基于 Internet 的客户端管理概述

项目
12/19/2014

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

基于 Internet 的客户端管理允许您在 Configuration Manager 2007 客户端未连接至公司网络，但具有标准 Internet 连接的情况下管理它们。这种管理方式有一些优点，例如，不必运行虚拟专用网 (VPN)，从而可以降价成本，以及能够更及时地部署软件更新。

由于在公用网络上管理客户端计算机的安全性要求较高，因此基于 Internet 的客户端管理要求站点处于纯模式。这样可以确保与管理点、软件更新点以及分发点的连接通过独立的机构进行身份验证，且在这些站点系统之间传输的数据使用安全套接字层 (SSL) 加密。

Internet 上不支持的功能

并非所有 Configuration Manager 2007 功能都适用于 Internet，因此在 Internet 上管理客户端时，有些功能可能不受支持。不支持 Internet 管理的功能通常依赖于 Active Directory 域服务（该服务不能从 Internet 访问）或不适合用于公用网络（例如网络发现和 LAN 唤醒）。

通过 Internet 管理客户端时，下列功能不受支持：

以用户为目标的软件分发（直接分发或通过 Microsoft Windows 安全组分发）。
分支分发点（分支分发点不支持 Internet 客户端，也不能将 Internet 上的客户端配置为分支分发点）。
在 Internet 上进行客户端部署。
自动站点分配。
网络访问保护 (NAP)。
LAN 唤醒。
操作系统部署。
任务序列。
远程控制。
Configuration Manager 2007 SP1 和更高版本中的带外管理。
与 Configuration Manager 2007 R2 中的客户端状态报告功能配合使用的客户端 Ping 功能。

此外，基于 Internet 的客户端管理不支持漫游，此功能可使客户端始终找到最近的分发点来下载内容。在 Internet 上管理的客户端具有固定的基于 Internet 的管理点并仅当它们在 Internet 上时才与该管理点通信，同时与站点中配置为采用基于 Internet 的客户端管理的站点系统通信。

通过 Internet 连接的客户端将从站点中任何基于 Internet 的分发点下载内容，而不论带宽或物理位置。因此，您不能将受保护的站点系统配置为支持基于 Internet 的客户端管理。

将站点系统配置为采用基于 Internet 的客户端管理

支持 Internet 上的客户端不需要新的站点系统角色。相反，纯模式主站点中的现有站点系统角色均已针对基于 Internet 的客户端管理进行配置，并适当地放在网络上。下列站点系统可以支持通过 Internet 进行客户端管理：

管理点（带以及不带网络负载平衡群集）
分发点
回退状态点
软件更新点（带以及不带网络负载平衡群集）

许多支持的方案确定服务器在 Configuration Manager 2007 主站点中的位置。这些方案的范围涉及整个 Configuration Manager 2007 站点包含在外围网络（也称外围子网或 DMZ）内以及将站点按照外围网络和 Intranet 划分。防火墙和 Web 代理的配置将取决于您选择的服务器布局。如果您使用代理 Web 服务器（如 Microsoft ISA Server 2006），它还必须具有合适的证书并支持 SSL 终端，以便代理 Web 服务器可以验证客户端连接。

将客户端配置为基于 Internet 的管理

可以对客户端计算机和移动客户端设备进行配置，以使用下列管理方法之一：

仅限 Internet 管理
仅限 Intranet 管理

通过 Internet 管理的客户端必须配置为使用其已分配站点的基于 Internet 的管理点。客户端无法与其他站点中基于 Internet 的管理点通信，也无法与其他站点中任何基于 Internet 的站点系统通信。基于 Internet 的管理点的配置可在安装期间使用命令行属性指定，也可以在客户端计算机控制面板中 Configuration Manager 的“Internet”选项卡中指定。

备注

“Internet”选项卡仅当客户端在纯模式下通信时显示。

配置为仅限 Internet 管理的客户端仅与配置为支持基于 Internet 的客户端管理的站点系统通信。这种管理方法适合于确定永远不会连接至公司 Intranet 的计算机和设备，例如，位于远程位置的销售点计算机。

配置为仅限 Intranet 管理的客户端不会被配置为使用 Internet 管理点，而且不需要连接至配置为基于 Internet 的客户端管理的站点系统。

客户端计算机可以拥有移动客户端设备不可用的另一种配置：

Internet 或 Intranet 管理

为了支持此操作模式，客户端必须加入域，并且与站点服务器的 Active Directory 林建立信任关系。例如，它们必须位于其站点服务器林所在的 Active Directory 林中，或者它们必须通过外部信任或林信任进行身份验证。工作组客户端不支持 Internet 或 Intranet 管理，但必须配置为仅 Intranet 管理或仅 Internet 管理。

一旦检测到网络更改，配置为采用 Internet 或 Intranet 管理的客户端计算机可以在基于 Internet 的客户端管理和 Intranet 客户端管理之间自动切换。

检测到这种网络更改时，客户端计算机首先会尝试与 Intranet 上分配的管理点通信。如果成功，客户端计算机的行为将与标准的 Intranet 客户端一样。但是，如果客户端计算机无法连接至其分配的管理点，它将尝试使用在管理点上配置并注册到 Internet DNS 服务器的 Internet 完全限定的域名与其配置的 Internet 管理点通信。Internet 管理点作出响应后，客户端计算机将根据需要使用同样配置为采用基于 Internet 的客户端管理的分发点和软件更新。

在基于 Internet 的客户端管理和 Intranet 客户端管理之间自动切换的优点是，当客户计算机重新连接至 Intranet 后，可以使用所有 Configuration Manager 功能。此外，在 Internet 上开始的下载可以在 Intranet 上无缝地继续。

重要

如果具有的客户端不能同时支持 Intranet 和 Internet 客户端管理（例如工作组客户端），并且您想要在 Internet 上对它们进行管理，则它们必须针对仅 Internet 管理进行配置。这意味着，当它们连接到 Intranet 时，将继续与基于 Internet 的站点系统进行通信。另外，它们将不支持与 Intranet 客户端管理相关联的完整 Configuration Manager 功能范围，如上一节“Internet 上不支持的功能”中所述。

Internet 客户端如何使用回退状态点

如果在基于 Internet 的客户端管理站点中使用回退状态点，在安装时，必须使用基于 Internet 的回退状态点配置客户端。如果当客户端在 Internet 上时未能连接至其基于 Internet 的管理点（例如由于其证书已过期），它将使用 HTTP 向其配置的基于 Internet 的回退状态点发送失败状态消息。

当将客户端计算机配置为同时采用基于 Internet 和 Intranet 的客户端管理并使用基于 Internet 的回退状态点配置时，它将不会使用 Intranet 上的回退状态点。这意味着如果客户端计算机移到 Intranet 上但不能连接至 Intranet 上其分配的管理点，客户端计算机将从 Intranet 向基于 Internet 的回退状态点发送失败状态消息。

Internet 客户端计算机如何使用代理服务器设置

除指定客户端的基于 Internet 的管理点外，客户端计算机还可以指定代理 Web 服务器设置。如果客户端计算机需要使用代理 Web 服务器连接至 Internet，则指定代理 Web 服务器设置。

重要

如果对 HTTPS 客户端请求使用站点端口号而不是业界默认的 443，要求代理 Web 服务器的 Internet 连接可能无法工作，原因是代理 Web 服务器通常配置为使用默认 HTTPS 端口号 443。

能否指定代理 Web 服务器配置对于使用连接到其他公司的 intranet 的便携式计算机的用户（如顾问）尤其有用。指定代理 Web 服务器详细信息作为 Configuration Manager 属性意味着即使用户未登录，计算机也仍然保持受管理状态。但是，如果未指定代理 Web 服务器设置作为 Configuration Manager 属性，Configuration Manager 客户端计算机将尝试下列代理 Web 服务器发现方法，以连接至指定的基于 Internet 的管理点：