用戶端如何尋找網站資源和服務

  • 發行項

適用於:Configuration Manager (目前的分支)

Configuration Manager用戶端會使用稱為服務位置的進程來尋找月臺系統伺服器。 用戶端可以與這些伺服器通訊,並提供用戶端可以使用的服務。 若要更妥善地設定您的網站以成功支援用戶端工作,您必須瞭解用戶端如何及何時使用服務位置來尋找月臺資源。 這些設定可能需要月臺與網域和網路設定互動,例如Active Directory 網域服務和 DNS。 它們也可以要求您設定更複雜的替代方案。

提供服務的一些月臺系統角色範例包括:

  • 用戶端的核心月臺系統伺服器。
  • 管理點。
  • 用戶端可以通訊的其他月臺系統伺服器,例如發佈點和軟體更新點。

服務位置的基本概念

當用戶端使用服務位置來尋找要通訊的管理點時,它會評估下列層面:

  • 目前的網路位置
  • 通訊協定喜好設定
  • 指派的網站

與管理點的用戶端通訊

用戶端會與管理點通訊 (MP) ,

  • 下載月臺其他管理點的相關資訊。 然後,它會針對未來的服務位置週期建置已知管理點清單。 此清單也稱為 MP 清單

  • 上傳設定詳細資料,例如清查和狀態。

  • 下載原則,以設定用戶端上的設定、通知其要安裝的軟體及其他相關工作。

  • 要求提供用戶端可使用之服務的其他月臺系統角色相關資訊。 例如,用戶端可以安裝之軟體的發佈點,或軟體更新相關中繼資料的軟體更新點。

用戶端服務位置要求

Configuration Manager用戶端提出服務位置要求:

  • 每隔 25 小時連續作業一次。

  • 當用戶端偵測到其網路組態或位置中的變更時。

  • 電腦上的ccmexec.exe 服務啟動時。 此 Windows 服務是核心用戶端服務。

  • 當用戶端需要尋找提供必要服務的月臺系統角色時。

月臺系統角色的用戶端要求

當用戶端嘗試尋找裝載角色的伺服器時,它會使用服務位置。 它會嘗試尋找支援其通訊協定的角色,可能是 HTTP 或 HTTPS。 根據預設,用戶端會使用最安全的可用方法。

  • 若要使用 HTTPS,您需要公開金鑰基礎結構 (PKI) ,並在用戶端和伺服器上安裝 PKI 憑證。 如需詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求

  • 針對使用 IIS 並支援用戶端通訊的角色,您可以將它們設定為 HTTP 或 HTTPS。 如果您使用 HTTP,也請考慮簽署和加密選項。 如需詳細資訊,請參閱 規劃簽署和加密

重要事項

從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站

判斷指派的管理點

主要月臺支援多個管理點。 每個用戶端都會獨立識別管理點作為其預設值。 當用戶端第一次指派給主要月臺時,它會選取其預設管理點。 此預設管理點接著會變成該用戶端 指派 的管理點。

提示

您可以使用用戶端安裝屬性來設定用戶端的指派管理點。 如需詳細資訊,請 參閱用戶端安裝屬性

用戶端會根據用戶端目前的網路位置和界限群組組態,選取要與之通訊的管理點。 即使它具有指派的管理點,但此伺服器可能不是用戶端所使用的管理點。

注意事項

用戶端一律會使用指派的管理點來註冊訊息和特定原則訊息。 即使其他通訊傳送至 Proxy 或本機管理點,也會發生此行為。

您可以使用慣用的管理點。 慣用的管理點是用戶端指派月臺的管理點,與用戶端用來尋找月臺系統伺服器的界限群組相關聯。 慣用的管理點與界限群組的關聯,類似于發佈點或狀態移轉點與界限群組的關聯。 如果您啟用階層的慣用管理點,當用戶端從其指派的月臺使用管理點時,它會先嘗試使用慣用的管理點,再使用其指派月臺的其他管理點。

提示

您可以在用戶端上使用登錄機碼設定來設定管理點親和性。 管理點親和性會覆寫指派管理點的預設行為,並讓用戶端使用一或多個特定的管理點。 如需詳細資訊,請參閱 Microsoft 頂級工程師的這篇部落格文章

每當用戶端需要連絡管理點時,它會先檢查 MP 清單。 用戶端會在安裝時建立初始 MP 清單。 用戶端接著會定期更新清單,其中包含階層中每個管理點的詳細資料。

當用戶端在其 MP 清單中找不到有效的管理點時,它會搜尋服務位置來源。 它會依序使用下列來源,直到找到可使用的管理點為止:

  1. 管理點
  2. Active Directory Domain Services (AD DS)
  3. DNS

在用戶端成功找到並連絡管理點之後,它會下載目前可用的管理點清單。 然後更新自己的本機 MP 清單。

對於所有用戶端而言,此程式都相同。 例如,當位於網際網路上的Configuration Manager用戶端連線到以網際網路為基礎的管理點時,管理點會將可用的網際網路型管理點清單傳送給該用戶端。 不在網際網路上的用戶端只會取得內部管理點清單。

MP 清單

MP 清單是用戶端慣用的服務位置來源。 這是用戶端先前識別的優先管理點清單。 用戶端會根據其目前的網路位置來排序其 MP 清單。 它會將清單儲存在 WMI 本機。

建置初始 MP 清單

在安裝用戶端期間,用戶端會使用下列規則來建置其初始 MP 清單:

  • 包含用戶端安裝期間指定的管理點。 例如,當您使用 SMSMP 屬性或 /mp 參數時。

  • 查詢已發佈管理點的 AD DS。 用戶端會從 AD DS 識別其指派月臺和相同產品版本中的管理點。

  • 如果它沒有從前兩個規則取得任何管理點,用戶端會檢查 DNS 是否有已發佈的管理點。

MP 清單類別

用戶端會使用下列類別來組織其管理點清單:

  • Proxy:次要月臺的管理點。

  • 本機:與用戶端目前網路位置相關聯的任何管理點,如月臺界限所定義。

    • 當用戶端屬於多個界限群組時,它會從包含用戶端目前網路位置的所有界限聯集,決定本機管理點的清單。

    • 本機管理點通常是用戶端指派管理點的子集。 除非用戶端位於與另一個月臺相關聯的網路位置,且該月臺具有維護其界限群組的管理點。

  • 指派:位於用戶端指派月臺中的任何管理點。

您可以使用慣用的管理點。 月臺上未與界限群組相關聯的管理點,或不在與用戶端目前網路位置相關聯之界限群組中的管理點,不被視為慣用。 當用戶端找不到可用的慣用管理點時,會使用這些管理點。

選取要使用的管理點

針對一般通訊,用戶端會根據用戶端的網路位置,嘗試以下列順序使用管理點:

  1. Proxy
  2. 本機
  3. 指定

用戶端一律會使用指派的管理點來註冊訊息和特定原則訊息。 即使將其他通訊傳送至 Proxy 或本機管理點,也會發生此行為。

在每個 類別中,用戶端會嘗試使用以喜好設定為基礎的管理點,順序如下:

  1. 當用戶端設定為 HTTPS 通訊時:
    1. 受信任或本機樹系中支援 HTTPS
    2. 無法在受信任或本機樹系中使用 HTTPS
  2. 受信任或本機樹系中支援 HTTP
  3. 不在受信任或本機樹系中具備 HTTP 功能

從依喜好設定排序的管理點集中,用戶端會嘗試使用清單上的第一個管理點。 此排序的管理點清單會隨機化,而且無法進一步排序。 每次用戶端更新其 MP 清單時,清單的順序都會變更。

當用戶端無法連絡第一個管理點時,它會在其清單上嘗試每個後續的管理點。 它會先嘗試類別中的每個慣用管理點,然後再嘗試非慣用的管理點。 如果用戶端無法成功與類別中的任何管理點通訊,它會嘗試從下一個類別連絡慣用的管理點,直到找到要使用的管理點為止。

用戶端與管理點建立通訊之後,它會繼續使用相同的管理點,直到:

  • 用戶端無法在 10 分鐘內與管理點進行五次嘗試通訊。

然後,用戶端會隨機選取要使用的新管理點。

Active Directory

已加入網域的用戶端可以使用 AD DS 作為服務位置。 此行為需要網站將 資料發佈至 Active Directory

當下列所有條件成立時,用戶端可以使用 AD DS 作為服務位置:

如果用戶端找不到要從 AD DS 用於服務位置的管理點,它會嘗試使用 DNS。

DNS

內部網路上的用戶端可以使用 DNS 作為服務位置。 此行為需要階層中至少一個月臺,才能將管理點的相關資訊發佈至 DNS。

如果下列任一條件成立,請考慮將 DNS 用於服務位置:

  • 您尚未擴充 AD DS 架構以支援Configuration Manager。

  • 內部網路上的用戶端位於您尚未啟用Configuration Manager發佈的樹系中。

  • 您在工作組電腦上有用戶端,而且您尚未將這些用戶端設定為僅限網際網路的用戶端管理。 針對網際網路設定的工作組用戶端只會與網際網路對向管理點通訊,且不會將 DNS 用於服務位置。

  • 您可以 設定用戶端從 DNS 尋找管理點

當月臺將管理點的服務位置記錄發佈至 DNS 時:

  • 發佈僅適用于接受來自內部網路之用戶端連線的管理點。

  • 發佈會在管理點伺服器的 DNS 區域中 (SRV RR) 新增服務位置資源記錄。 該伺服器在 DNS 中需要對應的主項目目。

根據預設,加入網域的用戶端會在 DNS 中搜尋來自用戶端本機網域的管理點記錄。 您可以設定 用戶端安裝屬性 來指定另一個網域尾碼。

如需詳細資訊,請參閱 如何設定用戶端電腦,以使用 DNS 發佈來尋找管理點

將管理點發布至 DNS

若要將管理點發布至 DNS,下列兩個條件必須成立:

  • 您的 DNS 伺服器支援服務位置資源記錄,方法是使用至少為 8.1.2 的 BIND 版本。

  • Configuration Manager中管理點的指定內部網路 FQDN 具有主項目目, (DNS 中的 A 記錄) 。

重要事項

Configuration Manager DNS 發佈不支援脫離的命名空間。 如果您有脫離的命名空間,您可以手動將管理點發布至 DNS。 您也可以使用其中一個其他服務位置方法。

DNS 組態案例

DNS 伺服器支援自動更新

您可以設定Configuration Manager將內部網路上的管理點自動發佈至 DNS,或手動將這些記錄發佈至 DNS。 當Configuration Manager將管理點發布至 DNS 時,它會將其內部網路 FQDN 和埠號碼新增至服務位置 (SRV) 記錄。 您可以在網站的 管理點元件屬性中設定 DNS 發佈。 如需詳細資訊,請 參閱月臺元件 - 管理點

針對動態更新,DNS 區域設定為 [僅限安全]

使用預設許可權時,只有第一個管理點可以成功發佈至 DNS。

如果只有一個管理點可以成功發佈和變更其 DNS 記錄,用戶端就可以從該管理點取得完整的 MP 清單。 只要一個已發佈的管理點狀況良好,用戶端就可以找到其慣用的管理點。

DNS 伺服器不支援自動更新,但支援服務位置記錄

在此案例中,手動將管理點發布至 DNS。 手動設定 SRV RR) (服務位置資源記錄。 Configuration Manager支援服務位置記錄的 RFC 2782。 這些記錄具有下列格式: _Service._Protocol.Name TTL Class SRV Priority Weight Port Target

若要將管理點發布至 Configuration Manager,請指定下列值:

  • _Service_mssms_mp_<sitecode> 。 例如,_mssms_mp_xyz
  • ._Protocol._tcp
  • .名稱:指定管理點的 DNS 尾碼,例如 contoso.com
  • TTL:使用 14400 四小時。
  • 類別:指定 IN RFC 1035。
  • 優先順序:Configuration Manager不使用此欄位。
  • 權數:Configuration Manager不使用此欄位。
  • :指定管理點使用的埠號碼。 例如,根據預設, 443 HTTPS 為 。
  • 目標:使用管理點角色指定月臺系統伺服器的內部網路 FQDN。

設定 Windows Server DNS

如果您使用 Windows Server DNS,請使用下列程式為內部網路管理點輸入此 DNS 記錄。

設定網站的自動發佈

  1. 在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。

  2. 選取要設定發佈的網站。 在功能區中,選取 [ 設定月臺元件] ,然後選擇 [ 管理點]

  3. 選取您要發佈的管理點。 此選項適用于 AD DS 和 DNS 的發佈。

  4. 啟用 [在 DNS 中發佈選取的內部網路管理點] 選項。

在 Windows Server 上手動將管理點發布至 DNS

  1. 在 DNS 管理主控台中,選取管理點電腦的 DNS 區域。

  2. 確認月臺系統內部網路 FQDN 的主機記錄 (AAAAA) 。 如果此記錄不存在,請加以建立。

  3. 選取 [新增其他記錄]選擇 [服務位置 (SRV) ],然後選擇 [ 建立記錄]

  4. 指定下列資訊,然後選取 [ 完成]

    • 網域:如有必要,請輸入管理點的 DNS 尾碼,例如 contoso.com
    • 服務_mssms_mp_<sitecode> 。 例如,_mssms_mp_xyz
    • 通訊協定._tcp
    • 優先順序:Configuration Manager不使用此欄位。
    • 權數:Configuration Manager不使用此欄位。
    • :指定管理點使用的埠號碼。 例如,根據預設, 443 HTTPS 為 。
    • 提供此服務的主機:使用管理點角色指定月臺系統伺服器的內部網路 FQDN。

針對您想要發佈至 DNS 之內部網路上的每個管理點重複這些步驟。