确定将代理 Web 服务器与基于 Internet 的客户端管理配合使用的要求

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

如果将代理 Web 服务器与 Configuration Manager 2007 中基于 Internet 的客户端管理配合使用，下列各节列出了这些服务器的要求。

如果使用 Microsoft Internet Security and Acceleration (ISA) Server 作为代理 Web 服务器，请参阅下列信息：

• 如何为 System Center Configuration Manager 基于 Internet 的客户端管理配置 ISA SSL 桥接 (https://go.microsoft.com/fwlink/?LinkId=122350)（页面可能为英文）。

• Microsoft ISA Server 网页上的常规安装和配置信息 (https://go.microsoft.com/fwlink/?LinkId=91897)（页面可能为英文）。

支持安全套接字层 (SSL)

备注

如果代理 Web 服务器不能支持具有身份验证的桥接，建议使用具有身份验证的、使用桥接技术的 SSL 终端（尽管同样支持 SSL 隧道）。有关详细信息，请参阅有关桥接与隧道之间差异信息的 Microsoft Internet 安全和加速服务器文档 (https://go.microsoft.com/fwlink/?LinkId=80311)（页面可能为英文）。

• SSL 桥接到 SSL：

  将代理 Web 服务器与 Configuration Manager 2007 基于 Internet 的客户端管理配合使用时建议的配置是 SSL 桥接到 SSL，并使用带有身份验证的终端。必须使用机器身份验证对客户端计算机进行身份验证，以及使用用户身份验证对客户端移动设备进行身份验证。

  在代理 Web 服务器上采用 SSL 终端的优点在于来自 Internet 的数据包将在转发到内部网络之前接受检查。代理 Web 服务器对来自客户端的连接进行身份验证，终止此连接，然后打开到基于 Internet 的站点系统的新授权连接。当 Configuration Manager 客户端使用代理 Web 服务器时，客户端标识（客户端 GUID）安全地包含在数据包有效负载内，因而管理点不会将代理 Web 服务器当作是客户端。在 Configuration Manager 2007 中不支持 HTTP 到 HTTPS，或者从 HTTPS 到 HTTP 的桥接。

• 隧道：

  如果您的代理 Web 服务器无法支持 SSL 桥接的要求，则也支持 SSL 隧道。此选项的安全性较低，因为来自 Internet 的 SSL 数据包不经过终止就转发至站点系统，因此不会检查是否包含恶意内容。使用 SSL 隧道时，不存在对代理 Web 服务器的证书要求。

SSL 桥接的证书要求

• 如果使用的是桥接，用于服务器身份验证和 SSL 的 Web 服务器证书：

  • 证书必须链接到受客户端计算机信任的根证书颁发机构。

  • 证书必须在“使用者备用名称”字段中包含所有基于 Internet 的站点系统的 Internet 完全限定的域名 (FQDN)。

• 如果使用的是针对客户端计算机的桥接，用于身份验证的客户端计算机证书：

  • 证书必须链接到受站点系统服务器信任的根证书颁发机构。

  • 证书必须在“使用者”字段或“使用者备用名称”字段中具有唯一值。

• 如果使用的是针对客户端移动设备的桥接，用于身份验证的客户端用户证书：

  • 证书必须链接到受站点系统服务器信任的根证书颁发机构。

  • 证书必须在“使用者”字段或“使用者备用名称”字段中具有唯一值。

回退状态点要求

• 支持 HTTP：

  • 如果使用基于 Internet 的回退状态点，则代理 Web 服务器必须接受 HTTP 流量。

DNS 要求

• 必须为 Configuration Manager 2007 中基于 Internet 的站点系统配置 Internet FQDN，Internet FQDN 也会在公共 Internet DNS 服务器上使用代理 Web 服务器的 IP 地址注册。

• 必须使用 Internet FQDN（它们配置为在 Configuration Manager 2007 中使用）在代理 Web 服务器上发布基于 Internet 的站点系统。

应用程序级别检查

如果代理 Web 服务器执行应用程序级别检查，则 Configuration Manager 客户端与基于 Internet 的站点系统之间必须允许下列通信：

• HTPP 版本 1.1

• HTTP 内容类型的多部分 MIME 附件

• 所需的谓词和 HTTP 头

有关详细信息，请参阅基于 Internet 的客户端管理的先决条件中列出的外部依赖关系

另请参阅

概念

纯模式的证书要求
确定基于 Internet 的客户端管理所需的端口
基于 Internet 的客户端管理概述

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。