Communicatie tussen eindpunten in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
In dit artikel wordt beschreven hoe Configuration Manager sitesystemen en clients in uw netwerk communiceren. Het bevat de volgende secties:
Communicatie tussen sitesystemen in een site
Wanneer Configuration Manager sitesystemen of -onderdelen via het netwerk communiceren met andere sitesystemen of onderdelen in de site, gebruiken ze een van de volgende protocollen, afhankelijk van hoe u de site configureert:
Server message block (SMB)
HTTP
HTTPS
Met uitzondering van communicatie van de siteserver naar een distributiepunt, kan server-naar-server-communicatie in een site op elk gewenst moment plaatsvinden. Deze communicatie maakt geen gebruik van mechanismen om de netwerkbandbreedte te beheren. Omdat u de communicatie tussen sitesystemen niet kunt beheren, moet u ervoor zorgen dat u sitesysteemservers installeert op locaties met snelle en goed verbonden netwerken.
Siteserver naar distributiepunt
Gebruik de volgende strategieën om de overdracht van inhoud van de siteserver naar distributiepunten te beheren:
Configureer het distributiepunt voor netwerkbandbreedtebeheer en -planning. Deze besturingselementen lijken op de configuraties die worden gebruikt door intersite-adressen. Gebruik deze configuratie in plaats van een andere Configuration Manager site te installeren wanneer de overdracht van inhoud naar externe netwerklocaties uw belangrijkste bandbreedteoverweging is.
U kunt een distributiepunt installeren als een voorbereid distributiepunt. Met een voorbereid distributiepunt kunt u inhoud gebruiken die handmatig op de distributiepuntserver wordt geplaatst en de vereiste voor het overdragen van inhoudsbestanden over het netwerk wordt verwijderd.
Zie Netwerkbandbreedte beheren voor inhoudsbeheer voor meer informatie.
Communicatie van clients naar sitesystemen en -services
Clients starten communicatie met sitesysteemrollen, Active Directory Domain Services en onlineservices. Om deze communicatie in te schakelen, moeten firewalls het netwerkverkeer tussen clients en het eindpunt van hun communicatie toestaan. Zie Poorten die worden gebruikt in Configuration Manager voor meer informatie over poorten en protocollen die door clients worden gebruikt wanneer ze met deze eindpunten communiceren.
Voordat een client kan communiceren met een sitesysteemrol, gebruikt de client servicelocatie om een rol te vinden die het protocol van de client (HTTP of HTTPS) ondersteunt. Clients gebruiken standaard de veiligste methode die voor hen beschikbaar is. Zie Begrijpen hoe clients siteresources en -services vinden voor meer informatie.
Configureer een van de volgende opties om de communicatie tussen Configuration Manager clients en siteservers te beveiligen:
Gebruik een openbare-sleutelinfrastructuur (PKI) en installeer PKI-certificaten op clients en servers. Stel sitesystemen in staat om te communiceren met clients via HTTPS. Zie PKI-certificaatvereisten voor meer informatie over het gebruik van certificaten.
Configureer de site voor het gebruik van Configuration Manager gegenereerde certificaten voor HTTP-sitesystemen. Zie Verbeterde HTTP voor meer informatie.
Wanneer u een sitesysteemrol implementeert die gebruikmaakt van INTERNET Information Services (IIS) en communicatie van clients ondersteunt, moet u opgeven of clients verbinding maken met het sitesysteem via HTTP of HTTPS. Als u HTTP gebruikt, moet u ook kiezen voor ondertekening en versleuteling. Zie Planning voor ondertekening en versleuteling voor meer informatie.
Belangrijk
Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.
Client-naar-beheerpuntcommunicatie
Er zijn twee fasen waarin een client communiceert met een beheerpunt: verificatie (transport) en autorisatie (bericht). Dit proces is afhankelijk van de volgende factoren:
- Siteconfiguratie: alleen HTTPS, staat HTTP of HTTPS toe of staat HTTP of HTTPS toe met verbeterde HTTP ingeschakeld
- Configuratie van beheerpunt: HTTPS of HTTP
- Apparaat-id voor apparaatgerichte scenario's
- Gebruikersidentiteit voor gebruikersgerichte scenario's
Gebruik de volgende tabel om te begrijpen hoe dit proces werkt:
MP-type | Clientverificatie | Clientautorisatie Apparaat-id |
Clientautorisatie Gebruikersidentiteit |
---|---|---|---|
HTTP | Anoniem Met verbeterde HTTP controleert de site het Microsoft Entra-id-gebruiker- of apparaattoken. |
Locatieaanvraag: Anoniem Clientpakket: Anoniem Registratie, met behulp van een van de volgende methoden om de identiteit van het apparaat te bewijzen: - Anoniem (handmatige goedkeuring) - Geïntegreerde Windows-verificatie - Microsoft Entra id-apparaattoken (verbeterde HTTP) Na de registratie gebruikt de client berichtondertekening om de apparaatidentiteit te bewijzen |
Gebruik voor gebruikersgerichte scenario's een van de volgende methoden om de gebruikersidentiteit te bewijzen: - Geïntegreerde Windows-verificatie - Microsoft Entra id-gebruikerstoken (verbeterde HTTP) |
HTTPS | Gebruik een van de volgende methoden: - PKI-certificaat - Geïntegreerde Windows-verificatie - Microsoft Entra id-gebruiker of apparaattoken |
Locatieaanvraag: Anoniem Clientpakket: Anoniem Registratie, met behulp van een van de volgende methoden om de identiteit van het apparaat te bewijzen: - Anoniem (handmatige goedkeuring) - Geïntegreerde Windows-verificatie - PKI-certificaat - Microsoft Entra id-gebruiker of apparaattoken Na de registratie gebruikt de client berichtondertekening om de apparaatidentiteit te bewijzen |
Gebruik voor gebruikersgerichte scenario's een van de volgende methoden om de gebruikersidentiteit te bewijzen: - Geïntegreerde Windows-verificatie - Microsoft Entra id-gebruikerstoken |
Tip
Zie Beheerpunt inschakelen voor HTTPS voor meer informatie over de configuratie van het beheerpunt voor verschillende apparaatidentiteitstypen en met de cloudbeheergateway.
Client-naar-distributiepuntcommunicatie
Wanneer een client communiceert met een distributiepunt, hoeft deze zich alleen te verifiëren voordat de inhoud wordt gedownload. Gebruik de volgende tabel om te begrijpen hoe dit proces werkt:
DP-type | Clientverificatie |
---|---|
HTTP | - Anoniem, indien toegestaan - Geïntegreerde Windows-verificatie met computeraccount of netwerktoegangsaccount - Toegangstoken voor inhoud (verbeterde HTTP) |
HTTPS | - PKI-certificaat - Geïntegreerde Windows-verificatie met computeraccount of netwerktoegangsaccount - Toegangstoken voor inhoud |
Overwegingen voor clientcommunicatie via internet of een niet-vertrouwd forest
Zie de volgende artikelen voor meer informatie:
Communicatie tussen Active Directory-forests
Configuration Manager ondersteunt sites en hiërarchieën die Active Directory-forests omvatten. Het ondersteunt ook domeincomputers die zich niet in hetzelfde Active Directory-forest bevinden als de siteserver en computers die zich in werkgroepen bevinden.
Ondersteuning voor domeincomputers in een forest dat niet wordt vertrouwd door het forest van uw siteserver
Sitesysteemrollen installeren in dat niet-vertrouwde forest, met de optie om site-informatie te publiceren naar dat Active Directory-forest
Deze computers beheren alsof het werkgroepcomputers zijn
Wanneer u sitesysteemservers installeert in een niet-vertrouwd Active Directory-forest, wordt de client-naar-server-communicatie van clients in dat forest bewaard en kan Configuration Manager de computer verifiëren met behulp van Kerberos. Wanneer u site-informatie publiceert naar het forest van de client, profiteren clients van het ophalen van site-informatie, zoals een lijst met beschikbare beheerpunten, uit hun Active Directory-forest, in plaats van deze informatie te downloaden van hun toegewezen beheerpunt.
Opmerking
Als u apparaten wilt beheren die zich op internet bevinden, kunt u op internet gebaseerde sitesysteemrollen installeren in uw perimeternetwerk wanneer de sitesysteemservers zich in een Active Directory-forest bevinden. Voor dit scenario is geen tweerichtingsvertrouwen tussen het perimeternetwerk en het forest van de siteserver vereist.
Computers in een werkgroep ondersteunen
Werkgroepcomputers handmatig goedkeuren wanneer ze HTTP-clientverbindingen met sitesysteemrollen gebruiken. Configuration Manager kunt deze computers niet verifiëren met behulp van Kerberos.
Configureer werkgroepclients om het netwerktoegangsaccount te gebruiken, zodat deze computers inhoud van distributiepunten kunnen ophalen.
Bied een alternatief mechanisme voor werkgroepclients om beheerpunten te vinden. Gebruik DNS-publicatie of wijs rechtstreeks een beheerpunt toe. Deze clients kunnen geen site-informatie ophalen uit Active Directory Domain Services.
Zie de volgende artikelen voor meer informatie:
Scenario's ter ondersteuning van een site of hiërarchie die meerdere domeinen en forests omvat
Scenario 1: Communicatie tussen sites in een hiërarchie die forests omspant
Voor dit scenario is een forestvertrouwensrelatie in twee richtingen vereist die Kerberos-verificatie ondersteunt. Als u geen tweerichtingsforestvertrouwensrelatie hebt die Kerberos-verificatie ondersteunt, biedt Configuration Manager geen ondersteuning voor een onderliggende site in het externe forest.
Configuration Manager ondersteunt het installeren van een onderliggende site in een extern forest met de vereiste tweerichtingsvertrouwensrelatie met het forest van de bovenliggende site. U kunt bijvoorbeeld een secundaire site in een ander forest van de primaire bovenliggende site plaatsen zolang de vereiste vertrouwensrelatie bestaat.
Opmerking
Een onderliggende site kan een primaire site zijn (waarbij de centrale beheersite de bovenliggende site is) of een secundaire site.
Communicatie tussen sites in Configuration Manager maakt gebruik van databasereplicatie en bestandsoverdrachten. Wanneer u een site installeert, moet u een account opgeven waarmee de site op de aangewezen server moet worden geïnstalleerd. Met dit account wordt ook de communicatie tussen sites tot stand gebracht en onderhouden. Nadat de site bestandsgebaseerde overdrachten en databasereplicatie heeft geïnstalleerd en gestart, hoeft u niets anders te configureren voor communicatie met de site.
Wanneer er een tweerichtingsforestvertrouwensrelatie bestaat, hoeft Configuration Manager geen extra configuratiestappen te volgen.
Wanneer u een nieuwe onderliggende site installeert, configureert Configuration Manager standaard de volgende onderdelen:
Een replicatieroute op basis van een intersitebestand op elke site die gebruikmaakt van het computeraccount van de siteserver. Configuration Manager voegt het computeraccount van elke computer toe aan de groep SMS_SiteToSiteConnection_<sitecode> op de doelcomputer.
Databasereplicatie tussen de SQL-servers op elke site.
Stel ook de volgende configuraties in:
Tussenliggende firewalls en netwerkapparaten moeten de netwerkpakketten toestaan die Configuration Manager vereist.
Naamomzetting moet tussen de forests werken.
Als u een site- of sitesysteemrol wilt installeren, moet u een account opgeven met lokale beheerdersmachtigingen op de opgegeven computer.
Scenario 2: Communicatie op een site die forests omspant
Voor dit scenario is geen forestvertrouwensrelatie in twee richtingen vereist.
Primaire sites ondersteunen de installatie van sitesysteemrollen op computers in externe forests.
- Wanneer een sitesysteemrol verbindingen van internet accepteert, installeert u de sitesysteemrollen als aanbevolen procedure voor beveiliging op een locatie waar de forestgrens bescherming biedt voor de siteserver (bijvoorbeeld in een perimeternetwerk).
Een sitesysteemrol installeren op een computer in een niet-vertrouwd forest:
Geef een sitesysteeminstallatieaccount op dat de site gebruikt om de sitesysteemrol te installeren. (Dit account moet lokale beheerdersreferenties hebben om verbinding te maken.) Installeer vervolgens sitesysteemrollen op de opgegeven computer.
Selecteer de optie Sitesysteem Vereisen dat de siteserver verbindingen met dit sitesysteem initieert. Deze instelling vereist dat de siteserver verbindingen tot stand brengt met de sitesysteemserver om gegevens over te dragen. Deze configuratie voorkomt dat de computer op de niet-vertrouwde locatie contact maakt met de siteserver die zich in uw vertrouwde netwerk bevindt. Deze verbindingen maken gebruik van het installatieaccount van het sitesysteem.
Als u een sitesysteemrol wilt gebruiken die is geïnstalleerd in een niet-vertrouwd forest, moeten firewalls het netwerkverkeer toestaan, zelfs wanneer de siteserver de overdracht van gegevens initieert.
Daarnaast is voor de volgende sitesysteemrollen directe toegang tot de sitedatabase vereist. Daarom moeten firewalls toepasselijk verkeer van het niet-vertrouwde forest naar de SQL Server van de site toestaan:
Asset Intelligence-synchronisatiepunt
Endpoint Protection-punt
Inschrijvingspunt
Beheerpunt
Reporting Service-punt
Statusmigratiepunt
Zie Poorten die worden gebruikt in Configuration Manager voor meer informatie.
Mogelijk moet u het beheerpunt en de toegang tot het inschrijvingspunt tot de sitedatabase configureren.
Wanneer u deze rollen installeert, configureert Configuration Manager standaard het computeraccount van de nieuwe sitesysteemserver als het verbindingsaccount voor de sitesysteemrol. Vervolgens wordt het account toegevoegd aan de juiste SQL Server databaserol.
Wanneer u deze sitesysteemrollen installeert in een niet-vertrouwd domein, configureert u het verbindingsaccount voor de sitesysteemrol om de sitesysteemrol in staat te stellen informatie op te halen uit de database.
Als u een domeingebruikersaccount configureert als het verbindingsaccount voor deze sitesysteemrollen, moet u ervoor zorgen dat het domeingebruikersaccount de juiste toegang heeft tot de SQL Server database op die site:
Beheerpunt: Verbindingsaccount voor beheerpuntdatabase
Inschrijvingspunt: Verbindingsaccount voor het inschrijvingspunt
Houd rekening met de volgende aanvullende informatie wanneer u sitesysteemrollen in andere forests plant:
Als u Windows Firewall uitvoert, configureert u de toepasselijke firewallprofielen voor communicatie tussen de sitedatabaseserver en computers die zijn geïnstalleerd met externe sitesysteemrollen.
Wanneer het beheerpunt op internet het forest vertrouwt dat de gebruikersaccounts bevat, wordt gebruikersbeleid ondersteund. Wanneer er geen vertrouwensrelatie bestaat, wordt alleen computerbeleid ondersteund.
Scenario 3: Communicatie tussen clients en sitesysteemrollen wanneer de clients zich niet in hetzelfde Active Directory-forest bevinden als hun siteserver
Configuration Manager ondersteunt de volgende scenario's voor clients die zich niet in hetzelfde forest bevinden als de siteserver van hun site:
Er is een tweerichtingsvertrouwensrelatie tussen het forest van de client en het forest van de siteserver.
De sitesysteemfunctieserver bevindt zich in hetzelfde forest als de client.
De client bevindt zich op een domeincomputer die geen tweerichtingsforestvertrouwensrelatie met de siteserver heeft en sitesysteemrollen worden niet geïnstalleerd in het forest van de client.
De client bevindt zich op een werkgroepcomputer.
Clients op een computer die lid is van een domein, kunnen Active Directory Domain Services voor servicelocatie gebruiken wanneer hun site wordt gepubliceerd naar hun Active Directory-forest.
Site-informatie publiceren naar een ander Active Directory-forest:
Geef het forest op en schakel vervolgens publiceren naar dat forest in het knooppunt Active Directory-forests van de werkruimte Beheer in.
Configureer elke site om de gegevens te publiceren naar Active Directory Domain Services. Met deze configuratie kunnen clients in dat forest sitegegevens ophalen en beheerpunten vinden. Voor clients die geen gebruik kunnen maken van Active Directory Domain Services voor servicelocatie, kunt u DNS of het toegewezen beheerpunt van de client gebruiken.
Scenario 4: De Exchange Server-connector in een extern forest plaatsen
Ter ondersteuning van dit scenario moet u ervoor zorgen dat naamomzetting werkt tussen de forests. Configureer bijvoorbeeld DNS-doorsturen. Wanneer u de Exchange Server-connector configureert, geeft u de intranet-FQDN van de Exchange Server op. Zie Mobiele apparaten beheren met Configuration Manager en Exchange voor meer informatie.