Plánování komunikací v Configuration Manageru
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Před instalací nástroje System Center 2012 Configuration Manager naplánujte síťovou komunikaci mezi různými lokalitami v hierarchii, mezi různými systémovými servery v lokalitě a mezi klienty a systémovými servery lokality. Tato komunikace může být obsažená v jediné doméně nebo může zahrnovat víc doménových struktur služby Active Directory. Může být taky potřeba naplánovat komunikaci za účelem správy klientů na internetu.
Následující části tohoto tématu vám pomůžou při plánování komunikace v nástroji Configuration Manager.
Plánování komunikace mezi lokalitami v Configuration Manageru
Replikace na základě souborů
Replikace databáze
Plánování komunikací v lokalitě v Configuration Manageru
Plánování komunikace klientů v Configuration Manageru
Komunikace iniciované klienty
Umístění služby a jak klienti zjišťují jim přiřazený bod správy
Plánování probuzení klientů
Plánování komunikací napříč doménovými strukturami v nástroji Configuration Manager
Plánování internetové správy klientů
Funkce nepodporované na internetu
Důležité informace týkající se komunikací klientů z internetu nebo nedůvěryhodné doménové struktury
Plánování internetových klientů
Požadavky na internetovou správu klientů
Plánování šířky pásma sítě v nástroji Configuration Manager
Řízení využití šířky pásma sítě mezi lokalitami
Řízení využití šířky pásma sítě mezi systémovými servery lokalit
Řízení využití šířky pásma sítě mezi klienty a systémovými servery lokalit
Co je nového v Configuration Manageru
Poznámka
Informace v této části se zobrazují také v – příručka Základy použití nástroje System Center 2012 Configuration Manager.
Následující položky jsou nové nebo se pro komunikaci lokality od verze Configuration Manager 2007 změnily:
Komunikace mezi lokalitami teď využívá kromě replikace založené na souborech taky replikaci databáze pro řadu přenosů dat mezi lokalitami, včetně konfigurace a nastavení.
Koncept lokality nástroje Configuration Manager 2007 se smíšeným režimem nebo nativním režimem pro definici komunikace klientů se systémy lokality v lokalitě je nahrazený rolemi systému lokality, které mohou nezávisle podporovat komunikaci klientů prostřednictvím protokolů HTTP nebo HTTPS.
Aby bylo možné podporovat klientské počítače v jiných doménových strukturách, nástroje Configuration Manager můžou zjišťovat počítače v těchto doménových strukturách a publikovat do nich informace o lokalitě.
Bod zjišťování serveru se už nepoužívá a funkce této role systému lokality se přesunula do bodu správy.
Internetová správa klientů teď podporuje následující funkce:
Zásady uživatele, pokud internetový bod správy může ověřit uživatele pomocí ověřování systému Windows (Kerberos nebo NTLM).
Jednoduché pořadí úloh, jako jsou skripty. Nasazení operačního systému na internetu zůstává beze změny.
Internetoví klienti na internetu se nejdříve pokusí stáhnout jakékoli požadované aktualizace softwaru ze služby Microsoft Update spíše než z internetového distribučního bodu v přiřazené lokalitě. Pouze pokud tato možnost selže, budou požadované aktualizace softwaru staženy z internetového distribučního bodu.
Co je nového v nástroji Configuration Manager SP1
Poznámka
Informace v této části se zobrazují také v – příručka Základy použití nástroje System Center 2012 Configuration Manager.
Následující položky jsou pro nástroj Configuration Manager SP1 nové nebo u nich došlo v oblasti komunikace mezi lokalitami ke změnám:
Replikace souborů směruje adresy nahrazení pro replikaci na základě souborů mezi lokalitami. Jedná se jenom o změnu názvu replikace na základě souborů, která přináší konzistenci s replikací databáze. Nedošlo k žádným změnám funkčnosti.
Konfigurace odkazů replikace databáze mezi databázemi lokality za účelem řízení a monitorování síťového provozu pro replikaci databáze:
Pomocí distribuovaných zobrazení je možné zabránit replikaci vybraných dat z primární lokality do lokality centrální správy. Lokalita centrální správy následně přistupuje k těmto datům přímo z databáze primární lokality.
Je možné naplánovat přenos vybraných dat lokality napříč odkazy replikace databáze.
Je možné řídit frekvenci, se kterou je provoz replikace shrnutý pro sestavy.
Definovat se dají vlastní prahové hodnoty, po jejichž překročení následují výstrahy týkající se problémů s replikací.
Konfigurace ovládacích prvků replikace pro databáze SQL serveru v lokalitě:
Změňte port, který Configuration Manager používá pro službu SQL Server Service Broker.
Proveďte konfiguraci časového intervalu, po který se má počkat, než selhání replikace aktivuje opětovnou inicializaci kopie databáze lokality.
Nakonfigurujte databázi lokality za účelem komprimace replikovaných dat pomocí replikace databáze. Data se komprimují jenom během přenosu mezi lokalitami a ne pro ukládání do databáze lokality v libovolné lokalitě.
Když je na klientech nástroje Configuration Manager SP1 nainstalovaný Windows 7, Windows 8, Windows Server 2008 R2 nebo Windows Server 2012, můžete doplnit nastavení lokality funkce Wake on LAN pro pakety nejednosměrového vysílání pomocí nastavení klienta proxy probuzení. Tato kombinace pomáhá probudit počítače v podsítích bez toho, aby bylo potřeba opětovně konfigurovat síťové přepínače.
Plánování komunikace mezi lokalitami v Configuration Manageru
V hierarchii nástroje Configuration Manager každá lokalita komunikuje se svojí nadřazenou lokalitou a přímými podřízenými lokalitami pomocí dvou metod přenosu dat: replikace na základě souborů a replikace databáze. Sekundární lokality komunikují nejen se svými nadřazenými primárními lokalitami pomocí obou metod přenosu dat, ale můžou taky komunikovat s ostatními sekundárními lokalitami pomocí replikace na základě souborů, kterou směrují obsah do vzdálených síťových umístění.
Nástroj Configuration Manager používá replikaci na základě souborů a replikaci databáze k přenosu různých typů informací mezi lokalitami.
Replikace na základě souborů
Configuration Manager používá replikaci na základě souborů k přenosu dat založených na souborech mezi lokalitami v hierarchii. Tato data zahrnují obsah jako třeba aplikace a balíčky, které se mají nasadit v distribučních bodech v podřízených lokalitách, a nezpracované záznamy dat zjišťování, které se přenáší do nadřazených lokalit, kde se zpracovávají.
Komunikace na základě souborů mezi lokalitami používá protokol SMB (Server Message Block) pomocí portu TCP/IP 445. Je možné zadat konfigurace, které zahrnují omezení šířky pásma a režim impulsů k řízení množství dat přenášených v síti, i plány, které řídí, kdy se mají data v síti odesílat.
Počínaje verzí Configuration Manager SP1 jsou adresy přejmenované na postupy replikace souborů, což přináší konzistenci s replikací databáze. Před aktualizací SP1 se Configuration Manager připojoval pomocí adres ke sdílené složce SMS_SITE na serveru cílové lokality za účelem přenosu dat založených na souborech. Postupy replikace souborů a adresy fungují stejně a podporují stejné konfigurace.
Následující části jsou napsané pro změny zavedené aktualizací Service Pack 1 a místo adres se v nich odkazuje na postupy replikace souborů. Pokud používáte Configuration Manager bez aktualizace Service Pack, pomocí informací v následující tabulce si můžete odkazy na postupy replikace souborů převést zpátky na odpovídající odkazy adres.
Počínaje nástrojem Configuration Manager s aktualizací SP1 |
Configuration Manager bez aktualizace Service Pack |
|---|---|
Účet replikace souborů |
Účet adresy lokality |
Postup replikace souborů |
Adresa |
Uzel Replikace souborů v konzole nástroje Configuration Manager |
Uzel Adresy v konzole nástroje Configuration Manager |
Postupy replikace souborů
Configuration Manager používá postupy replikace souborů k přenosu dat založených na souborech mezi lokalitami v hierarchii. Postupy replikace souborů nahrazují adresy, které se používají v předchozích verzích nástroje Configuration Manager. Funkce postupů replikace souborů zůstává stejná jako u adres. Následující tabulka obsahuje informace o postupech replikace souborů.
Objekt |
Další informace |
||
|---|---|---|---|
Postup replikace souborů |
Každý postup replikace souborů identifikujte cílovou lokalitu, do které se můžou přenášet data založená na souborech. Každá lokalita podporuje jediný postup replikace souborů do určité cílové lokality. Configuration Manager podporuje následující konfigurace pro postupy replikace souborů:
Pokud chcete spravovat postup replikace souborů, v pracovním prostoru Správa rozbalte uzel Konfigurace hierarchie a vyberte položku Replikace souborů. |
||
Odesílatel |
Každá lokalita má jednoho odesílatele. Odesílatel spravuje síťové připojení z jedné lokality do cílové lokality a může vytvořit připojení k několika lokalitám současně. Odesílatel používá pro připojení k lokalitě postup replikace souborů do lokality, aby bylo možné identifikovat účet, který se má použít k vytvoření síťového připojení. Odesílatel používá tento účet také k zapisování dat do sdílené složky SMS_SITE cílové lokality. Ve výchozím nastavení odesílatel zapíše data do cílové lokality pomocí několika souběžných odesílání, která se obvykle označují jako vlákno. Každé souběžné odesílání, neboli vlákno, může do cílové lokality přenášet jiný souborový objekt. Když ve výchozím nastavení začne odesílatel odesílat objekt, zapisuje bloky dat pro tento objekt tak dlouho, dokud se neodešle celý objekt. Po odeslání všech dat objektu se může v daném vláknu začít odesílat nový objekt. Pro odesílatele jde nakonfigurovat následující nastavení:
Pokud chcete spravovat odesilatele lokality, rozbalte uzel Konfigurace lokality v pracovním prostoru Správa, vyberte uzel Lokality a pak klikněte na Vlastnosti lokality, kterou chcete spravovat. Klikněte na kartu Odesilatel a změňte konfiguraci odesilatele. |
.jpeg "System_CAPS_caution")
UpozorněníReplikace databáze
Replikace databáze nástroje Configuration Manager používá server SQL Server k přenosu dat a slučování změn provedených v databázi lokality s informacemi uloženými v databázi v jiných lokalitách v hierarchii. Všechny lokality mohou sdílet stejné informace. Replikace databáze automaticky konfigurují všechny lokality nástroje Configuration Manager. Pokud nainstalujete lokalitu v hierarchii, replikace databáze provede automatickou konfiguraci mezi novou lokalitou a určenou nadřazenou lokalitou. Po dokončení instalace lokality se automaticky spustí replikace databáze.
Po provedení instalace nové lokality v hierarchii Configuration Manager vytvoří generickou databázi v nové lokalitě. V dalším kroku nadřazená lokalita vytvoří snímek příslušných dat v databázi a přenese tento snímek do nové lokality pomocí replikace souborů. Nová lokalita následně použijte program hromadného kopírování systému SQL Server (BCP) a načte informace do místní kopie databáze nástroje Configuration Manager. Po načtení snímku každá lokalita provede replikaci databáze s ostatními lokalitami.
Pokud chcete replikovat data mezi lokalitami, Configuration Manager používá vlastní replikační službu databáze. Replikační služba databáze používá sledování změn SQL Serveru ke sledování změn místní databáze lokality a pak replikuje tyto změny v ostatních lokalitách pomocí služby SQL Server Service Broker. Ve výchozím nastavení tento proces používá protokol TCP/IP, port 4022.
Configuration Manager seskupuje data, která se replikují pomocí replikace databáze do různých skupin replikace. Každá skupina replikace obsahuje samostatný, pevný plán replikace, který určuje, jak často dochází k replikaci změn dat ve skupině do ostatních lokalit. Změna konfigurace pro konfigurace správy dle rolí se třeba replikuje rychle do ostatních lokalit k zajištění toho, aby se tyto změny vynutily co nejdřív. Mezitím se změny konfigurace s nižší prioritou, například požadavky na instalaci nové sekundární lokality, replikují s nižší naléhavostí a zaberou několik minut, než požadavek nové databáze dosáhne cílové primární lokality.
Poznámka
Replikace databáze Configuration Manager se konfiguruje automaticky a nepodporuje konfiguraci skupin replikace nebo plánu replikace. Počínaje verzí Configuration Manager SP1 však můžete provádět konfiguraci replikačních spojení databáze a ovládat tak okamžik, kdy konkrétní přenosy prochází sítí. Můžete také konfigurovat, kdy Configuration Manager upozorní na replikační spojení, která mají status degradovaných nebo vadných.
Configuration Manager klasifikuje data, která replikuje pomocí replikace databáze za globální data nebo data lokality. Kdykoliv dojde k replikaci databáze, změny globálních dat a dat lokality se přenesou pomocí replikačního připojení databáze. Globální data se můžou replikovat do nadřazené i podřízené lokality a lokalita se replikuje jenom do nadřazené lokality. Třetí datový typ, který má název místní data, se do ostatních lokalit nereplikuje. Místní data zahrnují informace, které ostatní lokality nevyžadují:
Globální data: Globální data odkazují na objekty vytvořené správci, které se replikují do všech lokalit v hierarchii, přičemž sekundární lokality přijímají jenom podmnožinu globálních dat, třeba globální proxy data. Mezi globální data patří například nasazení softwaru, aktualizace softwaru, kolekce definic a obory zabezpečení správy na základě rolí. Správci můžou vytvářet globální data v lokalitách centrální správy a primárních lokalitách.
Data lokality: Data lokality představují provozní informace vytvářené primárními lokalitami nástroje Configuration Manager a klienty komunikujícími s primárními lokalitami. Data lokality se replikují na lokalitu centrální správy, ale ne na ostatní primární lokality. Mezi data lokality patří třeba data inventáře hardwaru, stavové zprávy, výstrahy a výsledky z kolekcí založených na dotazu. Data lokality jsou viditelná jenom v lokalitě centrální správy a v primární lokalitě svého původu. Data lokality jde upravit jenom v primární lokalitě, kde se vytvořila.
Všechna data lokality se replikují do centrální lokality pro správu. Proto může centrální lokalita pro správu provádět správu a hlášení pro celou hierarchii.
Použijte informace v následujících částech k plánování pro používání ovládacích prvků, které jsou dostupné počínaje verzí Configuration Manager SP1 ke konfiguraci odkazů replikace databáze mezi lokalitami a ke konfiguraci ovládacích prvků každé databáze lokality. Tyto ovládací prvky vám můžou pomoct ovládat a sledovat síťový provoz, který vytváří replikace databáze.
Připojení replikace databáze
Po provedení instalace nové lokality v hierarchii Configuration Manager automaticky vytvoří připojení replikace databáze mezi dvěma lokalitami. Samostatné připojení se vytvoří pro připojení nové lokality k nadřazené lokalitě.
Počínaje verzí Configuration Manager SP1 každé připojení replikace databáze podporuje konfigurace, jako pomoc při ovládání přenosu dat pomocí replikačního připojení. Každé replikační připojení podporuje samostatné konfigurace. Ovládací prvky replikačních připojení databáze zahrnují následující položky:
Použijte distribuovaná zobrazení k zastavení replikace vybraných dat lokality z primární lokality do centrální lokality pro správu a umožněte centrální lokalitě pro správu přímý přístup k těmto datům z databáze primární lokality.
Naplánujte, kdy dojde k přenosu vybraných dat lokality z podřízené primární lokality do centrální lokality pro správu.
Definujte nastavení, které určuje, kdy se připojení replikace databáze nachází v degradovaném stavu nebo selhalo.
Nakonfigurujte, kdy chcete aktivovat upozornění na vadné replikační připojení.
Určete, jak často Configuration Manager shrnuje data týkající se provozu replikace, který používá replikační připojení. Tato data se používají v sestavách.
Pro konfiguraci připojení replikace databáze, upravte vlastnosti připojení v konzole Configuration Manager z uzlu Replikace databáze. Tento uzel se objeví v pracovním prostoru Sledování a počínaje verzí Configuration Manager SP1 se tento uzel zobrazuje taky v uzlu Konfigurace hierarchie v pracovním prostoru Správa. Replikační připojení můžete upravit z nadřazené lokality nebo podřazené lokality replikačního připojení.
Tip
Replikační připojení databáze můžete upravit v uzlu Replikace databáze v libovolném pracovním prostoru. Pokud ale použijete uzel Replikace databáze v pracovním prostoru Sledování, můžete zobrazit taky stav replikace databáze pro replikační připojení a využít nástroj Replication Link Analyzer, který vám pomůže prozkoumat problémy s replikací databáze.
Informace týkající se konfigurace replikačních připojení najdete v tématu Ovládací prvky replikace databáze lokality. Další informace o tom, jak sledovat replikaci, najdete v části Sledování odkazů na replikaci databáze a stavu replikace v tématu Monitorování lokalit a hierarchie nástroje Configuration Manager.
Informace v následujících částech použijte k plánování replikačních připojení databáze.
Plánování používání distribuovaných zobrazení
Pro System Center 2012 Configuration Manager SP1 a novější:
Distribuovaná zobrazení umožňují odesílat požadavky provedené v centrální lokalitě pro správu na vybraná data a přístup k těmto datům lokality přímo z databáze podřízené primární lokality. Tento přímý přístup nahrazuje potřebu replikace těchto dat lokality z primární lokality do centrální lokality pro správu. Jelikož je každé připojení replikace nezávislé na dalších připojeních replikace, můžete povolit distribuované zobrazení jenom na vybraných připojeních replikace. Distribuovaná zobrazení nejsou podporovaná mezi primární lokalitou a sekundární lokalitou.
Distribuovaná zobrazení můžou poskytovat následující výhody:
Snižovat zatížení procesoru při zpracování změn databáze v centrální lokalitě pro správu a primárních lokalitách.
Snižovat množství dat, které se přenáší přes síť do centrální lokality pro správu.
Vylepšit výkon systému SQL Server, který je hostitelem databáze centrální lokality pro správu.
Omezit prostor na disku používaný databází v centrální lokalitě pro správu.
Zvážit použití distribuovaných zobrazení, když se primární lokalita nachází v síti v těsné blízkosti centrální lokality pro správu, a tyto dvě lokality jsou vždy aktivní a připojení. To platí, protože distribuovaná zobrazení nahrazují replikaci vybraných dat mezi lokalitami přímými připojeními mezi systémy SQL Server v každé lokalitě. Toto přímé připojení se vytvoří při zaslání každého požadavku na tato data v centrální lokalitě pro správu. Obvykle se požadavky na data, která můžete povolit pro distribuovaná zobrazení, provádí při spouštění sestav nebo požadavků, zobrazování informací v nástroji Resource Explorer a sbíráním hodnocení pro kolekce, které obsahují pravidla založená na datech lokality.
Ve výchozím nastavení jsou distribuovaná zobrazení zakázaná pro každý odkaz replikace. Pokud povolíte distribuovaná zobrazení pro odkaz replikace, vyberte data lokality, která se nebudou replikovat do centrální lokality pro správu pomocí tohoto připojení, a povolte centrální lokalitě pro správu přístup k těmto datům přímo z databáze podřízené primární lokality, která odkaz sdílí. Můžete provést konfiguraci následujících typů dat lokality pro distribuovaná zobrazení:
Data inventáře hardwaru od klientů.
Softwarový inventář a data měření od klientů.
Stavové zprávy od klientů, primární lokalita a všechny sekundární lokality.
Operačně jsou distribuovaná zobrazení neviditelná pro administrativního uživatele, který si prohlíží data v konzole Configuration Manager nebo v sestavách. Po provedení požadavku na data povolená pro distribuovaná zobrazení nástroj SQL Server, který je hostitelem databáze centrální lokality pro správu, přímo otevře SQL Server podřízené primární lokality a načte informace. Můžete třeba použít konzolu Configuration Manager v centrální lokalitě pro správu k požadavku na informace týkající se inventáře hardwaru ze dvou lokalit a jenom jedna lokalita má inventář hardwaru povolený pro distribuované zobrazení. Informace inventáře pro klienty z lokality, která není konfigurovaná pro distribuovaná zobrazení, se načtou z databáze v centrální lokalitě pro správu. Informace inventáře pro klienty z lokality, která je konfigurovaná pro distribuovaná zobrazení, se získají z databáze v podřízené primární lokalitě. Tato informace se zobrazí v konzole Configuration Manager nebo sestavě bez rozlišení zdroje.
Dokud replikační připojení obsahuje typ dat povolených pro distribuční zobrazení, podřízená primární lokalita nereplikuje tato data do centrální lokality pro správu. Jakmile vypnete distribuovaná zobrazení typu dat, podřízená primární lokalita obnoví replikaci dat do centrální lokality pro správu jako součást normální replikace dat. Než jsou však tato data dostupná v centrální lokalitě pro správu, musí se replikační skupiny obsahující tato data znova inicializovat mezi primární lokalitou a centrální lokalitou pro správu. Podobně po odinstalaci primární lokality, která obsahuje povolená distribuovaná zobrazení, musí centrální lokalita pro správu projít kompletní opětovnou inicializací svých dat, než můžete začít přistupovat k datům povoleným pro distribuovaná zobrazení v centrální lokalitě pro správu.
.jpeg "System_CAPS_important") Důležité |
|---|
Když používáte distribuovaná zobrazení v replikačním připojení v hierarchii, je třeba zakázat distribuovaná zobrazení pro všechna replikační připojení, než odinstalujete libovolnou primární lokalitu. Další informace najdete v části Odinstalace primární lokality nakonfigurované s distribuovanými zobrazeními v tématu Instalace lokalit a vytvoření hierarchie pro nástroj Configuration Manager. |
Předpoklady a omezení distribuovaných zobrazení
Následují předpoklady a omezení distribuovaných zobrazení:
Jak centrální lokalita pro správu, tak i primární lokalita musí obsahovat stejnou verzi nástroje Configuration Manager v minimální verzi SP1.
Distribuovaná zobrazení nejsou podporovaná jenom u replikačních připojení mezi centrální lokalitou pro správu a primární lokalitou.
Centrální lokalita pro správu může obsahovat jenom jednu nainstalovanou instanci poskytovatele služeb SMS a tato instance musí být nainstalovaná na serveru databáze lokality. Tento postup je nezbytný pro podporu ověřování Kerberos vyžadovaného k povolení SQL Serveru v centrální lokalitě pro správu a k přístupu k SQL Serveru v podřízené primární lokalitě. Neexistují žádná omezení poskytovatele služeb SMS v podřízené primární lokalitě.
Centrální lokalita pro správu může obsahovat jenom jeden nainstalovaný bod služby SQL Server Reporting Services a ten se musí nacházet na serveru databáze lokality. Tento postup je nezbytný pro podporu ověřování Kerberos vyžadovaného k povolení SQL Serveru v centrální lokalitě pro správu a k přístupu k SQL Serveru v podřízené primární lokalitě.
Databáze lokality nemůže být hostovaná v clusteru SQL Serveru.
Počítačový účet databázového serveru z centrální lokality pro správu vyžaduje oprávnění Read pro databázi lokality primární lokality.
Distribuovaná zobrazení a plány, kdy se můžou data replikovat, představují vzájemně exkluzivní konfigurace pro replikační připojení databáze.
Plánování přenosů dat lokality do replikačních připojení databáze
Pro System Center 2012 Configuration Manager SP1 a novější:
Pro snazší řízení šířky pásma sítě, která se používá pro replikaci dat lokality z podřízené primární lokality do příslušné lokality centrální správy, můžete naplánovat, kdy se má odkaz replikace používat, a určit, kdy se různé typy dat lokality mají replikovat. Můžete ovládat, kdy má primární lokalita replikovat stavové zprávy, inventář a data měření. Odkazy replikace databáze ze sekundárních lokalit nepodporují plány pro data lokality. Přenos globálních dat se nedá naplánovat.
Při konfiguraci plánu odkazu replikace databáze můžete omezit přenos vybraných dat lokality z primární lokality do lokality centrální správy a pro replikaci různých typů dat lokality můžete nastavit různé časy.
Další informace o tom, jak řídit použití šířky pásma sítě mezi lokalitami Configuration Manageru, najdete v části Řízení využití šířky pásma sítě mezi lokalitami v tomto tématu.
Plán souhrnu provozu replikace databáze
Pro System Center 2012 Configuration Manager SP1 a novější:
Počínaje verzí Configuration Manager SP1 každá lokalita pravidelně sumarizuje data o síťovém provozu překračující odkazy replikace databáze, které zahrnují web. Tato sumarizovaná data se používají v sestavách pro replikaci databáze. Obě lokality odkazu replikace sumarizují síťový provoz, který překračuje odkaz replikace. Sumarizaci dat provádí SQL Server, který je hostitelem databáze lokality. Po ukončení sumarizace dat se tyto informace replikují na jiné lokality jako globální data.
Ve výchozím nastavení se sumarizace provádí každých 15 minut. Četnost sumarizace pro síťový provoz můžete měnit, a to úpravou intervalu sumarizace ve vlastnostech odkazu replikace databáze. Četnost sumarizace ovlivňuje informace, které si zobrazujete v sestavách s informacemi o replikace databáze. Tento interval můžete měnit v rozmezí 5 až 60 minut. Pokud četnost sumarizace zvýšíte, zvýšíte tím i zatížení SQL Serveru na každé lokalitě odkazu replikace.
Plán prahových hodnot replikace databáze
Prahové hodnoty replikace databáze definují, kdy se stav odkazu replikace databáze oznamuje jako degradovaný nebo ve stavu selhání. Ve výchozím nastavení je odkaz nastavený jako degradovaný, pokud se některé skupině replikací nepodaří dokončit replikaci během 12 po sobě jdoucích pokusů, a ve stavu selhání, pokud se některé skupině replikací nepodaří dokončit replikaci během 24 po sobě jdoucích pokusů.
Počínaje verzí Configuration Manager SP1, když Configuration Manager oznamuje odkaz databáze jako degradovaný nebo ve stavu selhání, můžete zadat vlastní hodnoty a systém doladit. Před verzí Configuration Manager SP1 se tyto prahové hodnoty nastavit nedaly. Nastavení, kdy Configuration Manager oznamuje každý stav pro vaše odkazy replikace databáze, vám může pomoct lépe sledovat stav replikace databáze ve vašich odkazech replikace databáze.
Vzhledem k tomu, že jedna nebo několik skupin replikací může při replikaci selhat, zatímco jiné skupiny replikací úspěšně v replikaci pokračují, stav replikace odkazu replikace po prvním oznámení stavu jako degradovaného pravidelně kontrolujte. Jestliže se objeví opakované prodlevy pro určité skupiny replikací a jejich prodleva nepředstavuje problém, nebo pokud síťové propojení mezi lokalitami má nízkou dostupnou šířku pásma, zvažte, jestli hodnoty parametrů opakování pokusů pro degradovaný stav nebo pro stav selhání daného odkazu neupravíte. Pokud zvýšíte počet opakování pokusů, než se odkaz nastaví jako degradovaný nebo ve stavu selhání, můžete eliminovat falešná upozornění u známých problémů, což vám umožní lépe sledovat stav takového propojení.
Měli byste také zvážit interval synchronizace replikace pro všechny skupiny replikací, abyste porozuměli, jak často replikace takové skupiny nastává.Interval Synchronizace pro replikační skupiny můžete zobrazit na kartě Podrobnosti o replikaci odkazu replikace v uzlu Replikace databáze v pracovním prostoru Sledování.
Další informace o tom, jak sledovat replikace databáze, včetně toho, jak jde zobrazit stav replikace, najdete v části Sledování odkazů na replikaci databáze a stavu replikace v tématu Monitorování lokalit a hierarchie nástroje Configuration Manager.
Informace o konfiguraci prahových hodnot replikace databáze najdete v tématu Ovládací prvky replikace databáze lokality.
Ovládací prvky replikace databáze lokality
Pro System Center 2012 Configuration Manager SP1 a novější:
Každá databáze lokality podporuje konfigurace, které vám pomůžou usnadnit řízení šířky pásma sítě používané pro replikaci databáze. Tyto konfigurace platí jenom pro databázi lokality, kde provádíte konfiguraci nastavení, a používají se vždycky, když lokalita replikuje jakákoli data pomocí replikace databáze na jakoukoli jinou lokalitu.
Ovládací prvky replikace pro každou databázi lokality zahrnují následující:
Změňte port, který Configuration Manager používá pro službu SQL Server Service Broker.
Nakonfigurujte časové období, po který se má vyčkat, než selhání replikace aktivuje opětovnou inicializaci kopie databáze lokality.
Nakonfigurujte databázi lokality za účelem komprimace replikovaných dat pomocí replikace databáze. Data se komprimují jenom během přenosu mezi lokalitami a ne pro ukládání do databáze lokality v libovolné lokalitě.
Pro konfiguraci ovládacích prvků replikace databáze lokality upravte vlastnosti databáze lokality v konzole nástroje Configuration Manager z uzlu Replikace databáze. Tento uzel se objeví pod uzlem Konfigurace hierarchie v pracovním prostoru Správa a zobrazuje se taky v pracovním prostoru Sledování. Pokud chcete upravit vlastnosti databáze lokality, vyberte odkaz replikace mezi lokalitami, a pak otevřete Vlastnosti nadřazené databáze nebo Vlastnosti podřízené databáze.
Tip
Konfiguraci ovládacích prvků replikace databáze můžete provést z uzlu Replikace databáze v libovolném pracovním prostoru. Pokud ale použijete uzel Replikace databáze v pracovním prostoru Sledování, můžete zobrazit taky stav replikace databáze pro odkaz replikace a využít nástroj Replication Link Analyzer, který vám pomůže prozkoumat problémy s replikací.
Další informace o konfiguraci ovládacích prvků replikace databáze najdete v části Konfigurace ovládacích prvků replikace databáze. Další informace o sledování replikace najdete v části Sledování replikace databáze lokality.
Plánování komunikací v lokalitě v Configuration Manageru
Každá lokalita Configuration Manager obsahuje server lokality a může mít jeden nebo více dalších systémových serverů, které jsou hostiteli rolí systému lokality.Configuration Manager vyžaduje, aby každý systémový server lokality byl členem domény služby Active Directory.Configuration Manager nepodporuje změnu názvu počítače nebo členství v doméně, i když počítač zůstává systémem lokality.
Pokud systémy lokality nebo komponenty nástroje Configuration Manager komunikují přes síť s dalšími systémy lokality nebo komponentami nástroje Configuration Manager v lokalitě, používají protokoly SMB (Server Message Block), HTTP nebo HTTPS. Metoda komunikace závisí na tom, jak provedete konfiguraci lokality. S výjimkou komunikace ze serveru lokality do distribučního bodu se tyto komunikace mezi dvěma servery v lokalitě můžou vyskytovat kdykoliv a nepoužívají mechanismy pro řízení šířky pásma sítě. Vzhledem k tomu, že nemůžete řídit komunikace mezi systémy lokality, ujistěte se, že systémové servery lokality instalujete v umístěních s řádně připojenými a rychlými sítěmi.
Následující možnosti vám můžou pomoct spravovat přenos obsahu ze serveru lokality do distribučních bodů:
Konfigurace distribučního bodu pro řízení šířky pásma sítě a plánování. Tyto ovládací prvky připomínají konfigurace používané adresami mezi lokalitami a tuto konfiguraci můžete často použít místo instalace další lokality Configuration Manager, pokud přenos obsahu do vzdálených síťových umístění je vaším hlavním kritériem ohledně šířky pásma sítě.
Distribuční bod můžete nainstalovat jako připravený distribuční bod. Připravený distribuční bod vám umožní používat obsah, který je ručně umístěný na server distribučního bodu, a eliminuje požadavek na přenos souborů obsahu v síti.
Další informace o požadavcích na šířku pásma sítě najdete v části Zvážení šířky pásma sítě pro distribuční body v tématu Plánování správy obsahu v nástroji Configuration Manager.
Plánování komunikace klientů v Configuration Manageru
Klienti nástroje Configuration Manager a spravovaná zařízení komunikují s počítači, které jsou hostiteli infrastruktury nástroje Configuration Manager, jako jsou role systému lokality, infrastruktury domény, jako jsou DNS nebo služba Active Directory Domain Services, a se službami na internetu.
Při plánování komunikace klientů zvažte toto:
Scénáře komunikace |
Další informace |
|---|---|
Komunikace iniciovaná klienty |
Klienti inicializují komunikaci s těmito prvky:
|
Umístění služby |
Umístění služby je metoda, kterou klienti poznávají přiřazenou lokalitu a dynamicky vyhledávají body správy. Body správy jsou primární kontaktní body pro klienty a slouží k:
|
Informace v následujících částech vám pomůžou naplánovat komunikaci pomocí klientů s Windows.
Spravovat klienty používající systémy Linux a UNIX je možné počínaje verzí Configuration Manager SP1. Klienti používající systémy Linux a UNIX fungují jako klienti v pracovních skupinách. Informace o podpoře počítačů v pracovních skupinách najdete v části Plánování komunikací napříč doménovými strukturami v nástroji Configuration Manager v tomto tématu. Další informace o komunikaci pro klienty se systémem Linux a UNIX najdete v části v tématu Plánování nasazení klienta pro servery UNIX a Linux.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_PlanningforCommunicationsforLnU
Komunikace iniciované klienty
Klienti iniciují komunikaci s rolemi systému lokality, službou Active Directory Domain Services a online službami. Pokud chcete povolit tuto komunikaci, musí brány firewall umožňovat síťový provoz mezi klienty a koncovým bodem jejich komunikace. Koncové body můžou být:
Body správy, ze kterých klienti stahují zásady klienta.
Distribuční body, ze kterých klienti stahují obsah.
Body aktualizace softwaru
Dál jsou uvedené další role systému lokality, specifické pro úlohy jednotlivých funkcí:
Bod lokality Application Catalog
Modul zásad Configuration Manageru (NDES)
Bod záložního stavu
Bod migrace stavu
Bod validátoru stavu systému
Různé doménové služby, třeba služby Active Directory Domain Services nebo DNS (pro umístění služby).
Microsoft Update pro udržování ochrany proti malwaru.
Cloudové prostředky, jako jsou služby Microsoft Update nebo Microsoft Azure a Microsoft Intune, pokud tyto cloudové služby používáte s nástrojem Configuration Manager.
Podrobnosti o portech a protokolech používaných klienty při komunikaci s těmito koncovými body najdete v tématu Technické informace o portech používaných ve Správci konfigurace.
Dřív než klient může komunikovat s rolí systému lokality, klient pomocí umístění služby hledá roli systému lokality, která podporuje protokol klienta (HTTP nebo HTTPS). Ve výchozím nastavení klienti používají nejbezpečnější metodu, která je jim dostupná:
Aby mohl používat protokol HTTPS, musíte mít infrastrukturou veřejných klíčů (PKI) a musíte mít na klientech a na serverech nainstalované certifikáty PKI. Informace o používání certifikátů najdete v části Požadavky na certifikát PKI pro nástroj Configuration Manager.
Když nasadíte roli systému lokality, která používá službu Internet Information Services (IIS) a podporuje komunikaci od klientů, je třeba zadat, jestli se klienti připojují k systému lokality pomocí protokolu HTTP nebo HTTPS. Jestliže používáte protokol HTTP, musíte taky zvážit možnosti podepisování a šifrování. Další informace naleznete v části Plánování podepisování a šifrování.
Následující role systému lokality a služby podporují komunikaci HTTPS od klientů:
Bod lokality Application Catalog
Modul zásad Configuration Manageru
Distribuční bod (cloudové distribuční body vyžadují protokol HTTPS)
Bod správy
Bod aktualizace softwaru
Bod migrace stavu
Při plánování pro klienty v nedůvěryhodných umístěních si kromě výše uvedených informací přečtěte i téma Důležité informace týkající se komunikace klientů z internetu nebo nedůvěryhodné doménové struktury.
Umístění služby a jak klienti zjišťují jim přiřazený bod správy
Klienti zjišťují výchozí bod správy lokality, který je jim přiřazený, při jejich první instalaci a přiřazení k lokalitě. Jakmile klient najde svůj výchozí bod správy lokality, stane se tento bod správy jeho přiřazeným bodem správy. Toto přiřazení určuje klient.
Od kumulativní aktualizace 3 pro System Center 2012 R2 Configuration Manager můžete použít spřažení bodů správy a nakonfigurovat klienta tak, aby používal jeden nebo víc konkrétních bodů správy.
Od verze System Center 2012 Configuration Manageru SP2 můžete použít upřednostňované body správy. Upřednostňovaný bod správy je bod správy, který je přidružený skupině hranic jako server systému lokality, podobně jako jsou skupině hranic přidruženy distribuční body nebo body migrace stavu. Pokud povolíte upřednostňované body správy pro hierarchii, když klient používá bod správy z jeho přiřazené lokality, pokusí se použít upřednostňovaný bod správy před použitím jiného bodu správy z jeho přiřazené lokality.
Jakmile má klient přiřazený bod správy, pravidelně vydává žádosti o umístění služby pro výchozí bod správy svojí lokality v případě, že se změnil.
Pokaždé, když klient potřebuje zjistit, který bod správy má použít, prochází seznam známých bodů správy (nazývaný seznam MP), který je uložený místně v rozhraní WMI. Klient vytvoří počáteční seznam MP při svojí instalaci a pak ho pravidelně aktualizuje podrobnostmi o jednotlivých bodech správy v hierarchii.
Pokud klient nemůže v seznamu MP najít platný bod správy, prohledává postupně následující zdroje umístění služby, dokud nenajde bod správy, který může použít:
Bod správy
Služba Active Directory Domain Services
DNS
WINS
Jakmile klient úspěšně vyhledá a kontaktuje bod správy, stáhne si aktuální seznam bodů správy, které jsou v hierarchii dostupné, a aktualizuje svůj místní seznam. Platí to jak pro klienty, kteří jsou přidaní do domény, tak pro ty, kteří nejsou.
Pokud se třeba klient nástroje Configuration Manager, který je na internetu, připojí k internetovému bodu správy, bod správy pošle tomuto klientovi seznam internetových bodů správy dostupných v lokalitě. Podobně klienti, kteří jsou přidaní do domény nebo jsou v pracovních skupinách, taky dostanou seznam bodů správy, které můžou používat.
Klient, který není nakonfigurovaný pro internet, nedostane jenom internetové body správy.
Klienti v pracovních skupinách nakonfigurovaní jenom pro internet komunikují s internetovými body správy.
Dále najdete informace o jednotlivých umístěních zdrojů služeb:
Seznam MP
Seznam MP klientů je upřednostňovaný zdroj pro umístění zdroje služby, protože to je seznam bodů správy, které už klient identifikoval, seřazený podle priority. Tento seznam je seřazený podle jednotlivých klientů na základě jejich umístění v síti v době, kdy klient seznam aktualizoval a pak je uložil místně na klientovi v rozhraní WMI.
Vytvoření počátečního seznamu MP
Při instalaci klienta se pro vytvoření počátečního MP seznamu používají následující pravidla:
Počáteční seznam obsahuje body správy zadané během instalace klienta (při použití parametrů SMSMP= nebo /MP).
Klient posílá dotazy na publikované body správy službě Active Directory Domain Services (AD DS). Aby ho služba AD DS rozpoznala, musí být bod správy z přiřazené lokality klienta a jeho verze produktu musí být stejná jako verze klienta.
Pokud při instalaci klienta není zadaný žádný bod správy a schéma služby Active Directory není rozšířené, klient hledá publikované body správy v DNS a WINS.
Při vytváření počátečního seznamu nemusí být známé informace o některých bodech správy v hierarchii.
Uspořádání seznamu bodů správy
Klienti uspořádávají svoje seznamy bodů správy následujícím způsobem:
Proxy server: Bod správy proxy serveru je bod správy v sekundární lokalitě.
Místní: Jakýkoliv bod správy, který je přidružený k aktuálnímu umístění v síti klienta podle definice hranic lokality.
Když klient patří do víc skupin hranic, seznam místních bodů správy se určí ze sjednocení všech hranic, které obsahují aktuální umístění v síti klienta.
Místní body správy jsou obvykle podmnožinou přiřazených bodů správy klienta, pokud klient není v umístění v síti přidruženém s jinou lokalitou s body správy obsluhujícími svoje skupiny hranic.
Přiřazený: Jakýkoliv bod správy, který je systémovou lokalitou pro lokalitu přiřazenou klientovi.
Od verze System Center 2012 Configuration Manageru SP2 můžete použít upřednostňované body správy. Upřednostňované body správy jsou body správy z lokality přiřazené klientovi, které jsou přidružené skupině hranic, kterou klient používá při hledání serverů systému lokality.
Body správy v lokalitě, které nejsou přidružené skupině hranic nebo které nejsou ve skupině hranic přidružené aktuálnímu umístění klienta v síti, se nepovažují za upřednostňované a použijí se, když klient nemůže identifikovat dostupný upřednostňovaný bod správy.
Výběr používaného bodu správy
Při obvyklých komunikacích se klient pokouší použít bod správy v následujícím pořadí podle umístění v síti klienta:
Proxy server
Místní
Přiřazený
Klient ale vždycky používá přiřazený bod správy pro registrační zprávy a některé zprávy zásad, i když jsou ostatní komunikace odeslané na server proxy nebo místní bod správy.
V rámci každé klasifikace (proxy, místní nebo přiřazený) klienti zkouší použít bod správy podle preferencí v tomto pořadí:
S podporou protokolu HTTPS v důvěryhodné nebo místní doménové struktuře (pokud je klient nakonfigurovaný pro komunikaci HTTPS)
S podporou protokolu HTTPS mimo důvěryhodnou nebo místní doménovou strukturu (pokud je klient nakonfigurovaný pro komunikaci HTTPS)
S podporou protokolu HTTP v důvěryhodné nebo místní doménové struktuře
S podporou protokolu HTTP mimo důvěryhodnou nebo místní doménovou strukturu
Ze sady bodů správy seřazených podle preferencí klienti zkouší použít první bod správy na seznamu:
Takto seřazený seznam bodů správy je náhodný a jeho pořadí se nedá měnit.
Pořadí seznamu se může změnit pokaždé, když klient aktualizuje svůj seznam bodů správy.
Když klient nemůže navázat kontakt s prvním bodem správy, zkouší použít každý následný bod správy na svém seznamu. Nejprve vyzkouší všechny preferované body správy v příslušné klasifikaci a až potom nepreferované body zprávy. Pokud klient nemůže úspěšně komunikovat s žádným bodem správy v příslušné klasifikaci, pokusí se kontaktovat preferovaný bod správy z následující klasifikace a tak dále, dokud nenajde bod správy, který může použít.
Po navázání komunikace s bodem správy klienti pokračují v používání stejného bodu správy, dokud:
Po 25 hodinách klient náhodně vybere nový bod správy, který bude používat.
Klient nemůže komunikovat s bodem správy po 5 pokusech během 10 minut, po kterých klient vybere nový bod správy, který bude používat.
Active Directory
Klienti, kteří jsou přidaní do domény, můžou pro umístění služby použít službu Active Directory Domain Services (AD DS). To vyžaduje, aby lokality publikovaly data do Active Directory.
Klienti můžou službu Active Directory Domain Services použít pro umístění služby, když jsou splněné všechny následující podmínky:
Schéma služby Active Directory se rozšířilo o System Center 2012 Configuration Manager nebo o Configuration Manager 2007.
Doménová struktura služby Active Directory je nakonfigurovaná pro publikování a lokality Configuration Manageru jsou nakonfigurované pro publikování.
Klientský počítač je členem domény služby Active Directory a má přístup na server globálního katalogu.
Pokud klient nemůže najít bod správy, který má použít pro umístění služby z AD DS, pokusí se použít DNS. Klienti přidaní do domény můžou pro umístění služby použít AD DS. To vyžaduje, aby lokality publikovaly data do Active Directory.
DNS
Klienti v intranetu můžou pro umístění služby použít DNS. Aby bylo možné publikovat informace o bodech správy do DNS, musí být v hierarchii aspoň jedna lokalita.
Zvažte pro umístění služby použití DNS, pokud je splněná některá z následujících podmínek:
Schéma služby Active Directory Domain Services není rozšířené k podpoře nástroje Configuration Manager.
Klienti na intranetu jsou umístěni v doménové struktuře, která neumožňuje publikování nástroje Configuration Manager.
Máte klienty na počítačích v pracovní skupině a tito klienti nejsou nastavení na správu jenom internetových klientů. (Klient v pracovní skupině nakonfigurovaný jenom pro internet bude komunikovat jenom s internetovými body správy a nebude pro umístění služby používat DNS.)
Můžete klienty nakonfigurovat tak, aby hledali body správy z DNS.
Pokud lokalita publikuje záznamy umístění služby pro body správy na DNS:
Publikování se vztahuje jenom na body správy, které přijímají připojení klientů z intranetu.
Publikování přidá záznam prostředku umístění služby (SRV RR) v zóně DNS pro počítač bodu správy. Pro takový počítač musí existovat odpovídající záznam hostitele v DNS.
Ve výchozím nastavení klienti přidaní do domény hledají záznamy bodů správy v DNS z místní domény klienta. Můžete nakonfigurovat vlastnost klienta, která určuje příponu domény u domény, která nemá informace o bodech správy publikované do DNS.
Další informace o nastavení klientské vlastnosti přípony DNS naleznete v části Konfigurace klientských počítačů pro vyhledání bodů správy pomocí publikování DNS v nástroji Configuration Manager.
Pokud klient nemůže najít bod správy, který má použít pro umístění služby z DNS, pokusí se použít WINS.
Publikování bodů správy ve službě DNS
Pokud chcete publikovat body správy ve službě DNS, musí být splněné tyto dvě podmínky:
Vaše servery DNS podporují zdrojové záznamy o umístění služby a využívají protokol BIND verze 8.1.2 nebo vyšší.
Zadané intranetové plně kvalifikované názvy domény pro body správy v nástroji Configuration Manager mají záznamy hostitele (například záznamy A) ve službě DNS.
| Důležité |
|---|
Publikování DNS v nástroji Configuration Manager nepodporuje oddělený obor názvů. Pokud máte oddělený obor názvů, můžete publikovat body správy do služby DNS ručně nebo použít některou z alternativních metod umístění služby uvedených v této části. |
Pokud vaše servery DNS podporují automatické aktualizace, můžete nástroj Configuration Manager nastavit tak, aby publikoval body správy na intranetu ve službě DNS automaticky, nebo můžete publikovat tyto záznamy ve službě DNS ručně. Pokud jsou body správy publikované ve DNS, budou jejich intranetový plně kvalifikovaný název domény a číslo portu publikované v záznamu o umístění služby (SRV). Publikování v DNS se konfiguruje v lokalitě ve vlastnostech komponenty bodu správy lokality. Další informace naleznete v části Konfigurace součástí lokalit v nástroji Configuration Manager.
Pokud vaše servery DNS nepodporují automatické aktualizace, ale podporují záznamy o umístění služby, můžete body správy publikovat v DNS ručně. V takovém případě je třeba v DNS ručně zadat zdrojový záznam o umístění služby (SRV RR).
Configuration Manager podporuje u záznamů o umístění služby definici RFC 2782 a záznamy mají tento formát:
_Služba._Proto.Název TTL Třída SRV Priorita Váha Port Cíl
Pokud chcete publikovat bod správy v nástroji Configuration Manager, zadejte následující hodnoty:
_Služba: Zadejte _mssms_mp*_<kód_lokality>*, kde <kód_lokality> je kód lokality bodu správy.
._Proto: Zadejte ._tcp.
.Název: Zadejte příponu DNS bodu správy, třeba contoso.com.
TTL: Zadejte 14400, tj. čtyři hodiny.
Třída: Zadejte IN (v souladu s definicí RFC 1035).
Priorita: Toto pole se v nástroji Configuration Manager nepoužívá.
Váha: Toto pole se v nástroji Configuration Manager nepoužívá.
Port: Zadejte číslo portu, který využívá bod správy, třeba 80 pro HTTP a 443 pro HTTPS.
Poznámka
Port záznamu SRV musí odpovídat komunikačnímu portu, který používá bod správy. Ve výchozím nastavení je to 80 pro komunikaci pomocí protokolu HTTP, a 443 pro komunikaci HTTPS.
Cíl: Zadejte plně kvalifikovaný název domény intranetu zadaný pro systém lokality, který je nastavený s rolí lokality bodu správy.
Pokud používáte službu DNS Windows Serveru, můžete k zadání tohoto záznamu pro intranetové body správy použít následující postup. Pokud pro službu DNS používáte jinou implementaci, použijte informace uvedené v této části o hodnotách polí, přečtěte si dokumentaci ke službě DNS a postup si odpovídajícím způsobem upravte.
Pokud chcete konfigurovat automatické publikování:
V konzole nástroje Configuration Manager rozbalte Správa > Konfigurace lokality > Lokality.
Vyberte svou lokalitu a potom klikněte na Konfigurovat součásti lokality.
Vyberte Bod správy.
Vyberte body správy, které chcete publikovat. (Tento výběr platí pro publikování v AD DS a DNS).
Zaškrtněte toto políčko, pokud chcete publikovat do DNS:
Tento dialog umožňuje vybrat, které body správy se budou publikovat, a publikovat je na DNS.
Tento dialog nekonfiguruje publikování do AD DS.
Ruční publikování bodů správy v DNS na Windows Serveru
V konzoli nástroje Configuration Manager zadejte intranetové plně kvalifikované názvy domén systémů lokality.
V konzoli správy serverů DNS zvolte zónu DNS pro počítač bodu správy.
Ověřte, že je vytvořený záznam hostitele (A nebo AAAA) pro intranetový plně kvalifikovaný název domény systému lokality. Pokud tento záznam neexistuje, vytvořte ho.
Pomocí možnosti Nové ostatní záznamy klikněte v dialogovém okně Typ záznamu o prostředku na položku Umístění služby – Service Location (SRV), zvolte možnost Vytvořit záznam, zadejte následující informace a klikněte na tlačítko Hotovo:
Doména: V případě potřeby zadejte příponu DNS bodu správy, třeba contoso.com.
Služba: Zadejte _mssms_mp*_<kód_lokality>*, kde <kód_lokality> je kód lokality bodu správy.
Protokol: Zadejte _tcp.
Priorita: Toto pole se v nástroji Configuration Manager nepoužívá.
Váha: Toto pole se v nástroji Configuration Manager nepoužívá.
Port: Zadejte číslo portu, který využívá bod správy, třeba 80 pro HTTP a 443 pro HTTPS.
Poznámka
Port záznamu SRV musí odpovídat komunikačnímu portu, který používá bod správy. Ve výchozím nastavení je to 80 pro komunikaci pomocí protokolu HTTP, a 443 pro komunikaci HTTPS.
Hostitel nabízející tuto službu: Zadejte plně kvalifikovaný název domény intranetu zadaný pro systém lokality, který je nastavený s rolí lokality bodu správy.
Tento postup opakujte pro všechny body správy na intranetu, které chcete publikovat ve službě DNS.
WINS
Pokud ostatní mechanismy umístění služby selžou, klienti mohou najít prvotní bod správy ve službě WINS.
Ve výchozím nastavení primární lokalita publikuje do WINS první bod správy na lokalitě, který je nakonfigurovaný pro HTTP a první bod správy nakonfigurovaný pro HTTPS.
Pokud nechcete, aby klienti ve službě WINS vyhledávali body správy s protokolem HTTP, nastavte klienty pomocí vlastnosti CCMSetup.exe Client.msi SMSDIRECTORYLOOKUP=NOWINS.
Plánování probuzení klientů
Configuration Manager podporuje dvě technologie Wake-on-LAN, jimiž lze probudit počítače z režimu spánku, když chcete nainstalovat požadovaný software, například aktualizace softwaru nebo aplikace: tradiční pakety pro probuzení a příkazy pro zapnutí pomocí AMT.
V nástroji Configuration Manager SP1 lze metodu tradičních paketů pro probuzení rozšířit pomocí nastavení klienta pro proxy probuzení. Proxy probuzení využívá peer-to-peer protokol a vybrané počítače a zkontroluje, zda jsou ostatní počítače v podsíti vzbuzené. Pokud nejsou, vzbudí je z režimu spánku. Pokud je lokalita nastavena na Wake-on-LAN a klienti na proxy probuzení, probíhá proces takto:
Počítače, které mají nainstalovaného klienta nástroje Configuration Manager SP1 a které nejsou v režimu spánku v podsíti, kontrolují, zda nejsou v režimu spánku ostatní počítače v této síti. Provádějí to tak, že si navzájem každých 5 sekund posílají příkaz ping protokolu TCP/IP.
Pokud od ostatních počítačů nepřijde žádná odpověď, předpokládá se, že jsou v režimu spánku. Počítače, které nejsou v režimu spánku, se stávají vedoucími počítači pro tuto podsíť.
Jelikož je možné, že počítač neodpovídá i z jiného důvodu, než je režim spánku (například může být vypnutý, odebraný ze sítě nebo již neplatí nastavení klienta proxy probuzení), je počítačům odeslán paket buzení ze spánku každý den ve 14:00 místního času. U počítačů, které neodpoví, se již nebude předpokládat, že jsou v režimu spánku, a nadále se nebudou probouzet pomocí proxy probuzení.
Pro podporu proxy probuzení musejí být na každé podsíti vzhůru alespoň tři počítače. Toho dosáhnete tak, že jsou tři počítače nedeterministicky vybrány, aby byly opatrovnickými počítači podsítě. To znamená, že zůstanou vzhůru bez ohledu na jakékoli nakonfigurované zásady napájení pro přechod do režimu spánku nebo hibernace po určité době neaktivity. Opatrovnické počítače respektují příkazy vypnutí nebo restartu, například jako výsledek úloh údržby. Pokud k tomu dojde, zbývající opatrovnické počítače probudí jiný počítač v podsíti, aby měla podsíť i nadále tři opatrovnické počítače.
Vedoucí počítače požádají síťový přepínač o přesměrování provozu sítě ze spících počítačů na sebe.
Přesměrování dosahují vedoucí počítače pomocí vysílání rámce sítě Ethernet, který používá MAC adresu spícího počítače jako zdrojovou adresu. Díky tomu se bude přepínač sítě chovat, jako by se spící počítač přesunul na stejný port, na kterém je zapnut vedoucí počítač. Vedoucí počítač rovněž odesílá pakety ARP pro spící počítače, aby zůstala položka čerstvá v mezipaměti ARP. Vedoucí počítač také odpovídá na požadavky ARP jménem spícího počítače a odpovídá pomocí MAC adresy spícího počítače.
.jpeg "System_CAPS_warning")
UpozorněníBěhem tohoto procesu zůstane stejné mapování adresy IP na adresu MAC pro spící počítač. Proxy probuzení funguje tak, že informuje síťový přepínač o tom, že jiný síťový adaptér používá port, který byl zaregistrován jiným síťovým adaptérem. Toto chování je však známé jako „MAC flap“ a při standardním provozu sítě je neobvyklé. Některé nástroje monitorování sítě toto chování vyhledávají a mohou předpokládat, že je něco špatně. V důsledku toho mohou tyto nástroje monitorování generovat výstrahy nebo vypnout porty, když používáte proxy probuzení.
Nepoužívejte proxy probuzení, pokud vaše služby a nástroje monitorování sítě neumožňují operace „MAC flap“.
Když vedoucí počítač uvidí nový požadavek na připojení protokolu TCP pro spící počítač a požadavek je pro port, jemuž naslouchal spící počítač před přechodem do režimu spánku, odesílá vedoucí počítač spícímu počítači paket buzení ze spánku a poté pro tento počítač zastaví přesměrování provozu.
Spící počítač přijme paket buzení ze spánku a probudí se. Odesílající počítač automaticky opakuje připojení a tentokrát je již počítač vzhůru a může odpovědět.
Proxy probuzení má následující nezbytné požadavky a omezení:
| Důležité |
|---|
Máte-li samostatný tým odpovědný za síťovou infrastrukturu a síťové služby, informujte tento tým a zapojte jej do hodnocení a testu. Například v síti používající řízení přístupu k síti s ověřováním 802.1X nebude proxy probuzení fungovat a může narušit poskytování síťových služeb. Navíc by proxy probuzení mohlo způsobit, že některé nástroje k monitorování sítě vygenerují výstrahy při zjištění provozu, který probudí ostatní počítače. |
Podporovaní klienti jsou Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012.
Hostující operační systémy spouštěné na virtuálních počítačích nejsou podporovány.
Na klientech musí být spuštěn nástroj Configuration Manager SP1 a pomocí nastavení klienta musí mít povoleno použití proxy probuzení. Přestože operace proxy probuzení nezávisí na inventáři hardwaru, klienti nehlásí instalaci služby proxy probuzení, pokud nemají povolen inventář hardwaru a neodeslali alespoň jeden inventář hardwaru.
Síťové adaptéry (a možná systém BIOS) musí být povoleny a nakonfigurovány pro použití paketů buzení ze spánku. Pokud není síťový adaptér nakonfigurován pro použití paketů buzení ze spánku nebo je toto nastavení zakázáno, nástroj Configuration Manager je pro počítač automaticky nakonfiguruje a povolí, jakmile přijme nastavení klienta k povolení proxy probuzení.
Pokud má počítač více než jeden síťový adaptér, nelze nakonfigurovat, který adaptér použít pro proxy probuzení. Volba je nedeterministická. Zvolený adaptér se ale zaznamená do souboru SleepAgent_<doména>@SYSTEM_0.log.
Síť musí povolovat žádosti o odezvu protokolu ICMP (alespoň v rámci podsítě). Nelze nakonfigurovat interval 5 sekund, který se používá k odesílání příkazů ping protokolu ICMP.
Komunikace je nešifrovaná a neověřená, protokol IPsec není podporován.
Následující konfigurace sítě nejsou podporovány:
802.1X s ověřování portu
Bezdrátové sítě
Síťové přepínače s MAC adresami vázanými na specifické porty
Sítě využívající pouze protokol IPv6
Zapůjčení ze serveru DHCP na dobu kratší než 24 hodin
Nejlepší postup z hlediska zabezpečení je namísto paketů buzení ze spánku maximálně využívat příkazy pro zapnutí pomocí AMT. Jelikož příkazy pro zapnutí pomocí AMT využívají k zabezpečení komunikace certifikáty PKI, je tato technologie bezpečnější než odesílání paketů buzení ze spánku. Chcete-li však používat příkazy pro zapnutí pomocí AMT, musí být počítače založeny na technologii Intel AMT a musí být zřízeny pro technologii AMT. Další informace o tom, jak může nástroj Configuration Manager spravovat počítače založené na technologii AMT, naleznete v části Úvod do Správa mimo síť v nástroji Configuration Manager.
Pokud chcete probudit počítače pro naplánovanou instalaci softwaru, musíte nakonfigurovat jednotlivé primární lokality pro jednu ze tří možností:
Používat příkazy pro zapnutí pomocí AMT, jestliže počítač podporuje tuto technologii, jinak používat pakety buzení ze spánku.
Používat pouze příkazy pro probuzení pomocí AMT.
Používat pouze pakety buzení ze spánku.
Chcete-li použít proxy probuzení s nástrojem Configuration Manager SP1, musíte nasadit nastavení klienta proxy probuzení nástroje Power Management a k tomu ještě vybrat volbu Používat pouze pakety buzení ze spánku.
Další informace o rozdílech mezi dvěma technologiemi WOL (Wake-on-LAN), tradičními pakety buzení ze spánku a příkazy pro probuzení, naleznete v následující tabulce.
Technologie |
Výhoda |
Nevýhoda |
|---|---|---|
Tradiční pakety buzení ze spánku |
Nevyžaduje v lokalitě žádné další role systému lokality. Podporovány mnoha síťovými adaptéry. Pakety buzení ze spánku UDP se rychle odesílají a zpracovávají. Nevyžaduje infrastrukturu PKI. Nevyžaduje žádné změny ve službě Active Directory Domain Services. Podporováno na počítačích pracovní skupiny, počítačích z jiné doménové struktury služby Active Directory a počítačích ve stejné doménové struktuře služby Active Directory, ale používající nesouvislé obory názvů. |
Méně bezpečné řešení než příkazy pro probuzení pomocí AMT, protože nevyužívá ověřování či šifrování. Pokud jsou pro pakety buzení ze spánku používány přenosy všesměrového vysílání směrovaného na podsíť, existuje bezpečnostní riziko útoků „smurf attack“. Může vyžadovat ruční konfiguraci systému BIOS na každém počítači a konfiguraci adaptéru. Žádné potvrzení o tom, že se počítače probudily. Přenosy buzení ze spánku, protože více paketů protokolu UDP (User Datagram Protocol) může zbytečně nasytit dostupnou šířku pásma sítě. Pokud nepoužíváte proxy probuzení s nástrojem Configuration Manager SP1, nelze počítače interaktivně probudit. Počítače nelze vrátit do režimu spánku. Funkce správy jsou omezeny pouze na probouzení počítačů. |
Příkazy pro probuzení pomocí AMT |
Bezpečnější řešení než tradiční pakety buzení ze spánku, protože poskytuje možnosti ověřování a šifrování pomocí standardních protokolů zabezpečení. Rovněž je lze integrovat s existujícím nasazením infrastruktury PKI a ovládací prvky zabezpečení lze spravovat nezávisle na produktu. Podporuje automatickou centralizovanou instalaci a konfiguraci (zřizování AMT). Zřízená relace přenosu pro spolehlivější a kontrolovatelnější připojení. Počítač lze probouzet (a restartovat) interaktivně. Počítače lze vypínat interaktivně. Další možnosti správy, mezi které patří:
|
Vyžaduje, aby měla lokalita vzdálený bod služeb a bod registrace. Podporováno pouze na počítačích, které mají čipovou sadu Intel vPro a podporovanou verzi firmwaru Intel AMT (Intel Active Management Technology). Další informace o tom, které verze technologie AMT jsou podporovány, naleznete v části .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty. Zřízení relace transportu vyžaduje více času, vyšší míru zpracování na serveru a vyšší množství přenášených dat. Vyžaduje nasazení infrastruktury PKI a specifické certifikáty. Vyžaduje kontejner služby Active Directory, který je vytvořen a nakonfigurován pro publikování počítačů založených na technologii AMT. Nemůže podporovat počítače pracovní skupiny, počítače z jiné doménové struktury služby Active Directory a počítače ze stejné doménové struktury služby Active Directory, ale používající nesouvislé obory názvů. K podpoře zřizování AMT vyžaduje změny v DNS a DHCP. |
Vyberte, jak probouzet počítače na základě toho, zda můžete podporovat příkazy pro zapnutí pomocí AMT a zda počítače přidělené do lokality podporují technologii Wake-on-LAN. Rovněž zvažte výhody a nevýhody obou technologií, které jsou uvedeny v předchozí tabulce. Například pakety buzení ze spánku jsou méně spolehlivé a nejsou zabezpečené, ale zřízení příkazů pro zapnutí trvá déle a vyžaduje více zpracování na serveru systému lokality, který je nakonfigurován pomocí vzdáleného bodu služeb.
| Důležité |
|---|
Z důvodu další režie nezbytné ke zřízení, udržování a ukončení vzdálené relace správy u počítačů založených na technologii AMT proveďte vlastní testy, abyste mohli přesně určit, jak dlouho bude trvat probuzení více počítačů pomocí příkazů pro probuzení pomocí AMT ve vašem prostředí (například napříč pomalými linkami sítě WAN u počítačů v sekundárních lokalitách). Díky tomu se budete moci rozhodnout, zda je buzení počítačů kvůli naplánovaným aktivitám pomocí příkazů pro probuzení pomocí AMT praktické, když potřebujete probudit mnoho počítačů během krátké doby. |
Pokud se rozhodnete použít tradiční pakety buzení ze spánku, musíte se rovněž rozhodnout, zda chcete použít pakety všesměrového vysílání směrovaného na podsíť, nebo pakety jednosměrového vysílání, a jaké chcete použít číslo UDP portu. Standardně jsou tradiční pakety probuzení přenášeny pomocí UDP portu 9, ale pokud chcete zvýšit zabezpečení, můžete vybrat jiný port pro lokalitu, pokud je tento alternativní port podporován používanými routery a bránami firewall.
Pro tradiční pakety buzení ze spánku: Výběr mezi jednosměrovým vysíláním a všesměrovým vysíláním směrovaným na podsíť pro funkci Wake-on-LAN
Pokud se rozhodnete probouzet počítače odesíláním tradičních paketů buzení ze spánku, musíte se rozhodnout, zda pakety vysílat pomocí jednosměrového vysílání nebo pomocí všesměrového vysílání směrovaného na podsíť. Pokud používáte proxy probuzení s nástrojem Configuration Manager SP1, musíte použít pakety jednosměrového vysílání. Jinak použijte následující tabulku, která vám pomůže určit, kterou metodu přenosu použít.
Metoda přenosu |
Výhoda |
Nevýhoda |
|---|---|---|
Jednosměrová |
Bezpečnější řešení než všesměrové vysílání směrované na podsíť, protože paket je zasílán přímo na počítač a nikoli na všechny počítače v podsíti. Nemusí potřebovat opětovnou konfiguraci routerů (možná budete muset nakonfigurovat mezipaměť ARP). Spotřebovává méně šířky pásma sítě než přenosy všesměrového vysílání směrovaného na podsíť. Podporováno protokoly IPv4 a IPv6. |
Pakety probuzení nenachází cílové počítače, které si po posledním plánu inventáře hardwaru změnily svoji adresu podsítě. Může být potřeba nakonfigurovat přepínače na přesměrování UDP paketů. Některé síťové adaptéry nemusí odpovídat na pakety probuzení ve všech stavech režimu spánku, když používají jako metodu přenosu jednosměrové vysílání. |
Všesměrové vysílání směrované na podsíť |
Vyšší míra úspěšnosti než u jednosměrového vysílání, pokud máte počítače, které často mění své IP adresy ve stejné podsíti. Není potřeba žádná opětovná konfigurace přepínače. Vysoká míra kompatibility s adaptéry počítače pro všechny stavy režimu spánku, protože všesměrové vysílání směrované na podsíť bylo původní metodou přenosu pro odesílání paketů probuzení. |
Méně bezpečné řešení než použití jednosměrového vysílání, protože útočník by mohl odesílat nepřetržité proudy žádostí o odezvu protokolu ICMP z falešné zdrojové adresy na směrovanou adresu vysílání. To by způsobilo odpověď všech hostitelů na danou zdrojovou adresu. Pokud jsou routery nakonfigurovány tak, aby povolovaly všesměrové vysílání směrované na podsíť, je z bezpečnostních důvodů doporučena další konfigurace:
Povolení všesměrového vysílání směrovaného na podsíť může vyžadovat opětovnou konfiguraci všech zapojených routerů. Spotřebovává více šířky pásma sítě než u jednosměrových vysílání. Podporováno pouze protokolem IPv4. Protokol IPv6 není podporován. |
| Upozornění |
|---|
Všesměrové vysílání směrované na podsíť s sebou přináší tato bezpečnostní rizika: Útočník může odesílat nepřetržité proudy žádostí o odezvu protokolu ICMP (Internet Control Message Protocol) z falešné zdrojové adresy na směrovanou adresu vysílání, což způsobí, že všichni hostitelé odpoví na tuto zdrojovou adresu. Tento typ útoku s cílem odepření služeb se nazývá „smurf attack“ a běžně se mu předchází tím, že se všesměrové vysílání směrované na podsíť nepovolí. |
Plánování komunikací napříč doménovými strukturami v nástroji Configuration Manager
Nástroj System Center 2012 Configuration Manager podporuje lokality a hierarchie, které jsou rozmístěny napříč více doménovými strukturami služby Active Directory.
Nástroj Configuration Manager rovněž podporuje počítače domény, které nejsou ve stejné doménové struktuře služby Active Directory jako server lokality, a počítače z pracovních skupin:
Chcete-li zajistit podporu počítačů v doménové struktuře, která není důvěryhodná pro doménovou strukturu serveru lokality, můžete nainstalovat role systému lokality v této nedůvěryhodné lokalitě, s možností publikování informací o lokalitě do doménové struktury služby Active Directory klienta. Nebo můžete tyto počítače spravovat, jako by šlo o počítače pracovní skupiny. Když nainstalujete servery systému lokality do doménové struktury klienta, komunikace mezi klientem a serverem je udržována v rámci doménové struktury klienta a nástroj Configuration Manager může ověřit počítač pomocí služby Kerberos. Když publikujete informace o lokalitě do doménové struktury klienta, klienti načtou tyto informace o lokalitě, jako je například seznam dostupných bodů správy, ze své doménové struktury služby Active Directory, místo aby si je stahovali z přiřazeného bodu správy.
Poznámka
Pokud chcete spravovat zařízení, která jsou na internetu, můžete nainstalovat internetové role systému lokality do své hraniční sítě, když jsou servery systému lokality v doménové struktuře služby Active Directory. Tento scénář nevyžaduje obousměrnou důvěru mezi hraniční sítí a doménovou strukturou serveru lokality.
Pro podporu počítačů v pracovní skupině musíte ručně schválit tyto počítače, pokud používají připojení klientů protokolu HTTP k rolím systému lokality, protože nástroj Configuration Manager tyto počítače nemůže ověřit pomocí služby Kerberos. Navíc musíte nakonfigurovat účet přístupu k síti, aby tyto počítače mohly načítat obsah z distribučních bodů. Jelikož tito klienti nemohou načítat informace o lokalitě ze služby Active Directory Domain Services, musíte pro ně poskytnout alternativní způsob hledání bodů správy. Můžete použít publikování DNS, nebo WINS, nebo přímo přidělit bod správy.
Informace o schválení klienta najdete v části Konfigurace schvalování klientů a konfliktních záznamů v tématu Konfigurace nastavení správy klientů v nástroji Configuration Manager.
Informace o tom, jak nakonfigurovat účet přístupu k síti najdete v části Konfigurace účtu přístupu k síti v tématu Konfigurace správy obsahu v Configuration Manageru.
Informace o tom, jak nainstalovat klienty na počítače v pracovní skupině, najdete v části Instalace klientů nástroje Configuration Manager na počítače pracovní skupiny v tématu Instalace klientů v počítačích se systémem Windows v nástroji Configuration Manager.
Nástroj Configuration Manager podporuje konektor systému Exchange Server v jiné doménové struktuře než je server lokality. Pro podporu tohoto scénáře ověřte, zda překlad adresy funguje napříč doménovými strukturami (například nakonfigurujte předávání DNS), a pokud provádíte konfiguraci konektoru systému Exchange Server, zadejte úplný název domény intranetu (FQDN) systému Exchange Server. Další informace naleznete v části Správa mobilních zařízení pomocí nástroje Configuration Manager a serveru Exchange.
Pokud váš návrh nástroje Configuration Manager zahrnuje více domén a doménových struktur služby Active Directory, použijte další informace v následující tabulce, které vám pomohou naplánovat následující typy komunikace.
Scénář |
Podrobnosti |
Další informace |
|---|---|---|
Komunikace mezi lokalitami v hierarchii, která zahrnuje doménové struktury:
|
Nástroj Configuration Manager podporuje instalaci podřízené lokality ve vzdálené doménové struktuře, která vyžadovala obousměrnou důvěryhodnost mezi doménami s doménovou strukturou nadřazené lokality. Příklad: Sekundární lokalitu můžete umístit v doménové struktuře odlišné od její nadřazené primární lokality, pokud mezi nimi existuje vztah důvěryhodnosti. Pokud dvousměrná důvěryhodnost mezi doménami podporujícími ověřování protokolu Kerberos není, pak nástroj Configuration Manager nepodporuje podřízenou lokalitu ve vzdálené doménové struktuře. Poznámka Podřízená lokalita může být primární lokalita (kde lokalita centrální správy je nadřazená lokalita), nebo sekundární lokalita. Komunikace mezi lokalitami v nástroji Configuration Manager používá replikaci databáze a souborové přenosy. Pokud instalujete lokalitu, je třeba zadat účet pro instalaci lokality na určený server. Tento účet také umožní navázání a udržování komunikace mezi lokalitami. Po úspěšné instalaci lokality a inicializaci souborových přenosů a replikace databáze není nutné pro komunikaci s lokalitou cokoliv dalšího konfigurovat. Další informace o tom, jak nainstalovat lokalitu, najdete v části Instalace serveru lokality v tématu Instalace lokalit a vytvoření hierarchie pro nástroj Configuration Manager. |
Pokud mezi doménami existuje vztah obousměrné důvěryhodnosti, nástroj Configuration Manager nevyžaduje žádné další kroky konfigurace. Pokud instalujete novou lokalitu jako podřízenou jiné lokalitě, ve výchozím nastavení nástroj Configuration Manager provede následující konfiguraci:
Je také nutné provést následující konfiguraci:
|
Komunikace v lokalitě, která zahrnuje doménové struktury:
|
Primární lokality podporují instalace role systému lokality na počítačích v jiných doménových strukturách. Dvě výjimky jsou bod obsluhy vzdálené správy a bod služeb webu Katalog aplikací, které musí být nainstalované ve stejné doménové struktuře jako server lokality. Pokud role systému lokality přijímá připojení z internetu, jako nejlepší postup zabezpečení se jeví instalace těchto rolí systému lokality v umístění, kde hranice doménové struktury poskytují ochranu pro server lokality (třeba v hraniční síti). Při instalaci roli systému lokality na počítač v nedůvěryhodné doménové struktuře:
Pokud použijete roli systému lokality v nedůvěryhodné doménové struktuře, musí brány firewall umožňovat síťový provoz i v případě, že server lokality zahájí přenos dat. Následující role systému lokality navíc vyžadují přímý přístup do databáze lokality. Brány firewall proto musí umožňovat příslušný provoz z nedůvěryhodné doménové struktury na SQL Server lokalit:
Další informace najdete v části Technické informace o portech používaných ve Správci konfigurace. |
Role systému lokality bodu správy a bodu zápisu se připojují k databázi lokality. Ve výchozím nastavení, pokud jsou tyto role systému lokality nainstalovány, nástroj Configuration Manager provede konfiguraci účtu nového systémového serveru lokality jako účtu připojení a přidá účet do odpovídající role databáze systému SQL Server. Při instalaci těchto rolí systému lokality v nedůvěryhodné doméně je třeba provést konfiguraci účtu připojení role systému lokality, aby role systému lokality měla povoleno získávat informace z databáze. Pokud konfigurujete uživatelský účet domény pro tyto účty připojení, ověřte, zda účet má odpovídající přístup do databáze systému SQL Server v této lokalitě:
Při plánování rolí systému lokality v jiných doménových strukturách zvažte následující doplňkové informace:
|
Komunikace mezi klienty a rolemi systému lokality, pokud se klienti nenacházejí ve stejné doménové struktuře služby Active Directory jako jejich server lokality. |
Nástroj Configuration Manager podporuje následující scénáře pro klienty, kteří nejsou ve stejné doménové struktuře jako jejich server lokality:
Poznámka Nástroj Configuration Manager nemůže provádět vzdálenou správu počítačů s technologií AMT, pokud se tyto počítače nacházejí v jiné doménové struktuře než server lokality. |
Klienti v počítači domény mohou používat službu Active Directory Domain Services pro umístění služby, pokud jejich lokalita je publikovaná v jejich doménové struktuře služby Active Directory. Pro publikování informací v jiné doménové struktuře služby Active Directory je třeba nejprve zadat doménovou strukturu, a pak povolit publikování v této doménové struktuře v uzlu Doménová struktura služby Active Directory v pracovním prostoru Správa. Navíc je nutné povolit každé lokalitě, aby mohla publikovat svoje data ve službě Active Directory Domain Services. Tato konfigurace umožňuje klientům v dané doménové struktuře získávat informace o lokalitě a vyhledávat body správy. U klientů, kteří nemohou používat službu Active Directory Domain Services pro umístění služby, můžete použít DNS, WINS nebo bod správy přiřazený klientovi. |
Plánování internetové správy klientů
Internetová správa klientů vám umožňuje spravovat klienty nástroje Configuration Manager, pokud nejsou připojeni k firemní síti, ale mají standardní připojení k internetu. Toto uspořádání má několik výhod, které zahrnují snížené náklady, neboť nemusí spouštět virtuální soukromé sítě a mohou nasazovat aktualizace softwaru včas.
Vzhledem k vyšším požadavkům na zabezpečení počítačů správy klientů ve veřejné síti, internetová správa klientů vyžaduje, aby klienti a systémové servery lokality, k nimž se klienti připojují, používali certifikáty PKI. To zajišťuje, že připojení jsou ověřována nezávislou autoritou a že data pro tyto systémy a z těchto systémů jsou šifrována pomocí protokolu SSL (Secure Sockets Layer).
Následující části vám pomohou při plánování internetové správy klientů.
Funkce nepodporované na internetu
Ne všechny funkce správy klientů jsou vhodné pro internet; při správě klientů na internetu proto některé funkce nejsou podporovány. Tyto funkce, které pro internetovou správu nejsou podporovány, obvykle spoléhají na službu Active Directory Domain Services, nebo nejsou vhodné pro veřejnou síť, jako např. zjišťování sítě a funkce Wake-on-LAN (WOL).
Při správě klientů na internetu nejsou podporovány následující funkce:
Nasazení klienta přes internet, jako např. nabízená instalace klientů a nasazení klienta na základě aktualizace softwaru. Místo toho nainstalujte klienta ručně.
Automatické přiřazení lokality.
Architektura NAP (Network Access Protection).
Funkce vzdáleného probuzení Wake On LAN.
Nasazení operačního systému. Můžete však nasadit sekvence úloh, které nenasazují operační systém; například sekvence úloh, které spouštějí skripty a úlohy údržby klientů.
Vzdálené řízení.
Vzdálená správa.
Nasazení softwaru na uživatele, pokud internetový bod správy může ověřit uživatele ve službě Active Directory Domain Services pomocí ověřování systému Windows (Kerberos nebo NTLM). To je možné, pokud internetový bod správy důvěřuje doménové struktuře, ve které se nachází uživatelský účet.
Internetová správa klientů navíc nepodporuje roaming. Roaming umožňuje klientům vždy nalézt nejbližší distribuční body pro stahování obsahu. Klienti spravovaní přes internet komunikují se systémy lokality ze své přiřazené lokality, pokud tyto systémy lokality jsou nakonfigurovány pro používání FQDN internetu a role systému lokality umožňují klientovi připojení z internetu. Klienti nedeterministicky vybírají jeden z internetových systémů lokality, bez ohledu na šířku pásma nebo fyzické umístění.
Poznámka
Novinka v nástroji System Center 2012 Configuration Manager – až budete mít k dispozici bod aktualizace softwaru nakonfigurovaný tak, aby přijímal připojení z internetu, budou internetoví klienti nástroje Configuration Manager vždy prohledávat v tomto bodu aktualizace softwaru, aby zjišťovali povinné softwarové aktualizace. Pokud jsou však tito klienti připojeni k internetu, pokouší se nejprve stáhnout softwarové aktualizace z webu Microsoft Update místo internetového distribučního bodu. Pouze pokud tato možnost selže, budou požadované aktualizace softwaru staženy z internetového distribučního bodu. Klienti, kteří nejsou nakonfigurovaní pro internetovou správu klientů, se nikdy nepokouší aktualizace softwaru stahovat z webu Microsoft Update, ale vždy používají distribuční body nástroje Configuration Manager.
Důležité informace týkající se komunikací klientů z internetu nebo nedůvěryhodné doménové struktury
Následující role systému lokality instalované v primárních lokalitách podporují připojení od klientů, kteří jsou v nedůvěryhodných umístěních, jako je internet nebo nedůvěryhodná doménová struktura (sekundární lokality nepodporují připojení klientů z nedůvěryhodných umístění):
Bod lokality Application Catalog
Modul zásad Configuration Manageru
Distribuční bod (cloudové distribuční body vyžadují protokol HTTPS)
Zprostředkující bod registrace
Bod záložního stavu
Bod správy
Bod aktualizace softwaru
Systémy lokalit vystavené internetu:
Není sice potřeba, aby mezi doménovou strukturou klienta a doménovou strukturou serveru systému lokalit byl vztah důvěryhodnosti, ale pokud doménová struktura obsahující systémy lokalit vystavené internetu důvěřuje doménové struktuře obsahující uživatelské účty, podporuje tato konfigurace uživatelské zásady pro zařízení v internetu, pokud je povolené nastavení klienta Zásady klientaPovolit žádosti o zásady uživatele od internetových klientů.
Například následující konfigurace ilustruje, kdy internetová správa klientů podporuje uživatelské zásady pro zařízení v síti internet:
Internetový bod správy je v hraniční síti, kde se nachází i řadič domény pouze pro čtení sloužící pro ověření uživatele a použitá brána firewall povoluje pakety Active Directory.
Uživatelský účet je ve struktuře A (intranet) a internetový bod správy je ve struktuře B (hraniční síť). Struktura B důvěřuje struktuře A a použitá brána firewall povoluje ověřovací pakety.
Uživatelský účet a internetový bod správy jsou ve struktuře A (intranet). Bod správy je publikovaný na internetu za použití webového proxy serveru (jako Forefront Threat Management Gateway).
Poznámka
Pokud se ověření Kerberos nezdaří, provede se automaticky pokus o ověření NTLM.
Jak ukazuje předchozí příklad, internetové systémy lokality můžete umístit na intranet, pokud jsou publikovány na internetu za použití webového proxy serveru, jako např. serveru ISA a serveru Forefront Threat Management Gateway. Tyto systémy lokality mohou být konfigurovány pro připojení klienta pouze z internetu, nebo pro připojení klienta z internetu a intranetu. Pokud používáte webový proxy server, můžete ho nakonfigurovat pro přemostění SSL-to-SSL (bezpečnější) nebo pro tunelové připojení protokolem SSL:
Přemostění SSL do SSL:
Doporučená konfigurace, pokud používáte proxy webové servery pro správu internetových klientů, je přemostění SSL do SSL, které používá ukončení protokolu SSL s ověřením. Klientské počítače musí být ověřeny pomocí ověřování počítače a starší verze klientů mobilních zařízení jsou ověřovány pomocí ověřování uživatelů. Mobilní zařízení zapsaná pomocí nástroje Configuration Manager nepodporují přemostění SSL.Výhodou ukončení protokolu SSL na webovém proxy serveru je, že se pakety z Internetu před předáním na interní síť podrobují kontrole. Webový proxy server ověří připojení z klienta, ukončí ho, a pak otevře nové ověřené připojení k internetovým systémům lokality. Pokud klienti Configuration Manager používají webový proxy server, je identita klienta (identifikátor GUID) bezpečně obsažena v datové části paketu, takže bod správy nepovažuje webový proxy server za klienta. Přemostění není podporovánu v nástroji Configuration Manager s protokoly HTTP do HTTPS nebo z HTTPS do HTTP.
Tunelové propojení:
Pokud váš webový proxy server nepodporuje požadavky na přemostění SSL, nebo chcete provést konfiguraci podpory internetu pro mobilní zařízení, která jsou zapsaná pomocí nástroje Configuration Manager, podporuje se i tunelování SSL. Jedná se o méně bezpečnou možnost, neboť pakety SSL z internetu se předávají do systémů lokality bez ukončení protokolu SSL, a tak nemohou být prověřovány na škodlivý obsah. Pokud používáte tunelové připojení protokolu SSL, neexistují žádné požadavky na certifikáty proxy webového serveru.
Plánování internetových klientů
Je třeba se rozhodnout, zda budou klientské počítače řízené přes Internet konfigurovány pro správu na intranetu a Internetu, nebo pouze pro řízení internetovým klientem. Možnost správy klienta můžete konfigurovat pouze během instalace klientského počítače. Pokud si to později rozmyslíte, je třeba klienta přeinstalovat.
Poznámka
Pro System Center 2012 R2 Configuration Manager a novější: Pokud nakonfigurujete bod správy s možností řízení přes internet, nastaví se pro klienty, kteří se k tomuto bodu správy připojí, možnost řízení přes internet při další aktualizaci jejich seznamu dostupných bodů správy.
Tip
Konfiguraci pouze internetové správy klientů nemusíte omezovat na síť Internet a můžete ji použít i v síti intranet.
Klienti konfigurovaní pouze pro správu internetového klienta komunikují pouze se systémy lokality, které jsou konfigurovány pro klientská připojení ze sítě Internet. Tato konfigurace bude vhodná pro počítače, u kterých víte, že se nikdy nepřipojují do intranetu společnosti, například počítače prodejního bodu ve vzdálených umístěních. Toto nastavení také může být vhodné, pokud chcete omezit komunikaci klientů pouze s protokolem HTTPS (například pro podporu brány firewall a omezení bezpečnostních zásad) a když nainstalujete internetové systémy lokality do sítě perimetru a chcete spravovat tyto servery pomocí klienta Configuration Manager.
Chcete-li spravovat klienty pracovní skupiny v síti Internet, je třeba je nainstalovat jako pouze internetové.
Poznámka
Klienti mobilních zařízení jsou automaticky konfigurováni jako internetoví, pokud jsou konfigurováni k použití internetového bodu správy.
Ostatní klientské počítače lze konfigurovat pro internetovou a intranetovou správu klientů. Když zjistí změnu sítě, mohou automaticky přepínat mezi internetovou správou klientů a intranetovou správou klientů. Pokud tito klienti mohou vyhledat a připojit se k bodu správy, který je konfigurován pro připojení klientů v intranetu, budou tito klienti řízeni jako intranetoví klienti, kteří mají úplnou funkci správy Configuration Manager. Pokud klienti nemohou nalézt nebo se připojit k bodu správy, který je konfigurován pro klientská připojení v síti intranet, pokusí se připojit k internetovému bodu správy a pokud budou úspěšní, budou posléze spravováni systémy internetové lokality v přiřazené lokalitě.
Výhodou automatického přepínání mezi správou internetových a intranetových klientů je, že klientské počítače mohou automaticky používat všechny funkce Configuration Manager kdykoliv jsou připojeni k intranetu a pokračují ve správě nezbytných funkcí správy, i když jsou připojení k Internetu. Navíc stahování, které začne na Internetu může hladce pokračovat i v intranetu a naopak.
Požadavky na internetovou správu klientů
Internetová správa klientů v nástroji Configuration Manager obsahuje následující externí závislosti:
Závislost |
Další informace |
|---|---|
Klienti, kteří budou spravováni v Internetu musí obsahovat připojení k Internetu. |
Nástroj Configuration Manager použijte stávající připojení poskytovatele sítě Internet (ISP) k Internetu, které může být buď trvalé nebo dočasné. Mobilní zařízení klientů musí obsahovat přímé připojení k Internetu, ale klientské počítače mohou obsahovat buď přímé připojení k Internetu nebo připojení pomocí proxy webového serveru. |
Systémy lokality, které podporují internetovou správu klientů musí obsahovat konektivitu k Internetu a musí se nacházet v doméně služby Active Directory. |
Internetové systémy lokality nevyžadují důvěryhodný vztah s doménovou strukturou služby Active Directory serveru lokality. Pokud však internetový bod správy může ověřit uživatele pomocí ověřování systému Windows, jsou zásady uživatele podporovány. Pokud ověřování systému Windows selže, jsou podporovány pouze zásady počítače. Poznámka Pro podporu uživatelských zásad je třeba také nastavit na hodnotu True dvě nastavení klienta Zásady klienta:
Internetový bod webu katalog aplikací také vyžaduje ověřování systému Windows k ověření uživatelů, když se jejich počítače nachází v síti Internet. Tento požadavek je nezávislý na zásadách uživatele. |
Je třeba mít pomocnou infrastrukturu veřejných klíčů (PKI), která může nasadit a spravovat certifikáty, které klienti vyžadují a které jsou spravovány v Internetu a serverech internetových systémů lokalit. |
Další informace o certifikátech PKI naleznete v části Požadavky na certifikát PKI pro nástroj Configuration Manager. |
Následující služby infrastruktury musí být konfigurovány pro podporu internetové správy klientů:
|
Požadavky na komunikaci klienta:
Informace o konfiguraci pro podporu těchto požadavků naleznete v dokumentaci brány firewall nebo proxy serveru. Podobné požadavky komunikace, když používáte bod softwarových aktualizací pro klientská připojení z Internetu, naleznete v dokumentaci služeb Windows Server Update Services (WSUS). Třeba pro WSUS na Windows Serveru 2003 si projděte Dodatek D: Nastavení zabezpečení, dodatek nasazení pro nastavení zabezpečení. |
Plánování šířky pásma sítě v nástroji Configuration Manager
Nástroj System Center 2012 Configuration Manager obsahuje několik metod, jak ovládat šířku pásma sítě, která se používá pro komunikaci mezi lokalitami, servery systému lokality a klienty. Ne všechnu komunikaci v síti lze spravovat. Následující části použijte k porozumění metodám, které můžete použít k řízení šířky pásma sítě a návrhu hierarchie sítě.
Pokud plánujete hierarchii Configuration Manager, zvažte množství dat sítě, která budou přenášena při komunikaci internetové a intranetové lokality.
Poznámka
Trasy replikace souborů (před verzí Configuration Manager SP1 známé jako adresy), se používají pouze pro internetové komunikace lokality a nepoužívají se pro intranetovou komunikaci mezi servery lokality a systémy lokality.
Řízení využití šířky pásma sítě mezi lokalitami
Nástroj Configuration Manager přenáší data mezi lokalitami pomocí replikace na základě souborů a replikace databáze. Před verzí Configuration Manager s aktualizací SP1 jste mohli konfigurovat replikaci na základě souboru pro řízení používání šířky pásma sítě pro přenosy, ale nemohli jste konfigurovat používání šířky pásma sítě pro replikaci databáze. Počínaje verzí Configuration Manager SP1 můžete konfigurovat používání šířky pásma sítě pro replikaci databáze vybraných dat lokality.
Když konfigurujete ovládací prvky konfigurace šířky pásma sítě, vezměte na vědomí možnosti latence dat. Pokud je komunikace mezi lokalitami omezena nebo konfigurována pouze k přenosu dat po běžných pracovních hodinách, správci v libovolné nadřazené nebo podřízené lokalitě nemusí být schopni zobrazit některá data, dokud nedojde k internetové komunikaci lokality. Například pokud probíhá odesílání důležité softwarové aktualizace do distribučních bodů, které se nachází v podřízených lokalitách, balíček nemusí být v těchto lokalitách dostupný, dokud nebude dokončena veškerá čekající internetová komunikace. Čekající komunikace může zahrnovat doručení balíčku, který je velmi velká a jeho přenos ještě nebyl dokončen.
Ovládání replikace na základě souborů: Během přenosů souborových dat nástroj Configuration Manager používá veškerou dostupnou šířku pásma sítě k odesílání dat mezi lokalitami. Tento proces můžete řídit konfigurací odesilatele v lokalitě za účelem zvýšení nebo snížení poštu vláken odesílání mezi lokalitami. Vlákno odesílání dat se používá k přenosu jednoho souboru v daný okamžik. Každé další vlákno umožňuje přenos dalších souborů zároveň, což vede k většímu využití šířky pásma. Chcete-li konfigurovat počet vláken používaných pro přenosy mezi lokalitami, proveďte konfiguraci Maximálního počtu současných odesílání na kartě Odesilatel vlastností lokality.
Chcete-li řídit přenosy souborových dat mezi lokalitami, můžete naplánovat, kdy může nástroj Configuration Manager použít trasu replikace souboru do konkrétní lokality. Můžete ovládat používanou šířku pásma sítě, velikost datových bloků a frekvenci odesílání datových bloků. Další konfigurace mohou omezit přenos dat na základě priority datového typu. Pro každou lokalitu v hierarchii můžete nastavit plány a omezení přenosu dané lokality, které budou platit při přenosu dat pomocí konfigurace vlastností trasy replikace souboru do každé cílové lokality. Konfigurace trasy replikace soubory se vztahují pouze na přenosy dat do cílové lokality určené pro danou trasu replikace souborů.
Další informace o trasách replikace souborů naleznete v podčásti Trasy replikace souborů v části Plánování komunikace mezi lokalitami v Configuration Manageru v tomto tématu.
DůležitéPokud provedete konfiguraci omezení rychlost přenosu za účelem omezení šířky pásma na konkrétní trase replikace souborů, nástroj Configuration Manager může použít pouze jedno vlákno k přenosu dat do cílové lokality. Používání omezení rychlosti pro trasu replikace souborů potlačuje používání více vláken na lokalitu, které jsou konfigurovány v části Maximální počet současných odesílání pro každou lokalitu.
Ovládání replikace databáze: Počínaje verzí Configuration Manager SP1 můžete konfigurovat replikační připojení databáze jako pomoc při ovládání používání šířky pásma sítě pro přenos vybraných dat lokality mezi lokalitami. Některá ovládání jsou podobná těm pro replikaci souborů s dodatečnou podporou pro plánování, když se zprávy inventáře hardwaru, inventáře softwaru, měření softwaru a stavu replikují do nadřazené lokality pomocí připojení.
Další informace naleznete v části Replikace databáze v tomto tématu.
Řízení využití šířky pásma sítě mezi systémovými servery lokalit
V rámci lokality využívá komunikace mezi systému lokality bloky zpráv serveru (SMB), může k ní dojít kdykoliv a nepodporuje mechanismus ovládání šířky pásma sítě. Pokud však provedete konfiguraci serveru lokality za účelem použití omezení přenosové rychlost a plánů pro ovládání přenosu dat přes síť do distribučního bodu, můžete spravovat přenos obsahu ze serveru lokality do distribučních bodů pomocí ovládacích prvků podobných prvkům pro souborové přenosy mezi lokalitami.
Řízení využití šířky pásma sítě mezi klienty a systémovými servery lokalit
Klienti běžně komunikují s různými servery systému lokality. Například komunikují se serverem systému lokality, který spouští bod správy, když je nutné zkontrolovat zásadu klienta, a komunikují se serverem systému lokality, který spouští distribuční bod, kdy je nutné stáhnout obsah pro instalaci aplikace nebo aktualizace softwaru. Frekvence těchto připojení a množství dat, která jsou přenášena přes síť do nebo od klientů závisí na plánech a konfiguracích, které určujete jako nastavení klienta.
Obvykle vyžadují zásady klienta použití nízké šířky pásma sítě. Šířka pásma sítě může být vysoká, pokud klienti přistupují k obsahu pro nasazení nebo odesílají informace jako údaje inventáře hardwaru do lokality.
Můžete určit nastavení klienta, které ovládá frekvenci klientem zahájených síťových komunikací. Navíc můžete konfigurovat, jakým způsobem klienti přistupují k obsahu nasazení, například pomocí služby Background Intelligent Transfer Service (BITS). Chcete-li použít službu BITS ke stahování obsahu, musí být klient konfigurován k používání služby BITS. Pokud klient nemůže použít službu BITS, používá k přenosu obsahu službu SMB.
Informace o nastavení klienta v nástroji Configuration Manager naleznete v tématu Plánování nastavení klientů v nástroji Configuration Manager.
Viz také
Plánování lokalit a hierarchie nástroje Configuration Manager