Поделиться через

Определение размещения сервера для интернет-управления клиентами

  • Статья

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Для интернет-управления клиентами поддерживается несколько сценариев, и каждый из них имеет свои преимущества: Чтобы определить, должны ли сервера находиться в демилитаризованной зоне или в интрасети, необходимо решить, какой сценарий наиболее подходит для вашей среды и бизнес-требований.

Все ссылки на размещение сервера, приведенные ниже, относятся только к основному сайту, так как дополнительные сайты не поддерживают интернет-управление клиентами.

Размещение сервера для сайтов, которые не должны управлять клиентами в интрасети

Если сайт Configuration Manager 2007 не должен поддерживать клиенты через Интернет и в интрасети, применяются сценарии 1 и 2, описанные в следующей таблице. В следующей таблице приведены преимущества и недостатки каждого из сценариев и соответствующее размещение сервера.

Сценарий, поддерживающий только клиенты через Интернет Преимущество Недостаток Размещение сервера

Сценарий 1. Все интернет-системы сайта располагаются в демилитаризованной зоне и принимают подключения клиентов, соединяющихся через Интернет. Сервер сайта находится в интрасети:

  • Точка управления, поддерживающая интернет-клиенты, обменивается данными напрямую с SQL-сервером в интрасети.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Подключение SQL инициируется из демилитаризованной зоны к интрасети, что является менее безопасной конфигурацией, чем подключение, инициированное из интрасети.

Сервер, настроенный с ролью точки обновления программного обеспечения, которой требуется синхронизация метаданных обновлений программного обеспечения с активной точкой обновления программного обеспечения родительского сайта в интрасети, требует настройки серверного брандмауэра, разрешающей входящий трафик по протоколам HTTPS и HTTP. Чтобы избежать таких входящих подключений, используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

Сценарий 1. Все интернет-системы сайта располагаются в демилитаризованной зоне и принимают подключения клиентов, соединяющихся через Интернет. Сервер сайта находится в интрасети:

  • Точка управления, поддерживающая интернет-клиенты, обменивается данными с репликой SQL-сервера в демилитаризованной зоне.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Реплика SQL означает, что все подключения из демилитаризованной зоны к интрасети инициируются из интрасети, что является более безопасным, чем подключения, инициированные из демилитаризованной зоны.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Для реплики SQL необходим сервер со связанными затратами, а также будет наблюдаться некоторая задержка репликации между репликой и сервером сайта.

Сервер, настроенный с ролью точки обновления программного обеспечения, которой требуется синхронизация метаданных обновлений программного обеспечения с активной точкой обновления программного обеспечения родительского сайта в интрасети, требует настройки серверного брандмауэра, разрешающей входящий трафик по протоколам HTTPS и HTTP. Чтобы избежать таких входящих подключений, используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

  • SQL Server настроен для репликации

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

Сценарий 2. интернет-сайт содержится внутри демилитаризованной зоны:

  • Этот сайт является дочерним сайтом иерархии Configuration Manager 2007.

интернет-трафик не попадает в интрасеть.

От сервера родительского сайта к серверу дочернего сайта необходима только одна настройка на серверном брандмауэре.

Поддерживает централизованное управление и отчеты.

Сервер сайта более уязвим для атак из Интернета, чем размещенный в интрасети.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал входящий SMB-трафик.

Сервер, настроенный с ролью точки обновления программного обеспечения, которой требуется синхронизация метаданных обновлений программного обеспечения с активной точкой обновления программного обеспечения родительского сайта, требует настройки серверного брандмауэра, разрешающей входящий трафик по протоколам HTTPS и HTTP. В качестве альтернативы используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Нет

Сценарий 2. интернет-сайт содержится внутри демилитаризованной зоны:

  • Этот сайт является единственным сайтом иерархии Configuration Manager 2007.

интернет-трафик не попадает в интрасеть.

Не требуется каких-либо настроек на серверном брандмауэре.

Сервер сайта более уязвим для атак из Интернета, чем размещенный в интрасети.

Не поддерживает централизованное управление и отчеты.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Нет

Размещение сервера для сайтов, которые управляют клиентами через Интернет и в интрасети

Если сайт Configuration Manager 2007 должен поддерживать клиенты через Интернет и в интрасети, применяются сценарии 3 и 4, описанные в следующей таблице. В следующей таблице приведены преимущества и недостатки каждого из сценариев и соответствующее размещение сервера.

Сценарий для поддержки клиентов через Интернет и в интрасети Преимущество Недостаток Размещение сервера

Сценарий 3. Сайт охватывает демилитаризованную зону и интрасеть. Все интернет-системы сайта располагаются в демилитаризованной зоне и принимают подключения клиентов, соединяющихся через Интернет. Существует вторая точка управления (и вторая точка обновления программного обеспечения и точка восстановления состояния, а также дополнительные точки распространения) и другие системы сайтов, которые находятся в интрасети для клиентов, подключающихся к интрасети:

  • Точка управления, поддерживающая интернет-клиенты, обменивается данными напрямую с SQL-сервером в интрасети.

  • Чтобы избежать входящих подключений от интернет-точки обновления программного обеспечения к активной точке обновления программного обеспечения, используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Назначенная точка управления и дополнительные системы сайта, к которым подключаются клиенты интрасети, отделены от интернет-трафика.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Для интернет-подключений необходимо больше серверов со связанными затратами.

Экспорт и импорт метаданных обновлений программного обеспечения вручную связан с определенной административной нагрузкой.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Подключение SQL инициируется из демилитаризованной зоны к интрасети, что является менее безопасной конфигурацией, чем подключение, инициированное из интрасети.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

  • Резервная точка состояния

  • точки распространения;

  • Точка обновления программного обеспечения

  • Все другие системы сайта

Сценарий 3. Сайт охватывает демилитаризованную зону и интрасеть. Все интернет-системы сайта располагаются в демилитаризованной зоне и принимают подключения клиентов, соединяющихся через Интернет. Существует вторая точка управления (и вторая точка обновления программного обеспечения и точка восстановления состояния, а также дополнительные точки распространения) и другие системы сайтов, которые находятся в интрасети для клиентов, подключающихся к интрасети:

  • Точка управления, поддерживающая интернет-клиенты, обменивается данными с репликой SQL-сервера в демилитаризованной зоне.

  • Чтобы избежать входящих подключений от интернет-точки обновления программного обеспечения к активной точке обновления программного обеспечения, используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Назначенная точка управления и дополнительные системы сайта, к которым подключаются клиенты интрасети, отделены от интернет-трафика.

Реплика SQL означает, что все подключения из демилитаризованной зоны к интрасети инициируются из интрасети, что является более безопасным, чем подключения, инициированные из демилитаризованной зоны.

Для интернет-подключений необходимо больше серверов со связанными затратами.

Экспорт и импорт метаданных обновлений программного обеспечения вручную связан с определенной административной нагрузкой.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

  • SQL Server

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

  • Резервная точка состояния

  • точки распространения;

  • Точка обновления программного обеспечения

  • Все другие системы сайта

Сценарий 4. Сайт соединяет демилитаризованную зону и интрасеть:

  • интернет-системы сайта имеют две сетевые карты.

Уменьшение числа настраиваемых и обслуживаемых серверов как в интрасети, так и в Интернете.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Между демилитаризованной зоной и интрасетью нет границы безопасности, что не является рекомендуемым решением.

Подключение SQL инициируется из демилитаризованной зоны к интрасети, что является менее безопасной конфигурацией.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Системы сайта такие же, как в демилитаризованной зоне, поскольку они находятся в обоих сетях

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

  • Все другие системы сайта

Сценарий 4. Сайт соединяет демилитаризованную зону и интрасеть:

  • интернет-системы сайта находятся в интрасети и могут принимать подключения как из Интернета, так и из интрасети.

Уменьшение числа настраиваемых и обслуживаемых серверов как в интрасети, так и в Интернете.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Необходима обратная настройка прокси между демилитаризованной зоной и интрасетью, таким образом интернет-системы сайта в интрасети будут публиковаться на интернет-клиентах.

интернет-клиенты обходят границу безопасности для выполнения подключений к серверам в интрасети. Снизить данную угрозу можно использованием на прокси-сервере моста SSL вместо туннелирования SSL. Дополнительные сведения см. в разделе Определение требований к прокси-серверам для использования интернет-управления клиентами.

Демилитаризованная зона:

  • Нет

Интрасеть:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

  • Все другие системы сайта

Сценарий 4. Сайт соединяет демилитаризованную зону и интрасеть:

  • интернет-системы сайта находятся в демилитаризованной зоне и могут принимать подключения как из Интернета, так и из интрасети.

Уменьшение числа настраиваемых и обслуживаемых серверов как в интрасети, так и в Интернете.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Клиенты интрасети обходят границу безопасности для выполнения подключений к серверам, открытым для интернет-трафика.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Подключение SQL инициируется из демилитаризованной зоны к интрасети, что является менее безопасной конфигурацией.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

  • Все другие системы сайта

См. также

Основные понятия

Поддерживаемые сценарии интернет-управления клиентами
Определение требований к прокси-серверам для использования интернет-управления клиентами
Общие сведения об интернет-управлении клиентами

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.