Поделиться через


Планирование управления клиентами через Интернет в Configuration Manager

Относится к Configuration Manager (Current Branch)

Используйте управление клиентами через Интернет (IBCM) для управления клиентами Configuration Manager, если они не подключены к вашей внутренней сети. Преимущества использования IBCM:

  • Полный контроль над серверами и ролями, предоставляющими службу
  • Нет зависимости облачной службы
  • Может не требоваться виртуальная частная сеть (VPN)
  • Все затраты связаны с локальной службой

Из-за более высоких требований к безопасности при управлении клиентскими компьютерами в общедоступной сети IBCM требуется использование PKI-сертификатов. Эта конфигурация обеспечивает проверку подлинности подключений независимым центром. Когда клиенты IBCM и серверы сайта отправляют данные, они шифруются и защищаются.

Взаимодействие с клиентом

Следующие роли системы сайта на первичных сайтах поддерживают подключения клиентов, которые находятся в ненадежных расположениях:

Примечание.

В то время как IBCM в основном фокусируется на сценарии из Интернета, то же самое поведение применяется к клиентам в ненадежном лесу Active Directory. Вторичные сайты не поддерживают клиентские подключения из ненадежных расположений.

  • Точка регистрации сертификата для модуля политики Configuration Manager (NDES)

    Предупреждение

    Начиная с версии 2203 точка регистрации сертификатов больше не поддерживается. Дополнительные сведения см. в разделе Часто задаваемые вопросы об устаревании доступа к ресурсам.

  • Точка распространения

  • Шлюз управления облачными клиентами с поддержкой содержимого (CMG)

  • Прокси-точка регистрации

  • Резервная точка состояния

  • Точка управления

  • Точка обновления программного обеспечения

Сведения о системах сайта с выходом в Интернет

Нет требования к доверию между лесом клиента и лесом сервера системы сайта. Однако если лес, содержащий систему сайта с выходом в Интернет, доверяет лесу с учетными записями пользователей, эта конфигурация поддерживает пользовательские политики для устройств в Интернете при включении параметра клиента политики клиентаРазрешить запросы политики пользователей из интернет-клиентов.

Например, следующие конфигурации иллюстрируют, когда IBCM поддерживает политики пользователей для устройств в Интернете:

  • Интернет-точка управления находится в сети периметра. Эта сеть также имеет контроллер домена только для чтения для проверки подлинности пользователя. Брандмауэр между периметром и внутренними сетями разрешает пакеты Active Directory.

  • Учетная запись пользователя находится в лесу на основе интрасети. Интернет-точка управления находится в лесу на основе периметра. Лес периметра доверяет внутреннему лесу. Брандмауэр между периметром и внутренними сетями разрешает пакеты проверки подлинности.

  • Учетная запись пользователя и интернет-точка управления находятся в лесу на основе интрасети. Вы публикуете точку управления в Интернете с помощью веб-прокси-сервера.

Использование веб-прокси-сервера

Вы можете разместить интернет-системы сайтов в интрасети при публикации в Интернете с помощью веб-прокси-сервера. Настройте эти системы сайта для клиентских подключений только из Интернета или клиентских подключений из Интернета и интрасети. При использовании веб-прокси-сервера его можно настроить для подключения SSL к ssl или ssl-туннелирования.

Подключение SSL к SSL

Подключение SSL к SSL является рекомендуемой и более безопасной конфигурацией, так как она использует завершение SSL с проверкой подлинности. Он проверяет подлинность клиентских компьютеров с помощью проверки подлинности компьютера. Мобильные устройства, зарегистрированные с помощью Configuration Manager, не поддерживают мост ssl.

При завершении SSL на прокси-сервере он проверяет пакеты из Интернета, прежде чем пересылать их во внутреннюю сеть. Прокси-сервер выполняет проверку подлинности подключения из клиента, завершает его, а затем открывает новое подключение с проверкой подлинности к системам веб-сайтов. Когда клиенты Configuration Manager используют прокси-сервер, клиент безопасно содержит свое удостоверение (GUID) в полезных данных пакета. Точка управления не считает прокси-сервер клиентом. Configuration Manager не поддерживает мост с помощью HTTP-https или между HTTPS и HTTPS.

Примечание.

Configuration Manager не поддерживает настройку сторонних конфигураций мостов SSL. Например, Citrix Netscaler или F5 BIG-IP. Обратитесь к поставщику устройств, чтобы настроить его для использования с Configuration Manager.

Туннелирования

Если прокси-веб-сервер не поддерживает требования для моста SSL, Configuration Manager также поддерживает туннелирование SSL. Туннелирование SSL можно также использовать для поддержки мобильных устройств, зарегистрированных с помощью Configuration Manager. Это менее безопасный вариант, так как прокси-сервер пересылает SSL-пакеты из Интернета в системы сайта без завершения SSL. Прокси-сервер не проверяет пакеты на наличие вредоносного содержимого. При использовании туннелирования SSL требования к сертификату для прокси-веб-сервера отсутствуют.

Планирование интернет-клиентов

Решите, следует ли настроить интернет-клиенты для управления как в интрасети, так и в Интернете или для управления клиентами только в Интернете. Этот параметр управления можно настроить только во время установки клиента. Чтобы изменить его позже, переустановите клиент.

Примечание.

Если вы настроите точку управления для поддержки интернет-клиентов, клиенты, которые подключаются к этой точке управления, станут доступны через Интернет при следующем обновлении списка доступных точек управления.

Вам не нужно ограничивать настройку управления клиентами только в Интернете через Интернет. Его также можно использовать в интрасети.

Клиенты, настроенные для управления только через Интернет, взаимодействуют только с системами сайта, настроенными для клиентских подключений из Интернета. Используйте эту конфигурацию в следующих сценариях:

  • Для компьютеров, которые, как вы знаете, никогда не будут подключаться к интрасети. Например, компьютеры с точками продаж в удаленных расположениях.
  • Чтобы ограничить обмен данными между клиентами только по протоколу HTTPS. Например, для поддержки брандмауэра и политик безопасности с ограниченным доступом.
  • При установке интернет-систем сайта в сети периметра и вы хотите управлять этими серверами как Configuration Manager клиентами.

Примечание.

Если вы хотите управлять клиентами рабочих групп в Интернете, установите их как доступные только в Интернете.

При настройке мобильного устройства для использования интернет-точки управления оно автоматически настраивается как доступное только для Интернета.

Вы можете настроить другие клиенты для управления клиентами в Интернете и интрасети. При обнаружении изменения сети они автоматически переключаются между IBCM и управлением клиентами интрасети. Если эти клиенты могут найти и подключиться к точке управления, поддерживающей клиентские подключения в интрасети, эти клиенты управляются как клиенты интрасети. Клиенты интрасети имеют полную функциональность Configuration Manager. Если клиентам не удается найти точку управления, которая поддерживает клиентские подключения в интрасети, или подключиться к ней, они пытаются подключиться к интернет-точке управления. В случае успешного выполнения этого действия эти клиенты управляются системами веб-сайтов на назначенном им сайте.

Преимущество автоматического переключения заключается в том, что клиенты могут использовать все функции при подключении к интрасети и получать важное управление, когда они подключены к Интернету. Скачивание содержимого, которое начинается в Интернете, можно легко возобновить в интрасети, и наоборот.

Предварительные требования

IBCM в Configuration Manager имеет следующие зависимости:

  • Клиентам требуется подключение к Интернету. Configuration Manager использует существующее подключение устройства к Интернету. Мобильные устройства должны иметь прямое подключение к Интернету. Все клиентские компьютеры могут иметь прямое подключение к Интернету или подключаться с помощью прокси-сервера.

  • Системы сайта, поддерживающие IBCM, требуют подключения к Интернету и должны находиться в домене Active Directory. Для интернет-систем сайта не требуется отношения доверия с лесом Active Directory сервера сайта. Однако если интернет-точка управления может проверить подлинность пользователя с помощью проверка подлинности Windows, она поддерживает политики пользователей. Если проверка подлинности Windows не удается, он поддерживает только политики устройств.

    Примечание.

    Для поддержки политик пользователей также включите следующие параметры клиента в группе Политика клиента :

    • Включение опроса политики пользователей на клиентах
    • Включение запросов политики пользователей от интернет-клиентов
  • Инфраструктура открытых ключей (PKI) для развертывания необходимых сертификатов для интернет-клиентов и серверов системы сайта и управления ими. Дополнительные сведения см. в разделе Требования к PKI-сертификатам.

  • Регистрация общедоступных записей узла DNS для полных доменных имен (FQDN) в Интернете систем сайта, поддерживающих IBCM.

  • Включите параметр Использовать PKI-сертификат клиента (возможность проверки подлинности клиента), если он доступен на вкладке Безопасность связи свойств сайта. Этот параметр является обязательным.

Требования к обмену данными с клиентом

Промежуточные брандмауэры или прокси-серверы должны разрешать обмен данными между клиентами для систем сайта в Интернете:

  • Поддержка HTTP 1.1

  • Разрешить тип контента HTTP для многокомпонентного вложения MIME (multipart/mixed и application/octet-stream)

Глаголы

Разрешите следующие команды для ролей сервера системы сайта в Интернете:

Роль Глаголы
Точка управления -ГОЛОВУ
— CCM_POST
— BITS_POST
-ПОЛУЧИТЬ
- PROPFIND
Точка распространения -ГОЛОВУ
-ПОЛУЧИТЬ
- PROPFIND
Резервная точка состояния POST

Заголовки HTTP

Разрешите следующие http-заголовки для ролей сервера системы сайта в Интернете:

Роль Заголовки HTTP
Точка управления -Диапазон:
— CCMClientID:
— CCMClientIDSignature:
— CCMClientTimestamp:
— CCMClientTimestampsSignature:
Точка распространения Диапазон:

Аналогичные требования к обмену данными при использовании точки обновления программного обеспечения для клиентских подключений из Интернета см. в документации по Windows Server Update Services (WSUS).

Неподдерживаемые возможности

Не все функции управления клиентами подходит для Интернета. Configuration Manager не поддерживает некоторые функции для клиентов в Интернете. Эти неподдерживаемые функции обычно зависят от доменные службы Active Directory или не подходили для общедоступной сети.

Следующие функции не поддерживаются при управлении клиентами в Интернете с помощью IBCM:

  • Развертывание клиента через Интернет, например принудительное развертывание клиента и развертывание клиента на основе обновлений программного обеспечения. Используйте установку клиента вручную.

  • Автоматическое назначение сайта

  • Пробуждение по локальной сети

  • Развертывание ОС. Однако можно развернуть последовательности задач, которые не развертывают ОС.

  • Удаленное управление

  • Развертывание программного обеспечения для пользователей. Эта функция основана на каталоге приложений, который больше не поддерживается.

  • Перемещение клиента. Роуминг позволяет клиентам всегда находить ближайшие точки распространения для скачивания содержимого. Клиенты недетерминированно выбирают одну из интернет-систем сайта, независимо от пропускной способности или физического расположения.

При настройке точки обновления программного обеспечения для приема подключений из Интернета интернет-клиенты всегда проверяют эту точку обновления программного обеспечения, чтобы определить, какие обновления необходимы. Когда эти клиенты находятся в Интернете, они сначала пытаются скачать обновления программного обеспечения из Майкрософт Update, а не из интернет-точки распространения. Если такое поведение завершается ошибкой, они пытаются скачать необходимые обновления программного обеспечения из интернет-точки распространения.

Совет

Клиент Configuration Manager автоматически определяет, находится ли он в интрасети или Интернете. Если клиент может связаться с контроллером домена или локальной точкой управления, он устанавливает для него тип подключения "Текущая интрасеть". В противном случае он переключается на "Текущий интернет" и взаимодействует с системами сайта, назначенными его сайту.