(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Planen der Kommunikation in Configuration Manager

Letzte Aktualisierung: August 2013

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 R2 Configuration Manager

Planen Sie die Netzwerkkommunikation zwischen verschiedenen Standorten einer Hierarchie, zwischen verschiedenen Standortsystemservern an einem Standort sowie zwischen Clients und Standortsystemservern, bevor Sie System Center 2012 Configuration Manager installieren. Diese Kommunikation kann in einer einzigen Domäne erfolgen oder sich über mehrere Active Directory-Gesamtstrukturen erstrecken. Außerdem müssen Sie möglicherweise die Kommunikation zur Verwaltung von Clients im Internet planen.

Anhand der folgenden Abschnitte dieses Themas können Sie die Kommunikation in Configuration Manager planen.

noteHinweis
Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager.

Die folgenden Elemente bei der Standortkommunikation sind neu oder wurden seit Configuration Manager 2007 geändert:

  • Bei vielen standortübergreifenden Datenübertragungen (z. B. auch bei der Übertragung von Konfigurationen und Einstellungen) wird nun neben der dateibasierten Replikation auch die Datenbankreplikation zur Kommunikation zwischen den Standorten verwendet.

  • In Configuration Manager 2007 wurden Standorte mit gemischtem oder mit einheitlichem Modus verwendet, um die Kommunikation der Clients mit den Standortsystemen am Standort zu definieren. Dieses Konzept wurde nun durch Standortsystemrollen ersetzt, mit denen die Clientkommunikation über HTTP oder HTTPS unabhängig unterstützt werden kann.

  • In anderen Gesamtstrukturen können von Configuration Manager Computer ermittelt und Standortinformationen veröffentlicht werden, um Clientcomputer in diesen Gesamtstrukturen zu unterstützen.

  • Der Serverlocatorpunkt wird nicht mehr verwendet, und die Funktion dieser Standortsystemrolle wurde zum Verwaltungspunkt verschoben.

  • Von der internetbasierten Clientverwaltung wird nun Folgendes unterstützt:

    • Benutzerrichtlinien, wenn eine Authentifizierung des Benutzers mithilfe der Windows-Authentifizierung (Kerberos oder NTLM) durch den internetbasierten Verwaltungspunkt möglich ist

    • Einfache Tasksequenzen, beispielsweise Skripts; eine Betriebssystembereitstellung im Internet wird weiterhin nicht unterstützt.

    • Von internetbasierten Clients im Internet wird zunächst versucht, erforderliche Softwareupdates von Microsoft Update herunterzuladen anstatt von einem internetbasierten Verteilungspunkt an ihrem zugewiesenen Standort. Nur wenn dies nicht möglich ist, wird versucht, die erforderlichen Softwareupdates von einem internetbasierten Verteilungspunkt herunterzuladen.

noteHinweis
Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager.

Die folgenden Elemente bei der Standortkommunikation sind neu oder wurden für Configuration Manager SP1 geändert:

  • Adressen für die dateibasierte Replikation zwischen Standorten werden durch Dateireplikationsrouten ersetzt. Es handelt sich hier lediglich um eine Begriffsänderung für die dateibasierte Replikation, mit der die Konsistenz mit dem Begriff Datenbankreplikation hergestellt wird. Die Funktionalität bleibt unverändert.

  • Konfigurieren von Datenbankreplikationslinks zwischen Standortdatenbanken zum Steuern und Überwachen des Netzwerkverkehrs bei der Datenbankreplikation:

    • Verwenden Sie verteilte Ansichten, um die Replikation ausgewählter Standortdaten von einem primären Standort zum Standort der zentralen Verwaltung zu verhindern. Der Zugriff auf diese Daten in der Datenbank des primären Standorts erfolgt dann direkt vom Standort der zentralen Verwaltung aus.

    • Planen Sie die Übertragung ausgewählter Standortdaten über Datenbankreplikationslinks.

    • Steuern Sie, wie häufig der Replikationsdatenverkehr für Berichte zusammengefasst wird.

    • Definieren Sie benutzerdefinierte Schwellenwerte, durch die Warnungen zu Replikationsproblemen ausgelöst werden.

  • Konfigurieren von Replikationssteuerelementen für die SQL Server-Datenbank an einem Standort:

    • Ändern Sie den Port, der von Configuration Manager für den SQL Server Service Broker verwendet wird.

    • Konfigurieren Sie den Zeitraum, nach dessen Ablauf ein Standort aufgrund eines Replikationsfehlers dazu veranlasst wird, seine Kopie der Standortdatenbank neu zu initialisieren.

    • Konfigurieren Sie eine Standortdatenbank so, dass die von ihr bei der Datenbankreplikation replizierten Daten komprimiert werden. Die Daten werden nur für die Übertragung zwischen Standorten komprimiert, nicht aber für die Speicherung in den Standortdatenbanken der Standorte.

  • Wenn auf Configuration Manager SP1-Clients Windows 7, Windows 8, Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird, können Sie die Wake-on-LAN-Standorteinstellungen für Unicastpakete durch die Clienteinstellungen für den Aktivierungsproxy ergänzen. Mit dieser Kombination werden Computer in Subnetzen aktiviert, ohne dass Netzwerkswitches neu konfiguriert werden müssen.

In einer Configuration Manager-Hierarchie erfolgt die Kommunikation eines Standorts mit seinem übergeordneten Standort und seinen direkten untergeordneten Standorten mithilfe von zwei Datenübertragungsmethoden: Dateibasierte Replikation und Datenbankreplikation. Für die Kommunikation von sekundären Standorten mit ihren übergeordneten primären Standorten werden beide Übertragungsmethoden verwendet. Außerdem ist auch eine Kommunikation mit anderen sekundären Standorten mithilfe von dateibasierter Replikation möglich, um Inhalt an Remotenetzwerkorte weiterzuleiten.

Dateibasierte Replikation und Datenbankreplikation werden in Configuration Manager zur Übertragung unterschiedlicher Informationsarten zwischen den Standorten verwendet.

Mithilfe der dateibasierten Replikation werden dateibasierte Daten von Configuration Manager zwischen den Standorten in Ihrer Hierarchie übertragen. Zu diesen Daten gehört Inhalt wie Anwendungen und Pakete, die Sie für Verteilungspunkte an untergeordneten Standorten bereitstellen möchten, sowie unverarbeitete Discovery Data Records (DDRs), die zur Verarbeitung an übergeordnete Standorte übertragen werden.

Bei der dateibasierten Kommunikation zwischen Standorten wird das Server Message Block-Protokoll (SMB) über TCP/IP-Port 445 verwendet. Sie können Konfigurationen angeben, in denen die Bandbreiteneinschränkung und der Pulsmodus zur Steuerung der im Netzwerk übertragenen Datenmenge verwendet werden, und Sie können Zeitpläne angeben, um den Zeitpunkt der Datenübertragung im Netzwerk zu steuern.

Ab Configuration Manager SP1 wurde der Begriff „Adresse“ durch „Dateireplikationsroute“ ersetzt, um die sprachliche Konsistenz mit dem Begriff „Datenbankreplikation“ herzustellen. In Versionen vor SP1 wird von Configuration Manager mithilfe einer Adresse eine Verbindung mit der SMS_SITE-Freigabe auf dem Zielstandortserver hergestellt, um dateibasierte Daten zu übertragen. Dateireplikationsrouten und Adressen sind aus funktionaler Sicht identisch, und es werden die gleichen Konfigurationen unterstützt.

Die folgenden Abschnitte wurden aufgrund von Änderungen verfasst, die mit Service Pack 1 eingeführt wurden. Anstelle des Begriffs „Adressen“ wird hier der Begriff „Dateireplikationsrouten“ verwendet. Wenn Sie Configuration Manager ohne Service Pack verwenden, können Sie die Begriffe im Zusammenhang mit Dateireplikationsrouten anhand der nachfolgenden Tabelle durch die entsprechenden Begriffe für Adressen ersetzen.

 

Ab Configuration Manager mit SP1 Configuration Manager ohne Service Pack

Dateireplikationskonto

Standortadresskonto

Dateireplikationsroute

Adresse

Knoten Dateireplikation in der Configuration Manager-Konsole

Knoten Adressen in der Configuration Manager-Konsole

In Configuration Manager werden dateibasierte Daten über Dateireplikationsrouten zwischen Standorten in einer Hierarchie übertragen. Dateireplikationsrouten wurden in früheren Versionen von Configuration Manager als Adressen bezeichnet. Aus funktionaler Sicht sind Dateireplikationsrouten und Adressen identisch. Die folgende Tabelle enthält Informationen zu Dateireplikationsrouten.

 

Objekt Weitere Informationen

Dateireplikationsroute

Von jeder Dateireplikationsroute wird ein Zielstandort identifiziert, an den dateibasierte Daten übertragen werden können. Von jedem Standort wird eine einzelne Dateireplikationsroute zu einem bestimmten Zielstandort unterstützt.

Die folgenden Konfigurationen für Dateireplikationsrouten werden von Configuration Manager unterstützt:

  • Dateireplikationskonto: Dieses Konto wird verwendet, um eine Verbindung mit dem Zielstandort herzustellen und Daten in die SMS_SITE-Freigabe dieses Standorts zu schreiben. Daten, die in diese Freigabe geschrieben werden, werden am Zielstandort verarbeitet. Wenn ein Standort der Hierarchie hinzugefügt wird, wird das Computerkonto des Standortservers am neuen Standort von Configuration Manager als Dateireplikationskonto dieses Standorts zugewiesen. Dieses Konto wird dann der Gruppe SMS_SiteToSiteConnection_<Standortcode> des Zielstandorts hinzugefügt. Bei dieser Gruppe handelt es sich um eine lokale Gruppe auf dem Computer, durch die ein Zugriff auf die SMS_SITE-Freigabe ermöglicht wird. Sie können dieses Konto in ein Windows-Benutzerkonto ändern. Wenn Sie das Konto ändern, achten Sie darauf, das neue Konto der Gruppe SMS_SiteToSiteConnection_<Standortcode> des Zielstandorts hinzuzufügen.

    noteHinweis
    An sekundären Standorten wird stets das Computerkonto des sekundären Standortservers als Dateireplikationskonto verwendet.

  • Zeitplan: Sie können den Zeitplan für jede Dateireplikationsroute so konfigurieren, dass der Datentyp und der Zeitpunkt der Datenübertragung an den Zielstandort eingeschränkt werden.

  • Begrenzung der Datenübertragungsrate: Sie können eine Begrenzung der Datenübertragungsrate für jede Dateireplikationsroute konfigurieren, um die bei der Datenübertragung an den Zielstandort in Anspruch genommene Netzwerkbandbreite zu steuern:

    • Verwenden Sie den Pulsmodus, um die Größe der Datenblöcke anzugeben, die an den Zielstandort gesendet werden. Sie können auch eine zeitliche Verzögerung zwischen dem Senden der einzelnen Datenblöcke angeben. Wählen Sie diese Option aus, wenn Sie Daten über Netzwerke mit sehr niedriger Bandbreite an den Zielstandort senden müssen. Dies kann beispielsweise der Fall sein, wenn eine Beschränkung vorliegt, dass unabhängig von der Geschwindigkeit der Verknüpfung oder deren Auslastung zu einem bestimmten Zeitpunkt nur alle fünf Sekunden 1 KB Daten gesendet werden dürfen und nicht alle drei Sekunden.

    • Wählen Sie das Optionsfeld Begrenzt auf angegebene maximale Übertragungsraten pro Stunde aus, damit die Datenübertragung an den Zielstandort nur in dem von Ihnen angegebenen Zeitanteil erfolgt. Wenn Sie diese Option auswählen, wird von Configuration Manager nicht die verfügbare Netzwerkbandbreite identifiziert, sondern die zum Senden verfügbare Zeit wird in Blöcke unterteilt. Die Daten werden dann innerhalb eines kurzen Zeitblocks gesendet. In den darauffolgenden Zeitblöcken werden keine Daten gesendet. Wenn die Höchstrate beispielsweise auf 50 % festgelegt ist, werden die Daten von Configuration Manager für eine bestimmte Dauer übertragen, und für eine ebenso lange Dauer werden anschließend keine Daten übertragen. Die tatsächliche Datenmenge bzw. die Größe der Datenblöcke wird nicht verwaltet. Stattdessen wird nur die Dauer der Datenübertragung verwaltet.

      CautionVorsicht
      Von einem Standort können standardmäßig bis zu 3 gleichzeitige Sendevorgänge zur Datenübertragung an einen Zielstandort verwendet werden. Wenn Sie für eine Dateireplikationsroute die Begrenzung der Datenübertragungsrate aktivieren, ist die Anzahl gleichzeitiger Sendevorgänge an den entsprechenden Standort auf 1 begrenzt. Dies gilt auch dann, wenn für die Option Verfügbare Bandbreite beschränken (%) der Wert 100 % festgelegt ist. Wenn Sie beispielsweise für den Sender die Standardeinstellungen verwenden, wird hierdurch die Übertragungsrate an den Zielstandort auf ein Drittel der Standardkapazität reduziert.

  • Sie können eine Dateireplikationsroute zwischen zwei sekundären Standorten zum Weiterleiten dateibasierten Inhalts zwischen diesen Standorten konfigurieren.

Zur Verwaltung einer Dateireplikationsroute erweitern Sie im Arbeitsbereich Verwaltung den Knoten Hierarchiekonfiguration und wählen Dateireplikation aus.

Sender

An jedem Standort ist ein Sender verfügbar. Von diesem Sender wird die Netzwerkverbindung von einem Standort zu einem Zielstandort verwaltet. Der Sender kann auch verwendet werden, um Verbindungen zu mehreren Standorten gleichzeitig herzustellen. Zum Herstellen einer Verbindung mit einem Standort wird vom Sender mithilfe der Dateireplikationsroute zum Standort das Konto identifiziert, über das die Verbindungsherstellung erfolgt. Dieses Konto wird vom Sender auch dazu verwendet, Daten in die SMS_SITE-Freigabe des Zielstandorts zu schreiben.

Vom Sender werden Daten standardmäßig mithilfe von gleichzeitigen Sendevorgängen, die in der Regel als Thread bezeichnet werden, in den Zielstandort geschrieben. Von jedem gleichzeitigen Sendevorgang oder Thread kann ein anderes dateibasiertes Objekt an den Zielstandort übertragen werden. Nachdem der Sendevorgang für ein Objekt gestartet wurde, werden vom Sender standardmäßig so lange Datenblöcke für dieses Objekt geschrieben, bis die Übertragung des gesamten Objekts abgeschlossen ist. Anschließend kann der Sendevorgang oder Thread für ein weiteres Objekt gestartet werden.

Sie können die folgenden Einstellungen für einen Sender konfigurieren:

  • Maximale Anzahl gleichzeitiger Sendevorgänge: Standardmäßig ist jeder Standort für fünf gleichzeitige Sendevorgänge konfiguriert, wobei drei dieser Sendevorgänge zur Datenübertragung an einen beliebigen Zielstandort verfügbar sind. Wenn Sie diese Anzahl erhöhen, nimmt der Datendurchsatz zwischen Standorten zu, da von Configuration Manager mehr Dateien gleichzeitig übertragen werden können. Die Erhöhung dieser Anzahl bedeutet auch höhere Anforderungen an die Netzwerkbandbreite zwischen Standorten.

  • Wiederholungseinstellungen: Standardmäßig wird die Herstellung einer problematischen Verbindung zweimal im Abstand von einer Minute an jedem Standort versucht. Sie können sowohl die Anzahl der Verbindungsversuche als auch deren Abstand ändern.

Zur Verwaltung des Senders eines Standorts erweitern Sie im Arbeitsbereich Verwaltung den Knoten Standortkonfiguration. Erweitern Sie dann den Knoten Standorte, und klicken Sie auf die Eigenschaften des zu verwaltenden Standorts. Klicken Sie auf die Registerkarte Sender, um die Senderkonfiguration zu ändern.

SQL Server wird von der Configuration Manager-Datenbankreplikation dazu verwendet, Daten zu übertragen und an Standortdatenbanken ausgeführte Änderungen mit den Informationen in den Datenbanken anderer Standorte in der Hierarchie zusammenzuführen. So können an allen Standorten die gleichen Informationen gemeinsam verwendet werden. Die Datenbankreplikation wird automatisch an allen Configuration Manager-Standorten konfiguriert. Wenn Sie einen Standort in einer Hierarchie installieren, wird automatisch eine Datenbankreplikation zwischen dem neuen Standort und dem vorgesehenen übergeordneten Standort konfiguriert. Nach Abschluss der Standortinstallation wird die Datenbankreplikation automatisch gestartet.

Wenn Sie einen neuen Standort in einer Hierarchie installieren, wird von Configuration Manager eine generische Datenbank am neuen Standort erstellt. Anschließend wird ein Snapshot der relevanten Daten in der Datenbank des übergeordneten Standorts erstellt und mithilfe dateibasierter Replikation an den neuen Standort übertragen. Mithilfe von BCP, eines Massenkopierprogramms für SQL Server, werden die Informationen dann in die lokale Kopie der Configuration Manager-Datenbank am neuen Standort geladen. Nach dem Laden des Snapshots wird an jedem Standort eine Datenbankreplikation mit dem anderen Standort ausgeführt.

Daten werden von Configuration Manager mithilfe eines Datenbankreplikationsdienstes zwischen Standorten repliziert. Hierbei kommen die Änderungsnachverfolgung von SQL Server, mit der die lokale Standortdatenbank auf Änderungen hin überwacht wird, und ein SQL Server Service Broker, mit dem alle Änderungen auf andere Standorte repliziert werden, zum Einsatz. Für diesen Prozess wird standardmäßig TCP/IP-Port 4022 verwendet.

Daten, die mithilfe der Datenbankreplikation repliziert werden, werden von Configuration Manager in verschiedene Replikationsgruppen unterteilt. Für jede Replikationsgruppe gibt es einen separaten, festen Replikationszeitplan, aus dem hervorgeht, wie häufig Änderungen an den Daten in der Gruppe an andere Standorte repliziert werden. Beispielsweise wird eine Konfigurationsänderung an der rollenbasierten Verwaltung rasch auf andere Standorte repliziert, um zu gewährleisten, dass diese Änderung so schnell wie möglich erzwungen wird. Bei Konfigurationsänderungen mit niedrigerer Priorität, beispielsweise Anforderungen zur Installation eines neuen sekundären Standorts, werden nachrangiger repliziert, und es kann einige Minuten dauern, bis eine solche Anforderung am primären Zielstandort angekommen ist.

noteHinweis
Die Configuration Manager-Datenbankreplikation wird automatisch konfiguriert. Konfigurationen von Replikationsgruppen oder Replikationszeitplänen werden von ihr nicht unterstützt. Ab Configuration Manager SP1 können Sie jedoch Datenbankreplikationslinks konfigurieren, um den Zeitpunkt des Datenverkehrs im Netzwerk gezielt zu steuern. Sie können auch festlegen, wann von Configuration Manager Warnungen zu Replikationslinks mit dem Status Heruntergestuft oder Fehler ausgelöst werden.

Mithilfe von Datenbankreplikation replizierte Daten werden von Configuration Manager entweder als globale Daten oder als Standortdaten klassifiziert. Im Rahmen der Datenbankreplikation werden Änderungen an globalen Daten und Standortdaten über den Datenbankreplikationslink übertragen. Globale Daten können sowohl an einen übergeordneten als auch an einen untergeordneten Standort repliziert werden. Standortdaten werden nur an einen übergeordneten Standort repliziert. Die sogenannten lokalen Daten als dritter Datentyp werden nicht auf andere Standorte repliziert. Lokale Daten enthalten Informationen, die für andere Standorte nicht erforderlich sind:

  • Globale Daten: Als globale Daten werden Objekte bezeichnet, die von Administratoren erstellt wurden und die an alle Standorte innerhalb der Hierarchie repliziert werden, wobei sekundäre Standorte nur eine Untergruppe globaler Daten wie beispielsweise globale Proxydaten erhalten. Zu den globalen Daten werden beispielsweise Softwarebereitstellungen, Softwareupdates, Sammlungsdefinitionen und rollenbasierte Verwaltungssicherheitsbereiche gezählt. Administratoren können globale Daten an Standorten der zentralen Verwaltung und an primären Standorten erstellen.

  • Standortdaten: Als Standortdaten werden Betriebsinformationen bezeichnet, die von primären Configuration Manager-Standorten und den Clients, die primären Standorten unterstellt sind, erstellt werden. Standortdaten werden am Standort der zentralen Verwaltung repliziert, jedoch nicht an anderen Standorten. Zu den Standortdaten werden beispielsweise Hardwareinventurdaten, Statusmeldungen, Warnungen und die Ergebnisse von abfragebasierten Sammlungen gezählt. Standortdaten können nur am Standort der zentralen Verwaltung und an dem primären Standort, von dem sie stammen, angezeigt werden. Standardortdaten können nur an dem primären Standort geändert werden, an dem sie erstellt wurden.

    Alle Standortdaten werden am Standort der zentralen Verwaltung repliziert. Aus diesem Grund können die Verwaltung und Berichterstattung für die gesamte Hierarchie vom Standort der zentralen Verwaltung ausgeführt werden.

Verwenden Sie die Informationen in den nachfolgenden Abschnitten, um den Einsatz der ab Configuration Manager SP1 verfügbaren Steuerelemente zum Konfigurieren von Datenbankreplikationslinks zwischen Standorten zu planen und entsprechende Steuerelemente in jeder Standortdatenbank zu konfigurieren. Mit diesen Steuerelementen können Sie den durch die Datenbankreplikation verursachten Netzwerkverkehr steuern und überwachen.

Wenn Sie in einer Hierarchie einen neuen Standort installieren, wird von Configuration Manager ein Datenbankreplikationslink zwischen den beiden Standorten erstellt. Der neue Standort und der übergeordnete Standort werden durch einen einzelnen neu erstellten Link miteinander verbunden.

Ab Configuration Manager SP1 werden von jedem Datenbankreplikationslink Konfigurationen unterstützt, mit denen die Datenübertragung über den Replikationslink gesteuert werden kann. Von jedem Replikationslink werden separate Konfigurationen unterstützt. Die Steuerelemente für Datenbankreplikationslinks umfassen Folgendes:

  • Verwenden Sie verteilte Ansichten, um die Replikation ausgewählter Standortdaten von einem primären Standort zum Standort der zentralen Verwaltung zu beenden und es Letzterem zu ermöglichen, direkt auf diese Daten in der Datenbank des primären Standorts zuzugreifen.

  • Legen Sie in einem Zeitplan fest, wann ausgewählte Standortdaten von einem untergeordneten primären Standort zum Standort der zentralen Verwaltung übertragen werden.

  • Legen Sie fest, wann sich ein Datenbankreplikationslink im Status Heruntergestuft oder Fehler befindet.

  • Geben Sie an, wann Warnungen zu einem fehlgeschlagenen Replikationslink ausgelöst werden sollen.

  • Geben Sie an, wie häufig Daten zum Replikationsverkehr, der über den Replikationslink abgewickelt wird, von Configuration Manager zusammengefasst werden. Diese Daten werden in Berichten verwendet.

Zum Konfigurieren eines Datenbankreplikationslinks müssen Sie die Eigenschaften des Links in der Configuration Manager-Konsole im Knoten Datenbankreplikation bearbeiten. Dieser Knoten befindet sich im Arbeitsbereich Überwachung. Ab Configuration Manager SP1 befindet er sich außerdem im Knoten Hierarchiekonfiguration des Arbeitsbereichs Verwaltung. Sie können einen Replikationslink entweder am übergeordneten Standort oder am untergeordneten Standort des Replikationslinks bearbeiten.

TipTipp
Sie können Datenbankreplikationslinks über den Knoten Datenbankreplikation in beiden Arbeitsbereichen bearbeiten. Wenn Sie aber den Knoten Datenbankreplikation im Arbeitsbereich Überwachung verwenden, können Sie auch den Status der Datenbankreplikation für Replikationslinks anzeigen. Außerdem haben Sie Zugriff auf die Replikationslinkanalyse, mit der Sie Probleme bei der Datenbankreplikation untersuchen können.

Informationen zum Konfigurieren von Replikationslinks mit finden Sie unter Steuerelemente für die Replikation von Standortdatenbanken. Weitere Informationen zur Überwachung der Replikation finden Sie im Abschnitt Überwachen von Datenbankreplikationslinks und Replikationsstatus des Themas Überwachen von Configuration Manager-Standorten und -Hierarchien.

Verwenden Sie die Informationen in den folgenden Abschnitten, um Datenbankreplikationslinks zu planen.

Nur für System Center 2012 Configuration Manager SP1 und System Center 2012 R2 Configuration Manager:

Bei Verwendung verteilter Ansichten ist es möglich, am Standort der zentralen Verwaltung einen direkten Zugriff auf ausgewählte Standortdaten in der Datenbank eines untergeordneten primären Standorts anzufordern. Da ein direkter Zugriff gewährt wird, ist es nicht mehr erforderlich, diese Standortdaten vom primären Standort an den Standort der zentralen Verwaltung zu replizieren. Sie können verteilte Ansichten nur auf den von Ihnen ausgewählten Replikationslinks aktivieren, da Replikationslinks voneinander unabhängig sind. Verteilte Ansichten zwischen einem primären und einem sekundären Standort werden nicht unterstützt.

Aus verteilten Ansichten ergeben sich die folgenden Vorteile:

  • Verringerung der CPU-Last bei der Verarbeitung von Datenbankänderungen am Standort der zentralen Verwaltung und an primären Standorten

  • Verringerung der Datenmengen, die über das Netzwerk an den Standort der zentralen Verwaltung übertragen werden

  • Verbesserung der Leistung der SQL Server-Instanz, auf dem die Datenbank des Standorts der zentralen Verwaltung gehostet wird

  • Verringerung des Speicherplatzes, der von der Datenbank am Standort der zentralen Verwaltung in Anspruch genommen wird

Die Verwendung verteilter Ansichten bietet sich an, wenn sich ein primärer Standort im Netzwerk in der Nähe des Standorts der zentralen Verwaltung befindet und beide Standorte stets aktiviert und verbunden sind. Der Grund hierfür ist, dass die Replikation ausgewählter Daten zwischen den Standorten dank der verteilten Ansichten durch direkte Verbindungen zwischen den SQL Server-Instanzen an beiden Standorten ersetzt wird. Diese direkte Verbindung wird jedes Mal hergestellt, wenn diese Daten am Standort der zentralen Verwaltung angefordert werden. Daten, die Sie für verteilte Ansichten aktivieren, werden in der Regel angefordert, wenn Sie Berichte oder Abfragen ausführen bzw. Informationen im Ressourcen-Explorer anzeigen. Daten werden auch bei der Auswertung von Sammlungen angefordert, die auf den Standortdaten beruhende Regeln umfassen.

Verteilte Ansichten sind standardmäßig für alle Replikationslinks deaktiviert. Bei der Aktivierung verteilter Ansichten für einen Replikationslink wählen Sie Standortdaten aus, die nicht über diesen Link an den Standort der zentralen Verwaltung repliziert werden. Gleichzeitig ermöglichen Sie es dem Standort der zentralen Verwaltung, direkt auf diese Daten in der Datenbank des untergeordneten primären Standorts zuzugreifen, der mit diesem Link verbunden ist. Sie können die folgenden Arten von Standortdaten für verteilte Ansichten konfigurieren:

  • Hardwareinventurdaten von Clients

  • Softwareinventurdaten und Softwaremessungsdaten von Clients

  • Statusmeldungen von Clients, vom primären Standort und von allen sekundären Standorten

Verteilte Ansichten sind für Administratoren, die Daten in der Configuration Manager-Konsole oder in Berichten anzeigen, nicht sichtbar. Wenn Daten angefordert werden, die für verteilte Ansichten aktiviert sind, wird von der SQL Server-Instanz, auf der die Datenbank für den Standort der zentralen Verwaltung gehostet wird, direkt auf die SQL Server-Instanz am untergeordneten primären Standort zugegriffen, um die gewünschten Informationen abzurufen. Angenommen, Sie fordern am Standort der zentralen Verwaltung über eine Configuration Manager-Konsole Hardwareinventurinformationen von zwei Standorten an, und nur an einem der Standorte ist die Hardwareinventur für eine verteilte Ansicht aktiviert. Die Inventurinformationen für Clients an dem Standort, der nicht für verteilte Ansichten konfiguriert ist, werden aus der Datenbank am Standort der zentralen Verwaltung abgerufen. Die Inventurinformationen für Clients an dem Standort, der für verteilte Ansichten konfiguriert ist, werden aus der Datenbank am untergeordneten primären Standort abgerufen. Diese Informationen werden in der Configuration Manager-Konsole bzw. in einem Bericht ohne Hinweise auf die Quelle angezeigt.

Solange bei einem Replikationslink ein Datentyp für verteilte Ansichten aktiviert ist, werden diese Daten nicht vom untergeordneten primären Standort an den Standort der zentralen Verwaltung repliziert. Sobald verteilte Ansichten für einen Datentyp deaktiviert werden, wird die Replikation dieser Daten vom untergeordneten primären Standort an den Standort der zentralen Verwaltung im Rahmen der normalen Datenreplikation wiederaufgenommen. Allerdings müssen die Replikationsgruppen, die diese Daten enthalten, zwischen dem primären Standort und dem Standort der zentralen Verwaltung neu initialisiert werden, damit diese Daten am Standort der zentralen Verwaltung verfügbar sind. Nach der Deinstallation eines primären Standorts mit aktivierten verteilten Ansichten müssen die Daten des Standorts der zentralen Verwaltung neu initialisiert werden, damit Sie auf Daten zugreifen können, die am Standort der zentralen Verwaltung für verteilte Ansichten aktiviert waren.

ImportantWichtig
Wenn Sie auf einem Replikationslink in der Hierarchie verteilte Ansichten verwenden, müssen Sie die verteilten Ansichten aller Replikationslinks deaktivieren, bevor Sie einen primären Standort deinstallieren. Weitere Informationen finden Sie im Abschnitt Deinstallieren eines primären Standorts bei Verwendung verteilter Ansichten des Themas Installieren von Standorten und Erstellen einer Hierarchie für Configuration Manager.

Für verteilte Ansichten gelten die folgenden Voraussetzungen und Einschränkungen:

  • Auf dem Standort der zentralen Verwaltung und dem primären Standort muss dieselbe Version von Configuration Manager mit SP1 als Mindestanforderung ausgeführt werden

  • Verteilte Ansichten werden nur auf Replikationslinks zwischen einem Standort der zentralen Verwaltung und einem primären Standort unterstützt.

  • Am Standort der zentralen Verwaltung darf nur eine Instanz des SMS-Anbieters installiert sein, und diese Instanz muss sich auf dem Standortdatenbankserver befinden. Dies ist zur Unterstützung der Kerberos-Authentifizierung erforderlich, durch die es dem SQL Server am Standort der zentralen Verwaltung ermöglicht wird, auf den SQL Server am untergeordneten primären Standort zuzugreifen. Für den SMS-Anbieter am untergeordneten primären Standort gelten keine Einschränkungen.

  • Am Standort der zentralen Verwaltung darf nur ein SQL Server Reporting Services-Punkt installiert sein, und dieser Punkt muss sich auf dem Standortdatenbankserver befinden. Dies ist zur Unterstützung der Kerberos-Authentifizierung erforderlich, durch die es dem SQL Server am Standort der zentralen Verwaltung ermöglicht wird, auf den SQL Server am untergeordneten primären Standort zuzugreifen.

  • Die Standortdatenbank darf nicht auf einem SQL Server-Cluster gehostet werden.

  • Für das Computerkonto des Datenbankservers am Standort der zentralen Verwaltung sind Read-Berechtigungen für die Standortdatenbank des primären Standorts erforderlich.

  • Bei einem Datenbankreplikationslink schließen verteilte Ansichten und Zeitpläne für die Datenreplikation einander aus.

Nur für System Center 2012 Configuration Manager SP1 und System Center 2012 R2 Configuration Manager:

Sie können einen Zeitplan aufstellen, aus dem hervorgeht, wann ein Replikationslink verwendet wird und wann verschiedene Arten von Standortdaten repliziert werden. Auf diese Weise können Sie die Netzwerkbandbreite steuern, die beim Replizieren von Standortdaten von einem untergeordneten primären Standort an den entsprechenden Standort der zentralen Verwaltung in Anspruch genommen wird. Sie können festlegen, wann Statusmeldungen, Inventurdaten und Messungsdaten vom primären Standort repliziert werden. Zeitpläne für Standortdaten werden von Datenbankreplikationslinks sekundärer Standorte nicht unterstützt. Für die Übertragung globaler Daten kann kein Zeitplan festgelegt werden.

Beim Festlegen eines Zeitplans für einen Datenbankreplikationslink können Sie die Übertragung ausgewählter Standortdaten vom primären Standort zum Standort der zentralen Verwaltung einschränken und unterschiedliche Zeiten für die Replikation unterschiedlicher Arten von Standortdaten konfigurieren.

Weitere Informationen zum Steuern der Nutzung der Netzwerkbandbreite zwischen Configuration Manager-Standorten finden Sie im Abschnitt Steuern der Auslastung der Netzwerkbandbreite zwischen Standorten dieses Themas.

Nur für System Center 2012 Configuration Manager SP1 und System Center 2012 R2 Configuration Manager:

Ab Configuration Manager SP1 werden regelmäßig Daten zum Netzwerkverkehr zusammengefasst, der über die Datenbankreplikationslinks abgewickelt wird, die sich auf den jeweiligen Standort ziehen. Diese zusammengefassten Daten fließen in Berichte über die Datenbankreplikation ein. Der der über einen Replikationslink abgewickelte Netzwerkverkehr wird von beiden Standorten des Replikationslinks zusammengefasst. Die Datenzusammenfassung wird vom SQL Server ausgeführt, auf dem die Standortdatenbank gehostet wird. Nach der Datenzusammenfassung werden diese Informationen als globale Daten an andere Standorte repliziert.

Die Zusammenfassung erfolgt standardmäßig alle 15 Minuten. Sie können die Häufigkeit, mit der der Netzwerkverkehr zusammengefasst wird, ändern. Bearbeiten Sie dazu das Zusammenfassungsintervall in den Eigenschaften des Datenbankreplikationslinks. Die Häufigkeit der Zusammenfassung wirkt sich auf die Informationen aus, die Sie in Berichten über die Datenbankreplikation sehen. Dieses Intervall kann auf 5 bis 60 Minuten eingestellt werden. Wenn Sie die Häufigkeit der Zusammenfassung erhöhen, steigern Sie die Verarbeitungslast des SQL Servers an jedem Standort des Replikationslinks.

Mit Schwellenwerten für die Datenbankreplikation wird bestimmt, wann ein Datenbankreplikationslink als heruntergestuft oder fehlerhaft gemeldet wird. Ein Link gilt standardmäßig als heruntergestuft, wenn bei 12 aufeinanderfolgenden Replikationsversuchen einer Replikationsgruppe ein Fehler auftritt. Bleiben 24 aufeinanderfolgende Versuche einer Replikationsgruppe erfolglos, wird dem Link der Status Fehler zugewiesen.

Ab Configuration Manager SP1 können Sie durch benutzerdefinierte Werte bestimmen, wann ein Replikationslink von Configuration Manager als heruntergestuft oder fehlerhaft gemeldet wird. In den Versionen vor Configuration Manager SP1 war die Anpassung dieser Schwellenwerte nicht möglich. Durch Festlegen des Zeitpunkts, zu dem der Status der einzelnen Datenreplikationslinks von Configuration Manager gemeldet wird, können Sie die Integrität der Datenbankreplikation über diese Links genauer überwachen.

Es kann vorkommen, dass einige Replikationsgruppen nicht repliziert werden können, während die Replikation anderer Replikationsgruppen weiterhin erfolgreich ist. Planen Sie daher, den Replikationsstatus eines Replikationslinks zu prüfen, wenn er zum ersten Mal als heruntergestuft gemeldet wird. Wenn bei bestimmten Replikationsgruppen wiederholt Verzögerungen auftreten, die kein Problem darstellen, oder wenn für die Netzwerkverbindung zwischen Standorten nur eine geringe Bandbreite verfügbar ist, erwägen Sie, den Wiederholungswert für den heruntergestuften oder fehlerhaften Status des Links zu ändern. Wenn Sie die Anzahl der Wiederholungen erhöhen, nach denen der Link als heruntergestuft oder fehlerhaft gilt, können Sie falsche Warnungen für bekannte Probleme verhindern und den Linkstatus genauer nachverfolgen.

Sie müssen auch das Synchronisierungsintervall jeder Replikationsgruppe betrachten, um zu verstehen, wie häufig diese Gruppe repliziert wird. Im Knoten Datenbankreplikation des Arbeitsbereichs Überwachung können Sie das Synchronisierungsintervall von Replikationsgruppen auf der Registerkarte Replikationsdetail eines Replikationslinks anzeigen.

Weitere Informationen zur Überwachung der Datenbankreplikation und zur Anzeige des Replikationsstatus finden Sie im Abschnitt Überwachen von Datenbankreplikationslinks und Replikationsstatus des Themas Überwachen von Configuration Manager-Standorten und -Hierarchien.

Informationen zum Konfigurieren von Schwellenwerten für die Datenbankreplikation finden Sie unter Steuerelemente für die Replikation von Standortdatenbanken.

Nur für System Center 2012 Configuration Manager SP1 und System Center 2012 R2 Configuration Manager:

Von jeder Standortdatenbank werden Konfigurationen unterstützt, mit denen Sie die für die Datenbankreplikation verwendete Netzwerkbandbreite steuern können. Diese Konfigurationen gelten nur für die Standortdatenbank, für die Sie die Einstellungen konfigurieren. Sie werden stets eingesetzt, wenn Daten im Rahmen einer Datenbankreplikation vom jeweiligen Standort an einen anderen Standort repliziert werden.

Folgende Replikationssteuerelemente sind für Standortdatenbanken verfügbar:

  • Ändern Sie den Port, der von Configuration Manager für den SQL Server Service Broker verwendet wird.

  • Konfigurieren Sie den Zeitraum, nach dessen Ablauf der Standort aufgrund von Replikationsfehlern dazu veranlasst wird, seine Kopie der Standortdatenbank neu zu konfigurieren.

  • Konfigurieren Sie eine Standortdatenbank so, dass die von ihr bei der Datenbankreplikation replizierten Daten komprimiert werden. Die Daten werden nur für die Übertragung zwischen Standorten komprimiert, nicht aber für die Speicherung in den Standortdatenbanken der Standorte.

Zum Konfigurieren der Replikationssteuerelemente für eine Standortdatenbank müssen Sie die Eigenschaften der Standortdatenbank in der Configuration Manager-Konsole über den Knoten Datenbankreplikation bearbeiten. Dieser Knoten befindet sich unter dem Knoten Hierarchiekonfiguration der Arbeitsbereiche Verwaltung und Überwachung. Zur Bearbeitung der Eigenschaften der Standortdatenbank wählen Sie den Replikationslink zwischen den Standorten aus und öffnen dann entweder Eigenschaften der übergeordneten Datenbank oder Eigenschaften der untergeordneten Datenbank.

TipTipp
In beiden Arbeitsbereichen können Sie Steuerelemente für die Datenbankreplikation über den Knoten Datenbankreplikation konfigurieren. Wenn Sie aber den Knoten Datenbankreplikation im Arbeitsbereich Überwachung verwenden, können Sie auch den Status der Datenbankreplikation für einen Replikationslink anzeigen. Außerdem haben Sie Zugriff auf die Replikationslinkanalyse, mit der Sie Probleme bei der Replikation untersuchen können.

Weitere Informationen zum Konfigurieren von Steuerelementen für die Datenbankreplikation finden Sie unter Konfigurieren von Steuerelementen für die Datenbankreplikation. Weitere Informationen zum Überwachen der Replikation finden Sie unter Überwachen der Datenbankreplikation.

Jeder Configuration Manager-Standort enthält einen Standortserver und kann zusätzliche Standortsystemserver umfassen, auf denen Standortsystemrollen gehostet werden. In Configuration Manager muss jeder Standortsystemserver ein Mitglied einer Active Directory-Domäne sein. Bei Standortsystemcomputern wird eine Änderung des Computernamens oder der Domänenmitgliedschaft von Configuration Manager nicht unterstützt.

Für die standortinterne Netzwerkkommunikation zwischen Configuration Manager-Standortsystemen oder Configuration Manager-Komponenten und anderen Standortsystemen oder Configuration Manager-Komponenten wird SMB (Server Message Block), HTTP oder HTTPS verwendet. Welche Kommunikationsmethode konkret verwendet wird, hängt davon ab, wie Sie den Standort konfigurieren. Die Kommunikation zwischen den Servern an einem Standort kann jederzeit und ohne Steuerung der Netzwerkbandbreite auftreten. Dies trifft nicht auf die Kommunikation zwischen dem Standortserver und einem Verteilungspunkt zu. Da Sie die Kommunikation zwischen Standortsystemen nicht steuern können, achten Sie darauf, die Standortsystemserver an Orten mit guter Verbindung und schnellen Netzwerken zu installieren.

Für die Verwaltung der Inhaltsübertragung vom Standortserver zu Verteilungspunkten stehen die folgenden Möglichkeiten zur Auswahl:

  • Konfigurieren Sie den Verteilungspunkt für die Steuerung und Planung der Netzwerkbandbreite. Diese Steuerelemente ähneln den von standortübergreifenden Adressen verwendeten Konfigurationen. Häufig können Sie diese Konfiguration verwenden, anstatt einen weiteren Configuration Manager-Standort zu installieren, falls die Übertragung von Inhalt an Remotenetzwerkorte bei der Bandbreite Priorität hat.

  • Sie können einen Verteilungspunkt als vorab bereitgestellten Verteilungspunkt installieren. Mithilfe eines vorab bereitgestellten Verteilungspunkts können Sie Inhalt verwenden, der auf dem Verteilungspunktserver manuell abgelegt wird. Die Notwendigkeit, Inhaltsdateien über das Netzwerk zu übertragen, entfällt damit.

Weitere Informationen zu Erwägungen im Zusammenhang mit der Netzwerkbandbreite finden Sie unter Überlegungen zur Netzwerkbandbreite für Verteilungspunkte des Themas Planen der Inhaltsverwaltung in Configuration Manager

Die Clientkommunikation in Configuration Manager umfasst die Kommunikation zwischen Clients und Standorten sowie Dienstidentifizierungsanfragen. Mithilfe von Dienstidentifizierungsanfragen können die zu verwendenden Standortsystemserver von Configuration Manager-Clients identifiziert werden.

Verwenden Sie die Informationen in den folgenden Abschnitten, um die Kommunikation über Windows-basierte Clients zu planen.

Ab Configuration Manager SP1 können Sie Clients verwalten, auf denen Linux und UNIX ausgeführt werden. Clients, auf denen Linux und UNIX ausgeführt werden, sind Clients in Arbeitsgruppen. Weitere Informationen zur Unterstützung von Computern in Arbeitsgruppen finden Sie unter Planen der Kommunikation zwischen Gesamtstrukturen im Configuration Manager in diesem Thema. Weitere Informationen zur Kommunikation für Clients, auf denen Linux und UNIX ausgeführt werden, finden Sie im Abschnitt Planen der Kommunikation über Gesamtstruktur-Vertrauensstellungen für Linux- und UNIX-Server des Themas Planen der Clientbereitstellung für Linux und UNIX-Server.

Von Configuration Manager-Clients wird die Kommunikation mit Standortsystemrollen initiiert, von denen Dienste für Clients bereitgestellt werden. Dazu gehören Verwaltungspunkte, von denen die Clientrichtlinie heruntergeladen wird, sowie Verteilungspunkte, auf denen Inhalt zum Herunterladen bereitsteht. Der erste Schritt bei der Kommunikation mit einer Standortsystemrolle besteht für einen Client darin, eine Standortsystemrolle zu suchen, die das für den Client geeignete Protokoll (HTTPS oder HTTP) konfigurationsgemäß unterstützt. Die Wahl fällt standardmäßig auf die sicherste der verfügbaren Methoden. Von einem Client, der für die Verwendung eines PKI-Zertifikats konfiguriert ist, wird daher zuerst versucht, über HTTPS eine Standortsystemrolle zu finden und mit ihr zu kommunizieren. Erst danach wird versucht, mit einer Standortsystemrolle zu kommunizieren, von der HTTP verwendet wird.

Sie müssen über eine Public Key-Infrastruktur (PKI) verfügen und PKI-Zertifikate auf Clients und Servern installieren. Andernfalls wird HTTPS von Configuration Manager-Clients nicht unterstützt. Für den Client ist ein Zertifikat mit einer Clientauthentifizierungsfunktion zur wechselseitigen Authentifizierung mit dem Standortsystemserver erforderlich. Informationen zum Verwenden von Zertifikaten finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

Wenn von der von Ihnen bereitgestellten Standortsystemrolle Internetinformationsdienste (IIS) verwendet werden und die Kommunikation von Clients, zu denen Verwaltungspunkte, Anwendungskatalog-Websitepunkte, Zustandsmigrationspunkte und Verteilungspunkte gehören, unterstützt wird, müssen Sie angeben, ob die Verbindung zwischen Clients und dem Standortsystem über HTTP oder HTTPS hergestellt werden soll. Falls Sie sich für HTTP entscheiden, müssen Sie auch Signierungs- und Verschlüsselungsoptionen erwägen. Weitere Informationen finden Sie unter Planen von Signierung und Verschlüsselung.

Sie können das Standortsystem auch zur Verwendung eines Intranet-FQDN (vollqualifizierter Domänenname) und eines Internet-FQDN konfigurieren. Wenn Sie einen Internet-FQDN verwenden, können Sie die Standortsystemrolle anschließend zum Akzeptieren von Clientverbindungen aus dem Internet konfigurieren. Sie können festlegen, ob nur Internetverbindungen oder sowohl Internet- als auch Intranet-Verbindungen für Clients unterstützt werden.

Sie können mehrere Instanzen einer Standortsystemrolle an einem Standort bereitstellen und festlegen, dass von einzelnen Instanzen dieser Standortsystemrolle unterschiedliche Kommunikationseinstellungen unterstützt werden. Beispielsweise kann ein einzelner Standort einen Verwaltungspunkt für die Clientkommunikation über HTTPS enthalten sowie einen weiteren Verwaltungspunkt für die Clientkommunikation über HTTP. Sie können einen Standort zur Verwaltung von Clients an verschiedenen Netzwerkorten verwenden, an denen unterschiedliche Kommunikationsprotokolle und Sicherheitseinstellungen eingesetzt werden.

Wenn für die Authentifizierung eines Clients gegenüber einem Verwaltungspunkt ein PKI-Zertifikat verwendet wird, wird der Client von Configuration Manager als vertrauenswürdig eingestuft, da durch die Verwendung von PKI eine Vertrauensstellung hergestellt wird. Wenn Sie PKI nicht verwenden, um diese Vertrauensstellung herzustellen, wird diese Vertrauensstellung von Configuration Manager mithilfe eines als „Clientgenehmigung“ bezeichneten Verfahrens registriert.

Ob ein Gerät vertrauenswürdig ist, wird von Configuration Manager standardmäßig mithilfe des Computerkontos des Geräts und der Kerberos-Authentifizierung überprüft. Wenn Sie diese Standardeinstellung verwenden, müssen Sie manuell prüfen, ob ein Client, der in der Configuration Manager-Konsole als Nicht genehmigt aufgeführt ist, ein vertrauenswürdiges Gerät ist. Anschließend müssen Sie die Verwaltung des Geräts durch Configuration Manager genehmigen. Dieses Szenario gilt für Computer, die sich in nicht vertrauenswürdigen Gesamtstrukturen und Arbeitsgruppen befinden. Es gilt auch, wenn bei der Kerberos-Authentifizierung ein Fehler gemeldet wird.

In Configuration Manager gibt es eine Konfigurationsoption, mit der alle Clients automatisch genehmigt werden. Verwenden Sie diese Konfiguration jedoch nur, wenn Configuration Manager in einer sicheren Testumgebung ausgeführt wird. Es gibt auch eine Konfigurationsoption, bei deren Auswahl Clients stets manuell genehmigt werden müssen.

Die Genehmigungseinstellung gilt für alle Geräte in der Hierarchie, und Sie können Clients von jedem beliebigen Ort in der Hierarchie aus manuell genehmigen.

noteHinweis
Die Verwaltung nicht genehmigter Geräte wird von Configuration Manager nicht unterstützt, auch wenn einige Verwaltungsfunktionen bei Geräten dieser Art möglicherweise verwendet werden können.

Die Dienstidentifizierung wird von Configuration Manager-Clients zum Suchen nach Standorten, Standortinformationen und Standortsystemrollen verwendet, mit denen eine Kommunikation möglich ist. Beispielsweise kann die Clientrichtlinie erst dann heruntergeladen werden, wenn vom Standort eines Clients aus ein Verwaltungspunkt gefunden wurde, von dem das gleiche Protokoll verwendet wird.

Die Dienstsuche ist von der Namensauflösung unabhängig, mit der einer IP-Adresse ein Computername zugewiesen wird. Die Namensauflösung erfolgt über DNS oder WINS. DNS und WINS können aber auch für die Dienstidentifizierung verwendet werden.

Verwaltungspunkte werden von Clients anhand der folgenden Optionen und in der angegebenen Reihenfolge gesucht:

  1. Verwaltungspunkt

  2. Active Directory-Domänendienste

  3. DNS

  4. WINS

Bei der Installation eines Configuration Manager-Clients können Sie mit der Option /MP den Verwaltungspunkt angeben, auf den im Rahmen des Clientinstallationsprozesses die Clientinstallationsdateien heruntergeladen werden sollen. Mit der Option SMSMP= können Sie den ersten Verwaltungspunkt angeben, mit dem vom Client zuerst eine Verbindung hergestellt wird. Wenn die Verbindung zwischen einem Client und einem Verwaltungspunkt des ihm zugewiesenen Standorts hergestellt wurde, wird die aktuelle Liste der verfügbaren Verwaltungspunkte heruntergeladen. Diese Informationen werden lokal in der WMI gespeichert und können später verwendet werden. Für die anfängliche Liste der Verwaltungspunkte wird vom Client alle 25 Stunden ein Update ausgeführt. Ein Update wird auch ausgeführt, wenn sich die IP-Adresse ändert und der Clientdienst „CCMEXEC“ gestartet wird.

Während der Installation des Clients wird vom Client eine Abfrageliste für Verwaltungspunkte (auch als MP list bezeichnet) erstellt. Die Liste enthält neben den Verwaltungspunkten, die Sie bei der Installation angeben, auch die Verwaltungspunkte, die vom Client über die Active Directory-Domänendienste identifiziert werden können. An einem Standort muss mindestens ein Verwaltungspunkt installiert sein. Erst nach der Veröffentlichung des Standorts in den Active Directory-Domänendiensten können die Verwaltungspunkte des Standorts vom Client über die Active Directory-Domänendienste identifiziert werden. Die in den Active Directory-Domänendiensten gefundenen Verwaltungspunkte müssen mit dem Standortcode, der dem Client zugewiesen wurde, und der Clientversion übereinstimmen. Die von Configuration Manager 2007 veröffentlichten Verwaltungspunkte werden vom Client ignoriert. Wenn Sie bei der Clientinstallation keinen Verwaltungspunkt für den Client angegeben und das Active Directory-Schema nicht erweitert haben, werden DNS und WINS vom Client auf Verwaltungspunkte überprüft, die der Abfrageliste hinzugefügt werden können.

noteHinweis
Wenn ein Client ein Mitglied mehrerer Begrenzungsgruppen ist, die für die Standortzuweisung konfiguriert sind, werden beim Erstellen der Abfrageliste für Verwaltungspunkte alle Grenzen berücksichtigt, die den einzelnen Begrenzungsgruppen zugeordnet sind.

Nachdem die Verwaltungspunktliste erstellt wurde, wird diese Liste vom Client nach verschiedenen Prioritäten sortiert. Wenn vom Client ein Client-PKI-Zertifikat unterstützt wird, wird ein Verwaltungspunkt verwendet, von dem die HTTPS-Kommunikation unterstützt wird. Die HTTPS-fähigen Verwaltungspunkte werden als bevorzugte Verwaltungspunkte an den Anfang der Liste gesetzt. Bei Verbindungsversuchen werden zuerst die bevorzugten Verwaltungspunkte ausprobiert. Nur wenn keine Verbindung hergestellt werden kann, werden nicht bevorzugte Verwaltungspunkte verwendet. Die Reihenfolge aller entsprechenden Verwaltungspunkte ist nicht fixiert; nur die relative Priorität steht fest. Diese Reihenfolge der entsprechenden Verwaltungspunkte kann sich jedes Mal ändern, wenn vom Client für die Abfrageliste für Verwaltungspunkte ein Update ausgeführt wird. Es ist daher möglich, dass von einem Client mit drei HTTPS-fähigen Verwaltungspunkten bei jedem neuen Verbindungsversuch eine Verbindung mit einem anderen dieser drei HTTPS-Verwaltungspunkte hergestellt wird. Ist der erste Verwaltungspunkt nicht erreichbar, wird der Verbindungsversuch mehrmals wiederholt. Bleiben alle Versuche erfolglos, wird zu den nächsten Verwaltungspunkten gewechselt, bis die Kommunikation hergestellt werden kann oder keine weiteren Verwaltungspunkte auf der Liste stehen.

Weitere Informationen zum Installieren von Configuration Manager-Clients und zum Festlegen der Verwaltungspunkte und des Protokolls, über die eine Verbindung mit Standortsystemrollen vom Client hergestellt wird, finden Sie unter Installieren von Clients auf Windows-Computern in Configuration Manager.

Falls mit keinem der Verwaltungspunkte in der Abfrageliste eine Verbindung hergestellt werden kann, wird vom Client eine alternative Dienstidentifizierungsmethode verwendet.

Die Active Directory-Domänendienste stellen die primäre Dienstidentifizierungsmethode von Intranetclients dar. Zu den Standortinformationen gehören beispielsweise die Orte und Funktionen der verfügbaren Standortsystemrollen sowie die Sicherheitsinformationen, die von Clientcomputern zum Herstellen vertrauenswürdiger Verbindungen mit Standortsystemservern am Standort benötigt werden. Die Active Directory-Domänendienste können von Configuration Manager-Clients für die Dienstidentifizierung verwendet werden, wenn alle folgenden Bedingungen erfüllt sind:

  • Das Active Directory-Schema wurde für Configuration Manager 2007 oder System Center 2012 Configuration Manager erweitert.

  • Die Configuration Manager-Standorte werden in den Active Directory-Domänendiensten veröffentlicht.

  • Die Active Directory-Gesamtstruktur ist für die Veröffentlichung in Configuration Manager aktiviert.

  • Der Clientcomputer ist ein Mitglied einer Active Directory-Domäne, und der Zugriff auf den globalen Katalogserver ist möglich.

Kann eine dieser Bedingungen nicht erfüllt werden, können Sie alternative Methoden zur Dienstidentifizierung konfigurieren. Zu den Alternativen gehören DNS, WINS und ein bei der Clientinstallation angegebener Verwaltungspunkt.

Falls es Ihnen nicht möglich ist, Standortinformationen in den Active Directory-Domänendiensten zu veröffentlichen, erwägen Sie die Veröffentlichung von Verwaltungspunkten in DNS. Sie können diese Standortsystemrolle für Clients im Intranet veröffentlichen.

Wenn Sie Configuration Manager-Verwaltungspunkte in DNS veröffentlichen, wird in der DNS-Zone des Standortsystemservers, auf dem der Verwaltungspunkt gehostet wird, ein Ressourceneintrag für Dienste (SRV) hinzugefügt. Achten Sie darauf, dass ein entsprechender Hosteintrag für den Standortsystemserver vorhanden ist. Erwägen Sie die Veröffentlichung in DNS, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  • Das Schema der Active Directory-Domänendienste wurde nicht für die Unterstützung von Configuration Manager erweitert.

  • Intranetclients befinden sich in einer Gesamtstruktur, die nicht für die Configuration Manager-Veröffentlichung aktiviert ist.

  • Clients befinden sich auf Arbeitsgruppencomputern und sind nicht für eine rein internetbasierte Clientverwaltung konfiguriert.

ImportantWichtig
Die Veröffentlichung von SRV-Einträgen für Verwaltungspunkte in DNS gilt nur für Verwaltungspunkte, bei denen Clientverbindungen aus dem Intranet möglich sind.

Für Clients im Intranet kann in DNS nur einen Verwaltungspunkt ermittelt werden, wenn mindestens ein Standort in der Configuration Manager-Hierarchie für die DNS-Veröffentlichung konfiguriert wurde. Wenn Clients einer Active Directory-Domäne angehören, die über keinen in DNS veröffentlichten Verwaltungspunkt verfügt, müssen Sie eine Clienteigenschaft konfigurieren, mit der das Domänensuffix eines veröffentlichten Verwaltungspunkts angegeben wird. Ohne Angabe eines Domänensuffixes wird die Domäne des Clients automatisch durchsucht.

Nachdem von Clients ein Verwaltungspunkt in DNS ermittelt wurde, können darüber Informationen zu weiteren Verwaltungspunkte in der Configuration Manager-Hierarchie abgerufen werden. Dies bedeutet, dass der in DNS veröffentlichte Verwaltungspunkt nicht auf dem Configuration Manager-Standort des Clients vorliegen muss, damit der Client erfolgreich einen Verwaltungspunkt finden kann, um die Client-Richtlinie herunterzuladen.

Wenn auf einem Client mehrere in DNS veröffentlichte Verwaltungspunkte ermittelt werden, wird der erste Verwaltungspunkt ausgewählt, der mit den clientseitigen Kommunikationseinstellungen (HTTPS oder HTTP) übereinstimmt. Von einem HTTPS-fähigen Client wird nach Möglichkeit immer ein Verwaltungspunkt ausgewählt, der für HTTPS konfiguriert ist.

Weitere Informationen zum Konfigurieren des DNS-Suffixes in einer Clienteigenschaft finden Sie unter Konfigurieren von Clientcomputern für die Suche nach Verwaltungspunkten mithilfe der DNS-Veröffentlichung in Configuration Manager.

Die Veröffentlichung von Verwaltungspunkten in DNS ist nur möglich, wenn die beiden folgenden Bedingungen erfüllt sind:

  • Von den DNS-Servern werden Ressourceneinträge für Dienste unterstützt (durch Verwendung von BIND 8.1.2 oder höher).

  • Zu den angegebenen Intranet-FQDNs für die Verwaltungspunkte in Configuration Manager müssen Hosteinträge z. B. (A-Datensätze) in DNS vorhanden sein.

ImportantWichtig
Bei der DNS-Veröffentlichung über Configuration Manager werden keine separaten Namespaces unterstützt. Liegt ein separater Namespace vor, können Sie Verwaltungspunkte manuell in DNS veröffentlichen oder eine der alternativen Dienstidentifizierungsmethoden verwenden, die in diesem Abschnitt beschrieben sind.

Falls von den DNS-Servern automatische Updates unterstützt werden, können Sie festlegen, dass Verwaltungspunkte von Configuration Manager im Intranet automatisch in DNS veröffentlicht werden. Alternativ können Sie diese Datensätze manuell in DNS veröffentlichen. Bei der Veröffentlichung von Verwaltungspunkten in DNS werden der zugehörige Intranet-FQDN und die Portnummer im SRV-Eintrag veröffentlicht.

Wenn von den DNS-Servern SRV-Einträge unterstützt werden, nicht aber automatische Updates, können Sie Verwaltungspunkte manuell in DNS veröffentlichen. Dafür müssen Sie den Ressourceneintrag für Dienste (SRV RR) manuell in DNS angeben.

Configuration Manager unterstützt RFC 2782 für Ressourceneinträge für Dienste im folgenden Format:

_Dienst._Proto.Name TTL Klasse SRV Priorität Gewichtung Port Ziel

Geben Sie die folgenden Werte an, um einen Verwaltungspunkt in Configuration Manager zu veröffentlichen:

  • _Dienst: Geben Sie _mssms_mp_<Standortcode> ein, wobei <Standortcode> der Standortcode des Verwaltungspunkts ist.

  • ._Proto: Geben Sie ._tcp an.

  • .Name: Geben Sie das DNS-Suffix des Verwaltungspunkts an, z. B. contoso.com.

  • TTL: Geben Sie 14400 an, das bedeutet vier Stunden.

  • Klasse: Geben Sie IN an (in Übereinstimmung mit RFC 1035).

  • Priorität: Dieses Feld wird nicht von Configuration Manager verwendet.

  • Gewichtung: Dieses Feld wird nicht von Configuration Manager verwendet.

  • Port: Geben Sie die Portnummer des Verwaltungspunkts ein, beispielsweise 80 für HTTP und 443 für HTTPS.

    noteHinweis
    Falls vom Verwaltungspunkt HTTP- und HTTPS-Clientverbindungen akzeptiert werden, müssen Sie zwei SRV-Einträge erstellen. Geben Sie in dem einen Eintrag die HTTP-Portnummer an und in dem anderen die HTTPS-Portnummer.

  • Ziel: Geben Sie den Intranet-FQDN des Standortsystems an, das mit der Standortrolle „Verwaltungspunkt“ konfiguriert ist.

Wenn Sie Windows Server DNS verwenden, können Sie diesen DNS-Eintrag anhand des folgenden Verfahrens für Intranet-Verwaltungspunkte eingeben. Wenn Sie für DNS eine andere Implementierung verwenden, prüfen Sie in der DNS-Dokumentation anhand der Informationen zu den Feldwerten in diesem Abschnitt, wie Sie dieses Verfahren anpassen müssen.

  1. Geben Sie in der Configuration Manager-Konsole die Intranet-FQDNs der Standortsysteme an.

  2. Wählen Sie in der DNS-Verwaltungskonsole die DNS-Zone für den Verwaltungspunktcomputer aus.

  3. Überprüfen Sie, ob es einen Hostdatensatz (A oder AAA) für den Intranet-FQDN des Standortsystems gibt. Ist dieser Datensatz nicht vorhanden, erstellen Sie ihn.

  4. Verwenden Sie die Option Neue andere Einträge. Klicken Sie im Dialogfeld Ressourceneintragstyp auf Dienstidentifizierung (SRV). Klicken Sie auf Eintrag erstellen, geben Sie die folgenden Informationen ein, und klicken Sie auf Fertig:

    • Domäne: Geben Sie gegebenenfalls das DNS-Suffix des Verwaltungspunkts an, z. B. contoso.com.

    • Dienst: Tragen Sie _mssms_mp_<Standortcode> ein, wobei <Standortcode> der Standortcode des Verwaltungspunkts ist.

    • Protokoll: Geben Sie _tcp ein.

    • Priorität: Dieses Feld wird nicht von Configuration Manager verwendet.

    • Gewichtung: Dieses Feld wird nicht von Configuration Manager verwendet.

    • Port: Geben Sie die Portnummer des Verwaltungspunkts ein, beispielsweise 80 für HTTP und 443 für HTTPS.

      noteHinweis
      Falls vom Verwaltungspunkt HTTP- und HTTPS-Clientverbindungen akzeptiert werden, müssen Sie zwei SRV-Einträge erstellen. Geben Sie in dem einen Eintrag die HTTP-Portnummer an und in dem anderen die HTTPS-Portnummer.

    • Host, der diesen Dienst anbietet: Geben Sie den vollqualifizierten Intranet-Domänennamen des Standortsystems ein, das mit der Standortrolle „Verwaltungspunkt“ konfiguriert ist.

Wiederholen Sie diese Schritte für jeden Verwaltungspunkt im Intranet, der in DNS veröffentlicht werden soll.

Der erste Verwaltungspunkt am primären Standort, von dem gemäß Konfiguration HTTP-Clientverbindungen akzeptiert werden, sowie der erste Verwaltungspunkt am primären Standort, von dem gemäß Konfiguration HTTPS-Clientverbindungen akzeptiert werden, werden automatisch in WINS veröffentlicht. Falls andere Dienstidentifizierungsmechanismen erfolglos bleiben, kann durch Überprüfen von WINS ein erster Verwaltungspunkt gefunden werden. Beim Herstellen einer Verbindung mit diesem Verwaltungspunkt wird von den Clients eine Liste anderer Verwaltungspunkte heruntergeladen. Auf diese Weise können alle Verwaltungspunkte indirekt über WINS gefunden und von den Clients für nachfolgende Verbindungen verwendet werden.

Angenommen, Sie wünschen, dass für die Verbindung von Clients mit Verwaltungspunkten im Intranet HTTPS verwendet wird, da diese Konfiguration ein höheres Maß an Sicherheit bietet. Legen Sie für sämtliche Verwaltungspunkte bis auf einen fest, dass nur HTTPS-Clientverbindungen akzeptiert werden. Der einzelne Verwaltungspunkt, von dem HTTP-Clientverbindungen akzeptiert werden, ist nur für die erste Verbindung von Clients mit dem Standort vorgesehen.

Wenn Sie nicht wünschen, dass ein HTTP-Verwaltungspunkt in WINS gefunden wird, konfigurieren Sie für Clients die Client.msi-Eigenschaft SMSDIRECTORYLOOKUP=NOWINS mit CCMSetup.exe.

In Configuration Manager werden zwei Wake-On-LAN-Technologien (Local Area Network) unterstützt, über die Computer im Energiesparmodus aktiviert werden, wenn Sie erforderliche Software wie Softwareupdates und Anwendungen installieren möchten. Dabei handelt es sich um herkömmliche Aktivierungspakete und um AMT-Einschaltbefehle.

Ab Configuration Manager SP1 können Sie die herkömmliche, auf Aktivierungspaketen beruhende Methode durch die Verwendung von Clienteinstellungen für den Aktivierungsproxy ergänzen. Vom Aktivierungsproxy wird mithilfe eines Peer-zu-Peer-Protokolls und ausgewählten Computern überprüft, ob andere Computer im Subnetz aktiv sind. Diese werden bei Bedarf dann aktiviert. Wenn der Standort für Wake-On-LAN konfiguriert ist und gleichzeitig Clients für den Aktivierungsproxy konfiguriert sind, gilt Folgendes:

  1. Von Computern, auf denen der Configuration Manager SP1-Client installiert ist und die nicht im Subnetz inaktiv sind, wird geprüft, ob andere Computer im Subnetz aktiv sind. Hierzu wird von den Computern alle 5  Sekunden ein TCP/IP-Pingbefehl gesendet.

  2. Wenn keine Antwort von anderen Computern eingeht, wird davon ausgegangen, dass sie inaktiv sind. Die aktiven Computer werden als Manager-Computer des Subnetzes eingesetzt.

    Nicht alle Computer, von denen keine Antwort eingeht, sind inaktiv (manche wurden möglicherweise ausgeschaltet oder aus dem Netzwerk entfernt, oder die Clienteinstellung für den Aktivierungsproxy wird nicht mehr angewendet). Aus diesem Grund wird täglich um 14 Uhr (Ortszeit) ein Aktivierungspaket an die Computer gesendet. Computer, von denen keine Antwort eingeht, werden nicht mehr als inaktiv eingestuft und nicht durch den Aktivierungsproxy aktiviert.

    Zur Unterstützung des Aktivierungsproxys müssen in jedem Subnetz mindestens drei Computer aktiv sein. Hierzu werden drei Computer auf nicht deterministische Weise als Wächter-Computer für das Subnetz ausgewählt. Dies bedeutet, dass sie unabhängig von einer konfigurierten Energierichtlinie aktiv bleiben und nicht nach einer gewissen Zeit der Inaktivität in den Energiespar- oder Ruhemodus umgeschaltet werden. Befehle zum Herunterfahren oder Neustarten, die mit Wartungstasks zusammenhängen, werden von Wächter-Computern beachtet. In einem solchen Fall wird von den verbleibenden Wächter-Computern ein weiterer Computer im Subnetz aktiviert, damit das Subnetz weiterhin drei Wächter-Computer aufweist.

  3. Der Netzwerkswitch wird von den Manager-Computern angewiesen, den für die inaktiven Computer vorgesehenen Netzwerkverkehr zu den Manager-Computern umzuleiten.

    Die Umleitung erfolgt durch den Manager-Computer, von dem ein Ethernet-Frame übertragen wird. Von diesem wird die MAC-Adresse des Computers, der sich im Ruhezustand befindet, als Quelladresse verwendet. Dadurch reagiert der Netzwerkswitch so, als ob der inaktive Computer auf den Port verschoben wurde, auf dem sich auch der Manager-Computer befindet. Vom Manager-Computer werden außerdem ARP-Pakete für die inaktiven Computer gesendet, damit der Eintrag im ARP-Cache aktuell bleibt. Darüber hinaus werden vom Manager-Computer im Auftrag des inaktiven Computers Antworten auf ARP-Anfragen gesendet. Die Antwort erfolgt mit der MAC-Adresse des inaktiven Computers.

    WarningWarnung
    Während dieses Vorgangs bleibt die IP-zu-MAC-Zuordnung für den inaktiven Computer bestehen. Der Netzwerkswitch wird über einen Aktivierungsproxy darüber informiert, dass der von einer Netzwerkkarte registrierte Port von einer anderen Netzwerkkarte verwendet wird. Dieses Verhalten wird als MAC-Flapping bezeichnet und ist bei Standardnetzwerkvorgängen nicht üblich. Von einigen Netzwerküberwachungstools wird geprüft, ob dieses Verhalten auftritt. Falls ja, werden Fehler angenommen. Durch diese Überwachungstools können also Warnungen generiert oder Ports heruntergefahren werden, wenn Sie einen Aktivierungsproxy verwenden.

    Verwenden Sie keinen Aktivierungsproxy, wenn Ihre Netzwerküberwachungstools und -dienste kein MAC-Flapping zulassen.

  4. Wird von einem Manager-Computer eine neue TCP-Verbindungsanforderung für einen Computer erkannt, der sich im Ruhezustand befindet, und die Anforderung erfolgt an einem Port, der vom Computer vor den Wechsel in den Ruhezustand abgehört wurde, wird vom Manager-Computer ein Aktivierungspaket an den inaktiven Computer gesendet. Außerdem wird das Umleiten von Datenverkehr für diesen Computer beendet.

  5. Der inaktive Computer erhält das Aktivierungspaket und wird dadurch aktiviert. Vom sendenden Computer wird automatisch versucht, die Verbindung wiederherzustellen. Der Computer ist nun aktiv und kann antworten.

Für Aktivierungsproxys gelten die folgenden Voraussetzungen und Einschränkungen:

ImportantWichtig
Wenn in Ihrem Unternehmen ein eigenes Team für die Netzwerkstruktur und die Netzwerkdienste verantwortlich ist, sollten Sie dieses Team informieren und während des Testzeitraums einbeziehen. Beispiel: In einem Netzwerk, von dem eine 802.1X-Zugriffssteuerung verwendet wird, funktioniert der Aktivierungsproxy nicht. Der Netzwerkdienst wird möglicherweise unterbrochen. Außerdem kann es durch den Aktivierungsproxy dazu kommen, dass von einigen Netzwerküberwachungstools Warnungen generiert werden, wenn Datenverkehr zur Aktivierung anderer Computer erkannt wird.

  • Unterstützte Clients sind Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012.

  • Es werden keine Gastbetriebssysteme unterstützt, die auf einem virtuellen Computer ausgeführt werden.

  • Auf Clients muss Configuration Manager SP1 ausgeführt werden, und sie müssen durch die Verwendung von Clienteinstellungen für den Aktivierungsproxy aktiviert sein. Zwar hängt der Vorgang des Aktivierungsproxys nicht von der Hardwareinventur ab, aber die Installation des Aktivierungsproxydiensts wird von Clients erst dann gemeldet, wenn sie für die Hardwareinventur aktiviert sind und von ihnen mindestens eine Hardwareinventur gesendet wurde.

  • Für Aktivierungspakete müssen Netzwerkkarten (und möglichst das BIOS) aktiviert und konfiguriert sein. Ist die Netzwerkkarte nicht für Aktivierungspakete konfiguriert bzw. wurde diese Einstellung deaktiviert, wird sie von Configuration Manager automatisch konfiguriert und für einen Computer aktiviert, wenn die Clienteinstellung zum Aktivieren des Aktivierungsproxys empfangen wird.

  • Verfügt ein Computer über mehrere Netzwerkkarten, können Sie nicht auswählen, welche Karte für den Aktivierungsproxy verwendet werden soll. Die Auswahl ist nicht deterministisch. Die ausgewählte Karte wird in der Datei „SleepAgent_<Domäne>@SYSTEM_0.log“ aufgezeichnet.

  • Vom Netzwerk müssen ICMP-Echoanforderungen zugelassen werden, zumindest innerhalb des Subnetzes. Es ist nicht möglich, das 5-Minuten-Intervall zum Senden der ICMP-Ping-Befehle zu konfigurieren.

  • Die Kommunikation ist unverschlüsselt und nicht authentifiziert, und IPsec wird nicht unterstützt.

  • Die folgenden Netzwerkkonfigurationen werden nicht unterstützt:

    • 802.1 X mit Portauthentifizierung

    • Drahtlosnetzwerke

    • Netzwerkswitches, von denen MAC-Adressen an bestimmte Ports gebunden werden

    • Netzwerke, die nur IPv6 unterstützen

    • DHCP-Lease-Dauer von weniger als 24 Stunden

Aus Sicherheitsgründen wird empfohlen, nach Möglichkeit anstelle der Aktivierungspakete die AMT-Einschaltbefehle zu verwenden. Bei dieser Technologie wird mithilfe von PKI-Zertifikaten für eine sichere Kommunikation gesorgt und so ein höheres Maß an Sicherheit als bei der Übermittlung von Aktivierungspaketen geboten. Die Verwendung von AMT-Einschaltbefehlen ist aber nur möglich, wenn es sich bei den Computern um Intel AMT-basierte Computer handelt, die für AMT bereitgestellt werden. Weitere Informationen zur Verwaltung AMT-basierter Computer mit Configuration Manager finden Sie unter Einführung zur Out-of-Band-Verwaltung in Configuration Manager.

Falls Sie Computer für eine geplante Softwareinstallation aktivieren möchten, müssen Sie jeden primären Standort für eine der folgenden drei Optionen konfigurieren:

  • AMT-Einschaltbefehle verwenden, sofern die Computer diese Technologie unterstützen, andernfalls Aktivierungspakete verwenden

  • Nur AMT-Einschaltbefehle verwenden

  • Nur Aktivierungspakete verwenden

Zur Verwendung eines Aktivierungsproxys mit Configuration Manager SP1 müssen Sie in der Energieverwaltung die Clienteinstellungen für den Aktivierungsproxy bereitstellen und die Option Nur Aktivierungspakete verwenden auswählen.

Die folgende Tabelle bietet weitere Informationen zu den Unterschieden zwischen den zwei Wake-On-LAN-Technologien (WOL), herkömmliche Aktivierungspakete und AMT-Einschaltbefehle.

 

Technologie Vorteil Nachteil

Herkömmliche Aktivierungspakete

Am Standort sind keine zusätzlichen Standortsystemrollen erforderlich.

Wird von einer Vielzahl von Netzwerkadaptern unterstützt.

UDP-Reaktivierungspakete können schnell gesendet und verarbeitet werden.

Erfordert keine PKI-Infrastruktur.

Erfordert keine Änderung der Active Directory-Domänendienste.

Wird auf Arbeitsgruppencomputern, Computern einer anderen Active Directory-Gesamtstruktur sowie Computern in derselben Active Directory-Gesamtstruktur, die jedoch einen nicht zusammenhängenden Namespace verwenden, unterstützt.

Diese Technologie ist weniger sicher als AMT-Einschaltbefehle, da keine Authentifizierung oder Verschlüsselung verwendet wird. Wenn subnetzgesteuerte Broadcasts für die Reaktivierungspakete verwendet werden, besteht ein Sicherheitsrisiko durch „Smurf Attacks“.

Möglicherweise muss auf den einzelnen Computern eine manuelle Konfiguration der BIOS-Einstellung sowie eine Adapterkonfiguration durchgeführt werden.

Die Reaktivierung von Computern wird nicht bestätigt.

Durch Aktivierungsübertragungen in Form von mehreren UDP-Paketen (User Datagram Protocol) kann die verfügbare Netzwerkbandbreite unnötig ausgelastet werden.

Computer können nur dann interaktiv reaktiviert werden, wenn Sie einen Aktivierungsproxy mit Configuration Manager SP1 verwenden.

Computer können nicht zurück in den Ruhestand versetzt werden.

Die Verwaltungsfeatures sind auf die Reaktivierung der Computer beschränkt.

AMT-Einschaltbefehle

Diese Technologie ist sicherer als herkömmliche Aktivierungspakete, da für die Authentifizierung und Verschlüsselung Sicherheitsprotokolle verwendet werden, die dem Industriestandard entsprechen. Kann in eine vorhandene PKI-Bereitstellung integriert werden, und die Sicherheitssteuerung ist vom Produkt unabhängig verwaltbar.

Die automatische zentralisierte Installation und Konfiguration (AMT-Bereitstellung) werden unterstützt.

Festgelegte Transportsitzung für eine zuverlässigere und überprüfbarere Verbindung.

Computer können interaktiv reaktiviert (und neu gestartet) werden.

Computer können interaktiv heruntergefahren werden.

Zusätzliche Verwaltungsfunktionen. Dazu gehören u. a.:

  • Neustarten eines nicht funktionstüchtigen Computers und Starten von einem lokal angeschlossenen Gerät bzw. aus einer bekanntermaßen guten Startabbilddatei

  • Erstellen eines neuen Abbilds für einen Computer durch Starten von einer im Netzwerk gespeicherten Startabbilddatei oder durch Verwenden eines PXE-Servers.

  • Erneutes Konfigurieren der BIOS-Einstellungen auf einem ausgewählten Computer und Umgehen des BIOS-Kennworts, wenn diese Funktion vom BIOS-Hersteller unterstützt wird.

  • Starten eines befehlszeilenbasierten Betriebssystems zum Ausführen von Befehlen, Reparaturtools oder Diagnoseanwendungen (z. B. Aktualisieren der Firmware oder Ausführen eines Tools zum Reparieren des Datenträgers).

Für den Standort müssen ein Out-of-Band-Dienstpunkt und ein Anmeldungspunkt verfügbar sein.

Diese Technologie wird nur auf Computern mit dem Intel vPro-Chipsatz und einer unterstützten Version der Intel AMT-Firmware (Active Management Technology) unterstützt. Weitere Informationen darüber, welche AMT-Versionen unterstützt werden, finden Sie unter Supported Configurations for Configuration Manager.

Das Festlegen der Transportsitzung dauert länger, erfordert eine höhere Verarbeitungsleistung auf dem Server und eine erhöhte Datenübertragung.

Erfordert eine PKI-Bereitstellung und bestimmte Zertifikate.

Erfordert einen für die Veröffentlichung von AMT-basierten Computern erstellten und konfigurierten Active Directory-Container.

Arbeitsgruppencomputer, Computer einer anderen Active Directory-Gesamtstruktur sowie Computer in derselben Active Directory-Gesamtstruktur, von denen jedoch ein nicht zusammenhängender Namespace verwendet wird, werden nicht unterstützt.

DNS und DHCP müssen geändert werden, damit die AMT-Bereitstellung unterstützt werden kann.

Geben Sie an, wie Computer aktiviert werden sollen. Berücksichtigen Sie dabei, ob Sie AMT-Einschaltbefehle unterstützen können und ob die Wake-On-LAN-Technologie von den Computern unterstützt wird, die dem Standort zugewiesen wurden. Erwägen Sie auch die in der obigen Tabelle aufgeführten Vor- und Nachteile beider Technologien. Beispielsweise sind Reaktivierungspakete unzuverlässiger und nicht gesichert, jedoch nimmt das Festlegen von Einschaltbefehlen mehr Zeit in Anspruch und erfordert eine höhere Verarbeitungsleistung auf dem Standortsystemserver, auf dem Out-of-Band-Dienstpunkte konfiguriert sind.

ImportantWichtig
Führen Sie aufgrund des zusätzlichen Arbeitsaufwands zum Festlegen, Verwalten und Beenden einer Out-of-Band-Sitzung mit AMT-basierten Computern Ihre eigenen Tests aus, sodass Sie genau beurteilen können, wie lange die Aktivierung mehrerer Computer mithilfe von AMT-Einschaltbefehlen in Ihrer Umgebung dauert (z. B. über langsame WAN-Verbindungen mit Computern an sekundären Standorten). Anhand der Ergebnisse können Sie entscheiden, ob die Aktivierung mehrerer Computer für geplante Aktivitäten mithilfe von AMT-Einschaltbefehlen zweckmäßig ist, wenn zahlreiche Computer innerhalb eines kurzen Zeitraums aktiviert werden müssen.

Falls Sie sich für herkömmliche Aktivierungspakete entscheiden, müssen Sie außerdem entweder subnetzgesteuerte Broadcastpakete oder Unicastpakete wählen und die UDP-Portnummer angeben. Herkömmliche Aktivierungspakete werden standardmäßig über UDP-Port 9 übertragen. Zur Steigerung der Sicherheit können Sie aber für den Standort einen anderen Port auswählen, sofern dieser Port von beteiligten Routern und Firewalls unterstützt wird.

Falls Sie sich für die Aktivierung von Computern mit herkömmlichen Aktivierungspaketen entscheiden, müssen Sie angeben, ob Unicastpakete oder subnetzgesteuerte Broadcastpakete übertragen werden sollen. Wenn Sie einen Aktivierungsproxy mit Configuration Manager SP1 nutzen, müssen Sie Unicastpakete verwenden. Orientieren Sie sich andernfalls bei der Auswahl der Übertragungsmethode an der folgenden Tabelle.

 

Übertragungsmethode Vorteil Nachteil

Unicast

Diese Lösung ist sicherer als subnetzgesteuerte Broadcasts, weil das Paket nicht an alle Computer in einem Subnetz, sondern direkt an einen Computer gesendet wird.

Eine Neukonfiguration der Router ist möglicherweise nicht erforderlich (Sie müssen eventuell den ARP-Cache konfigurieren).

Belegt weniger Netzwerkbandbreite als subnetzgesteuerte Broadcasts.

Unterstützt mit IPv4 und IPv6.

Zielcomputer, deren Subnetzadresse seit der letzten geplanten Hardwareinventur geändert wurde, werden von Aktivierungspaketen nicht gefunden.

Es müssen möglicherweise Switches zum Weiterleiten der UDP-Pakete konfiguriert werden.

Bei manchen Netzwerkadapter ist die Aktivierung durch Aktivierungspakete möglicherweise nicht in allen Ruhezuständen möglich, wenn als Übertragungsmethode Unicast verwendet wird.

Subnetzgesteuerte Broadcasts

Höhere Erfolgsrate als Unicast, wenn die IP-Adressen einiger Computer innerhalb des gleichen Subnetzes sich oft ändern

Keine Switchneukonfiguration erforderlich

Hohe Kompatibilitätsrate mit Computernetzwerkkarten in allen Ruhezuständen, weil subnetzgesteuerte Broadcasts die Originalübertragungsmethode zum Senden von Reaktivierungspaketen sind

Diese Lösung ist weniger sicher als Unicast, da von einem Angreifer kontinuierlich ICMP-Echoanforderungen von einer gefälschten Quelladresse an die gesteuerte Broadcastadresse gesendet werden könnten. Dies führt dazu, dass von allen Hosts Antworten an diese Quelladresse gesendet werden. Wenn Router für die Verwendung subnetzgesteuerter Broadcasts konfiguriert sind, wird die folgende zusätzliche Konfiguration aus Sicherheitsgründen empfohlen:

  • Konfigurieren Sie Router so, dass von ihnen nur IP-gesteuerte Broadcasts vom Configuration Manager-Standortserver zugelassen werden. Verwenden Sie hierzu die angegebene UDP-Portnummer.

  • Configuration Manager muss so konfiguriert werden, dass die angegebene, nicht der Standardeinstellung entsprechende Portnummer verwendet wird.

Erfordert möglicherweise die Neukonfiguration aller beteiligten Router, damit subnetzgesteuerte Broadcasts möglich werden.

Belegt mehr Netzwerkbandbreite als Unicast-Übertragungen.

Nur mit IPv4 unterstützt, keine Unterstützung für IPv6.

WarningWarnung
Subnetzgesteuerte Broadcasts sind mit Sicherheitsrisiken verbunden: Von einem Angreifer könnten kontinuierlich ICMP-Echoanforderungen (Internet Control Message Protocol) von einer gefälschten Quelladresse an die gesteuerte Broadcastadresse gesendet werden. Dies würde dazu führen, dass von allen Hosts Antworten an diese Quelladresse gesendet werden. Diese Art von DoS-Angriff wird allgemein als „Smurf Attack“ bezeichnet und üblicherweise dadurch verhindert, dass keine subnetzgesteuerten Broadcasts zugelassen werden.

Von System Center 2012 Configuration Manager werden Standorte und Hierarchien unterstützt, die mehrere Active Directory-Gesamtstrukturen umfassen.

Von Configuration Manager werden auch Domänencomputer unterstützt, die sich nicht in der gleichen Active Directory-Gesamtstruktur wie der Standortserver befinden, sowie Computer in Arbeitsgruppen:

  • Zur Unterstützung von Domänencomputern in einer Gesamtstruktur, die von der Gesamtstruktur des Standortservers als nicht vertrauenswürdig eingestuft wird, können Sie Standortsystemrollen in der nicht vertrauenswürdigen Gesamtstruktur installieren. Die Standortinformationen können Sie dann in der Active Directory-Gesamtstruktur des Clients veröffentlichen. Sie können diese Computer aber auch so verwalten, als ob es sich um Arbeitsgruppencomputer handeln würde. Wenn sie Standortsystemserver in der Gesamtstruktur des Clients installieren, verbleibt die Kommunikation zwischen Client und Server in der Gesamtstruktur des Clients. Der Computer kann in Configuration Manager mithilfe von Kerberos authentifiziert werden. Wenn Sie Standortinformationen in der Gesamtstruktur des Clients veröffentlichen, hat dies Vorteile für die Clients, denn Standortinformationen, beispielsweise eine Liste verfügbarer Verwaltungspunkte, werden aus ihrer Active Directory-Gesamtstruktur abgerufen und müssen nicht vom ihnen zugewiesenen Verwaltungspunkt heruntergeladen werden.

    noteHinweis
    Wenn Sie Geräte im Internet verwalten möchten, können Sie internetbasierte Standortsystemrollen in Ihrem Umkreisnetzwerk installieren, wenn sich die Standortsystemserver in einer Active Directory-Gesamtstruktur befinden. Für dieses Szenario ist keine bidirektionale Vertrauensstellung zwischen dem Umkreisnetzwerk und der Gesamtstruktur des Standortservers erforderlich.

  • Zur Unterstützung von Computern in einer Arbeitsgruppe müssen Sie diese manuell genehmigen, wenn von ihnen HTTPS-Client-Verbindungen zu Standortsystemrollen verwendet werden, da diese Computer von Configuration Manager nicht mithilfe von Kerberos authentifiziert werden können. Darüber hinaus müssen Sie das Netzwerkzugriffskonto konfigurieren, damit von diesen Computern Inhalt vom Verteilungspunkt abgerufen werden kann. Da von diesen Clients keine Standortinformationen aus den Active Directory-Domänendiensten abgerufen werden können, brauchen Sie eine Alternative zum Suchen von Verwaltungspunkten. Sie können die DNS-Veröffentlichung oder WINS verwenden bzw. einen Verwaltungspunkt direkt zuweisen.

    Weitere Informationen zur Clientgenehmigung und dazu, wie Verwaltungspunkte von Clients gefunden werden, erhalten Sie im Abschnitt Planen der Clientkommunikation in Configuration Manager in diesem Thema.

    Weitere Informationen zum Konfigurieren des Netzwerkzugriffskontos finden Sie im Abschnitt Konfigurieren des Netzwerkzugriffskontos des Themas Konfigurieren der Inhaltsverwaltung in Configuration Manager.

    Weitere Informationen zum Installieren von Clients auf Arbeitsgruppencomputern bietet der Abschnitt Installieren von Configuration Manager-Clients auf Arbeitsgruppencomputern des Themas Installieren von Clients auf Windows-Computern in Configuration Manager.

Der Exchange Server-Connector wird von Configuration Manager in einer anderen Gesamtstruktur als der Standortserver unterstützt. Achten Sie in diesem Fall darauf, dass die Namensauflösung in allen Gesamtstrukturen möglich ist (konfigurieren Sie beispielsweise DNS-Weiterleitung), und geben Sie beim Konfigurieren des Exchange Server-Connectors die Intranet-FQDN von Exchange Server an. Weitere Informationen finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Exchange.

Wenn ein Configuration Manager-Entwurf mehrere Active Directory-Domänen und -Gesamtstrukturen umfasst, verwenden Sie die zusätzlichen Informationen in der nachstehenden Tabelle, um die folgenden Kommunikationstypen zu planen.

 

Szenario Details Weitere Informationen

Kommunikation zwischen Standorten in einer Hierarchie, die mehrere Gesamtstrukturen umfasst:

  • Zwischen Gesamtstrukturen ist eine bidirektionale Vertrauensstellung, die die von Configuration Manager benötigte Kerberos-Authentifizierung unterstützt, erforderlich.

Die Installation eines untergeordneten Standorts in einer Remotegesamtstruktur, die die erforderliche bidirektionale Vertrauensstellung mit der Gesamtstruktur des übergeordneten Standorts hat, wird von Configuration Manager unterstützt. Zum Beispiel: Sie können einen sekundären Standort in einer anderen Gesamtstruktur als den übergeordneten primären Standort platzieren, sofern die erforderliche Vertrauensstellung vorliegt. Falls es zwischen Gesamtstrukturen keine bidirektionale Vertrauensstellung gibt, die die Kerberos-Authentifizierung unterstützt, wird die Platzierung des untergeordneten Standorts in der Remotegesamtstruktur von Configuration Manager nicht unterstützt.

noteHinweis
Bei einem untergeordneten Standort kann es sich um einen primären Standort (wobei der Standort der zentralen Verwaltung der übergeordnete Standort ist) oder um einen sekundären Standort handeln.

Für die standortübergreifende Kommunikation werden in Configuration Manager die Datenbankreplikation und dateibasierte Übertragungen verwendet. Beim Installieren eines Standorts müssen Sie ein Konto angeben, um den Standort auf dem gewünschten Server zu installieren. Über dieses Konto wird auch die Kommunikation zwischen Standorten hergestellt und verwaltet.

Nachdem der Standort erfolgreich installiert wurde und dateibasierte Übertragungen sowie die Datenbankreplikation initiiert wurden, ist die Konfiguration der Kommunikation für diesen Standort abgeschlossen.

Weitere Informationen zum Installieren von Standorten finden Sie im Abschnitt Installieren eines Standortservers des Themas Installieren von Standorten und Erstellen einer Hierarchie für Configuration Manager.

Wenn eine bidirektionale Vertrauensstellung zwischen Gesamtstrukturen gegeben ist, sind in Configuration Manager keine weiteren Konfigurationsschritte erforderlich.

Bei der Installation eines neuen Standorts, der einem anderen Standort untergeordnet ist, wird von Configuration Manager standardmäßig Folgendes konfiguriert:

  • Eine Adresse für die standortübergreifende, dateibasierte Replikation an jedem Standort, von dem das Computerkonto des Standortservers verwendet wird. In Configuration Manager wird das Computerkonto jedes Computers der Gruppe SMS_SiteToSiteConnection_<Standortcode> auf dem Zielrechner hinzugefügt.

  • Datenbankreplikation zwischen SQL Server an jedem Standort

Außerdem muss Folgendes konfiguriert werden:

  • Die von Configuration Manager benötigten Netzwerkpakete müssen von beteiligten Firewalls und Netzwerkgeräte zugelassen werden.

  • Die Namensauflösung muss zwischen den Gesamtstrukturen möglich sein.

  • Zum Installieren eines Standorts oder einer Standortsystemrolle müssen Sie ein Konto mit lokalen Administratorrechten auf dem angegebenen Computer angeben.

Kommunikation an einem Standort, der mehrere Gesamtstrukturen umfasst:

  • Keine bidirektionale Vertrauensstellung erforderlich

Zur Unterstützung von Clients wird die Installation jeder Standortsystemrolle auf Computern in anderen Gesamtstrukturen von primären Standorten unterstützt.

noteHinweis
Zwei Ausnahmen sind der Out-of-Band-Dienstpunkt und der Anwendungskatalog-Webdienstpunkt. Beide müssen in derselben Gesamtstruktur wie der Standortserver installiert sein.

Wenn von der Standortsystemrolle Verbindungen aus dem Internet akzeptiert werden, wird empfohlen, diese Standortsystemrollen in einer nicht vertrauenswürdigen Gesamtstruktur zu installieren (beispielsweise in einem Umkreisnetzwerk). Der Standortserver wird dann durch die Gesamtstrukturgrenze geschützt.

Wenn Sie einen Computer als Standortsystemserver auswählen, müssen Sie das Installationskonto des Standortsystems angeben. Für dieses Konto sind lokale Administratorrechte zum Herstellen einer Verbindung mit dem angegebenen Computer sowie zum Installieren von Standortsystemrollen auf diesem Computer erforderlich.

Wenn Sie eine Standortsystemrolle in einer nicht vertrauenswürdigen Gesamtstruktur installieren, müssen Sie die Standortsystemoption Verbindungen mit diesem Standortsystem müssen vom Standortserver hergestellt werden auswählen. Dank dieser Konfiguration können vom Standortserver Verbindungen mit dem Standortsystemserver hergestellt werden, um Daten zu übertragen. Dadurch wird verhindert, dass von einem Standortsystemserver an einem nicht vertrauenswürdigen Ort versucht wird, eine Verbindung mit dem Standortserver in einem vertrauenswürdigen Netzwerk herzustellen. Bei diesen Verbindungen wird das zum Installieren des Standortsystemservers verwendete Installationskonto des Standortsystems eingesetzt.

Von den Standortsystemrollen „Verwaltungspunkt“ und „Anmeldungspunkt“ wird eine Verbindung mit der Standortdatenbank hergestellt. Bei der Installation dieser Standortsystemrollen wird das Computerkonto des neuen Standortsystemservers von Configuration Manager standardmäßig als Verbindungskonto konfiguriert und der entsprechenden SQL Server-Datenbankrolle hinzugefügt. Wenn Sie diese Standortsystemrollen in einer nicht vertrauenswürdigen Domäne installieren, müssen Sie das Verbindungskonto der Standortsystemrolle konfigurieren, damit von der Standortsystemrolle Informationen aus der Datenbank abgerufen werden können.

Wenn Sie für diese Verbindungskonten ein Domänenbenutzerkonto konfigurieren, achten Sie darauf, dass diesem Konto geeignete Zugriffsrechte für die SQL Server-Datenbank am Standort erteilt wurden:

  • Verwaltungspunkt: Verwaltungspunkt-Datenbankverbindungskonto

  • Anmeldungspunkt: Verbindungskonto des Anmeldungspunkts

Erwägen Sie beim Planen von Standortsystemrollen in anderen Gesamtstrukturen auch die folgenden Punkte:

  • Legen Sie bei Verwendung einer Windows-Firewall in den entsprechenden Firewall-Profilen fest, dass die Kommunikation zwischen dem Standortdatenbankserver und Computern, auf den Remote-Standortsystemrollen installiert sind, zulässig ist. Informationen zu Firewall-Profilen finden Sie unter Grundlegendes zu Firewall-Profilen.

  • Wenn die Gesamtstruktur, die die Benutzerkonten enthält, von den internetbasierten Verwaltungspunkten als vertrauenswürdig eingestuft wird, werden Benutzerrichtlinien unterstützt. Wenn keine Vertrauensstellung vorhanden ist, werden nur Computerrichtlinien unterstützt.

Kommunikation zwischen Clients und Standortsystemrollen, wenn die Clients nicht der gleichen Active Directory-Gesamtstruktur wie der zugehörige Standortserver angehören

Von Configuration Manager werden die folgenden Szenarien für Clients unterstützt, die sich nicht in derselben Gesamtstruktur wie der Standortserver ihres Standorts befinden:

  • Zwischen der Gesamtstruktur des Clients und der Gesamtstruktur des Standortservers besteht eine bidirektionale Vertrauensstellung.

  • Der Standortsystemrollenserver befindet sich in der gleichen Gesamtstruktur wie der Client.

  • Der Client befindet sich auf einem Domänencomputer ohne bidirektionale Vertrauensstellung mit der Gesamtstruktur, und es sind keine Standortsystemrollen in der Gesamtstruktur des Clients installiert.

  • Der Client befindet sich auf einem Arbeitsgruppencomputer.

noteHinweis
Die Out-of-Band-Verwaltung AMT-basierter Computer durch Configuration Manager ist nicht möglich, wenn diese Computer sich in einer anderen Gesamtstruktur als der Standortserver befinden.

Die Active Directory-Domänendienste können von Clients auf einem Domänencomputer zur Dienstidentifizierung verwendet werden, sofern der entsprechende Standort in der Active Directory-Gesamtstruktur veröffentlicht wurde.

Zum Veröffentlichen von Standortinformationen in einer anderen Active Directory-Gesamtstruktur müssen Sie zuerst die Gesamtstruktur angeben. Aktivieren Sie dann im Arbeitsbereich Verwaltung im Knoten Active Directory-Gesamtstrukturen die Veröffentlichung in dieser Gesamtstruktur. Außerdem müssen Sie für jeden Standort festlegen, dass die Standortdaten in den Active Directory-Domänendiensten veröffentlicht werden sollen. Von den Clients in dieser Gesamtstruktur können dann Standortinformationen abgerufen und Verwaltungspunkte gefunden werden. Für Clients, von denen keine Active Directory-Domänendienste zur Dienstidentifizierung verwendet werden können, besteht die Möglichkeit, DNS, WINS oder den Verwaltungspunkt zu verwenden, der dem Client zugewiesen wurde.

Mithilfe der internetbasierten Clientverwaltung können Sie Configuration Manager-Clients verwalten, wenn diese nicht mit Ihrem Unternehmensnetzwerk, sondern standardmäßig mit dem Internet verbunden sind. Diese Möglichkeit bietet eine Reihe von Vorteilen, einschließlich geringerer Kosten, da keine VPNs (Virtuelle Private Netzwerke) ausgeführt werden müssen und Softwareupdates umgehend bereitgestellt werden können.

Für die Verwaltung von Clientcomputern in einem öffentlichen Netzwerk gelten höhere Sicherheitsanforderungen. Bei der internetbasierten Clientverwaltung müssen sowohl von den Clients, als auch von den Standortsystemservern, mit denen von den Clients eine Verbindung hergestellt wird, PKI-Zertifikate verwendet werden. Hierdurch wird gewährleistet, dass Verbindungen von einer unabhängigen Stelle authentifiziert und Daten bei der Übertragung von und zu diesen Standortsystemen mit Secure Sockets Layer (SSL) verschlüsselt werden.

In den folgenden Abschnitten wird die Planung der internetbasierten Clientverwaltung eingehender erörtert.

Einige Clientverwaltungsfunktionen eignen sich nicht für das Internet und werden daher bei der Clientverwaltung im Internet nicht unterstützt. Viele Features, die bei der internetbasierten Verwaltung nicht unterstützt werden, sind auf die Active Directory-Domänendienste angewiesen oder für ein öffentliches Netzwerk ungeeignet, wie z. B. Netzwerkermittlung und Wake-On-LAN (WOL).

Die folgenden Features werden bei Clientverwaltung im Internet nicht unterstützt:

  • Clientbereitstellung über das Internet, wie Clientpush und die auf Softwareupdates basierende Clientbereitstellung. Verwenden Sie stattdessen die manuelle Clientinstallation.

  • Automatische Standortzuweisung

  • Netzwerkzugriffsschutz (NAP)

  • Wake-On-LAN

  • Betriebssystembereitstellung Sie können aber Tasksequenzen bereitstellen, mit denen kein Betriebssystem bereitgestellt wird. Dazu gehören beispielsweise Tasksequenzen zur Ausführung von Skripts und Wartungstasks auf Clients.

  • Remotesteuerung

  • Out-of-Band-Verwaltung

  • Softwarebereitstellung für Benutzer, es sei denn, der Benutzer kann vom internetbasierten Verwaltungspunkt in den Active Directory-Domänendiensten mit der Windows-Authentifizierung (Kerberos oder NTLM) authentifiziert werden. Dies ist möglich, wenn die Gesamtstruktur, in der das Benutzerkonto sich befindet, vom internetbasierten Verwaltungspunkt als vertrauenswürdig eingestuft wird.

Im Übrigen wird von der internetbasierten Clientverwaltung kein Roaming unterstützt. Mithilfe von Roaming kann von Clients immer der nächstgelegene Verteilungspunkt zum Herunterladen von Inhalt ermittelt werden. Bei den im Internet verwalteten Clients erfolgt die Kommunikation mit Standortsystemen über den jeweils zugewiesenen Standort. Dies ist nur möglich, wenn diese Standortsysteme zur Verwendung eines Internet-FQDN konfiguriert wurden und Clientverbindungen aus dem Internet von den Standortsystemrollen gestattet werden. Eines der internetbasierten Standortsysteme wird auf nicht deterministische Weise und unabhängig von der Bandbreite oder vom physischen Standort von den Clients ausgewählt.

noteHinweis
Softwareupdatepunkte, von denen Verbindungen aus dem Internet akzeptiert werden, werden in System Center 2012 Configuration Manager jetzt immer von internetbasierten Configuration Manager-Clients geprüft. Auf diese Weise wird festgestellt, welche Softwareupdates erforderlich sind. Allerdings wird von internetbasierten Clients immer zuerst versucht, die Softwareupdates von Microsoft Update herunterzuladen, anstatt von einem internetbasierten Verteilungspunkt. Nur wenn dies nicht möglich ist, wird versucht, die erforderlichen Softwareupdates von einem internetbasierten Verteilungspunkt herunterzuladen. Softwareupdates werden von Clients, die nicht für die internetbasierte Clientverwaltung konfiguriert sind, immer über Configuration Manager-Verteilungspunkte und nie von Microsoft Update heruntergeladen.

Clientverbindungen aus dem Internet werden an einem primären Standort von den folgenden Standortsystemrollen unterstützt:

  • Verwaltungspunkt

  • Verteilungspunkt

  • Fallbackstatuspunkt

  • Softwareupdatepunkt (mit und ohne Cluster für den Netzwerklastenausgleich)

  • Anwendungskatalog-Websitepunkt

  • Anmeldungsproxypunkt

Von sekundären Standorten werden keine Clientverbindungen aus dem Internet unterstützt.

Alle Standortsysteme müssen sich einer Active Directory-Domäne befinden. Sie können aber Standortsysteme für die internetbasierte Clientverwaltung in einer nicht vertrauenswürdigen Gesamtstruktur installieren. Dies ist möglicherweise bei einem Umkreisnetzwerk sinnvoll, für das ein hohes Maß an Sicherheit erforderlich ist. Eine Vertrauensstellung zwischen den beiden Gesamtstrukturen ist nicht unbedingt erforderlich. Wenn aber die Gesamtstruktur mit den Benutzerkonten von der Gesamtstruktur mit den internetbasierten Standortsystemen als vertrauenswürdig eingestuft wird und Sie unter Clientrichtlinie die Clienteinstellung Benutzerrichtlinienanforderungen von Internetclients aktivieren auswählen, werden von dieser Konfiguration aber benutzerbasierte Richtlinien für Geräte im Internet unterstützt. Aus den nachstehenden Konfigurationsbeispielen geht hervor, unter welchen Umständen Benutzerrichtlinien für Geräte im Internet von der internetbasierten Clientverwaltung unterstützt werden:

  • Der internetbasierte Verwaltungspunkt befindet sich im Umkreisnetzwerk, wo der Benutzer von einem schreibgeschützten Domänencontroller authentifiziert wird und Active Directory-Pakete von einer beteiligten Firewall zugelassen werden.

  • Das Benutzerkonto befindet sich in Gesamtstruktur A (im Internet) und der internetbasierte Verwaltungspunkt in Gesamtstruktur B (im Umkreisnetzwerk). Gesamtstruktur A wird von Gesamtstruktur B als vertrauenswürdig eingestuft, und die Authentifizierungspakete werden von einer beteiligten Firewall zugelassen.

  • Das Benutzerkonto und der internetbasierte Verwaltungspunkt befinden sich in Gesamtstruktur A (im Intranet). Der Verwaltungspunkt wird über einen Webproxyserver im Internet veröffentlicht.

noteHinweis
Sollte die Kerberos-Authentifizierung nicht möglich sein, wird automatisch die Authentifizierung über NTLM versucht.

Wie aus dem vorstehenden Beispiel hervorgeht, können Sie internetbasierte Standortsysteme im Intranet platzieren, wenn diese über einen Webproxyserver wie ISA Server und Forefront Threat Management Gateway im Internet veröffentlicht werden. Sie können für diese Standortsysteme festlegen, dass Clientverbindungen nur aus dem Internet oder sowohl aus dem Intranet als auch aus dem Internet unterstützt werden. Einen Webproxyserver können Sie für SSL-zu-SSL-Bridging (Secure Sockets Layer) oder SSL-Tunneling konfigurieren (wobei von Ersterem ein höheres Maß an Sicherheit geboten wird):

  • SSL-zu-SSL-Bridging:

    Wenn Sie Proxywebserver bei der internetbasierten Clientverwaltung einsetzen, ist SSL-zu-SSL-Bridging empfehlenswert, bei dem ein SSL-Tunnelabschluss mit Authentifizierung verwendet wird. Die Authentifizierung von Clientcomputern muss über die Computerauthentifizierung erfolgen. Die Authentifizierung der Legacyclients mobiler Geräte erfolgt über die Benutzerauthentifizierung. SSL-Bridging wird von mobilen Geräten, die mithilfe von Configuration Manager angemeldet wurden, nicht unterstützt.

    Der SSL-Tunnelabschluss für den Proxywebserver hat den Vorteil, dass Pakete aus dem Internet überprüft werden, bevor sie an das interne Netzwerk weitergeleitet werden. Die vom Client eingehende Verbindung wird vom Proxywebserver authentifiziert und beendet, und dann wird eine neue authentifizierte Verbindung mit dem internetbasierten Standortsystem hergestellt. Wenn von Configuration Manager-Clients ein Proxywebserver verwendet wird, wird die Clientidentität (Client-GUID) sicher als Bestandteil der Paketnutzdaten transportiert, sodass der Proxywebserver vom Verwaltungspunkt nicht als Client betrachtet wird. In Configuration Manager wird kein HTTP-zu-HTTPS- oder HTTPS-zu-HTTP-Bridging unterstützt.

  • Tunneling:

    Falls die Anforderungen für SSL-Bridging vom Proxywebserver nicht erfüllt werden können oder falls Sie die Internetunterstützung für mobile Geräte, die mithilfe von Configuration Manager angemeldet wurden, konfigurieren möchten, wird auch SSL-Tunneling unterstützt. Diese Option ist weniger sicher, da die SSL-Pakete aus dem Internet ohne SSL-Tunnelabschluss an die Standortsysteme weitergeleitet werden und daher nicht auf schädliche Inhalte überprüft werden können. Bei der Verwendung von SSL-Tunneling müssen vom Proxywebserver keine Zertifikatanforderungen erfüllt werden.

Sie müssen entscheiden, ob die Clientcomputer, die über das Internet verwaltet werden sollen, für die Verwaltung im Intranet und im Internet oder lediglich für die internetbasierte Clientverwaltung konfiguriert werden. Die Konfiguration der Clientverwaltungsoption ist nur während der Installation eines Clientcomputers möglich. Sollten Sie Ihre Meinung später ändern, müssen Sie den Client neu installieren.

TipTipp
Sie müssen die Konfiguration der internetbasierten Clientverwaltung nicht auf das Internet beschränken, sondern können sie auch im Intranet einsetzen.

Bei Clients, die nur für die internetbasierte Clientverwaltung konfiguriert sind, ist die Kommunikation nur mit Standortsystemen möglich, die für Clientverbindungen aus dem Internet konfiguriert sind. Diese Konfiguration eignet sich für Computer, bei denen eine Verbindung mit dem Unternehmensintranet grundsätzlich ausgeschlossen werden kann, z. B. Point-of-Sale-Computer an Remotestandorten. Sie ist gegebenenfalls auch dann die richtige Lösung, wenn Sie die Clientkommunikation auf HTTPS beschränken möchten (z. B. zur Unterstützung von Firewall- und Sicherheitsrichtlinien). Denkbar ist ihre Verwendung auch, wenn Sie internetbasierte Standortsysteme in einem Umkreisnetzwerk installieren und diese Server mit dem Configuration Manager-Client verwalten möchten.

Wenn Sie Arbeitsgruppen im Internet verwalten möchten, müssen Sie bei der Installation angeben, dass von ihnen nur Internetverbindungen zugelassen werden.

noteHinweis
Clients für mobile Geräte werden automatisch nur für das Internet konfiguriert, wenn sie zur Verwendung eines internetbasierten Verwaltungspunkts konfiguriert sind.

Andere Clientcomputer können für die Clientverwaltung über das Internet oder das Intranet konfiguriert werden. Bei einer Netzwerkänderung ist ein automatischer Wechsel zwischen internet- und intranetbasierter Clientverwaltung möglich. Falls keine Verbindung mit einem für Clientverbindungen im Intranet konfigurierten Verwaltungspunkt möglich ist bzw. kein solcher Verwaltungspunkt gefunden wird, werden diese Clients als Intranetclients mit voller Configuration Manager-Verwaltungsfunktionalität verwaltet. Falls keine Verbindung mit einem für Clientverbindungen im Intranet konfigurierten Verwaltungspunkt möglich ist bzw. kein solcher Verwaltungspunkt gefunden wird, wird versucht, eine Verbindung mit einem internetbasierten Verwaltungspunkt herzustellen. Ist dies möglich, werden diese Clients von den internetbasierten Standortsystemen am zugewiesenen Standort verwaltet.

Der automatische Wechsel zwischen internet- und intranetbasierter Clientverwaltung bietet folgende Vorteile: Bei einer Verbindung mit dem Intranet stehen den Clientcomputern automatisch alle Configuration Manager-Features zur Verfügung, und bei einer Verbindung mit dem Internet werden wichtige Verwaltungsfunktionen weiterhin verwendet. Außerdem kann ein im Internet begonnener Download nahtlos im Intranet fortgeführt werden und umgekehrt.

Für die internetbasierte Clientverwaltung in Configuration Manager gelten die folgenden externen Abhängigkeiten:

 

Abhängigkeit Weitere Informationen

Über das Internet verwaltete Clients müssen über eine Internetverbindung verfügen.

In Configuration Manager werden vorhandene Internetverbindungen von Internetdienstanbietern (Internet Service Provider, ISP) verwendet, bei denen es sich um permanente oder temporäre Verbindungen handeln kann. Für mobile Clientgeräte muss es eine direkte Internetverbindung geben. Bei Clientcomputern hingegen ist eine direkte Internetverbindung oder eine Verbindung über einen Proxywebserver möglich.

Standortsysteme, von den die internetbasierte Clientverwaltung unterstützt wird, müssen eine Internetverbindung haben und sich in einer Active Directory-Domäne befinden.

Für internetbasierte Standortsysteme ist keine Vertrauensstellung mit der Active Directory-Gesamtstruktur des Standortservers erforderlich. Wenn aber die Authentifizierung des Benutzers mithilfe der Windows-Authentifizierung durch den internetbasierten Verwaltungspunkt möglich ist, werden Benutzerrichtlinien unterstützt. Falls bei der Windows-Authentifizierung ein Fehler auftritt, werden nur Computerrichtlinien unterstützt.

noteHinweis
Zur Unterstützung von Benutzerrichtlinien müssen Sie die beiden folgenden Clienteinstellungen unter Clientrichtlinie auf Wahr festlegen:

  • Benutzerrichtlinienabruf auf Clients aktivieren

  • Benutzerrichtlinienanforderungen von Internetclients aktivieren

Bei einem internetbasierten Anwendungskatalog-Websitepunkt müssen Benutzer, deren Computer sich im Internet befinden, ebenfalls über die Windows-Authentifizierung authentifiziert werden. Diese Anforderung besteht unabhängig von Benutzerrichtlinien.

Sie benötigen eine Public Key-Infrastruktur (PKI) zur Bereitstellung und Verwaltung der Zertifikate, die für die Clients erforderlich sind und. Die Zertifikate müssen sowohl im Internet als auch auf den internetbasierten Standortsystemservern verwaltet werden.

Weitere Informationen zu den PKI-Zertifikaten finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

Die folgenden Infrastrukturdienste müssen zur Unterstützung der internetbasierten Clientverwaltung konfiguriert werden:

  • Öffentliche DNS-Server: Der internetgestützte, vollständig qualifizierte Domänenname (FQDN) von Standortsystemen, die die internetbasierte Clientverwaltung unterstützen, muss auf öffentlichen DNS-Servern als Hosteintrag registriert sein.

  • Beteiligte Firewalls oder Proxyserver: Die mit internetbasierten Standortsystemen verbundene Clientkommunikation muss von diesen Netzwerkgeräten zugelassen werden.

Anforderungen für die Clientkommunikation:

  • Unterstützung von HTTP 1.1

  • Zulassen des HTTP-Inhaltstyps mehrteiliger MIME-Anlagen (mehrteilige/gemischte und Anwendungs-/Oktettstream)

  • Zulassen der folgenden Verben für den internetbasierten Verwaltungspunkt:

    • HEAD

    • CCM_POST

    • BITS_POST

    • GET

    • PROPFIND

  • Zulassen der folgenden Verben für den internetbasierten Verteilungspunkt:

    • HEAD

    • GET

    • PROPFIND

  • Zulassen der folgenden Verben für den internetbasierten Fallbackstatuspunkt:

    • POST

  • Zulassen der folgenden Verben für den internetbasierten Anwendungskatalog-Websitepunkt:

    • POST

    • GET

  • Zulassen der folgenden HTTP-Header für den internetbasierten Verwaltungspunkt:

    • Range:

    • CCMClientID:

    • CCMClientIDSignature:

    • CCMClientTimestamp:

    • CCMClientTimestampsSignature:

  • Zulassen des folgenden HTTP-Headers für den internetbasierten Verwaltungspunkt:

    • Range:

Informationen zu diesen Anforderungen finden Sie in der Dokumentation zur Firewall oder zum Proxyserver.

Informationen zu ähnlichen Kommunikationsanforderungen bei Verwendung des Softwareupdatepunkts für Clientverbindungen über das Internet finden Sie in der Dokumentation zu Windows Server Update Services (WSUS). Weitere Informationen zu WSUS unter Windows Server 2003 finden Sie in Appendix D: Security Settings (Anhang D: Sicherheitseinstellungen).

In System Center 2012 Configuration Manager gibt es mehrere Methoden zur Steuerung der Netzwerkbandbreite, die bei der Kommunikation zwischen Standorten, Standortsystemservern und Clients in Anspruch genommen wird. Allerdings kann nicht die gesamte Kommunikation im Netzwerk verwaltet werden. In den folgenden Abschnitten werden die Methoden erläutert, die Ihnen zur Steuerung der Netzwerkbandbreite und beim Entwerfen der Standorthierarchie zur Verfügung stehen.

Beim Entwerfen der Configuration Manager-Hierarchie sollten Sie bedenken, in welchem Umfang Netzwerkdaten bei der standortübergreifenden und standortinternen Kommunikation übertragen werden.

noteHinweis
Dateireplikationsrouten (vor Configuration Manager SP1 als Adressen bezeichnet) werden lediglich für die standortübergreifende Kommunikation verwendet. Bei der standortinternen Kommunikation zwischen Standortservern und Standortsystemen kommen sie nicht zum Einsatz.

Von Configuration Manager werden Daten mithilfe von dateibasierter Replikation und Datenbankreplikation zwischen den Standorten übertragen. In den Versionen vor Configuration Manager mit SP1 konnten Sie die dateibasierte Replikation zum Steuern der Netzwerkbandbreite für Übertragungen konfigurieren, nicht aber die Netzwerkbandbreite für die Datenbankreplikation. Ab Configuration Manager SP1 können Sie für ausgewählte Standortdaten die Nutzung der Netzwerkbandbreite für die Datenbankreplikation konfigurieren.

Wenn Sie Netzwerkbandbreitensteuerungen konfigurieren, müssen Sie sich auf potenzielle Datenlatenz einstellen. Wurde die Kommunikation zwischen Standorten eingeschränkt oder nur für die Datenübertragung außerhalb der normalen Geschäftszeiten konfiguriert, können Administratoren am übergeordneten oder untergeordneten Standort bestimmte Daten möglicherweise erst einsehen, wenn die standortübergreifende Kommunikation stattgefunden hat. Wird beispielsweise ein wichtiges Softwareupdatepaket an Verteilungspunkte gesendet, die sich auf untergeordneten Standorten befinden, steht das Paket diesen Standorten möglicherweise erst nach Abschluss der gesamten noch ausstehenden standortübergreifenden Kommunikation zur Verfügung. Dabei kann es sich beispielsweise um sehr große Pakete handeln, die noch nicht vollständig übertragen wurden.

  • Steuerelemente für die dateibasierte Replikation: Bei dateibasierten Datenübertragungen zwischen Standorten wird die gesamte verfügbare Netzwerkbandbreite von Configuration Manager in Anspruch genommen. Sie können diesen Prozess steuern, indem Sie den Absender an einem Standort zum Vergrößern oder Verkleinern der zwischen Standorten gesendeten Threads konfigurieren. Gesendete Threads dienen zur Übertragung jeweils einer Datei. Durch zusätzliche Threads können weitere Dateien zum gleichen Zeitpunkt übertragen werden, wodurch die Auslastung der Bandbreite zunimmt. Geben Sie in den Standorteigenschaften auf der Registerkarte Absender unter Maximale Anzahl gleichzeitiger Sendevorgänge einen Wert ein, um die Threadanzahl bei Übertragungen zwischen Standorten festzulegen.

    Zum Steuern von dateibasierten Datenübertragungen zwischen Standorten können Sie planen, wann von Configuration Manager eine Dateireplikationsroute an einen bestimmten Standort verwendet werden darf. Sie können den Umfang der verfügbaren Netzwerkbandbreite, die Größe der Datenblöcke und das Intervall zum Senden der Datenblöcke steuern. Über zusätzliche Konfigurationen können Sie Datenübertragungen anhand der Priorität des Datentyps einschränken. Sie können für jeden Standort in der Hierarchie Zeitpläne festlegen und die Datenübertragungsrate begrenzen, indem Sie die Eigenschaften der Dateireplikationsroute für jeden Zielstandort konfigurieren. Konfigurationen für eine Dateireplikationsroute gelten nur für die Datenübertragungen an den Zielstandort, der für diese Route angegeben wurde.

    Weitere Informationen über Dateireplikationsrouten finden Sie im Unterabschnitt „Dateireplikationsrouten“ im Abschnitt Planen der Kommunikation zwischen Standorten in Configuration Manager dieses Themas.

    ImportantWichtig
    Wenn Sie eine Begrenzung der Übertragungsrate für eine bestimmte Dateireplikationsroute konfigurieren, steht für Configuration Manager nur ein einziger Thread für die Übertragung von Daten auf diesen Zielstandort zur Verfügung. Durch die Verwendung von Übertragungsratenbegrenzungen für eine Dateireplikationsroute wird die unter Maximale Anzahl gleichzeitiger Sendevorgänge konfigurierte Verwendung mehrerer Threads für jeden Standort außer Kraft gesetzt.

  • Steuerelemente für die Datenbankreplikation: Ab Configuration Manager SP1 können Sie Datenbankreplikationslinks konfigurieren, um die Verwendung der Netzwerkbandbreite für die Übertragung ausgewählter Standortdaten zwischen Standorten zu steuern. Einige Steuerelemente ähneln denjenigen für dateibasierte Replikation. Es kann jedoch zusätzlich geplant werden, wann über diesen Link die Replikation von Hardwareinventur, Softwareinventur, Softwaremessung und Statusmeldungen an den übergeordneten Standort erfolgt.

    Weitere Informationen finden Sie im Abschnitt Datenbankreplikation dieses Themas.

Innerhalb eines Standorts geschieht die Kommunikation zwischen Standortsystemen mithilfe von Server Message Blocks (SMB). Diese Kommunikation kann jederzeit stattfinden und bietet keine Möglichkeit zur Steuerung der Netzwerkbandbreite. Wenn Sie allerdings auf den Standortservern Übertragungsratenbegrenzungen und Zeitpläne zum Steuern der Übertragung von Daten über das Netzwerk auf Vermittlungspunkte konfigurieren, stehen Ihnen für die Verwaltung von Inhaltsübertragungen vom Standortserver auf Verteilungspunkte ähnliche Steuerungselemente zur Verfügung wie für dateibasierte Übertragungen zwischen Standorten.

Zwischen Clients und verschiedenen Standortsystemservern wird häufig kommuniziert. Von Clients wird beispielsweise mit einem Standortsystemserver kommuniziert, auf dem ein Verwaltungspunkt ausgeführt wird, um das Vorhandensein einer Clientrichtlinie zu überprüfen, oder mit einem Standortsystemserver, auf dem ein Verteilungspunkt ausgeführt wird, um Inhalte zum Installieren einer Anwendung oder eines Softwareupdates herunterzuladen. Die Häufigkeit dieser Verbindungen und der Umfang der über das Netzwerk übertragenen Daten auf einen oder von einem Client sind abhängig von den Zeitplänen und Konfigurationen, die Sie als Clienteinstellungen festlegen.

In der Regel ist für Richtlinienanforderungen von Clients eine geringe Netzwerkbandbreite erforderlich. Die Netzwerkbandbreite kann hoch sein, wenn Clients auf Inhalte für Bereitstellungen zugreifen oder Informationen, wie z. B. Hardwareinventurdaten, an den Standort senden.

Sie können Clienteinstellungen angeben, um die Häufigkeit der vom Client initiierten Netzwerkkommunikation steuern. Darüber hinaus können Sie konfigurieren, wie Clients auf Bereitstellungsinhalte zugreifen, z. B. mithilfe von BITS (Background Intelligent Transfer Service). Damit Inhalte über BITS heruntergeladen werden können, muss der Client für die Verwendung von BITS konfiguriert sein. Wenn der Client BITS nicht verwenden kann, wird SMB für die Übertragung von Inhalten verwendet.

Weitere Informationen zu Clienteinstellungen in Configuration Manager finden Sie unter Planen von Clienteinstellungen in Configuration Manager.

-----
For additional resources, see Information and Support for Configuration Manager.

Tip: Use this query to find online documentation in the TechNet Library for System Center 2012 Configuration Manager. For instructions and examples, see Search the Configuration Manager Documentation Library.
-----
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft