Поделиться через


Обмен данными между конечными точками в Configuration Manager

Относится к Configuration Manager (Current Branch)

В этой статье описывается обмен данными между системами сайта и клиентами Configuration Manager по сети. Он включает в себя следующие разделы:

Обмен данными между системами сайта на сайте

Когда Configuration Manager системы сайта или компоненты взаимодействуют по сети с другими системами или компонентами сайта, они используют один из следующих протоколов в зависимости от того, как вы настраиваете сайт:

  • Блок сообщений сервера (SMB)

  • HTTP

  • HTTPS

За исключением связи между сервером сайта и точкой распространения, обмен данными между серверами на сайте может осуществляться в любое время. Эти коммуникации не используют механизмы для управления пропускной способностью сети. Так как вы не можете контролировать обмен данными между системами сайта, убедитесь, что серверы системы сайта устанавливаются в расположениях с быстрыми и хорошо подключенными сетями.

Сервер сайта в точку распространения

Чтобы помочь вам управлять передачей содержимого с сервера сайта в точки распространения, используйте следующие стратегии:

  • Настройте точку распространения для управления пропускной способностью сети и планирования. Эти элементы управления напоминают конфигурации, используемые межсайтовых адресов. Используйте эту конфигурацию вместо установки другого Configuration Manager сайта, если передача содержимого в удаленные сетевые расположения является main учетом пропускной способности.

  • Вы можете установить точку распространения в качестве предварительно подготовленной точки распространения. Предварительная точка распространения позволяет использовать содержимое, которое вручную помещается на сервер точек распространения, и устраняет требование передавать файлы содержимого по сети.

Дополнительные сведения см. в разделе Управление пропускной способностью сети для управления содержимым.

Обмен данными между клиентами и системами сайта и службами

Клиенты инициируют взаимодействие с ролями системы сайта, доменные службы Active Directory и веб-службы. Чтобы включить эти коммуникации, брандмауэры должны разрешать сетевой трафик между клиентами и конечной точкой их связи. Дополнительные сведения о портах и протоколах, используемых клиентами при обмене данными с этими конечными точками, см. в статье Порты, используемые в Configuration Manager.

Прежде чем клиент сможет связаться с ролью системы сайта, он использует расположение службы для поиска роли, поддерживающей протокол клиента (HTTP или HTTPS). По умолчанию клиенты используют наиболее безопасный метод, который им доступен. Дополнительные сведения см. в статье Общие сведения о поиске клиентами ресурсов и служб сайта.

Чтобы защитить обмен данными между Configuration Manager клиентами и серверами сайта, настройте один из следующих параметров:

  • Используйте инфраструктуру открытых ключей (PKI) и установите PKI-сертификаты на клиентах и серверах. Разрешить системам сайта взаимодействовать с клиентами по протоколу HTTPS. Сведения об использовании сертификатов см. в разделе Требования к PKI-сертификатам.

  • Настройте сайт для использования Configuration Manager сертификатов для систем сайта HTTP. Дополнительные сведения см. в разделе Расширенный протокол HTTP.

При развертывании роли системы сайта, которая использует службы IIS и поддерживает обмен данными от клиентов, необходимо указать, будут ли клиенты подключаться к системе сайта по протоколу HTTP или HTTPS. Если вы используете ПРОТОКОЛ HTTP, необходимо также рассмотреть варианты подписывания и шифрования. Дополнительные сведения см. в статье Планирование подписывания и шифрования.

Важно!

Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.

Обмен данными между клиентом и точкой управления

Существует два этапа взаимодействия клиента с точкой управления: проверка подлинности (транспорт) и авторизация (сообщение). Этот процесс зависит от следующих факторов:

  • Конфигурация сайта: только HTTPS, разрешает HTTP или HTTPS или разрешает HTTP или HTTPS с включенным расширенным протоколом HTTP.
  • Конфигурация точки управления: HTTPS или HTTP
  • Удостоверение устройства для сценариев, ориентированных на устройство
  • Удостоверение пользователя для сценариев, ориентированных на пользователя

Используйте следующую таблицу, чтобы понять, как работает этот процесс:

Тип mp Проверка подлинности клиента Авторизация клиента
Удостоверение устройства
Авторизация клиента
Удостоверение пользователя
HTTP Анонимный
С помощью расширенного протокола HTTP сайт проверяет Microsoft Entra идентификатор пользователя или маркер устройства.
Запрос на расположение: Анонимный
Пакет клиента: Анонимный
Регистрация с использованием одного из следующих методов для подтверждения удостоверения устройства:
— Анонимная (утверждение вручную)
— проверка подлинности, встроенная в Windows
— Microsoft Entra маркер устройства идентификатора (расширенный HTTP)
После регистрации клиент использует подписывание сообщений для подтверждения удостоверения устройства.
В сценариях, ориентированных на пользователей, используйте один из следующих методов для подтверждения удостоверения пользователя:
— проверка подлинности, встроенная в Windows
— маркер пользователя идентификатора Microsoft Entra (расширенный HTTP)
HTTPS Используйте один из следующих методов:
— PKI-сертификат
— проверка подлинности, встроенная в Windows
— Microsoft Entra идентификатор пользователя или маркера устройства.
Запрос на расположение: Анонимный
Пакет клиента: Анонимный
Регистрация с использованием одного из следующих методов для подтверждения удостоверения устройства:
— Анонимная (утверждение вручную)
— проверка подлинности, встроенная в Windows
— PKI-сертификат
— Microsoft Entra идентификатор пользователя или маркера устройства.
После регистрации клиент использует подписывание сообщений для подтверждения удостоверения устройства.
В сценариях, ориентированных на пользователей, используйте один из следующих методов для подтверждения удостоверения пользователя:
— проверка подлинности, встроенная в Windows
— маркер пользователя идентификатора Microsoft Entra

Совет

Дополнительные сведения о настройке точки управления для различных типов удостоверений устройств и шлюза управления облаком см. в статье Включение точки управления для HTTPS.

Обмен данными между клиентом и точкой распространения

Когда клиент взаимодействует с точкой распространения, ему нужно только пройти проверку подлинности перед загрузкой содержимого. Используйте следующую таблицу, чтобы понять, как работает этот процесс:

Тип DP Проверка подлинности клиента
HTTP — Анонимный, если это разрешено
— встроенная в Windows проверка подлинности с учетной записью компьютера или учетной записью доступа к сети.
— маркер доступа к содержимому (расширенный HTTP)
HTTPS — PKI-сертификат
— встроенная в Windows проверка подлинности с учетной записью компьютера или учетной записью доступа к сети.
— маркер доступа к содержимому

Рекомендации по обмену данными между клиентами из Интернета или из ненадежного леса

Дополнительные сведения см. в следующих статьях:

Обмен данными между лесами Active Directory

Configuration Manager поддерживает сайты и иерархии, охватывающие леса Active Directory. Он также поддерживает компьютеры домена, которые находятся не в том же лесу Active Directory, что и сервер сайта, и компьютеры, которые находятся в рабочих группах.

Поддержка компьютеров домена в лесу, который не является доверенным лесом сервера сайта

  • Установка ролей системы сайта в этом недоверенном лесу с возможностью публикации сведений о сайте в этом лесу Active Directory

  • Управление этими компьютерами, как если бы они были компьютерами рабочей группы

При установке серверов системы сайта в недоверенном лесу Active Directory обмен данными между клиентами в этом лесу хранится в этом лесу, и Configuration Manager могут пройти проверку подлинности компьютера с помощью Kerberos. При публикации сведений о сайте в лесу клиента клиенты получают информацию о сайте, например список доступных точек управления, из леса Active Directory, а не загружают эти сведения из назначенной точки управления.

Примечание.

Если вы хотите управлять устройствами, которые находятся в Интернете, можно установить роли системы сайта из Интернета в сети периметра, когда серверы системы сайта находятся в лесу Active Directory. Для этого сценария не требуется двустороннее доверие между сетью периметра и лесом сервера сайта.

Поддержка компьютеров в рабочей группе

  • Вручную утверждайте компьютеры рабочих групп, если они используют клиентские подключения HTTP к ролям системы сайта. Configuration Manager не удается проверить подлинность этих компьютеров с помощью Kerberos.

  • Настройте клиенты рабочей группы для использования учетной записи доступа к сети, чтобы эти компьютеры могли получать содержимое из точек распространения.

  • Предоставление альтернативного механизма для поиска точек управления клиентами рабочих групп. Используйте публикацию DNS или назначьте точку управления напрямую. Эти клиенты не могут получать сведения о сайте из доменные службы Active Directory.

Дополнительные сведения см. в следующих статьях:

Сценарии поддержки сайта или иерархии, охватывающих несколько доменов и лесов

Сценарий 1. Обмен данными между сайтами в иерархии, охватывающей леса

Для этого сценария требуется двустороннее доверие леса, которое поддерживает проверку подлинности Kerberos. Если у вас нет двустороннего доверия леса, поддерживающего проверку подлинности Kerberos, Configuration Manager не поддерживает дочерний сайт в удаленном лесу.

Configuration Manager поддерживает установку дочернего сайта в удаленном лесу с требуемым двусторонним доверием с лесом родительского сайта. Например, дополнительный сайт можно разместить в лесу, отличном от его основного родительского сайта, при условии, что существует требуемое доверие.

Примечание.

Дочерний сайт может быть первичным сайтом (где сайт центра администрирования является родительским сайтом) или вторичным сайтом.

Межсайтовое взаимодействие в Configuration Manager использует репликацию базы данных и передачу на основе файлов. При установке сайта необходимо указать учетную запись для установки сайта на указанном сервере. Эта учетная запись также устанавливает и поддерживает связь между сайтами. После успешной установки сайта и запуска передачи на основе файлов и репликации базы данных вам не нужно настраивать ничего другого для связи с сайтом.

Если существует двустороннее доверие леса, Configuration Manager не требует дополнительных действий по настройке.

По умолчанию при установке нового дочернего сайта Configuration Manager настраивает следующие компоненты:

  • Межсайтовый маршрут репликации на основе файлов на каждом сайте, использующий учетную запись компьютера сервера сайта. Configuration Manager добавляет учетную запись каждого компьютера в группу SMS_SiteToSiteConnection_<sitecode> на конечном компьютере.

  • Репликация базы данных между серверами SQL Server на каждом сайте.

Также задайте следующие конфигурации:

  • Промежуточные брандмауэры и сетевые устройства должны разрешать сетевые пакеты, необходимые Configuration Manager.

  • Разрешение имен должно работать между лесами.

  • Чтобы установить роль сайта или системы сайта, необходимо указать учетную запись с разрешениями локального администратора на указанном компьютере.

Сценарий 2. Обмен данными на сайте, который охватывает леса

Для этого сценария не требуется двустороннее доверие к лесу.

Первичные сайты поддерживают установку ролей системы сайта на компьютерах в удаленных лесах.

  • Когда роль системы сайта принимает подключения из Интернета, в целях безопасности установите роли системы сайта в месте, где граница леса обеспечивает защиту сервера сайта (например, в сети периметра).

Чтобы установить роль системы сайта на компьютере в ненадежном лесу, выполните следующие действия:

  • Укажите учетную запись установки системы сайта, которую сайт использует для установки роли системы сайта. (Эта учетная запись должна иметь учетные данные локального администратора для подключения.) Затем установите роли системы сайта на указанном компьютере.

  • Выберите параметр Система сайта Требовать, чтобы сервер сайта инициирул подключения к этой системе сайта. Этот параметр требует, чтобы сервер сайта устанавливал подключения к серверу системы сайта для передачи данных. Эта конфигурация не позволяет компьютеру в ненадежном расположении инициировать контакт с сервером сайта, который находится в доверенной сети. Эти подключения используют учетную запись установки системы сайта.

Чтобы использовать роль системы сайта, установленную в недоверенном лесу, брандмауэры должны разрешать сетевой трафик, даже если сервер сайта инициирует передачу данных.

Кроме того, для следующих ролей системы сайта требуется прямой доступ к базе данных сайта. Поэтому брандмауэры должны разрешать применимый трафик из ненадежного леса к SQL Server сайта:

  • Точка синхронизации аналитики активов

  • Точка Endpoint Protection

  • Точка регистрации

  • Точка управления

  • Точка службы отчетов

  • Точка миграции состояния

Дополнительные сведения см. в разделе Порты, используемые в Configuration Manager.

Возможно, потребуется настроить доступ к базе данных сайта для точки управления и точки регистрации.

  • По умолчанию при установке этих ролей Configuration Manager настраивает учетную запись компьютера нового сервера системы сайта в качестве учетной записи подключения для роли системы сайта. Затем она добавляет учетную запись в соответствующую SQL Server роль базы данных.

  • При установке этих ролей системы сайта в недоверенном домене настройте учетную запись подключения роли системы сайта, чтобы позволить роли системы сайта получать сведения из базы данных.

Если учетная запись пользователя домена настроена как учетная запись подключения для этих ролей системы сайта, убедитесь, что учетная запись пользователя домена имеет соответствующий доступ к базе данных SQL Server на этом сайте:

  • Точка управления: учетная запись подключения к базе данных точки управления

  • Точка регистрации: учетная запись подключения точки регистрации

При планировании ролей системы сайта в других лесах учитывайте следующие дополнительные сведения:

  • При запуске брандмауэра Windows настройте применимые профили брандмауэра для передачи данных между сервером базы данных сайта и компьютерами, установленными с ролями удаленной системы сайта.

  • Когда интернет-точка управления доверяет лесу, который содержит учетные записи пользователей, поддерживаются политики пользователей. Если доверие не существует, поддерживаются только политики компьютеров.

Сценарий 3. Взаимодействие между клиентами и ролями системы сайта, если клиенты не в том же лесу Active Directory, что и сервер сайта

Configuration Manager поддерживает следующие сценарии для клиентов, которые не в том же лесу, что и сервер сайта своего сайта:

  • Существует двустороннее доверие между лесом клиента и лесом сервера сайта.

  • Сервер роли системы сайта находится в том же лесу, что и клиент.

  • Клиент находится на компьютере домена, который не имеет двустороннего отношения доверия леса с сервером сайта, и роли системы сайта не устанавливаются в лесу клиента.

  • Клиент находится на компьютере рабочей группы.

Клиенты на присоединенном к домену компьютере могут использовать доменные службы Active Directory для расположения службы, когда их сайт опубликован в лесу Active Directory.

Чтобы опубликовать сведения о сайте в другом лесу Active Directory, выполните следующие действия.

  • Укажите лес, а затем включите публикацию в этом лесу в узле Леса Active Directory рабочей области Администрирование .

  • Настройте каждый сайт для публикации своих данных в доменные службы Active Directory. Эта конфигурация позволяет клиентам в этом лесу получать сведения о сайте и находить точки управления. Для клиентов, которые не могут использовать доменные службы Active Directory для расположения службы, можно использовать DNS или назначенную клиенту точку управления.

Сценарий 4. Размещение соединителя Exchange Server в удаленном лесу

Для поддержки этого сценария убедитесь, что разрешение имен работает между лесами. Например, настройте перенаправление DNS. При настройке соединителя Exchange Server укажите полное доменное имя Exchange Server в интрасети. Дополнительные сведения см. в статье Управление мобильными устройствами с помощью Configuration Manager и Exchange.

См. также