Planowanie internetowego zarządzania klientami w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Za pomocą internetowego zarządzania klientami (IBCM) zarządzaj klientami Configuration Manager, gdy nie są one połączone z siecią wewnętrzną. Zalety korzystania z usługi IBCM:
- Pełna kontrola nad serwerami i rolami świadczącymi usługę
- Brak zależności usługi w chmurze
- Może nie wymagać wirtualnej sieci prywatnej (VPN)
- Wszystkie koszty są skojarzone z usługą lokalną
Ze względu na wyższe wymagania dotyczące zabezpieczeń związane z zarządzaniem komputerami klienckimi w sieci publicznej usługa IBCM wymaga użycia certyfikatów infrastruktury kluczy publicznych. Ta konfiguracja zapewnia, że połączenia są uwierzytelniane przez niezależny urząd. Gdy klienci IBCM i serwery lokacji wysyłają dane, są szyfrowane i bezpieczne.
Komunikacja z klientem
Następujące role systemu lokacji w lokacjach głównych obsługują połączenia od klientów znajdujących się w niezaufanych lokalizacjach:
Uwaga
Mimo że usługa IBCM koncentruje się głównie na scenariuszu opartym na Internecie, te same zachowania mają zastosowanie do klientów w niezaufanym lesie usługi Active Directory. Lokacje dodatkowe nie obsługują połączeń klienta z niezaufanych lokalizacji.
Punkt rejestracji certyfikatu dla modułu zasad Configuration Manager (NDES)
Ostrzeżenie
Począwszy od wersji 2203, punkt rejestracji certyfikatu nie jest już obsługiwany. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.
Punkt dystrybucji
Brama zarządzania chmurą z obsługą zawartości (CMG)
Punkt proxy rejestracji
Rezerwowy punkt stanu
Punkt zarządzania
Punkt aktualizacji oprogramowania
Informacje o systemach lokacji internetowych
Nie ma potrzeby relacji zaufania między lasem klienta i serwerem systemu lokacji. Jeśli jednak las zawierający internetowy system lokacji ufa lasowi zawierającemu konta użytkowników, ta konfiguracja obsługuje zasady oparte na użytkownikach dla urządzeń w Internecie po włączeniu ustawienia klienta Zasady klientaWłącz żądania zasad użytkownika od klientów internetowych.
Na przykład następujące konfiguracje ilustrują, kiedy usługa IBCM obsługuje zasady użytkownika dla urządzeń w Internecie:
Internetowy punkt zarządzania znajduje się w sieci obwodowej. Ta sieć ma również kontroler domeny tylko do odczytu do uwierzytelniania użytkownika. Zapora między sieciami obwodowymi i wewnętrznymi zezwala na pakiety usługi Active Directory.
Konto użytkownika znajduje się w lesie opartym na intranecie. Internetowy punkt zarządzania znajduje się w lesie opartym na obwodzie. Las obwodowy ufa lasowi wewnętrznemu. Zapora między sieciami obwodowymi i wewnętrznymi zezwala na pakiety uwierzytelniania.
Konto użytkownika i internetowy punkt zarządzania znajdują się zarówno w lesie opartym na intranecie. Punkt zarządzania jest publikowany w Internecie przy użyciu internetowego serwera proxy.
Korzystanie z internetowego serwera proxy
Internetowe systemy lokacji można umieścić w intranecie podczas publikowania ich w Internecie przy użyciu internetowego serwera proxy. Skonfiguruj te systemy lokacji dla połączeń klienckich tylko z Internetu lub połączeń klienckich z Internetu i intranetu. W przypadku korzystania z internetowego serwera proxy można skonfigurować go pod kątem mostkowania protokołu Secure Sockets Layer (SSL) do tunelowania SSL lub SSL.
Mostkowanie SSL do protokołu SSL
Mostkowanie SSL do protokołu SSL jest zalecaną i bezpieczniejszą konfiguracją, ponieważ używa zakończenia protokołu SSL z uwierzytelnianiem. Uwierzytelnia komputery klienckie przy użyciu uwierzytelniania komputera. Urządzenia przenośne zarejestrowane przy użyciu Configuration Manager nie obsługują mostkowania SSL.
Po zakończeniu protokołu SSL na serwerze proxy sprawdza on pakiety z Internetu przed przekazaniem ich do sieci wewnętrznej. Serwer proxy uwierzytelnia połączenie od klienta, kończy je, a następnie otwiera nowe uwierzytelnione połączenie z internetowymi systemami lokacji. Gdy Configuration Manager klienci używają serwera proxy, klient bezpiecznie zawiera swoją tożsamość (GUID) w ładunku pakietu. Punkt zarządzania nie uważa serwera proxy za klienta. Configuration Manager nie obsługuje mostkowania z protokołem HTTP do HTTPS ani z protokołu HTTPS do protokołu HTTP.
Uwaga
Configuration Manager nie obsługuje ustawiania konfiguracji mostkowania SSL innych firm. Na przykład Citrix Netscaler lub F5 BIG-IP. Skontaktuj się z dostawcą urządzenia, aby skonfigurować go do użycia z Configuration Manager.
Tunelowania
Jeśli serwer internetowy serwera proxy nie może obsługiwać wymagań dotyczących mostkowania SSL, Configuration Manager obsługuje również tunelowanie SSL. Tunelowanie SSL umożliwia również obsługę urządzeń przenośnych zarejestrowanych w Configuration Manager. Jest to mniej bezpieczna opcja, ponieważ serwer proxy przekazuje pakiety SSL z Internetu do systemów lokacji bez kończenia protokołu SSL. Serwer proxy nie sprawdza pakietów pod kątem złośliwej zawartości. W przypadku korzystania z tunelowania SSL nie ma żadnych wymagań dotyczących certyfikatów serwera internetowego serwera proxy.
Planowanie klientów internetowych
Zdecyduj, czy skonfigurować klientów internetowych do zarządzania zarówno w intranecie, jak i w Internecie, czy na potrzeby zarządzania klientami tylko z Internetu. Tę opcję zarządzania można skonfigurować tylko podczas instalacji klienta. Aby zmienić go później, zainstaluj ponownie klienta.
Uwaga
Jeśli skonfigurujesz punkt zarządzania do obsługi klientów internetowych, klienci łączący się z tym punktem zarządzania będą mogli korzystać z Internetu podczas następnego odświeżania listy dostępnych punktów zarządzania.
Nie musisz ograniczać konfiguracji zarządzania klientami tylko przez Internet do Internetu. Można go również użyć w intranecie.
Klienci skonfigurowani do zarządzania tylko przez Internet komunikują się tylko z systemami lokacji skonfigurowanymi pod kątem połączeń klienckich z Internetu. Użyj tej konfiguracji w następujących scenariuszach:
- W przypadku komputerów, o których wiadomo, że nigdy nie będą nawiązywać połączenia z intranetem. Na przykład komputery punktu sprzedaży w lokalizacjach zdalnych.
- Aby ograniczyć komunikację klienta tylko z protokołem HTTPS. Na przykład w celu obsługi zapory i zasad zabezpieczeń z ograniczeniami.
- Podczas instalowania internetowych systemów lokacji w sieci obwodowej i chcesz zarządzać tymi serwerami jako klientami Configuration Manager.
Uwaga
Jeśli chcesz zarządzać klientami grupy roboczej w Internecie, zainstaluj je jako tylko internet.
Podczas konfigurowania urządzenia przenośnego do korzystania z internetowego punktu zarządzania jest ono automatycznie konfigurowane jako tylko internet.
Możesz skonfigurować innych klientów do zarządzania klientami internetowymi i intranetowymi. Po wykryciu zmiany sieci automatycznie przełączają się między usługą IBCM i zarządzaniem klientami intranetowymi. Jeśli ci klienci mogą znaleźć punkt zarządzania, który obsługuje połączenia klienta w intranecie, klienci ci są zarządzani jako klienci intranetowi. Klienci intranetowi mają pełną funkcjonalność Configuration Manager. Jeśli klienci nie mogą znaleźć punktu zarządzania obsługującego połączenia klienta w intranecie lub nawiązać z nim połączenia, próbują nawiązać połączenie z internetowym punktem zarządzania. Jeśli ta akcja zakończy się pomyślnie, klienci będą następnie zarządzane przez internetowe systemy lokacji w przypisanej do nich lokacji.
Zaletą automatycznego przełączania jest to, że klienci mogą korzystać ze wszystkich funkcji podczas nawiązywania połączenia z intranetem i otrzymywać podstawowe funkcje zarządzania, gdy znajdują się w Internecie. Pobieranie zawartości, które rozpoczyna się w Internecie, może być bezproblemowo wznawiane w intranecie i na odwrót.
Wymagania wstępne
Program IBCM w Configuration Manager ma następujące zależności:
Klienci wymagają połączenia z Internetem. Configuration Manager korzysta z istniejącego połączenia internetowego urządzenia. Urządzenia przenośne muszą mieć bezpośrednie połączenie internetowe. Pełne komputery klienckie mogą mieć bezpośrednie połączenie internetowe lub nawiązać połączenie przy użyciu serwera proxy sieci Web.
Systemy lokacji obsługujące usługę IBCM wymagają połączenia z Internetem i muszą znajdować się w domenie usługi Active Directory. Internetowe systemy lokacji nie wymagają relacji zaufania z lasem usługi Active Directory serwera lokacji. Jednak gdy internetowy punkt zarządzania może uwierzytelnić użytkownika przy użyciu uwierzytelniania systemu Windows, obsługuje zasady użytkownika. Jeśli uwierzytelnianie systemu Windows nie powiedzie się, obsługuje tylko zasady urządzeń.
Uwaga
Aby obsługiwać zasady użytkownika, włącz również następujące ustawienia klienta w grupie Zasady klienta :
- Włączanie sondowania zasad użytkownika na klientach
- Włączanie żądań zasad użytkownika od klientów internetowych
Infrastruktura kluczy publicznych (PKI) do wdrażania wymaganych certyfikatów i zarządzania nimi dla klientów internetowych i serwerów systemu lokacji. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów infrastruktury kluczy publicznych.
Zarejestruj publiczne wpisy hosta DNS dla w pełni kwalifikowanych nazw domen (FQDN) w Internecie systemów lokacji, które obsługują usługę IBCM.
Włącz opcję Użyj certyfikatu klienta PKI (możliwość uwierzytelniania klienta), jeśli jest dostępna na karcie Zabezpieczenia komunikacji we właściwościach lokacji. Ta opcja jest wymagana.
Wymagania dotyczące komunikacji z klientem
Interweniujące zapory lub serwery proxy muszą zezwalać na komunikację klienta z internetowymi systemami lokacji:
Obsługa protokołu HTTP 1.1
Zezwalaj na typ zawartości HTTP wieloczęściowego załącznika MIME (multipart/mixed i application/octet-stream)
Czasowniki
Zezwalaj na następujące zlecenia dla internetowych ról serwera systemu lokacji:
Rola | Czasowniki |
---|---|
Punkt zarządzania | -GŁOWY - CCM_POST - BITS_POST -POBIERZ -PROPFIND |
Punkt dystrybucji | -GŁOWY -POBIERZ -PROPFIND |
Rezerwowy punkt stanu | POST |
Nagłówki HTTP
Zezwalaj na następujące nagłówki HTTP dla internetowych ról serwera systemu lokacji:
Rola | Nagłówki HTTP |
---|---|
Punkt zarządzania | -Zakres: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: - CCMClientTimestampsSignature: |
Punkt dystrybucji | Zakres: |
Aby uzyskać podobne wymagania dotyczące komunikacji podczas korzystania z punktu aktualizacji oprogramowania dla połączeń klienckich z Internetu, zapoznaj się z dokumentacją programu Windows Server Update Services (WSUS).
Nieobsługiwanych funkcji
Nie wszystkie funkcje zarządzania klientami są odpowiednie dla Internetu. Configuration Manager nie obsługuje niektórych funkcji dla klientów w Internecie. Te nieobsługiwanych funkcji zwykle polegać na Active Directory Domain Services lub nie są odpowiednie dla sieci publicznej.
Następujące funkcje nie są obsługiwane podczas zarządzania klientami w Internecie za pomocą usługi IBCM:
Wdrażanie klienta przez Internet, takie jak wypychanie klienta i wdrażanie klienta opartego na aktualizacji oprogramowania. Użyj ręcznej instalacji klienta.
Automatyczne przypisywanie lokacji
Wake-on-LAN
Wdrożenie systemu operacyjnego. Można jednak wdrożyć sekwencje zadań, które nie wdrażają systemu operacyjnego.
Pilota
Wdrażanie oprogramowania dla użytkowników. Ta funkcja opierała się na katalogu aplikacji, który nie jest już obsługiwany.
Roaming klienta. Roaming umożliwia klientom zawsze znajdowanie najbliższych punktów dystrybucji do pobrania zawartości. Klienci niedeterministycznie wybierają jeden z internetowych systemów lokacji bez względu na przepustowość lub lokalizację fizyczną.
Podczas konfigurowania punktu aktualizacji oprogramowania w celu akceptowania połączeń z Internetu klienci internetowi zawsze skanują ten punkt aktualizacji oprogramowania, aby określić, które aktualizacje oprogramowania są wymagane. Gdy ci klienci są w Internecie, najpierw próbują pobrać aktualizacje oprogramowania z Microsoft Update, a nie z internetowego punktu dystrybucji. Jeśli to zachowanie nie powiedzie się, spróbują pobrać wymagane aktualizacje oprogramowania z internetowego punktu dystrybucji.
Porada
Klient Configuration Manager automatycznie określa, czy jest on w intranecie, czy w Internecie. Jeśli klient może skontaktować się z kontrolerem domeny lub lokalnym punktem zarządzania, ustawia typ połączenia na "Obecnie intranet". W przeciwnym razie przełącza się do "Obecnie internet" i komunikuje się z systemami lokacji przypisanymi do jej lokacji.