Artigo
03/29/2016

Configurando componentes do site no Configuration Manager

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Configure componentes do site para controlar o comportamento de funções do sistema de site e controlar o comportamento do relatório de status dos sites. As configurações para funções do sistema de site aplicam-se a cada instância de uma função do sistema de site em um site particular. Essas configurações devem ser feitas em cada local individualmente, e não se aplicam a vários sites.

Configurar componentes do site para o Configuration Manager

Use o procedimento a seguir para selecionar o componente do site que você irá configurar em um site específico.

Para editar os componentes do site em um site

No console do Gerenciador de Configurações, clique em Administração.
No espaço de trabalho Administração, expanda Configuração de Site e clique em Sites.
Selecione o site que tem os componentes do site que você irá configurar.
Na guia Início, no grupo Configurações, clique em Configurar Componentes do Site e selecione o componente do site que você deseja configurar.

Opções de configuração de componentes do site

Muitas das opções de configuração dos componentes do site são autoexplicativas ou exibem informações adicionais nas caixas de diálogo. Use as seções a seguir para obter mais informações sobre as configurações que podem requerer algumas informações antes de configurá-las:

Propriedades do componente do ponto do Validador da Integridade do Sistema

Defina essas opções de configuração somente se você for instalar pontos do Validador da Integridade do Sistema no site para usar a Proteção de Acesso à Rede para atualizações de software.

Intervalo de consulta (em minutos)

Especifica em minutos a frequência com que os pontos do Validador da Integridade do Sistema recupera e armazena em cache referências do estado de integridade do Gerenciador de Configurações dos Serviços de Domínio Active Directory. As informações são recuperadas com uma chamada LDAP (Lightweight Directory Access Protocol) para um servidor de catálogo global.

Quanto menor o valor, mais rápido o Validador da Integridade do Sistema detectará alterações nas políticas NAP do Configuration Manager; entretanto, é mais provável localizar clientes não compatíveis mesmo que eles tenham todas as atualizações de software necessárias especificadas nas políticas NAP do Configuration Manager. Nesse cenário, se as políticas no Servidor de Política de Rede estiverem configuradas para dar acesso limitado à rede a clientes não compatíveis, os clientes não terão acesso total à rede até que eles baixem suas políticas NAP do Configuration Manager, reavaliem sua conformidade e enviem uma nova declaração de integridade ao ponto do Validador da Integridade do Sistema. Esse processo pode levar alguns minutos.

Quanto maior o valor, menor a probabilidade de localizar clientes não compatíveis quando eles tiverem todas as atualizações de software necessárias especificadas nas políticas NAP do Configuration Manager. Nesse cenário, os clientes não terão risco de ter acesso limitado à rede para baixar suas políticas NAP do Configuration Manager e reavaliar a conformidade. Entretanto, um valor mais alto pode significar que os clientes são considerados compatíveis quando eles não avaliaram a conformidade com as políticas NAP recentes do Configuration Manager.

Uma configuração para reduzir a probabilidade de os clientes terem as atualizações de software selecionadas com acesso limitado à rede, mas para assegurar que os resultados de conformidade são baseados nas políticas NAP recentes do Configuration Manager, é definir essa opção para ter duas vezes o valor especificado para a configuração do cliente Intervalo de sondagem da política do cliente (por padrão, o intervalo de sondagem da política do cliente é uma vez por hora).

Essa configuração pode estar entre 1 e 10080 minutos, e o valor padrão é 120 minutos.

Período de validade (em horas)

Especifica o período em horas para o qual uma declaração de integridade do cliente armazenada em cache será aceita como compatível pelos pontos do Validador da Integridade do Sistema.

Se a declaração de integridade do cliente for mais antiga que o período de validade, o ponto do Validador da Integridade do Sistema voltará ao estado de não compatível com o Servidor de Políticas de Rede. Nesse cenário, se as políticas no Servidor de Políticas de Rede impor conformidade, o cliente será forçado a reavaliar seu status de conformidade e apresentar uma nova declaração de integridade. Portanto, um período de validade mais longo resulta em processamento mais rápido (e tempos de conexão), mas as informações de conformidade podem não estar atualizadas.

Essa configuração pode estar entre 1 e 168 horas, e o valor padrão é 26 horas.

Se você alterar o período de validade padrão, assegure a definição de um valor maior que a configuração do cliente no agendamento da reavaliação NAP. Se a avaliação de conformidade no cliente ocorrer com menos frequência do que o período de validade, os clientes serão localizados como não compatíveis pelo ponto do Validador da Integridade do Sistema.

Neste cenário, a correção instruirá os clientes a reavaliar a conformidade e produzir uma declaração de integridade atual. Esse processo pode levar alguns minutos para ser concluído; por isso, se as políticas no Servidor de Políticas de Rede estiverem configuradas para limitar o acesso à rede para computadores não compatíveis, os computadores não poderão acessar recursos de rede na rede completa durante esse período de reavaliação.

Data de criação deve ser posterior (UTC)

Especifica se você deseja assegurar que uma declaração de integridade do cliente é criada após uma data e hora especificadas (em Tempo Universal Coordenado). Depois de selecionar essa opção, selecione a data e hora. A data e hora não podem ser definidas com um valor futuro, mas devem ser uma data e hora atuais ou anteriores.

A definição dessa opção é apropriada se você acabou de configurar uma nova política NAP (Proteção de Acesso à Rede) do Configuration Manager e é necessário que a atualização do software selecionada na política seja incluída na avaliação, independentemente do período de validade.

Essa opção não está habilitada por padrão.

Designar uma floresta do Active Directory

Especifica se o servidor do site e os pontos do Validador da Integridade do Sistema desse site não estão na mesma floresta do Active Directory. Para configurar o componente do ponto do Validador da Integridade do Sistema para esse ambiente, você deve identificar em quais florestas os pontos do Validador da Integridade do Sistema residem, identificar se existem relações confiáveis entre eles e decidir qual floresta publicará referências de estado de integridade do Configuration Manager.

A floresta do Active Directory que publica as referências de estado de integridade devem ser estendidas com as extensões de esquema do Gerenciador de Configurações, os servidores do site devem ser publicados no Active Directory e as permissões devem ser definidas corretamente no contêiner do System Management no Active Directory. Essas dependências do Active Directory podem afetar sua decisão sobre qual floresta será usada para publicar as referências de estado de integridade do Gerenciador de Configurações.

Os cenários a seguir identificam quatro configurações básicas quando a Proteção de Acesso à Rede no Gerenciador de Configurações abrange várias florestas do Active Directory. Use esses cenários para ajudá-lo a decidir qual floresta do Active Directory publicará as referências de estado de integridade.

Os servidores do site residem em uma floresta do Active Directory, e os pontos do Validador da Integridade do Sistema residem em outra floresta do Active Directory. As referências do estado de integridade do Gerenciador de Configurações são publicadas na floresta que contém os servidores do site. Escolha essa opção se você pode estender os Serviços de Domínio Active Directory para o Gerenciador de Configurações e se os pontos do Validador da Integridade do Sistema residem em uma rede de perímetro
Os servidores do site residem em uma floresta do Active Directory, e os pontos do Validador da Integridade do Sistema residem em outra floresta do Active Directory. As referências do estado de integridade do Gerenciador de Configurações são publicadas na floresta que contém os pontos do Validador da Integridade do Sistema. Escolha essa opção se você não pode estender os Serviços de Domínio Active Directory para o Gerenciador de Configurações, mas pode estender o esquema da segunda floresta.
Os servidores do site residem em uma floresta do Active Directory, e os pontos do Validador da Integridade do Sistema residem em outra floresta do Active Directory. As referências do estado de integridade do Gerenciador de Configurações são publicadas em uma terceira floresta do Active Directory que tem relações de confiança com as outras duas florestas (uma relação de confiança de floresta ou relações de confiança de domínio externas). Escolha essa opção se você não pode estender os Serviços de Domínio Active Directory para uma das florestas, mas pode estender o esquema de uma floresta nova ou existente.
Os servidores do site residem em uma floresta do Active Directory, e os pontos do Validador da Integridade do Sistema residem em outra floresta do Active Directory. As referências do estado de integridade do Gerenciador de Configurações são publicadas em uma terceira floresta do Active Directory que não tem nenhuma relação de confiança com as outras duas florestas (nem uma relação de confiança de floresta nem relações de confiança de domínio externas). Escolha essa opção se você não pode estender os Serviços de Domínio Active Directory para uma das florestas, mas pode estender o esquema de uma floresta nova ou existente que não pode ter nenhuma relação de confiança com as outras duas florestas.

Conta de publicação de referência de estado de integridade

Especifica uma conta de usuário do Microsoft Windows na floresta do Active Directory designada se alguma das seguintes opções for aplicável:

A floresta designada não é a mesma floresta do servidor do site.
Não há nenhuma relação de confiança entre o domínio do servidor do site e o sufixo do domínio.
Há uma relação de confiança entre o domínio do servidor do site e o sufixo do domínio, mas a permissão Controle Total não foi concedida ao contêiner do System Management no Active Directory para a conta de computador do servidor do site.

Conta de consulta de referências de estado de integridade

Especifica uma conta de usuário do Windows na floresta do Active Directory designada se alguma das seguintes opções for aplicável:

A floresta designada não é a mesma floresta que os pontos do Validador da Integridade do Sistema.
Não há nenhuma relação de confiança entre os pontos do Validador da Integridade do Sistema e o sufixo do domínio.

Propriedades do componente de distribuição de software

Conta de Acesso à Rede

Especifique uma conta de usuário do Windows para a Conta de Acesso à Rede quando computadores cliente de grupos de trabalho ou domínios não confiáveis requerem acesso a recursos de rede.

Importante
A conta de acesso à rede nunca é usada com contexto de segurança para executar aplicativos e programas, instalar atualizações de software nem executar sequências de tarefas. Ela é usada somente para acessar recursos na rede.

Embora os computadores cliente do Gerenciador de Configurações usem a conta Sistema Local para executar a maioria das operações do cliente do Gerenciador de Configurações no computador, a conta Sistema Local não pode acessar recursos de rede. Por exemplo, a conta Sistema Local não pode autenticar um computador para pontos de distribuição, assim o computador pode fazer uma conexão e baixar o software. Nestes cenários, os clientes de domínios confiáveis usam a conta <nomecomputador>$ para acessar os recursos de rede. Os computadores que não podem usar <nomecomputador>$ para a autenticação do computador podem usar uma conta de usuário do Windows especificada para a Conta de Acesso à Rede.

Talvez você também tenha de especificar uma conta de usuários do Windows para a Conta de Acesso à Rede ao implantar um sistema operacional. Isso porque o computador que recebe o sistema operacional não tem um contexto de segurança que ele possa usar para acessar conteúdo na rede.

Ao especificar uma conta de usuário do Windows, configure-a para ter as permissões mínimas apropriadas sobre o conteúdo que ela pode acessar para baixar o software. A conta deve ter o direito de usuário Acesso a este computador pela rede no ponto de distribuição ou em outro servidor que contém o conteúdo do pacote.

Não conceda a essa conta o direito de usuário de logon interativo nem o direito de usuário de adicionar computadores ao domínio. Se tiver de adicionar computadores ao domínio durante uma sequência de tarefas, use a Conta de Adição de Domínio do Editor de Sequência de Tarefas.

Para System Center 2012 R2 Configuration Manager e posterior: Agora é possível especificar várias contas de acesso à rede para um site. Quando os clientes tentam acessar o conteúdo e não conseguem usar sua conta do computador local, em primeiro lugar, eles usarão a última conta de acesso à rede que se conectou com êxito. O Gerenciador de Configurações dá suporte à adição de até dez contas de acesso à rede.

Propriedades do componente de ponto de atualização de software

Para obter mais informações sobre as opções de configuração para o componente do ponto de atualização de software, veja Configurando atualizações de software no Configuration Manager.

Propriedades do componente do ponto de gerenciamento

Pontos de gerenciamento

Especifica os pontos de gerenciamento no site do Gerenciador de Configurações para publicar nos Serviços de Domínio Active Directory.

Os clientes do Gerenciador de Configurações usam os pontos de gerenciamento para o local de serviço: para encontrar informações do site como associação do grupo de limites e opções de seleção de certificado PKI; e para encontrar outros pontos de gerenciamento no site e os pontos de distribuição dos quais o software pode ser baixado. Os clientes também usam pontos de gerenciamento para concluir a atribuição do site e baixar a política do cliente e carregar as informações do cliente.

Como o método mais seguro para localizar pontos de gerenciamento é publicá-los nos Serviços de Domínio Active Directory, geralmente, você sempre selecionará todos os pontos de gerenciamento em funcionamento para publicar nos Serviços de Domínio Active Directory. No entanto, esse método de local do serviço requer a extensão do esquema para o Gerenciador de Configurações; há um contêiner do System Management com permissões apropriadas para que o servidor do site publique nesse contêiner, que o site do Gerenciador de Configurações esteja configurado para publicar nos Serviços de Domínio Active Directory e que os clientes pertençam à mesma floresta do Active Directory que a floresta do servidor.

Quando os clientes na intranet não podem usar os Serviços de Domínio Active Directory para localizar pontos de gerenciamento, use a publicação DNS.

Publicar pontos de gerenciamento selecionados da intranet em DNS

Especifique essa opção quando clientes na intranet não puderem localizar pontos de gerenciamento dos Serviços de Domínio Active Directory, mas puderem usar um registro de recurso de local de serviço DNS para localizar um ponto de gerenciamento em seu site atribuído.

Para o Gerenciador de Configurações publicar pontos de gerenciamento da intranet no DNS, todas as seguintes condições devem ser atendidas:

Os servidores DNS têm uma versão de BIND 8.1.2 ou posterior.
Os servidores DNS são configurados para atualizações automáticas e dão suporte a registros de recurso de localização de serviços.
Os FQDNs especificados para os pontos de gerenciamento no Gerenciador de Configurações têm entradas de host (registros A ou AAA) no DNS.

Para os clientes localizarem pontos de gerenciamento publicados em DNS, atribua os clientes a um site específico (em vez de usar a atribuição automática de site) e configure-os para usarem o código de site com o sufixo do domínio do ponto de gerenciamento deles. Para obter mais informações, consulte Como configurar computadores cliente para localizar pontos de gerenciamento por meio de publicação do DNS no Configuration Manager.

Se os clientes do Gerenciador de Configurações não puderem usar os Serviços de Domínio Active Directory ou o DNS para localizar pontos de gerenciamento na intranet, eles retornarão ao uso de WINS. O primeiro ponto de gerenciamento instalado para o site é automaticamente publicado para o WINS quando ele é configurado para aceitar conexões de cliente HTTP na intranet.

Propriedades de componente do ponto de gerenciamento fora da banda

Importante
Não é possível salvar opções de configuração para o componente de gerenciamento fora da banda, a menos que o site possua pelo menos um ponto de registro instalado.

Para obter mais informações sobre as opções de configuração para o componente do ponto de gerenciamento fora de banda, veja Etapa 5: Configurando a saída do componente de gerenciamento de banda.

Avaliação de associação da coleção

Observação
Para o System Center 2012 Configuration Manager SP1 e posterior:

Use essa tarefa para alterar a frequência com que a associação da coleção é incrementalmente avaliada. A avaliação incremental atualiza uma associação de coleção apenas com recursos novos ou alterados.

No Gerenciador de Configurações sem service pack, você configura a avaliação de associação da coleção como uma tarefa de manutenção de site. Para obter informações, veja a seção Planejando tarefas de manutenção para o Configuration Manager no tópico Planejando operações do site no Configuration Manager.

Consulte também

Configurar sites e a hierarquia no Configuration Manager

Compartilhar via