Planera för internetbaserad klienthantering i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Använd Internetbaserad klienthantering (IBCM) för att hantera Configuration Manager klienter när de inte är anslutna till ditt interna nätverk. Fördelar med att använda IBCM:
- Fullständig kontroll över servrar och roller som tillhandahåller tjänsten
- Inget molntjänstberoende
- Kanske inte kräver ett virtuellt privat nätverk (VPN)
- Alla kostnader är kopplade till den lokala tjänsten
På grund av de högre säkerhetskrav för hantering av klientdatorer i ett offentligt nätverk kräver IBCM användning av PKI-certifikat. Den här konfigurationen ser till att anslutningar autentiseras av en oberoende utfärdare. När IBCM-klienter och platsservrar skickar data krypteras de och skyddas.
Klientkommunikation
Följande platssystemroller på primära platser stöder anslutningar från klienter som finns på ej betrodda platser:
Obs!
Även om IBCM främst fokuserar på det Internetbaserade scenariot gäller samma beteenden för klienter i en obetrodd Active Directory-skog. Sekundära platser stöder inte klientanslutningar från ej betrodda platser.
Certifikatregistreringsplats för Configuration Manager-principmodulen (NDES)
Varning
Från och med version 2203 stöds inte längre certifikatregistreringsplatsen. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.
Distributionsplats
Innehållsaktiverad molnhanteringsgateway (CMG)
Registreringsproxyplats
Återställningsstatuspunkt
Hanteringsplats
Programuppdateringsplats
Om internetuppkopplade platssystem
Det finns inget krav på att ha ett förtroende mellan en klients skog och platssystemserverns. Men när skogen som innehåller ett internetanslutet platssystem litar på skogen som innehåller användarkontona, stöder den här konfigurationen användarbaserade principer för enheter på Internet när du aktiverar klientinställningen KlientprincipAktivera användarprincipbegäranden från Internetklienter.
Följande konfigurationer illustrerar till exempel när IBCM stöder användarprinciper för enheter på Internet:
Den Internetbaserade hanteringsplatsen finns i perimeternätverket. Det nätverket har också en skrivskyddad domänkontrollant för att autentisera användaren. En brandvägg mellan perimeternätverket och interna nätverk tillåter Active Directory-paket.
Användarkontot finns i den intranätbaserade skogen. Den Internetbaserade hanteringsplatsen finns i den perimeterbaserade skogen. Perimeterskogen litar på den interna skogen. En brandvägg mellan perimeternätverket och interna nätverk tillåter autentiseringspaketen.
Användarkontot och den Internetbaserade hanteringsplatsen finns båda i den intranätbaserade skogen. Du publicerar hanteringsplatsen på Internet med en webbproxyserver.
Använda en webbproxyserver
Du kan placera internetbaserade platssystem i intranätet när du publicerar dem på Internet med en webbproxyserver. Konfigurera dessa platssystem för klientanslutningar endast från Internet eller klientanslutningar från Internet och intranätet. När du använder en webbproxyserver kan du konfigurera den för SSL-bryggning (Secure Sockets Layer) till SSL- eller SSL-tunnlar.
SSL-bryggning till SSL
SSL-bryggning till SSL är den rekommenderade och säkrare konfigurationen, eftersom den använder SSL-avslutning med autentisering. Den autentiserar klientdatorer med datorautentisering. Mobila enheter som du registrerar med Configuration Manager stöder inte SSL-bryggning.
Med SSL-avslutning vid proxyn inspekterar den paket från Internet innan de vidarebefordras till det interna nätverket. Proxyn autentiserar anslutningen från klienten, avslutar den och öppnar sedan en ny autentiserad anslutning till de Internetbaserade platssystemen. När Configuration Manager klienter använder en proxyserver innehåller klienten på ett säkert sätt sin identitet (GUID) i paketnyttolasten. Hanteringsplatsen anser inte att proxyn är klienten. Configuration Manager stöder inte bryggning med HTTP till HTTPS eller från HTTPS till HTTP.
Obs!
Configuration Manager stöder inte inställning av SSL-bryggningskonfigurationer från tredje part. Till exempel Citrix Netscaler eller F5 BIG-IP. Kontakta enhetsleverantören för att konfigurera den för användning med Configuration Manager.
Tunneling
Om proxywebbservern inte stöder kraven för SSL-bryggning stöder Configuration Manager även SSL-tunnlar. Du kan också använda SSL-tunnlar för att stödja mobila enheter som du registrerar med Configuration Manager. Det är ett mindre säkert alternativ eftersom proxyn vidarebefordrar SSL-paketen från Internet till platssystemen utan SSL-avslutning. Proxyn inspekterar inte paketen för skadligt innehåll. När du använder SSL-tunnlar finns det inga certifikatkrav för proxywebbservern.
Planera för Internetbaserade klienter
Bestäm om du vill konfigurera internetbaserade klienter för hantering på både intranätet och Internet, eller för klienthantering endast för Internet. Du kan bara konfigurera det här hanteringsalternativet under klientinstallationen. Om du vill ändra det senare installerar du om klienten.
Obs!
Om du konfigurerar en hanteringsplats för att stödja Internetbaserade klienter blir klienter som ansluter till den här hanteringsplatsen Internetkompatibla när de nästa gång uppdaterar sin lista över tillgängliga hanteringsplatser.
Du behöver inte begränsa konfigurationen av klienthantering endast via Internet till Internet. Du kan också använda den på intranätet.
Klienter som du konfigurerar för hantering endast via Internet kommunicerar endast med de platssystem som du konfigurerar för klientanslutningar från Internet. Använd den här konfigurationen i följande scenarier:
- För datorer som du känner kommer aldrig att ansluta till intranätet. Till exempel försäljningsdatorer på fjärranslutna platser.
- Begränsa klientkommunikationen till endast HTTPS. Till exempel för att stödja brandvägg och begränsade säkerhetsprinciper.
- När du installerar Internetbaserade platssystem i ett perimeternätverk och du vill hantera dessa servrar som Configuration Manager klienter.
Obs!
När du vill hantera arbetsgruppsklienter på Internet installerar du dem som endast Internet.
När du konfigurerar en mobil enhet så att den använder en Internetbaserad hanteringsplats konfigureras den automatiskt som endast internet.
Du kan konfigurera andra klienter för både internet- och intranätklienthantering. När de identifierar en nätverksändring växlar de automatiskt mellan IBCM- och intranätklienthantering. Om dessa klienter kan hitta och ansluta till en hanteringsplats som stöder klientanslutningar på intranätet, hanteras dessa klienter som intranätklienter. Intranätklienter har fullständig Configuration Manager funktioner. Om klienterna inte kan hitta eller ansluta till en hanteringsplats som stöder klientanslutningar i intranätet försöker de ansluta till en Internetbaserad hanteringsplats. Om den här åtgärden lyckas hanteras dessa klienter av de Internetbaserade platssystemen på den tilldelade platsen.
Fördelen med automatisk växling är att klienter kan använda alla funktioner när de ansluter till intranätet och få viktig hantering när de är på Internet. Nedladdning av innehåll som börjar på Internet kan sömlöst återupptas på intranätet och tvärtom.
Förhandskrav
IBCM i Configuration Manager har följande beroenden:
Klienter kräver en Internetanslutning. Configuration Manager använder enhetens befintliga Internetanslutning. Mobila enheter måste ha en direkt internetanslutning. Fullständiga klientdatorer kan antingen ha en direkt internetanslutning eller ansluta med hjälp av en proxywebbserver.
Platssystem som stöder IBCM kräver en Internetanslutning och måste finnas i en Active Directory-domän. De Internetbaserade platssystemen kräver ingen förtroenderelation med Active Directory-skogen på platsservern. Men när den Internetbaserade hanteringsplatsen kan autentisera användaren med hjälp av Windows-autentisering stöder den användarprinciper. Om Windows-autentiseringen misslyckas stöder den bara enhetsprinciper.
Obs!
Aktivera även följande klientinställningar i gruppen Klientprincip för att stödja användarprinciper:
- Aktivera avsökning av användarprinciper på klienter
- Aktivera begäranden om användarprinciper från Internetklienter
En offentlig nyckelinfrastruktur (PKI) för att distribuera och hantera de certifikat som krävs för Internetbaserade klienter och platssystemservrar. Mer information finns i PKI-certifikatkrav.
Registrera offentliga DNS-värdposter för internets fullständigt kvalificerade domännamn (FQDN) för platssystem som stöder IBCM.
Aktivera alternativet Att använda PKI-klientcertifikat (klientautentiseringsfunktion) när det är tillgängligt på fliken Kommunikationssäkerhet i platsegenskaperna. Det här alternativet krävs.
Krav för klientkommunikation
Mellanliggande brandväggar eller proxyservrar måste tillåta klientkommunikation för Internetbaserade platssystem:
Stöd för HTTP 1.1
Tillåt HTTP-innehållstyp för MIME-bilaga med flera delar (multipart/blandat och program/oktettström)
Verb
Tillåt följande verb för de Internetbaserade platssystemserverrollerna:
Roll | Verb |
---|---|
Hanteringsplats | -HUVUD - CCM_POST - BITS_POST -FÅ - PROPFIND |
Distributionsplats | -HUVUD -FÅ - PROPFIND |
Återställningsstatuspunkt | INLÄGG |
HTTP-huvuden
Tillåt följande HTTP-huvuden för de Internetbaserade platssystemserverrollerna:
Roll | HTTP-huvuden |
---|---|
Hanteringsplats | -Utbud: – CCMClientID: – CCMClientIDSignature: – CCMClientTimestamp: – CCMClientTimestampsSignature: |
Distributionsplats | Utbud: |
Liknande kommunikationskrav när du använder programuppdateringsplatsen för klientanslutningar från Internet finns i dokumentationen för Windows Server Update Services (WSUS).
Funktioner som inte stöds
Alla klienthanteringsfunktioner är inte lämpliga för Internet. Configuration Manager stöder inte vissa funktioner för klienter på Internet. Dessa funktioner som inte stöds förlitar sig vanligtvis på Active Directory Domain Services eller är inte lämpliga för ett offentligt nätverk.
Följande funktioner stöds inte när du hanterar klienter på Internet med IBCM:
Klientdistribution via Internet, till exempel klient-push och programuppdateringsbaserad klientdistribution. Använd manuell klientinstallation.
Automatisk platstilldelning
Wake-on-LAN
Distribution av operativsystem. Du kan dock distribuera aktivitetssekvenser som inte distribuerar ett operativsystem.
Fjärrkontroll
Programvarudistribution till användare. Den här funktionen förlitade sig på programkatalogen, som inte längre stöds.
Klientnätverksväxling. Med roaming kan klienter alltid hitta de närmaste distributionsplatserna för att ladda ned innehåll. Klienter väljer icke-deterministiskt ett av de Internetbaserade platssystemen, oavsett bandbredd eller fysisk plats.
När du konfigurerar en programuppdateringsplats för att acceptera anslutningar från Internet genomsöker internetbaserade klienter alltid mot den här programuppdateringsplatsen för att avgöra vilka programuppdateringar som krävs. När dessa klienter är på Internet försöker de först ladda ned programuppdateringarna från Microsoft Update i stället för från en Internetbaserad distributionsplats. Om det här beteendet misslyckas försöker de ladda ned nödvändiga programuppdateringar från en Internetbaserad distributionsplats.
Tips
Den Configuration Manager klienten avgör automatiskt om den finns på intranätet eller internet. Om klienten kan kontakta en domänkontrollant eller en lokal hanteringsplats anger den sin anslutningstyp till "För närvarande intranät". Annars växlar den till "För närvarande Internet" och kommunicerar med de platssystem som tilldelats dess plats.