Configuration Manager中端點之間的通訊
適用於:Configuration Manager (目前的分支)
本文說明Configuration Manager月臺系統和用戶端如何跨網路通訊。 它包含下列各節:
月臺系統之間的通訊
當Configuration Manager月臺系統或元件透過網路與月臺中的其他月臺系統或元件通訊時,會使用下列其中一種通訊協定,視您設定月臺的方式而定:
SMB) (伺服器訊息區
HTTP
HTTPS
除了從月臺伺服器到發佈點的通訊,月臺中的伺服器對伺服器通訊隨時都可能發生。 這些通訊不會使用機制來控制網路頻寬。 因為您無法控制月臺系統之間的通訊,所以請確定您在具有快速且連線良好的網路的位置安裝月臺系統伺服器。
月臺伺服器到發佈點
若要協助您管理從月臺伺服器到發佈點的內容傳輸,請使用下列策略:
設定網路頻寬控制和排程的發佈點。 這些控制項類似于月臺間位址所使用的組態。 當內容傳輸至遠端網路位置是您的主要頻寬考慮時,請使用此設定,而不是安裝另一個Configuration Manager月臺。
您可以將發佈點安裝為預先設置的發佈點。 預先設置的發佈點可讓您使用手動放置在發佈點伺服器上的內容,並移除跨網路傳輸內容檔案的需求。
如需詳細資訊,請 參閱管理內容管理的網路頻寬。
從用戶端到月臺系統和服務的通訊
用戶端會起始與月臺系統角色、Active Directory 網域服務和線上服務的通訊。 若要啟用這些通訊,防火牆必須允許用戶端與其通訊端點之間的網路流量。 如需用戶端與這些端點通訊時所使用之埠和通訊協定的詳細資訊,請參閱Configuration Manager中使用的埠。
用戶端可以與月臺系統角色通訊之前,用戶端會使用服務位置來尋找支援用戶端通訊協定的角色, (HTTP 或 HTTPS) 。 根據預設,用戶端會使用最安全的方法。 如需詳細資訊,請 參閱瞭解用戶端如何尋找月臺資源和服務。
若要協助保護Configuration Manager用戶端與月臺伺服器之間的通訊,請設定下列其中一個選項:
使用公開金鑰基礎結構 (PKI) ,並在用戶端和伺服器上安裝 PKI 憑證。 讓月臺系統透過 HTTPS 與用戶端通訊。 如需如何使用憑證的資訊,請參閱 PKI 憑證需求。
將月臺設定為針對 HTTP 月臺系統使用Configuration Manager產生的憑證。 如需詳細資訊,請參閱 增強 HTTP。
當您部署使用 Internet Information Services (IIS) 並支援用戶端通訊的月臺系統角色時,您必須指定用戶端是否使用 HTTP 或 HTTPS 連線到月臺系統。 如果您使用 HTTP,也必須考慮簽署和加密選項。 如需詳細資訊,請參閱 規劃簽署和加密。
重要事項
從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。
用戶端與管理點通訊
用戶端與管理點通訊有兩個階段:驗證 (傳輸) 和授權 (訊息) 。 此程式會根據下列因素而有所不同:
- 月臺設定:僅限 HTTPS、允許 HTTP 或 HTTPS,或允許已啟用增強 HTTP 的 HTTP 或 HTTPS
- 管理點設定:HTTPS 或 HTTP
- 裝置中心的案例裝置身分識別
- 以使用者為中心案例的使用者身分識別
使用下表瞭解此程式的運作方式:
| MP 類型 | 用戶端驗證 | 用戶端授權 裝置身分識別 |
用戶端授權 使用者身分識別 |
|---|---|---|---|
| HTTP | 匿名 透過增強 HTTP,月臺會驗證Microsoft Entra識別碼使用者或裝置權杖。 |
位置要求:匿名 用戶端套件:匿名 註冊,使用下列其中一種方法來證明裝置身分識別: - 匿名 (手動核准) - Windows 整合式驗證 - Microsoft Entra識別碼裝置權杖 (增強型 HTTP) 註冊之後,用戶端會使用訊息簽署來證明裝置身分識別 |
針對以使用者為中心的案例,請使用下列其中一種方法來證明使用者身分識別: - Windows 整合式驗證 - Microsoft Entra增強型 HTTP) (識別碼使用者權杖 |
| HTTPS | 使用下列其中一種方法: - PKI 憑證 - Windows 整合式驗證 - Microsoft Entra識別碼使用者或裝置權杖 |
位置要求:匿名 用戶端套件:匿名 註冊,使用下列其中一種方法來證明裝置身分識別: - 匿名 (手動核准) - Windows 整合式驗證 - PKI 憑證 - Microsoft Entra識別碼使用者或裝置權杖 註冊之後,用戶端會使用訊息簽署來證明裝置身分識別 |
針對以使用者為中心的案例,請使用下列其中一種方法來證明使用者身分識別: - Windows 整合式驗證 - Microsoft Entra標識符使用者權杖 |
提示
如需針對不同裝置身分識別類型和雲端管理閘道設定管理點的詳細資訊,請參閱 啟用 HTTPS 的管理點。
用戶端到發佈點通訊
當用戶端與發佈點通訊時,它只需要先進行驗證,再下載內容。 使用下表瞭解此程式的運作方式:
| DP 類型 | 用戶端驗證 |
|---|---|
| HTTP | - 匿名,如果允許的話 - 使用電腦帳戶或網路存取帳戶進行 Windows 整合式驗證 - 增強式 HTTP) (內容存取權杖 |
| HTTPS | - PKI 憑證 - 使用電腦帳戶或網路存取帳戶進行 Windows 整合式驗證 - 內容存取權杖 |
來自網際網路或不受信任樹系的用戶端通訊考慮
如需詳細資訊,請參閱下列文章:
跨 Active Directory 樹系的通訊
Configuration Manager支援跨 Active Directory 樹系的網站和階層。 它也支援與月臺伺服器不在相同 Active Directory 樹系中的網域電腦,以及工作組中的電腦。
支援樹系中不受月臺伺服器樹系信任的網域電腦
在該不受信任的樹系中安裝月臺系統角色,並選擇將月臺資訊發佈至該 Active Directory 樹系
管理這些電腦就像是工作組電腦一樣
當您在不受信任的 Active Directory 樹系中安裝月臺系統伺服器時,來自該樹系中用戶端的用戶端對伺服器通訊會保留在該樹系內,Configuration Manager可以使用 Kerberos 來驗證電腦。 當您將月臺資訊發佈至用戶端的樹系時,用戶端會受益于從其 Active Directory 樹系擷取月臺資訊,例如可用管理點清單,而不是從其指派的管理點下載此資訊。
注意事項
如果您想要管理網際網路上的裝置,您可以在月臺系統伺服器位於 Active Directory 樹系時,在周邊網路中安裝以網際網路為基礎的月臺系統角色。 此案例不需要周邊網路與月臺伺服器樹系之間的雙向信任。
支援工作組中的電腦
使用月臺系統角色的 HTTP 用戶端連線時,手動核准工作組電腦。 Configuration Manager無法使用 Kerberos 來驗證這些電腦。
將工作組用戶端設定為使用網路存取帳戶,讓這些電腦可以從發佈點擷取內容。
提供替代機制,讓工作組用戶端尋找管理點。 使用 DNS 發佈或直接指派管理點。 這些用戶端無法從Active Directory 網域服務擷取網站資訊。
如需詳細資訊,請參閱下列文章:
支援跨越多個網域和樹系之月臺或階層的案例
案例 1:跨樹系階層中的月臺之間的通訊
此案例需要支援 Kerberos 驗證的雙向樹系信任。 如果您沒有支援 Kerberos 驗證的雙向樹系信任,則Configuration Manager不支援遠端樹系中的子月臺。
Configuration Manager支援在遠端樹系中安裝子月臺,該樹系與父月臺的樹系具有必要的雙向信任。 例如,只要必要信任存在,您就可以將次要月臺放在與其主要父月臺不同的樹系中。
注意事項
子月臺可以是主要月臺 (,其中管理中心網站是父月臺) 或次要月臺。
Configuration Manager中的月臺間通訊會使用資料庫複寫和檔案型傳輸。 當您安裝月臺時,您必須指定要用來在指定伺服器上安裝月臺的帳戶。 此帳戶也會建立並維護網站之間的通訊。 在月臺成功安裝並起始檔案型傳輸和資料庫複寫之後,您不需要設定任何其他專案來與月臺通訊。
當雙向樹系信任存在時,Configuration Manager不需要任何額外的設定步驟。
根據預設,當您安裝新的子月臺時,Configuration Manager設定下列元件:
在使用月臺伺服器電腦帳戶的每個月臺上,以月臺間檔案為基礎的複寫路由。 Configuration Manager會將每部電腦的電腦帳戶新增至目的地電腦上的SMS_SiteToSiteConnection_ < sitecode >群組。
每個月臺上 SQL Server 之間的資料庫複寫。
同時設定下列組態:
介入防火牆和網路裝置必須允許Configuration Manager所需的網路封包。
名稱解析必須在樹系之間運作。
若要安裝月臺或月臺系統角色,您必須在指定的電腦上指定具有本機系統管理員許可權的帳戶。
案例 2:跨樹系的網站通訊
此案例不需要雙向樹系信任。
主要月臺支援在遠端樹系中的電腦上安裝月臺系統角色。
- 當月臺系統角色接受來自網際網路的連線時,基於安全性最佳做法,請將月臺系統角色安裝在樹系界限為月臺伺服器提供保護的位置 (例如,在周邊網路) 中。
若要在不受信任樹系中的電腦上安裝月臺系統角色:
指定 月臺用來安裝月臺系統角色的月臺系統安裝帳戶。 (此帳戶必須具有本機系統管理認證才能連線至 。) 然後在指定的電腦上安裝月臺系統角色。
選取 [月臺系統] 選項 [需要月臺伺服器起始與此月臺系統的連線]。 此設定需要月臺伺服器建立與月臺系統伺服器的連線,以傳輸資料。 此設定可防止位於不受信任位置的電腦起始與信任網路內月臺伺服器的連絡。 這些連線會使用 月臺系統安裝帳戶。
若要使用安裝在不受信任樹系中的月臺系統角色,即使月臺伺服器起始資料傳輸,防火牆也必須允許網路流量。
此外,下列月臺系統角色需要直接存取月臺資料庫。 因此,防火牆必須允許從不受信任樹系到月臺SQL Server的適用流量:
Asset Intelligence 同步處理點
Endpoint Protection 點
註冊點
管理點
Reporting Service 點
狀態移轉點
如需詳細資訊,請參閱Configuration Manager中使用的埠。
您可能需要設定月臺資料庫的管理點和註冊點存取權。
根據預設,當您安裝這些角色時,Configuration Manager將新月臺系統伺服器的電腦帳戶設定為月臺系統角色的線上帳戶。 然後,它會將帳戶新增至適當的SQL Server資料庫角色。
當您在不受信任的網域中安裝這些月臺系統角色時,請設定月臺系統角色線上帳戶,讓月臺系統角色能夠從資料庫取得資訊。
如果您將網域使用者帳戶設定為這些月臺系統角色的線上帳戶,請確定網域使用者帳戶具有該月臺SQL Server資料庫的適當存取權:
管理點: 管理點資料庫線上帳戶
註冊點: 註冊點線上帳戶
當您在其他樹系中規劃月臺系統角色時,請考慮下列其他資訊:
如果您執行 Windows 防火牆,請設定適用的防火牆設定檔,以在月臺資料庫伺服器與使用遠端月臺系統角色安裝的電腦之間傳遞通訊。
當以網際網路為基礎的管理點信任包含使用者帳戶的樹系時,就會支援使用者原則。 當沒有任何信任存在時,僅支援電腦原則。
案例 3:當用戶端不在與其月臺伺服器相同的 Active Directory 樹系時,用戶端與月臺系統角色之間的通訊
Configuration Manager支援下列與月臺月臺伺服器不同樹系的用戶端案例:
用戶端的樹系與月臺伺服器的樹系之間有雙向樹系信任。
月臺系統角色服務器位於與用戶端相同的樹系中。
用戶端位於與月臺伺服器沒有雙向樹系信任的網域電腦上,而且不會在用戶端的樹系中安裝月臺系統角色。
用戶端位於工作組電腦上。
已加入網域之電腦上的用戶端可以在網站發佈至其 Active Directory 樹系時,使用服務位置的Active Directory 網域服務。
若要將網站資訊發佈至另一個 Active Directory 樹系:
指定樹系,然後在 [系統管理] 工作區的 [Active Directory 樹系] 節點中啟用發佈至該樹系。
設定每個月臺將其資料發佈至Active Directory 網域服務。 此設定可讓該樹系中的用戶端擷取月臺資訊並尋找管理點。 對於無法使用服務位置Active Directory 網域服務的用戶端,您可以使用 DNS 或用戶端指派的管理點。
案例 4:將Exchange Server連接器放在遠端樹系中
若要支援此案例,請確定名稱解析可在樹系之間運作。 例如,設定 DNS 轉送。 當您設定Exchange Server連接器時,請指定Exchange Server的內部網路 FQDN。 如需詳細資訊,請參閱使用 Configuration Manager 和 Exchange 管理行動裝置。