Comunicações entre pontos de extremidade no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Este artigo descreve como Configuration Manager sistemas de sites e clientes se comunicam em toda a rede. Ele inclui as seguintes seções:

• Comunicações entre sistemas de site em um site

  • Servidor de site para ponto de distribuição

• Comunicações de clientes para sistemas de sites e serviços

  • Comunicação de ponto de gerenciamento do cliente para o gerenciamento
  • Comunicação cliente a ponto de distribuição
  • Considerações sobre comunicações de cliente da Internet ou de uma floresta não confiável

• Comunicações em florestas do Active Directory

  • Suporte a computadores de domínio em uma floresta que não é confiável pela floresta do servidor do site
  • Suporte a computadores em um grupo de trabalho
  • Cenários para dar suporte a um site ou hierarquia que abrange vários domínios e florestas

Comunicações entre sistemas de site em um site

Quando Configuration Manager sistemas de site ou componentes se comunicam em toda a rede com outros sistemas de site ou componentes no site, eles usam um dos seguintes protocolos, dependendo de como você configurar o site:

• SMB (bloco de mensagens do servidor)

• HTTP

• HTTPS

Com exceção da comunicação do servidor do site para um ponto de distribuição, as comunicações servidor a servidor em um site podem ocorrer a qualquer momento. Essas comunicações não usam mecanismos para controlar a largura de banda de rede. Como você não pode controlar a comunicação entre sistemas de site, verifique se você instala servidores do sistema de sites em locais com redes rápidas e bem conectadas.

Servidor de site para ponto de distribuição

Para ajudar você a gerenciar a transferência de conteúdo do servidor do site para os pontos de distribuição, use as seguintes estratégias:

• Configure o ponto de distribuição para controle e agendamento de largura de banda de rede. Esses controles se assemelham às configurações usadas por endereços intersites. Use essa configuração em vez de instalar outro site Configuration Manager quando a transferência de conteúdo para locais de rede remota for sua main consideração de largura de banda.

• Você pode instalar um ponto de distribuição como um ponto de distribuição pré-configurado. Um ponto de distribuição com prestaged permite que você use o conteúdo que é colocado manualmente no servidor de ponto de distribuição e remove o requisito de transferir arquivos de conteúdo pela rede.

Para obter mais informações, consulte Gerenciar largura de banda de rede para gerenciamento de conteúdo.

Comunicações de clientes para sistemas de sites e serviços

Os clientes iniciam a comunicação com funções do sistema de sites, Active Directory Domain Services e serviços online. Para habilitar essas comunicações, os firewalls devem permitir o tráfego de rede entre clientes e o ponto de extremidade de suas comunicações. Para obter mais informações sobre portas e protocolos usados pelos clientes quando eles se comunicam com esses pontos de extremidade, consulte Portas usadas em Configuration Manager.

Antes que um cliente possa se comunicar com uma função de sistema de site, o cliente usa o local de serviço para encontrar uma função compatível com o protocolo do cliente (HTTP ou HTTPS). Por padrão, os clientes usam o método mais seguro que está disponível para eles. Para obter mais informações, confira Entender como os clientes encontram recursos e serviços do site.

Para ajudar a proteger a comunicação entre Configuration Manager clientes e servidores de site, configure uma das seguintes opções:

• Use uma PKI (infraestrutura de chave pública) e instale certificados PKI em clientes e servidores. Permitir que os sistemas de site se comuniquem com clientes por https. Para obter informações sobre como usar certificados, consulte Requisitos de certificado PKI.

• Configure o site para Usar certificados gerados por Configuration Manager para sistemas de sites HTTP. Para obter mais informações, consulte HTTP aprimorado.

Ao implantar uma função de sistema de site que usa o IIS (Internet Information Services) e dá suporte à comunicação dos clientes, você deve especificar se os clientes se conectam ao sistema de sites usando HTTP ou HTTPS. Se você usar HTTP, também deve considerar as opções de assinatura e criptografia. Para obter mais informações, consulte Planejamento para assinatura e criptografia.

Importante

A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.

Comunicação de ponto de gerenciamento do cliente para o gerenciamento

Há dois estágios em que um cliente se comunica com um ponto de gerenciamento: autenticação (transporte) e autorização (mensagem). Esse processo varia dependendo dos seguintes fatores:

• Configuração do site: somente HTTPS, permite HTTP ou HTTPS ou permite HTTP ou HTTPS com HTTP aprimorado habilitado
• Configuração do ponto de gerenciamento: HTTPS ou HTTP
• Identidade do dispositivo para cenários centrados no dispositivo
• Identidade do usuário para cenários centrados no usuário

Use a tabela a seguir para entender como esse processo funciona:

Tipo MP	Autenticação do cliente	Autorização do cliente Identidade do dispositivo	Autorização do cliente Identidade do usuário
HTTP	Anônimo Com HTTP aprimorado, o site verifica o Microsoft Entra token de usuário ou dispositivo de ID.	Solicitação de local: Anônimo Pacote cliente: Anônimo Registro, usando um dos seguintes métodos para provar a identidade do dispositivo: – Anônimo (aprovação manual) - Autenticação integrada ao Windows - Microsoft Entra token de dispositivo ID (HTTP aprimorado) Após o registro, o cliente usa a assinatura de mensagem para provar a identidade do dispositivo	Para cenários centrados no usuário, use um dos seguintes métodos para provar a identidade do usuário: - Autenticação integrada ao Windows - Microsoft Entra token de usuário de ID (HTTP aprimorado)
HTTPS	Usando um dos seguintes métodos: - Certificado PKI - Autenticação integrada ao Windows - Microsoft Entra token de usuário ou dispositivo de ID	Solicitação de local: Anônimo Pacote cliente: Anônimo Registro, usando um dos seguintes métodos para provar a identidade do dispositivo: – Anônimo (aprovação manual) - Autenticação integrada ao Windows - Certificado PKI - Microsoft Entra token de usuário ou dispositivo de ID Após o registro, o cliente usa a assinatura de mensagem para provar a identidade do dispositivo	Para cenários centrados no usuário, use um dos seguintes métodos para provar a identidade do usuário: - Autenticação integrada ao Windows - Microsoft Entra token de usuário de ID

Dica

Para obter mais informações sobre a configuração do ponto de gerenciamento para diferentes tipos de identidade de dispositivo e com o gateway de gerenciamento de nuvem, consulte Habilitar ponto de gerenciamento para HTTPS.

Comunicação cliente a ponto de distribuição

Quando um cliente se comunica com um ponto de distribuição, ele só precisa se autenticar antes de baixar o conteúdo. Use a tabela a seguir para entender como esse processo funciona:

Tipo DP	Autenticação do cliente
HTTP	- Anônimo, se permitido – Autenticação integrada ao Windows com conta de computador ou conta de acesso à rede - Token de acesso ao conteúdo (HTTP aprimorado)
HTTPS	- Certificado PKI – Autenticação integrada ao Windows com conta de computador ou conta de acesso à rede – Token de acesso ao conteúdo

Considerações sobre comunicações de cliente da Internet ou de uma floresta não confiável

Para saber mais, confira os seguintes artigos:

• Visão geral do gateway de gerenciamento de nuvem

• Planejar o gerenciamento de clientes baseado na Internet

Comunicações em florestas do Active Directory

Configuration Manager dá suporte a sites e hierarquias que abrangem florestas do Active Directory. Ele também dá suporte a computadores de domínio que não estão na mesma floresta do Active Directory que o servidor do site e computadores que estão em grupos de trabalho.

Suporte a computadores de domínio em uma floresta que não é confiável pela floresta do servidor do site

• Instalar funções do sistema de sites nessa floresta não confiável, com a opção de publicar informações do site nessa floresta do Active Directory

• Gerenciar esses computadores como se fossem computadores de grupo de trabalho

Quando você instala servidores do sistema de sites em uma floresta do Active Directory não confiável, a comunicação cliente-servidor de clientes nessa floresta é mantida dentro dessa floresta e Configuration Manager pode autenticar o computador usando Kerberos. Quando você publica informações do site na floresta do cliente, os clientes se beneficiam da recuperação de informações do site, como uma lista de pontos de gerenciamento disponíveis, de sua floresta do Active Directory, em vez de baixar essas informações do ponto de gerenciamento atribuído.

Observação

Se você quiser gerenciar dispositivos que estão na Internet, poderá instalar funções do sistema de sites baseadas na Internet em sua rede de perímetro quando os servidores do sistema de sites estiverem em uma floresta do Active Directory. Esse cenário não requer confiança bidirecional entre a rede de perímetro e a floresta do servidor do site.

Suporte a computadores em um grupo de trabalho

• Aprove manualmente computadores de grupo de trabalho quando eles usam conexões de cliente HTTP com funções do sistema de sites. Configuration Manager não pode autenticar esses computadores usando Kerberos.

• Configure clientes de grupo de trabalho para usar a Conta de Acesso à Rede para que esses computadores possam recuperar conteúdo dos pontos de distribuição.

• Forneça um mecanismo alternativo para os clientes do grupo de trabalho encontrarem pontos de gerenciamento. Use a publicação DNS ou atribua diretamente um ponto de gerenciamento. Esses clientes não podem recuperar informações do site de Active Directory Domain Services.

Para saber mais, confira os seguintes artigos:

• Gerenciar registros conflitantes

• Conta de acesso à rede

• Como instalar Configuration Manager clientes em computadores de grupo de trabalho

Cenários para dar suporte a um site ou hierarquia que abrange vários domínios e florestas

Cenário 1: Comunicação entre sites em uma hierarquia que abrange florestas

Esse cenário requer uma confiança de floresta bidirecional que dá suporte à autenticação Kerberos. Se você não tem uma confiança florestal bidirecional que dá suporte à autenticação Kerberos, então Configuration Manager não dá suporte a um local filho na floresta remota.

Configuration Manager dá suporte à instalação de um site filho em uma floresta remota que tenha a confiança bidirecional necessária com a floresta do local pai. Por exemplo, você pode colocar um site secundário em uma floresta diferente de seu site pai primário, desde que exista a confiança necessária.

Observação

Um site filho pode ser um site primário (onde o site de administração central é o site pai) ou um site secundário.

A comunicação entre sites no Configuration Manager usa a replicação de banco de dados e as transferências baseadas em arquivos. Ao instalar um site, você deve especificar uma conta com a qual instalar o site no servidor designado. Essa conta também estabelece e mantém a comunicação entre sites. Depois que o site instala e inicia com êxito transferências baseadas em arquivos e replicação de banco de dados, você não precisa configurar mais nada para comunicação com o site.

Quando existe uma confiança de floresta bidirecional, Configuration Manager não requer nenhuma etapa de configuração adicional.

Por padrão, quando você instala um novo site filho, Configuration Manager configura os seguintes componentes:

• Uma rota de replicação baseada em arquivo intersite em cada site que usa a conta do computador do servidor do site. Configuration Manager adiciona a conta de computador de cada computador ao grupo SMS_SiteToSiteConnection_<sitecode> no computador de destino.

• Replicação de banco de dados entre os SQL Servers em cada site.

Defina também as seguintes configurações:

• A intervenção de firewalls e dispositivos de rede deve permitir os pacotes de rede que Configuration Manager requer.

• A resolução de nomes deve funcionar entre as florestas.

• Para instalar uma função de site ou sistema de site, você deve especificar uma conta que tenha permissões de administrador local no computador especificado.

Cenário 2: Comunicação em um site que abrange florestas

Esse cenário não requer uma confiança de floresta bidirecional.

Os sites primários dão suporte à instalação de funções do sistema de sites em computadores em florestas remotas.

• Quando uma função do sistema de site aceita conexões da Internet, como uma prática recomendada de segurança, instale as funções do sistema de sites em um local onde o limite da floresta fornece proteção para o servidor do site (por exemplo, em uma rede de perímetro).

Para instalar uma função de sistema de site em um computador em uma floresta não confiável:

• Especifique uma Conta de Instalação do Sistema de Site, que o site usa para instalar a função do sistema de sites. (Essa conta deve ter credenciais administrativas locais para se conectar.) Em seguida, instale funções do sistema de sites no computador especificado.

• Selecione a opção sistema de site Exigir que o servidor do site inicie conexões com este sistema de site. Essa configuração exige que o servidor do site estabeleça conexões com o servidor do sistema de sites para transferir dados. Essa configuração impede que o computador no local não confiável inicie contato com o servidor do site que está dentro de sua rede confiável. Essas conexões usam a Conta de Instalação do Sistema de Site.

Para usar uma função do sistema de site instalada em uma floresta não confiável, os firewalls devem permitir o tráfego de rede mesmo quando o servidor do site inicia a transferência de dados.

Além disso, as funções do sistema de site a seguir exigem acesso direto ao banco de dados do site. Portanto, os firewalls devem permitir o tráfego aplicável da floresta não confiável para o SQL Server do site:

• Ponto de sincronização do Asset Intelligence

• Ponto de Proteção de Ponto de Extremidade

• Ponto de registro

• Ponto de gerenciamento

• Ponto de serviço de relatório

• Ponto de migração de estado

Para obter mais informações, consulte Portas usadas em Configuration Manager.

Talvez seja necessário configurar o ponto de gerenciamento e o acesso do ponto de registro ao banco de dados do site.

• Por padrão, quando você instala essas funções, Configuration Manager configura a conta de computador do novo servidor do sistema de sites como a conta de conexão para a função do sistema de site. Em seguida, ele adiciona a conta à função de banco de dados SQL Server apropriada.

• Ao instalar essas funções do sistema de sites em um domínio não confiável, configure a conta de conexão de função do sistema de site para habilitar a função do sistema de sites para obter informações do banco de dados.

Se você configurar uma conta de usuário de domínio para ser a conta de conexão para essas funções do sistema de site, verifique se a conta de usuário de domínio tem acesso apropriado ao banco de dados SQL Server nesse site:

• Ponto de gerenciamento: Conta de conexão de banco de dados de ponto de gerenciamento

• Ponto de registro: Conta de conexão de ponto de registro

Considere as seguintes informações adicionais quando você planeja funções do sistema de sites em outras florestas:

• Se você executar o Firewall do Windows, configure os perfis de firewall aplicáveis para passar comunicações entre o servidor de banco de dados do site e os computadores instalados com funções remotas do sistema de sites.

• Quando o ponto de gerenciamento baseado na Internet confia na floresta que contém as contas de usuário, há suporte para políticas de usuário. Quando não há confiança, há suporte apenas para políticas de computador.

Cenário 3: Comunicação entre clientes e funções do sistema de sites quando os clientes não estão na mesma floresta do Active Directory que seu servidor de site

Configuration Manager dá suporte aos seguintes cenários para clientes que não estão na mesma floresta que o servidor de site do site:

• Há uma confiança de floresta bidirecional entre a floresta do cliente e a floresta do servidor do site.

• O servidor de função do sistema de site está localizado na mesma floresta que o cliente.

• O cliente está em um computador de domínio que não tem uma confiança de floresta bidirecional com o servidor do site e as funções do sistema de site não são instaladas na floresta do cliente.

• O cliente está em um computador de grupo de trabalho.

Os clientes em um computador ingressado no domínio podem usar Active Directory Domain Services para o local de serviço quando seu site é publicado na floresta do Active Directory.

Para publicar informações do site em outra floresta do Active Directory:

• Especifique a floresta e habilite a publicação nessa floresta no nó Florestas do Active Directory do workspace Administração .

• Configure cada site para publicar seus dados para Active Directory Domain Services. Essa configuração permite que os clientes nessa floresta recuperem informações do site e encontrem pontos de gerenciamento. Para clientes que não podem usar Active Directory Domain Services para o local do serviço, você pode usar o DNS ou o ponto de gerenciamento atribuído pelo cliente.

Cenário 4: Colocar o conector Exchange Server em uma floresta remota

Para dar suporte a esse cenário, verifique se a resolução de nomes funciona entre as florestas. Por exemplo, configure encaminhamentos DNS. Ao configurar o conector Exchange Server, especifique o FQDN de intranet do Exchange Server. Para obter mais informações, consulte Gerenciar dispositivos móveis com Configuration Manager e Exchange.

Confira também

• Planejar a segurança

• Segurança e privacidade para clientes Configuration Manager