Vorteile der Verwendung des einheitlichen Modus
Letzte Aktualisierung: Dezember 2009
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Der einheitliche Modus ist die empfohlene Standortkonfiguration für neue Configuration Manager 2007-Standorte, weil er mehr Sicherheit bietet, indem zum Schutz der Kommunikation zwischen Client und Server eine Public Key-Infrastruktur (PKI) integriert wird. Der einheitliche Modus ist auch eine Anforderung für die internetbasierte Clientverwaltung.
Im einheitlichen Modus kommunizieren Clients über HTTPS mit den folgenden Standortsystemen:
Verwaltungspunkte:
Standardverwaltungspunkt
Verwaltungspunkte mit Netzwerklastenausgleich
Proxyverwaltungspunkt
Internetbasierter Verwaltungspunkt
Standardverteilungspunkte (keine Zweigverteilungspunkte)
Softwareupdatepunkte
Zustandsmigrationspunkt
Hinweis
Es gibt Situationen im Intranet, in denen Clients im einheitlichen Modus über Server Message Blocks (SMB) mit Standardverteilungspunkten kommunizieren. Dies umfasst Szenarien, in denen Ankündigungen für die Option Programm vom Verteilungspunkt ausführen konfiguriert sind, bei denen HTTPS ausfällt oder der Verteilungspunkt nicht mit der Option Übertragung von Inhalten von diesem Verteilungspunkt über BITS, HTTP und HTTPS durch Clients ermöglichen (erforderlich für Geräteclients und internetgestützte Clients) konfiguriert ist.
Im einheitlichen Modus kommunizieren Clients weiterhin über HTTP mit dem Fallbackstatuspunkt, sodass alle Kommunikationsprobleme bezüglich Zertifikaten zurück an den Standort gemeldet werden können und der Administrator Clientkommunikationsprobleme identifizieren und beheben kann. Darüber hinaus gilt: Wird ein Client im einheitlichen Modus mit der Option Konfigurieren der HTTP-Kommunikation für Roaming und Standortzuweisung konfiguriert, kann der Client über HTTP mit den folgenden Standortsystemen kommunizieren:
Serverlocatorpunkt
Residenter Verwaltungspunkt und Verteilungspunkte an einem Standort im gemischten Modus
Wichtig
Der einheitliche Modus wirkt sich nicht auf die Kommunikation zwischen Standortservern oder zwischen Standorten in einer Configuration Manager 2007-Hierarchie aus. Zum Schutz dieser Kommunikation verwenden Sie IPsec. Weitere Informationen finden Sie unter Implementieren von IPsec in Configuration Manager 2007.
Im einheitlichen Modus werden Clientrichtlinien vom Standortserver signiert, der eine zusätzliche Verteidigungsstufe zur Configuration Manager 2007-Hierarchie hinzufügt, um das Sicherheitsrisiko zu verringern, dass ein kompromittierter Verwaltungspunkt falsche Richtlinien sendet. Diese Schutzmaßnahme ist insbesondere dann wichtig, wenn Sie eine internetbasierte Clientverwaltung verwenden, da diese Umgebung einen Verwaltungspunkt erfordert, der der Internetkommunikation ausgesetzt ist.
Der gemischte Modus bietet eine geringere Sicherheitsstufe zur Unterstützung von SMS 2003-Clients sowie selbstsignierte Zertifikate, wenn Sie keine unterstützende Public Key-Infrastruktur (PKI) verwenden, die die für Configuration Manager 2007 erforderlichen Zertifikate bereitstellen kann.
Sie können einen SMS 2003-Standort nicht direkt auf den einheitlichen Modus aktualisieren, obwohl zum einheitlichen Modus migriert werden kann, wenn das Upgrade abgeschlossen wurde.
Wenn Sie einen primären Standort zum einheitlichen Modus migrieren, werden dadurch automatisch alle mit dem primären Standort verbundenen sekundären Standorte migriert. Untergeordnete primäre Standorte werden nicht automatisch migriert.
Vergleich zwischen gemischtem und einheitlichem Modus
Die folgende Tabelle bietet einen Vergleich der beiden Standortmodi und ihrer Sicherheitsfeatures.
Configuration Manager-Vorgang | Gemischter Modus | Einheitlicher Modus |
---|---|---|
Verwenden von Zertifikaten |
Selbstsignierte Zertifikate, die vom Configuration Manager generiert und verwaltet und nur innerhalb des Configuration Managers verwendet werden. |
Industriestandard-PKI-Zertifikate, die unabhängig vom Configuration Manager erstellt und verwaltet werden und in andere Unternehmenslösungen integriert werden können. |
Gegenseitige Authentifizierung zwischen dem Client und Standortsystemen |
Proprietäre Authentifizierung zwischen Client und Verwaltungspunkt sowie zwischen Client und Zustandsmigrationspunkt. Keine anderen Standortsysteme verwenden gegenseitige Authentifizierung mit Clients. |
Gegenseitige SSL-Authentifizierung zwischen Client und den folgenden Standortsystemen:
SSL-Serverauthentifizierung auf dem Softwareupdatepunkt |
Authentifizierung zwischen Standortsystemen und Verschlüsselung des Verkehrs |
Nein. IPsec wird zum Schutz dieser Kommunikation empfohlen. Informationen finden Sie unter Implementieren von IPsec in Configuration Manager 2007. |
Nein. IPsec wird zum Schutz dieser Kommunikation empfohlen. Informationen finden Sie unter Implementieren von IPsec in Configuration Manager 2007. |
WINS kann für die Namensauflösung und die Dienstsuche verwendet werden. |
Ja |
Obwohl WINS für die Namensauflösung und die Suche eines Serverlocatorpunkts verwendet werden kann, kann WINS nicht im einheitlichen Modus verwendet werden, um den Standardverwaltungspunkt zu suchen. Standardverwaltungspunkte befinden sich in Active Directory, im DNS oder am Serverlocatorpunkt. Verwaltungspunkte mit Netzwerklastenausgleich können aber nur in Active Directory oder mit einem Serverlocatorpunkt gesucht werden. Weitere Informationen zur Dienstsuche im einheitlichen Modus finden Sie unter Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte). |
Richtlinie wird signiert |
Ja, vom Verwaltungspunkt |
Ja, vom Standortserver und Verwaltungspunkt |
Richtlinie wird über SSL verschlüsselt |
Nein |
Ja |
Inhalt wird signiert |
Ja, wenn Ankündigungen die Option Inhalt vom Verteilungspunkt herunterladen und lokal ausführen verwenden. Nein, wenn Ankündigungen die Option Programm vom Verteilungspunkt ausführen verwenden. |
Ja, wenn Ankündigungen die Option Inhalt vom Verteilungspunkt herunterladen und lokal ausführen verwenden. Nein, wenn Ankündigungen die Option Programm vom Verteilungspunkt ausführen verwenden (diese Option wird nicht unterstützt, wenn der Client im Internet verwaltet wird). |
Inhalt wird verschlüsselt |
Nein |
Ja, mit SSL, wenn Ankündigungen die Option Inhalt vom Verteilungspunkt herunterladen und lokal ausführen verwenden. Fällt HTTPS aber im Intranet aus, wird Inhalt über SMB gesendet und nicht verschlüsselt. Nein, wenn Ankündigungen die Option Programm vom Verteilungspunkt ausführen verwenden, weil SMB verwendet wird (diese Option wird nicht unterstützt, wenn der Client im Internet verwaltet wird). |
Inventurdaten und Zustandsmeldungen werden signiert |
Ja, mit SHA1, wenn Clients SMS 2003 Service Pack 1 oder höher ausführen. |
Ja. Die einzige Ausnahme sind Zustandsmeldungen an den Fallbackstatuspunkt. Sie werden nicht signiert. |
Inventurdaten und Zustandsmeldungen werden verschlüsselt |
Optional, mit 3DES |
Ja, mit SSL Die einzige Ausnahme sind Zustandsmeldungen an den Fallbackstatuspunkt. Sie werden nicht verschlüsselt. |
Statusmeldungen von Clients werden signiert |
Nein |
Ja. |
Statusmeldungen von Clients werden verschlüsselt |
Nein |
Ja, mit SSL |
Messungsdaten von Clients werden signiert |
Nein |
Ja |
Messungsdaten von Clients werden verschlüsselt |
Nein |
Ja, mit SSL |
Clientgenehmigung am Standort vollständig verwaltet |
Erfordert Konfiguration mit einer der folgenden Optionen:
|
|
Wird das Betriebssystembereitstellungsfeature verwendet, werden Zustandsmigrationsdaten signiert und verschlüsselt |
Ja |
Ja, mit SSL |
Siehe auch
Konzepte
Voraussetzungen für den einheitlichen Modus
Übersicht über die internetbasierte Clientverwaltung
Zertifikatanforderungen für den einheitlichen Modus
Entscheiden, ob eine Konfiguration der HTTP-Kommunikation für Roaming und Standortzuweisung erforderlich ist (einheitlicher Modus)
Clientkommunikation im gemischten und einheitlichen Modus
Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte)
Implementieren von IPsec in Configuration Manager 2007
Andere Ressourcen
Konfigurieren des einheitlichen Modus
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com