none
Distribution point и Boundary Groups RRS feed

  • Вопрос

  • Коллеги подскажите: если есть группа границ основанная на AD site, а я создал границу на IP range (192.168.1.1-192.168.1.254), причем IP range входит в диапазон сетей AD site (192.168.0.0/16), каким образом клиент поймет к какой DP ему обращаться? Если таких DP две. Одна обслуживает клиентов из группу AD site,а другая обслуживает клиентов из Ip range.

    Если честно, думал что понимаю как это работает,а теперь когда начал разбираться понял что запутался.Смущает что AD site включает в себя все подсети. Хотя в мануалах пишут что клиент находит ближайшую к нему точку распростронения... что бы это значило? В моем понимании,клиент видит что ему доступны две точки распростронения,одна на основе AD site,другая на основе IP range, в логах locationservice.log мы можем увидеть что клиенту доступны 2 точки распростонения,и по логике ближайшая к нему та,что находится с ним в одной подсети,т.е. DP и клиент в подсети 192.168.5.*...

    Как считаете,я правильно мыслю?

    2 сентября 2016 г. 8:56

Ответы

  • Это, пожалуй, главное противоречие с AD-шниками. Особенно проблем оно доставляет в случае многосайтовой иерархии, потому что в этом случае пересечение границ не поддерживается и приводит к неработоспособности клиентов.

    Посмотрел хранимку MP_GetContentDPInfoProtected: там нет сортировки, кроме как по имени сервера, типу доступа (HTTP/SMB) и URL - а значит "ближайшую" точку выбирает именно клиент из отсортированного списка DP: в описанной выше последовательности - подсеть, AD-сайт, первая из списка

    5 сентября 2016 г. 9:42

Все ответы

  • будет обращаться к обоим. Мыслишь абсолютно правильно, к сожалению механизм определения ближайший DP в документации не описан. 


    2 сентября 2016 г. 9:22
  • Отлично,с этим более менее понятно. Получается что для того что бы клиент четко знал откуда ему брать контент,использование группы границ на основе Ad site не рекомендуется. А использование IP range сильно влияет на работу SQL и самого сайт сервера. Согласно данной статье https://blogs.technet.microsoft.com/enterprisemobility/2013/03/01/when-not-to-use-ip-address-ranges-as-boundaries-in-configuration-manager/ нам рекомендуют сначала использовать AD site, затем IP Subnet и уже если данные способы недоступны мы должны использовать IP Range.

    Получается нужно пробовать создавать группы на основе IP Subnet

    2 сентября 2016 г. 10:47
  • В моем понимании границы равнозначны и клиент просто получает список от сервера, а потом выбирает случайным образом. Возможно поэтому появились Preffered...

    Кое-что по выбору DP описано тут https://sccmguru.wordpress.com/2012/05/08/how-preferred-distribution-points-and-fallback-is-working-in-configuration-manager-2012/

    Кстати границы для назначения сайта и DP рекомендуют делать разные:

    https://blogs.technet.microsoft.com/elie/2012/05/14/system-center-2012-configuration-managerpart3-boundaries-and-boundary-groups/

    Это связано с роумингом.


    Сазонов Илья

    https://isazonov.wordpress.com/

    2 сентября 2016 г. 11:18
    Модератор
  • >>пишут что клиент находит ближайшую к нему точку распростронения... что бы это значило?
    Как выбирается DP
    После того как MP вернул подходящие (содержит контент, в тоем же CM-сайте, входит в границы, или наконец fallback DP вернет)
    Клиент получает список и сам начинает делать выбор
    1. Находится в той же подсети что и клиента. т.к. клиент знает свой IP/максу, узнает DP IP - вычисляет в одной или нет они подсети.
    2. Далее Находится ли DP в том же AD-сайте что и клиент
    3. Если предыдущие шаги все ещё дают несколько DP, то подключается к Любой

    Так же на каждом шаге из предыдущего списка если подходит несколько DP приоритет делается на приоритет+безопасность
    А) BITS-включен
    Б) HTTPS
    В) HTTP
    Как общая рекоендация, не используйте AD Boundary пока полностью не будете представлять себе работу по вычислению идентификатора сети (Subnet ID)
    Поскольку логика вычисления Subnet ID у ccm эм... не совсем совпадает с общепринятой :)

    Максимально понятной границей будет IP-Range :)

    Избегайте перекрытие границ (Subnet overlapping)

    Конечно всегда легче сказать чем сделать, но все же... :)


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram


    2 сентября 2016 г. 11:18
    Модератор
  • Тоже считаю что Ip-range понятнее и более гибко, но:

    Best Practices for Boundaries

    Use the following best practices information to help you use boundaries in System Center 2012 Configuration Manager.

    Consider using the IP address range boundary type only when other boundary types cannot be used

    When designing your boundary strategy, we recommend you use boundaries that are based on Active Directory sites before using other boundary types. Where boundaries based on Active Directory sites are not an option, then use IP subnet or IPv6 boundaries. If none of these options are available to you, then leverage IP address range boundaries. This is because the site evaluates boundary members periodically, and the query required to assess members of an IP address range requires a substantially larger use of SQL Server resources than queries that assess members of other boundary types.

    https://technet.microsoft.com/en-us/library/gg712679.aspx 

    И по выбору DP:

    2. Далее Находится ли DP в том же AD-сайте что и клиент -  к сожалению мои тесты и продуктив показали что это не работает ( 


    2 сентября 2016 г. 11:32
  • Тоже считаю что Ip-range понятнее и более гибко, но:

    Best Practices for Boundaries

    Use the following best practices information to help you use boundaries in System Center 2012 Configuration Manager.

    Consider using the IP address range boundary type only when other boundary types cannot be used

    When designing your boundary strategy, we recommend you use boundaries that are based on Active Directory sites before using other boundary types. Where boundaries based on Active Directory sites are not an option, then use IP subnet or IPv6 boundaries. If none of these options are available to you, then leverage IP address range boundaries. This is because the site evaluates boundary members periodically, and the query required to assess members of an IP address range requires a substantially larger use of SQL Server resources than queries that assess members of other boundary types.

    https://technet.microsoft.com/en-us/library/hh427326.aspx?f=255&MSPPError=-2147217396

    И по выбору DP:

    2. Далее Находится ли DP в том же AD-сайте что и клиент -  к сожалению мои тесты и продуктив показали что это не работает ( 

    1. Ну, тут вопрос совпадает ли BP в части выделения подсетей по площадкам / AD сайтам у администратора CCM и сетевиков + AD-администраторов. Иначе на стыке подсетей будет не верно вычислятся SubnetID, и тут какой бы не был BP другого варианта не остается.

    2. хм... проверю


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram

    2 сентября 2016 г. 11:49
    Модератор
  • Насколько я помню все так. Алгоритм поиска DP можно подсмотреть в хранимой процедуре БД.

    Как инженер MS я настоятельно рекомендую использовать AD-сайты, они гораздо понятнее.

    С подсетями и диапазонами адресов есть важный "человеческий" момент: очень легко опечататься и вместо диапазона

    10.101.190.0 - 10.101.190.255

    получить

    10.101.190.0 - 10.101.199.255

    или еще что-то пошире. Глаз замыливается на похожих цифрах и такие вещи сложно отловить.

    IP Range мы не рекомендуем, поскольку это увеличивает нагрузку на SQL (нужно делать 2 сравнения - больше, чем и меньше, чем, а не одно). В реальных окружениях менее 10к машин вы вряд ли это почувствуете.
    5 сентября 2016 г. 7:34
  • Пример когда ориентир на AD сайты не будет работать как это ожидается.

    Для администраторов АД следующая запись будет вполне себе рабочей, поскольку подсеть меньше - приоритетнее:

    Main AD Site = 10.0.0.0/8
    Branch AD Site1 = 10.1.1.0/16
    Branch AD Site11 = 10.1.1.0/24

    Если в каждом сайте будет DP.

    В такой конфигурации AD-клиенты будут себя вести правильно, а вот как CCM-клиенты? После того как сайт сервер выдаст 3 DP клиенту из каждого сайта выше, клиент будет ориентироваться на свой AD-сайт и AD-сайт DP?


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram



    5 сентября 2016 г. 8:03
    Модератор
  • Это, пожалуй, главное противоречие с AD-шниками. Особенно проблем оно доставляет в случае многосайтовой иерархии, потому что в этом случае пересечение границ не поддерживается и приводит к неработоспособности клиентов.

    Посмотрел хранимку MP_GetContentDPInfoProtected: там нет сортировки, кроме как по имени сервера, типу доступа (HTTP/SMB) и URL - а значит "ближайшую" точку выбирает именно клиент из отсортированного списка DP: в описанной выше последовательности - подсеть, AD-сайт, первая из списка

    5 сентября 2016 г. 9:42