Végpontok közötti kommunikáció a Configuration ManagerbenCommunications between endpoints in Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a cikk ismerteti, hogy a Configuration Manager-helyrendszerek és ügyfelek kommunikálhassanak a hálózaton.This article describes how Configuration Manager site systems and clients communicate across your network. Ez a következő szakaszokból áll:It includes the following sections:

Helyrendszerei közötti kommunikáció egy adott helyenCommunications between site systems in a site

A Configuration Manager helyrendszerei vagy összetevői kommunikálnak más helyrendszerekkel vagy összetevőivel a helyen a hálózaton keresztül, a hely konfigurálásától függően az alábbi protokollok egyikét használják:When Configuration Manager site systems or components communicate across the network to other site systems or components in the site, they use one of the following protocols, depending on how you configure the site:

  • Server Message Block (SMB protokoll)Server message block (SMB)

  • HTTPHTTP

  • HTTPSHTTPS

Kommunikáció a helykiszolgálóról egy terjesztési pontra, kivételével bármikor kiszolgálók közötti kommunikáció egy adott helyen fordulhat elő.With the exception of communication from the site server to a distribution point, server-to-server communications in a site can occur at any time. Ezek a kommunikációk mechanizmusok ne használja a hálózati sávszélesség szabályozására.These communications don't use mechanisms to control the network bandwidth. Mivel a helyrendszerek közötti kommunikációt nem szabályozhatja, győződjön meg arról, hogy a helyrendszer-kiszolgálók a gyors, megfelelően csatlakoztatott hálózatok rendelkező helyek telepítése.Because you can't control the communication between site systems, make sure that you install site system servers in locations that have fast and well-connected networks.

Helykiszolgáló és a terjesztési pontSite server to distribution point

Könnyebben felügyelheti a tartalom átvitelét a helykiszolgálóról a terjesztési pontokra, a következő stratégiákat használja:To help you manage the transfer of content from the site server to distribution points, use the following strategies:

  • A terjesztési ponton állítsa be a hálózati sávszélesség szabályozását és az ütemezést.Configure the distribution point for network bandwidth control and scheduling. Ezek a vezérlők a helyek közötti címek által használt konfigurációkra hasonlítanak.These controls resemble the configurations that are used by intersite addresses. Használja ezt a konfigurációt egy másik Configuration Manager-hely telepíteni, ha távoli hálózati helyekre történő tartalomátvitel a sávszélességgel szempont helyett.Use this configuration instead of installing another Configuration Manager site when the transfer of content to remote network locations is your main bandwidth consideration.

  • A terjesztési pontokat telepítheti előkészített terjesztési pontként.You can install a distribution point as a prestaged distribution point. Az előkészített terjesztési pont lehetővé teszi olyan tartalom használatát, amelyet kézzel helyez el a terjesztési pont kiszolgálóján, és nincs szükség arra, hogy a hálózaton keresztül továbbítsa a tartalomfájlokat.A prestaged distribution point lets you use content that is manually put on the distribution point server and removes the requirement to transfer content files across the network.

További információkért lásd: hálózati sávszélesség szabályozása a Tartalomkezelés.For more information, see Manage network bandwidth for content management.

Ügyfelek által kezdeményezett kommunikáció a helyrendszerekkel és a szolgáltatásokkalCommunications from clients to site systems and services

Ügyfelek kezdeményezik a kommunikációt a helyrendszer-szerepkörök, az Active Directory Domain Services és az online szolgáltatások.Clients initiate communication to site system roles, Active Directory Domain Services, and online services. Ahhoz, hogy ezeket az üzeneteket, a tűzfalnak engedélyeznie kell a hálózati forgalmat, ügyfelek és a kommunikáció végpontja között.To enable these communications, firewalls must allow the network traffic between clients and the endpoint of their communications. További információ a fenti végpontokkal való kommunikáció során az ügyfelek által használt portokról és protokollokról: a Configuration Managerben használt portok.For more information about ports and protocols used by clients when they communicate to these endpoints, see Ports used in Configuration Manager.

Mielőtt egy ügyfél kommunikálhat egy helyrendszerszerepkört, az ügyfél szolgáltatáskeresés szerepkör, amely támogatja az ügyfél protokollt (HTTP vagy HTTPS) használja.Before a client can communicate with a site system role, the client uses service location to find a role that supports the client's protocol (HTTP or HTTPS). Alapértelmezés szerint az ügyfelek rendelkezésükre álló legbiztonságosabb módszert használják.By default, clients use the most secure method that's available to them. További információkért lásd: hogyan találják meg az ügyfelek és szolgáltatáskeresés ismertetése.For more information, see Understand how clients find site resources and services.

A HTTPS protokoll használatához konfigurálja az alábbi lehetőségek közül:To use HTTPS, configure one of the following options:

  • Használja a nyilvános kulcsokra épülő infrastruktúrával (PKI), és telepítse a PKI-tanúsítványokat az ügyfelek és kiszolgálók.Use a public key infrastructure (PKI) and install PKI certificates on clients and servers. Tanúsítványok használatával kapcsolatos információkért lásd: PKI-tanúsítványkövetelmények.For information about how to use certificates, see PKI certificate requirements.

  • Verzió 1806, kezdve a hely konfigurálása HTTP használata a Configuration Manager által generált tanúsítványok beléptetésihely-rendszerek.Starting in version 1806, configure the site to Use Configuration Manager-generated certificates for HTTP site systems. További információkért lásd: fokozott HTTP.For more information, see Enhanced HTTP.

Amikor az IIS-t (Internet Information Services) használó helyrendszerszerepkört telepít, amely támogatja az ügyfelekről érkező kommunikációt, meg kell adnia, hogy az ügyfelek a HTTP vagy a HTTPS protokoll használatával csatlakoznak-e a helyrendszerhez.When you deploy a site system role that uses Internet Information Services (IIS) and supports communication from clients, you must specify whether clients connect to the site system by using HTTP or HTTPS. A HTTP használata esetén meg kell fontolnia az aláírás és a titkosítás alkalmazását is.If you use HTTP, you must also consider signing and encryption choices. További információkért lásd: aláírás és titkosítás tervezése.For more information, see Planning for signing and encryption.

Ügyfél és felügyeleti pontok közötti kommunikációhozClient to management point communication

Két szakaszból áll, amikor egy ügyfél egy felügyeleti ponttal kommunikál: (átviteli) hitelesítési és engedélyezési (üzenet).There are two stages when a client communicates with a management point: authentication (transport) and authorization (message). Ez a folyamat attól függ, a következő tényezőket:This process varies depending upon the following factors:

  • Webhely-konfiguráció: HTTP, HTTPS vagy HTTP továbbfejlesztettSite configuration: HTTP, HTTPS, or enhanced HTTP
  • Felügyeleti pont konfigurálása: Csak HTTPS, vagy lehetővé teszi, hogy a HTTP vagy HTTPSManagement point configuration: HTTPS only, or allows HTTP or HTTPS
  • Eszközidentitás eszközközpontú forgatókönyvekDevice identity for device-centric scenarios
  • Felhasználó-központú forgatókönyvek felhasználó-identitástUser identity for user-centric scenarios

A következő táblázat segítségével megismerheti, hogyan működik ez a folyamat:Use the following table to understand how this process works:

Felügyeleti pont típusaMP type Ügyfél-hitelesítésClient authentication Ügyfél-hitelesítésClient authorization
EszközidentitásDevice identity
Ügyfél-hitelesítésClient authorization
Felhasználói identitásUser identity
HTTPHTTP NévtelenAnonymous
Speciális HTTP-a hely az Azure AD ellenőrzi felhasználói vagy eszköz token.With Enhanced HTTP, the site verifies the Azure AD user or device token.
Helyére vonatkozó kérelmet: NévtelenLocation request: Anonymous
Ügyfél-csomag: NévtelenClient package: Anonymous
Regisztrációs eszköz identitása igazolásához a következő módszerek egyikével:Registration, using one of the following methods to prove device identity:
-Névtelen (manuális jóváhagyásra)- Anonymous (manual approval)
-Windows-hitelesítést- Windows-integrated authentication
– Az azure AD eszköz jogkivonat (fokozott HTTP)- Azure AD device token (Enhanced HTTP)
A regisztrációt követően az ügyfél használja az eszköz identitása igazolásához aláírási üzenetAfter registration, the client uses message signing to prove device identity
A felhasználó-központú esetben használja a következő módszerek egyikét felhasználói identitás igazolásához:For user-centric scenarios, using one of the following methods to prove user identity:
-Windows-hitelesítést- Windows-integrated authentication
– Az azure AD felhasználói jogkivonat (fokozott HTTP)- Azure AD user token (Enhanced HTTP)
HTTPSHTTPS Az alábbi módszerek egyikével:Using one of the following methods:
-PKI tanúsítvány- PKI certificate
-Windows-hitelesítést- Windows-integrated authentication
– Az azure AD felhasználói vagy eszköz jogkivonat- Azure AD user or device token
Helyére vonatkozó kérelmet: NévtelenLocation request: Anonymous
Ügyfél-csomag: NévtelenClient package: Anonymous
Regisztrációs eszköz identitása igazolásához a következő módszerek egyikével:Registration, using one of the following methods to prove device identity:
-Névtelen (manuális jóváhagyásra)- Anonymous (manual approval)
-Windows-hitelesítést- Windows-integrated authentication
-PKI tanúsítvány- PKI certificate
– Az azure AD felhasználói vagy eszköz jogkivonat- Azure AD user or device token
A regisztrációt követően az ügyfél használja az eszköz identitása igazolásához aláírási üzenetAfter registration, the client uses message signing to prove device identity
A felhasználó-központú esetben használja a következő módszerek egyikét felhasználói identitás igazolásához:For user-centric scenarios, using one of the following methods to prove user identity:
-Windows-hitelesítést- Windows-integrated authentication
– Az azure AD felhasználói jogkivonat- Azure AD user token

Tipp

A konfigurációban a felügyeleti pont identitás különböző eszköztípusok és a felhőfelügyeleti átjáróval folytatott további információkért lásd: felügyeleti pont HTTPS engedélyezése.For more information on the configuration of the management point for different device identity types and with the cloud management gateway, see Enable management point for HTTPS.

Ügyfél és a terjesztési pont közötti kommunikációhozClient to distribution point communication

Amikor egy ügyfél egy terjesztési ponttal kommunikál, akkor csak hitelesítenie kell a tartalom letöltése előtt.When a client communicates with a distribution point, it only needs to authenticate before downloading the content. A következő táblázat segítségével megismerheti, hogyan működik ez a folyamat:Use the following table to understand how this process works:

Terjesztési pont típusaDP type Ügyfél-hitelesítésClient authentication
HTTPHTTP -Névtelen, ha engedélyezett- Anonymous, if allowed
-Windows-hitelesítést a számítógép fiókja vagy a hálózatelérési fiók- Windows-integrated authentication with computer account or network access account
-Tartalom hozzáférési jogkivonat fokozott HTTP)- Content access token (Enhanced HTTP)
HTTPSHTTPS -PKI tanúsítvány- PKI certificate
-Windows-hitelesítést a számítógép fiókja vagy a hálózatelérési fiók- Windows-integrated authentication with computer account or network access account
-Tartalom hozzáférési jogkivonat- Content access token

Az internetről vagy nem megbízható erdőből kapcsolódó ügyfelekkel folytatott kommunikáció szempontjaiConsiderations for client communications from the internet or an untrusted forest

A következő helyrendszerszerepkörök telepítve azokon az elsődleges helyeken támogatási kapcsolatok nem megbízható helyen, például az interneten vagy nem megbízható erdőben található ügyfelektől.The following site system roles installed at primary sites support connections from clients that are in untrusted locations, such as the internet or an untrusted forest. (A másodlagos helyek nem támogatják a nem megbízható helyekről érkező ügyfélkapcsolatokat.)(Secondary sites don't support client connections from untrusted locations.)

  • Alkalmazás alkalmazáskatalógus weboldal-elérési pontjaApplication catalog website point

  • A Configuration Manager házirendmodul (NDES)Configuration Manager policy module (NDES)

  • Terjesztési pontDistribution point

  • Felhőalapú terjesztési pont (HTTPS igényel)Cloud-based distribution point (requires HTTPS)

  • Beléptetési proxypontEnrollment proxy point

  • Tartalék állapotkezelő pontFallback status point

  • Felügyeleti pontManagement point

  • Szoftverfrissítési pontSoftware update point

  • Felhőfelügyeleti átjáró (HTTPS igényel)Cloud management gateway (requires HTTPS)

Internetkapcsolattal rendelkező helyrendszerek kapcsolatbanAbout internet-facing site systems

Megjegyzés

A következő szakasz az internet alapú ügyfél-felügyeleti forgatókönyvek tárgya.The following section is about internet-based client management scenarios. Nem vonatkozik a cloud management gateway forgatókönyvek.It doesn't apply to cloud management gateway scenarios. További információkért lásd: az internetes ügyfelek kezelése.For more information, see Manage clients on the internet.

Esetében nem követelmény, az ügyfél és a helyrendszer-kiszolgáló között megbízható kapcsolat legyen.There's no requirement to have a trust between a client's forest and that of the site system server. Azonban ha az egy internetes helyrendszert tartalmazó erdő megbízhatónak tekinti az erdő, amely a felhasználói fiókokat tartalmazza, ez a konfiguráció támogatja felhasználóalapú irányelveit az interneten lévő eszközökre vonatkozó engedélyezésekor a ügyfélházirend ügyfél-eszközbeállítást internetes ügyfelektől felhasználói házirend lekérésének engedélyezése.However, when the forest that contains an internet-facing site system trusts the forest that contains the user accounts, this configuration supports user-based policies for devices on the internet when you enable the Client Policy client setting Enable user policy requests from internet clients.

Ha például a következő konfigurációk bemutatják, amikor az internetalapú ügyfélfelügyelet támogatja a felhasználói házirendeket az internethez csatlakozó eszközökről:For example, the following configurations illustrate when internet-based client management supports user policies for devices on the internet:

  • Az internetalapú felügyeleti pont van a szegélyhálózaton, ahol egy csak olvasható tartományvezérlő hitelesíti a felhasználót a található, és egy beavatkozó tűzfal engedélyezi az Active Directory-csomagokat.The internet-based management point is in the perimeter network where a read-only domain controller resides to authenticate the user and an intervening firewall allows Active Directory packets.

  • A felhasználói fióknak van az a erdőben (az intraneten) és az internetalapú felügyeleti pont pedig a B erdőben (a szegélyhálózatban).The user account is in Forest A (the intranet) and the internet-based management point is in Forest B (the perimeter network). A B erdő megbízhatónak tekinti az A erdőt, és egy beavatkozó tűzfal engedélyezi a hitelesítési csomagokat.Forest B trusts Forest A, and an intervening firewall allows the authentication packets.

  • A felhasználói fiók és az internetalapú felügyeleti pont van, az a erdőben (az intraneten).The user account and the internet-based management point are in Forest A (the intranet). A felügyeleti pont proxy-webkiszolgáló (például a Forefront Threat Management Gateway) használatával van közzétéve az interneten.The management point is published to the internet by using a web proxy server (like Forefront Threat Management Gateway).

Megjegyzés

Ha a Kerberos-hitelesítés nem sikerül, a rendszer automatikusan az NTLM-hitelesítéssel próbálkozik.If Kerberos authentication fails, NTLM authentication is then automatically tried.

Ahogy az előző példában látható, elhelyezheti internet alapú helyrendszerek az intraneten, amikor azok van közzétéve az interneten proxy-webkiszolgáló használatával.As the previous example shows, you can place internet-based site systems in the intranet when they're published to the internet by using a web proxy server. Ezek a helyrendszerek konfigurálható ügyfél-kapcsolat az internetről, csak, vagy az internetes és intranetes ügyfélkapcsolatok.These site systems can be configured for client connection from the internet only, or for client connections from the internet and intranet. Ha proxy-webkiszolgálót használ, a Secure Sockets Layer (SSL)-hídképzés (Biztonságosabb) vagy az SSL-bújtatást módon konfigurálhatja:When you use a web proxy server, you can configure it for Secure Sockets Layer (SSL) bridging to SSL (more secure) or SSL tunneling as follows:

  • SSL–SSL hídképzés: SSL bridging to SSL:
    Ha proxy webkiszolgálókat az internet alapú ügyfélfelügyelethez használja az SSL-hídképzést, amely SSL-lezárást használ hitelesítéssel.The recommended configuration when you use proxy web servers for internet-based client management is SSL bridging to SSL, which uses SSL termination with authentication. Az ügyfélszámítógépeket számítógép-hitelesítéssel kell hitelesíteni, míg a régebbi mobileszközügyfelek felhasználói hitelesítést használnak.Client computers must be authenticated by using computer authentication, and mobile device legacy clients are authenticated by using user authentication. A Configuration Manager által beléptetett mobileszközök nem támogatják az SSL-hídképzés.Mobile devices that are enrolled by Configuration Manager don't support SSL bridging.

    A proxy-webkiszolgáló SSL-lezárás előnye, hogy az internetről érkező csomagokat továbbítaná őket ahhoz, hogy a belső hálózatra továbbíthatja.The benefit of SSL termination at the proxy web server is that packets from the internet are subject to inspection before they're forwarded to the internal network. A proxy-webkiszolgáló hitelesíti az ügyféltől a kapcsolatot, lezárja azt és ezt követően megnyílik egy új hitelesített kapcsolatot az internetes helyrendszereket.The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the internet-based site systems. Ha a Configuration Manager-ügyfelek proxy webkiszolgálót használja, az ügyfél azonosítójának (GUID) biztonságosan tartalmazza az ügyfélidentitást úgy, hogy a felügyeleti pont nem tekinti a proxy-webkiszolgáló, az ügyfélnek.When Configuration Manager clients use a proxy web server, the client identity (client GUID) is securely contained in the packet payload so that the management point doesn't consider the proxy web server to be the client. Adatközponthíd-képzés, a Configuration Managerben a HTTP – HTTPS vagy HTTPS – HTTP nem támogatott.Bridging isn't supported in Configuration Manager with HTTP to HTTPS, or from HTTPS to HTTP.

  • Bújtatás:Tunneling:
    Ha a proxy webkiszolgáló nem támogatja az SSL-hídképzés követelményeit, vagy internetes támogatást a Configuration Manager által beléptetett mobileszközök konfigurálni szeretné, SSL-bújtatást is alkalmazhat.If your proxy web server can't support the requirements for SSL bridging, or you want to configure internet support for mobile devices that are enrolled by Configuration Manager, SSL tunneling is also supported. Fontos kevésbé biztonságos megoldás, mert az internetről érkező SSL-csomagokat a helyrendszerekkel, SSL-lezárás nélkül továbbítja, így nem vizsgálható meg rosszindulatú tartalmat.It's a less secure option because the SSL packets from the internet are forwarded to the site systems without SSL termination, so they can't be inspected for malicious content. SSL-bújtatás használata esetén a proxy webkiszolgáló nem végez hitelesítést.When you use SSL tunneling, there are no certificate requirements for the proxy web server.

Active Directory-erdőkön keresztüli kommunikációCommunications across Active Directory forests

A Configuration Manager helyek és hierarchiák Active Directory-erdőre kiterjedő támogatja.Configuration Manager supports sites and hierarchies that span Active Directory forests. Tartományi számítógépeket, amelyek nem szerepelnek a helykiszolgálóval azonos Active Directory-erdőben, és a munkacsoportokban lévő számítógépeket is támogatja.It also supports domain computers that aren't in the same Active Directory forest as the site server, and computers that are in workgroups.

A helykiszolgáló számára nem megbízható erdőben lévő tartományi számítógépek támogatásátSupport domain computers in a forest that's not trusted by your site server's forest

  • Telepítsen helyrendszerszerepköröket a nem megbízható erdőben, és állítsa be a helyadatok közzétételét az Active Directory-erdő számára.Install site system roles in that untrusted forest, with the option to publish site information to that Active Directory forest

  • Ezeket a számítógépeket felügyelni, mint ha munkacsoporthoz tartozó számítógépekreManage these computers as if they're workgroup computers

Amikor telepít helyrendszer-kiszolgálók a nem megbízható Active Directory-erdőben, az ügyfél és kiszolgáló közötti kommunikációt az ügyfelektől, hogy az erdőben lévő erdejében fog zajlani, és a Configuration Manager Kerberos használatával képes hitelesíteni a számítógépet.When you install site system servers in an untrusted Active Directory forest, the client-to-server communication from clients in that forest is kept within that forest, and Configuration Manager can authenticate the computer by using Kerberos. Ha a helyinformációkat közzéteszi az ügyfél erdőjében, az ügyfelek számára előnyös – például az elérhető felügyeleti pontok listájának lekérése az Active Directory-erdejükben ahelyett, hogy az adatok letöltése a hozzájuk rendelt felügyeleti pont.When you publish site information to the client's forest, clients benefit from retrieving site information, such as a list of available management points, from their Active Directory forest, rather than downloading this information from their assigned management point.

Megjegyzés

Ha azt szeretné, hogy az interneten lévő eszközök kezeléséhez, telepíthetőek internet alapú helyrendszer-szerepkörök a szegélyhálózaton a helyrendszer-kiszolgálók Active Directory-erdőben vannak.If you want to manage devices that are on the internet, you can install internet-based site system roles in your perimeter network when the site system servers are in an Active Directory forest. Ez a forgatókönyv nem igényel kétirányú megbízhatósági kapcsolattal a szegélyhálózat és a helykiszolgáló erdője között.This scenario doesn't require two-way trust between the perimeter network and the site server's forest.

Munkacsoportban lévő számítógépek támogatásáhozSupport computers in a workgroup

  • Manuálisan hagyja jóvá a munkacsoportban lévő számítógépeket, ha azok HTTP-ügyfélkapcsolattal csatlakoznak a helyrendszerszerepkörökhöz.Manually approve workgroup computers when they use HTTP client connections to site system roles. A Configuration Manager nem tudja hitelesíteni ezeket a számítógépeket a Kerberos használatával.Configuration Manager can't authenticate these computers by using Kerberos.

  • A munkacsoport ügyfeleit konfigurálja a hálózatelérési fiókok használatára, hogy ezek a számítógépek lekérhessenek tartalmakat a terjesztési pontokról.Configure workgroup clients to use the Network Access Account so that these computers can retrieve content from distribution points.

  • Biztosítson alternatív módszereket a felügyeleti pontok eléréséhez a munkacsoportban lévő ügyfelek számára.Provide an alternative mechanism for workgroup clients to find management points. Használja a DNS-közzétételről, a WINS, vagy közvetlenül a felügyeleti pont hozzárendeléséhez.Use DNS publishing, WINS, or directly assign a management point. Ezek az ügyfelek nem kérhetnek le helyinformációkat az Active Directory Domain servicesből.These clients can't retrieve site information from Active Directory Domain Services.

További információkért tekintse meg a következő cikkeket:For more information, see the following articles:

Forgatókönyvek a több tartományra és erdőre kiterjedő hely vagy hierarchia támogatásáhozScenarios to support a site or hierarchy that spans multiple domains and forests

1. forgatókönyv: A több erdőre kiterjedő hierarchiában lévő helyek közötti kommunikációScenario 1: Communication between sites in a hierarchy that spans forests

Ebben a forgatókönyvben, amely támogatja a Kerberos-hitelesítés kétirányú, erdőszintű megbízható kapcsolatot igényel.This scenario requires a two-way forest trust that supports Kerberos authentication. Ha nem rendelkezik kétirányú erdőszintű megbízható kapcsolatot, amely támogatja a Kerberos-hitelesítést, majd a Configuration Manager nem támogatja a távoli erdőben lévő gyermekhelyet.If you don't have a two-way forest trust that supports Kerberos authentication, then Configuration Manager doesn't support a child site in the remote forest.

A Configuration Manager támogatja a gyermekhelyek telepítését olyan távoli erdőbe, amely rendelkezik kétirányú, erdőszintű megbízható azzal az erdővel a fölérendelt hely.Configuration Manager supports installing a child site in a remote forest that has the required two-way trust with the forest of the parent site. Például elhelyezhet egy másodlagos hely az elsődleges szülőhelyük másik erdőben található mindaddig, amíg a szükséges megbízható kapcsolat fennáll.For example, you can place a secondary site in a different forest from its primary parent site as long as the required trust exists.

Megjegyzés

Egy alárendelt hely lehet (Ha a központi adminisztrációs hely a fölérendelt hely) az elsődleges hely vagy másodlagos helyhez.A child site can be a primary site (where the central administration site is the parent site) or a secondary site.

A helyek közötti kommunikáció a Configuration Manager adatbázis-replikációt és fájlalapú átvitelt használ.Intersite communication in Configuration Manager uses database replication and file-based transfers. Amikor helyet telepít, meg kell adnia a fiókot, amellyel a hely telepítéséhez a kijelölt kiszolgálón.When you install a site, you must specify an account with which to install the site on the designated server. Ez a fiók hozza létre és kezeli a helyek közötti kommunikációt is.This account also establishes and maintains communication between sites. Miután a hely sikeresen telepíti, és kezdeményezi a fájlalapú átvitel és adatbázis-replikációt, nem kell további a hellyel való kommunikációhoz.After the site successfully installs and initiates file-based transfers and database replication, you don't have to configure anything else for communication to the site.

Ha létezik kétirányú erdőszintű megbízható, a Configuration Manager nincs szükség további konfigurációs lépéseket.When a two-way forest trust exists, Configuration Manager doesn't require any additional configuration steps.

Alapértelmezés szerint a az új gyermek hely telepítésekor a Configuration Manager konfigurálja az alábbi összetevőket:By default, when you install a new child site, Configuration Manager configures the following components:

  • Helyek közötti fájlalapú replikációs útvonal minden olyan helyen, amely a helykiszolgálói számítógépfiókot használja.An intersite file-based replication route at each site that uses the site server computer account. A Configuration Manager egyes számítógépek számítógépfiókját hozzáadja a SMS_SiteToSiteConnection_<Helykód> csoportba a célszámítógépen.Configuration Manager adds the computer account of each computer to the SMS_SiteToSiteConnection_<sitecode> group on the destination computer.

  • Adatbázis-replikáció egyes helyeken az SQL Server között.Database replication between the SQL Servers at each site.

Emellett állítsa a következő beállításokat:Also set the following configurations:

  • Beavatkozó tűzfalak és a hálózati eszközök engedélyeznie kell a Configuration Manager számára a szükséges csomagokat.Intervening firewalls and network devices must allow the network packets that Configuration Manager requires.

  • A névfeloldásnak működnie kell az erdők között.Name resolution must work between the forests.

  • Hely vagy helyrendszerszerepkör telepítéséhez olyan fiókot kell megadnia, amely helyi rendszergazdai engedélyekkel rendelkezik a megadott számítógépen.To install a site or site system role, you must specify an account that has local administrator permissions on the specified computer.

2. forgatókönyv: A több erdőre kiterjedő helyen folytatott kommunikációScenario 2: Communication in a site that spans forests

Ez a forgatókönyv nem igényel kétirányú erdőszintű megbízható.This scenario doesn't require a two-way forest trust.

Elsődleges helyek támogatják a helyrendszerszerepkörök telepítése távoli erdőkben lévő számítógépekre.Primary sites support the installation of site system roles on computers in remote forests.

  • Az Alkalmazáskatalógus webszolgáltatási pontja az egyetlen kivétel,The Application Catalog web service point is the only exception. Csak a helykiszolgálóval azonos erdőben támogatott.It's only supported in the same forest as the site server.

  • Amikor a helyrendszerszerepkör fogadja az internetről érkező kapcsolatokat a biztonsági szempontból ajánlott, telepítse a helyrendszerszerepköröket egy helyen, ahol az erdő határa védelmet a kiszolgáló (például szegélyhálózatban).When a site system role accepts connections from the internet, as a security best practice, install the site system roles in a location where the forest boundary provides protection for the site server (for example, in a perimeter network).

Helyrendszerszerepkör telepítése nem megbízható erdőben található számítógépekre:To install a site system role on a computer in an untrusted forest:

  • Adjon meg egy helyrendszer-telepítési fiókot, amely a webhely használja a helyrendszer-szerepkört.Specify a Site System Installation Account, which the site uses to install the site system role. (Ennek a fióknak helyi rendszergazdai hitelesítő adatokkal való csatlakozáshoz szükséges.) A megadott számítógépen telepítse a helyrendszerszerepköröket.(This account must have local administrative credentials to connect to.) Then install site system roles on the specified computer.

  • Válassza ki a helyrendszer-beállítást megkövetelése a helykiszolgálótól ehhez a helyrendszerhez kapcsolatok kezdeményezésének.Select the site system option Require the site server to initiate connections to this site system. Ez a beállítás szükséges a helykiszolgáló kapcsolatot a helyrendszer-kiszolgálóra való adatátvitel.This setting requires the site server to establish connections to the site system server to transfer data. Ez a konfiguráció megakadályozza, hogy a számítógép helyrendszer-kiszolgáló, amely a megbízható hálózatban lévő kapcsolatot kezdeményezzen a nem megbízható helyen.This configuration prevents the computer in the untrusted location from initiating contact with the site server that's inside your trusted network. Ezek a kapcsolatok a helyrendszer-telepítési fiókhasználatával működnek.These connections use the Site System Installation Account.

Nem megbízható erdőben telepített helyrendszerszerepkör használatához tűzfalnak engedélyeznie kell a hálózati forgalom akkor is, ha az adatátvitelt a helykiszolgáló kezdeményezi.To use a site system role that was installed in an untrusted forest, firewalls must allow the network traffic even when the site server initiates the transfer of data.

A következő helyrendszerszerepkörök emellett közvetlen hozzáférést igényelnek a helyadatbázishoz,Additionally, the following site system roles require direct access to the site database. Ezért a tűzfalnak engedélyeznie kell a nem megbízható erdőből a hely SQL Server megfelelő forgalmat:Therefore, firewalls must allow applicable traffic from the untrusted forest to the site's SQL Server:

  • Eszközintelligencia-katalógus szinkronizálási pontjaAsset Intelligence synchronization point

  • Endpoint Protection-pontEndpoint Protection point

  • Beléptetési pontEnrollment point

  • Felügyeleti pontManagement point

  • Jelentéskészítési szolgáltatási pontReporting service point

  • állapotáttelepítési pontState migration point

További információkért lásd: a Configuration Managerben használt portok.For more information, see Ports used in Configuration Manager.

Előfordulhat, hogy kell konfigurálni a felügyeleti pont és a beléptetési pontot a Helyadatbázis eléréséhez.You might need to configure the management point and enrollment point access to the site database.

  • Alapértelmezés szerint ezek a szerepkörök telepítésekor a Configuration Manager konfigurálja az új helyrendszer-kiszolgáló számítógépfiókjának a helyrendszerszerepkör kapcsolatot fiókként.By default, when you install these roles, Configuration Manager configures the computer account of the new site system server as the connection account for the site system role. Majd felveszi a fiókot az SQL Server megfelelő adatbázis-szerepkörébe.It then adds the account to the appropriate SQL Server database role.

  • Ha ezen helyrendszerszerepkörök nem megbízható tartományban telepíti, konfigurálja a hely helyrendszerszerepkör csatlakozási fiókját ahhoz, hogy a helyrendszer-szerepkört szerezze be az adatokat az adatbázisból.When you install these site system roles in an untrusted domain, configure the site system role connection account to enable the site system role to obtain information from the database.

Ha egy tartományi felhasználói fiókot a kapcsolat fiókját a helyrendszerszerepkör kapcsolatfiókjaként konfigurálja, győződjön meg arról, hogy a tartományi felhasználói fiók rendelkezik-e megfelelő hozzáférése legyen az SQL Server-adatbázist a helyen található:If you configure a domain user account to be the connection account for these site system roles, make sure that the domain user account has appropriate access to the SQL Server database at that site:

  • Felügyeleti pont: Felügyeleti pont adatbázisának KapcsolatfiókjaManagement point: Management Point Database Connection Account

  • Beléptetési pont: Beléptetési pont KapcsolatfiókjaEnrollment point: Enrollment Point Connection Account

Vegye figyelembe a következő információt, amikor a más erdőkben használandó helyrendszerszerepköröket tervezi:Consider the following additional information when you plan for site system roles in other forests:

  • Ha futtatja a Windows tűzfal, állítsa be a megfelelő tűzfalprofilokat, a Helyadatbázis-kiszolgáló és a távoli helyrendszer-szerepköröket telepített számítógépek közötti kommunikáció át.If you run Windows Firewall, configure the applicable firewall profiles to pass communications between the site database server and computers that are installed with remote site system roles.

  • Ha az internet alapú felügyeleti pont megbízhatónak tekinti a felhasználói fiókokat tartalmazó erdőben, a szolgáltatás támogatja a felhasználói házirendeket.When the internet-based management point trusts the forest that contains the user accounts, user policies are supported. Ellenkező esetben csak a számítógép-irányelvek támogatottak.When no trust exists, only computer policies are supported.

3. forgatókönyv: Ügyfelek és helyrendszer-szerepkörök, amikor az ügyfelek nem a helykiszolgálóval azonos Active Directory-erdőben szereplő közötti kommunikációScenario 3: Communication between clients and site system roles when the clients aren't in the same Active Directory forest as their site server

A Configuration Manager-ügyfelek, amelyek saját helykiszolgálójukhoz ugyanabban az erdőben lévő nem a következő eseteket támogatja:Configuration Manager supports the following scenarios for clients that aren't in the same forest as their site's site server:

  • Nincs az erdőben, az ügyfél és a helykiszolgáló az erdő között kétirányú erdőszintű megbízható.There's a two-way forest trust between the forest of the client and the forest of the site server.

  • A helyrendszerszerepkör-kiszolgáló az ügyfél ugyanabban az erdőben található.The site system role server is located in the same forest as the client.

  • Az ügyfél nem egy kétirányú, erdőszintű megbízható helyrendszer-kiszolgáló és a helyadatok nem rendelkező számítógépen található szerepkörök nincsenek telepítve az ügyfél erdőjében.The client is on a domain computer that doesn't have a two-way forest trust with the site server, and site system roles aren't installed in the client's forest.

  • Az ügyfél munkacsoporthoz tartozó számítógépet nem.The client is on a workgroup computer.

Tartományhoz csatlakoztatott számítógépen ügyfelek használhatják szolgáltatáskeresésre az Active Directory Domain Services, amikor a helyük közzé van téve az Active Directory-erdejükben.Clients on a domain-joined computer can use Active Directory Domain Services for service location when their site is published to their Active Directory forest.

A helyadatok közzétételét az Active Directory-erdő:To publish site information to another Active Directory forest:

  • Adja meg az erdőt, majd engedélyezze a közzétételt az adott erdőbe a Felügyelet munkaterület Active Directory-erdők csomópontjában.Specify the forest and then enable publishing to that forest in the Active Directory Forests node of the Administration workspace.

  • Az egyes helyeket pedig konfigurálja úgy, hogy azok közzétegyék az adataikat az Active Directory tartományi szolgáltatásokba.Configure each site to publish its data to Active Directory Domain Services. Ez a konfiguráció lehetővé teszi, hogy az adott erdőben található ügyfelek lekérjék a helyadatokat és megkeressék a felügyeleti pontokat.This configuration enables clients in that forest to retrieve site information and find management points. -Ügyfelek, amelyek nem használhatják szolgáltatáskeresésre az Active Directory Domain Services DNS, WINS, is használhatja, vagy az ügyfélhez rendelt felügyeleti pont.For clients that can't use Active Directory Domain Services for service location, you can use DNS, WINS, or the client's assigned management point.

4. forgatókönyv: Az Exchange Server-összekötő elhelyezése egy távoli erdőbenScenario 4: Put the Exchange Server connector in a remote forest

A forgatókönyv támogatása érdekében győződjön meg róla, hogy névfeloldás működik-e az erdők között.To support this scenario, make sure that name resolution works between the forests. Például állítsa be a DNS-továbbítást.For example, configure DNS forwards. Az Exchange Server-összekötő konfigurálásakor adja meg az intranetes Exchange Server teljes Tartománynevét.When you configure the Exchange Server connector, specify the intranet FQDN of the Exchange Server. További információkért lásd: mobileszközök kezelése a Configuration Manager és az Exchange.For more information, see Manage mobile devices with Configuration Manager and Exchange.

További információSee also