Configuration Manager 中端點之間的通訊
適用於:Configuration Manager (目前的分支)
本文說明 Configuration Manager 月台系統和用戶端如何跨網路通訊。 它包含下列各節:
月臺系統之間的通訊
當 Configuration Manager 月台系統或元件透過網路與站台中的其他月台系統或元件通訊時,會根據您設定月臺的方式使用下列其中一種通訊協定:
SMB) (伺服器消息塊
HTTP
HTTPS
除了從月臺伺服器到發佈點的通訊,站臺中的伺服器對伺服器通訊隨時都可能發生。 這些通訊不會使用機制來控制網路頻寬。 因為您無法控制月台系統之間的通訊,所以請確定您在具有快速且連線良好的網路的位置安裝站台系統伺服器。
月臺伺服器到發佈點
若要協助您管理從月臺伺服器到發佈點的內容傳輸,請使用下列策略:
設定網路頻寬控制和排程的發佈點。 這些控制件類似於月臺間位址所使用的元件。 當內容傳輸至遠端網路位置是您的主要頻寬考慮時,請使用此設定,而不是安裝另一個 Configuration Manager 月臺。
您可以將發佈點安裝為預先設置的發佈點。 預先設置的發佈點可讓您使用手動放置在發佈點伺服器上的內容,並移除跨網路傳輸內容檔案的需求。
如需詳細資訊,請 參閱管理內容管理的網路頻寬。
從用戶端到月台系統和服務的通訊
用戶端會起始與月台系統角色、Active Directory 網域服務 和 線上服務 的通訊。 若要啟用這些通訊,防火牆必須允許用戶端與其通訊端點之間的網路流量。 如需用戶端與這些端點通訊時所使用之埠和通訊協定的詳細資訊,請參閱 Configuration Manager 中使用的埠。
用戶端可以與月台系統角色通訊之前,用戶端會使用服務位置來尋找支援用戶端通訊協定的角色, (HTTP 或 HTTPS) 。 根據預設,用戶端會使用最安全的方法。 如需詳細資訊,請 參閱瞭解用戶端如何尋找月臺資源和服務。
若要協助保護 Configuration Manager 用戶端與月臺伺服器之間的通訊,請設定下列其中一個選項:
使用公鑰基礎結構 (PKI) ,並在用戶端和伺服器上安裝 PKI 憑證。 讓月台系統透過 HTTPS 與客戶端通訊。 如需如何使用憑證的資訊,請參閱 PKI 憑證需求。
將月臺設定為針對 HTTP 月台系統使用 Configuration Manager 產生的憑證。 如需詳細資訊,請參閱 增強 HTTP。
當您部署使用 Internet Information Services (IIS) 並支援用戶端通訊的月台系統角色時,您必須指定用戶端是否使用 HTTP 或 HTTPS 連線到月台系統。 如果您使用 HTTP,也必須考慮簽署和加密選項。 如需詳細資訊,請參閱 規劃簽署和加密。
重要事項
從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。
用戶端與管理點通訊
用戶端與管理點通訊有兩個階段:驗證 (傳輸) 和授權 (訊息) 。 此程式會根據下列因素而有所不同:
- 月臺設定:僅限 HTTPS、允許 HTTP 或 HTTPS,或允許已啟用增強 HTTP 的 HTTP 或 HTTPS
- 管理點設定:HTTPS 或 HTTP
- 裝置中心的案例裝置身分識別
- 以使用者為中心案例的使用者身分識別
使用下表瞭解此程式的運作方式:
| MP 類型 | 客戶端驗證 | 用戶端授權 裝置身分識別 |
用戶端授權 使用者身分識別 |
|---|---|---|---|
| HTTP | 匿名 透過增強 HTTP,月台會驗證 Microsoft Entra ID 使用者或裝置令牌。 |
位置要求:匿名 用戶端套件:匿名 註冊,使用下列其中一種方法來證明裝置身分識別: - 匿名 (手動核准) - Windows 整合式驗證 - Microsoft Entra ID 增強型 HTTP) (裝置令牌 註冊之後,用戶端會使用訊息簽署來證明裝置身分識別 |
針對以使用者為中心的案例,請使用下列其中一種方法來證明使用者身分識別: - Windows 整合式驗證 - Microsoft Entra ID 增強型 HTTP) (使用者令牌 |
| HTTPS | 使用下列其中一種方法: - PKI 憑證 - Windows 整合式驗證 - Microsoft Entra ID 使用者或裝置令牌 |
位置要求:匿名 用戶端套件:匿名 註冊,使用下列其中一種方法來證明裝置身分識別: - 匿名 (手動核准) - Windows 整合式驗證 - PKI 憑證 - Microsoft Entra ID 使用者或裝置令牌 註冊之後,用戶端會使用訊息簽署來證明裝置身分識別 |
針對以使用者為中心的案例,請使用下列其中一種方法來證明使用者身分識別: - Windows 整合式驗證 - Microsoft Entra ID 使用者令牌 |
提示
如需針對不同裝置身分識別類型和雲端管理網關設定管理點的詳細資訊,請參閱 啟用 HTTPS 的管理點。
用戶端到發佈點通訊
當用戶端與發佈點通訊時,它只需要先進行驗證,再下載內容。 使用下表瞭解此程式的運作方式:
| DP 類型 | 客戶端驗證 |
|---|---|
| HTTP | - 匿名,如果允許的話 - 使用電腦帳戶或網路存取帳戶進行 Windows 整合式驗證 - 增強式 HTTP) (內容存取令牌 |
| HTTPS | - PKI 憑證 - 使用電腦帳戶或網路存取帳戶進行 Windows 整合式驗證 - 內容存取令牌 |
來自因特網或不受信任樹系的用戶端通訊考慮
如需詳細資訊,請參閱下列文章:
跨 Active Directory 樹系的通訊
Configuration Manager 支援跨 Active Directory 樹系的網站和階層。 它也支援與月台伺服器不在相同 Active Directory 樹系中的網域電腦,以及工作組中的電腦。
支援樹系中不受月台伺服器樹系信任的網域計算機
在該不受信任的樹系中安裝站臺系統角色,並選擇將月臺資訊發佈至該 Active Directory 樹系
管理這些電腦就像是工作組計算機一樣
當您在不受信任的 Active Directory 樹系中安裝站台系統伺服器時,來自該樹系中用戶端的用戶端對伺服器通訊會保留在該樹系內,Configuration Manager 可以使用 Kerberos 來驗證計算機。 當您將月臺資訊發佈至用戶端的樹系時,用戶端會受益於從其 Active Directory 樹系擷取月臺資訊,例如可用管理點清單,而不是從其指派的管理點下載此資訊。
注意事項
如果您想要管理因特網上的裝置,您可以在月台系統伺服器位於 Active Directory 樹系時,在周邊網路中安裝以因特網為基礎的站臺系統角色。 此案例不需要周邊網路與月台伺服器樹系之間的雙向信任。
支援工作組中的計算機
使用月臺系統角色的 HTTP 用戶端連線時,手動核准工作組電腦。 Configuration Manager 無法使用 Kerberos 來驗證這些電腦。
將工作組用戶端設定為使用網路存取帳戶,讓這些計算機可以從發佈點擷取內容。
提供替代機制,讓工作組客戶端尋找管理點。 使用 DNS 發佈或直接指派管理點。 這些客戶端無法從 Active Directory 網域服務 擷取網站資訊。
如需詳細資訊,請參閱下列文章:
支援跨越多個網域和樹系之月臺或階層的案例
案例 1:跨樹系階層中的月臺之間的通訊
此案例需要支援 Kerberos 驗證的雙向樹系信任。 如果您沒有支援 Kerberos 驗證的雙向樹系信任,則 Configuration Manager 不支持遠端樹系中的子月臺。
Configuration Manager 支援在遠端樹系中安裝子月臺,該樹系與父月臺的樹系具有必要的雙向信任。 例如,只要必要信任存在,您就可以將次要月臺放在與其主要父月臺不同的樹系中。
注意事項
子月臺可以是主要月臺 (,其中管理中心網站是父月臺) 或次要月臺。
Configuration Manager 中的月臺間通訊會使用資料庫複寫和檔案型傳輸。 當您安裝月臺時,您必須指定要用來在指定伺服器上安裝月臺的帳戶。 此帳戶也會建立並維護網站之間的通訊。 在月臺成功安裝並起始檔案型傳輸和資料庫複寫之後,您不需要設定任何其他專案來與月台通訊。
當雙向樹系信任存在時,Configuration Manager 不需要任何額外的設定步驟。
根據預設,當您安裝新的子月臺時,Configuration Manager 設定下列元件:
在使用月臺伺服器電腦帳戶的每個站臺上,以月臺間檔案為基礎的複寫路由。 Configuration Manager 會將每部計算機的計算機帳戶新增至目的地電腦上的 SMS_SiteToSiteConnection_<sitecode> 群組。
每個站臺上 SQL Server 之間的資料庫複寫。
同時設定下列組態:
介入防火牆和網路裝置必須允許 Configuration Manager 所需的網路封包。
名稱解析必須在樹系之間運作。
若要安裝月臺或月台系統角色,您必須在指定的計算機上指定具有本機系統管理員許可權的帳戶。
案例 2:跨樹系的網站通訊
此案例不需要雙向樹系信任。
主要月臺支援在遠端樹系中的電腦上安裝月臺系統角色。
- 當月台系統角色接受來自因特網的連線時,基於安全性最佳做法,請將月臺系統角色安裝在樹系界限為月臺伺服器提供保護的位置 (例如,在周邊網路) 中。
若要在不受信任樹系中的電腦上安裝站臺系統角色:
指定 月臺用來安裝月台系統角色的月臺系統安裝帳戶。 (此帳戶必須具有本機系統管理認證才能連線至 。) 然後在指定的計算機上安裝月台系統角色。
選取 [月台系統] 選項 [需要站台伺服器起始與此站台系統的連線]。 此設定需要月臺伺服器建立與月台系統伺服器的連線,以傳輸數據。 此設定可防止位於不受信任位置的電腦起始與信任網路內月臺伺服器的連絡。 這些聯機會使用 月台系統安裝帳戶。
若要使用安裝在不受信任樹系中的站臺系統角色,即使月臺伺服器起始數據傳輸,防火牆也必須允許網路流量。
此外,下列月臺系統角色需要直接存取月台資料庫。 因此,防火牆必須允許從不受信任樹系到月臺 SQL Server 的適用流量:
Asset Intelligence 同步處理點
Endpoint Protection 點
註冊點
管理點
Reporting Service 點
狀態移轉點
如需詳細資訊,請參閱 Configuration Manager 中使用的埠。
您可能需要設定月台資料庫的管理點和註冊點存取權。
根據預設,當您安裝這些角色時,Configuration Manager 將新月台系統伺服器的計算機帳戶設定為月台系統角色的連線帳戶。 然後,它會將帳戶新增至適當的 SQL Server 資料庫角色。
當您在不受信任的網域中安裝這些站台系統角色時,請設定月台系統角色連線帳戶,讓月台系統角色能夠從資料庫取得資訊。
如果您將網域用戶帳戶設定為這些站台系統角色的連線帳戶,請確定網域用戶帳戶具有該月臺 SQL Server 資料庫的適當存取權:
管理點: 管理點資料庫連線帳戶
註冊點: 註冊點聯機帳戶
當您在其他樹系中規劃站台系統角色時,請考慮下列其他資訊:
如果您執行 Windows 防火牆,請設定適用的防火牆配置檔,以在月臺資料庫伺服器與使用遠端站臺系統角色安裝的電腦之間傳遞通訊。
當以因特網為基礎的管理點信任包含用戶帳戶的樹系時,就會支援用戶原則。 當沒有任何信任存在時,僅支援計算機原則。
案例 3:當用戶端不在與其月臺伺服器相同的 Active Directory 樹系時,用戶端與月台系統角色之間的通訊
Configuration Manager 支援下列與月臺站臺伺服器位於相同樹系中的用戶端案例:
用戶端的樹系與月臺伺服器的樹系之間有雙向樹系信任。
月臺系統角色伺服器位於與用戶端相同的樹系中。
用戶端位於與月臺伺服器沒有雙向樹系信任的網域計算機上,而且不會在用戶端的樹系中安裝月台系統角色。
用戶端位於工作組計算機上。
已加入網域之計算機上的用戶端可以在其月臺發佈至其 Active Directory 樹系時,使用服務位置的 Active Directory 網域服務。
若要將網站資訊發佈至另一個 Active Directory 樹系:
指定樹系,然後在 [系統管理] 工作區的 [Active Directory 樹系] 節點中啟用發佈至該樹系。
設定每個網站將其數據發佈至 Active Directory 網域服務。 此設定可讓該樹系中的用戶端擷取月臺資訊並尋找管理點。 對於無法使用服務位置 Active Directory 網域服務 的用戶端,您可以使用 DNS 或用戶端指派的管理點。
案例 4:將 Exchange Server 連接器放在遠端樹系中
若要支援此案例,請確定名稱解析可在樹系之間運作。 例如,設定 DNS 轉送。 當您設定 Exchange Server 連接器時,請指定 Exchange Server 的內部網路 FQDN。 如需詳細資訊,請參閱使用 Configuration Manager 和 Exchange 管理行動裝置。