Planen der internetbasierten Clientverwaltung in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Verwenden Sie die internetbasierte Clientverwaltung (IBCM), um Configuration Manager Clients zu verwalten, wenn diese nicht mit Ihrem internen Netzwerk verbunden sind. Vorteile der Verwendung von IBCM:
- Vollständige Kontrolle über Server und Rollen, die den Dienst bereitstellen
- Keine Clouddienstabhängigkeit
- Erfordert möglicherweise kein virtuelles privates Netzwerk (VPN)
- Alle Kosten sind mit dem lokalen Dienst verbunden.
Aufgrund der höheren Sicherheitsanforderungen für die Verwaltung von Clientcomputern in einem öffentlichen Netzwerk erfordert IBCM die Verwendung von PKI-Zertifikaten. Diese Konfiguration stellt sicher, dass Verbindungen von einer unabhängigen Autorität authentifiziert werden. Wenn IBCM-Clients und Standortserver Daten senden, sind sie verschlüsselt und sicher.
Clientkommunikation
Die folgenden Standortsystemrollen an primären Standorten unterstützen Verbindungen von Clients, die sich an nicht vertrauenswürdigen Standorten befinden:
Hinweis
Ibcm konzentriert sich in erster Linie auf das internetbasierte Szenario, aber das gleiche Verhalten gilt für Clients in einer nicht vertrauenswürdigen Active Directory-Gesamtstruktur. Sekundäre Standorte unterstützen keine Clientverbindungen von nicht vertrauenswürdigen Standorten.
Zertifikatregistrierungspunkt für das Configuration Manager-Richtlinienmodul (NDES)
Warnung
Ab Version 2203 wird der Zertifikatregistrierungspunkt nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.
Verteilungspunkt
Inhaltsfähiges Cloudverwaltungsgateway (CMG)
Registrierungsproxypunkt
Fallbackstatuspunkt
Verwaltungspunkt
Softwareupdatepunkt
Informationen zu Standortsystemen mit Internetzugriff
Es ist keine Vertrauensstellung zwischen der Gesamtstruktur eines Clients und der des Standortsystemservers erforderlich. Wenn jedoch die Gesamtstruktur, die ein Standortsystem mit Internetzugriff enthält, der Gesamtstruktur vertraut, die die Benutzerkonten enthält, unterstützt diese Konfiguration benutzerbasierte Richtlinien für Geräte im Internet, wenn Sie die ClientrichtlinienclienteinstellungBenutzerrichtlinienanforderungen von Internetclients aktivieren aktivieren.
Die folgenden Konfigurationen veranschaulichen beispielsweise, wann IBCM Benutzerrichtlinien für Geräte im Internet unterstützt:
Der internetbasierte Verwaltungspunkt befindet sich im Umkreisnetzwerk. Dieses Netzwerk verfügt auch über einen schreibgeschützten Domänencontroller, um den Benutzer zu authentifizieren. Eine Firewall zwischen dem Umkreis und internen Netzwerken ermöglicht Active Directory-Pakete.
Das Benutzerkonto befindet sich in der intranetbasierten Gesamtstruktur. Der internetbasierte Verwaltungspunkt befindet sich in der umkreisbasierten Gesamtstruktur. Die Umkreisgesamtstruktur vertraut der internen Gesamtstruktur. Eine Firewall zwischen dem Umkreis und internen Netzwerken lässt die Authentifizierungspakete zu.
Das Benutzerkonto und der internetbasierte Verwaltungspunkt befinden sich beide in der intranetbasierten Gesamtstruktur. Sie veröffentlichen den Verwaltungspunkt mit einem Webproxyserver im Internet.
Verwenden eines Webproxyservers
Sie können internetbasierte Standortsysteme im Intranet platzieren, wenn Sie sie mit einem Webproxyserver im Internet veröffentlichen. Konfigurieren Sie diese Standortsysteme nur für Clientverbindungen aus dem Internet oder Clientverbindungen aus dem Internet und Intranet. Wenn Sie einen Webproxyserver verwenden, können Sie ihn für SSL-Bridging (Secure Sockets Layer) zu SSL oder SSL-Tunneling konfigurieren.
SSL-Bridging zu SSL
SSL-Bridging zu SSL ist die empfohlene und sicherere Konfiguration, da die SSL-Terminierung mit Authentifizierung verwendet wird. Es authentifiziert Clientcomputer mit Computerauthentifizierung. Mobile Geräte, die Sie mit Configuration Manager registrieren, unterstützen kein SSL-Bridging.
Bei der SSL-Terminierung am Proxy werden Pakete aus dem Internet überprüft, bevor sie an das interne Netzwerk weitergeleitet werden. Der Proxy authentifiziert die Verbindung vom Client, beendet sie und öffnet dann eine neue authentifizierte Verbindung mit den internetbasierten Standortsystemen. Wenn Configuration Manager Clients einen Proxy verwenden, enthält der Client seine Identität (GUID) sicher in der Paketnutzlast. Der Verwaltungspunkt betrachtet den Proxy nicht als Client. Configuration Manager unterstützt keine Überbrückung mit HTTP zu HTTPS oder von HTTPS zu HTTP.
Hinweis
Configuration Manager unterstützt das Festlegen von SSL-Bridgingkonfigurationen von Drittanbietern nicht. Beispiel: Citrix Netscaler oder F5 BIG-IP. Wenden Sie sich an Ihren Gerätehersteller, um ihn für die Verwendung mit Configuration Manager zu konfigurieren.
Tunneling
Wenn Ihr Proxywebserver die Anforderungen für SSL-Bridging nicht unterstützt, unterstützt Configuration Manager auch SSL-Tunneling. Sie können auch SSL-Tunneling verwenden, um mobile Geräte zu unterstützen, die Sie bei Configuration Manager registrieren. Dies ist eine weniger sichere Option, da der Proxy die SSL-Pakete aus dem Internet ohne SSL-Beendigung an die Standortsysteme weiterleitet. Der Proxy überprüft die Pakete nicht auf schädliche Inhalte. Wenn Sie SSL-Tunneling verwenden, gibt es keine Zertifikatanforderungen für den Proxywebserver.
Planen von internetbasierten Clients
Entscheiden Sie, ob Sie Ihre internetbasierten Clients für die Verwaltung sowohl im Intranet als auch im Internet oder für die reine Internetclientverwaltung konfigurieren möchten. Sie können diese Verwaltungsoption nur während der Clientinstallation konfigurieren. Um ihn später zu ändern, installieren Sie den Client neu.
Hinweis
Wenn Sie einen Verwaltungspunkt für die Unterstützung internetbasierter Clients konfigurieren, werden Clients, die eine Verbindung mit diesem Verwaltungspunkt herstellen, beim nächsten Aktualisieren ihrer Liste der verfügbaren Verwaltungspunkte internetfähig.
Sie müssen die Konfiguration der reinen Internetclientverwaltung nicht auf das Internet beschränken. Sie können es auch im Intranet verwenden.
Clients, die Sie für die reine Internetverwaltung konfigurieren, kommunizieren nur mit den Standortsystemen, die Sie für Clientverbindungen aus dem Internet konfigurieren. Verwenden Sie diese Konfiguration in den folgenden Szenarien:
- Für Computer, von denen Sie wissen, dass nie eine Verbindung mit Ihrem Intranet hergestellt wird. Beispielsweise Point-of-Sale-Computer an Remotestandorten.
- So beschränken Sie die Clientkommunikation nur auf HTTPS. Beispielsweise zur Unterstützung von Firewall- und eingeschränkten Sicherheitsrichtlinien.
- Wenn Sie internetbasierte Standortsysteme in einem Umkreisnetzwerk installieren und diese Server als Configuration Manager Clients verwalten möchten.
Hinweis
Wenn Sie Arbeitsgruppenclients im Internet verwalten möchten, installieren Sie diese nur im Internet.
Wenn Sie ein mobiles Gerät für die Verwendung eines internetbasierten Verwaltungspunkts konfigurieren, wird es automatisch als reines Internet konfiguriert.
Sie können andere Clients sowohl für die Internet- als auch für die Intranetclientverwaltung konfigurieren. Wenn sie eine Netzwerkänderung erkennen, wechseln sie automatisch zwischen IBCM und Intranetclientverwaltung. Wenn diese Clients einen Verwaltungspunkt finden und eine Verbindung mit diesem herstellen können, der Clientverbindungen im Intranet unterstützt, werden diese Clients als Intranetclients verwaltet. Intranetclients verfügen über vollständige Configuration Manager Funktionalität. Wenn die Clients keinen Verwaltungspunkt finden oder eine Verbindung mit diesem herstellen können, der Clientverbindungen im Intranet unterstützt, versuchen sie, eine Verbindung mit einem internetbasierten Verwaltungspunkt herzustellen. Wenn diese Aktion erfolgreich ist, werden diese Clients dann von den internetbasierten Standortsystemen an ihrem zugewiesenen Standort verwaltet.
Der Vorteil des automatischen Wechsels besteht darin, dass Clients alle Funktionen nutzen können, wenn sie eine Verbindung mit dem Intranet herstellen, und dass sie wichtige Verwaltungsfunktionen erhalten, wenn sie sich im Internet befinden. Inhaltsdownloads, die im Internet beginnen, können nahtlos im Intranet und umgekehrt fortgesetzt werden.
Voraussetzungen
IBCM in Configuration Manager weist die folgenden Abhängigkeiten auf:
Clients benötigen eine Internetverbindung. Configuration Manager verwendet die vorhandene Internetverbindung des Geräts. Mobile Geräte müssen über eine direkte Internetverbindung verfügen. Vollständige Clientcomputer können entweder über eine direkte Internetverbindung verfügen oder eine Verbindung über einen Proxywebserver herstellen.
Standortsysteme, die IBCM unterstützen, erfordern eine Internetverbindung und müssen sich in einer Active Directory-Domäne befinden. Die internetbasierten Standortsysteme erfordern keine Vertrauensstellung mit der Active Directory-Gesamtstruktur des Standortservers. Wenn der internetbasierte Verwaltungspunkt den Benutzer jedoch mithilfe von Windows-Authentifizierung authentifizieren kann, werden Benutzerrichtlinien unterstützt. Wenn Windows-Authentifizierung fehlschlägt, werden nur Geräterichtlinien unterstützt.
Hinweis
Aktivieren Sie zur Unterstützung von Benutzerrichtlinien auch die folgenden Clienteinstellungen in der Gruppe Clientrichtlinie :
- Aktivieren des Abfragens von Benutzerrichtlinien auf Clients
- Aktivieren von Benutzerrichtlinienanforderungen von Internetclients
Eine Public Key-Infrastruktur (PKI) zum Bereitstellen und Verwalten der erforderlichen Zertifikate für internetbasierte Clients und Standortsystemserver. Weitere Informationen finden Sie unter PKI-Zertifikatanforderungen.
Registrieren Sie öffentliche DNS-Hosteinträge für die vollqualifizierten Internetdomänennamen (FQDN) von Standortsystemen, die IBCM unterstützen.
Aktivieren Sie die Option PKI-Clientzertifikat verwenden (Clientauthentifizierungsfunktion) verwenden, wenn sie auf der Registerkarte Kommunikationssicherheit der Standorteigenschaften verfügbar ist. Diese Option ist erforderlich.
Anforderungen an die Clientkommunikation
Intervenierende Firewalls oder Proxyserver müssen die Clientkommunikation für internetbasierte Standortsysteme zulassen:
Unterstützung von HTTP 1.1
HTTP-Inhaltstyp für mehrteilige MIME-Anlagen zulassen (multipart/mixed und application/octet-stream)
Verben
Lassen Sie die folgenden Verben für die internetbasierten Standortsystemserverrollen zu:
Rolle | Verben |
---|---|
Verwaltungspunkt | -KOPF – CCM_POST – BITS_POST -ERHALTEN -PROPFIND |
Verteilungspunkt | -KOPF -ERHALTEN -PROPFIND |
Fallbackstatuspunkt | POST |
HTTP-Header
Lassen Sie die folgenden HTTP-Header für die internetbasierten Standortsystemserverrollen zu:
Rolle | HTTP-Header |
---|---|
Verwaltungspunkt | -Bereich: - CCMClientID: – CCMClientIDSignature: – CCMClientTimestamp: - CCMClientTimestampsSignature: |
Verteilungspunkt | Bereich: |
Informationen zu ähnlichen Kommunikationsanforderungen bei Verwendung des Softwareupdatepunkts für Clientverbindungen aus dem Internet finden Sie in der Dokumentation für Windows Server Update Services (WSUS).
Nicht unterstützte Features
Nicht alle Clientverwaltungsfunktionen sind für das Internet geeignet. Configuration Manager unterstützt einige Features für Clients im Internet nicht. Diese nicht unterstützten Features basieren in der Regel auf Active Directory Domain Services oder sind für ein öffentliches Netzwerk nicht geeignet.
Die folgenden Features werden nicht unterstützt, wenn Sie Clients im Internet mit IBCM verwalten:
Clientbereitstellung über das Internet, z. B. Clientpush und softwareupdatebasierte Clientbereitstellung. Verwenden Sie die manuelle Clientinstallation.
Automatische Standortzuweisung
Wake-on-LAN
Betriebssystembereitstellung. Sie können jedoch Tasksequenzen bereitstellen, die kein Betriebssystem bereitstellen.
Remotesteuerung
Softwarebereitstellung für Benutzer. Dieses Feature basiert auf dem Anwendungskatalog, der nicht mehr unterstützt wird.
Clientroaming. Roaming ermöglicht Clients, immer die nächstgelegenen Verteilungspunkte zum Herunterladen von Inhalten zu finden. Clients wählen nicht deterministisch eines der internetbasierten Standortsysteme aus, unabhängig von der Bandbreite oder dem physischen Standort.
Wenn Sie einen Softwareupdatepunkt so konfigurieren, dass Er Verbindungen aus dem Internet akzeptiert, überprüfen internetbasierte Clients immer anhand dieses Softwareupdatepunkts, um zu ermitteln, welche Softwareupdates erforderlich sind. Wenn sich diese Clients im Internet befinden, versuchen sie zuerst, die Softwareupdates von Microsoft Update und nicht von einem internetbasierten Verteilungspunkt herunterzuladen. Wenn dieses Verhalten fehlschlägt, wird versucht, die erforderlichen Softwareupdates von einem internetbasierten Verteilungspunkt herunterzuladen.
Tipp
Der Configuration Manager Client bestimmt automatisch, ob er sich im Intranet oder im Internet befindet. Wenn der Client einen Domänencontroller oder einen lokalen Verwaltungspunkt kontaktieren kann, legt er seinen Verbindungstyp auf "Derzeit Intranet" fest. Andernfalls wechselt er zu "Derzeit Internet" und kommuniziert mit den Standortsystemen, die seinem Standort zugewiesen sind.