻止同一站点中的客户端下载内容。
本主题中的方案涵盖了一些典型的方案,在这些方案中,有关下载内容以及通过 WAN 链接进行通信的客户端行为是异常的并且通常是不需要的。然而在某些情况下,可能由于特定的业务要求而需要这样的结果。
下列是一些避免这些冲突的最佳方案:
确保 Intranet 上的客户端网络位置在 Configuration Manager 层次结构的已定义边界之内。与其他服务管理员和 DHCP 管理员协作。其他服务管理员可以是定义 Active Directory 站点的 Active Directory 管理员;而 DHCP 管理员定义客户端将使用的地址范围(包括 VPN 连接的地址)。
确保已定义边界不包含多个 Configuration Manager(或 SMS 2003)站点的客户端 IP 地址(或子网)或 Active Directory 站点。当此配置生效时,它会导致重叠的边界,并且因为随后无法确定客户端行为,所以不支持此配置。
将边界配置为快速或慢速边界时,请注意在客户端未连接到快速边界时可以下载内容的可能结果。
如果需要阻止特定站点的 WAN 流量,请将该站点中的分发点配置为受保护。
要将主站点及其辅助站点之间的流量减到最少,请在辅助站点中安装代理管理点。
要将客户端漫游时 WAN 链接上的流量减到最少,请扩展 Configuration Manager 2007 的 Active Directory 架构。
有关边界的详细信息,请参阅下列主题:
所有漫游方案示例中使用的层次结构
层次结构具有三层主站点:
在层次结构的顶层是中央站点,一个位于多伦多的 TOR 主站点。
在主站点的第二层有三个主子站点,分别是休斯顿的 HOU、伦敦的 LON 和上海的 SHA。
休斯顿子主站点在西雅图和波斯顿分别具有一个辅助站点:SEA 和 BOS。
LON 子主站点在曼彻斯特具有一个辅助站点:MAN。
SHA 子主站点没有辅助站点。
在主站点的第三层有两个孙主站点,分别是悉尼的 SYD 和赫尔辛基的 HEL。
SYN 孙主站点在墨尔本和布里斯班具有两个辅助站点:MEL 和 BRI。
HEL 孙主站点没有辅助站点。
下图显示了此层次结构。
.gif "与方案一起使用的 ConfigMgr 层次结构")
漫游时,用户由于默认的播发设置而无法下载内容
其便携式计算机被分配到休斯顿 (HOU) 的用户旅行到悉尼 (SYD)。
休斯顿的管理员使用下列选项为 Microsoft Office 2007 创建了播发:“当客户端在慢速或不可靠网络边界内连接时:不运行程序”(播发名称属性:“分发点”选项卡上)。播发包被添加到休斯顿 (HOU)、西雅图 (SEA) 和波斯顿 (BOS) 的分发点,如下图所示。
.gif "漫游客户端无法获得内容")
全局漫游功能
当便携式计算机连接到悉尼的网络时,用户尝试运行播发。Configuration Manager 客户端联系悉尼的常驻管理点,但内容在该站点中不可用。
客户端将回退,向其在休斯顿的默认管理点询问分发点,以便从休斯顿 (HOU) 中的已分配站点下载源包。
然而,虽然休斯顿存在这些内容,但播发配置阻止下载内容,因为默认管理点意识到客户端的网络位置不在为休斯顿配置的快速边界之内。
用户返回但在西雅图作了短暂停留,访问已分配站点的辅助站点 SEA。
当便携式计算机连接到西雅图网络时,它识别它所在的站点,并从 Active Directory 域服务找到代理管理点。它通过发送硬件清单和内容位置请求与 SEA 中的代理管理通信以获取策略。
用户再次尝试运行播发,这一次将成功,因为代理管理点在 SEA 中找到宿主内容的分发点。客户端现在西雅图站点的快速边界之内。
区域漫游功能
当便携式计算机连接到悉尼的网络时,用户尝试运行播发。Configuration Manager 客户端联系它在休斯顿的默认管理点,该管理点对悉尼的站点一无所知。然而管理点知道悉尼的分发点,但这些分发点并不宿主客户端正在请求的内容。
休斯顿的默认管理点返回休斯顿宿主播发所需内容的分发点列表。
虽然休斯顿存在这些内容,但播发配置阻止下载内容,因为默认管理点意识到客户端的 IP 地址不在它的快速边界之内。
用户返回但在西雅图作了短暂停留,访问已分配站点的辅助站点 SEA。
当便携式计算机连接到西雅图网络时,它与休斯顿的默认管理点通信。默认管理点通知客户端要在 SEA 使用的代理管理点。
用户再次尝试运行播发,这一次将成功,因为代理管理点在 SEA 中找到宿主内容的分发点,并且客户端在西雅图站点的快速边界上。
漫游时,用户由于受保护的分发点而无法下载内容
其便携式计算机被分配到上海 (SHA) 的用户旅行到伦敦 (LON)。
上海站点部署了 Microsoft Office 的加载项,并在上海站点的所有分发点上宿主软件包。
进出上海的 WAN 链接速度缓慢且价钱昂贵,因此,为了防止这些链接发生内容下载饱和问题,上海站点中的所有分发点均配置为使用对上海站点配置的边界进行保护。
伦敦站点未提供此内容,因此从上海漫游的便携式计算机将回退,向它在上海的默认管理点询问分发点列表。虽然上海提供此内容,但伦敦的客户端网络位置不在为上海的受保护分发点配置的边界之内,因此在用户返回到上海站点之前,她无法安装播发。
下图描述了此方案。
.gif "漫游客户端和受保护的分发点")
类似行为
当上海的受保护分发点仅对快速边界进行配置时,可在下列情况下看到相同的行为:
如果上海站点为远程用户将 VPN 范围定义为慢速边界,则通过 VPN 连接的用户在直接连接到上海的网络(在快速边界上)之前,将无法下载内容。
如果客户端被分配到上海站点,但它的网络位置不在为上海站点配置的边界之内,则自动将该客户端视为通过慢速边界进行连接。此用户将无法从其已分配站点中的分发点下载内容,直到其网络位置被添加到为受保护分发点配置的某个边界。
已分配给站点但位于它的站点边界外部的客户端无法运行播发或安装软件更新
客户端的一个网络位置在伦敦站点的快速边界之内,但该客户端被错误地分配到休斯顿站点。
软件更新在多伦多进行部署,并宿主在层次结构的所有分发点上,并且软件更新部署使用默认设置(当客户端在慢速边界上时不运行)进行配置。下图描述了此方案。
.gif "站点边界之外的客户端")
全局漫游功能
客户端接收到软件更新通知,并联系伦敦站点 (LON) 中的常驻管理点。伦敦的管理点返回伦敦具有软件更新所需内容的分发点列表。客户端在伦敦站点的快速边界上,因此软件更新将安装。
区域漫游功能
客户端接收到软件更新通知,并联系它在休斯顿的默认管理点。休斯顿的管理点返回休斯顿具有软件更新所需内容的分发点列表。然而,客户端不在休斯顿站点的快速边界之内,因此不会启动软件更新安装。
如果不重新配置软件更新或不重新分配客户端,则此客户端可以为此部署获取软件更新的唯一方法是漫游到伦敦,在那里,它的网络位置随后会处于站点的快速边界之内。
类似行为
如果休斯顿站点为远程用户将 VPN 范围定义为慢速边界(或没有为 VPN 范围定义任何边界),则客户端也将无法获取软件更新。在这种情况下,通过 VPN 连接的用户将无法获取内容。
解决方案
通过执行下列重新配置步骤之一来解决客户端无法获取内容的情况。
| 重新配置 | 更多信息 |
|---|---|
如果不具备全局漫游功能的客户端被分配到站点,但是其网络位置在其他站点(该站点不是已分配站点的辅助站点)的已配置边界之内,请重新分配客户端。 在给定的方案中,应该将客户端重新分配到伦敦站点。 |
|
作为防止失败的措施,您可能需要考虑将重要的播发和软件更新部署配置为在本地下载内容并运行,而不是使用默认选项(当客户端在慢速网络边界内连接时不安装)。 备注 当其他客户端漫游到另一站点时,如果它们回退,向其默认管理点请求内容,则此配置可能导致这些客户端也安装此内容。 |
在下列对话框上配置这些选项: |
重新考虑您为站点配置的慢速边界。例如,VPN 连接可能足够快且足够可靠,因此可配置为快速边界以便 VPN 用户能够始终安装宿主在已分配站点上的内容。 |
混合模式客户端漫游到纯模式站点
在关键软件更新被部署并宿主在层次结构中的所有分发点上后,便携式计算机用户随即从休斯顿漫游到多伦多站点,使用的配置是当客户端从慢速边界连接时在本地下载并运行,如下图所示。
.gif "混合模式客户端漫游到本机模式站点")
全局漫游功能
具有全局漫游功能的客户端将确定它现已连接到多伦多站点,并尝试与常驻管理点通信。然而多伦多站点处于纯模式,因此将不允许与混合模式客户端通信。客户端将回退,与它在休斯顿的默认管理点通信,然后安装来自休斯顿的分发点的软件更新。
区域漫游功能
具有区域漫游功能的客户端无法确定它已漫游到另一站点。它继续与休斯顿的默认管理点通信,向它询问可从中下载软件更新的最近分发点。休斯顿的管理点在多伦多找不到分发点,因此它将返回休斯顿站点中的分发点列表,然后客户端安装来自休斯顿的分发点的软件更新。
解决方案
目前,无法解决在漫游到多伦多站点的客户端和它在休斯顿的已分配站点之间的额外流量。当站点处于纯模式时,它将拒绝与混合模式客户端进行客户端通信,以确保站点的完整性。
如果休斯顿站点已迁移到纯模式,则具有全局漫游功能的客户端将能够与多伦多的常驻管理点通信,并从多伦多分发点下载内容。
纯模式客户端漫游到混合模式站点
在关键软件更新被部署并宿主在层次结构中的所有分发点上后,便携式计算机用户随即从多伦多漫游到休斯顿站点,使用的配置是当客户端从慢速边界连接时在本地下载并运行,如下图所示。
.gif "本机模式客户端漫游到混合模式站点")
全局漫游功能
具有全局漫游功能的客户端将确定它现已连接到休斯顿站点,并尝试与常驻管理点通信。然而休斯顿站点处于混合模式,因此使用证书颁发机构在客户端与常驻管理点之间进行相互身份验证时失败。
如果将客户端配置为使用选项“允许对漫游和站点分配使用 HTTP 通信”,则它可以使用混合模式通信与休斯顿的常驻管理点进行通信,并向它询问休斯顿站点中的分发点。
然而,如果未将客户端配置为使用选项“允许对漫游和站点分配使用 HTTP 通信”,则它无法使用混合模式通信与休斯顿的常驻管理点进行通信。它将回退到它在多伦多的默认管理点,然后从多伦多站点的某个分发点下载软件更新。
区域漫游功能
具有区域漫游功能的客户端无法确定它已漫游到另一站点。它继续与多伦多的默认管理点通信,向它询问可从中下载软件更新的最近分发点。多伦多的管理点返回休斯顿的分发点列表。
如果将客户端配置为使用选项“允许对漫游和站点分配使用 HTTP 通信”,则它可以使用混合模式通信与休斯顿的分发点进行通信,然后安装来自休斯顿站点的软件更新。
然而,如果未将客户端配置为使用选项“允许对漫游和站点分配使用 HTTP 通信”,则它无法使用混合模式通信与休斯顿的分发点进行通信。相反,它安装来自它在多伦多的已分配站点的软件更新。
关键配置步骤
必须执行下列配置步骤才能使此方案成功。
| 配置 | 更多信息 |
|---|---|
如果要让纯模式客户端漫游到混合模式站点并在本地从混合模式站点下载内容,请将它配置为使用选项“允许对漫游和站点分配使用 HTTP 通信”。 备注 此配置的安全性低于不允许 HTTP 通信时的安全性。 |
客户端漫游到其他 Configuration Manager 2007 层次结构
来自休斯顿站点的顾问拜访密歇根州其他也安装了 Configuration Manager 2007 的公司。当便携式计算机连接到其他公司的网络时,它将从 DHCP 服务器接收到 IP 地址,因此可以访问网络。顾问尝试运行先前接收到的可选播发以安装 Microsoft Office 2007 加载项。
Microsoft Office 2007 加载项也作为可选的播发在其他公司的 Configuration Manager 2007 层次结构上提供,因此用户预期它会安装。然而,在使用其他公司的层次结构时,内容对于此用户不可用,如下图所示。
.gif "客户端漫游到另一层次结构")
全局漫游功能
具有全局漫游功能的客户端将查询 Active Directory 域服务,获取它的站点和默认管理点。
在其他网络上,客户端计算机无法进行身份验证,因此不能访问 Active Directory 域服务。当全局漫游功能失败时,客户端将恢复到区域漫游行为。
区域漫游功能
当具有区域漫游功能的客户端连接到新网络时,它将尝试查找它的已分配站点的默认管理点。
极可能的方案是客户端在新网络上找不到它的已分配站点的管理点。如果未在新网络中使用同一站点代码或者客户端找不到管理点,则客户端将回退,尝试使用它在休斯顿的当前已分配管理点。除非两个层次结构之间具有网络连接,否则这将失败,并且在客户端返回到它自己的 Configuration Manager 2007 层次结构之前,将无法下载内容。
如果客户端的已分配站点代码与新网络上的站点代码匹配,则客户端将尝试使用 DNS、服务器定位器点和 WINS 来查找它的站点的默认管理点。要使此操作成功,新层次结构必须包含与客户端的已分配站点相同的站点代码,并且下列条件之一也必须成立:
要使客户端使用 DNS 发布功能来查找它的已分配站点代码的管理点,必须为新网络上的 DNS 服务器配置该客户端,并且新网络上的管理点必须具有与休斯顿的管理点一样的域后缀,或者在客户端上重新配置了选项“为以下站点分配指定或修改 DNS 后缀”的值。
要使客户端使用服务器定位器点来查找管理点,必须在新网络中使用完全相同的服务器定位器点名称或 IP 地址(如果对客户端分配了服务器定位器点),或者必须为新网络上的 WINS 服务器(具有服务器定位器点的手动输入 WINS 条目)配置该客户端。此外,要使纯模式客户端与服务器定位器点进行通信,该客户端还必须配置为使用选项“允许对漫游和站点分配使用 HTTP 通信”。
要使客户端使用 WINS 来查找管理点,该客户端必须配置为在混合模式下操作且针对新网络上的 WINS 服务器进行配置。
如果满足了其中的任一条件,则客户端将使用备用层次结构上的管理点来更新它的已分配管理点。然而无法管理客户端,因为客户端由于下列原因之一而不信任新层次结构中的管理点:
在纯模式下进行相互身份验证失败。
客户端通信模式有别于管理点的站点模式。
客户端已配置为使用有别于站点的客户端请求端口号。
客户端无法使用它自己的层次结构的受信任根密钥对管理点的证书进行身份验证。
解决方案
如果播发已强制配置为使用在本地下载并安装的配置,则在从休斯顿站点移除便携式计算机之前内容完成下载时,此方案会成功。
基于 Internet 的客户端管理为定期从公司的 Intranet 断开的便携式计算机提供了其他可能的解决方案。在其他公司的 Intranet 上,客户端将尝试连接到它的基于 Internet 的管理点并通过 Internet 检索内容。要使此操作成功,用户可必须将 Configuration Manager 客户端配置为使用本地代理服务器进行 Internet 访问。有关详细信息,请参阅以下内容:
另请参阅
任务
概念
关于 Configuration Manager 中的客户端站点分配
关于 Configuration Manager 中的客户端漫游
关于分发点
Configuration Manager 示例分配方案:主站点
Configuration Manager 示例分配方案:辅助站点
Configuration Manager 的示例漫游方案:简单
其他资源
Configuration Manager 客户端部署的技术参考
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。