Поделиться через


Преимущества использования основного режима

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Основной режим является рекомендуемым режимом для новых сайтов Configuration Manager 2007, так как он обеспечивает более высокий уровень безопасности за счет интеграции с инфраструктурой открытого ключа для защиты обмена данными между клиентами и серверами. Кроме того, основной режим требуется для интернет-управления клиентами.

В основном режиме клиенты взаимодействуют по протоколу HTTPS со следующими системами сайта:

  • точки управления:

    • точка управления по умолчанию;

    • точки управления с балансировкой сетевой нагрузки;

    • Прокси-точка управления

    • интернет-точка управления;

  • стандартные точки распространения (не точки распространения филиала);

  • Точки обновления программного обеспечения

  • Точка миграции состояния

Примечание

В некоторых случаях в интрасети работающие в основном режиме клиенты могут взаимодействовать со стандартными точками распространения по протоколу SMB. Такие случаи возникают, когда, например, для объявлений установлен параметр Запустить программу из точки распространения и происходит сбой HTTPS, или когда для точки распространения не установлен параметр Разрешить клиентам передачу содержимого с этой точки распространения с использованием протоколов BITS, HTTP и HTTPS (требуется для клиентов устройств и интернет-клиентов).

В основном режиме клиенты продолжают взаимодействовать по протоколу HTTP с резервной точкой состояния, чтобы информация обо всех проблемах с сертификатами могла быть передана обратно на сайт, а администраторы могли определить и устранить проблемы взаимодействия клиентов. Кроме того, если для работающего в основном режиме клиента установлен параметр Настроить протокол HTTP для роуминга и назначения сайта, то клиент сможет взаимодействовать по протоколу HTTP со следующими системами сайта:

  • Точка обнаружения серверов

  • локальная точка управления и точки распространения сайта, работающего в смешанном режиме.

Важно!

Основной режим не влияет на взаимодействие между серверами сайта или между сайтами в иерархии Configuration Manager 2007. Чтобы защитить это взаимодействие, используйте протокол IPsec. Дополнительные сведения см. в разделе Внедрение протокола IPsec в Configuration Manager 2007.

В основном режиме политики клиента подписываются сервером сайта, который создает в иерархии Configuration Manager 2007 дополнительный уровень защиты, чтобы ограничить риски, связанные с рассылкой искаженных политик точкой управления, к которой получил доступ злоумышленник. Такая мера защиты является особенно эффективной в случае использования интернет-управления клиентами, поскольку в данной ситуации точка управления должна иметь доступ к Интернету.

Уровень безопасности смешанного режима ниже, поскольку он поддерживает клиенты SMS 2003. Смешанный режим включает самозаверяющие сертификаты на тот случай, если у клиента нет подходящей инфраструктуры открытого ключа, с помощью которой можно было бы получить сертификаты, необходимые для Configuration Manager 2007.

Невозможно обновить сайт SMS 2003 непосредственно в основной режим, но можно перейти в основной режим после завершения обновления.

При миграции основного сайта в основной режим автоматически происходит миграция все дополнительных сайтов, подчиненных данному основному сайту. Однако миграция не затрагивает подчиненные основные сайты.

Сравнение смешанного и основного режима

В следующей таблице сравниваются два режима работы сайтов и доступные в них функции обеспечения безопасности.

Операция Configuration Manager Смешанный режим Основной режим

Использование сертификатов

Самозаверяющие сертификаты, создаваемые и управляемые в Configuration Manager и используемые только в Configuration Manager.

Основанные на отраслевых стандартах сертификаты PKI, создаваемые и управляемые независимо от Configuration Manager. Их можно интегрировать с другими бизнес-решениями.

Взаимная проверка подлинности между клиентом и системами сайта

Собственные механизмы проверки подлинности между клиентом и точкой управления, а также между клиентом и точкой миграции состояния. Другие системы сайта не используют взаимную проверку подлинности с клиентами.

Взаимная проверка подлинности SSL между клиентом и следующими системами сайта.

  • Точка управления

  • точка распространения (кроме общего ресурса на сервере или точки распространения филиала);

  • Точка миграции состояния

Проверка подлинности SSL в точке обновления программного обеспечения.

Проверка подлинности и шифрование трафика между системами сайта

Нет. Рекомендуется использовать протокол IPsec для защиты обмена данными.

См. раздел Внедрение протокола IPsec в Configuration Manager 2007.

Нет. Рекомендуется использовать протокол IPsec для защиты обмена данными.

См. раздел Внедрение протокола IPsec в Configuration Manager 2007.

Службу WINS можно использовать для разрешения имен и обнаружения служб.

Да

Хотя службу WINS можно использовать для разрешения имен и поиска точки обнаружения серверов, ее нельзя использовать в основном режиме для обнаружения точки управления по умолчанию.

Точки управления по умолчанию расположены в Active Directory, DNS и точке обнаружения серверов. Однако точки управления с балансировкой сетевой нагрузки можно обнаружить только в Active Directory или с помощью точки обнаружения серверов.

Дополнительные сведения об обнаружении служб в основном режиме см. в разделе Configuration Manager и расположение службы (сведения о сайте и точки управления).

Политика подписывается

Да, точкой управления

Да, сервером сайта и точкой управления.

Политика шифруется с помощью протокола SSL

Нет

Да

Содержимое подписывается

Да, если для объявления установлен параметр Загрузить содержимое с точки распространения и запустить его локально.

Нет, если для объявления установлен параметр Запустить программу из точки распространения.

Да, если для объявления установлен параметр Загрузить содержимое с точки распространения и запустить его локально.

Нет, если для объявления установлен параметр Запустить программу из точки распространения (этот параметр не поддерживается, если управление клиентом осуществляется через Интернет).

Содержимое шифруется

Нет

Да, с помощью протокола SSL, если для объявления установлен параметр Загрузить содержимое с точки распространения и запустить его локально. Однако если в интрасети происходит сбой протокола HTTPS, содержимое передается по протоколу SMB без шифрования.

Нет, если для объявления установлен параметр Запустить программу из точки распространения, поскольку будет использоваться протокол SMB (этот параметр не поддерживается, если управление клиентом осуществляется через Интернет).

Данные инвентаризации и сообщения о состоянии подписываются

Да, с помощью алгоритма SHA1, если на клиентах установлена версия SMS 2003 с пакетом обновления 1 (SP1) или более поздняя.

Да. Единственное исключение — сообщения о состоянии для резервной точки состояния, они не подписываются.

Данные инвентаризации и сообщения о состоянии шифруются

Необязательно, используется алгоритм 3DES

Да, по протоколу SSL. Единственное исключение — сообщения о состоянии для резервной точки состояния, они не шифруются.

Сообщения об изменении состояния от клиентов подписываются

Нет

Да.

Сообщения об изменении состояния от клиентов шифруются

Нет

Да, по протоколу SSL.

Данные контроля использования от клиентов подписываются

Нет

Да

Данные контроля использования от клиентов шифруются

Нет

Да, по протоколу SSL

Утверждение клиента для полного управления на сайте

Требуется настройка с использованием одного из следующих параметров:

  • Утверждать каждый клиент вручную

  • Автоматически утверждать клиенты из доверенных доменов

  • Автоматически утверждать все клиенты

  • Автоматическое, поскольку клиенты проходят проверку подлинности с использованием PKI

Если используется возможность развертывания операционных систем, данные о состоянии миграции подписываются и шифруются

Да

Да, по протоколу SSL

См. также

Основные понятия

Необходимые условия для основного режима
Общие сведения об интернет-управлении клиентами
Требования к сертификатам для работы в основном режиме
Определение необходимости настройки HTTP-связи для роуминга и присоединения сайтов (основной режим)
Обмен данными между клиентами в смешанном и основном режимах
Configuration Manager и расположение службы (сведения о сайте и точки управления)
Внедрение протокола IPsec в Configuration Manager 2007

Другие ресурсы

Настройка основного режима

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.