次の方法で共有


インターネット ベースのクライアント管理を Configuration Manager に実装するシナリオ例

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

ここでは、インターネット ベースのクライアント管理を Configuration Manager 2007 で実装し、次のビジネス要件を解決する方法の例について説明します。

  • 定期的にイントラネットからインターネットに移動するラップトップの管理を継続する

  • イントラネットに接続しない自宅のコンピュータを管理する

  • インターネット ベースのクライアントとイントラネット上のイントラネット クライアントを同じサイト システム サーバーでサポートする

定期的にイントラネットからインターネットに移動するラップトップの管理を継続する

このシナリオでは、インターネット ベースのクライアント管理を使用し、既存の Configuration Manager サイトを拡張して、イントラネットからインターネットに移動するクライアントをサポートする方法を示します。選択したネットワーク設計には、インターネット ベースのサイト システムを境界ネットワークに追加し、境界ネットワークで SQL Server レプリカを使用してセキュリティを強化するというサポート対象シナリオが組み込まれます。インターネット ベースのサーバーのネットワーク図 - シナリオ 1 (SQL Server レプリカ含む).

A. Datum Corporation には多くの営業担当者がおり、通常は外出してお客様に会い、定期的に事務所に戻ってきます。必要なソフトウェア更新および最新アプリケーションが揃うように営業担当者のラップトップを管理することは困難です。営業担当者は、時間を割いて事務所に戻るか、低速で信頼性が低いインハウス VPN ソリューションを使用して接続する必要があるからです。また、監査部門は最新の週刊インベントリ レポートでアプリケーションの使用量を記録するように要求していますが、ラップトップでこの要求を満たすことはできません。ラップトップのインベントリ データが毎週返されるとは限らないからです。

A. Datum Corporation は、このようなラップトップをイントラネット外部に移動するときにも管理できるように、次の表で説明する一連の措置を決定しました。

プロセス 参照

Tommy Hartono は Configuration Manager 管理者であり、Configuration Manager 2007 サイトを管理しています。彼は、インターネット ベースのクライアント管理、およびイントラネットからインターネットに移動するクライアントを管理し続ける方法について調べています。

インターネット ベースのクライアント管理の概要

彼は、インターネット ベースのクライアント管理を実装する場合、および既存の VPN ソリューションをアップグレードする場合の長所と短所を比較し、インターネット ベースのクライアント管理の方が適したソリューションであると判断します。接続するユーザーに依存しないからです。

インターネット ベースのクライアント管理が必要かどうかを判断する

Tommy はこの提案について上司と話し合います。上司は、インターネット ベースのクライアント管理の依存関係について調べて、その依存関係を満たせることを確認し、この実装のサポートに必要となる社内要員を確保するように要求します。

Tommy は依存関係を確認し、関与する必要がある要員に連絡します。

インターネット ベースのクライアント管理の前提条件

インターネット ベースのクライアント管理に対する管理者の役割とプロセスを決定する

Tommy は、インターネット ベースのクライアント管理にネイティブ モードが必要であり、サイトが混在モードで現在構成されていることに気付きます。

会社にはイントラネットおよびインターネット上のコンピュータに対する PKI ソリューションが既にあるので、彼はこの要件を満たせるかどうかを確認し、満たせる場合は必要な証明書の展開プロセスを開始するため、このチームと先に話し合います。

既存の PKI をネイティブ モードに使用できるかどうかを判断する

管理者チェックリスト :ネイティブ モードの PKI 要件の展開

次に Tommy は、会社のネットワーク インフラストラクチャ チームとの設計ミーティングを開き、既存のネットワーク インフラストラクチャでインターネット接続を適合させる方法を判断します。

ミーティングでは、サポート対象シナリオ、インターネット ベース クライアントをサポートする必要があるサイト数、サーバーの配置場所について話し合います。

インターネット ベースのクライアント管理でサポートされるシナリオ

インターネット ベースのクライアント管理のサイト配置を決定する

インターネット ベースのクライアント管理のサーバーの配置を決定する

ミーティングでは、境界ネットワークで次のサイト システムを追加するように、1 つのサイトを拡張することに決まります。

  • 管理ポイント

  • ソフトウェアの更新ポイント

  • フォールバック ステータス ポイント

  • 配布ポイント

インターネット ベースのサーバーのネットワーク図 - シナリオ 3 (SQL Server レプリカ含まず)

会社のセキュリティ チームと設計について話し合い、セキュリティ チームは、境界ネットワークからの SQL 接続がセキュリティ境界を越えてイントラネットに達さないことを条件に、この設計を承認します。

設計は SQL Server のレプリカを境界ネットワークで使用するように改訂され、データベース管理者はこの要件を通知されます。

インターネット ベースのサーバーのネットワーク図 - シナリオ 3 (SQL Server レプリカ含む)

Tommy は、ネットワーク設計が承認されると、境界ネットワークにおけるファイアウォールおよびネットワーク デバイスの設定の手配をネットワーク チームに依頼します。

ネットワーク チームは、要求どおりに変更できるように、使用するネットワーク ポートを確認します。

注意

このソリューションでは PKI 証明書失効について慎重に設計する必要があります。これにより、Configuration Manager クライアントは常にサイト システムのネイティブ モード証明書に記録されている CRL を検索でき、またネイティブ モードのサイト システム サーバーはネイティブ モード クライアント証明書に記録されている CRL を検索できるようになります。CRL の PKI 設計では、インフラストラクチャの構成の追加が必要になる場合があります。たとえば、インターネット上の Configuration Manager クライアントは CRL へのアクセスに HTTP 接続を行います。このとき、ファイアウォール、プロキシ サーバー、DNS の設定が必要になる場合があります。

インターネット ベースのクライアント管理に必要なポートを特定する

Configuration Manager の CRL 依存については、次のトピックを参照してください。ネイティブ モードの前提条件.

会社のインターネット DNS サーバーは外部企業によって管理されているので、Tommy は変更要求 (RFC) を提出し、DNS におけるインターネット ベース サイト システムのインターネット FQDN を公開します。彼は必要な情報を提出します。

Configuration Manager サイト システムの役割で使用する DNS の構成

PKI 証明書が展開されたところで、Tommy はネイティブ モードにサイトを移行し、一定期間監視して問題がないことを確認します。

サイト モードを混在モードからネイティブ モードに移行する方法

ネイティブ モードでクライアント証明書の問題を特定する方法

別のサーバーをインストールし、境界ネットワークのコンピュータに適したセキュリティ ポリシーで強化します。

Tommy は、ネットワーク インフラストラクチャが要求どおりに構成されていることを確認します。

会社固有の内部プロセス

Tommy は、次の構成を使用して、インターネット ベースのサイト システムの役割をサーバーにインストールします。

  • サーバーにあるインストール アカウント。

  • サイト システムのインターネット FQDN。

  • [サイト サーバが開始した、このサイト システムからのデータ転送のみを許可する]オプション。

サイト システム インストール アカウントの構成方法

インターネット ベースのクライアント管理をサポートするサイト システムのインターネット FQDN を構成する方法

サイト サーバーによるデータ転送のみを許可するためにインターネット ベースのサイト システムを構成する方法

Tommy は、ソフトウェア更新を同期化するように、インターネット ベースのソフトウェアの更新ポイントを構成します。

ソフトウェアの更新の同期方法

データベース管理者は、SQL Server レプリカを境界ネットワークにインストールして構成します。

SQL Server サイト データベースのレプリケーションの構成方法

Tommy は、インターネット クライアントのみからの接続を受け入れるようにインターネット ベースのサイト システムを構成します。

インターネット ベースのクライアント接続で使用する管理ポイントの設定方法

インターネット ベースのクライアント接続で使用する配布ポイントの設定方法

インターネット ベースのクライアント接続で使用するフォールバック ステータス ポイントの構成方法

インターネット ベースのクライアント接続で使用するソフトウェアの更新ポイントの構成方法

Tommy は、インターネットでコンテンツを転送できるようにインターネット ベースの配布ポイントを構成します。

BITS、HTTP、および HTTPS を使用してコンテンツを転送するために配布ポイントを構成する方法

Tommy は、インターネット ベースの管理ポイント FQDN をクライアントで指定して、[コントロール パネル] から [Configuration Manager] の [インターネット] タブを使用し、数台のマシンでテストを実行します。

インターネット ベースの管理ポイントに Configuration Manager クライアント コンピュータを割り当てる方法

Tommy は、予備テストが正常に終了してから、数台のコンピュータにスクリプトを送信して、次のインストール パラメータで再インストールし、テスト範囲を拡張します。

  • インターネット サイトへの割り当て。

  • ネイティブ モード通信と CRL チェック。

  • インターネット ベース管理ポイントの FQDN。

  • インターネット ベースのフォールバック ステータス ポイントの FQDN。

Configuration Manager クライアント インストールのプロパティについて

ラップトップ ユーザーは、実装される変更について通知されます。ヘルプ デスクは最新情報の通知を受け、インターネット上でアプリケーションまたはソフトウェア更新をインストールする場合に問題が発生したクライアントのトラブルシューティング方法に関する情報を受け取ります。

会社固有の内部プロセス

Tommy はテストが正常に終了したことを確認し、同じインストール スクリプトをラップトップに送信します。

彼は、スクリプトが各クライアントに正常に送信されることを監視し、フォールバック ステータス ポイントによって生成されるレポートを使用してクライアントの展開を追跡します。また、クライアント ハードウェア インベントリ データを使用してクライアント構成の詳細を特定します。

Configuration Manager のフォールバック ステータス ポイントについて

ネイティブ モードとインターネット ベースのクライアント管理でクライアント構成の詳細を特定する方法

6 週間後、Tommy は 95 パーセントのラップトップ コンピュータがスクリプトを受信したこと、およびコンピュータがイントラネットに接続しているときにインベントリ データがコンピュータから定期的に送信されていることを確認します。

またラップトップは、イントラネットのコンピュータがレポートするソフトウェア更新と同レベルの対応をレポートしています。

[ソフトウェア - 会社と製品] レポートのカテゴリ:

  • [インベントリされたすべての製品とバージョンのカウント]

ソフトウェアの更新のレポートについて

Tommy は、ヘルプ デスクおよびユーザーからフィードバックを集めて、改善点や変更点がないかどうかプロセスを見直します。

会社固有の内部プロセス

Tommy は、適時、インベントリ レポートを要求に応じて提出できます。

会社固有の内部プロセス

このインターネット ベースのクライアント管理の展開では、コンピュータがインターネットおよびイントラネットのクライアント管理に構成されている場合、次のようにユーザーに影響が及ぶことがあります。

  • ラップトップがイントラネットからインターネットに移動

    営業担当者がインターネットに接続しているとき、ラップトップはインベントリ データおよび対応情報をサイトに送信し続けます。必要なアプリケーションおよびソフトウェア更新は、最初のダウンロードに時間がかかることがありますが、自動的にインストールされます。接続が途中で切断された場合でも、次にインターネットに接続したとき、ダウンロードは再開されます。

    営業担当者は、Windows ユーザー アカウントを対象とするソフトウェア配布を受信しませんが、このアプリケーションはオプションであって必須ではありません。

  • ラップトップがインターネットからイントラネットに移動

    営業担当者は、4 週間の出張の後で事務所に戻ります。営業担当者はラップトップをイントラネットに接続します。大きいソフトウェア配布パッケージのダウンロードは、前回終了したところから再開され、高速ネットワーク接続で迅速に完了します。

    ユーザーは、2 つのオプション ソフトウェア配布が使用可能であることに気付き、後で必要になったときのためにそのソフトウェアをインストールすることに決めます。

イントラネットに接続しない自宅のコンピュータを管理する

このシナリオでは、新しい Configuration Manager サイトを作成し、インターネット ベースのクライアント管理を使用して、イントラネットに接続しないクライアントをインターネットでサポートする方法を示します。選択したネットワーク設計では、境界ネットワークに子サイトが完全に含まれるというサポート対象シナリオが組み込まれます。インターネット ベースのサーバーのネットワーク図 - シナリオ 2 (子サイト含む).

Coho Winery には多くの契約ユーザーがおり、自分のコンピュータを使用して電子メールでやり取りし、自宅で作業しています。契約ユーザーにはイントラネットの Windows ユーザー アカウントがないので、契約ユーザーはイントラネットにログインしません。契約ユーザーは、作業を完了するためにソフトウェア アプリケーションが必要になることがあり、テスト済みソフトウェア更新を自動的にインストールして、コンピュータを安全に保つ必要があります。

Coho Winery は、在宅作業者にこのレベルの管理を提供するため、インターネット専用構成を使用して、コンピュータに Configuration Manager クライアントをインストールすることに決めます。これによって自宅のコンピュータが管理され、在宅作業者の能率と生産性が向上します。Jenni Merriam は Configuration Manager 管理者であり、次の表で説明する一連の措置を実行します。

プロセス 参照

Jenni は、インターネット ベースのクライアント管理、およびクライアントをインターネット専用に構成して、ソフトウェアの配布とソフトウェアの更新を受信できるようにする方法を調べます。

インターネット ベースのクライアント管理の概要

Jenni はこの提案について上司と話し合います。上司は、インターネット ベースのクライアント管理の依存関係について調べて、その依存関係を満たせることを確認し、この実装のサポートに必要となる社内要員を確保するように要求します。

Jenni は、依存関係を確認し、関与が必要になる要員を確認します。

インターネット ベースのクライアント管理の前提条件

インターネット ベースのクライアント管理に対する管理者の役割とプロセスを決定する

Jenni は、インターネット ベースのクライアント管理にネイティブ モードが必要であり、階層が混在モードで現在構成されていることに気付きます。

会社には PKI ソリューションがないので、これを最優先の調査事項にします。

経営者と話し合い、PKI コンサルタントを雇って、Configuration Manager に適していて、将来のビジネス要件をサポートするために拡張できる PKI ソリューションを実装することを決めます。

PKI コンサルタントは、Configuration Manager 階層のセントラル サイトをネイティブ モードに移行して、インターネット専用クライアントをサポートするネイティブ モードで新しい子サイトを作成できるようにする設計を提案します。

Jenni は、セントラル サイトおよび新しい子サイトに配置する必要があるネイティブ モードの証明書要件のリストを PKI コンサルタントに手渡します。

ネイティブ モードの証明書要件

管理者チェックリスト :ネイティブ モードの PKI 要件の展開

次に Jenni は、会社のネットワーク インフラストラクチャ チームとの設計ミーティングを開き、既存のネットワーク インフラストラクチャでインターネット接続を適合させる方法を判断します。

ミーティングでは、サポート対象シナリオ、インターネット ベース クライアントをサポートする必要があるサイト数、サーバーの配置場所について話し合います。

インターネット ベースのクライアント管理でサポートされるシナリオ

インターネット ベースのクライアント管理のサイト配置を決定する

インターネット ベースのクライアント管理のサーバーの配置を決定する

ミーティングでは、新しいサイトを境界ネットワークに作成することに決まります。

インターネット ベースのサーバーのネットワーク図 - シナリオ 2 (子サイト含む)

会社のセキュリティ チームと設計について話し合い、セキュリティ チームは、境界ネットワークのセキュリティ境界を越える SMB トラフィックを IPsec で安全にするという条件で、この設計を承認します。

PKI コンサルタントは、この要求を設計に反映させます。

Configuration Manager 2007 への IPsec の実装

Jenni は、ネットワーク設計が承認されると、境界ネットワークにおけるファイアウォールおよびネットワーク デバイスの設定の手配をネットワーク チームに依頼します。

ネットワーク チームは、要求どおりに変更できるように、使用するポートを確認します。

インターネット ベースのクライアント管理に必要なポートを特定する

会社のインターネット DNS サーバーは境界ネットワークで社内で管理されているので、Jenni は変更要求 (RFC) を提出し、DNS におけるインターネット ベース サイト システムのインターネット FQDN を公開します。Jenni は必要な情報を提出します。

Configuration Manager サイト システムの役割で使用する DNS の構成

PKI 証明書が展開されたところで、Jenni はネイティブ モードにセントラル サイトを移行し、一定期間監視して問題がないことを確認します。

サイト モードを混在モードからネイティブ モードに移行する方法

別のサーバーをインストールし、境界ネットワークのコンピュータに適したセキュリティ ポリシーで強化します。

Jenni は、ネットワーク インフラストラクチャが要求どおりに構成されていることを確認します。

会社固有の内部プロセス

Jenni は、インターネット DNS サーバーに登録されたサイト システムのインターネット FQDN を使用してインターネット ベースのサイト システムの役割をサーバーで構成し、新しい子サイトを境界ネットワークにインストールします。

インターネット ベースのクライアント管理をサポートするサイト システムのインターネット FQDN を構成する方法

Jenni は、ソフトウェア更新を同期化するように、インターネット ベースのソフトウェアの更新ポイントを構成します。

ソフトウェアの更新の同期方法

Jenni は、インターネット クライアントのみから接続を受け入れるようにインターネット ベースのサイト システムを構成します。

インターネット ベースのクライアント接続で使用する管理ポイントの設定方法

インターネット ベースのクライアント接続で使用する配布ポイントの設定方法

インターネット ベースのクライアント接続で使用するフォールバック ステータス ポイントの構成方法

インターネット ベースのクライアント接続で使用するソフトウェアの更新ポイントの構成方法

Jenni は、インターネットでコンテンツを転送できるようにインターネット ベースの配布ポイントを構成します。

BITS、HTTP、および HTTPS を使用してコンテンツを転送するために配布ポイントを構成する方法

Jenni は、クライアントの [コントロール パネル] の [Configuration Manager] の [インターネット] タブでインターネット ベースの管理ポイント FQDN を指定し、数台のマシンでテストを実行します。

インターネット ベースの管理ポイントに Configuration Manager クライアント コンピュータを割り当てる方法

Jenni は、動作テストが正常に終了してから、すべてのソース ファイルを使用してインストール パッケージの作成とテストを行います。このインストールを実行すると、次のインストール パラメータを使用して Configuration Manager クライアントがインストールされます。

  • インターネット サイトへの割り当て。

  • インターネット専用構成。

  • ネイティブ モード通信。

  • インターネット ベース管理ポイントの FQDN。

  • インターネット ベースのフォールバック ステータス ポイントの FQDN。

  • サイト サーバーが署名した証明書のコピー。

Configuration Manager クライアント インストールのプロパティについて

PKI チームは、ホーム ユーザーが接続して必要な証明書を要求できる、境界ネットワークの Web ポータルを作成します。

会社固有の内部プロセス

在宅作業者は新しいサービスについて通知され、インストールが次の 2 段階のプロセスであることを説明されます。

  • 証明書 Web ポータルに接続し、証明書を要求します。

  • 郵送される CD からインストール パッケージを実行します。

会社固有の内部プロセス

ヘルプ デスクは最新情報の通知を受け、証明書の要求やクライアントのインストールで問題が発生したクライアントのトラブルシューティング方法に関する情報を受け取ります。

会社固有の内部プロセス

数人の在宅作業者でテストした後で、Jenni はその結果が正常であることを確認し、インストール CD を残りの在宅作業者に郵送します。

会社固有の内部プロセス

6 週間後、Jenni は、全員の在宅作業者のコンピュータがサイトに正常に割り当てられ、ソフトウェア配布およびソフトウェア更新を受信していることを確認します。

Configuration Manager のフォールバック ステータス ポイントについて

Jenni は、ヘルプ デスクおよびユーザーからフィードバックを集めて、改善点や変更点がないかどうかプロセスを見直します。

会社固有の内部プロセス

このインターネット ベース クライアント管理の展開により、コンピュータがインターネット専用管理に構成された場合、在宅作業者に次のように影響が及ぶことがあります。

  • ソフトウェアの更新が自動的にインストールされます。

    一部の在宅作業者は Windows Update を忘れずに実行しますが、多くの在宅作業者は忘れてしまうか、どの更新をインストールするのか混乱してしまいます。重要なソフトウェアの更新が自動的にインストールされるので、コンピュータが安全になります。

  • ソフトウェア アプリケーションが使用可能になります。

    プロジェクトを完了するために、特定アプリケーションが必要になることがあります。電子メールの添付ファイルとしてインストールしたり、ファイルが郵送されるのを待機したりする代わりに、在宅作業者が必要なときに使用可能アプリケーションを選択できます。

インターネット ベースのクライアントとイントラネット上のイントラネット クライアントを同じサイト システム サーバーでサポートする

このシナリオでは、境界ネットワークに新しいサイト システム サーバーを追加せずに、インターネット ベースのクライアント管理をイントラネット内にある既存の Configuration Manager サイトに追加する方法について説明します。この構成では、境界ネットワークのセキュリティ境界がイントラネットとつながれるため、推奨されるセキュリティ運用方法ではありません。しかし、このシナリオにあるとおり、この構成は追加サーバーのインストールや構成をしなくてもインターネット ベースのクライアント管理を迅速にテストできる効果的な方法です。また、この構成ではクライアントでの証明書失効確認が無効になります。これにより、実稼動ネットワークで必要な追加構成が保存され、インターネットからアクセス可能な証明書失効リストが発行されます。

ネットワークの設計には、イントラネット上の Configuration Manager 2007 サイトのサポート対象シナリオが含まれます。また、インターネット ベースのクライアント管理用に構成されたサイト システムでは、インターネット接続とイントラネット接続の両方が可能です(インターネット ベースのサーバーのネットワーク図 - シナリオ 4 (イントラネットへのインターネット接続含む).)

Trey Research の管理者は、インターネット ベースのクライアント管理の導入により、既存の Configuration Manager 階層に対するコンピュータ管理戦略を補完しようと考えています。これまで、スタッフが世界規模の会議に参加するため、長期にわたり事務所から離れている場合、ラップトップに最新の重要なセキュリティ ソフトウェアやアプリケーション更新を適用するのが困難でした。ところが、現在のところ Trey Research には PKI が導入されていません。PKI はインターネット ベースのクライアント管理に必須です。経営陣がこの計画に同意するには、インターネット ベースのクライアント管理が正しく機能し、求められている事業上の利益を実現できるという確証が必要です。

Configuration Manager 管理者の Terry Adams は、次の表で説明する一連の措置を実行します。

プロセス 参照

Terry はテストのために、イントラネットの隔離された部分にある、インターネットにアクセス可能で実稼動用ではない Active Directory フォレストを使用します。

この企業のインターネット名前空間は treyresearch.net で、テスト用ネットワークの内部 Active Directory 名前空間は testnet.treyresearch.net です。

内部処理

限られたテスト用機器で迅速な展開を行うため、Terry は次のサイト システムの役割をホストする自分のすべての Configuration Manager サイト システムに対してサーバーを 1 つだけ使用することにしました。

  • サイト サーバー

  • 管理ポイント

  • 配布ポイント

  • ソフトウェアの更新ポイント

Terry はこの概念実証に対してフォールバック ステータス ポイントを導入しないことを決めます。これは、フォールバック ステータス ポイントがクライアントの通信に関する問題の特定には便利でも、基本的なサイトの処理のテストには必要ないためです。

インターネット ベースのサイト システムのサーバー配置オプションを確認した Terry は、1 つのサイト システムでイントラネット クライアントとインターネット ベースのクライアント をサポートできることに気付きます。これは推奨されるセキュリティ運用方法ではありませんが、インストールと構成が必要なサーバーの数が少なくてすみます。この方法により、Terry はインターネット ベースのクライアント管理機能のテストを複数のサーバーのインストールと構成を行う場合と比べてより迅速に行うことができます。複数のサイト システムの役割を 1 つのサーバーでホストし、インターネットのトラフィックがイントラネットに入るのを許可することにより発生するセキュリティ上のリスクは、テスト用のネットワークを実稼動ネットワークから分離することで軽減されます。

Configuration Manager のフォールバック ステータス ポイントについて

インターネット ベースのクライアント管理のサーバーの配置を決定する

Terry は Windows Server 2003 Service Pack 1 を実行する新しいサーバー (名前は IBCMServer) をインストールして、このサーバーをドメインに参加させます。このサーバーが唯一のサイト システム サーバーとなります。このサーバーには、IIS やその他の Configuration Manager 2007 の前提条件となるものをインストールします。

さらに、System Management コンテナを作成し、このコンテナでの IBCMServer コンピュータに対するアクセス許可を設定することで、Configuration Manager 2007 に対して Active Directory スキーマを拡張して発行を有効にします。

その後、Terry は Windows Vista を実行するラップトップ コンピュータをインストールてドメインに参加させます。

Configuration Manager のインストールの前提条件

Configuration Manager に対して Active Directory スキーマを拡張する方法

次に、Terry は自分の概念実証設計について、社内のインターネット接続要件を管理するネットワーク チームと話し合います。インターネット ベースのクライアント管理について外部依存関係を確認した Terry は、次の点からネットワーク チームの支援が必要であることに気付きます。

  • インターネット ベースのクライアント管理に必要なトラフィックを許可するように、フロントエンド ファイアウォールを構成する必要がある。

  • 社内のインターネット DNS サーバーに、テスト用インターネット ベース サイト システムで使用する公開ホスト エントリを設定する必要がある。

    IBCM サーバーのホスト名と同じ名前を使用することにしたため、FQDN の名前は IBCMServer.treyresearch.net です。

  • バックエンドの Microsoft ISA Server からインターネット ベースのサイト システムをイントラネットに発行する必要がある。

インターネット ベースのクライアント管理の前提条件

ネットワーク チームは、既存のインターネット インフラストラクチャを変更する前に、セキュリティ チームの承認を得る必要があります。

セキュリティ チームが計画を検討したところ、サーバーがイントラネット内にあり、インターネットからのトラフィックに対して公開されている点に懸念を示しました。

Terry は、この設計が、隔離されたネットワークで概念を実証するためだけのものであることを説明し、実稼動ネットワーク用の別のサポート対象設計を提示しました。この設計では、サイト サーバーがインターネットのトラフィックに対して公開されていません。また、インターネット ベースのサイト システムではインターネット接続とイントラネット接続をサポートできますが、セキュリティが強化された設計も別にあります。

セキュリティ チームは、プロジェクトが承認された場合、Terry とセキュリティ チームが連携して最終設計をさらに詳しく確認することを条件に、この概念実証設計に同意します。

インターネット ベースのクライアント管理でサポートされるシナリオ

Terry は、自分が使用するメンバ サーバが IBCMServer のコンピュータ名を testnet.treyresearch.net にある自分の内部 Active Directory DNS ゾーンに自動的に登録したことを確認します。

ネットワーク チームは、IBCM Server の DNS A レコードを treyresearch.net の公開 DNS ゾーンに手動で追加します。このインターネット ベースのサイト システムは ISA Server により発行されるので、このレコードには公開 IP アドレスが設定されます。この IP アドレスは、ISA Server の外部アダプタのいずれかに属し、現在使用されていないもので、インターネット ベースのクライアント管理接続専用にする必要があります。

注意

Terry が自分のすべてのインターネット ベース サイト システムの役割に対して複数のサーバーを使用した場合は、すべての接続が同じ ISA Server コンピュータを経由する場合でも、インターネット経由の接続が許可されている個々の内部サイト システムに専用の外部 IP アドレスが必要になります。

Configuration Manager サイト システムの役割で使用する DNS の構成

Terry は次に PKI の要件を検討することにし、テスト用ネットワークに必要な証明書はどれなのか確認します。Terry は必要な証明書の内容と、そのインストール方法を説明するドキュメントのトピックを参照します。

テスト環境の範囲は限られているため、Terry に必要な証明書は次だけです。

  • ルート証明機関証明書

  • サイト サーバー署名証明書

  • Web サーバー証明書 (イントラネット FQDN とインターネット FQDN の両方が必要)

  • クライアント証明書

ネイティブ モードの証明書要件

ネイティブ モードで必要な PKI 証明書の展開

Terry は、必要な証明書を展開する最も簡単な方法は Windows Server 2003 Enterprise Edition を使用することであると判断します。この方法には次のような利点があります。

  • ルート証明機関証明書が Active Directory フォレストのすべてのコンピュータに自動的に展開されます。

  • Web ベースでの登録でカスタム証明書を要求し、承認を自動的に得ることができます。

  • 自動登録はグループ ポリシーによりサポートされます。

Terry は、テスト用ネットワークで使用する単一の Active Directory ドメインで Windows Server 2003 Enterprise Edition を実行されていて、インターネット インフォメーション サービス (IIS) がインストールされていることを確認します。

さらに、自分のドメイン コントローラに Microsoft Certificate Services を (証明書サービス CA と証明書サービス WEB 登録のサポートのサブコンポーネントとあわせて) インストールし、エンタープライズ ルート証明機関を構成します。

サイト システム サーバーでの Web サーバー証明書の展開に関するトピックを確認した Terry は、サブジェクトの別名 (SAN) 証明書属性のサポートを有効にして、イントラネット FQDN とインターネット FQDN の両方を指定できるようにする必要があることに気付きます。Terry はこの記事に記載されている手順に従って、ルート証明機関 (CA) での SAN サポートを有効にします。Terry のテスト環境では、このルート証明機関も証明書を発行します。

既存の PKI をネイティブ モードに使用できるかどうかを判断する

サイト システム サーバーへのWeb サーバー証明書の展開

サブジェクトの別名のサポートを Microsoft 証明機関に追加する方法については、次を参照してください。https://go.microsoft.com/fwlink/?LinkId=93692 (英語)

Terry は PKI の経験があまりないため、Configuration Manager ライブラリの展開手順例のガイドを参照します。

Terry はサイト サーバー署名証明書と、クライアント証明書の展開についての手順に忠実に従います。しかし、このインターネット ベースのサイトシステムについては、Web サーバー証明書の指定方法を変更する必要があります。この処理では、サブジェクトの別名にイントラネット FQDN とインターネット FQDN の両方が必要となるためです。

  • Terry は Web サーバー証明書のテンプレートを変更せずに使用して、[サブジェクト名] タブで [要求に含まれる] オプションが有効になっていることを確認します。

  • メンバ サーバーからの Web サーバー証明書の要求には、サイト サーバー署名証明書の場合と同じように Web 登録方式を使用します。

  • Terry は証明書フォームで [サブジェクト名] としてイントラネット FQDN を指定し、[属性] ボックスでイントラネット FQDN とインターネット FQDN を次のように指定します。san:dns=IBCMServer.testnet.research.net&dns=IBCMServer.research.net

  • Terry は証明書を登録します。この証明書はただちに承認され、Terry はこの証明書を既定の Web サイトにインストールします。

  • Terry は展開手順例のガイドに戻り、IIS を構成して Web サーバー証明書を使用する方法を参照します。

Configuration Manager のネイティブ モードで必要な PKI 証明書の展開手順の例:Windows Server 2003 証明機関

サブジェクトの別名のサポートを Microsoft 証明機関に追加する方法については、次を参照してください。https://go.microsoft.com/fwlink/?LinkId=93692 (英語)

ネイティブ モードの前提条件を確認した Terry は、証明書を発行している証明機関がイントラネット上にあるため、インターネット上にあるクライアントは既定では証明書失効リスト (CRL) にアクセスできないことに気付きます。イントラネット CRL は既定で自分の証明機関により発行されます。

Terry はCRL チェックに関する計画のトピックを読み、インターネット上のクライアントによる CRL の特定が失敗すると、インターネット ベースのサイト システムの役割も失敗することに気付きます。

実稼動ネットワークでは CRL をインターネット上で発行する必要がありますが、Terry はそのかわりにテスト環境内のクライアントでの CRL チェックを無効にし、追加構成の要件を最小限に抑えることにします。

ネイティブ モードの前提条件

クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブ モード)

次に、Terry は Configuration Manager 2007 のセットアップをメンバ サーバー上で行います。このとき、次を選択します。

  • 簡易セットアップ

  • サイト サーバーの署名証明書 Subject Name と同じサイト コード

  • ネイティブ モード (展開されたサイト サーバー署名証明書を正常に参照)

セットアップの完了後、Terry は次のセットアップ後のタスクを実行します。

  • Active Directory 境界を構成します。

  • IBCMServer.testnet.treyresearch.net のイントラネット FQDN と IBCMServer.treyresearch.net のインターネット FQDN を使用してサイト システム サーバーを構成します。

  • サイト プロパティとしてクライアントの CRL チェックを無効にし、テスト用ネットワーク環境をサポートします。

簡易セットアップの概要

簡易セットアップでサイトを展開する方法

Configuration Manager の境界の構成方法

サイト システムのイントラネット FQDN の構成方法

インターネット ベースのクライアント管理をサポートするサイト システムのインターネット FQDN を構成する方法

クライアントの証明書失効確認 (CRL) を有効または無効にする方法

Terry は次に Configuration Manager クライアントをラップトップにインストールし、ソフトウェアの更新を構成して、Configuration Manager の標準操作がイントラネット上で実行できることを確認します。

Configuration Manager クライアントのインストールのタスク

Configuration Manager のソフトウェアの更新

ネイティブ モードでのイントラネット操作を確認した後、Terry はサイト システムの役割を構成して、イントラネット クライアントとインターネット クライアントの接続ができるようにします。

また、BITS と HTTP を使用してコンテンツを転送するための配布ポイントが構成されていることも確認します。

インターネット ベースのクライアント接続で使用する管理ポイントの設定方法

インターネット ベースのクライアント接続で使用するソフトウェアの更新ポイントの構成方法

インターネット ベースのクライアント接続で使用する配布ポイントの設定方法

BITS、HTTP、および HTTPS を使用してコンテンツを転送するために配布ポイントを構成する方法

ラップトップ コンピュータを使用して、コントロール パネルの Configuration Manager の [インターネット] タブで IBCM.treyresearch.com をインターネット ベースのクライアント管理ポイントとして指定します。

インターネット ベースの管理ポイントに Configuration Manager クライアント コンピュータを割り当てる方法

ネットワーク チームは最終の必須構成を作成し、インターネットのトラフィックが境界ネットワークとイントラネットの両方に入れるようにします。

  • バックエンドの Microsoft ISA Server がサーバーの発行ルールで構成され、ポート 443 を使用して IBCMServer.treyresearch.net に接続する受信 HTTPS 要求が、ポート 443 を使用して IBCMServer.testnet.treyresearch.net に接続する HTTPS 要求にマップするようになります。この構成は、ISA Server 上の追加の証明書を必要としない SSL トンネリングを使用します。

  • フロントエンド ファイアウォールが、すでに構成されているとおりポート 443 から ISA Server への受信トラフィックを許可することを確認します。

インターネット ベースのクライアント管理に必要なポートを特定する

インターネット ベースのクライアント管理で使用するプロキシ Web サーバーの要件を確認する

Terry は、テスト用ラップトップとテスト用ネットワークの接続を切断し、Configuration Manager のソフトウェア更新機能を使用して、オプションのソフトウェア更新展開を新しく作成します。

その後、テスト用ラップトップを自宅に持ち帰り、インターネットに接続して、手動でクライアント ポリシーを開始し、オプションのソフトウェアの更新の通知を受け取り、正常にインストールすることができます。

Configuration Manager クライアントのポリシーの取得を開始する方法

ソフトウェアの更新のエンド ユーザー エクスペリエンスについて

クライアントの[利用可能なソフトウェアの更新]ダイアログ ボックス

初期テストが正常に完了した後、Terry は自動ソフトウェア更新とソフトウェア配布を使用してテストをさらに進めます。そして、ラップトップがインターネットに接続している場合に、ハードウェア インベントリと目的の構成管理対応の情報が引き続きレポートされることを確認します。また、ラップトップをインターネットとイントラネットの間で移動してもコンテンツのダウンロードが中断されることなく続くことも確認します。

Terry はこの調査結果を文書にまとめ、2 週間後に経営陣に発表します。結果が成功であったため、経営陣はインターネット ベースのクライアント管理により、シームレスなユーザ エクスペリエンスを実現でき、社内ネットワークに接続されていない場合でもラップトップを効果的に管理できることを確信します。また、これによりラップトップのセキュリティも確保されるため、PKI ソリューションに必要な投資も正当なコストとして認められます。

社内には内部 PKI を導入するための内部リソースや経験がないため、概念実証によりこのプロジェクトの外注が正当なコストであることが認められます。これにより、インターネット ベースのクライアント管理が近い将来導入できるようになります。

参照:

概念

管理者チェックリスト :インターネット ベースのクライアントを管理するためのサイトの構成
管理者チェックリスト :インターネット ベースのクライアント管理をサポートするサイトのクライアント コンピュータの構成
管理者のワークフロー :インターネット ベースのクライアントを管理するためのサイトの構成
インターネット ベースのクライアント管理の概要

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.