Comunicaciones entre puntos de conexión en Configuration ManagerCommunications between endpoints in Configuration Manager

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

En este artículo se describe cómo se comunican los clientes y sistemas de sitio de Configuration Manager a través de la red.This article describes how Configuration Manager site systems and clients communicate across your network. Se incluyen las secciones siguientes:It includes the following sections:

Comunicaciones entre sistemas de sitio de un sitioCommunications between site systems in a site

Cuando los sistemas de sitio o los componentes de Configuration Manager se comunican a través de la red con otros sistemas de sitio u otros componentes del sitio, usan uno de los protocolos siguientes, según la configuración del sitio:When Configuration Manager site systems or components communicate across the network to other site systems or components in the site, they use one of the following protocols, depending on how you configure the site:

  • Bloque de mensajes del servidor (SMB)Server message block (SMB)

  • HTTPHTTP

  • HTTPSHTTPS

Con la excepción de la comunicación desde el servidor de sitio a un punto de distribución, las comunicaciones entre los servidores de un sitio se pueden producir en cualquier momento.With the exception of communication from the site server to a distribution point, server-to-server communications in a site can occur at any time. Estas comunicaciones no usan mecanismos para controlar el ancho de banda de red.These communications don't use mechanisms to control the network bandwidth. Como no es posible controlar la comunicación entre los sistemas de sitio, asegúrese de instalar servidores de sistema de sitio en ubicaciones que cuenten con redes rápidas y bien conectadas.Because you can't control the communication between site systems, make sure that you install site system servers in locations that have fast and well-connected networks.

Servidor de sitio a punto de distribuciónSite server to distribution point

Para administrar la transferencia de contenido desde el servidor de sitio a los puntos de distribución, use las estrategias siguientes:To help you manage the transfer of content from the site server to distribution points, use the following strategies:

  • Configurar el punto de distribución para el control de ancho de banda de red y la programación.Configure the distribution point for network bandwidth control and scheduling. Estos controles son similares a las configuraciones que usan las direcciones entre sitios.These controls resemble the configurations that are used by intersite addresses. Use esta configuración en lugar de instalar otro sitio de Configuration Manager cuando la transferencia de contenido a ubicaciones de red remotas sea la principal consideración de ancho de banda.Use this configuration instead of installing another Configuration Manager site when the transfer of content to remote network locations is your main bandwidth consideration.

  • Es posible instalar un punto de distribución como un punto de distribución preconfigurado.You can install a distribution point as a prestaged distribution point. Un punto de distribución preconfigurado le permite utilizar el contenido que se coloca manualmente en el servidor de punto de distribución y elimina el requisito de transferir archivos de contenido a través de la red.A prestaged distribution point lets you use content that is manually put on the distribution point server and removes the requirement to transfer content files across the network.

Para más información, vea Administración del ancho de banda de red para la administración de contenido.For more information, see Manage network bandwidth for content management.

Comunicaciones desde los clientes a los sistemas de sitio y serviciosCommunications from clients to site systems and services

Los clientes inician comunicaciones con roles de sistema de sitio, con Servicios de dominio de Active Directory y con servicios en línea.Clients initiate communication to site system roles, Active Directory Domain Services, and online services. A fin de permitir estas comunicaciones, los firewalls deben permitir el tráfico de red entre los clientes y el extremo de sus comunicaciones.To enable these communications, firewalls must allow the network traffic between clients and the endpoint of their communications. Para obtener más información sobre los puertos y protocolos que los clientes usan al comunicarse con estos puntos de conexión, vea Puertos usados en Configuration Manager.For more information about ports and protocols used by clients when they communicate to these endpoints, see Ports used in Configuration Manager.

Para que un cliente se pueda comunicar con un rol de sistema de sitio, el cliente usa la ubicación del servicio para buscar un rol que admita el protocolo del cliente (HTTP o HTTPS).Before a client can communicate with a site system role, the client uses service location to find a role that supports the client's protocol (HTTP or HTTPS). De forma predeterminada, los clientes usan el método más seguro que tengan a su disposición.By default, clients use the most secure method that's available to them. Para obtener más información, vea Más información sobre cómo los clientes buscan servicios y recursos de sitio.For more information, see Understand how clients find site resources and services.

Para usar HTTPS, configure una de las opciones siguientes:To use HTTPS, configure one of the following options:

  • Use una infraestructura de clave pública (PKI) e instale certificados PKI en los clientes y servidores.Use a public key infrastructure (PKI) and install PKI certificates on clients and servers. Para obtener información sobre el uso de certificados, vea Requisitos de certificados PKI.For information about how to use certificates, see PKI certificate requirements.

  • A partir de la versión 1806, configure el sitio para Usar los certificados generados por Configuration Manager para sistemas de sitios HTTP.Starting in version 1806, configure the site to Use Configuration Manager-generated certificates for HTTP site systems. Para obtener más información, vea HTTP mejorado.For more information, see Enhanced HTTP.

Cuando se implementa un rol de sistema de sitio que usa Internet Information Services (IIS) y que admite la comunicación desde clientes, es necesario especificar si los clientes se conectan al sistema de sitio mediante HTTP o HTTPS.When you deploy a site system role that uses Internet Information Services (IIS) and supports communication from clients, you must specify whether clients connect to the site system by using HTTP or HTTPS. Si utiliza HTTP, también debe tener en cuenta las opciones de firma y cifrado.If you use HTTP, you must also consider signing and encryption choices. Para obtener más información, vea Planear la firma y el cifrado.For more information, see Planning for signing and encryption.

Comunicaciones entre cliente y punto de administraciónClient to management point communication

Existen dos fases cuando un cliente se comunica con un punto de administración: autenticación (transporte) y autorización (mensaje).There are two stages when a client communicates with a management point: authentication (transport) and authorization (message). Este proceso varía en función de los factores siguientes:This process varies depending upon the following factors:

  • Configuración del sitio: HTTP, HTTPS o HTTP mejoradoSite configuration: HTTP, HTTPS, or enhanced HTTP
  • Configuración del punto de administración: solo HTTPS, o bien permite HTTP o HTTPSManagement point configuration: HTTPS only, or allows HTTP or HTTPS
  • Identidad de dispositivo para escenarios centrados en el dispositivoDevice identity for device-centric scenarios
  • Identidad de usuario para escenarios centrados en el usuarioUser identity for user-centric scenarios

Use la tabla siguiente para obtener información sobre cómo funciona este proceso:Use the following table to understand how this process works:

Tipo de PAMP type Autenticación de clienteClient authentication Autorización de clienteClient authorization
Identidad del dispositivoDevice identity
Autorización de clienteClient authorization
Identidad del usuarioUser identity
HTTPHTTP AnónimaAnonymous
Con HTTP mejorado, el sitio comprueba el token de usuario o dispositivo de Azure AD.With Enhanced HTTP, the site verifies the Azure AD user or device token.
Solicitud de ubicación: AnónimaLocation request: Anonymous
Paquete de cliente: AnónimaClient package: Anonymous
Registro, mediante uno de los métodos siguientes para demostrar la identidad del dispositivo:Registration, using one of the following methods to prove device identity:
- Anónimo (aprobación manual)- Anonymous (manual approval)
- Autenticación integrada en Windows- Windows-integrated authentication
- Token de dispositivo de Azure AD (HTTP mejorado)- Azure AD device token (Enhanced HTTP)
Después del registro, el cliente usa la firma de mensajes para demostrar la identidad del dispositivoAfter registration, the client uses message signing to prove device identity
Para los escenarios centrados en el usuario, mediante uno de los métodos siguientes para demostrar la identidad del usuario:For user-centric scenarios, using one of the following methods to prove user identity:
- Autenticación integrada en Windows- Windows-integrated authentication
- Token de usuario de Azure AD (HTTP mejorado)- Azure AD user token (Enhanced HTTP)
HTTPSHTTPS Mediante uno de los métodos siguientes:Using one of the following methods:
- Certificado PKI- PKI certificate
- Autenticación integrada en Windows- Windows-integrated authentication
- Token de usuario o dispositivo de Azure AD- Azure AD user or device token
Solicitud de ubicación: AnónimaLocation request: Anonymous
Paquete de cliente: AnónimaClient package: Anonymous
Registro, mediante uno de los métodos siguientes para demostrar la identidad del dispositivo:Registration, using one of the following methods to prove device identity:
- Anónimo (aprobación manual)- Anonymous (manual approval)
- Autenticación integrada en Windows- Windows-integrated authentication
- Certificado PKI- PKI certificate
- Token de usuario o dispositivo de Azure AD- Azure AD user or device token
Después del registro, el cliente usa la firma de mensajes para demostrar la identidad del dispositivoAfter registration, the client uses message signing to prove device identity
Para los escenarios centrados en el usuario, mediante uno de los métodos siguientes para demostrar la identidad del usuario:For user-centric scenarios, using one of the following methods to prove user identity:
- Autenticación integrada en Windows- Windows-integrated authentication
- Token de usuario de Azure AD- Azure AD user token

Sugerencia

Para obtener más información sobre la configuración del punto de administración para otros tipos de identidad de dispositivo y con la puerta de enlace de administración en la nube, vea Habilitar un punto de administración para HTTPS.For more information on the configuration of the management point for different device identity types and with the cloud management gateway, see Enable management point for HTTPS.

Comunicaciones entre cliente y punto de distribuciónClient to distribution point communication

Cuando un cliente se comunica con un punto de distribución, solo necesita autenticarse antes de descargar el contenido.When a client communicates with a distribution point, it only needs to authenticate before downloading the content. Use la tabla siguiente para obtener información sobre cómo funciona este proceso:Use the following table to understand how this process works:

Tipo de PDDP type Autenticación de clienteClient authentication
HTTPHTTP - Anónima, si permite- Anonymous, if allowed
- Autenticación integrada en Windows con la cuenta de equipo o la cuenta de acceso a la red- Windows-integrated authentication with computer account or network access account
- Token de acceso de contenido (HTTP mejorado)- Content access token (Enhanced HTTP)
HTTPSHTTPS - Certificado PKI- PKI certificate
- Autenticación integrada en Windows con la cuenta de equipo o la cuenta de acceso a la red- Windows-integrated authentication with computer account or network access account
- Token de acceso de contenido- Content access token

Consideraciones sobre las comunicaciones de cliente desde Internet o desde un bosque que no es de confianzaConsiderations for client communications from the internet or an untrusted forest

Los roles de sistema de sitio siguientes instalados en los sitios primarios admiten conexiones provenientes de clientes que se encuentran en ubicaciones que no son de confianza, como Internet o un bosque que no es de confianza.The following site system roles installed at primary sites support connections from clients that are in untrusted locations, such as the internet or an untrusted forest. (Los sitios secundarios no admiten conexiones de cliente desde ubicaciones que no son de confianza).(Secondary sites don't support client connections from untrusted locations.)

  • Punto de sitios web del catálogo de aplicacionesApplication catalog website point

  • Módulo de directivas de Configuration Manager (NDES)Configuration Manager policy module (NDES)

  • Punto de distribuciónDistribution point

  • Punto de distribución basado en la nube (requiere HTTPS)Cloud-based distribution point (requires HTTPS)

  • Punto de proxy de inscripciónEnrollment proxy point

  • Punto de estado de reservaFallback status point

  • Punto de administraciónManagement point

  • Punto de actualización de softwareSoftware update point

  • Cloud Management Gateway (requiere HTTPS)Cloud management gateway (requires HTTPS)

Sobre los sistemas de sitio con conexión a InternetAbout internet-facing site systems

Nota

Es la sección siguiente se describen escenarios de administración de cliente basados en Internet.The following section is about internet-based client management scenarios. No se aplica a los escenarios de puerta de enlace de administración en la nube.It doesn't apply to cloud management gateway scenarios. Para más información, vea Administrar clientes en Internet.For more information, see Manage clients on the internet.

No es necesario tener una relación de confianza entre el bosque de un cliente y el de un servidor de sistema de sitio.There's no requirement to have a trust between a client's forest and that of the site system server. Pero cuando el bosque que contiene un sistema de sitio con conexión a Internet confía en el bosque que contiene las cuentas de usuario, esta configuración admite directivas basadas en usuario para los dispositivos en Internet si se habilita la configuración de cliente de directiva de cliente Habilitar solicitudes de directiva de usuario de clientes de Internet.However, when the forest that contains an internet-facing site system trusts the forest that contains the user accounts, this configuration supports user-based policies for devices on the internet when you enable the Client Policy client setting Enable user policy requests from internet clients.

Por ejemplo, las configuraciones siguientes ilustran cuándo la administración de cliente basada en Internet es compatible con las directivas de usuario para dispositivos de Internet:For example, the following configurations illustrate when internet-based client management supports user policies for devices on the internet:

  • El punto de administración basado en Internet se encuentra en la red perimetral, donde hay un controlador de dominio de solo lectura para autenticar al usuario, y el firewall que interviene admite los paquetes de Active Directory.The internet-based management point is in the perimeter network where a read-only domain controller resides to authenticate the user and an intervening firewall allows Active Directory packets.

  • La cuenta de usuario está en el bosque A (la intranet) y el punto de administración basado en Internet se encuentra en el bosque B (la red perimetral).The user account is in Forest A (the intranet) and the internet-based management point is in Forest B (the perimeter network). El bosque B confía en el bosque A y el firewall que interviene admite los paquetes de autenticación.Forest B trusts Forest A, and an intervening firewall allows the authentication packets.

  • La cuenta de usuario y el punto de administración basado en Internet están en el bosque A (la intranet).The user account and the internet-based management point are in Forest A (the intranet). El punto de administración se publica en Internet mediante el uso de un servidor proxy web (como Forefront Threat Management Gateway).The management point is published to the internet by using a web proxy server (like Forefront Threat Management Gateway).

Nota

Si se produce un error en la autenticación Kerberos, a continuación, se intenta automáticamente la autenticación NTLM.If Kerberos authentication fails, NTLM authentication is then automatically tried.

Como se muestra en el ejemplo anterior, es posible colocar sistemas de sitio basados en Internet en la intranet cuando están publicados en Internet mediante un servidor proxy web.As the previous example shows, you can place internet-based site systems in the intranet when they're published to the internet by using a web proxy server. Estos sistemas de sitio se pueden configurar para conexión de cliente solo desde Internet, o bien para conexiones de cliente desde Internet e intranet.These site systems can be configured for client connection from the internet only, or for client connections from the internet and intranet. Cuando se usa un servidor proxy web, puede configurarlo para protocolo de puente de Capa de sockets seguros (SSL) a SSL (más seguro) o protocolo de túnel SSL de esta forma:When you use a web proxy server, you can configure it for Secure Sockets Layer (SSL) bridging to SSL (more secure) or SSL tunneling as follows:

  • Protocolo de puente SSL a SSL: SSL bridging to SSL:
    La configuración recomendada cuando se usan servidores proxy web para la administración de clientes basada en Internet es el protocolo de puente SSL a SSL, que usa la terminación SSL con autenticación.The recommended configuration when you use proxy web servers for internet-based client management is SSL bridging to SSL, which uses SSL termination with authentication. Los equipos cliente deben ser autenticados mediante autenticación de equipo, mientras que los clientes heredados de dispositivos móviles se autentican mediante autenticación de usuario.Client computers must be authenticated by using computer authentication, and mobile device legacy clients are authenticated by using user authentication. Los dispositivos móviles inscritos por Configuration Manager no son compatibles con el protocolo de puente SSL.Mobile devices that are enrolled by Configuration Manager don't support SSL bridging.

    La ventaja de la terminación SSL en el servidor proxy web es que los paquetes de Internet están sujetos a inspección antes de que se reenvíen a la red interna.The benefit of SSL termination at the proxy web server is that packets from the internet are subject to inspection before they're forwarded to the internal network. El servidor proxy web autentica la conexión desde el cliente, la termina y, después, abre una conexión autenticada nueva a los sistemas de sitio basados en Internet.The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the internet-based site systems. Cuando los clientes de Configuration Manager usan un servidor proxy web, la identidad del cliente (el GUID de cliente) se incluye de forma segura en la carga de paquete para que el punto de administración no considere como cliente al servidor proxy web.When Configuration Manager clients use a proxy web server, the client identity (client GUID) is securely contained in the packet payload so that the management point doesn't consider the proxy web server to be the client. En Configuration Manager no se admite el protocolo de puente con HTTP a HTTPS o de HTTPS a HTTP.Bridging isn't supported in Configuration Manager with HTTP to HTTPS, or from HTTPS to HTTP.

  • Protocolo de túnel:Tunneling:
    Si el servidor proxy web no puede admitir los requisitos del protocolo de puente SSL, o bien si quiere configurar la compatibilidad con Internet para los dispositivos móviles inscritos por Configuration Manager, también se admite el protocolo de túnel SSL.If your proxy web server can't support the requirements for SSL bridging, or you want to configure internet support for mobile devices that are enrolled by Configuration Manager, SSL tunneling is also supported. Es una opción menos segura porque los paquetes SSL de Internet se reenvían a los sistemas de sitio sin terminación SSL, por lo que no se puede comprobar si incluyen contenido malintencionado.It's a less secure option because the SSL packets from the internet are forwarded to the site systems without SSL termination, so they can't be inspected for malicious content. Cuando se utiliza el protocolo de túnel SSL, no hay ningún requisito de certificado para el servidor proxy web.When you use SSL tunneling, there are no certificate requirements for the proxy web server.

Comunicaciones entre bosques de Active DirectoryCommunications across Active Directory forests

Configuration Manager es compatible con sitios y jerarquías que se distribuyen por bosques de Active Directory.Configuration Manager supports sites and hierarchies that span Active Directory forests. También admite equipos de dominio que no están en el mismo bosque de Active Directory que el servidor de sitio, y equipos que están en grupos de trabajo.It also supports domain computers that aren't in the same Active Directory forest as the site server, and computers that are in workgroups.

Compatibilidad del bosque del servidor de sitio con equipos de dominio en un bosque que no es de confianzaSupport domain computers in a forest that's not trusted by your site server's forest

  • Instalar roles de sistema de sitio en ese bosque que no es de confianza, con la opción para publicar información del sitio en ese bosque de Active Directory.Install site system roles in that untrusted forest, with the option to publish site information to that Active Directory forest

  • Administrar estos equipos como si fueran equipos de grupo de trabajoManage these computers as if they're workgroup computers

Cuando se instalan servidores de sistema de sitio en un bosque de Active Directory que no es de confianza, la comunicación entre cliente y servidor desde los clientes de dicho bosque se mantiene en ese bosque y Configuration Manager puede autenticar el equipo mediante Kerberos.When you install site system servers in an untrusted Active Directory forest, the client-to-server communication from clients in that forest is kept within that forest, and Configuration Manager can authenticate the computer by using Kerberos. Cuando se publica información del sitio en el bosque del cliente, los clientes se benefician de la posibilidad de recuperar información del sitio, como una lista de los puntos de administración disponibles, desde su bosque de Active Directory, en lugar de tener que descargar esta información desde su punto de administración asignado.When you publish site information to the client's forest, clients benefit from retrieving site information, such as a list of available management points, from their Active Directory forest, rather than downloading this information from their assigned management point.

Nota

Si quiere administrar dispositivos que están en Internet, puede instalar roles de sistema de sitio basados en Internet en la red perimetral cuando los servidores de sistema de sitio estén en un bosque de Active Directory.If you want to manage devices that are on the internet, you can install internet-based site system roles in your perimeter network when the site system servers are in an Active Directory forest. Este escenario no requiere una confianza bidireccional entre la red perimetral y el bosque del servidor de sitio.This scenario doesn't require two-way trust between the perimeter network and the site server's forest.

Compatibilidad con los equipos de un grupo de trabajoSupport computers in a workgroup

  • Aprobar manualmente los equipos del grupo de trabajo cuando usen conexiones de cliente HTTP en roles de sistema de sitio.Manually approve workgroup computers when they use HTTP client connections to site system roles. Configuration Manager no puede autenticar estos equipos mediante Kerberos.Configuration Manager can't authenticate these computers by using Kerberos.

  • Configure los clientes del grupo de trabajo para usar la cuenta de acceso a la red para que estos equipos puedan recuperar contenido de los puntos de distribución.Configure workgroup clients to use the Network Access Account so that these computers can retrieve content from distribution points.

  • Proporcione un mecanismo alternativo para que los clientes del grupo de trabajo puedan buscar los puntos de administración.Provide an alternative mechanism for workgroup clients to find management points. Use publicación en DNS, WINS, o bien asigne directamente un punto de administración.Use DNS publishing, WINS, or directly assign a management point. Estos clientes no pueden recuperar la información de sitio de Active Directory Domain Services.These clients can't retrieve site information from Active Directory Domain Services.

Vea los siguientes artículos para más información:For more information, see the following articles:

Escenarios para admitir un sitio o una jerarquía que abarca varios dominios y bosquesScenarios to support a site or hierarchy that spans multiple domains and forests

Escenario 1: Comunicación entre sitios en una jerarquía que abarca bosquesScenario 1: Communication between sites in a hierarchy that spans forests

Este escenario requiere una confianza de bosque bidireccional que admita la autenticación Kerberos.This scenario requires a two-way forest trust that supports Kerberos authentication. Si no dispone de una confianza de bosque bidireccional que admita la autenticación Kerberos, Configuration Manager no admitirá un sitio secundario en el bosque remoto.If you don't have a two-way forest trust that supports Kerberos authentication, then Configuration Manager doesn't support a child site in the remote forest.

Configuration Manager admite la instalación de un sitio secundario en un bosque remoto que tenga la confianza bidireccional necesaria con el bosque del sitio primario.Configuration Manager supports installing a child site in a remote forest that has the required two-way trust with the forest of the parent site. Por ejemplo, puede colocar un sitio secundario en un bosque diferente al del sitio primario principal siempre y cuando exista la confianza necesaria.For example, you can place a secondary site in a different forest from its primary parent site as long as the required trust exists.

Nota

Un sitio secundario puede ser un sitio primario (donde el sitio de administración central es el sitio principal), o bien un sitio secundario.A child site can be a primary site (where the central administration site is the parent site) or a secondary site.

La comunicación entre sitios de Configuration Manager usa replicación de base de datos y transferencias basadas en archivos.Intersite communication in Configuration Manager uses database replication and file-based transfers. Cuando se instala un sitio, se debe especificar una cuenta con la que instalar el sitio en el servidor designado.When you install a site, you must specify an account with which to install the site on the designated server. Esta cuenta también establece y mantiene la comunicación entre sitios.This account also establishes and maintains communication between sites. Una vez que el sitio se instala correctamente e inicia las transferencias basadas en archivos y la replicación de base de datos, no es necesario configurar nada más para la comunicación con el sitio.After the site successfully installs and initiates file-based transfers and database replication, you don't have to configure anything else for communication to the site.

Cuando existe una confianza de bosque bidireccional, Configuration Manager no exige ningún paso de configuración adicional.When a two-way forest trust exists, Configuration Manager doesn't require any additional configuration steps.

De forma predeterminada, al instalar un sitio secundario nuevo, Configuration Manager configura los componentes siguientes:By default, when you install a new child site, Configuration Manager configures the following components:

  • Una ruta de replicación basada en archivos entre sitios en cada sitio que use la cuenta de equipo del servidor de sitio.An intersite file-based replication route at each site that uses the site server computer account. Configuration Manager agrega la cuenta de equipo de cada equipo al grupo SMS_SiteToSiteConnection_<código de sitio> en el equipo de destino.Configuration Manager adds the computer account of each computer to the SMS_SiteToSiteConnection_<sitecode> group on the destination computer.

  • Una replicación de base de datos entre el servidor SQL Server de cada sitio.Database replication between the SQL Servers at each site.

También se establecen las configuraciones siguientes:Also set the following configurations:

  • Los firewalls y dispositivos de red que intervienen deben permitir los paquetes de red que Configuration Manager necesita.Intervening firewalls and network devices must allow the network packets that Configuration Manager requires.

  • La resolución de nombres debe funcionar entre los bosques.Name resolution must work between the forests.

  • Para instalar un sitio o un rol de sistema de sitio, debe especificar una cuenta que tenga permisos de administrador local en el equipo especificado.To install a site or site system role, you must specify an account that has local administrator permissions on the specified computer.

Escenario 2: La comunicación en un sitio que abarca bosquesScenario 2: Communication in a site that spans forests

Este escenario no requiere una confianza de bosque bidireccional.This scenario doesn't require a two-way forest trust.

Los sitios primarios admiten la instalación de roles de sistema de sitio en equipos de bosques remotos.Primary sites support the installation of site system roles on computers in remote forests.

  • El punto de servicio web del catálogo de aplicaciones es la única excepción.The Application Catalog web service point is the only exception. Solo se admite en el mismo bosque que el servidor de sitio.It's only supported in the same forest as the site server.

  • Cuando el rol de sistema de sitio acepta conexiones de Internet, por motivos de seguridad se recomienda instalar los roles de sistema de sitio en una ubicación donde los límites del bosque proporcionen protección al servidor de sitio (por ejemplo, en una red perimetral).When a site system role accepts connections from the internet, as a security best practice, install the site system roles in a location where the forest boundary provides protection for the site server (for example, in a perimeter network).

Para instalar un rol de sistema de sitio en un equipo de un bosque que no es de confianza:To install a site system role on a computer in an untrusted forest:

  • Especifique una cuenta de instalación del sistema de sitio, que el sitio usa para instalar el rol de sistema de sitio.Specify a Site System Installation Account, which the site uses to install the site system role. (Esta cuenta debe tener privilegios administrativos locales para la conexión). Después, instale los roles de sistema de sitio en el equipo especificado.(This account must have local administrative credentials to connect to.) Then install site system roles on the specified computer.

  • Seleccione la opción de sistema de sitio Requerir al servidor de sitio iniciar conexiones a este sistema de sitio.Select the site system option Require the site server to initiate connections to this site system. Esta configuración requiere que el servidor del sitio establezca conexiones con el servidor de sistema de sitio para transferir datos.This setting requires the site server to establish connections to the site system server to transfer data. Esta configuración impide que el equipo en la ubicación que no es de confianza inicie contacto con el servidor de sitio que está dentro de la red de confianza.This configuration prevents the computer in the untrusted location from initiating contact with the site server that's inside your trusted network. Estas conexiones usan la cuenta de instalación del sistema de sitio.These connections use the Site System Installation Account.

Para usar un rol de sistema de sitio instalado en un bosque que no es de confianza, los firewalls deben permitir el tráfico de red aunque el servidor de sitio inicie la transferencia de datos.To use a site system role that was installed in an untrusted forest, firewalls must allow the network traffic even when the site server initiates the transfer of data.

Además, los siguientes roles de sistema de sitio requieren acceso directo a la base de datos del sitio.Additionally, the following site system roles require direct access to the site database. Por tanto, los firewalls deben permitir el tráfico pertinente desde el bosque que no es de confianza hasta SQL Server en el sitio:Therefore, firewalls must allow applicable traffic from the untrusted forest to the site's SQL Server:

  • Punto de sincronización de Asset IntelligenceAsset Intelligence synchronization point

  • Punto de Endpoint ProtectionEndpoint Protection point

  • Punto de inscripciónEnrollment point

  • Punto de administraciónManagement point

  • Punto de servicio de informesReporting service point

  • Punto de migración de estadoState migration point

Para obtener más información, vea Puertos usados en Configuration Manager.For more information, see Ports used in Configuration Manager.

Es posible que tenga que configurar el acceso del punto de administración y punto de inscripción a la base de datos del sitio.You might need to configure the management point and enrollment point access to the site database.

  • De forma predeterminada, cuando se instalan estos roles, Configuration Manager configura la cuenta de equipo del nuevo servidor de sistema de sitio como la cuenta de conexión para el rol de sistema de sitio.By default, when you install these roles, Configuration Manager configures the computer account of the new site system server as the connection account for the site system role. Después agrega la cuenta al rol de base de datos de SQL Server apropiado.It then adds the account to the appropriate SQL Server database role.

  • Cuando instale estos roles de sistema de sitio en un dominio que no es de confianza, configure la cuenta de conexión del rol de sistema de sitio para que permita al rol obtener información de la base de datos.When you install these site system roles in an untrusted domain, configure the site system role connection account to enable the site system role to obtain information from the database.

Si configura una cuenta de usuario de dominio para que sea la cuenta de conexión para estos roles de sistema de sitio, asegúrese de que la cuenta de usuario de dominio tenga acceso adecuado a la base de datos de SQL Server en ese sitio:If you configure a domain user account to be the connection account for these site system roles, make sure that the domain user account has appropriate access to the SQL Server database at that site:

  • Punto de administración: cuenta de conexión a la base de datos del punto de administraciónManagement point: Management Point Database Connection Account

  • Punto de inscripción: cuenta de conexión de punto de inscripciónEnrollment point: Enrollment Point Connection Account

Tenga en cuenta la siguiente información adicional cuando planee roles de sistema de sitio en otros bosques:Consider the following additional information when you plan for site system roles in other forests:

  • Si ejecuta Firewall de Windows, configure los perfiles de firewall aplicables para que pueda haber comunicación entre el servidor de base de datos de sitio y los equipos instalados con roles de sistema de sitio remoto.If you run Windows Firewall, configure the applicable firewall profiles to pass communications between the site database server and computers that are installed with remote site system roles.

  • Cuando el punto de administración basado en Internet confía en el bosque que contiene las cuentas de usuario, se admiten las directivas de usuario.When the internet-based management point trusts the forest that contains the user accounts, user policies are supported. Cuando no existe confianza, solo se admiten las directivas de equipo.When no trust exists, only computer policies are supported.

Escenario 3: comunicación entre clientes y roles de sistema de sitio cuando los clientes no están en el mismo bosque de Active Directory que su servidor de sitioScenario 3: Communication between clients and site system roles when the clients aren't in the same Active Directory forest as their site server

Configuration Manager admite los escenarios siguientes para los clientes que no están en el mismo bosque que el servidor de sitio de su sitio:Configuration Manager supports the following scenarios for clients that aren't in the same forest as their site's site server:

  • Hay una confianza de bosque bidireccional entre el bosque del cliente y el bosque del servidor de sitio.There's a two-way forest trust between the forest of the client and the forest of the site server.

  • El servidor de rol de sistema de sitio se encuentra en el mismo bosque que el cliente.The site system role server is located in the same forest as the client.

  • El cliente está en un equipo de dominio que no tiene una confianza de bosque bidireccional con el servidor de sitio, y los roles de sistema de sitio no están instalados en el bosque del cliente.The client is on a domain computer that doesn't have a two-way forest trust with the site server, and site system roles aren't installed in the client's forest.

  • El cliente está en un equipo de grupo de trabajo.The client is on a workgroup computer.

Los clientes de un equipo unido a un dominio pueden usar Servicios de dominio de Active Directory para la ubicación del servicio cuando su sitio se publica en el bosque de Active Directory.Clients on a domain-joined computer can use Active Directory Domain Services for service location when their site is published to their Active Directory forest.

Para publicar información del sitio en otro bosque de Active Directory:To publish site information to another Active Directory forest:

  • Especificar el bosque y, a continuación, habilitar la publicación en ese bosque en el nodo Bosques de Active Directory del área de trabajo Administración .Specify the forest and then enable publishing to that forest in the Active Directory Forests node of the Administration workspace.

  • Configurar cada sitio para publicar sus datos en Servicios de dominio de Active Directory.Configure each site to publish its data to Active Directory Domain Services. Esta configuración permite a los clientes de ese bosque recuperar información del sitio y buscar puntos de administración.This configuration enables clients in that forest to retrieve site information and find management points. Para los clientes que no pueden usar Active Directory Domain Services para la ubicación del servicio, se puede usar DNS, WINS, o bien el punto de administración asignado del cliente.For clients that can't use Active Directory Domain Services for service location, you can use DNS, WINS, or the client's assigned management point.

Escenario 4: Colocar el conector de Exchange Server en un bosque remotoScenario 4: Put the Exchange Server connector in a remote forest

Para admitir este escenario, asegúrese de que la resolución de nombres funciona entre los bosques.To support this scenario, make sure that name resolution works between the forests. Por ejemplo, configure los reenvíos de DNS.For example, configure DNS forwards. Al configurar el conector de Exchange Server, especifique el nombre de dominio completo de la intranet de Exchange Server.When you configure the Exchange Server connector, specify the intranet FQDN of the Exchange Server. Para obtener más información, consulte Administrar dispositivos móviles mediante System Center Configuration Manager y Exchange.For more information, see Manage mobile devices with Configuration Manager and Exchange.

Consulte tambiénSee also