Bewährte Methoden für die Dienstkontinuität
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Sicherheitspersonal soll Computersysteme normalerweise im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit entwerfen. Damit die Configuration Manager 2007-Hierarchie verfügbar bleibt, ist ein Plan für die Dienstkontinuität notwendig. Testen Sie diese Kontinuität häufig.
Empfehlungen
Entwerfen eines fehlertoleranten Standorts Ein Offline-Standort ist in der Regel mit einem geringen Risiko verbunden, es sei denn, es ist dringend notwendig, ein kritisches Update bereitzustellen oder Configuration Manager 2007-NAPRichtlinien (Network Access Protection, Netzwerkzugriffsschutz) zur Einschränkung des Netzwerkzugriffs zu erstellen. Wenn der Configuration Manager 2007-Standortserver offline geschaltet ist, werden nicht unbedingt alle Configuration Manager 2007-Vorgänge beendet. Clients können zum Beispiel weiterhin vorhandene Ankündigungen verarbeiten, wenn Inhalt auf den Verteilungspunkten verfügbar ist. Configuration Manager 2007 unterstützt das Clustern der Standortdatenbank. Sie können auch die Standortdatenbankinformationen replizieren, was in der Regel aus Leistungsgründen erfolgt, was einem Standortsystem jedoch auch den Zugriff auf replizierte Daten ermöglicht, auch wenn die Standortdatenbank offline ist.
Erstellen eines Sicherungs- und Wiederherstellungsplans Die Wiederherstellung eines fehlerhaften Configuration Manager 2007-Standorts ist eine komplexe Aufgabe. Weitere Informationen finden Sie unter Wartung von Configuration Manager 2007.
Testen der Sicherungs- und Wiederherstellungsverfahren Sicherungsverfahren sind nutzlos, wenn sie nicht regelmäßig getestet werden. Die Sicherung und Wiederherstellung von Configuration Manager 2007 besteht aus komplexen Verfahren, die routinemäßig getestet werden müssen, um im Falle eines Standortfehlers die Dienstkontinuität sicherzustellen.
Schützen der Sicherungsmedien Der Configuration Manager 2007-Sicherungstask erstellt Kopien der Registrierung, der Dateistruktur und der Configuration Manager 2007-Standortdatenbank. Angreifer, die auf die Sicherungsmedien zuzugreifen versuchen, können wertvolle Informationen zum Netzwerk erhalten. Dazu gehören beispielsweise IP-Adressen, Active Directory-Standortnamen und der Status aller Clientcomputer. Angriffe auf Sicherungsmedien sind potenziell so schwerwiegend wie physische Attacken gegen Server. Bewahren Sie die Configuration Manager 2007-Sicherungsmedien wie alle Sicherungen an einem geschützten Ort auf, verschlüsseln Sie die Sicherungsdateien, und richten Sie ein kontrolliertes Verfahren zum Auschecken und Wiederherstellen der Medien ein.
Verwenden der Rollentrennung zur Verbesserung der Wiederherstellbarkeit Häufig werden bei kleinen Standorten alle Rollen auf dem Standortserver installiert. Damit wird das Risiko erhöht, dass bei der Nichtverfügbarkeit des Standortservers alle Configuration Manager 2007-Funktionen deaktiviert werden. Konfigurieren Sie nach Möglichkeit einen Verwaltungspunkt so, dass er sich nicht auf dem Standortserver befindet, um die Verfügbarkeit für Clients zu erhöhen. Konfigurieren Sie mehrere Verteilungs- und Berichtspunkte. Sie können nur einen Standardverwaltungspunkt für den Standort erstellen. Sie können jedoch einen Computer mit RAID oder andere Fehlertoleranzfunktionen verwenden. Alternativ können Sie einen Reserveverwaltungspunkt in Ausführung halten und ihn als Standard für den Fall konfigurieren, dass der erste Verwaltungspunkt offline geschaltet wird.
In der folgenden Tabelle werden die Auswirkungen verschiedener Standortsysteme, die offline sind, erläutert.
| Standortserver | Standortdatenbank | Verwaltungspunkt | Verteilungspunkt | Funktion | |
|---|---|---|---|---|---|
|
Aus |
Online |
Online |
Online |
Keine Standortverwaltung möglich, einschließlich des Erstellens neuer Ankündigungen. Der Verwaltungspunkt erfasst Clientdaten und speichert sie zwischen, bis der Standortserver wieder online ist. Vorhandene Ankündigungen werden ausgeführt, und Clients können Verteilungspunkte finden. |
|
|
Online |
Aus |
Online |
Online |
Keine Standortverwaltung möglich, einschließlich des Erstellens neuer Ankündigungen. Verfügt der Client bereits über eine Richtlinienzuweisung mit neuen Richtlinien und hat der Verwaltungspunkt den Richtlinientext zwischengespeichert, kann der Client eine Anfrage nach dem Richtlinientext erstellen und empfängt die entsprechende Antwort. Es kann keine neue Richtlinienzuweisungsanfrage bearbeitet werden. Clients können Programme nur ausführen, wenn sie bereits erkannt und die zugehörigen Quelldateien bereits lokal auf dem Client zwischengespeichert wurden. |
|
|
Online |
Online |
Aus |
Online |
Obwohl neue Ankündigungen erstellt werden können, empfangen die Clients sie erst, wenn ein Verwaltungspunkt wieder online ist. Clients sammeln weiterhin Informationen zur Inventur, Softwaremessung und zum Status und speichern sie lokal, bis der Verwaltungspunkt wieder verfügbar ist. Clients können Programme nur ausführen, wenn sie bereits erkannt und die zugehörigen Quelldateien bereits lokal auf dem Client zwischengespeichert wurden. |
|
|
Online |
Online |
Online |
Aus |
Clients können Ankündigungen nur dann ausführen, wenn die zugehörigen Quelldateien bereits lokal heruntergeladen wurden. |
|
Siehe auch
Andere Ressourcen
Wartung von Configuration Manager 2007
Bewährte Sicherheitsmethoden für Configuration Manager
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com