Configuration Manager でのエンドポイント間の通信Communications between endpoints in Configuration Manager

「オブジェクトの適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

この記事では、ネットワーク経由で Configuration Manager サイト システムとクライアントがどのように通信するかを説明します。This article describes how Configuration Manager site systems and clients communicate across your network. 次のセクションが含まれています。It includes the following sections:

サイト内のサイト システム間の通信Communications between site systems in a site

Configuration Manager サイト システムまたはコンポーネントがサイト内の他のサイト システムまたはコンポーネントとネットワークを介して通信する場合、サイトの構成方法に応じて次のいずれかのプロトコルが使用されます。When Configuration Manager site systems or components communicate across the network to other site systems or components in the site, they use one of the following protocols, depending on how you configure the site:

  • サーバー メッセージ ブロック (SMB)Server message block (SMB)

  • HTTPHTTP

  • HTTPSHTTPS

サイト サーバーから配布ポイントへの通信を除き、サイト内のサーバー同士がいつ通信するかは決まっていません。With the exception of communication from the site server to a distribution point, server-to-server communications in a site can occur at any time. これらの通信では、ネットワーク帯域幅を制御するためのメカニズムを使用しません。These communications don't use mechanisms to control the network bandwidth. サイト システム間の通信は制御できないので、高速で接続良好なネットワークがある場所にサイト システム サーバーを設置してください。Because you can't control the communication between site systems, make sure that you install site system servers in locations that have fast and well-connected networks.

サイト サーバーから配布ポイントへSite server to distribution point

サイト サーバーから配布ポイントへのコンテンツの転送を管理するには、次の方法を使用します。To help you manage the transfer of content from the site server to distribution points, use the following strategies:

  • 配布ポイントで使用するネットワーク帯域幅とスケジュールを構成します。Configure the distribution point for network bandwidth control and scheduling. この構成は、サイト間通信のアドレスの構成とよく似ています。These controls resemble the configurations that are used by intersite addresses. リモート ネットワークへのコンテンツの転送が、使用可能な帯域幅に大きく影響する場合に、別の Configuration Manager サイトをインストールする代わりに、この構成を使用します。Use this configuration instead of installing another Configuration Manager site when the transfer of content to remote network locations is your main bandwidth consideration.

  • 配布ポイントを、事前設定済み配布ポイントにすることができます。You can install a distribution point as a prestaged distribution point. 配布ポイント サーバーに手動で配置したコンテンツを使用できるので、ネットワークを介してコンテンツ ファイルを転送する必要がなくなります。A prestaged distribution point lets you use content that is manually put on the distribution point server and removes the requirement to transfer content files across the network.

詳細については、「コンテンツ管理でのネットワーク帯域幅の管理」を参照してください。For more information, see Manage network bandwidth for content management.

クライアントからサイト システムとサービスへの通信Communications from clients to site systems and services

クライアントはサイト システムの役割、Active Directory Domain Services、およびオンライン サービスへの通信を開始します。Clients initiate communication to site system roles, Active Directory Domain Services, and online services. これらの通信を有効にするには、ファイアウォールがクライアントと通信のエンドポイント間のネットワーク トラフィックを許可する必要があります。To enable these communications, firewalls must allow the network traffic between clients and the endpoint of their communications. これらのエンドポイントへの通信時に、クライアントで使用されるポートとプロトコルの詳細については、「Configuration Manager で使用されるポート」を参照してください。For more information about ports and protocols used by clients when they communicate to these endpoints, see Ports used in Configuration Manager.

クライアントは、サイト システムの役割と通信する前に、サービスの場所を使用して、クライアントのプロトコル (HTTP または HTTPS) をサポートする役割を検索します。Before a client can communicate with a site system role, the client uses service location to find a role that supports the client's protocol (HTTP or HTTPS). 既定では、クライアントは次のように使用可能な最も安全な方法を使用します。By default, clients use the most secure method that's available to them. 詳細については、クライアントがサイト リソースやサービスを検索する方法に関するページを参照してください。For more information, see Understand how clients find site resources and services.

HTTPS を使用するには、次のいずれかのオプションを構成します。To use HTTPS, configure one of the following options:

  • 公開キー基盤 (PKI) を使用し、クライアントとサーバーに PKI 証明書をインストールします。Use a public key infrastructure (PKI) and install PKI certificates on clients and servers. 証明書の使用方法については、PKI 証明書の要件に関するページをご覧ください。For information about how to use certificates, see PKI certificate requirements.

  • バージョン 1806 以降では、HTTP サイト システム用に Configuration Manager で生成された証明書を使用するようにサイトを構成します。Starting in version 1806, configure the site to Use Configuration Manager-generated certificates for HTTP site systems. 詳細については、「Enhanced HTTP」(拡張 HTTP) をご覧ください。For more information, see Enhanced HTTP.

インターネット インフォメーション サービス (IIS) を使用し、クライアントからの通信をサポートするサイト システムの役割を展開する場合は、そのサイト システムにクライアントが接続するときに HTTP と HTTPS のどちらを使用するかを指定する必要がありますWhen you deploy a site system role that uses Internet Information Services (IIS) and supports communication from clients, you must specify whether clients connect to the site system by using HTTP or HTTPS. HTTP を使用する場合は、署名と暗号化のオプションについても検討してください。If you use HTTP, you must also consider signing and encryption choices. 詳細については、「署名と暗号化の計画」をご覧ください。For more information, see Planning for signing and encryption.

クライアントから管理ポイントへの通信Client to management point communication

クライアントが管理ポイントと通信するときには、認証 (トランスポート) と承認 (メッセージ) の 2 つの段階があります。There are two stages when a client communicates with a management point: authentication (transport) and authorization (message). このプロセスは、次の要因によって異なります。This process varies depending upon the following factors:

  • サイトの構成:HTTP、HTTPS、または拡張 HTTPSite configuration: HTTP, HTTPS, or enhanced HTTP
  • 管理ポイントの構成:HTTPS のみ、または HTTP または HTTPS を許可するManagement point configuration: HTTPS only, or allows HTTP or HTTPS
  • デバイス中心のシナリオのデバイス IDDevice identity for device-centric scenarios
  • ユーザー中心のシナリオのユーザー IDUser identity for user-centric scenarios

次の表を使用して、このプロセスのしくみを理解してください。Use the following table to understand how this process works:

MP の種類MP type クライアント認証Client authentication クライアント認証Client authorization
デバイス IDDevice identity
クライアント認証Client authorization
ユーザー IDUser identity
HTTPHTTP 匿名Anonymous
拡張 HTTP を使用すると、サイトで Azure AD のユーザーまたはデバイスのトークンが検証されます。With Enhanced HTTP, the site verifies the Azure AD user or device token.
場所の要求:匿名Location request: Anonymous
クライアント パッケージ:匿名Client package: Anonymous
登録、次のいずれかの方法を使用して、デバイス ID を証明します。Registration, using one of the following methods to prove device identity:
- 匿名 (手動で承認)- Anonymous (manual approval)
- Windows 統合認証- Windows-integrated authentication
- Azure AD デバイス トークン (拡張 HTTP)- Azure AD device token (Enhanced HTTP)
登録後、クライアントはメッセージの署名を使用してデバイス ID を証明します。After registration, the client uses message signing to prove device identity
ユーザー中心のシナリオの場合、次のいずれかの方法を使用してユーザー ID を証明します。For user-centric scenarios, using one of the following methods to prove user identity:
- Windows 統合認証- Windows-integrated authentication
- Azure AD ユーザー トークン (拡張 HTTP)- Azure AD user token (Enhanced HTTP)
HTTPSHTTPS 次のいずれかの方法を使用します。Using one of the following methods:
- PKI 証明書- PKI certificate
- Windows 統合認証- Windows-integrated authentication
-Azure AD ユーザー トークンまたはデバイス トークン- Azure AD user or device token
場所の要求:匿名Location request: Anonymous
クライアント パッケージ:匿名Client package: Anonymous
登録、次のいずれかの方法を使用して、デバイス ID を証明します。Registration, using one of the following methods to prove device identity:
- 匿名 (手動で承認)- Anonymous (manual approval)
- Windows 統合認証- Windows-integrated authentication
- PKI 証明書- PKI certificate
-Azure AD ユーザー トークンまたはデバイス トークン- Azure AD user or device token
登録後、クライアントはメッセージの署名を使用してデバイス ID を証明します。After registration, the client uses message signing to prove device identity
ユーザー中心のシナリオの場合、次のいずれかの方法を使用してユーザー ID を証明します。For user-centric scenarios, using one of the following methods to prove user identity:
- Windows 統合認証- Windows-integrated authentication
- Azure AD ユーザー トークン- Azure AD user token

ヒント

さまざまなデバイス ID の種類の管理ポイントの構成の詳細、およびクラウド管理ゲートウェイの使用の詳細については、「HTTPS 用の管理ポイントを有効にする」を参照してください。For more information on the configuration of the management point for different device identity types and with the cloud management gateway, see Enable management point for HTTPS.

クライアントから配布ポイントへの通信Client to distribution point communication

クライアントが配布ポイントと通信するときに、コンテンツをダウンロードする前に認証するだけで済みます。When a client communicates with a distribution point, it only needs to authenticate before downloading the content. 次の表を使用して、このプロセスのしくみを理解してください。Use the following table to understand how this process works:

DP の種類DP type クライアント認証Client authentication
HTTPHTTP - 匿名 (許可されている場合)- Anonymous, if allowed
- コンピューター アカウントまたはネットワーク アクセス アカウントを使用した Windows 統合認証- Windows-integrated authentication with computer account or network access account
- コンテンツ アクセス トークン (拡張 HTTP)- Content access token (Enhanced HTTP)
HTTPSHTTPS - PKI 証明書- PKI certificate
- コンピューター アカウントまたはネットワーク アクセス アカウントを使用した Windows 統合認証- Windows-integrated authentication with computer account or network access account
- コンテンツ アクセス トークン- Content access token

インターネットや信頼されていないフォレストからのクライアント通信に関する考慮事項Considerations for client communications from the internet or an untrusted forest

プライマリ サイトにインストールされた次のサイト システムの役割では、インターネットや信頼されていないフォレストなどの信頼されていない場所にあるクライアントからの接続がサポートされます The following site system roles installed at primary sites support connections from clients that are in untrusted locations, such as the internet or an untrusted forest. (セカンダリ サイトでは、信頼されていない場所からのクライアント接続をサポートしていません)。(Secondary sites don't support client connections from untrusted locations.)

  • アプリケーション カタログ Web サイト ポイントApplication catalog website point

  • Configuration Manager ポリシー モジュール (NDES)Configuration Manager policy module (NDES)

  • 配布ポイントDistribution point

  • クラウドベースの配布ポイント (HTTPS が必要)Cloud-based distribution point (requires HTTPS)

  • 登録プロキシ ポイントEnrollment proxy point

  • フォールバック ステータス ポイントFallback status point

  • 管理ポイントManagement point

  • ソフトウェアの更新ポイントSoftware update point

  • クラウド管理ゲートウェイ (HTTPS が必要)Cloud management gateway (requires HTTPS)

インターネットに接続するサイト システムについてAbout internet-facing site systems

注意

次のセクションでは、インターネット ベースのクライアント管理のシナリオについて説明します。The following section is about internet-based client management scenarios. クラウド管理ゲートウェイのシナリオには適用されません。It doesn't apply to cloud management gateway scenarios. 詳細については、インターネット上でのクライアントの管理に関するページを参照してください。For more information, see Manage clients on the internet.

クライアントのフォレストとサイト システム サーバーのフォレストとの間に信頼関係を構築する必要はありません。There's no requirement to have a trust between a client's forest and that of the site system server. ただし、インターネットに接続するサイト システムを含むフォレストがユーザー アカウントを含むフォレストを信頼している状態で、[クライアント ポリシー] のクライアント設定 [インターネット クライアントからのユーザー ポリシー要求を有効にする] を有効にした場合は、この構成でインターネット上のデバイスのユーザーベース ポリシーがサポートされます。However, when the forest that contains an internet-facing site system trusts the forest that contains the user accounts, this configuration supports user-based policies for devices on the internet when you enable the Client Policy client setting Enable user policy requests from internet clients.

たとえば、次のような場合に、インターネット ベースのクライアント管理がインターネット上のデバイス用のユーザー ポリシーを使用します。For example, the following configurations illustrate when internet-based client management supports user policies for devices on the internet:

  • インターネット ベースの管理ポイントが、ユーザーを認証する読み取り専用ドメイン コントローラーが存在する境界ネットワークにあり、介在するファイアウォールで Active Directory パケットを許可する。The internet-based management point is in the perimeter network where a read-only domain controller resides to authenticate the user and an intervening firewall allows Active Directory packets.

  • ユーザー アカウントがフォレスト A (イントラネット) にあり、インターネット ベースの管理ポイントがフォレスト B (境界ネットワーク) にある。The user account is in Forest A (the intranet) and the internet-based management point is in Forest B (the perimeter network). フォレスト B がフォレスト A を信頼しており、介在するファイアウォールが認証パケットを許可する。Forest B trusts Forest A, and an intervening firewall allows the authentication packets.

  • ユーザー アカウントとインターネット ベースの管理ポイントがフォレスト A (イントラネット) にある。The user account and the internet-based management point are in Forest A (the intranet). 管理ポイントは、Web プロキシ サーバー (Forefront Threat Management Gateway など) を使用してインターネットに発行される。The management point is published to the internet by using a web proxy server (like Forefront Threat Management Gateway).

注意

Kerberos 認証に失敗すると、自動的に NTLM 認証が試みられます。If Kerberos authentication fails, NTLM authentication is then automatically tried.

上の例に示すように、インターネット ベースのサイト システムを Web プロキシ サーバーを使用してインターネットに発行する場合は、それらのサイト システムをイントラネットに配置することができます。As the previous example shows, you can place internet-based site systems in the intranet when they're published to the internet by using a web proxy server. これらのサイト システムは、インターネットからのクライアント接続のみ、またはインターネットとイントラネットの両方を受け付けるように構成できます。These site systems can be configured for client connection from the internet only, or for client connections from the internet and intranet. Web プロキシ サーバーを使用する場合は、次のように、SSL (Secure Sockets Layer) から SSL へのブリッジングまたは SSL トンネリングを構成できます。ブリッジングのほうが安全です。When you use a web proxy server, you can configure it for Secure Sockets Layer (SSL) bridging to SSL (more secure) or SSL tunneling as follows:

  • SSL から SSL へのブリッジング: SSL bridging to SSL:
    インターネットベースのクライアント管理でプロキシ Web サーバーを使用する場合は、認証と SSL 終了を使用する SSL から SSL へのブリッジングを構成することをお勧めします。The recommended configuration when you use proxy web servers for internet-based client management is SSL bridging to SSL, which uses SSL termination with authentication. クライアント コンピューターは、コンピューター認証によって、モバイル デバイス レガシ クライアントは、ユーザー認証によって認証されなければなりません。Client computers must be authenticated by using computer authentication, and mobile device legacy clients are authenticated by using user authentication. Configuration Manager によって登録されるモバイル デバイスは、SSL ブリッジングをサポートしていません。Mobile devices that are enrolled by Configuration Manager don't support SSL bridging.

    プロキシ Web サーバーで SSL 終了を使用する利点は、インターネットからのパケットが内部ネットワークに転送される前に検査されることです。The benefit of SSL termination at the proxy web server is that packets from the internet are subject to inspection before they're forwarded to the internal network. プロキシ Web サーバーはクライアントからの接続を認証してから終了します。次に、インターネット ベースのサイト システムに認証済みの新しい接続を開きます。The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the internet-based site systems. Configuration Manager クライアントでプロキシ Web サーバーが使用される場合、クライアント ID (クライアント GUID) はパケット ペイロード内に安全に格納されるので、管理ポイントではプロキシ Web サーバーはクライアントとは見なされません。When Configuration Manager clients use a proxy web server, the client identity (client GUID) is securely contained in the packet payload so that the management point doesn't consider the proxy web server to be the client. HTTP から HTTPS、または HTTPS から HTTP へのブリッジングは Configuration Manager ではサポートされていません。Bridging isn't supported in Configuration Manager with HTTP to HTTPS, or from HTTPS to HTTP.

  • トンネリング:Tunneling:
    プロキシ Web サーバーが SSL ブリッジングの要件をサポートできない場合や、Configuration Manager によって登録されたモバイル デバイスに対してインターネット サポートを構成する場合は、SSL トンネリングもサポートされます。If your proxy web server can't support the requirements for SSL bridging, or you want to configure internet support for mobile devices that are enrolled by Configuration Manager, SSL tunneling is also supported. ただし、この方法は、安全性が低くなります。これは、インターネットからの SSL パケットが SSL 終了なしにサイト システムに転送されるので、悪意のあるコンテンツがないかどうかを検査できないためです。It's a less secure option because the SSL packets from the internet are forwarded to the site systems without SSL termination, so they can't be inspected for malicious content. SSL トンネリングを使用する場合は、プロキシ Web サーバーに証明書は必要ありません。When you use SSL tunneling, there are no certificate requirements for the proxy web server.

複数の Active Directory フォレスト間での通信Communications across Active Directory forests

Configuration Manager では、複数の Active Directory フォレストにまたがるサイトや階層がサポートされます。Configuration Manager supports sites and hierarchies that span Active Directory forests. また、サイト サーバーと同じ Active Directory フォレストにはないドメイン コンピューターや、ワークグループのコンピューターもサポートされます。It also supports domain computers that aren't in the same Active Directory forest as the site server, and computers that are in workgroups.

ご使用のサイト サーバーのフォレストによって信頼されていないフォレスト内のドメイン コンピューターのサポートSupport domain computers in a forest that's not trusted by your site server's forest

  • サイト情報をその Active Directory フォレストに発行するオプションを使用して、信頼されていないフォレストにサイト システムの役割をインストールします。Install site system roles in that untrusted forest, with the option to publish site information to that Active Directory forest

  • これらのコンピューターを、ワークグループ コンピューターであるかのように管理します。Manage these computers as if they're workgroup computers

信頼されていない Active Directory フォレストにサイト システム サーバーをインストールすると、そのフォレストのクライアントからのクライアントとサーバー間の通信はフォレスト内で保たれ、Configuration Manager が Kerberos 方式でコンピューターを認証できるようになります。When you install site system servers in an untrusted Active Directory forest, the client-to-server communication from clients in that forest is kept within that forest, and Configuration Manager can authenticate the computer by using Kerberos. クライアントのフォレストにサイト情報を発行した場合は、クライアントは、利用可能な管理ポイントのリストなどのサイト情報を、割り当て済み管理ポイントからダウンロードする代わりに、Active Directory フォレストから取得できるという利点があります。When you publish site information to the client's forest, clients benefit from retrieving site information, such as a list of available management points, from their Active Directory forest, rather than downloading this information from their assigned management point.

注意

インターネット上のデバイスを管理したい場合は、サイト システム サーバーが Active Directory フォレストにあるときは、インターネット ベースのサイト システムの役割を境界ネットワークにインストールできます。If you want to manage devices that are on the internet, you can install internet-based site system roles in your perimeter network when the site system servers are in an Active Directory forest. この場合は、境界ネットワークとサイト サーバーのフォレスト間に双方向の信頼関係は必要ありません。This scenario doesn't require two-way trust between the perimeter network and the site server's forest.

ワークグループ内のコンピューターのサポートSupport computers in a workgroup

  • サイト システムの役割への HTTP クライアント接続を使用するときに、ワークグループのコンピューターを手動で承認します。Manually approve workgroup computers when they use HTTP client connections to site system roles. Configuration Manager では Kerberos を使用してこれらのコンピューターを認証することはできません。Configuration Manager can't authenticate these computers by using Kerberos.

  • これらのコンピューターが配布ポイントからコンテンツを取得できるように、ネットワーク アクセス アカウントを使用するようにワークグループ クライアントを構成します。Configure workgroup clients to use the Network Access Account so that these computers can retrieve content from distribution points.

  • ワークグループ クライアントが管理ポイントを検索するための代替手段を提供します。Provide an alternative mechanism for workgroup clients to find management points. DNS または WINS にサイト データを発行する方法と、管理ポイントを直接割り当てる方法があります。Use DNS publishing, WINS, or directly assign a management point. これらのクライアントは Active Directory Domain Services から情報を取得できません。These clients can't retrieve site information from Active Directory Domain Services.

詳細については、以下の記事を参照してください。For more information, see the following articles:

複数のドメインとフォレストにまたがるサイトまたは階層をサポートするシナリオScenarios to support a site or hierarchy that spans multiple domains and forests

シナリオ 1 :複数のフォレストにまたがっている階層のサイト間の通信Scenario 1: Communication between sites in a hierarchy that spans forests

このシナリオでは、Kerberos 認証をサポートするように、フォレスト間に双方向の信頼関係が成立している必要があります。This scenario requires a two-way forest trust that supports Kerberos authentication. Kerberos 認証をサポートする双方向のフォレスト信頼関係がない場合、Configuration Manager ではリモート フォレスト内の子サイトがサポートされません。If you don't have a two-way forest trust that supports Kerberos authentication, then Configuration Manager doesn't support a child site in the remote forest.

Configuration Manager では、親サイトのフォレストとの必要な双方向の信頼関係があるリモート フォレストへの子サイトのインストールがサポートされます。Configuration Manager supports installing a child site in a remote forest that has the required two-way trust with the forest of the parent site. たとえば、必要な信頼関係が成立している限り、プライマリ親サイトとは異なるフォレストにセカンダリ サイトを配置できます。For example, you can place a secondary site in a different forest from its primary parent site as long as the required trust exists.

注意

子サイトは、プライマリ サイト (中央管理サイトが親サイトになります) とセカンダリ サイトのどちらでもかまいません。A child site can be a primary site (where the central administration site is the parent site) or a secondary site.

Configuration Manager のサイト間通信には、データベースのレプリケーションとファイルベースの転送を使用します。Intersite communication in Configuration Manager uses database replication and file-based transfers. サイトをインストールするときに、目的のサーバーにサイトをインストールするアカウントを指定する必要があります。When you install a site, you must specify an account with which to install the site on the designated server. このアカウントは、サイト間の通信を確立して管理するときにも使います。This account also establishes and maintains communication between sites. サイトのインストールが完了し、ファイルベースの転送とデータベースのレプリケーションが開始されたら、サイト間の通信で他に必要な構成はありません。After the site successfully installs and initiates file-based transfers and database replication, you don't have to configure anything else for communication to the site.

フォレストに双方向の信頼関係がある場合は、Configuration Manager で他に何も構成する必要はありません。When a two-way forest trust exists, Configuration Manager doesn't require any additional configuration steps.

既定では、新しい子サイトをインストールすると、Configuration Manager によって次の構成が行われます。By default, when you install a new child site, Configuration Manager configures the following components:

  • サイト サーバーのコンピューター アカウントを使用する各サイトのファイルベースのサイト間レプリケーション ルート。An intersite file-based replication route at each site that uses the site server computer account. Configuration Manager は、各コンピューターのコンピューター アカウントを、対象コンピューターの SMS_SiteToSiteConnection_<サイト コード> グループに追加します。Configuration Manager adds the computer account of each computer to the SMS_SiteToSiteConnection_<sitecode> group on the destination computer.

  • 各サイトの SQL Server 間のデータベースのレプリケーション。Database replication between the SQL Servers at each site.

次の構成も設定します。Also set the following configurations:

  • 介在するファイアウォールとネットワーク デバイスが、Configuration Manager で必要なネットワーク パケットを許可するように設定します。Intervening firewalls and network devices must allow the network packets that Configuration Manager requires.

  • フォレスト間で名前が正しく解決されるようにします。Name resolution must work between the forests.

  • サイトまたはサイト システムの役割をインストールするには、目的のコンピューターのローカル管理者権限のあるアカウントを指定する必要があります。To install a site or site system role, you must specify an account that has local administrator permissions on the specified computer.

シナリオ 2 :複数のフォレストにまたがっているサイト内での通信Scenario 2: Communication in a site that spans forests

このシナリオでは、フォレスト間の双方向の信頼関係は必要ありません。This scenario doesn't require a two-way forest trust.

プライマリ サイトでは、リモート フォレスト内のコンピューターへのサイト システムの役割のインストールがサポートされます。Primary sites support the installation of site system roles on computers in remote forests.

  • アプリケーション カタログ Web サービス ポイントは、唯一の例外です。The Application Catalog web service point is the only exception. この場合、サイト サーバーと同じフォレストでのみサポートされます。It's only supported in the same forest as the site server.

  • サイト システムの役割がインターネットからの接続を受け入れる場合は、セキュリティのベスト プラクティスとして、このサイト システムの役割を、フォレストの境界によってサイト サーバーが保護される場所 (境界ネットワークなど) にインストールすることをお勧めします。When a site system role accepts connections from the internet, as a security best practice, install the site system roles in a location where the forest boundary provides protection for the site server (for example, in a perimeter network).

信頼されていないフォレスト内のコンピューターにサイト システムの役割をインストールするには:To install a site system role on a computer in an untrusted forest:

  • サイトがサイト システムの役割のインストールに使用する、サイト システムのインストール アカウントを指定します Specify a Site System Installation Account, which the site uses to install the site system role. (このアカウントには、接続するためのローカルの管理資格情報が必要です)。指定したコンピューターにサイト システムの役割をインストールします。(This account must have local administrative credentials to connect to.) Then install site system roles on the specified computer.

  • サイト システムのオプションの [サイト サーバーがこのサイト システムへの接続を開始する必要がある] を選択します。Select the site system option Require the site server to initiate connections to this site system. この設定では、サイト サーバーがサイト システム サーバーへの接続を確立してデータを転送する必要があります。This setting requires the site server to establish connections to the site system server to transfer data. この構成により、信頼されていない場所にあるコンピューターが、信頼されたネットワーク内にあるサイト サーバーへの接続を開始するのを防げます。This configuration prevents the computer in the untrusted location from initiating contact with the site server that's inside your trusted network. これらの接続では サイト システムのインストール アカウントを使用します。These connections use the Site System Installation Account.

信頼されていないフォレストにインストールされたサイト システムの役割を使用するには、サイト サーバーがデータの転送を開始する場合でも、ファイアウォールがネットワーク トラフィックを許可する必要があります。To use a site system role that was installed in an untrusted forest, firewalls must allow the network traffic even when the site server initiates the transfer of data.

さらに、次のサイト システムの役割ではサイト データベースに直接アクセスする必要があります。Additionally, the following site system roles require direct access to the site database. そのため、ファイアウォールは、信頼されていないフォレストからサイトの SQL Server への適用可能なトラフィックを許可する必要があります。Therefore, firewalls must allow applicable traffic from the untrusted forest to the site's SQL Server:

  • 資産インテリジェンス同期ポイントAsset Intelligence synchronization point

  • Endpoint Protection ポイントEndpoint Protection point

  • 登録ポイントEnrollment point

  • 管理ポイントManagement point

  • レポート サービス ポイントReporting service point

  • 状態移行ポイントState migration point

詳細については、「Configuration Manager で使用されるポート」を参照してください。For more information, see Ports used in Configuration Manager.

管理ポイントと登録ポイントがサイト データベースにアクセスするように構成する必要がある場合があります。You might need to configure the management point and enrollment point access to the site database.

  • 既定では、これらの役割をインストールするときに、Configuration Manager によって新しいサイト システム サーバーのコンピューター アカウントがサイト システムの役割の接続アカウントとして構成されます。By default, when you install these roles, Configuration Manager configures the computer account of the new site system server as the connection account for the site system role. 次に、適切な SQL Server データベースの役割にアカウントが追加されます。It then adds the account to the appropriate SQL Server database role.

  • これらのサイト システムの役割を信頼されていないドメインにインストールする場合は、サイト システムの役割の接続アカウントを構成し、サイト システムの役割がデータベースから情報を取得できるようにします。When you install these site system roles in an untrusted domain, configure the site system role connection account to enable the site system role to obtain information from the database.

これらのサイト システムの役割の接続アカウントにドメイン ユーザー アカウントを構成する場合は、そのドメイン ユーザー アカウントに、対象サイトの SQL Server データベースへの適切なアクセス権があることをご確認ください。If you configure a domain user account to be the connection account for these site system roles, make sure that the domain user account has appropriate access to the SQL Server database at that site:

  • 管理ポイント:管理ポイント データベース接続アカウントManagement point: Management Point Database Connection Account

  • 登録ポイント:登録ポイントの接続アカウントEnrollment point: Enrollment Point Connection Account

サイト サーバーとは別のフォレストにサイト システムの役割を配置する場合は、次のことも検討してください。Consider the following additional information when you plan for site system roles in other forests:

  • Windows ファイアウォールを実行する場合は、ファイアウォールの適切なプロファイルで、リモートのサイト システムの役割をインストールするコンピューターとサイト データベース サーバー間の通信を許可するように構成します。If you run Windows Firewall, configure the applicable firewall profiles to pass communications between the site database server and computers that are installed with remote site system roles.

  • インターネット ベースの管理ポイントが、ユーザー アカウントを含むフォレストを信頼している場合は、ユーザー ポリシーを使用することができます。When the internet-based management point trusts the forest that contains the user accounts, user policies are supported. 信頼していない場合は、コンピューター ポリシーだけを使用できます。When no trust exists, only computer policies are supported.

シナリオ 3 :クライアントがそのサイト サーバーと同じ Active Directory フォレストにない場合のクライアントとサイト システムの役割間の通信Scenario 3: Communication between clients and site system roles when the clients aren't in the same Active Directory forest as their site server

Configuration Manager では、サイト サーバーと同じフォレストにないクライアントに対する次のシナリオがサポートされます。Configuration Manager supports the following scenarios for clients that aren't in the same forest as their site's site server:

  • クライアントのフォレストとサイト サーバーのフォレストとの間に双方向の信頼関係がある。There's a two-way forest trust between the forest of the client and the forest of the site server.

  • サイト システムの役割サーバーがクライアントと同じフォレストにある。The site system role server is located in the same forest as the client.

  • サイト サーバーのフォレストと双方向の信頼関係がないドメイン コンピューターにクライアントがあり、サイト システムの役割はクライアントのフォレストにインストールされていない。The client is on a domain computer that doesn't have a two-way forest trust with the site server, and site system roles aren't installed in the client's forest.

  • クライアントがワークグループのコンピューターにある。The client is on a workgroup computer.

ドメインに参加しているコンピューターのクライアントは、そのサイト情報が Active Directory フォレストに発行されていると、Active Directory Domain Services をサービスの場所として使用することができます。Clients on a domain-joined computer can use Active Directory Domain Services for service location when their site is published to their Active Directory forest.

サイト情報を別の Active Directory フォレストに発行できるようにするには、次の操作を実行します。To publish site information to another Active Directory forest:

  • フォレストを指定してから、 [管理] ワークスペースの [Active Directory フォレスト] ノードでそのフォレストへの発行を有効にする必要があります。Specify the forest and then enable publishing to that forest in the Active Directory Forests node of the Administration workspace.

  • 各サイトを、Active Directory ドメイン サービスにデータを発行するように構成します。Configure each site to publish its data to Active Directory Domain Services. このように構成すると、発行先フォレストにあるクライアントが、サイト情報を取得して管理ポイントを見つけられるようになります。This configuration enables clients in that forest to retrieve site information and find management points. Active Directory Domain Services をサービスの場所として使用できないクライアントでは、DNS、WINS、またはクライアントの割り当て済み管理ポイントを使用できます。For clients that can't use Active Directory Domain Services for service location, you can use DNS, WINS, or the client's assigned management point.

シナリオ 4:リモート フォレストへの Exchange Server コネクタの配置Scenario 4: Put the Exchange Server connector in a remote forest

このシナリオをサポートするには、フォレスト間で名前解決が動作することを確認します。To support this scenario, make sure that name resolution works between the forests. たとえば、DNS 転送を構成します。For example, configure DNS forwards. Exchange Server コネクタを構成するときに、Exchange Server のイントラネット FQDN を指定します。When you configure the Exchange Server connector, specify the intranet FQDN of the Exchange Server. 詳しくは、「Configuration Manager と Exchange によるモバイル デバイスの管理」をご覧ください。For more information, see Manage mobile devices with Configuration Manager and Exchange.

関連項目See also