在 Configuration Manager 中规划基于 Internet 的客户端管理
适用于: Configuration Manager(current branch)
使用基于 Internet 的客户端管理 (IBCM) 在客户端未连接到内部网络时管理Configuration Manager客户端。 使用 IBCM 的优点:
- 完全控制提供服务的服务器和角色
- 无云服务依赖项
- 可能不需要虚拟专用网络 (VPN)
- 所有成本都与本地服务相关
由于管理公用网络上的客户端计算机的安全要求较高,IBCM 需要使用 PKI 证书。 此配置可确保连接由独立颁发机构进行身份验证。 当 IBCM 客户端和站点服务器发送数据时,数据已加密且安全。
客户端通信
主站点上的以下站点系统角色支持来自不受信任位置的客户端的连接:
注意
虽然 IBCM 主要侧重于基于 Internet 的方案,但同样的行为适用于不受信任的 Active Directory 林中的客户端。 辅助站点不支持来自不受信任位置的客户端连接。
Configuration Manager策略模块的证书注册点 (NDES)
警告
从版本 2203 开始,不再支持证书注册点。 有关详细信息,请参阅 有关弃用资源访问的常见问题。
分发点
已启用内容的云管理网关 (CMG)
注册代理点
回退状态点
管理点
软件更新点
关于面向 Internet 的站点系统
不需要在客户端林和站点系统服务器的林之间建立信任。 但是,当包含面向 Internet 的站点系统的林信任包含用户帐户的林时,启用客户端 策略客户端设置 “ 启用来自 Internet 客户端的用户策略请求”时,此配置支持 Internet 上设备的基于用户的策略。
例如,以下配置说明了 IBCM 何时支持 Internet 上的设备的用户策略:
基于 Internet 的管理点位于外围网络中。 该网络还具有用于对用户进行身份验证的只读域控制器。 外围网络和内部网络之间的防火墙允许 Active Directory 数据包。
用户帐户位于基于 Intranet 的林中。 基于 Internet 的管理点位于基于外围的林中。 外围林信任内部林。 外围网络和内部网络之间的防火墙允许身份验证数据包。
用户帐户和基于 Internet 的管理点都位于基于 Intranet 的林中。 使用 Web 代理服务器将管理点发布到 Internet。
使用 Web 代理服务器
使用 Web 代理服务器将基于 Internet 的站点系统发布到 Internet 时,可以在 Intranet 中放置这些系统。 为仅来自 Internet 的客户端连接或来自 Internet 和 Intranet 的客户端连接配置这些站点系统。 使用 Web 代理服务器时,可以将其配置为安全套接字层 (SSL) 桥接到 SSL 或 SSL 隧道。
SSL 桥接到 SSL
建议使用 SSL 桥接到 SSL 且更安全的配置,因为它使用 SSL 终止和身份验证。 它使用计算机身份验证对客户端计算机进行身份验证。 使用 Configuration Manager 注册的移动设备不支持 SSL 桥接。
使用代理处的 SSL 终止,它会在将数据包转发到内部网络之前检查来自 Internet 的数据包。 代理对来自客户端的连接进行身份验证,终止连接,然后打开与基于 Internet 的站点系统的新经过身份验证的连接。 Configuration Manager客户端使用代理时,客户端在数据包有效负载中安全地包含其标识 (GUID) 。 管理点不会将代理视为客户端。 Configuration Manager不支持使用 HTTP 到 HTTPS 或从 HTTPS 到 HTTP 的桥接。
注意
Configuration Manager不支持设置第三方 SSL 桥接配置。 例如,Citrix Netscaler 或 F5 BIG-IP。 请与设备供应商合作,将其配置为与Configuration Manager一起使用。
隧道
如果代理 Web 服务器无法支持 SSL 桥接的要求,Configuration Manager也支持 SSL 隧道。 还可以使用 SSL 隧道来支持向 Configuration Manager 注册的移动设备。 这是一个不太安全的选项,因为代理在没有 SSL 终止的情况下将 SSL 数据包从 Internet 转发到站点系统。 代理不会检查数据包中的恶意内容。 使用 SSL 隧道时,代理 Web 服务器没有证书要求。
规划基于 Internet 的客户端
决定是在 Intranet 和 Internet 上配置基于 Internet 的客户端进行管理,还是配置仅限 Internet 的客户端管理。 只能在客户端安装期间配置此管理选项。 若要稍后进行更改,请重新安装客户端。
注意
如果将管理点配置为支持基于 Internet 的客户端,则连接到此管理点的客户端在下次刷新其可用管理点列表时将变为支持 Internet 的客户端。
无需将仅限 Internet 的客户端管理配置限制为 Internet。 还可以在 Intranet 上使用它。
为仅限 Internet 管理配置的客户端仅与为来自 Internet 的客户端连接配置的站点系统通信。 在以下方案中使用此配置:
- 对于你知道永远不会连接到 Intranet 的计算机。 例如,远程位置的销售点计算机。
- 将客户端通信限制为仅 HTTPS。 例如,支持防火墙和受限安全策略。
- 在外围网络中安装基于 Internet 的站点系统,并且想要将这些服务器作为Configuration Manager客户端进行管理时。
注意
如果要在 Internet 上管理工作组客户端,请将其安装为仅限 Internet。
将移动设备配置为使用基于 Internet 的管理点时,它会自动配置为仅限 Internet。
可以为 Internet 和 Intranet 客户端管理配置其他客户端。 当他们检测到网络更改时,它们会自动在 IBCM 和 Intranet 客户端管理之间切换。 如果这些客户端可以找到并连接到支持 Intranet 上的客户端连接的管理点,则这些客户端将作为 Intranet 客户端进行管理。 Intranet 客户端具有完整的Configuration Manager功能。 如果客户端找不到或无法连接到支持 Intranet 上的客户端连接的管理点,它们会尝试连接到基于 Internet 的管理点。 如果此操作成功,则这些客户端将由其分配的站点中基于 Internet 的站点系统管理。
自动切换的好处是客户端在连接到 Intranet 时可以使用所有功能,并在客户端在 Internet 上时接收基本管理。 从 Internet 开始的内容下载可以在 Intranet 上无缝恢复,而相反。
先决条件
Configuration Manager 中的 IBCM 具有以下依赖项:
客户端需要 Internet 连接。 Configuration Manager使用设备的现有 Internet 连接。 移动设备必须具有直接 Internet 连接。 完整的客户端计算机可以具有直接 Internet 连接,也可以使用代理 Web 服务器进行连接。
支持 IBCM 的站点系统需要 Internet 连接,并且必须位于 Active Directory 域中。 基于 Internet 的站点系统不需要与站点服务器的 Active Directory 林建立信任关系。 但是,当基于 Internet 的管理点可以使用Windows 身份验证对用户进行身份验证时,它支持用户策略。 如果Windows 身份验证失败,则它仅支持设备策略。
注意
若要支持用户策略,请在“ 客户端策略 ”组中启用以下客户端设置:
- 在客户端上启用用户策略轮询
- 启用来自 Internet 客户端的用户策略请求
公钥基础结构 (PKI) 部署和管理基于 Internet 的客户端和站点系统服务器所需的证书。 有关详细信息,请参阅 PKI 证书要求。
(支持 IBCM 的站点系统的 FQDN) 注册 Internet 完全限定域名的公共 DNS 主机条目。
启用“ 使用 PKI 客户端证书 (客户端身份验证功能”选项,) 站点属性的“ 通信安全 ”选项卡上可用。 此选项是必需的。
客户端通信要求
干预防火墙或代理服务器必须允许基于 Internet 的站点系统的客户端通信:
支持 HTTP 1.1
允许多部分 MIME 附件的 HTTP 内容类型 (多部分/混合和 application/octet-stream)
动词
允许对基于 Internet 的站点系统服务器角色使用以下谓词:
Role | 动词 |
---|---|
管理点 | -头 - CCM_POST - BITS_POST -获取 - PROPFIND |
分发点 | -头 -获取 - PROPFIND |
回退状态点 | POST |
HTTP 标头
为基于 Internet 的站点系统服务器角色允许以下 HTTP 标头:
Role | HTTP 标头 |
---|---|
管理点 | -范围: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: - CCMClientTimestampsSignature: |
分发点 | 范围: |
有关使用软件更新点进行来自 Internet 的客户端连接的类似通信要求,请参阅Windows Server Update Services (WSUS) 的文档。
不支持的功能
并非所有客户端管理功能都适用于 Internet。 Configuration Manager不支持 Internet 上的客户端的某些功能。 这些不支持的功能通常依赖于Active Directory 域服务或不适合公用网络。
使用 IBCM 在 Internet 上管理客户端时,不支持以下功能:
通过 Internet 进行客户端部署,例如客户端推送和基于软件更新的客户端部署。 使用手动客户端安装。
自动站点分配
LAN 唤醒
OS 部署。 但是,可以部署不部署 OS 的任务序列。
远程控制
向用户部署软件。 此功能依赖于不再受支持的应用程序目录。
客户端漫游。 通过漫游,客户端始终能够找到下载内容的最靠近的分发点。 无论带宽或物理位置如何,客户端都不确定地选择基于 Internet 的站点系统之一。
将软件更新点配置为接受来自 Internet 的连接时,基于 Internet 的客户端始终扫描此软件更新点以确定需要哪些软件更新。 当这些客户端位于 Internet 上时,它们首先尝试从 Microsoft Update 下载软件更新,而不是从基于 Internet 的分发点下载软件更新。 如果此行为失败,则尝试从基于 Internet 的分发点下载所需的软件更新。
提示
Configuration Manager客户端自动确定它是在 Intranet 上还是在 Internet 上。 如果客户端可以联系域控制器或本地管理点,则会将其连接类型设置为“当前 Intranet”。 否则,它将切换到“当前 Internet”,并与分配给其站点的站点系统通信。