Communications entre les points de terminaison dans Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Cet article décrit comment Configuration Manager les systèmes de site et les clients communiquent sur votre réseau. Il comprend les sections suivantes :

Communications entre les systèmes de site dans un site

Lorsque Configuration Manager des systèmes ou composants de site communiquent sur le réseau avec d’autres systèmes de site ou composants du site, ils utilisent l’un des protocoles suivants, selon la façon dont vous configurez le site :

  • Bloc de messages serveur (SMB)

  • HTTP

  • HTTPS

À l’exception de la communication entre le serveur de site et un point de distribution, les communications de serveur à serveur dans un site peuvent se produire à tout moment. Ces communications n’utilisent pas de mécanismes pour contrôler la bande passante réseau. Étant donné que vous ne pouvez pas contrôler la communication entre les systèmes de site, veillez à installer des serveurs de système de site dans des emplacements disposant de réseaux rapides et bien connectés.

Serveur de site vers point de distribution

Pour vous aider à gérer le transfert de contenu du serveur de site vers les points de distribution, utilisez les stratégies suivantes :

  • Configurez le point de distribution pour le contrôle et la planification de la bande passante réseau. Ces contrôles ressemblent aux configurations utilisées par les adresses intersite. Utilisez cette configuration au lieu d’installer un autre site Configuration Manager lorsque le transfert de contenu vers des emplacements réseau distants est votre main la bande passante.

  • Vous pouvez installer un point de distribution en tant que point de distribution préparé. Un point de distribution préparé vous permet d’utiliser du contenu qui est placé manuellement sur le serveur de point de distribution et supprime la nécessité de transférer des fichiers de contenu sur le réseau.

Pour plus d’informations, consultez Gérer la bande passante réseau pour la gestion de contenu.

Communications entre les clients et les systèmes de site et les services

Les clients lancent la communication avec les rôles de système de site, les services de domaine Active Directory et les services en ligne. Pour activer ces communications, les pare-feu doivent autoriser le trafic réseau entre les clients et le point de terminaison de leurs communications. Pour plus d’informations sur les ports et les protocoles utilisés par les clients lorsqu’ils communiquent avec ces points de terminaison, consultez Ports utilisés dans Configuration Manager.

Avant qu’un client puisse communiquer avec un rôle de système de site, il utilise l’emplacement du service pour rechercher un rôle qui prend en charge le protocole du client (HTTP ou HTTPS). Par défaut, les clients utilisent la méthode la plus sécurisée qui leur est disponible. Pour plus d’informations, consultez Comprendre comment les clients recherchent des ressources et des services de site.

Pour sécuriser la communication entre les clients Configuration Manager et les serveurs de site, configurez l’une des options suivantes :

  • Utilisez une infrastructure à clé publique (PKI) et installez des certificats PKI sur les clients et les serveurs. Permettre aux systèmes de site de communiquer avec les clients via HTTPS. Pour plus d’informations sur l’utilisation des certificats, consultez Configuration requise des certificats PKI.

  • Configurez le site pour utiliser des certificats générés Configuration Manager pour les systèmes de site HTTP. Pour plus d’informations, consultez HTTP amélioré.

Lorsque vous déployez un rôle de système de site qui utilise Internet Information Services (IIS) et prend en charge la communication à partir des clients, vous devez spécifier si les clients se connectent au système de site à l’aide de HTTP ou HTTPS. Si vous utilisez HTTP, vous devez également prendre en compte les choix de signature et de chiffrement. Pour plus d’informations, consultez Planification de la signature et du chiffrement.

Importante

À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.

Communication entre le client et le point de gestion

Il existe deux étapes lorsqu’un client communique avec un point de gestion : l’authentification (transport) et l’autorisation (message). Ce processus varie en fonction des facteurs suivants :

  • Configuration du site : HTTPS uniquement, autorise HTTP ou HTTPS, ou autorise HTTP ou HTTPS avec http amélioré activé
  • Configuration du point de gestion : HTTPS ou HTTP
  • Identité de l’appareil pour les scénarios centrés sur l’appareil
  • Identité de l’utilisateur pour les scénarios centrés sur l’utilisateur

Utilisez le tableau suivant pour comprendre le fonctionnement de ce processus :

Type mp Authentification du client Autorisation du client
Identité de l’appareil
Autorisation du client
Identité de l’utilisateur
HTTP Anonyme
Avec le protocole HTTP amélioré, le site vérifie le jeton d’utilisateur ou d’appareil de l’ID Microsoft Entra.
Demande d’emplacement : Anonyme
Package client : Anonyme
Inscription à l’aide de l’une des méthodes suivantes pour prouver l’identité de l’appareil :
- Anonyme (approbation manuelle)
- Authentification intégrée à Windows
- jeton d’appareil ID Microsoft Entra (HTTP amélioré)
Après l’inscription, le client utilise la signature de message pour prouver l’identité de l’appareil
Pour les scénarios centrés sur l’utilisateur, utilisez l’une des méthodes suivantes pour prouver l’identité de l’utilisateur :
- Authentification intégrée à Windows
- jeton utilisateur id Microsoft Entra (HTTP amélioré)
HTTPS Utilisez l’une des méthodes suivantes :
- Certificat PKI
- Authentification intégrée à Windows
- jeton d’utilisateur ou d’appareil id Microsoft Entra
Demande d’emplacement : Anonyme
Package client : Anonyme
Inscription à l’aide de l’une des méthodes suivantes pour prouver l’identité de l’appareil :
- Anonyme (approbation manuelle)
- Authentification intégrée à Windows
- Certificat PKI
- jeton d’utilisateur ou d’appareil id Microsoft Entra
Après l’inscription, le client utilise la signature de message pour prouver l’identité de l’appareil
Pour les scénarios centrés sur l’utilisateur, utilisez l’une des méthodes suivantes pour prouver l’identité de l’utilisateur :
- Authentification intégrée à Windows
- jeton utilisateur id Microsoft Entra

Conseil

Pour plus d’informations sur la configuration du point de gestion pour différents types d’identité d’appareil et avec la passerelle de gestion cloud, consultez Activer le point de gestion pour HTTPS.

Communication entre le client et le point de distribution

Lorsqu’un client communique avec un point de distribution, il doit uniquement s’authentifier avant de télécharger le contenu. Utilisez le tableau suivant pour comprendre le fonctionnement de ce processus :

Type dp Authentification du client
HTTP - Anonyme, si autorisé
- Authentification intégrée Windows avec un compte d’ordinateur ou un compte d’accès réseau
- Jeton d’accès au contenu (HTTP amélioré)
HTTPS - Certificat PKI
- Authentification intégrée Windows avec un compte d’ordinateur ou un compte d’accès réseau
- Jeton d’accès au contenu

Considérations relatives aux communications clientes à partir d’Internet ou d’une forêt non approuvée

Si vous souhaitez en savoir plus, consultez les articles suivants :

Communications entre les forêts Active Directory

Configuration Manager prend en charge les sites et les hiérarchies qui s’étendent sur les forêts Active Directory. Il prend également en charge les ordinateurs de domaine qui ne se trouvent pas dans la même forêt Active Directory que le serveur de site et les ordinateurs qui se trouvent dans des groupes de travail.

Prendre en charge les ordinateurs de domaine dans une forêt qui n’est pas approuvée par la forêt de votre serveur de site

  • Installer des rôles de système de site dans cette forêt non approuvée, avec la possibilité de publier des informations de site dans cette forêt Active Directory

  • Gérer ces ordinateurs comme s’il s’agit d’ordinateurs de groupe de travail

Lorsque vous installez des serveurs de système de site dans une forêt Active Directory non approuvée, la communication client à serveur des clients de cette forêt est conservée dans cette forêt et Configuration Manager pouvez authentifier l’ordinateur à l’aide de Kerberos. Lorsque vous publiez des informations de site dans la forêt du client, les clients tirent parti de la récupération des informations de site, telles qu’une liste de points de gestion disponibles, à partir de leur forêt Active Directory, plutôt que de télécharger ces informations à partir du point de gestion qui leur est attribué.

Remarque

Si vous souhaitez gérer des appareils qui se trouvent sur Internet, vous pouvez installer des rôles de système de site basés sur Internet dans votre réseau de périmètre lorsque les serveurs de système de site se trouvent dans une forêt Active Directory. Ce scénario ne nécessite pas d’approbation bidirectionnelle entre le réseau de périmètre et la forêt du serveur de site.

Prendre en charge les ordinateurs d’un groupe de travail

  • Approuver manuellement les ordinateurs de groupe de travail lorsqu’ils utilisent des connexions client HTTP à des rôles de système de site. Configuration Manager ne pouvez pas authentifier ces ordinateurs à l’aide de Kerberos.

  • Configurez les clients de groupe de travail pour qu’ils utilisent le compte d’accès réseau afin que ces ordinateurs puissent récupérer du contenu à partir de points de distribution.

  • Fournissez un autre mécanisme permettant aux clients de groupe de travail de trouver des points de gestion. Utilisez la publication DNS ou affectez directement un point de gestion. Ces clients ne peuvent pas récupérer les informations de site à partir de services de domaine Active Directory.

Si vous souhaitez en savoir plus, consultez les articles suivants :

Scénarios de prise en charge d’un site ou d’une hiérarchie qui s’étend sur plusieurs domaines et forêts

Scénario 1 : Communication entre les sites dans une hiérarchie qui s’étend sur des forêts

Ce scénario nécessite une approbation de forêt bidirectionnelle qui prend en charge l’authentification Kerberos. Si vous n’avez pas d’approbation de forêt bidirectionnelle qui prend en charge l’authentification Kerberos, Configuration Manager ne prend pas en charge un site enfant dans la forêt distante.

Configuration Manager prend en charge l’installation d’un site enfant dans une forêt distante disposant de l’approbation bidirectionnelle requise avec la forêt du site parent. Par exemple, vous pouvez placer un site secondaire dans une forêt différente de son site parent principal tant que l’approbation requise existe.

Remarque

Un site enfant peut être un site principal (où le site d’administration centrale est le site parent) ou un site secondaire.

La communication intersite dans Configuration Manager utilise la réplication de base de données et les transferts basés sur des fichiers. Lorsque vous installez un site, vous devez spécifier un compte avec lequel installer le site sur le serveur désigné. Ce compte établit et gère également la communication entre les sites. Une fois que le site a correctement installé et lancé les transferts basés sur des fichiers et la réplication de base de données, vous n’avez rien d’autre à configurer pour la communication avec le site.

Lorsqu’il existe une approbation de forêt bidirectionnelle, Configuration Manager ne nécessite aucune étape de configuration supplémentaire.

Par défaut, lorsque vous installez un nouveau site enfant, Configuration Manager configure les composants suivants :

  • Route de réplication basée sur des fichiers intersite sur chaque site qui utilise le compte d’ordinateur du serveur de site. Configuration Manager ajoute le compte d’ordinateur de chaque ordinateur au groupe SMS_SiteToSiteConnection_<sitecode> sur l’ordinateur de destination.

  • Réplication de base de données entre les serveurs SQL Server sur chaque site.

Définissez également les configurations suivantes :

  • Les pare-feu et les périphériques réseau intervenant doivent autoriser les paquets réseau requis par Configuration Manager.

  • La résolution de noms doit fonctionner entre les forêts.

  • Pour installer un rôle de site ou de système de site, vous devez spécifier un compte disposant des autorisations d’administrateur local sur l’ordinateur spécifié.

Scénario 2 : Communication dans un site qui s’étend sur des forêts

Ce scénario ne nécessite pas d’approbation de forêt bidirectionnelle.

Les sites principaux prennent en charge l’installation de rôles de système de site sur des ordinateurs dans des forêts distantes.

  • Lorsqu’un rôle de système de site accepte des connexions à partir d’Internet, en tant que meilleure pratique de sécurité, installez les rôles de système de site à un emplacement où la limite de forêt assure la protection du serveur de site (par exemple, dans un réseau de périmètre).

Pour installer un rôle de système de site sur un ordinateur dans une forêt non approuvée :

  • Spécifiez un compte d’installation de système de site, que le site utilise pour installer le rôle de système de site. (Ce compte doit disposer d’informations d’identification d’administration locales pour se connecter.) Installez ensuite les rôles de système de site sur l’ordinateur spécifié.

  • Sélectionnez l’option système de site Exiger que le serveur de site établisse des connexions à ce système de site. Ce paramètre nécessite que le serveur de site établisse des connexions au serveur de système de site pour transférer des données. Cette configuration empêche l’ordinateur à l’emplacement non approuvé d’initier un contact avec le serveur de site qui se trouve à l’intérieur de votre réseau approuvé. Ces connexions utilisent le compte d’installation du système de site.

Pour utiliser un rôle de système de site installé dans une forêt non approuvée, les pare-feu doivent autoriser le trafic réseau même lorsque le serveur de site lance le transfert de données.

En outre, les rôles de système de site suivants nécessitent un accès direct à la base de données du site. Par conséquent, les pare-feu doivent autoriser le trafic applicable de la forêt non approuvée vers les SQL Server du site :

  • Point de synchronisation Asset Intelligence

  • Point Endpoint Protection

  • Point d’inscription

  • Point de gestion

  • Point de service de création de rapports

  • Point de migration d’état

Pour plus d’informations, consultez Ports utilisés dans Configuration Manager.

Vous devrez peut-être configurer l’accès au point de gestion et au point d’inscription à la base de données du site.

  • Par défaut, lorsque vous installez ces rôles, Configuration Manager configure le compte d’ordinateur du nouveau serveur de système de site comme compte de connexion pour le rôle de système de site. Il ajoute ensuite le compte au rôle de base de données SQL Server approprié.

  • Lorsque vous installez ces rôles de système de site dans un domaine non approuvé, configurez le compte de connexion de rôle de système de site pour permettre au rôle de système de site d’obtenir des informations à partir de la base de données.

Si vous configurez un compte d’utilisateur de domaine comme compte de connexion pour ces rôles de système de site, assurez-vous que le compte d’utilisateur de domaine dispose d’un accès approprié à la base de données SQL Server sur ce site :

  • Point de gestion : Compte de connexion à la base de données du point de gestion

  • Point d’inscription : Compte de connexion du point d’inscription

Tenez compte des informations supplémentaires suivantes lorsque vous planifiez des rôles de système de site dans d’autres forêts :

  • Si vous exécutez le Pare-feu Windows, configurez les profils de pare-feu applicables pour transmettre les communications entre le serveur de base de données de site et les ordinateurs installés avec des rôles de système de site distants.

  • Lorsque le point de gestion Internet approuve la forêt qui contient les comptes d’utilisateur, les stratégies utilisateur sont prises en charge. En l’absence d’approbation, seules les stratégies d’ordinateur sont prises en charge.

Scénario 3 : Communication entre les clients et les rôles de système de site lorsque les clients ne se trouvent pas dans la même forêt Active Directory que leur serveur de site

Configuration Manager prend en charge les scénarios suivants pour les clients qui ne se trouvent pas dans la même forêt que le serveur de site de leur site :

  • Il existe une approbation de forêt bidirectionnelle entre la forêt du client et la forêt du serveur de site.

  • Le serveur de rôle de système de site se trouve dans la même forêt que le client.

  • Le client se trouve sur un ordinateur de domaine qui n’a pas d’approbation de forêt bidirectionnelle avec le serveur de site, et les rôles de système de site ne sont pas installés dans la forêt du client.

  • Le client se trouve sur un ordinateur de groupe de travail.

Les clients sur un ordinateur joint à un domaine peuvent utiliser services de domaine Active Directory pour l’emplacement du service lorsque leur site est publié dans leur forêt Active Directory.

Pour publier des informations de site dans une autre forêt Active Directory :

  • Spécifiez la forêt, puis activez la publication dans cette forêt dans le nœud Forêts Active Directory de l’espace de travail Administration .

  • Configurez chaque site pour publier ses données sur services de domaine Active Directory. Cette configuration permet aux clients de cette forêt de récupérer des informations de site et de rechercher des points de gestion. Pour les clients qui ne peuvent pas utiliser services de domaine Active Directory pour l’emplacement du service, vous pouvez utiliser DNS ou le point de gestion attribué au client.

Scénario 4 : Placer le connecteur Exchange Server dans une forêt distante

Pour prendre en charge ce scénario, assurez-vous que la résolution de noms fonctionne entre les forêts. Par exemple, configurez les transfert DNS. Lorsque vous configurez le connecteur Exchange Server, spécifiez le nom de domaine complet intranet du Exchange Server. Pour plus d’informations, consultez Gérer les appareils mobiles avec Configuration Manager et Exchange.

Voir aussi