Partager via

Propriétés du site : Mode site

  • Article

Mis à jour: novembre 2009

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

L'onglet Mode site définit si le site Configuration Manager 2007 fonctionne en mode natif ou en mode mixte et permet d'indiquer les paramètres liés au mode site. Les modes site sont utilisés pour indiquer comment les clients communiqueront avec le site. Pour sélectionner le mode dans lequel le site fonctionnera, sélectionnez Natif ou Mixte dans la liste déroulante Mode site.

Cet onglet n'est pas visible lorsque vous consultez les propriétés d'un site secondaire. Les sites secondaires héritent des paramètres présents dans l'onglet du mode site de leur site parent.

Important

Pour vous assurer que les clients du site sont toujours gérés après le passage du mode mixte au mode natif, consultez Liste de vérification de l'administrateur : Migration d'un site en mode natif

Une fois le mode site sélectionné, les options affichées varient selon que vous avez sélectionné le mode natif ou le mode mixte.

Notes

Si vous passez du mode mixte au mode natif et que vous disposez d'un point de gestion NLB indiqué avec une adresse IP, vous devez le reconfigurer à l'aide d'un nom de domaine complet (FQDN). Tant que vous n'aurez pas reconfiguré le point de gestion NLB avec un nom de domaine complet, les clients ne pourront pas contacter leur point de gestion par défaut et ne seront pas gérés. Pour plus d'informations, consultez Comment configurer le nom de domaine complet intranet d'un point de gestion d'équilibrage de la charge réseau.

Propriétés des paramètres du mode natif

Si vous sélectionnez le fonctionnement en mode natif, les propriétés suivantes du mode natif sont affichées.

  • Certificat de signature du serveur de site
    Indique le certificat de signature du serveur de site qui est nécessaire pour configurer le site afin qu'il fonctionne en mode natif. Ce certificat doit déjà être déployé sur le serveur de site et de façon externe sur Configuration Manager 2007. Vous ne pouvez pas configurer le mode natif sans indiquer ce certificat.

    Notes

    Le certificat de signature du serveur de site doit être configuré directement sur chacune des bases de données du site principal. Vous ne pouvez pas configurer le mode de site d'un site principal enfant à partir d'un site principal parent car le certificat ne peut pas être validé correctement dans ce scénario.

    Pour plus d'informations sur les certificats PKI requis, consultez Certificats requis pour le mode natif.

    Pour plus d'informations sur le déploiement des certificats PKI requis pour le mode natif, consultez Déploiement des certificats d'infrastructure à clés publiques requis pour le mode natif..

  • Certificat
    Indique le certificat de signature du serveur de site associé au site.

    Si le certificat a été sélectionné, le nom convivial du certificat sera affiché (s'il existe), ou <Nom non convivial> sera affiché si le certificat sélectionné ne dispose pas d'un nom convivial.

    Si le certificat n'a pas encore été spécifié, cliquez sur Parcourir pour le sélectionner ou tapez l'empreinte numérique dans la zone de texte Empreinte numérique.

    Ce certificat est utilisé par le serveur de site pour signer les stratégies de clients. Pour accepter des stratégies signées à l'aide de ce certificat, les clients doivent également posséder une copie du certificat de signature du serveur de site. Pour plus d'informations, consultez Décider comment déployer le certificat de signature du serveur de site vers des clients (Mode natif).

  • Parcourir
    Permet de parcourir le magasin de certificats sur le serveur de site pour sélectionner le certificat de signature du serveur de site dans la liste des certificats affichés. Si vous indiquez un certificat inapproprié, il est possible que le site ne soit plus géré. Le certificat que vous sélectionnez sera donc validé comme suit :

    • Le certificat se trouve dans sa période de validité et n'a pas expiré.

    • Le nom d'objet du certificat est correct et comprend le code du site.

    • Le rôle du certificat inclut la signature de documents.

  • Empreinte numérique
    Si vous ne pouvez pas accéder au magasin de certificats du serveur de site (par exemple, vous ne disposez pas des autorisations adéquates) mais que vous connaissez l'empreinte numérique du certificat, vous pouvez l'entrer ici. L'empreinte numérique doit être entrée sous forme de chaîne séquentielle de caractères hexadécimaux. Afin d'éliminer tout risque d'erreur de saisie, copiez et collez la chaîne depuis le certificat.

    Notes

    Vous pouvez copier l'empreinte numérique à l'aide du composant logiciel enfichable Certificats de la console MMC. Pour ce faire, accédez à Ordinateur local, au magasin Personnel et développez Certificats. Double-cliquez sur le certificat, puis cliquez sur l'onglet Détails. Faites défiler les fichiers et cliquez sur Empreinte numérique. Copiez la chaîne de caractères hexadécimaux affichée dans la zone de texte.

    Lorsque vous entrez l'empreinte numérique, Configuration Manager 2007 tente de la comparer à un certificat valide présent dans le magasin de certificats du serveur de site. Si cette opération se déroule correctement et que le certificat est validé, le nom convivial est affiché à côté de l'option Certificat.

  • Paramètres de déploiement du système d'exploitation
    Indique les paramètres relatifs au déploiement de système d'exploitation lorsque le site fonctionne en mode natif. Ces paramètres sont hérités par les sites secondaires, mais pas par les sites principaux enfants.

  • Spécifier les certificats d'Autorité de certification racine
    Ouvre la boîte de dialogue Spécifier les certificats d'Autorité de certification racine qui vous permet d'importer des certificats d'autorité de certification racine exportés pour les clients qui sont attribués au site. Cette étape peut être nécessaire pour que les clients de déploiement de système d'exploitation terminent l'installation.

    Pour plus d'informations sur la préparation des certificats de l'autorité de certification racine, consultez Comment préparer les certificats de l'autorité de certification racine pour les clients de déploiement du système d'exploitation.

  • Paramètres client publiés dans Active Directory
    Indique les paramètres du mode natif qui sont publiés sur les services de domaine Active Directory pour les ordinateurs clients, et qui sont automatiquement utilisés avec les installations poussées du client.

    Les ordinateurs clients qui peuvent accéder à ces paramètres dans les services de domaine Active Directory sont régulièrement configurés avec ces valeurs, y compris lorsque l'attribution du site est effectuée avec succès, au démarrage et toutes les 25 heures.

    Si les ordinateurs clients n'utilisent pas les paramètres par défaut, indiquez ces options à l'aide des propriétés d'installation CCMSetup, dans les situations suivantes :

    • Le schéma Active Directory n'est pas étendu pour Configuration Manager 2007.

    • Le schéma Active Directory est étendu pour Configuration Manager 2007, mais certains clients ne peuvent pas accéder à ces paramètres car ils se trouvent dans un groupe de travail ou font partie d'une autre forêt Active Directory.

    • Vous souhaitez indiquer des paramètres client différents pour l'installation uniquement.

    Pour plus d'informations sur les propriétés de ligne de commande, consultez À propos des propriétés d'installation du client Configuration Manager.

  • Activer la vérification de la liste de révocation de certificats sur les clients
    Indique si les ordinateurs clients Configuration Manager utilisent une liste de révocation de certificats avant d'utiliser les certificats PKI requis pour le mode natif.

    Pour ce paramètre, la vérification de la liste de révocation de certificats est activée par défaut lorsque le site est installé en mode natif. Lorsque le site est installé en mode mixte, puis migré en mode natif, ce paramètre désactive par défaut le contrôle de la liste de révocation de certificats.

    Pour plus d'informations, consultez Déterminer si vous devez activer la vérification de la révocation des certificats sur des clients (Mode natif).

  • Activer la communication HTTP pour l'itinérance et l'attribution de site
    Indique si les ordinateurs clients en mode natif peuvent utiliser le protocole HTTP lorsqu'ils se déplacent vers un site en mode mixte, afin qu'ils puissent communiquer avec le point de gestion résidant pour localiser le contenu et le télécharger à partir des points de distribution de ce site.

    En outre, le protocole HTTP est requis pour les communications avec le point de recherche de serveur nécessaire à l'attribution de site si le schéma Active Directory n'est pas étendu pour Configuration Manager 2007. C'est également le cas lorsque les ordinateurs clients utilisent un point de gestion d'équilibrage de charge réseau sur l'intranet et qu'ils ne parviennent pas à le localiser à partir des services de domaine Active Directory.

    Par défaut, les communications HTTP ne sont pas autorisées pour l'itinérance et l'attribution de site.

    Pour plus d'informations sur cette option, consultez Décider si vous devez configurer la communication HTTP pour l'itinérance et l'attribution de site (Mode natif).

  • Magasin de certificats
    Indique l'emplacement du certificat client à utiliser en mode natif.

    L'emplacement par défaut est le magasin Personnel du magasin de certificats de l'ordinateur. Si le certificat client a été déployé vers un autre emplacement du magasin de l'ordinateur, indiquez-le ici.

  • Critères de sélection du certificat
    Indique les critères de sélection à utiliser lorsque plusieurs certificats valides figurent dans le magasin de certificats spécifié.

    Le rôle du certificat est le seul élément vérifié par défaut. Pour indiquer les critères de sélection de certificat, sélectionnez l'une des options suivantes, puis précisez les valeurs correspondantes :

    • Vérifier uniquement l'objet du certificat : cette option n'utilise ni le nom d'objet, ni l'autre nom d'objet pour la sélection des certificats. Au lieu de cela, les certificats sont sélectionnés uniquement en fonction du rôle prévu pour le certificat, qui doit inclure l'authentification des clients. Il s'agit du critère de sélection des certificats par défaut.

    • L'objet contient : la vérification effectuée sur le nom d'objet du certificat n'est pas sensible à la casse. Ce critère de sélection est approprié si vous utilisez le nom de domaine complet d'un ordinateur et si vous souhaitez que la sélection du certificat repose sur le suffixe du domaine (par exemple, contoso.com). Vous pouvez néanmoins utiliser cette méthode de sélection pour identifier une chaîne de caractères séquentiels qui différencie le certificat des autres dans le magasin de certificats du client.

    • L'objet ou alt contient des attributs : l'identification d'attribut est sensible à la casse sur le champ de nom d'objet ou d'autre nom d'objet du certificat. Ce critère de sélection est approprié si vous utilisez des noms uniques X.500 ou des identificateurs d'objets équivalents, conformément à la norme RFC 3280, et si vous souhaitez que la sélection du certificat repose sur des valeurs d'attribut. Indiquez exclusivement les attributs et les valeurs nécessaires pour identifier de manière unique ou valider le certificat, et le différencier des autres dans le magasin de certificats du client. L'ordre dans lequel les attributs sont entrés n'a pas d'importance. Le tableau de la rubrique Déterminer si vous devez spécifier les paramètres de certificat du client (Mode natif) répertorie les valeurs d'attribut prises en charge pour les critères de sélection du certificat. Les exemples suivants définissent des critères de sélection du certificat en utilisant les attributs d'identificateur d'objet et de noms uniques :

      • Exemple 1 :   2.5.4.8 =Maryland, 2.5.4.6 =US, 2.5.4.10= Contoso, 2.5.4.11 =Ventes

      • Exemple 2 :   ST=Maryland, C=US, O= Contoso, OU=Postes de travail

  • Si plusieurs certificats correspondent à ces critères
    Indiquez la mesure à adopter lorsque Configuration Manager trouve plusieurs certificats valides répondant aux paramètres spécifiés :

    • Sélectionner un certificat correspondant : l'un des certificats répondant aux critères de sélection sera choisi au hasard. Si le client exécute Configuration Manager 2007 SP1 ou une version ultérieure, le certificat ayant la période de validité la plus longue est sélectionné. Si la connexion ne peut être établie avec ce certificat, les autres certificats trouvés ne seront pas testés et le client enverra un message d'erreur au point d'état de secours qui lui a été attribué.

    • Faire échouer la sélection et envoyer un message d'erreur : aucun des certificats ne sera utilisé pour tenter d'établir une connexion. Au lieu de cela, le client ne tentera aucune communication avec son point de gestion. Il enverra un message d'erreur au point d'état de secours qui lui a été attribué. Il s'agit de la configuration par défaut.

  • OK
    Enregistre les modifications et quitte la boîte de dialogue.
  • Annuler
    Ferme la boîte de dialogue sans enregistrer de modification.
  • Appliquer
    Enregistre les modifications et reste dans la boîte de dialogue.
  • Aide
    Ouvre les Propriétés du site : onglet Mode site (documentation d'aide).

Propriétés des paramètres du mode mixte

Si vous optez pour le fonctionnement en mode mixte, les propriétés suivantes du mode mixte sont affichées.

  • Paramètres d'approbation
    Indique les paramètres d'approbation du client à utiliser lors de l'autorisation de la gestion complète des ordinateurs dans un site en mode mixte.

    Approuver les clients d'un site en mode mixte pour vérifier l'identité du client. Veillez à sélectionner une méthode d'approbation des clients qui correspond à votre profil de risque. Pour plus d'informations sur la sécurisation, consultez Meilleures pratiques pour la sécurisation des clients, et pour plus d'informations sur l'approbation, consultez À propos de l'approbation du client dans Configuration Manager.

    Notes

    Le changement de la méthode d'approbation du site ne redéfinit pas automatiquement le statut d'approbation des clients déjà attribués au site. Le nouveau paramètre ne s'appliquera qu'aux derniers clients attribués.

  • Approuver manuellement chaque ordinateur
    L'approbation manuelle de chaque ordinateur du site introduit moins de risques, mais implique un travail d'administration plus fastidieux. Les clients doivent être approuvés manuellement à partir de la console Configuration Manager. Consultez la procédure « Pour approuver manuellement les clients » dans la rubrique Comment approuver des clients Configuration Manager.

  • Approuver automatiquement les ordinateurs dans les domaines approuvés (recommandé)
    L'approbation automatique des ordinateurs de domaines approuvés autorise automatiquement les ordinateurs clients liés à des domaines approuvés par le domaine du serveur de site.

    Important

    Si votre hiérarchie Configuration Manager 2007 s'étend sur plusieurs domaines, le point de gestion doit être configuré avec un nom de domaine complet intranet pour approuver les clients qui se trouvent dans un domaine différent de celui du serveur de site.

    Pour plus d'informations, consultez Comment configurer le nom de domaine complet intranet des systèmes de site et Déterminer si des noms de serveurs (FQDN) sont à utiliser.

    Lorsque vous utilisez ce paramètre, vous devez vous assurer que vous disposez d'autres contrôles de sécurité pour empêcher que des ordinateurs non approuvés soient liés à un domaine approuvé.

  • Approuver automatiquement tous les ordinateurs (non recommandé)
    L'approbation automatique de tous les ordinateurs autorise tout ordinateur qui demande une attribution au site. Ce paramètre est déconseillé car il permet à un ordinateur de recevoir des données potentiellement sensibles, même s'il n'est pas digne de confiance, car cette vérification n'a pas lieu.
  • Ce site contient uniquement des clients ConfigMgr 2007.
    Quelle que soit la méthode d'approbation du client que vous adoptez, ce paramètre active des paramètres de sécurité renforcée pour les communications des clients, paramètres qui sont disponibles pour les clients Configuration Manager, mais incompatibles avec ceux des clients SMS 2003. Avant d'activer ce paramètre, vérifiez que votre site ne comporte aucun client SMS 2003.
  • Paramètres client
    Spécifie les paramètres de chiffrement des données du client pour les informations qui sont envoyées aux points de gestion.
  • Chiffrer les données avant leur envoi au point de gestion.
    Sélectionnez ce paramètre pour chiffrer les données d'inventaire et les messages d'état envoyés par les clients à leur point de gestion. La méthode de chiffrement utilise le certificat auto-signé du client qui ne requiert pas d'infrastructure PKI, et elle utilise l'algorithme 3DES au lieu d'une méthode de chiffrement plus sûre en mode natif qui recourt à un certificat PKI avec chiffrement SSL. Pour plus d'informations sur les différences dans la sécurisation de données clientes en mode mixte et en mode natif, consultez le tableau « Comparaison entre le mode mixte et le mode natif » dans la rubrique Avantages du mode natif.
  • OK
    Enregistre les modifications et quitte la boîte de dialogue.
  • Annuler
    Ferme la boîte de dialogue sans enregistrer de modification.
  • Appliquer
    Enregistre les modifications et reste dans la boîte de dialogue.
  • Aide
    Ouvre les Propriétés du site : onglet Mode site (documentation d'aide).

Voir aussi

Tâches

Comment préparer les certificats de l'autorité de certification racine pour les clients de déploiement du système d'exploitation

Concepts

Modes du site Configuration Manager
Choisir entre le mode natif et le mode mixte
À propos de l'approbation du client dans Configuration Manager
Déterminer si vous devez activer la vérification de la révocation des certificats sur des clients (Mode natif)
Déterminer si vous devez spécifier les paramètres de certificat du client (Mode natif)
Décider comment déployer le certificat de signature du serveur de site vers des clients (Mode natif)
Renouvellement ou modification du certificat de signature du serveur de site
À propos des propriétés d'installation du client Configuration Manager

Autres ressources

Déploiement des certificats d'infrastructure à clés publiques requis pour le mode natif.

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.