在 Configuration Manager 中规划站点系统
适用于: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager 使用站点系统角色来支持每个站点上的操作。 承载 配置管理器 站点的计算机称为站点服务器,承载其他站点系统角色的计算机称为站点系统服务器。 站点服务器也是站点系统服务器。
同一个站点内的站点系统服务器使用服务器消息块 (SMB)、HTTP 或 HTTPS 相互通信,具体取决于你选择的站点配置。 由于这些通信是不受管理的,并且可能在没有网络带宽控制的情况下随时进行,因此请在安装站点系统服务器和配置站点系统角色之前查看可用网络带宽。
在每个站点上,你可以在其站点服务器上安装可用的站点系统角色,也可以在另一个站点系统服务器上安装一个或多个站点系统角色。配置管理器 不限制可在单个站点系统服务器上运行的站点系统角色的数量。 但是,配置管理器 不支持同一站点系统服务器上不同个站点中的站点系统角色。 此外,配置管理器 仅在层次结构中的特定站点上支持某些站点系统角色,并且某些站点系统角色还有一些安装位置和安装时间方面的其他限制。
配置管理器 使用站点系统安装帐户来安装站点系统角色。 你在运行适用的向导来创建新站点系统服务器或向现有站点系统服务器中添加站点系统角色时指定此帐户。 默认情况下,此帐户是站点服务器计算机的本地系统帐户,但你可以指定域用户帐户以供用作站点系统安装帐户。 有关此帐户的详细信息,请参阅 Configuration Manager 中使用的帐户的技术参考主题中的“站点系统安装帐户”。
使用下列部分来帮助你规划站点系统:
Configuration Manager 中的站点系统角色
规划站点系统角色的代理服务器配置
规划将站点系统角色安装在层次结构中的何处
在 Configuration Manager 中规划数据库服务器
在 Configuration Manager 中规划 SMS 提供程序
利用 Configuration Manager 规划自定义网站
Configuration Manager SP1 中的新增功能
说明 |
---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
借助 配置管理器 SP1,你可以在每个站点系统服务器上配置代理服务器,供该计算机上安装的所有站点系统角色使用。 这不是一个新站点系统角色,而是站点系统服务器计算机的一项配置。
System Center 2012 R2 Configuration Manager 的新增功能
说明 |
---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
下列各项与 System Center 2012 R2 Configuration Manager 中的站点系统角色相比是全新的:
有一个新的站点系统角色,即证书注册点。 这个新站点系统角色需要 IIS,并且与 Windows Server 2012 R2 上运行的 Active Directory 域服务的网络设备注册服务服务器角色的策略模块插件结合工作。 此解决方案为 配置管理器 管理的设备提供证书注册。
有关详细信息,请参阅 Configuration Manager 中的证书配置文件简介 指南中的 资产和 System Center 2012 Configuration Manager 中的符合性。
Configuration Manager 中的站点系统角色
在安装站点时,会在安装期间指定的服务器上自动安装若干站点系统角色。 安装了站点之后,你可以在这些服务器上或在你决定用作站点系统服务器的其他计算机上安装其他站点系统角色。 下列部分确定 配置管理器 中提供的默认站点系统角色以及可选站点系统角色。
默认站点系统角色
在安装 配置管理器 站点时,会自动为该站点安装若干默认站点系统角色。 这些站点系统角色是每个站点的核心操作所必需的,并且,尽管可将某些默认站点系统角色转移到其他服务器,但不能将它们从站点中删除。 此外,当你安装可选站点系统角色时,将在其他站点系统服务器上安装某些默认站点系统角色。
下表中描述了默认站点系统角色。
站点系统角色 |
描述 |
||
---|---|---|---|
配置管理器 站点服务器 |
当你安装管理中心站点或主站点时,将在从中运行 配置管理器 安装程序的服务器上自动安装该站点服务器角色。 当你安装辅助站点时,将在指定为辅助站点服务器的服务器上安装该站点服务器角色。 |
||
配置管理器 站点系统 |
站点系统是向站点提供 配置管理器 功能的计算机。 每个站点系统承载一个或多个站点系统角色。 大多数站点系统角色是可选的,并且只有在你必须为特定管理任务使用这些角色时才安装它们。 其他站点系统角色会自动安装在站点系统上,并且无法进行配置。 在 配置管理器 站点安装过程中,或在你将可选站点系统角色添加到另一个服务器时,将分配此角色。 |
||
配置管理器 组件站点系统角色 |
运行 SMS Executive 服务的任何站点系统也会安装组件站点系统角色。 需要此角色来支持其他角色(例如管理点),并且会随其他站点系统角色一起安装和删除此角色。 当你安装 配置管理器 时,会始终将此角色分配给站点服务器。 |
||
配置管理器 站点数据库服务器 |
站点数据库服务器是运行 Microsoft SQL Server 的受支持版本的计算机,并且存储 配置管理器 站点的信息,例如发现数据、硬件和软件清单数据,以及配置和状态信息。 配置管理器 层次结构中的每个站点都包含站点数据库以及分配了站点数据库服务器角色的服务器。 你可以将 SQL Server 安装在站点服务器上,或者,如果将 SQL Server 安装在不是站点服务器的其他计算机上,则可以降低站点服务器的 CPU 使用率。 辅助站点可以使用 SQL Server Express,而不是完整的 SQL Server 安装。 站点数据库可安装在默认 SQL Server 实例上,或安装在运行 SQL Server 的单一计算机上的命名实例上。 它可安装在 SQL Server 群集的命名实例上。 通常,站点系统服务器仅支持单一 配置管理器 站点中的站点系统角色;不过,你可以使用运行 SQL Server 的群集或非群集服务器上的不同 SQL Server 实例来承载不同 配置管理器 站点的数据库。 对于此配置,你必须将 SQL Server 的每个实例配置为使用不同的端口。 当你安装 配置管理器 时,将安装此角色。 |
||
SMS 提供程序 |
SMS 提供程序是 配置管理器 控制台和站点数据库之间的接口。 当你安装管理中心站点或主站点时,将安装此角色。 辅助站点不安装 SMS 提供程序。 你可以在站点服务器、站点数据库服务器(除非站点数据库承载于 SQL Server 的群集实例上)或另一台计算机上安装 SMS 提供程序。 你也可以在安装站点后将 SMS 提供程序转移到另一台计算机,或在其他计算机上安装多个 SMS 提供程序。 若要移动或安装站点的其他 SMS 提供程序,请运行 配置管理器 安装程序,选择“执行站点维护或重置站点”选项,单击“下一步”,然后在“站点维护”页上选择“修改 SMS 提供程序配置”选项。
|
可选站点系统角色
可选站点系统角色是 配置管理器 站点的核心操作不需要的站点系统角色。 但是,默认情况下,当你安装主站点或辅助站点时,会在站点服务器上安装作为可选站点系统角色的管理点和分发点。 尽管这两个站点系统角色不是站点的核心操作所必需的,但是你至少必须安装一个管理点才能在这些位置支持客户端。 安装站点之后,你可以将管理点或分发点的默认位置转移到另一个服务器、安装每个站点系统角色的其他实例,以及安装其他可选站点系统角色来满足你的业务需求。
下表中描述了可选站点系统角色。
站点系统角色 |
描述 |
||
---|---|---|---|
应用程序目录 Web 服务点 |
一种站点系统角色,该角色从软件库中向应用程序目录网站提供软件信息。 |
||
应用程序目录网站点 |
一种站点系统角色,该角色从应用程序目录中向用户提供可用软件的列表。 |
||
资产智能同步点 |
一种站点系统角色,用于连接到 Microsoft 以下载资产智能目录信息并上载未分类的标题,以便将来可考虑将它们包括在目录中。 此站点系统角色只能安装在管理中心站点或独立主站点上。 有关规划资产智能的详细信息,请参阅 在 Configuration Manager 资产智能的先决条件。 |
||
证书注册点 |
一种站点系统角色,该角色与运行网络设备注册服务的服务器通信以管理使用简单证书注册协议 (SCEP) 的设备证书请求。
|
||
分发点 |
一种站点系统角色,其中包含供客户端下载的源文件,例如应用程序内容、软件包、软件更新、操作系统映像以及启动映像。 你可以通过使用带宽、限制和计划选项来控制内容分发。 有关详细信息,请参阅 在 Configuration Manager 中规划内容管理。 |
||
回退状态点 |
一种站点系统角色,该角色可帮助你监视客户端安装并确定因无法与其管理点通信而不受管理的客户端。 |
||
管理点 |
一种站点系统角色,该角色向客户端提供策略和服务位置信息,并从客户端接收配置数据。 在管理客户端的每个主站点上,以及你要在其中提供客户端的本地联系点以获取计算机和用户策略的每个辅助站点上,你至少必须安装一个管理点。 |
||
Endpoint Protection 点 |
一种站点系统角色,配置管理器 使用该角色来接受 Endpoint Protection 许可条款并为 Microsoft Active Protection Service 配置默认成员身份。 |
||
注册点 |
一种站点系统角色,该角色使用 配置管理器 的 PKI 证书来注册移动设备和 Mac 计算机,并设置基于 Intel AMT 的计算机。 |
||
注册代理点 |
一种站点系统角色,用于管理来自移动设备和 Mac 计算机的 配置管理器 注册请求。 |
||
带外服务点 |
一种站点系统角色,用于针对带外管理设置和配置基于 Intel AMT 的计算机。 |
||
Reporting Services 点 |
与 SQL Server Reporting Services 集成的一种站点系统角色,用于为 配置管理器 创建和管理报表。 有关详细信息,请参阅 在 Configuration Manager 中规划报告。 |
||
软件更新点 |
一种站点系统角色,该角色与 Windows Server Update Services (WSUS) 集成以向 配置管理器 客户端提供软件更新。 有关详细信息,请参阅 在 Configuration Manager 中规划软件更新。 |
||
状态迁移点 |
在计算机迁移到新操作系统时存储用户状态数据的站点系统角色。 有关在部署操作系统时存储用户状态的详细信息,请参阅 如何在 Configuration Manager 中管理用户状态。 |
||
系统健康验证程序点 |
一种用于验证 配置管理器 网络访问保护 (NAP) 策略的站点系统角色。 它必须安装在 NAP 健康策略服务器上。 |
||
Microsoft Intune 连接器 |
配置管理器 SP1 中引入的一种站点系统角色,该角色使用 Microsoft Intune 在 配置管理器 控制台中管理移动设备。 |
规划站点系统角色的代理服务器配置
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
在正常操作过程中,一些 配置管理器 站点系统角色需要连接到 Internet。 通常,此连接在安装了站点系统角色的计算机的系统上下文中进行,并且无法为典型用户帐户使用代理配置。 如果需要代理服务器来完成与 Internet 的连接,你必须将计算机配置为使用代理服务器。 对于不带 Service Pack 的 配置管理器,你必须为 配置管理器 外部的系统上下文手动配置代理服务器。 从 配置管理器 SP1 开始,你可以使用 配置管理器 控制台将每个站点系统服务器配置为使用代理服务器。 此代理服务器配置由该计算机上安装的每个适用站点系统角色使用。 例如,软件更新点可能连接到 Microsoft 来下载更新,并且,对于 配置管理器 SP1,当你使用基于云的分发点时,用于管理基于云的分发点的主站点服务器必须连接到 Windows Azure。
下表确定可使用代理服务器的站点系统角色:
站点系统角色 |
配置管理器 版本 |
详细信息 |
---|---|---|
资产智能同步点 |
|
此站点系统角色连接到 Microsoft,并将在承载资产智能同步点的计算机上使用代理服务器配置。 |
基于云的分发点 |
|
当你使用基于云的分发点时,用于管理基于云的分发点的主站点必须能够连接到 Windows Azure 以设置、监视并将内容分发到分发点。 如果此连接需要代理服务器,你必须在主站点服务器上配置代理服务器。 无法在 Windows Azure 中基于云的分发点上配置代理服务器。 有关详细信息,请参阅 为管理云服务的主站点配置代理设置 主题中的 为 Configuration Manager 安装和配置站点系统角色 部分。 |
Exchange Server 连接器 |
|
此站点系统角色连接到 Exchange Server,并将在承载 Exchange Server 连接器的计算机上使用代理服务器配置。 |
软件更新点 |
|
此站点系统角色可能需要连接到 Microsoft 更新来下载修补程序和同步有关更新的信息。 对于不带 Service Pack 的 配置管理器,你可以为活动软件更新点配置代理服务器设置。 对于 配置管理器 SP1,如果已存在为站点系统服务器配置的代理,则代理服务器选项仅可用于软件更新点。 有关软件更新点的代理服务器的详细信息,请参阅 在 Configuration Manager 中配置软件更新 主题中的“代理服务器设置”部分。 |
Microsoft Intune 连接器 |
|
此站点系统角色连接到 Microsoft Intune,并将在承载 Microsoft Intune 连接器的计算机上使用代理服务器配置。 |
从 配置管理器 SP1 开始,你可以在通过使用添加站点系统角色向导或创建站点系统服务器向导安装站点系统角色时为站点系统服务器配置代理服务器。 安装了站点系统服务器后,你可以通过编辑站点系统服务器的属性来配置代理服务器。 每个站点系统服务器仅支持单一代理服务器配置。 如果在安装站点系统角色或编辑站点系统服务器属性时配置新的代理服务器,则新代理服务器配置将替换以前为该站点系统服务器配置的代理服务器。
计算机上运行的所有站点系统角色共享代理服务器配置。 不支持同一计算机上运行的个别站点系统角色使用不同的代理服务器配置。 如果需要不同的站点系统角色使用不同的代理服务器,你必须将这些站点系统角色安装在不同的站点系统服务器计算机上。
通常,当你配置代理服务器时,该计算机上支持使用代理服务器的每个站点系统角色都将使用该代理服务器,而无需进行任何其他配置。 此情况的例外是软件更新点。 默认情况下,除非你在配置软件更新点时还启用了下列选项,否则软件更新点不使用可用代理服务器:
同步软件更新时使用代理服务器
使用自动部署规则下载内容时使用代理服务器
提示 |
---|
必须在承载软件更新点的站点系统服务器上配置代理服务器,然后你才能选择任一选项。 只会为你选择的特定选项使用代理服务器。 |
由于每个站点系统服务器仅支持单一代理服务器配置,因此,如果你将新站点系统角色添加到计算机,并指定与已配置的代理服务器配置不同的配置,则新配置将替换以前的代理服务器配置。 同样,在为站点系统服务器配置代理服务器之后,如果编辑站点系统的属性并更改代理服务器配置,则这个新配置将替换以前的代理服务器配置。
有关为站点系统角色配置代理服务器的过程,请参阅 为 Configuration Manager 安装和配置站点系统角色 主题。
规划将站点系统角色安装在层次结构中的何处
在安装站点系统角色之前,请确定可支持或无法支持特定站点系统角色的站点类型,以及你可以在站点上或层次结构中安装每个站点系统角色的多少个实例。
你只能在层次结构中的顶层站点上安装某些站点系统角色。 顶层站点可以是多主站点层次结构的管理中心站点或独立主站点(如果层次结构由包含一个或多个辅助子站点的单一主站点组成)。
此外,某些站点系统角色仅支持每个层次结构一个实例。 但是,大多数站点系统角色都支持在层次结构中和单独的站点上有多个实例。
层次结构中的站点系统角色布局
使用下表来确定可在 System Center 2012 Configuration Manager 层次结构中的每种类型的站点上安装的站点系统角色,以及站点系统角色是提供仅适用于其站点的功能,还是提供适用于整个层次结构的功能。 你可以在管理中心站点或主站点的站点服务器计算机或远程站点系统服务器上安装任何支持的站点系统角色。 在辅助站点上,只支持在远程站点系统服务器上安装分发点。
站点系统角色 |
管理中心站点 |
子主站点 |
独立主站点 |
辅助站点 |
特定于站点的选项或层次结构范围的选项 |
---|---|---|---|---|---|
应用程序目录 Web 服务点 |
否 |
是 |
是 |
否 |
层次结构 |
应用程序目录网站点 |
否 |
是 |
是 |
否 |
层次结构 |
资产智能同步点1 |
是 |
否 |
是 |
否 |
层次结构 |
证书注册点 |
是 |
是 |
是 |
否 |
层次结构 |
分发点2, 5 |
否 |
是 |
是 |
是 |
站点 |
回退状态点 |
否 |
是 |
是 |
否 |
层次结构 |
管理点2, 3, 5 |
否 |
是 |
是 |
是 |
站点 |
Endpoint Protection 点 |
是 |
否 |
是 |
否 |
层次结构 |
注册点 |
否 |
是 |
是 |
否 |
站点 |
注册代理点 |
否 |
是 |
是 |
否 |
站点 |
带外服务点 |
否 |
是 |
是 |
否 |
站点 |
Reporting Services 点 |
是 |
是 |
是 |
否 |
层次结构 |
软件更新点 4, 5 |
是 |
是 |
是 |
是 |
站点 |
状态迁移点5 |
否 |
是 |
是 |
是 |
站点 |
系统健康验证程序点 |
是 |
是 |
是 |
否 |
层次结构 |
Microsoft Intune 连接器 |
是 |
否 |
是 |
否 |
层次结构 |
1 配置管理器 在层次结构中仅支持此站点系统角色的单一实例。
2 默认情况下,当你安装辅助站点时,会在辅助站点服务器上安装管理点和分发点。
3 需要此角色来支持 配置管理器 中的客户端。 辅助站点不支持多个管理点,并且此管理点无法支持 配置管理器 注册的移动设备。 有关支持 配置管理器 中的客户端的站点系统角色的详细信息,请参阅 在 Configuration Manager 中为客户端部署确定站点系统角色。
4 如果你的层次结构包含管理中心站点,在任何子主站点上安装软件更新点之前,请在此站点上安装与 Windows Server Update Services (WSUS) 同步的软件更新点。 当你在子主站点上安装软件更新点时,请将其配置为与管理中心站点上的软件更新点同步。
5 在 System Center 2012 R2 Configuration Manager 之前,辅助站点上的所有站点系统角色必须位于站点服务器计算机上。 唯一的例外是分发点。 辅助站点支持在站点服务器计算机和远程计算机上安装分发点。 从 System Center 2012 R2 Configuration Manager 开始,状态迁移点也可安装在站点服务器计算机或远程计算机上,并且可与分发点共存。
站点系统角色的布局注意事项
使用下表来帮助你决定在何处安装站点系统角色。
站点系统角色 |
注意事项 |
||
---|---|---|---|
应用程序目录网站点 |
如果应用程序目录支持 Internet 上的客户端计算机,作为最佳安全方案,请将应用程序目录网站点安装在外围网络中,并将应用程序目录 Web 服务点安装在 Intranet 上。 |
||
资产智能同步点 |
配置管理器 在层次结构中支持此站点系统角色的单一实例,并仅在层次结构中的顶层站点上支持该实例。 |
||
证书注册点 |
配置管理器 在每个主站点或管理中心站点支持此站点系统角色的多个实例。 在此方案中,客户端会不确定地分配给证书注册点之一,以帮助对证书请求进行负载平衡。 但是,单一证书注册点可以向整个层次结构提供功能。
每个证书注册点都需要访问网络设备注册服务的单独实例。 你不能将两个或多个证书注册点配置为使用相同的网络设备注册服务。 |
||
Endpoint Protection 点 |
配置管理器 在层次结构中支持此站点系统角色的单一实例,并仅在层次结构中的顶层站点上支持该实例。 |
||
注册点 |
如果用户通过使用 配置管理器 注册移动设备,并且这些移动设备的 Active Directory 帐户位于站点服务器的林不信任的林中,则你必须在用户的林中安装注册点,以便可对用户进行验证。 |
||
注册代理点 |
如果支持 Internet 上的移动设备,作为最佳安全方案,请将注册代理点安装在外围网络中,并将注册点安装在 Intranet 上。 |
||
回退状态点 |
尽管你可以在主站点中安装多个回退状态点,但只能将客户端分配给一个回退状态点,并且此分配在客户端安装过程中进行:
|
||
管理点 |
你无法在安装了 System Center 2012 Configuration Manager 客户端的服务器上安装 Configuration Manager 2007 管理点。 必须先卸载 Configuration Manager 2007 客户端。 |
||
带外服务点 |
安装此站点系统以支持对基于 Intel AMT 的计算机的带外管理。 在 配置管理器 中,必须在同时包含注册点的主站点上安装此站点系统。 带外服务点无法设置其他林中基于 AMT 的计算机。 |
||
软件更新点 |
在管理中心站点中安装此站点系统以与 Windows Server Update Services 同步,或在使用软件更新功能的所有主站点上进行安装。 如果数据在网络上的传输速度较慢,还要考虑在辅助站点中安装软件更新点。 |
||
状态迁移点 |
在主站点或辅助站点上安装此站点系统角色。 如果数据在网络上的传输速度较慢,请考虑在辅助站点中安装状态迁移点。 |
||
Reporting Services 点 |
在管理中心站点和任何主站点中安装此站点系统角色。
|
||
分发点 |
在主站点和辅助站点中安装此站点系统角色,以通过使用后台智能传输服务 (BITS)、Windows BranchCache、用于操作系统部署的多播以及用于应用程序虚拟化的流式处理将软件分发到客户端。
|
||
Microsoft Intune 连接器 |
配置管理器 在层次结构中支持此站点系统角色的单一实例,并仅在层次结构中的顶层站点上支持该实例。 |
在 Configuration Manager 中规划数据库服务器
站点数据库服务器是一台计算机,该计算机运行用于存储 配置管理器 站点信息的 Microsoft SQL Server 受支持版本。System Center 2012 Configuration Manager 层次结构中的每个站点都包含站点数据库以及分配了站点数据库服务器角色的服务器。 对于管理中心站点和主站点,你可以在站点服务器上安装 SQL Server,或者可以在不是站点服务器的计算机上安装 SQL Server。 对于辅助站点,你可以使用 SQL Server Express(而不是完整安装的 SQL Server);但是,数据库服务器必须与站点服务器共存。
你可以在 SQL Server 的默认实例、运行 SQL Server 的单一计算机的命名实例或 SQL Server 的群集实例上的命名实例上安装站点数据库。
通常,站点系统服务器仅支持单一 配置管理器 站点中的站点系统角色;不过,你可以使用运行 SQL Server 的群集或非群集服务器上的不同 SQL Server 实例来承载不同 配置管理器 站点中的数据库。 为了支持不同站点中的数据库,你必须将 SQL Server 的每个实例配置为使用唯一端口进行通信。
数据库服务器的 SQL Server 配置
要成功配置 SQL Server 安装以用作 配置管理器 站点数据库服务器,请确保指定了下列必需的 SQL Server 配置。 此外,要熟悉可选的配置和规划服务主体名称 (SPN)、数据库服务器位置规划,以及如何在站点完成安装后修改数据库配置。
数据库服务器的先决条件
在指定计算机以承载任何站点的站点数据库之前,请确保其满足数据库服务器的先决条件。 安装 SQL 服务器之前,必须熟悉 SQL Server 站点数据库配置 主题中的 Configuration Manager 支持的配置 部分。
数据库服务器位置
在管理中心站点和主站点上,你可以使数据库服务器在站点服务器上共存,或将其放置在远程服务器上。 在辅助站点上,数据库服务器始终在辅助站点服务器上共存。
如果使用远程数据库服务器计算机,请确保干预网络连接是高可用的高带宽网络连接。 这是因为站点服务器和某些站点系统角色必须不断地与承载站点数据库的 SQL Server 通信。
如果选择远程数据库服务器位置,请考虑下列事项:
与数据库服务器的通信所需的带宽量取决于多个不同站点和客户端配置的组合;因此无法充分地预测所需的实际带宽。
运行 SMS 提供程序以及连接到站点数据库的每台计算机都会增加网络带宽需求。
运行 SQL Server 的计算机必须位于与站点服务器和运行 SMS 提供程序的所有计算机具有双向信任的域中。
当站点数据库与站点服务器并存时,你无法为站点数据库服务器使用群集 SQL Server。
SQL Server 服务主体名称
必须在 SQL Server 服务帐户的 Active Directory 域服务中注册 配置管理器 站点数据库服务器的服务主体名称 (SPN)。 注册的 SPN 允许 SQL 客户端使用 Kerberos 身份验证对服务进行标识和身份验证。
将 SQL Server 配置为使用本地系统帐户运行 SQL Server 服务后,会在 Active Directory 域服务中自动创建 SPN。 如果正在使用本地域用户帐户,则必须为该帐户手动注册 SPN。 如果没有为 SQL Server 服务帐户注册 SPN,则 SQL 客户端和其他站点系统无法执行 Kerberos 身份验证,并且与数据库通信可能会失败。
重要事项 |
---|
使用运行 SQL Server 的计算机的本地系统帐户运行 SQL Server 服务不是 SQL Server 最佳方案。 为了最安全地操作 SQL Server 站点数据库服务器,请将低权限域用户帐户配置为运行 SQL Server 服务。 |
有关在使用域用户帐户时如何注册 SPN 的信息,请参阅本文档库中的 如何管理 SQL Server 站点数据库服务器的 SPN。
关于修改数据库配置
安装站点之后,可以在管理中心站点服务器或主站点服务器上运行安装程序,来管理站点数据库和站点数据库服务器的配置。 不支持管理辅助站点的数据库配置。
有关修改站点数据库配置的详细信息,请参阅本文档库中的 修改站点数据库配置。
关于修改数据库服务器警报阈值
默认情况下,当站点数据库服务器上的可用磁盘空间不足时,配置管理器 会生成警报。 默认值设置为当可用磁盘空间为 10 GB 或更少时生成警告,当可用磁盘空间为 5 GB 或更少时生成严重警报。 可以为每个站点修改这些值或禁用警报。
更改这些设置:
在“管理”工作区中,展开“站点配置”,然后单击“站点”。
选择想要配置的站点并打开该站点的“属性”。
在站点的“属性”对话框中,选择“警报”选项卡,然后编辑设置。
单击“确定”以关闭站点属性对话框。
在 Configuration Manager 中规划 SMS 提供程序
SMS 提供程序是 Windows Management Instrumentation (WMI) 提供程序,它分配对站点中 配置管理器 数据库的读取和写入访问权限。 “SMS 管理员”组提供对 SMS 提供程序的访问权限,并且 配置管理器 在站点服务器和每台 SMS 提供程序计算机上自动创建此安全组。 你在每个管理中心站点和主站点上至少必须具有一个 SMS 提供程序。 这些站点还支持安装其他 SMS 提供程序。 辅助站点不安装 SMS 提供程序。
配置管理器 控制台、资源浏览器、工具和自定义脚本使用 SMS 提供程序,以便 配置管理器 管理用户可以访问存储在数据库中的信息。 SMS 提供程序��与 配置管理器 客户端交互。 当 配置管理器 控制台连接至站点时,配置管理器 控制台会查询站点服务器上的 WMI 以查找要使用的 SMS 提供程序的实例。
SMS 提供程序有助于强制 配置管理器 安全性。 它仅返回正在运行 配置管理器 控制台的管理用户有权查看的信息。
重要事项 |
---|
当承载站点的 SMS 提供程序的每台计算机都脱机时,配置管理器 控制台无法连接到该站点的数据库。 |
使用本主题中的下列部分对 SMS 提供程序进行规划。 有关如何管理 SMS 提供程序的信息,请参阅 管理站点的 SMS 提供程序配置。
SMS 提供程序先决条件
在计算机上安装 SMS 提供程序之前,请确保计算机满足以下先决条件:
计算机必须在具有站点服务器和站点数据库站点系统双向信任的域中。
计算机不能具有不同站点中的站点系统角色。
计算机不能具有任何站点中的 SMS 提供程序。
计算机必须运行站点服务器支持的操作系统。
计算机至少必须有 650 MB 的可用磁盘空间,以支持与 SMS 提供程序一起安装的 Windows 自动安装工具包 (Windows AIK) 组件。 有关 Windows AIK 和 SMS 提供程序的详细信息,请参阅本主题中的 针对 SMS 提供程序的操作系统部署要求 部分。
说明 |
---|
从 配置管理器 SP1 开始,Windows ADK 取代了 Windows AIK。 有关详细信息,请参阅 在 Configuration Manager 中部署操作系统的先决条件 指南中的 在 System Center 2012 Configuration Manager 中部署软件和操作系统 主题。 |
关于 SMS 提供程序位置
安装站点时,安装会为站点自动安装第一个 SMS 提供程序。 你可以为 SMS 提供程序指定以下任何支持的位置:
站点服务器计算机
站点数据库计算机
未承载 SMS 提供程序的服务器类计算机,或者不同站点中的站点系统角色
每个 SMS 提供程序支持多个请求中的同时连接。 对这些连接的仅有的限制是 SMS 提供程序计算机上可用的服务器连接数目,以及满足连接请求的 SMS 提供程序计算机上可用资源。
安装站点后,你可以在站点服务器上重新运行安装程序,以更改现有 SMS 提供程序的位置,或者在该站点上安装其他 SMS 提供程序。 你只能在计算机上安装一个 SMS 提供程序,并且计算机无法从多个站点中安装 SMS 提供程序。
使用下表来确定在每个支持的位置上安装 SMS 提供程序的优缺点。
位置 |
优点 |
缺点 |
---|---|---|
配置管理器 站点服务器 |
|
|
承载站点数据库的 SQL Server |
|
|
站点服务器或站点数据库计算机之外的计算机 |
|
|
要查看站点中安装的每个 SMS 提供程序的位置,请查看站点“属性”对话框的“常规”选项卡。
关于 SMS 提供程序语言
SMS 提供程序的操作与安装它的计算机的显示语言无关。
当管理用户或 配置管理器 使用 SMS 提供程序处理请求数据时,SMS 提供程序尝试返回格式与请求计算机的操作系统语言匹配的数据。 SMS 提供程序未将信息从一种语言翻译成另一种语言。 相反,在 配置管理器 控制台中返回要显示的数据时,数据的显示语言取决于存储的对象和类型的源。
当对象的数据存储在数据库中时,将能够使用的语言取决于下列各项:
系统使用多语言支持将 配置管理器 创建的对象存储在数据库中。 系统使用运行安装程序时创建对象所在的站点中配置的语言存储对象。 如果请求计算机的显示语言可用于对象,则在 配置管理器 控制台中以该语言显示这些对象。 如果无法用请求计算机的显示语言来显示对象,则以默认语言(英文)显示该对象。
系统使用用于创建对象的语言在数据库中存储管理用户创建的对象。 这些对象以此相同的语言在 配置管理器 控制台中显示。 它们无法被 SMS 提供程序转换,并且没有多语言选项。
关于多个 SMS 提供程序
站点完成安装后,你可以为站点安装其他 SMS 提供程序。 要安装其他 SMS 提供程序,请在站点服务器上运行 配置管理器 安装程序。 如果满足以下任一条件,请考虑安装其他 SMS 提供程序:
你将具有运行 配置管理器 控制台并同时连接到站点的大量管理用户。
你将使用可能引入 SMS 提供程序频繁调用的 配置管理器 SDK 或其他产品。
你想要确保 SMS 提供程序的高可用性。
在站点上安装多个 SMS 提供程序并且进行连接请求时,站点不确定地分配每个新连接请求以使用安装的 SMS 提供程序。 你无法指定要用于特定连接会话的 SMS 提供程序位置。
说明 |
---|
请考虑每个 SMS 提供程序位置的优缺点,并将这些注意事项与你无法控制将用于每个新连接的 SMS 提供程序的信息进行比较。 |
例如,首次将 配置管理器 控制台连接至站点时,连接会查询站点服务器上的 WMI 以不确定地查找控制台将使用的 SMS 提供程序的实例。 在 配置管理器 控制台会话结束之前,配置管理器 控制台仍使用 SMS 提供程序的特定实例。 如果会话由于 SMS 提供程序计算机在网络上变得不可用而终止,那么在重新连接 配置管理器 控制台时,站点会不确定地将 SMS 提供程序计算机分配给新连接会话。 可以分配给不可用的同一 SMS 提供程序计算机。 如果出现这种情况,则在分配可用的 SMS 提供程序计算机之前,你可以尝试重新连接 配置管理器 控制台。
关于 SMS 管理员组
你可以使用“SMS 管理员”组为管理用户提供 SMS 提供程序访问权限。 安装站点时会在站点服务器上自动创建此组,并且会在安装 SMS 提供程序的每台计算机上自动创建此组。 关于“SMS 管理员”组的其他信息:
当计算机为成员服务器时,会作为本地组来创建 SMS 管理员组。
当计算机为域控制器时,会作为域本地组来创建 SMS 管理员组。
从计算机中卸载 SMS 提供程序时,不会从计算机中删除 SMS 管理员组。
在用户成功连接到 SMS 提供程序之前,其用户帐户必须是“SMS 管理员”组的成员。 在 配置管理器 控制台中配置的每个管理用户都会自动添加到每个站点服务器上的“SMS 管理员”组中,以及层次结构内的每个 SMS 提供程序计算机中。 从 配置管理器 控制台中删除管理用户时,会从每个站点服务器上的“SMS 管理员”组中以及层次结构中的每个 SMS 提供程序计算机上删除该用户。
当用户成功连接到 SMS 提供程序之后,基于角色的管理会确定用户可以访问或管理的 配置管理器 资源。
你可以使用 WMI 控件 MMC 管理单元来查看和配置 SMS 管理员组权限。 默认情况下,“Everyone”具有“执行方法”、“提供程序写入”和“启用帐户”权限。 当用户连接到 SMS 提供程序之后,会根据 配置管理器 控制台中定义的基于角色的管理安全权限向用户授予对站点数据库中的数据的访问权限。 SMS 管理员组被显式授予 Root\SMS 命名空间上的“启用帐户”和“远程启用”权限。
说明 |
---|
使用远程 配置管理器 控制台的每个管理用户需要站点服务器计算机和 SMS 提供程序计算机上的“远程激活”DCOM 权限。 虽然可以将这些权限授予任何用户或组,但最佳方案是将这些权限授予“SMS 管理员”组以简化管理。 有关详细信息,请参阅为远程 Configuration Manager 控制台连接配置 DCOM 权限主题中的管理站点和层次结构配置部分。 |
关于 SMS 提供程序命名空间
SMS 提供程序的结构由 WMI 架构来定义。 架构命名空间描述 SMS 提供程序架构内 配置管理器 数据的位置。 下表包含 SMS 提供程序使用的一些常见命名空间。
Namespace |
描述 |
---|---|
Root\SMS\site_<site code> |
配置管理器 控制台、资源浏览器、配置管理器 工具和脚本广泛使用的 SMS 提供程序。 |
Root\SMS\SMS_ProviderLocation |
为站点提供 SMS 提供程序计算机的位置。 |
Root\CIMv2 |
清点硬件和软件期间针对 WMI 命名空间信息清点的位置。 |
Root\CCM |
配置管理器 客户端配置策略和客户端数据。 |
root\CIMv2\SMS |
清单客户端代理收集的清单报告类别的位置。 这些设置由客户端在计算机策略评估期间编译,而且基于计算机的客户端设置的配置。 |
针对 SMS 提供程序的操作系统部署要求
SMS 提供程序需要在运行 SMS 提供程序的计算机上安装下列外部依赖项,以便你能够通过 配置管理器 控制台来使用操作系统部署任务功能。
对于不带 Service Pack 的 配置管理器:自动安装工具包 (Windows AIK)
对于 配置管理器 SP1:Windows 评估和部署工具包 8.0 (Windows ADK)
对于 System Center 2012 R2 Configuration Manager:Windows 评估和部署工具包 8.1
对于不带 Service Pack 的 配置管理器,Windows AIK 安装为 SMS 提供程序的一个组件。 从 配置管理器 SP1 开始,必须先在计算机上手动安装 Windows ADK,然后才能安装 SMS 提供程序。
在管理操作系统部署时,Windows AIK 或 Windows ADK 允许 SMS 提供程序完成不同的任务,包括:
查看 WIM 文件详细信息
将驱动程序文件添加到现有的启动映像中
创建启动 .ISO 文件
在安装 SMS 提供程序的每台计算机上,安装 Windows AIK 或 Windows ADK 可能需要最多 650 MB 的可用磁盘空间。配置管理器 需要如此高的磁盘空间来安装 Windows PE 启动映像。
说明 |
---|
从 配置管理器 SP1 开始,Windows ADK 取代了 Windows AIK。 有关详细信息,请参阅 在 Configuration Manager 中部署操作系统的先决条件 指南中的 在 System Center 2012 Configuration Manager 中部署软件和操作系统 主题。 |
利用 Configuration Manager 规划自定义网站
需要 Microsoft Internet Information Services (IIS) 的 配置管理器 站点系统角色也需要网站来承载站点系统服务。 默认情况下,站点系统使用站点系统服务器上名为“默认网站”的 IIS 网站。 但是,可以使用名为“SMSWEB”的自定义网站。 如果必须在同一台服务器上运行其他 Web 应用程序,而且它们的设置与 配置管理器 不兼容,或者你希望获得使用另一个网站的额外灵活性,则此选择可能很合适。 在这种情况下,这些其他的应用程序继续使用默认 IIS 网站,而 配置管理器 操作使用自定义网站。
重要事项 |
---|
在 配置管理器 站点系统上运行其他应用程序时,会增大该站点系统的受攻击面。 最佳安全方案是,将一台服务器专用于需要 IIS 的 配置管理器 站点系统。 |
可以在所有主站点上使用自定义网站。 在站点上使用自定义网站时,站点中的所有客户端通信均被指定使用每个站点系统上的名为“SMSWEB”的自定义网站,而不是使用 IIS 上的默认网站。 此外,使用 IIS 但不接受客户端连接的站点系统角色(例如 Reporting Services 点)也使用 SMSWEB 网站而不是默认网站。 有关哪些站点系统需要 IIS 的详细信息,请参阅 Configuration Manager 支持的配置。
在将 配置管理器 站点配置为使用自定义网站之前,必须在需要该站点使用 Internet Information Services (IIS) 的每台站点系统服务器上的 IIS 中手动创建自定义网站。 当你在父站点上启用此选项时,由于辅助站点自动配置为使用自定义网站,因此,还必须在需要 IIS 的每台辅助站点系统服务器上的 IIS 中创建自定义网站。
如果为一个站点启用自定义网站,请考虑将自定义网站用于层次结构中的所有站点,以确保客户端可以在层次结构中成功漫游。
说明 |
---|
在选中或清除相应的复选框以将自定义网站用于站点时,会自动卸载在站点中的每台站点系统服务器上安装的下列站点系统角色,然后自动重新安装这些角色:
|
可以使用自定义网站的站点系统角色
下列 配置管理器 站点系统角色需要 IIS,并且使用站点系统服务器上的默认或自定义网站:
应用程序目录 Web 服务点
应用程序目录网站点
分发点
注册点
注册代理点
回退状态点
管理点
软件更新点
状态迁移点
自定义网站的端口
在创建自定义网站时,必须将与默认网站使用的端口号不同的端口号分配给自定义网站。 如果默认网站和自定义网站均配置为使用相同的 TCP/IP 端口,则它们无法同时运行。
重新安装站点系统角色之后,验证在 IIS 中为自定义网站配置的 TCP/IP 端口是否与站点的客户端请求端口相符。
有关如何配置客户端通信端口的信息,请参阅 如何在 Configuration Manager 中配置客户端通信端口号。
在默认网站和自定义网站之间切换
虽然可以随时选中或清除相应的复选框以使用自定义网站,但如有可能,请在安装站点时立即配置此选项,以最大程度减少对服务连续性的任何破坏。 在进行此站点配置更改时,请为那些自动卸载然后利用新的网站和端口配置重新安装的站点系统角色做好规划。 还必须做好规划,以手动卸载任何不会自动重新安装以使用新的网站和端口配置的站点系统角色,然后重新安装这些角色。
当你从使用默认网站改变为使用自定义网站时,配置管理器 不会自动删除旧的虚拟目录。 如果想删除 配置管理器 使用的文件,则必须手动删除在默认网站下创建的虚拟目录。
如果更改站点选项以使用自定义网站,则必须将分配到站点的客户端配置为使用与新的网站端口相符的客户端请求端口。 有关如何配置客户端通信端口的信息,请参阅 如何在 Configuration Manager 中配置客户端通信端口号。
如何在 Internet Information Services (IIS) 中创建自定义网站
若要将自定义网站用于站点,必须先执行下列操作,然后在 配置管理器 中启用相应的选项以使用自定义网站:
在 IIS 中,为需要在主站点和任何子辅助站点中使用 IIS 的每台站点系统服务器创建自定义网站。
将自定义网站命名为“SMSWEB”。
配置自定义网站,使其响应你为 配置管理器 客户端通信配置的同一端口。
对于每个自定义网站或使用自定义文件夹的默认网站,将所用默认文档类型的副本放到承载网站的根文件夹中。 例如,在使用默认配置的 Windows Server 2008 R2 计算机上,iisstart.htm 是几种默认可用的文档类型之一。 可以在默认网站的根目录中找到此文件,然后将此文件副本(或所用默认文档类型的副本)放到承载 SMSWEB 自定义网站的根文件夹中。 有关默认文档类型的详细信息,请参阅 IIS 的默认文档 < defaultDocument >。
重要事项 |
---|
当你从使用默认网站改为使用自定义网站时,配置管理器 会将在默认网站上配置的客户端请求端口添加到自定义网站。配置管理器 不会从默认网站删除这些端口,并且会为默认网站和自定义网站列出这些端口。 如果将这两个网站均配置为使用相同的 TCP/IP 端口,IIS 将无法启动这两个网站,而且客户端无法与管理点联系。 |
使用下列过程中的信息来帮助你在 IIS 中配置自定义网站。
说明 |
---|
下列过程适用于 Windows Server 2008 R2 上的 Internet Information Services (IIS) 7.0。 如果因你的服务器具有不同的操作系统版本而无法使用这些过程,请参阅与你的操作系统版本对应的 IIS 文档。 |
在 Internet Information Services (IIS) 中创建自定义网站
-
在运行 配置管理器 站点系统的计算机上,依次单击“启动”、“管理工具”和“Internet Information Services (IIS) 管理器”。
-
在“Internet 信息服务(IIS)管理器”控制台中,在“连接”窗格中,右键单击“站点”节点以选择“添加网站”。
-
在“添加网站”对话框中,在“站点名称”框输入“SMSWEB”。
重要事项 SMSWEB 是 配置管理器 自定义网站必需的名称。
-
在“物理路径”框中,指定用于网站文件夹的物理路径。
-
为此网站指定协议和自定义端口。
- 创建网站之后,可以编辑它,以便为其他协议添加其他网站绑定。 - 在配置“HTTPS”协议时,必须指定“SSL 证书”才能保存配置。
-
单击“确定”以创建自定义网站。
-
将所用默认文档类型的副本放入承载自定义网站的根文件夹中。
在 Internet Information Services (IIS) 中删除默认网站中的自定义网站端口
-
在“Internet 信息服务(IIS)管理器”中,编辑具有重复端口的 IIS 网站(“默认网站”)的“绑定”。 删除与分配到自定义网站(“SMSWEB”)的端口相符的端口。
-
启动网站(“SMSWEB”)。
-
在站点服务器上重新启动“SMS_SITE_COMPONENT_MANAGER”服务。