客户端如何查找站点资源和服务

适用于: Configuration Manager(current branch)

Configuration Manager客户端使用名为“服务位置”的进程来查找站点系统服务器。 客户端可以与这些服务器通信,并提供客户端可以使用的服务。 若要更好地配置站点以成功支持客户端任务,需要了解客户端如何使用服务位置以及何时使用服务位置查找站点资源。 这些配置可能要求站点与域和网络配置(如Active Directory 域服务和 DNS)交互。 它们还可能要求你配置更复杂的替代项。

提供服务的站点系统角色的一些示例包括:

  • 客户端的核心站点系统服务器。
  • 管理点。
  • 客户端可以与之通信的其他站点系统服务器,例如分发点和软件更新点。

服务位置的基础知识

当客户端使用服务位置来查找要与之通信的管理点时,它会评估以下方面:

  • 当前网络位置
  • 通信协议首选项
  • 分配的站点

客户端与管理点的通信

客户端与管理点 (MP) 进行通信,以便:

  • 下载有关站点的其他管理点的信息。 然后,它会为将来的服务位置周期生成已知管理点列表。 此列表也称为 MP 列表

  • 上传配置详细信息,例如清单和状态。

  • 下载在客户端上设置配置、通知客户端要安装的软件和其他相关任务的策略。

  • 请求有关提供客户端可以使用的服务的其他站点系统角色的信息。 例如,客户端可以安装的软件的分发点,或有关软件更新的元数据的软件更新点。

客户端服务位置请求

Configuration Manager客户端发出服务位置请求:

  • 每 25 小时连续操作一次。

  • 当客户端检测到其网络配置或位置发生更改时。

  • 在计算机上启动 ccmexec.exe 服务时。 此 Windows 服务是核心客户端服务。

  • 当客户端需要查找提供所需服务的站点系统角色时。

站点系统角色的客户端请求

当客户端尝试查找托管角色的服务器时,它会使用服务位置。 它尝试查找支持其通信协议的角色(HTTP 或 HTTPS)。 默认情况下,客户端使用最安全的方法。

  • 若要使用 HTTPS,需要一个公钥基础结构 (PKI) 并在客户端和服务器上安装 PKI 证书。 有关详细信息,请参阅Configuration Manager的 PKI 证书要求

  • 对于使用 IIS 并支持客户端通信的角色,可以将其配置为 HTTP 或 HTTPS。 如果使用 HTTP,还应考虑签名和加密选项。 有关详细信息,请参阅 规划签名和加密

重要

从 Configuration Manager 版本 2103 开始,将弃用允许 HTTP 客户端通信的站点。 为 HTTPS 或增强 HTTP 配置站点。 有关详细信息,请参阅 为仅 HTTPS 或增强的 HTTP 启用站点

确定分配的管理点

主站点支持多个管理点。 每个客户端将一个管理点单独标识为其默认值。 当客户端首次分配给主站点时,它会选择其默认管理点。 然后,此默认管理点将成为该客户端 分配 的管理点。

提示

可以使用客户端安装属性为客户端设置分配的管理点。 有关详细信息,请参阅 客户端安装属性

客户端根据客户端的当前网络位置和边界组配置选择要与之通信的管理点。 即使具有分配的管理点,此服务器也可能不是客户端使用的管理点。

注意

客户端始终对注册消息和某些策略消息使用分配的管理点。 即使将其他通信发送到代理或本地管理点,也会发生此行为。

可以使用首选管理点。 首选管理点是来自客户端分配的站点的管理点,这些管理点与客户端用于查找站点系统服务器的边界组相关联。 首选管理点与边界组的关联类似于分发点或状态迁移点与边界组的关联方式。 如果为层次结构启用首选管理点,则当客户端从其分配的站点使用管理点时,它会尝试使用首选管理点,然后再使用其分配站点中的其他管理点。

提示

可以使用客户端上的注册表项配置配置管理点相关性。 管理点相关性替代分配的管理点的默认行为,并允许客户端使用一个或多个特定的管理点。 有关详细信息,请参阅 Microsoft Premier 工程师的这篇博客文章

每次客户端需要联系管理点时,都会首先检查 MP 列表。 客户端在安装时创建初始 MP 列表。 然后,客户端会定期更新列表,其中包含有关层次结构中每个管理点的详细信息。

当客户端在其 MP 列表中找不到有效的管理点时,它会搜索服务位置源。 它按顺序使用以下源,直到找到可以使用的管理点:

  1. 管理点
  2. Active Directory 域服务 (AD DS)
  3. DNS

客户端成功找到并联系管理点后,会下载可用管理点的当前列表。 然后,它会更新自己的本地 MP 列表。

此过程对于所有客户端都是相同的。 例如,当 Internet 上的Configuration Manager客户端连接到基于 Internet 的管理点时,管理点将向该客户端发送基于 Internet 的可用管理点列表。 不在 Internet 上的客户端仅获取内部管理点的列表。

MP 列表

MP 列表是客户端的首选服务位置源。 它是客户端之前确定的管理点的优先级列表。 客户端根据其当前网络位置对其 MP 列表进行排序。 它将列表本地存储在 WMI 中。

生成初始 MP 列表

在安装客户端期间,客户端使用以下规则来生成其初始 MP 列表:

  • 包括客户端安装期间指定的管理点。 例如,使用 SMSMP 属性或 /mp 参数时。

  • 查询已发布管理点的 AD DS。 客户端从 AD DS 中标识其分配的站点和同一产品版本的管理点。

  • 如果它未从前两个规则获取任何管理点,则客户端会检查 DNS 中是否存在已发布的管理点。

MP 列表类别

客户端使用以下类别来组织其管理点列表:

  • 代理:辅助站点中的管理点。

  • 本地:与客户端的当前网络位置关联的任何管理点(由站点边界定义)。

    • 当客户端属于多个边界组时,它会从包括客户端当前网络位置的所有边界的联合中确定本地管理点的列表。

    • 本地管理点通常是客户端分配的管理点的子集。 除非客户端位于与另一个站点关联的网络位置,否则管理点为其边界组提供服务。

  • 分配:客户端分配的站点中的任何管理点。

可以使用首选管理点。 不与边界组关联或不在与客户端当前网络位置关联的边界组中的站点的管理点不被视为首选。 客户端在找不到可用的首选管理点时使用这些管理点。

选择要使用的管理点

对于典型的通信,客户端尝试根据客户端的网络位置按以下顺序使用管理点:

  1. 代理
  2. 本地
  3. 已分配

客户端始终对注册消息和某些策略消息使用分配的管理点。 即使将其他通信发送到代理或本地管理点,也会发生此行为。

在每个 类别中,客户端尝试根据首选项按以下顺序使用管理点:

  1. 为客户端配置 HTTPS 通信时:
    1. 受信任林或本地林中支持 HTTPS
    2. 不支持 HTTPS 的受信任林或本地林
  2. 受信任林或本地林中支持 HTTP
  3. 不支持 HTTP 的受信任林或本地林

从按首选项排序的管理点集中,客户端尝试使用列表中的第一个管理点。 本已排序的管理点列表是随机的,无法进一步排序。 每次客户端更新其 MP 列表时,列表的顺序都会更改。

当客户端无法联系第一个管理点时,它会尝试其列表中的每个连续管理点。 在尝试非首选管理点之前,它会尝试类别中的每个首选管理点。 如果客户端无法成功与类别中的任何管理点通信,它会尝试联系下一个类别的首选管理点,直到找到要使用的管理点。

客户端与管理点建立通信后,将继续使用该管理点,直到:

  • 在 10 分钟内,客户端无法与管理点通信五次尝试。

然后,客户端随机选择要使用的新管理点。

Active Directory

已加入域的客户端可以将 AD DS 用于服务位置。 此行为要求站点 将数据发布到 Active Directory

满足以下所有条件时,客户端可以使用 AD DS 作为服务位置:

如果客户端找不到用于 AD DS 中的服务位置的管理点,则会尝试使用 DNS。

DNS

Intranet 上的客户端可以使用 DNS 来获取服务位置。 此行为要求层次结构中的至少一个站点将有关管理点的信息发布到 DNS。

如果满足以下任一条件,请考虑使用 DNS 作为服务位置:

  • 尚未扩展 AD DS 架构以支持Configuration Manager。

  • Intranet 上的客户端位于尚未启用发布Configuration Manager的林中。

  • 工作组计算机上有客户端,并且尚未为仅 Internet 客户端管理配置这些客户端。 为 Internet 配置的工作组客户端仅与面向 Internet 的管理点通信,不会将 DNS 用于服务位置。

  • 可以将 客户端配置为从 DNS 查找管理点

当站点将管理点的服务位置记录发布到 DNS 时:

  • 发布仅适用于接受来自 Intranet 的客户端连接的管理点。

  • 发布会在管理点服务器的 DNS 区域中添加服务位置资源记录 (SRV RR) 。 该服务器需要 DNS 中的相应主机条目。

默认情况下,已加入域的客户端在 DNS 中搜索来自客户端本地域的管理点记录。 可以将 客户端安装属性 配置为指定另一个域后缀。

有关详细信息,请参阅 如何配置客户端计算机以使用 DNS 发布查找管理点

将管理点发布到 DNS

若要将管理点发布到 DNS,必须满足以下两个条件:

  • DNS 服务器通过使用至少为 8.1.2 的 BIND 版本来支持服务位置资源记录。

  • Configuration Manager中管理点的指定 Intranet FQDN 具有主机条目 (DNS 中的 A 记录) 。

重要

Configuration Manager DNS 发布不支持不连续的命名空间。 如果有不连续的命名空间,可以手动将管理点发布到 DNS。 还可以使用其他服务位置方法之一。

DNS 配置方案

DNS 服务器支持自动更新

可以将Configuration Manager配置为自动将 Intranet 上的管理点发布到 DNS,也可以手动将这些记录发布到 DNS。 当Configuration Manager将管理点发布到 DNS 时,它会将其 Intranet FQDN 和端口号添加到服务位置 (SRV) 记录。 可以在站点的管理 点组件属性中配置 DNS 发布。 有关详细信息,请参阅 站点组件 - 管理点

对于动态更新,DNS 区域设置为“仅安全”

使用默认权限时,只有第一个管理点可以成功发布到 DNS。

如果只有一个管理点可以成功发布和更改其 DNS 记录,则客户端可以从该管理点获取完整的 MP 列表。 只要发布的管理点正常,客户端就可以找到其首选的管理点。

DNS 服务器不支持自动更新,但支持服务位置记录

在此方案中,手动将管理点发布到 DNS。 (SRV RR) 手动配置服务位置资源记录。 Configuration Manager支持服务位置记录的 RFC 2782。 这些记录采用以下格式: _Service._Protocol.Name TTL Class SRV Priority Weight Port Target

若要将管理点发布到Configuration Manager,请指定以下值:

  • _Service_mssms_mp_<sitecode>。 例如,_mssms_mp_xyz
  • ._Protocol._tcp
  • .名称:指定管理点的 DNS 后缀,例如 contoso.com
  • TTL:使用 14400 四小时。
  • :为 RFC 1035 指定 IN
  • 优先级:Configuration Manager不使用此字段。
  • 权重:Configuration Manager不使用此字段。
  • 端口:指定管理点使用的端口号。 例如, 443 默认情况下,HTTPS。
  • 目标:指定具有管理点角色的站点系统服务器的 Intranet FQDN。

配置 Windows Server DNS

如果使用 Windows Server DNS,请使用以下过程输入 Intranet 管理点的此 DNS 记录。

为网站配置自动发布
  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。

  2. 选择要配置发布的站点。 在功能区中,选择“ 配置站点组件” ,然后选择“ 管理点”。

  3. 选择要发布的管理点。 此选择适用于 AD DS 和 DNS 的发布。

  4. 启用“在 DNS 中发布所选 Intranet 管理点”选项。

将管理点手动发布到 Windows Server 上的 DNS
  1. 在 DNS 管理控制台中,选择管理点计算机的 DNS 区域。

  2. 验证站点系统的 Intranet FQDN 是否有主机记录 (AAAAA) 。 如果此记录不存在,请创建它。

  3. 选择“ 新建其他记录”,选择“ 服务位置 (SRV) ”,然后选择“ 创建记录”。

  4. 指定以下信息,然后选择“ 完成”:

    • :如有必要,请输入管理点的 DNS 后缀,例如 contoso.com
    • 服务_mssms_mp_<sitecode>。 例如,_mssms_mp_xyz
    • 协议._tcp
    • 优先级:Configuration Manager不使用此字段。
    • 权重:Configuration Manager不使用此字段。
    • 端口:指定管理点使用的端口号。 例如, 443 默认情况下,HTTPS。
    • 提供此服务的主机:使用管理点角色指定站点系统服务器的 Intranet FQDN。

对要发布到 DNS 的 Intranet 上每个管理点重复这些步骤。