• Artikel

Communicatie plannen in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Maak, voordat u System Center 2012 Configuration Manager installeert, een planning voor de netwerkcommunicaties tussen verschillende sites binnen een hiërarchie, tussen verschillende sitesysteemservers in een site, en tussen clients en sitesysteemservers. Deze communicaties kunnen zich binnen één enkel domein bevinden of ze kunnen meerdere Active Directory-forests omvatten. Het is mogelijk dat u ook een planning moet maken voor communicaties om clients op het internet te beheren.

Gebruik de volgende secties in dit onderwerp om u te helpen een planning te maken voor communicaties in Configuration Manager.

  • Planning voor communicatie tussen sites in Configuration Manager

    • Replicatie op basis van een bestand

    • Databasereplicatie

  • Intrasitecommunicatie in Configuration Manager plannen

  • Clientcommunicatie plannen in Configuration Manager

    • Communicatie gestart door clients

    • Servicelocatiebepaling en hoe het toegewezen beheerpunt voor clients wordt bepaald

    • Methoden plannen voor ontwaken van clients

  • Plannen voor de communicatie tussen forests in Configuration Manager

  • Planning voor clientbeheer via internet

    • Functies die niet worden ondersteund op het internet

    • Overwegingen voor clientcommunicatie via internet of een niet-vertrouwd forest

    • Planning voor clients op internet

    • Vereisten voor clientbeheer op internet

  • Planning voor netwerkbandbreedte in Configuration Manager

    • Netwerkbandbreedtegebruik tussen sites beheren

    • Netwerkbandbreedtegebruik tussen sitesysteemservers beheren

    • Netwerkbandbreedtegebruik tussen clients en sitesysteemservers beheren

Wat is er nieuw in Configuration Manager

Notitie

De informatie in deze sectie komt ook voor in de gids Getting Started with System Center 2012 Configuration Manager (Aan de slag met System Center 2012 Configuration Manager).

De volgende items zijn nieuw of zijn gewijzigd voor sitecommunicatie sinds Configuration Manager 2007:

  • Communicatie tussen sites maakt naast bestandsgebaseerde replicatie nu ook gebruik van databasereplicatie voor vele gegevensoverdrachten tussen sites, waaronder configuraties en instellingen.

  • Het Configuration Manager 2007-concept van sites met gemengde modi of native modus voor de definitie van clientcommunicatie naar sitesystemen in de site is vervangen door sitesysteemrollen die afzonderlijk HTTP- of HTTPS-clientcommunicaties kunnen ondersteunen.

  • Voor ondersteuning aan clientcomputers in andere forests kan Configuration Manager computers detecteren in deze forests en site-informatie publiceren naar deze forests.

  • Het server locator point wordt niet langer gebruikt en de functionaliteit van deze sitesysteemrol is overgegaan naar het beheerpunt.

  • Clientbeheer via het internet ondersteunt nu het volgende:

    • Gebruikersbeleidsregels wanneer het beheerpunt op internet de gebruiker kan verifiëren met behulp van Windows-verificatie (Kerberos of NTLM).

    • Eenvoudige takenreeksen, zoals scripts. Implementatie van het besturingssysteem op internet blijft niet-ondersteund.

    • Clients op het internet proberen eerst de vereiste software-updates te downloaden van Microsoft Update in plaats van via een distributiepunt op het internet op hun toegewezen site. Alleen als dit mislukt, wordt geprobeerd om de vereiste software-updates te downloaden vanaf een op internet gebaseerd distributiepunt.

Wat is er nieuw in Configuration Manager SP1

Notitie

De informatie in deze sectie komt ook voor in de gids Getting Started with System Center 2012 Configuration Manager (Aan de slag met System Center 2012 Configuration Manager).

De volgende items zijn nieuw of gewijzigd op het gebied van sitecommunicatie voor Configuration Manager SP1:

  • Routes voor bestandsreplicatie vervangen adressen voor op bestanden gebaseerde replicatie tussen sites. Het betreft alleen een wijziging in de naam voor op bestanden gebaseerde replicatie en zorgt voor consistentie met databasereplicatie. De functionaliteit is niet gewijzigd.

  • U kunt koppelingen configureren voor databasereplicatie tussen sitedatabases voor het beheren en controleren van het netwerkverkeer voor databasereplicatie:

    • Gebruik gedistribueerde weergaven om de replicatie van geselecteerde sitegegevens van een primaire site naar de centrale beheersite te voorkomen. De centrale beheersite benadert deze gegevens dan rechtstreeks vanuit de primaire sitedatabase.

    • Plan de overdracht van geselecteerde sitegegevens over database-replicatiekoppelingen.

    • Beheer de frequentie waarmee replicatieverkeer wordt samengevat voor rapporten.

    • Define custom thresholds that raise alerts for replication problems.

  • U kunt besturingselementen voor replicatie voor de SQL Server-database op een site configureren:

    • Wijzig de poort die Configuration Manager gebruikt voor de SQL Server Service Broker.

    • Configureer de tijdsduur die moet verlopen voordat een site door een mislukte replicatie wordt getriggerd om zijn kopie van de sitedatabase opnieuw te initialiseren.

    • Configureer een sitedatabase om de gegevens te comprimeren die deze repliceert door databasereplicatie. De gegevens worden alleen gecomprimeerd voor overdracht tussen sites en niet voor opslag in de sitedatabase van iedere site.

  • Wanneer Configuration Manager SP1-clients op Windows 7, Windows 8, Windows Server 2008 R2 of Windows Server 2012 draaien, kunt u de Wake On LAN site-instelling voor unicastpakketten aanvullen door de wake-up proxyclient-instellingen te gebruiken. Deze combinatie helpt bij het inschakelen van computers op subnets zonder dat netwerkswitches opnieuw moeten worden geconfigureerd.

Planning voor communicatie tussen sites in Configuration Manager

In een Configuration Manager-hiërarchie communiceert elke site met zijn bovenliggende site en zijn direct onderliggende sites door middel van twee methoden voor gegevensoverdracht: bestandsgebaseerde replicatie en databasereplicatie. Secundaire sites communiceren niet alleen met hun bovenliggende primaire site door middel van beide methoden voor gegevensoverdracht, maar kunnen ook met andere secundaire sites communiceren door middel van bestandsgebaseerde replicatie om content naar externe netwerklocaties te routeren.

Configuration Manager gebruikt bestandsgebaseerde replicatie en databasereplicatie om verschillende typen informatie van de ene naar de andere site over te dragen.

Replicatie op basis van een bestand

Configuration Manager gebruikt bestandsgebaseerde replicatie om bestandsgebaseerde gegevens van de ene naar de andere site binnen uw hiërarchie over te dragen. Deze gegevens omvatten content zoals toepassingen en pakketten die u wilt implementeren naar distributiepunten in onderliggende sites, alsook onverwerkte detectiegegevensrecords die naar bovenliggende sites worden overgedragen waar ze verwerkt worden.

Bestandsgebaseerde communicatie tussen sites maakt gebruik van het Server Message Block (SMB)-protocol door TCP/IP-poort 445 te gebruiken. U kunt configuraties specificeren waaronder bandbreedtebeperking en pulsmodus om de hoeveelheid gegevens te beheren die via het netwerk wordt overgedragen, en schema's om te beheren wanneer gegevens over het netwerk moeten worden verzonden.

Vanaf Configuration Manager SP1 worden adressen hernoemd tot bestandsreplicatieroutes om ervoor te zorgen dat ze consistent zijn met databasereplicatie. Vóór SP1 gebruikt Configuration Manager een adres om verbinding te maken met de SMS_SITE-share op de siteserver van bestemming om bestandsgebaseerde gegevens over te dragen. Bestandsreplicatieroutes en adressen werken op dezelfde wijze en ondersteunen dezelfde configuraties.

De volgende secties zijn geschreven voor wijzigingen die werden geïntroduceerd in servicepack 1 en verwijzen niet naar adressen, maar naar bestandsreplicatieroutes. Als u Configuration Manager zonder een servicepack gebruikt, gebruik dan de informatie uit de volgende tabel om de verwijzingen naar bestandsreplicatieroutes terug te converteren naar de gerelateerde verwijzing voor adressen.

Vanaf Configuration Manager met SP1

Configuration Manager zonder servicepack

Bestandsreplicatie-account

Site-adres-account

Bestandsreplicatieroute

Adres

Knooppunt Bestandsreplicatie in de Configuration Manager-console

Knooppunt Adressen in de Configuration Manager-console

Bestandsreplicatieroutes

Configuration Manager gebruikt bestandsreplicatieroutes om bestandsgebaseerde gegevens van de ene naar de andere site binnen een hiërarchie over te dragen. Bestandsreplicatieroutes komen in de plaats van adressen, die in eerdere versies van Configuration Manager werden gebruikt. De functionaliteit van bestandsreplicatieroutes is ongewijzigd ten opzichte van adressen. De volgende tabel bevat informatie over bestandsreplicatieroutes.

Object

Meer informatie

Bestandsreplicatieroute

Elke bestandsreplicatieroute identificeert een doelsite waarnaar bestandsgebaseerde gegevens kunnen worden overgedragen. Elke site ondersteunt één bestandsreplicatieroute naar een specifieke doelsite.

Configuration Manager ondersteunt de volgende configuraties voor bestandsreplicatieroutes:

  • Bestandsreplicatie-account: Dit account wordt gebruikt om verbinding te maken met de doelsite en om gegevens naar de SMS_SITE-share van die site te schrijven. Gegevens die naar deze share worden geschreven, worden verwerkt door de ontvangende site. Wanneer een site aan de hiërarchie wordt toegevoegd, wijst Configuration Manager standaard het computeraccount van de siteserver van de nieuwe site toe als het Bestandsreplicatie-account van die site. Dit account wordt vervolgens toegevoegd aan de groep SMS_SiteToSiteConnection_<Sitecode> van de doelsite. Dit is een lokale groep op de computer die toegang verleent tot de SMS_SITE-share. U kunt dit account zodanig wijzigen, dat dit een Windows gebruikersaccount is. Als u het account wijzigt, zorg er dan voor dat u het nieuwe account toevoegt aan de groep SMS_SiteToSiteConnection_<Sitecode> van de doelsite.

    Notitie

    Secundaire sites gebruiken altijd het computeraccount van de secundaire siteserver als het Bestandsreplicatie-account.

  • Schema: U kunt het schema voor elke bestandsreplicatieroute zodanig configureren dat het type gegevens en de tijd waarop gegevens naar de doelsite kunnen worden overgedragen, beperkt zijn.

  • Snelheidslimieten: U kunt voor elke bestandsreplicatieroute snelheidslimieten configureren om de netwerkbreedte die gebruikt wordt wanneer de site gegevens overdraagt naar de doelsite, te beheren:

    • Gebruik Pulsemodus om de grootte van de gegevensblokken die naar de doelsite worden verzonden, te specificeren. U kunt daarnaast een vertraging tussen het verzenden van de afzonderlijke gegevensblokken opgeven. Gebruik deze optie wanneer u gegevens via een netwerkverbinding met een erg lage bandbreedte naar de doelsite verzendt. Bijvoorbeeld, u kunt beperkingen instellen om 1 kb gegevens om de vijf seconden te verzenden, maar niet om de drie seconden, ongeacht de snelheid van de koppeling of het gebruik ervan op een bepaald moment.

    • Gebruik Beperkt tot maximale overdrachtssnelheid per uur om een site gegevens te laten sturen naar een doelsite door alleen het percentage tijd te gebruiken dat u specificeert. Wanneer u deze optie gebruikt, identificeert Configuration Manager niet de beschikbare bandbreedte van het netwerk, maar verdeelt het de tijd waarin het gegevens kan verzenden in stukken tijd. Gegevens worden dan in een kort tijdsblok verzonden, gevolgd door tijdsblokken waarin geen gegevens worden verzonden. Bijvoorbeeld, als de maximale snelheid wordt ingesteld op 50%, verzendt Configuration Manager gegevens gedurende een bepaalde tijd, gevolgd door een even lange periode waarin geen gegevens worden verzonden. De werkelijke hoeveelheid gegevens, of grootte van het gegevensblok, wordt hiermee niet beheerd. Alleen de hoeveelheid tijd waarin gegevens worden verzonden, wordt beheerd.

      System_CAPS_cautionLet op

      Standaard kan een site maximaal drie gelijktijdige verzendingen gebruiken om gegevens naar een doelsite over te dragen. Wanneer u snelheidslimieten voor een bestandsreplicatieroute inschakelt, zijn de gelijktijdige verzendingen voor het verzenden van gegevens naar die site beperkt tot één. Dit geldt ook wanneer de Limiet beschikbare bandbreedte (%) is ingesteld op 100%. Bijvoorbeeld, als u de standaardinstellingen voor de afzender gebruikt, reduceert dit de overdrachtssnelheid naar de doelsite tot één derde van de standaardcapaciteit.

  • U kunt een bestandsreplicatieroute tussen twee secundaire sites configureren om bestandsgebaseerde content tussen die sites te routeren.

Om een bestandsreplicatieroute te beheren vouwt u in de werkruimte Beheer het knooppunt Hiërarchie-configuratie uit, en selecteert Bestandsreplicatie.

Afzender

Elke site heeft één afzender. De afzender beheert de netwerkverbinding van één site met een doelsite, en kan verbindingen naar meerdere sites op hetzelfde moment tot stand brengen. Om verbinding met een site te maken, gebruikt de afzender de bestandsreplicatieroute naar de site om het account te identificeren dat gebruikt wordt om de netwerkverbinding tot stand te brengen. De afzender gebruikt dit account ook om gegevens te schrijven naar de SMS_SITE-share van de doelsite.

Standaard schrijft de afzender gegevens naar een doelsite door meerdere gelijktijdige verzendingen te gebruiken, meestal thread genoemd. Elke gelijktijdige verzending, of thread, kan een verschillend bestandsgebaseerd object naar de doelsite overdragen. Wanneer de afzender begint met het verzenden van een object, gaat de afzender standaard door met het schrijven van gegevensblokken voor dat object totdat het gehele object verzonden is. Nadat alle gegevens voor het object verzonden zijn, kan een nieuw object beginnen met verzenden op die thread.

U kunt de volgende instellingen voor een afzender configureren:

  • Maximum aantal gelijktijdige verzendingen: Standaard is elke site geconfigureerd om vijf gelijktijdige verzendingen te gebruiken, waarvan er drie beschikbaar zijn voor gebruik wanneer het gegevens naar eender welke één bestemmingssite verzendt. Wanneer u dit aantal verhoogt, kunt u de verwerkingscapaciteit van gegevens tussen sites verhogen door Configuration Manager in te schakelen om meer bestanden tegelijkertijd te versturen. Door dit aantal te verhogen wordt de vraag voor netwerkbandbreedte tussen sites ook verhoogd.

  • Instellingen voor opnieuw proberen: Standaard is elke site geconfigureerd om een probleemverbinding tweemaal opnieuw te proberen met een vertraging van één minuut tussen de verbindingspogingen. U kunt het aantal verbindingspogingen wijzigen die de site doet, en hoe lang er moet worden gewacht tussen deze pogingen.

Om de verzender voor een site te beheren, klapt u het knooppunt Siteconfiguratie uit in de werkruimte Beheer, selecteert u het knooppunt Sites en klikt u vervolgens op Eigenschappen voor de site die u wilt beheren. Klik op het tabblad Afzender om de configuratie van de afzender te wijzigen.

Databasereplicatie

Configuration Manager-databasereplicatie gebruikt SQL Server om gegevens over te brengen en wijzigingen die zijn aangebracht in een sitedatabase samen te voegen met de informatie die is opgeslagen in de database op andere sites in de hiërarchie. Dit zorgt ervoor dat alle sites dezelfde informatie kunnen delen. Databasereplicatie wordt automatisch geconfigureerd door alle Configuration Manager-sites. Wanneer u een site in een hiërarchie installeert, configureert databasereplicatie automatisch tussen de nieuwe site en de aangeduide bovenliggende site ervan. Als de site is geïnstalleerd, wordt databasereplicatie automatisch gestart.

Wanneer u een nieuwe site in een hiërarchie installeert, maakt Configuration Manager een algemene database op de nieuwe site aan. Vervolgens maakt de bovenliggende site een momentopname van de relevante gegevens in de databas ervan en brengt het die momentopname over naar de nieuwe site door op bestanden gebaseerde replicatie. De nieuwe site gebruikt dan een SQL Server-programma voor bulksgewijs kopiëren (BCP) om de informatie naar de lokale kopie ervan van de Configuration Manager-database te laden. Nadat de momentopname is geladen, voert elke site databasereplicatie uit met de andere site.

Om gegevens tussen sites te repliceren gebruikt Configuration Manager haar eigen databasereplicatieservice. De databasereplicatieservice gebruikt SQL Server-bijhouden van wijzigingen om de wijzigingen die zijn aangebracht aan de lokale sitedatabase te volgen, en repliceert deze wijzigingen dan naar andere sites met behulp van een SQL Server Service Broker. Dit proces maakt standaard gebruik van de TCP/IP-poort 4022.

Configuration Manager groepeert gegevens die door databasereplicatie in verschillende replicatiegroepen zijn gerepliceerd. Elke replicatiegroep heeft een afzonderlijk, vast replicatieschema dat bepaalt hoe vaak wijzigingen aan de gegevens in de groep worden gerepliceerd naar andere sites. Een configuratiewijziging naar een op rollen gebaseerde beheerconfiguratie repliceert bijvoorbeeld snel naar andere sites om ervoor te zorgen dat deze wijzigingen zo snel mogelijk worden doorgevoerd. Ondertussen repliceert een configuratiewijziging met een lagere prioriteit, zoals een aanvraag om een nieuwe secundaire site te installeren, met minder drang en duurt het enkele minuten tot de nieuwe siteaanvraag de primaire bestemmingssite bereikt.

Notitie

Configuration Manager-databasereplicatie wordt automatisch geconfigureerd en ondersteunt geen configuratie van replicatiegroepen of replicatieschema's. Te beginnen met Configuration Manager SP1 kunt u databasereplicatiekoppelingen echter configureren om te controleren wanneer specifiek verkeer over het netwerk gaat. U kunt ook configureren wanneer Configuration Manager waarschuwingen geeft over replicatiekoppelingen die een status van gedegradeerd of mislukt hebben.

Configuration Manager deelt de gegevens in die het repliceert door databasereplicatie als hetzij algemene gegevens hetzij sitegegevens. Wanneer databasereplicatie plaatsvindt, worden wijzigingen aan algemene gegevens en sitegegevens overgebracht over de databasereplicatiekoppeling. Algemene gegevens kunnen repliceren naar zowel een bovenliggende als een onderliggende site, en de site repliceert enkel naar een bovenliggende site. Een derde gegevenstype dat lokale gegevens wordt genoemd, repliceert niet naar andere sites. Lokale gegevens omvatten informatie die niet vereist is door andere sites:

  • Algemene gegevens: Algemene gegevens verwijst naar objecten die door de beheerder zijn gemaakt die repliceren naar alle sites binnen de gehele hiërarchie, hoewel secundaire sites enkel een subset van algemene gegevens ontvangen, als algemene proxygegevens. Voorbeelden van algemene gegevens omvatten software-implementaties, software-updates, verzamelingdefinities, en op rollen gebaseerde beheerbeveiligingsbereiken. Beheerders kunnen algemene gegevens aanmaken op centrale beheersites en primaire sites.

  • Sitegegevens: Sitegegevens verwijzen naar operationele informatie die door primaire sites Configuration Manager en de clients die daaraan rapporteren, wordt gemaakt. Sitegegevens worden gerepliceerd naar de centrale beheersite, maar niet naar andere primaire sites. Voorbeelden van sitegegevens zijn onder meer inventarisatiegegevens van hardware, statusberichten, waarschuwingen en de resultaten van op query's gebaseerde verzamelingen. Sitegegevens kunnen enkel worden bekeken op de centrale beheersite en de primaire site waarvan de gegevens afkomstig zijn. Sitegegevens kunnen enkel worden gewijzigd op de primaire site waar ze werden gemaakt.

    Alle sitegegevens repliceren naar de centrale beheersite; daarom kan de centrale beheersite administratie en rapportering uitvoeren voor de volledige hiërarchie.

Gebruik de informatie in de volgende secties om te plannen voor het gebruik van de besturingselementen die beschikbaar zijn te beginnen met Configuration Manager SP1 om databasereplicatiekoppelingen tussen sites te configureren en besturingselementen op elke sitedatabase te configureren. Deze besturingselementen kunnen u helpen het netwerkverkeer dat de databasereplicatie aanmaakt, te controleren en op te volgen.

Databasereplicatiekoppelingen

Wanneer u een nieuwe site in een hiërarchie installeert, maakt Configuration Manager automatisch een databasereplicatiekoppeling tussen de twee sites. Een enkele koppeling wordt gemaakt om de nieuwe site met de bovenliggende site te verbinden.

Te beginnen met Configuration Manager SP1 ondersteunt elke databasereplicatiekoppeling configuraties om te helpen de overdracht van gegevens over de replicatiekoppeling te controleren. Elke replicatiekoppeling ondersteunt afzonderlijke configuraties. De besturingselementen voor databasereplicatiekoppelingen omvatten het volgende:

  • Gebruik gedistribueerde weergaven om de replicatie van geselecteerde sitegegevens van een primaire site naar een centrale beheersite te stoppen, en schakel de centrale beheersite in voor rechtstreekse toegang tot deze gegevens vanuit de database van de primaire site.

  • Plan wanneer geselecteerde sitegegevens worden overgebracht van een onderliggende primaire site naar de centrale beheersite.

  • Definieer de instellingen die bepalen wanneer een databasereplicatiekoppeling zich in een gedegradeerde status bevindt of mislukt is.

  • Configureer wanneer waarschuwingen worden gegeven voor een mislukte replicatiekoppeling.

  • Specificeer hoe vaak Configuration Manager gegevens over het replicatieverkeer samenvat dat de replicatiekoppeling gebruikt. Deze gegevens worden in rapporten gebruikt.

Om een databasereplicatiekoppeling te configureren, bewerkt u de eigenschappen voor de koppeling in de Configuration Manager-console vanuit het knooppunt Databasereplicatie. Dit knooppunt verschijnt in de werkruimte Bewaking, en te beginnen met Configuration Manager SP1 verschijnt dit knooppunt ook onder het knooppunt Hiërarchieconfiguratie in de werkruimte Beheer. U kunt een replicatiekoppeling bewerken vanuit hetzij de bovenliggende site hetzij de onderliggende site van de replicatiekoppeling.

Tip

U kunt databasereplicatiekoppelingen bewerken vanuit het knooppunt Databasereplicatie in beide werkruimten. Als u echter het knooppunt Databasereplicatie gebruikt in de werkruimte Bewaking, kunt u ook de status van de databasereplicatie voor replicatiekoppelingen bekijken en het hulpprogramma Replication Link Analyzer openen om u te helpen bij het onderzoeken van problemen met databasereplicatie.

Zie Besturingselementen voor sitedatabasereplicatie voor informatie over het configureren van replicatiekoppelingen. Zie de sectie Bewaken van databasereplicatiekoppelingen en replicatiestatus in het onderwerp Configuration Manager-sites en -hiërarchie bewaken voor meer informatie over het controleren van replicatie.

Gebruik de informatie in de volgende secties om te plannen voor databasereplicatiekoppelingen.

Planning voor het gebruiken van gedistribueerde weergaven

Voor System Center 2012 Configuration Manager SP1 en later: 

Gedistribueerde weergaven bieden aanvragen die aan een centrale beheersite voor geselecteerde sitegegevens zijn gedaan, rechtstreeks toegang tot sitegegevens uit de database op een onderliggende primaire site. Deze rechtstreekse toegang vervangt de noodzaak om deze sitegegevens van de primaire site naar de centrale beheersite te repliceren. Omdat elke replicatiekoppeling onafhankelijk is van andere replicatiekoppelingen, kunt u gedistribueerde weergaven inschakelen op enkel de replicatiekoppelingen die u kiest. Gedistribueerde weergaven worden niet ondersteund tussen een primaire site en een secundaire site.

Gedistribueerde weergaven kunnen de volgende voordelen bieden:

  • Ze verminderen de CPU-belasting om databasewijzigingen op de centrale beheersite en primaire sites te verwerken.

  • Ze verminderen de hoeveelheid gegevens die worden verstuurd over het netwerk naar de centrale beheersite.

  • Ze verbeteren de prestatie van de SQL Server die de database van de centrale beheersites host.

  • Ze verminderen de schijfruimte die wordt gebruikt door de database op de centrale beheersite.

Overweeg het gebruik van gedistribueerde weergaven wanneer een primaire site zich op het netwerk dicht van de centrale beheersite bevindt, en de twee sites steeds zijn ingeschakeld, en steeds zijn verbonden. Dit is omvat gedistribueerde weergaven de replicatie van de geselecteerde gegevens vervangen tussen de sites met rechtstreekse verbindingen tussen de SQL Servers op elke site. Deze rechtstreekse verbinding wordt gemaakt telkens een aanvraag voor deze gegevens wordt gedaan aan de centrale beheersite. Aanvragen voor gegevens die u mogelijk inschakelt voor gedistribueerde weergaven, worden gewoonlijk gedaan wanneer u rapporten of query's uitvoert, informatie in Resourceverkenner bekijkt, en door verzamelingevaluatie voor verzamelingen die regels omvatten die op de sitegegevens zijn gebaseerd.

Gedistribueerde weergaven zijn standaard uitgeschakeld voor elke replicatiekoppeling. Wanneer u gedistribueerde weergaven voor een replicatiekoppeling inschakelt, selecteert u sitegegevens die niet zullen repliceren naar de centrale beheersite over die koppeling, en schakelt u de centrale beheersite in voor rechtstreekse toegang tot deze gegevens vanuit de database van de onderliggende primaire site die de koppeling deelt. U kunt de volgende types van sitegegevens voor gedistribueerde weergaven configureren:

  • Hardware-inventarisgegevens van clients

  • Software-inventarisatie en licentiecontrolegegevens van clients

  • Statusberichten van clients, de primaire site en alle secundaire sites

In werking zijn gedistribueerde weergaven onzichtbaar voor een beheerder die gegevens in de Configuration Manager-console of in rapporten bekijkt. Wanneer een aanvraag wordt gedaan voor gegevens die zijn ingeschakeld voor gedistribueerde weergaven, heeft de SQL Server die de database voor de centrale beheersite host, rechtstreeks toegang tot de SQL Server van de onderliggende primaire site om de informatie op te halen. U gebruikt bijvoorbeeld een Configuration Manager-console op de centrale beheersite om informatie over hardware-inventaris van twee sites op te vragen, en slechts één site hardware-inventaris heeft ingeschakeld voor een gedistribueerde weergave. De inventarisinformatie voor clients van de site die niet is geconfigureerd voor gedistribueerde weergaven, wordt opgehaald uit de database op de centrale beheersite. De inventarisinformatie voor clients van de site die niet is geconfigureerd voor gedistribueerde weergaven, wordt geopend vanuit de database op een onderliggende primaire site. Deze informatie verschijnt in de Configuration Manager-console of rapport zonder onderscheid met betrekking tot de bron.

Zoals een replicatiekoppeling een type gegevens ingeschakeld heeft voor gedistribueerde weergaven, repliceert de onderliggende primaire site die gegevens niet naar de centrale beheersite. Zodra u gedistribueerde weergaven voor een type gegevens uitschakelt, hervat de onderliggende primaire site de replicatie van die gegevens naar de centrale beheersite als deel van de normale gegevensreplicatie. Voordat deze gegevens echter beschikbaar zijn op de centrale beheersite, moeten de replicatiegroepen die deze gegevens bevatten, echter opnieuw worden geïnitialiseerd tussen de primaire site en de centrale beheersite. Zo ook moet de centrale beheersite, nadat u een primaire site hebt verwijderd die gedistribueerde weergaven ingeschakeld heeft, de herinitialisatie van de gegevens ervan voltooien voordat u toegang hebt tot gegevens die waren ingeschakeld voor gedistribueerde weergaven op de centrale beheersite.

System_CAPS_importantBelangrijk

Wanneer u gedistribueerde weergaven gebruikt op eender welke replicatiekoppeling in de hiërarchie, moet u gedistribueerde weergaven uitschakelen voor alle replicatiekoppelingen voordat u een primaire site verwijdert. Zie het gedeelte Een primaire site deïnstalleren die geconfigureerd is met gedistribueerde weergaven in het onderwerp Sites installeren en een hiërarchie maken voor Configuration Manager voor meer informatie.

Vereisten en beperkingen voor gedistribueerde weergaven

Het volgende zijn vereisten en beperkingen voor gedistribueerde weergaven:

  • Zowel de centrale beheersite als de primaire site moeten dezelfde versie van Configuration Manager uitvoeren en moeten een minimumversie van SP1 hebben.

  • Gedistribueerde weergaven worden enkel ondersteund op replicatiekoppelingen tussen een centrale beheersite en een primaire site.

  • De centrale beheersite kan slechts één exemplaar van de SMS Provider geïnstalleerd hebben, en dat exemplaar moet op de sitedatabaseserver zijn geïnstalleerd. Dit is vereist om de Kerberos-verificatie te ondersteunen die vereist is om de SQL Server in te schakelen op de centrale beheersite voor toegang tot de SQL Server op de onderliggende primaire site. Er zijn geen beperkingen met betrekking tot de SMS Provider op de onderliggende primaire site.

  • De centrale beheersite kan slechts één SQL Server Reporting Services-punt geïnstalleerd hebben, en het moet zich op sitedatabaseserver bevinden. Dit is vereist om de Kerberos-verificatie te ondersteunen die vereist is om de SQL Server in te schakelen op de centrale beheersite voor toegang tot de SQL Server op de onderliggende primaire site.

  • De sitedatabase kan niet worden gehost op een SQL Server-cluster.

  • De computeraccount van de databaseserver van de centrale beheersite vereist Read-machtigingen op de sitedatabase van de primaire site.

  • Gedistribueerde weergaven en schema's voor wanneer gegeven kunnen repliceren, zijn onderling exclusieve configuraties voor een databasereplicatiekoppeling.

Plan de overdracht van sitegegevens op databasereplicatiekoppelingen

Voor System Center 2012 Configuration Manager SP1 en later:

U kunt plannen wanneer een replicatiekoppeling wordt gebruikt en opgeven wanneer verschillende types sitegegevens worden gerepliceerd om u te helpen bij het controleren van de netwerkbandbreedte die wordt gebruikt om sitegegevens te repliceren van een onderliggende primaire site naar zijn centrale beheersite. U kunt controleren wanneer de primaire site statusberichten, inventarissen en metergegevens repliceert. Databasereplicatiekoppelingen van secundaire sites ondersteunen geen schema's voor sitegegevens. De overdracht van globale gegevens kan niet worden gepland.

Wanneer u een schema van databasereplicatiekoppelingen configureert, kunt u de overdracht van geselecteerde sitegegevens vanaf de primaire site naar de centrale beheersite beperken, en kunt u de verschillende tijdstippen configureren waarop de verschillende typen sitegegevens moeten worden gerepliceerd.

Zie de sectie Netwerkbandbreedtegebruik tussen sites beheren in dit onderwerp voor meer informatie over het reguleren van het netwerkbandbreedtegebruik tussen Configuration Manager-sites.

Plan voor samenvatting van databasereplicatieverkeer

Voor System Center 2012 Configuration Manager SP1 en later:

Vanaf Configuration Manager SP1 vat elke site periodiek gegevens samen over het netwerkverkeer dat databasereplicatiekoppelingen waar de site deel van uitmaakt, passeert. Deze samengevatte gegevens worden gebruikt in rapporten voor databasereplicatie. Beide sites op een replicatiekoppeling vatten het netwerkverkeer samen dat de replicatiekoppeling passeert. De samenvatting van gegevens wordt uitgevoerd door de SQL Server waarop de sitedatabase wordt gehost. Na het samenvatten van de gegevens wordt deze informatie gerepliceerd naar andere sites als globale gegevens.

De samenvatting wordt standaard om de 15 minuten uitgevoerd. U kunt de frequentie van het samenvatten voor netwerkverkeer wijzigen door het Samenvattingsinterval te wijzigen in de eigenschappen van de databasereplicatiekoppeling. De samenvattingsfrequentie heeft een invloed op de informatie die u ziet in rapporten over databasereplicatie. U kunt dit interval instellen tussen 5 en 60 minuten. Als u de samenvattingsfrequentie verhoogt, verhoogt u de verwerkingsbelasting op de SQL Server op elke site op de replicatiekoppeling.

Plan voor drempelwaarden voor databasereplicatie

Drempelwaarden voor databasereplicatie definiëren wanneer de status van een databasereplicatiekoppeling als gedegradeerd of mislukt wordt gerapporteerd. Standaard wordt een koppeling ingesteld op gedegradeerd wanneer een replicatiegroep geen replicatie kan uitvoeren voor een periode van 12 opeenvolgende pogingen; de koppeling wordt op mislukt ingesteld wanneer een replicatiegroep geen replicatie kan uitvoeren voor een periode van 24 opeenvolgende pogingen.

Vanaf Configuration Manager SP1 kunt u aangepaste waarden opgeven om af te stemmen wanneer Configuration Manager een replicatiekoppeling als gedegradeerd of mislukt rapporteert. Vóór Configuration Manager SP1 was het niet mogelijk om deze drempels aan te passen. Het aanpassen wanneer Configuration Manager elke status voor uw databasereplicatiekoppelingen rapporteert, kan u helpen bij het bewaken van de gezondheid van databasereplicatie voor uw databasereplicatiekoppelingen.

Het is mogelijk dat één of een aantal replicatiegroepen niet kunnen repliceren terwijl andere replicatiegroepen het wel kunnen. Daarom dient u de replicatiestatus van een replicatiekoppeling te controleren als er voor het eerst de status gedegradeerd wordt gerapporteerd. Als er herhaalde vertragingen zijn voor specifieke replicatiegroepen en hun vertraging geen probleem veroorzaakt, of wanneer de netwerkkoppeling tussen sites een lage beschikbare bandbreedte heeft, overweeg dan om de waarden aan te passen voor een nieuwe poging voor de gedegradeerde of mislukte status van de koppeling. Als u het aantal nieuwe pogingen verhoogt voordat de koppeling op gedegradeerd of mislukt wordt ingesteld, kunt u valse waarschuwingen voor bekende problemen elimineren. Op die manier kunt u de status van de koppeling nauwkeuriger opvolgen.

Controleer ook het interval voor replicatiesynchronisatie voor elke replicatiegroep om te begrijpen hoe vaak de replicatie van die groep zich voordoet. U kunt ook het Synchronisatie-interval voor replicatiegroepen bekijken in het tabblad Replicatiedetails van een replicatiekoppeling in het knooppunt Databasereplicatie in de werkruimte Bewaking.

Zie de sectie Bewaken van databasereplicatiekoppelingen en replicatiestatus in het onderwerp Configuration Manager-sites en -hiërarchie bewaken voor meer informatie over het controleren van databasereplicatie, inclusief het weergeven van de replicatiestatus.

Zie Besturingselementen voor sitedatabasereplicatie voor meer informatie over het configureren van drempelwaarden voor databasereplicatie.

Besturingselementen voor sitedatabasereplicatie

Voor System Center 2012 Configuration Manager SP1 en later:

Elke sitedatabase ondersteunt configuraties die u kunnen helpen bij het controleren van de netwerkbandbreedte die wordt gebruikt voor databasereplicatie. Deze configuraties zijn alleen van toepassing op de sitedatabase waar u de instellingen configureert. Ze worden altijd gebruikt wanneer de site gegevens repliceert aan de hand van databasereplicatie naar een andere site.

Besturingselementen voor replicatie voor elke sitedatabase zijn:

  • Wijzig de poort die Configuration Manager gebruikt voor de SQL Server Service Broker.

  • Configureer de wachttijd voordat het mislukken van de replicatie de site activeert om zijn kopie van de sitedatabase opnieuw te initialiseren.

  • Configureer een sitedatabase om de gegevens te comprimeren die deze repliceert door databasereplicatie. De gegevens worden alleen gecomprimeerd voor overdracht tussen sites en niet voor opslag in de sitedatabase van iedere site.

U kunt de besturingselementen voor replicatie voor een sitedatabase configureren door de eigenschappen van de sitedatabase te bewerken in de Configuration Manager-console vanuit het knooppunt Databasereplicatie. Dit knooppunt verschijnt in het knooppunt Hiërarchieconfiguratie in de werkruimte Beheer en ook in de werkruimte Bewaking. Selecteer de replicatiekoppeling tussen de sites en open vervolgens ofwel Eigenschappen bovenliggende database of Eigenschappen onderliggende database om de eigenschappen van de sitedatabase te bewerken.

Tip

U kunt de besturingselementen voor databasereplicatie configureren in het knooppunt Databasereplicatie in beide werkruimten. Als u echter het knooppunt Databasereplicatie gebruikt in de werkruimte Bewaking, kunt u ook de status van de databasereplicatie bekijken voor een replicatiekoppeling en het hulpprogramma Replication Link Analyzer openen om u te helpen bij het onderzoeken van replicatieproblemen.

Zie Besturingselementen voor databasereplicatie configureren voor meer informatie over het configureren van de besturingselementen voor databasereplicatie. Zie Sitedatabasereplicatie bewaken voor meer informatie over het bewaken van replicaties.

Intrasitecommunicatie in Configuration Manager plannen

Elke Configuration Manager-site bevat een siteserver en een of meer extra sitesysteemservers die als host fungeren voor sitesysteemrollen. Voor Configuration Manager moet elke sitesysteemserver lid zijn van een Active Directory-domein.Configuration Manager biedt geen ondersteuning voor het wijzigen van de computernaam of het lidmaatschap van een domein terwijl de computer een sitesysteem blijft.

Als Configuration Manager-sitesystemen of -onderdelen communiceren over het netwerk naar andere sitesystemen of Configuration Manager-onderdelen in de site, gebruiken ze SMB (Server Message Block), HTTP of HTTPS. De communicatiemethode is afhankelijk van de methode die u kiest om de site te configureren. Met uitzondering van de communicatie van de siteserver naar een distributiepunt kan deze server-naar-server-communicatie in een site zich op elk moment voordoen en gebruiken deze geen mechanismen om de netwerkbandbreedte te controleren. U kunt de communicatie tussen sitesystemen niet controleren. Zorg er daarom voor dat u sitesysteemservers installeert op locaties met goed verbonden en snelle netwerken.

U kunt de volgende opties gebruiken om u te helpen bij het beheren van de overdracht van inhoud van de siteserver naar distributiepunten:

  • Configureer netwerkbandbreedtebeheer en -planning op het distributiepunt. Deze besturingselementen zijn vergelijkbaar met de configuraties die worden gebruikt door intersite-adressen en vaak kunt u deze configuratie gebruiken in plaats van een andere Configuration Manager-site als de overdracht van inhoud naar externe netwerklocaties uw belangrijkste overweging inzake bandbreedte is.

  • U kunt een distributiepunt installeren als een voorbereid distributiepunt. Een voorbereid distributiepunt laat u inhoud gebruiken die handmatig op de distributiepuntserver wordt geplaatst en verwijdert de vereiste om inhoudsbestanden over het netwerk over te dragen.

Zie Overwegingen voor netwerkbandbreedte voor distributiepunten in Inhoudsbeheer plannen in Configuration Manager voor meer informatie over zaken om rekening mee te houden voor de netwerkbandbreedte.

Clientcommunicatie plannen in Configuration Manager

Configuration Manager clients en beheerde apparaten communiceren met computers die Configuration Manager-infrastructuur hosten zoals sitesysteemservers en andere clients, met domeininfrastructuur zoals DNS of Active Directory Domain Services, en met services op internet.

Houd rekening met het volgende bij het plannen van clientcommunicatie:

Communicatiescenario's

Meer informatie

Communicatie gestart door clients

Clients starten communicatie met het volgende:

  • Beheerpunten: voor het verzenden van gegevens over voorraad, status en detectie. Het beheerpunt is het primaire contactpunt van de client voor een site.

  • Verschillende domeinservices: voor het aanvragen van een service bij domeinservices, zoals Active Directory Domain Services en DNS (voor servicelocatiebepaling).

  • Inhoudstoegang: voor het gebruiken van inhoud van distributiepunten op servers, peercomputers en cloudservices.

  • Software-updatepunten: voor het downloaden en installeren van updates die u implementeert.

  • Microsoft Update: voor het onderhouden van antimalware-bescherming.

  • Extra sitesysteemservers:

    • Application Catalog-websitepunt

    • Configuration Manager-beleidsmodule (NDES)

    • Terugvalstatuspunt

    • Statusmigratiepunt

    • Systeemstatuscontrole

Servicelocatiebepaling

Servicelocatiebepaling is de methode waarmee clients een toegewezen site identificeren en beheerpunten dynamisch vinden.

Beheerpunten zijn het primaire contactpunt voor clients en worden gebruikt voor:

  • Informatie over andere beschikbare beheerpunten

  • Downloaden van clientbeleid

  • Verzenden van clientgegevens naar de site, zoals gegevens over de status, inventaris en detectie.

Gebruik de informatie in de volgende secties om communicatie te plannen door op Windows gebaseerde clients.

Vanaf Configuration Manager SP1 kunt u clients beheren waarop Linux en UNIX wordt uitgevoerd. Clients waarop Linux en UNIX wordt uitgevoerd functioneren als clients in werkgroepen. Zie Plannen voor de communicatie tussen forests in Configuration Manager in dit onderwerp voor informatie over ondersteunende computers die zich in werkgroepen bevinden. Zie de sectie in het onderwerp Planning voor clientimplementatie voor Linux- en UNIX-Servers voor meer informatie over communicatie voor clients met Linux en UNIX.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_PlanningforCommunicationsforLnU

Communicatie gestart door clients

Clients starten communicatie met sitesysteemrollen, Active Directory Domain Services en onlineservices. Voor het inschakelen van deze communicatie moet in de firewalls het netwerkverkeer tussen clients en het eindpunt van de communicatie worden toegestaan. Eindpunten zijn:

  • Beheerpunten waarvan clients clientbeleid downloaden.

  • Distributiepunten waarvan clients inhoud downloaden.

  • Software-updatepunten

  • De volgende aanvullende sitesysteemrollen, elk voor functiespecifieke taken:

    • Application Catalog-websitepunt

    • Configuration Manager-beleidsmodule (NDES)

    • Terugvalstatuspunt

    • Statusmigratiepunt

    • Systeemstatuscontrolepunt

  • Verschillende domeinservices, zoals Active Directory Domain Services en DNS (voor servicelocatiebepaling).

  • Microsoft Update voor het onderhouden van antimalware-bescherming.

  • Cloudresources, zoals Microsoft Update of Microsoft Azure en Microsoft Intune bij het gebruik van deze services cloudservices met Configuration Manager.

Zie Technische naslaginformatie voor gebruikte poorten in Configuration Manager voor meer informatie over de poorten en protocollen die door clients worden gebruikt wanneer ze met eindpunten communiceren.

Voordat een client met een sitesysteemrol kan communiceren, maakt de client gebruik van servicelocatiebepaling om een sitesysteemrol te vinden die het clientprotocol (HTTP of HTTPS) ondersteunt. Standaard gebruiken clients de meest beveiligde methode die voor hen beschikbaar is:

  • U moet een PKI (Public Key Infrastructure) hebben en u moet PKI-certificaten installeren op clients en servers om HTTPS te gebruiken. Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over het gebruik van certificaten.

  • Wanneer u een sitesysteemrol implementeert die gebruikmaakt van Internet Information Services (IIS) en communicatie van clients ondersteunt, moet u opgeven of clients verbinding met het sitesysteem maken via HTTP of HTTPS. Als u HTTP gebruikt, dient u ook opties voor ondertekening en versleuteling te overwegen. Zie Planning voor ondertekening en versleuteling voor meer informatie.

De volgende sitesysteemrollen en services ondersteunen HTTPS-communicatie van clients:

  • Application Catalog-websitepunt

  • Configuration Manager-beleidsmodule

  • Distributiepunt (HTTPS is vereist voor cloudgebaseerde distributiepunten)

  • Beheerpunt

  • Software-updatepunt

  • Statusmigratiepunt

Naast de voorgaande informatie moet u voor het plannen van clients in niet-vertrouwde locaties 'Overwegingen voor clientcommunicatie via internet of een niet-vertrouwd forest' raadplegen.

Servicelocatiebepaling en hoe het toegewezen beheerpunt voor clients wordt bepaald

Het standaardbeheerpunt van de toegewezen site voor een client wordt bepaald wanneer de client de eerste keer wordt geïnstalleerd en aan een site wordt toegewezen. Nadat het standaardbeheerpunt van de site voor een client is gevonden, wordt dat beheerpunt het toegewezen beheerpunt voor de client. Deze toewijzing wordt bepaald door de client.

  • Vanaf cumulatieve update 3 voor System Center 2012 R2 Configuration Manager kunt u HYPERLINK "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx" beheerpuntaffiniteit gebruiken om een client te configureren voor het gebruik van een of meer specifieke beheerpunten.

  • Beginnen met System Center 2012 Configuration Manager SP2, u kunt voorkeursbeheerpunten gebruiken. Een voorkeursbeheerpunt is een beheerpunt dat is gekoppeld aan een grensgroep als sitesysteemserver, vergelijkbaar met de manier waarop distributiepunten of statusmigratiepunten zijn gekoppeld aan een grensgroep. Als u voorkeursbeheerpunten voor de hiërarchie inschakelt, zal een client die een beheerpunt van de toegewezen site gebruikt, proberen eerst een voorkeursbeheerpunt te gebruiken voordat andere beheerpunten worden gebruikt.

Nadat een client een toegewezen beheerpunt heeft gekregen, wordt regelmatig een verzoek om servicelocatiebepaling uitgevoerd voor het standaardbeheerpunt van de site, mocht deze zijn gewijzigd.

Telkens wanneer een client een te gebruiken beheerpunt moet identificeren, wordt een lijst met bekende beheerpunten gecontroleerd (bekend als de MP-lijst) die lokaal wordt opgeslagen in WMI. De client maakt een initiële MP-lijst bij installatie en vervolgens wordt de lijst periodiek bijgewerkt met informatie over elk beheerpunt in de hiërarchie.

Wanneer de client geen geldig beheerpunt kan vinden in de MP-lijst, wordt vervolgens in de aangegeven volgorde gezocht in de volgende bronnen voor servicelocatiebepaling totdat een bruikbaar beheerpunt is gevonden:

  1. Beheerpunt

  2. Active Directory Domain Services

  3. DNS

  4. WINS

Nadat een client een beheerpunt heeft gezocht en verbonden, wordt de huidige lijst met beheerpunten gedownload die beschikbaar zijn in de hiërarchie en wordt de lokale lijst bijgewerkt. Dit geldt ook voor clients die lid zijn van een domein en voor clients die dat niet zijn.

Bijvoorbeeld: wanneer een Configuration Manager-client op internet verbinding maakt met een internetgebaseerd beheerpunt, wordt door het beheerpunt een lijst met beschikbare internetgebaseerde beheerpunten in de site verzonden naar de client. Op deze manier ontvangen clients in een domein of werkgroep ook de lijst met beheerpunten die mogelijk kunnen worden gebruikt.

  • Aan een client die niet is geconfigureerd voor internet zouden geen beheerpunten beschikbaar worden gesteld die alleen op internet zijn gebaseerd.

  • Werkgroepclients die zijn geconfigureerd voor internet communiceren alleen met beheerpunten die op internet zijn gericht.

Hieronder vindt u informatie over elke bron voor servicelocatiebepaling:

De MP-lijst

Een MP-lijst van een client is de voorkeursbron voor servicelocatiebepaling omdat deze een geprioriteerde lijst met beheerpunten is die eerder is geïdentificeerd door de client. Deze lijst wordt door elke client gesorteerd op basis van de netwerklocatie wanneer de client de lijst bijgewerkt, en de lijst wordt vervolgens lokaal opgeslagen op de client in WMI.

Samenstellen van de initiële MP-lijst

Tijdens de installatie van de client worden de volgende regels gebruikt voor het samenstellen van de initiële MP-lijst van de client:

  • De initiële lijst bevat beheerpunten die zijn opgegeven tijdens de clientinstallatie (wanneer u de opties SMSMP= of /MP gebruikt).

  • De client vraagt gepubliceerde beheerpunten op in Active Directory Domain Services (AD DS). Het beheerpunt kan alleen worden geïdentificeerd vanuit AD DS als het beheerpunt afkomstig is uit de toegewezen site van de client en van dezelfde productversie is als de client.

  • Als er geen beheerpunt is opgegeven tijdens de clientinstallatie en het Active Directory-schema niet is uitgebreid, controleert de client in DNS en WINS op gepubliceerde beheerpunten.

  • Tijdens het samenstellen van de initiële lijst is informatie over een aantal beheerpunten in de hiërarchie mogelijk niet bekend.

De lijst met beheerpunten ordenen

Clients ordenen hun lijst met beheerpunten met behulp van de volgende classificaties:

  • Proxy: Een proxy-beheerpunt is een beheerpunt in een secundaire site.

  • Lokaal: elk beheerpunt dat is gekoppeld aan de huidige netwerklocatie van de client, zoals gedefinieerd door de grenzen van de site.

    • Wanneer een client tot meer dan een grensgroep behoort, wordt de lijst met lokale beheerpunten bepaald door de samenvoeging van alle grenzen die de huidige netwerklocatie van de client bevatten.

    • Meestal zijn lokale beheerpunten een deelverzameling van toegewezen beheerpunten van een client tenzij de client zich op een netwerklocatie bevindt die is gekoppeld aan een andere site met beheerpunten die diens grensgroepen onderhoudt.

  • Toegewezen: Elk beheerpunt dat een sitesysteem is voor de toegewezen site van een client.

    Beginnen met System Center 2012 Configuration Manager SP2, u kunt voorkeursbeheerpunten gebruiken. Voorkeursbeheerpunten zijn beheerpunten van een toegewezen site van een client, die zijn gekoppeld aan een grensgroep die de client gebruikt om de sitesysteemservers te vinden.

    Beheerpunten op een site die niet zijn gekoppeld aan een grensgroep, of die niet zijn opgenomen in een grensgroep die is gekoppeld aan de huidige netwerklocatie van de client, worden niet beschouwd als voorkeursbeheerpunten en worden gebruikt als de client geen beschikbaar voorkeursbeheerpunt vindt.

Een te gebruiken beheerpunt selecteren

Voor de gebruikelijke communicatie probeert een client in de volgende volgorde een beheerpunt uit de classificaties te gebruiken, op basis van de netwerklocatie van de client:

  1. Proxy

  2. Lokaal

  3. Toegewezen

De client gebruikt het toegewezen beheerpunt echter altijd voor registratieberichten en bepaalde beleidsberichten, zelfs wanneer andere berichten worden verzonden naar een proxy of lokaal beheerpunt.

In elke classificatie (proxy, lokaal of toegewezen) proberen clients in deze volgorde een beheerpunt te gebruiken op basis van voorkeuren:

  1. Met HTTPS-ondersteuning in een vertrouwd of lokaal forest (wanneer de client is geconfigureerd voor HTTPS-communicatie)

  2. Met HTTPS-ondersteuning maar niet in een vertrouwd of lokaal forest (wanneer de client is geconfigureerd voor HTTPS-communicatie)

  3. Met HTTP-ondersteuning in een vertrouwd of lokaal forest

  4. Met HTTP-ondersteuning maar niet in een vertrouwd of lokaal forest

Clients proberen het eerste beheerpunt te gebruiken in de lijst met beheerpunten die zijn gesorteerd op voorkeuren:

  • Deze gesorteerde lijst beheerpunten is willekeurig en kan niet worden gerangschikt.

  • De volgorde van de lijst kan telkens worden gewijzigd wanneer de MP-lijst wordt bijgewerkt door de client.

Als een client geen verbinding met het eerste beheerpunt kan maken, wordt geprobeerd verbinding met het volgende beheerpunt te maken. Hierbij worden de voorkeursbeheerpunt in de classificatie eerst geprobeerd vóór de niet-voorkeursbeheerpunten. Als een client niet met een beheerpunt in de classificatie kan communiceren, wordt geprobeerd verbinding te maken met een voorkeursbeheerpunt in de volgende classificatie enzovoort, totdat een bruikbaar beheerpunt is gevonden.

Nadat de communicatie met een beheerpunt tot stand is gebracht, blijven clients hetzelfde beheerpunt gebruiken totdat:

  • 25 uur zijn verstreken, in welk geval de client een willekeurig nieuw beheerpunt kiest.

  • De client binnen een periode van tien minuten tot vijf keer niet kan communiceren met het beheerpunt, in welk geval een nieuw beheerpunt wordt gekozen.

Active Directory

Clients die lid zijn van een domein kunnen Active Directory Domain Services (AD DS) gebruiken voor servicelocatiebepaling. Hiervoor moeten sites gegevens publiceren naar Active Directory.

Clients kunnen Active Directory Domain Services gebruiken voor servicelocatiebepaling als aan de volgende voorwaarden wordt voldaan:

Als een client geen bruikbaar beheerpunt voor servicelocatiebepaling kan vinden via AD DS, wordt geprobeerd DNS te gebruiken. Clients die lid zijn van een domein kunnen AD DS gebruiken voor servicelocatiebepaling. Hiervoor moeten sites gegevens publiceren naar Active Directory.

DNS

Clients op intranet kunnen DNS gebruiken voor servicelocatiebepaling. Hiervoor moet ten minste één site in een hiërarchie informatie over beheerpunten publiceren naar DNS.

Overweeg het gebruik van DNS voor servicelocatiebepaling als aan de volgende voorwaarden wordt voldaan:

  • Het Active Directory Domain Services-schema is niet uitgebreid om Configuration Manager te ondersteunen.

  • Clients op het intranet bevinden zich in een forest dat niet is ingeschakeld voor Configuration Manager-publishing.

  • Clients bevinden zich op werkgroepcomputers en ze zijn niet geconfigureerd voor clientbeheer alleen op internet. (Een werkgroepclient die is geconfigureerd voor Internet communiceert alleen met beheerpunten voor internet en maakt geen gebruik van DNS voor servicelocatiebepaling.)

  • U kunt clients configureren voor het zoeken van beheerpunten via DNS.

Wanneer een website records voor servicelocatiebepaling van beheerpunten publiceert naar DNS:

  • Is de publicatie alleen van toepassing op beheerpunten die clientverbindingen van intranet accepteren.

  • Wordt bij de publicatie een Service Location Resource Record (SRV RR) toegevoegd aan de DNS-zone van de beheerpuntcomputer. Er moet een overeenkomende hostvermelding in DNS staan voor de computer.

Standaard zoekt een client in een domein in DNS naar beheerpuntrecords vanuit het lokale domein van de client. U kunt een clienteigenschap configureren met een domeinachtervoegsel voor een domein waarvoor beheerpuntinformatie is gepubliceerd naar DNS.

Zie Clientcomputers configureren om beheerpunten te vinden met DNS-publishing in Configuration Manager voor meer informatie over het configureren van de clienteigenschap van het DNS-achtervoegsel.

Als een client geen bruikbaar beheerpunt voor servicelocatiebepaling kan vinden via DNS, wordt geprobeerd WINS te gebruiken.

Beheerpunten publiceren naar DNS

De volgende voorwaarden moeten waar zijn om beheerpunten te publiceren naar DNS:

  • Uw DNS-servers ondersteunen servicelocatiebronrecords door minstens versie 8.1.2 van BIND te gebruiken.

  • De opgegeven intranet-FQDN's voor de beheerpunten in Configuration Manager hebben hostvermeldingen (bv. A-bronnen) in DNS.

System_CAPS_importantBelangrijk

Configuration Manager DNS-publishing ondersteunt geen niet-aaneengesloten naamruimten. Als u een niet-aaneengesloten naamruimte hebt, kunt u beheerpunten handmatig naar DNS publiceren of een van de andere alternatieve servicelocatiemethoden gebruiken die in deze sectie zijn gedocumenteerd.

Als uw DNS-servers automatische updates ondersteunen, kunt u Configuration Manager configureren om beheerpunten automatisch te publiceren op het intranet naar DNS. U kunt deze records ook handmatig publiceren naar DNS. Als beheerpunten naar DNS worden gepubliceerd, worden hun intranet-FQDN en poortnummer gepubliceerd in het servicelocatierecord (SRV-record). DNS-publicatie op een site configureert u in Eigenschappen van beheerpuntonderdeel voor de site. Zie Siteonderdelen configureren in Configuration Manager voor meer informatie.

U kunt beheerpunten handmatig naar DNS publiceren als uw DNS-servers geen automatische updates, maar wel servicelocatierecords ondersteunen. Hiervoor moet u handmatig het servicelocatiebronrecord (SRV RR) in DNS opgeven.

Configuration Manager ondersteunt RFC 2782 voor servicelocatierecords. Deze hebben de volgende indeling:

_Service._Proto.Naam TTL Klasse SRV Prioriteit Gewicht Poort Doel

Geef de volgende waarden op om een beheerpunt te publiceren naar Configuration Manager:

  • _Service: Voer _mssms_mp*_<sitecode>* in, waarbij <sitecode> de sitecode van het beheerpunt is.

  • ._Proto: Specificeer ._tcp.

  • .Naam: Voer het DNS-achtervoegsel in van het beheerpunt (bv. contoso.com).

  • TTL: Voer 14400 in; dit is gelijk aan vier uur.

  • Klasse: Specificeer IN (in overeenstemming met RFC 1035).

  • Prioriteit: Dit veld wordt niet gebruikt door Configuration Manager.

  • Gewicht: Dit veld wordt niet gebruikt door Configuration Manager.

  • Poort: Voer het poortnummer in dat het beheerpunt gebruikt, bijvoorbeeld 80 voor HTTP en 443 voor HTTPS.

    Notitie

    De poort voor de SRV-record moet overeenkomen met de communicatiepoort die wordt gebruikt door het beheerpunt. Dit is standaard 80 voor HTTP-communicatie en 443 voor HTTPS-communicatie.

  • Doel: Voer het intranet-FQDN in dat is opgegeven voor het sitesysteem dat is geconfigureerd met de siterol van het beheerpunt.

Als u Windows Server DNS gebruikt, kunt u de volgende procedure gebruiken om dit DNS-record in te voeren voor intranet-beheerpunten. Als u een verschillende implementatie voor DNS gebruikt, dient u de informatie in deze sectie over de veldwaarden te gebruiken en de DNS-documentatie te raadplegen om deze procedure aan te passen.

Automatische publicatie configureren:

  1. In de Configuration Manager-console vouwt u beheer > Site-configuratie > Sites uit.

  2. Selecteer uw site en klik vervolgens op Siteonderdelen configureren.

  3. Selecteer Beheerpunt.

  4. Selecteer de beheerpunten die u wilt publiceren. (Deze selectie geldt voor publicatie naar AD DS en DNS.)

  5. Schakel het selectievakje in om te publiceren naar DNS:

    - In dit dialoogvenster kunt u de te publiceren beheerpunten selecteren en kunt u publiceren naar DNS.

- Via dit dialoogvenster kunt u niet publicatie naar AD DS configureren.
Handmatig beheerpunten publiceren naar DNS op Windows Server

  1. Geef de intranet-FQDN's van sitesystemen op in de Configuration Manager-console.

  2. Selecteer de DNS-zone voor de beheerpuntcomputer in de DNS-beheerconsole.

  3. Verifieer of er een hostrecord is (A of AAAA) voor de intranet-FQDN van het sitesysteem. Maak dit record als het niet bestaat.

  4. Klik, in de optie Nieuwe andere records, op Servicelocatie (SRV) in het dialoogvenster Bronrecordtype, klik op Record maken, geef de volgende informatie in en klik vervolgens op Klaar:

    - **Domein**: Voer, indien nodig, het DNS-achtervoegsel in van het beheerpunt (bv. **contoso.com**).

- **Service**: Typ **\_mssms\_mp***\_\<sitecode\>*, waarbij *\<sitecode\>* de sitecode van het beheerpunt is.

- **Protocol**: Typ **\_tcp**.

- **Prioriteit**: Dit veld wordt niet gebruikt door Configuration Manager.

- **Gewicht**: Dit veld wordt niet gebruikt door Configuration Manager.

- **Poort**: Voer het poortnummer in dat het beheerpunt gebruikt, bijvoorbeeld **80** voor HTTP en **443** voor HTTPS.

  <div class="alert">


  > [!NOTE]
  > <P>De poort voor de SRV-record moet overeenkomen met de communicatiepoort die wordt gebruikt door het beheerpunt. Dit is standaard <STRONG>80</STRONG> voor HTTP-communicatie en <STRONG>443</STRONG> voor HTTPS-communicatie.</P>


  </div>

- **Host die deze service aanbiedt**: Voer het intranet-FQDN in dat is opgegeven voor het sitesysteem dat is geconfigureerd met de siterol van het beheerpunt.

Herhaal deze stappen voor elk beheerpunt op het intranet dat u wilt publiceren naar DNS.

WINS

Als andere servicelocatiemechanismen mislukken, kunnen clients een initieel beheerpunt vinden door WINS te controleren.

Standaard publiceert een primaire site het eerste beheerpunt dat is geconfigureerd voor HTTP en het eerste beheerpunt dat is geconfigureerd voor HTTPS in een site naar WINS.

Als u niet wilt dat clients een HTTP-beheerpunt in WINS vinden, kunt u clients configureren met de Client.msi-eigenschap SMSDIRECTORYLOOKUP=NOWINS van CCMSetup.exe.

Methoden plannen voor ontwaken van clients

Configuration Manager ondersteunt twee Wake on LAN-technologieën om computers in de slaapstandmodus te ontwaken wanneer u vereiste software (zoals software-updates en toepassingen) wenst te installeren: traditionele wake-uppakketten en AMT-inschakelopdrachten.

Vanaf Configuration Manager SP1 kunt u de traditionele wake-uppakketmethode aanvullen door gebruik te maken van de clientinstellingen voor de wake-up-proxy. Wake-up-proxy gebruikt een peer-to-peer-protocol en geselecteerde computers om te controleren of andere computers op het subnet zijn ingeschakeld en om ze, indien nodig, in te schakelen. Als de site is geconfigureerd voor Wake on LAN en clients zijn geconfigureerd voor wake-up-proxy, werkt het proces als volgt:

  1. Computers waarop de Configuration Manager SP1-client is geïnstalleerd en die actief zijn op het subnet, controleren of ander computers op het subnet wel of niet actief zijn. Ze verzenden hiertoe om de vijf seconden een TCP/IP-opdracht ping.

  2. Als deze niet wordt beantwoord, wordt aangenomen dat de computer waaraan deze is verzonden zich in de slaapstand bevindt. De computers die zich niet in de slaapstand bevinden, worden beheercomputer voor het subnet.

    Omdat het mogelijk is dat een computer om een andere reden niet reageert dan dat deze zich in de slaapstand bevindt (bijvoorbeeld omdat deze is uitgeschakeld, omdat deze uit het netwerk is verwijderd of omdat de clientinstelling voor proxy wake-up niet langer wordt toegepast), wordt er iedere dag om 14:00 lokale tijd een ontwaakpakket naar de computers verzonden. Van computers die niet reageren wordt niet langer aangenomen dat deze zich in de slaapstand bevinden en deze worden niet meer benaderd via wake-up proxy.

    Er moeten voor het ondersteunen van wake-up proxy op elke subnet ten minste drie actieve computers aanwezig zijn. Hiertoe worden er op een niet-deterministische wijze drie computers gekozen als bewakers voor het subnet. Dit betekent dat deze ingeschakeld blijven, ondanks eventueel geconfigureerd energiebeheerbeleid voor het inschakelen van de slaapstand of sluimerstand na een periode van inactiviteit. Computers die als bewakers fungeren, nemen opdrachten voor afsluiten en opstarten in acht, die bijvoorbeeld het resultaat zijn van onderhoudstaken. Als een dergelijke situatie zich voordoet, halen de overige computers die als bewaker fungeren een andere computer op het subnet uit de slaapstand, zodat het subnet opnieuw over drie computers beschikt die als bewaker fungeren.

  3. Beheercomputers verzenden een aanvraag naar de netwerkswitch om netwerkverkeer voor de computers in de slaapstand om te leiden.

    Het omleiden wordt verwezenlijkt doordat de beheercomputer een Ethernet-frame uitzendt dat het MAC-adres van de computer in de slaapstand als bronadres gebruikt. Hierdoor reageert het netwerk alsof de computer in de slaapstand naar dezelfde poort is verplaatst als de poort die door de beheercomputer wordt gebruikt. De beheercomputer verzendt tevens ARP-pakketten voor de slapende computers, zodat de vermelding in de ARP-cache actueel blijft. De beheercomputer zal ook namens de computer in de slaapstand reageren op ARP-aanvragen en zal deze beantwoorden met het MAC-adres van de computer die zich in de slaapstand bevindt.

    System_CAPS_warningWaarschuwing

    Gedurende dit proces blijft de IP-aan-MAC-toewijzing voor de computer in de slaapstand hetzelfde. Wake-up proxy werkt volgens het principe dat de netwerkswitch in kennis wordt gesteld van het feit dat een netwerkadapter de poort gebruikt die is geregistreerd door een andere netwerkadapter. Dit gedrag wordt aangeduid met de term MAC flap en is ongebruikelijk voor standaardnetwerkbewerkingen. Sommige hulpmiddelen voor netwerkcontrole detecteren dit gedrag en nemen mogelijk aan dat er iets verkeerd gaat. Als gevolg daarvan kunnen deze hulpmiddelen voor netwerkcontrole meldingen genereren of poorten afsluiten wanneer u wake-up proxy gebruikt.

    Gebruik wake-up proxy niet als uw hulpmiddelen voor netwerkcontrole en service MAC flaps niet toestaan.

  4. Wanneer een beheercomputer een nieuwe TCP-verbindingsaanvraag voor een computer in de slaapstand detecteert en de aanvraag is verzonden naar een poort waarop door een computer in de slaapstand werd geluisterd voordat de slaapstand werd ingeschakeld, verzendt de beheercomputer een ontwaakpakket naar de computer in de slaapstand en wordt het omleiden van verkeer voor deze computer gestopt.

  5. De computer in de slaapstand ontvangt het ontwaakpakket en wordt weer actief. De verzendende computer probeert opnieuw verbinding te maken en deze keer kan de computer die inmiddels actief is, reageren.

Wake-up proxy kent de volgende vereisten en beperkingen:

System_CAPS_importantBelangrijk

Als u over een afzonderlijk team beschikt dat verantwoordelijk is voor de netwerkinfrastructuur en netwerkservice, is het raadzaam om dit team te waarschuwen en te betrekken bij uw evaluatie en testperiode. In een netwerk met 802.1X-netwerktoegangsbeheer werkt de functie Wake-up proxy inschakelen bijvoorbeeld niet en kan de netwerkservice worden onderbroken. Daarnaast kan het gebruik van wake-up proxy ertoe leiden dat sommige hulpmiddelen voor netwerkbeheer waarschuwingen genereren wanneer de hulpmiddelen verkeer voor het uit de slaapstand halen van computers detecteren.

  • De ondersteunde clients zijn Windows 7, Windows 8, Windows Server 2008 R2 en Windows Server 2012.

  • Gastbesturingssystemen die op een virtuele machine worden uitgevoerd, worden niet ondersteund.

  • Clients moeten Configuration Manager SP1 uitvoeren en via clientinstellingen zijn ingesteld voor wake-up proxy. Hoewel wake-up proxy niet afhankelijk is van hardware-inventaris, wordt het installeren van de wake-up proxyservice door clients niet gerapporteerd, tenzij deze zijn ingeschakeld voor hardware-inventaris en ten minste één hardware-inventaris hebben verzonden.

  • Netwerkadapters (en mogelijk de BIOS) moeten zijn ingeschakeld en geconfigureerd voor ontwaakpakketten. Als de netwerkadapter niet voor ontwaakpakketten is geconfigureerd of deze instelling is uitgeschakeld, zal Configuration Manager deze automatisch voor een computer configureren en inschakelen wanneer de clientinstelling voor het inschakelen van wake-up proxy wordt ontvangen.

  • Als een computer meer dan één netwerkadapter heeft, kunt u niet configureren welke adapter voor wake-up proxy gebruikt. De keuze komt op een niet-deterministische wijze tot stand. De gekozen adapter wordt echter vastgelegd in het bestand SleepAgent_<DOMAIN>@SYSTEM_0.log.

  • Het netwerk moet (in elk geval binnen het subnet) ICMP-echoaanvragen toestaan. Het is niet mogelijk om het interval van vijf seconden tussen het verzenden van de ICMP-opdrachten van het type ping te configureren.

  • Communicatie wordt niet versleuteld en niet-geverifieerd en IPsec wordt niet ondersteund.

  • De volgende netwerkconfiguraties worden niet ondersteund:

    • 802.1X met poortverificatie

    • Draadloze netwerken

    • Netwerkswitches die MAC-adressen aan bepaalde poorten binden

    • Netwerken die alleen IPv6 gebruiken

    • Een DHCP-leaseduur die korter is dan 24 uur

Als aanbevolen beveiligingsprocedure, is het raadzaam om, waar mogelijk, AMT-inschakelopdrachten te gebruiken in plaats van ontwaakpakketten. Omdat AMT-inschakelopdrachten PKI-certificaten gebruiken voor het beveiligen van de communicatie, is deze technologie veiliger dan het verzenden van ontwaakpakketten. Voor het gebruik van AMT-inschakelopdrachten moeten de computers op Intel AMT gebaseerde computers zijn die zijn ingericht voor AMT. Zie Configuration Manager voor meer informatie over hoe Inleiding tot out-of Bandbeheer in Configuration Manager op ATM gebaseerde computers kan beheren.

Als u computers uit de slaapstand wilt halen voor een geplande software-installatie, moet u elke primaire site configureren voor een van de volgende drie opties:

  • Gebruik AMT-inschakelopdrachten als de computer dit ondersteunt of gebruik anders ontwaakpakketten

  • Alleen AMT-inschakelopdrachten gebruiken.

  • Alleen ontwaakpakketten gebruiken.

Als u wake-up proxy wilt gebruiken met Configuration Manager SP1, moet u clientinstellingen voor energiebeheer voor wake-up proxy implementeren en de optie Alleen ontwaakpakketten gebruiken selecteren.

Gebruik de volgende tabel voor meer informatie over de verschillen tussen de twee Wake-on-LAN-technologieën (WOL): traditionele ontwaakpakketten en inschakelopdrachten.

Technologie

Voordeel

Nadeel

Traditionele ontwaakpakketten

Vereist geen aanvullende sitesysteemrol op de site.

Ondersteund door een groot aantal netwerkadapters.

UDP-ontwaakpakketten kunnen snel worden verzonden en verwerkt.

Vereist geen PKI-infrastructuur.

Vereist geen wijzigingen in Active Directory Domain Services.

Ondersteund op werkgroepcomputers, computers vanuit een ander Active Directory-forest en computers in hetzelfde Active Directory-forest die een niet-aaneengesloten naamruimte gebruiken.

Een minder veilige oplossing dan AMT-inschakelopdrachten omdat deze geen verificatie of versleuteling gebruikt. Als door er het subnet aangestuurde broadcastverzendingen voor de ontwaakpakketten worden gebruikt, brengt dit het beveiligingsrisico van zogeheten smurf-aanvallen met zich mee.

Vereist mogelijk handmatige configuratie op de afzonderlijke computers voor BIOS-instellingen en adapterconfiguratie.

Er is geen bevestiging dat de computers uit de slaapstand zijn gehaald.

Ontwaakverzendingen, zoals meervoudige UDP-pakketten (User Datagram Protocol) kunnen de beschikbare netwerkbandbreedte onnodig verzadigen.

Tenzij u wake-up proxy gebruikt met Configuration Manager SP1, kunnen computers niet interactief uit de slaapstand worden gehaald.

Kan computers niet opnieuw in de slaapstand plaatsen.

Beheerfuncties zijn uitsluitend beperkt tot het uit de slaapstand halen van computers.

AMT-inschakelopdrachten

Een veiligere oplossing dan traditionele ontwaakpakketten omdat deze verificatie en versleuteling op basis van standaardbeveiligingsprotocollen biedt. Deze oplossing kan ook worden geïntegreerd met een bestaande PKI-implementatie en de beveiligingsbesturingselementen kunnen onafhankelijk van het product worden beheerd.

Ondersteunt automatische gecentraliseerde installatie en configuratie (AMT-inrichting).

Tot stand gebrachte transportsessie voor een betrouwbaardere verbinding die bovendien controleerbaar is.

Computers kunnen interactief uit de slaapstand worden gehaald (en opnieuw worden gestart).

Computers kunnen interactief worden uitgeschakeld.

Aanvullende beheermogelijkheden, waaronder het volgende:

  • Het opnieuw opstarten van een computer die niet functioneert en opstarten vanaf een lokaal verbonden apparaat of een bekend goed installatiekopiebestand.

  • Het opnieuw aanbrengen van een installatiekopie op een computer door opstarten vanaf een installatiekopiebestand dat zich op het netwerk bevindt of via een PXE-server.

  • Het opnieuw configureren van de BIOS-instellingen op een geselecteerde computer en het omzeilen van het BIOS-wachtwoord als de BIOS-fabrikant daar ondersteuning voor biedt.

  • Opstarten naar een op opdrachten gebaseerd besturingssysteem voor het uitvoeren van opdrachten, herstelhulpprogramma's of diagnostische toepassingen (bijvoorbeeld voor het upgraden van de firmware of het uitvoeren van een hulpprogramma voor schrijfherstel).

Vereist dat de site is voorzien van een buiten-bandservicepunt en inschrijvingspunt.

Alleen ondersteund op computers met de Intel vPro-chipset en een ondersteunde versie van de Intel Active Management Technology-firmware (Intel AMT). Zie voor meer informatie over welke ATM-versies worden ondersteund.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.

De transportsessie vereist meer tijd voor het tot stand brengen, kent een intensievere verwerking op de server en er is sprake van een grotere hoeveelheid gegevens die wordt overgebracht.

Vereist specifieke certificaten en een PKI-implementatie.

Vereist een Active Directory-container die is gemaakt en geconfigureerd voor het publiceren van op AMT-gebaseerde computers.

Biedt geen ondersteuning voor werkgroepcomputers, computers vanuit een ander Active Directory-forest en computers in hetzelfde Active Directory-forest die een niet-aaneengesloten naamruimte gebruiken.

Vereist wijzigingen in DNS en DHCP ter ondersteuning van AMT-inrichting.

Kies hoe computers uit de slaapstand moeten worden gehaald op basis van of u ondersteuning kunt bieden voor AMT-inschakelopdrachten en op basis van of de computers die aan de site zijn toegewezen, ondersteuning bieden voor Wake-on-LAN-technologie. Overweeg daarnaast de voordelen en nadelen van beide technologieën die in de tabel hiervoor zijn weergegeven. Ontwaakpakketten zijn bijvoorbeeld minder betrouwbaar en zijn niet beveiligd, maar inschakelopdrachten vergen meer tijd voor het tot stand brengen en vereisen een intensievere verwerking op de sitesysteemserver die is geconfigureerd met het buiten-bandservicepunt.

System_CAPS_importantBelangrijk

Vanwege de extra overhead die samenhangt met het tot stand brengen, onderhouden en beëindigen van een buiten-bandbeheersessie met op AMT gebaseerde computers, is het van belang dat u uw eigen tests uitvoert, zodat u op een nauwkeurige wijze kunt beoordelen hoelang het in uw omgeving duurt om meerdere computers uit de slaapstand te halen via AMT-inschakelopdrachten (bijvoorbeeld via langzame WAN-koppelingen met computers in secundaire sites). Deze kennis helpt u om te bepalen of het voor geplande activiteiten uit de slaapstand halen van meerdere computers via AMT-inschakelopdrachten praktisch is wanneer u binnen korte tijd een groot aantal computers uit de slaapstand moet halen.

Als u besluit om traditionele ontwaakpakketten te gebruiken, moet u ook bepalen of u via het subnet aangestuurde broadcastpakketten of unicastpakketten wilt gebruiken en welk UDP-poortnummer er moet worden gebruikt. Traditionele ontwaakpakketten worden standaard verzonden via UDP-poort 9, maar helpen de beveiliging te verbeteren. U kunt een alternatieve poort voor de site selecteren als deze alternatieve poort wordt ondersteund door interveniërende routers en firewalls.

Voor traditionele ontwaakpakketten: Kies tussen unicast en op het subnet gerichte broadcasts voor Wake-on-LAN

Als u ervoor kies om computers uit de slaapstand te halen door het verzenden van traditionele ontwaakpakketten, moet u bepalen of u unicastpakketten of op het subnet gerichte broadcastpakketten verzendt. Als u wake-up proxy gebruikt met Configuration Manager SP1, moet u unicastpakketten gebruiken. Gebruik anders de volgende tabel om u helpen bepalen welke verzendingsmethode u moet kiezen.

Verzendingsmethode

Voordeel

Nadeel

Unicast

Een veiligere oplossing dan op het subnet gerichte broadcasts omdat het pakket rechtstreeks naar een computer wordt verzonden in plaats van naar alle computers op een subnet.

Vereist mogelijk niet dat routers opnieuw hoeven te worden geconfigureerd (u moet mogelijk wel de ARP-cache configureren).

Verbruikt minder netwerkbandbreedte dan op het subnet gerichte broadcastverzendingen.

Ondersteund met IPv4 en IPv6.

Ontwaakpakketten komen niet aan op doelcomputers waarvan het subnetadres is gewijzigd sinds de laatste hardware-inventarisplanning.

Switches moeten mogelijk worden geconfigureerd voor het doorsturen van UDP-pakketten.

Sommige netwerkadapters reageren mogelijk niet in alle slaapstatussen op ontwaakpakketten wanneer deze unicast gebruiken als de verzendingsmethode.

Op het subnet gerichte broadcasts

Dit kent een hoger succespercentage dan unicast als het IP-adres binnen hetzelfde subnet van uw computers regelmatig wijzigt.

Het opnieuw configureren van switches is niet nodig.

Er is voor alle slaapstatussen sprake van een hoog compatibiliteitspercentage met computeradapters omdat op het subnet gerichte broadcasts de oorspronkelijke verzendingsmethode waren voor het verzenden van ontwaakpakketten.

Dit is een minder veilige oplossing dan het gebruik van unicast omdat een aanvaller ononderbroken streams van ICMP-echoaanvragen vanaf een vals bronadres naar het gerichte broadcastadres zou kunnen verzenden. Dit leidt ertoe dat alle hosts het desbetreffende bronadres beantwoorden. Als routers zijn geconfigureerd voor het toestaan van op het subnet gerichte broadcasts, wordt de aanvullende configuratie om beveiligingsreden aanbevolen:

  • Configureer routers zodat deze alleen op IP gerichte broadcasts vanaf de Configuration Manager siteserver toestaan door gebruik te maken van het opgegeven UDP-poortnummer.

  • Configureer Configuration Manager voor het gebruik van het opgegeven niet-standaardpoortnummer.

Dit vereist mogelijk dat alle interveniërende routers opnieuw worden geconfigureerd voor het inschakelen van op het subnet gerichte broadcasts.

Dit verbruikt meer netwerkbandbreedte dan unicastverzendingen.

Dit wordt alleen ondersteund voor IPv4. IPv6 wordt niet ondersteund.
System_CAPS_warningWaarschuwing

Er zijn beveiligingsrisico's gekoppeld aan op het subnet gerichte broadcasts: Een aanvaller zou ononderbroken streams van ICMP-echoaanvragen (Internet Control Message Protocol) vanaf een vals bronadres naar het gerichte broadcastadres kunnen verzenden. Dit leidt ertoe dat alle hosts het desbetreffende bronadres beantwoorden. Dit type Denial of Service-aanval wordt gewoonlijk aangeduid met de term smurf-aanval en wordt gematigd door op het subnet gerichte broadcasts niet in te schakelen.

Plannen voor de communicatie tussen forests in Configuration Manager

System Center 2012 Configuration Manager biedt ondersteuning voor sites en hiërarchieën die Active Directory-forests omvatten.

Configuration Manager biedt ook ondersteuning voor domeincomputers die zich niet in hetzelfde Active Directory-forest bevinden als de siteserver en computers die zich in werkgroepen bevinden:

  • Voor het ondersteunen van domeincomputers die zich in een forest bevinden dat niet wordt vertrouwd door het forest van uw siteserver, kunt u sitesysteemrollen in het desbetreffende niet-vertrouwde forest installeren, met de mogelijkheid om site-informatie naar het Active Directory-forest van de client te publiceren. Het is ook mogelijk om deze computers te beheren alsof dit werkgroepcomputers zijn. Wanneer u sitesysteemservers installeert in het forest van de client, blijft de client-naar-server-communicatie binnen het forest van de client en kan Configuration Manager de computer verifiëren via Kerberos. Wanneer u site-informatie publiceert naar het forest van de client, kunnen clients baat hebben bij het ophalen van site-informatie, zoals een lijst met beschikbare beheerpunten, vanuit hun Active Directory-forest in plaats van deze informatie te downloaden via hun toegewezen beheerpunt.

    Notitie

    Als u apparaten wilt beheren die zich op internet bevinden, kunt u op internet gebaseerde sitesysteemrollen installeren in uw perimeternetwerk wanneer de sitesysteemservers zich in een Active Directory-forest bevinden. Voor dit scenario is vertrouwen in twee richtingen tussen het perimeternetwerk en het forest van de siteserver niet vereist.

  • Voor het ondersteunen van computers in een werkgroep moet u deze computers handmatig goedkeuren als deze HTTP-clientverbindingen met sitesysteemrollen gebruiken omdat Configuration Manager deze computers niet kan verifiëren via Kerberos. Daarnaast moet u netwerktoegangsaccounts configureren, zodat deze computers inhoud kunnen ophalen vanaf distributiepunten. Omdat deze clients geen site-informatie kunnen ophalen vanuit Active Directory Domain Services, moet u een alternatief mechanisme opgeven, zodat deze beheerpunten kunnen vinden. U kunt DNS-publicatie of WINS gebruiken of een beheerpunt rechtstreeks toewijzen.

    Zie Instellingen configureren voor goedkeuring van client en conflicterende records in Instellingen voor clientbeheer configureren in Configuration Manager voor meer informatie over clienttoestemming.

    Zie de sectie Het netwerktoegangsaccount configureren in het onderwerp Inhoudsbeheer configureren in Configuration Manager voor informatie over het configureren van het netwerktoegangsaccount.

    Zie de sectie Het installeren van Configuration Manager-clients op computers in werkgroepen in het onderwerp Clients installeren op Windows-computers in Configuration Manager voor informatie over het installeren van clients op werkgroepcomputers.

Configuration Manager ondersteunt de Exchange Server-connector in een ander forest van de siteserver. Zorg, om dit scenario te ondersteunen, dat naamomzetting werkt in de forests (configureer bijvoorbeeld forwards van DNS) en geef de intranet-FQDN van de Exchange Server op wanneer u de Exchange Server-connector configureert. Zie Mobiele apparaten beheren met Configuration Manager en Exchange voor meer informatie.

Als uw Configuration Manager-ontwerp meerdere Active Directory domeinen en forests omvat, gebruikt u de aanvullende informatie in onderstaande tabel om de volgende communicatietypen te plannen.

Scenario

Details

Meer informatie

De communicatie tussen sites in een hiërarchie die forests omvat:

  • vereist wederzijdse forestvertrouwensrelatie, die ondersteuning biedt voor Kerberos-verificatie, die Configuration Manager vereist.

Configuration Manager ondersteunt het installeren van een onderliggende site in een externe forest die de vereiste wederzijdse forestvertrouwensrelatie met de forest van de bovenliggende site bevat. Bijvoorbeeld: U kunt een secundaire site plaatsen in een andere forest vanuit de bovenliggende primaire site, zolang de vereiste vertrouwensrelatie bestaat. Als u geen wederzijdse forestvertrouwensrelatie kunt hebben die de Kerberos-verificatie ondersteunt, dan ondersteunt Configuration Manager de onderliggende site in de externe forest niet.

Notitie

Een onderliggende site kan een primaire site zijn (waarbij de centrale beheersite de bovenliggende site is) of een secundaire site.

Intersitecommunicatie in Configuration Manager gebruikt databasereplicatie en overdrachten op basis van bestanden. Bij het installeren van een site, moet u een account opgeven om de site op de aangewezen server te installeren. Dit account brengt ook communicatie tot stand tussen sites en onderhoudt de communicatie.

Nadat de site de overdrachten op basis van bestanden en databasereplicatie heeft geïnstalleerd en geïnitieerd, zijn voor communicatie naar de site geen verdere configuraties vereist.

Zie de sectie Een siteserver installeren in het onderwerp Sites installeren en een hiërarchie maken voor Configuration Manager voor meer informatie over het installeren van een site.

Als er een wederzijdse forestvertrouwensrelatie bestaat, zijn voor Configuration Manager geen bijkomende configuratiestappen vereist.

Als u een nieuwe site als onderliggende site van een andere site installeert, configureert Configuration Manager standaard het onderstaande:

  • Een adres voor bestandsgebaseerde replicatie tussen sites op elke site die gebruikmaakt van de computeraccount van de siteserver.Configuration Manager voegt de computeraccount van elke computer toe aan de groep SMS_SiteToSiteConnection_<sitecode> op de doelcomputer.

  • Databasereplicatie tussen de SQL Server op elke site.

De volgende configuraties moeten ook worden ingesteld:

  • Tussenkomende firewalls en netwerkapparaten moeten de netwerkpakketten toestaan die door Configuration Manager worden vereist.

  • Naamomzetting moet tussen de forests werken.

  • Als u een site of sitesysteemrol wilt installeren, moet u een account opgeven die lokale beheerdersmachtigingen heeft op de opgegeven computer.

Communicatie in een site die forests omvat:

  • een wederzijdse forestvertrouwensrelatie is niet vereist.

Primaire sites ondersteunen de installatie van sitesysteemrollen op computers in andere forests. Twee uitzonderingen zijn het buiten-bandservicepunt en het Application Catalog-webservicepunt, die beide moeten worden geïnstalleerd in hetzelfde forest als de siteserver.

Als een sitesysteemrol verbindingen aanvaardt van internet, installeer dan, als best practice voor beveiliging, de sitesysteemrollen in een locatie waarin de grens van het forest de siteserver beveiligt (bijvoorbeeld in een perimeternetwerk).

Wanneer u een sitesysteemrol installeert op een computer in een niet-vertrouwd forest:

  • U moet een Installatieaccount sitesysteem opgeven waarmee de sitesysteemrol wordt geïnstalleerd. Dit account moet lokale beheerdersreferenties hebben om verbinding mee te maken en installeer vervolgens sitesysteemrollen op de opgegeven computer.

  • U moet de sitesysteemoptie De siteserver moet verbinding met dit sitesysteem initiëren selecteren. Hiervoor moet de siteserver verbindingen instellen met de sitesysteemserver om gegevens over te dragen. Dit voorkomt dat de computer in de niet-vertrouwde locatie verbinding maakt met de siteserver in uw vertrouwde netwerk. Voor deze verbindingen wordt het Installatieaccount sitesysteem gebruikt.

Wanneer u een sitesysteemrol gebruikt in een niet-vertrouwd forest, moeten firewalls het netwerkverkeer toestaan zelfs als de siteserver de overdracht van gegevens initieert.

Bovendien moeten de volgende sitesysteemrollen directe toegang tot de sitedatabase hebben. Daarom moeten firewalls toepasselijk verkeer van het niet-vertrouwd forest toestaan naar de SQL Server van de site:

  • Asset Intelligence-synchronisatiepunt

  • Endpoint Protection-punt

  • Inschrijvingspunt

  • Beheerpunt

  • Reporting Service-punt

  • Statusmigratiepunt

Zie Technische naslaginformatie voor gebruikte poorten in Configuration Manager voor meer informatie.

Het beheerpunt en inschrijvingspunt van de sitesysteemrollen maken verbinding met de sitedatabase. Als deze sitesysteemrollen worden geïnstalleerd, configureert Configuration Manager standaard het computeraccount van de nieuwe sitesysteemserver als het verbindingsaccount en voegt het account toe aan de geschikte SQL Server-databaserol. Als u deze sitesysteemrollen op een niet-vertrouwd domein installeert, moet u het verbindingsaccount van de sitesysteemrol configureren om het de sitesysteemrol mogelijk te maken informatie in te winnen van de database.

Als u een domeingebruikersaccount configureert voor deze verbindingsaccounts, zorgt u dat het account een geschikte toegang heeft tot de SQL Serve-database op die site:

  • Beheerpunt: Verbindingsaccount voor beheerpuntdatabase

  • Inschrijvingspunt: Verbindingsaccount voor inschrijvingspunt

Houd rekening met de volgende aanvullende informatie om sitesysteemrollen in andere forests te plannen:

  • Als u Windows Firewall uitvoert, configureert u de toepasselijke firewallprofielen om communicaties uit te voeren tussen de sitedatabaseserver en computers die zijn geïnstalleerd met externe sitesysteemrollen. Zie Firewallprofielen voor informatie inzake firewallprofielen.

  • Als het beheerpunt op internet de forests vertrouwt die de gebruikersaccounts bevat, dan wordt het gebruikersbeleid ondersteund. Als er geen vertrouwensrelatie bestaat, wordt alleen computerbeleid ondersteund.

Communicatie tussen clients en sitesysteemrollen wanneer de clients zich niet in dezelfde Active Directory-forest bevinden als hun siteserver.

Configuration Manager ondersteunt de volgende scenario's voor clients die zich niet in dezelfde forest als de siteserver van de site bevinden:

  • Er bestaat een wederzijdse vertrouwensrelatie tussen de forest van de client en de forest van de siteserver

  • De server van de sitesysteemrol bevindt zich in dezelfde forest als de client

  • De client is een domeincomputer zonder wederzijdse vertrouwensrelatie met de siteserver en de sitesysteemrollen zijn niet geïnstalleerd in de forest van de client

  • De client bevindt zich op een werkgroepcomputer

Notitie

Configuration Manager kan geen op AMT-gebaseerde computers buiten-band beheren als deze computers zich bevinden in een andere forest dan de siteserver.

Clients op een domeincomputer kunnen Active Directory-domeinservices gebruiken voor servicelocatie wanneer hun site gepubliceerd is naar hun Active Directory-forest.

Om deze site-informatie naar een andere Active Directory-forest te publiceren, moet u eerst de forest opgeven en vervolgens naar deze forest uitgifte mogelijk maken in het knooppunt Active Directory-forests van de werkruimte Beheer. Bovendien moet u het elke site mogelijk maken om zijn gegevens te publiceren naar Active Directory-domeinservices. Deze configuratie maakt het clients in deze forest mogelijk site-informatie op te halen en beheerpunten te vinden. Voor clients die Active Directory domeinservices niet kunnen gebruiken voor servicelocatie, kunt u DNS, WINS of het aan de client toegewezen beheerpunt gebruiken.

Planning voor clientbeheer via internet

Clientbeheer via internet maakt het u mogelijk Configuration Manager-clients te beheren wanneer u niet verbonden bent op uw bedrijfsnetwerk maar u beschikt over een standaardinternetverbinding. Deze regeling heeft verschillende voordelen, met inbegrip van verlaagde kosten want virtuele particuliere netwerken (VPN's) moeten niet worden uitgevoerd en software-updates kunnen tijdig worden geïmplementeerd.

Wegens de hogere beveiligingsvereisten voor het beheren van clientcomputers op een openbaar netwerk, is voor clientbeheer via internet het gebruik van PKI-certificaten vereist voor clients en sitesysteemservers waarmee de clients zijn verbonden. Dit zorgt dat de verbindingen worden geverifieerd door een onafhankelijke instantie en dat de gegevens naar en van deze sitesystemen zijn versleuteld met Secure Sockets Layer (SSL).

Gebruik de volgende secties voor het plannen van clientbeheer via internet.

Functies die niet worden ondersteund op het internet

Niet alle clientbeheerfunctionaliteiten zijn geschikt voor het internet; daarom worden ze niet ondersteund wanneer clients op het internet worden beheerd. De functies die niet worden ondersteund voor internetbeheer vertrouwen doorgaans op Active Directory domeinservices of zijn niet geschikt voor een openbaar netwerk, zoals netwerkdetectie en Wake-on-LAN (WOL).

Onderstaande functies worden niet ondersteund wanneer clients op het internet worden beheerd:

  • Clientimplementatie via internet, zoals clientpush en clientimplementatie gebaseerd op software-update. Gebruik in plaats daarvan handmatige clientinstallatie.

  • Automatische sitetoewijzing.

  • Network Access Protection (NAP).

  • Wake-on-LAN.

  • Implementatie van besturingssysteem. U kunt niettemin takenreeksen implementeren die geen besturingssysteem implementeren, bijvoorbeeld takenreeksen die scripts en onderhoudstaken op clients uitvoeren.

  • Extern beheer.

  • Buiten-bandbeheer.

  • Software-implementatie op gebruikers tenzij het beheerpunt op internet de gebruiker kan verifiëren in Active Directory Domain Services met behulp van Windows-verificatie (Kerberos of NTLM). Dit is mogelijk wanneer het beheerpunt op internet de forest vertrouwt waar het gebruikersaccount is opgeslagen.

Clientbeheer via internet biedt bovendien geen ondersteuning voor roaming. Roaming maakt het clients mogelijk altijd de dichtstbijzijnde distributiepunten te vinden om inhoud te downloaden. Clients die worden beheerd via internet communiceren met sitesystemen van hun toegewezen site wanneer deze sitesystemen zijn geconfigureerd om internet-FQDN te gebruiken en de sitesysteemrollen de clientverbindingen op het internet toestaan. Clients selecteren op niet-deterministische wijze een van de sitesystemen op internet, ongeacht de bandbreedte of fysieke locatie.

Notitie

Nieuw in System Center 2012 Configuration Manager: als u een software-updatepunt hebt dat is geconfigureerd om verbindingen vanuit het internet te aanvaarden, zullen Configuration Manager clients via internet op het internet altijd scannen ten opzichte van dit software-updatepunt, om te bepalen welke software-updates zijn vereist. Als deze clients niettemin met het internet zijn verbonden, proberen ze eerst de software-updates te downloaden van Microsoft Update, in plaats van vanaf een internet-gebaseerd distributiepunt. Alleen als dit mislukt, wordt geprobeerd om de vereiste software-updates te downloaden vanaf een op internet gebaseerd distributiepunt. Clients die niet zijn geconfigureerd voor clientbeheer via internet trachten nooit de software-updates van Microsoft Update te downloaden, maar gebruiken altijd Configuration Manager distributiepunten.

Overwegingen voor clientcommunicatie via internet of een niet-vertrouwd forest

De volgende geïnstalleerde sitesysteemrollen op primaire sites ondersteunen verbindingen van clients in niet-vertrouwde locaties, zoals internet of een niet-vertrouwd forest (secundaire sites ondersteunen geen clientverbindingen van niet-vertrouwde locaties):

  • Application Catalog-websitepunt

  • Configuration Manager-beleidsmodule

  • Distributiepunt (HTTPS is vereist voor cloudgebaseerde distributiepunten)

  • Proxypunt voor inschrijving

  • Terugvalstatuspunt

  • Beheerpunt

  • Software-updatepunt

Over internetgerichte sitesystemen: 
Een vertrouwensrelatie tussen een clientforest en het forest van de sitesysteemserver is niet vereist. Als het forest met een internetgericht sitesysteem echter het forest met de gebruikersaccounts vertrouwt, ondersteunt deze configuratie gebruikersgebaseerd beleid voor apparaten op internet wanneer u de clientinstelling in Clientbeleid met de naam Gebruikersbeleidsaanvragen van internetclients toestaan inschakelt.

De volgende configuraties illustreren bijvoorbeeld wanneer clientbeheer via internet het gebruikersbeleid voor apparaten op internet ondersteunt:

  • Het internet-gebaseerd beheerpunt bevindt zich in het perimeternetwerk waar een alleen-lezen domeincontroller bestaat om de gebruiker te verifiëren en een tussenkomende firewall Active Directory-pakketten toestaat.

  • Het gebruikersaccount bevindt zich in Forest A (intranet) en het internet-gebaseerd beheerpunt bevindt zich in Forest B (perimeternetwerk). Forest B vertrouwt Forest A en een tussenkomende firewall staat verificatiepakketten toe.

  • Het gebruikersaccount en het internet-gebaseerde beheerpunt bevinden zich in Forest A (intranet). Het beheerpunt is gepubliceerd op internet met behulp van een webproxyserver (zoals Forefront Threat Management Gateway).

Notitie

Als Kerberos-verificatie is mislukt, wordt vervolgens automatisch de NTLM-verificatie geprobeerd.

Zoals het vorige voorbeeld toont, kunt u internet-gebaseerde sitesystemen op het intranet plaatsen wanneer ze op het internet worden gepubliceerd met behulp van een webproxyserver, zoals ISA Server en Forefront Threat Management Gateway. Deze sitesystemen kunnen worden geconfigureerd voor clientverbinding van enkel internet of clientverbindingen van internet en intranet. Als u een webproxyserver gebruikt, dan kunt u deze configureren voor Secure Sockets Layer (SSL) bridging naar SSL (veiliger) of SSL-tunneling:

  • SSL-bridging naar SSL: 
    De aanbevolen configuratie wanneer u proxy-webservers gebruikt voor clientbeheer op internet is SSL-bridging naar SSL. Dit maakt gebruik van SSL-beëindiging met authenticatie. Clientcomputers moeten worden geverifieerd door gebruik te maken van computerverificatie en verouderde clients voor mobiele apparaten worden geverifieerd via gebruikersverificatie. Mobiele apparaten die zijn geregistreerd door Configuration Manager ondersteunen SSL-bridging niet.

    Het voordeel van SSL-beëindiging aan de proxywebserver is dat pakketten van het internet onderhevig zijn aan inspectie voordat ze worden doorgestuurd naar het interne netwerk. De proxywebserver verifieert de verbinding van de client, beëindigt deze, en opent vervolgens een nieuwe geverifieerde verbinding naar de sitesystemen op internet. Als Configuration Manager-clients een proxywebserver gebruiken, is de clientidentiteit (client-GUID) beveiligd in de pakketlading zodat het beheerpunt de proxywebserver niet als de client beschouwt. Bridging wordt niet ondersteund in Configuration Manager met HTTP naar HTTPS of van HTTPS naar HTTP.

  • Tunneling:
    SSL-tunneling wordt ook ondersteund als uw proxywebserver de vereisten voor SSL-bridging niet kan ondersteunen, of als u internetondersteuning wilt configureren voor mobiele apparaten die zijn geregistreerd door Configuration Manager. Het is een minder veilige optie omdat de SSL-pakketten van het internet worden doorgestuurd naar de sitesystemen zonder SSL-beëindiging. Op die manier kunnen ze niet worden geïnspecteerd op schadelijke inhoud. Als u SSL-tunneling gebruikt, zijn er geen certificaatvereisten voor de proxywebserver.

Planning voor clients op internet

U moet beslissen of de clientcomputers die via het internet zullen worden beheerd, geconfigureerd zullen zijn voor beheer op het intranet en het internet, of alleen voor clientbeheer op internet. U kunt de clientbeheeroptie alleen configureren tijdens de installatie van een clientcomputer. Als u later van gedachten verandert, moet u de client opnieuw installeren.

Notitie

Voor System Center 2012 R2 Configuration Manager en later: Als u een beheerpunt met internetmogelijkheden configureert, worden clients die verbinding met het beheerpunt maken geschikt voor internet wanneer ze vervolgens hun lijst met beschikbare beheerpunten vernieuwen.

Tip

U hoeft de configuratie van clientbeheer alleen via het internet niet beperken tot het internet en u kunt deze ook op het intranet gebruiken.

Clients die worden geconfigureerd voor clientbeheer alleen op internet communiceren alleen met de sitesystemen die zijn geconfigureerd voor clientverbindingen van het internet. Deze configuratie is geschikt voor computers waarvan u weet dat ze nooit verbinding maken met het bedrijfsintranet, zoals point of sale-computers in externe locaties. Het kan ook geschikt zijn wanneer u clientcommunicatie wilt beperken naar alleen HTTPS (bijvoorbeeld om een firewall en beperkt beveiligingsbeleid te ondersteunen), en wanneer u sitesystemen op internet installeert in een perimeternetwerk en u deze servers wilt beheren door gebruik te maken van de Configuration Manager-client.

Als u werkgroepclients op het internet wilt beheren, moet u deze installeren als alleen met internetverbinding.

Notitie

Clients van mobiele apparaten worden automatisch geconfigureerd als alleen met internetverbinding wanneer ze zijn geconfigureerd om een beheerpunt op internet te gebruiken.

Andere clientcomputers kunnen worden geconfigureerd voor clientbeheer op internet en intranet. Ze kunnen automatisch schakelen tussen clientbeheer op internet en clientbeheer op intranet wanneer ze een netwerkwijziging detecteren. Als deze clients een beheerpunt kunnen vinden en er verbinding mee kunnen maken als het is geconfigureerd voor clientverbindingen op het intranet, dan worden deze clients beheerd als intranetclients met volledige Configuration Manager-beheerfunctionaliteit. Als de clients geen beheerpunt kunnen vinden of er geen verbinding mee maken als het beheerpunt voor clientverbindingen op het intranet is geconfigureerd, proberen ze te verbinden met een beheerpunt op internet. Als dit lukt, worden deze clients vervolgens beheerd door de sitesystemen op internet in hun toegewezen site.

Het voordeel van automatisch overschakelen tussen clientbeheer op internet en clientbeheer op intranet, is dat clientcomputers automatisch alle Configuration Manager-functies kunnen gebruiken wanneer ze zijn verbonden met het intranet en dat ze beheerd blijven wat betreft essentiële beheerfuncties wanneer ze niet verbonden zijn met het internet. Bovendien kan een download die begon op het internet probleemloos verder worden gedownload op het intranet, en vice versa.

Vereisten voor clientbeheer op internet

Clientbeheer op internet in Configuration Manager heeft de volgende externe afhankelijkheden:

Afhankelijkheid

Meer informatie

Clients die zullen worden beheerd op het internet, moeten een internetverbinding hebben.

Configuration Manager gebruikt bestaande internetproviderverbindingen (ISP) met het internet; dit kunnen zowel permanente als tijdelijke verbindingen zijn. Mobiele apparaten van clients moeten een rechtstreekse internetverbinding hebben, maar clientcomputers kunnen een rechtstreekse internetverbinding hebben of verbinden via een proxywebserver.

Sitesystemen die clientbeheer op internet ondersteunen moeten verbonden zijn met het internet en moeten zich in een Active Directory-domein bevinden.

De sitesystemen op internet hebben geen vertrouwensrelatie nodig met het Active Directory-forest van de siteserver. Gebruikersbeleid wordt echter ondersteund wanneer het beheerpunt op internet de gebruiker kan verifiëren met behulp van Windows-verificatie. Als Windows-verificatie is mislukt, wordt alleen computerbeleid ondersteund.

Notitie

U moet, om gebruikersbeleid te ondersteunen, de twee clientinstellingen van Clientbeleid ook instellingen op True:

  • Polling voor gebruikersbeleid inschakelen op clients

  • Gebruikersbeleidsaanvragen van internetclients inschakelen

Een Application Catalog-websitepunt op internet vereist ook Windows-verificatie om gebruikers te verifiëren wanneer hun computer is verbonden met het internet. Deze vereiste is onafhankelijk van het gebruikersbeleid.

U moet een ondersteunende PKI (Public Key Infrastructure) hebben dat de implementatie en het beheer kan uitvoeren van certificaten die de clients nodig hebben en die worden beheerd op het internet en op de sitesysteemservers op internet.

Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over PKI-certificaten.

De volgende infrastructuurservices moeten worden geconfigureerd om clientbeheer op internet te ondersteunen:

  • Openbare DNS-servers: Het internet-FQDN van sitesystemen die clientbeheer op internet ondersteunen, moeten als hostvermeldingen op openbare DNS-servers zijn geregistreerd.

  • Tussenkomende firewalls of proxyservers: Deze netwerkapparaten moeten clientcommunicatie toestaan die wordt geassocieerd met sitesystemen op internet.

Vereisten voor clientcommunicatie:

  • Ondersteuning voor HTTP 1.1

  • Sta HTTP-inhoudstype van meerdelige MIME-bijlage toe (meerdelig/gemengd en toepassing/octet-stream)

  • Sta de volgende bewerkingen toe voor het beheerpunt op internet:

    • HEAD

    • CCM_POST

    • BITS_POST

    • GET

    • PROPFIND

  • Sta de volgende bewerkingen toe voor het distributiepunt op internet:

    • HEAD

    • GET

    • PROPFIND

  • Sta de volgende bewerkingen toe voor het terugvalstatuspunt op internet:

    • POST

  • Sta de volgende bewerkingen toe voor het Application Catalog-websitepunt op internet:

    • POST

    • GET

  • Sta de volgende HTTP-headers toe voor het beheerpunt op internet:

    • Bereik:

    • CCMClientID:

    • CCMClientIDSignature:

    • CCMClientTimestamp:

    • CCMClientTimestampsSignature:

  • Sta de volgende HTTP-header toe voor het distributiepunt op internet:

    • Bereik:

Raadpleeg de documentatie van uw firewall of proxyserver voor configuratie-informatie om deze vereisten te ondersteunen.

Zie de documentatie voor Windows Server Update Services (WSUS) voor vergelijkbare communicatievereisten wanneer u het software-updatepunt voor clientverbindingen van het internet gebruikt. Zie bijvoorbeeld Appendix D: Security Settings (Beveiligingsinstellingen), de bijlage over implementatie van beveiligingsinstellingen, voor informatie over WSUS op Windows Server 2003.

Planning voor netwerkbandbreedte in Configuration Manager

System Center 2012 Configuration Manager bevat verschillende methoden om de netwerkbandbreedte te controleren die wordt gebruikt door de communicatie tussen sites, sitesysteemservers en clients. Niet alle communicatie kan echter op het netwerk worden beheerd. Gebruik de volgende secties om u de methoden te helpen begrijpen die u kunt gebruiken om de netwerkbandbreedte te beheren en om uw sitehiërarchie te ontwikkelen.

Wanneer u de Configuration Manager-hiërarchie plant, overweeg dan de hoeveelheid netwerkgegevens die zullen worden overgedragen vanuit intersite- en intrasitecommunicatie.

Notitie

Routes voor bestandsreplicatie (bekend als adressen voorafgaand aan Configuration Manager SP1) worden alleen gebruikt voor intersitecommunicatie en worden niet gebruikt voor intrasitecommunicatie tussen siteservers en sitesystemen.

Netwerkbandbreedtegebruik tussen sites beheren

Configuration Manager draagt gegevens over tussen sites door zowel replicatie op basis van bestanden als databasereplicatie. Voorafgaand aan Configuration Manager met SP1 kunt u replicatie op basis van bestanden configureren om het gebruik van de netwerkbandbreedte te beheren voor overdrachten, maar het is niet mogelijk het gebruik van netwerkbandbreedte voor databasereplicatie te configureren. Vanaf Configuration Manager SP1 kunt u het gebruik van netwerkbandbreedte voor databasereplicatie voor geselecteerde sitegegevens configureren.

Houd rekening met de mogelijkheid dat gegevens met enige vertraging kunnen worden verwerkt als u de besturingselementen van de netwerkbandbreedte configureert. Als de communicatie tussen sites beperkt of geconfigureerd is om alleen gegevens over te dragen na de kantooruren, is het mogelijk dat beheerders op de bovenliggende of onderliggende site bepaalde gegevens niet kunnen zien totdat de intersitecommunicatie zich heeft voorgedaan. Als er bijvoorbeeld een belangrijk software-updatepakket wordt verstuurd naar distributiepunten die zich bevinden op onderliggende sites, is het pakket mogelijk niet beschikbaar op die sites totdat alle onbehandelde intersitecommunicatie is voltooid. Onbehandelde communicatie kan mogelijk het leveren van een pakket bevatten dat heel groot is en waarvan de overdracht nog niet is voltooid.

  • Besturingselementen voor replicatie op basis van een bestand: Tijdens gegevensoverdracht op basis van een bestand gebruikt Configuration Manager alle beschikbare netwerkbandbreedte om gegevens tussen sites te versturen. U kunt dit proces beheren door de afzender van een site te configureren of door het aantal verzendende site-naar-site-threads te verminderen. Een verzendende thread wordt gebruikt om één bestand per keer over te dragen. Elke bijkomende thread staat toe om bijkomende bestanden op hetzelfde moment over te dragen; dit kan een hoger bandbreedtegebruik veroorzaken. Configureer de instelling Maximaal aantal gelijktijdige verzendingen op het tabblad Afzender van de site-eigenschappen om het aantal threads te configureren voor site-naar-site-overdrachten.

    U kunt, om gegevensoverdrachten tussen sites op basis van een bestand te beheren, plannen wanneer Configuration Manager een route voor bestandsreplicatie naar een specifieke site kan gebruiken. U kunt de hoeveelheid te gebruiken netwerkbandbreedte, de grootte van de gegevensblokken en de frequentie voor het verzenden van de gegevensblokken beheren. Bijkomende configuraties kunnen gegevenstransfers beperken op basis van de prioriteit van het gegevenstype. Voor elke site in de hiërarchie kunt u schema's en frequentielimieten instellen voor gebruik bij de overdracht van gegevens door het configureren van de eigenschappen van de route voor bestandsreplicatie naar elke doelsite. Configuraties voor een route voor bestandsreplicatie zijn alleen van toepassing op de gegevensoverdrachten naar de doelsite die is gespecificeerd voor die route van bestandsreplicatie.

    Zie de subsectie Routes voor bestandsreplicatie in de sectie Planning voor communicatie tussen sites in Configuration Manager in dit onderwerp voor meer informatie over routes voor bestandsreplicatie.

    System_CAPS_importantBelangrijk

    Als u frequentielimieten configureert om het bandbreedtegebruik op een specifieke route voor bestandsreplicatie te beperken, kan Configuration Manager alleen één thread gebruiken om gegevens over te dragen naar die doelsite. Het gebruik van frequentielimieten voor een bestandsreplicatieroute overschrijft het gebruik van meerdere threads per site die zijn geconfigureerd in de instelling Maximaal aantal gelijktijdige verzendingen voor elke site.

  • Besturingselementen voor databasereplicatie: Vanaf Configuration Manager SP1 kunt u databasereplicatiekoppelingen configureren om u te helpen bij het beheren van het gebruik van netwerkbandbreedte van geselecteerde sitegegevens tussen sites. Enkele van de besturingselementen zijn vergelijkbaar aan die voor replicatie op basis van een bestand en er is extra ondersteuning voor het plannen wanneer de hardware-inventaris, software-inventaris en statusberichten repliceren naar de bovenliggende site via de koppeling.

    Zie de sectie Databasereplicatie in dit onderwerp voor meer informatie.

Netwerkbandbreedtegebruik tussen sitesysteemservers beheren

Binnen een site gebruikt de communicatie tussen sitesystemen SMB's (Server Message Blocks). Deze communicatie kan zich op elk moment voordoen en ondersteunt geen mechanisme om de netwerkbandbreedte te beheren. U kunt echter de overdracht beheren van inhoud van de siteserver naar distributiepunten met besturingselementen die vergelijkbaar zijn aan die voor site-naar-site-overdrachten op basis van een bestand, als u de siteserver configureert om frequentielimieten en schema's te gebruiken om de overdracht van gegevens over het netwerk naar een distributiepunt te beheren.

Netwerkbandbreedtegebruik tussen clients en sitesysteemservers beheren

Clients communiceren regelmatig met andere sitesysteemservers. Ze communiceren bijvoorbeeld met een sitesysteemserver waarop een beheerpunt wordt uitgevoerd als ze op een clientbeleid moeten controleren, en ze communiceren met een sitesysteemserver waarop een beheerpunt wordt uitgevoerd wanneer ze inhoud moeten downloaden om een toepassing of software-update te installeren. De frequentie van deze verbindingen en de hoeveelheid gegevens die over het netwerk naar of van een client wordt overgedragen, is afhankelijk van de schema's en configuraties die u opgeeft als clientinstellingen.

Meestal gebruiken clientbeleidsaanvragen weinig netwerkbandbreedte. De netwerkbandbreedte kan hoog zijn wanneer clients inhoud openen voor implementaties of informatie zoals hardware-inventarisgegevens naar de site verzenden.

U kunt clientinstellingen opgeven die de frequentie beheren van netwerkcommunicatie die door clients wordt opgestart. U kunt bovendien configureren hoe clients toegang krijgen tot implementatie-inhoud, bijvoorbeeld door gebruik te maken van BITS (Background Intelligent Transfer Service). De client moet geconfigureerd zijn om BITS te gebruiken als u BITS wilt gebruiken om inhoud te downloaden. Als de client BITS niet kan gebruiken, gebruikt deze SMB om de inhoud over te dragen.

Zie Configuration Manager voor meer informatie over clientinstellingen in Clientinstellingen plannen in Configuration Manager.