規劃 Configuration Manager 中的通訊
適用於: System Center 2012 Configuration Manager、System Center 2012 Configuration Manager SP1、System Center 2012 Configuration Manager SP2、System Center 2012 R2 Configuration Manager、System Center 2012 R2 Configuration Manager SP1
在安裝 System Center 2012 Configuration Manager 之前,請先規劃階層中不同網站之間、網站中不同網站系統伺服器之間,以及用戶端與網站系統伺服器之間的網路通訊。 這些通訊可能包含在單一網域中,也可能跨多個 Active Directory 樹系。 您也可能需要規劃在網際網路上管理用戶端所需的通訊。
本主題中的下面各節可幫助您規劃 Configuration Manager 中的通訊。
規劃 Configuration Manager 中網站間的通訊
以檔案為基礎的複寫
資料庫複寫
規劃 Configuration Manager 中的網站內通訊
規劃 Configuration Manager 的用戶端通訊
用戶端起始的通訊
服務位置以及用戶端如何判斷其指派的管理點
規劃如何喚醒用戶端
規劃 Configuration Manager 中的跨樹系通訊
規劃以網際網路為基礎的用戶端管理
網際網路上「不」支援的功能
從網際網路或未受信任之樹系的用戶端通訊考量
規劃以網際網路為基礎的用戶端
以網際網路為基礎之用戶端管理的必要條件
規劃 Configuration Manager 中的網路頻寬
控制網站間的網路頻寬使用量
控制網站系統伺服器間的網路頻寬使用量
控制用戶端和網站系統伺服器間的網路頻寬使用量
Configuration Manager 中的新功能
.jpeg "System_CAPS_note") 注意 |
|---|
本節提供的資訊也會出現在開始使用 System Center 2012 Configuration Manager 指南。 |
以下是自 Configuration Manager 2007 之後網站通訊的新增或變更項目:
網站對網站通訊除了使用以檔案為基礎的複寫之外,現在還使用資料庫複寫進行許多網站對網站的資料傳送,包括組態及設定。
混合模式或原生模式網站的 Configuration Manager 2007 概念是定義用戶端如何與網站中的網站系統通訊,而此概念已由可獨立支援 HTTP 或 HTTPS 的網站系統角色取代。
為了協助支援其他樹系中的用戶端電腦,Configuration Manager 可以探索這些樹系中的電腦,並將網站資訊發佈到這些樹系。
伺服器定位器點目前已不再使用,此網站系統角色的功能已移至管理點。
以網際網路為基礎的用戶端管理現提供下列支援:
以網際網路為基礎的管理點能夠使用 Windows 驗證 (Kerberos 或 NTLM) 驗證使用者時適用的使用者原則。
簡單的工作順序,例如指令碼。 仍不支援在網際網路上部署作業系統。
在網際網路上,以網際網路為基礎的用戶端,會先嘗試從 Microsoft Update 下載任何所需的軟體更新,而不是從其指派網站內以網際網路為基礎的發佈點下載任何所需的軟體更新。 只有在下載失敗後,才會嘗試從以網際網路為基礎的發佈點下載所需的軟體更新。
Configuration Manager SP1 中的新功能
| 注意 |
|---|
本節提供的資訊也會出現在開始使用 System Center 2012 Configuration Manager 指南。 |
以下是 Configuration Manager SP1 的網站通訊新增或變更項目:
檔案複寫路由取代了網站間檔案式複寫的位址。 這只在變更檔案式複寫的名稱,以和資料庫複寫保持一致。 功能方面沒有任何變更。
在網站資料庫之間設定資料庫複寫連結,以控制和監視資料庫複寫的網路流量:
使用分散式檢視,以防止從主要網站將選取的網站資料複寫至管理中心網站。 管理中心網站會直接從主要網站資料庫存取這項資料。
為透過資料庫複寫連結傳送所選的網站資料進行排程。
控制為報告摘要複寫流量的頻率。
定義引發複寫問題警示的自訂臨界值。
在網站為 SQL Server 資料庫設定複寫控制:
變更 Configuration Manager 用於 SQL Server Service Broker 的連接埠。
設定複寫失敗觸發網站重新初始化其網站資料庫複本之前的等候時間。
將網站資料庫設定為壓縮由資料庫複寫所複寫的資料。 只會壓縮網站之間傳送的資料,並不會壓縮儲存在任一網站之網站資料庫中的資料。
Configuration Manager SP1 用戶端執行 Windows 7、Windows 8、Windows Server 2008 R2 或 Windows Server 2012 時,您可以使用喚醒 Proxy 用戶端設定,為單點傳播封包補充網路喚醒網站設定。 這項結合有助於喚醒子網路上的電腦,而不需要重新設定網路交換器。
規劃 Configuration Manager 中網站間的通訊
在 Configuration Manager 階層中,每個網站會使用兩種資料傳輸方法與其父站台和直接子站台進行通訊:以檔案為基礎的複寫和資料庫複寫。 次要網站不僅會使用這兩種資料傳輸方法與父主要網站進行通訊,還會使用以檔案為基礎的複寫與其他次要網站進行通訊,將內容路由傳送至遠端網路位置。
Configuration Manager 會使用以檔案為基礎的複寫和資料庫複寫在網站之間傳送不同類型的資訊。
以檔案為基礎的複寫
Configuration Manager 會使用以檔案為基礎的複寫在階層中網站間傳送以檔案為基礎的資料。 這項資料包括您想要部署至子網站中發佈點的應用程式和套件,以及傳送至進行處理所在父網站的未經處理探索資料記錄等內容。
站台之間以檔案為主的通訊會透過 TCP/IP 連接埠 445 來使用伺服器訊息區 (SMB) 通訊協定。 您可以指定包括頻寬節流和脈衝模式的組態來控制經網路傳輸的資料量,並且進行排程,以控制經網路傳送資料的時間。
從 Configuration Manager SP1 開始,位址會重新命名為檔案複寫路由,以便與資料庫複寫保持一致。 在 SP1 之前,Configuration Manager 是使用位址連線至目的地網站伺服器上的 SMS_SITE 共用,來傳送以檔案為基礎的資料。 檔案複寫路由和位址運作的方式相同,且支援相同的設定。
下列各節是針對 Service Pack 1 所引入之變更而撰寫的,並且參照檔案複寫路由而不是位址。 如果您使用無 Service Pack 的 Configuration Manager,請利用下表中的資訊將檔案複寫路由的參照轉換回位址的相關參照。
從 Configuration Manager SP1 開始 |
無 Service Pack 的 Configuration Manager |
|---|---|
檔案複寫帳戶 |
網站位址帳戶 |
檔案複寫路由 |
位址 |
Configuration Manager 主控台內的 [檔案複寫] 節點 |
Configuration Manager 主控台內的 [位址] 節點 |
檔案複寫路由
Configuration Manager 會使用檔案複寫路由在階層中的網站之間傳送以檔案為基礎的資料。 檔案複寫路由會取代舊版 Configuration Manager 中使用的位址。 檔案複寫路由的功能與位址的功能一樣。 下表提供有關檔案複寫路由的資訊。
物件 |
詳細資訊 |
||||
|---|---|---|---|---|---|
檔案複寫路由 |
每個檔案複寫路由都會識別可傳送以檔案為基礎之資料的目的地網站。 每個網站都支援連接至特定目的地網站的單一檔案複寫路由。 Configuration Manager 支援下列檔案複寫路由的設定:
若要管理檔案複寫路由,請在 [系統管理] 工作區中展開 [階層設定] 節點,並選取 [檔案複寫]。 |
||||
傳送者 |
每個網站都有一位傳送者。 傳送者會管理從一個網站到目的地網站的網路連線,並可以同時建立和多個網站間的連線。 為了連線至網站,傳送者會使用至該網站的檔案複寫路由,以識別用來建立網路連線的帳戶。 傳送者也會使用這個帳戶將資料寫入目的地網站的 SMS_SITE 共用。 根據預設,傳送者會使用多個 [並行傳送] (一般視為執行緒),將資料寫入目的地網站。 每個並行傳送 (或執行緒) 可以將以檔案為基礎的不同物件傳輸到目的地網站。 根據預設,傳送者開始傳送物件時,傳送者會繼續寫入該物件的資料區塊,直到整個物件傳送完畢為止。 物件的所有資料都傳送完畢後,新的物件就會開始在該執行緒上傳送。 您可以為傳送者設定以下設定:
若要管理網站的傳送者,請展開 [系統管理] 工作區中的 [階層設定] 節點,然後選取 [網站],接著按一下您要管理之網站的 [內容]。 按一下 [傳送者] 索引標籤,變更傳送者設定。 |
.jpeg "System_CAPS_caution")
注意
資料庫複寫
Configuration Manager 資料庫複寫會使用 SQL Server 來傳輸資料,以及合併網站資料庫中的變更和儲存在階層中其他網站資料庫中的資訊。 這可讓所有網站共用相同資訊。 所有 Configuration Manager 網站會自動設定資料庫複寫。 在階層中安裝網站時,會在新網站和其指定的父網站間自動設定資料庫複寫。 網站安裝完成後,就會自動開始進行資料庫複寫。
在階層中安裝新網站時,Configuration Manager 會在新網站建立一般資料庫。 接著,父網站會建立其資料庫中相關資料的快照,並藉由以檔案為基礎的複寫,將該快照傳輸到新網站。 然後,新網站會使用 SQL Server 大量複製程式 (BCP),將資訊載入 Configuration Manager 資料庫的本機複本中。 載入快照後,每個網站都會和其他網站一起執行資料庫複寫。
為了在網站間複寫資料,Configuration Manager 會使用其擁有的資料庫複寫服務。 資料庫複寫服務會使用 SQL Server 變更追蹤來監控本機網站資料庫的變更,然後使用 SQL Server Service Broker 將這些變更複寫至其他網站。 根據預設,這個程序會使用 TCP/IP 連接埠 4022。
Configuration Manager 會將資料庫複寫所複寫的資料分門別類到不同的複寫群組內。 每個複寫群組都有各自固定的複寫排程,這會決定將群組中的資料變更複寫至其他網站的頻率。 例如,針對以角色為基礎之系統管理設定的設定變更會很快複寫到其他網站,確保能儘快執行這些變更。 而較低優先順序的設定變更 (如請求安裝新的次要網站) 並不存在急迫複寫的需求,因此可能會花上幾分鐘的時間,才會將新網站請求送達目的地主要網站。
| 注意 |
|---|
系統會自動設定 Configuration Manager 資料庫複寫,而不支援複寫群組或複寫排程的設定。 不過,從 Configuration Manager SP1 開始,您就可以設定資料庫複寫連結,以控制何時特定流量會周遊網路。 您也可以設定 Configuration Manager 何時發出有關複寫連結之狀態降級或失敗的警示。 |
Configuration Manager 會將資料庫複寫複製的資料分類為全域資料或網站資料。 發生資料庫複寫時,全域資料和網站資料的變更都會傳輸到所有的資料庫複寫連結。 全域資料可以複寫至父和子網站,而網站資料只能複寫到父網站。 第三種資料類型名為本機資料,其不會複寫到其他網站。 本機資料包括其他網站並不需要的資訊:
全域資料:全域資料是指會複寫到整階層中所有網站並由系統管理員建立的物件,但次要網站只會接收全域資料中全域 Proxy 資料這部分。 全域資料的範例包括軟體部署、軟體更新、收集定義和以角色為基礎的系統管理安全性範圍。 系統管理員可以在管理中心網站和主要網站上建立全域資料。
站台資料:站台資料是指 Configuration Manager 主要站台與用戶端回報給主要站台時所建立的操作資訊。 網站資料會複寫到管理中心網站,但不會複寫到其他主要網站。 網站資料範例包括硬體清查資料、狀態訊息、警示,以及以查詢為基礎之集合的結果。 您只能從資料最初來源的管理中心網站和主要網站檢視網站資料, 且只能在建立該資料的主要網站上修改網站資料。
所有網站資料都會複寫到管理中心網站;因此,管理中心網站可以執行系統管理,並報告整個階層。
使用以下各節的資訊,規劃使用從 Configuration Manager SP1 開始可用的控制項來設定網站間的資料庫複寫連結,並在每個網站資料庫上設定控制項。 這些控制項可以協助您控制並監控資料庫複寫建立的網路流量。
資料庫複寫連結
在階層中安裝新網站時,Configuration Manager 會在兩個新網站間自動建立資料庫複寫連結。 系統會在新網站和父網站間建立單一連結。
從 Configuration Manager SP1 開始,每個資料庫複寫連結都支援協助控制跨複寫連結的資料傳輸的設定。 每個複寫連結支援個別的設定。 資料庫複寫連結的控制項包括以下項目:
使用分散式檢視,以停止將所選網站資料從主要網站複寫到管理中心網站,並啟用管理中心網站直接從主要網站資料庫存取此資料。
排定何時將選取的網站資料從子主要網站傳輸到管理中心網站。
定義判斷資料庫複寫連結是否降級或失敗的設定。
設定何時發出複寫連結失敗的警示。
指定 Configuration Manager 摘要使用複寫連結之複寫流量資料的頻率。 此資料會用在報告中。
若要設定資料庫複本連結,您可以在 Configuration Manager 主控台的 [資料庫複本] 節點編輯此內容的連結。 此節點會出現在 [監視] 工作區,從 Configuration Manager SP1 開始,此節點也會出現在 [系統管理] 工作區的 [階層設定] 節點。 您可以從複寫連結的父網站或子網站編輯複寫連結。
.jpeg "System_CAPS_tip") 提示 |
|---|
您可以從其中一個工作區的 [資料庫複寫] 節點編輯資料庫複寫連結。 不過,使用 [監視] 工作區中的 [資料庫複寫] 節點時,您也可以檢視複寫連結的資料庫複寫狀態,以及存取 [複寫連結分析師] 工具,以協助您調查資料庫複寫的問題。 |
如需如何設定複寫連結的詳細資訊,請參閱網站資料庫複寫控制。 如需如何監視複寫的詳細資訊,請參閱如何監視資料複寫連結和複寫狀態主題中的監視 Configuration Manager 站台與階層一節。
使用以下各節中的資訊來規劃資料庫複寫連結。
計劃使用分散式檢視
對於 System Center 2012 Configuration Manager SP1 及更新版本:
針對所選網站資料在管理中心網站所提出的請求,分散式檢視可讓這些請求從子主要網站資料庫直接存取該網站資料。 這種直接存取會取代從主要網站將此網站資料複寫到管理中心網站的需求。 由於每個複寫連結和其他複寫連結各自獨立,因此您僅能在您選擇的複寫連結上啟用分散式檢視。 主要網站和次要網站間則不支援分散式檢視。
分散式檢視可提供以下優勢:
降低處理管理中心網站和主要網站之資料庫變更方面的 CPU 負載。
降低經由網路傳輸到管理中心網站的資料量。
改善搭載管理中心網站資料庫之 SQL Server 的效能。
降低管理中心網站資料庫使用的磁碟空間。
若主要網站在網路上和管理中心網站十分接近,且兩個網站持續開啟並保持連線,那麼請考慮使用分散式檢視。 這是因為分散式檢視會以每個網站上 SQL Server 間的直接連線,取代網站間所選取資料的複寫。 每次在管理中心網站上請求此資料時,就會進行這種直接連線。 一般來說,在您執行報告或查詢、於資源總管內檢視資訊,以及依據集合評估 (針對含有以網站資料為基礎之規則的集合) 來檢視資訊時,皆可發出啟用分散式檢視的資料請求。
根據預設,每個複寫連結都會停用分散式檢視。 為複寫連接啟用分散式檢視時,您應選取不會經由該連結複寫至管理中心網站的網站資料,並讓管理中心網站直接從共用連結之子主要網站的資料庫存取此資料。 您可以針對分散式檢視設定以下網站資料類型:
來自用戶端的硬體清查資料
來自用戶端的軟體清查和計量資料
用戶端、主要網站和所有次要網站的狀態訊息
您也可以選擇讓檢視 Configuration Manager 主控台或報告內資料的系統管理員無法看到分散式檢視。 當發出啟用分散式檢視的資料請求時,裝載管理中心網站資料庫的 SQL Server 會直接存取子主要網站的 SQL Server,以擷取資訊。 例如,當您使用管理中心網站的 Configuration Manager 主控台,從兩個網站請求有關硬體清查的資訊,但只有一個網站擁有啟用分散式檢視之硬體清查的情況時, 來自未設定分散式檢視之網站的用戶端清查資訊,會經由管理中心網站的資料庫進行擷取。 而來自已設定分散式檢視之網站的用戶端清查資訊,可經由子主要網站的資料庫進行存取。 此資訊會顯示在 Configuration Manager 主控台或報告中,內容和來源並無二致。
只要複寫連結具備啟用分散式檢視的資料類型,子主要網站就不會將該資料複寫到管理中心網站。 一旦您關閉某個資料類型的分散式檢視,子主要網站就會恢復將該資料複寫到管理中心網站,做為一般資料複寫的一部分。 不過,包含此資料的複寫群組必須在主要網站和管理中心網站間重新初始化,才可於管理中心網站上看到此資料。 在您解除安裝已啟用分散式檢視的主要網站後,管理中心網站必須先完成其資料的重新初始化,您才能存取在管理中心網站上啟用分散式檢視的資料。
.jpeg "System_CAPS_important") 重要 |
|---|
在階層中任何複寫連結上使用分散式檢視時,您必須先停用所有複寫連結的分散式檢視,再解除安裝任何主要網站。 如需詳細資訊,請參閱安裝站台並建立 Configuration Manager 的階層主題中的解除安裝以分散式檢視設定的主要網站一節。 |
分散式檢視的必要條件和限制
以下是分散式檢視的必要條件和限制:
管理中心網站和主要網站都必須執行相同的 Configuration Manager 版本,最低必須為 SP1 版本
只有在管理中心網站和主要網站間的複寫連結上才支援分散式檢視。
管理中心網站可以只有一個已安裝之 SMS 提供者的執行個體,且該執行個體必須安裝在網站資料庫伺服器上。 若要支援在管理中心網站上啟用 SQL Server 所需的 Kerberos 驗證以存取子主要網站上的 SQL Server,就必須具備這項條件。 對於子主要網站上的 SMS 提供者,沒有任何限制。
管理中心網站上可以只安裝一個 SQL Server Reporting Services 點,且必須位於網站資料庫伺服器上。 若要支援在管理中心網站上啟用 SQL Server 所需的 Kerberos 驗證以存取子主要網站上的 SQL Server,就必須具備這項條件。
網站資料庫無法裝載在 SQL Server 叢集上。
管理中心網站的資料庫伺服器電腦帳戶,需要主要網站之網站資料庫的 Read 權限。
分散式檢視及資料複寫排程,都是資料庫複寫連結的互斥設定。
規劃資料庫複寫連結上的網站資料傳送排程
對於 System Center 2012 Configuration Manager SP1 及更新版本:
為了協助您控制從子主網站複寫網站資料到管理中心網站所用的網路頻寬,您可以排定何時使用複寫連結,並指定何時複寫不同類型的網站資料。 您可以控制主要網站何時複寫狀態訊息、清查和計量資料。 次要網站的資料庫複寫連結不支援網站資料的排程。 無法排定全域資料傳送的時程。
設定資料庫複寫連結排程時,您可以限制只從主要網站將選定網站資料傳送到管理中心網站,並且可以設定複寫不同類型網站資料的不同時間。
如需如何控制 Configuration Manager 網站間的網路頻寬使用方式的詳細資訊,請參閱本主題中的控制網站間的網路頻寬使用量一節。
規劃資料庫複寫流量摘要
對於 System Center 2012 Configuration Manager SP1 及更新版本:
從 Configuration Manager SP1 開始,每個網站都會定期將有關周遊於資料庫複寫連結 (含網站) 之網路流量的資料,製作成摘要。 此摘要資料可用於資料庫複寫報告中。 複寫連結上的兩個網站,都會將周遊複寫連結的網路流量製做為摘要。 資料的摘要是由裝載網站資料庫的 SQL Server 所執行。 製作資料摘要後,此資訊便會複寫至其他網站做為全域資料。
根據預設,每隔 15 分鐘便會摘要一次。 您可以藉由編輯資料庫複寫連結內容中的 [摘要間隔],修改網路流量摘要的頻率。 摘要的頻率會影響您在資料庫複寫報告中檢視的資訊。 您可以將此間隔時間修改為 5 到 60 分鐘。 當您增加摘要的頻率時,便會增加複寫連結上各網站的 SQL Server 處理負載。
規劃資料庫複寫閾值
資料庫複寫閾值可定義資料庫複寫連結狀態會在何時報告為降級或失敗。 根據預設,當有任何一個複寫群組連續 12 次都無法完成複寫時,便會將連結設為降級,當有任何一個複寫群組連續 24 次都無法複寫時,則設為失敗。
從 Configuration Manager SP1 開始,您可以指定自訂值以微調 Configuration Manager 在何時將複寫連結報告為降級或失敗。 在 Configuration Manager SP1 之前,您無法調整這些值。 調整 Configuration Manager 在何時報告各個資料庫複寫連結狀態可協助您準確地監視整個資料庫複寫連結的資料庫複寫健全狀況。
由於可能會有一個或少數複寫群組複寫失敗,而其他複寫群組卻繼續成功複寫的情況,因此請在第一次報告降級狀態時,便檢閱複寫連結的複寫狀態。 如果有特定的複寫群組週期性地出現延遲,而這些延遲並未造成任何問題,或者網站之間的網路連結可用的頻寬過低時,請考慮修改連結降級或失敗狀態的重試次數值。 您可增加連結設為降級或失敗之前的重試次數,藉此減少已知問題的錯誤警告,以更加準確地追蹤連結狀態。
您也可將各複寫群組的複寫同步處理間隔納入考慮,以了解該群組複寫的頻率。 您也可以在 [監視] 工作區中,[資料庫複寫] 節點之複寫連結的 [複寫詳細資料] 索引標籤上,檢視複寫群組的 [同步處理間隔]。
如需如何監視資料庫複寫 (包括如何檢視複寫狀態) 的詳細資訊,請參閱如何監視資料複寫連結和複寫狀態主題中的監視 Configuration Manager 站台與階層一節。
如需設定資料庫複寫閾值的相關資訊,請參閱網站資料庫複寫控制。
網站資料庫複寫控制
對於 System Center 2012 Configuration Manager SP1 及更新版本:
各網站皆支援可協助您控制用於資料庫複寫之網路頻寬的設定。 這些設定只適用於您配置設定值的網站資料庫,當網站將資料庫複寫的任何資料複寫到其他網站時一律會使用這些設定。
各網站資料庫的複寫控制,包括以下各項:
變更 Configuration Manager 用於 SQL Server Service Broker 的連接埠。
設定複寫失敗觸發網站重新初始化其網站資料庫複本之前的等待時間。
將網站資料庫設定為壓縮由資料庫複寫所複寫的資料。 只會壓縮網站之間傳送的資料,並不會壓縮儲存在任一網站之網站資料庫中的資料。
若要設定站台資料庫複本控制,您可以在 Configuration Manager 主控台的 [資料庫複寫] 節點編輯此站台資料庫的內容。 此節點會出現在 [系統管理] 工作區中的 [階層設定] 節點之下,也會出現在 [監視工作區] 中。 若要編輯網站資料庫的內容,請選取網站之間的複寫連結,然後開啟 [父資料庫內容] 或 [子資料庫內容]。
| 提示 |
|---|
您可以從任一工作區的 [資料庫複寫] 節點,設定資料庫複寫控制。 不過,當您使用 [監視] 工作區中的 [資料庫複寫] 節點時,也可以檢視複寫連結的資料庫複寫狀態,並且存取 [複寫連結分析師] 工具,以協助調查複寫問題。 |
如需如何設定資料庫複寫控制的詳細資訊,請參閱「設定資料庫複寫控制」。 如需如何監視複寫的詳細資訊,請參閱「監視網站資料庫複寫」。
規劃 Configuration Manager 中的網站內通訊
每個 Configuration Manager 站台包含一部站台伺服器,而且可以有一或多部裝載站台系統角色的額外站台系統伺服器。Configuration Manager 需要每個站台系統伺服器是 Active Directory 網域的成員。 當電腦仍為站台系統時,Configuration Manager 不支援電腦名稱或網域成員資格的變更。
當 Configuration Manager 網站系統或元件透過網路與其他網站系統或網站中的 Configuration Manager 元件通訊時,會使用伺服器訊息區 (SMB)、HTTP 或 HTTPS。 通訊方法視您選擇設定網站的方式而定。 除了從網站伺服器到發佈點的通訊以外,這些網站中伺服器對伺服器的通訊可能會在任何時間發生,並且不會使用任何機制控制網路頻寬。 由於您無法控制網站系統之間的通訊,請確保將網站系統伺服器安裝在網路連線良好而且快速的位置。
您可以使用下列選項協助管理從網站伺服器到發佈點的內容傳送:
設定網路頻寬控制與排程的發佈點。 這些控制項與網站內位址所使用的設定相似,當傳送內容至遠端網路位置是您主要的頻寬考量時,便可常使用此設定,而不需安裝另一個 Configuration Manager 網站。
您可以將發佈點安裝為預先設置的發佈點。 預先設置的發佈點可讓您使用以手動方式放置於發佈點伺服器的內容,並可免除透過網路傳送內容檔案的需求。
如需網路頻寬考量的詳細資訊,請參閱發佈點的網路頻寬考量的在 Configuration Manager 中規劃內容管理。
規劃 Configuration Manager 的用戶端通訊
Configuration Manager 用戶端與受管理的裝置會與裝載 Configuration Manager 基礎結構 (如網站系統角色) 或網域基礎結構 (如 DNS 或 Active Directory 網域服務) 的電腦以及網際網路上的服務進行通訊。
規劃用戶端通訊時,請考量下列项目:
通訊案例 |
詳細資訊 |
|---|---|
用戶端起始的通訊 |
用戶端可起始下列項目的通訊:
|
服務位置 |
服務位置是用戶端識別指派的網站,並以動態方式找出管理點的方法。 管理點是用戶端的主要連絡點,可用來:
|
使用以下各節資訊,規劃安裝 Windows 的用戶端通訊。
從 Configuration Manager SP1 開始,您可以管理執行 Linux 和 UNIX 的用戶端。 執行 Linux 與 UNIX 的用戶端,會以工作群組中的用戶端形式操作。 如需支援工作群組中之電腦的詳細資訊,請參閱本主題中的規劃 Configuration Manager 中的跨樹系通訊。 如需執行 Linux 和 UNIX 之用戶端通訊的詳細資訊,請參閱Linux 和 UNIX 伺服器通訊的規劃跨樹系信任主題中的Linux 和 UNIX 伺服器的用戶端部署規劃一節。
用戶端起始的通訊
用戶端會起始與網站系統角色、Active Directory 網域服務及線上服務的通訊。 若要啟用這些通訊,防火牆必須允許用戶端和其通訊端點之間的網路流量。 端點包括:
管理點:用戶端下載用戶端原則的來源。
發佈點:用戶端下載內容的來源。
軟體更新點
下列額外站台系統角色 (各適用於功能特定工作):
應用程式類別目錄網站點
Configuration Manager 原則模組 (NDES)
後援狀態點
狀態移轉點
系統健全狀況驗證程式點
各種網域服務:如 Active Directory 網域服務和 DNS (適用於服務位置)。
Microsoft Update:維護反惡意程式碼保護功能。
以雲端為基礎的資源:如 Microsoft Update 或 Microsoft Intune 及 Microsoft Azure (搭配使用雲端服務與 Configuration Manager 時)。
如需用戶端與這些端點進行通訊時使用的通訊協定和連接埠的詳細資訊,請參閱 Configuration Manager 使用之連接埠的技術參考。
用戶端必須先使用服務位置找到支援用戶端通訊協定 (HTTP 或 HTTPS) 的網站系統角色,才能與網站系統角色通訊。 根據預設,用戶端會使用最安全的可用方法:
若要使用 HTTPS,您必須具有公開金鑰基礎結構 (PKI),並且必須在用戶端與伺服器上安裝 PKI 憑證。 如需如何使用憑證的相關資訊,請參閱 Configuration Manager 的 PKI 憑證需求。
在部署使用網際網路資訊服務 (IIS) 並支援從用戶端進行通訊的網站系統角色時,您必須指定用戶端要使用 HTTP 或 HTTPS 連線至網站系統。 如果您使用 HTTP,您也必須考慮簽署和加密選擇。 如需詳細資訊,請參閱規劃簽署與加密。
下列網站系統角色和服務支援從用戶端進行 HTTPS 通訊:
應用程式類別目錄網站點
Configuration Manager 原則模組
發佈點 (以雲端為基礎的發佈點需要 HTTPS)
管理點
軟體更新點
狀態移轉點
除了上述資訊以外,針對位於不受信任位置之用戶端進行規劃時,請參閱<從網際網路或未受信任樹系進行用戶端通訊的考量>。
服務位置以及用戶端如何判斷其指派的管理點
第一次安裝用戶端並將其指派給網站時,用戶端會判斷其指派網站的預設管理點。 在用戶端找到其網站的預設管理點之後,該管理點就會成為用戶端指派的管理點。 這項指派是由用戶端判斷。
從 System Center 2012 R2 Configuration Manager 累計更新 3 開始,您可以超連結到 "https://blogs.technet.com/b/jchalfant/archive/2014/09/22/management-point-affinity-added-in-configmgr-2012-r2-cu3.aspx",使用管理點親和性,來設定用戶端使用一或多個特定的管理點。
自 System Center 2012 Configuration Manager SP2 起,您可以使用慣用的管理點。 慣用管理點是做為站台系統伺服器與界限群組相關聯的管理點,類似於發佈點或狀態移轉點和界限群組相關聯的方式。 當用戶端從其指派的站台使用管理點時,如果您啟用此階層慣用的管理點,它就會先嘗試使用慣用的管理點,然後才從其指派的站台使用其他管理點。
當用戶端擁有指派的管理點之後,它會定期執行其網站預設管理點的服務位置要求,以免有所變更。
每當用戶端要識別使用的管理點時,它會檢查已知的管理點清單 (其為本機儲存在 WMI 中的管理組件 (MP) 清單)。 安裝用戶端時,用戶端會建立初始的管理組件 (MP) 清單,然後定期更新清單及階層中每個管理點的相關詳細資料。
當用戶端在管理組件 (MP) 清單上找不到有效的管理點時,就會依序搜尋下列服務位置來源,直到找到可使用的管理點:
管理點
Active Directory 網域服務
DNS
WINS
在用戶端順利找出並連絡管理點之後,它會下載階層中目前可用的管理點清單,並更新其本機清單。 這同樣適用於加入網域及未加入網域的用戶端。
例如,當位於網際網路的 Configuration Manager 用戶端連線到以網際網路為基礎的管理點時,管理點即會將網站中以網際網路為基礎的可用管理點清單傳送給該用戶端。 同樣地,加入網域或工作群組中的用戶端也會收到可使用的管理點清單。
若不是針對網際網路設定的用戶端,就不會提供僅限網際網路對向的管理點。
針對網際網路設定的工作群組用戶端只會與網際網路對向管理點通訊。
以下是每個服務位置來源的相關資訊:
管理組件 (MP) 清單
用戶端管理組件 (MP) 清單是服務位置來源的慣用來源,因為它是用戶端先前所識別之管理點的優先使用清單。 當用戶端更新清單時,這份清單即會依每個用戶端的網路位置排序,並本機儲存在 WMI 中的用戶端上。
建立初始管理組件 (MP) 清單
在用戶端安裝期間,下列規則可用來建立用戶端的初始管理組件 (MP) 清單:
初始清單包含在用戶端安裝期間指定的管理點 (使用 SMSMP= 或 /MP 選項)。
用戶端會查詢 Active Directory 網域服務 (AD DS) 以取得發佈的管理點。 若要從 AD DS 進行識別,管理點必須來自用戶端指派的網站,且與用戶端的產品版本相同。
如果在用戶端安裝期間未指定任何管理點,則未延伸 Active Directory 架構時,用戶端會檢查 DNS 與 WINS 以取得發佈的管理點。
建立初始清單時,階層中某些管理點的相關資訊可能是未知狀態。
組織管理點清單
用戶端會使用下列分類來組織管理點清單:
Proxy:Proxy 管理點是位於次要網站上的管理點。
本機:與用戶端目前網路位置相關聯的任何管理點 (根據網站界限所定義)。
當用戶端屬於多個界限群組時,本機管理點清單會由包含目前用戶端網路位置之所有界限的聯合而定。
一般而言,本機管理點是用戶端指派的管理點的子集,除非用戶端位於與其他網站 (其管理點適用於該用戶端的界限群組) 相關聯的網路位置上。
已指派:任何屬於用戶端指派之站台的網站系統的任何管理點。
自 System Center 2012 Configuration Manager SP2 起,您可以使用慣用的管理點。 慣用的管理點都是用戶端指派的站台管理點,與用戶端用來找出站台系統伺服器的界限群組相關聯。
不與界限群組相關聯的站台之管理點,或不在未與用戶端目前網路位置相關聯的界限群組之管理點,都不會當成慣用管理點,並會在用戶端無法識別可用的慣用管理點時使用。
選取要使用的管理點
若是一般通訊,用戶端會根據用戶端的網路位置並以下列分類順序來嘗試使用管理點:
Proxy
本機
已指派
不過,即使其他通訊會傳送至 Proxy 或本機管理點,針對登錄訊息與特定原則訊息,用戶端一律會使用指派的管理點。
在每個分類 (Proxy、本機或已指派) 中,用戶端會嘗試根據喜好設定並以下列順序使用管理點:
在受信任樹系或本機樹系中支援的 HTTPS (當用戶端設定為 HTTPS 通訊)
不在受信任樹系或本機樹系中支援的 HTTPS (當用戶端設定為 HTTPS 通訊)
在受信任樹系或本機樹系中支援的 HTTP
不在受信任樹系或本機樹系中支援的 HTTP
在依據喜好設定排序的一組管理點當中,用戶端會嘗試使用清單上的第一個管理點:
此管理點清單是隨機排序,並不會按照順序。
每當用戶端更新管理點清單時,清單順序即會變更。
當用戶端無法連絡第一個管理點時,它會嘗試清單中的下一個管理點 (先嘗試分類中每個慣用的管理點,然後再嘗試非慣用的管理點)。 如果用戶端無法順利與分類中的任何管理點進行通訊,即會嘗試從下一個分類中連絡慣用的管理點,直到用戶端找到可用的管理點,依此類推。
建立與管理點的通訊之後,用戶端都會繼續使用相同的管理點,除非發生下列情況:
25 個小時之後,用戶端會隨機選擇要使用的新管理點。
用戶端無法在 10 分鐘內嘗試 5 次與某個管理點通訊,在這種情況下,用戶端會選取使用新的管理點。
Active Directory
加入網域的用戶端可以使用適用於服務位置的 Active Directory 網域服務。 若要這麼做,需具備可將資料發佈至 Active Directory的網站。
在下列所有條件都成立時,用戶端可使用適用於服務位置的 Active Directory 網域服務:
Active Directory 結構描述已針對 System Center 2012 Configuration Manager 擴充,或已針對 Configuration Manager 2007 擴充。
Active Directory 樹系設定為支援發佈,且 Configuration Manager 網站設定為可發佈項目。
用戶端電腦是 Active Directory 網域的成員,並可存取通用類別目錄伺服器。
如果用戶端無法從 AD DS 找到要用於服務位置的管理點,就會嘗試使用 DNS。 加入網域的用戶端可以使用適用於服務位置的 AD DS。 若要這麼做,需具備可將資料發佈至 Active Directory的網站。
DNS
內部網路上的用戶端可以使用適用於服務位置的 DNS。 若要這麼做,階層中至少需具備一個可將管理點相關資訊發佈至 DNS 的網站。
當下列任何條件成立時,請考慮使用適用於服務位置的 DNS:
不會延伸 Active Directory 網域服務架構以支援 Configuration Manager。
位於樹系之內部網路的用戶端,未啟用 Configuration Manager 發佈。
用戶端位於工作群組電腦上,而且未設定為僅限網際網路用戶端管理。 (針對網際網路設定的工作群組用戶端只會與網際網路對向的管理點通訊,而且不會使用適用於服務位置的 DNS)。
您可以設定用戶端從 DNS 尋找管理點。
若網站會將管理點的服務位置記錄發佈到 DNS:
發佈作業只適用於接受來自內部網路之用戶端連線的管理點。
發佈作業會在管理點電腦的 DNS 區域中,新增服務位置資源記錄 (SRV RR)。 該電腦的 DNS 中必須有對應的主機項目。
根據預設,加入網域的用戶端會從用戶端的本機網域搜尋 DNS 以取得管理點記錄。 您可以設定用戶端內容,針對沒有管理點資訊發佈到 DNS 的網域,指定網域尾碼。
如需如何設定 DNS 尾碼用戶端內容的詳細資訊,請參閱如何在 Configuration Manager 中將用戶端電腦設定為使用 DNS 發佈尋找管理點。
如果用戶端無法從 DNS 找到要用於服務位置的管理點,即會嘗試使用 WINS。
將管理點發佈至 DNS
若要將管理點發佈至 DNS,下列兩種條件必須成立:
您的 DNS 伺服器支援服務位置資源記錄,方法是使用 8.1.2 以上版本的 BIND。
在 Configuration Manager 中為管理點指定的內部網路 FQDN,在 DNS 中擁有主機項目 (例如,A 記錄)。
| 重要 |
|---|
Configuration Manager DNS 發佈不支援脫離的命名空間。 如果有脫離的命名空間,您可以手動將管理點發佈到 DNS,或使用本節中說明的其他服務位置方法的其中之一。 |
當您的 DNS 伺服器支援自動更新時,可以將 Configuration Manager 設定為自動在內部網路將管理點發佈到 DNS,或者手動將這些記錄發佈到 DNS。 將管理點發佈到 DNS 時,會在服務位置 (SRV) 記錄中發佈其內部網路 FQDN 和連接埠號碼。 您可在 [管理點元件內容] 中設定網站的 DNS 發佈功能。 如需詳細資訊,請參閱設定 Configuration Manager 中的站台元件。
當您的 DNS 伺服器不支援自動更新,但支援服務位置記錄時,您可以手動將管理點發佈到 DNS。 若要完成此動作,您必須手動在 DNS 中指定服務位置資源記錄 (SRV RR)。
Configuration Manager 支援服務位置記錄的 RFC 2782,其格式如下:
_Service._Proto.Name TTL 類別 SRV 優先順序權重連接埠目標
若要將管理點發佈到 Configuration Manager,請指定下列值:
_Service:輸入 _mssms_mp*_<站台碼>*,其中 <站台碼> 是管理點的站台碼。
._Proto:指定 ._tcp。
.Name:輸入管理點的 DNS 尾碼,例如 contoso.com。
TTL:輸入 14400,表示四小時。
類別:指定 IN (符合 RFC 1035)。
優先順序:Configuration Manager 不使用此欄位。
權重:Configuration Manager 不使用此欄位。
輸入連接埠:輸入管理點所使用的連接埠號碼,例如 HTTP 為 80,HTTPS 為 443。
注意SRV 記錄連接埠應符合管理點所使用的通訊埠。 根據預設,HTTP 通訊為 80,HTTPS 通訊為 443。
目標:輸入為使用管理點網站角色設定之網站系統所指定的內部網路 FQDN。
如果您使用的是 Windows Server DNS,便可以使用下列程序,為內部網路管理點輸入此 DNS 記錄。 如果使用不同的 DNS 實作,請使用本節中有關欄位值的資訊,並參閱 DNS 文件以調整此程序。
若要設定自動發佈功能:
-
在 Configuration Manager 主控台,展開 [系統管理] > [站台組態] > [站台]。
-
選取您的網站,然後按一下 [設定網站元件]。
-
選取 [管理點]。
-
選取您想要發佈的管理點。 (此選項亦適用於發佈至 AD DS 與 DNS。)
-
選取核取方塊,以發佈至 DNS:
- 這個對話方塊可讓您選取要發佈哪些管理點,以及哪些管理點要發佈至 DNS。 - 這個對話方塊不會設定發佈至 AD DS。
在 Windows Server 上手動將管理點發佈到 DNS
-
在 Configuration Manager 主控台中,指定網站系統的內部網際網路 FQDN。
-
在 DNS 管理主控台中,選取管理點電腦的 DNS 區域。
-
確認其中有網站系統內部網路 FQDN 的主機記錄 (A 或 AAA)。 如果此記錄不存在,請建立此記錄。
-
使用 [新增其他記錄] 選項,按一下 [資源記錄類型] 對話方塊中的 [服務位置 (SRV)],按一下 [建立記錄],輸入下列資訊,然後按一下 [完成]:
- **網域**:如有需要,請輸入管理點的 DNS 尾碼,例如 **contoso.com**。 - **服務**:輸入 **\_mssms\_mp***\_\<站台碼\>*,其中 *\<站台碼\>* 是管理點的站台碼。 - **通訊協定**:輸入 **\_tcp**。 - **優先順序**:Configuration Manager 不使用此欄位。 - **權重**:Configuration Manager 不使用此欄位。 - 輸入**連接埠**:輸入管理點所使用的連接埠號碼,例如 HTTP 為 **80**,HTTPS 為 **443**。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>SRV 記錄連接埠應符合管理點所使用的通訊埠。 根據預設,HTTP 通訊為 <strong>80</strong>,HTTPS 通訊為 <strong>443</strong>。</p></td> </tr> </tbody> </table> </div> - **提供這項服務的主機**:輸入為使用管理點網站角色設定之網站系統所指定的內部網路完整網域名稱。
針對內部網路上要發佈到 DNS 的各管理點,重複執行這些步驟。
WINS
當其他服務位置機制失敗時,用戶端可檢查 WINS 以尋找初始管理點。
根據預設,主要網站會在網站上將針對 HTTP 和 HTTPS 設定的第一個管理點發佈到 WINS。
如果您不想讓用戶端找到 WINS 中的 HTTP 管理點,請使用 CCMSetup.exe Client.msi 內容 SMSDIRECTORYLOOKUP=NOWINS 來設定用戶端。
規劃如何喚醒用戶端
Configuration Manager 支援兩種網路喚醒技術,當您要安裝必要軟體 (如軟體更新和應用程式) 時,能喚醒睡眠模式下的電腦:傳統喚醒封包和 AMT 開機命令。
從 Configuration Manager SP1 開始,您可以使用喚醒 Proxy 用戶端設定來補足傳統喚醒封包方式。 喚醒 Proxy 會使用點對點通訊協定以及選取的電腦,來檢查子網路上的其他電腦是否處於喚醒狀態,並且於必要時將其喚醒。 為網站設定網路喚醒功能以及為用戶端設定喚醒 Proxy 功能的程序如下:
安裝 Configuration Manager SP1 用戶端的電腦,以及子網路上並非處於睡眠模式的電腦,會檢查子網路上其他電腦是否處於喚醒狀態。 這些電腦每 5 秒彼此傳送 TCP/IP Ping 命令來執行這個檢查。
若其他電腦沒有回應,則會被認為在睡眠狀態。 而醒著的電腦則成為該子網路的管理員電腦。
由於電腦可能會因為睡眠狀態以外的其他原因而不回應 (例如電腦關機、從網路移除或不再套用 Proxy 喚醒用戶端設定),所以在每天的當地時間下午 2 點都會傳送喚醒封包給電腦。 不會再將不回應的電腦視為睡眠狀態,也不會由喚醒 Poxy 來喚醒。
若要支援喚醒 Proxy,每個子網路上應至少有三台電腦是醒著的。 為達成此狀態,會以不定方式選擇三台電腦做為子網路的管理員電腦。 這表示即使設定的電源原則在一段時間閒置後進入睡眠或休眠,仍會有三台電腦保持醒著的狀態。 例如,管理員電腦會遵循維護工作結束時的關機或重新啟動命令。 若出現此種狀況,剩下的管理員電腦會喚醒子網路上另一台電腦,讓子網路持續有三台管理員電腦。
管理員電腦會要求網路交換器將睡眠中電腦的網路流量重新導向自己。
此重新導向是由管理員電腦廣播乙太網路框架來完成,該乙太網路框架使用睡眠中電腦的 MAC 位址做為來源位址。 這會讓網路交換器的行為彷彿睡眠中的電腦已移到管理員電腦所在的相同連接埠。 管理員電腦也會為睡眠中電腦傳送 ARP 封包,讓 ARP 快取中的項目保持更新。 管理員電腦也會代表睡眠中電腦回應 ARP 要求,並以睡眠中電腦的 MAC 位址回覆。
.jpeg "System_CAPS_warning")
警告在這個程序中,睡眠中電腦的 IP 到 MAC 對應仍維持相同。 喚醒 Proxy 的運作方式是通知網路交換器有不同的網路介面卡正在使用已經由另一個網路介面卡登錄的連接埠。 不過,這個行為稱為 MAC Flap (Mac 飄移),並不是標準網路運作的正常行為。 某些網路監控工具會尋找此行為,並假設有不對勁的情形出現。 因此,這些監控工具可能在您使用喚醒 Proxy 時,產生警示或關閉連接埠。
若您的網路監控工具和服務不允許 MAC Flap,就不要使用喚醒 Proxy。
當管理員電腦發現有針對睡眠中電腦的新 TCP 連線要求,且該要求是傳送至該睡眠中電腦進入睡眠前正在接聽的連接埠時,管理員電腦會向睡眠中電腦傳送喚醒封包,然後停止重新導向此電腦的流量。
睡眠中電腦會接收喚醒封包,並醒過來。 傳送的電腦會自動重新嘗試連線,這次電腦是醒著的,並且可以進行回應。
喚醒 Proxy 具有以下必要條件和限制:
| 重要 |
|---|
如果您有個別團隊負責網路基礎結構和網路服務,請在評估與測試期間通知並納入此團隊。 例如,在使用 802.1X 網路存取控制的網路上,喚醒 Proxy 將無法運作,且可能使網路服務中斷。 此外,部分網路監控工具偵測到喚醒其他電腦的流量時,喚醒 Proxy 可能會導致其產生警示。 |
支援的用戶端為 Windows 7、Windows 8、Windows Server 2008 R2、Windows Server 2012。
不支援在虛擬機器上執行的客體作業系統。
用戶端必須執行 Configuration Manager SP1,並使用用戶端設定啟用喚醒 Proxy。 儘管喚醒 Proxy 操作並不與硬體清查相依,但除非用戶端啟用硬體清單且提交至少一份硬體清查,否則用戶端不會回報喚醒 Proxy 服務的安裝。
必須針對喚醒封包啟用並設定網路介面卡 (可能也包括 BIOS)。 如果網路介面卡未針對喚醒封包設定,或停用此設定,Configuration Manager 在收到用戶端設定啟用喚醒 Proxy 時,會自動為電腦設定並啟用網路介面卡。
如果電腦有超過一張電腦介面卡,您無法設定以哪一張介面卡用於喚醒 Proxy;選擇是不定的。 不過,選擇的介面卡會記錄在 SleepAgent_<網域>@SYSTEM_0.log 檔案中。
網路必須允許 ICMP 回應要求 (至少在子網路內)。 您無法設定 5 秒間隔時間,因為這個間隔是用來傳送 ICMP Ping 命令。
通訊不會加密,也不會驗證,且不支援 IPsec。
不支援以下網路設定:
具備連接埠驗證的 802.1X
無線網路
將 MAC 位址繫結至特定連接埠的網路交換器
IPv6 專用網路
DHCP 租用期間少於 24 小時
安全性最佳作法為盡可能使用 AMT 開機命令,不要使用喚醒封包。 因為 AMT 開機命令會使用 PKI 憑證,協助確保通訊安全,這種技術比傳送喚醒封包更為安全。 不過,若要使用 AMT 開機命令,電腦必須是針對 AMT 佈建的 Intel AMT 型電腦。 如需 Configuration Manager 可如何管理 AMT 型電腦的詳細資訊,請參閱頻外管理在 Configuration Manager 簡介。
如果您想要喚醒電腦進行已排程的軟體安裝,您必須針對以下三種選項的其中一個來設定每個主要網站:
若電腦支援此技術,請使用 AMT 開機命令,否則請使用喚醒封包。
僅使用 AMT 開機命令。
僅使用喚醒封包。
若要使用 Configuration Manager SP1 喚醒 Proxy,除了選取 [僅使用喚醒封包] 選項,您還必須部署電源管理喚醒 Proxy 用戶端設定。
如需兩個網路喚醒 (WOL) 技術、傳統喚醒封包與開機命令之間差異的詳細資訊,請使用下表。
技術 |
優點 |
缺點 |
|---|---|---|
傳統喚醒封包 |
網站中無須任何其他網站系統角色。 許多網路介面卡均支援。 UDP 喚醒封包的傳送與處理速度都很快。 不需要 PKI 基礎結構。 不需要對 Active Directory 網域服務進行任何變更。 支援工作群組電腦、來自其他 Active Directory 樹系的電腦,以及位於相同 Active Directory 樹系 (但使用不連續命名空間) 的電腦。 |
因為不使用驗證或加密,與 AMT 開機命令相比,不是個比較安全的解決方案。 若針對喚醒封包使用子網路導向的廣播傳送,可能需冒遭受 Smurf 攻擊的安全性風險。 可能需要在每台電腦上針對 BIOS 設定與介面卡設定進行手動設定。 不會確認已經喚醒電腦。 以多重使用者資料包通訊協定 (UDP) 封包形式的喚醒傳送,會毫無必要的佔滿可用網路頻寬。 除非搭配 Configuration Manager SP1 使用喚醒 Proxy,否則不可以經由互動方式喚醒電腦。 無法讓電腦回到睡眠狀態。 管理功能僅限於喚醒電腦。 |
AMT 開機命令 |
這是比傳統喚醒封包更安全的解決方案,因為它使用標準業界安全性通訊協定,提供驗證與加密。 它也能整合現有 PKI 部署,並可獨立於產品之外個別管理安全性控制項。 支援自動集中化設定與組態 (AMT 佈建)。 已針對更可靠的連線與可稽核的連線,建立傳輸工作階段。 電腦能以互動方式喚醒 (並重新啟動)。 電腦能以互動方式關閉電源。 其他管理功能,包括以下各項:
|
要求網站具備超出訊號範圍服務點和註冊點。 僅在具備 Intel vPro 晶片組,且裝載 Intel 主動管理技術 (Intel AMT) 韌體受支援版本的電腦上才支援此項。 如需支援哪些 AMT 版本的詳細資訊,請參閱 支援的 Configuration Manager 組態。 傳輸工作階段需要更多時間來在伺服器上建立更高的處理層級,以及傳輸更多資料。 需要 PKI 部署與特定憑證。 需要針對發佈 AMT 型電腦而建立和設定的 Active Directory 容器。 無法支援工作群組電腦、來自另一個 Active Directory 樹系的電腦,以及位於相同 Active Directory 樹系但使用不連續命名空間的電腦。 需要變更 DNS 和 DHCP 以支援 AMT 佈建。 |
根據您是否可以支援 AMT 開機命令,以及電腦是否指派至支援網路喚醒技術的網站,來選擇喚醒電腦的方式。 也請考量前述表格中列出的兩種技術的優點與缺點。 例如,喚醒封包較不可靠,也不安全,但開機命令要花上比較多的時間建立,且要求在設定具備超出訊號範圍服務點的網站系統伺服器上進行更多的處理。
| 重要 |
|---|
由於在 AMT 型電腦上進行發佈、維護和結束超出訊號範圍管理工作階段出現額外成本,請自行測試,您才能精準判斷在您的環境中使用 AMT 開機命令時會花多少時間來喚醒多台電腦 (例如,透過較慢的 WAN 連結至次要網站的電腦)。 這項知識能協助您判斷,必須在很短時間內喚醒許多電腦時,使用 AMT 開機命令,針對排程活動喚醒多部電腦是否真的實用。 |
如果您決定使用傳統喚醒封包,您也必須決定是否要使用子網路導向的廣播封包或單點傳播封包,以及使用何種 UDP 連接埠號碼。 根據預設,會使用 UDP 連接埠 9 來傳送傳統喚醒封包,但為了協助提升安全性,您可以為網站選取替代連接埠 (先決條件是中介路由器與防火牆支援該替代連接埠)。
傳統喚醒封包:為 [網路喚醒] 選擇在單點傳播與子網路導向的廣播之間
如果您選擇傳送傳統喚醒封包來喚醒電腦,您必須決定要傳送單點傳播封包,還是子網路導向的廣播封包。 若您搭配 Configuration Manager SP1 使用喚醒 Proxy,就必須使用單點傳播封包, 否則,就請使用下表,協助您判斷要選用哪一種傳送方式。
傳輸方式 |
優點 |
缺點 |
|---|---|---|
單點傳播 |
與子網路導向的廣播相比,這是個更安全的解決方案,因為封包是直接傳送到電腦,而不是送到子網路上的所有電腦。 可能不需要重新設定路由器 (不過可能需要設定 ARP 快取)。 與子網路導向的廣播傳輸相比,使用的網路頻寬比較少。 支援 IPv4 和 IPv6。 |
喚醒封包會找不到上次硬體清查排程後,子網路位址已經變更的目的地電腦。 可能必須設定切換器以轉寄 UDP 封包。 部分網路介面卡使用單點傳播做為傳輸方法時,可能不會在各種睡眠狀況下回應喚醒封包 |
子網路導向的廣播 |
如果您的電腦經常變更相同子網路中的 IP 位址,這種方法比單點傳播的成功率較高。 不需要重新設定交換器。 針對所有睡眠狀態,對電腦介面卡有高相容比率,因為子網路導向的廣播是傳送喚醒封包的原始傳輸方法。 |
這比使用單點傳播來得更不安全,因為攻擊者可以從偽造來源位址不斷寄送 ICMP 回應請求串流到導向的廣播位址。 這會導致所有主機回覆該來源位址。 如果設定路由器為允許子網路導向的廣播,則建議基於安全性理由,進行其他設定:
可能需要重新設定所有中介路由器以啟用子網路導向的廣播。 與單點傳播相比,會佔用較多的網路頻寬。 僅支援 IPv4,不支援 IPv6。 |
| 警告 |
|---|
子網路導向的廣播存在安全性風險:攻擊者可以從偽造的來源位址不斷將網際網路控制訊息通訊協定 (ICMP) 回應請求的串流傳送到導向的廣播位址,這會導致所有主機回覆該來源位址。 這種阻斷服務的攻擊類型通常稱為 Smurf 攻擊,一般只要不啟用子網路導向的廣播,就可以避免遭到此種攻擊。 |
規劃 Configuration Manager 中的跨樹系通訊
System Center 2012 Configuration Manager 支援跨 Active Directory 樹系的網站與階層。
Configuration Manager 也支援不在相同 Active Directory 樹系做為網站伺服器的網域電腦,以及工作群組內的電腦:
若要支援您網站伺服器樹系並不信任之樹系中的網域電腦,您可以在該未受信任的樹系中安裝網站系統角色,並可選擇是否將網站資訊發佈至用戶端的 Active Directory 樹系。 或者,您也可以管理這些電腦,如同它們是工作群組電腦一樣。 在用戶端樹系中安裝網站系統伺服器時,會將用戶端至伺服器通訊保護於用戶端樹系內,Configuration Manager 可以使用 Kerberos 驗證電腦。 將網站資訊發佈至用戶端樹系時,用戶端可以從其 Active Directory 樹系擷取網站資訊 (如可用管理點清單),而不用從其指派的管理點下載此資訊。
注意若想管理網際網路上的裝置,您可以在網站系統伺服器位於 Active Directory 樹系時,在您的周邊網路中安裝網際網路型網站系統角色。 此狀況並不需要在周邊網路與網站伺服器的樹系間建立雙向信任。
若要支援工作群組中的電腦,如果這些電腦使用 HTTP 用戶端連線連到網站系統角色,您必須手動核准這些電腦,因為 Configuration Manager 無法使用 Kerberos 驗證這些電腦。 此外,您還必須設定網路存取帳戶,這些電腦才能從發佈點擷取內容。 因為這些用戶端無法從 Active Directory 網域服務擷取網站資訊,您必須為它們提供替代機制,以找出管理點。 您可以使用 DNS 發佈、WINS,或直接指派管理點。
如需用戶端核准的相關資訊,請參閱設定用戶端核准及衝突記錄的設定中的在 Configuration Manager 中設定用戶端管理的設定。
如需如何設定網路存取帳戶的相關資訊,請參閱設定網路存取帳戶主題中的在 Configuration Manager 中設定內容管理一節。
如需如何在工作群組電腦上安裝用戶端的相關資訊,請參閱如何在工作群組電腦上安裝 Configuration Manager 用戶端主題中的如何在 Configuration Manager 中於安裝 Windows 的電腦上安裝用戶端一節。
Configuration Manager 支援來自網站伺服器不同樹系中的 Exchange Server 連接器。 若要支援此狀況,請確認名稱解析可跨樹系 (例如,設定 DNS 轉寄) 執行,並在您設定 Exchange Server 連接器時指定 Exchange Server 的內部網路 FQDN。 如需詳細資訊,請參閱如何使用 Configuration Manager 和 Exchange 管理行動裝置。
當您的 Configuration Manager 設計能跨越多個 Active Directory 網域和樹系時,請使用下表中的其他資訊,來協助您規劃以下通訊類型:
案例 |
詳細資料 |
詳細資訊 |
||
|---|---|---|---|---|
階層中網站間的跨樹系通訊:
|
Configuration Manager 支援在遠端樹系中 (需要父網站樹系內的雙向信任) 安裝子網站。 例如,只要所需的信任存在,您可以在與主要父網站不同的樹系中放置次要網站。 若您沒有支援 Kerberos 驗證的雙向樹系信任,Configuration Manager 就不會支援遠端樹系中的子網站。
Configuration Manager 中的網站間通訊使用資料庫複寫和以檔案為基礎的傳輸。 安裝網站時,必須指定帳戶,以便在指定伺服器上安裝網站。 此帳戶也會建立與維護網站間的通訊。 網站成功安裝並起始以檔案為基礎的傳輸與資料庫複寫後,就不需要為了與網站通訊設定其他項目。 如需如何安裝網站的詳細資訊,請參閱安裝網站伺服器主題中的安裝站台並建立 Configuration Manager 的階層一節。 |
存在雙向樹系信任時,Configuration Manager 就不需要任何其他設定步驟。 根據預設,安裝新網站做為另一個網站的子網站時,Configuration Manager 會設定以下項目:
也必須設定以下設定:
|
||
跨樹系網站內的通訊:
|
主要網站支援將網站系統角色安裝到其他樹系的電腦上。 除了超出訊號範圍服務點和應用程式目錄 Web 服務點兩者例外,它們必須安裝在網站伺服器的相同樹系中。 網站系統角色接受來自網際網路的連線時,做為安全性最佳作法,請將這些網站系統角色安裝在樹系界限會為網站伺服器提供保護的位置 (例如周邊網路中)。 當您在不受信任之樹系中的電腦上安裝網站系統角色時:
當您在不受信任的樹系中使用網站系統角色時,防火牆必須允許網路流量,即使網站伺服器會起始資料傳輸亦同。 此外,下列網站系統角色需要直接存取網站資料庫。 因此,防火牆必須允許來自不受信任的樹系到網站 SQL Server 的適用流量:
如需詳細資訊,請參閱Configuration Manager 使用之連接埠的技術參考。 |
管理點和註冊點網站系統角色會連線到網站資料庫。 根據預設,安裝這些網站系統角色時,Configuration Manager 會設定新網站系統伺服器的電腦帳戶做為連線帳戶,並將該帳戶新增到適當的 SQL Server 資料庫角色。 在不受信任的網域中安裝這些網站系統角色時,您必須設定網站系統角色連線帳戶啟用網站系統角色,以便從資料庫取得資訊。 如果您為這些連線帳戶設定網域使用者帳戶,請確定帳戶能正確存取該網站上的 SQL Server 資料庫:
在您規劃其他樹系中的網站系統角色時,請考量以下其他資訊:
|
||
用戶端並未與網站伺服器處於相同 Active Directory 樹系時,用戶端與網站系統角色間的通訊。 |
針對用戶端未處於和其網站之網站伺服器相同的樹系中,Configuration Manager 支援以下情況:
|
網域電腦上用戶端的網站發佈到其 Active Directory 樹系時,這些用戶端就可以使用服務位置的 Active Directory 網域服務。 若要將網站資訊發佈到另一個 Active Directory 樹系,您必須先指定樹系,然後在 [系統管理] 工作區的 [Active Directory 樹系] 節點中啟用發佈至該樹系。 此外,您必須啟用每個網站將其資料發佈至 Active Directory 網域服務。 此設定可啟用該樹系中的用戶端,以擷取網站資訊和找出管理點。 針對無法使用服務位置的 Active Directory 網域服務的用戶端,您可以使用 DNS、WINS,或用戶端的指派的管理點。 |
規劃以網際網路為基礎的用戶端管理
以網際網路為基礎的用戶端管理可讓您在 Configuration Manager 用戶端並未連線至您公司網路,但有標準網際網路連線時,管理這些用戶端。 這種安排有幾個優點,包括降低成本 (因為無須執行虛擬私人網路 (VPN)),且能以更即時的方式部署軟體更新。
因為在公用網路上管理用戶端電腦需要更高的安全性,以網際網路為基礎的用戶端管理就要求用戶端與用戶端連線的網站系統伺服器使用 PKI 憑證。 這可確保由獨立的單位驗證連線,且進出這些網站系統的資料都使用安全通訊端層 (SSL) 進行加密。
請利用以下各節來協助您規劃以網際網路為基礎的用戶端管理。
網際網路上「不」支援的功能
並非所有用戶端管理功能都可在網際網路上使用,因此,在網際網路上管理用戶端時,就不會支援某些功能。 網際網路管理不支援的功能,一般需依賴 Active Directory 網域服務,或不適合在公用網路上使用,例如網路探索和網路喚醒 (WOL)。
在網際網路上管理用戶端時,不支援以下功能:
透過網際網路的用戶端部署,例如用戶端推入和以軟體更新為基礎的用戶端部署。 此時請改以手動方式進行用戶端安裝。
自動網站指派。
網路存取保護 (NAP)。
網路喚醒。
作業系統部署。 不過,您可以部署並未部署作業系統的工作順序,例如在用戶端上執行指令碼與維護工作的工作順序。
遠端控制。
超出訊號範圍管理。
軟體部署至使用者,除非以網際網路為基礎的管理點可以使用 Windows 驗證 (Kerberos 或 NTLM) 來驗證 Active Directory 網域服務中的使用者。 當以網際網路為基礎的管理點信任使用者帳戶所在的樹系時,就可能出現這種狀況。
此外,以網際網路為基礎的管理不支援漫遊。 漫遊會讓用戶端總是找出最接近的發佈點來下載內容。 當網站系統設定為使用網際網路 FQDN,且網站系統角色允許來自網際網路的用戶端連線時,則在網際網路上受管理的用戶端會經由其指派的網站與網站系統進行通訊。 無論頻寬或實體位置為何,用戶端都會以不確定的方式選取其中一個以網際網路為基礎的網站系統。
| 注意 |
|---|
System Center 2012 Configuration Manager 中的新功能,當您擁有設定為接受來自網際網路連線的軟體更新點時,Configuration Manager 在網際網路上以網際網路為基礎的用戶端一律會掃描此軟體更新點,藉以判斷需要哪些軟體更新。 不過,當這些用戶端位於網際網路上時,首先會嘗試從 Microsoft Update 下載軟體更新,而不是從以網際網路為基礎的發佈點下載。 只有在下載失敗後,才會嘗試從以網際網路為基礎的發佈點下載所需的軟體更新。 未針對以網際網路為基礎的用戶端管理設定的用戶端,永遠不會嘗試從 Microsoft Update 下載軟體更新,但會一直使用 Configuration Manager 發佈點。 |
從網際網路或未受信任之樹系的用戶端通訊考量
安裝在主要網站的下列網站系統角色支援來自不受信任位置 (例如網際網路或不受信任樹系) 的用戶端連線 (次要網站不支援來自不受信任位置的用戶端連線):
應用程式類別目錄網站點
Configuration Manager 原則模組
發佈點 (以雲端為基礎的發佈點需要 HTTPS)
註冊 Proxy 點
後援狀態點
管理點
軟體更新點
關於網際網路對向的系統:
儘管用戶端樹系和站台系統伺服器樹系之間並不一定存在信任關係,但當包含可直接存取網際網路之站台系統的樹系信任包含使用者帳戶的樹系時,若您啟用 [用戶端原則] 用戶端設定 [從網際網路用戶端啟用使用者原則要求],此一設定就會為網際網路上的裝置,支援以使用者為依據的原則。
例如,以下設定會說明何時以網際網路為基礎的用戶端管理會針對網際網路上的裝置,支援使用者原則。
以網際網路為基礎的管理點位於唯讀網域控制站所在的中介網路,以驗證使用者,且中介防火牆允許 Active Directory 封包。
使用者帳戶位於樹系 A (內部網路),以網際網路為基礎的管理點則位於樹系 B (中介網路)。 樹系 B 信任樹系 A,且中介防火牆允許驗證封包。
使用者帳戶與以網際網路為基礎的管理點位於樹系 A (內部網路)。 使用 Web Proxy 伺服器 (例如 Forefront Threat Management Gateway),將管理點發佈至網際網路。
| 注意 |
|---|
若 Kerberos 驗證失敗,就會自動嘗試 NTLM 驗證。 |
如前一個範例所顯示的,當使用 Web Proxy 伺服器 (如 ISA 伺服器與 Forefront Treat Management Gateway) 將以網際網路為基礎的網站系統發佈到網際網路上時,您可以將這些網站置於內部網路內。 這些網站系統只能針對來自網際網路的用戶端連線,或來自網際網路與內部網路的用戶端連線,進行設定, 使用 Web Proxy 伺服器時,您可以設定其讓安全通訊端層 (SSL) 橋接至 SSL (較安全) 或 SSL 通道:
SSL 橋接到 SSL:
若是對網際網路用戶端管理使用 Proxy 網頁伺服器,建議使用 SSL 橋接到 SSL,以透過驗證來啟用 SSL 終止。 必須使用電腦驗證來驗證用戶端電腦,並使用使用者驗證來驗證行動裝置舊版用戶端。 由 Configuration Manager 註冊的行動裝置並不支援 SSL 橋接。在 Proxy 網頁伺服器進行 SSL 終止的優點是將來自網際網路的封包轉寄到內部網路前,都必須經過檢查。 Proxy 網頁伺服器會驗證來自用戶端的連線,將其終止,然後開啟一個連線到以網際網路為基礎之網站系統的全新已驗證連線。Configuration Manager 用戶端使用 Proxy 網頁伺服器時,用戶端識別 (用戶端 GUID) 會安全地保存在封包裝載中,管理點就不用考慮讓 Proxy 網頁伺服器成為用戶端。 使用 HTTP 至 HTTPS 或從 HTTPS 至 HTTP 的 Configuration Manager 不支援橋接。
通道:
若您的 Proxy 網頁伺服器不支援 SSL 橋接的需求,或您想設定網際網路支援由 Configuration Manager 註冊的行動裝置,則也支援 SSL 通道。 這是比較危險的選項,因為來自網際網路的 SSL 封包會轉寄到沒有 SSL 終止的網站系統,因此無法檢查封包內是否存在惡意內容。 使用 SSL 通道時,Proxy 網頁伺服器不需要憑證。
規劃以網際網路為基礎的用戶端
您必須判斷在網際網路上受管理的用戶端電腦是否要針對在內部網路與網際網路上受管理來進行設定,或是設定僅在網際網路內接受用戶端管理。 在安裝用戶端電腦時,您只能設定用戶端管理選項。 若您稍後改變心意,就必須重新安裝用戶端。
| 注意 |
|---|
對於 System Center 2012 R2 Configuration Manager 及更新版本: 如果您設定具有網際網路連線功能的管理點,連線至該管理點的用戶端,會在下一次重新整理它們的可用管理點清單時,成為具有網際網路連線功能。 |
| 提示 |
|---|
您不需要限制設定僅在網際網路中進行的用戶端管理,您也可以將其用在內部網路上。 |
設定僅在網際網路上接受用戶端管理的用戶端,只會和針對來自網際網路之用戶端連線設定的網站系統進行通訊。 這個設定適合您已知從未連線至公司內部網路的電腦,例如在遠端位置的銷售點電腦。 當您要限制用戶端僅經由 HTTPS 進行通訊 (例如支援防火牆與受限制的安全性原則) 時,以及當您在中介網路上安裝以網際網路為基礎的網站系統,且要使用 Configuration Manager 用戶端管理這些伺服器時,也適合這個設定。
您要管理網際網路上的工作群組用戶端時,必須將這些用戶端安裝為僅在網際網路上進行通訊。
| 注意 |
|---|
當行動裝置用戶端設定為使用以網際網路為基礎的管理點時,會將行動裝置用戶端自動設定為僅在網際網路上進行通訊。 |
其他用戶端電腦則可以設定為接受網際網路與內部網路用戶端管理。 當它偵測到網路變更時,它們可以自動在以網際網路為基礎的用戶端管理與內部網路用戶端管理間進行切換。 若這些用戶端可以找到並連線至設定為在內部網路進行用戶端連線的管理點,就會將這些用戶端視為具備完整 Configuration Manager 管理功能的內部網路用戶端來進行管理。 若用戶端找不到或無法連線至設定為在內部網路進行用戶端連線的管理點,它們會嘗試連線到以網際網路為基礎的管理點,若成功,接著就會由這些用戶端之指定網站內以網際網路為基礎的網站系統來管理這些用戶端。
在以網際網路為基礎的用戶端管理,以及內部網路用戶端管理間進行自動切換的優點是:只要用戶端電腦連線至內部網路,且只要它們在網際網路上,就能繼續以基礎管理功能管理時,這些用戶端電腦就可以自動使用所有 Configuration Manager 功能。 此外,在網際網路上開始的下載可以在內部網路上順利恢復,反之亦然。
以網際網路為基礎之用戶端管理的必要條件
Configuration Manager 中以網際網路為基礎的用戶端管理有以下外部相依性:
相依性 |
詳細資訊 |
||
|---|---|---|---|
將在網際網路上進行管理的用戶端必須具備網際網路連線。 |
Configuration Manager 使用現有網際網路服務提供者 (ISP) 連線來連線到網際網路,這可以是永久或暫時的連線。 用戶端行動裝置必須具備直接網際網路連線,但用戶端電腦可以具備直接網際網路連線,或使用 Proxy 網頁伺服器來連線。 |
||
支援以網際網路為基礎之用戶端管理的網站系統必須具備連線至網際網路的能力,且必須位於 Active Directory 網域。 |
以網際網路為基礎的網站系統不需要和網站伺服器的 Active Directory 樹系間建立信任關係。 不過,在以網際網路為基礎的管理點可以使用 Windows 驗證來驗證使用者時,就支援使用者原則。 若 Windows 驗證失敗,則僅支援電腦原則。
以網際網路為基礎的應用程式類別目錄網站點也要求以 Windows 驗證來驗證使用者 (它們的電腦位於網際網路上時)。 這項要求獨立於使用者原則。 |
||
您必須具備支援的公開金鑰基礎結構 (PKI) 以部署及管理用戶端要求的憑證,以及在網際網路和以網際網路為基礎的網站系統伺服器上進行管理的憑證。 |
如需 PKI 憑證的詳細資訊,請參閱 Configuration Manager 的 PKI 憑證需求 |
||
必須設定以下基礎結構服務支援以網際網路為基礎的用戶端管理:
|
用戶端通訊要求:
如需支援這些要求的設定資訊,請參閱您的防火牆或 Proxy 伺服器說明文件。 如需您針對來自網際網路之用戶端連線使用軟體更新點時類似的通訊要求,請參閱 Windows Server Update Services (WSUS) 的說明文件。 例如,針對 Windows Server 2003 上的 WSUS,請參閱 Appendix D: Security Settings (附錄 D:安全性設定),安全性設定的部署附錄。 |
規劃 Configuration Manager 中的網路頻寬
System Center 2012 Configuration Manager 包括數種方法來控制由網站、網站系統伺服器和用戶端間之通訊所使用的頻寬。 不過,並非網路上所有的通訊都可以受到管理。 請使用以下各節協助您了解可以用來控制網路頻寬,並設計網站階層的方法。
規劃 Configuration Manager 階層時,請考慮會從網站間與網站內通訊傳輸的網路資料數量。
| 注意 |
|---|
檔案複寫路由 (在 Configuration Manager SP1 前,稱為位址) 僅用於站間通訊,無法用於網站伺服器與網站系統間的網站內通訊。 |
控制網站間的網路頻寬使用量
Configuration Manager 同時使用以檔案為基礎的複寫和資料庫複寫,在網站間傳輸資料。 在 Configuration Manager SP1 之前,您可以設定以檔案為基礎的複寫來控制傳輸用的網路頻寬,但不能設定資料庫複寫時使用的網路頻寬。 從 Configuration Manager SP1 開始,您就可以針對選取的網站資料設定資料庫複寫使用的網路頻寬。
設定網路頻寬控制時,您應保持警覺,注意潛在的資料延遲。 若限制或設定營業時間後網站間的通訊只能傳輸資料,則除非發生網站間通訊,否則父網站或子網站上的系統管理員可能會無法檢視特定資料。 例如,若將某個重要的軟體更新套件傳送到位於子網站的發佈點,除非完成所有擱置的網站間通訊,否則這些網站仍無法取得套件。 擱置的通訊可能包括傳遞非常大的套件,且還未完成傳輸。
檔案型複寫控制:在以檔案形式傳輸資料時,Configuration Manager 會使用所有可用的網路頻寬,在站台之間傳送資料。 您可以在網站設定傳送者,藉此控制這個程序,以增加或減少網站對網站間傳送的執行緒。 傳送執行緒用來一次傳送一個檔案。 每個額外執行緒則允許同時傳輸額外檔案,不過這會使用更多的頻寬。 若要設定網站對網站間傳輸要使用的執行緒數量,請在網站內容的 [傳送者] 索引標籤上設定 [並行傳送上限]。
若要控制網站間以檔案為基礎的資料傳輸,您可以排程何時 Configuration Manager 可以使用至特定網站的檔案複寫路由。 您可以控制要使用的網路頻寬量、資料區塊的大小,以及傳送資料區塊的頻率。 其他設定可以根據資料類型的優先順序來限制資料傳輸。 針對階層內的每個網站,您可以藉由設定至每個目的地網站之檔案複寫路由內容,針對該網站設定要使用的排程與速率限制。 設定檔案複寫路由僅可套用於將資料傳輸至針對該檔案複寫路由所指定之目的地網站。
如需檔案複寫路由的詳細資訊,請參閱本主題中規劃 Configuration Manager 中網站間的通訊一節中的「檔案複寫路由」小節。
重要設定速率限制,以限制在特定檔案複寫路由上使用的頻寬時,Configuration Manager 只能使用單一執行緒來將資料傳輸到該目的地網站。 針對檔案複寫路由使用速率限制會複寫每個網站使用的多重執行緒 (在每個網站的 [並行傳送上限] 裡設定)。
資料庫複寫的控制:自 Configuration Manager SP1 起,您可以設定資料庫複寫連結,協助控制在網站間傳輸選定網站資料時使用的網路頻寬。 某些控制與以檔案為基礎之複寫的控制類似,並額外支援排程何時將硬體清查、軟體清查、軟體計量與狀態訊息跨連結複寫到父網站。
如需詳細資訊,請參閱本主題中的資料庫複寫一節。
控制網站系統伺服器間的網路頻寬使用量
在網站內,網站系統間的通訊會使用伺服器訊息區 (SMB),這可隨時發生,且不支援控制網路頻寬的機制。 不過,設定網站伺服器使用速率限制與控制經由網路將資料傳輸到發佈點的排程時,您可以管理將內容從網站伺服器傳輸到發佈點,其控制方式類似網站與網站間以檔案為基礎之傳輸的控制。
控制用戶端和網站系統伺服器間的網路頻寬使用量
用戶端會定期與不同的網站系統伺服器通訊。 例如,它們需要檢查用戶端原則時,會和執行管理點的網站系統伺服器進行通訊;需要下載內容以安裝某個應用程式或軟體新時,則會與執行發佈點的網站系統伺服器進行通訊。 這些連線的頻率與經由網路進出用戶端之傳輸的資料量,是根據您指定做為用戶端設定的排程與設定而定的。
一般來說,用戶端原則要求的網路頻寬較低。 用戶端存取內容進行部署,或傳送資訊 (如硬體清查資料) 到網站上時,需要的網路頻寬就比較高。
您可以指定控制用戶端起始之網路通訊的頻率。 此外,您也可以控制用戶端如何存取部署內容,例如使用背景智慧型傳送服務 (BITS)。 若要使用 BITS 下載內容,用戶端必須設定為使用 BITS。 如果用戶端無法使用 BITS,它會使用 SMB 傳送內容。
如需 Configuration Manager 內用戶端設定的相關資訊,請參閱規劃 Configuration Manager 中的用戶端設定。