Présentation de la gestion des clients Internet

Article
12/19/2014

Mis à jour: décembre 2009

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

La gestion des clients basée sur Internet vous permet de gérer les clients Configuration Manager 2007 lorsqu'ils ne sont pas connectés au réseau de votre entreprise mais qu'ils disposent d'une connexion Internet standard. Cette configuration offre différents avantages, notamment la réduction des coûts, car il n'est plus nécessaire d'utiliser des réseaux privés virtuels (VPN) et vous pouvez déployer les mises à jour logicielles au moment opportun.

En raison des exigences plus élevées de sécurité de la gestion des ordinateurs clients sur un réseau public, la gestion de clients basée sur Internet nécessite que le site fonctionne en mode natif. Cela garantit que les connexions au point de gestion, au point de mises à jour logicielles et aux points de distribution sont authentifiées par une autorité indépendante, et que les données transférées depuis et vers ces systèmes de site sont chiffrées en utilisant Secure Sockets Layer (SSL).

Fonctionnalités non prises en charge sur Internet

Toutes les fonctionnalités de Configuration Manager 2007 ne sont pas conformes avec une utilisation sur Internet, elles ne sont donc pas prises en charge lorsque les clients sont gérés sur Internet. Les fonctionnalités non prises en charge pour la gestion via Internet sont généralement basées sur le composant Services de domaine Active Directory (qui n'est pas accessible à partir d'Internet) ou ne sont pas conformes avec un réseau public (telles que la découverte de réseau et Wake On LAN).

Les fonctions ci-dessous ne sont pas prises en charge lorsque les clients sont gérés sur Internet :

la distribution de logiciels dirigée vers les utilisateurs (directement ou par le biais des groupes de sécurité Microsoft Windows) ;
les points de distribution de branche (un point de distribution de branche ne peut pas prendre en charge les clients Internet et les clients sur Internet ne peuvent pas être configurés comme point de distribution de branche) ;
le déploiement de clients via Internet ;
l'affectation automatique de site ;
la protection d'accès réseau (NAP) ;
l'éveil par appel réseau (Wake On LAN) ;
le déploiement de système d'exploitation ;
Séquences de tâches.
le contrôle à distance.
Gestion hors bande dans Configuration Manager 2007 SP1 et versions ultérieures.
la fonctionnalité de ping client employée avec la fonctionnalité de rapport d'état du client dans Configuration Manager 2007 R2.

En outre, la gestion de clients basée sur Internet ne prend pas en charge les fonctions d'itinérance, qui permettent aux clients de toujours trouver les points de distribution les plus proches pour télécharger du contenu. Les clients gérés sur Internet disposent d'un point de gestion Internet fixe et communiquent avec celui-ci uniquement lorsqu'ils sont sur Internet et avec les systèmes du site configurés pour la gestion de clients basée sur Internet.

Les clients qui se connectent via Internet téléchargent du contenu à partir de n'importe quel point de distribution basé sur Internet dans le site, quels que soient leur bande passante et leur emplacement physique. Par conséquent, vous ne pouvez pas configurer un système de site protégé pour prendre en charge la gestion des clients basée sur Internet.

Configuration de systèmes de site pour la gestion des clients basée sur Internet

Aucun nouveau rôle de système de site n'est nécessaire pour prendre en charge les clients sur Internet. À la place des rôles système de site existants en mode natif, des sites principaux sont configurés pour la gestion des clients Internet et placés de façon appropriée sur le réseau. Les systèmes de site ci-dessous peuvent prendre en charge la gestion des clients via Internet :

point de gestion (avec et sans cluster d'équilibrage de la charge réseau) ;
points de distribution ;
point d'état de secours ;
point de mises à jour logicielles (avec et sans cluster d'équilibrage de la charge réseau).

Divers scénarios pris en charge déterminent l'emplacement des serveurs dans le site principal Configuration Manager 2007. Ce sont notamment le placement de l'ensemble du site Configuration Manager 2007 à l'intérieur du réseau de périmètre (également désigné sous les termes sous-réseau filtré et zone démilitarisée ou DMZ) et la répartition du site entre le réseau de périmètre et le réseau intranet. La configuration des pare-feu et des proxy Web dépend du placement de serveur choisi. Si vous utilisez un serveur Web proxy, comme Microsoft ISA Server 2006, il doit également posséder un certificat approprié et prendre en charge la terminaison SSL pour que le serveur Web proxy puisse authentifier les connexions de clients.

Configuration de clients pour la gestion basée sur Internet

Les ordinateurs clients et les périphériques clients mobiles peuvent être configurés pour l'une des méthodes de gestion suivantes :

gestion par Internet uniquement ;
gestion par réseau intranet uniquement.

Les clients gérés via Internet doivent être configurés de manière à utiliser le point de gestion Internet de leur site attribué. Les clients ne peuvent pas communiquer avec un point de gestion Internet ou avec aucun autre système de site à partir d'un autre site. Vous pouvez spécifier la configuration du point de gestion Internet avec les propriétés de ligne de commande lors de l'installation ou sous l'onglet Internet de Configuration Manager à partir du Panneau de configuration d'un ordinateur client.

Notes

L'onglet Internet ne s'affiche que si le client communique en mode natif.

Les clients configurés pour une gestion uniquement basée sur Internet ne communiquent qu'avec les systèmes de site configurés pour la prise en charge de la gestion des clients basée sur Internet. Cette configuration est appropriée pour les ordinateurs et les périphériques dont vous savez qu'ils ne se connectent jamais au réseau intranet de votre entreprise, un exemple en étant un point d'ordinateurs du secteur ventes à des emplacements distants.

Les clients configurés pour une gestion via intranet uniquement ne sont pas configurés pour utiliser le point de gestion Internet et ils n'ont pas besoin de se connecter aux systèmes de site configurés pour la gestion des clients basée sur Internet.

Les ordinateurs clients peuvent utiliser une troisième configuration qui n'est pas disponible pour les périphériques clients mobiles :

la gestion via Internet ou intranet

Pour que les clients soient en mesure de prendre en charge ce mode de fonctionnement, ils doivent être associés à un domaine et bénéficier d'une relation d'approbation avec la forêt Active Directory du serveur de site. Par exemple, ils doivent être dans la même forêt Active Directory que le serveur de site ou être authentifiés via une approbation externe ou de forêt. Les clients de groupe de travail ne prennent pas en charge la gestion via Internet ou intranet. Toutefois, ils doivent être configurés pour la gestion par Internet uniquement ou pour la gestion par réseau intranet uniquement.

Les clients configurés pour une gestion via Internet ou Intranet peuvent automatiquement basculer entre la gestion des clients basée sur Internet et la gestion des clients via le réseau intranet chaque fois qu'ils détectent un changement de réseau.

Lorsqu'un changement de réseau est détecté, l'ordinateur client tente d'abord de communiquer avec le point de gestion qui lui est attribué sur le réseau intranet. S'il réussit, l'ordinateur client se comporte comme un client intranet standard. Toutefois, s'il ne parvient pas à se connecter à son point de gestion associé, il tente d'établir une communication avec son point de gestion Internet configuré, en utilisant le nom de domaine complet Internet qui est configuré sur le point de gestion et enregistré les serveurs DNS Internet. Lorsque le point de gestion Internet répond, l'ordinateur client utilise alors, selon le cas, les points de distribution et le point de mises à jour logicielles qui sont aussi configurés pour la gestion des clients basée sur Internet.

L'avantage du basculement automatique entre la gestion des clients basée sur Internet et la gestion des clients par le réseau intranet est que les ordinateurs clients bénéficient de toute la gamme des fonctionnalités de Configuration Manager lorsqu'ils se reconnectent au réseau intranet. En outre, un téléchargement commencé sur Internet peut reprendre sans interruption sur le réseau intranet.

Important

Si vous avez des clients qui ne peuvent pas prendre en charge la gestion des clients Internet et intranet (comme les clients de groupe de travail) et que vous souhaitez les gérer via Internet, ils doivent être configurés pour la gestion par réseau Internet uniquement. Cela signifie que lorsqu'ils se connectent à l'intranet, ils continuent de communiquer avec les systèmes de site basés sur Internet. Comme le précise la section précédente, « Fonctionnalités non prises en charge sur Internet », ils ne prennent pas en charge la totalité des fonctions de Configuration Manager associées à la gestion des clients intranet.

Comment les clients Internet utilisent le point d'état de secours

Si vous utilisez un point d'état de secours dans le site de gestion des clients basée sur Internet, le client doit être configuré avec ce point d'état de secours basé sur Internet lors de son installation. Si le client ne parvient pas à se connecter à sont point de gestion basé sur Internet lorsqu'il est sur Internet (par exemple, en raison de l'expiration de son certificat), il émet via HTTP un message d'état d'échec au point d'état de secours basé sur Internet configuré pour lui.

Lorsqu'un ordinateur client est configuré pour une gestion des clients basée sur Internet et Intranet et également avec un point d'état de secours basé sur Internet, il n'utilise pas ce dernier. Cela signifie que si un ordinateur client bascule vers le réseau intranet et ne peut pas se connecter à son point de gestion attribué sur intranet, il envoie son message d'état d'échec au point d'état de secours basé sur Internet à partir du réseau intranet.

Comment les ordinateurs clients utilisent les paramètres de serveur proxy

En plus de spécifier le point de gestion basé sur Internet du client, les ordinateurs clients peuvent aussi spécifier les paramètres de serveur Web proxy. Spécifiez les paramètres de serveur Web proxy si l'ordinateur client doit se connecter à Internet à l'aide d'un serveur Web proxy.

Important

Si vous utilisez un numéro de port de site pour les requêtes de client HTTPS autres que la valeur standard par défaut 443, les connexions Internet qui nécessitent un serveur Web proxy ne fonctionneront probablement pas car, en général, les serveurs Web proxy sont configurés pour utiliser le port HTTPS 443 par défaut.

La possibilité de spécifier une configuration de serveur Web proxy est particulièrement utile aux utilisateurs tels que les consultants, qui connectent leur ordinateur portable aux réseaux intranet d'autres sociétés. La spécification des détails du serveur Web proxy en tant que propriété de Configuration Manager signifie que les ordinateurs restent gérés même lorsque les utilisateurs ne sont pas connectés. Cependant, si les paramètres de serveur Web proxy ne sont pas spécifiés en tant que propriété de Configuration Manager, les ordinateurs clients Configuration Manager essaient les méthodes de découverte de serveur Web proxy ci-dessous pour se connecter au point de gestion basé sur Internet spécifié :