Bestimmen der Serverplatzierung für die internetbasierte Clientverwaltung
Letzte Aktualisierung: März 2009
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Die internetbasierte Clientverwaltung unterstützt verschiedene Szenarien, von denen jedes seine Vor- und Nachteile hat. Zur Bestimmung, ob sich Server im Umkreisnetzwerk oder im Intranet befinden müssen, müssen Sie entscheiden, welches Szenario für Ihre Umgebung und Ihre Geschäftsanforderungen geeignet ist.
Alle unten angegebenen Verweise auf Serverplatzierungen beziehen sich ausschließlich auf einen primären Standort. Sekundäre Standorte unterstützen die internetbasierte Clientverwaltung nicht.
Serverplatzierung für Standorte, die nicht gleichzeitig Intranetclients verwalten müssen
Wenn der Configuration Manager 2007-Standort nicht sowohl Internetclients als auch Intranetclients unterstützen muss, finden die Szenarien 1 und 2 in der folgenden Tabelle Anwendung. In der folgenden Tabelle werden die Vor- und Nachteile der Szenarien aufgeführt sowie die entsprechende Serverplatzierung.
Szenario zur ausschließlichen Unterstützung von Internetclients | Vorteil | Nachteil | Serverplatzierung |
---|---|---|---|
Szenario 1: Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen von Clients über das Internet zu. Der Standortserver befindet sich im Intranet:
|
Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt. Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit. |
Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL- und SMB-Verkehr (Server Message Block) zulässt. Die SQL-Verbindung wird vom Umkreisnetzwerk zum Intranet initiiert. Diese Konfiguration ist weniger sicher, als wenn die Verbindung vom Intranet initiiert wird. Bei einem mit der Softwareupdatepunkt-Rolle konfigurierten Server, der zur Synchronisierung von Softwareupdate-Metadaten mit einem aktiven Softwareupdatepunkt an einem übergeordneten Standort im Intranet dient, muss die Back-End-Firewall so konfiguriert werden, dass eingehender HTTPS-/HTTP-Datenverkehr erlaubt ist. Zum Blockieren eingehender Verbindungen dieser Art verwenden Sie das Export- und Importverfahren für die Synchronisierung der Softwareupdates, wie in dem folgenden Thema beschrieben: Synchronisieren von Updates mittels Export und Import. |
Umkreisnetzwerk:
Intranet:
|
Szenario 1: Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen von Clients über das Internet zu. Der Standortserver befindet sich im Intranet:
|
Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt. Aufgrund des SQL-Replikats werden alle Verbindungen vom Umkreisnetzwerk zum Intranet im Intranet initiiert. Diese Konfiguration ist sicherer, als wenn die Verbindungen vom Umkreisnetzwerk aus initiiert werden. |
Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL-Verkehr und SMB-Verkehr zulässt. Für das SQL-Replikat ist ein Server mit den damit verbundenen Kosten erforderlich. Zwischen dem Replikat und dem Standortserver tritt außerdem eine Replikationswartezeit auf. Bei einem mit der Softwareupdatepunkt-Rolle konfigurierten Server, der zur Synchronisierung von Softwareupdate-Metadaten mit einem aktiven Softwareupdatepunkt an einem übergeordneten Standort im Intranet dient, muss die Back-End-Firewall so konfiguriert werden, dass eingehender HTTPS-/HTTP-Datenverkehr erlaubt ist. Zum Blockieren eingehender Verbindungen dieser Art verwenden Sie das Export- und Importverfahren für die Synchronisierung der Softwareupdates, wie in dem folgenden Thema beschrieben: Synchronisieren von Updates mittels Export und Import. |
Umkreisnetzwerk:
Intranet:
|
Szenario 2: Der internetbasierte Standort befindet sich im Umkreisnetzwerk:
|
Es wird kein Internetverkehr an das Intranet geleitet. Bei der Back-End-Firewall ist vom untergeordneten Standortserver zum übergeordneten Standortserver nur eine Konfiguration erforderlich. Zentralisierte Verwaltung und Berichterstattung werden unterstützt. |
Der Standortserver ist für Angriffe aus dem Internet anfälliger, als wenn er sich im Intranet befinden würde. Die Back-End-Firewall muss so konfiguriert sein, dass eingehender SMB-Verkehr zugelassen wird. Bei einem mit der Softwareupdatepunkt-Rolle konfigurierten Server, der zur Synchronisierung von Softwareupdate-Metadaten mit einem aktiven Softwareupdatepunkt am übergeordneten Standort dient, muss die Back-End-Firewall so konfiguriert werden, dass eingehender HTTPS-/HTTP-Datenverkehr erlaubt ist. Alternativ können Sie das Export- und Importverfahren für die Synchronisierung der Softwareupdates verwenden, wie in dem folgenden Thema beschrieben: Synchronisieren von Updates mittels Export und Import. |
Umkreisnetzwerk:
Intranet:
|
Szenario 2: Der internetbasierte Standort befindet sich im Umkreisnetzwerk:
|
Es wird kein Internetverkehr an das Intranet geleitet. Die Back-End-Firewall muss nicht extra konfiguriert werden. |
Der Standortserver ist für Angriffe aus dem Internet anfälliger, als wenn er sich im Intranet befinden würde. Zentralisierte Verwaltung und Berichterstattung werden nicht unterstützt. |
Umkreisnetzwerk:
Intranet:
|
Serverplatzierung für Standorte, die Clients im Internet und Intranet verwalten
Wenn der Configuration Manager 2007-Standort sowohl Internetclients als auch Intranetclients unterstützt, finden die Szenarien 3 und 4 der folgenden Tabelle Anwendung. In der folgenden Tabelle werden die Vor- und Nachteile der Szenarien aufgeführt sowie die entsprechende Serverplatzierung.
Szenario zum Unterstützen von Clients im Internet und im Intranet | Vorteil | Nachteil | Serverplatzierung |
---|---|---|---|
Szenario 3: Der Standort umfasst das Umkreisnetzwerk und das Intranet. Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen von Clients über das Internet zu. Es gibt einen zweiten Verwaltungspunkt (und einen zweiten Softwareupdatepunkt und Fallbackstatuspunkt sowie zusätzliche Verteilungspunkte) und weitere Standortsysteme im Intranet, die für Clients gedacht sind, die eine Verbindung mit dem Intranet herstellen:
|
Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt. Der zugewiesene Verwaltungspunkt und die anderen Standortsysteme, zu denen die Intranetclients eine Verbindung herstellen, sind vom Internetverkehr getrennt. Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit. |
Für internetbasierte Verbindungen sind weitere Server mit den damit verbundenen Kosten erforderlich. Der manuelle Export und Import von Softwareupdate-Metadaten ist mit Verwaltungsaufwand verbunden. Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL-Verkehr und SMB-Verkehr zulässt. Die SQL-Verbindung wird vom Umkreisnetzwerk zum Intranet initiiert. Diese Konfiguration ist weniger sicher, als wenn die Verbindung vom Intranet initiiert wird. |
Umkreisnetzwerk:
Intranet:
|
Szenario 3: Der Standort umfasst das Umkreisnetzwerk und das Intranet. Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen von Clients über das Internet zu. Es gibt einen zweiten Verwaltungspunkt (und einen zweiten Softwareupdatepunkt und Fallbackstatuspunkt sowie zusätzliche Verteilungspunkte) und weitere Standortsysteme im Intranet, die für Clients gedacht sind, die eine Verbindung mit dem Intranet herstellen:
|
Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt. Der zugewiesene Verwaltungspunkt und die anderen Standortsysteme, zu denen die Intranetclients eine Verbindung herstellen, sind vom Internetverkehr getrennt. Aufgrund des SQL-Replikats werden alle Verbindungen vom Umkreisnetzwerk zum Intranet im Intranet initiiert. Diese Konfiguration ist sicherer, als wenn die Verbindungen vom Umkreisnetzwerk aus initiiert werden. |
Für internetbasierte Verbindungen sind weitere Server mit den damit verbundenen Kosten erforderlich. Der manuelle Export und Import von Softwareupdate-Metadaten ist mit Verwaltungsaufwand verbunden. Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL-Verkehr und SMB-Verkehr zulässt. |
Umkreisnetzwerk:
Intranet:
|
Szenario 4: Der Standort verbindet Umkreisnetzwerk und Intranet:
|
Für Intranet- und Internetverbindungen müssen weniger Server konfiguriert und gewartet werden. Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt. Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit. |
Es gibt keine Sicherheitsgrenze zwischen dem Umkreisnetzwerk und dem Intranet. Diese Lösung wird nicht empfohlen. Die SQL-Verbindung wird vom Umkreisnetzwerk zum Intranet initiiert. Dies ist eine der weniger sicheren Konfigurationen. |
Umkreisnetzwerk:
Intranet:
|
Szenario 4: Der Standort verbindet Umkreisnetzwerk und Intranet:
|
Für Intranet- und Internetverbindungen müssen weniger Server konfiguriert und gewartet werden. Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt. Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit. |
Erfordert eine Reverseproxykonfiguration zwischen dem Umkreisnetzwerk und dem Intranet, sodass die internetbasierten Standortsysteme im Intranet auf Internetclients veröffentlicht werden. Internetclients überschreiten eine Sicherheitsgrenze, um Verbindungen mit Servern im Intranet herzustellen. Sie können dieses Bedrohung verringern, indem Sie auf dem Proxyserver SSL-Bridging anstatt SSL-Tunneling verwenden. Weitere Informationen finden Sie unter Bestimmen der Anforderungen für Proxywebserver zur Verwendung mit internetbasierter Clientverwaltung. |
Umkreisnetzwerk:
Intranet:
|
Szenario 4: Der Standort verbindet Umkreisnetzwerk und Intranet:
|
Für Intranet- und Internetverbindungen müssen weniger Server konfiguriert und gewartet werden. Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt. Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit. |
Intranetclients überschreiten eine Sicherheitsgrenze, um Verbindungen mit Servern herzustellen, die Internetverkehr ausgesetzt sind. Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL-Verkehr und SMB-Verkehr zulässt. Die SQL-Verbindung wird vom Umkreisnetzwerk zum Intranet initiiert. Dies ist eine der weniger sicheren Konfigurationen. |
Umkreisnetzwerk:
Intranet:
|
Siehe auch
Konzepte
Unterstützte Szenarien für die internetbasierte Clientverwaltung
Bestimmen der Anforderungen für Proxywebserver zur Verwendung mit internetbasierter Clientverwaltung
Übersicht über die internetbasierte Clientverwaltung
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com