NUEVA PÁGINA DEL BLOG

EL Blog SCCM12.BlOGSPOT.COM se traslada a www.sccm.es,Todos los artículos nuevos se publicarán en esta nueva página, Os espero a todos alli¡¡¡¡

martes, 10 de enero de 2012

A.2.4 Sitios y jerarquías

Las siguientes secciones contienen información sobre los cambios a partir de SCCM 2007 en relación con las jerarquias y los sitios System Center Configuration Manager 2012.
AVISO: Extender el esquema de  Active Directory no ha cambiado en  System Center Configuration Manager 2012.Si has ampliado el esquema de Configuration Manager 2007, no es necesario extender el esquema de nuevo en System Center Configuration Manager 2012.

Tipos de sitio
System Center Configuration Manager 2012 introduce  el sitio de administración central y algunos cambios en los sitios primarios y secundarios. Tabla resumen de los sitios de SCCM 2012 Comparado con SCCM 2007.




Sitio


Propósito


Cambio desde SCCM 2007
Sitio de administración central (Central administration site) coordina la replicación de datos a través de la jerarquía de sitios usando la replicación de la base de datos de Configuration manager. También permite una amplia administración de las configuraciones de los agentes  cliente (Client Agents), el descubrimiento, y otras operaciones.
Utilice este sitio para toda la administración e informes de la jerarquía de sitios.

 Aunque este es el sitio en la parte superior de la jerarquía de SCCM 2012, tiene las siguientes diferencias con un sitio central en SCCM 2007:
  • No se procesan todos los datos enviados por el cliente, excepto para grabar los datos de Heartbeat Discovery,.
  • No acepta las asignaciones del cliente.
  • No soporta todos los roles del sitio de sistema.
  • Participa en la replicación de bases de datos 
    •  
     
    Sitio primario (Primary Site Gestiona clientes y sitios primarios conectados en SCCM12 Los sitios primarios de SCCM 2012 tienen las siguientes diferencias con los sitios primarios de SCCM 2007:
    • Otros sitios primarios permiten la jerarquía para soortar a más clientes.
    • No puede estar por debajo de otros sitios primarios.
    • Ya no se utiliza como un límite para la configuración del agente cliente o de seguridad.
    • Participa en la replicación de bases de datos. 
      Sitio secundario (Secondary Site) Controla la distribución de contenido para los clientes en lugares remotos a través de enlaces que tienen ancho de banda limitado. Los Sitios secundarios en SCCM 2012 tienen las siguientes con SCCM 2007:
      • SQL Server es necesario y SQL Server Express se instala durante la instalación del sitio si es necesario.
      • Un punto de administración (management point MP) y un punto de distribución(Distribution point DP) se instalan automáticamente durante la instalación del sitio.
      • Los Sitios secundarios pueden enviar el contenido de la  distribución a otros sitios secundarios.
      • Participa en la replicación de bases de datos.


      Sitio de Comunicación  (Site Comunication):
      Lo que ha cambiado para la comunicación entre sitios desde Configuration Manager 2007:
      • La comunicación sitio a sitio ahora utiliza la replicación de bases de datos, además de la replicación basada en archivos para muchas transferencia de datos de sitio a sitio, incluidas las configuraciones y los ajustes.
      • En Configuration Manager 2007 el concepto de modo mixto o modo nativo para definir cómo los clientes se comunican con los sitio de sistemas en el sitio ha sido reemplazado por las funciones (roles) del sistema de manera que pueden independiente soportar comunicaciones cliente HTTP o HTTPS.
      • Para ayudar a los Pc´s clientes de otros bosques de dominip, Configuration Manager se puede detectar equipos en estos bosques y publicar información del sitio de estos bosques.
      • El punto de administración (MP management point)es el rol que realiza ahora en SCCM 2012 la función del servidor de localización de puntos ( Server locator point SLP) que ya no se utiliza en esta versión.
      • La administración de clientes Basado en Internet ahora es compatible con:
        • Las directivas de usuario en el punto de administración basado en Internet puede autenticar al usuario mediante el uso de la autenticación de Windows (Kerberos o NTLM).
        • Secuencias de tareas simples, como secuencias de comandos. La Implementación del sistema operativo en Internet sigue siendo compatible.
      Modos de sitio  ( Site Modes):
      Los sitios ya no están configurados para el modo mixto o modo nativo. En su lugar, se aseguran los puntos finales de comunicación con los clientes mediante la configuración individual de cada rol del sitio de sistema para apoyar las conexiones de clientes a través de HTTPS o HTTP. Los roles del sitio de sistema  en el mismo sitio puede tener diferentes configuraciones, por ejemplo, algunos puntos de administración están configurados para HTTPS y algunos están configurados para HTTP. La mayoría de las conexiones de clientes a través de HTTPS utiliza la autenticación mutua por lo que debe asegurarse que los clientes tengan un certificado de PKI que tiene la capacidad de autenticación de cliente para admitir esta configuración. Los dispositivos móviles y las conexiones de clientes a través de Internet deben utilizar HTTPS.
      Para los sitios que utilizan conexiones HTTPS cliente, no tienes que especificar un certificado PKI de firma de documentos (el servidor del sitio firma el certificado de Configuration Manager 2007) debido a que System Center Configuration Manager 2012 crea automáticamente este certificado (con firma). Sin embargo, la mayoría de los requisitos de los certificados PKI de Configuration Manager 2007 siguen siendo los mismos cuando se configuran los roles de sitio de sistema para utilizar la comunicación HTTPS cliente, salvo para los certificados con muchos años de apoyo SHA-2, además de SHA-1.

      Funciones del sistema del sitio ( Site System Roles):
      Los siguientes roles del sitio de sistema se eliminan:
      • El punto de notificación (Reporting Point). Todos los informes son generados por el punto de servicio de  Reporting.
      • El punto de servicio PXE. Esta funcionalidad se traslada al punto de distribución (DP Distribución Point).
      • El servidor de localización de puntos (Server locutor Point). Esta funcionalidad se traslada al punto de administración (Distribution Point).
      • El punto de distribución de sucursales (Branco Distribution Point). Los puntos de distribución (Distribution Points) se puede instalar en servidores o estaciones de trabajo que estáen en un dominio de Active Directory. La funcionalidad del punto de distribución (Distribution Point) es ahora una configuración de BranchCache para un tipo de despliegue de aplicaciones y de implementación de paquetes.
      Además, ya no es necesario configurar la red con equilibrio de carga (NLB) en  los puntos de administración (administration point). Esta funcionalidad se proporciona automáticamente al instalar más de un punto de administración en el sitio.
      Nuevos Roles del sitio de sistema:
      • El punto de Catálogo de aplicaciones web ( Aplication Catalog Website point) y el punto de Catálogo de aplicaciones de servicios web (Application Catalog web services point. Estos roles requieren IIS y el sooprte  de la nueva aplicación de cliente, el Centro de Software (Software Center).
      • El punto de inscripción de proxy (Enrrollment Proxy Point), que gestiona las solicitudes de inscripción de dispositivos móviles y los puntos de inscripción, el cual completa la inscripción de dispositivos móviles y computadoras basadas en las disposiciones AMT. Este rol requiere IIS.
      Ya no hay un punto de administración (Administration Point) por defecto en los sitios primarios. En su lugar se pueden instalar múltiples puntos de administración (Administration Point)  y el cliente seleccionará automáticamente uno, basado en la ubicación de la red y la capacidad (HTTPS o HTTP). Este comportamiento es compatible con un mayor número de clientes en un solo sitio y proporciona redundancia, que se ha obtenido previamente mediante un balanceo de carga de red (NLB). Cuando el sitio contiene varios puntos de administración (Administration Point)  las conexiones HTTPS de apoyo al cliente y algunos puntos de gestión (Management Point) soportan conexiones de cliente HTTP, el cliente se conectará a un punto de administración (Administration Point) que se ha configurado para HTTPS cuando el cliente tiene un certificado válido de PKI.
      También puede haber más de un punto de Internet (Internet-Based Management Point) en  un sitio primario, aunque se puede especificar sólo uno cuando se configuran los clientes para la gestión de clientes basada en Internet. Cuando los clientes se comunican con el punto de administración basado en Internet, se les dará una lista de todos los puntos de administración (Administration Point)  basados en Internet en el sitio y luego seleccionaran uno.
      En un sitio secundario, el punto de administración (Administration Point)  ya no se refiere como punto de administración Proxy (Proxy Management Point), y debe ser colocado en el servidor de sitio secundario.


      Límites y Grupos de Limites o fronteras:
      Las siguientes características son nuevas o han cambiado desde SCCM 2007:
      • Los límites  ya no son específicos del sitio, sino que se definen una vez porjerarquía, y están disponibles en todos los sitios en la jerarquía.
      • Cada límite debe ser un miembro de un grupo de límites antes  un dispositivo de ese límite puede identificar un sitio asignado, o un servidor de contenido, como un punto de distribución.
      • Ya no es necesario configurar la velocidad de conexión de red de cada límite. En cambio, en los límites del grupo se especifica la velocidad de conexión de red para cada servidor del sistema de sitio asociado con el grupode limites como un servidor de localización de contenidos.
       
      Sitio de reserva para la asignación de clientes (Fallback Site para la asignación de clientes):
      En Configuration Manager 2007, la asignación de sitios automática podría fallar si el cliente no estaba en el límite especificado. en SCCM 2012, si se especifica un sitio de reserva (una configuración opcional de la jerarquía) y el cliente no está en los límites del grupo, la asignación de sitios automática se hace correctamente  y al cliente se le asigna al Fallback especificado.



      Descubrimiento (Dyscovery):
      Las siguientes características son nuevas o han cambiado para Discovery desde SCCM 2007:
      • Cada registro de descubrimiento de datos se procesa y se mete en la base de datos una sola vez, en un sitio principal o en el sitio de administración central, y luego el registro de descubrimiento de datos se elimina sin mas tratamientol.
      • El Descubrimiento de información se mete en la base de datos en un solo lugar y es compartido en cada sitio de la jerarquía mediante la replicación de bases de datos de Configuratión manager.
      • El Descubrimiento del Bosque de Active Directory ( Active Discovery Forest Discovery) es un método nuevo de descubrimiento que puede descubrir las subredes y sitios de Active Directory, y se pueden añadir como límites para la jerarquía de sitios.
      • Active Directory System Group Discovery ha sido eliminado.
      •  Active Directory Security  Group Discovery cambia su nombre por Active Directory Group Discovery y descubre la pertenencia a grupos de recursos.
      • Active Directory System Discovery y Active Directory Group Discovery soportan las opciones para filtrar los registros obsoletos de pc´s desde Discovery.
      • Active Directory System, el usuario, y Group Discovery sooprtan Active Directory Delta Discovery.. Delta Discovery es una mejora desde SCCM 2007 R3 y ahora puede detectar cuando los equipos o los usuarios se agregan o quitan de un grupo. 

      Configuración del agente de cliente es ahora la configuración del cliente (Client Agent Settings --> Client Settings):
       En SCCM 2007, la configuración del agente de cliente se configura en función de cada sitio y no se puede configurar estas opciones para toda la jerarquía. En SCCM 2012, la configuración del agente de cliente y la configuración de otro cliente se agrupan en el centro de configuraciones de los objetos del cliente que se aplican a la jerarquía. Para ver y configurar estas opciones, modifica la configuración predeterminada del cliente. Si necesitas mayor flexibilidad para grupos de usuarios o equipos,haz  una configuración personalizada del cliente y asignalos a las colecciones. Por ejemplo, puedes configurar el Control remoto para estar disponible sólo en determinados equipos que tu especifiques.

       
      Seguridad: administración basada en Roles
      En SCCM 2007, el acceso a los recursos administrativos del sitio es controlado mediante la configuración de la clase y la instancia de seguridad que son verificadas por el equipo de SMS Provider para permitir el acceso a la información del sitio y las opciones de configuración. SCCM 2012 introduce la administración basada en roles para definir y gestionar centralmente las configuraciones de acceso de seguridad para toda la jerarquía,  para todos los sitios y las configuraciones del sitio.
       
      En lugar de utilizar los derechos individuales de clase, la administración de seguridad basada en roles utiliza el  tareas administrativas típias de grupos que son asignadas a varios usuarios administrativos.Los ámbitos de seguridad  reemplazar las instancia de derechos individuales  por el objeto permisos de grupo que se aplican a los objetos del sitio.
       
      La combinación de roles de seguridad, ámbitos de seguridad, y las colecciones permite separar las tareas administrativas que satisfagan sus necesidades de organización y esta combinación  define que un usuario administrativo puede ver y administrar  la jerarquía de Configuration Manager.

      La administración basada enroles proporciona las siguientes ventajas:
      • Los Sitios ya no son los límites administrativos.
      • Se puede crear usuarios administrativos en jerarquía y para asignar la seguridad una sola vez.
      • Se puede crear contenido en la jerarquía y asignar la seguridad para el contenido una sola vez.
      • Todas las tareas de seguridad se replican y están disponibles en toda la jerarquía.
      • Hay roles integrados de seguridad para asignar las tareas de administración típicas y  puedes crear  funciones de seguridad propias ypersonalizadas.
      • Los usuarios administrativos ven únicamente los objetos que tienen permisos para administrar.
      • Se puede auditar las acciones de seguridad.
      La siguiente tabla muestra las diferencias entre la aplicación de los permisos de seguridad en SCCM 2007 y SCCM 2012:

      Escenario

      Configuration Manager 2007


      System Center Configuration Manager 2012
      Agregar nuevo usuario de administración Realizar las siguientes acciones para cada sitio en la jerarquía:
      1. Agregue el usuario Administrador de configuración.
      2. Seleccione las clases de seguridad.
      3. Para cada clase seleccionada, seleccione las instancias de permisos.


      Realizar las siguientes acciones  una sola vez desde cualquier sitio en la jerarquía:
      1. Agregar el usuario Administrador de configuración administrativa.
      2. Seleccione las funciones de seguridad.
      3. Seleccione los ámbitos de seguridad.
      4. Seleccione las colecciones.
      Crear e implementar software.


      Realizar las siguientes acciones para cada sitio en la jerarquía:
      1. Editar las propiedades del paquete y seleccionar las clases de seguridad
      2. Agregue cada usuario o grupo a la instancia y luego seleccionar los derechos.
      3. Implementar el software.

        Realizar las siguientes acciones una sola vez desde cualquier sitio en la jerarquía:
      1. Asignar un ámbito de seguridad para la implementación del software.
      2. Implementar el software.
       

      Para configurar la administración basada en roles, en el espacio de trabajo de Administración, haga clic en Seguridad, a continuación, ver o editar  Administrative Users, Security Roles, and Security Scopes.


       
      Seguridad: Los certificados y los controles criptográficos
      Las siguientes caracteristicas son nuevas o han cambiado para los certificados y controles criptográficos desde SCCM 2007:
      • Para la mayoría de las comunicaciones de Configuration Manager se requieren certificados para la autenticación, la firma o el cifrado, Configuration Manager automáticamente usa certificados PKI si están disponibles. Si no están disponibles, Configuration Manager genera certificados con firma personal.
      • El algoritmo de hash primario que utiliza Configuration Manager para la firma es SHA-256. Cuando dos sitios de Configuration Manager se comunican entre sí,  firman sus comunicaciones mediante el uso de SHA-256 y se puede requerir que todos los clientes utilicen SHA-256.
      • Configuration Manager usa dos nuevos tipos de certificados para los sistemas del sitio: un sistema de sitio certificado de servidor ( site system server certificate) para la autenticación de los sistemas de otro sitio en el sitio de Configuration Manager mismo, y un site system role certificate.
      • Configuration Manager también utiliza un certificado de autenticación de cliente para enviar mensajes de estado desde el punto de distribución (Distribution Point) al punto de administración (Administration Point).
      • El sitio servidor de certificados de firma está auto-firmado, no se puede utilizar un certificado de PKI para firmar las políticas de cliente.
      • Puede utilizar un certificado de cliente PKI para la autenticación en un sistema de sitio que acepte conexiones de cliente HTTP.
      • El nuevo certificado de lista de emisores de un sitio actúa como una lista de certificados de confianza (CTL) en IIS. Es utilizado por los sistemas del sitio y los clientes para ayudar a asegurar que el certificado de PKI del cliente es correcto, se utiliza para la PKI de comunicación en el Configuration manager.
      Además, al implementar los sistemas operativos y el uso de certificados PKI, Configuration Manager admite ahora lo siguiente:
      • El certificado de autenticación de cliente es compatible con Subject Alternative Name (SAN) certificado y un asunto en blanco. Si usted usa servicios de Active Directory Certificate con una CA de empresa para implementar este certificado, puede utilizar la plantilla de certificado de estación de trabajo para generar un certificado con un asunto en blanco y el valor de SAN.
      • Las tareas de secuencias soportan la opción de desactivar la comprobación de CRL en los clientes.
      Cuando se implementa la gestión de clientes basados en Internet, las políticas de usuario son ahora compatibles con los dispositivos que están en Internet, cuando el punto de administración (Distribution Point) puede autenticar al usuario en Active Directory Domain Services. Por ejemplo, el punto de administración (Distribution Point) se encuentra en la intranet y acepta conexiones de clientes de Internet y clientes de la intranet, o el punto de administración(Distribution Point) se encuentra en una red perimetral que confía en el bosque de intranet, donde reside la cuenta de usuario.


      ¿Qué hay de nuevo en backup y recuperación?
      Lo que ha cambiado con laa copia de seguridad y recuperación en SCCM 2012.
       
      Característica
      Descripción
      Recovery está Integrado con el Setup de SCCM 2012  SCCM 2007 utiliza el Asistente de reparación del sitio (Site Repair Wizar) para la recuperación de sitios. En SCCM 2012, la recuperación está integrada en el Setup de la instalación.
      Soporte para múltiples opciones de recuperación


      Tienes las siguientes opciones cuando se ejecuta la recuperación de SCCM2012:
      Site Server
      • Recuperar el servidor del sitio de una copia de seguridad.
      • Volver a instalar el servidor del sitio
      Base de datos del sitio
      • Recuperar la base de datos del sitio a partir de una copia de seguridad
      • Crear una base de datos nueva web
      • Usar una base de datos del sitio que se ha recuperado de forma manual
      • Saltar la recuperación de la base de datos



      La Recuperación usa  la replicación de datos para minimizar la pérdida de datos


      SCCM 2012. La  replicación de bases de datos deConfiguration Manager  utiliza SQL Server para la transferencia de datos y combinar los cambios realizados en una base de datos del sitio con la información almacenada en la base de datos en otros sitios en la jerarquía. Esto permite a todos los sitios compartir la misma información.
      La Recuperación en System Center Configuration Manager 2012 aprovecha la replicación de bases de datos para recuperar los datos globales que fueron creados por el sitio antes de que no hubiera fallado. Este proceso minimiza la pérdida de datos incluso cuando no se dispone de copia de seguridad.


      Recuperación utilizando un script de configuración

      Puedes iniciar una recuperación del sitio desatendida mediante la configuración de un script de instalación desatendida y luego usar el comando del script.





      Herramienta de Administración de Cuentas del sitio (MSAC):
      La herramienta de linea de comando Administración de cuentas de sitio (MSAC Manage Site Accounts) dque se proporciona con SCCM 2007 no está disponible en SCCM 2012. No utilice MSAC de SCCM 2007 con SCCM 2012. En su lugar, configura y administra las cuentas con la consola de Configuration Manager.
       
       

      No hay comentarios:

      Publicar un comentario

      Suscribirse a: Enviar comentarios (Atom)