Configuration Manager の通信の計画
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager をインストールする前に、階層内の異なるサイト間、サイト内の異なるシステム サーバー間、およびクライアントとサイト システム サーバー間のネットワーク通信について計画してください。 同じドメイン内で発生する通信も、複数の Active Directory フォレストにまたがる通信もあります。 また、インターネット上のクライアントを管理する通信を計画しなければならない場合もあります。
次のセクションの情報を、Configuration Manager での通信を計画するときの参考にしてください。
Configuration Manager のサイト間の通信の計画
ファイルベースのレプリケーション
データベースのレプリケーション
Configuration Manager のサイト内での通信の計画
Configuration Manager のクライアント接続の計画
クライアントによって開始される通信
サービスの場所とクライアントが割り当てられた管理ポイントを特定する方法
クライアントをウェイクアップする方法の計画
Configuration Manager のフォレスト間通信の計画
インターネット ベースのクライアント管理の計画
インターネットでサポートされない機能
インターネットや信頼されていないフォレストからのクライアント通信に関する考慮事項
インターネット ベースのクライアントの計画
インターネット ベースのクライアント管理の前提条件
Configuration Manager で使用するネットワーク帯域幅の計画
サイト間の通信で使用されるネットワーク帯域幅の制御
サイト システム サーバー間の通信で使用されるネットワーク帯域幅の制御
クライアントとサイト システム サーバーの間の通信で使用されるネットワーク帯域幅の制御
Configuration Manager の新機能
[!メモ]
このセクションの情報は、次の場所にも表示されます: 「System Center 2012 Configuration Manager の概要」ガイド
Configuration Manager 2007 以後、サイトの通信機能が次のように変更されています。
構成と設定などのデータをサイト間で転送するために、ファイルベースのレプリケーションだけでなく、データベースのレプリケーションも使用します。
Configuration Manager 2007 では、混在モードやネイティブ モードによって、サイト内のサイト システムとクライアントがどのように通信するかが決まっていましたが、System Center 2012 Configuration Manager では、サイト システムの役割ごとに、クライアント接続で HTTP と HTTPS のどちらを使用するかを指定できるようになっています。
他のフォレストにあるクライアント コンピューターをサポートするために、Configuration Manager ではこれらのフォレストでコンピューターを探索したり、サイト情報をこれらのフォレストに発行したりできます。
サーバー ロケーター ポイントは使用しなくなりました。このサイト システムの役割の機能は、管理ポイントに移動しています。
インターネット ベースのクライアント管理の特長は、次のとおりです。
インターネット ベースの管理ポイントで Windows 認証 (Kerberos または NTLM) 方式でユーザーを認証するときにユーザー ポリシーを使用します。
スクリプトなどの単純なタスク シーケンスを使えます。 インターネットでのオペレーティング システムの展開はこれまで同様サポートされていません。
インターネット ベースのクライアントがインターネットに接続しているときは、必要なソフトウェア更新プログラムを、まず、Microsoft Update からダウンロードしようとします。 Microsoft Update からダウンロードできなかった場合だけ、クライアントに割り当てられているサイトのインターネットベースの配布ポイントからダウンロードします。
Configuration Manager SP1 の新機能
[!メモ]
このセクションの情報は、次の場所にも表示されます: 「System Center 2012 Configuration Manager の概要」ガイド
Configuration Manager SP1 では、サイトの通信機能の項目が次のように新しく追加または変更されています。
サイト間のファイルベースのレプリケーションのアドレスは、ファイル レプリケーションのルートという名称に変更されました。 これは、ファイルベースのレプリケーションの名称を変更しただけで、データベース レプリケーションと一貫性を持たせるためのものです。 機能には変更はありません。
サイト データベース間のデータベース レプリケーション リンクを構成し、データベース レプリケーションのネットワーク トラフィックを制御、監視します。
分散ビューを使用して、選択したサイト データを、プライマリ サイトから中央管理サイトにレプリケートしないように設定します。 中央管理サイトは、プライマリ サイト データベースから直接このデータにアクセスします。
データベース レプリケーション リンク全体で、選択したサイト データの転送をスケジュールします。
レプリケーション トラフィックをレポート用に要約する頻度を制御します。
レプリケーションの問題に関するアラートを生成する、ユーザー設定のしきい値を定義します。
サイトの SQL Server データベースのレプリケーション制御を構成します。
Configuration Manager が SQL Server Service Broker で使用するポートを変更する
レプリケーション エラーにより、サイトでのサイト データベースのコピーの再初期化をトリガーするまでの待機時間を構成します。
データベース レプリケーションによりレプリケートしたデータを圧縮するように、サイト データベースを構成する。 データは、サイト間の転送のみを目的として圧縮され、両サイトのサイト データベースへの保存を目的としていません。
Configuration Manager SP1 クライアントで、Windows 7、Windows 8、Windows Server 2008 R2、または、Windows Server 2012 を実行している場合、ウェイクアップ プロキシ クライアント設定を使用して、ユニキャスト パケットの Wake on LAN サイト設定を補足することができます。 この組み合わせを使用すると、ネットワーク スイッチを再構成せずに、サブネットのコンピューターをウェイクアップできます。
Configuration Manager のサイト間の通信の計画
Configuration Manager 階層で各サイトがその親サイト、および直属の子サイトと通信するためのデータ転送方式には、ファイルベースのレプリケーションとデータベース レプリケーションの 2 通りあります。 セカンダリ サイトは、この両方の転送方法を使って、その親プライマリ サイトと通信するだけでなく、ネットワークのリモートの場所にコンテンツを送るために、ファイルベースのレプリケーションを使用して、他のセカンダリ サイトとも通信します。
Configuration Manager では、ファイルベースのレプリケーションとデータベース レプリケーションを使用して、それぞれ異なる種類の情報をサイト間で転送します。
ファイルベースのレプリケーション
Configuration Manager のファイルベースのレプリケーションは、ファイルに入っているデータを階層内のサイト間で転送する方法です。 このデータには、子サイトの配布ポイントに展開するアプリケーションやパッケージのコンテンツや、親サイトで処理するために転送する未処理の探索データ レコードなどがあります。
サイト間のファイルベースの通信では、TCP/IP ポート 445 経由で Server Message Block (SMB) プロトコルを使用します。 ネットワークで転送されるデータの量を制御する帯域幅調整とパルス モード、およびネットワークにデータを送信するスケジュールを構成することができます。
Configuration Manager SP1 以降、データベース レプリケーションと一貫性を持たせるために、アドレスはファイル レプリケーション ルートという名称に変更されました。 SP1 より前の Configuration Manager では、ファイルベースのデータを転送する場合、アドレスを使用して、送信先サイト サーバーの SMS_SITE 共有に接続します。 ファイル レプリケーション ルートとアドレスは同じように動作し、同じ構成をサポートします。
以下のセクションは、サービス パック 1 で導入された変更向けに記述され、アドレスではなく、ファイル レプリケーション ルートを参照しています。 サービス パックが適用されていない Configuration Manager を使用する場合、次の表の情報を使用して、ファイル レプリケーション ルートの用語を、関連するアドレスの用語に変換してください。
Configuration Manager SP1 以降 |
Configuration Manager (サービス パックなし) |
|---|---|
ファイル レプリケーション アカウント |
サイト アドレス アカウント |
ファイル レプリケーション ルート |
番地 |
Configuration Manager コンソールの [ファイル レプリケーション] ノード |
Configuration Manager コンソールの [アドレス] ノード |
ファイル レプリケーション ルート
Configuration Manager では、ファイル レプリケーション ルートを使用して、階層内のサイト間でファイルベースのデータを転送します。 ファイル レプリケーション ルートは、以前のバージョンの Configuration Manager で使用されているアドレスに代わるものです。 ファイル レプリケーション ルートの機能は、アドレスと変わりありません。 次の表に、ファイル レプリケーション ルートの詳細を示します。
オブジェクト |
説明 |
||
|---|---|---|---|
ファイル レプリケーション ルート |
各ファイル レプリケーション ルートは、ファイルベースのデータの転送先サイトを識別します。 各サイトでは、特定の転送先サイト 1 つにつき、1 つのファイル レプリケーション ルートを使用できます。 Configuration Manager では、ファイル レプリケーション ルートの次の構成をサポートします。
ファイル レプリケーション ルートを管理するには、[管理] ワークスペースで [階層の構成] ノードを展開し、[ファイル レプリケーション] を選択します。 |
||
センダー |
サイトごとにセンダーが 1 つあります。 センダーは、あるサイトから転送先サイトへのネットワーク接続を管理します。同時に複数のサイトへの接続を確立することもできます。 サイトに接続するために、センダーはサイトへのファイル レプリケーション ルートを使用し、ネットワーク接続の確立に使用するアカウントを識別します。 また、センダーはこのアカウントを使用して、転送先サイトの SMS_SITE 共有にデータを書き込みます。 既定では、センダーは複数の同時送信を使用して、転送先サイトにデータを書き込みます。同時送信の 1 つ 1 つは、一般的にスレッドと呼ばれます。 同時送信 (スレッド) ごとに、個別のファイルベース オブジェクトを転送先サイトに転送できます。 既定では、センダーでオブジェクトの送信が開始されると、オブジェクト全体が送信されるまで、そのオブジェクトのデータ ブロックが書き込まれます。 オブジェクトのすべてのデータが送信されると、そのスレッドで新しいオブジェクトの送信を開始できるようになります。 センダーの次の設定を構成できます。
サイトで使用するセンダーを管理するには、[管理] ワークスペースの [サイトの構成] ノードを展開し、[サイト] ノードを選択して、管理するサイトの [プロパティ] をクリックします。 [センダー] タブをクリックし、センダーの構成を変更します。 |
.jpeg "System_CAPS_caution")
注意
データベースのレプリケーション
Configuration Manager のデータベースのレプリケーションとは、サイトのデータベースに加えられた変更を階層の他のサイトのデータベースに保存されている情報に結合するために、SQL サーバーを使ってデータを転送するプロセスのことです。 レプリケーションによって、すべてのサイトで同じ情報を共有できるようになります。 データベースのレプリケーションは、すべての Configuration Manager サイトによって自動的に構成されます。 階層にサイトをインストールすると、新しいサイトとその指定された親サイト間で、データベース レプリケーションが自動的に構成されます。 サイトのインストールが終了すると、データベースのレプリケーションが自動的に開始されます。
新しいサイトを階層にインストールすると、Configuration Manager では新しいサイトで汎用データベースが作成されます。 次に、親サイトがデータベース内の関連するデータのスナップショットを作成し、ファイルベースのレプリケーションを使用して、新しいサイトにそのスナップショットを転送します。 次に、新しいサイトが SQL Server の一括コピー プログラム (BCP) を使用して、情報を Configuration Manager データベースのローカル コピーに読み込みます。 スナップショットが読み込まれると、各サイトが他のサイトとのデータべース レプリケーションを開始します。
サイト間でデータをレプリケートするために、Configuration Manager は、データベース レプリケーション サービスを使用します。 データベース レプリケーション サービスは、SQL Server の変更履歴を使用してローカル サイト データベースの変更を監視し、SQL Server Service Broker を使用してこれらの変更を他のサイトにレプリケートします。 既定では、このプロセスで TCP/IP ポート 4022 を使用します。
Configuration Manager は、データベース レプリケーションによってレプリケートするデータを、複数のレプリケーション グループにグループ化します。 各レプリケーション グループには、個別の、固定されたレプリケーションのスケジュールがあり、このスケジュールによって、グループ内のデータに対する変更を別のサイトにレプリケートする頻度が決定されます。 たとえば、役割に基づいた管理権限の構成が変わった場合は、その変更が迅速に反映されるように、他のサイトにすばやくレプリケートされます。 これに対して、構成を緊急に変更する必要がない場合 (新しいセカンダリ サイトのインストールを要求した場合など) は、直ちにレプリケートされず、新しいサイトの要求が目的のプライマリ サイトに達するまでに数分かかります。
[!メモ]
Configuration Manager のデータベースのレプリケーションは自動的に構成されます。レプリケーション グループやレプリケーション スケジュールを自分で構成することはできません。 ただし、Configuration Manager SP1 以降では、データベース レプリケーション リンクを構成して、特定のトラフィックがネットワークを通過する時間を制御できます。 また、Configuration Manager で、「低下」または「失敗」のステータスを持つ、レプリケーション リンクに関するアラートを生成するタイミングを構成できます。
Configuration Manager は、データベースのレプリケーションによってレプリケートするデータを、グローバル データとサイト データに分類します。 データベース レプリケーションが行われると、グローバル データとサイト データへの変更は、データベース レプリケーション リンク全体に転送されます。 グローバル データは親サイトまたは子サイトの両方にレプリケートでき、サイト データは親サイトにのみレプリケートされます。 一方、他のサイトにレプリケートしないデータのことをローカル データといいます。 ローカル データには、他のサイトで必要としない情報が含まれています。
グローバル データ: グローバル データとは、階層のすべてのサイトにレプリケートされる、管理者が作成したオブジェクトのことです。ただし、セカンダリ サイトは、グローバル プロキシ データという、グローバル データのサブセットだけを受信します。 グローバル データの例としては、ソフトウェアの展開、ソフトウェア更新プログラム、コレクション定義、役割に基づいた管理のセキュリティ スコープがあります。 管理者は、中央管理サイトとプライマリ サイトでグローバル データを作成できます。
サイト データ: サイト データとは、Configuration Manager のプライマリ サイトと、プライマリ サイトに接続するクライアントが生成する運用情報を指します。 サイト データは、中央管理サイトにレプリケートされますが、他のプライマリ サイトにはレプリケートされません。 サイト データの例としては、ハードウェア インベントリ データ、ステータス メッセージ、アラート、クエリによって生成されるコレクションがあります。 サイト データは、中央管理サイトと、データの作成元のプライマリ サイトだけで見ることができます。 サイト データは、その作成元のプライマリ サイトでのみ変更できます。
すべてのサイト データが中央管理サイトにレプリケートされます。したがって、中央管理サイトが、階層全体の管理とレポート作成を行える場所になります。
Configuration Manager SP1 以降で利用可能な制御を使用して、サイト間のデータベース レプリケーション リンクを構成し、各サイト データベースの制御を構成する詳細については、以下のセクションの情報をご覧ください。 これらの制御は、データベース レプリケーションで生成されるネットワーク トラフィックの制御と監視に役立ちます。
データベース レプリケーション リンク
新しいサイトを階層にインストールすると、Configuration Manager によって、2 つのサイト間のデータベース レプリケーション リンクが自動的に作成されます。 新しいサイトから親サイトに接続するリンクが 1 つ作成されます。
Configuration Manager SP1 以降、各データベース レプリケーション リンクで、レプリケーション リンク間のデータの転送を制御する構成がサポートされます。 各レプリケーション リンクは、個別の構成をサポートします。 データベース レプリケーション リンクの制御には、次の項目が含まれます。
分散ビューを使用して、プライマリ サイトから中央管理サイトへの、選択したサイト データのレプリケーションを停止し、中央管理サイトで、プライマリ サイトのデータベースから直接このデータにアクセスできるようにする
選択したサイト データを、子プライマリ サイトから中央管理サイトに転送する時間をスケジュール設定する
データベース レプリケーション リンクが低下状態になった、または、失敗したと判断するための設定を定義する
失敗したレプリケーション リンクのアラートを生成するタイミングを構成する
Configuration Manager で、レプリケーション リンクを使用したレプリケーション トラフィックに関するデータを要約する頻度を指定する。 このデータはレポートに使用されます。
データベース レプリケーション リンクを構成するには、Configuration Manager コンソールで、[データベース レプリケーション] ノードから、リンクのプロパティを編集します。 このノードは、[監視] ワークスペースに表示されます。Configuration Manager SP1 以降、このノードは、[管理] ワークスペースの [階層の構成] ノードにも表示されます。 レプリケーション リンクは、レプリケーション リンクの親サイトまたは子サイトから編集できます。
.jpeg "System_CAPS_tip") ヒント |
|---|
データベース レプリケーション リンクは、いずれかのワークスペースの [データベースのレプリケーション] ノードから編集できます。 [監視] ワークスペースの [データベースのレプリケーション] ノードを使用すると、レプリケーション リンクのデータベースのレプリケーションのステータスを表示したり、データベースのレプリケーションに関する問題を調査する際に役立つ、レプリケーション リンク アナライザーにアクセスしたりできます。 |
レプリケーション リンクの構成方法については、「サイト データベース レプリケーションの制御」をご覧ください。 レプリケーションの監視方法の詳細については、「データベース レプリケーション リンクとレプリケーション ステータスの監視方法」トピックの「Configuration Manager サイトと階層の監視」セクションをご覧ください。
データベース レプリケーション リンクの計画を立てる詳細については、以下のセクションの情報をご覧ください。
分散ビュー使用の計画
System Center 2012 Configuration Manager SP1 以降:
分散ビューを使用すると、中央管理サイトでサイト データを選択し、子プライマリ サイトのデータベースから直接、そのサイト データにアクセスできます。 この直接アクセスにより、対象のサイト データを、プライマリ サイトから中央管理サイトにレプリケートする必要がなくなります。 各レプリケーション リンクは他のレプリケーション リンクから独立しているため、選択したレプリケーション リンクでのみ分散ビューを有効にできます。 分散ビューは、プライマリ サイトとセカンダリ サイトの間ではサポートされていません。
分散ビューには、次の利点があります。
中央管理サイトとプライマリ サイトで、データベース変更の処理のための CPU 負荷が軽減される
ネットワーク経由で中央管理サイトに転送されるデータ量が低減される
中央管理サイトのデータベースをホストする SQL Server のパフォーマンスが向上する
中央管理サイトのデータベースで使用されるディスク領域が低減される
プライマリ サイトがネットワーク上で中央管理サイトの近接位置にあり、2 つのサイトが常に動作し、常にネットワークに接続されている場合に、分散ビューの使用を検討します。 これは、分散ビューにより、選択したデータのレプリケーションをサイト間で実行する代わりに、各サイトの SQL Server 間で直接接続をするためです。 この直接接続は、中央管理サイトでこのデータに対する要求が行われるたびに実行されます。 通常、分散ビューで有効にするデータの要求は、レポートまたはクエリの実行、リソース エクスプローラーでの情報の表示、サイト データに基づく規則が含まれるコレクションのコレクション評価によって行われます。
既定では、分散ビューは各レプリケーション リンクに対して無効です。 分散ビューをレプリケーション リンクに対して有効にする場合、そのリンクで中央管理サイトにレプリケートしないサイト データを選択し、中央管理サイトで、リンクを共有する子プライマリ サイトのデータベースからの、このデータへの直接アクセスを有効にします。 分散ビューでは、次の種類のサイト データを構成できます。
クライアントからのハードウェア インベントリ データ
クライアントからのソフトウェア インベントリおよび使用状況データ
クライアント、プライマリ サイト、すべてのセカンダリ サイトからのステータス メッセージ
運用上、分散ビューは、Configuration Manager コンソールまたはレポートでデータを表示する管理ユーザーにとって不可視です。 分散ビューに対して有効にされているデータが要求されると、中央管理サイトのデータベースをホストする SQL Server は、子プライマリ サイトの SQL Server に直接アクセスして、情報を取得します。 たとえば、中央管理サイトで Configuration Manager コンソールを使用して、2 つのサイトに対してハードウェア インベントリに関する情報を要求し、一方のサイトでのみ、分散ビューに対するハードウェア インベントリが有効にされているとします。 分散ビューが構成されていないサイトからのクライアントのインベントリ情報は、中央管理サイトのデータベースから取得されます。 分散ビューが構成されているサイトからのクライアントのインベントリ情報は、子プライマリ サイトのデータベースからアクセスされます。 この情報は、ソースの区別なく、Configuration Manager コンソールに表示されます。
分散ビューに対して有効にされているデータの種類がレプリケーション リンクにある限り、子プライマリ サイトは、中央管理サイトにそのデータをレプリケートしません。 あるデータの種類に対して分散ビューをオフにすると、子プライマリ サイトは、通常のデータ レプリケーションの一環として、そのデータの中央管理サイトへのレプリケーションを再開します。 ただし、このデータが中央管理サイトで利用可能になるには、このデータが含まれるレプリケーション グループが、プライマリ サイトと中央管理サイト間で再初期化される必要があります。 同様に、分散ビューが有効にされたプライマリ サイトをアンインストールした後、分散ビューが有効にされていたデータに中央管理サイトでアクセスするには、中央管理サイトでデータの再初期化を完了する必要があります。
.jpeg "System_CAPS_important") 重要 |
|---|
階層内の任意のレプリケーション リンクで分散ビューを使用する場合、いずれかのプライマリ サイトをアンインストールする前に、すべてのレプリケーション リンクで分散ビューを無効にする必要があります。 詳細については、「分散ビューが構成されたプライマリ サイトのアンインストール」トピックの「Configuration Manager のサイトのインストールと階層の作成」セクションを参照してください。 |
分散ビューの前提条件と制限
分散ビューの前提条件と制限は次のとおりです。
中央管理サイトとプライマリ サイトの両方で、同じバージョンの Configuration Manager を実行し、最小バージョンの SP1 が適用されている必要があります。
分散ビューは、中央管理サイトとプライマリ サイト間のレプリケーション リンクでのみサポートされます。
中央管理サイトで使用できるインストール済みの SMS プロバイダーのインスタンスは 1 つだけで、そのインスタンスは、サイト データベース サーバーにインストールされている必要があります。 これは、中央管理サイトの SQL Server で子プライマリ サイトの SQL Server へのアクセスを有効にするために必要な Kerberos 認証のサポートに必要です。 子プライマリ サイトの SMS プロバイダーに制限はありません。
中央管理サイトにインストールできる SQL Server Reporting Services ポイントは 1 つだけで、サイト データベース サーバーにある必要があります。 これは、中央管理サイトの SQL Server で子プライマリ サイトの SQL Server へのアクセスを有効にするために必要な Kerberos 認証のサポートに必要です。
サイト データベースは、SQL Server クラスターでホストできません。
中央管理サイトのデータベース サーバーのコンピューター アカウントには、プライマリ サイトのサイト データベースに対する Read アクセス許可が必要です。
分散ビューと、データをレプリケートできるスケジュールは、データベース レプリケーション リンクで相互に排他的な構成です。
データベース レプリケーション リンクのサイト データの転送スケジュールを計画する
System Center 2012 Configuration Manager SP1 以降:
子プライマリ サイトから中央管理サイトへのサイト データのレプリケートに使用されるネットワーク帯域幅を制御するには、レプリケーション リンクを使用する時間をスケジュールし、異なる種類のサイト データをレプリケートする時間を指定します。 プライマリ サイトで、ステータス メッセージ、インベントリ、使用状況データをレプリケートする時間を制御できます。 セカンダリ サイトからのデータベース レプリケーション リンクでは、サイト データのスケジュールはサポートされません。 グローバル データの転送はスケジュールできません。
データベース レプリケーション リンクのスケジュールを構成する場合、プライマリ サイトから中央管理サイトへの、選択したサイト データの転送を制限できます。また、異なる種類のサイト データをレプリケートする時間を複数構成できます。
Configuration Manager サイト間のネットワーク帯域幅の使用を制御する方法の詳細については、このトピックの「サイト間の通信で使用されるネットワーク帯域幅の制御」セクションをご覧ください。
データベース レプリケーション トラフィックの概要作成を計画する
System Center 2012 Configuration Manager SP1 以降:
Configuration Manager SP1 以降、各サイトは、サイトを含むデータベース レプリケーション リンクを通過するネットワーク トラフィックに関するデータの概要を定期的に作成します。 この概要データは、データベース レプリケーションのレポートに使用されます。 レプリケーション リンクの両方のサイトは、レプリケーション リンクを通過するネットワーク トラフィックの概要を作成します。 データの概要作成は、サイト データベースをホストする SQL Server で実行されます。 データの概要作成が完了した後で、この情報は、グローバル データとして他のサイトにレプリケートされます。
既定では、概要作成は 15 分ごとに実行されます。 データベース レプリケーション リンクのプロパティにある [概要の作成間隔] を編集して、ネットワーク トラフィックの概要作成の頻度を変更できます。 概要作成の頻度は、データベース レプリケーションに関するレポートに表示される情報に影響します。 この間隔は、5 分から 60 分の間で変更できます。 概要作成の頻度を増やすと、レプリケーション リンクの各サイトの SQL Server での処理負荷が増加します。
データベース レプリケーションのしきい値を計画する
データベース レプリケーションのしきい値は、データベース レプリケーション リンクのステータスを「低下」または「失敗」としてレポートする基準を定義します。 既定では、連続する 12 回の試行中にレプリケーションの完了に失敗したレプリケーション グループが 1 つある場合に、リンクは「低下」と設定されます。連続する 24 回の試行中にいずれかのレプリケーション グループがレプリケーションに失敗した場合、「失敗」と設定されます。
Configuration Manager SP1 以降、カスタム値を指定して、Configuration Manager でリンクを「低下」または「失敗」としてレポートする基準を調整できます。Configuration Manager SP1 より前では、このしきい値を調整できません。Configuration Manager でデータベース レプリケーション リンクの各状態をレポートする基準を調整すると、データベース レプリケーション リンク全体のデータベース レプリケーションの正常性を正確に監視するのに役立ちます。
1 つまたは複数のレプリケーション グループがレプリケーションに失敗したときに、その他のレプリケーション グループが正常にレプリケートできることもあるため、最初に低下のステータスがレポートされたときに、レプリケーション リンクのレプリケーション ステータスを確認します。 特定のレプリケーション グループで繰り返し遅延があり、遅延によって問題が発生していない場合、または、サイト間のネットワーク リンクの帯域幅が少ない場合、リンクの低下または失敗のステータスを判断する再試行値の変更を検討します。 リンクを低下または失敗に設定するまでの再試行回数を増やすと、既知の問題に対して誤った警告が通知されなくなり、リンクのステータスを正確に追跡できます。
また、各レプリケーション グループのレプリケーションの同期間隔を検討して、そのグループのレプリケーションの実行頻度を把握する必要があります。 [監視] ワークスペースの [データベースのレプリケーション] ノードの [レプリケーションの詳細] タブで、レプリケーション グループの [同期間隔] を確認できます。
レプリケーション ステータスの表示方法を含む、データベース レプリケーションの監視方法の詳細については、「データベース レプリケーション リンクとレプリケーション ステータスの監視方法」トピックの「Configuration Manager サイトと階層の監視」セクションをご覧ください。
データベース レプリケーションのしきい値の構成については、「サイト データベース レプリケーションの制御」をご覧ください。
サイト データベース レプリケーションの制御
System Center 2012 Configuration Manager SP1 以降:
各サイト データベースでは、データベースのレプリケーションに使用するネットワーク帯域幅を制御する構成がサポートされています。 これらの構成は、設定を構成したサイト データベースにのみ適用され、他サイトへのデータベースのレプリケーションによって、サイトがデータをレプリケートするときに常に使用されます。
各サイト データベース レプリケーションの制御には、次の項目が含まれます。
Configuration Manager が SQL Server Service Broker で使用するポートを変更する
レプリケーション エラーにより、サイトでのサイト データベースのコピーの再初期化をトリガーするまでの待機時間を構成する
データベース レプリケーションによりレプリケートしたデータを圧縮するように、サイト データベースを構成する。 データは、サイト間の転送のみを目的として圧縮され、両サイトのサイト データベースへの保存を目的としていません。
サイト データベースのレプリケーション制御を構成するには、Configuration Manager コンソールで、[データベース レプリケーション] ノードから、サイト データベースのプロパティを編集します。 このノードは、[管理] ワークスペースの [階層の構成] と、[監視] ワークスペースに表示されます。 サイト データベースのプロパティを編集するには、サイト間のレプリケーション リンクを選択し、[親データベースのプロパティ] または [子データベースのプロパティ] を開きます。
| ヒント |
|---|
データベース レプリケーションの制御は、いずれかのワークスペースの [データベースのレプリケーション] ノードから編集できます。 ただし、[監視] ワークスペースの [データベースのレプリケーション] ノードを使用すると、レプリケーション リンクのデータベースのレプリケーションのステータスを表示したり、レプリケーションに関する問題を調査する際に役立つ、レプリケーション リンク アナライザーにアクセスしたりできます。 |
データベース レプリケーションの制御を構成する方法の詳細については、「データベースのレプリケーションの制御を構成する」をご覧ください。 レプリケーションを監視する方法の詳細については、「サイト データベースのレプリケーションを監視する」をご覧ください。
Configuration Manager のサイト内での通信の計画
Configuration Manager のサイトごとにサイト サーバーがあり、サイト システムの役割をホストする追加のサイト システム サーバーを 1 つまたは複数配置することができます。Configuration Manager では、各サイト システム サーバーが Active Directory ドメインのメンバーである必要があります。Configuration Manager ではコンピューター名やドメイン メンバーシップの変更はサポートされませんが、コンピューターでサイト システムが保持されます。
Configuration Manager のサイト システムやコンポーネントが、ネットワークを介して、他のサイト システムや Configuration Manager コンポーネントと通信するときは、サーバー メッセージ ブロック (SMB)、HTTP、HTTPS のいずれかを使用します。 通信方法は、サイトの構成によって異なります。 サイト サーバーから配布ポイントへの通信を除き、サイト内のサーバー同士がいつ通信するかは決まっておらず、ネットワーク帯域幅も制御できません。 サイト システム間の通信は制御できないので、ネットワーク接続が良好で高速な場所にサイト システム サーバーを設置してください。
サイト サーバーから配布ポイントへのコンテンツの転送を管理する方法は、次のとおりです。
配布ポイントで使用するネットワーク帯域幅とスケジュールを構成します。 この構成は、サイト間通信のアドレスの構成とよく似ています。通常、リモート ネットワークへのコンテンツの転送が、使用可能な帯域幅に大きく影響する場合に、別の Configuration Manager サイトをインストールする代わりに、この構成を行います。
配布ポイントを、事前設定済み配布ポイントにすることができます。 配布ポイント サーバーに手動で配置したコンテンツを使用できるので、ネットワークを介してコンテンツ ファイルを転送する必要がなくなります。
ネットワーク帯域幅に関する考慮事項の詳細については、「配布ポイントのネットワーク帯域幅に関する考慮事項」の「Configuration Manager のコンテンツ管理の計画」をご覧ください。
Configuration Manager のクライアント接続の計画
Configuration Manager クライアントと管理対象デバイスは、サイト システムの役割などの Configuration Manager インフラストラクチャ、DNS や Active Directory ドメイン サービスなどのドメイン インフラストラクチャ、インターネット上のサービスをホストするコンピューターと通信します。
クライアント通信を計画する場合は、次のことを考慮してください。
通信シナリオ |
説明 |
|---|---|
クライアントによって開始される通信 |
クライアントは以下に対する通信を開始します。
|
サービスの場所 |
サービスの場所は、クライアントが割り当てられたサイトを識別し、動的に管理ポイントを検索する際に使用する方法です。 管理ポイントはクライアントの主要接続ポイントであり、以下の場合に使用されます。
|
Windows ベースのクライアントによる通信を計画する場合、以下のセクションの情報をご覧ください。
Configuration Manager SP1 以降、Linux および UNIX を実行しているクライアントを管理できます。 Linux および UNIX を実行しているクライアントは、ワークグループのクライアントとして動作します。 ワークグループに含まれるコンピューターのサポートの詳細については、このトピックの「Configuration Manager のフォレスト間通信の計画」をご覧ください。 Linux および UNIX を実行するクライアントの通信の詳細については、「Linux や UNIX サーバーを信頼するフォレスト間での通信の計画」トピックの「Linux および UNIX サーバー用のクライアント展開の計画」セクションをご覧ください。
クライアントによって開始される通信
クライアントはサイト システムの役割、Active Directory ドメイン サービス、およびオンライン サービスへの通信を開始します。 これらの通信を有効にするには、ファイアウォールがクライアントと通信のエンドポイント間のネットワーク トラフィックを許可する必要があります。 エンドポイントは次のとおりです。
管理ポイント。クライアントはここからクライアント ポリシーをダウンロードします
配布ポイント。クライアントはここからコンテンツをダウンロードします。
ソフトウェアの更新ポイント
次の追加のサイト システムの役割 (機能に固有のタスクごと):
アプリケーション カタログ Web サイト ポイント
Configuration Manager ポリシー モジュール (NDES)
フォールバック ステータス ポイント
状態移行ポイント
システム正常性検証ツール ポイント
さまざまなドメイン サービス。Active Directory ドメイン サービスおよび DNS (サービスの場所として) など。
Microsoft Update。マルウェア対策保護を維持します。
クラウドベースのリソース。Microsoft Update、または Microsoft Azure および Microsoft Intune など (Configuration Manager でこれらのクラウドベース サービスを使用する場合)。
これらのエンドポイントへの通信時に、クライアントで使用されるポートとプロトコルの詳細については、「Configuration Manager で使用されるポートのテクニカル リファレンス」をご覧ください。
クライアントは、サイト システムの役割と通信する前に、サービスの場所を使用して、クライアントのプロトコル (HTTP または HTTPS) をサポートするサイト システムの役割を検索します。 既定では、クライアントは次のように使用可能な最も安全な方法を使用します。
HTTPS を使用するには、公開キー基盤 (PKI) を導入し、クライアントとサーバーに PKI 証明書をインストールする必要があります。 証明書の使用方法については、「Configuration Manager での PKI 証明書の要件」をご覧ください。
インターネット インフォメーション サービス (IIS) を使用し、クライアントからの通信をサポートするサイト システムの役割を展開する場合は、そのサイト システムにクライアントが接続するときに HTTP と HTTPS のどちらを使用するかを指定する必要があります HTTP を使用する場合は、署名と暗号化のオプションについても検討してください。 詳細については、「署名と暗号化の計画」をご覧ください。
次のサイト システムの役割とサービスではクライアントからの HTTPS 通信をサポートします。
アプリケーション カタログ Web サイト ポイント
Configuration Manager ポリシー モジュール
配布ポイント (クラウドベースの配布ポイントでは HTTPS が必要)
管理ポイント
ソフトウェアの更新ポイント
状態移行ポイント
上記の情報に加え、信頼されていない場所でクライアントを計画する場合は、インターネットや信頼されていないフォレストからのクライアント通信に関する考慮事項をご覧ください。
サービスの場所とクライアントが割り当てられた管理ポイントを特定する方法
クライアントは、最初にインストールされ、サイトに割り当てられたときに割り当てられたサイトの既定の管理ポイントを特定します。 クライアントがそのサイトの既定の管理ポイントを見つけると、その管理ポイントがクライアントの割り当てられた管理ポイントになります。 この割り当てはクライアントによって特定されます。
System Center 2012 R2 Configuration Manager の累積更新プログラム 3 以降では、管理ポイントのアフィニティを使用して、1 つ以上の特定の管理ポイントを使用するようにクライアントを構成できます。
System Center 2012 Configuration Manager SP2 以降、優先管理ポイントを使用できます。 優先管理ポイントは、配布ポイントや状態移行ポイントを境界グループに関連付けるのと同じような方法で、境界グループにサイト システム サーバーとして関連付けられた管理ポイントです。 階層の優先管理ポイントを有効にすると、クライアントは、割り当て済みサイトの管理ポイントを使用するときに、割り当て済みサイトの他の管理ポイントを使用する前に優先管理ポイントを使用しようとします。
クライアントに管理ポイントが割り当てられた後、クライアントは、サイトの既定の管理ポイントの変更に備えて、定期的にサイトの既定の管理ポイントのサービスの場所の要求を行います。
クライアントは、使用する管理ポイントの識別が必要になるたびに、WMI にローカルに格納する既知の管理ポイントのリスト (管理パック リストともいう) を確認します。 クライアントはインストール時に最初の管理パック リストを作成してから、階層内の各管理ポイントの詳細で定期的にリストを更新します。
クライアントはその管理パック リストで有効な管理ポイントを見つけられない場合、使用できる管理ポイントが見つかるまで、次のサービスの場所のソースを順に検索します。
管理ポイント
Active Directory ドメイン サービス
DNS
WINS
クライアントは、正常に管理ポイントが見つかり、それに接続した後で、階層で使用可能な管理ポイントの現在のリストをダウンロードして、そのローカル リストを更新します。 これは、ドメインに参加しているクライアントと参加していないクライアントに平等に適用されます。
たとえば、インターネット上にある Configuration Manager クライアントがインターネットベースの管理ポイントに接続した場合、管理ポイントで、サイト内の使用可能なインターネットベースの管理ポイントのリストがそのクライアントに送信されます。 同様に、ドメインに参加しているクライアントまたはワークグループ内のクライアントは、使用できる管理ポイントのリストも受信します。
インターネット用に構成されていないクライアントには、インターネットのみに接続する管理ポイントが提供されません。
インターネット用に構成されたワークグループ クライアントのみが、インターネットに接続する管理ポイントと通信します。
各サービスの場所のソース関する情報を次に示します。
管理パック リスト
クライアント管理パック リストは、クライアントが以前に特定した管理ポイントの優先順位リストであるため、サービスの場所のソースの優先ソースです。 このリストは、クライアントがリストを更新する際に、ネットワークの場所に基づいてクライアントごとにソートされてから、WMI にローカルに保存されます。
最初の管理パック リストの作成
クライアントのインストール時に、クライアントの最初の管理パック リストを作成するために次の規則が使用されます。
最初のリストにはクライアントのインストール時に指定される管理ポイントが含まれます (SMSMP= または /MP オプションを使用する場合)。
クライアントは Active Directory ドメイン サービス (AD DS) に発行された管理ポイントを照会します。 AD DS から特定されるようにするには、管理ポイントがクライアントの割り当てられたサイトにあり、クライアントと同じ製品バージョンである必要があります。
クライアントのインストール時に管理ポイントが指定されておらず、Active Directory スキーマが拡張されていない場合、クライアントは発行された管理ポイントについて DNS と WINS を確認します。
最初のリストの作成時には、階層内のいくつかの管理ポイントに関する情報が認識されていない場合があります。
管理ポイント リストの整理
クライアントは、次の分類を使用して管理ポイントのリストを整理します。
プロキシ: プロキシ管理ポイントは、セカンダリ サイトにおける管理ポイントです。
ローカル: サイト境界で定義されている、クライアントの現在のネットワークの場所に関連付けられているすべての管理ポイント。
クライアントが複数の境界グループに属している場合、ローカル管理ポイントのリストは、クライアントの現在のネットワークの場所を含むすべての境界の和集合から特定されます。
通常、ローカル管理ポイントは、クライアントがその境界グループを提供する管理ポイントがある別のサイトに関連付けられているネットワーク上にない限り、クライアントの割り当て済み管理ポイントのサブセットです。
割り当て済み: クライアントの割り当て済みサイトのサイト システムであるすべての管理ポイント。
System Center 2012 Configuration Manager SP2 以降、優先管理ポイントを使用できます。 優先管理ポイントは、クライアントの割り当て済みサイトの管理ポイントであり、クライアントがサイト システム サーバーを見つけるために使用している境界グループに関連付けられています。
サイトの、境界グループに関連付けられていない管理ポイントや、クライアントの現在のネットワークの場所に関連付けられた境界グループに含まれていない管理ポイントは、優先管理ポイントとは見なされず、クライアントが利用可能な優先管理ポイントを識別できないときに使用されます。
使用する管理ポイントの選択
一般的な通信では、クライアントは、クライアントのネットワークの場所に基づいて、次の順序で分類からの管理ポイントの使用を試みます。
プロキシ
ローカル
割り当て済み
ただし、他の通信がプロキシまたはローカル管理ポイントに送信される場合でも、クライアントは登録メッセージと特定のポリシー メッセージに対して常に割り当て済み管理ポイントを使用します。
各分類 (プロキシ、ローカル、または割り当て済み) 内で、クライアントは、次の優先順で管理ポイントの使用を試みます。
信頼されているフォレストまたはローカル フォレストで HTTPS 対応 (HTTPS 通信用にクライアントが構成されている場合)
信頼されているフォレストまたはローカル フォレスト以外で HTTPS 対応 (HTTPS 通信用にクライアントが構成されている場合)
信頼されているフォレストまたはローカル フォレストで HTTP 対応
信頼されているフォレストまたはローカル フォレスト以外で HTTP 対応
優先順にソートされた一連の管理ポイントから、クライアントはリストの最初の管理ポイントの使用を試みます。
管理ポイントのソートされたリストはランダムであり、順序付けできません。
リストの順序は、クライアントがその管理ポイント リストを更新するたびに変わる場合があります。
クライアントは、最初の管理ポイントとの接続を確立できない場合、優先されていない管理ポイントを試す前に分類内の各優先管理ポイントを試すことで、リストの連続した各管理ポイントを試します。 クライアントは、分類内の管理ポイントと正常に通信できない場合、使用する管理ポイントが見つかるまで、次の分類の優先管理ポイントとの通信を試みます。
クライアントは、管理ポイントとの通信を確立した後、次の状態になるまでその同じ管理ポイントを使用し続けます。
25 時間後に、クライアントは使用する新しい管理ポイントをランダムに選択します。
クライアントは、10 分間に管理ポイントとの通信を 5 回試行して通信できなかった時点で、使用する新しい管理ポイントを選択します。
Active Directory
ドメインに参加しているクライアントは、サービスの場所として Active Directory ドメイン サービス (AD DS) を使用できます。 この場合、データを Active Directory に発行するためのサイトが必要になります。
次のすべての条件に該当する場合、クライアントは Active Directory ドメイン サービスをサービスの場所として使用できます。
System Center 2012 Configuration Manager 用に Active Directory スキーマが拡張されているか、Configuration Manager 2007 用に拡張された。
Active Directory フォレストが発行用に構成されており、Configuration Manager サイトが発行するように構成されている。
クライアント コンピューターが Active Directory ドメインのメンバーであり、グローバル カタログ サーバーにアクセスできる。
クライアントは、AD DS からサービスの場所として使用する管理ポイントを見つけられない場合、DNS の使用を試みます。 ドメインに参加しているクライアントは、サービスの場所として AD DS を使用できます。 この場合、データを Active Directory に発行するためのサイトが必要になります。
DNS
イントラネット上のクライアントは、サービスの場所として DNS を使用できます。 この場合、DNS に管理ポイントに関する情報を発行するためのサイトが階層内に少なくとも 1 つは必要になります。
次の条件のいずれかに該当する場合は、サービスの場所として DNS の使用を検討してください。
Active Directory ドメイン サービス スキーマが Configuration Manager 用に拡張されていない。
イントラネットのクライアントが、Configuration Manager からデータを発行できないフォレストに配置されている。
クライアントがワークグループ コンピューターにあり、インターネット専用クライアント管理向けに構成されていない。 (インターネット用に構成されたワークグループ クライアントはインターネットに接続する管理ポイントとのみ通信し、サービスの場所として DNS を使用しません。)
サイトで DNS に管理ポイントのサービスの場所レコードを発行する場合:
発行は、イントラネットからのクライアント接続を受け入れる管理ポイントにのみ適用できます。
発行時に、管理ポイント コンピューターの DNS ゾーンにサービスの場所リソース レコード (SRV RR) が追加されます。 DNS には、そのコンピューターに対応するホスト エントリがなければなりません。
既定では、ドメインに参加しているクライアントは、DNS でクライアントのローカル ドメインの管理ポイント レコードを検索します。 DNS に発行された管理ポイント情報があるドメインのドメイン サフィックスを指定するクライアント プロパティを構成することができます。
クライアントの DNS サフィックスのプロパティを構成する方法については、「Configuration Manager で DNS 発行を使用して、管理ポイントを検出するようにクライアント コンピューターを構成する方法」をご覧ください。
クライアントは、DNS からサービスの場所として使用する管理ポイントを見つけられない場合、WINS の使用を試みます。
管理ポイントを DNS に発行する
管理ポイントを DNS に発行するには、次の 2 つの条件を満たさなければなりません。
DNS サーバーに、バージョン 8.1.2 以上の BIND がインストールされ、サービスの場所のリソース レコードを取り扱うことができる。
Configuration Manager 内の管理ポイント用に指定されたイントラネット FQDN に DNS のホスト エントリ (たとえば A レコード) がある。
| 重要 |
|---|
Configuration Manager の DNS 発行では、不整合のある名前空間はサポートされません。 不整合のある名前空間が存在する場合、手動で DNS に管理ポイントを発行するか、このセクションで説明している別のサービス検出方法のいずれかを使用します。 |
DNS サーバーが自動更新をサポートしている場合は、イントラネットの管理ポイントが DNS に自動的に発行されるように Configuration Manager を構成することも、これらのレコードを DNS に手動で発行することもできます。 DNS に管理ポイントが発行されると、そのイントラネット FQDN とポート番号がサービスの場所 (SRV) レコードで公開されます。 サイトの管理ポイント コンポーネント プロパティで、サイトでの DNS 発行を構成します。 詳細については、「Configuration Manager のサイト コンポーネントの構成」をご覧ください。
DNS サーバーが自動更新をサポートしていないが、サービスの場所レコードをサポートする場合は、管理ポイントを DNS に手動で発行することができます。 このためには、サービスの場所リソース レコード (SRV RR) を DNS で手動で指定する必要があります。
Configuration Manager では、RFC 2782 に従って、次の形式でサービスの場所レコードを指定します。
_Service._Proto.Name TTL Class SRV Priority Weight Port Target
Configuration Manager に管理ポイントを発行するには、次の値を指定します。
_Service: _mssms_mp*_<サイト コード>* と入力します。<サイト コード> は、管理ポイントのサイト コードです。
._Proto: ._tcp と指定します。
.Name: 管理ポイントの DNS サフィックスを入力します (例: contoso.com)。
TTL: 14400 (4 時間) と指定します。
Class: IN と指定します (RFC 1035 に準拠)。
Priority: このフィールドは、Configuration Manager では使用しません。
Weight: このフィールドは、Configuration Manager では使用しません。
Port: 管理ポイントで使用されるポート番号を指定します。たとえば、HTTP の場合は 80、HTTPS の場合は 443 です。
[!メモ]
SRV レコードのポートは、管理ポイントで使用する通信ポートと一致する必要があります。 既定では、これは HTTP 通信の場合は 80、HTTPS 通信の場合は 443 になります。
Target: 管理ポイント サイトの役割が構成されているサイト システムに指定されているイントラネット FQDN を入力します。
Windows Server DNS を使用する場合、次の手順に従って、イントラネット管理ポイントにこの DNS レコードを入力します。 DNS の別の実装を使用する場合、このセクションのフィールド値に関する情報を参考にし、その DNS のドキュメントを参照して、この手順を適合させます。
自動発行を構成するには
-
Configuration Manager コンソールで、[管理] > [サイトの構成] > [サイト] の順に展開します。
-
サイトを選択してから、[サイト コンポーネントの構成] をクリックします。
-
[管理ポイント] を選択します。
-
発行する管理ポイントを選択します。 (この選択は、AD DS および DNS への発行に適用されます。)
-
チェックボックスを選択して DNS に発行します。
- このダイアログ ボックスでは、発行する管理ポイントと、DNS への発行を選択できます。 - このダイアログ ボックスでは、AD DS への発行は構成されません。
Windows Server の DNS に手動で管理ポイントを発行するには
-
Configuration Manager コンソールで、サイト システムのイントラネット FQDN を指定します。
-
DNS 管理コンソールで、管理ポイント コンピューターの DNS ゾーンを選択します。
-
サイト システムのイントラネット FQDN のホスト レコード (A または AAAA) があることを確認します。 このレコードが存在しない場合は作成します。
-
[その他の新しいレコード] オプションを使用して、[リソース レコードの種類] ダイアログ ボックスの [サービスの場所 (SRV)] をクリックして、[レコードの作成] をクリックし、次の情報を入力して、[完了] をクリックします。
- **Domain**: 必要に応じて、管理ポイントの DNS サフィックスを入力します (例: **contoso.com**)。 - **Service**: **\_mssms\_mp***\_\<サイト コード\>* と入力します。*\<サイト コード\>* は、管理ポイントのサイト コードです。 - **Protocol**: **\_tcp** と入力します。 - **Priority**: このフィールドは、Configuration Manager では使用しません。 - **Weight**: このフィールドは、Configuration Manager では使用しません。 - **Port**: 管理ポイントで使用されるポート番号を指定します。たとえば、HTTP の場合は **80**、HTTPS の場合は **443** です。 <div class="alert"> > [!メモ] > <P>SRV レコードのポートは、管理ポイントで使用する通信ポートと一致する必要があります。 既定では、これは HTTP 通信の場合は <STRONG>80</STRONG>、HTTPS 通信の場合は <STRONG>443</STRONG> になります。</P> </div> - **このサービスを提供しているホスト**: 管理ポイント サイトの役割が構成されているサイト システムに指定されている、イントラネット完全修飾ドメイン名 (FQDN) を入力します。
DNS に発行するイントラネットの管理ポイントごとに、上記の手順を繰り返します。
WINS
他のサービスの場所が見つからない場合は、クライアントは WINS で接続する管理ポイントを探します。
既定では、プライマリ サイトで、HTTP 用に構成されているサイトの最初の管理ポイントと HTTPS 用に構成されている最初の管理ポイントを WINS に発行します。
クライアントが WINS で HTTP 管理ポイントを探さないようにする場合は、クライアントの CCMSetup.exe の Client.msi のプロパティで SMSDIRECTORYLOOKUP=NOWINS と指定します。
クライアントをウェイクアップする方法の計画
Configuration Manager では、必要なソフトウェア (ソフトウェア更新プログラムやアプリケーションなど) をインストールするときにコンピューターをスリープ モードから復帰させるために、従来のウェイクアップ パケットと AMT 電源オン コマンドの 2 つの Wake On LAN テクノロジがサポートされます。
Configuration Manager SP1 以降、ウェイクアップ プロキシ クライアント設定を使用して、従来のウェイクアップ パケット方式を補うことができます。 ウェイクアップ プロキシは、ピアツーピア プロトコルと選択されたコンピューターを使用して、サブネットの他のコンピューターが起動状態かどうかを確認し、必要に応じて起動できます。 サイトで Wake On LAN が構成され、クライアントでウェイクアップ プロキシが構成されている場合、処理は次のようになります。
Configuration Manager SP1 クライアントがインストールされていて、スリープ中ではないサブネットのコンピューターが、サブネットのその他のコンピューターが起動状態かどうかを確認します。 確認は、互いに TCP/IP ping コマンドを 5 秒ごとに送信して行います。
その他のコンピューターから応答がない場合、スリープ中と判断します。 起動状態のコンピューターは、サブネットの管理コンピューターになります。
スリープ以外の理由 (たとえば、電源オフ、ネットワークからの削除、プロキシ ウェイクアップ クライアント設定が適用されていない、など) でコンピューターが応答しない可能性もあるため、毎日ローカル時刻の午後 2 時に、コンピューターにウェイクアップ パケットが送信されます。 応答しないコンピューターは、以降、スリープ状態ではないと判断され、ウェイクアップ プロキシで起動されなくなります。
ウェイクアップ プロキシをサポートするには、サブネットごとに少なくとも 3 台のコンピューターが起動状態である必要があります。 この目的のため、3 台のコンピューターがサブネットのガーディアンのコンピューターとして、無作為に選択されます。 対象のコンピューターは、一定の非アクティブ期間が経過した後でスリープまたはハイバネーションに移行する電源ポリシーが構成されているかどうかに関係なく、起動状態が継続されます。 ガーディアンのコンピューターでは、メンテナンス作業などで発生するシャットダウンまたは再起動のコマンドは実行されます。 シャットダウンまたは再起動が実行された場合、残りのガーディアンのコンピューターは、サブネットに 3 台のガーディアンのコンピューターが存在する状態を維持するため、サブネットの別のコンピューターをウェイク・アップします。
管理コンピューターは、スリープ中のコンピューターへのトラフィックを管理コンピューターにリダイレクトするように、ネットワーク スイッチに通知します。
このリダイレクトは、スリープ状態のコンピューターの MAC アドレスをソース アドレスとして使用するイーサネット フレームをブロードキャストする、マネージャー コンピューターが行います。 これにより、ネットワーク スイッチは、マネージャー コンピューターが配置されているのと同じポートにスリープ状態のコンピューターが移動したかのように動作します。 また、マネージャー コンピューターは、スリープ状態のコンピューターで ARP キャッシュ内のエントリが常に最新の状態になるように、ARP パケットを送信します。 さらに、マネージャー コンピューターは、スリープ状態のコンピューターに代わって ARP 要求に応答し、スリープ状態のコンピューターの MAC アドレスで応答します。
.jpeg "System_CAPS_warning")
警告この処理の間、スリープ状態のコンピューターの IP と MAC 間のマッピングは変更されません。 ウェイクアップ プロキシは、別のネットワーク アダプターで登録されたポートが異なるネットワーク アダプターで使用されていることをネットワーク スイッチに通知することで機能します。 ただし、この動作は MAC フラップと呼ばれ、標準のネットワーク運用では異常となります。 ネットワーク監視ツールには、この動作を検出して、問題が発生したと見なすものもあります。 そのため、ウェイクアップ プロキシを使用すると、これらの監視ツールがアラートを生成したりポートをシャットダウンする可能性があります。
使用するネットワーク監視ツールとサービスで MAC フラップを許可していない場合は、ウェイクアップ プロキシを使用しないでください。
マネージャー コンピューターがスリープ状態のコンピューターの新しい TCP 接続要求を検出し、その要求が、スリープ状態のコンピューターがスリープ状態になる前にリッスンしていたポートに対するものである場合、マネージャー コンピューターはスリープ状態のコンピューターにウェイクアップ パケットを送信してから、このコンピューターへのトラフィックのリダイレクトを停止します。
スリープ状態のコンピューターが、ウェイクアップ パケットを受信して起動します。 送信元コンピューターは接続を自動的に再試行し、コンピューターが起動して応答できるようになります。
ウェイクアップ プロキシには、次の要件と制限があります。
| 重要 |
|---|
別のチームがネットワーク インフラストラクチャとネットワーク サービスを担当している場合は、このチームに通知して、評価期間とテスト期間はこのチームを含めるようにします。 たとえば、802.1X ネットワーク アクセス制御を使用しているネットワークでは、ウェイクアップ プロキシは動作しないため、ネットワーク サービスの中断が生じる可能性があります。 また、ウェイクアップ プロキシのために、一部のネットワーク監視ツールでは、他のコンピューターを起動するトラフィックを検出すると、アラートを生成する可能性があります。 |
サポートされるクライアントは、Windows 7、Windows 8、Windows Server 2008 R2、Windows Server 2012 です。
バーチャル マシンで実行されるゲスト オペレーティング システムはサポートされません。
クライアントで Configuration Manager SP1 を実行しており、クライアント設定を使ってクライアントでウェイクアップ プロキシが有効になっている必要があります。 ウェイクアップ プロキシ処理はハードウェア インベントリに依存しませんが、クライアントでハードウェア インベントリが有効になっており、少なくとも 1 つのハードウェア インベントリが送信されていない限り、クライアントはウェイクアップ プロキシ サービスのインストールをレポートしません。
ネットワーク アダプター (および、場合によっては BIOS) が有効になっており、ネットワーク アダプターにウェイクアップ パケットが構成されている必要があります。 ネットワーク アダプターにウェイクアップ パケットが構成されていない場合や、この設定が無効になっている場合は、Configuration Manager がウェイクアップ プロキシを有効にするクライアント設定を受信すると、この設定が自動的にコンピューターに構成されて有効になります。
コンピューターに複数のネットワーク アダプターがある場合、どのアダプターをウェイクアップ プロキシに使用するのか構成することはできません。アダプターは無作為に選択されます。 ただし、選択されたアダプターは SleepAgent_<ドメイン>@SYSTEM_0.log ファイルに記録されます。
ネットワークで ICMP エコー要求を許可 (少なくともサブネット内) する必要があります。 ICMP Ping コマンドの送信に使用する、5 秒間隔を構成することはできません。
通信は暗号化されず、認証されません。また、IPsec はサポートされません。
次のネットワーク構成はサポートされません。
ポート認証を使用する 802.1X
ワイヤレス ネットワーク
MAC アドレスを特定のポートとバインドするネットワーク スイッチ
IPv6 のみのネットワーク
24 時間未満の DHCP リース期間
セキュリティのベスト プラクティスとして、可能な限り、ウェイクアップ パケットではなく AMT 電源オン コマンドを使用することをお勧めします。 AMT 電源オン コマンドは PKI 証明書を使って通信をセキュリティで保護するため、ウェイクアップ パケットを送信するよりも安全性が高くなるためです。 ただし、AMT 電源オン コマンドを使用するには、Intel AMT 搭載コンピューターをプロビジョニングする必要があります。Configuration Manager で AMT 搭載コンピューターを管理する方法の詳細については、「Configuration Manager の帯域外管理の概要」をご覧ください。
スケジュールに従ってソフトウェアをインストールするときにコンピューターをウェイクアップしたい場合は、各プライマリ サイトで次の 3 つのオプションのいずれかを構成する必要があります。
コンピューターが AMT 電源オン コマンドをサポートしている場合はこのコマンドを使用し、サポートしていない場合はウェイクアップ パケットを使用する
AMT 電源オン コマンドのみを使用する
ウェイクアップ パケットのみを使用する
Configuration Manager SP1 でウェイクアップ プロキシを使用するには、[ウェイクアップ パケットのみを使用する] オプションを選択する必要があるのに加えて、電源管理のウェイクアップ プロキシ クライアント設定も展開する必要があります。
2 つの Wake-on-LAN (WOL) テクノロジ、従来のウェイクアップ パケットと電源オン コマンドの相違点の詳細については、次の表をご覧ください。
テクノロジ |
長所 |
短所 |
|---|---|---|
従来のウェイクアップ パケット |
専用のサイト システムの役割をサイトに追加する必要はありません。 多数のネットワーク アダプターによってサポートされています。 UDP ウェイクアップ パケットは、すばやく送信して処理できるパケットです。 PKI 基盤は必要ありません。 Active Directory ドメイン サービスを変更する必要がありません。 ワークグループ コンピューター、他の Active Directory フォレストのコンピューター、および同じ Active Directory フォレスト内であっても非連続の名前空間を使用しているコンピューターでサポートされています。 |
認証や暗号化を使用しないので、AMT 電源オン コマンドよりも安全性が低くなります。 サブネット向けのブロードキャストで送信すると、スマーフ攻撃を受ける可能性があります。 各コンピューターの BIOS とアダプターを手動で設定しなければならない場合があります。 コンピューターがウェイクアップしたことを確認できません。 ユーザー データグラム プロトコル (UDP) パケットが複数送信され、ネットワークが輻輳する可能性があります。 Configuration Manager SP1 でウェイクアップ プロキシを使用する場合を除き、コンピューターを対話方式で起動することはできません。 コンピューターをスリープ状態に戻すことができません。 管理機能はコンピューターのウェイクアップのみに制限されます。 |
AMT 電源オン コマンド |
業界標準のセキュリティ プロトコルを採用した認証と暗号化を使用するので、従来のウェイクアップ パケットよりも安全性が高くなります。 既存の PKI 環境にも統合でき、セキュリティの制御を製品とは独立させることができます。 中央の 1 か所で、自動セットアップと構成を管理することができます (AMT のプロビジョニング)。 信頼性が高く監査可能な接続で転送セッションを確立できます。 コンピューターを対話式でウェイクアップ (および再起動) できます。 コンピューターの電源を対話式で切断できます。 次のような追加の管理機能があります。
|
サイトに帯域外サービス ポイントと登録ポイントを配置する必要があります。 Intel vPro チップ セットと、サポートされている Intel Active Management Technology (Intel AMT) ファームウェアが搭載されたコンピューターでしか機能しません。 サポートされている AMT のバージョンの詳細については、「」をご覧ください。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty. 転送セッションの確立に時間がかかり、サーバーで処理されるデータと転送されるデータが多くなります。 PKI 展開と特定の証明書を必要とします。 AMT 搭載コンピューターの発行用に作成、構成された Active Directory コンテナーが必要です。 ワークグループのコンピューターや別の Active Directory フォレストにあるコンピューター、同じ Active Directory フォレスト内でも非連続の名前空間を使用しているコンピューターでは機能しません。 AMT のプロビジョニング用に、DNS と DHCP を変更する必要があります。 |
コンピューターをウェイクアップする方法は、AMT 電源オン コマンドを使用できるかどうかと、サイトに割り当てられているコンピューターが Wake ON LAN に対応しているかどうかに基づいて選択してください。 また、上の表にある 2 つのテクノロジの長所と短所も考慮してください。 たとえば、ウェイクアップ パケットは信頼性と安全性に劣ります。一方、電源オン コマンドは、帯域外サービス ポイントのあるサイト システム サーバーとの接続確立に時間がかかり、サーバーによるデータの処理量も多くなります。
| 重要 |
|---|
AMT 搭載コンピューターとの帯域外管理セッションの確立と維持、終了によって、余分なオーバーヘッドが発生します。そのため、電源オン コマンドの使用をテストして、実際の環境で複数のコンピューターをウェイクアップするのにどの程度の時間がかかるか (たとえば、セカンダリ サイトのコンピューターが低速の WAN リンクにある場合など) を見積もってください。 このようなテストを実施することで、スケジュールされた操作の実行時に、AMT 電源オン コマンドで多数のコンピューターを短時間でウェイクアップさせるのが実用的かどうかを判断しやすくなります。 |
従来のウェイクアップ パケットを採用する場合は、サブネット向けのブロードキャスト パケットとユニキャスト パケットのどちらを使用するか、さらにどの UDP ポート番号を使用するかも決める必要があります。 既定では、従来のウェイクアップ パケットは UDP 9 番ポートを使用して送信されます。ただし、介在するルーターとファイアウォールが別のポートをサポートしている場合は、そのポートを選択してセキュリティを強化することができます。
従来のウェイクアップ パケットの場合: Wake-on-LAN のためのユニキャストとサブネット向けブロードキャストの比較
従来のウェイクアップ パケットでコンピューターをウェイクアップする場合は、ユニキャスト パケットとサブネット向けのブロードキャスト パケットのどちらを送信するかを決める必要があります。Configuration Manager SP1 でウェイクアップ プロキシを使用する場合、ユニキャスト パケットを使用する必要があります。 そうでない場合は、どの送信方法を選択するか判断するときに、次の表をご覧ください。
送信方法 |
長所 |
短所 |
|---|---|---|
ユニキャスト |
パケットが、サブネット上のすべてのコンピューターにではなく、1 台のコンピューターに直接送信されるので、サブネット向けのブロードキャストより安全です。 ルーターを再構成しなくてもよい場合があります (ARP キャッシュを構成しなければならない可能性があります)。 サブネット向けのブロードキャスト送信よりも、使用するネットワーク帯域幅が小さくて済みます。 IPv4 と IPv6 でサポートされています。 |
最後に実行された定期ハードウェア インベントリの後で、送信先コンピューターのサブネット アドレスが変更された場合は、ウェイクアップアップ パケットが、そのコンピューターを見つけられなくなります。 UDP パケットを転送するために、スイッチを構成しなければならない場合があります。 ネットワーク アダプターによっては、ユニキャストのウェイクアップ パケットに応答しないスリープ モードを持っている場合があります。 |
サブネット向けブロードキャスト |
コンピューターの IP アドレスが同じサブネット内で頻繁に変わる場合は、ユニキャストよりも成功率が高くなります。 スイッチの再構成は必要ありません。 コンピューターのアダプターのすべてのスリープ モードに対応している可能性が高くなります。これは、元々、サブネット向けブロードキャストが、ウェイクアップ パケットの送信方法だったからです。 |
ユニキャストより安全性が低くなります。これは、攻撃者が偽のソース アドレスからサブネット向けブロードキャスト アドレスに ICMP エコー要求の連続ストリームを送信可能なためです。 この場合は、すべてのホストがそのソース アドレスに応答することになります。 ルーターでサブネット向けブロードキャストが許可される場合は、セキュリティを強化するために、次のように構成することをお勧めします。
サブネット向けのブロードキャストを有効にするために、すべての中間ルーターの再構成が必要になることがあります。 ユニキャストよりも、必要なネットワーク帯域幅が大きくなります。 IPv4 だけがサポートされています。IPv6 はサポートされていません。 |
| 警告 |
|---|
サブネット向けブロードキャストを使用するときは、セキュリティ上のリスクを伴うことに注意してください。攻撃者はソース アドレスを偽装して指定のブロードキャスト アドレスに ICMP (Internet Control Message Protocol) エコーのストリームを連続的に送信し、すべてのホストがそのソース アドレスに応答するよう仕向けることができます。 この種のサービス拒否攻撃のことをスマーフ攻撃といいます。通常、サブネット向けブロードキャストを有効にしないことで防止できます。 |
Configuration Manager のフォレスト間通信の計画
System Center 2012 Configuration Manager では、複数の Active Directory フォレストにまたがるサイトや階層がサポートされます。
また、Configuration Manager では、サイト サーバーと同じ Active Directory フォレストにはないドメイン コンピューターや、ワークグループのコンピューターもサポートされます。
サイト サーバーのフォレストによって信頼されていないフォレストにあるドメイン コンピューターを管理するには、サイト情報をクライアントの Active Directory フォレストに発行するオプションを指定して、信頼されていないフォレストにサイト システムの役割をインストールします。 または、これらのコンピューターを、ワークグループ コンピューターであるかのように管理します。 クライアントのフォレストにサイト システム サーバーをインストールすると、クライアントとサーバー間の通信はクライアントのフォレスト内で保たれ、Configuration Manager が Kerberos 方式でコンピューターを認証できるようになります。 クライアントのフォレストにサイト情報を発行した場合は、クライアントは、利用可能な管理ポイントのリストなどのサイト情報を、割り当てられている管理ポイントからダウンロードする代わりに、Active Directory フォレストから取得できるという利点があります。
[!メモ]
インターネット上のデバイスを管理したい場合は、サイト システム サーバーが Active Directory フォレストにあるときは、インターネット ベースのサイト システムの役割を境界ネットワークにインストールできます。 この場合は、境界ネットワークとサイト サーバーのフォレスト間に双方向の信頼関係は必要ありません。
ワークグループのコンピューターから HTTP でサイト システムの役割に接続する場合は、Configuration Manager がこれらのコンピューターを Kerberos 認証できないので、手動で承認する必要があります。 さらに、配布ポイントからコンテンツを取得できるように、ネットワーク アクセス アカウントも構成する必要があります。 ワークグループのクライアントは、Active Directory ドメイン サービスから情報を取得できないので、管理ポイントを見つける別の方法が必要です。 DNS または WINS にサイト データを発行する方法と、管理ポイントを直接割り当てる方法があります。
クライアントの承認方法については、「クライアントの承認の設定と競合するクライアント レコードの構成」の Configuring Settings for Client Management in Configuration Manager (Configuration Manager のクライアント管理設定の構成) をご覧ください。
ネットワーク アクセス アカウントの構成方法については、「ネットワーク アクセス アカウントの構成」トピックの「Configuration Manager のコンテンツ管理の構成」セクションをご覧ください。
ワークグループ コンピューターにクライアントをインストールする方法については、「ワークグループ コンピューターへの Configuration Manager クライアントのインストール方法」トピックの「Configuration Manager で Windows ベースのコンピューターにクライアントをインストールする方法」セクションをご覧ください。
Configuration Manager では、サイト サーバーとは異なるフォレストで Exchange Server コネクタを使用できます。 この場合は、フォレスト間で正しく名前が解決されるようにして (たとえば、DNS 転送を構成します)、Exchange Server コネクタを構成するときに Exchange Server のイントラネット FQDN を指定します。 詳細については、「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」をご覧ください。
Configuration Manager で管理する範囲が複数の Active Directory ドメインとフォレストにまたがっている場合は、通信方法を計画するときに、次の表の情報を参考にしてください。
通信の種類 |
説明 |
説明 |
|---|---|---|
複数のフォレストにまたがっている階層のサイト間の通信:
|
Configuration Manager では、親サイトのフォレストとの必要な双方向の信頼関係があるリモート フォレストへの子サイトのインストールがサポートされます。 たとえば、必要な信頼関係が成立している限り、プライマリ親サイトとは異なるフォレストにセカンダリ サイトを配置できます。 Kerberos 認証をサポート双方向の信頼関係がない場合、Configuration Manager ではリモート フォレストへの子サイトのインストールがサポートされません。
Configuration Manager のサイト間通信には、データベースのレプリケーションとファイルベースの転送を使用します。 サイトをインストールするときに、目的のサーバーにサイトをインストールするアカウントを指定する必要があります。 このアカウントは、サイト間の通信を確立して管理するときにも使います。 サイトのインストールが完了し、ファイルベースの転送とデータベースのレプリケーションが開始されたら、サイト間の通信で他に必要な構成はありません。 サイトをインストールする方法の詳細については、「サイト サーバーのインストール」トピックの「Configuration Manager のサイトのインストールと階層の作成」セクションをご覧ください。 |
フォレストに双方向の信頼関係がある場合は、Configuration Manager で他に何も構成する必要はありません。 既定では、新しいサイトを別のサイトの子サイトとしてインストールすると、Configuration Manager によって、次の構成が行われます
次の設定も行う必要があります。
|
複数のフォレストにまたがっているサイト内での通信:
|
プライマリ サイトでは、他のフォレスト内のコンピューターへのサイト システムの役割のインストールがサポートされます。 ただし、帯域外サービス ポイントとアプリケーション カタログ Web サービス ポイントの 2 つは例外です。これらはサイト サーバーと同じフォレストにインストールする必要があります。 サイト システムの役割がインターネットからの接続を受け入れる場合は、セキュリティのベスト プラクティスとして、このサイト システムの役割を、フォレストの境界によってサイト サーバーが保護される場所 (境界ネットワークなど) にインストールすることをお勧めします。 信頼されないフォレスト内のコンピューターにサイト システムの役割をインストールする場合:
信頼されていないフォレストでサイト システムの役割を使用する場合は、サイト サーバーがデータの転送を開始する場合でも、ファイアウォールがネットワーク トラフィックを許可する必要があります。 さらに、次のサイト システムの役割ではサイト データベースに直接アクセスする必要があります。 そのため、ファイアウォールは、信頼されていないフォレストからサイトの SQL Server への適用可能なトラフィックを許可する必要があります。
詳細については、「Configuration Manager で使用されるポートのテクニカル リファレンス」をご覧ください。 |
管理ポイントと登録ポイントのサイト システムの役割は、サイト データベースに接続します。 既定では、これらのサイト システムをインストールするときに、Configuration Manager が新しいサイト システム サーバーのコンピューター アカウントを接続アカウントとして構成し、適切な SQL Server データベースの役割にアカウントを追加します。 これらのサイト システムの役割を信頼されていないドメインにインストールする場合は、サイト システムの役割の接続アカウントを構成し、サイト システムの役割がデータベースから情報を取得できるようにする必要があります。 これらの接続アカウントにドメイン ユーザー アカウントを指定する場合は、そのアカウントに、サイトの SQL Server データベースへの適切なアクセス権があることをご確認ください。
サイト サーバーとは別のフォレストにサイト システムの役割を配置する場合は、次のことも検討してください。
|
クライアントがそのサイト サーバーと同じ Active Directory フォレストにない場合のクライアントとサイト システムの役割間の通信 |
Configuration Manager では、サイト サーバーと同じフォレストにないクライアントに対する次のシナリオがサポートされます。
|
ドメイン コンピューターのクライアントは、そのサイト情報が Active Directory フォレストに発行されていると、Active Directory ドメイン サーバーをサービスの場所として使用することができます。 サイト情報を別の Active Directory フォレストに発行するには、まずフォレストを指定し、[管理] ワークスペースの [Active Directory フォレスト] ノードでそのフォレストへの発行を有効にする必要があります。 さらに、発行元の各サイトで、Active Directory ドメイン サービスへのデータの発行を有効にする必要があります。 このように構成すると、発行先フォレストにあるクライアントが、サイト情報を取得して管理ポイントを見つけられるようになります。 Active Directory ドメイン サービスをサービスの場所として使用できないクライアントでは、DNS、WINS、またはクライアントに割り当てられた管理ポイントを使用できます。 |
インターネット ベースのクライアント管理の計画
インターネット ベースのクライアント管理とは、企業ネットワークには接続していないけれども、インターネットには標準的な方法で接続可能な Configuration Manager クライアントを管理することを指します。 この管理方法には、便利な点がいくつかあります。たとえば、仮想プライベート ネットワーク (VPN) を設置する必要がないのでコストを削減でき、ソフトウェア更新プログラムを滞りなく展開することができます。
公衆ネットワーク上のクライアント コンピューターの管理には、高いセキュリティが求められるので、インターネット ベースのクライアント管理では、クライアントとその接続先サイト システム サーバーで PKI 証明書を使用する必要があります。 PKI 証明書を使用することにより、独立した機関によって接続が相互承認され、サイト システムが送受信するデータが SSL (Secure Sockets Layer) で暗号化されるようになります。
次のセクションの情報を、インターネットベースのクライアント管理を計画するときの参考にしてください。
インターネットでサポートされない機能
クライアント管理機能の中には、インターネットでの使用に適していないものがあります。クライアントをインターネット上で管理する場合は、そのような機能はサポートされません。 サポートされない機能は、主に Active Directory ドメイン サービスに依存する機能や、ネットワーク探索や Wake On LAN (WOL) など、公衆ネットワークに適していない機能です。
クライアントをインターネット上で管理する場合は、次の機能がサポートされません。
クライアントのプッシュ インストールやソフトウェア更新プログラムに基づいたクライアントの展開など、インターネット上でのクライアントの展開。 代わりに、クライアントを手動でインストールしてください。
サイトの自動割り当て
ネットワーク アクセス保護 (NAP)
Wake On LAN
オペレーティング システムの展開。 ただし、オペレーティング システムを展開しないタスク シーケンスは展開することができます。たとえば、クライアントでスクリプトやメンテナンス タスクを実行するタスク シーケンスがあります。
リモート コントロール
帯域外管理
ユーザーへのソフトウェアの展開。ただし、インターネット ベースの管理ポイントで Windows 認証 (Kerberos または NTLM) 方式で Active Directory ドメイン サービスのユーザーを認証できる場合は除きます。 これには、インターネット ベースの管理ポイントが、ユーザー アカウントのあるフォレストを信頼している場合が当てはまります。
また、インターネット ベースのクライアント管理では、ローミングをサポートしません。 ローミングによって、クライアントが常に一番近い配布ポイントを見つけて、コンテンツをダウンロードできるようになります。 しかし、インターネット上で管理されるクライアントは、割り当てられているサイトのサイト システムがインターネット FQDN を使用するように構成され、サイト システムの役割がインターネットからのクライアント接続を受け入れる場合に、そのサイト システムと通信します。 クライアントは、帯域幅や物理的な場所に関係なく、インターネット ベースのサイト システムのいずれかを無作為に選択します。
[!メモ]
インターネットからの接続を受け付けるように構成したソフトウェアの更新ポイントがある場合は、インターネット上にある System Center 2012 Configuration Manager のインターネットベースのクライアントは、必ずこのソフトウェアの更新ポイントをスキャンして、どのソフトウェア更新プログラムが必要かを判断します。これは、Configuration Manager に新しく導入された機能です。 ただし、これらのクライアントがインターネット上にある場合は、インターネット ベースの配布ポイントからではなく、まず Microsoft Update からソフトウェア更新プログラムをダウンロードしようとします。 Microsoft Update からダウンロードできなかった場合だけ、クライアントに割り当てられているサイトのインターネットベースの配布ポイントからダウンロードします。 インターネット ベースのクライアント管理用に構成されていないクライアントは、Microsoft Update からはソフトウェア更新プログラムをダウンロードせず、常に Configuration Manager の配布ポイントを使用します。
インターネットや信頼されていないフォレストからのクライアント通信に関する考慮事項
プライマリ サイトにインストールされた次のサイト システムの役割では、インターネットや信頼されていないフォレストなどの信頼されていない場所にあるクライアントからの接続がサポートされます (セカンダリ サイトでは信頼されていない場所からのクライアント接続はサポートされません)。
アプリケーション カタログ Web サイト ポイント
Configuration Manager ポリシー モジュール
配布ポイント (クラウドベースの配布ポイントでは HTTPS が必要)
登録プロキシ ポイント
フォールバック ステータス ポイント
管理ポイント
ソフトウェアの更新ポイント
インターネットに接続するサイト システムについて:
クライアントのフォレストと、サイト システム サーバーのフォレスト間の信頼を確立する必要はありませんが、インターネットに接続するサイト システムを含むフォレストがユーザー アカウントを含むフォレストを信頼している状態で、[クライアント ポリシー] のクライアント設定 [インターネット クライアントからのユーザー ポリシー要求を有効にする] を有効にした場合は、この構成でインターネット上のデバイスのユーザーベース ポリシーがサポートされます。
たとえば、次のような場合に、インターネット ベースのクライアント管理がインターネット上のデバイス用のユーザー ポリシーを使用します。
インターネット ベースの管理ポイントが、ユーザーを認証する読み取り専用ドメイン コントローラーが存在する境界ネットワークにあり、介在するファイアウォールで Active Directory パケットを許可する。
ユーザー アカウントがフォレスト A (イントラネット) にあり、インターネット ベースの管理ポイントがフォレスト B (境界ネットワーク) にある。 フォレスト B がフォレスト A を信頼しており、介在するファイアウォールが認証パケットを許可する。
ユーザー アカウントとインターネット ベースの管理ポイントがフォレスト A (イントラネット) にある。 管理ポイントは、Web プロキシ サーバー (Forefront Threat Management Gateway など) を使用してインターネットに発行される。
[!メモ]
Kerberos 認証に失敗すると、自動的に NTLM 認証が試みられます。
上の例に示すように、インターネット ベースのサイト システムを Web プロキシ サーバー (ISA Server や Forefront Threat Management Gateway など) を使用してインターネットに発行する場合は、それらのサイト システムをイントラネットに配置することができます。 これらのサイト システムは、インターネットからのクライアント接続のみ、またはインターネットとイントラネットの両方を受け付けるように構成できます。 Web プロキシ サーバーを使用する場合は、SSL (Secure Sockets Layer) から SSL へのブリッジングまたは SSL トンネリングを構成できます。ブリッジングの方が安全です。
SSL から SSL へのブリッジング:
インターネット ベースのクライアント管理でプロキシ Web サーバーを使用する場合は、認証による SSL 終了を使用する SSL から SSL へのブリッジングを構成することをお勧めします。 クライアント コンピューターは、コンピューター認証によって、モバイル デバイス レガシ クライアントは、ユーザー認証によって認証されなければなりません。Configuration Manager によって登録されるモバイル デバイスは、SSL ブリッジングをサポートしていません。プロキシ Web サーバーで SSL 終了を使用する利点は、インターネットからのパケットが内部ネットワークに転送される前に検査されることです。 プロキシ Web サーバーはクライアントからの接続を認証してから終了します。次に、インターネット ベースのサイト システムに認証済みの新しい接続を開きます。Configuration Manager クライアントがプロキシ Web サーバーを使用するときは、クライアント ID (クライアント GUID) がパケットのペイロード内に安全に格納されるので、管理ポイントはプロキシ Web サーバーをクライアントと見なしません。 HTTP から HTTPS、または HTTPS から HTTP へのブリッジングは Configuration Manager ではサポートされていません。
トンネリング:
プロキシ Web サーバーが SSL ブリッジングの要件をサポートできない場合や、Configuration Manager によって登録されたモバイル デバイスに対してインターネット サポートを構成する場合は、SSL トンネリングもサポートされます。 ただし、この方法は、安全性が低くなります。これは、インターネットからの SSL パケットが SSL 終了なしにサイト システムに転送されるので、悪意のあるコンテンツがないかどうかを検査できないためです。 SSL トンネリングを使用する場合は、プロキシ Web サーバーに証明書は必要ありません。
インターネット ベースのクライアントの計画
インターネット上で管理することになるクライアント コンピューターを、イントラネットとインターネットの両方で管理できるようにするか、それともインターネット専用として構成するかを決める必要があります。 このクライアントの管理オプションは、クライアントをインストールするときしか構成できません。 選択したオプションを変更したい場合は、クライアントを再インストールする必要があります。
[!メモ]
System Center 2012 R2 Configuration Manager 以降:インターネットを利用できる管理ポイントを構成する場合は、管理ポイントに接続されるクライアントが利用可能な管理ポイントの一覧を更新すると、インターネットを利用できるようになります。
| ヒント |
|---|
インターネット専用クライアント管理の構成をインターネットだけに制限する必要はありません。その構成をイントラネットでも使用できます。 |
インターネット専用クライアントとして構成されたクライアントは、インターネットからのクライアント接続を受け入れるサイト システムだけと通信します。 この構成は、遠隔地の売場専用コンピューターなど、企業のイントラネットに接続することのないコンピューターに適しています。 また、クライアント接続を HTTPS のみに制限したい場合 (ファイアウォールとセキュリティ ポリシーを採用する場合など) や、インターネット ベースのサイト システムを境界ネットワークにインストールし、Configuration Manager クライアントを使用してこれらのサーバーを管理したい場合にも適しています。
インターネット上のワークグループ クライアントを管理する場合は、これらのクライアントをインターネット専用としてインストールする必要があります。
[!メモ]
モバイル デバイス クライアントは、イントーネット ベースの管理ポイントを使用するように構成すると、自動的にインターネット専用になります。
その他のクライアント コンピューターは、インターネットとイントラネットの両用に構成することができます。 このように構成すると、クライアントが接続されるネットワークが変わると、インターネット ベースのクライアント管理とイントラネット クライアント管理が自動的に切り替わります。 イントラネットのクライアント接続用に構成された管理ポイントに接続できた場合は、Configuration Manager のすべての管理機能に対応しているイントラネット クライアントとして管理されます。 イントラネットのクライアント接続用に構成されている管理ポイントに接続できなかった場合は、インターネット ベースの管理ポイントに接続しようとします。この管理ポイントに接続できると、クライアントに割り当てられているサイトのインターネット ベースのサイト システムによって管理されるようになります。
インターネット ベースのクライアント管理とイントラネット クライアント管理が自動的に切り替わることの長所は、クライアント コンピューターがイントラネットに接続しているときは常に Configuration Manager のすべての機能を使用することができ、インターネットに接続したときも、主要な管理機能によって引き続き管理されているという点です。 また、インターネット上で開始したダウンロードをイントラネットに接続したときに再開したり、その逆も行えます。
インターネット ベースのクライアント管理の前提条件
Configuration Manager でインターネット ベースのクライアント管理を行うには、次の条件を満たしている必要があります。
依存関係 |
説明 |
|---|---|
インターネット上で管理されるクライアントは、インターネットに接続できる必要があります。 |
Configuration Manager は、既存のインターネット サービス プロバイダー (ISP) 接続を使用します。一時的な接続と常時接続のどちらでもかまいません。 モバイル デバイス クライアントはインターネットに直接接続する必要があります。コンピューター クライアントはインターネットに直接接続するか、プロキシ Web サーバー経由で接続することができます。 |
インターネット ベースのクライアント管理で使用するサイト システムは、インターネットに接続可能で、Active Directory ドメインになければなりません。 |
インターネット ベースのサイト システムとサイト サーバーの Active Directory フォレストに信頼関係は必要ありません。 ただし、インターネット ベースの管理ポイントが Windows 認証を使用してユーザーを認証できる場合は、ユーザー ポリシーを使用することができます。 Windows 認証できない場合は、コンピューター ポリシーだけを使用できます。
インターネット ベースのアプリケーション カタログ Web サービス ポイントも、ユーザーのコンピューターがインターネット上にあるときに、そのユーザーを認証するために Windows 認証を必要とします。 この要件は、ユーザー ポリシーとは独立しています。 |
クライアントが必要とし、インターネットとインターネット ベースのサイト システム サーバーで管理する証明書を展開して管理できる公開キー基盤 (PKI) が必要です。 |
PKI 証明書の詳細については、「Configuration Manager での PKI 証明書の要件」をご覧ください。 |
インターネット ベースのクライアント管理を実施するには、次のインフラストラクチャ サービスを構成する必要があります。
|
クライアント接続の要件:
これらの条件を満たす構成については、ファイアウォールまたはプロキシ サーバーのドキュメントをご覧ください。 インターネットからのクライアント接続にソフトウェアの更新ポイントを使用する場合は、Windows Server Update Services (WSUS) のドキュメントをご覧ください。 たとえば、Windows Server 2003 の WSUS については、セキュリティ設定の展開の付録「付録 D: セキュリティ設定」を参照してください。 |
Configuration Manager で使用するネットワーク帯域幅の計画
System Center 2012 Configuration Manager には、サイト、サイト システム サーバー、クライアント間の通信で使用するネットワーク帯域幅を制御する方法がいくつかあります。 ただし、ネットワーク上のすべての通信を管理できるわけではありません。 次のセクションの情報を、ネットワーク帯域幅を制御する方法とサイトの階層を決めるときの参考にしてください。
Configuration Manager の階層を設計するときには、サイト間の通信とサイト内の通信で転送されるネットワークのデータ量を考慮します。
[!メモ]
ファイル レプリケーション ルート (Configuration Manager SP1 以前はアドレス) はサイト間通信にのみ使用され、サイト サーバーとサイト システム間のサイト内通信には使用されません。
サイト間の通信で使用されるネットワーク帯域幅の制御
Configuration Manager は、ファイルベースのレプリケーションとデータベースのレプリケーションの両方を使ってサイト間でデータを転送します。Configuration Manager SP1 以前では、転送時のネットワーク帯域幅の使用を制御するようにファイルベースのレプリケーションを構成できますが、データベース レプリケーションについては、ネットワーク帯域幅の使用を構成することはできません。Configuration Manager SP1 から、選択したサイト データのデータベース レプリケーションで使用するネットワーク帯域幅を構成できるようになっています。
ネットワーク帯域幅の制御を構成する場合は、データの遅延について注意する必要があります。 サイト間の通信を制限している場合や、営業時間後にのみデータを転送するように構成している場合は、サイト間の通信が開始されるまで、親サイトまたは子サイトの管理者が特定のデータを表示できないことがあります。 たとえば、重要なソフトウェア更新プログラのパッケージが、子サイトにある配布ポイントに送信される場合は、保留中のサイト間通信がすべて完了しないと、これらのサイトでパッケージを利用できません。 このような場合に、非常に大きなパッケージの配布が保留中になっている可能性もあります。
ファイル ベースのレプリケーションの制御: ファイル ベースのデータ転送では、Configuration Manager によって、使用可能なすべてのネットワーク帯域幅がサイト間のデータ送信に使用されます。 サイト間の送信スレッドを増減するようにサイトの送信者を構成すると、このプロセスを制御できます。 送信スレッド 1 本でファイルが 1 つ転送されます。 スレッドを増やすと、同時に転送されるファイルが増えて、使用される帯域幅も大きくなります。 サイト間転送で使用するスレッド数を構成するには、サイトのプロパティの [センダー] タブで [最大同時送信数] を構成します。
サイト間のファイルベースのデータ転送を制御するために、特定のサイトへのファイル レプリケーション ルートを Configuration Manager が使用できる日時をスケジュールすることができます。 使用するネットワーク帯域幅の量、データ ブロックのサイズ、データ ブロックを送信する頻度を制御できます。 さらに、データの種類に基づいて優先度を決め、データの転送を制限するオプションもあります。 各送信先サイトのファイル レプリケーション ルートのプロパティを構成すると、階層内のサイトごとに、データの転送時にそのサイトが使用するスケジュールと転送率を設定できます。 ファイル レプリケーション ルートの構成は、そのファイル レプリケーション ルートに指定されている送信先サイトへのデータ転送にのみ適用されます。
ファイル レプリケーション ルートの詳細については、このトピックの「Configuration Manager のサイト間の通信の計画」セクションの「File Replication Routes (ファイル レプリケーション ルート)」をご覧ください。
重要特定のファイル レプリケーション ルートで使用する帯域幅を制限するように転送率を構成すると、その送信先サイトへのデータ転送に Configuration Manager で使用できるスレッドが 1 本だけになります。 このファイル レプリケーション ルートの転送率の設定によって、各サイトの [最大同時送信数] で構成されているサイトあたりのスレッド数が上書きされます。
データベース レプリケーションの制御: Configuration Manager SP1 以降、サイト間の選択したサイト データの転送で、ネットワーク帯域幅の使用を制御するように、データベース レプリケーション リンクを構成できます。 一部の制御はファイルベースのレプリケーションの制御と同様ですが、ハードウェア インベントリ、ソフトウェア インベントリ、ソフトウェア使用状況の測定、およびステータス メッセージをリンク全体で親サイトにレプリケートする日時をスケジュールできるようになっています。
詳細については、このトピックの「データベースのレプリケーション」セクションをご覧ください。
サイト システム サーバー間の通信で使用されるネットワーク帯域幅の制御
サイト内のサイト システム間の通信では、サーバー メッセージ ブロック (SMB) を使用します。サイト システム同士がいつ通信するかは決まっておらず、ネットワーク帯域幅も制御できません。 ただし、サイト サーバーの転送率を制限し、ネットワークを介して配布ポイントにデータ転送するスケジュールを構成することにより、ファイルベースのサイト間転送を制御するのとよく似た方法で、サイト サーバーから配布ポイントへのコンテンツの転送を管理できます。
クライアントとサイト システム サーバーの間の通信で使用されるネットワーク帯域幅の制御
クライアントは、さまざまなサイト システム サーバーと定期的に通信します。 たとえば、クライアント ポリシーをチェックする必要がある場合は、管理ポイントを実行しているサイト システム サーバーと通信します。アプリケーションやソフトウェア更新プログラムをインストールするために、コンテンツをダウンロードしなければならないときは、配布ポイントを実行しているサイト システム サーバーと通信します。 このような通信の頻度と、クライアントがネットワークを介して送受信するデータの量は、クライアント設定で指定したスケジュールと構成によって異なります。
通常、クライアント ポリシーの要求では、ネットワーク帯域幅を少ししか使用しません。 しかし、展開用のコンテンツにアクセスしたり、ハードウェア インベントリなどのデータをサイトに送信したりする場合は、大量のネットワーク帯域幅が使用される可能性があります。
クライアントが開始するネットワーク接続の頻度を制御するクライアント設定を指定することができます。 また、クライアントが展開用のコンテンツにアクセスする方法、たとえば、バックグラウンド インテリジェント転送サービス (BITS) を構成することもできます。 BITS でコンテンツをダウンロードするには、クライアントで BITS を使用するように構成する必要があります。 クライアントで BITS を使用できない場合、クライアントは、SMB を使用してコンテンツを転送します。
Configuration Manager のクライアント設定については、「Configuration Manager のクライアント設定の計画」をご覧ください。