Déterminer la configuration requise des serveurs Web proxy à utiliser avec la gestion des clients Internet

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Rubrique mise à jour en août 2008

Si vous utilisez des serveurs Web proxy avec une gestion des clients Internet dans Configuration Manager 2007, les configurations requises pour ces serveurs sont répertoriées dans les sections suivantes.

Si vous utilisez Microsoft Internet Security and Acceleration (ISA) Server en tant que serveur Web proxy, consultez les informations suivantes :

• Comment configurer ISA SSL Bridging pour la gestion des clients basés sur Internet via System Center Configuration Manager (https://go.microsoft.com/fwlink/?LinkId=122350).

• Page Web Microsoft ISA Server pour obtenir des informations relatives à l'installation et à la configuration (https://go.microsoft.com/fwlink/?LinkId=91897).

Prise en charge de SSL (Secure Sockets Layer)

Notes

Une terminaison SSL avec authentification faisant appel à la technologie de pontage est recommandée, bien que le tunnel SSL soit également pris en charge si votre serveur Web proxy ne peut pas prendre en charge le pontage avec authentification. Pour plus d'informations, consultez la documentation de Microsoft Internet Security and Acceleration Server sur les différences entre le pontage et le tunnel (https://go.microsoft.com/fwlink/?LinkId=80311).

• Pontage SSL vers SSL :

  La configuration recommandée lors de l'utilisation de serveurs Web proxy avec la gestion de clients basés sur Internet Configuration Manager 2007 est le pontage SSL vers SSL, utilisant une terminaison avec authentification. Les ordinateurs clients doivent être authentifiés à l'aide de l'authentification de l'ordinateur et les périphériques mobiles clients sont authentifiés à l'aide de l'authentification utilisateur.

  L'avantage de la terminaison SSL au niveau du serveur Web proxy est que les paquets provenant d'Internet sont inspectés avant d'être transférés au réseau interne. Le serveur Web proxy authentifie la connexion du client, l'arrête, puis ouvre une nouvelle connexion authentifiée sur les systèmes de site basés sur Internet. Lorsque les clients Configuration Manager utilisent un serveur Web proxy, leur identité (GUID client) est contenue, en toute sécurité, dans la charge utile du paquet pour que le point de gestion ne considère pas le serveur Web proxy comme le client. Le pontage n'est pas pris en charge dans Configuration Manager 2007 avec HTTP vers HTTPS ou depuis HTTPS vers HTTP.

• Tunnel :

  Si votre serveur Web proxy ne peut pas prendre en charge la configuration requise pour le pontage SSL, le tunnel est pris en charge. Il s'agit d'une option moins sûre car les paquets SSL d'Internet sont transférés aux systèmes de site sans terminaison et ne peuvent donc pas être inspectés à la recherche de contenu malveillant. Lors de l'utilisation du tunnel SSL, aucune configuration n'est requise pour les certificats pour le serveur Web proxy.

Configuration requise pour les certificats pour le pontage SSL

• Certificat de serveur Web pour l'authentification de serveur et SSL si vous utilisez le pontage :

  • Le certificat doit être lié à une autorité racine approuvée par les ordinateurs clients.

  • Le certificat doit contenir les noms de domaine complets Internet de tous les systèmes de site basés sur Internet dans le champ Autre nom de l'objet.

• Certificat de l'ordinateur client pour l'authentification si vous utilisez le pontage pour les ordinateurs clients :

  • Le certificat doit être lié à une autorité de certification racine approuvée par les serveurs de systèmes de site.

  • Le certificat doit présenter une valeur unique dans le champ Objet ou dans le champ Autre nom de l'objet.

• Certificat utilisateur client pour l'authentification si vous utilisez le pontage pour les périphériques mobiles clients :

  • Le certificat doit être lié à une autorité de certification racine approuvée par les serveurs de systèmes de site.

  • Le certificat doit présenter une valeur unique dans le champ Objet ou dans le champ Autre nom de l'objet.

Configuration requise du point d'état de secours

• Prise en charge pour HTTP :

  • Si vous utilisez un point d'état de secours basé sur Internet, le serveur Web proxy doit accepter le trafic HTTP.

Configuration requise du DNS

• Dans Configuration Manager 2007, les systèmes de site basés sur Internet doivent être configurés avec un nom de domaine complet Internet, qui est également inscrit sur les serveurs DNS Internet publics avec l'adresse IP de votre serveur Web proxy.

• Les systèmes de site basés sur Internet doivent être publiés sur le serveur Web proxy avec le nom de domaine complet Internet qu'ils doivent utiliser dans Configuration Manager 2007 d'après leur configuration.

Inspection au niveau de l'application

Si le serveur Web proxy effectue une inspection au niveau de l'application, il doit autoriser la communication suivante entre des clients Configuration Manager et des systèmes de site Internet :

• HTPP version 1.1

• Type de contenu HTTP de la pièce jointe MIME à plusieurs parties

• Verbes et en-têtes HTTP requis

Pour plus d'informations, consultez les dépendances externes répertoriées dans Configuration requise pour la gestion des clients Internet

Voir aussi

Concepts

Certificats requis pour le mode natif
Déterminer les ports requis pour la gestion des clients basés sur Internet
Présentation de la gestion des clients Internet

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.