通过

使用纯模式的优势

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

纯模式是新 Configuration Manager 2007 站点的建议站点配置,因为它通过集成公钥基础结构 (PKI) 来提供更高级的安全性,从而帮助保护客户端到服务器的通信。基于 Internet 的客户端管理也需要纯模式。

在纯模式下,客户端通过 HTTPS 与下列站点系统通信:

  • 管理点:

    • 默认管理点

    • 网络负载平衡管理点

    • 代理管理点

    • 基于 Internet 的管理点

  • 标准分发点(非分支分发点)

  • 软件更新点

  • 状态迁移点

备注

在 Intranet 上有时纯模式客户端可通过服务器消息块 (SMB) 与标准分发点通信。这些情况包括播发配置了选项“从分发点运行程序”、HTTPS 失败或分发点没有配置选项“允许客户端使用 BITS、HTTP 和 HTTPS(设备客户端和基于 Internet 的客户端要求使用)从此分发点传输内容”。

在纯模式下,客户端继续通过 HTTP 与回退状态点通信,因此与证书有关的任何通信问题均可报告回站点,以便管理员可以识别和解决客户端通信问题。此外,如果纯模式客户端配置了选项“为漫游和站点分配配置 HTTP 通信”,客户端可通过 HTTP 与下列站点系统通信:

  • 服务器定位器点

  • 混合模式站点中的常驻管理点和分发点

重要

纯模式不影响站点服务器间或 Configuration Manager 2007 层次结构中的站点间的通信。要帮助保护此通信,请使用 IPsec。有关详细信息,请参阅在 Configuration Manager 2007 中实施 IPsec

在纯模式下,客户端策略由站点服务器签署,这会向 Configuration Manager 2007 层次结构提供额外的一层防御,以缓解泄露的管理点发送已遭篡改的策略的安全风险。当您使用基于 Internet 的客户端管理时这种保护措施尤其有关系,因为此环境需要暴露在 Internet 通信中的管理点。

如果您不支持可提供 Configuration Manager 2007 所需证书的公钥基础结构 (PKI),混合模式可提供自签名证书,因此提供较低级别的安全性以支持 SMS 2003 客户端。

不能将 SMS 2003 站点直接升级到纯模式,但是可以在升级完成之后迁移到纯模式。

在将主站点迁移到纯模式时,此过程会自动迁移连接到主站点的任何辅助站点。它不会自动迁移子主站点。

混合模式和纯模式的比较

下表比较了两种站点模式及其提供的安全功能。

Configuration Manager 操作 混合模式 纯模式

使用证书

Configuration Manager 生成并管理的自签名证书仅在 Configuration Manager 内部使用。

独立于 Configuration Manager 创建和管理的行业标准 PKI 证书可与其他业务解决方案集成。

客户端和站点系统之间的相互身份验证

客户端和管理点之间以及客户端和状态迁移点之间的专有身份验证。其他站点系统不向客户端进行相互身份验证。

客户端和下列站点系统之间的 SSL 相互身份验证:

  • 管理点

  • 分发点(如果不是服务器共享或分支分发点)

  • 状态迁移点

向软件更新点进行的 SSL 服务器身份验证。

站点系统到站点系统的身份验证和流量加密

无 - 建议采用 IPsec 以帮助保护此通信。

请参阅在 Configuration Manager 2007 中实施 IPsec

无 - 建议采用 IPsec 以帮助保护此通信。

请参阅在 Configuration Manager 2007 中实施 IPsec

WINS 可用于名称解析和服务定位。

尽管 WINS 可用于名称解析和查找服务器定位器点,但是在纯模式下不能使用 WINS 查找默认管理点。

默认管理点位于 Active Directory、DNS 或服务器定位器点中。但是,网络负载平衡管理点只能位于 Active Directory 或服务器定位器点中。

有关纯模式下服务位置的详细信息,请参阅 Configuration Manager 和服务定位(站点信息和管理点)

策略已被签署

是 - 由默认管理点执行

是 - 由站点服务器和默认管理点执行。

策略通过 SSL 加密

内容已被签署

是,如果播发使用选项“从分发点下载内容并本地运行”。

否,如果播发使用选项“从分发点运行程序”。

是,如果播发使用选项“从分发点下载内容并本地运行”

否,如果播发使用选项“从分发点运行程序”(当客户端在 Internet 上被管理时不支持此选项)

内容已被加密

是,如果播发使用选项“从分发点下载内容并本地运行”则使用 SSL。但是,如果 HTTPS 在 Intranet 中失败,内容将通过未加密的 SMB 发送。

否,如果播发使用选项“从分发点运行程序”,因为将使用 SMB(当客户端在 Internet 上被管理时不支持此选项)。

清单数据和状况消息已被签署

是,如果客户端至少运行 SMS 2003 SP 1 则使用 SHA1。

是。一个例外是发送到回退状态点的状况消息将不被签署。

清单数据和状况消息已被加密

可选,使用 3DES

是,使用 SSL。一个例外是发送到回退状态点的状况消息将不被加密。

来自客户端的状态消息已被签署

是。

来自客户端的状态消息已被加密

是,使用 SSL。

来自客户端的计数数据已被签署

来自客户端的计数数据已被加密

是,使用 SSL

在站点中完全管理客户端批准

需要配置下列选项之一:

  • 手动批准每个客户端

  • 自动批准来自受信任域的客户端

  • 自动批准所有客户端
  • 自动,因为客户端已通过 PKI 进行了身份验证

如果使用操作系统部署功能,状态迁移数据将被签署和加密

是,使用 SSL

另请参阅

概念

纯模式的先决条件
基于 Internet 的客户端管理概述
纯模式的证书要求
决定是否需要为漫游和站点分配配置 HTTP 通信(纯模式)
在混合模式和纯模式下的客户端通信
Configuration Manager 和服务定位(站点信息和管理点)
在 Configuration Manager 2007 中实施 IPsec

其他资源

如何配置纯模式

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。