在 Configuration Manager 中实施基于 Internet 的客户端管理的示例方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
以下部分提供如何能够实现 Configuration Manager 2007 中基于 Internet 的客户端管理 来满足以下业务需求的示例方案:
继续管理定期移出 Intranet 和移入 Internet 的便携式计算机
管理从不连接到 Intranet 的家庭计算机
在 Intranet 中的同一站点系统服务器上支持基于 Internet 的客户端和 Intranet 客户端
继续管理定期移出 Intranet 和移入 Internet 的便携式计算机
本方案说明当使用基于 Internet 的客户端管理将客户端从 Intranet 移到 Internet 时,您如何扩展现有 Configuration Manager 站点以对客户端提供支持。所选的网络设计采用了将基于 Internet 的站点系统添加到外围网络,并在外围网络中使用 SQL Server 复制以加强安全的支持方案:基于 Internet 的服务器的网络图示 - 方案 1,带 SQL Server 副本.
A. Datum Corporation 拥有大量销售人员,这些销售人员通常外出拜访客户,只是定期返回办公室。由于销售人员不得不抽出返回办公室的时间,或者用来尝试进行连接的内部 VPN 解决方案速度慢且不可靠,因此对这些销售人员的便携式计算机进行管理,以便安装所有所需的软件更新和最新应用程序非常困难。此外,审核部门需要最新的每周清单报表,以记录应用程序的使用情况,但是便携式计算机无法符合此要求,因为其无法每周按时返回其清单数据。
为了在便携式计算机退出 Intranet 时对其实现连续管理,A. Datum Corporation 确定了下表中描述的行动过程。
| 过程 | 参考 |
|---|---|
Tommy Hartono 是 Configuration Manager 管理员,负责管理 Configuration Manager 2007 站点。他非常了解基于 Internet 的客户端管理,以及当客户端从 Intranet 移至 Internet 时如何对客户端进行连续管理。 |
|
在对实现基于 Internet 的客户端管理或更新现有 VPN 解决方案的优点和缺点进行评估后,他决定基于 Internet 的客户端管理是更好的解决方案,因为该方案不依靠用户进行连接。 |
|
Tommy 与经理就此建议进行了讨论,经理让他深入调查基于 Internet 的客户端管理的依赖关系,以确保可以符合这些关系,并让 Tommy 调动公司内部需要支持此实施的必要人员。 Tommy 查明了实施的依赖关系,并确定了要联系的需要参与此实施的人员。 |
|
Tommy 意识到基于 Internet 的客户端管理需要纯模式,而站点当前被配置为混合模式。 由于公司已经为 Intranet 和 Internet 上的计算机部署了 PKI 解决方案,因此他立即先与团队进行了谈话以确认是否符合此要求,如果符合,随后即可启动部署所需证书的过程。 |
|
然后,Tommy 与公司的网络基础结构团队一起召开了设计会议,以确定 Internet 连接如何适应现有的网络基础结构。 他们就支持的方案,需要支持基于 Internet 的客户端的站点数量,以及服务器的放置位置进行了讨论。 |
|
他们决定对一个站点进行扩展,以便该站点在外围网络中具有以下附加站点系统:
|
|
他们与公司安全团队就设计进行了讨论,而安全团队批准该设计的前提是从外围网络启动的 SQL 连接不穿过安全边界进入 Intranet。 Tommy 的团队对设计进行了修改,以便在外围网络中使用 SQL Server 复制,并且将此要求告知了数据库管理员。 |
|
在网络设计经过批准后,Tommy 加入了负责外围网络中防火墙和网络设备的网络团队。 他们确定了将要使用的网络端口,以便根据需要进行更改。 备注 此解决方案要求仔细设计 PKI 证书吊销,以便 Configuration Manager 客户端始终可以找到在站点系统纯模式证书中列出的 CRL,以及纯模式站点系统服务器可以找到在纯模式客户端证书中列出的 CRL。CRL 的 PKI 设计可能要求其他基础结构配置。例如,Internet 上的 Configuration Manager 客户端将建立 http 连接以访问 CRL,这可能要求对防火墙、代理服务器和 DNS 进行配置。 |
请参阅下列主题中列出的 Configuration Manager CRL 依赖关系:纯模式的先决条件. |
由于公司的 Internet DNS 服务器由外部公司管理,因此 Tommy 提交了更改请求 (RFC),以发布 DNS 中基于 Internet 的站点系统的 Internet FQDN。同时,他还提供了所需的信息。 |
|
现在随着 PKI 证书的部署,Tommy 将站点迁移到纯模式,并且监视了一段时间,以确保不存在任何问题。 |
|
安装附加服务器,并使用适用于外围网络中的计算机的安全策略进行增强。 Tommy 确认已根据需要配置网络基础结构。 |
公司特定的内部过程 |
Tommy 使用以下配置在服务器上安装了基于 Internet 的站点系统角色:
|
|
为了同步软件更新,Tommy 配置了基于 Internet 的软件更新点。 |
|
数据库管理员在外围网络中安装和配置 SQL Server 复制。 |
|
Tommy 将基于 Internet 的站点系统配置为仅接受来自 Internet 客户端的连接。 |
|
Tommy 对基于 Internet 的分发点进行配置,以便这些点可以通过 Internet 传输内容。 |
|
Tommy 使用几台计算机运行测试试验,并通过控制面板使用 Configuration Manager 中的“Internet”选项卡指定客户端上基于 Internet 的管理点 FQDN。 |
|
在初步测试成功后,Tommy 通过向使用以下安装参数重新安装的几台计算机发送脚本来扩展试验:
|
|
就将要实现的更改通知便携式计算机用户,更新咨询台,并针对客户端连接 Internet 来安装应用程序或软件更新时如何解决出现问题的客户端向咨询台提供相关信息。 |
公司特定的内部过程 |
对试验测试结果满意后,Tommy 向便携式计算机发送同一安装脚本。 他使用由回退状态点生成的报表来监视将脚本成功发送到每个客户端的时间,并跟踪客户端部署。他还使用客户端硬件清单数据识别客户端配置详细信息。 |
|
6 周后,Tommy 注意到 95% 的便携式计算机已收到脚本,并且这些计算机上的清单数据可以与 Intranet 上的计算机一样定期发送。 此外,便携式计算机报告的软件更新符合性级别与 Intranet 上计算机报告的软件更新符合性级别相同。 |
软件 - 公司和产品报表的报表类别:
|
Tommy 请求咨询台和用户提供反馈,以查看改善或更改的过程。 |
公司特定的内部过程 |
Tommy 可以根据要求及时提供清单报表。 |
公司特定的内部过程 |
在针对 Internet 和 Intranet 客户端管理配置用户计算机后,基于 Internet 的客户端管理的部署可能以下列方式影响用户:
便携式计算机从 Intranet 移到 Internet:
无论销售人员何时将便携式计算机连接到 Internet,便携式计算机均可以继续将清单数据和符合性信息发送回其站点。虽然有时需要先花时间下载所需的应用程序和软件更新,但这些程序和更新均为自动安装。但是,如果连接中断,下载将在下一次连接 Internet 时恢复。
销售人员只能接收针对其 Windows 用户帐户的软件分发,但这些应用程序为可选且不是必需的。
便携式计算机从 Internet 移到 Intranet:
某销售人员在外出四周后返回办公室。她将便携式计算机连接到 Intranet,然后从中断处继续下载一个大型软件分发包,由于网络连接的速度更快,因此很快便完成下载。
该用户注意到还有两个可选软件分发可用,但决定以后需要时再进行安装。
管理从不连接到 Intranet 的家庭计算机
此方案说明如何使用基于 Internet 的客户端管理来创建新的 Configuration Manager 站点,以支持 Internet 上从不连接到 Intranet 的客户端。所选网络设计采用的支持方案将子站点完全置于外围网络中:基于 Internet 的服务器的网络图示 - 方案 2,具有子站点.
Coho Winery 拥有大量在家工作的合同用户,这些用户使用自己的计算机,并通过电子邮件进行通信。他们在 Intranet 上没有 Windows 用户帐户,因此不需要登录到 Intranet。但是,他们有时需要软件应用程序来完成自己的工作,并且为了保持计算机安全,他们想要自动安装经过测试的软件更新。
为了向在家工作的人员提供此级别的管理,Coho Winery 决定在这些具有仅限 Internet 配置的计算机上安装 Configuration Manager 客户端。这就实现了对家庭计算机的管理,提高了在家工作人员的效率和生产力。Jenni Merriam 是 Configuration Manager 管理员,由她完成下表中描述的行动过程。
| 过程 | 参考 |
|---|---|
Jenni 非常了解基于 Internet 的客户端管理,以及如何将客户端配置为仅限 Internet 且能够接收软件分发和软件更新。 |
|
Jenni 与经理就此建议进行了讨论,经理让她深入调查基于 Internet 的客户端管理的依赖关系,以确保可以符合这些关系,并让她调动公司内部需要支持此实施的必要人员。 Jenni 查明了实施的依赖关系,并确定了需要参与此实施的人员。 |
|
Jenni 意识到基于 Internet 的客户端管理需要纯模式,而层次结构当前被配置为混合模式。 由于公司没有部署 PKI 解决方案,因此她首先需要调查是否需要部署该解决方案。 在与管理层进行讨论后,他们希望聘用 PKI 顾问来实现适用于 Configuration Manager,并且可以扩展以支持其他未来业务需求的 PKI 解决方案。 PKI 顾问加盟了公司,并且他们在 Configuration Manager 层次结构的中央站点上采用了迁移到纯模式的设计,从而为将要支持仅限 Internet 客户端的纯模式创建新的子站点。 Jenni 将纯模式的证书要求列表交给了 PKI 顾问,必须在中央站点和新的子站点中安装这些证书。 |
|
然后,Jenni 与公司的网络基础结构团队一起召开了设计会议,以确定 Internet 连接如何适应现有的网络基础结构。 他们就支持的方案,需要支持基于 Internet 的客户端的站点数量,以及服务器的放置位置进行了讨论。 |
|
他们决定在外围网络中创建一个新站点。 |
|
他们与公司安全团队就设计进行了讨论,而安全团队批准该设计的前提是穿过外围网络安全边界的 SMB 流量使用 IPsec 提高了安全性。 PKI 顾问在其设计中结合了此要求。 |
|
在网络设计经过批准后,Jenni 加入了负责外围网络中防火墙和网络设备的网络团队。 他们确定了将要使用的端口,以便根据需要进行更改。 |
|
由于公司的 Internet DNS 服务器在外围网络内部进行管理,因此 Jenni 提交了更改请求 (RFC),以发布 DNS 中基于 Internet 的站点系统的 Internet FQDN。同时,她还提供了所需的信息。 |
|
现在随着 PKI 证书的部署,Jenni 将中央站点迁移到纯模式,并且监视了一段时间,以确保不存在任何问题。 |
|
安装附加服务器,并使用适用于外围网络中的计算机的安全策略进行增强。 Jenni 确认已根据需要配置网络基础结构。 |
公司特定的内部过程 |
Jenni 在外围网络中安装了新的子站点,并且在使用站点系统的 Internet FQDN(已在 Internet DNS 服务器中注册)的服务器上配置了基于 Internet 的站点系统角色。 |
|
为了同步软件更新,Jenni 配置了基于 Internet 的软件更新点。 |
|
Jenni 将基于 Internet 的站点系统配置为仅接受来自 Internet 客户端的连接。 |
|
Jenni 对基于 Internet 的分发点进行配置,以便这些点可以通过 Internet 传输内容。 |
|
Jenni 使用几台计算机运行测试测试,并在客户端控制面板中的“Configuration Manager”的“Internet”选项卡上指定基于 Internet 的管理点 FQDN。 |
|
在操作测试证明成功后,Jenni 创建并测试了一个带有所有源文件的安全包。此安装包使用以下安装参数安装 Configuration Manager 客户端:
|
|
PKI 团队在外围网络中构造了 Web 门户,家庭用户可以连接到该门户并请求其所需的证书。 |
公司特定的内部过程 |
就新的服务通知在家工作人员,并且告诉他们安装过程分两步:
|
公司特定的内部过程 |
更新咨询台,并且针对在请求证书或安装客户端时如何解决出现问题的客户端向咨询台提供相关信息。 |
公司特定的内部过程 |
在与几个在家工作人员进行试验测试后,Jenni 对测试结果感到满意,然后她将安装 CD 邮寄给其他在家工作人员。 |
公司特定的内部过程 |
6 周后,Jenni 注意到所有在家工作人员的计算机均成功分配到站点,并且成功接收了软件分发和软件更新。 |
|
Jenni 请求咨询台和用户提供反馈,以查看改善或变更的过程。 |
公司特定的内部过程 |
在针对仅限 Internet 的管理配置在家工作人员的计算机后,基于 Internet 的客户端管理的部署可能以下列方式影响在家工作人员:
自动安装软件更新。
某些在家工作人员牢记要运行 Windows Update,但大多数却忘记或混淆要安装的更新。自动安装关键软件更新可以让他们的计算机更安全。
获取软件应用程序。
为了完成某个项目,通常需要特定应用程序。现在,这些应用程序显示为在家工作人员可在需要时选择的可用应用程序,而不再是尝试作为电子邮件附件安装或等待邮件寄送的应用程序。
在 Intranet 中的同一站点系统服务器上支持基于 Internet 的客户端和 Intranet 客户端
此方案说明如何将基于 Internet 的客户端管理添加到 Intranet 中的现有 Configuration Manager 站点,而不必在外围网络中添加新的站点系统服务器。因为此配置将外围网络的安全边界桥接到 Intranet,所以它不是最佳安全方案。然而,如此方案中所示,它的确提供了一种有效的方法来快速测试基于 Internet 的客户端管理功能,而不必安装和配置其他服务器。它还禁止对客户端执行证书吊销检查,以保存生产网络上发布可从 Internet 访问的证书吊销列表时需要的其他配置。
网络设计涉及 Intranet 上包含的 Configuration Manager 2007 站点的支持方案,配置为基于 Internet 的客户端管理的站点系统可以接受 Internet 连接和 Intranet 连接。(基于 Internet 的服务器网络图示 - 方案 4,具有到 Intranet 的 Internet 连接.)
Trey Research 的管理员有兴趣实施基于 Internet 的客户端管理,以便对现有 Configuration Manager 层次结构的计算机管理策略进行补充。当员工外出很长时间参加世界各地的会议时,管理员无法给便携式计算机安装最新的重要安全软件更新和应用程序更新。然而 Trey Research 当前未实施基于 Internet 的客户端管理所必需的 PKI。在管理层同意向此项目投入资源前,他们要求确认基于 Internet 的客户端管理是否有效以及是否会向他们提供所需的业务优势。
Configuration Manager 管理员 Terry Adams 采取了如下表中所述的措施。
| 过程 | 参考 |
|---|---|
为了方便测试,Terry 使用了 Intranet 中也可以访问 Internet 的隔离部分上的一个非生产 Active Directory 林。 公司的 Internet 命名空间是 treyresearch.net,而测试网络上的内部 Active Directory 命名空间是 testnet.treyresearch.net。 |
内部过程。 |
为了在测试设备有限的情况下进行快速部署,Terry 决定仅将一台服务器用于将宿主下列站点系统角色的所有 Configuration Manager 站点系统:
Terry 决定不为此概念证明部署回退状态点,因为虽然它对识别客户端通信问题很有用,但在测试基本站点操作时不需要它。 在通读基于 Internet 的站点系统的服务器布局选项之后,Terry 认为单站点系统可以支持 Intranet 客户端和基于 Internet 的客户端。虽然这不是最佳安全方案,但 Terry 的优势是他只需安装并配置较少的服务器。此策略允许 Terry 更快地测试基于 Internet 的客户端管理功能。如果必须安装并配置多台服务器,则测试速度会减慢。由于测试网络与生产网络相隔离,因此缓解了在单服务器上宿主多个站点系统角色以及将 Internet 流量接收到 Intranet 的安全风险。 |
|
Terry 安装了一台运行 Windows Server 2003 Service Pack 1 的新服务器(他将其命名为 IBCMServer)并将其加入域。此服务器将成为他的单站点系统服务器。在该服务器上,他还将安装 IIS 和 Configuration Manager 2007 的所有其他必备软件。 随后,他通过创建系统管理容器并为 IBCMServer 计算机配置对该容器的权限来扩展 Configuration Manager 2007 的 Active Directory 架构并启用发布。 Terry 然后安装了一台运行 Windows Vista 的便携式计算机并将其加入域。 |
|
接着,Terry 与对公司的 Internet 连接要求进行管理的网络团队讨论了他的概念证明设计。熟悉了基于 Internet 的客户端管理的外部依赖关系后,Terry 认为他在下列方面需要他们的帮助:
|
|
网络团队要求安全团队认可,然后才能对现有 Internet 基础结构做出更改。 安全团队评审了该计划,并提出了有关 Intranet 中的服务器暴露于 Internet 流量的若干问题。 Terry 解释到,此设计仅用于在隔离网络中进行概念证明,并向他们说明了其他用于生产网络的支持设计。在这些设计中,站点服务器从不暴露于 Internet 流量,并且虽然基于 Internet 的站点系统可以支持 Internet 连接和 Intranet 连接,但还有其他可提供更强安全的设计。 安全团队同意此概念证明设计,条件是在项目得到批准后,Terry 与他们合作更长的一段时间以评审最终设计。 |
|
Terry 确认他的成员服务器在 testnet.treyresearch.net 的内部 Active Directory DNS 区域中自动注册了计算机名称 IBCMServer。 网络团队将 IBCMServer 的 DNS A 记录手动添加到 treyresearch.net 的公共 DNS 区域中。因为 ISA Server 将发布这个基于 Internet 的站点系统,此记录被配置为使用公共 IP 地址,该地址属于 ISA Server 上的某个外部适配器且当前未在使用。此外部 IP 地址必须供基于 Internet 的客户端管理连接专用。 备注 如果 Terry 对他的所有基于 Internet 的站点系统角色使用了多个服务器,则通过 Internet 接受连接的每个内部站点系统将要求使用它自己的专用外部 IP 地址,即使所有连接均通过同一 ISA Server 计算机亦如此。 |
|
Terry 将注意力转向 PKI 要求并检查他的测试网络需要哪些证书。他参考了对证书要求及指导如何安装证书进行介绍的文档主题。 因为测试环境的作用域有限,所以 Terry 只需测试下列证书:
|
|
Terry 认识到部署所需证书的最简单方法是借助一个使用 Windows Server 2003 Enterprise Edition 的 Microsoft 企业根证书颁发机构。此解决方案提供了下列优势:
Terry 确认测试网络中的单 Active Directory 域控制器正在运行 Windows Server 2003 Enterprise Edition 且安装了 Internet Information Services (IIS)。 Terry 随后在他的域控制器上安装 Microsoft 证书服务(具有证书服务 CA 和证书服务 Web 注册支持的子组件)并配置企业根证书颁发机构。 阅读有关将 Web 服务器证书部署到站点系统服务器的主题后,他认识到需要启用对使用者备用名称 (SAN) 证书属性的支持,以便能够同时指定 Intranet FQDN 和 Internet FQDN。他按照该文章中提及的过程执行操作,以便对他的根证书颁发机构 (CA) 启用 SAN 支持,在他的测试环境中,该机构也将颁发证书。 |
有关如何使用 Microsoft 证书颁发机构添加使用者备用名称支持的信息:https://go.microsoft.com/fwlink/?LinkId=93692(页面可能为英文) |
Terry 对 PKI 不甚了解,因此他参考了 Configuration Manager 库中的分步示例部署指南。 他完全按照用于站点服务器签名证书和用于部署客户端证书的过程执行操作。然而,因为用于为这个基于 Internet 的站点系统指定此 Web 服务器证书的过程需要使用者备用名称中的 Intranet FQDN 和 Internet FQDN,因此他必须修改此过程:
|
Configuration Manager 纯模式所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构 有关如何使用 Microsoft 证书颁发机构添加使用者备用名称支持的信息:https://go.microsoft.com/fwlink/?LinkId=93692(页面可能为英文) |
检查纯模式的先决条件后,Terry 认识到因为他的证书颁发机构在 Intranet 上,所以 Internet 上的客户端在默认情况下将无法访问证书吊销列表 (CRL)。默认情况下使用他的证书颁发机构发布 Intranet CRL。 Terry 阅读了关于 CRL 检查的规划主题,认识到如果 Internet 上的客户端尝试查找 CRL 失败,则与基于 Internet 的站点系统角色的连接将失败。 不是像生产网络所要求的那样将 CRL 发布到 Internet,Terry 决定在测试环境中的客户端上禁用 CRL 检查以便将附加配置要求降到最低程度。 |
|
Terry 随后在成员服务器上使用下列选择运行 Configuration Manager 2007 安装程序:
安装完成时,Terry 执行了下列安装后任务:
|
|
Terry 现在在便携式计算机上安装 Configuration Manager 客户端,配置软件更新,然后在 Intranet 上确认标准 Configuration Manager 操作。 |
|
在纯模式下确认了 Intranet 操作后,Terry 配置了站点系统角色以允许 Intranet 和 Internet 客户端连接。 他还确认分发点已配置为使用 BITS 和 HTTP 来传输内容。 |
|
在便携式计算机的控制面板中 Configuration Manager 的“Internet”选项卡上,Terry 将 IBCM.treyresearch.com 指定为基于 Internet 的客户端管理点。 |
|
网络团队做出最终的必需配置以允许 Internet 流量进入外围网络和 Intranet:
|
|
Terry 从测试网络上断开测试便携式计算机,然后使用 Configuration Manager 中的软件更新功能创建新的可选软件更新部署。 Terry 随后将测试便携式计算机带回家,连接到 Internet,手动启动客户端策略,接收可选软件更新的通知,然后成功安装它。 |
首次测试成功后,Terry 使用自动软件更新和软件分发执行进一步测试,然后他确认当便携式计算机在 Internet 上,仍报告硬件清单和所需的配置管理符合性信息。他还确认将便携式计算机从 Internet 移到 Intranet 时可以继续无缝下载内容,反之亦然。
Terry 记录了他的发现,并且在两周后将发现提交给管理团队。这一成功结论使管理团队确信基于 Internet 的客户端管理可以提供无缝的用户体验,即使便携式计算机远离公司网络,也可以提供一种有效方法来管理便携式计算机。这转而帮助确保便携式计算机的安全,因此投资于 PKI 解决方案符合成本核准标准。
公司没有内部资源或经验来实施内部 PKI,因此概念证明提供了外包此项目的成本核准,以便不久可以实施基于 Internet 的客户端管理。
另请参阅
概念
管理员清单:为基于 Internet 的客户端管理配置站点
管理员清单:为支持基于 Internet 的客户端管理的站点配置客户端计算机
管理员工作流:为基于 Internet 的客户端管理配置站点
基于 Internet 的客户端管理概述
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。