Planejamento de comunicações no Configuration Manager

Rota de replicação de arquivo

Cada rota de replicação de arquivo identifica um site de destino para o qual os dados baseados em arquivo podem ser transferidos. Cada site oferece suporte a uma única rota de replicação de arquivo para um site de destino específico.

O Gerenciador de Configurações oferece suporte para as seguintes configurações para rotas de replicação de arquivo:

• Conta de replicação de arquivo: essa conta é usada para conectar-se ao site de destino e para gravar dados no compartilhamento SMS_SITE desse site. Os dados gravados nesse compartilhamento são processados pelo site de recebimento. Por padrão, quando um site é adicionado à hierarquia, o Gerenciador de Configurações atribui a conta do computador dos novos servidores do sistema de site como os sites Conta de Replicação de Arquivo. Esta conta é adicionada ao grupo SMS_SiteToSiteConnection_

  Replicação de banco de dados

  A replicação de banco de dados do Gerenciador de Configurações usa o SQL Server para transferir dados e mesclar as alterações feitas em um banco de dados do site com as informações armazenadas no banco de dados em outros sites na hierarquia. Isso permite que todos os sites compartilhem as mesmas informações. Replicação de banco de dados é configurada automaticamente por todos os sites do Gerenciador de Configurações. Quando você instala um site em uma hierarquia, a replicação de banco de dados automaticamente configura entre o novo site e seu site pai designado. Quando termina a instalação do site, a replicação de banco de dados é iniciada automaticamente.

  Quando você instala um novo site em uma hierarquia, o Gerenciador de Configurações cria um banco de dados genérico no novo site. Em seguida, o site pai cria um instantâneo dos dados relevantes em seu banco de dados e transfere esse instantâneo para o novo site com uma replicação baseada em arquivo. O novo site usa um BCP (Programa de Cópia em Massa) para carregar as informações em sua cópia local do banco de dados do Gerenciador de Configurações. Depois que o instantâneo é carregado, cada site realiza replicação de banco de dados com o outro site.

  Para replicar dados entre sites, o Gerenciador de Configurações usa seu próprio serviço de replicação de banco de dados. O serviço de replicação de banco de dados utiliza o controle de alterações do SQL Server para monitorar o banco de dados do site local quanto a alterações, e depois replica essas alterações em outros sites, usando um SQL Server Service Broker. Por padrão, esse processo usa a porta TCP/IP 4022.

  O Gerenciador de Configurações agrupa os dados que replica pela replicação de banco de dados em grupos de replicação diferentes. Cada grupo de replicação tem uma agenda de replicação fixa, separada, que determina com que frequência as alterações de dados do grupo são replicadas em outros sites. Por exemplo, uma alteração de configuração em uma configuração de administração baseada em função é replicada rapidamente em outros sites para assegurar que essas alterações sejam aplicadas o mais cedo possível. Enquanto isso, uma alteração de configuração de menor prioridade, como uma solicitação para instalar um novo site secundário, replica com menos urgência e leva vários minutos para que a solicitação do novo site chegue ao site primário de destino.

  Observação

  A replicação do banco de dados do Gerenciador de Configurações é configurada automaticamente e não oferece suporte a configuração de grupos de replicação ou agendamentos de replicação. No entanto, começando com o Gerenciador de Configurações SP1, é possível configurar links de replicação de banco de dados para controlar quando um tráfego específico atravessa a rede. Você também pode configurar quando o Gerenciador de Configurações emite alertas sobre links de replicação com status degradado ou com falha.

  O Gerenciador de Configurações classifica os dados que são replicados pela replicação do banco de dados como dados globais ou do site. Quando a replicação do banco de dados ocorre, alterações em dados globais e dados do site são transferidas pelo link de replicação de banco de dados. Dados globais podem replicar para o site pai ou filho, e o site replica apenas para um site pai. Um terceiro tipo de dados, chamado de dados locais, não são replicados em outros sites. Dados locais incluem informações desnecessárias aos outros sites:

  • Dados globais: dados globais referem-se a objetos criados pelo administrador que são replicados em todos os sites, em toda a hierarquia, embora os sites secundários recebam apenas um subconjunto dos dados globais, como dados de proxy global. Exemplos de dados globais incluem implantações e atualizações de software, definições de coleção e escopos de segurança de administração baseada em funções. Os administradores podem criar dados globais em sites de administração central e primários.

  • Dados de site: os dados de site referem-se a informações operacionais criadas pelos sites primários do Gerenciador de Configurações e pelos clientes que relatam aos sites primários. Os dados do site replicam para o site de administração central, mas não para outros sites primários. Dados de inventário de hardware, mensagens de status, alertas e resultados de coleções baseadas em consulta são exemplos de dados do site. Os dados de site são visíveis somente no site de administração central e no site primário de onde os dados são originários. Dados do site podem ser modificados apenas no site primário em que foram criados.

    Todos os dados do site replicam no site da administração central, por isso o site de administração central pode realizar administração e relatórios para toda a hierarquia.

  Use as informações nas seções a seguir para planejar o uso de controles disponíveis com o Gerenciador de Configurações SP1 para configurar links de banco de dados de replicação entre os sites e controles em cada banco de dados do site. Esses controles podem ajudá-lo a controlar e monitorar o tráfego de rede que a replicação de banco de dados cria.

  Links de replicação de banco de dados

  Quando você instala um novo site em uma hierarquia, o Gerenciador de Configurações cria um link de replicação de banco de dados entre os dois sites. É criado um link único para conectar o novo site ao site pai.

  Começando com o Gerenciador de Configurações SP1, cada link de replicação de banco de dados oferece suporte a configurações que ajudam a controlar a transferência de dados pelo link de replicação. Cada link de replicação oferece suporte a configurações separadas. Os controles de links de replicação de banco de dados incluem o seguinte:

  • Usar visões distribuídas para parar a replicação de dados de sites selecionados por meio de um site primário para o site de administração central, e permitir que o site de administração central acesse diretamente esses dados por meio do banco de dados do site primário.

  • Agendar quando os dados de sites selecionados são transferidos de um site primário filho para o site de administração central.

  • Definir as configurações que determinam quando um link de replicação de banco de dados está em um estado degradado ou falhou.

  • Configurar quando gerar alertas para um link de replicação com falha.

  • Especificar com que frequência o Gerenciador de Configurações resume dados sobre o tráfego de replicação que utiliza link de replicação. Esses dados são usados em relatórios.

  Para configurar um link de replicação de banco de dados, você edita as propriedades do link no console do Gerenciador de Configurações no nó Replicação de banco de dados. Esse nó aparece no espaço de trabalho Monitoramento, e começando com o Gerenciador de Configurações SP1, esse nó também aparece no nó Configuração da Hierarquia no espaço de trabalho Administração. Você pode editar um link de replicação do pai site ou do site filho do link de replicação.

  Dica

  Você pode editar links de replicação de banco de dados no nó Replicação do Banco de Dados em qualquer um dos espaços de trabalho. No entanto, quando você usa o nó Replicação do Banco de Dados no espaço de trabalho Monitoramento também pode ver o status de replicação de banco de dados dos links de replicação e acessar a ferramenta Replication Link Analyzer para ajudar a investigar problemas com a replicação.

  Para obter informações sobre como configurar os links de replicação, consulte Controles de replicação de banco de dados do site. Para obter mais informações sobre como monitorar a replicação, consulte a seção Como monitorar o status de replicação e links de replicação de banco de dados no tópico Monitorar sites e hierarquia do Configuration Manager.

  Use as informações nas seções a seguir para planejar links de replicação de banco de dados.

  Planejando o uso de exibições distribuídas

  Para o System Center 2012 Configuration Manager SP1 e posterior: 

  Exibições distribuídas habilitam solicitações feitas em um site de administração central para dados de site selecionados, para acessar esses dados diretamente do banco de dados em um site primário filho. Esse acesso direto substitui a necessidade de replicar os dados do site por meio do site primário para o site de administração central. Como cada link de replicação é independente de outros links de replicação, você pode habilitar exibições distribuídas apenas nos links de replicação que escolher. Não há suporte para exibições distribuídas entre um site primário e um secundário.

  Exibições distribuídas podem fornecer os seguintes benefícios:

  • Reduzir a carga de CPU para processar alterações de banco de dados no site da administração central e sites primários.

  • Reduzir a quantidade de dados transferidos pela rede para o site de administração central.

  • Melhorar o desempenho do SQL Server que hospeda o banco de dados de sites de administração central.

  • Reduzir o espaço em disco usado pelo banco de dados no site da administração central.

  Considere o uso de exibições distribuídas quando um site primário está localizado nas proximidades da rede do site de administração central, e os dois sites estão sempre ativados e sempre conectados. Isso porque exibições distribuídas substituem a replicação dos dados selecionados entre os sites com conexões diretas entre os SQL Servers em cada local. Essa conexão direta acontece cada vez que uma solicitação de dados é feita no site da administração central. Geralmente, solicitações de dados que possam ser habilitados para exibições distribuídas são feitas quando você executa relatórios ou consultas, visualiza informações no Gerenciador de Recursos e pela avaliação de coleções que incluem regras baseadas nos dados do site.

  Por padrão, visões distribuídas estão desabilitadas para cada link de replicação. Quando você habilita exibições distribuídas para um link de replicação, seleciona os dados do site que não serão replicados no site de administração central por meio daquele link e habilita o site de administração central para acessar dados diretamente do banco de dados do site primário filho que compartilha o link. Você pode configurar os seguintes tipos de dados do site para exibições distribuídas:

  • Dados de inventário de hardware de clientes

  • Inventário e medição de software de dados de clientes

  • Mensagens de status de clientes, o site primário e todos os sites secundários

  Operacionalmente, exibições distribuídas são invisíveis para um usuário administrativo que visualiza os dados no console do Gerenciador de Configurações ou em relatórios. Quando é feita uma solicitação de dados habilitados para exibições distribuídas, o SQL Server que hospeda o banco de dados do site de administração central acessa diretamente o SQL Server do site primário filho para recuperar as informações. Por exemplo, você usa um console do Gerenciador de Configurações no site de administração central para solicitar informações sobre o inventário de hardware por meio de dois sites, e apenas um site tem inventário de hardware habilitado para uma visão distribuída. As informações de inventário para clientes daquele site que não estão configuradas para exibições distribuídas são recuperadas do banco de dados no site de administração central. As informações de inventário para clientes do site que não estão configuradas para exibições distribuídas são acessadas por meio do banco de dados no site primário filho. Essas informações aparecem no console ou relatório do Gerenciador de Configurações sem distinção da origem.

  Enquanto um link de replicação tiver um tipo de dados habilitado para exibições distribuídas, o site primário filho não replicará os dados no site de administração central. Assim que você desativa as exibições distribuídas de um tipo de dados, o site primário filho retoma a replicação desses dados no site de administração central como parte da replicação de dados normal. No entanto, para que esses dados estejam disponíveis no site de administração central, os grupos de replicação que os contêm devem reinicializar entre o site primário e o site de administração central. Da mesma forma, depois de desinstalar um site primário com visões distribuídas habilitadas, o site de administração central deve completar a reinicialização dos seus dados para acessar dados habilitados para visões distribuídas no site de administração central.

  Importante
  Quando você usa exibições distribuídas em qualquer link de replicação na hierarquia, deve desabilitar exibições distribuídas para todos os links de replicação para desinstalar qualquer site primário. Para obter mais informações, veja a seção Desinstalar um site primário configurado com exibições distribuídas no tópico Instalar sites e criar uma hierarquia para o Configuration Manager.

  Pré-requisitos e limitações de exibições distribuídas

  Estes são os pré-requisitos e as limitações de exibições distribuídas:

  • Tanto o site de administração central quanto o site primário devem executar a mesma versão do Gerenciador de Configurações e ter a versão mínima do SP1

  • Exibições distribuídas têm suporte apenas no links de replicação entre um site de administração central e um site primário.

  • O site de administração central pode ter apenas uma instância do Provedor de SMS instalado, e essa instância deve ser instalada no servidor de banco de dados do site. Isso é necessário para dar suporte à autenticação Kerberos necessária para habilitar o SQL Server no site de administração central para acessar o SQL Server no site primário filho. Não há limitações de Provedor de SMS no site primário filho.

  • O site de administração central pode ter apenas um ponto do SQL Server Reporting Services instalado, e deve estar localizado no servidor de banco de dados do site. Isso é necessário para dar suporte à autenticação Kerberos necessária para habilitar o SQL Server no site de administração central para acessar o SQL Server no site primário filho.

  • O banco de dados do site não pode ser hospedado em um cluster do SQL Server.

  • A conta de computador do servidor de banco de dados do site de administração central requer permissões de Read para o banco de dados do site primário.

  • Visões e agendamentos distribuídos para quando os dados puderem ser replicados são configurações mutuamente exclusivas para um vínculo de replicação de banco de dados.

  Planejar agendamento de transferências de dados do site em vínculos de replicação de banco de dados

  Para o System Center 2012 Configuration Manager SP1 e posterior:

  Para ajudá-lo a controlar a largura de banda de rede que é usada para replicar dados do site de um site primário filho para o seu site de administração central, você pode agendar o uso de um vínculo de replicação e especificar quando se dará a replicação dos diferentes tipos de dados do site. Você pode controlar quando o site primário replica as mensagens de status, inventário e dados de medição. Vínculos de replicação de banco de dados de sites secundários não oferecem suporte a agendamentos de dados do site. A transferência de dados globais não pode ser agendada.

  Quando você configurar um agendamento de vínculo de replicação de banco de dados, você pode restringir a transferência de dados do site selecionado do site primário para o site de administração central, e pode configurar diferentes horários para replicar diferentes tipos de dados do site.

  Para obter mais informações sobre como controlar o uso da largura de banda entre os sites do Configuration Manager, consulte a seção Controlando o uso de largura de banda da rede entre sites neste tópico.

  Planejar o resumo do tráfego de replicação de banco de dados

  Para o System Center 2012 Configuration Manager SP1 e posterior:

  Começando com o Gerenciador de Configurações SP1, cada site resume periodicamente dados de tráfego de rede que atravessam links de replicação de banco de dados que incluem o site. Esses dados resumidos são usados em relatórios para replicação de banco de dados. Ambos os sites em um vínculo de replicação resumem o tráfego de rede que atravessa o vínculo de replicação. O resumo dos dados é executado pelo SQL Server que hospeda o banco de dados do site. Após o resumo dos dados, essas informações são replicadas para outros sites como dados globais.

  Por padrão, o resumo ocorre a cada 15 minutos. Você pode modificar a frequência de resumo do tráfego de rede editando o Intervalo de Resumo nas propriedades do vínculo de replicação de banco de dados. A frequência do resumo afeta as informações exibidas nos relatórios sobre a replicação de banco de dados. É possível modificar esse intervalo de 5 a 60 minutos. Quando você aumenta a frequência do resumo, aumenta a carga de processamento no SQL Server em cada site no vínculo de replicação.

  Planejar limites de replicação de banco de dados

  Limites de replicação de banco de dados definem quando o status de um vínculo de replicação de banco de dados é informado degradado ou com falha. Por padrão, um link é definido degradado quando algum grupo de replicação falha ao concluir a replicação por um período de 12 tentativas consecutivas, e definido com falha quando algum grupo de replicação não consegue replicar após 24 tentativas consecutivas.

  Começando com o Gerenciador de Configurações SP1, é possível especificar valores personalizados para ajuste quando o Gerenciador de Configurações informa que um link de replicação está degradado ou com falha. Antes do SP1 do Gerenciador de Configurações, não era possível ajustar esses limites. O ajuste de quando o Gerenciador de Configurações relata cada status dos seus vínculos de replicação de banco de dados pode ajudar a monitorar com precisão a integridade da replicação de banco de dados por meio dos vínculos de replicação de banco de dados.

  Como é possível que um ou alguns grupos de replicação não repliquem enquanto outros continuam a replicar com sucesso, planeje a revisão do status de replicação de um vínculo de replicação quando ele informar pela primeira vez um status degradado. Se houver atrasos recorrentes para grupos de replicação específicos e esse atraso não apresentar problema, ou onde o link de rede entre os sites tiver baixa largura de banda disponível, considere modificar os valores de repetição para os status degradado ou com falha do link. Ao aumentar o número de tentativas antes que o link seja definido degradado ou com falha, você pode eliminar falsos alertas para problemas conhecidos, permitindo o acompanhamento mais preciso do status do link.

  Você também deve considerar o intervalo de sincronização da replicação para cada grupo de replicação, para entender com que frequência a replicação do grupo ocorre. Você pode ver o Intervalo de Sincronização para grupos de replicação na guia Detalhe de Replicação de um vínculo de replicação no nó Replicação do Banco de Dados no espaço de trabalho Monitoramento.

  Para obter mais informações sobre como monitorar a replicação de banco de dados, incluindo como exibir o status de replicação, consulte a seção Como monitorar o status de replicação e links de replicação de banco de dados no tópico Monitorar sites e hierarquia do Configuration Manager.

  Para obter informações sobre como configurar os limites de replicação do banco de dados, consulte Controles de replicação de banco de dados do site.

  Controles de replicação de banco de dados do site

  Para o System Center 2012 Configuration Manager SP1 e posterior:

  Cada banco de dados do site oferece suporte a configurações que podem auxiliar no controle da largura de banda de rede usada na replicação de banco de dados. Essas configurações aplicam-se somente ao banco de dados do site onde você define as configurações, e são sempre usadas quando o site replica quaisquer dados por replicação de banco de dados para qualquer outro site.

  Os controles de replicação para cada banco de dados do site incluem o seguinte:

  • Alterar a porta que o Gerenciador de Configurações usa para o SQL Server Service Broker.

  • Configurar o período de tempo de espera antes que as falhas de replicação acionem o site para reinicializar sua cópia de banco de dados do site.

  • Configurar um banco de dados do site para compactar os dados que ele replica pela replicação de banco de dados. Os dados são compactados apenas para a transferência entre sites, e não para o armazenamento no banco de dados do site em qualquer um dos sites.

  Para configurar os controles de replicação para um banco de dados do site, você pode editar as propriedades do banco de dados do site no console do Gerenciador de Configurações do nó Replicação do Banco de Dados . Esse nó aparece no nó Configuração da Hierarquia, no espaço de trabalho Administração, e também é exibido no Espaço de Trabalho de Monitoramento. Para editar as propriedades do banco de dados do site, selecione o vínculo de replicação entre sites e depois abra Propriedades de Banco de Dados Pai ou Propriedades de Banco de Dados Filho.

  Dica

  Você pode configurar controles de replicação de banco de dados no nó Replicação do Banco de Dados em qualquer um dos espaços de trabalho. No entanto, quando você usa o nó Replicação do Banco de Dados no espaço de trabalho Monitoramento você também pode ver o status de replicação de banco de dados de um vínculo de replicação, e acessar a ferramenta Replication Link Analyzer para ajudar a investigar problemas com a replicação.

  Para obter mais informações sobre como configurar controles de replicação de banco de dados, consulte Configurar controles de replicação de banco de dados. Para obter mais informações sobre como monitorar a replicação, consulte Monitorar replicação de banco de dados do site.

  Planejando comunicações entre sites no Configuration Manager

  Cada site do Gerenciador de Configurações contém um servidor do site e pode ter um ou mais servidores do sistema de sites adicionais que hospedam as funções do sistema de sites. O Gerenciador de Configurações exige que cada servidor do sistema de sites seja um membro de um domínio do Active Directory. O Gerenciador de Configurações não dá suporte a uma alteração do nome do computador ou da associação de domínio enquanto o computador permanece um sistema de sites.

  Quando os sistemas de site ou componentes do Gerenciador de Configurações se comunicam pela rede com outros sistemas de site ou componentes do Gerenciador de Configurações no site, usam protocolo SMB, HTTP ou HTTPS. O método de comunicação depende de como você optar por configurar o site. Com exceção da comunicação entre o servidor do site e um ponto de distribuição, essas comunicações servidor para servidor em um site podem ocorrer a qualquer momento e não usar mecanismos para controlar a largura de banda da rede. Como não é possível controlar a comunicação entre sistemas de site, certifique-se de instalar servidores do sistema de site em locais com conexões de rede boas e rápidas.

  Você pode usar as seguintes opções para ajudá-lo a gerenciar a transferência de conteúdo do servidor do site para os pontos de distribuição:

  • Configurar o ponto de distribuição para agendamento e controle de largura de banda da rede. Esses controles lembram as configurações usadas por endereços entre sites, e muitas vezes você pode usar essa configuração em vez de instalar outro site do Gerenciador de Configurações quando a transferência de conteúdo para locais remotos da rede for sua consideração principal de largura de banda.

  • Você pode instalar um ponto de distribuição como um ponto de distribuição em pré-teste. Um ponto de distribuição em pré-teste permite que você use o conteúdo que é colocado manualmente no servidor de ponto de distribuição e remove a necessidade de transferir arquivos de conteúdo pela rede.

  Para obter mais informações sobre as considerações de largura de banda de rede, consulte Considerações sobre largura de banda de rede para pontos de distribuição em Planejando o gerenciamento de conteúdo no Configuration Manager.

  Planejando comunicação do cliente no Configuration Manager

  Os clientes e dispositivos gerenciados do Gerenciador de Configurações se comunicam com computadores que hospedam a infraestrutura do Gerenciador de Configurações, como funções do sistema de sites, infraestrutura de domínio como DNS ou Serviços de Domínio do Active Directory, além de serviços na Internet.

  Considere o seguinte ao planejar as comunicações do cliente:

  Cenários de comunicação	Mais informações
  Comunicações iniciadas por clientes	Os clientes iniciam comunicações com o seguinte: Pontos de gerenciamento: para enviar os dados de inventário, status e descoberta. O ponto de gerenciamento é o principal ponto de contato para um site do cliente. Vários serviços de domínio: para solicitar o serviço de serviços de domínio, como os Serviços de Domínio do Active Directory e DNS (para local de serviço). Acesso a conteúdo: para acessar o conteúdo dos pontos de distribuição em servidores, pares e serviços baseados em nuvem. Pontos de atualização de software: para baixar e instalar atualizações implantadas. Microsoft Update: para manter a proteção antimalware. Servidores adicionais do sistema de sites: Ponto de sites da Web do catálogo de aplicativos Módulo de Política do Configuration Manager (NDES) Ponto de status de fallback Ponto de migração de estado Validador da integridade do sistema
  Local do serviço	Local do serviço é o método pelo qual os clientes identificam um site atribuído e localizam dinamicamente os pontos de gerenciamento. Pontos de gerenciamento são o principal ponto de contato para clientes e são usados para: Saber mais sobre outros pontos de gerenciamento disponíveis Baixar a política do cliente Enviar dados do cliente para o site, como dados de status, inventário e descoberta.

  Use as informações nas seções a seguir para planejar comunicações por clientes baseados no Windows.

  Começando com o Gerenciador de Configurações SP1, é possível gerenciar clientes que executem Linux e UNIX. Clientes que executam Linux e UNIX funcionam como clientes em grupos de trabalho. Para obter informações sobre o suporte a computadores que estão em grupos de trabalho, consulte o Planejando comunicações entre florestas no Configuration Manager, neste tópico. Para obter informações adicionais sobre a comunicação para clientes que executam Linux e UNIX, consulte a seção Planejamento para comunicação entre florestas confia para servidores Linux e UNIX no tópico Planejamento de implantação de cliente para servidores Linux e UNIX.

  Comunicações iniciadas por clientes

  Os clientes iniciam a comunicação com funções do sistema de site, Active Directory Domain Services e serviços online. Para habilitar essas comunicações, os firewalls devem permitir o tráfego de rede entre clientes e o ponto final de suas comunicações. Os pontos de extremidade incluem:

  • Pontos de gerenciamento dos quais os clientes baixam a política do cliente.

  • Pontos de distribuição dos quais os clientes baixam conteúdo.

  • Pontos de atualização de software

  • As seguintes funções adicionais do sistema do site, cada uma para tarefas específicas dos recursos:

    • Ponto de sites da Web do catálogo de aplicativos

    • Módulo de Política do Configuration Manager (NDES)

    • Ponto de status de fallback

    • Ponto de migração de estado

    • Ponto do Validador da Integridade do Sistema

  • Vários serviços de domínio, como o Active Directory Domain Services e DNS (para local de serviço).

  • Microsoft Update, para manter a proteção antimalware.

  • Recursos baseados em nuvem, como o Microsoft Update ou o Microsoft Azure e Microsoft Intune quando você usa esses serviços baseados em nuvem com Gerenciador de Configurações.

  Para obter detalhes sobre portas e protocolos usados pelos clientes quando eles se comunicam com esses pontos de extremidade, consulte Referência técnica para as portas usadas no Configuration Manager.

  Antes que um cliente possa se comunicar com uma função de sistema de site, o cliente usa o local do serviço para localizar uma função de sistema de site que oferece suporte ao protocolo do cliente (HTTP ou HTTPS). Por padrão, os clientes usam o método mais seguro disponível para eles:

  • Para usar HTTPS, é necessário ter uma infraestrutura de chave pública (PKI) e instalar certificados PKI em clientes e servidores. Para obter informações sobre como usar certificados, consulte Requisitos de certificado PKI para o Configuration Manager.

  • Quando você implanta uma função de sistema de site que usa o Internet Information Services (IIS) oferece suporte à comunicação de clientes, você deve especificar se os clientes conectam ao sistema de site usando HTTP ou HTTPS. Se você usar HTTP, também deve considerar as opções de assinatura e criptografia. Para obter mais informações, consulte Planejando para assinatura e criptografia.

  As seguintes funções de sistema de site e serviços suportam a comunicações HTTPS de clientes:

  • Ponto de sites da Web do catálogo de aplicativos

  • Módulo de Política do Configuration Manager

  • Ponto de distribuição (HTTPS é exigido pelos pontos de distribuição baseados em nuvem)

  • Ponto de gerenciamento

  • Ponto de atualização de software

  • Ponto de migração de estado

  Além das informações acima, ao planejar para clientes em locais não confiáveis, consulte as Considerações para comunicações de cliente da Internet ou de floresta não confiável

  Local do serviço e como os clientes determinam seu ponto de gerenciamento atribuído

  Clientes determinam o ponto de gerenciamento padrão do site atribuído quando são instalados e atribuídos a um site pela primeira vez. Depois de um cliente localizar o ponto de gerenciamento padrão do seu site, ponto de gerenciamento torna-se o ponto de gerenciamento dos clientes atribuídos. Essa atribuição é determinada pelo cliente.

  • A partir da atualização cumulativa 3 para o System Center 2012 R2 Configuration Manager, é possível HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" usar a afinidade do ponto de gerenciamento para configurar um cliente para usar um ou mais pontos de gerenciamento específicos.

  • Introdução ao System Center 2012 Configuration Manager SP2, você pode usar pontos de gerenciamento preferenciais. Um ponto de gerenciamento preferencial é um ponto de gerenciamento associado a um grupo de limites como o servidor do sistema de sites, semelhante ao modo como os pontos de distribuição ou pontos de migração de estado são associados a um grupo de limites. Se você habilitar pontos de gerenciamento preferenciais para a hierarquia, quando um cliente usar um ponto de gerenciamento do seu site atribuído, ele tentará usar um ponto de gerenciamento preferencial antes de usar outros pontos de gerenciamento de seu site atribuído.

  Depois que um cliente tiver um ponto de gerenciamento atribuído, ele executa periodicamente uma solicitação de local de serviço para seu ponto de gerenciamento padrão do seu site, caso tenha sido alterado.

  Cada vez que um cliente precisa identificar um ponto de gerenciamento a ser usado, ele verifica uma lista de pontos de gerenciamento conhecidos (conhecida como o lista de MP) a qual é localmente armazenada no WMI. O cliente cria uma lista de MP inicial quando é instalado e atualiza periodicamente a lista com detalhes sobre cada ponto de gerenciamento na hierarquia.

  Quando o cliente não consegue localizar um ponto de gerenciamento válido na sua lista de MP, ele pesquisa as seguintes origens de local de serviço, em ordem, até encontrar um ponto de gerenciamento que pode ser usado:

  1. Ponto de gerenciamento

  2. Serviços de Domínio do Active Directory

  3. DNS

  4. WINS

  Depois que um cliente localiza e entra em contato com um ponto de gerenciamento com êxito, ele baixa a lista atual de pontos de gerenciamento que estão disponíveis na hierarquia e atualiza sua lista local. Isso se aplica igualmente a clientes que estão associados ao domínio e os que não estão.

  Por exemplo, quando um cliente do Gerenciador de Configurações que está na Internet se conecta a um ponto de gerenciamento baseado na Internet, o ponto de gerenciamento envia para esse cliente uma lista de pontos de gerenciamento disponíveis baseados na Internet no site. Da mesma forma, os clientes que ingressaram no domínio ou em grupos de trabalho também recebem a lista de pontos de gerenciamento que eles podem usar.

  • Um cliente que não está configurado para a Internet não receberia somente pontos de gerenciamento da Internet.

  • Clientes de grupo de trabalho configurados para a Internet comunicam-se apenas com pontos de gerenciamento da Internet.

  Veja a seguir algumas informações sobre cada local de origem de serviço:

  A lista de MP

  Uma lista de MP do cliente é a origem preferencial para o local de origem do serviço porque é uma lista priorizada de pontos de gerenciamento que o cliente já identificou. Essa lista é classificada por cada cliente com base em seu local de rede no momento em que o cliente atualizou a lista, armazenando-a localmente no cliente no WMI.

  Criando a lista inicial de MP

  Durante a instalação do cliente, as regras a seguir são usadas para criar os a lista MP inicial do cliente:

  • A lista inicial inclui pontos de gerenciamento especificados durante a instalação do cliente (quando você usa o SMSMP= ou as opções /MP).

  • O cliente consulta o Active Directory Domain Services (AD DS) em busca de pontos de gerenciamento publicados. Para ser identificado no AD DS, o ponto de gerenciamento deve ser do site atribuído do cliente e da mesma versão do produto do cliente.

  • Se nenhum ponto de gerenciamento foi especificado durante a instalação do cliente e o esquema do Active Directory não foi estendido, o cliente verifica DNS e WINS em busca de pontos de gerenciamento publicados.

  • Ao criar a lista inicial, as informações sobre alguns pontos de gerenciamento na hierarquia podem não ser conhecidas.

  Organizando a lista de pontos de gerenciamento

  Os clientes organizam sua lista de pontos de gerenciamento usando as seguintes classificações:

  • Proxy: um ponto de gerenciamento de proxy é um ponto de gerenciamento em um site secundário.

  • Local: qualquer ponto de gerenciamento que está associado ao local de rede atual do cliente conforme definido pelos limites do site.

    • Quando um cliente pertence a mais de um grupo de limites, a lista de pontos de gerenciamento local é determinada pela união de todos os limites que incluem o local de rede atual do cliente.

    • Normalmente, os pontos de gerenciamento Local são um subconjunto de pontos de gerenciamento Atribuído, a menos que o cliente esteja em um local de rede associado a outro site com os pontos de manutenção de seus grupos de limites.

  • Atribuído: qualquer ponto de gerenciamento que é um sistema de site para o site atribuído do cliente.

    Introdução ao System Center 2012 Configuration Manager SP2, você pode usar pontos de gerenciamento preferenciais. Os pontos de gerenciamento preferenciais são pontos de gerenciamento do site atribuído de um cliente associados a um grupo de limites que o cliente usa para encontrar servidores do sistema de sites.

    Os pontos de gerenciamento em um site que não estão associados a um grupo de limites, ou que não estão em um grupo de limites associado ao local de rede atual de um cliente, não são considerados preferenciais e serão usados quando o cliente não conseguir identificar um ponto de gerenciamento preferencial disponível.

  Selecionando um ponto de gerenciamento para usar

  Para comunicações típicas, um cliente tenta usar um ponto de gerenciamento por meio das classificações na seguinte ordem, com base no local de rede do cliente:

  1. Proxy

  2. Local

  3. Atribuído

  No entanto, o cliente sempre usa o ponto de gerenciamento atribuído para mensagens de registro e determinadas mensagens de política, mesmo quando outras comunicações são enviadas para um proxy ou um ponto de gerenciamento local.

  Dentro de cada classificação (proxy, local ou atribuído), os clientes tentarão usar um ponto de gerenciamento com base nas preferências, na seguinte ordem:

  1. Compatível com HTTPS em uma floresta confiável ou local (quando o cliente está configurado para comunicação HTTPS)

  2. Compatível com HTTPS fora de uma floresta confiável ou local (quando o cliente está configurado para comunicação HTTPS)

  3. Compatível com HTTP em uma floresta confiável ou local

  4. Compatível com HTTP fora de uma floresta confiável ou local

  Do conjunto de pontos de gerenciamento classificadas pelas preferências, os clientes tentam usar o primeiro ponto de gerenciamento na lista:

  • Essa lista classificada de pontos de gerenciamento é aleatória e não pode ser ordenada.

  • A ordem da lista pode mudar cada vez que o cliente atualizar sua lista de pontos de gerenciamento.

  Quando um cliente não puder estabelecer contato com o primeiro ponto de gerenciamento, ele tenta cada ponto de gerenciamento sucessivo em sua lista, tentando cada ponto de gerenciamento preferencial na classificação antes de tentar os pontos de gerenciamento não preferenciais. Se um cliente não puder se comunicar com êxito com nenhum ponto de gerenciamento na classificação, ele tentará contatar um ponto de gerenciamento preferido da próxima classificação, e assim por diante, até o cliente encontrar um ponto de gerenciamento para usar.

  Depois de estabelecer comunicação com um ponto de gerenciamento, os clientes continuam a usar o mesmo ponto de gerenciamento até:

  • Após 25 horas, o cliente seleciona aleatoriamente um novo ponto de gerenciamento para usar.

  • O cliente não é capaz de se comunicar com o ponto de gerenciamento após 5 tentativas por um período de 10 minutos, quando então o cliente seleciona um novo ponto de gerenciamento para usar.

  Active Directory

  Clientes que ingressaram no domínio podem usar os o Active Directory Domain Services (AD DS) para o local do serviço. Isso requer que sites publiquem dados para o Active Directory.

  Os clientes podem usar os o Active Directory Domain Services para o local do serviço quando todas as seguintes condições forem verdadeiras:

  • O esquema do Active Directory foi estendido para System Center 2012 Configuration Manager ou para Configuration Manager 2007.

  • A floresta do Active Directory é configurada para publicação e os sites do Configuration Manager estão configurados para publicação.

  • O computador cliente for um membro de um domínio do Active Directory e puder acessar um servidor de catálogo global.

  Se um cliente não conseguir localizar um ponto de gerenciamento para usar a localização de serviço do AD DS, em seguida, ele tentará usar DNS. Clientes que ingressaram no domínio podem usar o AD DS para o local do serviço. Isso requer que sites publiquem dados para o Active Directory.

  DNS

  Clientes na intranet podem usar o DNS para o local do serviço. Isso exige que pelo menos um site em uma hierarquia publique informações sobre pontos de gerenciamento no DNS.

  Considere usar o DNS para o local do serviço quando qualquer uma das seguintes condições forem verdadeiras:

  • O esquema dos Serviços de Domínio do Active Directory não for estendido para suportar o Gerenciador de Configurações.

  • Os clientes da intranet estiverem localizados em uma floresta que não esteja habilitada para publicar no Gerenciador de Configurações.

  • Você possui clientes em computadores do grupo de trabalho, os quais não estão configurados para gerenciamento de cliente somente pela Internet. (Um cliente de grupo de trabalho configurado para a Internet somente se comunicará com pontos de gerenciamento da Internet e não usará o DNS para o local do serviço.)

  • Você pode configurar clientes para localizar pontos de gerenciamento do DNS.

  Quando um site publica registros de localização de serviço para pontos de gerenciamento no DNS:

  • A publicação é aplicável somente a pontos de gerenciamento que aceitam conexões de clientes da intranet.

  • A publicação adiciona um registro de recurso de local de serviço (SRV RR) na zona DNS do computador do ponto de gerenciamento. Deve haver uma entrada correspondente do host no DNS para o computador.

  Por padrão, clientes ingressados no domínio pesquisam DNS em busca de registros de ponto de gerenciamento de domínio local do cliente. Você pode configurar uma propriedade de cliente que especifica um sufixo de domínio para um domínio que tem informações de ponto de gerenciamento publicadas no DNS.

  Para obter mais informações sobre como configurar a propriedade de sufixo DNS do cliente, consulte Como configurar computadores cliente para localizar pontos de gerenciamento por meio de publicação do DNS no Configuration Manager.

  Se um cliente não conseguir localizar um ponto de gerenciamento para usar a localização de serviço do DNS, em seguida, ele tentará usar WINS.

  Publicar pontos de gerenciamento no DNS

  Para publicar pontos de gerenciamento no DNS, as seguintes condições devem ser verdadeiras:

  • Seus servidores DNS suportarem registros de recursos de localização de serviço, usando no mínimo uma versão 8.1.2 do BIND.

  • Os FQDNs da intranet para os pontos de gerenciamento no Gerenciador de Configurações tiverem entradas de host (por exemplo, registros A) no DNS.

  Importante
  A publicação de DNS do Gerenciador de Configurações não suportarem um namespace separado. Se você tiver um namespace separado, você poderá publicar manualmente pontos de gerenciamento no DNS ou usar um dos outros métodos alternativos de localização de serviço documentados nesta seção.

  Quando os seus servidores DNS suportarem atualizações automáticas, você poderá configurar o Gerenciador de Configurações para publicar automaticamente pontos de gerenciamento da intranet no DNS ou você poderá publicar manualmente esses registros no DNS. Quando pontos de gerenciamento são publicados no DNS, seus números de portas e FQDNs da intranet são publicados no registro de localização de serviço (SRV). Você pode configurar a publicação de DNS em um site nos sites de propriedades do componente do ponto de gerenciamento. Para obter mais informações, consulte Configurando componentes do site no Configuration Manager.

  Quando seus servidores DNS não suportarem atualizações automáticas, mas suportarem registros de localização de serviços, você poderá publicar manualmente pontos de gerenciamento no DNS. Para fazer isso, é necessário especificar manualmente o registro de recurso de localização de serviço (SRV RR) no DNS.

  O Gerenciador de Configurações suporta RFC 2782 para registros de localização de serviços que têm o seguinte formato:

  _Service._Proto.Name TTL Class SRV Priority Weight Port Target

  Para publicar um ponto de gerenciamento no Gerenciador de Configurações, especifique os seguintes valores:

  • _Serviço: insira _mssms_mp*_<código_do_site>*, em que <código_do_site> é o código do site do ponto de gerenciamento.

  • ._Proto: especifique ._tcp.

  • .Nome: insira o sufixo DNS do ponto de gerenciamento, por exemplo, contoso.com.

  • TTL: insira 14400, que é quatro horas.

  • Classe: especifique IN (de acordo com a RFC 1035).

  • Prioridade: esse campo não é usado pelo Gerenciador de Configurações.

  • Peso esse campo não é usado pelo Gerenciador de Configurações.

  • Porta: insira o número da porta que o ponto de gerenciamento usa, por exemplo 80 para HTTP e 443 para HTTPS.

    Observação
    A porta do registro SRV deve corresponder à porta de comunicação usada pelo ponto de gerenciamento. Por padrão, ela é 80 para comunicação HTTP e 443 para comunicações HTTPS.

  • Destino: insira o FQDN da intranet especificado para o sistema de site que é configurado com a função do site do ponto de gerenciamento.

  Se você estiver usando o DNS do Windows Server, você poderá usar o procedimento a seguir para inserir esse registro DNS nos pontos de gerenciamento da intranet. Se você estiver usando uma implementação diferente para DNS, use as informações desta seção sobre os valores dos campos e consulte a documentação de DNS para adaptar esse procedimento.

  Para configurar a publicação automática:

  1. No console do Gerenciador de Configurações, expanda Administração > Configuração do Site > Sites.

  2. Selecione seu site e clique em Configurar Componentes do Site.

  3. Selecione Ponto de Gerenciamento.

  4. Selecione os pontos de gerenciamento que você deseja publicar. (Esta seleção se aplica à publicação no AD DS e DNS).

  5. Marque a caixa de seleção para publicar no DNS:

     - Essa caixa de diálogo permite selecionar quais pontos de gerenciamento publicar e publicá-los no DNS.
     
     - Essa caixa de diálogo não configura a publicação para o AD DS.
     

  Para publicar manualmente os pontos de gerenciamento no DNS do Windows Server

  1. No console do Gerenciador de Configurações, especifique os FQDNs dos sistemas de site da intranet.

  2. No console de gerenciamento do DNS, selecione a zona DNS para o computador do ponto de gerenciamento.

  3. Verifique se há um registro de host (A ou AAAA) para o FQDN do sistema de site da intranet. Se esse registro não existir, crie-o.

  4. Usando a opção Outros Novos Registros, clique em Local do Serviço (SRV) na caixa de diálogo Tipo de Registro de Recurso, clique em Criar Registro, digite as seguintes informações e clique em Concluído:

     - **Domínio**: se necessário, digite o sufixo DNS do ponto de gerenciamento, por exemplo **contoso.com**.
     
     - **Serviço**: digite **mssms\_mp***\_\<código\_do\_site\>*, em que *\<código\_do\_site\>* é o código do site do ponto de gerenciamento.
     
     - **Protocolo**: digite **TCP**.
     
     - **Prioridade**: esse campo não é usado pelo Gerenciador de Configurações.
     
     - **Peso** esse campo não é usado pelo Gerenciador de Configurações.
     
     - **Porta**: insira o número da porta que o ponto de gerenciamento usa, por exemplo **80** para HTTP e **443** para HTTPS.
     
       <div class="alert">
     
       <table>
       <colgroup>
       <col style="width: 100%" />
       </colgroup>
       <thead>
       <tr class="header">
       <th><img src="images/JJ851033.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Observação</th>
       </tr>
       </thead>
       <tbody>
       <tr class="odd">
       <td><p>A porta do registro SRV deve corresponder à porta de comunicação usada pelo ponto de gerenciamento. Por padrão, ela é <strong>80</strong> para comunicação HTTP e <strong>443</strong> para comunicações HTTPS.</p></td>
       </tr>
       </tbody>
       </table>
     
       </div>
     
     - **Host que oferece este serviço**: insira o nome de domínio totalmente qualificado da intranet especificado para o sistema de site que é configurado com a função do site do ponto de gerenciamento.
     

  Repita essas etapas para cada ponto de gerenciamento da intranet que você desejar publicar no DNS.

  WINS

  Quando outros mecanismos de localização de serviço falharem, os clientes poderão encontrar um ponto de gerenciamento inicial verificando o WINS.

  Por padrão, um site primário publica para o WINS, o primeiro ponto de gerenciamento no site que está configurado para HTTP e o primeiro ponto de gerenciamento configurado para HTTPS.

  Se você não quiser que os clientes encontrem um ponto de gerenciamento HTTP em WINS, configure-os com a propriedade CCMSetup.exe Client.msi SMSDIRECTORYLOOKUP=NOWINS.

  Planejando como ativar clientes

  O Gerenciador de Configurações dá suporte a duas tecnologias LAN (rede local) que ativam os computadores no modo de suspensão quando você deseja instalar o software necessário, como atualizações de software e aplicativos: pacotes de ativação tradicionais e comandos de ativação AMT.

  Começando com o Gerenciador de Configurações SP1, é possível completar o método tradicional do pacote de ativação usando as configurações cliente de proxy de ativação. Proxy de ativação usa um protocolo ponto a ponto e computadores selecionados para verificar se outros computadores na sub-rede estão ativos e ativá-los, se necessário. Quando o site está configurado para Wake on LAN e os clientes são configurados para proxy de ativação, o processo funciona da seguinte forma:

  1. Computadores que têm o cliente do Gerenciador de Configurações SP1 instalado e que não estão em suspensão na sub-rede verificam se outros computadores na sub-rede estão ativos. Eles fazem isso enviando uns aos outros um comando ping do TCP/IP a cada 5 segundos.

  2. Se não houver resposta de outros computadores, supõe-se que estarão em modo de suspensão. Os computadores ativos tornam-se computadores gerenciadores da sub-rede.

     É possível que um computador não responda por outro motivo que não seja a suspensão (por exemplo, está desligado, removido da rede, ou a configuração de proxy de ativação do cliente não é mais aplicada), por isso recebem um pacote de ativação todos os dias às 14h, horário local. Computadores que não respondem não serão mais considerados como em suspensão e não serão despertados pelo proxy de ativação.

     Para oferecer suporte ao proxy de ativação, pelo menos três computadores devem estar ativos em cada sub-rede. Para conseguir isso, três computadores, de forma não determinista, são escolhidos para serem computadores guardiões da sub-rede. Isso significa que permanecem ativos, apesar de qualquer política de ativação configurada para suspensão ou hibernação após um período de inatividade. Computadores guardiões respeitam comandos de desligamento ou reinicialização, por exemplo, como resultado de tarefas de manutenção. Se isso acontecer, os computadores guardiões restantes ativarão outro computador na sub-rede, de modo que a sub-rede continuará a ter três computadores guardiões.

  3. Computadores gerenciadores solicitam comutador de rede para redirecionar tráfego de rede dos computadores em suspensão para si mesmos.

     O redirecionamento é alcançado pela transmissão, por parte do computador gerenciador, de uma estrutura de Ethernet que usa o endereço MAC do computador em suspensão como endereço de origem. Isso faz com que o comutador de rede se comporte como se o computador em suspensão tivesse se movido para a mesma porta do computador gerenciador. O computador gerenciador também envia pacotes ARP para os computadores em suspensão, para manter a entrada como nova no cache ARP. O computador gerenciador também responderá a solicitações de ARP em nome do computador em suspensão e responderá com o endereço MAC do computador em suspensão.

     Aviso

     Durante esse processo, o mapeamento IP-MAC para o computador em suspensão permanece o mesmo. O proxy de ativação funciona informando ao comutador de rede que um adaptador de rede diferente está usando a porta registrada por outro adaptador de rede. No entanto, esse comportamento é conhecido como flap de MAC e é incomum em operação de rede padrão. Algumas ferramentas de monitoramento de rede procuram esse comportamento e podem supor que algo está errado. Consequentemente, essas ferramentas de monitoramento podem gerar alertas ou fechar portas quando você usa o proxy de ativação. Não use proxy de ativação se sua rede de serviços e ferramentas de monitoramento não permitirem flaps de MAC.

  4. Quando um computador gerenciador vê uma nova solicitação de conexão TCP para um computador suspenso e a solicitação é para uma porta que esse computador usava como escuta antes de entrar em suspensão, o computador gerenciador envia um pacote de ativação para o computador suspenso e depois interrompe o redirecionamento de tráfego para esse computador.

  5. O computador em suspensão recebe o pacote e é ativado. O computador de envio automaticamente tenta novamente a conexão e desta vez, o computador está ativo e pode responder.

  Proxy de ativação tem os seguintes pré-requisitos e limitações:

  Importante

  Se você dispõe de uma equipe separada responsável pela infraestrutura e pelos serviços de rede, notifique e inclua essa equipe durante o período de avaliação e teste. Por exemplo, em uma rede que usa o controle de acesso de rede 802.1X, o proxy de ativação não funciona e pode interromper o serviço de rede. Além disso, o proxy de ativação pode fazer com que algumas ferramentas de monitoramento de rede gerem alertas quando detectam o tráfego para ativar outros computadores.

  • Os clientes com suporte são Windows 7, 8 do Windows, Windows Server 2008 R2, Windows Server 2012.

  • Não há suporte para sistemas operacionais convidados executados em uma máquina virtual.

  • Os clientes devem executar o Gerenciador de Configurações SP1 e serem habilitados para proxy de ativação usando as configurações do cliente. Embora a operação de proxy de ativação não dependa de inventário de hardware, os clientes não informam a instalação do proxy de ativação a menos que estejam habilitados para inventário de hardware e tenham enviado pelo menos um inventário de hardware.

  • Adaptadores de rede (e possivelmente o BIOS) devem ser habilitados e configurados para pacotes de ativação. Se o adaptador de rede não estiver configurado para pacotes de ativação ou se essa configuração estiver desabilitada, o Gerenciador de Configurações irá configurá-la e habilitá-la automaticamente em um computador ao receber a configuração do cliente para habilitar o proxy de ativação.

  • Se um computador tiver mais de um adaptador de rede, não será possível configurar qual adaptador usar para o proxy de ativação; a escolha é não determinista. No entanto, o adaptador escolhido é registrado no arquivo SleepAgent_<DOMÍNIO>@SYSTEM_0.log file.

  • A rede deve permitir solicitações de eco ICMP (pelo menos dentro da sub-rede). Não é possível configurar o intervalo de 5 segundos usado para enviar os comandos de ping ICMP.

  • A comunicação é descriptografada e não autenticada e não há suporte para IPsec.

  • Não há suporte para as seguintes configurações de rede:

    • 802.1 X com autenticação de porta

    • Redes sem fio

    • Comutadores de rede que conectam endereços MAC a portas específicas

    • Redes somente IPv6

    • Durações de concessão de DHCP inferior a 24 horas

  Como prática recomendada de segurança, use ativação AMT em comandos em vez de pacotes de ativação, quando possível. Como a ativação AMT em comandos usa certificados PKI para ajudar a proteger a comunicação, essa tecnologia é mais segura do que o envio de pacotes de ativação. No entanto, para usar ativação AMT em comandos, os computadores devem ser baseados em Intel AMT e provisionados para AMT. Para mais informações sobre como o Gerenciador de Configurações pode gerenciar computadores baseados em AMT, consulte Introdução ao gerenciamento fora de banda no Configuration Manager.

  Para ativar computadores para instalação de software agendada, você deve configurar cada site primário para uma das três opções:

  • Usar ativação AMT em comandos se o computador oferecer suporte a essa tecnologia; caso contrário, usar pacotes de ativação

  • Usar ativação AMT somente em comandos.

  • Usar somente pacotes de ativação.

  Para usar proxy de ativação com o Gerenciador de Configurações SP1,você deve implantar as configurações de cliente do proxy de ativação do Gerenciamento de Energia, além de selecionar a opção Usar somente pacotes de ativação.

  Use a tabela a seguir para obter mais informações sobre as diferenças entre as duas tecnologias WOL (Wake-on-LAN), pacotes de ativação tradicionais e comandos de ativação.

  Tecnologia	Vantagem	Desvantagem
  Pacotes de ativação tradicionais	Não requerem funções de sistema de site adicionais no site. Têm o suporte de vários adaptadores de rede. Pacotes de ativação UDP são rápidos para enviar e processar. Não exigem uma infraestrutura de PKI. Não requerem alterações nos Serviços de Domínio Active Directory. Têm suporte em computadores de grupo de trabalho, computadores de outra floresta do Active Directory e computadores na mesma floresta do Active Directory, mas usando um namespace não contíguo.	Uma solução menos segura do que a ativação AMT em comandos porque não usa autenticação nem criptografia. Se transmissões direcionadas a sub-rede forem usadas para os pacotes de ativação, correrão o risco de ataques smurf. Pode ser necessário configurar manualmente cada computador com configurações de BIOS e adaptador. Nenhuma confirmação de que os computadores foram ativados. Transmissões de ativação como vários pacotes UDP (Protocolo de Datagrama de Usuário) podem, desnecessariamente, saturar a largura de banda de rede disponível. A menos que você use a ativação proxy com o Gerenciador de Configurações SP1, não é possível ativar computadores interativamente. Não é possível retornar computadores ao estado de suspensão. Recursos de gerenciamento são restritos apenas a ativar computadores.
  Ativação AMT em comandos	Uma solução mais segura do que os tradicionais pacotes de ativação, porque fornece autenticação e criptografia usando protocolos de segurança padrão do setor. Também pode se integrar a uma implantação de PKI existente, e os controles de segurança podem ser gerenciados de forma independente do produto. Oferece suporte a instalação e configuração centralizada (provisionamento AMT). Sessão de transporte estabelecida para uma conexão mais confiável e verificável. Os computadores podem ser ativados (e reiniciados) interativamente. Os computadores podem ser desligados interativamente. Recursos de gerenciamento adicionais, que incluem o seguinte: Reinicialização de um computador inoperante e inicialização por meio de um dispositivo conectado localmente ou arquivo de imagem de inicialização válido conhecido. Nova geração de imagens de um computador com inicialização por meio de um arquivo de imagem localizado na rede ou usando um servidor PXE. Reconfiguração das definições de BIOS em um computador selecionado e ignorar a senha do BIOS se houver suporte do fabricante do BIOS. Inicialização de um sistema operacional baseado em comandos para executar comandos, reparar ferramentas ou aplicativos de diagnóstico (por exemplo, a atualização do firmware ou execução de uma ferramenta de reparo de disco).	Requer que o site tenha um pontos de serviço fora da banda e um ponto de registro. Com suporte apenas em computadores que tenham o chip set Intel vPro e uma versão com suporte do firmware Intel AMT (Active Management Technology). Para mais informações sobre as versões de AMT com suporte, consulte Configurações com suporte para o Configuration Manager. A sessão de transporte requer mais tempo para estabelecer, maior processamento no servidor e aumento dos dados transferidos. Requer uma implantação de PKI e certificados específicos. Requer um contêiner do Active Directory criado e configurado para computadores baseados em AMT de publicação. Não oferece suporte a computadores de grupo de trabalho, computadores de outra floresta do Active Directory e computadores da mesma floresta do Active Directory que usem um namespace não contíguo. Requer alterações no DNS e DHCP para dar suporte ao provisionamento AMT.

  Escolha como ativar computadores com base em se você pode dar suporte a ativação AMT em comandos e se os computadores atribuídos ao site oferecem suporte a tecnologia Wake-on-LAN. Além disso, considere as vantagens e desvantagens de ambas as tecnologias que estão listadas na tabela anterior. Por exemplo, pacotes de ativação são menos confiáveis ​​e não estão garantidos, mas a ativação em comandos leva mais tempo para estabelecer e requer mais processamento no servidor do sistema de site que está configurado com o ponto de serviço de fora da banda.

  Importante

  Devido à sobrecarga adicional envolvida na criação, manutenção e encerramento de uma sessão de gerenciamento fora da banda para computadores baseados em AMT, realize seus próprios testes para que você possa avaliar com precisão quanto tempo demora para ativar vários computadores usando a ativação AMT em comandos em seu ambiente (por exemplo, através de links lentos de WAN para computadores em sites secundários). Esse conhecimento ajuda a determinar se a ativação de vários computadores para as atividades agendadas usando a ativação AMT em comandos é prática, quando você tem muitos computadores para ativar em pouco tempo.

  Se você decidir usar pacotes de ativação tradicionais, também deve decidir se pretende usar pacotes de transmissão para sub-rede, ou pacotes unicast, e que número de porta UDP usar. Por padrão, pacotes de ativação profissionais são transmitidos usando a porta UDP 9, mas para ajudar a aumentar a segurança, você pode selecionar uma porta alternativa para o site se essa porta alternativa tiver suporte para roteadores e firewalls intermediários.

  Para pacotes de ativação tradicionais: escolha entre as difusões unicast e de sub-rede para Wake on LAN

  Se você escolher ativar computadores enviando pacotes de ativação tradicionais, deve decidir se quer transmitir pacotes unicast ou pacotes de transmissão direcionados à sub-rede. Se você utilizar proxy de ativação com o Gerenciador de Configurações SP1, deve usar pacotes unicast. Caso contrário, use a tabela a seguir para ajudá-lo a determinar qual método de transmissão escolher.

  Método de transmissão	Vantagem	Desvantagem
  Unicast	Solução mais segura do que transmissões direcionadas a sub-rede porque o pacote é enviado diretamente a um computador, em vez de a todos os computadores de uma sub-rede. Pode não ser necessário reconfigurar os roteadores (talvez seja necessário configurar o cache do ARP). Consome menos largura de banda de rede de transmissões de difusão direcionadas à sub-rede. Compatível com IPv4 e IPv6.	Pacotes de ativação não encontram computadores de destino que alteraram seu endereço de sub-rede após o último agendamento de inventário de hardware. Talvez seja necessário configurar os comutadores para encaminhar pacotes UDP. Alguns adaptadores de rede podem não responder a pacotes de ativação em todos os estados de suspensão quando usam unicast como o método de transmissão.
  Transmissão direcionada à sub-rede	Taxa de sucesso superior do que unicast se houver computadores que mudam frequentemente de endereço IP na mesma sub-rede. Nenhuma reconfiguração de comutador é necessária. Alta taxa de compatibilidade com adaptadores de computador para todos os estados de suspensão, porque as transmissões direcionadas à sub-rede eram o método de transmissão original para o envio de pacotes de ativação.	Solução menos segura do que usar unicast porque um invasor pode enviar fluxos contínuos de solicitações de eco ICMP por meio de um endereço de origem falso para o endereço de transmissão direcionado. Isso faz com que todos os hosts respondam a esse endereço de origem. Quando os roteadores são configurados para permitir transmissões direcionadas à sub-rede, a configuração adicional é recomendada por razões de segurança: Configure roteadores para permitir somente transmissões direcionadas a IP do servidor do site do Gerenciador de Configurações usando um número de porta UDP especificado. Configure o Gerenciador de Configurações para usar o número de porta não padrão especificado. Pode ser necessário reconfigurar todos os roteadores intermediários para habilitar transmissões direcionadas a sub-redes. Consome mais largura de banda de rede que as transmissões em unicast. Compatível somente com IPv4. Não há suporte para IPv6.

  Aviso

  Há riscos de segurança associados a transmissões direcionadas a sub-redes: um invasor pode enviar fluxos contínuos de solicitações de eco de protocolo ICMP de um endereço de origem falsificado para o endereço de difusão direcionado, o que faz com que todos os hosts respondam àquele endereço de origem. Esse tipo de ataque de negação de serviço é comumente chamado de ataque smurf e é geralmente mitigado não permitindo transmissões direcionadas a sub-redes.

  Planejando comunicações entre florestas no Configuration Manager

  O System Center 2012 Configuration Manager oferece suporte a sites e hierarquias que abrangem florestas do Active Directory.

  O Gerenciador de Configurações também oferece suporte a computadores de domínio que não estão na mesma floresta do Active Directory que o servidor do site, e a computadores de grupos de trabalho:

  • Para dar suporte a computadores de domínio em uma floresta que não têm uma relação de confiança com a floresta do servidor do site, você pode instalar as funções do sistema de site nessa floresta não confiável, com a opção de publicar informações do site na floresta do Active Directory do cliente. Ou, você pode gerenciar esses computadores como se fossem computadores de grupo de trabalho. Quando você instala servidores do sistema de site na floresta do cliente, a comunicação entre cliente e o servidor é mantida dentro da floresta do cliente e o Gerenciador de Configurações pode autenticar o computador usando o Kerberos. Quando você publica informações do site na floresta do cliente, os clientes se beneficiam recuperando as informações do site, como uma lista de pontos de gerenciamento disponíveis da floresta do Active Directory, em vez de baixar essas informações de seu ponto de gerenciamento atribuído.

    Observação
    Para gerenciar dispositivos na Internet, você pode instalar funções do sistema de áreas baseado na Internet em sua rede de perímetro, quando os servidores do sistema de site estiverem em uma floresta do Active Directory. Esse cenário não requer uma relação de confiança bidirecional entre a rede de perímetro e a floresta do servidor do site.

  • Para oferecer suporte a computadores em um grupo de trabalho, se eles usarem conexões de cliente HTTP com funções do sistema de site você deve aprová-los manualmente porque o Gerenciador de Configurações não pode autenticar esses computadores usando o Kerberos. Além disso, é necessário configurar a Conta de Acesso à Rede para que esses computadores possam recuperar conteúdo de pontos de distribuição. Como esses clientes não podem recuperar informações de site dos Serviços de Domínio Active Directory, você deve fornecer um mecanismo alternativo para eles encontrem pontos de gerenciamento. Você pode usar a publicação DNS ou WINS ou atribuir diretamente um ponto de gerenciamento.

    Para saber mais sobre a aprovação de clientes, consulte Definir configurações para aprovação do cliente e registros de cliente em conflito em Definindo as configurações de gerenciamento de cliente no Configuration Manager.

    Para obter mais informações sobre como configurar a conta de acesso de rede, consulte a seção Configurar a conta de acesso à rede no tópico Configurando o gerenciamento de conteúdo no Configuration Manager.

    Para obter mais informações sobre como instalar clientes em computadores do grupo de trabalho, consulte a seção Como instalar clientes do Configuration Manager em computadores do grupo de trabalho no tópico Como instalar clientes em computadores com base em Windows no Configuration Manager.

  O Gerenciador de Configurações oferece suporte ao conector do Exchange Server em uma floresta diferente do servidor do site. Para dar suporte a esse cenário, verifique se a resolução de nomes funciona nas florestas (por exemplo, configure encaminhamentos de DNS) e especifique o FQDN da intranet do Exchange Server ao configurar o conector do Exchange Server. Para obter mais informações, consulte Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange.

  Quando o design do Gerenciador de Configurações abrange vários domínios e florestas do Active Directory, use as informações adicionais na tabela a seguir para ajudar a planejar os seguintes tipos de comunicação.

  Cenário	Detalhes	Mais informações
  Comunicação entre sites em uma hierarquia que abrange florestas: Requer uma relação de confiança bidirecional, que oferece suporte a autenticação Kerberos exigida pelo Gerenciador de Configurações.	O Gerenciador de Configurações oferece suporte à instalação de um site filho em uma floresta remota que tem a relação de confiança bidirecional necessária com a floresta do site pai. Por exemplo: você pode colocar um site secundário em uma floresta diferente do seu site pai primário, contanto que a relação de confiança necessária exista. Se você não tiver uma relação de confiança bidirecional que ofereça suporte à autenticação Kerberos, o Gerenciador de Configurações não dará suporte ao site filho da floresta remota. Observação Um site filho pode ser um site primário (onde o site de administração central é o site pai), ou um site secundário. Comunicação entre sites no Gerenciador de Configurações usa replicação de banco de dados e transferências baseadas em arquivo. Quando você instala um site, deve especificar uma conta para instalar o site no servidor designado. Essa conta também estabelece e mantém a comunicação entre os sites. Depois que o site é instalado com êxito e inicia transferências baseadas em arquivos e replicação de banco de dados, não é necessário configurar mais nada para a comunicação com o site. Para obter mais informações sobre como instalar um site, consulte a seção Instalar um servidor do site no tópico Instalar sites e criar uma hierarquia para o Configuration Manager.	Quando existe uma relação de confiança bidirecional na floresta, o Gerenciador de Configurações não necessita de nenhuma medida adicional de configuração. Por padrão, quando você instala um novo site como filho de outro site, o Gerenciador de Configurações configura o seguinte: Um endereço de replicação baseada em arquivo entre sites em cada site que usa a conta de computador do servidor do site. O Gerenciador de Configurações adiciona a conta de computador de cada computador ao grupo SMS_SiteToSiteConnection_ Planejando o gerenciamento de clientes baseado na Internet O gerenciamento de clientes baseado na Internet permite que você gerencie clientes do Gerenciador de Configurações quando eles não estão conectados à rede da empresa, mas têm uma conexão de internet padrão. Este arranjo tem várias vantagens, que incluem os custos reduzidos de não ter de executar VPNs (Redes Virtuais Privadas) e ser capaz de implantar atualizações de software de uma maneira oportuna. Por causa dos mais altos requisitos de segurança de gerenciar computadores cliente em uma rede pública, o gerenciamento de clientes baseado na Internet requer que os clientes e servidores do sistema de site se conectem para usar certificados PKI. Isso garante que as conexões sejam autenticadas por uma autoridade independente, e que os dados de e para esses sistemas de site sejam criptografados usando protocolo SSL. Use as seções a seguir para ajudá-lo a planejar o gerenciamento de clientes baseado na Internet. Recursos sem suporte na Internet Nem todas as funcionalidades do gerenciamento de cliente são adequadas para a Internet, portanto, não têm suporte quando os clientes são gerenciados na Internet. Os recursos sem suporte para gerenciamento na Internet normalmente contam com os Serviços de Domínio Active Directory ou não são apropriados para uma rede pública, como a descoberta de rede e o WOL (Wake-on-LAN). Os seguintes recursos não têm suporte quando os clientes são gerenciados na Internet: Implantação de cliente na Internet, como a implantação por push e implantação de cliente com base em atualizações de software. Em vez disso, use a instalação manual do cliente. Atribuição automática de site. NAP (Proteção de Acesso à Rede). Wake on LAN. Implantação de sistema operacional. No entanto, você pode implantar sequências de tarefas que não implantam um sistema operacional, por exemplo, sequências de tarefas que executam scripts e tarefas de manutenção em clientes. Controle remoto. Gerenciamento fora da banda. Implantação de software para usuários a menos que o ponto de gerenciamento baseado na Internet possa autenticar o usuário nos Serviços de Domínio Active Directory usando a autenticação do Windows (Kerberos ou NTLM). Isso é possível quando o ponto de gerenciamento baseado na Internet tem uma relação de confiança na floresta onde reside a conta do usuário. Além disso, o gerenciamento de clientes baseado na Internet não oferece suporte a roaming. O roaming permite que os clientes sempre localizem os pontos de distribuição mais próximos para baixar conteúdo. Clientes que são gerenciados na Internet comunicam-se com sistemas de site por meio de seu site atribuído quando esses sistemas são configurados para usar um FQDN de Internet e as funções do sistema de site permitem conexões do cliente por meio da Internet. Clientes, de forma não determinista, selecionam um dos sistemas de áreas baseados na Internet, independentemente da largura de banda ou local físico. Observação Novo no System Center 2012 Configuration Manager, quando você tem um ponto de atualização de software configurado para aceitar conexões da Internet, clientes do Gerenciador de Configurações baseados na Internet sempre são verificados em relação a esse ponto de atualização de software, para determinar as atualizações necessárias. No entanto, quando esses clientes estão na Internet, primeiro tentam baixar as atualizações de software do Microsoft Update, em vez de fazer isso de um ponto de distribuição baseado na Internet. Somente se isso falhar, eles tentarão baixar as atualizações de software necessárias de um ponto de distribuição baseado na Internet. Clientes que não estão configurados para gerenciamento de clientes baseado na Internet nunca tentam baixar atualizações de software do Microsoft Update, mas sempre usam os pontos de distribuição do Gerenciador de Configurações. Considerações sobre a comunicação do cliente da Internet ou de uma floresta não confiável As seguintes funções de sistema de site instaladas em sites primários oferecem suporte a conexões de clientes que estão em locais não confiáveis, como a Internet ou uma floresta não confiável (sites secundários não oferecem suporte a conexões de clientes em locais não confiáveis): Ponto de sites da Web do catálogo de aplicativos Módulo de Política do Configuration Manager Ponto de distribuição (HTTPS é exigido pelos pontos de distribuição baseados em nuvem) Ponto proxy do registro Ponto de status de fallback Ponto de gerenciamento Ponto de atualização de software Sobre sistemas de site voltados para Internet:  embora não haja nenhum requisito para ter uma relação de confiança entre a floresta de um cliente e a do servidor do sistema de sites, quando a floresta que contém um sistema de sites da Internet confia na floresta que contém as contas de usuário, essa configuração dá suporte a políticas baseadas no usuário para dispositivos na Internet ao habilitar a configuração do cliente de Habilitar solicitações da política de usuário de clientes da Internet da Política do Cliente. Por exemplo, as configurações seguintes ilustram quando o gerenciamento de cliente baseado na Internet oferece suporte a políticas de usuário para dispositivos na Internet: O ponto de gerenciamento baseado na Internet é na rede de perímetro onde um controlador de domínio somente leitura reside, para autenticar o usuário e um firewall intermediário permite pacotes do Active Directory. A conta do usuário está na Floresta A (a intranet) e o ponto de gerenciamento baseado na Internet está na Floresta B (a rede de perímetro). A floresta B confia na Floresta A e um firewall intermediário permite pacotes de autenticação. A conta de usuário e o ponto de gerenciamento baseados na Internet estão na Floresta A (intranet). O ponto de gerenciamento é publicado na Internet usando um servidor de proxy da web (como o Forefront Threat Management Gateway). Observação Se a autenticação Kerberos falhar, a autenticação NTLM será tentada automaticamente. Como mostra o exemplo anterior, você pode colocar os sistemas de áreas baseados na Internet na intranet quando são publicados na Internet por meio de um servidor proxy da Web, como o ISA Server e Forefront Threat Management Gateway. Esses sistemas de site podem ser configurados para conexão do cliente por meio da Internet apenas, ou conexões de clientes da Internet e intranet. Quando você usa um servidor proxy da Web, pode configurá-lo como uma ponte de protocolo SSL com SSL (mais seguro) ou túnel SSL: Ponte SSL para SSL: a configuração recomendada ao usar servidores proxy da Web para o gerenciamento de clientes baseado na Internet é a ponte SSL para SSL, que usa a terminação SSL com autenticação. Computadores cliente devem ser autenticados usando a autenticação do computador e os clientes herdados de dispositivos móveis são autenticados usando a autenticação do usuário. Dispositivos móveis registrados por Gerenciador de Configurações não oferecem suporte a ponte SSL. O benefício da terminação de SSL no servidor proxy da Web é que os pacotes da Internet estão sujeitos a inspeção antes de serem encaminhados à rede interna. O servidor proxy da Web autentica a conexão do cliente, termina a conexão e depois abre uma nova conexão autenticada com os sistemas de área baseados na Internet. Quando os clientes Gerenciador de Configurações usam um servidor proxy da Web, a identidade do cliente (GUID do cliente) fica protegida na carga do pacote para que o ponto de gerenciamento não considere o servidor proxy da Web como o cliente. Não há suporte para ponte no Gerenciador de Configurações com HTTP para HTTPS, ou de HTTPS para HTTP. Túnel: se o seu servidor Web proxy não conseguir dar suporte aos requisitos da ponte SSL, ou se desejar configurar o suporte da Internet para dispositivos móveis registrados pelo Gerenciador de Configurações, também há suporte para o túnel SSL. É uma opção menos segura, pois os pacotes de SSL da Internet são encaminhados para os sistemas de site sem terminação SSL, para que não possam ser inspecionados quanto a conteúdo malicioso. Quando você usa o túnel SSL, não existem requisitos de certificado do servidor proxy da Web. Planejando clientes baseados na Internet Você deve decidir se os computadores cliente gerenciados pela Internet serão configurados para gerenciamento na intranet e na internet, ou somente por gerenciamento do cliente na Internet. Você só pode configurar a opção de gerenciamento de cliente durante a instalação de um computador cliente. Se você mudar de ideia mais tarde, deverá reinstalar o cliente. Observação Para System Center 2012 R2 Configuration Manager e posterior: Se você configurar um ponto de gerenciamento habilitado para Internet, os clientes que se conectarem ao ponto de gerenciamento passarão a ser habilitados para Internet na próxima vez que atualizarem sua lista de pontos de gerenciamento disponíveis. Dica Não é necessário restringir a configuração do gerenciamento do cliente para a Internet apenas e você também pode usá-lo na intranet. Clientes configurados para gerenciamento na Internet só se comunicam com outros sistemas de site configurados para conexões de clientes da Internet. Essa configuração seria adequada para computadores que você sabe que nunca se conectam à intranet da empresa, por exemplo, computadores de pontos de venda em locais remotos. Também pode ser apropriado quando você quer restringir a comunicação do cliente apenas ao HTTPS (por exemplo, para dar suporte a firewall e políticas restritas de segurança), e ao instalar sistemas de área baseados na Internet em uma rede de perímetro e você quer gerenciar esses servidores usando o cliente Gerenciador de Configurações. Para gerenciar clientes de grupo de trabalho na Internet, você deve instalá-los como somente Internet. Observação Clientes de dispositivos móveis são automaticamente configurados como Internet somente quando são configurados para usar um ponto de gerenciamento baseado na Internet. Outros computadores cliente podem ser configurados para o gerenciamento de cliente na Internet e intranet. Eles podem alternar automaticamente entre o gerenciamento de cliente baseado na Internet e gerenciamento de cliente baseado na intranet quando detectam uma alteração na rede. Se esses clientes puderem encontrar e se conectar a um ponto de gerenciamento configurado para conexões de clientes na intranet, eles serão gerenciados como clientes da intranet com funcionalidade de gerenciamento do Gerenciador de Configurações. Se os clientes não conseguirem encontrar ou se conectar a um ponto de gerenciamento configurado para conexões de clientes na intranet, tentarão se conectar a um ponto de gerenciamento baseado na Internet e, se tiverem sucesso, serão gerenciados pelos sistemas de área baseados na Internet em seu site atribuído. O benefício da comutação automática entre gerenciamento de clientes baseados na Internet e gerenciamento de clientes da intranet é que os computadores cliente podem usar automaticamente todos os recursos do Gerenciador de Configurações sempre que estiverem conectados à intranet e ainda serem gerenciados para as funções essenciais de gerenciamento quando estiverem na Internet. Além disso, um download que começou na Internet pode perfeitamente continuar na intranet e vice-versa. Pré-requisitos para o gerenciamento de clientes baseado na Internet Gerenciamento de clientes baseados na Internet no Gerenciador de Configurações tem as seguintes dependências externas: Dependência Mais informações Clientes que serão gerenciados na Internet devem ter uma conexão com a Internet. O Gerenciador de Configurações usa conexões ISP (Provedor de Serviços de Internet) existentes com a Internet, que podem ser conexões permanentes ou temporárias. Dispositivos móveis de clientes devem ter uma conexão direta com a Internet, mas os computadores cliente podem ter uma conexão direta com a internet ou conectar usando um servidor proxy da Web. Sistemas de site que oferecem suporte a gerenciamento de clientes baseado na Internet devem ter conectividade com a Internet e estar em um domínio Active Directory. Sistemas de áreas baseados na Internet não requerem uma relação de confiança com a floresta do Active Directory do servidor do site. No entanto, quando o ponto de gerenciamento baseado na Internet pode autenticar o usuário usando a autenticação do Windows, há suporte para as políticas do usuário. Se a autenticação do Windows falhar, somente as políticas do computador terão suporte. Observação Para oferecer suporte às políticas de usuário, você também deve definir como Verdadeiro as duas configurações de Política do Cliente: Habilitar sondagem de política de usuário nos clientes Ativar solicitações de política de usuário de clientes da Internet Um ponto de site da Web do catálogo de aplicativos também exige a autenticação do Windows para autenticar usuários quando seu computador está na Internet. Esse requisito é independente das políticas do usuário. Você deve ter uma PKI (Infraestrutura de Chave Pública ) que pode implantar e gerenciar os certificados que os clientes precisam e que sejam gerenciados na Internet e em servidores de sistema de áreas baseado na Internet. Para obter mais informações sobre certificados PKI, consulte Requisitos de certificado PKI para o Configuration Manager Os seguintes serviços de infraestrutura devem ser configurados para oferecer suporte ao gerenciamento de clientes baseados na Internet: Servidores DNS públicos: o FQDN (Nome de Domínio Totalmente Qualificado) dos sistemas de site que dá suporte ao gerenciamento de clientes baseado na Internet deve ser registrado como entradas de host em servidores DNS públicos. Firewalls ou servidores proxy intermediários: esses dispositivos de rede devem permitir a comunicação do cliente associada a sistemas de site baseados na Internet. Requisitos de comunicação do cliente: Oferecer suporte a HTTP 1.1 Permitir tipo de conteúdo HTTP de anexo MIME de várias partes (multiparte/misto e aplicativo/octet-stream) Permitir os seguintes verbos para o ponto de gerenciamento baseado na Internet: HEAD CCM_POST BITS_POST GET PROPFIND Permitir os seguintes verbos para o ponto de distribuição baseado na Internet: HEAD GET PROPFIND Permitir os seguintes verbos para o ponto de status de fallback baseado na Internet: POST Permitir os seguintes verbos para o ponto de sites da Web do catálogo de aplicativos baseado na Internet: POST GET Permitir os seguintes cabeçalhos HTTP para o ponto de gerenciamento baseado na Internet: Intervalo: CCMClientID: CCMClientIDSignature: CCMClientTimestamp: CCMClientTimestampsSignature: Permitir o seguinte cabeçalho HTTP para o ponto de distribuição baseado na Internet: Intervalo: Para obter informações de configuração de suporte para esses requisitos, consulte a documentação do servidor proxy ou firewall. Para requisitos de comunicação semelhantes ao usar o ponto de atualização de software para conexões de clientes da Internet, consulte a documentação do WSUS (Windows Server Update Services). Por exemplo, para o WSUS no Windows Server 2003, consulte Appendix D: Security Settings (Apêndice D: configurações de segurança), o apêndice de implantação para configurações de segurança. Planejando largura de banda no Configuration Manager O System Center 2012 Configuration Manager inclui vários métodos para controlar a largura de banda de rede usada para comunicações entre os sites, servidores de sistemas de sites e clientes. No entanto, não toda a comunicação na rede pode ser gerenciada. Use as seções a seguir para ajudá-lo a entender os métodos que podem ser usados para controlar a largura de banda de rede e projetar a hierarquia do site. Ao planejar a hierarquia do Gerenciador de Configurações, considerar a quantidade de dados de rede que será transferida de comunicações entre sites e intra-site. Observação Rotas de replicação de arquivo (conhecidos como endereços antes do Gerenciador de Configurações SP1), são usadas ​​apenas para comunicação entre sites e não para comunicações intra-site servidores e sistemas de site. Controlando o uso de largura de banda da rede entre sites O Gerenciador de Configurações transfere dados entre sites usando a replicação de banco de dados e a replicação baseada em arquivo. Antes do Gerenciador de Configurações com SP1 era possível configurar replicação baseada em arquivo para controlar o uso de largura de banda de rede para transferências, mas não era possível configurar o uso de largura de banda de rede para replicação de banco de dados. A partir do Gerenciador de Configurações SP1, é possível configurar o uso de largura de banda de rede para replicação de banco de dados para dados de sites selecionados. Ao configurar controles de largura de banda de rede, esteja atento ao potencial de latência de dados. Se as comunicações entre os sites for restringida ou configurada para só transferir dados após o horário de expediente, administradores em qualquer local do site pai ou filho podem não ser capazes de visualizar determinados dados até que a comunicação entre sites ocorra. Por exemplo, se um pacote de atualização de software importante estiver sendo enviado aos pontos de distribuição localizados em sites filhos, o pacote poderá não ficar disponível nesses locais até que toda a comunicação pendente entre os sites pendente seja concluída. Comunicação pendente pode incluir a entrega de um pacote muito grande e que ainda não concluiu sua transferência. Controles para replicação com base em arquivo: durante as transferências de dados baseadas em arquivo, o Gerenciador de Configurações usa toda a largura de banda da rede disponível para enviar dados entre sites. Você pode controlar este processo configurando o remetente em um site para aumentar ou diminuir envio de threads entre os sites. Um thread de envio é usado para transferir um arquivo por vez. Cada thread adicional permite a transferência de arquivos adicionais ao mesmo tempo, o que resulta em mais uso da largura de banda. Para configurar o número de threads a ser usado para transferências entre sites, configure Máximo de envios simultâneos na guia Remetente das propriedades do site. Para controlar transferências de dados baseadas em arquivos entre os sites, você pode agendar quando o Gerenciador de Configurações pode usar uma rota de replicação de arquivos para um site específico. É possível controlar a quantidade de largura de banda de rede a ser usada, o tamanho dos blocos de dados, bem como a frequência de envio dos blocos de dados. Configurações adicionais podem limitar as transferências de dados com base na prioridade do tipo de dados. Para cada site na hierarquia, você pode definir agendas e limites de taxa a serem usados pelo site ao transferir dados, configurando as propriedades da rota de replicação de arquivos para cada site de destino. Configurações para uma rota de replicação de arquivos só se aplicam a transferências de dados para o site de destino especificado para aquela rota de replicação de arquivos. Para obter mais informações sobre rotas de replicação de arquivos, consulte a subseção Rotas de replicação de arquivos na seção Planejando comunicações entre sites no Configuration Manager deste tópico. Importante Quando você configura limites de frequência para restringir o uso da largura de banda em uma rota específica de replicação de arquivos, o Gerenciador de Configurações pode usar apenas um único thread de transferência de dados para o site de destino. O uso de limites de taxa de uma rota de replicação de arquivos substitui o uso de vários threads por site configurados em Máximo de envios simultâneos para cada site. Controles para replicação de banco de dados: começando com o Gerenciador de Configurações SP1, é possível configurar links de replicação de banco de dados para ajudar a controlar o uso da largura de banda de rede para a transferência de dados de sites selecionados entre sites. Alguns dos controles são semelhantes aos da replicação baseada em arquivo, com suporte adicional para agendar quando as mensagens de inventário de hardware, inventário de software, medição de software e mensagens de status serão replicadas para o site pai através do link. Para obter mais informações, consulte a seção Replicação de banco de dados neste tópico. Controlando o uso de largura de banda da rede entre os servidores de sistema de site Dentro de um site, a comunicação entre os sistemas de site utiliza protocolos SMB, pode ocorrer a qualquer momento e não oferece suporte a um mecanismo para controlar a largura de banda da rede. No entanto, quando você configura o servidor do site para usar limites de taxa e agendas para controlar a transferência de dados pela rede para um ponto de distribuição, você pode gerenciar a transferência de conteúdo do servidor do site para os pontos de distribuição com controles semelhantes aos de transferências baseadas em arquivos entre sites. Controlando o uso de largura de banda da rede entre clientes e servidores do sistema de site Os clientes se comunicam regularmente com diferentes servidores do sistema de site. Por exemplo, eles se comunicam com um servidor do sistema de site que executa um ponto de gerenciamento quando precisam verificar uma política de cliente e se comunicar com um servidor de sistema de site que executa um ponto de distribuição quando precisam baixar conteúdo para instalar um aplicativo ou atualização de software. A frequência destas conexões e a quantidade de dados que é transferida pela rede de ou para um cliente depende dos agendamentos e das configurações que você especificar como sendo do cliente. Normalmente, as solicitações de política de cliente usam pouca largura de banda. A largura de banda de rede pode ser alta quando os clientes acessam conteúdo para implementações ou enviam informações, como dados de inventário de hardware para o site. Você pode especificar configurações de cliente que controlam a frequência das comunicações de rede iniciadas pelo cliente. Além disso, você pode configurar como os clientes acessam conteúdo de implantação, por exemplo, usando BITS (Serviço de Transferência Inteligente de Plano de Fundo). Para usar o BITS para baixar conteúdo, o cliente deve estar configurado para usar BITS. Se o cliente não puder usar o BITS, ele usará SMB para transferir o conteúdo. Para obter mais informações sobre configurações do cliente Gerenciador de Configurações, consulte Planejando as configurações de cliente no Configuration Manager. Consulte também Planejamento de hierarquia e de sites do Configuration Manager