Планирование управления клиентами через Интернет в Configuration Manager
Относится к Configuration Manager (Current Branch)
Используйте управление клиентами через Интернет (IBCM) для управления клиентами Configuration Manager, если они не подключены к вашей внутренней сети. Преимущества использования IBCM:
- Полный контроль над серверами и ролями, предоставляющими службу
- Нет зависимости облачной службы
- Может не требоваться виртуальная частная сеть (VPN)
- Все затраты связаны с локальной службой
Из-за более высоких требований к безопасности при управлении клиентскими компьютерами в общедоступной сети IBCM требуется использование PKI-сертификатов. Эта конфигурация обеспечивает проверку подлинности подключений независимым центром. Когда клиенты IBCM и серверы сайта отправляют данные, они шифруются и защищаются.
Взаимодействие с клиентом
Следующие роли системы сайта на первичных сайтах поддерживают подключения клиентов, которые находятся в ненадежных расположениях:
Примечание.
В то время как IBCM в основном фокусируется на сценарии из Интернета, то же самое поведение применяется к клиентам в ненадежном лесу Active Directory. Вторичные сайты не поддерживают клиентские подключения из ненадежных расположений.
Точка регистрации сертификата для модуля политики Configuration Manager (NDES)
Предупреждение
Начиная с версии 2203 точка регистрации сертификатов больше не поддерживается. Дополнительные сведения см. в разделе Часто задаваемые вопросы об устаревании доступа к ресурсам.
Точка распространения
Шлюз управления облачными клиентами с поддержкой содержимого (CMG)
Прокси-точка регистрации
Резервная точка состояния
Точка управления
Точка обновления программного обеспечения
Сведения о системах сайта с выходом в Интернет
Нет требования к доверию между лесом клиента и лесом сервера системы сайта. Однако если лес, содержащий систему сайта с выходом в Интернет, доверяет лесу с учетными записями пользователей, эта конфигурация поддерживает пользовательские политики для устройств в Интернете при включении параметра клиента политики клиентаРазрешить запросы политики пользователей из интернет-клиентов.
Например, следующие конфигурации иллюстрируют, когда IBCM поддерживает политики пользователей для устройств в Интернете:
Интернет-точка управления находится в сети периметра. Эта сеть также имеет контроллер домена только для чтения для проверки подлинности пользователя. Брандмауэр между периметром и внутренними сетями разрешает пакеты Active Directory.
Учетная запись пользователя находится в лесу на основе интрасети. Интернет-точка управления находится в лесу на основе периметра. Лес периметра доверяет внутреннему лесу. Брандмауэр между периметром и внутренними сетями разрешает пакеты проверки подлинности.
Учетная запись пользователя и интернет-точка управления находятся в лесу на основе интрасети. Вы публикуете точку управления в Интернете с помощью веб-прокси-сервера.
Использование веб-прокси-сервера
Вы можете разместить интернет-системы сайтов в интрасети при публикации в Интернете с помощью веб-прокси-сервера. Настройте эти системы сайта для клиентских подключений только из Интернета или клиентских подключений из Интернета и интрасети. При использовании веб-прокси-сервера его можно настроить для подключения SSL к ssl или ssl-туннелирования.
Подключение SSL к SSL
Подключение SSL к SSL является рекомендуемой и более безопасной конфигурацией, так как она использует завершение SSL с проверкой подлинности. Он проверяет подлинность клиентских компьютеров с помощью проверки подлинности компьютера. Мобильные устройства, зарегистрированные с помощью Configuration Manager, не поддерживают мост ssl.
При завершении SSL на прокси-сервере он проверяет пакеты из Интернета, прежде чем пересылать их во внутреннюю сеть. Прокси-сервер выполняет проверку подлинности подключения из клиента, завершает его, а затем открывает новое подключение с проверкой подлинности к системам веб-сайтов. Когда клиенты Configuration Manager используют прокси-сервер, клиент безопасно содержит свое удостоверение (GUID) в полезных данных пакета. Точка управления не считает прокси-сервер клиентом. Configuration Manager не поддерживает мост с помощью HTTP-https или между HTTPS и HTTPS.
Примечание.
Configuration Manager не поддерживает настройку сторонних конфигураций мостов SSL. Например, Citrix Netscaler или F5 BIG-IP. Обратитесь к поставщику устройств, чтобы настроить его для использования с Configuration Manager.
Туннелирования
Если прокси-веб-сервер не поддерживает требования для моста SSL, Configuration Manager также поддерживает туннелирование SSL. Туннелирование SSL можно также использовать для поддержки мобильных устройств, зарегистрированных с помощью Configuration Manager. Это менее безопасный вариант, так как прокси-сервер пересылает SSL-пакеты из Интернета в системы сайта без завершения SSL. Прокси-сервер не проверяет пакеты на наличие вредоносного содержимого. При использовании туннелирования SSL требования к сертификату для прокси-веб-сервера отсутствуют.
Планирование интернет-клиентов
Решите, следует ли настроить интернет-клиенты для управления как в интрасети, так и в Интернете или для управления клиентами только в Интернете. Этот параметр управления можно настроить только во время установки клиента. Чтобы изменить его позже, переустановите клиент.
Примечание.
Если вы настроите точку управления для поддержки интернет-клиентов, клиенты, которые подключаются к этой точке управления, станут доступны через Интернет при следующем обновлении списка доступных точек управления.
Вам не нужно ограничивать настройку управления клиентами только в Интернете через Интернет. Его также можно использовать в интрасети.
Клиенты, настроенные для управления только через Интернет, взаимодействуют только с системами сайта, настроенными для клиентских подключений из Интернета. Используйте эту конфигурацию в следующих сценариях:
- Для компьютеров, которые, как вы знаете, никогда не будут подключаться к интрасети. Например, компьютеры с точками продаж в удаленных расположениях.
- Чтобы ограничить обмен данными между клиентами только по протоколу HTTPS. Например, для поддержки брандмауэра и политик безопасности с ограниченным доступом.
- При установке интернет-систем сайта в сети периметра и вы хотите управлять этими серверами как Configuration Manager клиентами.
Примечание.
Если вы хотите управлять клиентами рабочих групп в Интернете, установите их как доступные только в Интернете.
При настройке мобильного устройства для использования интернет-точки управления оно автоматически настраивается как доступное только для Интернета.
Вы можете настроить другие клиенты для управления клиентами в Интернете и интрасети. При обнаружении изменения сети они автоматически переключаются между IBCM и управлением клиентами интрасети. Если эти клиенты могут найти и подключиться к точке управления, поддерживающей клиентские подключения в интрасети, эти клиенты управляются как клиенты интрасети. Клиенты интрасети имеют полную функциональность Configuration Manager. Если клиентам не удается найти точку управления, которая поддерживает клиентские подключения в интрасети, или подключиться к ней, они пытаются подключиться к интернет-точке управления. В случае успешного выполнения этого действия эти клиенты управляются системами веб-сайтов на назначенном им сайте.
Преимущество автоматического переключения заключается в том, что клиенты могут использовать все функции при подключении к интрасети и получать важное управление, когда они подключены к Интернету. Скачивание содержимого, которое начинается в Интернете, можно легко возобновить в интрасети, и наоборот.
Предварительные требования
IBCM в Configuration Manager имеет следующие зависимости:
Клиентам требуется подключение к Интернету. Configuration Manager использует существующее подключение устройства к Интернету. Мобильные устройства должны иметь прямое подключение к Интернету. Все клиентские компьютеры могут иметь прямое подключение к Интернету или подключаться с помощью прокси-сервера.
Системы сайта, поддерживающие IBCM, требуют подключения к Интернету и должны находиться в домене Active Directory. Для интернет-систем сайта не требуется отношения доверия с лесом Active Directory сервера сайта. Однако если интернет-точка управления может проверить подлинность пользователя с помощью проверка подлинности Windows, она поддерживает политики пользователей. Если проверка подлинности Windows не удается, он поддерживает только политики устройств.
Примечание.
Для поддержки политик пользователей также включите следующие параметры клиента в группе Политика клиента :
- Включение опроса политики пользователей на клиентах
- Включение запросов политики пользователей от интернет-клиентов
Инфраструктура открытых ключей (PKI) для развертывания необходимых сертификатов для интернет-клиентов и серверов системы сайта и управления ими. Дополнительные сведения см. в разделе Требования к PKI-сертификатам.
Регистрация общедоступных записей узла DNS для полных доменных имен (FQDN) в Интернете систем сайта, поддерживающих IBCM.
Включите параметр Использовать PKI-сертификат клиента (возможность проверки подлинности клиента), если он доступен на вкладке Безопасность связи свойств сайта. Этот параметр является обязательным.
Требования к обмену данными с клиентом
Промежуточные брандмауэры или прокси-серверы должны разрешать обмен данными между клиентами для систем сайта в Интернете:
Поддержка HTTP 1.1
Разрешить тип контента HTTP для многокомпонентного вложения MIME (multipart/mixed и application/octet-stream)
Глаголы
Разрешите следующие команды для ролей сервера системы сайта в Интернете:
| Роль | Глаголы |
|---|---|
| Точка управления | -ГОЛОВУ — CCM_POST — BITS_POST -ПОЛУЧИТЬ - PROPFIND |
| Точка распространения | -ГОЛОВУ -ПОЛУЧИТЬ - PROPFIND |
| Резервная точка состояния | POST |
Заголовки HTTP
Разрешите следующие http-заголовки для ролей сервера системы сайта в Интернете:
| Роль | Заголовки HTTP |
|---|---|
| Точка управления | -Диапазон: — CCMClientID: — CCMClientIDSignature: — CCMClientTimestamp: — CCMClientTimestampsSignature: |
| Точка распространения | Диапазон: |
Аналогичные требования к обмену данными при использовании точки обновления программного обеспечения для клиентских подключений из Интернета см. в документации по Windows Server Update Services (WSUS).
Неподдерживаемые возможности
Не все функции управления клиентами подходит для Интернета. Configuration Manager не поддерживает некоторые функции для клиентов в Интернете. Эти неподдерживаемые функции обычно зависят от доменные службы Active Directory или не подходили для общедоступной сети.
Следующие функции не поддерживаются при управлении клиентами в Интернете с помощью IBCM:
Развертывание клиента через Интернет, например принудительное развертывание клиента и развертывание клиента на основе обновлений программного обеспечения. Используйте установку клиента вручную.
Автоматическое назначение сайта
Пробуждение по локальной сети
Развертывание ОС. Однако можно развернуть последовательности задач, которые не развертывают ОС.
Удаленное управление
Развертывание программного обеспечения для пользователей. Эта функция основана на каталоге приложений, который больше не поддерживается.
Перемещение клиента. Роуминг позволяет клиентам всегда находить ближайшие точки распространения для скачивания содержимого. Клиенты недетерминированно выбирают одну из интернет-систем сайта, независимо от пропускной способности или физического расположения.
При настройке точки обновления программного обеспечения для приема подключений из Интернета интернет-клиенты всегда проверяют эту точку обновления программного обеспечения, чтобы определить, какие обновления необходимы. Когда эти клиенты находятся в Интернете, они сначала пытаются скачать обновления программного обеспечения из Майкрософт Update, а не из интернет-точки распространения. Если такое поведение завершается ошибкой, они пытаются скачать необходимые обновления программного обеспечения из интернет-точки распространения.
Совет
Клиент Configuration Manager автоматически определяет, находится ли он в интрасети или Интернете. Если клиент может связаться с контроллером домена или локальной точкой управления, он устанавливает для него тип подключения "Текущая интрасеть". В противном случае он переключается на "Текущий интернет" и взаимодействует с системами сайта, назначенными его сайту.