站点属性:“站点模式”选项卡

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

“站点模式”选项卡定义 Configuration Manager 2007 站点是在纯模式还是混合模式下操作,以及与站点模式相关的设置。站点模式用于指定客户端与站点通信的方式。若要选择站点的操作模式,请从“站点模式”选择下拉列表中选择“纯模式”或“混合模式”。

查看辅助站点属性时此选项卡不可见。辅助站点从其父站点继承站点模式选项卡中包含的设置。

重要

若要确保客户端不会因为站点模式从混合模式更改为纯模式而不受管理,请参阅管理员清单:将站点迁移到纯模式

选择站点模式后显示的选项取决于您选择的是纯模式还是混合模式。

备注

如果您将站点模式从混合模式更改为纯模式且为您的网络负载平衡 (NLB) 管理点指定了 IP 地址,您必须将 NLB 管理点重新配置为使用完全限定的域名 (FQDN)。在您用 FQDN 重新配置 NLB 管理点之前,客户端将无法联系其默认管理点,且不受管理。有关详细信息,请参阅如何配置 NLB 管理点的 Intranet FQDN

纯模式设置属性

如果您选择了纯模式站点操作,将显示以下纯模式属性。

  • 站点服务器签名证书
    指定站点服务器签名证书,这是将站点配置为使用纯模式操作的要求。此证书必须已部署在 Configuration Manager 2007 以外的站点服务器上。不指定此证书,您将无法配置纯模式。

    备注

    站点服务器签名证书必须在每个主站点数据库上直接配置。您不能从父主站点为子主站点配置站点模式,因为在这种情况下无法正确验证证书。

    有关 PKI 证书要求的详细信息,请参阅纯模式的证书要求

    有关部署纯模式所需的 PKI 证书的详细信息,请参阅部署纯模式所需的 PKI 证书

  • 证书
    指定站点的站点服务器签名证书。

    如果已选择证书,那么,如果证书有友好名称,此选项将显示证书的友好名称,如果选定证书没有友好名称,则显示“<没有友好名称>”。

    如果尚未指定证书,请单击“浏览”选择,或者,您也可以在“指纹”文本框中键入指纹。

    站点服务器使用此证书签署客户端策略。要接受此证书签名的策略,客户端必须还具有站点服务器签名证书的副本。有关详细信息,请参阅决定如何将站点服务器签名证书部署到客户端(纯模式)

  • 浏览
    浏览至站点服务器上的证书存储,以便从显示的证书列表中选择站点服务器签名证书。指定错误的证书可能导致站点不受管理,因此,您选择的证书将按以下方式验证:

    • 证书在其有效期内,尚未过期。

    • 证书具有正确的证书使用者名称,其中包括站点的站点代码。

    • 证书目的包括文档签名。

  • 指纹
    如果您无法浏览至站点服务器的证书存储(例如,您没有适当的权限),但您拥有证书指纹,您可以在此输入。指纹必须作为连续的十六进制字符串输入。为了避免键入错误,请从证书本身复制并粘贴字符串。

    备注

    您可以使用 Microsoft Certificates MMC 管理单元来复制指纹。在存储指纹的计算机上,依次导航至本地计算机、“个人”存储,然后展开“证书”。双击证书,然后单击“详细信息”选项卡。在文件间滚动,单击“指纹”。复制文本框中显示的十六进制数字串。

    当您输入指纹时,Configuration Manager 2007 将尝试将其与站点服务器证书存储中的有效证书进行匹配。如果匹配成功,而且证书验证成功,其友好名称将显示在“证书”选项中。

  • 操作系统部署设置
    当站点在纯模式下操作时,指定与操作系统部署相关的设置。这些设置由辅助站点继承,但不是子主站点。
  • 指定根 CA 证书
    打开“指定根 CA 证书”对话框,您可以为分配到该站点的客户端导入已导出的根证书颁发机构证书。操作系统部署客户端完成安装可能需要这些证书。

    有关准备根证书颁发机构证书的信息,请参阅如何为操作系统部署客户端准备根证书颁发机构证书

  • 发布到 Active Directory 的客户端设置
    指定为客户端计算机发布到 Active Directory 域服务、并且客户端请求安装将自动使用的纯模式站点设置。

    可在 Active Directory 域服务中访问这些设置的客户端计算机将定期使用这些值进行配置,包括站点分配成功时、启动和每隔 25 个小时。

    如果客户端计算机没有使用默认设置且适用以下任何一种情况,请使用 CCMSetup 安装属性指定这些选项:

    • 未针对 Configuration Manager 2007 扩展 Active Directory 架构。

    • 已针对 Configuration Manager 2007 扩展 Active Directory 架构,但您有客户端无法访问这些设置,因为它们是工作组客户端或来自其他 Active Directory 林。

    • 您希望仅为安装指定不同的客户端设置。

    有关命令行属性的详细信息,请参阅关于 Configuration Manager 客户端安装属性

  • 在客户端上启用 CRL 检查
    指定 Configuration Manager 客户端计算机在使用纯模式所要求的 PKI 证书前是否使用证书吊销列表 (CRL)。

    该设置的默认值是在以纯模式安装站点时启用 CRL 检查。当以混合模式安装站点,然后迁移到纯模式时,该设置的默认值是禁用客户端的 CRL 检查。

    有关详细信息,请参阅确定是否需要在客户端上启用证书吊销检查 (CRL)(纯模式)

  • 允许对漫游和站点分配使用 HTTP 通信
    指定纯模式客户端计算机如果漫游到混合模式站点时是否可以使用 HTTP,以使它们可以与常驻管理点通信以获得内容位置,以及从该站点的分发点下载内容。

    此外,还需要用 HTTP 与服务器定位器点通信,如果没有为 Configuration Manager 2007 扩展 Active Directory 架构,以及如果纯模式客户端计算机在 Intranet 上使用网络负载平衡管理点,而且无法从 Active Directory 域服务查找服务器定位器点,则需要此定位器点。

    此选项的默认值为对漫游和站点分配不允许 HTTP 通信。

    有关此选项的详细信息,请参阅决定是否需要为漫游和站点分配配置 HTTP 通信(纯模式)

  • 证书存储
    指定纯模式中要使用的客户端证书位置。

    默认位置是计算机证书存储中的“个人”存储。如果客户端证书已部署到计算机存储中的替换位置,请在此指定。

  • 证书选择条件
    如果在指定的证书存储中找到一个以上的有效证书,指定要使用的选择条件。

    默认设置为仅检查证书目的。要指定证书选择条件,请选择以下选项之一,然后指定所有相关联的值:

    • 仅检查证书目的:此选项在选择证书时不使用使用者名称或使用者备用名称。相反,仅根据证书的使用目的进行选择,其中必须包括客户端身份验证。这是默认的证书选择条件。

    • 使用者包含字符串:匹配证书的使用者名称的字符串不区分大小写。该选择条件适用于在使用者字段中使用计算机的完全限定域名 (FQDN) 并希望根据域后缀(例如 contoso.com)选择证书的情况。但也可以用此选择方法来确定使证书区别于客户端证书存储中其他证书的任何顺序字符串。

    • 使用者名称或使用者备用名称包括属性:属性标识是证书的使用者名称或使用者备用名称字段上区分大小写的匹配。此选择条件适用于根据 RFC 3280 使用 X.500 可分辨名称或同等对象标识符,并希望根据属性值选择证书的情况。可以仅指定唯一识别或验证证书并使证书与客户端证书存储中其他证书区别开来的属性及其值。属性输入的顺序没有影响。有关证书选择条件所支持的属性值列表,请参阅确定是否需要指定客户端证书设置(本机模式)中的表。下列示例定义了使用对象标识符属性以及使用可分辨名称属性的证书选择条件:

      • 示例 1:   2.5.4.8 =Maryland, 2.5.4.6 =US, 2.5.4.10= Contoso, 2.5.4.11 =Sales

      • 示例 2:   ST=Maryland, C=US, O= Contoso, OU=Workstations

  • 如果多个证书匹配条件:
    指定如果 Configuration Manager 根据以下设置指定的值找到多于一个有效证书时所采取的操作:

    • 选择任何匹配的证书:在找到的匹配选择条件的证书中随机选择一个。如果客户端运行 Configuration Manager 2007 SP1 或更高版本,则会选择有效期最长的证书。如果与此证书的连接不成功,将不尝试找到的其他证书,客户端将向其分配的回退状态点发送一条错误消息。

    • 选择失败并发送错误消息:用使用这些证书来尝试连接。相反,客户端将不会尝试与其管理点通信,但将会向其分配的回退状态点发送一则错误消息。此为默认配置。

  • 确定
    保存更改并退出对话框。
  • 取消
    退出对话框而不保存任何更改。
  • 应用
    保存更改并保留在对话框中。
  • 帮助
    打开“站点属性:‘站点模式’选项卡”帮助文档。

混合模式设置属性

如果您选择了混合机模式站点操作,将显示以下混合模式属性。

  • 批准设置
    指定当授权计算机在混合模式站点中完全受管理时要使用的客户端批准设置。

    在混合模式中批准客户端将验证客户端标识。确保您选择了适合您风险概况的客户端批准方法。有关保护客户端安全的详细信息,请参阅保护客户端最佳方案,有关批准的详细信息,请参阅关于 Configuration Manager 中的客户端批准

    备注

    更改站点批准方法将不会自动重置已分配到站点的客户端的批准状态。新的设置仅对新分配的客户端生效。

  • 手动批准每台计算机
    手动批准站点中的每台计算机带来的风险最低,但是需要的管理开销最大。必须从 Configuration Manager 控制台中手动批准客户端。请参阅如何批准 Configuration Manager 客户端中的过程“手动批准客户端”。
  • 自动批准受信任的域中的计算机(建议)
    如果自动批准受信任域中的计算机,则将自动批准客户端计算机加入受站点服务器的域信任的域。

    重要

    如果您的 Configuration Manager 2007 层次结构跨越多个域,管理点必须配置 Intranet FQDN 以批准与站点服务器域不同的域中的客户端。

    有关详细信息,请参阅如何配置站点系统的 Intranet FQDN确定是否使用 FQDN 服务器名称

    在使用此设置时,应该确保有其他安全控制来避免不受信任的计算机加入受信任的域。

  • 自动批准所有计算机(不推荐)
    自动批准所有计算机将向所有请求站点分配的计算机授权。从不建议使用此设置,因为它允许任何计算机无需验证是否值得信任即可接收可能敏感的数据。
  • 此站点仅包含 ConfigMgr 2007 客户端。
    无论选择哪种客户端批准方法,此设置都将启用不兼容 SMS 2003 客户端通信设置的 Configuration Manager 客户端可用的具有较高客户端通信安全性的设置。在启用此设置之前,确保站点中没有 SMS 2003 客户端。
  • 客户端设置
    为发送到管理点的客户端信息指定客户端数据加密设置。
  • 在发送到管理点之前加密数据。
    选择此设置可对从客户端发送到其管理点的库存清单数据和状况消息进行加密。此加密方法使用客户端的自签名证书,该加密方法不需要 PKI,它使用 3DES 算法,而不是纯模式下将 PKI 证书和 SSL 加密一起使用的更安全的加密方法。有关在混合模式下和在纯模式下保证客户端数据安全的差别的详细信息,请参阅主题使用纯模式的优势中的表“混合模式和纯模式的比较”。
  • 确定
    保存更改并退出对话框。
  • 取消
    退出对话框而不保存任何更改。
  • 应用
    保存更改并保留在对话框中。
  • 帮助
    打开“站点属性:‘站点模式’选项卡”帮助文档。

另请参阅

任务

如何为操作系统部署客户端准备根证书颁发机构证书

概念

Configuration Manager 站点模式
在纯模式和混合模式之间选择
关于 Configuration Manager 中的客户端批准
确定是否需要在客户端上启用证书吊销检查 (CRL)(纯模式)
确定是否需要指定客户端证书设置(本机模式)
决定如何将站点服务器签名证书部署到客户端(纯模式)
续订或更改站点服务器签名证书
关于 Configuration Manager 客户端安装属性

其他资源

部署纯模式所需的 PKI 证书

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。