Configuration Manager'da uç noktalar arasındaki iletişimler
Uygulama hedefi: Configuration Manager (güncel dalı)
Bu makalede, Configuration Manager site sistemlerinin ve istemcilerinin ağınız genelinde nasıl iletişim kurdığı açıklanmaktadır. Aşağıdaki bölümleri içerir:
Bir sitedeki site sistemleri arasındaki iletişimler
Configuration Manager site sistemleri veya bileşenleri ağ üzerinden sitedeki diğer site sistemlerine veya bileşenlerine iletişim kurarken, siteyi nasıl yapılandırdığınıza bağlı olarak aşağıdaki protokollerden birini kullanır:
Sunucu ileti bloğu (SMB)
HTTP
HTTPS
Site sunucusundan bir dağıtım noktasına iletişim dışında, bir sitedeki sunucudan sunucuya iletişim her zaman gerçekleşebilir. Bu iletişimler ağ bant genişliğini denetlemek için mekanizmalar kullanmaz. Site sistemleri arasındaki iletişimi denetleyemediğiniz için, site sistemi sunucularını hızlı ve iyi bağlantılı ağlara sahip konumlara yüklediğinizden emin olun.
Site sunucusundan dağıtım noktasına
Site sunucusundan dağıtım noktalarına içerik aktarımını yönetmenize yardımcı olmak için aşağıdaki stratejileri kullanın:
Ağ bant genişliği denetimi ve zamanlaması için dağıtım noktasını yapılandırın. Bu denetimler, siteler arası adresler tarafından kullanılan yapılandırmalara benzer. İçeriğin uzak ağ konumlarına aktarılması ana bant genişliği değerlendirmeniz olduğunda başka bir Configuration Manager sitesi yüklemek yerine bu yapılandırmayı kullanın.
Dağıtım noktasını önceden hazırlanmış bir dağıtım noktası olarak yükleyebilirsiniz. Önceden hazırlanmış bir dağıtım noktası, dağıtım noktası sunucusuna el ile yerleştirilmiş içeriği kullanmanıza olanak tanır ve içerik dosyalarını ağ üzerinden aktarma gereksinimini ortadan kaldırır.
Daha fazla bilgi için bkz. İçerik yönetimi için ağ bant genişliğini yönetme.
İstemcilerden site sistemlerine ve hizmetlerine iletişim
İstemciler site sistemi rolleri, Active Directory Domain Services ve çevrimiçi hizmetler iletişim başlatır. Bu iletişimleri etkinleştirmek için güvenlik duvarlarının istemciler ile iletişimlerinin uç noktası arasındaki ağ trafiğine izin vermesi gerekir. İstemciler bu uç noktalarla iletişim kurarken kullandıkları bağlantı noktaları ve protokoller hakkında daha fazla bilgi için bkz. Configuration Manager'de kullanılan bağlantı noktaları.
İstemcinin site sistemi rolüyle iletişim kurabilmesi için önce istemcinin protokolunu (HTTP veya HTTPS) destekleyen bir rol bulmak için hizmet konumunu kullanır. Varsayılan olarak, istemciler kendilerine sağlanan en güvenli yöntemi kullanır. Daha fazla bilgi için bkz. İstemcilerin site kaynaklarını ve hizmetlerini nasıl bulduklarını anlama.
Configuration Manager istemcileri ve site sunucuları arasındaki iletişimin güvenliğini sağlamaya yardımcı olmak için aşağıdaki seçeneklerden birini yapılandırın:
Ortak anahtar altyapısı (PKI) kullanın ve istemcilere ve sunuculara PKI sertifikaları yükleyin. Site sistemlerinin istemcilerle HTTPS üzerinden iletişim kurmasını etkinleştirin. Sertifikaların nasıl kullanılacağı hakkında bilgi için bkz. PKI sertifika gereksinimleri.
Siteyi HTTP site sistemleri için Configuration Manager oluşturulan sertifikaları kullanacak şekilde yapılandırın. Daha fazla bilgi için bkz . Gelişmiş HTTP.
Internet Information Services (IIS) kullanan ve istemcilerden iletişimi destekleyen bir site sistemi rolü dağıttığınızda, istemcilerin HTTP veya HTTPS kullanarak site sistemine bağlanıp bağlanmayacağını belirtmeniz gerekir. HTTP kullanıyorsanız imzalama ve şifreleme seçeneklerini de göz önünde bulundurmanız gerekir. Daha fazla bilgi için bkz . İmzalama ve şifrelemeyi planlama.
Önemli
Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.
İstemciden yönetim noktasına iletişim
İstemcinin bir yönetim noktasıyla iletişim kurması için iki aşama vardır: kimlik doğrulaması (aktarım) ve yetkilendirme (ileti). Bu işlem aşağıdaki faktörlere bağlı olarak değişir:
- Site yapılandırması: Yalnızca HTTPS, HTTP veya HTTPS'ye izin verir ya da gelişmiş HTTP özellikli HTTP veya HTTPS'ye izin verir
- Yönetim noktası yapılandırması: HTTPS veya HTTP
- Cihaz merkezli senaryolar için cihaz kimliği
- Kullanıcı merkezli senaryolar için kullanıcı kimliği
Bu işlemin nasıl çalıştığını anlamak için aşağıdaki tabloyu kullanın:
| MP türü | İstemci kimlik doğrulaması | İstemci yetkilendirmesi Cihaz kimliği |
İstemci yetkilendirmesi Kullanıcı kimliği |
|---|---|---|---|
| HTTP | Anonim Gelişmiş HTTP ile site, Microsoft Entra kimliği kullanıcı veya cihaz belirtecini doğrular. |
Konum isteği: Anonim İstemci paketi: Anonim Kayıt, cihaz kimliğini kanıtlamak için aşağıdaki yöntemlerden birini kullanarak: - Anonim (el ile onay) - Windows ile tümleşik kimlik doğrulaması - Microsoft Entra kimliği cihaz belirteci (Gelişmiş HTTP) Kayıt sonrasında istemci, cihaz kimliğini kanıtlamak için ileti imzalamayı kullanır |
Kullanıcı merkezli senaryolarda, kullanıcı kimliğini kanıtlamak için aşağıdaki yöntemlerden birini kullanarak: - Windows ile tümleşik kimlik doğrulaması - Microsoft Entra Kimliği kullanıcı belirteci (Gelişmiş HTTP) |
| HTTPS | Aşağıdaki yöntemlerden birini kullanarak: - PKI sertifikası - Windows ile tümleşik kimlik doğrulaması - Microsoft Entra kimliği kullanıcı veya cihaz belirteci |
Konum isteği: Anonim İstemci paketi: Anonim Kayıt, cihaz kimliğini kanıtlamak için aşağıdaki yöntemlerden birini kullanarak: - Anonim (el ile onay) - Windows ile tümleşik kimlik doğrulaması - PKI sertifikası - Microsoft Entra kimliği kullanıcı veya cihaz belirteci Kayıt sonrasında istemci, cihaz kimliğini kanıtlamak için ileti imzalamayı kullanır |
Kullanıcı merkezli senaryolarda, kullanıcı kimliğini kanıtlamak için aşağıdaki yöntemlerden birini kullanarak: - Windows ile tümleşik kimlik doğrulaması - Microsoft Entra kimliği kullanıcı belirteci |
İpucu
Farklı cihaz kimlik türleri için ve bulut yönetimi ağ geçidi ile yönetim noktasının yapılandırması hakkında daha fazla bilgi için bkz. HTTPS için yönetim noktasını etkinleştirme.
İstemciden dağıtım noktasına iletişim
Bir istemci bir dağıtım noktasıyla iletişim kurarken, yalnızca içeriği indirmeden önce kimlik doğrulaması yapması gerekir. Bu işlemin nasıl çalıştığını anlamak için aşağıdaki tabloyu kullanın:
| DP türü | İstemci kimlik doğrulaması |
|---|---|
| HTTP | - İzin veriliyorsa anonim - Bilgisayar hesabı veya ağ erişim hesabıyla Windows ile tümleşik kimlik doğrulaması - İçerik erişim belirteci (Gelişmiş HTTP) |
| HTTPS | - PKI sertifikası - Bilgisayar hesabı veya ağ erişim hesabıyla Windows ile tümleşik kimlik doğrulaması - İçerik erişim belirteci |
İnternet'ten veya güvenilmeyen bir ormandan gelen istemci iletişimleriyle ilgili dikkat edilmesi gerekenler
Daha fazla bilgi için aşağıdaki makalelere bakın:
Active Directory ormanları arasındaki iletişimler
Configuration Manager, Active Directory ormanlarına yayılan siteleri ve hiyerarşileri destekler. Ayrıca, site sunucusuyla aynı Active Directory ormanında yer almayan etki alanı bilgisayarlarını ve çalışma gruplarındaki bilgisayarları destekler.
Site sunucunuzun ormanı tarafından güvenilmeyen bir ormandaki etki alanı bilgisayarlarını destekleme
Site bilgilerini bu Active Directory ormanına yayımlama seçeneğiyle bu güvenilmeyen ormana site sistemi rollerini yükleyin
Bu bilgisayarları çalışma grubu bilgisayarları gibi yönetin
Site sistem sunucularını güvenilmeyen bir Active Directory ormanına yüklediğinizde, o ormandaki istemcilerden gelen istemciden sunucuya iletişim söz konusu ormanda tutulur ve Configuration Manager Kerberos kullanarak bilgisayarın kimliğini doğrulayabilir. Site bilgilerini istemcinin ormanına yayımladığınızda, istemciler bu bilgileri atanan yönetim noktalarından indirmek yerine active directory ormanlarından kullanılabilir yönetim noktalarının listesi gibi site bilgilerini alma avantajından yararlanıyor.
Not
İnternet'teki cihazları yönetmek istiyorsanız, site sistem sunucuları bir Active Directory ormanında olduğunda çevre ağınıza internet tabanlı site sistemi rolleri yükleyebilirsiniz. Bu senaryo, çevre ağı ile site sunucusunun ormanı arasında iki yönlü güven gerektirmez.
Bir çalışma grubundaki bilgisayarları destekleme
Site sistemi rollerine HTTP istemci bağlantıları kullandıklarında çalışma grubu bilgisayarlarını el ile onaylayın. Configuration Manager Kerberos kullanarak bu bilgisayarların kimliğini doğrulayamaz.
Bu bilgisayarların dağıtım noktalarından içerik alabilmesi için çalışma grubu istemcilerini Ağ Erişim Hesabını kullanacak şekilde yapılandırın.
Çalışma grubu istemcilerinin yönetim noktalarını bulması için alternatif bir mekanizma sağlayın. DNS yayımlamayı kullanın veya doğrudan bir yönetim noktası atayın. Bu istemciler Active Directory Domain Services site bilgilerini alamaz.
Daha fazla bilgi için aşağıdaki makalelere bakın:
Birden çok etki alanına ve ormana yayılan bir siteyi veya hiyerarşiyi desteklemeye yönelik senaryolar
Senaryo 1: Ormanlara yayılan hiyerarşideki siteler arasındaki iletişim
Bu senaryo Kerberos kimlik doğrulamayı destekleyen iki yönlü bir orman güveni gerektirir. Kerberos kimlik doğrulamasını destekleyen iki yönlü bir orman güveni yoksa, Configuration Manager uzak ormandaki bir alt siteyi desteklemez.
Configuration Manager, üst sitenin ormanıyla gerekli iki yönlü güvene sahip uzak bir ormana alt site yüklemeyi destekler. Örneğin, gerekli güven mevcut olduğu sürece ikincil bir siteyi birincil üst sitesinden farklı bir ormana yerleştirebilirsiniz.
Not
Alt site birincil site (merkezi yönetim sitesi üst sitedir) veya ikincil site olabilir.
Configuration Manager'da siteler arası iletişim, veritabanı çoğaltma ve dosya tabanlı aktarımları kullanır. Bir siteyi yüklerken, sitenin belirlenen sunucuya yükleneceği hesabı belirtmeniz gerekir. Bu hesap ayrıca siteler arasında iletişim kurar ve sürdürür. Site dosya tabanlı aktarımları ve veritabanı çoğaltmasını başarıyla yükleyip başlattıktan sonra, siteyle iletişim kurmak için başka bir şey yapılandırmanız gerekmez.
İki yönlü bir orman güveni varsa, Configuration Manager ek yapılandırma adımları gerektirmez.
Varsayılan olarak, yeni bir alt site yüklediğinizde, Configuration Manager aşağıdaki bileşenleri yapılandırılır:
Site sunucusu bilgisayar hesabını kullanan her sitede siteler arası dosya tabanlı çoğaltma yolu. Configuration Manager her bilgisayarın bilgisayar hesabını hedef bilgisayardaki SMS_SiteToSiteConnection_<sitecode> grubuna ekler.
Her sitedeki SQL Sunucuları arasında veritabanı çoğaltması.
Ayrıca aşağıdaki yapılandırmaları ayarlayın:
Güvenlik duvarlarına ve ağ cihazlarına ara vermek, Configuration Manager gereken ağ paketlerine izin vermelidir.
Ad çözümlemesi ormanlar arasında çalışmalıdır.
Bir site veya site sistemi rolü yüklemek için, belirtilen bilgisayarda yerel yönetici izinlerine sahip bir hesap belirtmeniz gerekir.
Senaryo 2: Ormanlara yayılan bir sitede iletişim
Bu senaryo iki yönlü orman güveni gerektirmez.
Birincil siteler, uzak ormanlardaki bilgisayarlara site sistemi rollerinin yüklenmesini destekler.
- Site sistemi rolü İnternet'ten bağlantıları kabul ettiğinde, en iyi güvenlik uygulaması olarak, site sistemi rollerini orman sınırının site sunucusu için koruma sağladığı bir konuma (örneğin, bir çevre ağına) yükleyin.
Güvenilmeyen bir ormandaki bir bilgisayara site sistemi rolü yüklemek için:
Sitenin site sistemi rolünü yüklemek için kullandığı bir Site Sistemi Yükleme Hesabı belirtin. (Bu hesabın bağlanabilmesi için yerel yönetici kimlik bilgilerine sahip olması gerekir.) Ardından belirtilen bilgisayara site sistemi rollerini yükleyin.
Site sistemi seçeneğini belirleyin Site sunucusunun bu site sistemine bağlantı başlatmasını gerektir. Bu ayar, site sunucusunun verileri aktarmak için site sistemi sunucusuna bağlantı kurmasını gerektirir. Bu yapılandırma, güvenilmeyen konumdaki bilgisayarın güvenilen ağınızdaki site sunucusuyla iletişim kurmasını engeller. Bu bağlantılar Site Sistemi Yükleme Hesabı'nı kullanır.
Güvenilmeyen bir ormana yüklenmiş bir site sistemi rolü kullanmak için, site sunucusu veri aktarımını başlattığında bile güvenlik duvarlarının ağ trafiğine izin vermesi gerekir.
Ayrıca, aşağıdaki site sistemi rolleri site veritabanına doğrudan erişim gerektirir. Bu nedenle güvenlik duvarları, güvenilmeyen ormandan sitenin SQL Server geçerli trafiğe izin vermelidir:
Varlık Yönetim Bilgileri eşitleme noktası
Endpoint Protection noktası
Kayıt noktası
Yönetim noktası
Raporlama hizmet noktası
Durum geçiş noktası
Daha fazla bilgi için bkz. Configuration Manager kullanılan bağlantı noktaları.
Yönetim noktası ve kayıt noktası erişimini site veritabanına yapılandırmanız gerekebilir.
Varsayılan olarak, bu rolleri yüklediğinizde, Configuration Manager yeni site sistemi sunucusunun bilgisayar hesabını site sistemi rolü için bağlantı hesabı olarak yapılandırılır. Ardından hesabı uygun SQL Server veritabanı rolüne ekler.
Bu site sistemi rollerini güvenilmeyen bir etki alanına yüklediğinizde, site sistemi rolünün veritabanından bilgi almasını sağlamak için site sistemi rolü bağlantı hesabını yapılandırın.
Bir etki alanı kullanıcı hesabını bu site sistem rolleri için bağlantı hesabı olarak yapılandırdıysanız, etki alanı kullanıcı hesabının ilgili sitedeki SQL Server veritabanına uygun erişimi olduğundan emin olun:
Yönetim noktası: Yönetim Noktası Veritabanı Bağlantı Hesabı
Kayıt noktası: Kayıt Noktası Bağlantı Hesabı
Diğer ormanlarda site sistemi rollerini planlarken aşağıdaki ek bilgileri göz önünde bulundurun:
Windows Güvenlik Duvarı'nı çalıştırıyorsanız, site veritabanı sunucusu ile uzak site sistem rolleri ile yüklenen bilgisayarlar arasında iletişim geçirmek için uygun güvenlik duvarı profillerini yapılandırın.
İnternet tabanlı yönetim noktası kullanıcı hesaplarını içeren ormana güvendiğinde, kullanıcı ilkeleri desteklenir. Güven olmadığında, yalnızca bilgisayar ilkeleri desteklenir.
Senaryo 3: İstemciler site sunucusuyla aynı Active Directory ormanında olmadığında istemciler ve site sistemi rolleri arasındaki iletişim
Configuration Manager, sitelerinin site sunucusuyla aynı ormanda olmayan istemciler için aşağıdaki senaryoları destekler:
İstemcinin ormanı ile site sunucusunun ormanı arasında iki yönlü bir orman güveni vardır.
Site sistemi rol sunucusu, istemciyle aynı ormanda bulunur.
İstemci, site sunucusuyla iki yönlü orman güveni olmayan bir etki alanı bilgisayarındadır ve site sistemi rolleri istemcinin ormanına yüklenmez.
İstemci bir çalışma grubu bilgisayarında.
Etki alanına katılmış bir bilgisayardaki istemciler, siteleri Active Directory ormanlarında yayımlandığında hizmet konumu için Active Directory Domain Services kullanabilir.
Site bilgilerini başka bir Active Directory ormanına yayımlamak için:
Ormanı belirtin ve ardından Yönetim çalışma alanının Active Directory Ormanları düğümünde bu ormana yayımlamayı etkinleştirin.
Her siteyi verilerini Active Directory Domain Services yayımlayacak şekilde yapılandırın. Bu yapılandırma, söz konusu ormandaki istemcilerin site bilgilerini almasını ve yönetim noktalarını bulmasını sağlar. Hizmet konumu için Active Directory Domain Services kullanamıyor istemciler için DNS'yi veya istemcinin atanmış yönetim noktasını kullanabilirsiniz.
Senaryo 4: Exchange Server bağlayıcısını uzak bir ormana yerleştirme
Bu senaryoyu desteklemek için ormanlar arasında ad çözümlemesinin çalıştığından emin olun. Örneğin, DNS iletimlerini yapılandırın. Exchange Server bağlayıcısını yapılandırırken, Exchange Server intranet FQDN'sini belirtin. Daha fazla bilgi için bkz. mobil cihazları Configuration Manager ve Exchange ile yönetme.