インターネット ベースのクライアント管理のサーバーの配置を決定する
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
インターネット ベースのクライアント管理については、複数のシナリオがサポートされており、それぞれに長所と短所があります。サーバーを境界ネットワーク内とイントラネット内のどちらに配置するかを決定するには、対象の環境とビジネス要件に照らして、どのシナリオが適切かを判断する必要があります。
次のサーバーの配置では、すべてプライマリ サイトのみが参照されます。セカンダリ サイトはインターネット ベースのクライアント管理をサポートしません。
イントラネット クライアントを同時に管理する必要がないサイトのためのサーバーの配置
Configuration Manager 2007 サイトが、インターネット クライアントとイントラネット クライアントの両方をサポートする必要がない場合は、次の表のシナリオ 1 と 2 が適用可能です。次の表は、これらのシナリオの長所と短所、および関連するサーバーの配置を示します。
インターネット クライアントのみをサポートするシナリオ | 長所 | 短所 | サーバーの配置 |
---|---|---|---|
シナリオ 1 :すべてのインターネット ベースのサイト システムは境界ネットワーク内にあり、インターネットを介して接続するクライアントの接続を受け入れます。サイト サーバーがイントラネット内にある場合 :
|
サイト サーバーは、イントラネット内に存在することによって、インターネット トラフィックから保護されています。 構成する SQL Server レプリカも、関連するレプリケーションの待ち時間もありません。 |
バックエンドのファイアウォールは、SQL トラフィックおよび Server Message Block (SMB) トラフィックを許可するために、一部構成する必要があります。 SQL 接続は、境界ネットワークからイントラネットに対して開始されます。この構成は、イントラネット側から接続を開始するよりも、セキュリティの点で劣ります。 ソフトウェア更新ポイントの役割が構成されているサーバーが、イントラネットの親サイトのアクティブなソフトウェア更新ポイントとソフトウェア更新メタデータを同期する必要がある場合、バックエンドのファイアウォールが着信 HTTPS/HTTP を許可するように構成する必要があります。これらの着信接続を防ぐには、次のトピックの説明にしたがって、ソフトウェアの更新を同期するエクスポートとインポートの方法を使用します。エクスポートとインポートを使用した更新の同期方法. |
境界ネットワーク:
イントラネット :
|
シナリオ 1: すべてのインターネット ベースのサイト システムは境界ネットワーク内にあり、インターネットを介して接続するクライアントの接続を受け入れます。サイト サーバーがイントラネット内にある場合 :
|
サイト サーバーは、イントラネット内に存在することによって、インターネット トラフィックから保護されています。 SQL レプリカは、境界ネットワークからイントラネットへのすべての接続がイントラネット側から開始されることを意味します。これは、境界ネットワークから接続が開始される構成より安全です。 |
バックエンドのファイアウォールは、SQL トラフィックおよび SMB トラフィックを許可するために、一部構成する必要があります。 SQL レプリカには、サーバーとそれに伴うコストが必要です。また、レプリカとサイト サーバーの間で、レプリケートによる遅延が発生します。 ソフトウェア更新ポイントの役割で構成されるサーバーが、イントラネットの親サイトでソフトウェア更新メタデータをアクティブなソフトウェア更新ポイントと同期させる必要がある場合に、バックエンドのファイアウォールが着信 HTTPS/HTTP を許可するように構成される必要があります。これらの着信接続を防ぐには、次のトピックの説明にしたがって、ソフトウェアの更新を同期するエクスポートとインポートの方法を使用します。 エクスポートとインポートを使用した更新の同期方法. |
境界ネットワーク:
イントラネット :
|
シナリオ 2: インターネットベースのサイトが、境界ネットワーク内に含まれています。
|
インターネット トラフィックは、イントラネットに渡されません。 子サイト サーバーから親サイト サーバーへのバックエンド ファイアウォールで必要な構成は 1 つだけです。 集中管理とレポートをサポートします。 |
サイト サーバーは、イントラネット内に存在する場合より、インターネットからの攻撃に対して脆弱です。 バックエンドのファイアウォールは、着信 SMB トラフィックを許可するように構成する必要があります。 ソフトウェア更新ポイントの役割が構成されているサーバーが、親サイトのアクティブなソフトウェア更新ポイントとソフトウェア更新メタデータを同期する必要がある場合、バックエンドのファイアウォールが着信 HTTPS/HTTP を許可するように構成される必要があります。または、次のトピックの説明にしたがって、ソフトウェアの更新を同期するエクスポートとインポートの方法を使用します。エクスポートとインポートを使用した更新の同期方法. |
境界ネットワーク:
イントラネット :
|
シナリオ 2: インターネットベースのサイトが、境界ネットワーク内に含まれています。
|
インターネット トラフィックは、イントラネットに渡されません。 バックエンドのファイアウォールでは、何も構成する必要はありません。 |
サイト サーバーは、イントラネット内に存在する場合より、インターネットからの攻撃に対して脆弱です。 集中管理とレポートはサポートされません。 |
境界ネットワーク:
イントラネット :
|
インターネットとイントラネット上のクライアントを同時に管理するサイトのためのサーバーの配置
Configuration Manager 2007 サイトが、インターネット クライアントとイントラネット クライアントの両方をサポートする必要がある場合は、次の表のシナリオ 3 と 4 が適用可能です。次の表は、これらのシナリオの長所と短所、および関連するサーバーの配置を示します。
インターネットおよびイントラネット上のクライアントをサポートするシナリオ | 長所 | 短所 | サーバーの配置 |
---|---|---|---|
シナリオ 3: サイトは、境界ネットワークとイントラネットにわたります。すべてのインターネット ベースのサイト システムは境界ネットワーク内にあり、インターネットを介して接続するクライアントの接続を受け入れます。2 つ目の管理ポイント (および 2 つ目のソフトウェアの更新ポイントとフォールバック ステータス ポイント、追加の配布ポイント) があり、イントラネット内にはイントラネットに接続しているクライアント用の別のサイト システムがあります。
|
サイト サーバーは、イントラネット内に存在することによって、インターネット トラフィックから保護されています。 割り当てられた管理ポイントや、イントラネット クライアントが接続するその他のサイト システムは、インターネット トラフィックから分離されます。 構成する SQL Server レプリカも、関連するレプリケーションの待ち時間もありません。 |
インターネット ベースの接続用により多くのサーバーと、それに伴うコストが必要です。 手動によるソフトウェア更新メタデータのエクスポートとインポートには、管理オーバーヘッドが生じます。 バックエンドのファイアウォールは、SQL トラフィックおよび SMB トラフィックを許可するために、一部構成する必要があります。 SQL 接続は、境界ネットワークからイントラネットに対して開始されます。この構成は、イントラネット側から接続を開始するよりも、セキュリティの点で劣ります。 |
境界ネットワーク:
イントラネット :
|
シナリオ 3: サイトは、境界ネットワークとイントラネットにわたります。すべてのインターネット ベースのサイト システムは境界ネットワーク内にあり、インターネットを介して接続するクライアントの接続を受け入れます。2 つ目の管理ポイント (および 2 つ目のソフトウェアの更新ポイントとフォールバック ステータス ポイント、追加の配布ポイント) があり、イントラネット内にはイントラネットに接続しているクライアント用の別のサイト システムがあります。
|
サイト サーバーは、イントラネット内に存在することによって、インターネット トラフィックから保護されています。 割り当てられた管理ポイントや、イントラネット クライアントが接続するその他のサイト システムは、インターネット トラフィックから分離されます。 SQL レプリカは、境界ネットワークからイントラネットへのすべての接続がイントラネット側から開始されることを意味します。これは、境界ネットワークから接続が開始される構成より安全です。 |
インターネット ベースの接続用により多くのサーバーと、それに伴うコストが必要です。 手動によるソフトウェア更新メタデータのエクスポートとインポートは、管理オーバーヘッドを生じさせます。 バックエンドのファイアウォールは、SQL トラフィックおよび SMB トラフィックを許可するために、一部構成する必要があります。 |
境界ネットワーク:
イントラネット :
|
シナリオ 4: サイトによって、境界ネットワークとイントラネットがつながれます。
|
イントラネット接続とインターネット接続の両方に対して構成および保守するサーバーが減ります。 サイト サーバーは、イントラネット内に存在することによって、インターネット トラフィックから保護されています。 構成する SQL Server レプリカも、関連するレプリケーションの待ち時間もありません。 |
境界ネットワークとイントラネットの間にセキュリティ境界がないため、このソリューションはお勧めできません。 SQL 接続は、境界ネットワークからイントラネットに対して開始されます。この構成は、セキュリティの点で劣ります。 |
境界ネットワーク:
イントラネット :
|
シナリオ 4: サイトによって、境界ネットワークとイントラネットがつながれます。
|
イントラネット接続とインターネット接続の両方に対して構成および保守するサーバーが減ります。 サイト サーバーは、イントラネット内に存在することによって、インターネット トラフィックから保護されています。 構成する SQL Server レプリカも、関連するレプリケーションの待ち時間もありません。 |
イントラネット上にあるインターネット ベースのサイト システムがインターネット クライアントに発行されるように、境界ネットワークとイントラネットの間に逆プロキシ構成が必要です。 インターネット クライアントは、セキュリティ境界を通過して、イントラネット上のサーバーに接続します。この脅威は、プロキシ サーバー上の SSL トンネルではなく、SSL ブリッジを使用して緩和できます。詳細については、「インターネット ベースのクライアント管理で使用するプロキシ Web サーバーの要件を確認する」を参照してください。 |
境界ネットワーク:
イントラネット :
|
シナリオ 4: サイトによって、境界ネットワークとイントラネットがつながれます。
|
イントラネット接続とインターネット接続の両方に対して構成および保守するサーバーが減ります。 サイト サーバーは、イントラネット内に存在することによって、インターネット トラフィックから保護されています。 構成する SQL Server レプリカも、関連するレプリケーションの待ち時間もありません。 |
イントラネット クライアントは、セキュリティ境界を通過して、インターネット トラフィックにさらされているサーバーに接続します。 バックエンドのファイアウォールは、SQL トラフィックおよび SMB トラフィックを許可するために、一部構成する必要があります。 SQL 接続は、境界ネットワークからイントラネットに対して開始されます。この構成は、セキュリティの点で劣ります。 |
境界ネットワーク:
イントラネット :
|
参照:
概念
インターネット ベースのクライアント管理でサポートされるシナリオ
インターネット ベースのクライアント管理で使用するプロキシ Web サーバーの要件を確認する
インターネット ベースのクライアント管理の概要
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.