Определение требований к прокси-серверам для использования интернет-управления клиентами

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Последнее обновление раздела: август 2008 г.

Если используются прокси-веб-серверы с интернет-управлением клиентами в Configuration Manager 2007, требования для этих серверов перечислены в следующих разделах.

Если в качестве прокси-веб-сервера используется Microsoft Internet Security and Acceleration (ISA) Server, см. следующие сведения:

• Как настроить мост ISA SSL для интернет-управления клиентами в System Center Configuration Manager (https://go.microsoft.com/fwlink/?LinkId=122350).

• Веб-страница Microsoft ISA Server для общих сведений об установке и настройке (https://go.microsoft.com/fwlink/?LinkId=91897).

Поддержка SSL

Примечание

Рекомендуется SSL-согласование с проверкой подлинности на основе технологии мостов, хотя SSL-туннелирование также поддерживается, если прокси-веб-сервер не поддерживает SSL-мост с проверкой подлинности. Дополнительные сведения см. в документации Microsoft Internet Security and Acceleration Server о различиях между технологиями мостов и туннелирования (https://go.microsoft.com/fwlink/?LinkId=80311).

• SSL-мост к SSL:

  Рекомендуемая конфигурация при использовании прокси-веб-сервера с интернет-управлением клиентами Configuration Manager 2007 — это SSL-мост к SSL, с использованием прерывания с проверкой подлинности. Подлинность клиентских компьютеров должна проверяться с помощью проверки подлинности компьютера, а для клиентских мобильных устройств используется проверка подлинности пользователей.

  Преимущество SSL с прерыванием на веб-прокси-сервере в том, что пакеты из Интернета проходят проверку до отправления во внутреннюю сеть. Веб-прокси-сервер проверяет подлинность подключения с клиента, прерывает подключение и открывает новое проверенное соединение с интернет-системами сайта. Когда клиенты Configuration Manager используют веб-прокси-сервер, удостоверение клиента (GUID клиента) безопасно содержится в передаваемых данных пакета, таким образом точка управления не принимает веб-прокси-сервер за клиента. SSL-мост не поддерживается в Configuration Manager 2007 переходом от HTTP к HTTPS или от HTTPS к HTTP.

• Туннелирование:

  Если веб-прокси-сервер не отвечает требованиям для моста SSL, туннелирование SSL тоже поддерживается. Этот вариант менее безопасный, так как пакеты SSL перенаправляются из Интернета к системам сайта без прерывания и не могут быть проверены на вредное содержание. При использовании SSL-туннелирования сертификат для прокси-веб-сервера не требуется.

Требование сертификата для SSL-моста

• Сертификат веб-сервера для проверки подлинности сервера и SSL, если используется SSL-мост:

  • Сертификат должен образовывать цепочку к корневому центру, которому доверяют клиентские компьютеры.

  • Сертификат должен содержать полные доменные имена (FQDN) всех интернет-систем сайта в поле "Альтернативное имя субъекта".

• Сертификат клиентского компьютера для проверки подлинности, если используется технология SSL-моста для клиентских компьютеров.

  • Сертификат должен содержать цепочку до центра сертификации, которому доверяют серверы систем сайта.

  • Сертификат должен иметь уникальное значение в поле "Субъект" или в поле "Альтернативное имя субъекта".

• Сертификат пользователя-клиента для проверки подлинности, если используется технология SSL-моста для клиентских мобильных устройств.

  • Сертификат должен содержать цепочку до центра сертификации, которому доверяют серверы систем сайта.

  • Сертификат должен иметь уникальное значение в поле "Субъект" или в поле "Альтернативное имя субъекта".

Требования для резервной точки состояния

• Поддержка HTTP:

  • Если используется резервная интернет-точка состояния, прокси-веб-сервер должен принимать HTTP-трафик.

Требования для DNS

• Для интернет-системы сайта должно быть настроено полное доменное имя (FQDN) в Configuration Manager 2007, которое также регистрируется на общедоступных DNS-серверах Интернета с IP-адресом прокси-веб-сервера.

• интернет-системы сайта должны быть опубликованы на прокси-веб-сервере с полным доменным именем Интернета, которое настроено для использования в Configuration Manager 2007.

Проверка на уровне приложений

Если прокси-веб-сервер выполняет проверку на уровне приложений, он должен разрешать следующий обмен данными между клиентами Configuration Manager и интернет-системами сайта:

• HTPP версии 1.1.

• Тип содержимого HTTP многоэлементного вложения MIME

• Требуемые команды и заголовки HTTP

Для получения дополнительных сведений см. описание внешних зависимостей, перечисленных в Необходимые условия для интернет-управления клиентами

См. также

Основные понятия

Требования к сертификатам для работы в основном режиме
Определение портов, необходимых для управления интернет-клиентами
Общие сведения об интернет-управлении клиентами

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.