Kommunikation mellan slutpunkter i Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Den här artikeln beskriver hur Configuration Manager platssystem och klienter kommunicerar i nätverket. Den innehåller följande avsnitt:
Kommunikation mellan platssystem på en plats
När Configuration Manager platssystem eller komponenter kommunicerar över nätverket till andra platssystem eller komponenter på platsen använder de något av följande protokoll, beroende på hur du konfigurerar platsen:
Servermeddelandeblock (SMB)
HTTP
HTTPS
Med undantag för kommunikation från platsservern till en distributionsplats kan server-till-server-kommunikation på en plats ske när som helst. Dessa kommunikationer använder inte mekanismer för att styra nätverksbandbredden. Eftersom du inte kan styra kommunikationen mellan platssystem kontrollerar du att du installerar platssystemservrar på platser som har snabba och välanslutna nätverk.
Platsserver till distributionsplats
Använd följande strategier för att hantera överföring av innehåll från platsservern till distributionsplatser:
Konfigurera distributionsplatsen för kontroll och schemaläggning av nätverksbandbredd. Dessa kontroller liknar de konfigurationer som används av adresser mellan platser. Använd den här konfigurationen i stället för att installera en annan Configuration Manager plats när överföringen av innehåll till fjärrnätverksplatser är din huvudsakliga bandbreddsövervägande.
Du kan installera en distributionsplats som en förinstallerad distributionsplats. Med en förinstallerad distributionsplats kan du använda innehåll som placeras manuellt på distributionsplatsservern och som tar bort kravet på att överföra innehållsfiler över nätverket.
Mer information finns i Hantera nätverksbandbredd för innehållshantering.
Kommunikation från klienter till platssystem och tjänster
Klienter initierar kommunikation till platssystemroller, Active Directory Domain Services och onlinetjänster. För att aktivera den här kommunikationen måste brandväggarna tillåta nätverkstrafik mellan klienter och slutpunkten för deras kommunikation. Mer information om portar och protokoll som används av klienter när de kommunicerar med dessa slutpunkter finns i Portar som används i Configuration Manager.
Innan en klient kan kommunicera med en platssystemroll använder klienten tjänstplatsen för att hitta en roll som stöder klientens protokoll (HTTP eller HTTPS). Som standard använder klienter den säkraste metoden som är tillgänglig för dem. Mer information finns i Förstå hur klienter hittar platsresurser och tjänster.
Konfigurera något av följande alternativ för att skydda kommunikationen mellan Configuration Manager-klienter och platsservrar:
Använd en offentlig nyckelinfrastruktur (PKI) och installera PKI-certifikat på klienter och servrar. Aktivera platssystem för att kommunicera med klienter via HTTPS. Information om hur du använder certifikat finns i PKI-certifikatkrav.
Konfigurera platsen så att den använder Configuration Manager-genererade certifikat för HTTP-platssystem. Mer information finns i Förbättrad HTTP.
När du distribuerar en platssystemroll som använder IIS (Internet Information Services) och stöder kommunikation från klienter måste du ange om klienter ansluter till platssystemet med hjälp av HTTP eller HTTPS. Om du använder HTTP måste du också överväga att välja signering och kryptering. Mer information finns i Planera för signering och kryptering.
Viktigt
Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.
Kommunikation mellan klient och hanteringsplats
Det finns två steg när en klient kommunicerar med en hanteringsplats: autentisering (transport) och auktorisering (meddelande). Den här processen varierar beroende på följande faktorer:
- Platskonfiguration: Endast HTTPS, tillåter HTTP eller HTTPS, eller tillåter HTTP eller HTTPS med utökad HTTP aktiverat
- Konfiguration av hanteringsplats: HTTPS eller HTTP
- Enhetsidentitet för enhetscentrerade scenarier
- Användaridentitet för användarcentrerade scenarier
Använd följande tabell för att förstå hur den här processen fungerar:
| MP-typ | Klientautentisering | Klientauktorisering Enhetsidentitet |
Klientauktorisering Användaridentitet |
|---|---|---|---|
| HTTP | Anonym Med Utökad HTTP verifierar webbplatsen Microsoft Entra-ID-användaren eller enhetstoken. |
Platsbegäran: Anonym Klientpaket: Anonym Registrering med någon av följande metoder för att bevisa enhetsidentitet: – Anonym (manuellt godkännande) – Windows-integrerad autentisering – Microsoft Entra ID-enhetstoken (utökad HTTP) Efter registreringen använder klienten meddelandesignering för att bevisa enhetsidentiteten |
För användarcentrerade scenarier använder du någon av följande metoder för att bevisa användaridentitet: – Windows-integrerad autentisering – Microsoft Entra ID-användartoken (utökad HTTP) |
| HTTPS | Använd någon av följande metoder: – PKI-certifikat – Windows-integrerad autentisering – Microsoft Entra ID-användare eller enhetstoken |
Platsbegäran: Anonym Klientpaket: Anonym Registrering med någon av följande metoder för att bevisa enhetsidentitet: – Anonym (manuellt godkännande) – Windows-integrerad autentisering – PKI-certifikat – Microsoft Entra ID-användare eller enhetstoken Efter registreringen använder klienten meddelandesignering för att bevisa enhetsidentiteten |
För användarcentrerade scenarier använder du någon av följande metoder för att bevisa användaridentitet: – Windows-integrerad autentisering – användartoken för Microsoft Entra-ID |
Tips
Mer information om konfigurationen av hanteringsplatsen för olika typer av enhetsidentiteter och med molnhanteringsgatewayen finns i Aktivera hanteringsplats för HTTPS.
Kommunikation mellan klient och distributionsplats
När en klient kommunicerar med en distributionsplats behöver den bara autentiseras innan innehållet laddas ned. Använd följande tabell för att förstå hur den här processen fungerar:
| DP-typ | Klientautentisering |
|---|---|
| HTTP | - Anonym, om det tillåts – Windows-integrerad autentisering med datorkonto eller nätverksåtkomstkonto – Innehållsåtkomsttoken (utökad HTTP) |
| HTTPS | – PKI-certifikat – Windows-integrerad autentisering med datorkonto eller nätverksåtkomstkonto – Innehållsåtkomsttoken |
Överväganden för klientkommunikation från Internet eller en obetrodd skog
Mer information finns i följande artiklar:
Kommunikation mellan Active Directory-skogar
Configuration Manager stöder platser och hierarkier som sträcker sig över Active Directory-skogar. Det stöder även domändatorer som inte finns i samma Active Directory-skog som platsservern och datorer som finns i arbetsgrupper.
Stöd för domändatorer i en skog som inte är betrodd av platsserverns skog
Installera platssystemroller i den obetrodda skogen, med möjlighet att publicera platsinformation till den Active Directory-skogen
Hantera dessa datorer som om de vore arbetsgruppsdatorer
När du installerar platssystemservrar i en obetrodd Active Directory-skog behålls klient-till-server-kommunikationen från klienter i skogen i den skogen, och Configuration Manager kan autentisera datorn med hjälp av Kerberos. När du publicerar platsinformation till klientens skog kan klienterna hämta platsinformation, till exempel en lista över tillgängliga hanteringsplatser, från deras Active Directory-skog, i stället för att ladda ned den här informationen från deras tilldelade hanteringsplats.
Obs!
Om du vill hantera enheter som finns på Internet kan du installera Internetbaserade platssystemroller i perimeternätverket när platssystemservrarna finns i en Active Directory-skog. Det här scenariot kräver inte dubbelriktad förtroende mellan perimeternätverket och platsserverns skog.
Stöd för datorer i en arbetsgrupp
Godkänn arbetsgruppsdatorer manuellt när de använder HTTP-klientanslutningar till platssystemroller. Configuration Manager kan inte autentisera dessa datorer med hjälp av Kerberos.
Konfigurera arbetsgruppsklienter att använda kontot för nätverksåtkomst så att dessa datorer kan hämta innehåll från distributionsplatser.
Ange en alternativ mekanism för arbetsgruppsklienter för att hitta hanteringsplatser. Använd DNS-publicering eller tilldela en hanteringsplats direkt. Dessa klienter kan inte hämta platsinformation från Active Directory Domain Services.
Mer information finns i följande artiklar:
Scenarier som stöder en plats eller hierarki som omfattar flera domäner och skogar
Scenario 1: Kommunikation mellan platser i en hierarki som sträcker sig över skogar
Det här scenariot kräver ett dubbelriktad skogsförtroende som stöder Kerberos-autentisering. Om du inte har ett dubbelriktad skogsförtroende som stöder Kerberos-autentisering stöder Configuration Manager inte en underordnad plats i fjärrskogen.
Configuration Manager stöder installation av en underordnad plats i en fjärransluten skog som har det tvåvägsförtroende som krävs med skogen på den överordnade platsen. Du kan till exempel placera en sekundär plats i en annan skog än dess primära överordnade plats så länge det nödvändiga förtroendet finns.
Obs!
En underordnad plats kan vara en primär plats (där den centrala administrationsplatsen är den överordnade platsen) eller en sekundär plats.
Kommunikation mellan platser i Configuration Manager använder databasreplikering och filbaserade överföringar. När du installerar en plats måste du ange ett konto som platsen ska installeras med på den avsedda servern. Det här kontot upprättar och underhåller även kommunikationen mellan platser. När platsen har installerats och initierat filbaserade överföringar och databasreplikering behöver du inte konfigurera något annat för kommunikation till platsen.
När det finns ett dubbelriktad skogsförtroende kräver Configuration Manager inga ytterligare konfigurationssteg.
När du installerar en ny underordnad plats konfigurerar Configuration Manager som standard följande komponenter:
En filbaserad replikeringsväg mellan platser på varje plats som använder platsserverns datorkonto. Configuration Manager lägger till datorkontot för varje dator i SMS_SiteToSiteConnection_<sitecode-gruppen> på måldatorn.
Databasreplikering mellan SQL-servrarna på varje plats.
Ange även följande konfigurationer:
Mellanliggande brandväggar och nätverksenheter måste tillåta de nätverkspaket som Configuration Manager kräver.
Namnmatchningen måste fungera mellan skogarna.
Om du vill installera en plats- eller platssystemroll måste du ange ett konto som har lokal administratörsbehörighet på den angivna datorn.
Scenario 2: Kommunikation på en plats som sträcker sig över skogar
Det här scenariot kräver inte ett dubbelriktad skogsförtroende.
Primära platser stöder installation av platssystemroller på datorer i fjärranslutna skogar.
- När en platssystemroll accepterar anslutningar från Internet, som bästa praxis för säkerhet, installerar du platssystemrollerna på en plats där skogsgränsen ger skydd för platsservern (till exempel i ett perimeternätverk).
Så här installerar du en platssystemroll på en dator i en ej betrodd skog:
Ange ett platssysteminstallationskonto som platsen använder för att installera platssystemrollen. (Det här kontot måste ha lokala administrativa autentiseringsuppgifter att ansluta till.) Installera sedan platssystemroller på den angivna datorn.
Välj platssystemalternativet Kräv att platsservern initierar anslutningar till det här platssystemet. Den här inställningen kräver att platsservern upprättar anslutningar till platssystemservern för att överföra data. Den här konfigurationen förhindrar att datorn på den ej betrodda platsen initierar kontakt med platsservern som finns i ditt betrodda nätverk. Dessa anslutningar använder platssysteminstallationskontot.
Om du vill använda en platssystemroll som har installerats i en obetrodd skog måste brandväggarna tillåta nätverkstrafik även när platsservern initierar dataöverföringen.
Dessutom kräver följande platssystemroller direkt åtkomst till platsdatabasen. Brandväggar måste därför tillåta tillämplig trafik från den obetrodda skogen till platsens SQL Server:
Synkroniseringsplats för tillgångsinformation
Slutpunktsskyddspunkt
Registreringsplats
Hanteringsplats
Rapporteringstjänstpunkt
Tillståndsmigreringsplats
Mer information finns i Portar som används i Configuration Manager.
Du kan behöva konfigurera hanteringsplatsen och registreringsplatsens åtkomst till platsdatabasen.
När du installerar rollerna konfigurerar Configuration Manager som standard datorkontot för den nya platssystemservern som anslutningskonto för platssystemrollen. Kontot läggs sedan till i lämplig SQL Server databasroll.
När du installerar dessa platssystemroller i en obetrodd domän konfigurerar du platssystemrollens anslutningskonto så att platssystemrollen kan hämta information från databasen.
Om du konfigurerar ett domänanvändarkonto som anslutningskonto för dessa platssystemroller kontrollerar du att domänanvändarkontot har lämplig åtkomst till SQL Server-databasen på den platsen:
Hanteringsplats: Anslutningskonto för hanteringsplatsdatabas
Registreringsplats: Registreringsplatsanslutningskonto
Tänk på följande ytterligare information när du planerar för platssystemroller i andra skogar:
Om du kör Windows-brandväggen konfigurerar du tillämpliga brandväggsprofiler för att skicka kommunikation mellan platsdatabasservern och datorer som är installerade med fjärrplatssystemroller.
När den Internetbaserade hanteringsplatsen litar på skogen som innehåller användarkontona stöds användarprinciper. När det inte finns något förtroende stöds endast datorprinciper.
Scenario 3: Kommunikation mellan klienter och platssystemroller när klienterna inte finns i samma Active Directory-skog som platsservern
Configuration Manager stöder följande scenarier för klienter som inte finns i samma skog som platsens platsserver:
Det finns ett dubbelriktad skogsförtroende mellan klientens skog och platsserverns skog.
Platssystemrollservern finns i samma skog som klienten.
Klienten finns på en domändator som inte har ett dubbelriktad skogsförtroende med platsservern och platssystemroller installeras inte i klientens skog.
Klienten finns på en arbetsgruppsdator.
Klienter på en domänansluten dator kan använda Active Directory Domain Services för tjänstplats när deras webbplats publiceras till deras Active Directory-skog.
Så här publicerar du webbplatsinformation till en annan Active Directory-skog:
Ange skogen och aktivera publicering till skogen i noden Active Directory-skogar på arbetsytan Administration .
Konfigurera varje webbplats att publicera sina data till Active Directory Domain Services. Med den här konfigurationen kan klienter i skogen hämta platsinformation och hitta hanteringsplatser. För klienter som inte kan använda Active Directory Domain Services för tjänstplats kan du använda DNS eller klientens tilldelade hanteringsplats.
Scenario 4: Placera Exchange Server-anslutningsappen i en fjärransluten skog
Kontrollera att namnmatchningen fungerar mellan skogarna för att stödja det här scenariot. Du kan till exempel konfigurera DNS-vidarebefordran. När du konfigurerar Exchange Server-anslutningsappen anger du intranätets FQDN för Exchange Server. Mer information finns i Hantera mobila enheter med Configuration Manager och Exchange.
Se även
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för