Plano para gestão de clientes baseado na Internet no Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
Utilize a gestão de clientes baseada na Internet (IBCM) para gerir clientes do Gestor de Configuração quando não estão ligados à sua rede interna. Vantagens da utilização do IBCM:
- Controlo total dos servidores e funções que fornecem o serviço
- Sem dependência do serviço de nuvem
- Pode não exigir uma rede privada virtual (VPN)
- Todos os custos estão associados ao serviço no local
Devido aos requisitos de segurança mais elevados da gestão de computadores clientes numa rede pública, o IBCM requer a utilização de certificados PKI. Esta configuração garante que as ligações são autenticadas por uma autoridade independente. Quando os clientes ibcm e servidores de sites enviam dados, é encriptado e seguro.
Comunicação do cliente
As seguintes funções do sistema de site em sites primários suportam ligações de clientes que estão em locais não fided os casos não fided os casos:
Nota
Enquanto o IBCM se concentra principalmente no cenário baseado na Internet, os mesmos comportamentos aplicam-se aos clientes numa floresta de Diretório Ativo não fidedquirida. Sites secundários não suportam ligações com clientes de locais não fidedqui ostários.
Ponto de registo de certificado para o módulo de política do Gestor de Configuração (NDES)
Ponto de distribuição
Gateway de gestão de nuvem ativada por conteúdo (CMG)
Ponto proxy de registo
Ponto de estado de contingência
Ponto de gestão
Ponto de atualização de software
Sobre sistemas de sites virados para a Internet
Não há necessidade de ter confiança entre a floresta de um cliente e a do servidor do sistema de site. No entanto, quando a floresta que contém um sistema de site virado para a Internet confia na floresta que contém as contas dos utilizadores, esta configuração suporta políticas baseadas no utilizador para dispositivos na internet quando ativa a definição do cliente da Política de Clientes, ativar os pedidos de política dos utilizadores dos clientes da Internet.
Por exemplo, as seguintes configurações ilustram quando o IBCM suporta as políticas dos utilizadores para dispositivos na internet:
O ponto de gestão baseado na Internet está na rede de perímetro. Esta rede também tem um controlador de domínio apenas de leitura para autenticar o utilizador. Uma firewall entre o perímetro e as redes internas permite pacotes de Diretório Ativo.
A conta de utilizador está na floresta baseada na intranet. O ponto de gestão baseado na Internet está na floresta baseada no perímetro. A floresta do perímetro confia na floresta interna. Uma firewall entre o perímetro e as redes internas permite os pacotes de autenticação.
A conta de utilizador e o ponto de gestão baseado na Internet estão ambos na floresta baseada na intranet. Publica o ponto de gestão para a internet com um servidor de procuração web.
Use um servidor de procuração web
Pode colocar sistemas de sites baseados na Internet na intranet quando os publicar na internet com um servidor de procuração web. Configure estes sistemas de site apenas para ligações ao cliente a partir da internet, ou ligações ao cliente a partir da internet e intranet. Quando utilizar um servidor de procuração web, pode configurá-lo para a camada de tomadas seguras (SSL) que faz a ponte para túneis SSL ou SSL.
Ponte SSL para SSL
A ponte SSL para SSL é a configuração recomendada e mais segura, porque utiliza a terminação SSL com autenticação. Autentica os computadores clientes com autenticação de computador. Os dispositivos móveis que se inscrevem no Gestor de Configuração não suportam a ponte SSL.
Com a rescisão da SSL no proxy, inspeciona os pacotes da internet antes de os encaminhar para a rede interna. O proxy autentica a ligação do cliente, termina-a e abre uma nova ligação autenticada aos sistemas de sites baseados na Internet. Quando os clientes do Gestor de Configuração usam um proxy, o cliente contém de forma segura a sua identidade (GUID) na carga útil do pacote. O ponto de gestão não considera o representante como cliente. O Gestor de Configuração não suporta pontes com HTTPS ou https para HTTPS.
Nota
O Gestor de Configuração não suporta a definição de configurações de pontes SSL de terceiros. Por exemplo, Citrix Netscaler ou F5 BIG-IP. Por favor, trabalhe com o seu fornecedor de dispositivos para o configurar para ser utilizado com o Gestor de Configuração.
Túnel
Se o seu servidor web proxy não conseguir suportar os requisitos para a ponte SSL, o Gestor de Configuração também suporta o túnel SSL. Também pode utilizar túneis SSL para suportar dispositivos móveis que se inscreve com o Gestor de Configuração. É uma opção menos segura porque o proxy encaminha os pacotes SSL da internet para os sistemas de site sem rescisão SSL. O representante não inspeciona os pacotes para obter conteúdo malicioso. Quando utiliza o protocolo de túnel SSL, não existem requisitos de certificado para o servidor Web proxy.
Plano para clientes baseados na Internet
Decida se configura os seus clientes baseados na Internet para gestão tanto na intranet como na internet, ou na gestão de clientes apenas na Internet. Só pode configurar esta opção de gestão durante a instalação do cliente. Para alterá-lo mais tarde, reinstale o cliente.
Nota
Se configurar um ponto de gestão para apoiar clientes baseados na Internet, os clientes que se ligarem a este ponto de gestão tornar-se-ão capazes de internet quando atualizarem a sua lista de pontos de gestão disponíveis.
Não é preciso restringir a configuração da gestão de clientes apenas na Internet à internet. Também pode usá-lo na intranet.
Os clientes que configura para gestão apenas na Internet comunicam apenas com os sistemas de site que configura para as ligações dos clientes a partir da internet. Utilize esta configuração nos seguintes cenários:
- Para computadores que conhece nunca se ligarão à sua intranet. Por exemplo, computadores pontos de venda em locais remotos.
- Para restringir a comunicação do cliente apenas a HTTPS. Por exemplo, apoiar firewall e políticas de segurança restritas.
- Quando instala sistemas de sites baseados na Internet numa rede de perímetro, e pretende gerir estes servidores como clientes Do Gestor de Configuração.
Nota
Quando quiser gerir clientes do grupo de trabalho na internet, instale-os apenas na Internet.
Quando configura um dispositivo móvel para utilizar um ponto de gestão baseado na Internet, configura automaticamente como apenas internet.
Pode configurar outros clientes para a gestão de clientes da Internet e da intranet. Quando detetam uma mudança de rede, alternam automaticamente entre o IBCM e a gestão do cliente intranet. Se estes clientes puderem encontrar e ligar-se a um ponto de gestão que suporte as ligações dos clientes na intranet, estes clientes são geridos como clientes intranet. Os clientes intranet têm a funcionalidade Full Configuration Manager. Se os clientes não conseguirem encontrar ou ligar-se a um ponto de gestão que suporte as ligações do cliente na intranet, tentam ligar-se a um ponto de gestão baseado na Internet. Se esta ação for bem sucedida, estes clientes são então geridos pelos sistemas de sites baseados na Internet no seu site designado.
O benefício na comutação automática é que os clientes podem usar todas as funcionalidades quando se conectam à intranet, e receber uma gestão essencial quando estão na internet. O download de conteúdos que começa na internet pode ser retomado na intranet e ao contrário.
Pré-requisitos
O IBCM no Gestor de Configuração tem as seguintes dependências:
Os clientes requerem uma ligação à internet. O Gestor de Configuração utiliza a ligação à Internet existente do dispositivo. Os dispositivos móveis devem ter uma ligação direta à Internet. Os computadores clientes completos podem ter uma ligação direta à Internet ou conectar-se utilizando um servidor web proxy.
Os sistemas de site que suportam o IBCM requerem uma ligação à Internet e devem estar num domínio ative directory. Os sistemas de sites baseados na Internet não requerem uma relação de confiança com a floresta ative do diretório do servidor do site. No entanto, quando o ponto de gestão baseado na Internet pode autenticar o utilizador utilizando Windows autenticação, suporta as políticas do utilizador. Se Windows autenticação falhar, só suporta as políticas do dispositivo.
Nota
Para apoiar as políticas dos utilizadores, ative também as seguintes definições de clientes no grupo De política do cliente:
- Ativar consulta de política de utilizador nos clientes
- Ativar pedidos da política do utilizador dos clientes Internet
Uma infraestrutura de chave pública (PKI) para implementar e gerir os certificados necessários para clientes baseados na Internet e servidores de sistemas de sites. Para mais informações, consulte os requisitos do certificado PKI.
Registar entradas públicas de anfitrião DNS para os nomes de domínio totalmente qualificados (FQDN) de sistemas de site que suportam o IBCM.
Ative a opção de utilizar o certificado de cliente PKI (capacidade de autenticação do cliente) quando disponível no separador De Segurança de Comunicação das propriedades do site. A partir do rollup de atualização para a versão 2006,esta opção é necessária.
Requisitos de comunicação do cliente
As firewalls ou servidores proxy devem permitir a comunicação do cliente para sistemas de sites baseados na Internet:
Suportar HTTP 1.1
Permitir que o tipo de conteúdo HTTP do anexo multiparte de MIME (multiparte/misto e aplicação/sequência de octetos)
Verbos
Permitir os seguintes verbos para as funções do servidor do sistema de sites baseados na Internet:
Função | Verbos |
---|---|
Ponto de gestão | - CABEÇA - CCM_POST - BITS_POST - GET - PROPFIND |
Ponto de distribuição | - CABEÇA - GET - PROPFIND |
Ponto de estado de contingência | POST |
Cabeçalhos HTTP
Permitir os seguintes cabeçalhos HTTP para as funções do servidor do sistema de sites baseados na Internet:
Função | Cabeçalhos HTTP |
---|---|
Ponto de gestão | - Alcance: - CCMClientID: - ASSINATURA CCMClientID: - CCMClientTimestamp: - CCMClientTimestampsSignature: |
Ponto de distribuição | Intervalo: |
Para requisitos de comunicação semelhantes quando utilizar o ponto de atualização do software para ligações ao cliente a partir da internet, consulte a documentação para Windows Server Update Services (WSUS).
Funcionalidades não suportadas
Nem toda a funcionalidade de gestão do cliente é apropriada para a internet. O Gestor de Configuração não suporta algumas funcionalidades para os clientes na internet. Estas funcionalidades não apoiadas normalmente dependem de Serviços de Domínio de Diretório Ativo ou não são apropriadas para uma rede pública.
As seguintes funcionalidades não são suportadas quando gere clientes na internet com o IBCM:
Implementação de clientes através da internet, como push de clientes e implementação de clientes baseados em atualizações de software. Utilize a instalação manual do cliente.
Atribuição automática de site
Wake-on-LAN
Implantação do SO. No entanto, pode implementar sequências de tarefas que não implementem um SISTEMA.
Controlo remoto
Implementação de software para utilizadores. Esta funcionalidade contava com o catálogo de aplicações, que já não é suportado.
Cliente a vaguear. O roaming permite aos clientes localizar sempre os pontos de distribuição mais próximos para transferir conteúdo. Os clientes selecionam não deterministicamente um dos sistemas de site baseados na Internet, qualquer que seja a largura de banda ou a localização física.
Quando configura um ponto de atualização de software para aceitar ligações a partir da internet, os clientes baseados na Internet verificam sempre este ponto de atualização de software para determinar quais as atualizações de software necessárias. Quando estes clientes estão na internet, primeiro tentam descarregar as atualizações de software do Microsoft Update, em vez de a partir de um ponto de distribuição baseado na Internet. Se este comportamento falhar, tentam descarregar as atualizações de software necessárias a partir de um ponto de distribuição baseado na Internet.
Dica
O cliente Do Gestor de Configuração determina automaticamente se está na intranet ou na internet. Se o cliente pode contactar um controlador de domínio ou um ponto de gestão no local, define o seu tipo de ligação para "Atualmente intranet". Caso contrário, muda para "Atualmente internet", e comunica com os sistemas de site atribuídos ao seu site.