Comunicação entre pontos de extremidade no Configuration ManagerCommunications between endpoints in Configuration Manager

Aplica-se a: System Center Configuration Manager (Branch Atual)Applies to: System Center Configuration Manager (Current Branch)

Este artigo descreve como os clientes e sistemas de sites do Configuration Manager se comunicam pela sua rede.This article describes how Configuration Manager site systems and clients communicate across your network. Ele inclui as seguintes seções:It includes the following sections:

Comunicações entre os sistemas de sites em um siteCommunications between site systems in a site

Quando os sistemas de sites ou componentes do Configuration Manager se comunicam pela rede com outros sistemas de sites ou componentes no site, eles usam um dos seguintes protocolos, dependendo de como você configura o site:When Configuration Manager site systems or components communicate across the network to other site systems or components in the site, they use one of the following protocols, depending on how you configure the site:

  • Protocolo SMBServer message block (SMB)

  • HTTPHTTP

  • HTTPSHTTPS

Com exceção da comunicação entre o servidor do site e um ponto de distribuição, as comunicações de servidor para servidor em um site podem ocorrer a qualquer momento.With the exception of communication from the site server to a distribution point, server-to-server communications in a site can occur at any time. Essas comunicações não usam mecanismos para controlar a largura de banda de rede.These communications don't use mechanisms to control the network bandwidth. Como não é possível controlar a comunicação entre os sistemas de sites, não deixe de instalar servidores do sistema de sites em localizações que têm redes rápidas e bem conectadas.Because you can't control the communication between site systems, make sure that you install site system servers in locations that have fast and well-connected networks.

Do servidor do site para o ponto de distribuiçãoSite server to distribution point

Use as seguintes estratégias para ajudá-lo a gerenciar a transferência de conteúdo do servidor do site para os pontos de distribuição:To help you manage the transfer of content from the site server to distribution points, use the following strategies:

  • Configurar o ponto de distribuição para agendamento e controle de largura de banda da rede.Configure the distribution point for network bandwidth control and scheduling. Esses controles lembram as configurações que são usadas por endereços entre sites.These controls resemble the configurations that are used by intersite addresses. Use essa configuração em vez de instalar outro site do Configuration Manager quando a transferência de conteúdo para localizações remotas da rede for sua consideração principal de largura de banda.Use this configuration instead of installing another Configuration Manager site when the transfer of content to remote network locations is your main bandwidth consideration.

  • Você pode instalar um ponto de distribuição como um ponto de distribuição em pré-teste.You can install a distribution point as a prestaged distribution point. Um ponto de distribuição em pré-teste permite que você use o conteúdo que é colocado manualmente no servidor de ponto de distribuição e remove a necessidade de transferir arquivos de conteúdo pela rede.A prestaged distribution point lets you use content that is manually put on the distribution point server and removes the requirement to transfer content files across the network.

Para obter mais informações, consulte Manage network bandwidth for content management (Gerenciar largura de banda de rede para gerenciamento de conteúdo).For more information, see Manage network bandwidth for content management.

Comunicações de clientes para serviços e sistemas de sitesCommunications from clients to site systems and services

Os clientes iniciam a comunicação com as funções do sistema de sites, o Active Directory Domain Services e os serviços online.Clients initiate communication to site system roles, Active Directory Domain Services, and online services. Para habilitar essas comunicações, os firewalls devem permitir o tráfego de rede entre clientes e o ponto de extremidade de suas comunicações.To enable these communications, firewalls must allow the network traffic between clients and the endpoint of their communications. Para obter mais informações sobre as portas e os protocolos usados pelos clientes quando eles se comunicam com esses pontos de extremidade, confira Portas usadas no Configuration Manager.For more information about ports and protocols used by clients when they communicate to these endpoints, see Ports used in Configuration Manager.

Antes que um cliente possa se comunicar com uma função do sistema de sites, o cliente usa a localização do serviço para localizar uma função que dá suporte ao protocolo do cliente (HTTP ou HTTPS).Before a client can communicate with a site system role, the client uses service location to find a role that supports the client's protocol (HTTP or HTTPS). Por padrão, os clientes usam o método mais seguro disponível para eles.By default, clients use the most secure method that's available to them. Para obter mais informações, confira Entender como os clientes encontram serviços e recursos do site.For more information, see Understand how clients find site resources and services.

Para usar HTTPS, configure uma das seguintes opções:To use HTTPS, configure one of the following options:

  • Usar uma PKI (infraestrutura de chave pública) e instalar certificados PKI em clientes e servidores.Use a public key infrastructure (PKI) and install PKI certificates on clients and servers. Para obter informações sobre como usar certificados, confira Requisitos de certificado de PKI.For information about how to use certificates, see PKI certificate requirements.

  • Começando na versão 1806, configure o site para usar os certificados gerados pelo Configuration Manager para sistemas de sites HTTP.Starting in version 1806, configure the site to Use Configuration Manager-generated certificates for HTTP site systems. Para obter mais informações, confira HTTP aprimorado.For more information, see Enhanced HTTP.

Quando você implanta uma função de sistema de site que usa o Internet Information Services (IIS) oferece suporte à comunicação de clientes, você deve especificar se os clientes conectam ao sistema de site usando HTTP ou HTTPS.When you deploy a site system role that uses Internet Information Services (IIS) and supports communication from clients, you must specify whether clients connect to the site system by using HTTP or HTTPS. Se você usar HTTP, também deve considerar as opções de assinatura e criptografia.If you use HTTP, you must also consider signing and encryption choices. Para obter mais informações, confira Planejando a assinatura e a criptografia.For more information, see Planning for signing and encryption.

Comunicação do cliente para o ponto de gerenciamentoClient to management point communication

Há dois estágios quando um cliente se comunica com um ponto de gerenciamento: autenticação (transporte) e autorização (mensagem).There are two stages when a client communicates with a management point: authentication (transport) and authorization (message). Esse processo varia de acordo com os seguintes fatores:This process varies depending upon the following factors:

  • Configuração do site: HTTP, HTTPS ou HTTP aprimoradoSite configuration: HTTP, HTTPS, or enhanced HTTP
  • Configuração do ponto de gerenciamento: Somente HTTPS ou permite HTTP ou HTTPSManagement point configuration: HTTPS only, or allows HTTP or HTTPS
  • Identidade do dispositivo para cenários centrados em dispositivosDevice identity for device-centric scenarios
  • Identidade do dispositivo para cenários centrados em usuáriosUser identity for user-centric scenarios

Use a tabela a seguir para entender como este processo funciona:Use the following table to understand how this process works:

Tipo de MPMP type Autenticação de clienteClient authentication Autorização do clienteClient authorization
Identidade do dispositivoDevice identity
Autorização do clienteClient authorization
Identidade do usuárioUser identity
HTTPHTTP AnônimaAnonymous
Com o HTTP aprimorado, o site verifica o token do usuário ou do dispositivo do Azure AD.With Enhanced HTTP, the site verifies the Azure AD user or device token.
Solicitação de localização: AnônimaLocation request: Anonymous
Pacote do cliente: AnônimaClient package: Anonymous
Registro, usando um dos seguintes métodos para provar a identidade do dispositivo:Registration, using one of the following methods to prove device identity:
– Anônimo (aprovação manual)- Anonymous (manual approval)
– Autenticação integrada ao Windows- Windows-integrated authentication
– Token do dispositivo do Azure AD (HTTP aprimorado)- Azure AD device token (Enhanced HTTP)
Após o registro, o cliente usa assinatura da mensagem para comprovar a identidade do dispositivoAfter registration, the client uses message signing to prove device identity
Para cenários centrados no usuário, usando um dos seguintes métodos para provar a identidade do usuário:For user-centric scenarios, using one of the following methods to prove user identity:
– Autenticação integrada ao Windows- Windows-integrated authentication
– Token do usuário do Azure AD (HTTP aprimorado)- Azure AD user token (Enhanced HTTP)
HTTPSHTTPS Use um dos métodos a seguir:Using one of the following methods:
– Certificado PKI- PKI certificate
– Autenticação integrada ao Windows- Windows-integrated authentication
– Token do usuário ou do dispositivo do Azure AD- Azure AD user or device token
Solicitação de localização: AnônimaLocation request: Anonymous
Pacote do cliente: AnônimaClient package: Anonymous
Registro, usando um dos seguintes métodos para provar a identidade do dispositivo:Registration, using one of the following methods to prove device identity:
– Anônimo (aprovação manual)- Anonymous (manual approval)
– Autenticação integrada ao Windows- Windows-integrated authentication
– Certificado PKI- PKI certificate
– Token do usuário ou do dispositivo do Azure AD- Azure AD user or device token
Após o registro, o cliente usa assinatura da mensagem para comprovar a identidade do dispositivoAfter registration, the client uses message signing to prove device identity
Para cenários centrados no usuário, usando um dos seguintes métodos para provar a identidade do usuário:For user-centric scenarios, using one of the following methods to prove user identity:
– Autenticação integrada ao Windows- Windows-integrated authentication
– Token do usuário do Azure AD- Azure AD user token

Dica

Para obter mais informações sobre a configuração do ponto de gerenciamento para tipos de identidade do dispositivo diferentes e com o gateway de gerenciamento de nuvem, confira Habilitar o ponto de gerenciamento para HTTPS.For more information on the configuration of the management point for different device identity types and with the cloud management gateway, see Enable management point for HTTPS.

Comunicação do cliente para o ponto de distribuiçãoClient to distribution point communication

Quando um cliente se comunica com um ponto de distribuição, ele só precisa autenticar antes de baixar o conteúdo.When a client communicates with a distribution point, it only needs to authenticate before downloading the content. Use a tabela a seguir para entender como este processo funciona:Use the following table to understand how this process works:

Tipo de DPDP type Autenticação de clienteClient authentication
HTTPHTTP – Anônimo, se permitido- Anonymous, if allowed
– Autenticação integrada ao Windows com conta de computador ou conta de acesso à rede- Windows-integrated authentication with computer account or network access account
– Token de acesso ao conteúdo (HTTP aprimorado)- Content access token (Enhanced HTTP)
HTTPSHTTPS – Certificado PKI- PKI certificate
– Autenticação integrada ao Windows com conta de computador ou conta de acesso à rede- Windows-integrated authentication with computer account or network access account
– Token de acesso ao conteúdo- Content access token

Considerações sobre a comunicação do cliente da Internet ou de uma floresta não confiávelConsiderations for client communications from the internet or an untrusted forest

As funções do sistema de sites a seguir instaladas em sites primários dão suporte a conexões de clientes que estão em localizações não confiáveis, como a Internet ou uma floresta não confiável.The following site system roles installed at primary sites support connections from clients that are in untrusted locations, such as the internet or an untrusted forest. (Sites secundários não dão suporte a conexões de cliente de localizações não confiáveis.)(Secondary sites don't support client connections from untrusted locations.)

  • Ponto de site da Web do Catálogo de AplicativosApplication catalog website point

  • Módulo de política do Configuration Manager (NDES)Configuration Manager policy module (NDES)

  • Ponto de distribuiçãoDistribution point

  • Ponto de distribuição baseado em nuvem (requer HTTPS)Cloud-based distribution point (requires HTTPS)

  • Ponto proxy do registroEnrollment proxy point

  • Ponto de status de fallbackFallback status point

  • Ponto de gerenciamentoManagement point

  • Ponto de atualização de softwareSoftware update point

  • Gateway de gerenciamento de nuvem (requer HTTPS)Cloud management gateway (requires HTTPS)

Sobre os sistemas de sites para a InternetAbout internet-facing site systems

Observação

A seção a seguir é sobre os cenários de gerenciamento de clientes baseado na Internet.The following section is about internet-based client management scenarios. Não se aplica a cenários de gateway de gerenciamento de nuvem.It doesn't apply to cloud management gateway scenarios. Para obter mais informações, veja Gerenciar clientes na Internet.For more information, see Manage clients on the internet.

Não há nenhum requisito para haver uma relação de confiança entre a floresta do cliente e a do servidor do sistema de sites.There's no requirement to have a trust between a client's forest and that of the site system server. No entanto, quando a floresta que contém um sistema de sites para a Internet confia na floresta que contém as contas de usuário, essa configuração dá suporte a políticas baseadas no usuário para dispositivos na Internet ao habilitar, em Política do Cliente, a configuração do cliente Habilitar solicitações da política de usuário de clientes da Internet.However, when the forest that contains an internet-facing site system trusts the forest that contains the user accounts, this configuration supports user-based policies for devices on the internet when you enable the Client Policy client setting Enable user policy requests from internet clients.

Por exemplo, as configurações seguintes ilustram quando o gerenciamento de cliente baseado na Internet dá suporte a políticas de usuário para dispositivos na Internet:For example, the following configurations illustrate when internet-based client management supports user policies for devices on the internet:

  • O ponto de gerenciamento baseado na Internet é na rede de perímetro em que um controlador de domínio somente leitura reside, para autenticar o usuário e um firewall intermediário permite pacotes do Active Directory.The internet-based management point is in the perimeter network where a read-only domain controller resides to authenticate the user and an intervening firewall allows Active Directory packets.

  • A conta do usuário está na Floresta A (a intranet) e o ponto de gerenciamento baseado na Internet está na Floresta B (a rede de perímetro).The user account is in Forest A (the intranet) and the internet-based management point is in Forest B (the perimeter network). A floresta B confia na Floresta A e um firewall intermediário permite pacotes de autenticação.Forest B trusts Forest A, and an intervening firewall allows the authentication packets.

  • A conta de usuário e o ponto de gerenciamento baseados na Internet estão na Floresta A (intranet).The user account and the internet-based management point are in Forest A (the intranet). O ponto de gerenciamento é publicado na Internet usando um servidor proxy da Web (como o Forefront Threat Management Gateway).The management point is published to the internet by using a web proxy server (like Forefront Threat Management Gateway).

Observação

Se a autenticação Kerberos falhar, a autenticação NTLM será tentada automaticamente.If Kerberos authentication fails, NTLM authentication is then automatically tried.

Como mostra o exemplo anterior, você pode colocar os sistemas de áreas baseados na Internet na intranet quando são publicados na Internet por meio de um servidor proxy da Web.As the previous example shows, you can place internet-based site systems in the intranet when they're published to the internet by using a web proxy server. Esses sistemas de sites podem ser configurados apenas para conexão de cliente pela Internet ou para conexões de cliente pela Internet e intranet.These site systems can be configured for client connection from the internet only, or for client connections from the internet and intranet. Ao usar um servidor proxy da Web, é possível configurá-lo para uma ponte do protocolo SSL para SSL (mais seguro) ou túnel SSL da seguinte maneira:When you use a web proxy server, you can configure it for Secure Sockets Layer (SSL) bridging to SSL (more secure) or SSL tunneling as follows:

  • Ponte SSL para SSL: SSL bridging to SSL:
    A configuração recomendada ao usar servidores proxy da Web para o gerenciamento de clientes baseado na Internet é a ponte SSL para SSL, que usa a terminação SSL com autenticação.The recommended configuration when you use proxy web servers for internet-based client management is SSL bridging to SSL, which uses SSL termination with authentication. Computadores cliente devem ser autenticados usando a autenticação do computador e os clientes herdados de dispositivos móveis são autenticados usando a autenticação do usuário.Client computers must be authenticated by using computer authentication, and mobile device legacy clients are authenticated by using user authentication. Os dispositivos móveis registrados pelo Configuration Manager não dão suporte à ponte SSL.Mobile devices that are enrolled by Configuration Manager don't support SSL bridging.

    O benefício da terminação de SSL no servidor proxy Web é que os pacotes da Internet estão sujeitos a inspeção antes de serem encaminhados à rede interna.The benefit of SSL termination at the proxy web server is that packets from the internet are subject to inspection before they're forwarded to the internal network. O servidor proxy Web autentica a conexão do cliente, termina a conexão e depois abre uma nova conexão autenticada com os sistemas de área baseados na Internet.The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the internet-based site systems. Quando os clientes do Configuration Manager usam um servidor Web proxy, a identidade do cliente (GUID do cliente) fica protegida no conteúdo do pacote para que o ponto de gerenciamento não considere o servidor Web proxy como o cliente.When Configuration Manager clients use a proxy web server, the client identity (client GUID) is securely contained in the packet payload so that the management point doesn't consider the proxy web server to be the client. Não há suporte para ponte no Configuration Manager com HTTP para HTTPS ou de HTTPS para HTTP.Bridging isn't supported in Configuration Manager with HTTP to HTTPS, or from HTTPS to HTTP.

  • Túnel:Tunneling:
    Se o servidor Web proxy não conseguir dar suporte aos requisitos da ponte SSL ou se desejar configurar o suporte da Internet para dispositivos móveis registrados pelo Configuration Manager, também haverá suporte para o túnel SSL.If your proxy web server can't support the requirements for SSL bridging, or you want to configure internet support for mobile devices that are enrolled by Configuration Manager, SSL tunneling is also supported. É uma opção menos segura, pois os pacotes de SSL da Internet são encaminhados para os sistemas de site sem terminação SSL, para que não possam ser inspecionados quanto a conteúdo malicioso.It's a less secure option because the SSL packets from the internet are forwarded to the site systems without SSL termination, so they can't be inspected for malicious content. Quando você usa o túnel SSL, não existem requisitos de certificado do servidor proxy da Web.When you use SSL tunneling, there are no certificate requirements for the proxy web server.

Comunicações entre florestas do Active DirectoryCommunications across Active Directory forests

O Configuration Manager dá suporte a sites e hierarquias que abrangem florestas do Active Directory.Configuration Manager supports sites and hierarchies that span Active Directory forests. Ele também dá suporte a computadores de domínio que não estão na mesma floresta do Active Directory que o servidor do site e a computadores de grupos de trabalho.It also supports domain computers that aren't in the same Active Directory forest as the site server, and computers that are in workgroups.

Suporte a computadores de domínio em uma floresta que não é confiável para a floresta do seu servidor do siteSupport domain computers in a forest that's not trusted by your site server's forest

  • Instalar funções de sistema de sites nessa floresta não confiável, com a opção de publicar informações do site na floresta do Active DirectoryInstall site system roles in that untrusted forest, with the option to publish site information to that Active Directory forest

  • Gerenciar esses computadores como se fossem computadores de grupo de trabalhoManage these computers as if they're workgroup computers

Ao instalar servidores do sistema de sites em uma floresta não confiável do Active Directory, a comunicação de cliente para servidor dos clientes da floresta é mantida na floresta e o Configuration Manager pode autenticar o computador usando o Kerberos.When you install site system servers in an untrusted Active Directory forest, the client-to-server communication from clients in that forest is kept within that forest, and Configuration Manager can authenticate the computer by using Kerberos. Ao publicar informações do site na floresta do cliente, os clientes se beneficiam da recuperação das informações do site, como uma lista de pontos de gerenciamento disponíveis da floresta do Active Directory, em vez de baixar essas informações de seu ponto de gerenciamento atribuído.When you publish site information to the client's forest, clients benefit from retrieving site information, such as a list of available management points, from their Active Directory forest, rather than downloading this information from their assigned management point.

Observação

Para gerenciar dispositivos na Internet, você pode instalar funções do sistema de áreas baseado na Internet em sua rede de perímetro, quando os servidores do sistema de site estiverem em uma floresta do Active Directory.If you want to manage devices that are on the internet, you can install internet-based site system roles in your perimeter network when the site system servers are in an Active Directory forest. Esse cenário não exige uma relação de confiança bidirecional entre a rede de perímetro e a floresta do servidor do site.This scenario doesn't require two-way trust between the perimeter network and the site server's forest.

Suporte a computadores de um grupo de trabalhoSupport computers in a workgroup

  • Aprovar manualmente computadores do grupo de trabalho quando eles usarem conexões de cliente HTTP com funções de sistema de sites.Manually approve workgroup computers when they use HTTP client connections to site system roles. O Configuration Manager não pode autenticar esses computadores usando o Kerberos.Configuration Manager can't authenticate these computers by using Kerberos.

  • Configurar os clientes do grupo de trabalho para usar a Conta de Acesso à Rede para que esses computadores possam recuperar conteúdo de pontos de distribuição.Configure workgroup clients to use the Network Access Account so that these computers can retrieve content from distribution points.

  • Fornecer um mecanismo alternativo para os clientes do grupo de trabalho localizarem pontos de gerenciamento.Provide an alternative mechanism for workgroup clients to find management points. Use a publicação DNS, WINS ou atribua diretamente um ponto de gerenciamento.Use DNS publishing, WINS, or directly assign a management point. Esses clientes não podem recuperar informações do site do Active Directory Domain Services.These clients can't retrieve site information from Active Directory Domain Services.

Para obter mais informações, consulte os seguintes artigos:For more information, see the following articles:

Cenários compatíveis com um site ou hierarquia que abrange vários domínios e florestasScenarios to support a site or hierarchy that spans multiple domains and forests

Cenário 1: Comunicação entre sites em uma hierarquia que abrange florestasScenario 1: Communication between sites in a hierarchy that spans forests

Esse cenário exige uma relação de confiança de floresta bidirecional que dá suporte à autenticação Kerberos.This scenario requires a two-way forest trust that supports Kerberos authentication. Se você não tiver uma relação de confiança de floresta bidirecional que dá suporte à autenticação Kerberos, o Configuration Manager não dará suporte a um site filho na floresta remota.If you don't have a two-way forest trust that supports Kerberos authentication, then Configuration Manager doesn't support a child site in the remote forest.

O Configuration Manager dá suporte à instalação de um site filho em uma floresta remota que tem a relação de confiança bidirecional necessária com a floresta do site pai.Configuration Manager supports installing a child site in a remote forest that has the required two-way trust with the forest of the parent site. Por exemplo, é possível colocar um site secundário em uma floresta diferente de seu site pai primário, contanto que a relação de confiança necessária exista.For example, you can place a secondary site in a different forest from its primary parent site as long as the required trust exists.

Observação

Um site filho pode ser um site primário (em que o site de administração central é o site pai) ou um site secundário.A child site can be a primary site (where the central administration site is the parent site) or a secondary site.

A comunicação entre sites no Configuration Manager usa replicação de banco de dados e transferências baseadas em arquivo.Intersite communication in Configuration Manager uses database replication and file-based transfers. Ao instalar um site, é necessário especificar uma conta com a qual o site será instalado no servidor designado.When you install a site, you must specify an account with which to install the site on the designated server. Essa conta também estabelece e mantém a comunicação entre os sites.This account also establishes and maintains communication between sites. Depois que o site é instalado com êxito e inicia transferências baseadas em arquivos e replicação de banco de dados, não é necessário configurar mais nada para a comunicação com o site.After the site successfully installs and initiates file-based transfers and database replication, you don't have to configure anything else for communication to the site.

Quando existe uma relação de confiança bidirecional na floresta, o Configuration Manager não necessita de nenhuma etapa adicional de configuração.When a two-way forest trust exists, Configuration Manager doesn't require any additional configuration steps.

Por padrão, quando você instala um novo site filho, o Configuration Manager configura os seguintes componentes:By default, when you install a new child site, Configuration Manager configures the following components:

  • Uma rota de replicação baseada em arquivo entre sites em cada site que usa a conta de computador do servidor do site.An intersite file-based replication route at each site that uses the site server computer account. O Configuration Manager adiciona a conta de computador de cada computador ao grupo SMS_SiteToSiteConnection_<sitecode> no computador de destino.Configuration Manager adds the computer account of each computer to the SMS_SiteToSiteConnection_<sitecode> group on the destination computer.

  • Replicação de banco de dados entre os SQL Servers em cada site.Database replication between the SQL Servers at each site.

Defina também as seguintes configurações:Also set the following configurations:

  • Firewalls e dispositivos de rede intermediários devem permitir os pacotes de rede de que o Configuration Manager necessita.Intervening firewalls and network devices must allow the network packets that Configuration Manager requires.

  • A resolução de nomes deve funcionar entre as florestas.Name resolution must work between the forests.

  • Para instalar um site ou de função do sistema do site, você deve especificar uma conta que tenha permissões de administrador local no computador especificado.To install a site or site system role, you must specify an account that has local administrator permissions on the specified computer.

Cenário 2: Comunicação em um site que abrange florestasScenario 2: Communication in a site that spans forests

Esse cenário não requer uma relação de confiança de floresta bidirecional.This scenario doesn't require a two-way forest trust.

Sites primários oferecem suporte à instalação de funções do sistema de site em computadores em florestas remotas.Primary sites support the installation of site system roles on computers in remote forests.

  • O Ponto de Serviços Web do Catálogo de Aplicativos é a única exceção.The Application Catalog web service point is the only exception. Ele só é compatível na mesma floresta que o servidor do site.It's only supported in the same forest as the site server.

  • Quando a função do sistema de site aceita conexões da Internet, como uma prática recomendada de segurança, instale as funções do sistema de site em uma localização em que o limite da floresta forneça proteção para o servidor de site (por exemplo, em uma rede de perímetro).When a site system role accepts connections from the internet, as a security best practice, install the site system roles in a location where the forest boundary provides protection for the site server (for example, in a perimeter network).

Para instalar uma função do sistema de site em um computador em uma floresta não confiável:To install a site system role on a computer in an untrusted forest:

  • Especifique uma Conta de Instalação do Sistema de Site, que o site usa para instalar a função do sistema de sites.Specify a Site System Installation Account, which the site uses to install the site system role. (Essa conta deve ter credenciais administrativas locais à qual se conectar.) Em seguida, instale as funções do sistema de sites no computador especificado.(This account must have local administrative credentials to connect to.) Then install site system roles on the specified computer.

  • Selecione a opção do sistema de site Exigir que o servidor do site inicie conexões com este sistema de site.Select the site system option Require the site server to initiate connections to this site system. Essa configuração exige que o servidor do site estabeleça conexões com o servidor do sistema de site para transferir dados.This setting requires the site server to establish connections to the site system server to transfer data. Essa configuração impede que o computador na localização não confiável inicie contato com o servidor do site que está na rede confiável.This configuration prevents the computer in the untrusted location from initiating contact with the site server that's inside your trusted network. Essas conexões usam a Conta de Instalação do Sistema de Site.These connections use the Site System Installation Account.

Para usar uma função de sistema de sites que foi instalada em uma floresta não confiável, os firewalls devem permitir o tráfego de rede, mesmo quando o servidor do site iniciar a transferência de dados.To use a site system role that was installed in an untrusted forest, firewalls must allow the network traffic even when the site server initiates the transfer of data.

Além disso, as seguintes funções de sistema de site exigem acesso direto ao banco de dados do site.Additionally, the following site system roles require direct access to the site database. Portanto, os firewalls devem permitir o tráfego aplicável da floresta não confiável para o SQL Server do site:Therefore, firewalls must allow applicable traffic from the untrusted forest to the site's SQL Server:

  • Ponto de sincronização do Asset IntelligenceAsset Intelligence synchronization point

  • Ponto do Endpoint ProtectionEndpoint Protection point

  • Ponto de registroEnrollment point

  • Ponto de gerenciamentoManagement point

  • Ponto de serviço de relatórioReporting service point

  • Ponto de migração de estadoState migration point

Para obter mais informações, confira Portas usadas no Configuration Manager.For more information, see Ports used in Configuration Manager.

Você pode precisar configurar o acesso do ponto de gerenciamento e do ponto de registro ao banco de dados do site.You might need to configure the management point and enrollment point access to the site database.

  • Por padrão, quando você instala essas funções, o Configuration Manager configura a conta de computador do novo servidor do sistema de sites como a conta de conexão para a função do sistema de sites.By default, when you install these roles, Configuration Manager configures the computer account of the new site system server as the connection account for the site system role. Depois ele adiciona a conta à função de banco de dados do SQL Server apropriada.It then adds the account to the appropriate SQL Server database role.

  • Quando você instala essas funções do sistema de site em um domínio não confiável, configure a conta de conexão da função do sistema de site para habilitá-la a obter informações do banco de dados.When you install these site system roles in an untrusted domain, configure the site system role connection account to enable the site system role to obtain information from the database.

Se você configurar uma conta de usuário de domínio como uma conta de conexão para essas funções do sistema, verifique se a conta de usuário do domínio tem acesso adequado ao banco de dados do SQL Server naquele site:If you configure a domain user account to be the connection account for these site system roles, make sure that the domain user account has appropriate access to the SQL Server database at that site:

  • Ponto de gerenciamento: Conta de Conexão de Banco de Dados do Ponto de GerenciamentoManagement point: Management Point Database Connection Account

  • Ponto de registro: Conta de conexão do ponto de registroEnrollment point: Enrollment Point Connection Account

Ao planejar funções do sistema de site em outras florestas, considere as seguintes informações adicionais:Consider the following additional information when you plan for site system roles in other forests:

  • Se você executar o Firewall do Windows, configure os perfis de firewall aplicáveis ​​para passar a comunicação entre o servidor de banco de dados do site e os computadores instalados com as funções do sistema de sites remoto.If you run Windows Firewall, configure the applicable firewall profiles to pass communications between the site database server and computers that are installed with remote site system roles.

  • Quando o ponto de gerenciamento com base em Internet tem uma relação de confiança com a floresta que contém as contas do usuário, as políticas do usuário têm suporte.When the internet-based management point trusts the forest that contains the user accounts, user policies are supported. Quando não existe uma relação de confiança, somente as políticas do computador têm suporte.When no trust exists, only computer policies are supported.

Cenário 3: comunicação entre clientes e funções do sistema de sites quando os clientes não estão na mesma floresta do Active Directory que o servidor do siteScenario 3: Communication between clients and site system roles when the clients aren't in the same Active Directory forest as their site server

O Configuration Manager dá suporte aos seguintes cenários para os clientes que não estão na mesma floresta que o servidor do site:Configuration Manager supports the following scenarios for clients that aren't in the same forest as their site's site server:

  • Há uma relação de confiança de floresta bidirecional entre a floresta do cliente e a floresta do servidor do site.There's a two-way forest trust between the forest of the client and the forest of the site server.

  • O servidor da função do sistema de sites está localizado na mesma floresta que o cliente.The site system role server is located in the same forest as the client.

  • O cliente está em um computador de domínio que não tem uma relação de confiança de floresta bidirecional com o servidor do site e as funções do sistema de sites não estão instaladas na floresta do cliente.The client is on a domain computer that doesn't have a two-way forest trust with the site server, and site system roles aren't installed in the client's forest.

  • O cliente está em um computador de grupo de trabalho.The client is on a workgroup computer.

Os clientes em um computador ingressado em domínio podem usar o Active Directory Domain Services como o local do serviço quando seu site é publicado na floresta do Active Directory.Clients on a domain-joined computer can use Active Directory Domain Services for service location when their site is published to their Active Directory forest.

Para publicar informações do site em outra floresta do Active Directory:To publish site information to another Active Directory forest:

  • Especificar a floresta e, em seguida, habilitar a publicação nessa floresta no nó Florestas do Active Directory do workspace Administração.Specify the forest and then enable publishing to that forest in the Active Directory Forests node of the Administration workspace.

  • Configurar cada site para publicar seus dados nos Serviços de Domínio Active Directory.Configure each site to publish its data to Active Directory Domain Services. Essa configuração permite que os clientes nessa floresta recuperem informações do site e localizem pontos de gerenciamento.This configuration enables clients in that forest to retrieve site information and find management points. Para clientes que não podem usar o Active Directory Domain Services na localização de serviço, é possível usar DNS, WINS ou o ponto de gerenciamento atribuído do cliente.For clients that can't use Active Directory Domain Services for service location, you can use DNS, WINS, or the client's assigned management point.

Cenário 4: Colocar o conector do Exchange Server em uma floresta remotaScenario 4: Put the Exchange Server connector in a remote forest

Para dar suporte a esse cenário, verifique se a resolução de nomes funciona entre as florestas.To support this scenario, make sure that name resolution works between the forests. Por exemplo, configure encaminhamentos de DNS.For example, configure DNS forwards. Quando você configura o conector do Exchange Server, especifique o FQDN do Exchange Server da intranet.When you configure the Exchange Server connector, specify the intranet FQDN of the Exchange Server. Para saber mais, confira Gerenciar dispositivos móveis com o Configuration Manager e o Exchange.For more information, see Manage mobile devices with Configuration Manager and Exchange.

Consulte tambémSee also