Komunikace mezi koncovými body v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Tento článek popisuje, jak Configuration Manager systémy lokality a klienti komunikují v síti. Obsahuje následující části:
Komunikace mezi systémy lokality v lokalitě
Když systémy nebo součásti lokality Configuration Manager komunikují přes síť s jinými systémy lokality nebo komponentami v lokalitě, používají jeden z následujících protokolů v závislosti na tom, jak lokalitu nakonfigurujete:
Protokol SMB (Server Message Block)
HTTP
HTTPS
S výjimkou komunikace ze serveru lokality do distribučního bodu může komunikace mezi servery v lokalitě probíhat kdykoli. Tato komunikace nepoužívá mechanismy k řízení šířky pásma sítě. Vzhledem k tomu, že nemůžete řídit komunikaci mezi systémy lokality, ujistěte se, že nainstalujete servery systému lokality v umístěních s rychlými a dobře propojenými sítěmi.
Server lokality do distribučního bodu
Pokud chcete pomoct se správou přenosu obsahu ze serveru lokality do distribučních bodů, použijte následující strategie:
Nakonfigurujte distribuční bod pro řízení a plánování šířky pásma sítě. Tyto ovládací prvky se podobají konfiguracím používaným adresami mezi lokalitami. Tuto konfiguraci použijte místo instalace jiné lokality Configuration Manager, pokud je přenos obsahu do vzdálených síťových umístění vaším hlavním aspektem šířky pásma.
Distribuční bod můžete nainstalovat jako předpřipravený distribuční bod. Předzpracovaný distribuční bod umožňuje používat obsah, který je ručně umístěn na server distribučního bodu, a odstraňuje požadavek na přenos souborů obsahu přes síť.
Další informace najdete v tématu Správa šířky pásma sítě pro správu obsahu.
Komunikace mezi klienty a systémy lokality a službami
Klienti zahajují komunikaci s rolemi systému lokality, Active Directory Domain Services a online služby. Aby se tato komunikace povolila, musí brány firewall umožňovat síťový provoz mezi klienty a koncovým bodem jejich komunikace. Další informace o portech a protokolech používaných klienty při komunikaci s těmito koncovými body najdete v tématu Porty používané v Configuration Manager.
Než klient může komunikovat s rolí systému lokality, použije umístění služby k vyhledání role, která podporuje protokol klienta (HTTP nebo HTTPS). Ve výchozím nastavení používají klienti nejbezpečnější metodu, která je pro ně dostupná. Další informace najdete v tématu Vysvětlení toho, jak klienti hledají prostředky a služby lokality.
Pokud chcete pomoct zabezpečit komunikaci mezi klienty Configuration Manager a servery lokality, nakonfigurujte jednu z následujících možností:
Použijte infrastrukturu veřejných klíčů (PKI) a nainstalujte certifikáty PKI na klienty a servery. Povolte systémům lokality komunikaci s klienty přes PROTOKOL HTTPS. Informace o tom, jak používat certifikáty, najdete v tématu Požadavky na certifikát PKI.
Nakonfigurujte lokalitu tak, aby používala certifikáty vygenerované Configuration Manager pro systémy lokality HTTP. Další informace najdete v tématu Rozšířený protokol HTTP.
Když nasadíte roli systému lokality, která používá Internetovou informační službu (IIS) a podporuje komunikaci od klientů, musíte určit, zda se klienti připojují k systému lokality pomocí protokolu HTTP nebo HTTPS. Pokud používáte PROTOKOL HTTP, musíte také zvážit možnosti podepisování a šifrování. Další informace najdete v tématu Plánování podepisování a šifrování.
Důležité
Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.
Komunikace mezi klientem a bodem správy
Klient komunikuje s bodem správy ve dvou fázích: ověřování (přenos) a autorizace (zpráva). Tento proces se liší v závislosti na následujících faktorech:
- Konfigurace webu: Pouze HTTPS, povoluje PROTOKOL HTTP nebo HTTPS nebo http nebo HTTPS s povoleným rozšířeným protokolem HTTP.
- Konfigurace bodu správy: HTTPS nebo HTTP
- Identita zařízení pro scénáře zaměřené na zařízení
- Identita uživatele pro scénáře zaměřené na uživatele
V následující tabulce se dozvíte, jak tento proces funguje:
Typ správy | Ověřování klientů | Autorizace klienta Identita zařízení |
Autorizace klienta Identita uživatele |
---|---|---|---|
HTTP | Anonymní V případě rozšířeného protokolu HTTP ověří web Microsoft Entra ID uživatele nebo tokenu zařízení. |
Žádost o umístění: Anonymní Balíček klienta: Anonymní Registrace pomocí jedné z následujících metod k prokázání identity zařízení: - Anonymní (ruční schválení) – Integrované ověřování Windows – token zařízení Microsoft Entra ID (rozšířený protokol HTTP) Po registraci klient pomocí podepisování zpráv prokáže identitu zařízení. |
V případě scénářů orientovaných na uživatele použijte k prokázání identity uživatele jednu z následujících metod: – Integrované ověřování Windows – Microsoft Entra ID tokenu uživatele (rozšířený protokol HTTP) |
HTTPS | Pomocí jedné z následujících metod: – Certifikát PKI – Integrované ověřování Windows – token uživatele nebo zařízení Microsoft Entra ID |
Žádost o umístění: Anonymní Balíček klienta: Anonymní Registrace pomocí jedné z následujících metod k prokázání identity zařízení: - Anonymní (ruční schválení) – Integrované ověřování Windows – Certifikát PKI – token uživatele nebo zařízení Microsoft Entra ID Po registraci klient pomocí podepisování zpráv prokáže identitu zařízení. |
V případě scénářů orientovaných na uživatele použijte k prokázání identity uživatele jednu z následujících metod: – Integrované ověřování Windows – token uživatele Microsoft Entra ID |
Tip
Další informace o konfiguraci bodu správy pro různé typy identit zařízení a s bránou pro správu cloudu najdete v tématu Povolení bodu správy pro PROTOKOL HTTPS.
Komunikace klienta s distribučním bodem
Když klient komunikuje s distribučním bodem, stačí ho před stažením obsahu ověřit. V následující tabulce se dozvíte, jak tento proces funguje:
Typ DP | Ověřování klientů |
---|---|
HTTP | - Anonymní, pokud je to povoleno – Integrované ověřování systému Windows s účtem počítače nebo účtem pro přístup k síti – Přístupový token k obsahu (rozšířený protokol HTTP) |
HTTPS | – Certifikát PKI – Integrované ověřování systému Windows s účtem počítače nebo účtem pro přístup k síti – Přístupový token k obsahu |
Důležité informace o komunikaci klientů z internetu nebo nedůvěryhodné doménové struktury
Další informace najdete v následujících článcích:
Komunikace napříč doménovými strukturami služby Active Directory
Configuration Manager podporuje lokality a hierarchie, které zahrnují doménové struktury služby Active Directory. Podporuje také počítače domény, které nejsou ve stejné doménové struktuře služby Active Directory jako server lokality, a počítače, které jsou v pracovních skupinách.
Podpora počítačů domény v doménové struktuře, která není důvěryhodná pro doménovou strukturu serveru lokality
Instalace rolí systému lokality v této nedůvěryhodné doménové struktuře s možností publikovat informace o lokalitě v této doménové struktuře služby Active Directory
Spravovat tyto počítače, jako by se jedná o počítače pracovní skupiny
Když nainstalujete servery systému lokality v nedůvěryhodné doménové struktuře služby Active Directory, komunikace mezi klienty a serverem z klientů v této doménové struktuře zůstane v této doménové struktuře a Configuration Manager může počítač ověřit pomocí protokolu Kerberos. Když publikujete informace o lokalitě do doménové struktury klienta, klienti budou mít užitek z načítání informací o lokalitě, jako je seznam dostupných bodů správy, z doménové struktury služby Active Directory, a ne ze stahování těchto informací z přiřazeného bodu správy.
Poznámka
Pokud chcete spravovat zařízení, která jsou na internetu, můžete nainstalovat internetové role systému lokality do hraniční sítě, když jsou servery systému lokality v doménové struktuře služby Active Directory. Tento scénář nevyžaduje obousměrný vztah důvěryhodnosti mezi hraniční sítí a doménovou strukturou serveru lokality.
Podpora počítačů v pracovní skupině
Počítače pracovní skupiny, které používají připojení klienta HTTP k rolím systému lokality, schvalte ručně. Configuration Manager tyto počítače nelze ověřit pomocí protokolu Kerberos.
Nakonfigurujte klienty pracovní skupiny tak, aby používali účet přístupu k síti, aby tyto počítače mohly načítat obsah z distribučních bodů.
Poskytnout alternativní mechanismus pro klienty pracovní skupiny najít body správy. Použijte publikování DNS nebo přímo přiřaďte bod správy. Tito klienti nemůžou načíst informace o lokalitě z Active Directory Domain Services.
Další informace najdete v následujících článcích:
Scénáře podpory lokality nebo hierarchie, která zahrnuje více domén a doménových struktur
Scénář 1: Komunikace mezi lokalitami v hierarchii, která zahrnuje doménové struktury
Tento scénář vyžaduje obousměrný vztah důvěryhodnosti doménové struktury, který podporuje ověřování protokolem Kerberos. Pokud nemáte obousměrný vztah důvěryhodnosti doménové struktury, který podporuje ověřování protokolem Kerberos, pak Configuration Manager nepodporuje podřízenou lokalitu ve vzdálené doménové struktuře.
Configuration Manager podporuje instalaci podřízené lokality ve vzdálené doménové struktuře, která má požadovaný obousměrný vztah důvěryhodnosti s doménovou strukturou nadřazené lokality. Sekundární lokalitu můžete například umístit do jiné doménové struktury než její primární nadřazená lokalita, pokud existuje požadovaný vztah důvěryhodnosti.
Poznámka
Podřízenou lokalitou může být primární lokalita (kde je lokalita centrální správy nadřazenou lokalitou) nebo sekundární lokalita.
Komunikace mezi lokalitami v Configuration Manager využívá replikaci databáze a přenosy souborů. Při instalaci lokality je nutné zadat účet, pomocí kterého chcete lokalitu nainstalovat na určený server. Tento účet také naváže a udržuje komunikaci mezi lokalitami. Jakmile se lokalita úspěšně nainstaluje a zahájí přenosy na základě souborů a replikace databáze, nemusíte pro komunikaci s lokalitou konfigurovat nic jiného.
Pokud existuje vztah důvěryhodnosti obousměrné doménové struktury, Configuration Manager nevyžaduje žádné další kroky konfigurace.
Když instalujete novou podřízenou lokalitu, Configuration Manager ve výchozím nastavení nakonfiguruje následující součásti:
Trasa replikace založená na souborech mezi lokalitami v každé lokalitě, která používá účet počítače serveru lokality. Configuration Manager přidá účet počítače každého počítače do skupiny SMS_SiteToSiteConnection_<sitecode> v cílovém počítači.
Replikace databáze mezi SQL Servery v každé lokalitě
Nastavte také následující konfigurace:
Brány firewall a síťová zařízení musí umožňovat síťové pakety, které Configuration Manager vyžadují.
Překlad názvů musí fungovat mezi doménovými strukturami.
Chcete-li nainstalovat lokalitu nebo roli systému lokality, je nutné zadat účet, který má na zadaném počítači oprávnění místního správce.
Scénář 2: Komunikace v lokalitě, která zahrnuje doménové struktury
Tento scénář nevyžaduje obousměrný vztah důvěryhodnosti doménové struktury.
Primární lokality podporují instalaci rolí systému lokality na počítačích ve vzdálených doménových strukturách.
- Pokud role systému lokality přijímá připojení z internetu, jako osvědčený postup zabezpečení nainstalujte role systému lokality v umístění, kde hranice doménové struktury poskytuje ochranu serveru lokality (například v hraniční síti).
Instalace role systému lokality na počítač v nedůvěryhodné doménové struktuře:
Zadejte účet instalace systému lokality, který lokalita používá k instalaci role systému lokality. (Tento účet musí mít přihlašovací údaje místního správce, aby se mohl připojit.) Pak na zadaný počítač nainstalujte role systému lokality.
Vyberte možnost systému lokality Vyžadovat, aby server lokality inicioval připojení k tomuto systému lokality. Toto nastavení vyžaduje, aby server lokality navázal připojení k serveru systému lokality pro přenos dat. Tato konfigurace zabrání počítači v nedůvěryhodném umístění v navázání kontaktu se serverem lokality, který je v důvěryhodné síti. Tato připojení používají účet instalace systému lokality.
Pokud chcete použít roli systému lokality nainstalovanou v nedůvěryhodné doménové struktuře, musí brány firewall povolit síťový provoz, i když server lokality zahájí přenos dat.
Kromě toho následující role systému lokality vyžadují přímý přístup k databázi lokality. Brány firewall proto musí umožňovat příslušný provoz z nedůvěryhodné doménové struktury do SQL Server lokality:
Bod synchronizace funkce Asset Intelligence
Bod ochrany koncového bodu
Bod registrace
Bod správy
Bod služby generování sestav
Bod migrace stavu
Další informace najdete v tématu Porty používané v Configuration Manager.
Možná budete muset nakonfigurovat přístup k databázi lokality pro bod správy a bod registrace.
Ve výchozím nastavení Configuration Manager při instalaci těchto rolí nakonfiguruje účet počítače nového serveru systému lokality jako účet připojení pro roli systému lokality. Potom účet přidá do příslušné SQL Server databázové role.
Při instalaci těchto rolí systému lokality v nedůvěryhodné doméně nakonfigurujte účet připojení role systému lokality tak, aby role systému lokality mohla získávat informace z databáze.
Pokud nakonfigurujete uživatelský účet domény jako účet připojení pro tyto role systému lokality, ujistěte se, že má uživatelský účet domény odpovídající přístup k databázi SQL Server v dané lokalitě:
Bod správy: Účet připojení k databázi bodu správy
Bod registrace: Účet připojení bodu registrace
Při plánování rolí systému lokality v jiných doménových strukturách zvažte následující další informace:
Pokud používáte bránu Windows Firewall, nakonfigurujte příslušné profily brány firewall tak, aby předávaly komunikaci mezi serverem databáze lokality a počítači nainstalovanými s rolemi systému vzdálené lokality.
Když internetový bod správy důvěřuje doménové struktuře obsahující uživatelské účty, podporují se zásady uživatelů. Pokud vztah důvěryhodnosti neexistuje, jsou podporovány pouze zásady počítače.
Scénář 3: Komunikace mezi klienty a rolemi systému lokality, když klienti nejsou ve stejné doménové struktuře služby Active Directory jako server lokality
Configuration Manager podporuje následující scénáře pro klienty, kteří nejsou ve stejné doménové struktuře jako server lokality jejich lokality:
Mezi doménovou strukturou klienta a doménovou strukturou serveru lokality je obousměrný vztah důvěryhodnosti.
Server role systému lokality se nachází ve stejné doménové struktuře jako klient.
Klient je na počítači domény, který nemá obousměrný vztah důvěryhodnosti doménové struktury se serverem lokality, a role systému lokality nejsou v doménové struktuře klienta nainstalované.
Klient je na počítači pracovní skupiny.
Klienti na počítači připojeném k doméně můžou použít Active Directory Domain Services pro umístění služby, když je jejich lokalita publikovaná do jejich doménové struktury služby Active Directory.
Publikování informací o lokalitě do jiné doménové struktury služby Active Directory:
Zadejte doménovou strukturu a pak povolte publikování do této doménové struktury v uzlu Doménové struktury služby Active Directory pracovního prostoru Správa .
Nakonfigurujte každou lokalitu tak, aby publikovala svá data do Active Directory Domain Services. Tato konfigurace umožňuje klientům v této doménové struktuře načítat informace o lokalitě a vyhledávat body správy. Pro klienty, kteří nemůžou použít Active Directory Domain Services pro umístění služby, můžete použít DNS nebo bod správy přiřazený klientem.
Scénář 4: Umístění konektoru Exchange Server do vzdálené doménové struktury
Pokud chcete tento scénář podporovat, ujistěte se, že překlad názvů funguje mezi doménovými strukturami. Můžete například nakonfigurovat předávání DNS. Při konfiguraci konektoru Exchange Server zadejte intranetový plně kvalifikovaný název domény Exchange Server. Další informace najdete v tématu Správa mobilních zařízení pomocí Configuration Manager a Exchange.