Comunicações entre pontos finais no Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
Este artigo descreve como os sistemas de site e clientes do Gestor de Configuração comunicam através da sua rede. Inclui as seguintes secções:
Comunicações entre sistemas de sites num site
Quando os sistemas ou componentes do site do Gestor de Configuração comunicam através da rede a outros sistemas ou componentes do site no site, utilizam um dos seguintes protocolos, dependendo da configuração do site:
Bloco de mensagem de servidor (SMB)
HTTP
HTTPS
Com exceção da comunicação do servidor do site para um ponto de distribuição, as comunicações servidor-servidor num site podem ocorrer a qualquer momento. Estas comunicações não usam mecanismos para controlar a largura de banda da rede. Como não é possível controlar a comunicação entre os sistemas de sites, certifique-se de que instala servidores do sistema de site em locais que têm redes rápidas e bem conectadas.
Servidor do site para ponto de distribuição
Para ajudá-lo a gerir a transferência de conteúdos do servidor do site para pontos de distribuição, utilize as seguintes estratégias:
Configure o ponto de distribuição para o controlo da largura de banda de rede e o agendamento. Estes controlos assemelham-se às configurações que são utilizadas por endereços intersaistivos. Utilize esta configuração em vez de instalar outro site do Gestor de Configurações quando a transferência de conteúdos para locais de rede remotas é a sua principal consideração de largura de banda.
Pode instalar um ponto de distribuição como um ponto de distribuição pré-configurado. Um ponto de distribuição pré-configurado permite-lhe utilizar o conteúdo que é manualmente colocado no servidor do ponto de distribuição e remove o requisito de transferir ficheiros de conteúdo através da rede.
Para obter mais informações, consulte Gerir a largura de banda da rede para a gestão de conteúdos.
Comunicações de clientes para sistemas e serviços do site
Os clientes iniciam a comunicação às funções do sistema de site, serviços de domínio do diretório ativo e serviços online. Para ativar estas comunicações, as firewalls devem permitir o tráfego de rede entre os clientes e o ponto final das suas comunicações. Para obter mais informações sobre portas e protocolos utilizados pelos clientes quando comunicam a estes pontos finais, consulte portas utilizadas no Gestor de Configuração.
Antes de um cliente poder comunicar com uma função de sistema de site, o cliente utiliza a localização do serviço para encontrar uma função que suporte o protocolo do cliente (HTTP ou HTTPS). Por padrão, os clientes usam o método mais seguro que lhes é disponibilizado. Para mais informações, consulte como os clientes encontram recursos e serviços do site.
Para ajudar a garantir a comunicação entre clientes do Gestor de Configuração e servidores de sites, configure uma das seguintes opções:
Utilize uma infraestrutura de chaves públicas (PKI) e instale certificados PKI em clientes e servidores. Capacitar os sistemas de sites a comunicar com os clientes através do HTTPS. Para obter informações sobre como utilizar certificados, consulte os requisitos do certificado PKI.
Configure o site para utilizar certificados gerados pelo Gestor de Configuração para sistemas de sites HTTP. Para mais informações, consulte HTTP Melhorado.
Ao implementar uma função do sistema de sites que utiliza Serviços de Informação Internet (IIS) e suporta comunicações de clientes, tem de especificar se os clientes ligam ao sistema de sites através de HTTP ou HTTPS. Se utilizar HTTP, também tem de considerar as opções de assinatura e encriptação. Para obter mais informações, consulte Planeamento para a assinatura e encriptação.
Importante
A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.
Comunicação de ponto de gestão do cliente
Há duas fases em que um cliente comunica com um ponto de gestão: autenticação (transporte) e autorização (mensagem). Este processo varia consoante os seguintes fatores:
- Configuração do site: APENAS HTTPS, permite HTTP ou HTTPS, ou permite HTTP ou HTTPS com HTTP melhorado habilitado
- Configuração do ponto de gestão: HTTPS ou HTTP
- Identidade do dispositivo para cenários centrados no dispositivo
- Identidade do utilizador para cenários centrados no utilizador
Utilize a seguinte tabela para entender como este processo funciona:
Tipo MP | Autenticação de cliente | Autorização do cliente Identidade do dispositivo |
Autorização do cliente Identidade do utilizador |
---|---|---|---|
HTTP | Anónimo Com HTTP Melhorado, o site verifica o utilizador ou token do dispositivo Azure. |
Pedido de localização: Anónimo Pacote de cliente: Anónimo Registo, utilizando um dos seguintes métodos para comprovar a identidade do dispositivo: - Anónimo (aprovação manual) - autenticação integrada Windows - Ficha de dispositivo AD Azure (HTTP melhorada) Após o registo, o cliente usa a assinatura de mensagem para provar a identidade do dispositivo |
Para cenários centrados no utilizador, utilizar um dos seguintes métodos para provar a identidade do utilizador: - autenticação integrada Windows - Ficha de utilizador Azure AD (HTTP melhorada) |
HTTPS | Utilizando um dos seguintes métodos: - Certificado PKI - autenticação integrada Windows - Utilizador azure AD ou símbolo do dispositivo |
Pedido de localização: Anónimo Pacote de cliente: Anónimo Registo, utilizando um dos seguintes métodos para comprovar a identidade do dispositivo: - Anónimo (aprovação manual) - autenticação integrada Windows - Certificado PKI - Utilizador azure AD ou símbolo do dispositivo Após o registo, o cliente usa a assinatura de mensagem para provar a identidade do dispositivo |
Para cenários centrados no utilizador, utilizar um dos seguintes métodos para provar a identidade do utilizador: - autenticação integrada Windows - Ficha de utilizador AZURE AD |
Dica
Para obter mais informações sobre a configuração do ponto de gestão para diferentes tipos de identidade do dispositivo e com o gateway de gestão de nuvem, consulte Ativar o ponto de gestão para HTTPS.
Comunicação de ponto de distribuição do cliente
Quando um cliente comunica com um ponto de distribuição, só precisa de autenticar antes de descarregar o conteúdo. Utilize a seguinte tabela para entender como este processo funciona:
Tipo DP | Autenticação de cliente |
---|---|
HTTP | - Anónimo, se permitido - autenticação integrada Windows com conta informática ou conta de acesso à rede - Ficha de acesso ao conteúdo (HTTP melhorada) |
HTTPS | - Certificado PKI - autenticação integrada Windows com conta informática ou conta de acesso à rede - Símbolo de acesso ao conteúdo |
Considerações para comunicações de clientes da internet ou uma floresta não fidedquiríssia
Para obter mais informações, veja os seguintes artigos:
Comunicação entre florestas do Active Directory
O Gestor de Configuração suporta sites e hierarquias que abrangem as florestas do Ative Directory. Também suporta computadores de domínio que não estão na mesma floresta ative do Diretório que o servidor do site, e computadores que estão em grupos de trabalho.
Suporte computadores de domínio numa floresta que não é confiável pela floresta do servidor do seu site
Instalar funções do sistema de sites nessa floresta não fidedigna, com a opção de publicar informações do site nessa floresta do Active Directory
Gerencie estes computadores como se fossem computadores de grupo de trabalho
Quando instala servidores de sistemas de site numa floresta de Ative Directory não fidedquirqui, a comunicação cliente-servidor dos clientes dessa floresta é mantida dentro dessa floresta, e o Gestor de Configuração pode autenticar o computador utilizando kerberos. Ao publicar informações do site para a floresta do cliente, os clientes beneficiam de recuperar informações do site, como uma lista de pontos de gestão disponíveis, da sua floresta ative de Diretório, em vez de descarregarem essa informação do seu ponto de gestão atribuído.
Nota
Se quiser gerir dispositivos que estejam na internet, pode instalar funções do sistema de sites baseados na Internet na sua rede de perímetro quando os servidores do sistema de sites estiverem numa floresta de Diretório Ativo. Este cenário não requer confiança bidirecciona entre a rede do perímetro e a floresta do servidor do site.
Suporte de computadores num grupo de trabalho
Aprovar manualmente os computadores do grupo de trabalho quando utilizam ligações de cliente HTTP para as funções do sistema de sites. O Gestor de Configuração não pode autenticar estes computadores utilizando kerberos.
Configurar a Conta de Acesso à Rede para que estes computadores possam receber conteúdos dos pontos de distribuição.
Fornecer um mecanismo alternativo para que os clientes do grupo de trabalho localizem pontos de gestão. Utilize a publicação de DNS ou atribua diretamente um ponto de gestão. Estes clientes não conseguem obter informações do site dos Serviços de Domínio do Diretório Ativo.
Para obter mais informações, veja os seguintes artigos:
Cenários para suportar um site ou uma hierarquia que abranja vários domínios e florestas
Cenário 1: Comunicação entre sítios numa hierarquia que abrange florestas
Este cenário requer uma confiança florestal bidirecionais que apoie a autenticação de Kerberos. Se você não tem uma confiança florestal bidirecionais que suporta a autenticação Kerberos, então o Gestor de Configuração não suporta um site infantil na floresta remota.
O Gestor de Configuração suporta a instalação de um site infantil numa floresta remota que tenha a confiança bidireccionada necessária com a floresta do local principal. Por exemplo, você pode colocar um local secundário em uma floresta diferente do seu local principal principal, desde que exista a confiança necessária.
Nota
Um site infantil pode ser um local primário (onde o site da administração central é o local principal) ou um local secundário.
A comunicação intersativa no Gestor de Configuração utiliza a replicação da base de dados e transferências baseadas em ficheiros. Quando instalar um site, deve especificar uma conta para instalar o site no servidor designado. Esta conta também estabelece e mantém a comunicação entre sites. Depois de o site instalar e iniciar com sucesso transferências baseadas em ficheiros e replicação de bases de dados, não precisa de configurar mais nada para comunicação ao site.
Quando existe uma confiança florestal bidirecciona, o Gestor de Configuração não requer quaisquer etapas adicionais de configuração.
Por predefinição, quando instala um novo site para crianças, o Gestor de Configuração configura os seguintes componentes:
Uma rota de replicação entre sites, baseada em ficheiros em cada site que utiliza a conta do computador servidor de sites. O Gestor de Configuração adiciona a conta de computador de cada computador ao grupo de < código > de site SMS_SiteToSiteConnection_ no computador de destino.
Replicação da base de dados entre os servidores SQL em cada site.
Também desateia as seguintes configurações:
As firewalls e os dispositivos de rede devem permitir os pacotes de rede que o Gestor de Configuração necessita.
A resolução de nomes tem de funcionar entre as florestas.
Para instalar um site ou função do sistema de sites, terá de especificar uma conta com permissões de administrador local no computador especificado.
Cenário 2: Comunicação num local que abrange florestas
Este cenário não requer uma confiança florestal bidirecciona.
Os sites primários suportam a instalação de funções do sistema de sites em computadores em florestas remotas.
- Quando uma função do sistema de site aceita ligações a partir da internet, como uma boa prática de segurança, instale as funções do sistema de site num local onde a fronteira florestal fornece proteção para o servidor do site (por exemplo, numa rede de perímetro).
Para instalar uma função do sistema de sites num computador numa floresta não fidedigna:
Especifique uma Conta de Instalação do Sistema de Sítio, que o site utiliza para instalar a função do sistema de instalação. (Esta conta deve ter credenciais administrativas locais para se ligar a.) Em seguida, instale as funções do sistema do local no computador especificado.
Selecione a opção do sistema de site Exija que o servidor do site inicie ligações a este sistema de site. Esta definição requer que o servidor do site estabeleça ligações ao servidor do sistema de acesso para transferir dados. Esta configuração impede que o computador no local não confiável inicie o contacto com o servidor do site que está dentro da sua rede de confiança. Estas ligações utilizam a Conta de Instalação do Sistema de Sites.
Ao utilizar uma função do sistema de sites que foi instalada numa floresta não fidedigna, as firewalls têm de permitir o tráfego de rede, mesmo quando o servidor do site inicia a transferência dos dados.
Além disso, as seguintes funções do sistema de sites requerem acesso direto à base de dados do site. Por conseguinte, as firewalls devem permitir o tráfego aplicável desde a floresta não fidedquirtada até à SQL Server do local:
Ponto de sincronização do Asset Intelligence
Ponto de Endpoint Protection
Ponto de inscrição
Ponto de gestão
Ponto do sistema de reporte
Ponto de Migração de Estado
Para obter mais informações, consulte as portas utilizadas no Gestor de Configurações.
Poderá ser necessário configurar o ponto de gestão e o ponto de acesso à base de dados do site.
Por predefinição, quando instala estas funções, o Gestor de Configuração configura a conta de computador do novo servidor do sistema de sites como a conta de ligação para a função do sistema de site. Em seguida, adiciona a conta à função de base de dados SQL Server adequada.
Quando instalar estas funções do sistema de sítios num domínio não fidetoníduo, configuure a conta de ligação da função do sistema de site para permitir que a função do sistema de site obtenha informações a partir da base de dados.
Se configurar uma conta de utilizador de domínio para ser a conta de ligação para estas funções do sistema de site, certifique-se de que a conta do utilizador do domínio tem acesso adequado à base de dados SQL Server nesse site:
Ponto de gestão: Conta de Ligação à Base de Dados do Ponto de Gestão
Ponto de registo: Conta de Ligação do Ponto de Registo
Ao planear funções do sistema de sites noutras florestas, considere as seguintes informações adicionais:
Se executar Windows Firewall, configuure os perfis de firewall aplicáveis para passar comunicações entre o servidor da base de dados do site e computadores que são instalados com funções de sistema de site remoto.
Quando o ponto de gestão baseado na Internet confia na floresta que contém as contas dos utilizadores, as políticas dos utilizadores são suportadas. Se não existir qualquer fidedignidade, só são suportadas políticas de computador.
Cenário 3: Comunicação entre clientes e funções do sistema de site quando os clientes não estão na mesma floresta ative do Diretório ativo que o seu servidor de site
O Gestor de Configuração suporta os seguintes cenários para clientes que não estão na mesma floresta que o servidor do site do seu site:
Há uma confiança florestal bidirecciona entre a floresta do cliente e a floresta do servidor do local.
O servidor de função do sistema de site está localizado na mesma floresta que o cliente.
O cliente está num computador de domínio que não tem uma confiança florestal bidireccionada com o servidor do site, e as funções do sistema de site não estão instaladas na floresta do cliente.
O cliente está num computador de grupo de trabalho.
Os clientes de um computador ligado a domínios podem utilizar os Serviços de Domínio do Diretório Ativo para localização de serviço quando o seu site é publicado na sua floresta de Diretório Ativo.
Para publicar informações do site para outra floresta de Diretório Ativo:
Especificar primeiro a floresta, ativando em seguida a publicação nessa floresta no nó Florestas do Active Directory da área de trabalho Administração .
Configurar cada site para publicar os respetivos dados nos Serviços de Domínio do Active Directory. Esta configuração permite aos clientes dessa floresta obter as informações de site e localizar pontos de gestão. Para clientes que não podem utilizar serviços de domínio de diretório ativo para localização de serviço, pode utilizar o DNS ou o ponto de gestão atribuído ao cliente.
Cenário 4: Coloque o conector Exchange Server numa floresta remota
Para apoiar este cenário, certifique-se de que a resolução de nomes funciona entre as florestas. Por exemplo, configurar os DNS para a frente. Quando configurar o conector Exchange Server, especifique a intranet FQDN do Exchange Server. Para obter mais informações, consulte Gerir dispositivos móveis com o Gestor de Configuração e Exchange.