Plánování internetové správy klientů v systému Configuration ManagerPlan for internet-based client management in Configuration Manager

Platí pro: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Internetová správa klientů (někdy označovaná jako IBCM) umožňuje spravovat Configuration Manager klienty, když nejsou připojeni k firemní síti, ale mají standardní připojení k Internetu.Internet-based client management (sometimes referred to as IBCM) lets you manage Configuration Manager clients when they are not connected to your company network but have a standard internet connection. Toto uspořádání má několik výhod, které zahrnují snížené náklady, neboť nemusí spouštět virtuální soukromé sítě a mohou nasazovat aktualizace softwaru včas.This arrangement has several advantages that include the reduced costs of not having to run virtual private networks (VPNs) and being able to deploy software updates in a timelier manner.

Vzhledem k vyšším požadavkům na zabezpečení při správě klientských počítačů ve veřejné síti vyžaduje Internetová správa klientů, aby klienti a systémové servery lokality, ke kterým se klienti připojují, používali certifikáty PKI.Because of the higher security requirements of managing client computers on a public network, internet-based client management requires that clients and the site system servers that the clients connect to use PKI certificates. To zajišťuje, že připojení jsou ověřována nezávislou autoritou a že data pro tyto systémy a z těchto systémů jsou šifrována pomocí protokolu SSL (Secure Sockets Layer).This ensures that connections are authenticated by an independent authority, and that data to and from these site systems are encrypted by using Secure Sockets Layer (SSL).

Následující části vám pomůžou při plánování internetové správy klientů.Use the following sections to help you plan for internet-based client management.

Funkce, které nejsou podporovány na internetuFeatures that Are Not Supported on the internet

Ne všechny funkce správy klientů jsou vhodné pro Internet; Proto nejsou podporované, když jsou klienti spravováni na internetu.Not all client management functionality is appropriate for the internet; therefore they are not supported when clients are managed on the internet. Funkce, které nejsou podporovány pro správu internetu, se obvykle spoléhají na Active Directory Domain Services nebo nejsou vhodné pro veřejnou síť, jako je například zjišťování sítě a funkce Wake-on-LAN (WOL).The features that are not supported for internet management typically rely on Active Directory Domain Services or are not appropriate for a public network, such as network discovery and Wake-on-LAN (WOL).

Pokud jsou klienti spravováni na internetu, nejsou podporovány následující funkce:The following features are not supported when clients are managed on the internet:

  • Nasazení klientů prostřednictvím Internetu, jako je například nabízená instalace klienta a nasazení klienta na základě aktualizace softwaru.Client deployment over the internet, such as client push and software update-based client deployment. Místo toho nainstalujte klienta ručně.Instead, use manual client installation.

  • Automatické přiřazení lokality.Automatic site assignment.

  • Funkce vzdáleného probuzení Wake On LAN.Wake-on-LAN.

  • Nasazení operačního systému.Operating system deployment. Můžete však nasadit sekvence úloh, které nenasazují operační systém; například sekvence úloh, které spouštějí skripty a úlohy údržby klientů.However, you can deploy task sequences that do not deploy an operating system; for example, task sequences that run scripts and maintenance tasks on clients.

  • Vzdálené řízení.Remote control.

  • Nasazení softwaru pro uživatele, pokud internetový bod správy může ověřit uživatele v Active Directory Domain Services pomocí ověřování systému Windows (Kerberos nebo NTLM).Software deployment to users unless the internet-based management point can authenticate the user in Active Directory Domain Services by using Windows authentication (Kerberos or NTLM). To je možné, pokud internetový bod správy důvěřuje doménové struktuře, ve které se nachází uživatelský účet.This is possible when the internet-based management point trusts the forest where the user account resides.

    Internetová správa klientů navíc nepodporuje roaming.Additionally, internet-based client management does not support roaming. Roaming umožňuje klientům vždy nalézt nejbližší distribuční body pro stahování obsahu.Roaming enables clients to always find the closest distribution points to download content. Klienti, kteří jsou spravováni v Internetu, komunikují se systémy lokality ze své přiřazené lokality, pokud jsou tyto systémy lokality nakonfigurovány pro použití internetového plně kvalifikovaného názvu domény a role systému lokality umožňují připojení klientů z Internetu.Clients that are managed on the internet communicate with site systems from their assigned site when these site systems are configured to use an internet FQDN and the site system roles allow client connections from the internet. Klienti bez deterministického výběru jednoho z internetových systémů lokality bez ohledu na šířku pásma nebo fyzického umístění.Clients non-deterministically select one of the internet-based site systems, regardless of bandwidth or physical location.

    Pokud máte bod aktualizace softwaru, který je nakonfigurován tak, aby přijímal připojení z Internetu, Configuration Manager internetoví klienti na internetu vždy prohledávat v tomto bodu aktualizace softwaru, aby bylo možné určit, které aktualizace softwaru jsou požadovány.When you have a software update point that is configured to accept connections from the internet, Configuration Manager internet-based clients on the internet always scan against this software update point, to determine which software updates are required. Pokud jsou však tito klienti připojeni k Internetu, pokusí se nejprve stáhnout softwarové aktualizace z Microsoft Update, nikoli z internetového distribučního bodu.However, when these clients are on the internet, they first try to download the software updates from Microsoft Update, rather than from an internet-based distribution point. Pouze v případě, že to selže, pokusí se stáhnout požadované softwarové aktualizace z internetového distribučního bodu.Only if this fails, will they then try to download the required software updates from an internet-based distribution point. Klienti, kteří nejsou nakonfigurovaní pro internetovou správu klientů, se nikdy nesnaží stáhnout aktualizace softwaru z Microsoft Update, ale vždy používají Configuration Manager distribuční body.Clients that are not configured for internet-based client management never try to download the software updates from Microsoft Update, but always use Configuration Manager distribution points.

Tip

Klient Configuration Manager automaticky určí, zda je na intranetu nebo Internetu.The Configuration Manager client automatically determines whether it’s on the intranet or the internet. Pokud klient může kontaktovat řadič domény nebo místní bod správy, nastaví jeho typ připojení na aktuálně intranet.If the client can contact a domain controller or an on-premises management point, it sets its connection type to Currently intranet. V opačném případě se přepne na aktuálně Internet a klient používá body správy, body aktualizace softwaru a distribuční body přiřazené ke své lokalitě pro komunikaci.Otherwise, it switches to Currently internet, and the client uses the management points, software update points, and distribution points assigned to its site for communication.

Požadavky na komunikaci klienta z Internetu nebo nedůvěryhodné doménové strukturyConsiderations for client communications from the internet or untrusted forest

Následující role systému lokality nainstalované v primárních lokalitách podporují připojení od klientů, kteří jsou v nedůvěryhodných umístěních, jako je Internet nebo nedůvěryhodná doménová struktura (sekundární lokality nepodporují připojení klientů z nedůvěryhodných umístění):The following site system roles installed at primary sites support connections from clients that are in untrusted locations, like the internet or an untrusted forest (secondary sites do not support client connections from untrusted locations):

  • Bod lokality Application CatalogApplication Catalog website point

    Důležité

    Podpora končí pro role katalogu aplikací s verzí 1910.Support ends for the application catalog roles with version 1910. Další informace najdete v tématu Odebrání katalogu aplikací.For more information, see Remove the application catalog.

  • Modul zásad Configuration ManageruConfiguration Manager Policy Module

  • Distribuční bod (cloudové distribuční body vyžadují protokol HTTPS)Distribution point (HTTPS is required by cloud-based distribution points)

  • Zprostředkující bod registraceEnrollment proxy point

  • Bod záložního stavuFallback status point

  • Bod správyManagement point

  • Bod aktualizace softwaruSoftware update point

    Systémy lokalit vystavené internetu: About internet facing site systems:
    I když není potřeba, aby mezi doménovou strukturou klienta a serverem systému lokality byl vztah důvěryhodnosti, pokud doménová struktura obsahující internetový systém lokality důvěřuje doménové struktuře obsahující uživatelské účty, tato konfigurace podporuje uživatelské zásady pro zařízení v Internetu, pokud povolíte nastavení klienta zásady klienta Povolit žádosti o zásady uživatele od internetových klientů.Although there is no requirement to have a trust between a client's forest and that of the site system server, when the forest that contains an internet facing site system trusts the forest that contains the user accounts, this configuration supports user-based policies for devices on the internet when you enable the Client Policy client setting Enable user policy requests from internet clients.

    Například následující konfigurace ilustruje, kdy Internetová správa klientů podporuje uživatelské zásady pro zařízení v Internetu:For example, the following configurations illustrate when internet-based client management supports user policies for devices on the internet:

  • Internetový bod správy je v hraniční síti, kde se nachází řadič domény jen pro čtení, aby mohl ověřit uživatele a brána firewall povoluje pakety služby Active Directory.The internet-based management point is in the perimeter network where a read-only domain controller resides to authenticate the user and an intervening firewall allows Active Directory packets.

  • Uživatelský účet je ve struktuře A (intranet) a internetový bod správy je ve struktuře B (hraniční síť).The user account is in Forest A (the intranet) and the internet-based management point is in Forest B (the perimeter network). Struktura B důvěřuje struktuře A a použitá brána firewall povoluje ověřovací pakety.Forest B trusts Forest A, and an intervening firewall allows the authentication packets.

  • Uživatelský účet a internetový bod správy jsou ve struktuře A (intranet).The user account and the internet-based management point are in Forest A (the intranet). Bod správy je publikovaný na internetu pomocí webové proxy server (jako je Forefront Threat Management Gateway).The management point is published to the internet by using a web proxy server (like Forefront Threat Management Gateway).

Poznámka

Pokud se ověření Kerberos nezdaří, provede se automaticky pokus o ověření NTLM.If Kerberos authentication fails, NTLM authentication is then automatically tried.

Jak ukazuje předchozí příklad, internetové systémy lokality můžete umístit na intranet, pokud jsou publikovány na internetu pomocí webové proxy server, jako je například ISA Server a Forefront Threat Management Gateway.As the previous example shows, you can place internet-based site systems in the intranet when they are published to the internet by using a web proxy server, such as ISA Server and Forefront Threat Management Gateway. Tyto systémy lokality mohou být konfigurovány pro připojení klienta pouze z Internetu, nebo připojení klientů z Internetu a intranetu.These site systems can be configured for client connection from the internet only, or client connections from the internet and intranet. Pokud používáte webový proxy server, můžete ho nakonfigurovat pro přemostění SSL-to-SSL (bezpečnější) nebo pro tunelové připojení protokolem SSL:When you use a web proxy server, you can configure it for Secure Sockets Layer (SSL) bridging to SSL (more secure) or SSL tunneling:

  • Přemostění SSL do SSL: SSL bridging to SSL:
    Doporučená konfigurace, pokud používáte proxy webové servery pro správu internetových klientů, je přemostění SSL do SSL, které používá ukončení protokolu SSL s ověřením.The recommended configuration when you use proxy web servers for internet-based client management is SSL bridging to SSL, which uses SSL termination with authentication. Klientské počítače musí být ověřeny pomocí ověřování počítače a starší verze klientů mobilních zařízení jsou ověřovány pomocí ověřování uživatelů.Client computers must be authenticated by using computer authentication, and mobile device legacy clients are authenticated by using user authentication. Mobilní zařízení zapsaná službou Configuration Manager nepodporují přemostění SSL.Mobile devices that are enrolled by Configuration Manager do not support SSL bridging.

    Výhodou ukončení protokolu SSL na webovém proxy serveru je, že pakety z Internetu podléhají kontrole předtím, než se předají do interní sítě.The benefit of SSL termination at the proxy web server is that packets from the internet are subject to inspection before they are forwarded to the internal network. Proxy webový Server ověřuje připojení z klienta, ukončí ho a pak otevře nové ověřené připojení k internetovým systémům lokality.The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the internet-based site systems. Pokud Configuration Manager klienti používají webový proxy server, je identita klienta (identifikátor GUID) bezpečně obsažena v datové části paketu, takže bod správy nepovažuje webový proxy server za klienta.When Configuration Manager clients use a proxy web server, the client identity (client GUID) is securely contained in the packet payload so that the management point does not consider the proxy web server to be the client. Přemostění není podporováno v Configuration Manager s protokolem HTTP na HTTPS nebo z HTTPS na HTTP.Bridging is not supported in Configuration Manager with HTTP to HTTPS, or from HTTPS to HTTP.

    Poznámka

    Configuration Manager nepodporuje nastavování konfigurací přemostění SSL od jiných dodavatelů.Configuration Manager doesn't support setting third-party SSL bridging configurations. Například Citrix NetScaler nebo F5 BIG-IP.For example, Citrix Netscaler or F5 BIG-IP. Pokud chcete nakonfigurovat použití s Configuration Manager, obraťte se na dodavatele zařízení.Please work with your device vendor to configure it for use with Configuration Manager.

  • Tunelové propojení:Tunneling:
    Pokud váš webový proxy server nepodporuje požadavky na přemostění SSL, nebo chcete provést konfiguraci podpory internetu pro mobilní zařízení, která jsou zaregistrovaná pomocí Configuration Manager, podporuje se i tunelování SSL.If your proxy web server cannot support the requirements for SSL bridging, or you want to configure internet support for mobile devices that are enrolled by Configuration Manager, SSL tunneling is also supported. Jedná se o méně bezpečnou možnost, protože pakety SSL z Internetu se předávají do systémů lokality bez ukončení protokolu SSL, takže je nepůjde zkontrolovat na škodlivý obsah.It is a less secure option because the SSL packets from the internet are forwarded to the site systems without SSL termination, so they cannot be inspected for malicious content. Pokud používáte tunelové připojení protokolu SSL, neexistují žádné požadavky na certifikáty proxy webového serveru.When you use SSL tunneling, there are no certificate requirements for the proxy web server.

Plánování internetových klientůPlanning for internet-Based Clients

Je nutné rozhodnout, zda klientské počítače, které budou spravovány přes Internet, budou konfigurovány pro správu na intranetu a Internetu, nebo pro správu pouze internetových klientů.You must decide whether the client computers that will be managed over the internet will be configured for management on the intranet and the internet, or for internet-only client management. Možnost správy klienta můžete konfigurovat pouze během instalace klientského počítače.You can only configure the client management option during the installation of a client computer. Pokud si to později rozmyslíte, je třeba klienta přeinstalovat.If you change your mind later, you must reinstall the client.

Poznámka

Pokud nakonfigurujete bod správy s možností dostupnosti v Internetu, klienti, kteří se připojují k bodu správy, budou při dalším obnovení jejich seznamu dostupných bodů správy zpřístupněny prostřednictvím Internetu.If you configure an internet capable management point, clients that connect to the management point will become internet-capable when they next refresh their list of available management points.

Tip

Konfiguraci pouze internetové správy klientů nemusíte omezovat na Internet a můžete ji použít i na intranetu.You do not have to restrict the configuration of internet-only client management to the internet and you can also use it on the intranet.

Klienti, kteří jsou nakonfigurováni pro správu pouze internetových klientů, komunikují pouze se systémy lokality, které jsou konfigurovány pro připojení klientů z Internetu.Clients that are configured for internet-only client management only communicate with the site systems that are configured for client connections from the internet. Tato konfigurace bude vhodná pro počítače, u kterých víte, že se nikdy nepřipojují do intranetu společnosti, například počítače prodejního bodu ve vzdálených umístěních.This configuration would be appropriate for computers that you know never connect to your company intranet, for example, point of sale computers in remote locations. Může být také vhodné, pokud chcete omezit komunikaci klientů pouze s protokolem HTTPS (například pro podporu brány firewall a omezené zásady zabezpečení) a když instalujete internetové systémy lokality do hraniční sítě a chcete je spravovat. servery pomocí klienta Configuration Manager.It might also be appropriate when you want to restrict client communication to HTTPS only (for example, to support firewall and restricted security policies), and when you install internet-based site systems in a perimeter network and you want to manage these servers by using the Configuration Manager client.

Chcete-li spravovat klienty pracovní skupiny v Internetu, je nutné je nainstalovat pouze jako internetový.When you want to manage workgroup clients on the internet, you must install them as internet-only.

Poznámka

Klienti mobilních zařízení jsou automaticky konfigurováni jako internetové, pokud jsou nakonfigurováni pro použití internetového bodu správy.Mobile device clients are automatically configured as internet-only when they are configured to use an internet-based management point.

Další klientské počítače lze konfigurovat pro internetovou a intranetovou správu klientů.Other client computers can be configured for internet and intranet client management. Mohou automaticky přepínat mezi internetovou správou klientů a intranetovou správou klientů, když zjišťují změnu sítě.They can automatically switch between internet-based client management and intranet client management when they detect a change of network. Pokud tito klienti mohou vyhledat a připojit se k bodu správy, který je konfigurován pro připojení klientů v intranetu, budou tito klienti spravováni jako klienti v intranetu, kteří mají úplnou funkci správy Configuration Manager.If these clients can find and connect to a management point that is configured for client connections on the intranet, these clients are managed as intranet clients that have full Configuration Manager management functionality. Pokud klienti nemohou najít nebo se připojit k bodu správy, který je konfigurován pro připojení klientů v intranetu, pokusí se připojit k internetovému bodu správy a pokud je tato akce úspěšná, budou tito klienti spravováni internetovou lokalitou. systémy v jim přiřazené lokalitě.If the clients cannot find or connect to a management point that is configured for client connections on the intranet, they attempt to connect to an internet-based management point, and if this is successful, these clients are then managed by the internet-based site systems in their assigned site.

Výhodou automatického přepínání mezi internetovou správou klientů a správou intranetových klientů je, že klientské počítače mohou automaticky používat všechny funkce Configuration Manager, kdykoliv jsou připojeni k intranetu a nadále spravovat. pro základní funkce správy, pokud jsou na internetu.The benefit in automatic switching between internet-based client management and intranet client management is that client computers can automatically use all Configuration Manager features whenever they are connected to the intranet and continue to be managed for essential management functions when they are on the internet. Stažení, které začalo na internetu, může navíc bez problémů pokračovat v intranetu a naopak.Additionally, a download that began on the internet can seamlessly resume on the intranet, and vice versa.

Předpoklady pro internetovou správu klientůPrerequisites for internet-Based Client Management

Internetová správa klientů v systému Configuration Manager má následující externí závislosti:Internet-based client management in Configuration Manager has the following external dependencies:

  • Klienti, kteří budou spravováni na internetu, musí mít připojení k Internetu.Clients that will be managed on the internet must have an internet connection.

    Configuration Manager používá stávající připojení poskytovatele internetových služeb (ISP) k Internetu, které může být buď trvalá, nebo dočasná připojení.Configuration Manager uses existing Internet Service Provider (ISP) connections to the internet, which can be either permanent or temporary connections. Mobilní zařízení klienta musí mít přímé připojení k Internetu, ale klientské počítače mohou mít buď přímé připojení k Internetu, nebo připojení pomocí proxy webového serveru.Client mobile devices must have a direct internet connection, but client computers can have either a direct internet connection or connect by using a proxy web server.

  • Systémy lokality, které podporují internetovou správu klientů, musí mít připojení k Internetu a musí se nacházet v doméně služby Active Directory.Site systems that support internet-based client management must have connectivity to the internet and must be in an Active Directory domain.

    Internetové systémy lokality nevyžadují důvěryhodný vztah s doménovou strukturou služby Active Directory serveru lokality.The internet-based site systems do not require a trust relationship with the Active Directory forest of the site server. Pokud však internetový bod správy může ověřit uživatele pomocí ověřování systému Windows, jsou podporovány zásady uživatele.However, when the internet-based management point can authenticate the user by using Windows authentication, user policies are supported. Pokud ověřování systému Windows selže, jsou podporovány pouze zásady počítače.If Windows authentication fails, only computer policies are supported.

    Poznámka

    Pro podporu uživatelských zásad je třeba také nastavit na hodnotu True dvě nastavení klienta Zásady klienta:To support user policies, you also must set to True the two Client Policy client settings:

    • Povolit zásady uživatele u klientských počítačůEnable user policy polling on clients
      • Povolit žádosti o zásady uživatele od internetových klientůEnable user policy requests from Internet clients

    Internetový bod webu Katalog aplikací také vyžaduje ověřování systému Windows k ověření uživatelů, když je jejich počítač připojen k Internetu.An internet-based Application Catalog website point also requires Windows authentication to authenticate users when their computer is on the internet. Tento požadavek je nezávislý na zásadách uživatele.This requirement is independent from user policies.

  • Musíte mít podpůrnou infrastrukturu veřejných klíčů (PKI), která může nasadit a spravovat certifikáty, které klienti vyžadují a které jsou spravované na internetu a na internetových serverech systému lokality.You must have a supporting public key infrastructure (PKI) that can deploy and manage the certificates that the clients require and that are managed on the internet and the internet-based site system servers.

    Další informace o certifikátech PKI najdete v tématu požadavky na certifikáty PKI pro Configuration Manager.For more information about the PKI certificates, see PKI certificate requirements for Configuration Manager.

  • Internetový plně kvalifikovaný název domény (FQDN) systémů lokality, které podporují správu internetových klientů, musí být registrován jako položky hostitele na veřejných serverech DNS.The internet fully qualified domain name (FQDN) of site systems that support internet-based client management must be registered as host entries on public DNS servers.

  • Používané brány firewall nebo proxy servery musí umožňovat komunikaci klienta, která je přidružena k internetovým systémům lokality.Intervening firewalls or proxy servers must allow the client communication that is associated with internet-based site systems.

    Požadavky na komunikaci klienta:Client communication requirements:

    • Podpora HTTP 1.1Support HTTP 1.1

    • Umožňuje obsah typu HTTP přílohy MIME s více částmi (více částí / smíšená a aplikace / osminásobný proud)Allow HTTP content type of multipart MIME attachment (multipart/mixed and application/octet-stream)

    • Umožňuje následující příkazy pro internetové body správy:Allow the following verbs for the internet-based management point:

      • HEADHEAD

      • CCM_POSTCCM_POST

      • BITS_POSTBITS_POST

      • GETGET

      • PROPFINDPROPFIND

    • Umožňuje následující příkazy pro internetové distribuční body:Allow the following verbs for the internet-based distribution point:

      • HEADHEAD

      • GETGET

      • PROPFINDPROPFIND

    • Povolte následující příkazy pro internetový záložní stavový bod:Allow the following verbs for the internet-based fallback status point:

      • POSTPOST
    • Umožňuje následující příkazy pro internetové body webu Katalog aplikací:Allow the following verbs for the internet-based Application Catalog website point:

      • POSTPOST

      • GETGET

    • Pro internetový bod správy Povolte následující hlavičky protokolu HTTP:Allow the following HTTP headers for the internet-based management point:

      • Rozsah:Range:

      • CCMClientID:CCMClientID:

      • CCMClientIDSignature:CCMClientIDSignature:

      • CCMClientTimestamp:CCMClientTimestamp:

      • CCMClientTimestampsSignature:CCMClientTimestampsSignature:

    • Pro internetový distribuční bod Povolte následující hlavičku protokolu HTTP:Allow the following HTTP header for the internet-based distribution point:

      • Rozsah:Range:

      Informace o konfiguraci pro podporu těchto požadavků naleznete v dokumentaci brány firewall nebo proxy serveru.For configuration information to support these requirements, refer to your firewall or proxy server documentation.

      Podobné požadavky na komunikaci při použití bodu aktualizace softwaru pro připojení klientů z internetu najdete v dokumentaci ke službě Windows Server Update Services (WSUS).For similar communication requirements when you use the software update point for client connections from the internet, see the documentation for Windows Server Update Services (WSUS). Třeba pro WSUS na Windows Serveru 2003 si projděte Dodatek D: Nastavení zabezpečení, dodatek nasazení pro nastavení zabezpečení.For example, for WSUS on Windows Server 2003, see Appendix D: Security Settings, the deployment appendix for security settings.