Comunicações entre pontos finais no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Este artigo descreve como Configuration Manager sistemas de sites e clientes comunicam através da sua rede. Inclui as seguintes secções:

• Comunicações entre sistemas de sites num site

  • Servidor do site para ponto de distribuição

• Comunicações de clientes para sistemas de sites e serviços

  • Comunicação cliente para ponto de gestão
  • Comunicação cliente para ponto de distribuição
  • Considerações para comunicações de cliente a partir da Internet ou de uma floresta não fidedigna

• Comunicações entre florestas do Active Directory

  • Suportar computadores de domínio numa floresta que não seja considerada fidedigna pela floresta do servidor do site
  • Computadores de suporte num grupo de trabalho
  • Cenários para suportar um site ou hierarquia que abrange vários domínios e florestas

Comunicações entre sistemas de sites num site

Quando Configuration Manager sistemas de sites ou componentes comunicam através da rede com outros sistemas de sites ou componentes no site, utilizam um dos seguintes protocolos, consoante a forma como configura o site:

• Bloco de mensagens do servidor (SMB)

• HTTP

• HTTPS

Com exceção da comunicação do servidor do site para um ponto de distribuição, as comunicações servidor a servidor num site podem ocorrer em qualquer altura. Estas comunicações não utilizam mecanismos para controlar a largura de banda de rede. Uma vez que não consegue controlar a comunicação entre sistemas de sites, certifique-se de que instala servidores do sistema de sites em localizações que tenham redes rápidas e bem ligadas.

Servidor do site para ponto de distribuição

Para o ajudar a gerir a transferência de conteúdos do servidor do site para pontos de distribuição, utilize as seguintes estratégias:

• Configure o ponto de distribuição para o controlo de largura de banda de rede e o agendamento. Estes controlos assemelham-se às configurações utilizadas pelos endereços entre sites. Utilize esta configuração em vez de instalar outro site Configuration Manager quando a transferência de conteúdo para localizações de rede remota for a sua main consideração de largura de banda.

• Pode instalar um ponto de distribuição como um ponto de distribuição pré-configurado. Um ponto de distribuição pré-configurado permite-lhe utilizar conteúdo que é colocado manualmente no servidor do ponto de distribuição e remove o requisito de transferência de ficheiros de conteúdo através da rede.

Para obter mais informações, veja Gerir a largura de banda de rede para a gestão de conteúdos.

Comunicações de clientes para sistemas de sites e serviços

Os clientes iniciam a comunicação com funções do sistema de sites, Active Directory Domain Services e serviços online. Para ativar estas comunicações, as firewalls têm de permitir o tráfego de rede entre os clientes e o ponto final das comunicações. Para obter mais informações sobre portas e protocolos utilizados pelos clientes quando comunicam com estes pontos finais, veja Portas utilizadas no Configuration Manager.

Antes de um cliente poder comunicar com uma função do sistema de sites, o cliente utiliza a localização do serviço para encontrar uma função que suporte o protocolo do cliente (HTTP ou HTTPS). Por predefinição, os clientes utilizam o método mais seguro que está disponível para os mesmos. Para obter mais informações, veja Compreender como os clientes encontram recursos e serviços do site.

Para ajudar a proteger a comunicação entre clientes Configuration Manager e servidores do site, configure uma das seguintes opções:

• Utilize uma infraestrutura de chaves públicas (PKI) e instale certificados PKI em clientes e servidores. Permitir que os sistemas de sites comuniquem com clientes através de HTTPS. Para obter informações sobre como utilizar certificados, veja Requisitos de certificado PKI.

• Configure o site para Utilizar certificados gerados Configuration Manager para sistemas de sites HTTP. Para obter mais informações, veja HTTP avançado.

Quando implementa uma função do sistema de sites que utiliza os Serviços de Informação Internet (IIS) e suporta a comunicação dos clientes, tem de especificar se os clientes se ligam ao sistema de sites através de HTTP ou HTTPS. Se utilizar HTTP, também tem de considerar as opções de assinatura e encriptação. Para obter mais informações, veja Planear a assinatura e a encriptação.

Importante

A partir do Configuration Manager versão 2103, os sites que permitem a comunicação de cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP Avançado. Para obter mais informações, consulte Ativar o site para HTTPS apenas ou HTTP melhorado.

Comunicação cliente para ponto de gestão

Existem duas fases em que um cliente comunica com um ponto de gestão: autenticação (transporte) e autorização (mensagem). Este processo varia consoante os seguintes fatores:

• Configuração do site: apenas HTTPS, permite HTTP ou HTTPS, ou permite HTTP ou HTTPS com HTTP melhorado ativado
• Configuração do ponto de gestão: HTTPS ou HTTP
• Identidade do dispositivo para cenários centrados no dispositivo
• Identidade do utilizador para cenários centrados no utilizador

Utilize a tabela seguinte para compreender como funciona este processo:

Tipo de MP	Autenticação de cliente	Autorização do cliente Identidade do dispositivo	Autorização do cliente Identidade do utilizador
HTTP	Anônimo Com o HTTP Avançado, o site verifica o Microsoft Entra ID token de utilizador ou dispositivo.	Pedido de localização: Anónimo Pacote de cliente: Anónimo Registo, utilizando um dos seguintes métodos para provar a identidade do dispositivo: - Anónimo (aprovação manual) - Autenticação integrada no Windows - Microsoft Entra ID token de dispositivo (HTTP avançado) Após o registo, o cliente utiliza a assinatura de mensagens para provar a identidade do dispositivo	Para cenários centrados no utilizador, utilize um dos seguintes métodos para provar a identidade do utilizador: - Autenticação integrada no Windows - Microsoft Entra ID token de utilizador (HTTP Avançado)
HTTPS	Utilizar um dos seguintes métodos: - Certificado PKI - Autenticação integrada no Windows - Microsoft Entra ID token de utilizador ou dispositivo	Pedido de localização: Anónimo Pacote de cliente: Anónimo Registo, utilizando um dos seguintes métodos para provar a identidade do dispositivo: - Anónimo (aprovação manual) - Autenticação integrada no Windows - Certificado PKI - Microsoft Entra ID token de utilizador ou dispositivo Após o registo, o cliente utiliza a assinatura de mensagens para provar a identidade do dispositivo	Para cenários centrados no utilizador, utilize um dos seguintes métodos para provar a identidade do utilizador: - Autenticação integrada no Windows - Microsoft Entra ID token de utilizador

Dica

Para obter mais informações sobre a configuração do ponto de gestão para diferentes tipos de identidade de dispositivos e com o gateway de gestão da cloud, veja Ativar o ponto de gestão para HTTPS.

Comunicação cliente para ponto de distribuição

Quando um cliente comunica com um ponto de distribuição, só precisa de se autenticar antes de transferir o conteúdo. Utilize a tabela seguinte para compreender como funciona este processo:

Tipo de DP	Autenticação de cliente
HTTP	- Anónimo, se permitido - Autenticação integrada do Windows com conta de computador ou conta de acesso à rede - Token de acesso ao conteúdo (HTTP Avançado)
HTTPS	- Certificado PKI - Autenticação integrada do Windows com conta de computador ou conta de acesso à rede - Token de acesso ao conteúdo

Considerações para comunicações de cliente a partir da Internet ou de uma floresta não fidedigna

Para saber mais, confira os seguintes artigos:

• Descrição geral do gateway de gestão da cloud

• Planejar o gerenciamento de clientes baseado na Internet

Comunicações entre florestas do Active Directory

Configuration Manager suporta sites e hierarquias que abrangem florestas do Active Directory. Também suporta computadores de domínio que não estão na mesma floresta do Active Directory que o servidor do site e computadores que estão em grupos de trabalho.

Suportar computadores de domínio numa floresta que não seja considerada fidedigna pela floresta do servidor do site

• Instalar funções do sistema de sites nessa floresta não fidedigna, com a opção de publicar informações do site nessa floresta do Active Directory

• Gerir estes computadores como se fossem computadores de grupo de trabalho

Quando instala servidores do sistema de sites numa floresta do Active Directory não fidedigna, a comunicação cliente a servidor dos clientes nessa floresta é mantida nessa floresta e Configuration Manager pode autenticar o computador com o Kerberos. Quando publica informações do site na floresta do cliente, os clientes beneficiam da obtenção de informações do site, como uma lista de pontos de gestão disponíveis, da floresta do Active Directory, em vez de transferirem estas informações a partir do ponto de gestão atribuído.

Observação

Se quiser gerir dispositivos que estão na Internet, pode instalar funções do sistema de sites baseadas na Internet na sua rede de perímetro quando os servidores do sistema de sites estiverem numa floresta do Active Directory. Este cenário não requer confiança bidirecional entre a rede de perímetro e a floresta do servidor do site.

Computadores de suporte num grupo de trabalho

• Aprovar manualmente computadores de grupo de trabalho quando utilizam ligações de cliente HTTP para funções do sistema de sites. Configuration Manager não consegue autenticar estes computadores com o Kerberos.

• Configure os clientes do grupo de trabalho para utilizarem a Conta de Acesso à Rede para que estes computadores possam obter conteúdo a partir de pontos de distribuição.

• Forneça um mecanismo alternativo para os clientes do grupo de trabalho encontrarem pontos de gestão. Utilize a publicação DNS ou atribua diretamente um ponto de gestão. Estes clientes não conseguem obter informações do site a partir de Active Directory Domain Services.

Para saber mais, confira os seguintes artigos:

• Gerir registos em conflito

• Conta de acesso à rede

• Como instalar clientes Configuration Manager em computadores de grupo de trabalho

Cenários para suportar um site ou hierarquia que abrange vários domínios e florestas

Cenário 1: comunicação entre sites numa hierarquia que abrange florestas

Este cenário requer uma fidedignidade de floresta bidirecional que suporte a autenticação Kerberos. Se não tiver uma fidedignidade de floresta bidirecional que suporte a autenticação Kerberos, Configuration Manager não suporta um site subordinado na floresta remota.

Configuration Manager suporta a instalação de um site subordinado numa floresta remota que tenha a confiança bidirecional necessária com a floresta do site principal. Por exemplo, pode colocar um site secundário numa floresta diferente do respetivo site principal primário, desde que exista a confiança necessária.

Observação

Um site subordinado pode ser um site primário (onde o site de administração central é o site principal) ou um site secundário.

A comunicação entre sites no Configuration Manager utiliza a replicação de base de dados e as transferências baseadas em ficheiros. Quando instala um site, tem de especificar uma conta para instalar o site no servidor designado. Esta conta também estabelece e mantém a comunicação entre sites. Depois de o site instalar e iniciar com êxito transferências baseadas em ficheiros e replicação de base de dados, não tem de configurar mais nada para comunicação com o site.

Quando existe uma fidedignidade de floresta bidirecional, Configuration Manager não requer passos de configuração adicionais.

Por predefinição, quando instala um novo site subordinado, Configuration Manager configura os seguintes componentes:

• Uma rota de replicação baseada em ficheiros entre sites em cada site que utiliza a conta de computador do servidor do site. Configuration Manager adiciona a conta de computador de cada computador ao grupo SMS_SiteToSiteConnection_<sitecode> no computador de destino.

• Replicação de base de dados entre os SQL Servers em cada site.

Defina também as seguintes configurações:

• As firewalls intervenientes e os dispositivos de rede têm de permitir os pacotes de rede necessários Configuration Manager.

• A resolução de nomes tem de funcionar entre as florestas.

• Para instalar uma função de site ou sistema de sites, tem de especificar uma conta que tenha permissões de administrador local no computador especificado.

Cenário 2: Comunicação num site que abrange florestas

Este cenário não requer uma fidedignidade de floresta bidirecional.

Os sites primários suportam a instalação de funções do sistema de sites em computadores em florestas remotas.

• Quando uma função do sistema de sites aceita ligações da Internet, como melhor prática de segurança, instale as funções do sistema de sites numa localização onde o limite de floresta fornece proteção para o servidor do site (por exemplo, numa rede de perímetro).

Para instalar uma função do sistema de sites num computador numa floresta não fidedigna:

• Especifique uma Conta de Instalação do Sistema de Sites, que o site utiliza para instalar a função do sistema de sites. (Esta conta tem de ter credenciais administrativas locais às quais ligar.) Em seguida, instale as funções do sistema de sites no computador especificado.

• Selecione a opção sistema de sites Exigir que o servidor do site inicie ligações a este sistema de sites. Esta definição requer que o servidor do site estabeleça ligações ao servidor do sistema de sites para transferir dados. Esta configuração impede que o computador na localização não fidedigna inicie o contacto com o servidor do site que está dentro da sua rede fidedigna. Estas ligações utilizam a Conta de Instalação do Sistema de Sites.

Para utilizar uma função do sistema de sites que foi instalada numa floresta não fidedigna, as firewalls têm de permitir o tráfego de rede mesmo quando o servidor do site inicia a transferência de dados.

Além disso, as seguintes funções do sistema de sites requerem acesso direto à base de dados do site. Por conseguinte, as firewalls têm de permitir o tráfego aplicável da floresta não fidedigna para o SQL Server do site:

• Ponto de sincronização do Asset Intelligence

• Ponto do Endpoint Protection

• Ponto de inscrição

• Ponto de gerenciamento

• Ponto de serviço de relatórios

• Ponto de migração de estado

Para obter mais informações, veja Portas utilizadas no Configuration Manager.

Poderá ter de configurar o ponto de gestão e o acesso do ponto de inscrição à base de dados do site.

• Por predefinição, quando instala estas funções, Configuration Manager configura a conta de computador do novo servidor do sistema de sites como a conta de ligação para a função do sistema de sites. Em seguida, adiciona a conta à função de base de dados SQL Server adequada.

• Quando instalar estas funções do sistema de sites num domínio não fidedigno, configure a conta de ligação da função do sistema de sites para permitir que a função do sistema de sites obtenha informações da base de dados.

Se configurar uma conta de utilizador de domínio para ser a conta de ligação para estas funções do sistema de sites, confirme que a conta de utilizador do domínio tem acesso adequado à base de dados SQL Server nesse site:

• Ponto de gestão: Conta de Ligação da Base de Dados do Ponto de Gestão

• Ponto de inscrição: Conta de Ligação do Ponto de Registo

Considere as seguintes informações adicionais quando planear funções do sistema de sites noutras florestas:

• Se executar a Firewall do Windows, configure os perfis de firewall aplicáveis para transmitir comunicações entre o servidor da base de dados do site e os computadores instalados com funções de sistema de sites remotos.

• Quando o ponto de gestão baseado na Internet confia na floresta que contém as contas de utilizador, as políticas de utilizador são suportadas. Quando não existe fidedignidade, apenas são suportadas políticas de computador.

Cenário 3: Comunicação entre clientes e funções do sistema de sites quando os clientes não estão na mesma floresta do Active Directory que o servidor do site

Configuration Manager suporta os seguintes cenários para clientes que não estão na mesma floresta que o servidor do site do respetivo site:

• Existe uma confiança de floresta bidirecional entre a floresta do cliente e a floresta do servidor do site.

• O servidor de função do sistema de sites está localizado na mesma floresta que o cliente.

• O cliente está num computador de domínio que não tem uma fidedignidade de floresta bidirecional com o servidor do site e as funções do sistema de sites não estão instaladas na floresta do cliente.

• O cliente está num computador de grupo de trabalho.

Os clientes num computador associado a um domínio podem utilizar Active Directory Domain Services para localização de serviço quando o respetivo site é publicado na respetiva floresta do Active Directory.

Para publicar informações do site noutra floresta do Active Directory:

• Especifique a floresta e, em seguida, ative a publicação nessa floresta no nó Florestas do Active Directory da área de trabalho Administração .

• Configure cada site para publicar os respetivos dados no Active Directory Domain Services. Esta configuração permite que os clientes nessa floresta obtenham informações do site e encontrem pontos de gestão. Para clientes que não podem utilizar Active Directory Domain Services para a localização do serviço, pode utilizar o DNS ou o ponto de gestão atribuído do cliente.

Cenário 4: Colocar o conector Exchange Server numa floresta remota

Para suportar este cenário, certifique-se de que a resolução de nomes funciona entre as florestas. Por exemplo, configure reencaminhamentos de DNS. Quando configurar o conector Exchange Server, especifique o FQDN da intranet do Exchange Server. Para obter mais informações, consulte Gerir dispositivos móveis com o Configuration Manager e o Exchange.

Confira também

• Planejar a segurança

• Segurança e privacidade para clientes Configuration Manager