So finden Clients Standortressourcen und -dienste

Gilt für: Configuration Manager (Current Branch)

Configuration Manager Clients verwenden einen Prozess namens Dienstspeicherort, um Standortsystemserver zu suchen. Clients können mit diesen Servern kommunizieren, und sie stellen Dienste bereit, die Clients verwenden können. Um Ihre Standorte besser für die erfolgreiche Unterstützung von Clientaufgaben zu konfigurieren, müssen Sie wissen, wie und wann Clients den Dienststandort verwenden, um Standortressourcen zu finden. Diese Konfigurationen können erfordern, dass der Standort mit Domänen- und Netzwerkkonfigurationen wie Active Directory Domain Services und DNS interagiert. Es kann auch erforderlich sein, komplexere Alternativen zu konfigurieren.

Beispiele für Standortsystemrollen, die Dienste bereitstellen, sind:

• Der Kernstandortsystemserver für Clients.
• Der Verwaltungspunkt.
• Andere Standortsystemserver, mit denen der Client kommunizieren kann, z. B. Verteilungspunkte und Softwareupdatepunkte.

Grundlagen des Dienststandorts

Wenn ein Client den Dienststandort verwendet, um einen Verwaltungspunkt für die Kommunikation zu finden, werden die folgenden Aspekte ausgewertet:

• Aktueller Netzwerkspeicherort
• Kommunikationsprotokollpräferenz
• Zugewiesener Standort

Clientkommunikation mit einem Verwaltungspunkt

Ein Client kommuniziert mit einem Verwaltungspunkt (MP), um Folgendes zu tun:

• Laden Sie Informationen zu anderen Verwaltungspunkten für die Website herunter. Anschließend wird eine Liste der bekannten Verwaltungspunkte für zukünftige Dienststandortzyklen erstellt. Diese Liste wird auch als MP-Liste bezeichnet.

• Laden Sie Konfigurationsdetails wie Bestand und status hoch.

• Laden Sie eine Richtlinie herunter, die Konfigurationen auf dem Client festlegt, ihn über die zu installierende Software und andere zugehörige Aufgaben informiert.

• Fordern Sie Informationen zu anderen Standortsystemrollen an, die Dienste bereitstellen, die der Client verwenden kann. Beispielsweise Verteilungspunkte für Software, die der Client installieren kann, oder ein Softwareupdatepunkt für Metadaten zu Softwareupdates.

Anforderungen an den Standort des Clientdiensts

Ein Configuration Manager Client stellt eine Dienststandortanforderung:

• Alle 25 Stunden kontinuierlicher Betrieb.

• Wenn der Client eine Änderung an seiner Netzwerkkonfiguration oder seinem Standort erkennt.

• Wenn der ccmexec.exe Dienst auf dem Computer gestartet wird. Dieser Windows-Dienst ist der Kernclientdienst.

• Wenn der Client eine Standortsystemrolle suchen muss, die einen erforderlichen Dienst bereitstellt.

Clientanforderungen für Standortsystemrollen

Wenn ein Client versucht, Server zu finden, die Rollen hosten, verwendet er den Dienststandort. Es wird versucht, eine Rolle zu finden, die ihr Kommunikationsprotokoll unterstützt, entweder HTTP oder HTTPS. Standardmäßig verwenden Clients die sicherste Methode, die ihnen zur Verfügung steht.

• Um HTTPS verwenden zu können, benötigen Sie eine Public Key-Infrastruktur (PKI) und installieren PKI-Zertifikate auf Clients und Servern. Weitere Informationen finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

• Für Rollen, die IIS verwenden und die Clientkommunikation unterstützen, konfigurieren Sie sie für HTTP oder HTTPS. Wenn Sie HTTP verwenden, sollten Sie auch Signierungs- und Verschlüsselungsoptionen in Betracht ziehen. Weitere Informationen finden Sie unter Planen der Signierung und Verschlüsselung.

Wichtig

Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.

Bestimmen des zugewiesenen Verwaltungspunkts

Primäre Standorte unterstützen mehrere Verwaltungspunkte. Jeder Client identifiziert unabhängig einen Verwaltungspunkt als Standard. Wenn ein Client zum ersten Mal einem primären Standort zuweist, wählt er seinen Standardverwaltungspunkt aus. Dieser Standardverwaltungspunkt wird dann zum zugewiesenen Verwaltungspunkt des Clients.

Tipp

Sie können clientinstallationseigenschaften verwenden, um den zugewiesenen Verwaltungspunkt für einen Client festzulegen. Weitere Informationen finden Sie unter Clientinstallationseigenschaften.

Ein Client wählt basierend auf dem aktuellen Netzwerkstandort und den Konfigurationen der Begrenzungsgruppe einen Verwaltungspunkt für die Kommunikation aus. Obwohl ihm ein Verwaltungspunkt zugewiesen ist, ist dieser Server möglicherweise nicht der Verwaltungspunkt, den der Client verwendet.

Hinweis

Ein Client verwendet immer den zugewiesenen Verwaltungspunkt für Registrierungsnachrichten und bestimmte Richtliniennachrichten. Dieses Verhalten tritt auch dann auf, wenn andere Kommunikationen an einen Proxy oder lokalen Verwaltungspunkt gesendet werden.

Sie können bevorzugte Verwaltungspunkte verwenden. Bevorzugte Verwaltungspunkte sind Verwaltungspunkte vom zugewiesenen Standort eines Clients, die einer Begrenzungsgruppe zugeordnet sind, die der Client zum Suchen von Standortsystemservern verwendet. Die Zuordnung eines bevorzugten Verwaltungspunkts zu einer Begrenzungsgruppe ähnelt der Zuordnung von Verteilungspunkten oder Zustandsmigrationspunkten zu einer Begrenzungsgruppe. Wenn Sie bevorzugte Verwaltungspunkte für die Hierarchie aktivieren und ein Client einen Verwaltungspunkt vom zugewiesenen Standort verwendet, versucht er, einen bevorzugten Verwaltungspunkt zu verwenden, bevor andere Verwaltungspunkte vom zugewiesenen Standort verwendet werden.

Tipp

Sie können die Affinität zwischen Verwaltungspunkten und einer Registrierungsschlüsselkonfiguration auf dem Client konfigurieren. Die Affinität zwischen Verwaltungspunkten setzt das Standardverhalten für zugewiesene Verwaltungspunkte außer Kraft und ermöglicht dem Client die Verwendung eines oder mehrerer spezifischer Verwaltungspunkte. Weitere Informationen finden Sie in diesem Blogbeitrag eines Microsoft Premier-Technikers.

Jedes Mal, wenn ein Client einen Verwaltungspunkt kontaktieren muss, überprüft er zuerst die MP-Liste. Der Client erstellt bei der Installation eine anfängliche MP-Liste. Der Client aktualisiert dann die Liste in regelmäßigen Abständen mit Details zu jedem Verwaltungspunkt in der Hierarchie.

Wenn der Client keinen gültigen Verwaltungspunkt in seiner MP-Liste finden kann, durchsucht er die Dienststandortquellen. Die folgenden Quellen werden in der richtigen Reihenfolge verwendet, bis ein Verwaltungspunkt gefunden wird, den sie verwenden kann:

1. Verwaltungspunkt
2. Active Directory-Domänendienste (AD DS)
3. DNS

Nachdem ein Client erfolgreich einen Verwaltungspunkt gefunden und kontaktiert hat, lädt er die aktuelle Liste der verfügbaren Verwaltungspunkte herunter. Anschließend wird die eigene lokale MP-Liste aktualisiert.

Dieser Prozess ist für alle Clients identisch. Wenn beispielsweise ein Configuration Manager Client im Internet eine Verbindung mit einem internetbasierten Verwaltungspunkt herstellt, sendet der Verwaltungspunkt dem Client eine Liste der verfügbaren internetbasierten Verwaltungspunkte. Ein Client, der sich nicht im Internet befindet, erhält nur eine Liste mit internen Verwaltungspunkten.

Die MP-Liste

Die MP-Liste ist die bevorzugte Dienstspeicherortquelle für einen Client. Es handelt sich um eine priorisierte Liste von Verwaltungspunkten, die der Client zuvor identifiziert hat. Der Client sortiert seine MP-Liste basierend auf seinem aktuellen Netzwerkstandort. Die Liste wird lokal in WMI gespeichert.

Erstellen der anfänglichen MP-Liste

Während der Installation des Clients verwendet der Client die folgenden Regeln, um seine anfängliche MP-Liste zu erstellen:

• Schließen Sie verwaltungspunkte ein, die während der Clientinstallation angegeben wurden. Beispielsweise, wenn Sie die Eigenschaft oder /mp den SMSMP Parameter verwenden.

• Fragen Sie AD DS nach veröffentlichten Verwaltungspunkten ab. Der Client identifiziert Verwaltungspunkte von AD DS, die sich am zugewiesenen Standort und der gleichen Produktversion befinden.

• Wenn keine Verwaltungspunkte aus den ersten beiden Regeln abgerufen werden, überprüft der Client DNS auf veröffentlichte Verwaltungspunkte.

MP-Listenkategorien

Clients organisieren ihre Liste der Verwaltungspunkte anhand der folgenden Kategorien:

• Proxy: Ein Verwaltungspunkt an einem sekundären Standort.

• Lokal: Jeder Verwaltungspunkt, der dem aktuellen Netzwerkstandort des Clients zugeordnet ist, wie durch Standortgrenzen definiert.

  • Wenn ein Client zu mehr als einer Begrenzungsgruppe gehört, bestimmt er die Liste der lokalen Verwaltungspunkte aus der Vereinigung aller Grenzen, die den aktuellen Netzwerkstandort des Clients enthalten.

  • Lokale Verwaltungspunkte sind in der Regel eine Teilmenge der einem Client zugewiesenen Verwaltungspunkte. Es sei denn, der Client befindet sich an einem Netzwerkstandort, der einem anderen Standort zugeordnet ist, dessen Verwaltungspunkte seine Begrenzungsgruppen verwalten.

• Zugewiesen: Jeder Verwaltungspunkt, der sich am zugewiesenen Standort des Clients befindet.

Sie können bevorzugte Verwaltungspunkte verwenden. Verwaltungspunkte an einem Standort, die keiner Begrenzungsgruppe zugeordnet sind oder sich nicht in einer Begrenzungsgruppe befinden, die dem aktuellen Netzwerkstandort eines Clients zugeordnet ist, werden nicht als bevorzugt betrachtet. Der Client verwendet diese Verwaltungspunkte, wenn er keinen verfügbaren bevorzugten Verwaltungspunkt finden kann.

Auswählen eines zu verwendenden Verwaltungspunkts

Für die typische Kommunikation versucht ein Client, basierend auf dem Netzwerkstandort des Clients einen Verwaltungspunkt in der folgenden Reihenfolge zu verwenden:

1. Proxy
2. Lokal
3. Zugewiesen

Der Client verwendet immer den zugewiesenen Verwaltungspunkt für Registrierungsnachrichten und bestimmte Richtliniennachrichten. Dieses Verhalten tritt auch dann auf, wenn eine andere Kommunikation an einen Proxy oder lokalen Verwaltungspunkt gesendet wird.

Innerhalb jeder Kategorie versucht der Client, einen Verwaltungspunkt basierend auf den Einstellungen in der folgenden Reihenfolge zu verwenden:

1. Wenn der Client für die HTTPS-Kommunikation konfiguriert ist:
   1. HTTPS-fähig in einer vertrauenswürdigen oder lokalen Gesamtstruktur
   2. HTTPS-fähig, nicht in einer vertrauenswürdigen oder lokalen Gesamtstruktur
2. HTTP-fähig in einer vertrauenswürdigen oder lokalen Gesamtstruktur
3. HTTP-fähig, nicht in einer vertrauenswürdigen oder lokalen Gesamtstruktur

Aus der Gruppe von Verwaltungspunkten, die nach Präferenz sortiert sind, versucht der Client, den ersten Verwaltungspunkt in der Liste zu verwenden. Diese sortierte Liste von Verwaltungspunkten ist andernfalls zufällig und kann nicht mehr sortiert werden. Die Reihenfolge der Liste kann sich jedes Mal ändern, wenn der Client seine MP-Liste aktualisiert.

Wenn ein Client den ersten Verwaltungspunkt nicht kontaktieren kann, versucht er jeden aufeinanderfolgenden Verwaltungspunkt in seiner Liste. Es wird jeder bevorzugte Verwaltungspunkt in der Kategorie ausprobiert, bevor die nicht bevorzugten Verwaltungspunkte ausprobiert werden. Wenn ein Client nicht erfolgreich mit einem Verwaltungspunkt in der Kategorie kommunizieren kann, versucht er, einen bevorzugten Verwaltungspunkt aus der nächsten Kategorie zu kontaktieren, bis er einen zu verwendenden Verwaltungspunkt findet.

Nachdem ein Client die Kommunikation mit einem Verwaltungspunkt eingerichtet hat, verwendet er weiterhin denselben Verwaltungspunkt, bis:

• Der Client kann für fünf Versuche über einen Zeitraum von 10 Minuten nicht mit dem Verwaltungspunkt kommunizieren.

Der Client wählt dann nach dem Zufallsprinzip einen neuen Verwaltungspunkt aus, der verwendet werden soll.

Active Directory

In die Domäne eingebundene Clients können AD DS als Dienststandort verwenden. Dieses Verhalten erfordert, dass Websites Daten in Active Directory veröffentlichen.

Ein Client kann AD DS als Dienststandort verwenden, wenn alle folgenden Bedingungen erfüllt sind:

• Sie haben das Active Directory-Schema erweitert.

• Sie haben die Active Directory-Gesamtstruktur für die Veröffentlichung und den Configuration Manager Standort für die Veröffentlichung konfiguriert.

• Der Clientcomputer ist Mitglied einer Active Directory-Domäne und kann auf einen globalen Katalogserver zugreifen.

Wenn ein Client keinen Verwaltungspunkt finden kann, der von AD DS als Dienststandort verwendet werden soll, versucht er, DNS zu verwenden.

DNS

Clients im Intranet können DNS als Dienststandort verwenden. Dieses Verhalten erfordert, dass mindestens ein Standort in einer Hierarchie Informationen zu Verwaltungspunkten in DNS veröffentlicht.

Erwägen Sie die Verwendung von DNS für den Dienststandort, wenn eine der folgenden Bedingungen zutrifft:

• Sie haben das AD DS-Schema nicht erweitert, um Configuration Manager zu unterstützen.

• Clients im Intranet befinden sich in einer Gesamtstruktur, die Sie nicht für Configuration Manager Veröffentlichung aktiviert haben.

• Sie verfügen über Clients auf Arbeitsgruppencomputern, und Sie haben diese Clients nicht für die Reine-Internet-Clientverwaltung konfiguriert. Ein für das Internet konfigurierter Arbeitsgruppenclient kommuniziert nur mit Verwaltungspunkten mit Internetzugriff und verwendet dns nicht als Dienststandort.

• Sie können Clients konfigurieren, um Verwaltungspunkte aus DNS zu finden.

Wenn eine Website Dienststandortdatensätze für Verwaltungspunkte in DNS veröffentlicht:

• Die Veröffentlichung gilt nur für Verwaltungspunkte, die Clientverbindungen aus dem Intranet akzeptieren.

• Durch die Veröffentlichung wird ein Ressourceneintrag für den Dienstspeicherort (SRV RR) in der DNS-Zone des Verwaltungspunktservers hinzugefügt. Dieser Server benötigt einen entsprechenden Hosteintrag in DNS.

Standardmäßig durchsuchen in die Domäne eingebundene Clients DNS nach Verwaltungspunkteinträgen aus der lokalen Domäne des Clients. Sie können eine Clientinstallationseigenschaft konfigurieren, um ein anderes Domänensuffix anzugeben.

Weitere Informationen finden Sie unter Konfigurieren von Clientcomputern zum Suchen von Verwaltungspunkten mithilfe der DNS-Veröffentlichung.

Veröffentlichen von Verwaltungspunkten in DNS

Um Verwaltungspunkte in DNS zu veröffentlichen, müssen die folgenden beiden Bedingungen erfüllt sein:

• Ihre DNS-Server unterstützen Ressourceneinträge des Dienststandorts, indem sie eine Version von BIND verwenden, die mindestens 8.1.2 ist.

• Die angegebenen Intranet-FQDNs für die Verwaltungspunkte in Configuration Manager haben Hosteinträge (A-Einträge) im DNS.

Wichtig

Configuration Manager DNS-Veröffentlichung unterstützt keinen nicht zusammenhängenden Namespace. Wenn Sie über einen nicht zusammenhängenden Namespace verfügen, können Sie Verwaltungspunkte manuell in DNS veröffentlichen. Sie können auch eine der anderen Dienststandortmethoden verwenden.

DNS-Konfigurationsszenarien

Der DNS-Server unterstützt automatische Updates.

Sie können Configuration Manager so konfigurieren, dass Verwaltungspunkte automatisch im Intranet in DNS veröffentlicht werden, oder Sie können diese Einträge manuell in DNS veröffentlichen. Wenn Configuration Manager Verwaltungspunkte im DNS veröffentlicht, fügt er den Intranet-FQDN und die Portnummer im SrV-Eintrag (Service Location) hinzu. Sie konfigurieren die DNS-Veröffentlichung in den Eigenschaften der Verwaltungspunktkomponente des Standorts. Weitere Informationen finden Sie unter Standortkomponenten – Verwaltungspunkt.

Die DNS-Zone ist für dynamische Updates auf "Nur sicher" festgelegt.

Mit Standardberechtigungen kann nur der erste Verwaltungspunkt erfolgreich in DNS veröffentlicht werden.

Wenn nur ein Verwaltungspunkt seinen DNS-Eintrag erfolgreich veröffentlichen und ändern kann, können Clients die vollständige MP-Liste von diesem Verwaltungspunkt abrufen. Solange dieser veröffentlichte Verwaltungspunkt fehlerfrei ist, können Clients ihren bevorzugten Verwaltungspunkt finden.

Der DNS-Server unterstützt keine automatischen Updates, aber Dienststandortdatensätze.

In diesem Szenario veröffentlichen Sie Verwaltungspunkte manuell in DNS. Konfigurieren Sie den Ressourcendatensatz des Dienststandorts (SRV RR) manuell. Configuration Manager unterstützt RFC 2782 für Dienststandortdatensätze. Diese Datensätze haben das folgende Format: _Service._Protocol.Name TTL Class SRV Priority Weight Port Target

Um einen Verwaltungspunkt in Configuration Manager zu veröffentlichen, geben Sie die folgenden Werte an:

• _Service: _mssms_mp_<sitecode>. Beispiel: _mssms_mp_xyz
• ._Protocol: ._tcp
• . Name: Geben Sie das DNS-Suffix des Verwaltungspunkts an, z. B. contoso.com
• Gültigkeitsdauer: Vier 14400 Stunden lang verwenden.
• Klasse: Geben Sie für RFC 1035 an IN .
• Priorität: Configuration Manager verwendet dieses Feld nicht.
• Gewichtung: Configuration Manager verwendet dieses Feld nicht.
• Port: Geben Sie die Portnummer an, die vom Verwaltungspunkt verwendet wird. Beispielsweise 443 standardmäßig für HTTPS.
• Ziel: Geben Sie den Intranet-FQDN des Standortsystemservers mit der Verwaltungspunktrolle an.

Konfigurieren von Windows Server DNS

Wenn Sie Windows Server DNS verwenden, verwenden Sie die folgenden Verfahren, um diesen DNS-Eintrag für Intranetverwaltungspunkte einzugeben.

Konfigurieren der automatischen Veröffentlichung für eine Website

1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus.

2. Wählen Sie die Website aus, um die Veröffentlichung zu konfigurieren. Wählen Sie im Menüband Standortkomponenten konfigurieren und dann Verwaltungspunkt aus.

3. Wählen Sie die Verwaltungspunkte aus, die Sie veröffentlichen möchten. Diese Auswahl gilt für die Veröffentlichung für AD DS und DNS.

4. Aktivieren Sie die Option Ausgewählte Intranetverwaltungspunkte in DNS veröffentlichen.

Manuelles Veröffentlichen von Verwaltungspunkten in DNS unter Windows Server

1. Wählen Sie im DNS-Verwaltungskonsole die DNS-Zone für den Verwaltungspunktcomputer aus.

2. Überprüfen Sie, ob ein Hostdatensatz (A oder AAAA) für den Intranet-FQDN des Standortsystems vorhanden ist. Wenn dieser Datensatz nicht vorhanden ist, erstellen Sie ihn.

3. Wählen Sie Neue andere Datensätze aus, wählen Sie Dienstspeicherort (SRV) und dann Datensatz erstellen aus.

4. Geben Sie die folgenden Informationen an, und wählen Sie dann Fertig aus:

   • Domäne: Geben Sie bei Bedarf das DNS-Suffix des Verwaltungspunkts ein, z. B contoso.com. .
   • Dienst: _mssms_mp_<sitecode>. Beispiel: _mssms_mp_xyz
   • Protokoll: ._tcp
   • Priorität: Configuration Manager verwendet dieses Feld nicht.
   • Gewichtung: Configuration Manager verwendet dieses Feld nicht.
   • Port: Geben Sie die Portnummer an, die vom Verwaltungspunkt verwendet wird. Beispielsweise 443 standardmäßig für HTTPS.
   • Host, der diesen Dienst anbietet: Geben Sie den Intranet-FQDN des Standortsystemservers mit der Verwaltungspunktrolle an.

Wiederholen Sie diese Schritte für jeden Verwaltungspunkt im Intranet, den Sie in DNS veröffentlichen möchten.