Komunikace mezi koncovými body v Správce konfigurace

Platí pro: Správce konfigurace (aktuální větev)

Tento článek popisuje, Správce konfigurace systémy webu a klienti komunikují po celé síti. Obsahuje následující části:

Komunikace mezi systémy webu na webu

Pokud Správce konfigurace nebo součásti webu komunikují v síti s jinými systémy nebo součástmi webu, používají podle toho, jak web nakonfigurujete, jeden z následujících protokolů:

  • Blok zprávy serveru (SMB)

  • HTTP

  • HTTPS

S výjimkou komunikace ze serveru webu do distribučního bodu může komunikace mezi serverem na webu nastat kdykoli. Tato komunikace nepou ít mechanismy pro řízení šířky pásma sítě. Vzhledem k tomu, že nemůžete ovládat komunikaci mezi systémy webu, ujistěte se, že nainstalujete servery systému webu do umístění, která mají rychlé a dobře propojené sítě.

Server webu k distribučnímu bodu

Abyste vám pomohli spravovat přenos obsahu ze serveru webu do distribučních bodů, použijte následující strategie:

  • Nakonfigurujte distribuční bod pro řízení a plánování šířky pásma sítě. Tyto ovládací prvky se podobají konfiguracím používaným adresami mezi weby. Tuto konfiguraci použijte místo instalace jiného Správce konfigurace, pokud je přenos obsahu do vzdálených síťových umístění vaším hlavním aspektem šířky pásma.

  • Distribuční bod můžete nainstalovat jako předzpracovaný distribuční bod. Předzpracovaný distribuční bod umožňuje používat obsah, který se ručně nasauje na server distribučních bodů, a odebere požadavek na přenos souborů obsahu v síti.

Další informace najdete v tématu Správa šířky pásma sítě pro správu obsahu.

Komunikace mezi klienty a systémy a službami webu

Klienti iniciují komunikaci s rolemi systému webu, služba Active Directory Domain Services a online službami. Aby bylo možné tuto komunikaci povolit, musí brány firewall povolit síťový provoz mezi klienty a koncovým bodem jejich komunikace. Další informace o portech a protokolech používaných klienty při komunikaci s těmito koncovými body najdete v tématu Porty používané v Správce konfigurace.

Než může klient komunikovat s rolí systému webu, použije klient umístění služby k vyhledání role, která podporuje protokol klienta (HTTP nebo HTTPS). Ve výchozím nastavení používají klienti nejbezpečnější metodu, která je pro ně dostupná. Další informace najdete v tématu Principy hledání zdrojů a služeb webu klienty.

Pokud chcete zajistit komunikaci mezi Správce konfigurace a servery webu, nakonfigurujte jednu z následujících možností:

  • Používejte infrastrukturu veřejných klíčů (PKI) a nainstalujte certifikáty PKI na klienty a servery. Povolte systémům webu komunikaci s klienty prostřednictvím protokolu HTTPS. Informace o tom, jak používat certifikáty, najdete v článku Požadavky na certifikát PKI.

  • Nakonfigurujte web tak, aby Správce konfigurace certifikáty generované protokolem HTTP. Další informace najdete v článku Vylepšený protokol HTTP.

Když nasadíte roli systému webu, která používá Internetová informační služba (IIS) a podporuje komunikaci od klientů, musíte určit, jestli se klienti připojují k systému webu pomocí protokolu HTTP nebo HTTPS. Pokud používáte protokol HTTP, musíte také zvážit možnosti podepisování a šifrování. Další informace najdete v tématu Plánování podepisování a šifrování.

Důležité

Od verze Správce konfigurace 2103 jsou weby, které umožňují komunikaci klienta HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v článku Povolení webu jenom pro https nebo vylepšený protokol HTTP.

Komunikace mezi klientem a bodem správy

Klient komunikuje s bodem správy ve dvou fázích: ověřování (přenos) a autorizace (zpráva). Tento proces se liší v závislosti na následujících faktorech:

  • Konfigurace webu: Jenom HTTPS, umožňuje http nebo https nebo umožňuje http nebo https s vylepšenou podporou protokolu HTTP.
  • Konfigurace bodu správy: HTTPS nebo HTTP
  • Identita zařízení pro scénáře zaměřené na zařízení
  • Identita uživatele pro scénáře zaměřené na uživatele

Následující tabulka vám umožní pochopit, jak tento proces funguje:Use the following table to understand how this process works:

Typ MP Ověřování klienta Autorizace klienta
Identita zařízení
Autorizace klienta
Identita uživatele
HTTP Anonymní
Pomocí rozšířeného protokolu HTTP web ověří token uživatele nebo zařízení Azure AD.
Žádost o umístění: Anonymní
Balíček klienta: Anonymní
Registrace pomocí jedné z následujících metod k prokázání identity zařízení:
- Anonymní (ruční schválení)
- Windows integrované ověřování
– Token zařízení Azure AD (vylepšený protokol HTTP)
Po registraci klient pomocí podepisování zpráv prokáže identitu zařízení.
Pro scénáře zaměřené na uživatele můžete pomocí jedné z následujících metod prokázat identitu uživatele:
- Windows integrované ověřování
– Token uživatele Azure AD (vylepšený protokol HTTP)
HTTPS Pomocí jedné z následujících metod:
- Certifikát PKI
- Windows integrované ověřování
– Token uživatele nebo zařízení Azure AD
Žádost o umístění: Anonymní
Balíček klienta: Anonymní
Registrace pomocí jedné z následujících metod k prokázání identity zařízení:
- Anonymní (ruční schválení)
- Windows integrované ověřování
- Certifikát PKI
– Token uživatele nebo zařízení Azure AD
Po registraci klient pomocí podepisování zpráv prokáže identitu zařízení.
Pro scénáře zaměřené na uživatele můžete pomocí jedné z následujících metod prokázat identitu uživatele:
- Windows integrované ověřování
– token uživatele Azure AD

Tip

Další informace o konfiguraci bodu správy pro různé typy identit zařízení a bránu pro správu cloudu najdete v tématu Povolení bodu správy pro protokol HTTPS.

Komunikace mezi klientem a distribučním bodem

Když klient komunikuje s distribučním bodem, musí se ověřit jenom před stažením obsahu. Následující tabulka vám umožní pochopit, jak tento proces funguje:Use the following table to understand how this process works:

Typ DP Ověřování klienta
HTTP - Anonymní, pokud je to povolené
- Windows integrované ověřování s účtem počítače nebo účtem pro přístup k síti
- Token přístupu k obsahu (vylepšený protokol HTTP)
HTTPS - Certifikát PKI
- Windows integrované ověřování s účtem počítače nebo účtem pro přístup k síti
- Token přístupu k obsahu

Důležité informace o komunikaci klientů z internetu nebo nedůvěryhodné doménové struktury

Další informace najdete v následujících článcích:

Komunikace v doménových strukturách služby Active Directory

Správce konfigurace podporuje weby a hierarchie, které zahrnují doménové struktury služby Active Directory. Podporuje také počítače domény, které nejsou ve stejné doménové struktuře služby Active Directory jako server webu, a počítače, které jsou v pracovních skupinách.

Podpora doménových počítačů v doménové struktuře, která není důvěryhodná doménovou doménou vašeho serveru webu

  • Instalace rolí systému webu v této nedůvěryhodné doménové struktuře s možností publikování informací o webu do této doménové struktury služby Active Directory

  • Správa těchto počítačů, jako by to byly počítače pracovní skupiny

Když nainstalujete servery systému webu do nedůvěryhodné doménové struktury služby Active Directory, komunikace mezi klienty v této doménové struktuře se bude uchovávat v této doménové struktuře a Správce konfigurace může ověřit počítač pomocí protokolu Kerberos. Když publikujete informace o webu do doménové struktury klienta, těží klienti z načítání informací o webu, jako je seznam dostupných bodů správy, z jejich doménové struktury služby Active Directory, místo stahování těchto informací z přiřazeného bodu správy.

Poznámka

Pokud chcete spravovat zařízení, která jsou na internetu, můžete do hraniční sítě nainstalovat role internetového systému webu, když jsou servery systému webu v doménové struktuře služby Active Directory. Tento scénář nevyžaduje dvousměnné vztahy důvěryhodnosti mezi hraniční sítí a doménovou doménou serveru webu.

Podpora počítačů v pracovní skupině

  • Ručně schvalte počítače pracovní skupiny, když používají připojení klientů HTTP k rolím systému webu. Správce konfigurace tyto počítače nelze ověřit pomocí protokolu Kerberos.

  • Nakonfigurujte klienty pracovní skupiny tak, aby mohli používat účet síťového přístupu, aby tyto počítače načítaněl obsah z distribučních bodů.

  • Poskytuje alternativní mechanismus pro klienty pracovní skupiny, kteří najdou body správy. Použijte publikování DNS nebo přímo přiřaďte bod správy. Tito klienti neschodí načíst informace o webu služba Active Directory Domain Services.

Další informace najdete v následujících článcích:

Scénáře podpory webu nebo hierarchie, která zahrnuje více domén a doménových struktur

Scénář 1: Komunikace mezi weby v hierarchii, která zahrnuje doménové struktury

Tento scénář vyžaduje dvousporový vztah důvěryhodnosti doménové struktury, který podporuje ověřování protokolem Kerberos. Pokud nemáte dvousporový vztah důvěryhodnosti doménové struktury, který podporuje ověřování protokolem Kerberos, Správce konfigurace nepodporuje podřízený web ve vzdálené doménové struktuře.

Správce konfigurace podporuje instalaci podřízeného webu do vzdálené doménové struktury, která má požadovaný dvousporový vztah důvěryhodnosti s doménovou doménou nadřazeného webu. Sekundární web můžete například umístit do jiné doménové struktury než primární nadřazený web, pokud existuje požadovaný vztah důvěryhodnosti.

Poznámka

Podřízený web může být primární web (kde je nadřazeným webem centrální správy) nebo sekundární web.

Komunikace mezi sítěmi v Správce konfigurace používá replikaci databáze a přenosy založené na souboru. Při instalaci webu je nutné zadat účet, pomocí kterého chcete web nainstalovat na určený server. Tento účet také vytváří a udržuje komunikaci mezi weby. Jakmile web úspěšně nainstaluje a zahájí přenosy založené na souboru a replikaci databáze, nemusíte nic dalšího konfigurovat pro komunikaci s webem.

Pokud existuje dvousměnná důvěryhodnost doménové struktury, Správce konfigurace nevyžaduje žádné další kroky konfigurace.

Ve výchozím nastavení při instalaci nového podřízeného webu Správce konfigurace následující součásti:

  • Směrování replikace na základě souborů mezi sítěmi na každém webu, který používá účet počítače serveru webu. Správce konfigurace přidá účet počítače každého počítače do skupiny SMS_SiteToSiteConnection_ < webu > na cílovém počítači.

  • Replikace databáze mezi SQL servery na jednotlivých webech.

Nastavte taky následující konfigurace:

  • Vměšování bran firewall a síťových zařízení musí umožňovat síťové pakety, Správce konfigurace vyžadují.

  • Překlad názvů musí fungovat mezi doménovými strukturami.

  • Pokud chcete nainstalovat roli systému webu nebo webu, musíte zadat účet, který má oprávnění místního správce na zadaném počítači.

Scénář 2: Komunikace na webu, který zahrnuje doménové struktury

Tento scénář nevyžaduje dvousměnné vztahy důvěryhodnosti doménové struktury.

Primární weby podporují instalaci rolí systému lokality na počítače ve vzdálených doménových strukturách.

  • Pokud role systému webu přijímá připojení z internetu, je osvědčeným postupem zabezpečení instalace rolí systému webu do umístění, kde hranice doménové struktury poskytuje ochranu pro server webu (například v hraniční síti).

Instalace role systému webu na počítač v nedůvěryhodné doménové struktuře:

  • Zadejte účet instalace systému webu, který web použije k instalaci role systému webu. (Tento účet musí mít místní přihlašovací údaje pro správu, ke které se chcete připojit.) Potom nainstalujte role systému webu na zadaný počítač.

  • Vyberte možnost Systém webu: Vyžadovat, aby server webu zahájil připojení k tomuto systému webu. Toto nastavení vyžaduje, aby server webu vytvořil připojení k serveru systému lokality k přenosu dat. Tato konfigurace zabrání tomu, aby počítač v nedůvěryhodném umístění zahájil kontakt se serverem webu, který je uvnitř důvěryhodné sítě. Tato připojení používají účet instalace systému webu.

Pokud chcete použít roli systému webu nainstalovanou v nedůvěryhodné doménové struktuře, musí brány firewall povolit síťový provoz, i když server webu zahájí přenos dat.

Navíc následující role systému webu vyžadují přímý přístup k databázi webu. Brány firewall proto musí povolit příslušný provoz z nedůvěryhodné doménové struktury do SQL Server:

  • Bod synchronizace Asset Intelligence

  • Endpoint Protection bod

  • Bod registrace

  • Bod správy

  • Bod služby Vytváření sestav

  • Bod migrace státu

Další informace najdete v článku Porty používané v Správce konfigurace.

Možná budete muset nakonfigurovat přístup bodu správy a bodu registrace k databázi webu.

  • Když tyto role nainstalujete, Správce konfigurace nakonfiguruje účet počítače nového serveru systému webu jako účet připojení pro roli systému webu. Potom přidá účet do příslušné SQL Server databáze.

  • Když tyto role systému webu nainstalujete do nedůvěryhodné domény, nakonfigurujte účet připojení role systému lokality tak, aby role systému webu získala informace z databáze.

Pokud nakonfigurujete uživatelský účet domény jako účet připojení pro tyto role systému webu, zkontrolujte, jestli má uživatelský účet domény odpovídající přístup k databázi SQL Server na tomto webu:

  • Bod správy: Účet připojení databáze bodů správy

  • Bod registrace: Účet připojení k bodu registrace

Při plánování rolí systému lokality v jiných doménových strukturách zvažte následující další informace:

  • Pokud spustíte bránu Windows Firewall, nakonfigurujte příslušné profily brány firewall tak, aby předáte komunikaci mezi databázovým serverem webu a počítači nainstalovanými s rolemi vzdáleného systému webu.

  • Pokud internetový bod správy důvěřuje doménové struktuře, která obsahuje uživatelské účty, podporují se zásady uživatelů. Pokud neexistuje žádný vztah důvěryhodnosti, podporují se jenom zásady počítače.

Scénář 3: Komunikace mezi klienty a rolemi systému webu, když klienti nejsou ve stejné doménové struktuře služby Active Directory jako jejich server webu

Správce konfigurace podporuje následující scénáře pro klienty, kteří nejsou ve stejné doménové struktuře jako server webu svého webu:

  • Mezi doménovou doménovou doménou klienta a doménovou doménou serveru webu existuje dvousměnná důvěryhodnost doménové struktury.

  • Server rolí systému lokality se nachází ve stejné doménové struktuře jako klient.

  • Klient je na počítači domény, který nemá u serveru webu dvousměnný vztah důvěryhodnosti doménové struktury, a role systému lokality nejsou nainstalované v doménové struktuře klienta.

  • Klient je na počítači pracovní skupiny.

Klienti na počítači připojeném k doméně mohou služba Active Directory Domain Services pro umístění služby při publikování jejich webu do jejich doménové struktury služby Active Directory.

Publikování informací o webu do jiné doménové struktury služby Active Directory:

  • Zadejte doménovou strukturu a povolte publikování do této doménové struktury v uzlu Doménové struktury služby Active Directory v pracovním prostoru Správa.

  • Nakonfigurujte každý web tak, aby publikl svá data služba Active Directory Domain Services. Tato konfigurace umožňuje klientům v této doménové struktuře načítat informace o webu a hledat body správy. Pro klienty, kteří služba Active Directory Domain Services pro umístění služby, můžete použít DNS nebo přiřazený bod správy klienta.

Scénář 4: Dejte Exchange Server konektor do vzdálené doménové struktury

Pokud chcete tento scénář podpořit, ujistěte se, že překlad názvů funguje mezi doménovými strukturami. Můžete třeba nakonfigurovat předávání DNS. Když nakonfigurujete konektor Exchange Server, zadejte plně kvalifikovaný název domény intranetu Exchange Server. Další informace najdete v tématu Správa mobilních zařízení pomocí Správce konfiguracea Exchange .

Viz také