在 Configuration Manager 中规划通信
适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
在安装 System Center 2012 Configuration Manager 之前,请规划层次结构中不同站点之间的网络通信、站点中不同站点系统服务器之间的网络通信,以及客户端与站点系统服务器之间的网络通信。 这些通信可能包含在单一域中,或者可能跨越多个 Active Directory 林。 你可能还必须规划通信以管理 Internet 上的客户端。
使用本主题中的下列部分来帮助你在 配置管理器 中规划通信:
在 Configuration Manager 中规划站点间通信
基于文件的复制
数据库复制
规划 Configuration Manager 中的站点内通信
在 Configuration Manager 中规划客户端通信
客户端启动的通信
服务定位和客户端如何确定向其分配的管理点
规划如何唤醒客户端
在 Configuration Manager 中规划跨林通信
规划基于 Internet 的客户端管理
Internet 上不支持的功能
有来自 Internet 或不受信任的林中的客户端通信的注意事项
规划基于 Internet 的客户端
基于 Internet 的客户端管理的先决条件
规划 Configuration Manager 中的网络带宽
控制站点之间的网络带宽使用
控制站点系统服务器之间的网络带宽使用
控制客户端与站点系统服务器之间的网络带宽使用
Configuration Manager 中的新增功能
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
下列站点通信功能为新功能或自 Configuration Manager 2007 推出以来已发生了更改:
除了适用于多个站点到站点数据传输(包括配置和设置)的基于文件的复制外,站点到站点通信现在还使用数据库复制。
用于定义客户端与站点中的站点系统的通信方式的 Configuration Manager 2007 混合模式或纯模式站点概念已被可独立支持 HTTP 或 HTTPS 客户端通信的站点系统角色替代。
为了帮助对其他林中的客户端计算机提供支持,配置管理器 可发现这些林中的计算机并将站点信息发布到这些林。
不再使用服务器定位器点,并且此站点系统角色的功能已转移到管理点。
基于 Internet 的客户端管理现在支持以下各项:
用户策略(当基于 Internet 的管理点可通过使用 Windows 身份验证(Kerberos 或 NTLM)对用户进行验证时)。
简单的任务序列,例如脚本。 仍然不支持 Internet 上的操作系统部署。
Internet 上基于 Internet 的客户端首先尝试从 Microsoft 更新下载任何所需的软件更新,而不是为从它们分配的站点中基于 Internet 的分发点下载。 只有在此下载失败的情况下,它们之后才会尝试从基于 Internet 的分发点下载所需的软件更新。
Configuration Manager SP1 中的新增功能
| 注意 |
|---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
下列站点通信功能对于 配置管理器 SP1 为新功能或已发生了更改:
文件复制路由取代了站点之间基于文件的复制的地址。 这是基于文件的复制的名称中的唯一更改,并与数据库复制保持一致。 功能方面没有变化。
配置站点数据库之间的数据库复制链接,以控制和监视数据库复制的网络流量:
使用分布式视图来防止将所选站点数据从主站点复制到管理中心站点。 管理中心站点随后会直接从主站点数据库中访问此数据。
计划跨数据库复制链接传输所选站点数据。
控制为报表汇总复制流量的频率。
定义引发复制问题警报的自定义阈值。
为站点上的 SQL Server 数据库配置复制控制:
更改 配置管理器 用于 SQL Server Service Broker 的端口。
配置在复制故障导致站点重新初始化其站点数据库副本之前等待的时间段。
配置站点数据库以对其通过数据库复制所复制的数据进行压缩。 只会为站点之间的传输压缩数据,而不会为任一站点上站点数据库中的存储压缩数据。
当 配置管理器 SP1 客户端运行 Windows 7、Windows 8、Windows Server 2008 R2 或 Windows Server 2012 时,你可以通过使用唤醒代理客户端设置来补充单播数据包的 LAN 唤醒站点设置。 这种组合可帮助唤醒子网上的计算机,而无需重新配置网络交换机。
在 Configuration Manager 中规划站点间通信
在 配置管理器 层次结构中,每个站点都通过使用两种数据传输方法与其父站点和其直接子站点通信:基于文件的复制和数据库复制。 辅助站点不仅通过使用这两种数据传输方法与其父主站点通信,而且通过使用基于文件的复制与其他辅助站点通信,以将内容传送到远程网络位置。
配置管理器 使用基于文件的复制和数据库复制在站点之间传输不同类型的信息。
基于文件的复制
配置管理器 使用基于文件的复制在层次结构中的站点之间传输基于文件的数据。 此数据包括诸如以下内容:你要部署到子站点中的分发点的应用程序和包,以及传输到父站点(在其中处理记录)的未处理发现数据记录。
站点之间基于文件的通信通过 TCP/IP 端口 445 使用服务器消息块 (SMB) 协议。 你可以指定包括带宽限制和脉冲模式的配置来控制在网络上传输的数据量,并指定计划来控制何时在网络上发送数据。
从 配置管理器 SP1 开始,地址已重命名为文件复制路由,以便与数据库复制保持一致。 在 SP1 之前,配置管理器 使用地址连接到目标站点服务器上的 SMS_SITE 共享以传输基于文件的数据。 文件复制路由和地址的操作方式相同,并支持相同的配置。
下列部分针对 Service Pack 1 引入的更改撰写,并引用文件复制路由(而不是地址)。 如果你使用不带 Service Pack 的 配置管理器,请使用下表中的信息将对文件复制路由的引用转换回相关的地址引用。
从 配置管理器 SP1 开始 |
不带 Service Pack 的 配置管理器 |
|---|---|
文件复制帐户 |
站点地址帐户 |
文件复制路由 |
地址 |
配置管理器 控制台中的“文件复制”节点 |
配置管理器 控制台中的“地址”节点 |
文件复制路由
配置管理器 使用文件复制路由在层次结构中的站点之间传输基于文件的数据。 文件复制路由取代了以前版本的 配置管理器 中使用的地址。 文件复制路由的功能与地址相比并无变化。 下表提供有关文件复制路由的信息。
对象 |
更多信息 |
||||
|---|---|---|---|---|---|
文件复制路由 |
每个文件复制路由都确定可将基于文件的数据传输到其中的目标站点。 每个站点都支持到特定目标站点的单一文件复制路由。 配置管理器 支持以下文件复制路由配置:
要管理文件复制路由,请在“管理”工作区中展开“层次结构配置”节点,并选择“文件复制”。 |
||||
发送程序 |
每个站点均具有一个发送程序。 发送程序管理从一个站点到一个目标站点的网络连接,并且还可以同时与多个站点建立连接。 为连接到站点,发送程序使用指向站点的文件复制路由来标识要用于建立网络连接的帐户。 发送程序还使用此帐户将数据写到目标站点的 SMS_SITE 共享。 默认情况下,发送程序通过使用多个“并发发送”(通常指线程)将数据写到目标站点。 每个并发发送或线程可以将基于文件的不同对象传输到目标站点。 默认情况下,如果发送程序开始发送对象,则发送程序会持续写入该对象的数据块直到整个对象发送完毕。 在该对象的所有数据均已发送完毕后,即可在该线程上开始发送新的对象。 你可以为发送程序配置下列设置:
若要管理站点的发送程序,请在“管理”工作区中展开“站点配置”节点,选择“站点”节点,然后针对要管理的站点单击“属性”。 单击“发送程序”选项卡以更改发送程序配置。 |
.jpeg "System_CAPS_caution"){kind=icon}
小心
数据库复制
配置管理器 数据库复制使用 SQL Server 传输数据,并将站点数据库中所做的更改与存储在层次结构中其他站点上的数据库中的信息合并在一起。 这能让所有站点共享相同的信息。 所有 配置管理器 站点均会自动配置数据库复制。 当你在层次结构中安装站点时,在新站点及其指定的父站点之间将自动配置数据库复制。 当站点安装完成后,数据库复制将自动开始。
当你在层次结构中安装新站点时,配置管理器 将在新站点中创建通用数据库。 接下来,父站点将在其数据库中创建相关数据的快照,然后通过基于文件的复制将该快照传输到新站点。 然后,新站点使用 SQL Server 成批复制程序 (BCP) 将信息加载到其 配置管理器 数据库的本地副本。 在快照加载后,每个站点均会与其他站点执行数据库复制。
为在站点之间复制数据,配置管理器 会使用其自己的数据库复制服务。 数据库复制服务使用 SQL Server 更改跟踪来监视本地站点数据库的更改,然后使用 SQL Server Service Broker 将那些更改复制到其他站点。 默认情况下,此过程使用 TCP/IP 端口 4022。
配置管理器 将由数据库复制来复制到不同复制组的数据分组。 每个复制组具有单独而固定的复制计划,该计划将确定将组中的数据更改复制到其他站点的频率。 例如,对基于角色的管理配置的配置更改会快速复制到其他站点,以确保这些更改会尽快实施。 同时,在诸如请求安装新辅助站点之类更低优先级的配置发生更改时,将以较低的紧急程度进行复制,并且新建站点的请求需要经过数分钟才会传达到目标主站点。
| 注意 |
|---|
系统会自动配置 配置管理器 数据库复制,并且该复制不支持配置复制组或配置复制计划。 但是,从 配置管理器 SP1 开始,你可以配置数据库复制链接以控制特定流量遍历网络的时间。 你还可以配置 配置管理器 在何时发出有关复制链接处于降级或失败状态的警报。 |
配置管理器 将数据库复制所复制的数据分为全局数据或站点数据两类。 当发生数据库复制时,将跨数据库复制链接来传输全局数据和站点数据的更改。 可将全局数据复制到父站点或子站点,而仅可将站点复制到父站点。 称为本地数据的第三类数据类型则不会复制到其他任何站点。 本地数据包括其他站点不要求的信息:
全局数据:全局数据是指将复制到整个层次结构中所有站点的由管理员创建的对象(虽然辅助站点仅接收作为全局代理数据的全局数据子集)。 全局数据的示例包括:软件部署、软件更新、集合定义和基于角色的管理安全作用域。 管理员在管理中心站点和主站点创建全局数据。
站点数据:站点数据是指 配置管理器 主站点和向主站点报告的客户端创建的操作信息。 站点数据复制到管理中心站点,但不复制到其他主站点。 站点数据的例子包括:硬件清单数据、状态消息、警报和基于查询的集合的结果。 站点数据仅在管理中心站点和它源自的主站点中可供查看。 站点数据仅可在创建它们的主站上修改。
所有站点数据均会复制到管理中心站点;因此,管理中心站点可以对整个层次结构执行管理和报告。
通过使用下列部分中的信息,对从 配置管理器 SP1 开始提供的控件进行计划,以配置站点之间的数据库复制链接和对各个站点数据库的控制。 这些控件可以帮助你监控数据库复制所产生的网络流量。
数据库复制链接
当你在层次结构中安装新站点时,配置管理器 将自动在两个站点之间创建数据库复制链接。 将创建将新站点连接到父站点的单个链接。
从 配置管理器 SP1 开始,每个数据库复制链接均可支持有助于控制跨复制链接传输数据的配置。 每个复制链接均支持单独的配置。 对数据库复制链接的控制包括以下各项:
使用分布式视图来阻止将选定站点数据从主站点复制到管理中心站点,并使管理中心站点能够从主站点数据库中直接访问此数据。
计划在何时将选定站点数据从子主站点传输到管理中心站点。
定义用于确定数据库复制链接何时处于降级状态或已失败的设置。
配置何时针对失败的复制链接发出警报。
指定 配置管理器 对使用复制链接的复制流量的相关数据进行汇总的频率。 此数据在报表中使用。
若要配置数据库复制链接,可在 配置管理器 控制台中从“数据库复制”节点编辑该链接的属性。 此节点显示在“监视”工作区中,从 配置管理器 SP1 开始,此节点也显示在“管理”工作区中的“层次结构配置”节点之下。 你可以从复制链接的父站点或子站点中编辑复制链接。
.jpeg "System_CAPS_tip") 提示 |
|---|
你可以编辑任一工作区内“数据库复制”节点中的数据库复制链接。 但是,如果使用“监视”工作区内的“数据库复制”节点,则也可以查看复制链接的数据库复制状态,并且可以访问复制链接分析器工具以帮助你调查数据库复制的问题。 |
有关如何配置复制链接的信息,请参阅站点数据库复制控件。 有关如何监视复制的详细信息,请参阅如何监视数据库复制链接和复制状态主题中的监视 Configuration Manager 站点和层次结构部分。
使用下列部分中的信息来为数据库复制链接进行计划。
计划使用分布式视图
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
分布式视图能够实现在管理中心站点针对选定站点数据发出请求,以从子主站点的数据库中直接访问该站点数据。 该直接访问使得不再需要从主站点将该站点数据复制到管理中心站点。 由于每个复制链接均与其他复制链接无关,因此你可以仅在你选择的复制链接上启用分布式视图。 在主站点和辅助站点之间不支持分布式视图。
分布式视图可以提供以下好处:
降低 CPU 负载以在管理中心站点和主站点上处理数据库更改。
降低跨网络传输到管理中心站点的数据量。
改善承载管理中心站点数据库的 SQL Server 性能。
减少管理中心站点上数据库所用的磁盘空间。
当主站点在网络上临近管理中心站点,并且两个站点始终启动并始终相连时,考虑使用分布式视图。 这是因为分布式视图会将站点间选定数据的复制替换为每个站点上 SQL Server 之间的直接连接。 每次在管理中心站点上请求此数据时,均会建立该直接连接。 通常,在你运行报表或查询,在资源浏览器中查看信息时,你可能会通过对集合(其中含有基于站点数据的规则)进行集合评估,针对分布式视图启用数据请求。
默认情况下,将对每个复制链接禁用分布式视图。 当你针对复制链接启用分布式视图时,选择不会跨该链接复制到管理中心站点的站点数据,并使管理中心站点能够从共享该链接的子主站点的数据库中直接访问此数据。 你可以为分布式视图配置以下类型的站点数据:
来自客户端的硬件清单数据
来自客户端的软件清单和计数数据
来自客户端、主站点和所有辅助站点的状态消息
在操作上,分布式视图对于在 配置管理器 控制台或报表中查看数据的管理用户不可见。 当对分布式视图的已启用数据发出请求时,承载管理中心站点数据库的 SQL Server 会直接访问子主站点的 SQL Server 以检索信息。 例如,你在管理中心站点上使用 配置管理器 控制台来请求关于两个站点的硬件清单的信息,并且仅有一个站点已对分布式视图启用硬件清单。 从管理中心站点的数据库中会检索未为分布式视图配置的站点的客户端清单信息。 从子主站点的数据库中会访问已为分布式视图配置的站点的客户端清单信息。 此信息将出现在 配置管理器 控制台或报表中,并与来源数据没有任何差别。
只要复制链接具有一类已对分布式视图启用的数据,子主站点就不会将该数据复制到管理中心站点。 在你关闭某类数据的分布式视图后,子主站点就会立即恢复将该数据复制到管理中心站点,并将其作为普通数据复制的一部分。 但是,必须先在主站点和管理中心站点之间将包含此数据的复制组重新初始化,管理中心站点上才会提供此数据。 与此类似,在你卸载已启用分布式视图的主站点后,管理中心站点必须先完成其数据的重新初始化,然后你才能在管理中心站点上访问已对分布式视图启用的数据。
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
当你在层次结构中的任何复制链接上使用分布式视图时,你必须先禁用所有复制链接的分布式视图,才能卸载任何主站点。 有关详细信息,请参阅卸载配置为具有分布式视图的主站点主题中的为 Configuration Manager 安装站点并创建层次结构部分。 |
分布式视图的先决条件和限制
分布式视图的先决条件和限制如下:
管理中心站点和主站点都必须运行相同版本的 配置管理器 并具有最低版本的 SP1
仅在管理中心站点和主站点之间的复制链接上才支持分布式视图。
管理中心站点仅可以安装一个 SMS 提供程序实例,并且该实例必须安装在站点数据库服务器上。 这是支持 Kerberos 身份验证所必需的,要在管理中心站点上启用 SQL Server 来访问子主站点上的 SQL Server 就必须具有 Kerberos 身份验证。 对于子主站点上的 SMS 提供程序没有任何限制。
管理中心站点仅可以安装一个 SQL Server Reporting Services 点,并且它必须位于站点数据库服务器上。 这是支持 Kerberos 身份验证所必需的,要在管理中心站点上启用 SQL Server 来访问子主站点上的 SQL Server 就必须具有 Kerberos 身份验证。
SQL Server 群集上无法承载站点数据库。
管理中心站点中数据库服务器的计算机帐户需要对主站点的站点数据库的Read权限。
对于数据库复制链接而言,分布式视图和数据复制时间计划是相互排斥的配置。
针对数据库复制链接计划站点数据的计划传输
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
为了帮助你控制用于从子主站点将站点数据复制到其管理中心站点的网络带宽,你可以计划复制链接的使用时间,指定复制不同类型站点数据的时间。 你可以控制主站点复制状态消息、清单和计数数据的时间。 辅助站点中的数据库复制链接不支持站点数据计划。 无法计划全局数据传输。
配置数据库复制链接计划时,你可以限制从主站点至管理中心站点的所选站点数据的传输,并且可以配置复制不同类型站点数据的不同时间。
有关如何控制 Configuration Manager 站点之间网络带宽的使用的详细信息,请参阅本主题中的控制站点之间的网络带宽使用部分。
规划数据库复制流量汇总
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
从 配置管理器 SP1 开始,每个站点会定期汇总关于遍历数据库复制链接(包括站点)的网络流量的数据。 此汇总数据用于数据库复制报表。 复制链接上的两个站点都汇总遍历复制链接的网络流量 数据汇总由承载站点数据库的 SQL Server 来执行。 进行数据汇总后,此信息会作为全局数据复制到其他站点。
默认情况下,汇总每 15 分钟发生一次。 通过在数据库复制链接属性中编辑“摘要间隔”,你可以修改网络流量汇总的频率。 汇总频率会影响你在报表中查看的关于数据库复制的信息。 你可以将此间隔从 5 分钟修改为 60 分钟。 如果增加汇总频率,则会增加复制链接上每个站点中 SQL Server 的处理负荷。
规划数据库复制阈值
数据库复制阈值定义将数据库复制链接状态报告为降级或失败的时间。 默认情况下,当任何一个复制组无法在 12 次连续尝试期间完成复制时,会将链接设置为降级,当任何复制组无法在 24 次连续尝试中完成复制时,会将链接设置为失败。
从 配置管理器 SP1 开始,你可以指定自定义值,以微调 配置管理器 将复制链接报告为降级或失败的时间。 对于 配置管理器 SP1 之前版本,你无法调整这些阈值。 通过调整 配置管理器 报告数据库复制链接的每个状态的时间,可以帮助你准确地监视所有数据库复制链接的数据库复制健康状况。
因为一个或少数复制组可能无法复制,而其他复制组可以继续成功复制,因此在首次报告降级状态时,请计划查看复制链接的复制状态。 如果特定复制组定期出现延迟,并且其延迟未显示问题,或者如果站点之间的网络链接具有低可用带宽,请考虑修改链接的降级或失败状态的值并重试这些值。 如果在将链接设置为降级或失败之前增加重试次数,则可以消除已知问题的假警告,这样,你就可以更加准确地跟踪链接的状态。
你还应该考虑每个复制组的复制同步间隔,以了解该组的复制发生的频率。 在“监视”工作区内“数据库复制”节点中复制链接的“复制详细信息”选项卡上,你可以查看复制组的“同步间隔”。
有关如何监视数据库复制(包括如何查看复制状态)的详细信息,请参阅如何监视数据库复制链接和复制状态主题中的监视 Configuration Manager 站点和层次结构部分。
有关配置数据库复制阈值的信息,请参阅站点数据库复制控件。
站点数据库复制控件
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
每个站点数据库都支持可以帮助你控制用于数据库复制的网络带宽的配置。 这些配置仅适用于在其中配置设置的站点数据库,当站点通过数据库复制将任何数据复制到任何其他站点时会始终使用这些配置。
每个站点数据库的复制控件包括以下各项:
更改 配置管理器 用于 SQL Server Service Broker 的端口。
配置在复制失败触发站点重新初始化其站点数据库副本之前等待的时间段。
配置站点数据库以对其通过数据库复制所复制的数据进行压缩。 只会为站点之间的传输压缩数据,而不会为任一站点上站点数据库中的存储压缩数据。
若要为站点数据库配置复制控件,可以在 配置管理器 控制台中从“数据库复制”节点编辑该站点数据库的属性。 此节点出现在“管理”工作区中的“层次结构配置”节点下面,也出现在“监视工作区”中。 要编辑站点数据库的属性,请选择站点之间的复制链接,然后打开“父数据库属性”或“子数据库属性”。
| 提示 |
|---|
你可以配置任一工作区内“数据库复制”节点中的数据库复制控件。 但是,如果使用“监视”工作区内的“数据库复制”节点,则也可以查看复制链接的数据库复制状态,并且可以访问复制链接分析器工具以帮助你调查复制问题。 |
有关如何配置数据库复制控件的详细信息,请参阅“配置数据库复制控件”。 有关如何监视复制的详细信息,请参阅“监视站点数据库复制”。
规划 Configuration Manager 中的站点内通信
每个 配置管理器 站点包含一个站点服务器,可以具有托管站点系统角色的一个或多个其他站点系统服务器。配置管理器 要求每个站点系统服务器都是 Active Directory 域的成员。配置管理器 不支持在计算机仍为站点系统时更改计算机名或域成员身份。
当 配置管理器 站点系统或组件跨网络与站点中的其他站点系统或 配置管理器 组件通信时,它们使用服务器消息块 (SMB)、HTTP 或 HTTPS。 通信方法取决于你选择如何配置该站点。 除了站点服务器与分发点之间的通信之外,站点中的这些服务器对服务器通信随时都可能发生,并且不使用任何机制来控制网络带宽。 因为你无法控制站点系统之间的通信,所以请确保在具有良好连接和快速网络的位置中安装站点系统服务器。
你可以使用以下选项帮助你管理内容从站点服务器向分发点的传输:
配置网络带宽控件和计划的分发点。 这些控件与站点间地址使用的配置相似,如果将内容传输到远程网络位置是你的主要带宽考虑事项,则你可以经常使用此配置,而不用安装其他 配置管理器 站点。
你可以安装一个分发点作为预留的分发点。 预留的分发点允许你使用手动放在分发点服务器上的内容,并且不需要在网络中传输内容文件。
有关网络带宽注意事项的详细信息,请参阅分发点的网络带宽注意事项中的在 Configuration Manager 中规划内容管理。
在 Configuration Manager 中规划客户端通信
配置管理器 客户端和托管设备与托管 配置管理器 基础结构(如站点系统角色)和域基础结构(如 DNS 或 Active Directory 域服务)的计算机以及 Internet 上的服务进行通信。
规划客户端通信时,请考虑以下方面:
通信方案 |
更多信息 |
|---|---|
客户端启动的通信 |
客户端启动与以下各项的通信:
|
服务定位 |
服务定位是客户端用于识别分配的站点和动态查找管理点的方法。 管理点是客户端的主要联系点,用于:
|
使用下列部分中的信息按基于 Windows 的客户端规划通信。
从 配置管理器 SP1 开始,你可以管理运行 Linux 和 UNIX 的客户端。 运行 Linux 和 UNIX 的客户端作为工作组中的客户端运行。 有关工作组中的支持计算机的信息,请参阅本主题中的在 Configuration Manager 中规划跨林通信。 有关运行 Linux 和 UNIX 的客户端通信的其他信息,请参阅Linux 和 UNIX 服务器通信规划跨目录林信任主题中的规划适用于 Linux 和 UNIX 服务器的客户端部署部分。
客户端启动的通信
客户端启动与站点系统角色、Active Directory 域服务以及联机服务的通信。 若要启用这些通信,防火墙必须允许客户端与其通信的终结点之间的网络流量。 终结点包括:
客户端从其中下载客户端策略的管理点。
客户端从其中下载内容的分发点。
软件更新点
下列附加站点系统角色的每个都有特定任务:
应用程序目录网站点
Configuration Manager 策略模块 (NDES)
回退状态点
状态迁移点
系统健康验证程序点
各种域服务,如 Active Directory 域服务和 DNS(适用于服务定位)。
Microsoft 更新,用于维持反恶意软件保护。
基于云的资源,如 Microsoft 更新,或 Microsoft Azure 和 Microsoft Intune(将这些基于云的服务用于 配置管理器 时)。
有关与这些终结点通信时客户端所使用的端口和协议的详细信息,请参阅 在 Configuration Manager 中使用的端口的技术参考。
客户端必须先使用服务定位找出支持客户端协议(HTTP 或 HTTPS)的站点系统角色,然后才可与站点系统角色通信。 默认情况下,客户端使用提供给它们的最安全的方法:
要使用 HTTPS,你必须具有公钥基础结构 (PKI) 并且必须在客户端和服务器上安装 PKI 证书。 有关如何使用证书的信息,请参阅 Configuration Manager 的 PKI 证书要求。
在部署使用 Internet 信息服务 (IIS) 并支持来自客户端的通信的站点系统角色时,必须指定客户端是否使用 HTTP 或 HTTPS 连接到站点系统。 如果使用 HTTP,还必须考虑签名和加密选项。 有关详细信息,请参阅 规划签名和加密。
下列站点系统角色和服务支持来自客户端的 HTTPS 通信:
应用程序目录网站点
Configuration Manager 策略模块
分发点(基于云的分发点需要 HTTPS)
管理点
软件更新点
状态迁移点
在不受信任的位置规划客户端时,除了上述信息之外,另请参阅“来自 Internet 或不受信任的林的客户端通信注意事项”
服务定位和客户端如何确定向其分配的管理点
在首次安装客户端,并将该客户端分配到一个站点时,该客户端将确定向其分配的站点的默认管理点。 客户端找到其站点的默认管理点后,该管理点将变为分配给客户端的管理点。 此分配由客户端决定。
从 System Center 2012 R2 Configuration Manager 的累积更新 3 开始,可以通过超链接“https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx”使用管理点相关性将客户端配置为使用一个或多个特定管理点。
从 System Center 2012 Configuration Manager SP2 开始,可使用首选管理点。 首选管理点是作为站点系统服务器关联到边界组的管理点,类似于与边界组关联的分发点或状态迁移点。 如果为层次结构启用首选管理点,则当客户端从其已分配站点使用管理点时,它将在从其分配的站点使用其他管理点之前尝试使用首选管理点。
客户端具有分配的管理点之后,它将定期为站点的默认管理点执行服务定位请求,以免管理点发生更改。
每当客户端需要识别要使用的管理点时,它就会检查已知管理点列表(称为 MP 列表),客户端将该表本地存储在 WMI 中。 客户端会在安装时创建一个初始 MP 列表,然后会用有关层次结构中每个管理点的详细信息定期更新该列表。
当客户端在其 MP 列表中找不到有效的管理点时,它会在下列服务定位源中按顺序进行搜索,直至找到可以使用的管理点:
管理点
Active Directory 域服务
DNS
WINS
客户端成功定位并联系管理点后,它将下载该层次结构中可用管理点的当前列表并更新其本地列表。 这同样适用于加入域以及未加入域的客户端。
例如,当位于 Internet 上的 配置管理器 客户端连接到基于 Internet 的管理点时,管理点会向该客户端发送一个站点中基于 Internet 的可用管理点列表。 同样,加入域的客户端或工作组中的客户端也会接收到它们可能会使用到管理点的列表。
对于没有针对 Internet 进行配置的客户端,不会向其提供仅面向 Internet 的管理点。
为 Internet 配置的工作组客户端仅与面向 Internet 的管理点通信。
以下是有关每个服务定位源的信息:
MP 列表
客户端 MP 列表是服务定位源的首选源,因为它是客户端先前标识的管理点的按优先级排列的列表。 在客户端更新列表时,每个客户端都会根据其网络位置对此列表进行排序,然后此列表会本地存储在客户端上的 WMI 中。
生成初始 MP 列表
在安装客户端的过程中,以下规则用于生成客户端初始 MP 列表:
初始列表中包括在安装客户端的过程中指定的管理点(使用“SMSMP”= 或“/MP” 选项时)。
客户端会对 Active Directory 域服务 (AD DS) 进行查询,以识别已发布的管理点。 为了从 AD DS 中识别出管理点,管理点必须是客户端的已分配站点,并且其产品版本必须与客户端版本相同。
如果未在客户端安装过程中指定管理点,并且未扩展 Active Directory 架构,则客户端会检查 DNS 和 WINS 以识别已发布的管理点。
在生成初始列表时,有关层次结构中某些管理点的信息可能是未知的。
组织管理点列表
客户端使用下列分类组织其管理点列表:
代理:代理管理点是辅助站点上的管理点。
本地:与站点边界定义的客户端当前网络位置关联的任何管理点。
如果客户端属于多个边界,则本地管理点列表由包括客户端当前网络位置的所有边界的联合确定。
通常情况下,本地管理点是客户端已分配管理点的一个子集,除非客户端位于与另一个站点关联的网络位置,且该站点上有为其边界组提供服务的管理点。
已分配:任何管理点均为客户端的已分配站点的站点系统。
从 System Center 2012 Configuration Manager SP2 开始,可使用首选管理点。 首选管理点是客户端的分配的站点中的管理点,它关联到客户端用于查找站点系统服务器的边界组。
不会将位于不与边界组关联的站点处或位于不在与客户端当前网络位置关联的边界组中的站点处的管理点视为首选,将在客户端无法确定可用首选管理点时使用。
选择要使用的管理点
对于典型的通信,客户端根据客户端的网络位置按以下顺序尝试使用各分类的管理点:
代理
本地
已分配
但是,对于注册消息和特定策略消息,客户端始终使用已分配管理点,即使向代理管理点或本地管理点发送了其他通信。
在每个分类(代理、本地、或已分配)之内,客户端根据首选项按以下顺序尝试使用管理点:
信任的林或本地林中支持 HTTPS 的管理点(针对 HTTPS 通信配置客户端时)
信任的林或本地林中不支持 HTTPS 的管理点(针对 HTTPS 通信配置客户端时)
信任的林或本地林中支持 HTTPS 的管理点
信任的林或本地林中不支持 HTTPS 的管理点
客户端尝试使用按首选项排序的一组管理点中的第一个管理点:
此管理点列表的排序是随机的,无法调整排序。
客户端每次更新其管理点列表时,此列表的顺序可能会更改。
当客户端无法与第一个管理点建立联系时,它将尝试其列表中的每个连续管理点,先尝试分类中的每个首选管理点,然后再尝试非首选管理点。 如果客户端无法与分类中的任何管理点成功通信,那么它将尝试联系下一分类中的首选管理点,依此类推,直到客户端查找可以使用的管理点。
与管理点建立通信后,客户端将继续使用同一管理点,直至:
25 个小时后,客户端随机选择可以使用的新管理点。
客户端在 10 分钟的时间内尝试 5 次后仍无法与管理点通信,此时客户端会选择可以使用的新管理点。
Active Directory
加入域的客户端可将 Active Directory 域服务 (AD DS) 用于服务定位。 这要求站点将数据发布到 Active Directory。
当下列所有条件均为 True 时,客户端可将 Active Directory 域服务用于服务定位:
Active Directory 构架已针对 System Center 2012 Configuration Manager 或 Configuration Manager 2007 进行了扩展。
配置 Active Directory 林以进行发布,并配置 Configuration Manager 站点以进行发布。
客户端计算机是 Active Directory 域的成员,并可访问全局编录服务器。
如果客户端在 AD DS 中找不到用于服务定位的管理点,那么它会尝试使用 DNS。 加入域的客户端可以将 AD DS 用于服务定位。 这要求站点将数据发布到 Active Directory。
DNS
Intranet 上的客户端可将 DNS 用于服务定位。 这要求层次结构中至少有一个站点将有关管理点的信息发布到 DNS。
当以下任意条件为 true 时,请考虑将 DNS 用于服务定位:
未扩展 Active Directory 域服务架构以支持 配置管理器。
Intranet 上的客户端位于没有为 配置管理器 发布启用的林中。
你的客户端位于工作组计算机上,并且未针对仅 Internet 的客户端管理对这些客户端进行配置。 (针对 Internet 配置的工作组客户端将只与面向 Internet 的管理点通信,并且不会将 DNS 用于服务定位。)
当一个站点将管理点的服务定位记录发布到 DNS 时:
发布仅适用于接受来自 Intranet 的客户端连接的管理点。
发布操作将在管理点计算机的 DNS 区域中添加一个服务定位资源记录 (SRV RR)。 该计算机的 DNS 中必须包含一个对应的主机条目。
默认情况下,加入域的客户端在 DNS 中搜索客户端的本地域中的管理点记录。 你可以配置为域指定域后缀的客户端属性,该域中包含发布到 DNS 中的管理点信息。
有关如何配置 DNS 后缀客户端属性的详细信息,请参阅如何在 Configuration Manager 中配置客户端计算机以使用 DNS 发布查找管理点。
如果客户端在 DNS 中找不到用于服务定位的管理点,那么它会尝试使用 WINS。
将管理点发布到 DNS
要将管理点发布到 DNS,必须满足下面两个条件:
你的 DNS 服务器通过使用版本至少为 8.1.2 的 BIND 支持服务定位资源记录。
配置管理器 中管理点的指定 Intranet FQDN 在 DNS 中具有主机条目(例如,A 记录)。
| 重要事项 |
|---|
配置管理器 DNS 发布不支持不连续的命名空间。 如果有不连续的命名空间,你可以将管理点手动发布到 DNS,或使用本部分中记录的其他备用服务定位方法。 |
如果你的 DNS 服务器支持自动更新,你可以配置 配置管理器 以将 Intranet 上的管理点自动发布到 DNS,或者可以将这些记录手动发布到 DNS。 将管理点发布到 DNS 时,会在服务定位 (SRV) 记录中发布其 Intranet FQDN 和端口号。 你可以在“站点管理点组件属性”中配置在站点上进行 DNS 发布。 有关详细信息,请参阅 在 Configuration Manager 中配置站点组件。
如果 DNS 服务器不支持自动更新,但确实支持服务定位记录,你可以将管理点手动发布到 DNS。 为完成此操作,你必须在 DNS 中手动指定服务定位资源记录 (SRV RR)。
配置管理器 为服务定位记录支持 RFC 2782,其格式如下:
_服务._协议.名称 TTL 类 SRV 优先级 权重 端口 目标
要将管理点发布到 配置管理器,请指定下列值:
“_Service”:输入 _mssms_mp*_<sitecode>*,其中 <sitecode> 是管理点的站点代码。
“._Proto”:指定 ._tcp。
“.Name”:输入管理点的 DNS 后缀,例如 contoso.com。
“TTL”:输入 14400,代表四个小时。
“类”:指定 IN(符合 RFC 1035)。
“属性”:配置管理器 不使用此字段。
“权重”:配置管理器 不使用此字段。
“端口”:输入管理点使用的端口号,例如 80(适用于 HTTP)和 443(适用于 HTTPS)。
注意SRV 记录端口应与管理点使用的通信端口匹配。 默认情况下,对于 HTTP 通信,该端口为“80”,对于 HTTPS 通信为“443”。
“目标”:输入为配置为具有管理点站点角色的站点系统指定的 Intranet FQDN。
如果使用 Windows Server DNS,你可以使用下列部分来为 Intranet 管理点输入此 DNS 记录。 如果使用 DNS 的其他实现,请使用此部分中有关字段值的信息,并查阅该 DNS 文档以适应此过程。
配置自动发布:
-
在 配置管理器 控制台中,依次展开“管理”>“站点配置”>“站点”。
-
选择你的站点,然后单击“配置站点组件”。
-
选择“管理点”。
-
选择要发布的管理点。 (此选项适用于发布到 AD DS 和 DNS)。
-
选中该复选框以发布到 DNS:
- 此对话框允许你选择要发布的管理点,以及要发布到 DNS 的管理点。 - 此对话框不会配置发布到 AD DS。
将管理点手动发布到 Windows Server 上的 DNS
-
在 配置管理器 控制台中,指定站点系统的 Intranet FQDN。
-
在 DNS 管理控制台中,选择管理点计算机的 DNS 区域。
-
验证是否有站点系统的 Intranet FQDN 的主机记录(A 或 AAAA)。 如果此记录不存在,则创建它。
-
通过使用“新建其他记录”选项,在“资源记录类型”对话框中单击“服务位置(SRV)”,单击“创建记录”,输入下列信息,然后单击“完成”:
- “域”:如有必要,输入管理点的 DNS 后缀,例如 **contoso.com**。 - “服务”:键入 **\_mssms\_mp***\_\<sitecode\>*,其中 *\<sitecode\>* 是管理点的站点代码。 - “协议”:键入 **\_tcp**。 - “属性”:配置管理器 不使用此字段。 - “权重”:配置管理器 不使用此字段。 - “端口”:输入管理点使用的端口号,例如 **80**(适用于 HTTP)和 **443**(适用于 HTTPS)。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>SRV 记录端口应与管理点使用的通信端口匹配。 默认情况下,对于 HTTP 通信,该端口为“80”,对于 HTTPS 通信为“443”。</p></td> </tr> </tbody> </table> </div> - “提供此服务的主机”:输入为配置为具有管理点站点角色的站点系统指定的 Intranet 完全限定的域名。
为 Intranet 上每个要发布到 DNS 的管理点重复这些步骤。
WINS
当其他服务定位机制失败时,客户端可通过检查 WINS 来查找初始管理点。
默认情况下,主站点将为 HTTP 配置的站点上的第一个管理点以及为 HTTPS 配置的第一个管理点发布到 WINS。
如果你不希望客户端在 WINS 中找到 HTTP 管理点,则使用 CCMSetup.exe Client.msi 属性 SMSDIRECTORYLOOKUP=NOWINS 配置客户端。
规划如何唤醒客户端
配置管理器 支持两项局域网 (LAN) 唤醒技术,以在你要安装必需的软件(如软件更新和应用程序)时唤醒处于睡眠模式下的计算机:传统唤醒数据包和 AMT 开机命令。
从 配置管理器 SP1 开始,你可以使用唤醒代理客户端设置来对传统唤醒数据包方法进行补充。 唤醒代理使用对等协议和选定的计算机来检查子网上的其他计算机是否已唤醒并在必要时唤醒这些计算机。 在为 LAN 唤醒配置站点并为唤醒代理配置客户端后,过程将按以下方式工作:
安装有 配置管理器 SP1 客户端并且未在子网上休眠的计算机将检查子网上的其他计算机是否已唤醒。 它们通过每隔 5 秒就相互发送 TCP/IP ping 命令来完成此操作。
如果其他计算机没有响应,则假定它们已休眠。 已唤醒的计算机将成为子网的管理器计算机。
可能由于计算机休眠以外的原因(例如,计算机已关闭、已从网络中移除或者不再应用代理唤醒客户端设置)而导致计算机可能无法响应,因此将于当地时间每天下午两点向计算机发送唤醒数据包。 未响应的计算机将不会被认为在休眠并且唤醒代理不会将其唤醒。
若要支持唤醒代理,必须为每个子网至少唤醒三台计算机。 若要实现此目的,必须为子网随机选择三台计算机作为守护计算机。 这意味着尽管任何配置的电源策略在一段不活动时间后处于睡眠或休眠状态,它们也将保持唤醒状态。 例如为了维护任务,守护计算机将遵守关闭或重启命令。 如果发生此事,则其余守护计算机将唤醒子网上的另一计算机,从而子网将继续拥有三台守护计算机。
管理器计算机将要求网络交换机为睡眠计算机将网络流量重定向到自身。
此重定向是通过管理器计算机对使用睡眠计算机的 MAC 地址作为源地址的以太网帧进行广播实现的。 这使网络交换机按睡眠计算机已移至管理器计算机所在的同一端口来处理。 管理器计算机还会发送 ARP 包,以使睡眠计算机将 ARP 缓存中的条目保持最新。 管理器计算机还将代表睡眠计算机响应 ARP 请求,并使用睡眠计算机的 MAC 地址进行答复。
.jpeg "System_CAPS_warning")
警告在此过程中,睡眠计算机的 IP 至 MAC 映射将保持不变。 唤醒代理的工作方式是将其他网络适配器正在使用另一网络适配器所注册端口的情况通知网络交换机。 但是,这种称作 MAC 漂移的行为在标准网络操作中并不常见。 有些网络监控工具会查找此行为并可假定存在错误。 因此,这些监控工具可在你使用唤醒代理时生成警报或关闭端口。
如果你的网络监控工具和服务不允许 MAC 漂移,则请勿使用唤醒代理。
当管理器计算机发现针对睡眠计算机的新 TCP 连接请求,并且该请求发往睡眠计算机在睡眠前侦听的端口,则管理器计算机会向睡眠计算机发送唤醒数据包,然后阻止为此计算机重定向流量。
睡眠计算机会收到唤醒数据包并唤醒。 发送计算机将自动重试连接,并且计算机这次会唤醒并可以响应。
唤醒代理具有下列先决条件和限制:
| 重要事项 |
|---|
如果由独立团队负责网络基础结构和网络服务,则在评估和测试期间通知此团队并将其包括进来。 例如,在使用 802.1X 网络访问控制的网络上,唤醒代理将无法工作,而且可能会破坏网络服务。 此外,唤醒代理可能会导致某些网络监视工具在检测到与唤醒其他计算机相关的流量时生成警报。 |
支持的客户端是 Windows 7、Windows 8、Windows Server 2008 R2 和 Windows Server 2012。
不支持在虚拟机上运行来宾操作系统。
客户端必须运行 配置管理器 SP1,并使用客户端设置为唤醒代理启用客户端。 尽管唤醒代理操作并不依赖硬件清单,但是除非已针对硬件清单将它们启用并在至少一个硬件清单中提交,否则客户端不会报告唤醒代理服务的安装。
对于唤醒数据包,必须启用并配置网络适配器(并且还有可能要启用 BIOS)。 如果未为唤醒数据包配置网络适配器或者此设置已禁用,则 配置管理器 将在收到客户端设置时为计算机自动配置并启用该设置,以启用唤醒代理。
如果计算机具有多个网络适配器,则你无法配置即将用于唤醒代理的适配器;选择是不确定的。 不过,所选的适配器记录在SleepAgent_<DOMAIN>@SYSTEM_0.log 文件中。
网络必须允许 ICMP 回显请求(至少在子网中)。 你无法将用于发送 ICMP ping 命令的间隔配置为 5 秒。
通信未加密并且未经过身份验证,不支持 IPsec。
不支持下列网络配置:
具有端口身份验证的 802.1X
无线网络
将 MAC 地址绑定到特定端口的网络交换机
仅适用于 IPv6 的网络
DHCP 租赁持续时间不到 24 小时
作为最佳安全方案,尽可能使用 AMT 开机命令而非唤醒数据包。 由于 AMT 开机命令使用 PKI 证书来帮助确保通信,因此此技术比发送唤醒数据包更安全。 但是,若要使用 AMT 开机命令,计算机必须是针对 AMT 配置的基于 Intel AMT 的计算机。 有关 配置管理器 可以如何管理基于 AMT 的计算机的详细信息,请参阅 带外管理在 Configuration Manager 简介。
如果你希望唤醒计算机以执行计划的软件安装,则你必须针对以下三个选项中的一个选项配置每个主站点:
如果计算机支持该技术,则使用 AMT 开机命令;否则,使用唤醒数据包
仅使用 AMT 开机命令。
仅使用唤醒数据包。
若要将唤醒代理与 配置管理器SP1 一起使用,必须部署电源管理唤醒代理客户端设置,并选择“仅使用唤醒数据包”选项。
请使用下表了解有关两项 LAN 唤醒 (WOL) 技术(传统唤醒数据包和开机命令)之间差异的详细信息。
技术 |
优点 |
缺点 |
|---|---|---|
传统唤醒数据包 |
在站点中无需任何附加站点系统角色。 受许多网络适配器支持。 UDP 唤醒数据包便于快速发送和处理。 无需 PKI 基础结构。 无需对 Active Directory 域服务进行任何更改。 受工作组计算机、另一 Active Directory 林的计算机以及位于相同 Active Directory 林但使用分离命名空间的计算机支持。 |
此解决方案与 AMT 开机命令相比安全度较低,因为它不使用身份验证或加密。 如果将子网导向型广播传输用于唤醒数据包,则这将面临 Smurf 攻击的安全风险。 可能需要在每台计算机上对 BIOS 设置和适配器配置进行手动配置。 没有计算机已唤醒的确认。 作为多个用户数据报协议 (UDP) 包的唤醒传输可能会不必要地充斥着可用的网络带宽。 除非你使用具有 配置管理器 SP1 的唤醒代理,否则无法以交互方式唤醒计算机。 无法使计算机恢复睡眠状态。 管理功能将仅限于唤醒的计算机。 |
AMT 开机命令 |
此解决方案比传统唤醒数据包更为安全,因为它通过使用标准行业安全协议,提供身份验证和加密。 它还可以与现有 PKI 部署集成,并且可以跨产品管理安全控件。 支持自动的集中设置和配置(AMT 配置)。 建立传输会话以实现更为可靠的连接和可审核连接。 可通过交互方式唤醒(及重启)计算机。 可通过交互方式关闭计算机。 附加管理功能,包括下列内容:
|
需要站点具有带外服务点和注册点。 仅在具有 Intel vPro 芯片组和受支持版本的 Intel 主动管理技术 (Intel AMT) 固件的计算机上,才提供支持。 有关受支持的 AMT 版本的详细信息,请参阅 受支持的配置的配置管理器。 传输会话需要更多的建立时间、更高的服务器处理以及增加的传输数据。 需要 PKI 部署和特定的证书。 需要为发布基于 AMT 的计算机而创建和配置的 Active Directory 容器。 无法支持工作组计算机、另一 Active Directory 林的计算机或位于相同 Active Directory 林但使用分离命名空间的计算机。 需要更改 DNS 和 DHCP 以支持 AMT 配置。 |
根据你是否可以支持 AMT 开机命令以及分配给站点的计算机是否支持 LAN 唤醒技术,选择如何唤醒计算机。 另外考虑先前表中所列的两种技术的优点和缺点。 例如,唤醒数据包的可靠性较低并且不安全,但是开机命令需要更长时间来建立并且需要在配置有带外服务点的站点系统服务器上进行更多处理。
| 重要事项 |
|---|
由于在与基于 AMT 的计算机建立、维护和结束带外管理会话中涉及附加的开销,因此可执行自我测试,从而你可以准确判断在你的环境中运用 AMT 开机命令(例如,在辅助站点中跨越指向计算机的慢 WAN 链接)唤醒多台计算机所需的时间。 了解这方面的情况有助于你在需要在短时间内唤醒许多计算机时,确定通过运用 AMT 开机命令来唤醒多台计算机执行计划活动是否切实可行。 |
如果你决定使用传统唤醒数据包,则你必须还决定是使用子网导向型广播包还是单播包以及要使用什么 UDP 端口号。 默认情况下,传统唤醒数据包通过 UDP 端口 9 传输,但为便于提高安全级别,你可以为站点选择备用端口(如果干预路由器和防火墙支持该备用端口)。
对于传统唤醒数据包:为 LAN 唤醒在单播和子网导向型广播之间选择
如果选择通过发送传统的唤醒数据包来唤醒计算机,则你必须决定是传输单播包,还是传输子网导向型广播包。 如果你使用具有 配置管理器 SP1 的唤醒代理,则必须使用单播包。 或者,可使用下表来帮助你确定要选择的传输方法。
传输方法 |
优点 |
缺点 |
|---|---|---|
单播 |
此解决方案比子网导向型广播更为安全,因为数据包被直接发送到某台计算机而非子网上的所有计算机。 可能不需要重新配置路由器(你可能必须配置 ARP 高速缓存)。 比子网导向型广播传输消耗更少的网络带宽。 支持 IPv4 和 IPv6。 |
唤醒数据包不会查找在最后硬件清单计划之后更改了子网地址的目标计算机。 可能必须配置交换机以转发 UDP 包。 当使用单播作为传输方法时,某些网络适配器可能均会处于睡眠状态而不会响应唤醒数据包。 |
子网导向型广播 |
如果你在同一子网上具有频繁更改其 IP 地址的计算机,则此解决方案比单播的成功率更高。 无需进行交换机重新配置。 对于所有睡眠状态,与计算机适配器具有较高的符合率,因为子网导向型广播是用于发送唤醒数据包的原始传输方法。 |
此解决方案没有使用单播安全,因为攻击者可能会从伪造的源地址向定向广播地址发送 ICMP 回显请求持续流。 这导致所有主机均回复该源地址。 如果路由器已配置为允许子网导向型广播,则出于安全原因,建议使用附加配置:
可能需要重新配置所有干预路由器以启用子网定向广播。 比单播传输消耗更多网络带宽。 仅支持 IPv4;不支持 IPv6。 |
| 警告 |
|---|
与子网导向型广播关联的安全风险:攻击者可能从伪造的源地址发送连续的 Internet 控制消息协议 (ICMP) 回显请求流到定向的广播地址,从而导致所有主机回复该源地址。 此类型的拒绝服务攻击通常叫做 Smurf 攻击,通常可以通过不启用子网定向广播得到缓解。 |
在 Configuration Manager 中规划跨林通信
System Center 2012 Configuration Manager 支持跨越 Active Directory 林的站点和层次结构。
配置管理器 也支持与站点服务器不在相同 Active Directory 林中的域计算机,以及工作组中的计算机:
为了支持站点服务器林不受信任的林中的域计算机,你可以在该不受信任的林中安装站点系统角色,以及用于将站点信息发布到客户端的 Active Directory 林的选项。 或者,你可以管理这些计算机,就好像它们是工作组计算机一样。 在客户端的林中安装站点系统服务器时,会在客户端的林中保留客户端到服务器的通信,并且 配置管理器 可以使用 Kerberos 对计算机进行身份验证。 将站点信息发布到客户端的林时,客户端将得益于检索站点信息(如可用管理点的列表),得益于其 Active Directory 林,而不用从其分配的管理点中下载此信息。
注意如果你想要管理 Internet 上的设备,则当站点系统服务器在 Active Directory 林中时,可以在外围网络中安装基于 Internet 的站点系统角色。 此方案不需要外围网络与站点服务器林之间的双向信任。
为了支持工作组中的计算机,那么,如果这些计算机使用至站点系统角色的 HTTP 客户端连接,则必须手动批准这些计算机,因为 配置管理器 无法使用 Kerberos 对这些计算机进行身份验证。 此外,必须配置网络访问帐户,以便这些计算机可以从分发点中检索内容。 因为这些客户端无法从 Active Directory 域服务中检索站点信息,所以你必须为其提供替代机制以查找管理点。 你可以使用 DNS 发布或 WINS,或者可以直接分配管理点。
有关客户端批准的信息,请参阅 为客户端批准和冲突的客户端记录配置设置 中的 在 Configuration Manager 中配置客户端管理设置。
有关如何配置网络访问帐户的信息,请参阅配置网络访问帐户主题中的在 Configuration Manager 中配置内容管理部分。
有关如何在工作组计算机上安装客户端的信息,请参阅如何在工作组计算机上安装 Configuration Manager 客户端主题中的如何在 Configuration Manager 基于 Windows 的计算机上安装客户端部分。
配置管理器 支持 Exchange Server 连接器与站点服务器在不同林中。 要支持此方案,请确保名称解析能够跨林工作(例如配置 DNS 转发),并在配置 Exchange Server 连接器时指定 Exchange Server 的 Intranet FQDN。 有关详细信息,请参阅 如何使用 Configuration Manager 和 Exchange 来管理移动设备。
当你的 配置管理器 设计跨越多个 Active Directory 域和林时,请使用下表中的附加信息以帮助你规划以下类型的通信。
方案 |
详细信息 |
更多信息 |
||
|---|---|---|---|---|
跨林的层次结构中站点之间的通信:
|
配置管理器 支持在与父站点林之间具有所需双向信任的远程林中安装子站点。 例如:只要存在所需的信任,就可以将辅助站点放在其主父站点内的不同林中。 如果没有支持 Kerberos 身份验证的双向林信任,则 配置管理器 不支持远程林中的子站点。
配置管理器 中的站点间通信使用数据库复制和基于文件的传输。 在安装站点时,必须指定帐户以在指定服务器上安装该站点。 此帐户还建立并维护站点之间的通信。 当站点成功安装并启动基于文件的传输和数据库复制之后,你不必为站点通信进行任何其他配置。 有关如何安装站点的详细信息,请参阅安装站点服务器主题中的为 Configuration Manager 安装站点并创建层次结构部分。 |
存在双向林信任时,配置管理器 不需要任何其他配置步骤。 默认情况下,当你将新站点安装为另一个站点的子项时,配置管理器 会配置以下各项:
还必须设置下列配置:
|
||
跨林的站点中的通信:
|
主站点支持在其他林中的计算机上安装站点系统角色。 带外服务点和应用程序目录 Web 服务点是两个例外,它们必须与站点服务器安装在同一林中。 当站点系统角色接受来自 Internet 的连接时,作为最佳安全方案,请在林边界为站点服务器提供保护的位置(例如,在外围网络中)安装这些站点系统角色。 在不受信任的林中的计算机上安装站点系统角色时:
在使用不受信任的林中的站点系统角色时,即使站点服务器启动数据传输,防火墙也必须允许网络流量。 此外,下列站点系统角色需要直接访问站点数据库。 因此,防火墙必须允许从不受信任的林到站点 SQL Server 的适用流量:
有关详细信息,请参阅在 Configuration Manager 中使用的端口的技术参考。 |
管理点和注册点站点系统角色将连接到站点数据库。 默认情况下,当安装这些站点系统角色时,配置管理器 会将新站点系统服务器的计算机帐户配置为连接帐户,并将该帐户添加到合适的 SQL Server 数据库角色中。 在不受信任的域中安装这些站点系统角色时,你必须配置站点系统角色连接帐户以使站点系统角色能够从数据库中获取信息。 如果针对这些连接帐户配置域用户帐户,请确保该帐户具有对该站点上的 SQL Server 数据库的合适访问权限:
在规划其他林中的站点系统角色时,请考虑以下其他信息:
|
||
当客户端与其站点服务器不在相同 Active Directory 林中时客户端与站点系统角色之间的通信。 |
配置管理器 对不在其站点的站点服务器所在的相同林中的客户端支持以下方案:
|
当域计算机上的客户端的站点已发布到其 Active Directory 林时,这些客户端可以将 Active Directory 域服务用于服务位置。 要将站点信息发布到另一个 Active Directory 林,你必须首先指定林,然后在“管理”工作区的“Active Directory 林”节点中启用发布到该林。 此外,你必须启用每个站点以将其数据发布到 Active Directory 域服务。 此配置允许该林中的客户端检索站点信息以及查找管理点。 对于无法将 Active Directory 域服务用于服务位置的客户端,你可以使用 DNS、WINS 或客户端的分配的管理点。 |
规划基于 Internet 的客户端管理
基于 Internet 的客户端管理允许你在 配置管理器 客户端未连接至公司网络,但具有标准 Internet 连接的情况下管理它们。 这种管理方式有一些优点,例如,不必运行虚拟专用网 (VPN),从而可以降价成本,以及能够更及时地部署软件更新。
由于在公用网络上管理客户端计算机的安全性要求较高,因此基于 Internet 的客户端管理要求客户端以及客户端连接到的站点系统服务器使用 PKI 证书。 这样可以确保连接通过独立的机构进行身份验证,且在这些站点系统之间传输的数据使用安全套接字层 (SSL) 加密。
使用下列部分来帮助你规划基于 Internet 的客户端管理。
Internet 上不支持的功能
并非所有客户端管理功能都适用于 Internet,因此在 Internet 上管理客户端时,有些功能可能不受支持。 不支持 Internet 管理的功能通常依赖于 Active Directory 域服务或不适合用于公用网络,例如网络发现和 LAN 唤醒 (WOL)。
通过 Internet 管理客户端时,下列功能不受支持:
通过 Internet 进行的客户端部署,如基于客户端请求和软件更新的客户端部署。 请改用手动客户端安装。
自动站点分配。
网络访问保护 (NAP)。
LAN 唤醒。
操作系统部署。 但是,你可以部署不部署操作系统的任务序列;例如在客户端上运行脚本和维护任务的任务序列。
远程控制。
带外管理。
针对用户的软件部署,除非基于 Internet 的管理点可以使用 Windows 身份验证(Kerberos 或 NTLM)对 Active Directory 域服务中的用户进行身份验证。 当基于 Internet 的管理点信任用户帐户所在的林时,这种情况是有可能的。
此外,基于 Internet 的客户端管理不支持漫游。 漫游能够使客户端始终找到最近的分发点来下载内容。 在以下情况下,在 Internet 上管理的客户端会与其分配的站点中的站点系统通信:这些站点系统被配置为使用 Internet FQDN 并且站点系统角色允许来自 Internet 的客户端连接。 客户端不确定地选择基于 Internet 的站点系统之一,而不考虑带宽或物理位置。
| 注意 |
|---|
System Center 2012 Configuration Manager 中的新增功能,如果你具有配置为接受 Internet 连接的软件更新点,则 Internet 上 配置管理器 的基于 Internet 的客户端始终会对此软件更新点进行扫描,以确定需要的软件更新。 但是,如果这些客户端在 Internet 上,则它们首先会尝试从 Microsoft 更新下载软件更新,而不是从基于 Internet 的分发点中下载。 只有在此下载失败的情况下,它们之后才会尝试从基于 Internet 的分发点下载所需的软件更新。 没有为基于 Internet 的客户端管理配置的客户端决不会尝试从 Microsoft 更新下载软件更新,但始终使用 配置管理器 分发点。 |
有来自 Internet 或不受信任的林中的客户端通信的注意事项
下列安装在主站点上的站点系统角色支持来自不受信任的位置(如 Internet 或不受信任的林)的客户端连接(辅助站点不支持来自不受信任位置的客户端连接):
应用程序目录网站点
Configuration Manager 策略模块
分发点(基于云的分发点需要 HTTPS)
注册代理点
回退状态点
管理点
软件更新点
关于面向 Internet 的站点系统:
虽然客户端和站点系统服务器的林之间不需要信任,但当包含面向 Internet 的站点系统的林信任包含用户帐户的林时,如果启用“客户端策略”客户端设置“启用来自 Internet 客户端的用户策略请求”,则此配置对 Internet 上的设备支持基于用户的策略。
例如,以下配置说明了当基于 Internet 的客户端管理支持 Internet 上设备的用户策略时:
基于 Internet 的管理点在只读域控制器所在外围网络中以对用户进行身份验证,并且干扰防火墙允许 Active Directory 数据包。
用户帐户在林 A (Intranet) 中,基于 Internet 的管理点在林 B(外围网络)中。 林 B 信任林 A,干扰防火墙允许身份验证数据包。
用户帐户和基于 Internet 的管理点在在林 A (Intranet) 中。 系统使用 Web 代理服务器(例如,前端威胁管理网关)将管理点发布到 Internet。
| 注意 |
|---|
如果 Kerberos 身份验证失败,则会自动尝试 NTLM 身份验证。 |
如上一个示例所示,当使用 Web 代理服务器(如 ISA 服务器和前端威胁管理网关)将基于 Internet 的站点系统发布到 Internet 时,可以将这些系统放置在 Intranet 中。 可以仅为 Internet 客户端连接配置这些站点系统,或者可以为 Internet 和 Intranet 客户端连接配置这些站点系统。 使用 Web 代理服务器时,可以针对到 SSL 的安全套接字层 (SSL) 桥接或 SSL 隧道来配置它:
到 SSL 的 SSL 桥接:
为基于 Internet 的客户端管理使用代理 Web 服务器时,建议的配置是到 SSL 的 SSL 桥接,此配置使用 SSL 终止操作和身份验证。 必须使用计算机身份验证对客户端计算机进行身份验证,使用用户身份验证对移动设备旧客户端进行身份验证。 通过 配置管理器 注册的移动设备不支持 SSL 桥接。代理 Web 服务器上的 SSL 终止的优点是:在将来自 Internet 的数据包转发到内部网络之前,会对该数据包进行检测。 代理 Web 服务器将对来自客户端的连接进行验证,将其终止,然后建立一个新的经身份验证的连接,连接到基于 Internet 的站点系统。 当 配置管理器 客户端使用代理 Web 服务器时,客户端标识(客户端 GUID)将安全地包含在数据包负载中,以便管理点不会将代理 Web 服务器视为客户端。配置管理器 中不支持 HTTP 到 HTTPS 的桥接,或 HTTPS 到 HTTP 的桥接。
隧道:
如果代理 Web 服务器无法支持 SSL 桥接的要求,或者你想对通过 配置管理器 注册的移动设备配置 Internet 支持,则也支持 SSL 隧道。 这是一项安全性较差的选项,因为来自 Internet 的 SSL 数据包会在不终止 SSL 的情况下转发到站点系统,因此无法检测其是否包含恶意内容。 使用 SSL 隧道时,代理 Web 服务器不需要证书。
规划基于 Internet 的客户端
你必须确定是为 Intranet 和 Internet 上的管理还是为仅限 Internet 客户端管理配置将通过 Internet 管理的客户端计算机。 只能在安装客户端计算机期间配置客户端管理选项。 如果过后改变了主意,则必须重新安装客户端。
| 注意 |
|---|
适用于 System Center 2012 R2 Configuration Manager 和更高版本:如果配置 Internet 支持的管理点,则连接到该管理点的客户端在下一步刷新其可用的管理点列表时变为受 Internet 支持。 |
| 提示 |
|---|
你不必将仅限 Internet 客户端管理的配置局限于 Internet,你也可以在 Intranet 上使用它。 |
为仅限 Internet 客户端管理配置的客户端仅与为 Internet 的客户端连接配置的站点系统通信。 此配置将适合于确定永远不会连接至公司 Intranet 的计算机,例如,位于远程位置的销售点计算机。 当你想要将客户端通信局限于仅限 HTTPS(例如,为支持防火墙和受限制的安全策略)时,以及在外围网络中安装基于 Internet 的站点系统并且想要使用 配置管理器 客户端管理这些服务器时,此配置也合适。
想要管理 Internet 上的工作组客户端时,必须将其安装为仅限 Internet 的客户端。
| 注意 |
|---|
将移动设备客户端配置为使用基于 Internet 的管理点时,会将移动设备客户端自动配置为仅限 Internet 的客户端。 |
可以为 Internet 和 Intranet 客户端管理配置其他客户端计算机。 当它们检测到网络更改时,它们会在基于 Internet 的客户端管理和 Intranet 客户端管理之间自动切换。 如果这些客户端可以找到并连接到为 Intranet 上的客户端连接配置的管理点,则会作为具有完整的 配置管理器 管理功能的 Intranet 客户端来管理这些客户端。 如果客户端无法找到或连接到为 Intranet 上的客户端连接配置的管理点,则它们会尝试连接到基于 Internet 的管理点,如果此操作成功,则其分配的站点中基于 Internet 的站点系统将管理这些客户端。
在基于 Internet 的客户端管理和 Intranet 客户端管理之间自动切换的优点是:如果客户端在 Internet 上,则每当客户端计算机连接至 Intranet 并继续由基本管理功能进行管理时,客户计算机都可以自动使用所有 配置管理器 功能。 此外,在 Internet 上开始的下载可以在 Intranet 上无缝地继续,反之亦然。
基于 Internet 的客户端管理的先决条件
配置管理器 中基于 Internet 的客户端管理具有以下外部依赖关系:
依赖关系 |
更多信息 |
||
|---|---|---|---|
将在 Internet 上管理的客户端必须具有 Internet 连接。 |
配置管理器 使用至 Internet 的现有 Internet Service Provider (ISP) 连接,这可以是永久或临时连接。 客户端移动设备必须具有直接 Internet 连接,但客户端计算机可以具有直接 Internet 连接,或者可以使用代理 Web 服务器进行连接。 |
||
支持基于 Internet 的客户端管理的站点系统必须连接到 Internet,并且必须在 Active Directory 域中。 |
基于 Internet 的站点系统不需要站点服务器的 Active Directory 林的信任关系。 但是,当基于 Internet 的管理点可通过使用 Windows 身份验证对用户进行身份验证时,支持用户策略。 如果 Windows 身份验证失败,则仅只支持计算机策略。
当用户的计算机在 Internet 上时,基于 Internet 的应用程序目录网站点也需要 Windows 身份验证对用户进行身份验证。 此要求与用户策略无关。 |
||
你必须具有支持的公钥基础结构 (PKI),此结构可以部署和管理客户端需要且在 Internet 和基于 Internet 的站点系统服务器上受管理的证书。 |
有关 PKI 证书的详细信息,请参阅 Configuration Manager 的 PKI 证书要求 |
||
下列基础结构服务必须配置为支持基于 Internet 的客户端管理:
|
客户端通信要求:
有关支持这些要求的配置信息,请参阅防火墙或代理服务器文档。 关于使用 Internet 中客户端连接的软件更新点时的类似通信要求,请参阅 Windows Server Update Services (WSUS) 的文档。 例如,对于 Windows Server 2003 上的 WSUS,请参阅安全设置的部署附录:附录 D:安全设置。 |
规划 Configuration Manager 中的网络带宽
System Center 2012 Configuration Manager 包括了一些方法,用于控制站点、站点系统服务器和客户端之间的通信所使用的网络带宽。 但是,并非可以管理网络上所有的通信。 使用下列部分来帮助你了解可用于控制网络带宽和设计站点层次结构的方法。
计划 配置管理器 层次结构时,请考虑将从站点间和站点内通信中传输的网络数据量。
| 注意 |
|---|
文件复制路由(在 配置管理器 SP1 之前称为地址)仅用于站点间通信,不用于站点服务器和站点系统之间站点内通信。 |
控制站点之间的网络带宽使用
配置管理器 通过使用基于文件的复制和数据库复制在站点之间传输数据。 对于带有 SP1 的 配置管理器 之前的版本,你可以将基于文件的复制配置为控制用于传输的网络带宽,但无法配置用于数据库复制的网络带宽。 从 配置管理器 SP1 开始,你可以为所选站点数据配置用于数据库复制的网络带宽。
配置网络带宽控制时,你应该注意数据延迟的可能性。 如果站点之间的通信局限于或被配置为仅在正常工作时间之后传输数据,则在进行站点间通信之前,父站点或子站点的管理员或许无法查看某些数据。 例如,如果正在将重要的软件更新包发送至位于子站点的分发点,则在完成所有待定站点间通信之前,这些站点中的包或许不可用。 待定通信可能包括传递非常大并且尚未完成其传输的包。
基于文件的复制的控制:在基于文件的数据传输过程中,配置管理器 使用所有可用的网络带宽在站点之间发送数据。 你可以通过将站点发送程序配置为增加或减少站点间的发送线程,以控制此进程。 发送线程用于一次传输一个文件。 每个其他线程允许同时传输其他文件,这会导致使用更多带宽。 要配置用于站点间传输的线程数,请配置站点属性的“发送程序”选项卡上的“最大并发发送数”。
要控制站点间基于文件的数据传输,你可以计划 配置管理器 可使用至特定站点的文件复制路由的时间。 你可以控制要使用的网络带宽量、数据块大小以及发送数据块的频率。 其他配置可以根据数据类型的优先级来限制数据传输。 对于层次结构中的每个站点,你可以通过将文件复制路由的属性配置到每个目标站点中,设置计划和速率限制以供该站点在传输数据时使用。 文件复制路由的配置仅适用于将数据传输至针对该文件复制路由指定的目标站点。
有关文件复制路由的详细信息,请参阅本主题内在 Configuration Manager 中规划站点间通信部分中的“文件复制路由”子部分。
重要事项配置速率限制以对特定文件复制路由限制带宽用量时,配置管理器 只能使用单一线程将数据传输至该目标站点。 用于文件复制路由的速率限制将替代用于每个站点且在“最大并发发送数”中为每个站点配置的多个线程。
数据库复制控制:从 配置管理器 SP1 开始,你可以配置数据库复制链接,以帮助控制用于在站点之间传输所选站点数据的网络带宽。 某些控件类似于基于文件的复制的控件,并且添加了支持以计划跨链接向父站点复制硬件清单、软件清单、软件计数和状态消息的时间。
有关详细信息,请参阅本主题中的数据库复制部分。
控制站点系统服务器之间的网络带宽使用
在站点内,站点系统之间的通信使用服务器消息块 (SMB)、随时都可能发生,并且不支持网络带宽控制机制。 但是,当你配置站点服务器以使用速率限制和计划来控制通过网络向分发点传输数据这一操作时,可以使用类似于站点间基于文件的传输控制的控制来管理从站点服务器向分发点进行的内容传输。
控制客户端与站点系统服务器之间的网络带宽使用
客户端定期与不同站点系统服务器进行通信。 例如,在必须检查客户端策略时,它们与运行管理点的站点系统服务器通信;在必须下载内容以安装应用程序或软件更新时,它们与运行分发点的站点系统服务器通信。 通过网络与客户端相互传输这些连接和数据量的频率取决于指定为客户端设置的计划和配置。
通常,客户端策略请求使用低网络带宽。 当客户端访问部署内容或者将诸如硬件清单数据之类的信息发送至站点时,网络带宽可能高。
你可以指定客户端设置来控制客户端启动的网络通信的频率。 此外,你可以配置客户端访问部署内容的方式,例如通过使用后台智能传输服务 (BITS) 来配置。 若要使用 BITS 下载内容,则必须将客户端配置为使用 BITS。 如果客户端均未使用 BITS,它将使用 SMB 来传输内容。
有关 配置管理器 中客户端设置的信息,请参阅在 Configuration Manager 中规划客户端设置。