Plánování správy internetových klientů v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Ke správě Configuration Manager klientů, kteří nejsou připojení k interní síti, použijte internetovou správu klientů (IBCM). Výhody použití IBCM:
- Úplná kontrola nad servery a rolemi poskytujícími službu
- Žádná závislost na cloudové službě
- Nemusí vyžadovat virtuální privátní síť (VPN)
- Všechny náklady jsou spojené s místní službou.
Vzhledem k vyšším požadavkům na zabezpečení při správě klientských počítačů ve veřejné síti vyžaduje IBCM použití certifikátů PKI. Tato konfigurace zajišťuje, aby se připojení ověřovala nezávislou autoritou. Když klienti IBCM a servery lokality odesílají data, jsou zašifrovaná a zabezpečená.
Komunikace s klientem
Následující role systému lokality v primárních lokalitách podporují připojení z klientů, kteří jsou v nedůvěryhodných umístěních:
Poznámka
I když se IBCM primárně zaměřuje na internetový scénář, stejné chování platí pro klienty v nedůvěryhodné doménové struktuře služby Active Directory. Sekundární lokality nepodporují připojení klientů z nedůvěryhodných umístění.
Bod registrace certifikátu pro modul zásad Configuration Manager (NDES)
Upozornění
Od verze 2203 se bod registrace certifikátu už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.
Distribuční bod
Brána pro správu cloudu s podporou obsahu (CMG)
Zprostředkuje bod registrace
Bod stavu náhradního stavu
Bod správy
Bod aktualizace softwaru
O internetových systémech lokalit
Mezi doménovou strukturou klienta a serverem systému lokality není nutné mít vztah důvěryhodnosti. Pokud však doménová struktura, která obsahuje internetový systém lokality, důvěřuje doménové struktuře obsahující uživatelské účty, tato konfigurace podporuje zásady založené na uživatelích pro zařízení na internetu, když povolíte nastavení klienta Zásady klientaPovolit požadavky zásad uživatele z internetových klientů.
Například následující konfigurace ilustrují, když IBCM podporuje zásady uživatelů pro zařízení na internetu:
Internetový bod správy je v hraniční síti. Tato síť má také řadič domény jen pro čtení, který uživatele ověřuje. Brána firewall mezi hraniční sítí a interními sítěmi umožňuje používat pakety služby Active Directory.
Uživatelský účet je v intranetové doménové struktuře. Internetový bod správy se nachází v doménové struktuře založené na hraniční síti. Hraniční doménová struktura důvěřuje interní doménové struktuře. Ověřovací pakety umožňuje brána firewall mezi hraniční sítí a interními sítěmi.
Uživatelský účet i internetový bod správy jsou v intranetové doménové struktuře. Publikujete bod správy na internet pomocí webového proxy serveru.
Použití webového proxy serveru
Internetové systémy lokality můžete umístit do intranetu, když je publikujete na internetu pomocí webového proxy serveru. Nakonfigurujte tyto systémy lokality pro připojení klientů pouze z internetu nebo pro připojení klientů z internetu a intranetu. Pokud používáte webový proxy server, můžete ho nakonfigurovat pro přemostění ssl (Secure Sockets Layer) na tunelování SSL nebo SSL.
Přemostění SSL na SSL
Doporučená a bezpečnější konfigurace je přemostění SSL na SSL, protože používá ukončení protokolu SSL s ověřováním. Ověřuje klientské počítače pomocí ověřování počítačů. Mobilní zařízení, která zaregistrujete pomocí Configuration Manager nepodporují přemostění SSL.
Při ukončení protokolu SSL na proxy serveru zkontroluje pakety z internetu před jejich předáním do interní sítě. Proxy server ověří připojení z klienta, ukončí ho a pak otevře nové ověřené připojení k internetovým systémům lokality. Když Configuration Manager klienti používají proxy server, klient bezpečně obsahuje svou identitu (GUID) v datové části paketu. Bod správy nepovažuje proxy server za klienta. Configuration Manager nepodporuje přemostění z HTTP na HTTPS nebo z HTTPS na HTTP.
Poznámka
Configuration Manager nepodporuje nastavení konfigurací přemostění SSL třetích stran. Například Citrix Netscaler nebo F5 BIG-IP. Spojte se s dodavatelem zařízení a nakonfigurujte ho pro použití s Configuration Manager.
Tunelového propojení
Pokud váš proxy webový server nepodporuje požadavky na přemostění SSL, Configuration Manager také podporuje tunelování SSL. Tunelování SSL můžete použít také k podpoře mobilních zařízení, která zaregistrujete pomocí Configuration Manager. Je to méně bezpečná možnost, protože proxy předává pakety SSL z internetu do systémů lokality bez ukončení protokolu SSL. Proxy nezkontroluje pakety na škodlivý obsah. Pokud používáte tunelování SSL, pro webový proxy server neexistují žádné požadavky na certifikát.
Plánování internetových klientů
Rozhodněte se, jestli chcete nakonfigurovat internetové klienty pro správu v intranetu i internetu, nebo pro správu pouze internetových klientů. Tuto možnost správy můžete nakonfigurovat pouze během instalace klienta. Pokud ho chcete později změnit, přeinstalujte klienta.
Poznámka
Pokud nakonfigurujete bod správy tak, aby podporoval internetové klienty, budou klienti, kteří se k tomuto bodu správy připojují, při příští aktualizaci seznamu dostupných bodů správy používat internet.
Konfiguraci správy klientů jen pro internet nemusíte omezovat na internet. Můžete ho také použít v intranetu.
Klienti, které konfigurujete pro správu pouze z internetu, komunikují pouze se systémy lokality, které nakonfigurujete pro připojení klientů z internetu. Tuto konfiguraci použijte v následujících scénářích:
- Počítače, o kterých víte, se nikdy nepřipojí k intranetu. Například počítače prodejního místa ve vzdálených umístěních.
- Omezení komunikace klienta pouze na HTTPS. Například kvůli podpoře brány firewall a zásad zabezpečení s omezeným přístupem.
- Když nainstalujete internetové systémy lokality v hraniční síti a chcete tyto servery spravovat jako Configuration Manager klienty.
Poznámka
Pokud chcete spravovat klienty pracovní skupiny na internetu, nainstalujte je jako pouze internet.
Když nakonfigurujete mobilní zařízení tak, aby používalo internetový bod správy, automaticky se nakonfiguruje jako pouze internetové.
Můžete nakonfigurovat další klienty pro správu internetových i intranetových klientů. Když zjistí změnu sítě, automaticky přepne mezi správou klientů IBCM a intranetu. Pokud tito klienti můžou najít bod správy, který podporuje připojení klientů v intranetu, a připojit se k němu, budou tito klienti spravováni jako intranetoví klienti. Intranetoví klienti mají plné funkce Configuration Manager. Pokud klienti nemůžou najít bod správy, který podporuje připojení klientů v intranetu, nebo se k němu připojit, pokusí se připojit k internetovému bodu správy. Pokud bude tato akce úspěšná, budou tito klienti spravováni internetovými systémy lokality v přiřazené lokalitě.
Výhodou automatického přepínání je, že klienti můžou používat všechny funkce, když se připojí k intranetu, a získat základní správu, když jsou na internetu. Stahování obsahu, které začíná na internetu, může bezproblémově pokračovat v intranetu a naopak.
Požadavky
IBCM v Configuration Manager má následující závislosti:
Klienti vyžadují připojení k internetu. Configuration Manager používá stávající připojení zařízení k internetu. Mobilní zařízení musí mít přímé připojení k internetu. Úplné klientské počítače můžou mít buď přímé připojení k internetu, nebo se připojovat pomocí webového proxy serveru.
Systémy lokality, které podporují IBCM, vyžadují připojení k internetu a musí být v doméně služby Active Directory. Internetové systémy lokality nevyžadují vztah důvěryhodnosti s doménovou strukturou služby Active Directory serveru lokality. Pokud však internetový bod správy může uživatele ověřit pomocí ověřování systému Windows, podporuje zásady uživatelů. Pokud ověřování Systému Windows selže, podporuje pouze zásady zařízení.
Poznámka
Pokud chcete podporovat zásady uživatelů, povolte ve skupině Zásady klienta také následující nastavení klienta:
- Povolení dotazování zásad uživatele na klientech
- Povolení požadavků zásad uživatele z internetových klientů
Infrastruktura veřejných klíčů (PKI) pro nasazení a správu požadovaných certifikátů pro internetové klienty a servery systému lokality. Další informace najdete v tématu Požadavky na certifikát PKI.
Zaregistrujte veřejné položky hostitele DNS pro internetové plně kvalifikované názvy domén (FQDN) systémů lokality, které podporují IBCM.
Povolte možnost Použít klientský certifikát PKI (schopnost ověřování klientů), pokud je k dispozici na kartě Zabezpečení komunikace ve vlastnostech lokality. Tato možnost je povinná.
Požadavky na komunikaci klienta
Brány firewall nebo proxy servery musí umožňovat komunikaci klienta pro internetové systémy lokality:
Podpora HTTP 1.1
Povolit obsah typu HTTP vícedílné přílohy MIME (multipart/mixed a application/octet-stream)
Slovesa
Povolte následující příkazy pro internetové role serveru systému lokality:
Role | Slovesa |
---|---|
Bod správy | -HLAVY - CCM_POST - BITS_POST -DOSTAT - PROPFIND |
Distribuční bod | -HLAVY -DOSTAT - PROPFIND |
Bod stavu náhradního stavu | PŘÍSPĚVEK |
Hlavičky HTTP
Povolte následující hlavičky HTTP pro internetové role serveru systému lokality:
Role | Hlavičky HTTP |
---|---|
Bod správy | -Rozsah: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: – CCMClientTimestampsSignature: |
Distribuční bod | Rozsah: |
Podobné požadavky na komunikaci při použití bodu aktualizace softwaru pro připojení klientů z internetu najdete v dokumentaci ke službě Windows Server Update Services (WSUS).
Nepodporované funkce
Ne všechny funkce správy klientů jsou vhodné pro internet. Configuration Manager nepodporuje některé funkce pro klienty na internetu. Tyto nepodporované funkce obvykle spoléhají na Active Directory Domain Services nebo nejsou vhodné pro veřejnou síť.
Při správě klientů na internetu pomocí IBCM nejsou podporovány následující funkce:
Nasazení klienta přes internet, jako je klientské nabízené oznámení a nasazení klienta založeného na aktualizacích softwaru. Použijte ruční instalaci klienta.
Automatické přiřazení webu
Wake-on-LAN
Nasazení operačního systému. Můžete ale nasadit pořadí úkolů, která nenasazují operační systém.
Vzdálené řízení
Nasazení softwaru uživatelům. Tato funkce se spoléhala na katalog aplikací, který už není podporovaný.
Roaming klienta. Roaming umožňuje klientům vždy najít nejbližší distribuční body ke stažení obsahu. Klienti ne deterministicky vybírají jeden z internetových systémů lokality bez ohledu na šířku pásma nebo fyzické umístění.
Když nakonfigurujete bod aktualizace softwaru tak, aby přijímal připojení z internetu, internetoví klienti vždy prohledávají tento bod aktualizace softwaru a určují, které aktualizace softwaru se vyžadují. Když jsou tito klienti na internetu, pokusí se nejprve stáhnout aktualizace softwaru z Microsoft Update, nikoli z internetového distribučního bodu. Pokud se toto chování nezdaří, pokusí se stáhnout požadované aktualizace softwaru z internetového distribučního bodu.
Tip
Klient Configuration Manager automaticky určí, jestli je v intranetu nebo na internetu. Pokud klient může kontaktovat řadič domény nebo místní bod správy, nastaví typ připojení na "Aktuálně intranet". V opačném případě se přepne na "Aktuálně internet" a komunikuje se systémy lokality přiřazenými k jeho lokalitě.