Configuration Manager'de İnternet tabanlı istemci yönetimini planlama

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

İç ağınıza bağlı olmayan Configuration Manager istemcilerini yönetmek için İnternet tabanlı istemci yönetimini (IBCM) kullanın. IBCM kullanmanın avantajları:

  • Hizmeti sağlayan sunucuların ve rollerin tam denetimi
  • Bulut hizmeti bağımlılığı yok
  • Sanal özel ağ (VPN) gerektirmeyebilir
  • Tüm maliyetler şirket içi hizmetle ilişkilendirilir

Genel ağdaki istemci bilgisayarları yönetmenin daha yüksek güvenlik gereksinimleri nedeniyle IBCM, PKI sertifikalarının kullanılmasını gerektirir. Bu yapılandırma, bağlantıların bağımsız bir yetkili tarafından doğrulandığından emin olur. IBCM istemcileri ve site sunucuları veri gönderdiğinde şifrelenmiş ve güvenlidir.

İstemci iletişimleri

Birincil sitelerdeki aşağıdaki site sistemi rolleri, güvenilmeyen konumlardaki istemcilerden gelen bağlantıları destekler:

Not

IBCM öncelikli olarak İnternet tabanlı senaryoya odaklansa da, güvenilmeyen bir Active Directory ormanındaki istemciler için de aynı davranışlar geçerlidir. İkincil siteler, güvenilmeyen konumlardan gelen istemci bağlantılarını desteklemez.

  • Configuration Manager ilke modülü (NDES) için sertifika kayıt noktası

    Uyarı

    Sürüm 2203'den itibaren sertifika kayıt noktası artık desteklenmiyor. Daha fazla bilgi için bkz. Kaynak erişiminin kullanımdan kaldırılması hakkında sık sorulan sorular.

  • Dağıtım noktası

  • İçerik etkin bulut yönetimi ağ geçidi (CMG)

  • Kayıt proxy noktası

  • Geri dönüş durum noktası

  • Yönetim noktası

  • Yazılım güncelleştirme noktası

İnternet'e yönelik site sistemleri hakkında

İstemcinin ormanı ile site sistemi sunucusu arasında güven olması gerekmez. Ancak, İnternet'e yönelik bir site sistemi içeren orman kullanıcı hesaplarını içeren ormana güvendiğinde, bu yapılandırma İnternet istemcilerinden kullanıcı ilkesi isteklerini etkinleştirİstemci İlkesi istemci ayarını etkinleştirdiğinizde, İnternet üzerindeki cihazlar için kullanıcı tabanlı ilkeleri destekler.

Örneğin, aşağıdaki yapılandırmalar IBCM'nin internet üzerindeki cihazlar için kullanıcı ilkelerini ne zaman desteklediğini gösterir:

  • İnternet tabanlı yönetim noktası çevre ağındadır. Bu ağ, kullanıcının kimliğini doğrulamak için salt okunur bir etki alanı denetleyicisine de sahiptir. Çevre ve iç ağlar arasındaki güvenlik duvarı Active Directory paketlerine izin verir.

  • Kullanıcı hesabı intranet tabanlı ormandadır. İnternet tabanlı yönetim noktası çevre tabanlı ormandadır. Çevre ormanı iç ormana güvenir. Çevre ve iç ağlar arasındaki güvenlik duvarı kimlik doğrulama paketlerine izin verir.

  • Kullanıcı hesabı ve internet tabanlı yönetim noktası intranet tabanlı ormandadır. Yönetim noktasını bir web proxy sunucusuyla İnternet'e yayımlarsınız.

Web proxy sunucusu kullanma

İnternet tabanlı site sistemlerini bir web proxy sunucusuyla İnternet'te yayımladığınızda intranete yerleştirebilirsiniz. Bu site sistemlerini yalnızca İnternet'ten istemci bağlantıları için veya internet ve intranetten istemci bağlantıları için yapılandırın. Bir web proxy sunucusu kullandığınızda, bunu SSL veya SSL tüneline Güvenli Yuva Katmanı (SSL) köprüleme için yapılandırabilirsiniz.

SSL'ye SSL köprü oluşturma

SSL'ye SSL köprü oluşturma, kimlik doğrulaması ile SSL sonlandırma kullandığından önerilen ve daha güvenli bir yapılandırmadır. Bilgisayar kimlik doğrulaması ile istemci bilgisayarların kimliğini doğrular. Configuration Manager kaydettiğiniz mobil cihazlar SSL köprü oluşturma işlemini desteklemez.

Proxy'de SSL sonlandırma ile paketleri iç ağa iletmeden önce internetten inceler. Proxy istemciden bağlantının kimliğini doğrular, bağlantıyı sonlandırır ve ardından internet tabanlı site sistemlerine yeni bir kimliği doğrulanmış bağlantı açar. Configuration Manager istemcileri ara sunucu kullandığında, istemci kimliğini (GUID) paket yükünde güvenli bir şekilde içerir. Yönetim noktası proxy'yi istemci olarak değerlendirmez. Configuration Manager HTTP'den HTTPS'ye veya HTTPS'den HTTP'ye köprü oluşturma desteği yoktur.

Not

Configuration Manager, üçüncü taraf SSL köprü oluşturma yapılandırmalarının ayarlanmasını desteklemez. Örneğin, Citrix Netscaler veya F5 BIG-IP. Configuration Manager kullanmak üzere yapılandırmak için lütfen cihaz satıcınızla birlikte çalışın.

Tünel

Proxy web sunucunuz SSL köprü oluşturma gereksinimlerini destekleyemiyorsa Configuration Manager SSL tünelini de destekler. Configuration Manager ile kaydettiğiniz mobil cihazları desteklemek için SSL tüneli de kullanabilirsiniz. Proxy, SSL paketlerini SSL sonlandırma olmadan internetten site sistemlerine ilettiğinden daha az güvenli bir seçenektir. Proxy, paketleri kötü amaçlı içerik açısından denetlemez. SSL tüneli kullandığınızda, ara sunucu web sunucusu için sertifika gereksinimi yoktur.

İnternet tabanlı istemcileri planlama

İnternet tabanlı istemcilerinizi hem intranette hem de İnternet'te yönetim için mi yoksa yalnızca internet istemci yönetimi için mi yapılandıracaklarına karar verin. Bu yönetim seçeneğini yalnızca istemci yüklemesi sırasında yapılandırabilirsiniz. Daha sonra değiştirmek için istemciyi yeniden yükleyin.

Not

Bir yönetim noktasını İnternet tabanlı istemcileri destekleyecek şekilde yapılandırdığınızda, bu yönetim noktasına bağlanan istemciler bir sonraki kullanılabilir yönetim noktaları listesini yenilediklerinde İnternet'e uygun hale gelir.

Yalnızca internet istemci yönetiminin yapılandırmasını İnternet'e kısıtlamanız gerekmez. Bunu intranette de kullanabilirsiniz.

Yalnızca internet yönetimi için yapılandırdığınız istemciler yalnızca internetten istemci bağlantıları için yapılandırdığınız site sistemleriyle iletişim kurar. Aşağıdaki senaryolarda bu yapılandırmayı kullanın:

  • İntranetinize hiçbir zaman bağlanmayacaklarını bildiğiniz bilgisayarlar için. Örneğin, uzak konumlardaki satış noktası bilgisayarları.
  • İstemci iletişiminin yalnızca HTTPS ile kısıtlanması. Örneğin, güvenlik duvarını ve kısıtlanmış güvenlik ilkelerini desteklemek için.
  • İnternet tabanlı site sistemlerini bir çevre ağına yüklediğinizde ve bu sunucuları Configuration Manager istemcileri olarak yönetmek istediğinizde.

Not

İnternet'te çalışma grubu istemcilerini yönetmek istediğinizde, bunları yalnızca internet olarak yükleyin.

Mobil cihazı İnternet tabanlı bir yönetim noktası kullanacak şekilde yapılandırdığınızda, otomatik olarak yalnızca internet olarak yapılandırılır.

Diğer istemcileri hem internet hem de intranet istemci yönetimi için yapılandırabilirsiniz. Ağ değişikliği algıladığında, IBCM ile intranet istemci yönetimi arasında otomatik olarak geçiş yapıyorlar. Bu istemciler intranette istemci bağlantılarını destekleyen bir yönetim noktasını bulup bağlanabiliyorsa, bu istemciler intranet istemcileri olarak yönetilir. İntranet istemcilerinin tam Configuration Manager işlevselliği vardır. İstemciler intranette istemci bağlantılarını destekleyen bir yönetim noktasını bulamıyor veya bağlanamıyorsa, İnternet tabanlı bir yönetim noktasına bağlanmaya çalışır. Bu eylem başarılı olursa, bu istemciler atanan sitelerindeki internet tabanlı site sistemleri tarafından yönetilir.

Otomatik değiştirmenin avantajı, istemcilerin intranete bağlanırken tüm özellikleri kullanabilmeleri ve İnternet'te olduklarında temel yönetim alabilmeleridir. İnternet'te başlayan içerik indirme işlemi intranette sorunsuz bir şekilde devam edebilir ve tam tersi de yapılabilir.

Önkoşullar

Configuration Manager'deki IBCM aşağıdaki bağımlılıklara sahiptir:

  • İstemciler İnternet bağlantısı gerektirir. Configuration Manager cihazın mevcut İnternet bağlantısını kullanır. Mobil cihazların doğrudan internet bağlantısı olmalıdır. Tam istemci bilgisayarlar doğrudan İnternet bağlantısına sahip olabilir veya ara sunucu web sunucusu kullanarak bağlanabilir.

  • IBCM'yi destekleyen site sistemleri bir İnternet bağlantısı gerektirir ve bir Active Directory etki alanında olmalıdır. İnternet tabanlı site sistemleri, site sunucusunun Active Directory ormanıyla güven ilişkisi gerektirmez. Ancak, İnternet tabanlı yönetim noktası Windows kimlik doğrulamasını kullanarak kullanıcının kimliğini doğruladığında, kullanıcı ilkelerini destekler. Windows kimlik doğrulaması başarısız olursa, yalnızca cihaz ilkelerini destekler.

    Not

    Kullanıcı ilkelerini desteklemek için İstemci İlkesi grubunda aşağıdaki istemci ayarlarını da etkinleştirin:

    • İstemcilerde kullanıcı ilkesi yoklamasını etkinleştirme
    • İnternet istemcilerinden kullanıcı ilkesi isteklerini etkinleştirme

  • İnternet tabanlı istemciler ve site sistem sunucuları için gerekli sertifikaları dağıtmak ve yönetmek için bir ortak anahtar altyapısı (PKI). Daha fazla bilgi için bkz. PKI sertifika gereksinimleri.

  • IBCM'yi destekleyen site sistemlerinin İnternet tam etki alanı adları (FQDN) için genel DNS ana bilgisayar girdilerini kaydedin.

  • Site özelliklerinin İletişim Güvenliği sekmesinde kullanılabilir olduğunda PKI istemci sertifikası (istemci kimlik doğrulama özelliği) kullan seçeneğini etkinleştirin. Bu seçenek gereklidir.

İstemci iletişim gereksinimleri

Araya güvenlik duvarları veya proxy sunucuları, internet tabanlı site sistemleri için istemci iletişimi sağlamalıdır:

  • HTTP 1.1 desteği

  • Çok parçalı MIME ekinin HTTP içerik türüne izin ver (çok parçalı/karma ve uygulama/octet-stream)

Fiil

İnternet tabanlı site sistemi sunucu rolleri için aşağıdaki fiillere izin verin:

Rol Fiil
Yönetim noktası -KAFA
- CCM_POST
- BITS_POST
-AL
-PROPFIND
Dağıtım noktası -KAFA
-AL
-PROPFIND
Geri dönüş durum noktası YAYINLA

HTTP üst bilgileri

İnternet tabanlı site sistemi sunucu rolleri için aşağıdaki HTTP üst bilgilerine izin verin:

Rol HTTP üst bilgileri
Yönetim noktası -Aralığı:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
Dağıtım noktası Aralığı:

İnternet'ten istemci bağlantıları için yazılım güncelleştirme noktasını kullandığınızda benzer iletişim gereksinimleri için Windows Server Update Services (WSUS) belgelerine bakın.

Desteklenmeyen özellikler

tüm istemci yönetimi işlevleri İnternet için uygun değildir. Configuration Manager, internet üzerindeki istemciler için bazı özellikleri desteklemez. Bu desteklenmeyen özellikler genellikle Active Directory Domain Services kullanır veya genel ağ için uygun değildir.

IBCM ile internet üzerindeki istemcileri yönetirken aşağıdaki özellikler desteklenmez:

  • İstemci gönderimi ve yazılım güncelleştirme tabanlı istemci dağıtımı gibi İnternet üzerinden istemci dağıtımı. El ile istemci yüklemesini kullanın.

  • Otomatik site ataması

  • LAN'da uyandırma

  • İşletim sistemi dağıtımı. Ancak, işletim sistemi dağıtmayen görev dizilerini dağıtabilirsiniz.

  • Uzaktan denetim

  • Kullanıcılara yazılım dağıtımı. Bu özellik artık desteklenmeyen uygulama kataloğuna dayandı.

  • İstemci dolaşımı. Dolaşım, istemcilerin her zaman içerik indirmek için en yakın dağıtım noktalarını bulmasını sağlar. İstemciler, bant genişliği veya fiziksel konum ne olursa olsun, belirlenimsiz olarak İnternet tabanlı site sistemlerinden birini seçer.

İnternet'ten gelen bağlantıları kabul etmek için bir yazılım güncelleştirme noktası yapılandırdığınızda, internet tabanlı istemciler hangi yazılım güncelleştirmelerinin gerekli olduğunu belirlemek için her zaman bu yazılım güncelleştirme noktasına karşı tarama gerçekleştirir. Bu istemciler İnternet'teyken, yazılım güncelleştirmelerini internet tabanlı bir dağıtım noktasından değil, Microsoft Update'ten indirmeye çalışırlar. Bu davranış başarısız olursa gerekli yazılım güncelleştirmelerini İnternet tabanlı bir dağıtım noktasından indirmeye çalışır.

İpucu

Configuration Manager istemcisi, intranette mi yoksa İnternet'te mi olduğunu otomatik olarak belirler. İstemci bir etki alanı denetleyicisine veya şirket içi yönetim noktasına başvurabiliyorsa, bağlantı türünü "Şu anda intranet" olarak ayarlar. Aksi takdirde, "Şu anda İnternet"e geçer ve sitelerine atanan site sistemleriyle iletişim kurar.