次の方法で共有

インターネット ベースのクライアント管理の概要

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

インターネット ベースのクライアント管理では、企業ネットワークに接続していないが標準的なインターネットに接続している Configuration Manager 2007 クライアントを管理できます。この方法では、仮想プライベート ネットワーク (VPN) を実行する必要がなく、タイミング良くソフトウェアの更新を展開でき、コスト削減につながるなど、さまざまな利点があります。

公衆ネットワーク上でクライアント コンピュータを管理する場合は高いセキュリティが求められるため、インターネット ベースのクライアント管理ではサイトがネイティブ モードである必要があります。これにより、管理ポイント、ソフトウェアの更新ポイント、および配布ポイントへの接続が独立機関によって認証されること、およびこれらのサイト システムとやり取りされるデータが SSL (Secure Sockets Layer) を使用して暗号化されることが保証されます。

インターネットでサポートされない機能

Configuration Manager 2007 の機能の一部はインターネットに適さないため、クライアントをインターネット上で管理する場合はそれらの機能がサポートされません。インターネット管理でサポートされない機能は、主に、インターネットからアクセスできない Active Directory ドメイン サービスに依存するものか、公衆ネットワークに適さないもの (ネットワーク探索や Wake On LAN など) です。

クライアントをインターネット上で管理する場合は、次の機能がサポートされません。

  • 直接または Microsoft Windows セキュリティ グループ経由による、ユーザーを対象としたソフトウェアの配布

  • ブランチ配布ポイント (ブランチ配布ポイントはインターネット クライアントをサポートできず、インターネット上のクライアントはブランチ配布ポイントとして構成できません)

  • インターネット経由のクライアント展開

  • サイトの自動割り当て

  • ネットワーク アクセス保護 (NAP)

  • Wake On LAN

  • オペレーティング システムの展開

  • タスク シーケンス

  • リモート コントロール

  • Configuration Manager 2007 SP1 以降での帯域外管理

  • Configuration Manager 2007 R2 でクライアント ステータス レポート機能と共に使用するクライアントの Ping 機能。

また、インターネット ベースのクライアント管理では、ローミングがサポートされません (ローミングでは、クライアントでコンテンツをダウンロードするのに最も近い配布ポイントを検索できます)。インターネット上で管理されるクライアントには固定されたインターネット ベースの管理ポイントがあり、クライアントはその管理ポイント (クライアントがインターネット上にある場合に限る) およびサイト内でインターネット ベースのクライアント管理用に構成されたサイト システムと通信します。

インターネット経由で接続しているクライアントは、帯域幅や物理的な位置に関係なく、サイト内で任意のインターネット ベースの配布ポイントからコンテンツをダウンロードします。このため、保護されたサイト システムを、インターネット ベースのクライアント管理をサポートするように構成することはできません。

インターネット ベースのクライアント管理のためのサイト システムの構成

インターネット上のクライアントをサポートするために新しいサイト システムの役割は必要ありません。代わりに、ネイティブ モードのプライマリ サイトにある既存のサイト システムの役割をインターネット ベースのクライアント管理用に構成し、ネットワークに適切に配置します。次のサイト システムでは、インターネット経由のクライアント管理をサポートできます。

  • 管理ポイント (ネットワーク負荷分散クラスタあり、またはなし)

  • 配布ポイント

  • フォールバック ステータス ポイント

  • ソフトウェアの更新ポイント (ネットワーク負荷分散クラスタあり、またはなし)

サポートされる多くのシナリオにより、Configuration Manager 2007 プライマリ サイトでのサーバーの場所が決まります。これは、Configuration Manager 2007 サイト全体が境界ネットワーク (スクリーン サブネットまたは DMZ とも呼ばれます) 内に含まれる場合から、サイトが境界ネットワークとイントラネットの間で分割される場合まで、さまざまです。ファイアウォールおよび Web プロキシの構成は、選択したサーバーの配置によって異なります。プロキシ Web サーバー (Microsoft ISA Server 2006 など) を使用している場合は、プロキシ Web サーバーでクライアント接続を 認証できるように、適切な証明書があり、SSL ターミネーションがサポートされる必要があります。

インターネット ベースの管理のためのクライアントの構成

クライアント コンピュータとモバイル クライアント デバイスは、次のいずれかの管理方法用に構成できます。

  • インターネットのみでの管理

  • イントラネットのみでの管理

インターネット経由で管理するクライアントは、割り当てられたサイトのインターネット ベースの管理ポイントを使用するように構成する必要があります。クライアントは、別のサイトのインターネット ベース管理ポイントや別のサイトのその他すべてのインターネット ベース サイト システムとは通信できません。インターネット ベースの管理ポイントの構成は、インストール時にコマンド ライン プロパティを使用して指定することも、クライアント コンピュータのコントロール パネルから Configuration Manager の [インターネット] タブで指定することもできます。

注意

[インターネット] タブは、クライアントがネイティブ モードで通信している場合にのみ表示されます。

インターネットのみでの管理用に構成されたクライアントは、インターネット ベースのクライアント管理をサポートするように構成されたサイト システムとだけ通信します。これは、リモートの場所にある営業用コンピュータのように、企業のイントラネットには接続しないことがわかっているコンピュータおよびデバイスに向いています。

イントラネットのみでの管理用に構成されたクライアントは、インターネット管理ポイントを使用するようには構成されず、インターネット ベースのクライアント管理用に構成されたサイト システムに接続する必要はありません。

クライアント コンピュータには、モバイル クライアント デバイスでは利用できない 3 番目の構成があります。

  • インターネットまたはイントラネットでの管理

この動作モードをサポートするには、クライアントがドメインに参加し、サイト サーバーの Active Directory フォレストとの信頼関係を構築していることが必要です。たとえば、クライアントはサイト サーバーと同じ Active Directory フォレストにあるか、外部的信頼またはフォレスト信頼関係によって認証される必要があります。ワークグループ クライアントはインターネットまたはイントラネットでの管理をサポートしていませんが、イントラネットのみでの管理またはインターネットのみでの管理用に構成する必要があります。

インターネットまたはイントラネットでの管理用に構成されたクライアント コンピュータでは、ネットワークの変更が検出されるたびにインターネット ベースのクライアント管理とイントラネット クライアント管理が自動的に切り替えられます。

このネットワークの変更が検出されると、クライアント コンピュータは、まずイントラネット上にある割り当て済み管理ポイントとの通信を試行します。成功した場合は、クライアント コンピュータは標準的なイントラネット クライアントとして動作します。クライアント コンピュータは割り当て済み管理ポイントに接続できない場合は、構成済みインターネット管理ポイントとの通信を試行します。この通信には、管理ポイント上で構成され、インターネット DNS サーバーに登録されているインターネット完全修飾ドメイン名が使用されます。インターネット管理ポイントが応答したら、クライアント コンピュータは、インターネット ベースのクライアント管理用に構成されている配布ポイントおよびソフトウェアの更新ポイントを必要に応じて使用します。

インターネット ベースのクライアント管理とイントラネット クライアント管理の間で自動切り替えが行われることにより、クライアント コンピュータではイントラネットへの再接続時にすべての Configuration Manager 機能を使用できるという利点があります。また、インターネットで開始したダウンロードをシームレスにイントラネットで再開できます。

重要

イントラネットおよびインターネットでのクライアント管理のいずれもサポートできないクライアント (ワークグループ クライアントなど) が存在し、インターネットでそれらのクライアントを管理する場合は、インターネットのみでの管理対象として構成する必要があります。つまり、そのクライアントがイントラネットに接続するときは、インターネットベースのサイト システムとの通信を継続します。また、前述の「インターネットでサポートされない機能」で示したとおり、クライアントはイントラネットでのクライアント管理に関連するすべての Configuration Manager 機能をサポートするわけではありません。

インターネット クライアントによるフォールバック ステータス ポイントの使用

インターネット ベースのクライアント管理サイトでフォールバック ステータス ポイントを使用している場合は、クライアントをインストール時にインターネット ベースのフォールバック ステータス ポイントを使用して構成する必要があります。クライアントがインターネット上にあるときにインターネット ベースの管理ポイントへの接続に失敗すると (たとえば、証明書が有効期限切れになったため)、クライアントは HTTP を使用して、構成済みのインターネット ベースのフォールバック ステータス ポイントに失敗のステータス メッセージを送信します。

クライアント コンピュータがインターネット ベースとイントラネット ベースの両方のクライアント管理用に構成されていて、かつインターネット ベースのフォールバック ステータス ポイントを使用して構成されている場合は、クライアントはイントラネット上のフォールバック ステータス ポイントを使用しません。このため、クライアント コンピュータがイントラネットに移動し、イントラネット上の割り当て済み管理ポイントに接続できない場合は、クライアント コンピュータはイントラネットからインターネット ベースのフォールバック ステータス ポイントに失敗のステータス メッセージを送信します。

インターネット クライアント コンピュータでのプロキシ サーバー設定の使用

クライアント コンピュータでは、クライアントのインターネット ベースの管理ポイントを指定するだけでなく、プロキシ Web サーバー設定を指定することもできます。クライアント コンピュータがインターネットに接続する際にプロキシ Web サーバーを使用する必要がある場合は、プロキシ Web サーバーを指定してください。

重要

HTTPS クライアント要求のサイト ポート番号として業界標準の 443 以外を使用している場合は、プロキシ Web サーバーを必要とするインターネット接続が動作しないことがあります。これは通常、既定の HTTPS ポートである 443 を使用するようにプロキシ Web サーバーが構成されているためです。

プロキシ Web サーバー構成を指定できる機能は、コンサルタントのように、他社のイントラネットに接続するラップトップを持っているユーザーにとって特に便利です。プロキシ Web サーバーの詳細を Configuration Manager プロパティとして指定すると、ユーザーがログオンしていないときでもコンピュータが管理され続けます。ただし、プロキシ Web サーバー設定を Configuration Manager プロパティとして指定していない場合は、Configuration Manager クライアント コンピュータは指定されたインターネット ベースの管理ポイントに接続するために次のプロキシ Web サーバー探索方法を試みます。

  1. 既定のブラウザで構成されたプロキシ Web サーバー設定

  2. システムのコンテキスト

  3. 現在のログオン ユーザーの資格情報

このセクションの内容

インターネット ベースのクライアント管理をサポートするサイト システムの役割

インターネット ベースのクライアント管理でサポートされるシナリオ

インターネット ベースのサーバーのネットワーク図 - シナリオ 1 (SQL Server レプリカ含まず)

インターネット ベースのサーバーのネットワーク図 - シナリオ 1 (SQL Server レプリカ含む)

インターネット ベースのサーバーのネットワーク図 - シナリオ 2 (子サイト含む)

インターネット ベースのサーバーのネットワーク図 - シナリオ 2 (全階層)

インターネット ベースのサーバーのネットワーク図 - シナリオ 3 (SQL Server レプリカ含まず)

インターネット ベースのサーバーのネットワーク図 - シナリオ 3 (SQL Server レプリカ含む)

インターネット ベースのサーバーのネットワーク図 - シナリオ 4 (2 枚のネットワーク カード含む)

インターネット ベースのサーバーのネットワーク図 - シナリオ 4 (イントラネットへのインターネット接続含む)

インターネット ベースのサーバーのネットワーク図 - シナリオ 4 (境界ネットワークへのイントラネット接続含む)

インターネット ベースのクライアント管理を Configuration Manager に実装するシナリオ例

参照:

概念

インターネット ベースのクライアント管理の前提条件

その他のリソース

インターネット ベースのクライアント管理の構成
インターネット ベースのクライアント管理の計画

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.