Planification de communications dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Avant d'installer System Center 2012 Configuration Manager, vous devez planifier les communications réseau entre les différents sites dans une hiérarchie, entre les différents serveurs de système de site dans un site et entre les clients et les serveurs de système de site. Ces communications peuvent figurer dans un domaine unique ou s'étendre sur plusieurs forêts Active Directory. Vous pouvez avoir besoin de prévoir des communications pour la gestion des clients sur Internet.
Utilisez les sections suivantes dans cette rubrique pour vous aider à planifier les communications dans Configuration Manager.
Planification de communications intersites dans Configuration Manager
Réplication basée sur les fichiers
Réplication de base de données
Planification des communications intrasite dans Configuration Manager
Planification des communications client dans Configuration Manager
Communications initiées par les Clients
Emplacement du service et façon dont les clients déterminent leur point de gestion attribué
Planification de l'éveil des clients
Planification des communications dans les forêts de Configuration Manager
Planification pour la gestion des clients basés sur Internet
Fonctionnalités non prises en charge sur Internet
Éléments à prendre en considération pour les communications client à partir d'Internet ou d'une forêt non approuvée
Planification des clients basés sur Internet
Configuration requise pour la gestion des clients Internet
Planification de la bande passante réseau dans Configuration Manager
Contrôle de l'utilisation de la bande passante réseau entre sites
Contrôle de l'utilisation de la bande passante réseau entre les serveurs de système de site
Contrôle de l'utilisation de la bande passante réseau entre les clients et les serveurs de système de site
Nouveautés de Configuration Manager
Notes
Les informations contenues dans cette section apparaissent également dans le guide Mise en route de System Center 2012 Configuration Manager.
Les éléments suivants concernant la communication entre sites sont nouveaux ou ont été modifiés depuis Configuration Manager 2007 :
La communication entre sites utilise désormais la réplication de base de données en plus de la réplication de fichiers pour de nombreux transferts de données entre sites, y compris les configurations et les paramètres.
Le concept Configuration Manager 2007 de sites en mode mixte ou natif permettant de définir la méthode de communication des clients avec les systèmes de site a été remplacé par des rôles de système de site qui sont capables de prendre en charge les communications des clients HTTP ou HTTPS indépendamment.
Pour aider à prendre en charge les ordinateurs clients dans d'autres forêts, Configuration Manager peut découvrir des ordinateurs dans ces forêts et publier des informations de site vers ces forêts.
Le point de recherche de serveur n'est plus utilisé, et la fonctionnalité de ce rôle de système de site a été déplacée vers le point de gestion.
La gestion des clients basés sur Internet prend désormais en charge les éléments suivants :
Des stratégies d'utilisateur lorsque le point de gestion basé sur Internet peut authentifier l'utilisateur à l'aide de l'authentification Windows (Kerberos ou NTLM).
Des séquences de tâches simples, telles que les scripts. Le déploiement de systèmes d'exploitation sur Internet n'est toujours pas pris en charge.
Les clients basés sur Internet tentent tout d'abord de télécharger les mises à jour logicielles requises sur Internet à partir de Microsoft Update, plutôt qu'à partir d'un point de distribution basé sur Internet dans le site leur étant attribué. Uniquement en cas d'échec, ils tenteront de télécharger les mises à jour logicielles requises à partir d'un point de distribution basé sur Internet.
Nouveautés de Configuration Manager SP1
Notes
Les informations contenues dans cette section apparaissent également dans le guide Mise en route de System Center 2012 Configuration Manager.
Les éléments suivants concernant la communication entre sites sont nouveaux ou ont été modifiés pour Configuration Manager SP1 :
Les itinéraires de réplication de fichiers remplacent les adresses dans le cadre de la réplication basée sur des fichiers entre sites. Il s'agit seulement d'un changement de dénomination pour qualifier la réplication basée sur des fichiers dans un souci de cohérence avec la réplication de base de données. Les fonctionnalités restent inchangées.
Configurez des liens de réplication de base de données entre bases de données de site pour contrôler et surveiller le trafic réseau dans le cadre de la réplication de base de données :
Utilisez des vues distribuées pour empêcher la réplication de données de site sélectionnées d'un site principal vers un site d'administration centrale. Le site d'administration centrale accède ensuite à ces données directement à partir de la base de données du site principal.
Planifiez le transfert des données de site sélectionnées via des liens de réplication de base de données.
Contrôlez la fréquence avec laquelle le trafic de réplication est résumé pour les rapports.
Définissez des seuils personnalisés qui déclenchent des alertes en cas de problèmes de réplication.
Configurez des contrôles de réplication pour la base de données SQL Server d'un site :
Modifiez le port que Configuration Manager utilise pour SQL Server Service Broker.
Configurez le délai d'attente avant qu'un échec de réplication amène un site à réinitialiser sa copie de la base de données de site.
Configurez une base de données de site afin qu'elle compresse les données qu'elle réplique par réplication de base de données. Les données sont compressées uniquement pour le transfert entre les sites et non pour le stockage dans la base de données du site sur l'un des sites.
Lorsque les clients Configuration Manager SP1 exécutent Windows 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012, vous pouvez compléter le paramètre d'éveil par appel réseau du site pour les paquets monodiffusion avec les paramètres client du proxy de mise en éveil. Cette combinaison permet de mettre en éveil des ordinateurs de sous-réseaux sans avoir à reconfigurer les commutateurs réseau.
Planification de communications intersites dans Configuration Manager
Dans une hiérarchie Configuration Manager, chaque site communique avec son site parent et ses sites enfants directs via de deux méthodes de transfert des données : la réplication basée sur les fichiers et la réplication de base de données. Les sites secondaires communiquent avec leurs sites principaux parents non seulement via les deux méthodes de transfert des données, mais ils peuvent également communiquer avec d'autres sites secondaires à l'aide de la réplication basée sur les fichiers pour acheminer un contenu vers des emplacements réseau distants.
Configuration Manager utilise la réplication basée sur les fichiers et la réplication de base de données pour transférer différents types d'informations entre les sites.
Réplication basée sur les fichiers
Configuration Manager utilise la réplication basée sur les fichiers pour transférer des données basées sur les fichiers entre les sites dans votre hiérarchie. Ces données incluent du contenu, par exemple, des applications et des packages que vous voulez déployer sur des points de distribution dans des sites enfants, ainsi que des enregistrements de données de découverte non traités qui sont transférés vers des sites parents pour le traitement.
La communication basée sur les fichiers entre les sites utilise le protocole SMB (Server Message Block) à l'aide du port TCP/IP 445. Vous pouvez spécifier des configurations avec limitation de bande passante et mode impulsion pour contrôler la quantité de données transférées sur le réseau, ainsi que des planifications pour contrôler à quel moment les données sont envoyées via le réseau.
À partir de Configuration Manager SP1, les adresses sont renommés « itinéraires de réplication de fichiers » dans un souci de cohérence avec la réplication de base de données. Avant SP1, Configuration Manager utilisait une adresse pour se connecter au partage SMS_SITE sur le serveur de site de destination et transférer des données basées sur des fichiers. Les itinéraires de réplication de fichiers et les adresses fonctionnent de la même façon et prennent en charge les mêmes configurations.
Les sections suivantes concernent les modifications présentées avec le Service Pack 1 et parlent non pas d'adresses mais d'itinéraires de réplication de fichiers. Si vous utilisez Configuration Manager sans Service Pack, aidez-vous du tableau suivant pour établir une correspondance entre les références aux itinéraires de réplication de fichiers et les références aux adresses.
À partir de Configuration Manager avec SP1 |
Configuration Manager sans Service Pack |
|---|---|
Compte de réplication de fichiers |
Compte d'adresse de site |
Itinéraire de réplication de fichiers |
Adresse |
Nœud Réplication de fichiers dans la console Configuration Manager |
Nœud Adresses dans la console Configuration Manager |
Itinéraires de réplication de fichiers
Configuration Manager utilise des itinéraires de réplication de fichiers pour transférer des données basées sur des fichiers entre les sites d'une hiérarchie. Les itinéraires de réplication de fichiers remplacent les adresses, qui étaient utilisées dans les versions précédentes de Configuration Manager. Les itinéraires de réplication de fichiers fonctionnent de la même manière que les adresses. Le tableau suivant fournit des informations sur les itinéraires de réplication de fichiers.
Objet |
Plus d'informations |
||
|---|---|---|---|
Itinéraire de réplication de fichiers |
Chaque itinéraire de réplication de fichiers identifie un site de destination vers lequel les données basées sur des fichiers peuvent être transférées. Chaque site prend en charge un seul itinéraire de réplication de fichiers vers un site de destination spécifique. Configuration Manager prend en charge les configurations suivantes pour les itinéraires de réplication de fichiers :
Pour gérer un itinéraire de réplication de fichiers, dans l'espace de travail Administration, développez le nœud Configuration de la hiérarchie, puis sélectionnez Réplication de fichiers. |
||
Expéditeur |
Chaque site a un expéditeur. L'expéditeur gère la connexion réseau entre un site et un site de destination et peut établir des connexions vers plusieurs sites à la fois. Pour se connecter à un site, l'expéditeur utilise l'itinéraire de réplication de fichiers vers le site pour identifier le compte à utiliser pour établir la connexion réseau. L'expéditeur utilise également ce compte pour écrire des données sur le partage SMS_SITE du site de destination. Par défaut, l'expéditeur écrit des données sur un site de destination en utilisant plusieurs envois simultanés, généralement appelés « thread ». Chaque envoi simultané (ou « thread ») peut transférer un objet basé sur un fichier différent vers le site de destination. Par défaut, lorsque l'expéditeur commence à envoyer un objet, il continue d'écrire des blocs de données pour cet objet jusqu'à la fin de l'envoi de l'objet complet. Une fois que toutes les données de l'objet ont été envoyées, l'envoi d'un nouvel objet peut commencer sur ce thread. Vous pouvez configurer les paramètres suivants pour un expéditeur :
Pour gérer l'expéditeur pour un site, développez le nœud Configuration du site dans l'espace de travail Administration, sélectionnez le nœud Sites, puis cliquez sur Propriétés pour le site à gérer. Cliquez dans l'onglet Expéditeur pour modifier la configuration de l'expéditeur. |
.jpeg "System_CAPS_caution"){kind=icon}
Attention
Réplication de base de données
La réplication de base de données Configuration Manager utilise SQL Server pour transférer des données et fusionner les modifications apportées à la base de données d'un site avec les informations stockées dans la base de données sur d'autres sites de la hiérarchie. Cela permet à tous les sites de partager les mêmes informations. La réplication de base de données est configurée automatiquement par tous les sites Configuration Manager. Lorsque vous installez un site dans une hiérarchie, la réplication de base de données est configurée automatiquement entre le nouveau site et son site parent désigné. Une fois l'installation du site terminée, la réplication de base de données démarre automatiquement.
Lorsque vous installez un nouveau site dans une hiérarchie, Configuration Manager crée une base de données générique sur le nouveau site. Ensuite, le site parent crée un instantané des données appropriées de sa base de données et transfère cet instantané vers le nouveau site par réplication basée sur des fichiers. Le nouveau site utilise ensuite un programme de copie en bloc de SQL Server pour charger les informations dans sa copie locale de la base de données Configuration Manager. Une fois l'instantané chargé, chaque site effectue une réplication de base de données avec l'autre site.
Pour répliquer des données entre les sites, Configuration Manager utilise son propre service de réplication de base de données. Le service de réplication de base de données utilise le suivi des modifications de SQL Server pour contrôler les modifications apportées à la base de données du site local, puis procède à la réplication de ces modifications sur les autres sites à l'aide de SQL Server Service Broker. Par défaut, ce processus utilise le port TCP/IP 4022.
Configuration Manager regroupe les données répliquées par la réplication de base de données dans différents groupes de réplication. À chaque groupe de réplication correspond une planification de réplication fixe et distincte qui détermine la fréquence de réplication vers d'autres sites des modifications apportées aux données. Par exemple, une modification de configuration apportée à une configuration d'administration basée sur des rôles est répliquée rapidement vers d'autres sites pour assurer que ces modifications sont appliquées dès que possible. Par contre, une modification de configuration de moindre priorité, par exemple, une demande d'installation d'un nouveau site secondaire, est répliquée avec moins d'urgence, et la demande prend quelques minutes avant d'arriver au site principal de destination.
Notes
La réplication de base de données Configuration Manager est configurée automatiquement et ne prend pas en charge la configuration de groupes de réplication ou les planifications de réplication. Cependant, à partir de Configuration Manager SP1, vous pouvez configurer des liens de réplication de base de données pour contrôler à quel moment le réseau est parcouru par du trafic spécifique. Vous pouvez également configurer le moment où Configuration Manager déclenche des alertes sur les liens de réplication dont l'état est Détérioré ou Échec.
Configuration Manager classe les données qu'il réplique via la réplication de base de données en tant que données globales ou données de site. Lorsqu'une réplication de base de données se produit, les modifications apportées aux données globales et aux données de site sont transférées via le lien de réplication de base de données. Les données globales peuvent être répliquées vers un site parent ou enfant, tandis qu'un site est répliqué uniquement vers un site parent. Un troisième type de données, les données locales, n'est pas répliqué vers d'autres sites. Les données locales incluent des informations qui ne sont pas requises par les autres sites :
Données globales : les données globales font référence aux objets créés par l'administrateur qui sont répliqués sur tous les sites dans la hiérarchie, bien que les sites secondaires reçoivent uniquement un sous-ensemble des données globales, en tant que données globales proxy. Les déploiements logiciels, les mises à jour logicielles, les définitions de regroupement et les étendues de sécurité de l'administration basée sur des rôles sont autant d'exemples de données globales. Les administrateurs peuvent créer des données globales sur des sites d'administration centrale et des sites principaux.
Données de site : les données de site font référence aux informations opérationnelles créées par les sites principaux Configuration Manager et les clients qui sont sous la hiérarchie de sites principaux. Les données de site sont répliquées vers le site d'administration centrale mais pas vers d'autres sites principaux. Les données d'inventaire matériel, les messages d'états, les alertes et les résultats de regroupements basés sur des requêtes sont des exemples de données de site. Les données de site ne peuvent être consultées que sur le site d'administration centrale et le site principal d'où proviennent les données. Les données de site ne peuvent être modifiées que sur le site principal sur lequel elles ont été créées.
Toutes les données de site sont répliquées vers le site d'administration centrale. Par conséquent, le site d'administration centrale peut procéder à l'administration et au reporting pour toute la hiérarchie.
Les informations figurant dans les sections suivantes vous seront utiles pour planifier l'utilisation des commandes disponibles à partir de Configuration Manager SP1 pour configurer des liens de réplication de base de données entre sites et pour configurer des commandes sur chaque base de données de site. Ces contrôles peuvent vous aider à contrôler et surveiller le trafic réseau créé par la réplication de base de données.
Liens de réplication de base de données
Lorsque vous installez un nouveau site dans une hiérarchie, Configuration Manager crée automatiquement un lien de réplication de base de données entre les deux sites. Un seul lien est créé pour connecter le nouveau site au site parent.
À partir de Configuration Manager SP1, chaque lien de réplication de base de données prend en charge les configurations pour faciliter le contrôle du transfert de données via le lien de réplication. Chaque lien de réplication prend en charge des configurations distinctes. Les contrôles pour les liens de réplication de base de données sont les suivants :
Utilisez des vues distribuées pour arrêter la réplication de données de site sélectionnées d'un site principal vers le site d'administration centrale et permettez au site d'administration centrale d'accéder directement à ces données à partir de la base de données du site principal.
Planifiez le moment où les données de site sélectionnées sont transférées d'un site principal enfant vers le site d'administration centrale.
Définissez les paramètres qui déterminent dans quelles circonstances un lien de réplication de base de données à l'état Détérioré ou Échec.
Configurez à quel moment déclencher des alertes dans le cas d'un lien de réplication en échec.
Spécifiez la fréquence à laquelle Configuration Manager résume les données sur le trafic de réplication qui utilise le lien de réplication. Ces données sont utilisées dans les rapports.
Pour configurer un lien de réplication de base de données, vous devez modifier les propriétés du lien dans la console Configuration Manager à partir du nœud Réplication de la base de données. Ce nœud figure dans l'espace de travail Surveillance ; et à partir de Configuration Manager SP1, ce nœud figure également sous le nœud Configuration de la hiérarchie dans l'espace de travail Administration. Vous pouvez modifier un lien de réplication à partir du site parent ou du site enfant du lien de réplication.
.jpeg "System_CAPS_tip") Conseil |
|---|
Vous pouvez modifier les liens de réplication de base de données à partir du nœud Réplication de la base de données dans chaque espace de travail. En revanche, lorsque vous utilisez le nœud Réplication de la base de données dans l'espace de travail Surveillance, vous pouvez également consulter l'état de réplication de base de données des liens de réplication et accéder à l'outil Analyseur de lien de réplication, qui peut vous aider à identifier les problèmes de réplication de base de données. |
Pour plus d'informations sur la configuration des liens de réplication, voir Contrôles de réplication de la base de données du site. Pour plus d'informations sur la surveillance de la réplication, voir la section Surveillance des liens de réplication de la base de données et de l'état de la réplication dans la rubrique Contrôler des sites et la hiérarchie de Configuration Manager.
Pour planifier des liens de réplication de base de données, aidez-vous des informations figurant dans les sections suivantes.
Planification concernant l'utilisation de vues distribuées
Pour System Center 2012 Configuration Manager SP1 et ultérieur :
Les vues distribuées permettent aux demandes formulées sur un site d'administration centrale relatives à des données de site sélectionnées d'accéder à ces données directement à partir de la base de données d'un site principal enfant. Cet accès direct évite d'avoir à répliquer ces données de site du site principal vers le site d'administration centrale. Comme chaque lien de réplication est indépendant des autres liens de réplication, vous pouvez activer les vues distribuées uniquement sur les liens de réplication de votre choix. Les vues distribuées ne sont pas prises en charge entre un site principal et un site secondaire.
Les vues distribuées peuvent offrir les avantages suivants :
Diminution de la charge processeur lors du traitement des modifications apportées à la base de données sur le site d'administration centrale et les sites principaux.
Réduction de la quantité de données transférées sur le réseau à destination du site d'administration centrale.
Amélioration des performances du serveur SQL Server hébergeant la base de données du site d'administration centrale.
Diminution de l'espace disque utilisé par la base de données sur le site d'administration centrale.
Vous pouvez envisager d'utiliser des vues distribuées lorsqu'un site principal est situé à proximité du site d'administration centrale sur le réseau et que les deux sites sont toujours actifs et connectés. En effet, les vues distribuées remplacent la réplication des données sélectionnées entre les sites par des connexions directes entre les serveurs SQL Server de chaque site. Cette connexion directe est établie chaque fois qu'une demande portant sur ces données est formulée sur le site d'administration centrale. En règle générale, les demandes de données que vous pouvez autoriser pour les vues distribuées sont formulées lorsque vous exécutez des rapports ou des requêtes, affichez des informations dans l'Explorateur de ressources et par l'évaluation des regroupements lorsque ceux-ci incluent des règles basées sur les données de site.
Par défaut, les vues distribuées sont désactivées pour chaque lien de réplication. Lorsque vous activez les vues distribuées pour un lien de réplication, vous sélectionnez les données de site qui ne seront pas répliquées sur le site d'administration centrale via ce lien, et vous autorisez le site d'administration centrale à accéder à ces données directement à partir de la base de données du site principal enfant qui partage le lien. Pour les vues distribuées, vous pouvez configurer les types de données de site suivants :
Données d'inventaire matériel des clients
Données d'inventaire et de contrôle de logiciel des clients
Messages d'état en provenance des clients, du site principal et de tous les sites secondaires
Sur le plan opérationnel, les vues distribuées sont invisibles pour un utilisateur administratif qui consulte des données dans la console Configuration Manager ou dans des rapports. Quand une requête est effectuée pour des données activées pour les vues distribuées, le serveur SQL Server qui héberge la base de données du site d'administration centrale accède directement au serveur SQL Server du site principal enfant afin d'extraire les informations. Par exemple, vous utilisez une console Configuration Manager au niveau du site d'administration centrale pour demander des informations sur l'inventaire matériel de deux sites alors qu'un seul des deux possède un inventaire matériel compatible avec une vue distribuée. Les informations d'inventaire pour les clients du site qui n'est pas configuré pour les vues distribuées sont extraites de la base de données au niveau du site d'administration centrale. Les informations d'inventaire pour les clients du site qui n'est pas configuré pour les vues distribuées sont accessibles à partir de la base de données au niveau du site principal enfant. Ces informations apparaissent dans la console Configuration Manager ou un rapport sans distinction par rapport à la source.
Tant qu'un lien de réplication comporte un type de données activé pour les vues distribuées, le site principal enfant ne réplique pas ces données sur le site d'administration centrale. Dès que vous désactivez les vues distribuées pour un type de données, le site principal enfant reprend la réplication de ces données sur le site d'administration centrale dans le cadre d'une réplication normale des données. Toutefois, pour que ces données soient disponibles au niveau du site d'administration centrale, les groupes de réplication qui les contiennent doivent se réinitialiser entre le site principal et le site d'administration centrale. De même, après la désinstallation d'un site principal dont les vues distribuées sont activées, le site d'administration centrale doit effectuer la réinitialisation de ses données pour que vous puissiez accéder aux données activées pour les vues distribuées sur le site d'administration centrale.
Important
Lorsque vous utilisez des vues distribuées sur un lien de réplication dans la hiérarchie, vous devez les désactiver pour tous les liens de réplication avant de désinstaller un site principal. Pour plus d'informations, voir la section Désinstaller un site principal configuré avec des vues distribuées dans la rubrique Installer des sites et créer une hiérarchie pour Configuration Manager.
Conditions préalables et restrictions des vues distribuées
Voici les conditions préalables et restrictions des vues distribuées :
Le site administration centrale et le site principal doivent exécuter la même version de Configuration Manager et disposer d'une version minimale de SP1
Les vues distribuées sont prises en charge uniquement sur des liens de réplication entre un site d'administration centrale et un site principal.
Le site d'administration centrale peut disposer d'une seule instance du fournisseur SMS installée, et cette instance doit être installée sur le serveur de base de données du site. Cette contrainte sert à prendre en charge l'authentification Kerberos requise pour activer le serveur SQL Server au niveau du site d'administration centrale afin d'accéder au serveur SQL Server au niveau du site principal enfant. Il n'existe aucune limitation sur le fournisseur SMS au niveau du site principal enfant.
Le site d'administration centrale peut disposer d'un seul point SQL Server Reporting Services installé, et ce dernier doit se trouver sur le serveur de base de données du site. Cette contrainte sert à prendre en charge l'authentification Kerberos requise pour activer le serveur SQL Server au niveau du site d'administration centrale afin d'accéder au serveur SQL Server au niveau du site principal enfant.
La base de données du site ne peut pas être hébergée sur un cluster SQL Server.
Le compte d'ordinateur du serveur de base de données du site d'administration centrale requiert des autorisations Read sur la base de données du site principal.
Les vues distribuées et les planifications relatives aux dates de réplication des données sont des configurations qui s'excluent mutuellement pour un lien de réplication de la base de données.
Prévoir la planification des transferts de données de site sur les liens de réplication de la base de données
Pour System Center 2012 Configuration Manager SP1 et ultérieur :
Pour mieux contrôler la bande passante réseau utilisée pour répliquer les données de site depuis un site principal enfant vers son site d'administration centrale, vous pouvez planifier le moment auquel un lien de réplication est utilisé, ainsi que spécifier quand les différents types de données de site se répliquent. Vous pouvez contrôler le moment auquel le site principal réplique les messages d'état, l'inventaire et les données de contrôle. Les liens de réplication de la base de données des sites secondaires ne prennent pas en charge les planifications des données de site. Le transfert de données globales ne peut pas être planifié.
Quand vous configurez une planification de lien de réplication de la base de données, vous pouvez restreindre le transfert des données de site sélectionnées depuis le site principal vers le site d'administration centrale et vous pouvez configurer différentes heures pour répliquer des types différents de données de site.
Pour plus d'informations sur le contrôle de l'utilisation de la bande passante réseau entre les sites Configuration Manager, voir la section Contrôle de l'utilisation de la bande passante réseau entre sites de cette rubrique.
Planifier le résumé du trafic de réplication de la base de données
Pour System Center 2012 Configuration Manager SP1 et ultérieur :
À partir de Configuration Manager SP1, chaque site résume régulièrement les données sur le trafic réseau qui traverse les liens de réplication de la base de données qui incluent le site. Ces données résumées sont utilisées dans les rapports pour la réplication de la base de données. Les deux sites sur un lien de réplication résument le trafic réseau qui traverse le lien de réplication. Le résumé des données est effectué par le serveur SQL Server qui héberge la base de données du site. Après le résumé des données, ces informations se répliquent sur d'autres sites en tant que données globales.
Par défaut, le résumé se produit toutes les 15 minutes. Vous pouvez modifier la fréquence du résumé du trafic réseau en modifiant la valeur Intervalle de résumé dans les propriétés du lien de réplication de la base de données. La fréquence du résumé affecte les informations affichées dans les rapports sur la réplication de la base de données. Vous pouvez définir cet intervalle entre 5 et 60 minutes. Lorsque vous augmentez la fréquence du résumé, vous augmentez la charge de traitement sur le serveur SQL Server au niveau de chaque site sur le lien de réplication.
Prévoir les seuils de réplication de la base de données
Les seuils de réplication de la base de données définissent le moment auquel un lien de réplication de la base de données est signalé comme étant détérioré ou en état d'échec. Par défaut, un lien est défini comme détérioré quand l'un des groupes de réplication ne parvient pas à terminer la réplication à l'issue de 12 tentatives consécutives ; il est en état d'échec quand l'un des groupes de réplication ne parvient pas à se répliquer à l'issue de 24 tentatives consécutives.
À partir de Configuration Manager SP1, vous pouvez spécifier des valeurs personnalisées afin d'ajuster le moment auquel Configuration Manager signale qu'un lien de réplication est détérioré ou en état d'échec. Avant Configuration Manager SP1, ces seuils n'étaient pas modifiables. L'ajustement du moment auquel Configuration Manager signale chaque état de vos liens de réplication de la base de données peut vous aider à surveiller l'intégrité de la réplication de la base de données avec précision.
Étant donné qu'il est possible qu'un seul ou plusieurs groupes de réplication ne parviennent pas à se répliquer alors que d'autres continuent de le faire correctement, prévoyez de vérifier l'état de réplication d'un lien de réplication dès qu'un état détérioré est signalé. S'il existe des délais récurrents pour des groupes de réplication et qu'ils ne présentent pas de problème, où lorsque la liaison réseau entre les sites dispose d'une faible bande passante disponible, envisagez de modifier le nombre de nouvelles tentatives pour l'état détérioré ou en échec du lien. Quand vous augmentez le nombre de nouvelles tentatives avant que le lien ne soit défini comme détérioré ou en état d'échec, vous pouvez éliminer les faux avertissements liés aux problèmes connus, ce qui vous permet de suivre l'état du lien de manière plus précise.
Vous devez également appréhender l'intervalle de synchronisation de réplication pour chaque groupe de réplication pour comprendre la fréquence à laquelle la réplication de ce groupe se produit. Vous pouvez afficher la valeur Intervalle de synchronisation des groupes de réplication sous l'onglet Détail de la réplication d'un lien de réplication dans le nœud Réplication de la base de données de l'espace de travail Surveillance.
Pour plus d'informations sur la surveillance de la réplication de base de données, notamment comment afficher l'état de réplication, voir la section Surveillance des liens de réplication de la base de données et de l'état de la réplication de la rubrique Contrôler des sites et la hiérarchie de Configuration Manager.
Pour plus d'informations sur la configuration des seuils de réplication de base de données, voir Contrôles de réplication de la base de données du site.
Contrôles de réplication de la base de données du site
Pour System Center 2012 Configuration Manager SP1 et ultérieur :
Chaque base de données du site prend en charge des configurations qui peuvent vous aider à contrôler la bande passante réseau utilisée pour la réplication de la base de données. Ces configurations s'appliquent uniquement à la base de données du site dans laquelle vous configurez les paramètres, et elles sont toujours utilisées lorsque le site réplique des données par réplication de la base de données sur un autre site.
Les contrôles de réplication pour chaque base de données de site sont les suivants :
Modifiez le port que Configuration Manager utilise pour SQL Server Service Broker.
Configurez le délai d'attente avant que les échecs de réplication ne déclenchent la réinitialisation de la copie de la base de données du site.
Configurez une base de données de site afin qu'elle compresse les données qu'elle réplique par réplication de base de données. Les données sont compressées uniquement pour le transfert entre les sites et non pour le stockage dans la base de données du site sur l'un des sites.
Pour configurer les contrôles de réplication d'une base de données de site, vous modifiez les propriétés de la base de données de site dans la console Configuration Manager à partir du nœud Réplication de la base de données. Ce nœud apparaît sous le nœud Configuration de la hiérarchie dans l'espace de travail Administration et également dans l'espace de travail Surveillance. Pour modifier les propriétés de la base de données du site, sélectionnez le lien de réplication entre les sites, puis ouvrez soit Propriétés de la base de données parent, soit Propriétés de la base de données enfant.
| Conseil |
|---|
Vous pouvez configurer les contrôles de réplication de la base de données à partir du nœud Réplication de la base de données dans l'un ou l'autre espace de travail. En revanche, lorsque vous utilisez le nœud Réplication de la base de données dans l'espace de travail Surveillance, vous pouvez également afficher l'état de réplication de la base de données d'un lien de réplication, puis accéder à l'outil Analyseur de lien de réplication, lequel peut vous aider à rechercher les problèmes de réplication. |
Pour plus d'informations sur la façon de configurer des contrôles de réplication de la base de données, voir Configurer les contrôles de réplication de la base de données. Pour plus d'informations sur la façon de surveiller la réplication, voir Surveiller la réplication de la base de données du site.
Planification des communications intrasite dans Configuration Manager
Chaque site Configuration Manager contient un serveur de site et peut avoir un ou plusieurs serveurs de système de site supplémentaires qui hébergent les rôles de système de site.Configuration Manager nécessite que chaque serveur de système de site soit membre d'un domaine Active Directory.Configuration Manager ne prend pas en charge le changement de nom d'ordinateur ou d'appartenance au domaine tant que l'ordinateur demeure un système de site.
Lorsque des systèmes de site Configuration Manager ou des composants communiquent sur le réseau vers d'autres systèmes de site ou des composants Configuration Manager du site, ils utilisent le protocole SMB (Server Message Block), HTTP ou HTTPS. La méthode de communication dépend de la façon dont vous choisissez de configurer le site. À l'exception de la communication depuis le serveur de site vers un point de distribution, ces communications de serveur à serveur dans un site peuvent avoir lieu à tout moment et n'utilisent aucun mécanisme pour contrôler la bande passante réseau. Étant donné que vous ne pouvez pas contrôler la communication entre les systèmes de site, veillez à installer des serveurs de système de site à des emplacements qui disposent de réseaux rapides et bien connectés.
Vous pouvez utiliser les options suivantes pour gérer plus facilement le transfert de contenu depuis le serveur de site vers des points de distribution :
Configurez le point de distribution pour la planification et le contrôle de la bande passante réseau. Ces contrôles ressemblent aux configurations utilisées par des adresses intersites et vous pouvez souvent utiliser cette configuration plutôt que d'installer un autre site Configuration Manager lorsque le transfert de contenu vers des emplacements réseau distincts est votre principale considération relative à la bande passante.
Vous pouvez installer un point de distribution comme un point de distribution préparé. Un point de distribution préparé vous permet d'utiliser du contenu qui est placé manuellement sur le serveur de point de distribution et supprime la nécessité de transférer des fichiers de contenu sur le réseau.
Pour plus d'informations sur les considérations relatives à la bande passante réseau, voir Considérations relatives à la bande passante réseau pour les points de distribution dans Planification de la gestion de contenu dans Configuration Manager.
Planification des communications client dans Configuration Manager
Les clients Configuration Manager et les appareils gérés communiquent avec les ordinateurs qui hébergent l'infrastructure Configuration Manager comme les rôles de système de site, avec l'infrastructure de domaine comme les DNS ou les services de domaine Active Directory, et avec les services sur Internet.
Prenez en compte les éléments suivants lors de la planification des communications client :
Scénarios de communication |
Plus d'informations |
|---|---|
Communications initiées par les clients |
Les clients établissent des communications avec les éléments suivants :
|
Emplacement du service |
L'emplacement du service est la méthode par laquelle les clients identifient un site attribué et recherchent dynamiquement des points de gestion. Les points de gestion sont le point de contact principal pour les clients et sont utilisés pour les opérations suivantes :
|
Utilisez les informations contenues dans les sections suivantes pour planifier les communications par les clients Windows.
À partir de Configuration Manager SP1, vous pouvez gérer les clients qui exécutent Linux et UNIX. Les clients qui exécutent Linux et UNIX fonctionnent comme des clients dans des groupes de travail. Pour plus d'informations sur la prise en charge des ordinateurs se trouvant dans des groupes de travail, voir Planification des communications dans les forêts de Configuration Manager dans cette rubrique. Pour plus d'informations sur la communication pour les clients qui exécutent Linux et UNIX, consultez la section Planification de communications dans la forêt approuve de serveurs UNIX et de Linux de la rubrique Planification du déploiement du Client pour les serveurs Linux et UNIX.
Communications initiées par les Clients
Les clients lancent des communications vers les rôles de système de site, les services de domaine Active Directory et les services en ligne. Pour activer ces communications, les pare-feu doivent autoriser le trafic réseau entre les clients et le point de terminaison de leurs communications. Les points de terminaison sont notamment :
Des points de gestion à partir desquels les clients téléchargent la stratégie client.
Des points de distribution à partir desquels les clients téléchargent du contenu.
Des points de mise à jour logicielle.
Les rôles de système de site supplémentaires suivants, chacun pour des tâches de fonctionnalité spécifiques :
Point du site web du catalogue des applications
Module de stratégie de Configuration Manager (NDES)
Point d'état de secours
Point de migration d'état
Point du programme de validation d'intégrité système
Divers services de domaine, tels que les services de domaine Active Directory et DNS (pour l'emplacement du service).
Microsoft Update, pour assurer la protection contre les logiciels malveillants.
Des ressources cloud, telles que Microsoft Update ou Microsoft Azure et Microsoft Intune quand vous utilisez ces services cloud avec Configuration Manager.
Pour plus d'informations sur les ports et protocoles utilisés par les clients pour communiquer avec ces points de terminaison, consultez Référence technique pour les ports utilisés dans Configuration Manager.
Avant qu'un client puisse communiquer avec un rôle de système de site, il utilise l'emplacement du service pour rechercher un rôle de système de site prenant en charge son protocole (HTTP ou HTTPS). Par défaut, les clients utilisent la méthode la plus sûre à leur disposition :
Pour utiliser le protocole HTTPS, vous devez disposer d'une infrastructure à clé publique (PKI) et installer des certificats PKI sur des clients et serveurs. Pour plus d'informations sur l'utilisation des certificats, voir Configuration requise des certificats PKI pour Configuration Manager.
Quand vous déployez un rôle de système de site qui utilise Internet Information Services (IIS) et prend en charge les communications des clients, vous devez spécifier si les clients se connectent au système de site à l'aide de HTTP ou HTTPS. Si vous utilisez le protocole HTTP, vous devez également envisager les options de signature et de chiffrement. Pour plus d'informations, voir Planification de la signature et du chiffrement.
Les rôles de système de site et services suivants prennent en charge les communications HTTPS des clients :
Point du site web du catalogue des applications
Module de stratégie de Configuration Manager
Point de distribution (HTTPS est requis par les points de distribution cloud)
Point de gestion
Point de mise à jour logicielle
Point de migration d'état
Outre les informations ci-dessus, pour la planification des clients dans des emplacements non approuvés, consultez Éléments à prendre en considération pour les communications client à partir d'Internet ou d'une forêt non approuvée
Emplacement du service et façon dont les clients déterminent leur point de gestion attribué
Les clients déterminent le point de gestion par défaut de leur site attribué quand ils sont installés pour la première fois et attribués à un site. Une fois qu'un client trouve le point de gestion par défaut de son site, ce point de gestion lui est attribué. Cette attribution est déterminée par le client.
Depuis la mise à jour cumulative 3 pour System Center 2012 R2 Configuration Manager, vous pouvez utiliser HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" l'affinité du point de gestion pour configurer un client et utiliser un ou plusieurs points de gestion spécifiques.
Depuis System Center 2012 Configuration Manager SP2, vous pouvez utiliser des points de gestion préférés. Un point de gestion préféré est un point de gestion associé à un groupe de limites en tant que serveur de système de site, semblable à la façon dont les points de distribution ou les points de migration d'état sont associés à un groupe de limites. Si vous activez les points de gestion préférés pour la hiérarchie, lorsqu'un client utilise un point de gestion à partir de son site attribué, il va tenter d'utiliser un point de gestion préféré avant d'utiliser d'autres points de gestion à partir de son site attribué.
Après l'attribution d'un point de gestion au client, ce dernier soumet régulièrement une demande d'emplacement de service pour le point de gestion par défaut de son site, en cas de modification de celui-ci.
Chaque fois qu'un client doit identifier un point de gestion à utiliser, il consulte une liste de points de gestion connus (la liste PG), qui est stockée localement dans WMI. Le client crée une liste PG initiale lors de son installation et la met régulièrement à jour avec des détails sur chaque point de gestion de la hiérarchie.
Quand le client ne trouve pas de point de gestion valide dans sa liste PG, il en recherche dans les sources d'emplacement de service suivantes, dans l'ordre, jusqu'à ce qu'il trouve un point de gestion qu'il peut utiliser :
Point de gestion
Services de domaine Active Directory
DNS
WINS
Une fois qu'un client a pu localiser et contacter un point de gestion, il télécharge la liste actuelle des points de gestion disponibles dans la hiérarchie et met à jour sa liste locale. Cela s'applique aussi bien aux clients qui appartiennent à un domaine qu'à ceux qui n'y appartiennent pas.
Par exemple, quand un client Configuration Manager sur Internet se connecte à un point de gestion basé sur Internet, ce dernier lui envoie une liste des points de gestion basés sur Internet disponibles sur le site. De même, les clients qui appartiennent à un domaine ou figurent dans des groupes de travail reçoivent également la liste des points de gestion qu'ils peuvent utiliser.
Un client qui n'est pas configuré pour Internet ne reçoit pas de points de gestion exclusivement accessibles sur Internet.
Les clients de groupe de travail configurés pour Internet communiquent uniquement avec des points de gestion accessibles sur Internet.
Voici quelques informations sur chacune des sources d'emplacement de service :
La liste PG
La liste PG d'un client est la source d'emplacement de service préférée, car il s'agit d'une liste hiérarchisée de points de gestion précédemment identifiés par le client. Cette liste est triée par chaque client en fonction de son emplacement réseau au moment où il l'a met à jour, puis stockée localement sur le client dans WMI.
Création de la liste PG initiale
Pendant l'installation du client, les règles suivantes sont utilisées pour générer la liste PG initiale du client :
La liste initiale inclut des points de gestion spécifiés pendant l'installation du client (quand vous utilisez les options SMSMP= ou /MP).
Le client recherche dans les services de domaine Active Directory (AD DS) les points de gestion publiés. Pour que le point de gestion soit identifié à partir des services AD DS, il doit provenir du site attribué du client et avoir la même version de produit que celle du client.
Si aucun point de gestion n'a été spécifié pendant l'installation du client, et si le schéma Active Directory n'est pas étendu, le client recherche des points de gestion publiés dans les services DNS et WINS.
Quand vous créez la liste initiale, les informations sur certains points de gestion de la hiérarchie peuvent ne pas être connues.
Organisation de la liste des points de gestion
Les clients organisent leur liste de points de gestion selon les classifications suivantes :
Proxy : un point de gestion proxy est un point de gestion figurant sur un site secondaire.
Local : tout point de gestion associé à l'emplacement réseau actuel du client tel que défini par les limites de site.
Quand un client appartient à plusieurs groupes de limites, la liste des points de gestion locaux est déterminée en réunissant toutes les limites qui incluent l'emplacement réseau actuel du client.
En règle générale, les points de gestion de type Local sont un sous-ensemble des points de gestion Attribués d'un client, sauf si ce dernier se trouve à un emplacement réseau associé à un autre site avec des points de gestion assurant la maintenance de ses groupes de limites.
Attribué : tout point de gestion représentant un système de site pour le site attribué du client.
Depuis System Center 2012 Configuration Manager SP2, vous pouvez utiliser des points de gestion préférés. Les points de gestion préférés sont des points de gestion à partir d'un site attribué du client et qui sont associés à un groupe de limites que le client utilise pour rechercher des serveurs de système de site.
Les points de gestion d'un site qui ne sont pas associés à un groupe de limites, ou qui ne sont pas dans un groupe de limites associé à un emplacement réseau actuel du client, ne sont pas considérés comme préférés et sont utilisés lorsque le client ne peut pas identifier un point de gestion préféré disponible.
Sélection d'un point de gestion à utiliser
Pendant les communications classiques, un client tente d'utiliser un point de gestion appartenant aux classifications dans l'ordre suivant, en fonction de l'emplacement réseau du client :
Proxy
Local
Affecté
Toutefois, le client utilise toujours le point de gestion attribué pour les messages d'enregistrement et certains messages de la stratégie, même quand d'autres communications sont envoyées à un point de gestion proxy ou local.
Dans chaque classification (proxy, local ou attribué), les clients tentent d'utiliser un point de gestion en fonction de certaines préférences, dans l'ordre suivant :
Compatible HTTPS dans une forêt approuvée ou locale (quand le client est configuré pour la communication HTTPS)
Compatible HTTPS dans une forêt non approuvée ou non locale (quand le client est configuré pour la communication HTTPS)
Compatible HTTP dans une forêt approuvée ou locale
Compatible HTTP dans une forêt non approuvée ou non locale
Dans l'ensemble des points de gestion triés par préférences, les clients tentent d'utiliser le premier point de gestion de la liste :
Cette liste triée de points de gestion est aléatoire et ne peut pas être ordonnée.
L'ordre de la liste peut varier chaque fois que le client met à jour sa liste de points de gestion.
Quand un client ne peut pas établir le contact avec le premier point de gestion, il essaie chaque point de gestion successif de sa liste, en essayant chaque point de gestion préféré de la classification avant d'essayer ceux qui ne le sont pas. Si un client ne parvient pas communiquer avec un point de gestion de la classification, il tente alors de contacter un point de gestion préféré de la classification suivante, et ainsi de suite jusqu'à ce qu'il trouve un point de gestion à utiliser.
Une fois la communication établie avec un point de gestion, le client continue à utiliser ce même point de gestion jusqu'à ce que :
Au bout de 25 heures, le client sélectionne de manière aléatoire un nouveau point de gestion à utiliser.
Le client a tenté sans succès 5 fois sur une période de 10 minutes de communiquer avec le point de gestion, il sélectionne donc un nouveau point de gestion à utiliser.
Active Directory
Les clients qui appartiennent à un domaine peuvent utiliser les services de domaine Active Directory (AD DS) pour l'emplacement du service. Pour ce faire, les sites doivent publier des données dans Active Directory.
Les clients peuvent utiliser les services de domaine Active Directory pour l'emplacement du service quand toutes les conditions suivantes sont remplies :
Le schéma Active Directory a été étendu pour System Center 2012 Configuration Manager ou pour Configuration Manager 2007.
La forêt Active Directory est configurée pour la publication, de même que les sites Configuration Manager.
L'ordinateur client est membre d'un domaine Active Directory et peut accéder à un serveur de catalogue global.
Si un client ne peut pas trouver de point de gestion à utiliser pour l'emplacement du service dans AD DS, il tente alors d'utiliser DNS. Les clients qui appartiennent à un domaine peuvent utiliser les services AD DS pour l'emplacement du service. Pour ce faire, les sites doivent publier des données dans Active Directory.
DNS
Les clients se trouvant sur l'intranet peuvent utiliser DNS pour l'emplacement du service. Pour ce faire, au moins un site d'une hiérarchie doit publier des informations sur les points de gestion dans DNS.
Envisagez d'utiliser DNS pour l'emplacement du service quand l'une des conditions suivantes est remplie :
Le schéma des services de domaine Active Directory n'est pas étendu pour prendre en charge Configuration Manager.
Les clients sur l'Intranet se trouvent dans une forêt qui n'est pas activée pour la publication Configuration Manager.
Des clients se trouvent sur des ordinateurs de groupes de travail et ne sont pas configurés pour la gestion des clients uniquement accessibles sur Internet. (Un client de groupe de travail configuré pour Internet communique uniquement avec des points de gestion accessibles sur Internet et n'utilise pas de DNS pour l'emplacement du service).
Vous pouvez configurer les clients pour rechercher les points de gestion dans les services DNS.
Quand un site publie des enregistrements d'emplacement de service pour les points de gestion dans DNS :
La publication est uniquement applicable aux points de gestion qui acceptent les connexions client à partir de l'intranet.
La publication ajoute un enregistrement de ressource d'emplacement du service (SRV RR) dans la zone DNS de l'ordinateur du point de gestion. Une entrée hôte correspondante doit se trouver dans DNS pour cet ordinateur.
Par défaut, les clients appartenant à un domaine recherchent des enregistrements de point de gestion dans DNS à partir de leur domaine local. Vous pouvez configurer une propriété client qui spécifie un suffixe pour un domaine qui publie des informations de point de gestion dans DNS.
Pour plus d'informations sur la configuration de la propriété cliente du suffixe DNS, voir Comment configurer des ordinateurs clients pour trouver des points de gestion via la publication DNS dans Configuration Manager.
Si un client ne peut pas trouver de point de gestion à utiliser pour l'emplacement du service dans DNS, il tente alors d'utiliser WINS.
Publier des points de gestion dans DNS
Pour publier des points de gestion dans DNS, les deux conditions suivantes doivent être vraies :
Vos serveurs DNS prennent en charge les enregistrements de ressource d'emplacement de service, à l'aide d'une version de BIND qui est au moins la version 8.1.2.
Les noms de domaine complets de l'intranet spécifiés pour les points de gestion de Configuration Manager ont des entrées d'hôte (par exemple, des enregistrements A) dans DNS.
Important
La publication DNS Configuration Manager ne prend pas en charge un espace de noms disjoint. En présence d'un espace de noms disjoint, vous pouvez publier manuellement des points de gestion dans DNS ou utiliser l'une des autres méthodes d'emplacement de service décrites dans cette section.
Quand vos serveurs DNS prennent en charge les mises à jour automatiques, vous pouvez configurer Configuration Manager pour qu'il publie automatiquement les points de gestion de l'intranet dans DNS, ou vous pouvez publier manuellement ces enregistrements dans DNS. Lorsque des points de gestion sont publiés dans DNS, leur nom de domaine complet Intranet et leur numéro de port sont publiés dans l'enregistrement d'emplacement de service (SRV). Vous configurez la publication DNS sur un site dans les Propriétés du composant de point de gestion des sites. Pour plus d'informations, voir Configuration des composants de site dans Configuration Manager.
Quand vos serveurs DNS ne prennent pas en charge les mises à jour automatiques, mais prennent en charge les enregistrements d'emplacement de service, vous pouvez publier manuellement des points de gestion dans DNS. Pour cela, vous devez spécifier manuellement l'enregistrement de la ressource d'emplacement de service (SRV RR) dans DNS.
Configuration Manager prend en charge la norme RFC 2782 pour les enregistrements d'emplacement de service dotés du format suivant :
_Service._Proto.Nom TTL Classe SRV Priorité Poids Port Cible
Pour publier un point de gestion dans Configuration Manager, spécifiez les valeurs suivantes :
_Service : entrez _mssms_mp*_<code_site>*, où <code_site> est le code site du point de gestion.
._Proto : Spécifiez ._tcp.
.Name : entrez le suffixe DNS du point de gestion, par exemple contoso.com.
TTL : entrez 14400, ce qui correspond à quatre heures.
Class : spécifiez IN (conformément à la norme RFC 1035).
Priorité : ce champ n'est pas utilisé par Configuration Manager.
Poids : ce champ n'est pas utilisé par Configuration Manager.
Port : entrez le numéro de port que le point de gestion utilise, par exemple 80 pour HTTP et 443 pour HTTPS.
Notes
Le port d'enregistrement SRV doit correspondre au port de communication utilisé par le point de gestion. Par défaut, le port 80 est utilisé pour les communications HTTP et le port 443 pour les communications HTTPS.
Cible : entrez le nom de domaine complet de l'intranet spécifié pour le système de site configuré avec le rôle de site de point de gestion.
Si vous utilisez le DNS Windows Server, vous pouvez utiliser la procédure suivante pour entrer cet enregistrement DNS pour les points de gestion intranet. Si vous utilisez une autre implémentation de DNS, utilisez les informations de cette section sur les valeurs de champ et consultez la documentation de ce DNS pour adapter cette procédure.
Pour configurer la publication automatique :
-
Dans la console Configuration Manager, développez Administration > Configuration du site > Sites.
-
Sélectionnez votre site, puis cliquez sur Configurer les composants de site.
-
Sélectionnez Point de gestion.
-
Sélectionnez les points de gestion à publier. (Cette sélection s'applique à la publication dans AD DS et DNS).
-
Cochez la case de publication dans DNS :
- Cette boîte de dialogue vous permet de sélectionner les points de gestion à publier et de publier dans DNS. - Cette boîte de dialogue ne configure pas la publication dans AD DS.
Pour publier manuellement des points de gestion dans DNS sur Windows Server
-
Dans la console Configuration Manager, spécifiez les noms de domaine complets d'intranet des systèmes de site.
-
Dans la console de gestion DNS, sélectionnez la zone DNS de l'ordinateur du point de gestion.
-
Vérifiez qu'il existe un enregistrement d'hôte (A ou AAAA) pour le nom de domaine complet d'intranet du système de site. Si cet enregistrement n'existe pas, créez-le.
-
À l'aide de l'option Autres nouveaux enregistrements, cliquez sur Emplacement du service (SRV) dans la boîte de dialogue Type d'enregistrement de ressource, cliquez sur Créer un enregistrement, entrez les informations suivantes, puis cliquez sur Terminé :
- **Domaine** : si nécessaire, entrez le suffixe DNS du point de gestion, par exemple, **contoso.com**. - **Service** : entrez **\_mssms\_mp***\_\<code\_site\>*, où *\<code\_site\>* est le code de site du point de gestion. - **Protocole** : entrez **\_tcp**. - **Priorité** : ce champ n'est pas utilisé par Configuration Manager. - **Poids** : ce champ n'est pas utilisé par Configuration Manager. - **Port** : entrez le numéro de port que le point de gestion utilise, par exemple **80** pour HTTP et **443** pour HTTPS. <div class="alert"> > [!NOTE] > <P>Le port d'enregistrement SRV doit correspondre au port de communication utilisé par le point de gestion. Par défaut, le port <STRONG>80</STRONG> est utilisé pour les communications HTTP et le port <STRONG>443</STRONG> pour les communications HTTPS.</P> </div> - **Hôte offrant ce service** : entrez le nom de domaine complet de l'intranet spécifié pour le système de site configuré avec le rôle de site de point de gestion.
Répétez ces étapes pour chaque point de gestion de l'intranet que vous souhaitez publier dans DNS.
WINS
En cas d'échec d'autres mécanismes d'emplacement de service, les clients peuvent trouver un point de gestion initial en examinant WINS.
Par défaut, un site principal publie dans WINS le premier point de gestion du site configuré pour le protocole HTTP et le premier point de gestion configuré pour le protocole HTTPS.
Si vous ne souhaitez pas que les clients trouvent un point de gestion HTTP dans WINS, configurez les clients avec la propriété CCMSetup.exe Client.msi SMSDIRECTORYLOOKUP=NOWINS.
Planification de l'éveil des clients
Configuration Manager prend en charge deux technologies Wake On Lan (sortie de veille sur réseau local) pour réveiller les ordinateurs qui sont en mode veille lorsque vous souhaitez installer le logiciel requis, comme des mises à jour logicielles et des applications : paquets de mise en éveil traditionnels et commandes de mise sous tension AMT.
À partir de Configuration Manager SP1, vous pouvez compléter la méthode traditionnelle des paquets de mise en éveil par des paramètres de client de proxy de mise en éveil. Le proxy de mise en éveil utilise un protocole entre homologues et des ordinateurs sélectionnés pour vérifier si les autres ordinateurs du sous-réseau sont éveillés et les sortir de veille si nécessaire. Lorsque le site est configuré pour l'éveil par appel réseau (Wake On LAN) et les clients configurés pour le proxy de mise en éveil, le processus fonctionne comme suit :
Les ordinateurs dotés du client Configuration Manager SP1 qui ne sont pas en veille sur le sous-réseau vérifient si les autres ordinateurs du sous-réseau sont éveillés. Pour cela, ils s'envoient une commande ping TCP/IP toutes les 5 secondes.
Si les autres ordinateurs ne répondent pas, ils sont considérés comme étant en veille. Les ordinateurs qui ne sont pas en veille deviennent ordinateurs gestionnaires du sous-réseau.
Étant donné qu'un ordinateur risque ne pas répondre pour une raison autre que la veille (par exemple, s'il est éteint, supprimé du réseau ou si le paramètre client de mise en éveil du proxy n'est plus appliqué), les ordinateurs reçoivent un paquet de mise en éveil tous les jours à 14h00, heure locale. Les ordinateurs qui ne répondent pas ne sont plus considérés comme étant en veille et ne sont pas mis en éveil par le proxy de mise en éveil.
Pour prendre en charge un proxy de mise en éveil, au moins trois ordinateurs doivent être sortis de veille pour chaque sous-réseau. Pour ce faire, trois ordinateurs sont choisis sans déterminisme en tant que gardiens du sous-réseau. Cela signifie qu'ils restent éveillés, malgré toute stratégie d'alimentation configurée pour la mise en veille ou la mise en veille prolongée à l'issue d'une période d'inactivité. Les gardiens respectent les commandes d'arrêt ou de redémarrage, par exemple, consécutivement à des tâches de maintenance. Le cas échéant, les gardiens restants mettent en éveil un autre ordinateur du sous-réseau afin que le sous-réseau continue à disposer de trois gardiens.
Les ordinateurs gestionnaires demandent au commutateur réseau de rediriger le trafic réseau des ordinateurs en veille vers eux-mêmes.
La redirection est accomplie par l'ordinateur gestionnaire qui émet une trame Ethernet qui utilise l'adresse MAC de l'ordinateur en veille comme adresse source. Cela permet au commutateur réseau de se comporter comme si l'ordinateur en veille avait été déplacé vers le même port que celui sur lequel se trouve l'ordinateur gestionnaire. L'ordinateur gestionnaire envoie également des paquets ARP pour que les ordinateurs en veille conservent l'entrée actualisée dans le cache ARP. L'ordinateur gestionnaire répondra également aux requêtes ARP au nom de l'ordinateur en veille en utilisant l'adresse MAC de cet ordinateur en veille.
.jpeg "System_CAPS_warning")
AvertissementPendant ce processus, le mappage IP vers MAC de l'ordinateur en veille reste le même. Le proxy de mise en éveil fonctionne en informant le commutateur réseau qu'une autre carte réseau utilise le port qui a été enregistré par une autre carte réseau. Toutefois, ce comportement est connu sous le nom de bagottement MAC et il est inhabituel dans le cadre d'un fonctionnement normal du réseau. Certains outils d'analyse réseau recherchent ce comportement et peuvent supposer que quelque chose ne va pas. Par conséquent, ces outils d'analyse peuvent générer des alertes ou arrêter des ports lorsque vous utilisez le proxy de mise en éveil.
N'utilisez pas de proxy de mise en éveil si vos outils et services d'analyse réseau n'autorisent pas les bagottements MAC.
Lorsqu'un ordinateur gestionnaire voit une nouvelle demande de connexion TCP pour un ordinateur en veille et que la demande cible un port que l'ordinateur en veille écoutait avant sa mise en veille, l'ordinateur gestionnaire envoie un paquet de mise en éveil à l'ordinateur en veille, puis arrête la redirection du trafic pour cet ordinateur.
L'ordinateur en veille reçoit le paquet de mise en éveil et sort de veille. L'ordinateur expéditeur procède automatiquement à une nouvelle tentative de connexion et cette fois, l'ordinateur est mis en éveil et peut répondre.
Le proxy de mise en éveil est soumis aux conditions préalables et limitations suivantes :
Important
Si vous disposez d'une équipe distincte responsable de l'infrastructure réseau et des services réseau, avertissez-la et intégrez-la lors de votre évaluation et votre période de test. Par exemple, sur un réseau qui utilise le contrôle d'accès réseau 802.1X, le proxy de mise en éveil ne fonctionne pas et peut perturber le service réseau. En outre, le proxy de mise en éveil peut amener certains outils d'analyse réseau à générer des alertes en cas de détection de trafic destiné à mettre en éveil d'autres ordinateurs.
Les clients pris en charge sont Windows 7, Windows 8, Windows Server 2008 R2 et Windows Server 2012.
Les systèmes d'exploitation invités qui s'exécutent sur une machine virtuelle ne sont pas pris en charge.
Les clients doivent exécuter Configuration Manager SP1 et être activés pour le proxy de mise en éveil via des paramètres client. Bien que le fonctionnement du proxy de mise en éveil ne dépende pas de l'inventaire matériel, les clients ne signalent pas l'installation du service du proxy de mise en éveil sauf s'ils sont activés pour l'inventaire matériel et qu'ils ont soumis au moins un inventaire matériel.
Les cartes réseau (et éventuellement le BIOS) doivent être activées et configurées pour les paquets de mise en éveil. Si la carte réseau n'est pas configurée pour les paquets de mise en éveil ou que ce paramètre est désactivé, Configuration Manager le configure et l'active automatiquement pour un ordinateur à réception du paramètre client permettant d'activer le proxy de mise en éveil.
Si un ordinateur possède plusieurs cartes réseau, vous ne pouvez pas configurer la carte à utiliser pour le proxy de mise en éveil ; ce choix s'effectue sans déterminisme. Cependant, la carte choisie est enregistrée dans le fichier SleepAgent_<DOMAIN>@SYSTEM_0.log.
Le réseau doit autoriser les requêtes d'écho ICMP (au moins au sein du sous-réseau). Vous ne pouvez pas configurer l'intervalle de 5 secondes qui est utilisé pour envoyer les commandes ping ICMP.
La communication est décryptée et non authentifiée, et le protocole IPsec n'est pas pris en charge.
Les configurations réseau suivantes ne sont pas prises en charge :
802.1X avec authentification de port
Réseaux sans fil
Commutateurs réseau permettant de lier des adresses MAC à des ports spécifiques
Réseaux IPv6 uniquement
Durées de bail DHCP inférieures à 24 heures
Comme meilleure pratique de sécurité, utilisez les commandes de mise sous tension AMT plutôt que des paquets de mise en éveil lorsque cela est possible. Étant donné que les commandes de mise sous tension AMT utilisent des certificats PKI pour contribuer à sécuriser la communication, cette technologie est plus sûre que l'envoi de paquets de mise en éveil. Toutefois, pour utiliser les commandes de mise sous tension AMT, les ordinateurs doivent être des ordinateurs Intel AMT configurés pour AMT. Pour plus d'informations sur la gestion des ordinateurs basés sur AMT par Configuration Manager, voir Introduction à la gestion hors bande dans Configuration Manager.
Si vous souhaitez réveiller des ordinateurs pour l'installation planifiée d'un logiciel, vous devez configurer chaque site principal pour l'une des trois options :
utiliser les commandes de mise sous tension AMT si l'ordinateur prend en charge cette technologie, sinon, utiliser les paquets de mise en éveil
utiliser uniquement les commandes de mise sous tension AMT.
utiliser uniquement les paquets de mise en éveil.
Pour utiliser le proxy de mise en éveil avec Configuration Manager SP1, vous devez déployer les paramètres client du proxy de mise en éveil de la gestion de l'alimentation en plus de sélectionner l'option Utiliser uniquement les paquets de mise en éveil.
Utilisez le tableau suivant pour obtenir plus d'informations sur les différences entre les deux technologies d'éveil par appel réseau (WOL, Wake-on-LAN), les paquets de mise en éveil traditionnels et les commandes de mise sous tension.
Technologie |
Avantages |
Inconvénients |
|---|---|---|
Paquets de mise en éveil traditionnels |
Ne requiert aucun rôle de système de site supplémentaire dans le site. Pris en charge par un grand nombre de cartes réseau. Les paquets d'éveil UDP sont rapides à envoyer et à traiter. Ne nécessite pas d'infrastructure à clés publiques (PKI). Ne nécessite aucune modification des services de domaine Active Directory. Pris en charge sur les ordinateurs de groupe de travail, les ordinateurs d'une autre forêt Active Directory et les ordinateurs de la même forêt Active Directory utilisant un espace de noms non contigu. |
Solution moins sûre que les commandes de mise sous tension AMT car elle n'utilise pas l'authentification ou le chiffrement. Si des transmissions par diffusion dirigées vers le sous-réseau sont utilisées pour les paquets d'éveil, elles peuvent être la cible d'attaques par réflexion et poser un risque en matière de sécurité. Peut nécessiter une configuration manuelle sur chaque ordinateur pour les paramètres du BIOS et la configuration de la carte réseau. Aucune confirmation de l'éveil des ordinateurs. Les transmissions de mise en éveil sous la forme de paquets UDP multiples peuvent saturer inutilement la bande passante réseau disponible. Sauf si vous utilisez le proxy de mise en éveil avec Configuration Manager SP1, il n'est pas possible de mettre en éveil des ordinateurs de façon interactive. Ne peut pas remettre les ordinateurs en état de veille. Les fonctionnalités de gestion sont limitées uniquement à l'éveil des ordinateurs. |
Commandes de mise sous tension AMT |
Solution plus sûre que les paquets de mise en éveil traditionnels car elle fournit une authentification et un chiffrement via des protocoles de sécurité industriels standard. Elle permet également une intégration grâce au déploiement d'une infrastructure à clés publiques (PKI) existante et une gestion des contrôles de sécurité indépendante du produit. Prend en charge l'installation et la configuration (préparation AMT) centralisées automatiques. Session de transport établie pour une connexion plus fiable qu'il est possible de soumettre à un audit. Il est possible d'éveiller (et de redémarrer) les ordinateurs de manière interactive. Il est possible de mettre les ordinateurs hors tension de manière interactive. Fonctionnalités de gestion supplémentaires, notamment :
|
Exige que le site dispose d'un point d'inscription et d'un point de service hors bande. Pris en charge uniquement sur les ordinateurs équipés du circuit microprogrammé Intel vPro et d'une version prise en charge du microprogramme Intel Active Management Technology (Intel AMT). Pour plus d'informations sur les versions d'AMT prises en charge, consultez Configurations prises en charge pour Configuration Manager. L'établissement de la session de transport nécessite plus de temps, ainsi qu'un traitement supérieur sur le serveur et une augmentation des données transférées. Exige le déploiement d'une infrastructure de clé publique et de certificats spécifiques. Nécessite un conteneur Active Directory créé et configuré pour la publication d'ordinateurs AMT. Ne peut pas prendre en charge les ordinateurs de groupe de travail, les ordinateurs d'une autre forêt Active Directory ou les ordinateurs de la même forêt Active Directory mais qui utilisent un espace de noms non contigu. Exige la modification de DNS et DHCP pour prendre en charge la préparation AMT. |
Choisissez la façon de réveiller des ordinateurs selon que vous pouvez ou non prendre en charge les commandes de mise sous tension AMT et selon que les ordinateurs affectés à la prise en charge du site prennent en charge ou non la technologie Wake-on-LAN. Envisagez également les avantages et inconvénients des deux technologies qui sont répertoriées dans le tableau précédent. Par exemple, les paquets de mise en éveil sont moins fiables et moins sûrs, mais les commandes de mise sous tension exigent un temps d'établissement plus long et un traitement plus important sur le serveur de système de site configuré avec le point de service hors bande.
Important
Du fait de la surcharge supplémentaire intervenant dans l'établissement, le maintien et l'interruption d'une session de gestion hors bande sur des ordinateurs AMT, effectuez vos propres tests afin de déterminer précisément la durée de l'éveil de plusieurs ordinateurs à l'aide des commandes de mise sous tension AMT dans votre environnement (par exemple, via des liaisons WAN lentes vers des ordinateurs dans les sites secondaires). Cela vous aide à déterminer s'il est pratique ou non de mettre en éveil plusieurs ordinateurs pour les activités planifiées à l'aide des commandes de mise sous tension AMT lorsque vous disposez d'un grand nombre d'ordinateurs à réveiller en peu de temps.
Si vous décidez d'utiliser des paquets de mise en éveil traditionnels, vous devez également décider d'utiliser ou non des paquets de diffusions dirigées vers le sous-réseau, ou les paquets monodiffusion et quel numéro de port UDP utiliser. Par défaut, les paquets de mise en éveil traditionnels sont transmis via le port UDP 9, mais pour une plus grande sécurité, vous pouvez sélectionner un autre port pour le site si cet autre port est pris en charge par les routeurs et pare-feu qui interviennent.
Pour les paquets de mise en éveil traditionnels : choisissez entre une monodiffusion et une diffusion dirigée vers le sous-réseau pour Wake-on-LAN.
Si vous avez choisi de réveiller des ordinateurs en envoyant des paquets de mise en éveil traditionnels, vous devez décider de transmettre les paquets monodiffusion ou les paquets de diffusion dirigée vers le sous-réseau. Si vous utilisez le proxy de mise en éveil avec Configuration Manager SP1, vous devez utiliser des paquets monodiffusion. Sinon, utilisez le tableau suivant pour déterminer la méthode de transmission à choisir.
Méthode de transmission |
Avantages |
Inconvénients |
|---|---|---|
Monodiffusion |
Il s'agit d'une solution plus sécurisée que les diffusions dirigées vers le sous-réseau car le paquet est envoyé directement à un seul ordinateur, et non à tous les ordinateurs d'un sous-réseau. Ne nécessite pas de reconfiguration des routeurs (vous devrez peut-être configurer le cache ARP). Elle consomme moins de bande passante réseau que les transmissions par diffusion dirigées vers le sous-réseau. Prise en charge avec IPv4 et IPv6. |
Les paquets de mise en éveil ne trouvent pas les ordinateurs de destination qui ont modifié leur adresse de sous-réseau depuis le dernier calendrier d'inventaire matériel. La configuration des commutateurs sera peut-être nécessaire pour transmettre les paquets UDP. Il est possible que certaines cartes réseau ne répondent pas aux paquets de mise en éveil dans tous les états de veille lorsque la monodiffusion est utilisée comme méthode de transmission. |
Diffusion dirigée vers le sous-réseau |
Elle génère un taux de réussite supérieur à celui de la monodiffusion si vous possédez des ordinateurs qui modifient souvent leur adresse IP dans le même sous-réseau. Aucune configuration de commutateur n'est requise. Le taux de compatibilité avec les cartes d'ordinateurs pour tous les états de veille est élevé. En effet, les diffusions dirigées vers le sous-réseau correspondaient à la méthode de transmission d'origine pour l'envoi des paquets de mise en éveil. |
Solution moins sûre que l'utilisation de la monodiffusion, car une personne malveillante pourrait envoyer des flux continus de demandes d'écho ICMP à partir d'une adresse source falsifiée à l'adresse de diffusion dirigée. En conséquence, tous les hôtes répondent à cette adresse source. Si les routeurs sont configurés pour autoriser les diffusions dirigées vers le sous-réseau, la configuration supplémentaire est recommandée pour des raisons de sécurité :
Il peut être nécessaire de reconfigurer tous les routeurs intervenants pour permettre des diffusions dirigées vers le sous-réseau. Elle consomme plus de bande passante réseau que les transmissions par monodiffusion. Prise en charge avec IPv4 uniquement. IPv6 n'est pas pris en charge. |
| Avertissement |
|---|
Il existe des risques de sécurité associés aux diffusions dirigées vers le sous-réseau : une personne malveillante pourrait envoyer des flux continus de demandes d'écho ICMP (Internet Control Message Protocol) à partir d'une adresse source falsifiée vers l'adresse de diffusion dirigée, obligeant tous les hôtes à répondre à cette adresse source. Ce type d'attaque par déni de service est généralement appelé attaque de réflexion et est traité en rejetant les diffusions dirigées vers le sous-réseau. |
Planification des communications dans les forêts de Configuration Manager
System Center 2012 Configuration Manager prend en charge des sites et des hiérarchies qui recouvrent des forêts Active Directory.
Configuration Manager prend également en charge les ordinateurs de domaine qui ne se trouvent pas dans la même forêt Active Directory que le serveur de site et les ordinateurs qui se trouvent dans des groupes de travail :
Pour prendre en charge les ordinateurs de domaine dans une forêt qui n'est pas approuvée par la forêt de votre serveur de site, vous pouvez installer des rôles système de site dans cette forêt non approuvée, en utilisant l'option de publication des informations de site dans la forêt Active Directory du client. Ou bien, vous pouvez gérer ces ordinateurs comme s'il s'agissait d'ordinateurs de groupe de travail. Lorsque vous installez des serveurs de système de site dans la forêt du client, la communication entre le client et le serveur est conservée au sein de la forêt du client et Configuration Manager peut authentifier l'ordinateur à l'aide de Kerberos. Lorsque vous publiez des informations de site dans la forêt du client, les clients ont l'avantage de pouvoir extraire des informations de site, notamment la liste des points de gestion disponibles, depuis leur forêt Active Directory, plutôt que de télécharger ces informations depuis leur point de gestion attribué.
Notes
Pour gérer les appareils qui se trouvent sur Internet, vous pouvez installer des rôles système de site de type Internet dans votre réseau de périmètre lorsque des serveurs de système de site se trouvent dans une forêt Active Directory. Ce scénario ne nécessite pas une approbation bidirectionnelle entre le réseau de périmètre et la forêt du serveur de site.
Pour prendre en charge des ordinateurs dans un groupe de travail, vous devez les approuver manuellement s'ils utilisent des connexions client HTTP aux rôles système de site car Configuration Manager ne peut pas les authentifier via Kerberos. En outre, vous devez configurer le compte d'accès réseau afin que ces ordinateurs puissent extraire du contenu à partir des points de distribution. Étant donné que ces clients ne peuvent pas extraire d'informations de site à partir des services de domaine Active Directory, vous devez fournir un autre mécanisme pour qu'ils puissent rechercher des points de gestion. Vous pouvez utiliser la publication DNS ou WINS, ou attribuer directement un point de gestion.
Pour plus d'informations sur l'approbation du client, consultez Configurer les paramètres d'approbation du client et de conflit avec les enregistrements clients dans Configuration des paramètres pour la gestion des clients dans Configuration Manager.
Pour plus d'informations sur la configuration du compte d'accès réseau, consultez la section Configurer le compte d'accès réseau de la rubrique Configuration de la gestion de contenu dans Configuration Manager.
Pour plus d'informations sur l'installation des clients sur des ordinateurs de groupe de travail, consultez la section Comment installer des clients Configuration Manager sur des ordinateurs d'un groupe de travail de la rubrique Installation de clients sur des ordinateurs Windows dans Configuration Manager.
Configuration Manager prend en charge le connecteur du serveur Exchange Server dans une forêt différente du serveur de site. Pour prendre en charge ce scénario, assurez-vous que la résolution de noms fonctionne dans toutes les forêts (par exemple, poursuivez la configuration de DNS) et spécifiez le nom de domaine complet Intranet du serveur Exchange Server lorsque vous configurez le connecteur Exchange Server. Pour plus d'informations, voir Comment gérer des périphériques mobiles à l'aide de Configuration Manager et d'Exchange.
Lorsque votre structure Configuration Manager s'étend sur plusieurs forêts et domaines Active Directory, utilisez les informations supplémentaires dans le tableau suivant pour vous aider à planifier les types de communication suivants.
Scénario |
Détails |
Plus d'informations |
|---|---|---|
Communication entre les sites d'une hiérarchie qui recouvre des forêts :
|
Configuration Manager prend en charge l'installation d'un site enfant dans une forêt distante qui possède l'approbation bidirectionnelle requise avec la forêt du site parent. Par exemple : vous pouvez placer un site secondaire dans une forêt différente de son site parent principal tant que l'approbation requise existe. Si vous ne disposez pas d'une approbation de forêt bidirectionnelle qui prend en charge l'authentification Kerberos, Configuration Manager ne prend pas en charge le site enfant dans la forêt distante. Notes Un site enfant peut être un site principal (où le site d'administration centrale est le site parent) ou un site secondaire. Les communications intersite dans Configuration Manager utilisent la réplication de base de données et les transferts basés sur des fichiers. Lorsque vous installez un site, vous devez spécifier un compte pour installer le site sur le serveur indiqué. Ce compte établit et conserve également la communication entre les sites. Une fois que le site a installé et lancé avec succès les transferts basés sur des fichiers et la réplication de base de données, il est inutile de configurer autre chose pour la communication vers le site. Pour plus d'informations sur l'installation d'un site, consultez la section Installer un serveur de site de la rubrique Installer des sites et créer une hiérarchie pour Configuration Manager. |
Lorsqu'une approbation de forêt bidirectionnelle existe, Configuration Manager ne nécessite aucune étape de configuration supplémentaire. Par défaut, lorsque vous installez un nouveau site en tant qu'enfant d'un autre site, Configuration Manager configure les éléments suivants :
Les configurations suivantes doivent également être définies :
|
Communication dans un site qui s'étend sur des forêts :
|
Les sites principaux prennent en charge l'installation de rôles de système de site sur les ordinateurs d'autres forêts. Deux exceptions sont le point de service hors bande et le point de service web du catalogue des applications, qui doit être installé dans la même forêt que celle du serveur de site. Si le rôle de système de site accepte les connexions depuis Internet, comme meilleure pratique de sécurité, installez ces rôles de système de site dans un emplacement où la limite de forêt fournit une protection pour le serveur de site (par exemple, dans un réseau de périmètre). Quand vous installez un rôle de système de site sur un ordinateur dans une forêt non approuvée :
Quand vous utilisez un rôle de système de site dans une forêt non approuvée, les pare-feu doivent autoriser le trafic réseau, même quand le serveur de site lance le transfert de données. Par ailleurs, les rôles de système de site suivants requièrent un accès direct à la base de données de site. Par conséquent, les pare-feu doivent autoriser le trafic applicable de la forêt non approuvée vers les sites SQL Server :
Voir Référence technique pour les ports utilisés dans Configuration Manager pour plus d'informations. |
Les rôles du système de site du point d'inscription et du point de gestion se connectent à la base de données de site. Par défaut, lorsque ces rôles de système de site sont installés, Configuration Manager configure le compte d'ordinateur du nouveau serveur de système de site comme compte de connexion et ajoute le compte au rôle de base de données SQL Server approprié. Lorsque vous installez ces rôles de système de site dans un domaine non approuvé, vous devez configurer le compte de connexion du rôle de système de site pour autoriser le rôle de système de site à obtenir des informations à partir de la base de données. Si vous configurez un compte d'utilisateur de domaine pour ces comptes de connexion, assurez-vous que le compte dispose d'un accès approprié à la base de données SQL Server sur ce site :
Lorsque vous planifiez des rôles de système de site dans d'autres forêts, tenez compte des informations supplémentaires suivantes :
|
Communication entre les clients et les rôles de système de site lorsque les clients ne se trouvent pas dans la même forêt Active Directory que leur serveur de site. |
Configuration Manager prend en charge les scénarios suivants pour les clients qui ne se trouvent pas dans la même forêt que le serveur de site de leur site :
Notes Configuration Manager ne peut pas gérer les ordinateurs AMT hors bande lorsque ces ordinateurs se trouvent dans une forêt différente de celle du serveur de site. |
Les clients se trouvant sur un ordinateur de domaine peuvent utiliser les services de domaine Active Directory pour l'emplacement du service lorsque leur site est publié dans leur forêt Active Directory. Pour publier des informations de site sur une autre forêt Active Directory, vous devez d'abord spécifier la forêt, puis activer la publication sur cette forêt dans le nœud Forêts Active Directory de l'espace de travail Administration. En outre, vous devez activer chaque site pour publier ses données sur les services de domaine Active Directory. Cette configuration permet aux clients se trouvant dans cette forêt d'extraire des informations de site et de trouver des points de gestion. Pour les clients qui ne peuvent pas utiliser les services de domaine Active Directory pour l'emplacement du service, vous pouvez utiliser DNS, WINS ou le point de gestion attribué du client. |
Planification pour la gestion des clients basés sur Internet
La gestion des clients basés sur Internet vous permet de gérer les clients Configuration Manager lorsqu'ils ne sont pas connectés au réseau de votre entreprise mais disposent d'une connexion Internet standard. Cette configuration offre plusieurs avantages, notamment la réduction des coûts, car il n'est plus nécessaire d'utiliser des réseaux privés virtuels (VPN) et la possibilité de déployer les mises à jour logicielles au moment opportun.
En raison des exigences de sécurité plus élevées liées à la gestion des ordinateurs clients sur un réseau public, la gestion de clients basés sur Internet nécessite que les clients et les serveurs de système de site auxquels les clients se connectent utilisent des certificats PKI. Cela garantit l'authentification des connexions par une autorité indépendante et le chiffrement des données vers et depuis ces systèmes de site à l'aide du protocole SSL (Secure Sockets Layer).
Utilisez les sections suivantes pour vous aider à planifier la gestion des clients basés sur Internet.
Fonctionnalités non prises en charge sur Internet
Toutes les fonctionnalités de gestion des clients ne sont pas adaptées à Internet. Par conséquent, elles ne sont pas pris en charge lorsque les clients sont gérés sur Internet. Les fonctionnalités qui ne sont pas prises en charge pour la gestion d'Internet reposent généralement sur les services de domaine Active Directory ou ne conviennent pas à un réseau public, comme par exemple la découverte de réseau et Wake-on-LAN (WOL).
Les fonctions ci-dessous ne sont pas prises en charge lorsque les clients sont gérés sur Internet :
Le déploiement de client sur Internet, comme par exemple l'installation poussée du client et le déploiement de client basé sur des mises à jour. Utilisez plutôt l'installation manuelle du client.
Attribution automatique du site.
La protection d'accès réseau (NAP).
Wake-on-LAN.
Le déploiement de système d'exploitation. Toutefois, vous pouvez déployer des séquences de tâches qui ne déploient pas un système d'exploitation. Par exemple, des séquences de tâches qui exécutent des scripts et des tâches de maintenance sur les clients.
Le contrôle à distance.
La gestion hors bande.
Le déploiement de logiciels vers des utilisateurs, sauf si le point de gestion basé sur Internet peut authentifier l'utilisateur dans les services de domaine Active Directory à l'aide de l'authentification Windows (Kerberos ou NTLM). Cela est possible lorsque le point de gestion basé sur Internet approuve la forêt dans laquelle réside le compte d'utilisateur.
En outre, la gestion des clients sur Internet ne prend pas en charge l'itinérance. L'itinérance permet aux clients de toujours trouver les points de distribution les plus proches pour télécharger du contenu. Les clients qui ne sont pas gérés sur Internet communiquent avec des systèmes de site à partir du site qui leur est affecté lorsque ces systèmes de site sont configurés pour utiliser un nom de domaine complet Internet et les rôles de système de site autorisent les connexions client à partir d'Internet. Les clients sélectionnent de manière non déterministique l'un des systèmes de site basés sur Internet, indépendamment de la bande passante ou de l'emplacement physique.
Notes
Nouveauté de System Center 2012 Configuration Manager : lorsque vous disposez d'un point de mise à jour logicielle qui est configuré pour accepter les connexions à partir d'Internet, les clients basés sur Internet Configuration Manager qui se trouvent sur Internet effectuent toujours une analyse par rapport à ce point de mise à jour logicielle afin de déterminer quelles mises à jour logicielles sont requises. Toutefois, lorsque ces clients se trouvent sur Internet, ils commencent par essayer de télécharger les mises à jour logicielles à partir de Microsoft Update, plutôt qu'à partir d'un point de distribution basé sur Internet. Uniquement en cas d'échec, ils tenteront de télécharger les mises à jour logicielles requises à partir d'un point de distribution basé sur Internet. Les clients qui ne sont pas configurés pour la gestion des clients basés sur Internet n'essaient jamais de télécharger les mises à jour logicielles à partir de Microsoft Update, mais utilisent toujours des points de distribution Configuration Manager.
Éléments à prendre en considération pour les communications client à partir d'Internet ou d'une forêt non approuvée
Les rôles de système de site suivants installés sur les sites principaux prennent en charge les connexions de clients qui se trouvent dans des emplacements non approuvés, tels qu'Internet ou une forêt non approuvée (les sites secondaires ne prennent pas en charge les connexions client à partir d'emplacements non approuvés) :
Point du site web du catalogue des applications
Module de stratégie de Configuration Manager
Point de distribution (HTTPS est requis par les points de distribution cloud)
Point proxy d'inscription
Point d'état de secours
Point de gestion
Point de mise à jour logicielle
À propos des systèmes de site accessibles sur Internet :
même s'il n'est pas nécessaire de disposer d'une relation d'approbation entre la forêt d'un client et celle d'un serveur de système de site, quand la forêt qui contient un système de site accessible sur Internet approuve la forêt qui contient les comptes d'utilisateur, cette configuration prend en charge les stratégies utilisateur pour les appareils sur Internet quand vous activez le paramètre client Autoriser les demandes de stratégie utilisateur depuis des clients Internet de la Stratégie client.
Par exemple, les configurations suivantes illustrent la prise en charge par la gestion des clients basés sur Internet des stratégies utilisateur pour les appareils situés sur Internet :
Le point de gestion basé sur Internet est le réseau de périmètre sur lequel réside un contrôleur de domaine en lecture seule pour authentifier l'utilisateur et un pare-feu qui intervient autorise les paquets Active Directory.
Le compte d'utilisateur se trouve dans la forêt A (Intranet) et le point de gestion basé sur Internet dans la forêt B (le réseau de périmètre). La forêt B approuve la forêt A et un pare-feu qui intervient autorise les paquets d'authentification.
Le compte d'utilisateur et le point de gestion basé sur Internet sont dans la forêt A (Intranet). Le point de gestion est publié sur Internet à l'aide d'un serveur proxy web (comme Forefront Threat Management Gateway).
Notes
Si l'authentification Kerberos échoue, l'authentification NTLM est ensuite automatiquement utilisée.
Comme l'indique l'exemple précédent, vous pouvez placer des systèmes de site basés sur Internet dans l'Intranet lorsqu'ils sont publiés sur Internet à l'aide d'un serveur proxy Web, tel que ISA Server et Forefront Threat Management Gateway. Ces systèmes de site peuvent être configurés pour la connexion client à partir d'Internet uniquement ou les connexions client à partir d'Internet et Intranet. Lorsque vous utilisez un serveur proxy Web, vous pouvez le configurer pour le pontage SSL (Secure Sockets Layer) vers SSL (plus sécurisé) ou le tunnel SSL :
Pontage SSL vers SSL :
la configuration recommandée quand vous utilisez des serveurs web proxy pour la gestion de clients sur Internet est le pontage SSL vers SSL, qui utilise une terminaison SSL avec authentification. Les ordinateurs clients doivent être authentifiés à l'aide de l'authentification de l'ordinateur et les clients hérités de l'appareil mobile sont authentifiés à l'aide de l'authentification utilisateur. Les appareils mobiles qui sont inscrits par Configuration Manager ne prennent pas en charge le pontage SSL.La terminaison SSL au niveau du serveur Web proxy présente l'avantage que les paquets provenant d'Internet sont inspectés avant d'être transférés au réseau interne. Le serveur Web proxy authentifie la connexion du client, l'arrête, puis ouvre une nouvelle connexion authentifiée vers les systèmes de site basés sur Internet. Lorsque les clients Configuration Manager utilisent un serveur Web proxy, leur identité (GUID client) est contenue, en toute sécurité, dans la charge utile du paquet pour que le point de gestion ne considère pas le serveur Web proxy comme le client. Le pontage n'est pas pris en charge dans Configuration Manager avec HTTP vers HTTPS ou depuis HTTPS vers HTTP.
Tunnel :
si votre serveur web proxy ne peut pas prendre en charge la configuration requise pour le pontage SSL ou si vous souhaitez configurer la prise en charge Internet pour les appareils mobiles inscrits par Configuration Manager, le tunnel SSL est également pris en charge. Il s'agit d'une option moins sûre car les paquets SSL d'Internet sont transférés aux systèmes de site sans terminaison SSL et ne peuvent donc pas être inspectés à la recherche de contenu malveillant. Lors de l'utilisation du tunnel SSL, aucune configuration n'est requise pour les certificats pour le serveur Web proxy.
Planification des clients basés sur Internet
Vous devez décider si les ordinateurs clients qui seront gérés sur Internet seront configurés pour la gestion sur l'Intranet et Internet ou pour la gestion des clients sur Internet uniquement. Vous pouvez uniquement configurer l'option de gestion du client pendant l'installation d'un ordinateur client. Si vous changez d'avis ultérieurement, vous devez réinstaller le client.
Notes
Pour System Center 2012 R2 Configuration Manager et ultérieur : Si vous configurez un point de gestion compatible Internet, les clients qui s'y connectent deviennent compatibles Internet dès qu'ils actualisent leur liste de points de gestion disponibles.
| Conseil |
|---|
Vous n'avez pas à limiter la configuration de la gestion des clients sur Internet uniquement à Internet et vous pouvez également l'utiliser sur l'Intranet. |
Les clients qui sont configurés pour la gestion des clients sur Internet uniquement ne communiquent qu'avec les systèmes de site qui sont configurés pour les connexions client à partir d'Internet. Cette configuration serait appropriée pour les ordinateurs qui ne se connectent jamais à l'Intranet de votre société, par exemple, des ordinateurs de point de vente dans des emplacements distants. Elle peut également convenir lorsque vous souhaitez limiter les communications client au protocole HTTPS uniquement (par exemple, pour prendre en charge un pare-feu et des stratégies de sécurité limitées) et lorsque vous installez des systèmes de site basés sur Internet dans un réseau de périmètre et vous souhaitez gérer ces serveurs à l'aide du client Configuration Manager.
Lorsque vous souhaitez gérer des clients du groupe de travail sur Internet, vous devez les installer en tant qu'Internet uniquement.
Notes
Les clients d'appareil mobile sont automatiquement configurés en tant qu'Internet uniquement lorsqu'ils sont configurés pour utiliser un point de gestion basé sur Internet.
D'autres ordinateurs clients peuvent être configurés pour une gestion des clients sur Internet et Intranet. Ils peuvent basculer automatiquement entre la gestion des clients basés sur Internet et la gestion des clients Intranet client lorsqu'ils détectent un changement de réseau. Si ces clients peuvent trouver et se connecter à un point de gestion qui est configuré pour les connexions client sur l'Intranet, ces clients sont gérés en tant que clients Intranet qui possèdent la fonctionnalité de gestion Configuration Manager complète. Si ces clients ne peuvent pas trouver ou se connecter à un point de gestion qui est configuré pour les connexions client sur l'Intranet, ils tentent de se connecter à un point de gestion basé sur Internet, et en cas de succès, ces clients sont ensuite gérés par les systèmes de site basés sur Internet et le site qui leur est affecté.
L'avantage de pouvoir basculer automatiquement entre la gestion des clients basés sur Internet et la gestion des clients Intranet est que les ordinateurs clients peuvent utiliser automatiquement toutes les fonctions Configuration Manager, quel que soit le lieu où ils sont connectés à l'Intranet, et continuer d'être gérés pour les fonctions de gestion essentielles lorsqu'ils sont sur Internet. En outre, un téléchargement commencé sur Internet peut reprendre sans interruption sur le réseau Intranet, et inversement.
Configuration requise pour la gestion des clients Internet
La gestion des clients basés sur Internet dans Configuration Manager présente les dépendances externes suivantes :
Dépendance |
Plus d'informations |
|---|---|
Les clients qui seront gérés sur Internet doivent être dotés d'une connexion Internet. |
Configuration Manager utilise les connexions du fournisseur d'accès à Internet (FAI), qu'elles soient permanentes ou temporaires. Les appareils mobiles clients doivent disposer d'une connexion directe à Internet, alors que les ordinateurs clients peuvent se connecter à Internet directement ou par le biais d'un serveur Web proxy. |
Les systèmes de site qui prennent en charge la gestion des clients basés sur Internet doivent être connectés à Internet et se trouver dans un domaine Active Directory. |
Les systèmes de site basés sur Internet n'exigent aucune relation d'approbation avec la forêt Active Directory du serveur de site. Toutefois, lorsque le point de gestion basé sur Internet peut authentifier l'utilisateur à l'aide de l'authentification Windows, les stratégies utilisateur sont prises en charge. En cas d'échec de l'authentification Windows, seules les stratégies d'ordinateur sont prises en charge. Notes Pour prendre en charge des stratégies utilisateur, vous devez également définir sur Vrai les deux paramètres client Stratégie client :
Un point de site Web du catalogue des applications basé sur Internet nécessite également l'authentification Windows pour authentifier les utilisateurs lorsque leur ordinateur est sur Internet. Cette exigence est indépendante des stratégies utilisateur. |
Vous devez posséder une infrastructure à clé publique (PKI) annexe capable de déployer et gérer les certificats requis par les clients et gérés sur Internet et les serveurs de système de site basés sur Internet. |
Pour plus d'informations sur les certificats PKI, voir Configuration requise des certificats PKI pour Configuration Manager |
Les services d'infrastructure suivants doivent être configurés pour prendre en charge la gestion des clients basés sur Internet :
|
Configuration requise des communications client :
Pour obtenir des informations de configuration afin de prendre en charge cette configuration requise, reportez-vous à la documentation de votre serveur proxy ou de votre pare-feu. Pour obtenir des configurations de communication similaires lorsque vous utilisez le point de mise à jour logicielle pour les connexions client à partir d'Internet, consultez la documentation de WSUS (Windows Server Update Services). Par exemple, dans le cas de WSUS sous Windows Server 2003, voir Annexe D : paramètres de sécurité, l'annexe de déploiement pour les paramètres de sécurité. |
Planification de la bande passante réseau dans Configuration Manager
System Center 2012 Configuration Manager inclut plusieurs méthodes de contrôle de la bande passante réseau utilisée par les communications entre sites, serveurs de système de site et clients. Toutefois, toutes les communications sur le réseau ne peuvent pas être gérées. Utilisez les sections suivantes pour mieux comprendre les méthodes que vous pouvez utiliser pour contrôler la bande passante réseau et concevoir votre hiérarchie de site.
Lorsque vous planifiez la hiérarchie Configuration Manager, réfléchissez à la quantité de données réseau qui seront transférées depuis les communications intersites et intrasites.
Notes
Les itinéraires de réplication de fichiers (appelés adresses avant Configuration Manager SP1) sont uniquement utilisés pour les communications intersites et ne le sont pas pour les communications intrasites entre les serveurs de site et les systèmes de site.
Contrôle de l'utilisation de la bande passante réseau entre sites
Configuration Manager transfère des données entre les sites à la fois par réplication basée sur les fichiers et par réplication de base de données. Avant Configuration Manager SP1, vous pouviez configurer la réplication basée sur les fichiers pour contrôler l'utilisation de la bande passante réseau pour les transferts, mais vous ne pouviez pas configurer l'utilisation de la bande passante réseau pour la réplication de base de données. À partir de Configuration Manager SP1, vous pouvez configurer l'utilisation de la bande passante réseau pour la réplication de base de données des données du site sélectionné.
Lorsque vous configurez des contrôles de bande passante réseau, vous devez tenir compte de l'éventuelle latence des données. Si les communications entre les sites sont restreintes ou configurées dans le simple but de transférer des données après les heures de travail habituelles, les administrateurs sur le site parent ou le site enfant risquent de ne pas voir certaines données tant que la communication intersite n'a pas eu lieu. Par exemple si un package de mise à jour important est envoyé à des points de distribution situés sur des sites enfants, le package peut ne pas être disponible depuis ces sites tant que toutes les communications intersites en attente ne sont pas terminées. Les communications en attente peuvent comprendre la remise d'un package très volumineux et dont le transfert n'est pas encore terminé.
Contrôles de réplication basée sur les fichiers : lors des transferts de données basés sur des fichiers, Configuration Manager utilise toute la bande passante réseau disponible pour échanger des données entre les sites. Vous pouvez contrôler ce processus en configurant l'expéditeur sur un site pour augmenter ou diminuer les threads expéditeurs entre les sites. Un thread expéditeur permet de transférer un fichier à la fois. Chaque thread supplémentaire permet de transférer des fichiers supplémentaires simultanément, ce qui entraîne une utilisation plus importante de la bande passante. Pour configurer le nombre de threads à utiliser pour les transferts entre sites, configurez le Nombre maximal d'envois simultanés dans l'onglet Expéditeur des propriétés des sites.
Pour contrôler les transferts de données basés sur des fichiers entre les sites, vous pouvez prévoir quand Configuration Manager peut utiliser un itinéraire de réplication de fichiers sur un site spécifique. Vous pouvez contrôler la quantité de bande passante réseau à utiliser, la taille des blocs de données et la fréquence d'envoi des blocs de données. Des configurations supplémentaires peuvent limiter les transferts de données en fonction de la priorité du type de données. Pour chaque site de la hiérarchie, vous pouvez définir des planifications et des limites du taux de transfert à utiliser lors du transfert de données, en configurant les propriétés de l'itinéraire de réplication de fichiers vers chaque site de destination. Les configurations d'un itinéraire de réplication de fichiers s'appliquent uniquement aux transferts de données vers le site de destination spécifié pour cet itinéraire de réplication de fichiers.
Pour plus d'informations sur les itinéraires de réplication de fichiers, voir la sous-section Itinéraires de réplication de fichiers dans la section Planification de communications intersites dans Configuration Manager de cette rubrique.
Important
Lorsque vous configurez des limites du taux de transfert pour restreindre l'utilisation de la bande passante sur un itinéraire de réplication de fichiers spécifique, Configuration Manager ne peut utiliser qu'un seul thread pour transférer des données vers ce site de destination. L'utilisation de limites du taux de transfert pour un itinéraire de réplication de fichiers remplace l'utilisation de threads multiples par site configurés dans le paramètre Nombre maximal d'envois simultanés de chaque site.
Contrôles de réplication de la base de données : à partir de Configuration Manager SP1, vous pouvez configurer des liens de réplication de base de données pour mieux contrôler l'utilisation de la bande passante réseau lors du transfert de données de site sélectionnées entre les sites. Certains de ces contrôles sont similaires à ceux de la réplication basée sur des fichiers, mais prennent également en charge la planification de la réplication de l'inventaire matériel, de l'inventaire logiciel, du contrôle de logiciel et des messages d'état sur le site parent via le lien.
Pour plus d'informations, voir la section Réplication de base de données dans cette rubrique.
Contrôle de l'utilisation de la bande passante réseau entre les serveurs de système de site
Au sein d'un site, la communication entre les systèmes de site utilise des blocs de message serveur (SMB), peut se produire à tout moment et ne prend pas en charge de mécanisme de contrôle de la bande passante réseau. Toutefois, lorsque vous configurez le serveur de site pour utiliser ces limites du taux de transfert et ces planifications pour contrôler le transfert de données via le réseau vers un point de distribution, vous pouvez gérer le transfert de contenu depuis le serveur de site vers des points de distribution, à l'aide de contrôles similaires à ceux destinés au transfert de fichiers intersite.
Contrôle de l'utilisation de la bande passante réseau entre les clients et les serveurs de système de site
Les clients communiquent régulièrement avec différents serveurs de système de site. Par exemple, ils communiquent avec un serveur de système de site qui exécute un point de gestion lorsqu'ils doivent vérifier une stratégie client, et ils communiquent avec un serveur de système de site qui exécute un point de distribution lorsqu'ils doivent télécharger du contenu pour installer une application ou une mise à jour logicielle. La fréquence de ces connexions et la quantité de données transférées via le réseau depuis ou vers un client dépend des planifications et des configurations que vous spécifiez en tant que paramètres client.
En règle générale, les demandes de stratégie client utilisent peu de bande passante réseau. La bande passante réseau peut être élevée lorsque les clients accèdent à du contenu pour des déploiements ou envoient des informations telles que les données d'inventaire matériel au site.
Vous pouvez spécifier des paramètres client qui contrôlent la fréquence des communications réseau initiées par le client. En outre, vous pouvez configurer comment les clients accèdent au contenu du déploiement, par exemple, en utilisant le service de transfert intelligent en arrière-plan (BITS). Pour utiliser BITS pour télécharger du contenu, le client doit être configuré pour utiliser BITS. Si le client ne peut pas utiliser BITS, il utilise SMB pour transférer le contenu.
Pour plus d'informations sur les paramètres client dans Configuration Manager, voir Planification des paramètres client dans Configuration Manager.