Comunicações entre pontos finais no Configuration ManagerCommunications between endpoints in Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Este artigo descreve como os sistemas de sites do Configuration Manager e clientes comunicam na sua rede.This article describes how Configuration Manager site systems and clients communicate across your network. Ele inclui as secções seguintes:It includes the following sections:

Comunicações entre sistemas de sites num siteCommunications between site systems in a site

Quando os sistemas de sites do Configuration Manager ou componentes comunicam através da rede a outros sistemas de sites ou componentes do site, utilizam um dos protocolos seguintes, dependendo de como configurar o site:When Configuration Manager site systems or components communicate across the network to other site systems or components in the site, they use one of the following protocols, depending on how you configure the site:

  • Bloco de mensagem de servidor (SMB)Server message block (SMB)

  • HTTPHTTP

  • HTTPSHTTPS

À exceção da comunicação do servidor do site para um ponto de distribuição, as comunicações de servidor para servidor num site podem ocorrer em qualquer altura.With the exception of communication from the site server to a distribution point, server-to-server communications in a site can occur at any time. Estas comunicações não utilizam mecanismos para controlar a largura de banda de rede.These communications don't use mechanisms to control the network bandwidth. Uma vez que não é possível controlar a comunicação entre sistemas de sites, certifique-se de que instala servidores do sistema de sites em locais que têm redes bem conectadas e rápidas.Because you can't control the communication between site systems, make sure that you install site system servers in locations that have fast and well-connected networks.

Servidor do site para o ponto de distribuiçãoSite server to distribution point

Para ajudar a gerir a transferência de conteúdo do servidor do site para pontos de distribuição, utilize as seguintes estratégias:To help you manage the transfer of content from the site server to distribution points, use the following strategies:

  • Configure o ponto de distribuição para o controlo da largura de banda de rede e o agendamento.Configure the distribution point for network bandwidth control and scheduling. Estes controlos assemelham-se as configurações que são utilizadas por endereços entre sites.These controls resemble the configurations that are used by intersite addresses. Utilize esta configuração em vez de instalar outro site do Configuration Manager, quando a transferência de conteúdo para localizações de rede remotas é sua consideração de largura de banda principal.Use this configuration instead of installing another Configuration Manager site when the transfer of content to remote network locations is your main bandwidth consideration.

  • Pode instalar um ponto de distribuição como um ponto de distribuição pré-configurado.You can install a distribution point as a prestaged distribution point. Um ponto de distribuição pré-configurado permite-lhe utilizar o conteúdo que é manualmente colocado no servidor do ponto de distribuição e remove o requisito de transferir ficheiros de conteúdo através da rede.A prestaged distribution point lets you use content that is manually put on the distribution point server and removes the requirement to transfer content files across the network.

Para obter mais informações, consulte gerir a largura de banda de rede para gestão de conteúdos.For more information, see Manage network bandwidth for content management.

Comunicações de clientes para sistemas e serviços do siteCommunications from clients to site systems and services

Os clientes iniciam a comunicação para funções de sistema de sites, serviços de domínio do Active Directory e serviços online.Clients initiate communication to site system roles, Active Directory Domain Services, and online services. Para ativar estas comunicações, firewalls têm de permitir o tráfego de rede entre clientes e o ponto final de suas comunicações.To enable these communications, firewalls must allow the network traffic between clients and the endpoint of their communications. Para obter mais informações sobre as portas e protocolos utilizados pelos clientes quando comunicam com estes pontos finais, consulte portas utilizadas no Configuration Manager.For more information about ports and protocols used by clients when they communicate to these endpoints, see Ports used in Configuration Manager.

Antes de um cliente pode comunicar com uma função de sistema de sites, o cliente utiliza a localização de serviço para localizar uma função que suporta o protocolo do cliente (HTTP ou HTTPS).Before a client can communicate with a site system role, the client uses service location to find a role that supports the client's protocol (HTTP or HTTPS). Por predefinição, os clientes utilizam o método mais seguro disponível para eles.By default, clients use the most secure method that's available to them. Para obter mais informações, consulte compreender como os clientes localizam os recursos de site e os serviços.For more information, see Understand how clients find site resources and services.

Para utilizar HTTPS, configure uma das seguintes opções:To use HTTPS, configure one of the following options:

  • Utilize uma infraestrutura de chaves públicas (PKI) e instalar certificados PKI nos clientes e servidores.Use a public key infrastructure (PKI) and install PKI certificates on clients and servers. Para obter informações sobre como utilizar certificados, consulte requisitos de certificado PKI.For information about how to use certificates, see PKI certificate requirements.

  • A partir da versão 1806, configurar o site para sistemas de sites de certificados gerados pelo utilize o Gestor de configuração para HTTP.Starting in version 1806, configure the site to Use Configuration Manager-generated certificates for HTTP site systems. Para obter mais informações, consulte avançada HTTP.For more information, see Enhanced HTTP.

Ao implementar uma função do sistema de sites que utiliza Serviços de Informação Internet (IIS) e suporta comunicações de clientes, tem de especificar se os clientes ligam ao sistema de sites através de HTTP ou HTTPS.When you deploy a site system role that uses Internet Information Services (IIS) and supports communication from clients, you must specify whether clients connect to the site system by using HTTP or HTTPS. Se utilizar HTTP, também tem de considerar as opções de assinatura e encriptação.If you use HTTP, you must also consider signing and encryption choices. Para obter mais informações, consulte planear a assinatura e encriptação.For more information, see Planning for signing and encryption.

Cliente para comunicação de ponto de gestãoClient to management point communication

Existem duas fases, quando um cliente comunica com um ponto de gestão: autenticação (transporte) e a autorização (mensagens).There are two stages when a client communicates with a management point: authentication (transport) and authorization (message). Este processo varia de acordo com os seguintes fatores:This process varies depending upon the following factors:

  • Configuração do site: HTTP, HTTPS ou HTTP avançadoSite configuration: HTTP, HTTPS, or enhanced HTTP
  • Configuração do ponto de gestão: HTTPS apenas ou permite o HTTP ou HTTPSManagement point configuration: HTTPS only, or allows HTTP or HTTPS
  • Identidade de dispositivo para cenários de TI centradas em dispositivoDevice identity for device-centric scenarios
  • Identidade de utilizador para cenários centrada no utilizadorUser identity for user-centric scenarios

Utilize a seguinte tabela para compreender como este processo funciona:Use the following table to understand how this process works:

Tipo de pacote de gestãoMP type Autenticação de clienteClient authentication Autorização de clienteClient authorization
Identidade de dispositivoDevice identity
Autorização de clienteClient authorization
Identidade do utilizadorUser identity
HTTPHTTP AnónimoAnonymous
Com HTTP avançada, o site verifica se o Azure AD usuário ou dispositivo token.With Enhanced HTTP, the site verifies the Azure AD user or device token.
Pedido de localização: AnónimoLocation request: Anonymous
Pacote de cliente: AnónimoClient package: Anonymous
Registo, utilizando um dos seguintes métodos para provar a identidade de dispositivo:Registration, using one of the following methods to prove device identity:
-Anônima (aprovação manual)- Anonymous (manual approval)
-Autenticação Windows-integrado- Windows-integrated authentication
-As do azure AD dispositivo token (HTTP avançada)- Azure AD device token (Enhanced HTTP)
Após o registo, o cliente utiliza a assinatura provar a identidade de dispositivo da mensagemAfter registration, the client uses message signing to prove device identity
Para cenários de centrada no utilizador, através de um dos seguintes métodos para provar a identidade de utilizador:For user-centric scenarios, using one of the following methods to prove user identity:
-Autenticação Windows-integrado- Windows-integrated authentication
-As do azure AD utilizador token (HTTP avançada)- Azure AD user token (Enhanced HTTP)
HTTPSHTTPS Através de um dos seguintes métodos:Using one of the following methods:
-Certificado PKI- PKI certificate
-Autenticação Windows-integrado- Windows-integrated authentication
-As do azure AD usuário ou dispositivo token- Azure AD user or device token
Pedido de localização: AnónimoLocation request: Anonymous
Pacote de cliente: AnónimoClient package: Anonymous
Registo, utilizando um dos seguintes métodos para provar a identidade de dispositivo:Registration, using one of the following methods to prove device identity:
-Anônima (aprovação manual)- Anonymous (manual approval)
-Autenticação Windows-integrado- Windows-integrated authentication
-Certificado PKI- PKI certificate
-As do azure AD usuário ou dispositivo token- Azure AD user or device token
Após o registo, o cliente utiliza a assinatura provar a identidade de dispositivo da mensagemAfter registration, the client uses message signing to prove device identity
Para cenários de centrada no utilizador, através de um dos seguintes métodos para provar a identidade de utilizador:For user-centric scenarios, using one of the following methods to prove user identity:
-Autenticação Windows-integrado- Windows-integrated authentication
-As do azure AD utilizador token- Azure AD user token

Dica

Para obter mais informações sobre a configuração do ponto de gestão para tipos de identidade de dispositivo diferentes e com o gateway de gestão de nuvem, consulte ativar o ponto de gestão para HTTPS.For more information on the configuration of the management point for different device identity types and with the cloud management gateway, see Enable management point for HTTPS.

Cliente para comunicação de ponto de distribuiçãoClient to distribution point communication

Quando um cliente comunica com um ponto de distribuição, apenas tem de autenticar antes de transferir o conteúdo.When a client communicates with a distribution point, it only needs to authenticate before downloading the content. Utilize a seguinte tabela para compreender como este processo funciona:Use the following table to understand how this process works:

Tipo de ponto de distribuiçãoDP type Autenticação de clienteClient authentication
HTTPHTTP -Anónimo, se permitido- Anonymous, if allowed
-Autenticação Windows-integrado com a conta de computador ou a conta de acesso de rede- Windows-integrated authentication with computer account or network access account
-Token de acesso conteúdo (HTTP avançada)- Content access token (Enhanced HTTP)
HTTPSHTTPS -Certificado PKI- PKI certificate
-Autenticação Windows-integrado com a conta de computador ou a conta de acesso de rede- Windows-integrated authentication with computer account or network access account
-Token de acesso conteúdo- Content access token

Considerações sobre comunicações do cliente a partir da internet ou numa floresta não fidedignaConsiderations for client communications from the internet or an untrusted forest

As seguintes funções de sistema de sites instaladas nos sites primários suportam ligações de clientes que se encontram em localizações não fidedignas, como a internet ou numa floresta não fidedigna.The following site system roles installed at primary sites support connections from clients that are in untrusted locations, such as the internet or an untrusted forest. (Os sites secundários não suportam ligações de cliente a partir de localizações não fidedignas).(Secondary sites don't support client connections from untrusted locations.)

  • Ponto de Web site do catálogo de aplicaçõesApplication catalog website point

  • Módulo de política do Configuration Manager (NDES)Configuration Manager policy module (NDES)

  • Ponto de distribuiçãoDistribution point

  • Ponto de distribuição baseado na nuvem (requer HTTPS)Cloud-based distribution point (requires HTTPS)

  • Ponto proxy de registoEnrollment proxy point

  • Ponto de estado de contingênciaFallback status point

  • Ponto de gestãoManagement point

  • Ponto de atualização de softwareSoftware update point

  • Gateway de gestão na cloud (requer HTTPS)Cloud management gateway (requires HTTPS)

Sobre sistemas de sites com acesso à internetAbout internet-facing site systems

Nota

A secção seguinte é sobre cenários de gestão de clientes baseada na internet.The following section is about internet-based client management scenarios. Não se aplica a cenários de gateway de gestão na cloud.It doesn't apply to cloud management gateway scenarios. Para obter mais informações, consulte gerir clientes na internet.For more information, see Manage clients on the internet.

Não existe nenhum requisito de fidedignidade entre a floresta de um cliente e que o servidor de sistema de sites.There's no requirement to have a trust between a client's forest and that of the site system server. No entanto, quando a floresta que contenha um sistema de sites com acesso à internet confia na floresta que contém as contas de utilizador, esta configuração suporta políticas baseadas no utilizador para dispositivos na internet quando ativa a política de cliente definição de cliente ativar pedidos da política de utilizador dos clientes internet.However, when the forest that contains an internet-facing site system trusts the forest that contains the user accounts, this configuration supports user-based policies for devices on the internet when you enable the Client Policy client setting Enable user policy requests from internet clients.

Por exemplo, as configurações seguintes ilustram quando a gestão de clientes baseados na internet suporta políticas de utilizador para dispositivos na internet:For example, the following configurations illustrate when internet-based client management supports user policies for devices on the internet:

  • O ponto de gestão baseado na internet é na rede de perímetro em que um controlador de domínio só de leitura reside para autenticar o utilizador e uma firewall intermediária permite pacotes do Active Directory.The internet-based management point is in the perimeter network where a read-only domain controller resides to authenticate the user and an intervening firewall allows Active Directory packets.

  • A conta de utilizador é na floresta A (a intranet) e o ponto de gestão baseado na internet é na floresta B (a rede de perímetro).The user account is in Forest A (the intranet) and the internet-based management point is in Forest B (the perimeter network). A Floresta B confia na Floresta A e uma firewall intermediária permite os pacotes de autenticação.Forest B trusts Forest A, and an intervening firewall allows the authentication packets.

  • A conta de utilizador e o ponto de gestão baseado na internet são na floresta A (a intranet).The user account and the internet-based management point are in Forest A (the intranet). O ponto de gestão é publicado na internet ao utilizar um servidor web proxy (como o Forefront Threat Management Gateway).The management point is published to the internet by using a web proxy server (like Forefront Threat Management Gateway).

Nota

Se a autenticação Kerberos falhar, será automaticamente tentada a autenticação NTLM.If Kerberos authentication fails, NTLM authentication is then automatically tried.

Como mostra o exemplo anterior, é possível colocar sistemas de sites baseados na internet na intranet quando eles estão publicados na internet ao utilizar um servidor de proxy da web.As the previous example shows, you can place internet-based site systems in the intranet when they're published to the internet by using a web proxy server. Estes sistemas de sites podem ser configurados para ligação de cliente a partir da internet apenas, ou para ligações de cliente da internet e intranet.These site systems can be configured for client connection from the internet only, or for client connections from the internet and intranet. Quando utilizar um servidor web proxy, pode configurá-lo para bridge de Secure Sockets Layer (SSL) para SSL (mais seguro) ou o protocolo de túnel SSL da seguinte forma:When you use a web proxy server, you can configure it for Secure Sockets Layer (SSL) bridging to SSL (more secure) or SSL tunneling as follows:

  • Protocolo de bridge SSL para SSL: SSL bridging to SSL:
    A configuração recomendada quando utiliza servidores web proxy para gestão de clientes baseados na internet é o protocolo de bridge para SSL, que utiliza a terminação de SSL com autenticação SSL.The recommended configuration when you use proxy web servers for internet-based client management is SSL bridging to SSL, which uses SSL termination with authentication. Os computadores cliente têm de ser autenticados utilizando a autenticação de computador e os clientes antigos do dispositivo móvel são autenticados utilizando a autenticação de utilizador.Client computers must be authenticated by using computer authentication, and mobile device legacy clients are authenticated by using user authentication. Dispositivos móveis inscritos pelo Configuration Manager não suportam o protocolo de bridge SSL.Mobile devices that are enrolled by Configuration Manager don't support SSL bridging.

    A vantagem da terminação de SSL no servidor web proxy é que os pacotes da internet são sujeitos a inspeção antes de eles são reencaminhados para a rede interna.The benefit of SSL termination at the proxy web server is that packets from the internet are subject to inspection before they're forwarded to the internal network. O servidor web proxy autentica a ligação do cliente, termina- e, em seguida, abre uma nova ligação autenticada para os sistemas de sites baseados na internet.The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the internet-based site systems. Quando os clientes do Configuration Manager utilizarem um servidor web proxy, a identidade do cliente (GUID do cliente) está contida em segurança no payload do pacote, para que o ponto de gestão não considere o servidor de web de proxy é o cliente.When Configuration Manager clients use a proxy web server, the client identity (client GUID) is securely contained in the packet payload so that the management point doesn't consider the proxy web server to be the client. Protocolo de bridge não é suportado no Configuration Manager com HTTP para HTTPS ou de HTTPS para HTTP.Bridging isn't supported in Configuration Manager with HTTP to HTTPS, or from HTTPS to HTTP.

  • Protocolo de túnel:Tunneling:
    Se seu servidor web proxy não suporta os requisitos de protocolo de bridge SSL ou se pretende configurar o suporte de internet para dispositivos móveis inscritos pelo Configuration Manager, protocolo de túnel SSL também é suportado.If your proxy web server can't support the requirements for SSL bridging, or you want to configure internet support for mobile devices that are enrolled by Configuration Manager, SSL tunneling is also supported. É uma opção menos segura porque os pacotes SSL da internet são reencaminhados para os sistemas de sites sem terminação de SSL, para que não é possível inspecioná-los relativamente a conteúdo malicioso.It's a less secure option because the SSL packets from the internet are forwarded to the site systems without SSL termination, so they can't be inspected for malicious content. Quando utiliza o protocolo de túnel SSL, não existem requisitos de certificado para o servidor Web proxy.When you use SSL tunneling, there are no certificate requirements for the proxy web server.

Comunicação entre florestas do Active DirectoryCommunications across Active Directory forests

O Configuration Manager suporta sites e hierarquias que abrangem florestas do Active Directory.Configuration Manager supports sites and hierarchies that span Active Directory forests. Também suporta computadores de domínio que não estão na mesma floresta do Active Directory que o servidor do site e computadores que estão em grupos de trabalho.It also supports domain computers that aren't in the same Active Directory forest as the site server, and computers that are in workgroups.

Suportar computadores de domínio numa floresta que não seja considerada fidedigna pela floresta do seu servidor de siteSupport domain computers in a forest that's not trusted by your site server's forest

  • Instalar funções do sistema de sites nessa floresta não fidedigna, com a opção de publicar informações do site nessa floresta do Active DirectoryInstall site system roles in that untrusted forest, with the option to publish site information to that Active Directory forest

  • Gerir os computadores como se fossem computadores de grupo de trabalhoManage these computers as if they're workgroup computers

Ao instalar servidores do sistema de sites numa floresta do Active Directory não fidedigna, a comunicação de cliente-servidor dos clientes nessa floresta é mantida dentro dessa floresta e do Configuration Manager pode autenticar o computador utilizando Kerberos.When you install site system servers in an untrusted Active Directory forest, the client-to-server communication from clients in that forest is kept within that forest, and Configuration Manager can authenticate the computer by using Kerberos. Quando publicar informações do site na floresta do cliente, os clientes beneficiarão da recuperando informações de site, como uma lista de pontos de gestão disponíveis, de sua floresta do Active Directory, em vez de transferir a partir do lhes foi atribuído ponto de gestão.When you publish site information to the client's forest, clients benefit from retrieving site information, such as a list of available management points, from their Active Directory forest, rather than downloading this information from their assigned management point.

Nota

Se pretender gerir dispositivos que estão na internet, pode instalar funções do sistema de sites baseados na internet na sua rede de perímetro, quando os servidores de sistema de sites estão numa floresta do Active Directory.If you want to manage devices that are on the internet, you can install internet-based site system roles in your perimeter network when the site system servers are in an Active Directory forest. Este cenário não requer uma fidedignidade bidirecional entre a rede de perímetro e a floresta do servidor do site.This scenario doesn't require two-way trust between the perimeter network and the site server's forest.

Suportar computadores num grupo de trabalhoSupport computers in a workgroup

  • Aprovar manualmente os computadores do grupo de trabalho quando utilizam ligações de cliente HTTP para as funções do sistema de sites.Manually approve workgroup computers when they use HTTP client connections to site system roles. O Configuration Manager não pode autenticar estes computadores através de Kerberos.Configuration Manager can't authenticate these computers by using Kerberos.

  • Configurar a Conta de Acesso à Rede para que estes computadores possam receber conteúdos dos pontos de distribuição.Configure workgroup clients to use the Network Access Account so that these computers can retrieve content from distribution points.

  • Fornecer um mecanismo alternativo para que os clientes do grupo de trabalho localizem pontos de gestão.Provide an alternative mechanism for workgroup clients to find management points. Utilizar a publicação de DNS, WINS, ou atribuir diretamente um ponto de gestão.Use DNS publishing, WINS, or directly assign a management point. Estes clientes não é possível obter as informações do site dos serviços de domínio do Active Directory.These clients can't retrieve site information from Active Directory Domain Services.

Para obter mais informações, consulte os artigos seguintes:For more information, see the following articles:

Cenários para suportar um site ou uma hierarquia que abranja vários domínios e florestasScenarios to support a site or hierarchy that spans multiple domains and forests

Cenário 1: Comunicação entre sites numa hierarquia que abranja florestasScenario 1: Communication between sites in a hierarchy that spans forests

Este cenário requer uma fidedignidade de floresta bidirecional que suporte a autenticação Kerberos.This scenario requires a two-way forest trust that supports Kerberos authentication. Se não tiver uma fidedignidade de floresta bidirecional que suporte a autenticação Kerberos, o Configuration Manager não suporta um site subordinado na floresta remota.If you don't have a two-way forest trust that supports Kerberos authentication, then Configuration Manager doesn't support a child site in the remote forest.

O Configuration Manager suporta a instalação de um site subordinado numa floresta remota que possua a fidedignidade bidirecional necessária com a floresta do site principal.Configuration Manager supports installing a child site in a remote forest that has the required two-way trust with the forest of the parent site. Por exemplo, pode colocar um site secundário noutra floresta do respetivo site primário principal, desde que a fidedignidade necessária exista.For example, you can place a secondary site in a different forest from its primary parent site as long as the required trust exists.

Nota

Um site subordinado pode ser um site primário (em que o site de administração central é o site principal) ou um site secundário.A child site can be a primary site (where the central administration site is the parent site) or a secondary site.

Comunicação entre sites no Configuration Manager utiliza a replicação de base de dados e transferências de ficheiros.Intersite communication in Configuration Manager uses database replication and file-based transfers. Quando instala um site, tem de especificar uma conta com que pretende instalar o site no servidor designado.When you install a site, you must specify an account with which to install the site on the designated server. Esta conta também estabelece e mantém a comunicação entre sites.This account also establishes and maintains communication between sites. Depois do site instala e inicia a transferências de ficheiros e replicação de base de dados com êxito, não tem qualquer configuração adicional para comunicação com o site.After the site successfully installs and initiates file-based transfers and database replication, you don't have to configure anything else for communication to the site.

Se existir uma fidedignidade de floresta bidirecional, o Configuration Manager não requer quaisquer passos de configuração adicionais.When a two-way forest trust exists, Configuration Manager doesn't require any additional configuration steps.

Por predefinição, quando instala um novo site subordinado, o Configuration Manager configura os seguintes componentes:By default, when you install a new child site, Configuration Manager configures the following components:

  • Uma rota de replicação entre sites, baseada em ficheiros em cada site que utiliza a conta do computador servidor de sites.An intersite file-based replication route at each site that uses the site server computer account. A conta de computador de cada computador para o Configuration Manager acrescenta o SMS_SiteToSiteConnection_<sitecode> grupo no computador de destino.Configuration Manager adds the computer account of each computer to the SMS_SiteToSiteConnection_<sitecode> group on the destination computer.

  • Replicação de base de dados entre os SQL Servers em cada site.Database replication between the SQL Servers at each site.

Também defina as seguintes configurações:Also set the following configurations:

  • Firewalls intervenientes e dispositivos de rede tem de permitir os pacotes de rede exigidos pelo Configuration Manager.Intervening firewalls and network devices must allow the network packets that Configuration Manager requires.

  • A resolução de nomes tem de funcionar entre as florestas.Name resolution must work between the forests.

  • Para instalar um site ou função do sistema de sites, terá de especificar uma conta com permissões de administrador local no computador especificado.To install a site or site system role, you must specify an account that has local administrator permissions on the specified computer.

Cenário 2: Comunicação num site que abranja florestasScenario 2: Communication in a site that spans forests

Este cenário não requer uma fidedignidade de floresta bidirecional.This scenario doesn't require a two-way forest trust.

Sites primários suportam a instalação de funções de sistema de sites em computadores em florestas remotas.Primary sites support the installation of site system roles on computers in remote forests.

  • O ponto de serviço Web do Catálogo de Aplicações é a única exceção.The Application Catalog web service point is the only exception. Só é suportado na mesma floresta que o servidor do site.It's only supported in the same forest as the site server.

  • Se uma função de sistema de sites aceita ligações a partir da internet, como prática recomendada de segurança, instale as funções de sistema de sites num local em que o limite da floresta forneça proteção para o servidor de site (por exemplo, numa rede de perímetro).When a site system role accepts connections from the internet, as a security best practice, install the site system roles in a location where the forest boundary provides protection for the site server (for example, in a perimeter network).

Para instalar uma função do sistema de sites num computador numa floresta não fidedigna:To install a site system role on a computer in an untrusted forest:

  • Especifique um conta de instalação do sistema de sites, que o site utiliza para instalar a função de sistema de sites.Specify a Site System Installation Account, which the site uses to install the site system role. (Esta conta tem de ter credenciais administrativas locais para estabelecer ligação ao.) Em seguida, instale funções do sistema de site no computador especificado.(This account must have local administrative credentials to connect to.) Then install site system roles on the specified computer.

  • Selecionar a opção de sistema de sites exigir que o servidor do site inicie ligações a este sistema de sites.Select the site system option Require the site server to initiate connections to this site system. Esta definição necessita que o servidor do site estabeleça ligações ao servidor de sistema de sites para transferir dados.This setting requires the site server to establish connections to the site system server to transfer data. Esta configuração impede que o computador na localização não fidedigna estabeleça contacto com o servidor do site que está dentro da rede fidedigna.This configuration prevents the computer in the untrusted location from initiating contact with the site server that's inside your trusted network. Estas ligações utilizam a Conta de Instalação do Sistema de Sites.These connections use the Site System Installation Account.

Para utilizar uma função de sistema de sites que foi instalada numa floresta não fidedigna, firewalls têm de permitir o tráfego de rede, mesmo quando o servidor do site inicia a transferência de dados.To use a site system role that was installed in an untrusted forest, firewalls must allow the network traffic even when the site server initiates the transfer of data.

Além disso, as seguintes funções do sistema de sites requerem acesso direto à base de dados do site.Additionally, the following site system roles require direct access to the site database. Por conseguinte, firewalls têm de permitir tráfego aplicável das florestas não fidedignas para o SQL Server do site:Therefore, firewalls must allow applicable traffic from the untrusted forest to the site's SQL Server:

  • Ponto de sincronização do Asset IntelligenceAsset Intelligence synchronization point

  • Ponto de Endpoint ProtectionEndpoint Protection point

  • Ponto de inscriçãoEnrollment point

  • Ponto de gestãoManagement point

  • Ponto do sistema de reporteReporting service point

  • Ponto de Migração de EstadoState migration point

Para obter mais informações, consulte portas utilizadas no Configuration Manager.For more information, see Ports used in Configuration Manager.

Poderá ter de configurar o acesso de ponto de gestão ponto e a inscrição, a base de dados do site.You might need to configure the management point and enrollment point access to the site database.

  • Por predefinição, quando instalar estas funções, o Configuration Manager configura a conta de computador do novo servidor do sistema de sites como conta de ligação para a função de sistema de sites.By default, when you install these roles, Configuration Manager configures the computer account of the new site system server as the connection account for the site system role. Em seguida, adiciona a conta à função adequada para a base de dados de SQL Server.It then adds the account to the appropriate SQL Server database role.

  • Ao instalar estas funções de sistema de sites num domínio não fidedigno, configure a conta da ligação de função de sistema de sites para ativar a função de sistema de sites obter informações da base de dados.When you install these site system roles in an untrusted domain, configure the site system role connection account to enable the site system role to obtain information from the database.

Se configurar uma conta de utilizador de domínio para a conta de ligação para estas funções de sistema de sites, certifique-se de que a conta de utilizador de domínio possui acesso adequado à base de dados do SQL Server nesse site:If you configure a domain user account to be the connection account for these site system roles, make sure that the domain user account has appropriate access to the SQL Server database at that site:

  • Ponto de gestão: Conta de ligação de base de dados do ponto de gestãoManagement point: Management Point Database Connection Account

  • Ponto de registo: Conta de ligação de ponto de inscriçãoEnrollment point: Enrollment Point Connection Account

Ao planear funções do sistema de sites noutras florestas, considere as seguintes informações adicionais:Consider the following additional information when you plan for site system roles in other forests:

  • Se executar o Windows Firewall, configure os perfis de firewall aplicáveis para transmitirem comunicações entre o servidor de base de dados do site e os computadores que são instalados com funções do sistema de sites remoto.If you run Windows Firewall, configure the applicable firewall profiles to pass communications between the site database server and computers that are installed with remote site system roles.

  • Quando o ponto de gestão baseado na internet confiar na floresta que contém as contas de utilizador, são suportadas políticas de utilizador.When the internet-based management point trusts the forest that contains the user accounts, user policies are supported. Se não existir qualquer fidedignidade, só são suportadas políticas de computador.When no trust exists, only computer policies are supported.

Cenário 3: Comunicação entre clientes e funções de sistema de sites quando os clientes não estão na mesma floresta do Active Directory que o respetivo servidor de siteScenario 3: Communication between clients and site system roles when the clients aren't in the same Active Directory forest as their site server

O Configuration Manager suporta os seguintes cenários para clientes que não estão na mesma floresta do respetivo servidor de site:Configuration Manager supports the following scenarios for clients that aren't in the same forest as their site's site server:

  • Existe uma fidedignidade de floresta bidirecional entre a floresta do cliente e a floresta do servidor do site.There's a two-way forest trust between the forest of the client and the forest of the site server.

  • O servidor de função do sistema de sites está localizado na mesma floresta que o cliente.The site system role server is located in the same forest as the client.

  • O cliente está num computador de domínio que não tem uma floresta bidirecional de confiança com o servidor do site e do site de funções do sistema não estão instaladas na floresta do cliente.The client is on a domain computer that doesn't have a two-way forest trust with the site server, and site system roles aren't installed in the client's forest.

  • O cliente se encontre num computador de grupo de trabalho.The client is on a workgroup computer.

Os clientes num computador associado a um domínio podem utilizar serviços de domínio do Active Directory para localização de serviços quando o respetivo site for publicado na sua floresta do Active Directory.Clients on a domain-joined computer can use Active Directory Domain Services for service location when their site is published to their Active Directory forest.

Para publicar informações do site noutra floresta do Active Directory:To publish site information to another Active Directory forest:

  • Especificar primeiro a floresta, ativando em seguida a publicação nessa floresta no nó Florestas do Active Directory da área de trabalho Administração .Specify the forest and then enable publishing to that forest in the Active Directory Forests node of the Administration workspace.

  • Configurar cada site para publicar os respetivos dados nos Serviços de Domínio do Active Directory.Configure each site to publish its data to Active Directory Domain Services. Esta configuração permite aos clientes dessa floresta obter as informações de site e localizar pontos de gestão.This configuration enables clients in that forest to retrieve site information and find management points. Para clientes que não é possível utilizar os serviços de domínio do Active Directory para localização de serviços, pode utilizar o DNS, WINS, ou ponto de gestão atribuído do cliente.For clients that can't use Active Directory Domain Services for service location, you can use DNS, WINS, or the client's assigned management point.

Cenário 4: Colocar o conector do Exchange Server numa floresta remotaScenario 4: Put the Exchange Server connector in a remote forest

Para suportar este cenário, certifique-se de que a resolução de nomes funciona entre as florestas.To support this scenario, make sure that name resolution works between the forests. Por exemplo, configurando reencaminhamentos de DNS.For example, configure DNS forwards. Quando configurar o conector do Exchange Server, especifique o FQDN do servidor do Exchange da intranet.When you configure the Exchange Server connector, specify the intranet FQDN of the Exchange Server. Para obter mais informações, consulte gerir dispositivos móveis com o Configuration Manager e o Exchange.For more information, see Manage mobile devices with Configuration Manager and Exchange.

Consulte tambémSee also