Beispielszenarien für die Implementierung internetbasierter Clientverwaltung in Configuration Manager

Letzte Aktualisierung: November 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

In den folgenden Abschnitten finden Sie Beispielszenarien dafür, wie durch die Implementierung der internetbasierten Clientverwaltung in Configuration Manager 2007 die folgenden Unternehmensanforderungen erfüllt werden können:

  • Fortlaufende Verwaltung von Laptops, die regelmäßig vom Intranet ins Internet wechseln

  • Verwaltung von Heimcomputern, die nie eine Verbindung mit dem Intranet herstellen

  • Unterstützung von internetbasierten Clients und Intranetclients im Intranet auf demselben Standortsystemserver

Fortlaufende Verwaltung von Laptops, die regelmäßig vom Intranet ins Internet wechseln

In diesem Szenario wird demonstriert, wie Sie mithilfe der internetbasierten Clientverwaltung einen vorhandenen Configuration Manager-Standort so erweitern können, dass er Clients auch dann unterstützt, wenn diese vom Intranet ins Internet wechseln. In dem ausgewählte Netzwerkentwurf ist ein unterstütztes Szenario integriert, bei dem internetbasierte Standortsysteme in ein Umkreisnetzwerk aufgenommen werden und ein SQL Server-Replikat im Umkreisnetzwerk für zusätzliche Sicherheit eingesetzt wird: Netzwerkdiagramm für internetbasierte Server: Szenario 1 mit SQL Server-Replikation.

A. Datum Corporation verfügt über eine Reihe von Mitarbeitern im Vertrieb, die regelmäßig Kundenbesuche machen und nur ab und zu in das Büro zurückkehren. Die Verwaltung ihrer Laptops zur Bereitstellung aller erforderlichen Softwareupdates und aktuellen Anwendungen ist schwierig, da die Vertriebsmitarbeiter entweder die Zeit finden müssen, ins Büro zurückzukehren, oder eine Verbindung mithilfe der unternehmenseigenen VPN-Lösung herzustellen versuchen müssen, die aber langsam und unzuverlässig ist. Außerdem fordert die Revisionsabteilung wöchentliche aktuelle Inventurberichte zur Aufzeichnung der Anwendungsnutzung, und diese Anforderung kann für die Laptops nicht erfüllt werden, da deren Inventurdaten nicht jede Woche zurückgesendet werden.

Zur fortlaufenden Verwaltung dieser Laptops außerhalb des Intranets beschließt man bei A. Datum Corporation die in der folgenden Tabelle dargelegte Vorgehensweise.

Prozess Referenz

Torsten Arndt ist Configuration Manager-Administrator und verwaltet einen Configuration Manager 2007-Standort. Er liest etwas über die internetbasierte Clientverwaltung und darüber, wie Clients fortlaufend verwaltet werden können, wenn sie vom Intranet ins Internet wechseln.

Übersicht über die internetbasierte Clientverwaltung

Nachdem er die Vor- und Nachteile einer Implementierung der internetbasierten Clientverwaltung oder eines Upgrades der vorhandenen unternehmenseigenen VPN-Lösung gegeneinander abgewogen hat, beschließt er, dass die internetbasierte Clientverwaltung die bessere Lösung ist, da sie nicht davon abhängig ist, dass die Benutzer die Verbindung herstellen.

Bestimmen, ob die internetbasierte Clientverwaltung verwendet werden sollte

Torsten bespricht seinen Vorschlag mit seinem Vorgesetzten, der ihn bittet, die Voraussetzungen für eine internetbasierte Clientverwaltung zu prüfen. Außerdem soll Torsten sicherstellen, dass diese Voraussetzungen erfüllt werden können, und diejenigen Mitarbeiter im Unternehmen hinzuziehen, die zur Unterstützung der Implementierung erforderlich sind.

Torsten überprüft die erforderlichen Voraussetzungen und findet die zu kontaktierenden Mitarbeiter, die in das Projekt einbezogen werden müssen.

Voraussetzungen für die internetbasierte Clientverwaltung

Bestimmen der Administratorrollen und Prozesse für die internetbasierte Clientverwaltung

Torsten erkennt, dass die internetbasierte Clientverwaltung einen einheitlichen Modus erfordert, während der Standort derzeit für den gemischten Modus konfiguriert ist.

Das Unternehmen verfügt bereits über eine PKI-Lösung für Computer im Intranet und Internet, also spricht er zunächst mit dem betreffenden Team, um sicherstellen, dass die Anforderungen erfüllt werden können. Ist dies der Fall, möchte er den Vorgang zum Bereitstellen der erforderlichen Zertifikate initiieren.

Bestimmen, ob die vorhandene PKI im einheitlichen Modus verwendet werden kann

Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus

Dann setzt Torsten Entwurfsmeetings mit dem Netzwerkinfrastrukturteam des Unternehmens an, um zu entscheiden, wie die Internetverbindungen in die vorhandene Netzwerkinfrastruktur integriert werden sollen.

Sie diskutieren die unterstützten Szenarien und die Fragen, wie viele Standorte internetbasierte Clients unterstützen müssen und wo Server platziert werden sollten.

Unterstützte Szenarien für die internetbasierte Clientverwaltung

Bestimmen der Standortplatzierung für die internetbasierte Clientverwaltung

Bestimmen der Serverplatzierung für die internetbasierte Clientverwaltung

Sie beschließen, einen Standort so zu erweitern, dass er im Umkreisnetzwerk über die folgenden zusätzlichen Standortsysteme verfügt:

  • Verwaltungspunkt

  • Softwareupdatepunkt

  • Fallbackstatuspunkt

  • Verteilungspunkte

Netzwerkdiagramm für internetbasierte Server: Szenario 3 ohne SQL Server-Replikation

Sie diskutieren den Entwurf mit dem Sicherheitsteam des Unternehmens, das ihm unter der Bedingung zustimmt, dass SQL-Verbindungen, die aus dem Umkreisnetzwerk initiiert werden, die Sicherheitsgrenze des Intranets nicht überschreiten dürfen.

Der Entwurf wird so überarbeitet, dass im Umkreisnetzwerk ein SQL Server-Replikat verwendet wird, und die Datenbankadministratoren werden über diese Anforderung informiert.

Netzwerkdiagramm für internetbasierte Server: Szenario 3 mit SQL Server-Replikation

Als der Netzwerkentwurf genehmigt wird, zieht Torsten das Netzwerkteam hinzu, das sich um Firewalls und Netzwerkgeräte im Umkreisnetzwerk kümmert.

Die Mitarbeiter dieses Teams identifizieren die Netzwerkports, die verwendet werden sollen, damit sie die Änderungen wie erforderlich vornehmen können.

Hinweis

Für diese Lösung ist eine sorgfältige Planung der PKI-Zertifikatsperrung erforderlich. Auf diese Weise können Configuration Manager-Clients immer auf die in den Zertifikaten des Standortsystems für den einheitlichen Modus aufgeführte Zertifikatsperrliste zugreifen. Standortsystemserver im einheitlichen Modus können außerdem auf die in den Clientzertifikaten im einheitlichen Modus aufgeführte Zertifikatsperrliste zugreifen. Für den PKI-Entwurf der Zertifikatsperrliste ist möglicherweise eine zusätzliche Infrastrukturkonfiguration erforderlich. Beispiel: Ein Configuration Manager-Client im Internet stellt eine HTTP-Verbindung zum Zugriff auf die Zertifikatsperrliste her. Hierzu müssen Firewall, Proxyserver und DNS konfiguriert werden.

Bestimmen der erforderlichen Ports für die internetbasierte Clientverwaltung

Die Configuration Manager-CRL-Abhängigkeiten werden im folgenden Abschnitt aufgelistet: Voraussetzungen für den einheitlichen Modus.

Die Internet-DNS-Server des Unternehmens werden von einem externen Unternehmen verwaltet. Torsten sendet eine Änderungsanforderung zur Veröffentlichung der Internet-FQDNs der internetbasierten Standortsysteme im DNS. Er stellt die erforderlichen Informationen zur Verfügung.

Konfigurieren des DNS für Configuration Manager-Standortsystemrollen

Mit den jetzt bereitgestellten PKI-Zertifikaten migriert Torsten den Standort zum einheitlichen Modus und überwacht ihn eine Zeit lang, um sicherzustellen, dass es keine Probleme gibt.

Migrieren des Standortmodus vom gemischten zum einheitlichen Modus

Identifizieren von Clientzertifikatproblemen im einheitlichen Modus

Zusätzliche Server werden installiert und mit Sicherheitsrichtlinien, die für Computer im Umkreisnetzwerk geeignet sind, gesichert.

Torsten überprüft, ob die Netzwerkinfrastruktur den Anforderungen entsprechend konfiguriert ist.

Interner unternehmensspezifischer Prozess

Torsten installiert die internetbasierten Standortsystemrollen auf den Servern mit der folgenden Konfiguration:

  • Installationskonto, das sich auf dem Server befindet

  • Internet-FQDN des Standortsystems

  • Die Option Nur von Standortservern initiierte Datenübertragungen von diesem Standortsystem zulassen

Konfigurieren des Standortsystem-Installationskontos

Konfigurieren des Internet-FQDN von Standortsystemen, die die internetbasierte Clientverwaltung unterstützen

Konfigurieren internetbasierter Standortsysteme, damit nur von Standortservern initiierte Datenübertragungen zugelassen werden

Torsten konfiguriert den internetbasierten Softwareupdatepunkt so, dass er Softwareupdates synchronisiert.

Synchronisieren von Softwareupdates

Die Datenbankadministratoren installieren und konfigurieren ein SQL Server-Replikat im Umkreisnetzwerk.

Konfigurieren der SQL Server-Standortdatenbankreplikation

Torsten konfiguriert die internetbasierten Standortsysteme so, dass sie nur Verbindungen von Internetclients akzeptieren.

Konfigurieren eines Verwaltungspunkts für internetbasierte Clientverbindungen

Konfigurieren eines Verteilungspunkts für internetbasierte Clientverbindungen

Konfigurieren eines Fallbackstatuspunkts für internetbasierte Clientverbindungen

Konfigurieren eines Softwareupdatepunkts für internetbasierte Clientverbindungen

Torsten konfiguriert die internetbasierten Verteilungspunkte so, dass sie Inhalte über das Internet übertragen können.

Konfigurieren eines Verteilungspunkts für die Übertragung von Inhalt mithilfe von BITS, HTTP und HTTPS

Torsten führt einen Pilottest mit einigen Computern durch und gibt dabei den internetbasierten Verwaltungspunkt-FQDN auf dem Client über die Systemsteuerung auf der Registerkarte Internet in Configuration Manager an.

Zuweisen von Configuration Manager-Clientcomputern zum internetbasierten Verwaltungspunkt

Als die vorläufigen Tests erfolgreich sind, erweitert Torsten den Pilottest, indem er ein Skript an einige Computer sendet, das auf diesen eine Neuinstallation mit den folgenden Installationsparametern ausführt:

  • Zuweisung zum Internetstandort

  • Kommunikation im einheitlichen Modus und CRL-Prüfung

  • FQDN des internetbasierten Verwaltungspunkts

  • FQDN des internetbasierten Fallbackstatuspunkts

Informationen zu Clientinstallationseigenschaften von Configuration Manager

Die Laptopbenutzer werden über diese zu implementierenden Änderungen informiert, und der Helpdesk erhält aktualisierte Informationen darüber, wie die Problembehandlung für Clients erfolgen soll, die Probleme bei der Installation von Anwendungen oder Softwareupdates haben, wenn sie sich im Internet befinden.

Interner unternehmensspezifischer Prozess

Zufrieden mit den Ergebnissen des Pilottests sendet Torsten dasselbe Installationsskript an die Laptops.

Er überwacht, wann das Skript erfolgreich an jeden Client gesendet wurde, und verfolgt die Clientbereitstellung mit den vom Fallbackstatuspunkt generierten Berichten. Zusätzlich identifiziert er die Clientkonfigurationsdetails mithilfe der Daten der Clienthardwareinventur.

Informationen zum Fallbackstatuspunkt in Configuration Manager

Identifizieren der Clientkonfigurationsdetails für den einheitlichen Modus und internetbasierte Clientverwaltung

Nach sechs Wochen stellt Torsten fest, dass 95 Prozent der Laptopcomputer das Skript erhalten haben und Inventurdaten von diesen Computern ebenso regelmäßig gesendet werden wie von Computern im Intranet.

Zusätzlich melden die Laptops den gleichen Kompatibilitätsgrad bezüglich der Softwareupdates wie die Computer im Intranet.

Berichtkategorie Software – Unternehmen und Produkte:

  • Alle inventarisierten Produkte und Versionen zählen

Informationen zu Softwareupdateberichten

Torsten fordert Feedback vom Helpdesk und den Benutzern an, damit er den Vorgang auf Verbesserungen oder Änderungen überprüfen kann.

Interner unternehmensspezifischer Prozess

Torsten kann wie angefordert rechtzeitig Inventurberichte bereitstellen.

Interner unternehmensspezifischer Prozess

Diese Bereitstellung internetbasierter Clientverwaltung kann folgende Auswirkungen auf Benutzer haben, deren Computer für die Internet- und Intranetclientverwaltung konfiguriert sind:

  • Laptop wechselt vom Intranet in das Internet:

    Wenn die Vertriebsmitarbeiterin über eine Internetverbindung verfügt, sendet der Laptop weiterhin Inventurdaten und Kompatibilitätsinformationen an seinen Standort. Erforderliche Anwendungen und Softwareupdates werden automatisch installiert, der Download nimmt allerdings zuweilen einige Zeit in Anspruch. Wenn die Verbindung jedoch getrennt wird, wird der Download wieder aufgenommen, sobald die Verbindung mit dem Internet wieder hergestellt wird.

    Die Vertriebsmitarbeiterin empfängt keine Softwareverteilungen, die an ihr Windows-Benutzerkonto gesendet werden, diese Anwendungen sind aber optional und nicht erforderlich.

  • Der Laptop wechselt vom Internet in das Intranet:

    Eine Vertriebsmitarbeiterin kehrt nach vierwöchiger Abwesenheit ins Büro zurück. Sie verbindet ihren Laptop mit dem Intranet, und ein Download für ein großes Softwareverteilungspaket wird an der Stelle wieder aufgenommen, an der sie ihn abgebrochen hatte. Mit der schnelleren Netzwerkverbindung wird der Download schneller abgeschlossen.

    Die Benutzerin sieht, dass zwei optionale Softwareverteilungen verfügbar sind, und beschließt, diese für den Fall zu installieren, dass sie sie später benötigt.

Verwaltung von Heimcomputern, die nie eine Verbindung mit dem Intranet herstellen

In diesem Szenario wird demonstriert, wie Sie mit der internetbasierten Clientverwaltung einen neuen Configuration Manager-Standort erstellen können, der Clients im Internet unterstützt, die nie eine Verbindung mit dem Intranet herstellen. In dem ausgewählten Netzwerkentwurf ist ein unterstütztes Szenario integriert, bei dem sich ein untergeordneter Standort vollständig im Umkreisnetzwerk befindet: Netzwerkdiagramm für internetbasierte Server: Szenario 2 mit untergeordnetem Standort.

Coho Winery beschäftigt eine Reihe von Vertragsbenutzern in Heimarbeit. Diese arbeiten mit ihren eigenen Computern und kommunizieren per E-Mail mit dem Unternehmen. Sie verfügen über keine Windows-Benutzerkonten im Intranet und melden sich daher nie am Intranet an. Manchmal benötigen sie jedoch Softwareanwendungen für ihre Arbeit, und sie möchten gern erprobte Softwareupdates automatisch installieren lassen, um die Sicherheit ihrer Computer dauerhaft zu gewährleisten.

Um den Heimarbeitern eine Verwaltung auf dieser Ebene bieten zu können, beschließt man daher bei Coho Winery, den Configuration Manager-Client auf diesen Computern mit einer reinen Internetkonfiguration zu installieren. Dies ermöglicht eine Verwaltung der Heimcomputer, wodurch die Effizienz und Produktivität der Heimarbeiter erhöht wird. Sonja Nitsche ist Configuration Manager-Administrator, und sie geht vor, wie in der folgenden Tabelle beschrieben.

Prozess Referenz

Sonja liest etwas über die internetbasierte Clientverwaltung und darüber, wie Clients so konfiguriert werden können, dass sie ausschließlich über das Internet verwaltet werden und Softwareverteilungen und -updates empfangen können.

Übersicht über die internetbasierte Clientverwaltung

Sonja bespricht ihren Vorschlag mit ihrem Vorgesetzten, der sie bittet, die Voraussetzungen für eine internetbasierte Clientverwaltung zu prüfen. Außerdem soll Sonja sicherstellen, dass diese Voraussetzungen erfüllt werden können, und diejenigen Mitarbeiter im Unternehmen hinzuziehen, die zur Unterstützung der Implementierung erforderlich sind.

Sonja überprüft die erforderlichen Anforderungen und findet die Mitarbeiter, die in das Projekt einbezogen werden müssen.

Voraussetzungen für die internetbasierte Clientverwaltung

Bestimmen der Administratorrollen und Prozesse für die internetbasierte Clientverwaltung

Sonja erkennt, dass die internetbasierte Clientverwaltung einen einheitlichen Modus erfordert, während die Hierarchie derzeit für den gemischten Modus konfiguriert ist.

Das Unternehmen verfügt über keine PKI-Lösung, daher erkundigt sie sich darüber mit höchster Priorität.

Nach Diskussionen mit dem Management ist dieses bereit, PKI-Berater mit der Implementierung einer PKI-Lösung zu beauftragen, die für den Configuration Manager geeignet ist und die zukünftig für die Unterstützung weiterer Unternehmensanforderungen erweitert werden kann.

PKI-Berater werden mit dem Entwurf der Migration des zentralen Standorts in der Configuration Manager-Hierarchie zum einheitlichen Modus beauftragt. Dadurch kann ein neuer untergeordneter Standort für den einheitlichen Modus erstellt werden, der die reinen Internetclients unterstützt.

Sonja übergibt den Beratern eine Liste der Zertifikatanforderungen für den einheitlichen Modus, die für den zentralen Standort und den neuen untergeordneten Standort umgesetzt werden müssen.

Zertifikatanforderungen für den einheitlichen Modus

Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus

Dann setzt Sonja Entwurfsmeetings mit dem Netzwerkinfrastrukturteam des Unternehmens an, um zu entscheiden, wie die Internetverbindungen in die vorhandene Netzwerkinfrastruktur integriert werden sollen.

Sie diskutieren die unterstützten Szenarien und die Fragen, wie viele Standorte internetbasierte Clients unterstützen müssen und wo Server platziert werden sollten.

Unterstützte Szenarien für die internetbasierte Clientverwaltung

Bestimmen der Standortplatzierung für die internetbasierte Clientverwaltung

Bestimmen der Serverplatzierung für die internetbasierte Clientverwaltung

Sie beschließen, einen neuen Standort im Umkreisnetzwerk zu erstellen.

Netzwerkdiagramm für internetbasierte Server: Szenario 2 mit untergeordnetem Standort

Sie diskutieren den Entwurf mit dem Sicherheitsteam des Unternehmens, das ihm unter der Bedingung zustimmt, dass der SMB-Verkehr, der die Sicherheitsgrenze des Umkreisnetzwerks überschreitet, mit IPsec gesichert wird.

Die PKI-Berater nehmen diese Anforderung in ihren Entwurf auf.

Implementieren von IPsec in Configuration Manager 2007

Als der Netzwerkentwurf genehmigt wird, zieht Sonja das Netzwerkteam hinzu, das sich um Firewalls und Netzwerkgeräte im Umkreisnetzwerk kümmert.

Die Mitarbeiter dieses Teams identifizieren die Ports, die verwendet werden sollen, damit sie die Änderungen wie erforderlich vornehmen können.

Bestimmen der erforderlichen Ports für die internetbasierte Clientverwaltung

Die Internet-DNS-Server des Unternehmens werden intern im Umkreisnetzwerk verwaltet. Sonja sendet eine Änderungsanforderung zur Veröffentlichung der Internet-FQDNs der internetbasierten Standortsysteme im DNS. Sie stellt die erforderlichen Informationen zur Verfügung.

Konfigurieren des DNS für Configuration Manager-Standortsystemrollen

Mit den jetzt bereitgestellten PKI-Zertifikaten migriert Sonja den zentralen Standort zum einheitlichen Modus und überwacht ihn eine Zeit lang, um sicherzustellen, dass es keine Probleme gibt.

Migrieren des Standortmodus vom gemischten zum einheitlichen Modus

Zusätzliche Server werden installiert und mit Sicherheitsrichtlinien, die für Computer im Umkreisnetzwerk geeignet sind, gesichert.

Sonja überprüft, ob die Netzwerkinfrastruktur den Anforderungen entsprechend konfiguriert ist.

Interner unternehmensspezifischer Prozess

Sonja installiert einen neuen untergeordneten Standort im Umkreisnetzwerk und konfiguriert die internetbasierten Standortsystemrollen mit dem Internet-FQDN der Standortsysteme, die bei den Internet-DNS-Servern registriert sind.

Konfigurieren des Internet-FQDN von Standortsystemen, die die internetbasierte Clientverwaltung unterstützen

Sonja konfiguriert den internetbasierten Softwareupdatepunkt so, dass er Softwareupdates synchronisiert.

Synchronisieren von Softwareupdates

Sonja konfiguriert die internetbasierten Standortsysteme so, dass sie nur Verbindungen von Internetclients akzeptieren.

Konfigurieren eines Verwaltungspunkts für internetbasierte Clientverbindungen

Konfigurieren eines Verteilungspunkts für internetbasierte Clientverbindungen

Konfigurieren eines Fallbackstatuspunkts für internetbasierte Clientverbindungen

Konfigurieren eines Softwareupdatepunkts für internetbasierte Clientverbindungen

Sonja konfiguriert die internetbasierten Verteilungspunkte so, dass sie Inhalte über das Internet übertragen können.

Konfigurieren eines Verteilungspunkts für die Übertragung von Inhalt mithilfe von BITS, HTTP und HTTPS

Sonja führt einen Pilottest mit einigen Computern durch und gibt dabei den internetbasierten Verwaltungspunkt-FQDN über die Systemsteuerung des Clients auf der Registerkarte Internet in Configuration Manager an.

Zuweisen von Configuration Manager-Clientcomputern zum internetbasierten Verwaltungspunkt

Nachdem die Betriebstests erfolgreich verlaufen sind, erstellt und testet Sonja ein Installationspaket mit allen Quelldateien. Bei dieser Installation wird der Configuration Manager-Client mit den folgenden Installationsparametern installiert:

  • Zuweisung zum Internetstandort

  • Reine Internetkonfiguration

  • Kommunikation im einheitlichen Modus

  • FQDN des internetbasierten Verwaltungspunkts

  • FQDN des internetbasierten Fallbackstatuspunkts

  • Kopie des Standortserver-Signaturzertifikats

Informationen zu Clientinstallationseigenschaften von Configuration Manager

Das PKI-Team richtet ein Webportal im Umkreisnetzwerk ein, mit dem die Heimarbeiter eine Verbindung herstellen und bei dem sie die benötigten Zertifikate anfordern können.

Interner unternehmensspezifischer Prozess

Die Heimarbeiter werden über den neuen Service informiert und angewiesen, die Installation in zwei Schritten durchzuführen:

  • Zunächst müssen sie eine Verbindung mit dem Zertifikatwebportal herstellen und ein Zertifikat anfordern.

  • Dann müssen sie das Installationspaket auf der CD ausführen, die sie per Post erhalten.

Interner unternehmensspezifischer Prozess

Der Helpdesk erhält aktualisierte Informationen darüber, wie die Problembehandlung für Clients erfolgen soll, die Probleme mit dem Anfordern der Zertifikate oder mit der Installation des Clients haben.

Interner unternehmensspezifischer Prozess

Nach einem Pilottest mit einigen Heimarbeitern ist Sonja zufrieden mit den Ergebnissen. Die Installations-CD wird per Post an die verbleibenden Heimarbeiter gesendet.

Interner unternehmensspezifischer Prozess

Nach sechs Wochen stellt Sonja fest, dass 100 Prozent der Computer der Heimarbeiter dem Standort erfolgreich zugeordnet sind und Softwareverteilungen und -updates empfangen.

Informationen zum Fallbackstatuspunkt in Configuration Manager

Sonja fordert Feedback vom Helpdesk und den Benutzern an, damit sie den Vorgang auf Verbesserungen oder Änderungen überprüfen kann.

Interner unternehmensspezifischer Prozess

Diese Bereitstellung der internetbasierten Clientverwaltung kann folgende Auswirkungen auf die Heimarbeiter haben, wenn deren Computer für die reine Internetverwaltung konfiguriert sind:

  • Softwareupdates werden automatisch installiert.

    Einige Heimarbeiter denken daran, Windows Update auszuführen, die meisten aber vergessen es oder wissen nicht, welche Updates sie installieren sollen. Die automatische Installation von kritischen Softwareupdates unterstützt sie dabei, die Sicherheit ihrer Computer dauerhaft zu gewährleisten.

  • Softwareanwendungen werden verfügbar gemacht.

    Zum Bearbeiten von Projekten sind oft bestimmte Anwendungen erforderlich. Anstatt zu versuchen, diese als E-Mail-Anhang zu senden und dann zu installieren oder sie per Post zu versenden, werden sie nun als verfügbare Anwendungen angezeigt, die von den Heimarbeitern nach Bedarf ausgewählt werden können.

Unterstützung von internetbasierten Clients und Intranetclients im Intranet auf demselben Standortsystemserver

In diesem Szenario wird demonstriert, wie Sie die internetbasierte Clientverwaltung einem im Intranet vorhandenen Configuration Manager-Standort hinzufügen können, ohne dass dazu dem Umkreisnetzwerk neue Standortsystemserver hinzugefügt werden müssen. Da bei dieser Konfiguration die Sicherheitsgrenze des Umkreisnetzwerks mit dem Intranet verbunden wird, ist dies keine bewährte Sicherheitsmethode. Wie bei diesem Szenario ist diese Methode jedoch äußerst effizient zum Testen des internetbasierten Clientverwaltungsfeatures, ohne dass hierzu zusätzliche Server installiert und konfiguriert werden müssen. Zudem wird die Zertifikatsperrüberprüfung auf Clients deaktiviert, um die für ein Produktionsnetzwerk erforderliche zusätzliche Konfiguration zum Veröffentlichen einer für das Internet verfügbaren Zertifikatsperrliste zu vermeiden.

Der Netzwerkentwurf beinhaltet die Unterstützung des Configuration Manager 2007-Standorts, der sich im Intranet befindet. Die Standortsysteme, die für die internetbasierte Clientverwaltung konfiguriert wurden, akzeptieren sowohl Internet- als auch Intranetverbindungen. (Netzwerkdiagramm für internetbasierte Server: Szenario 4 mit Internetverbindungen mit dem Intranet.)

Die Administratoren von Trey Research möchten die internetbasierte Clientverwaltung implementieren, um die Computerverwaltungsstrategie für die vorhandene Configuration Manager-Hierarchie zu ergänzen. Im Unternehmen gab es in der Vergangenheit Probleme, Laptops immer mit wichtigen Sicherheitssoftwareupdates und Anwendungsupdates zu aktualisieren, wenn Mitarbeiter über einen längeren Zeitraum nicht an ihrem Arbeitsplatz waren, weil sie weltweit Konferenzen besuchten. Bei Trey Research ist zurzeit keine Public-Key-Infrastruktur (PKI) installiert, was jedoch eine Voraussetzung für die internetbasierte Clientverwaltung darstellt. Bevor die Geschäftsführung dem Projekt zustimmen wird, muss zuerst sichergestellt werden, dass die internetbasierte Clientverwaltung funktioniert und die erforderlichen Geschäftsvorteile bietet.

Der Configuration Manager-Administrator, Oliver Kiel, führt die Aktionen in der folgenden Tabelle durch.

Prozess Referenz

Oliver verwendet für diesen Test eine Active Directory-Nichtproduktions-Gesamtstruktur in einem isolierten Teil des Intranets, das zusätzlich über einen Zugriff auf das Internet verfügt.

Der Internetnamespace des Unternehmens ist treyresearch.net, und der interne Active Directory-Namespace für das Testnetzwerk ist testnet.treyresearch.net.

Interner Prozess

Oliver benötigt eine schnelle Bereitstellung bei begrenzter Testausstattung und entscheidet sich daher für die Verwendung von nur einem Server für alle Configuration Manager-Standortsysteme, auf dem die folgenden Standortsystemrollen gehostet werden:

  • Standortserver

  • Verwaltungspunkt

  • Verteilungspunkt

  • Softwareupdatepunkt

Oliver stellt für diese Machbarkeitsstudie keinen Fallbackstatuspunkt bereit, da dieser zwar zur Identifizierung von Clientverbindungsproblemen hilfreich, für die Überprüfung der grundlegenden Standortausführung jedoch nicht erforderlich ist.

Bei der Lektüre der Serverplatzierungsoptionen für internetbasierte Standortsysteme stellt Oliver fest, dass Intranetclients und internetbasierte Clients auf einem einzelnen Standortsystem unterstützt werden können. Dies stellt zwar keine bewährte Sicherheitsmethode dar, bietet für Oliver jedoch den Vorteil, dass eine geringere Anzahl an Servern installiert und konfiguriert werden müssen. Mithilfe dieser Strategie kann Oliver die Überprüfung des internetbasierten Clientverwaltungsfeatures schneller durchführen, als dies bei der Installation und Konfiguration von mehreren Servern der Fall wäre. Die Sicherheitsrisiken durch das Hosting von mehreren Standortsystemrollen auf einem einzelnen Server sowie durch das Akzeptieren von Internetverbindungen mit dem Intranet werden durch die Isolation des Testnetzwerks vom Produktionsnetzwerk gemindert.

Informationen zum Fallbackstatuspunkt in Configuration Manager

Bestimmen der Serverplatzierung für die internetbasierte Clientverwaltung

Oliver installiert einen neuen Server (mit dem Namen IBCMServer), auf dem Windows Server 2003 Service Pack 1 ausgeführt wird. Er fügt diesen Server der Domäne hinzu. Dieser Server ist der einzige Standortsystemserver. Er installiert auf diesem Server IIS und alle weitere Voraussetzungen für Configuration Manager 2007.

Dann erweitert Oliver das Active Directory-Schema für Configuration Manager 2007 und aktiviert die Veröffentlichung, indem er den Systemverwaltungscontainer erstellt und die Berechtigungen für den IBCMServer-Computer konfiguriert.

Oliver installiert nun einen Laptopcomputer mit Windows Vista und fügt ihn der Domäne hinzu.

Voraussetzungen für die Configuration Manager-Installation

Erweitern des Active Directory-Schemas für Configuration Manager

Im nächsten Schritt bespricht Oliver seinen Entwurf für die Machbarkeitsstudie mit dem Netzwerkteam, das die Anforderungen für Internetverbindungen im Unternehmen verwaltet. Nach dem Lesen der externen Abhängigkeiten für die internetbasierte Clientverwaltung erkennt Oliver, dass er für folgende Punkte die Hilfe des Netzwerkteams benötigt:

  • Die Konfiguration der Front-End-Firewall muss den Datenverkehr für die internetbasierte Clientverwaltung zulassen.

  • Die Internet-DNS-Server des Unternehmens müssen mit einem öffentlichen Hosteintrag für das internetbasierte Teststandortsystem konfiguriert werden.

    Sie entscheiden sich für die Verwendung des Hostnamens IBCMServer, der Internet-FQDN ist daher IBCMServer.treyresearch.net.

  • Das internetbasierte Standortsystem muss vom Back-End-Microsoft ISA Server für das Intranet veröffentlicht werden.

Voraussetzungen für die internetbasierte Clientverwaltung

Das Netzwerkteam benötigt zuerst die Genehmigung des Sicherheitsteams, bevor sie die Änderungen der vorhandenen Internetinfrastruktur ausführen können.

Das Sicherheitsteam überprüft den Plan und äußert Bedenken in Bezug auf den Server im Intranet, der für Datenverkehr aus dem Internet verfügbar ist.

Oliver erklärt, dass dieser Entwurf lediglich für eine Machbarkeitsstudie in einem isolierten Netzwerk erstellt wurde und zeigt dem Team die verschiedenen unterstützten Entwürfe für Produktionsnetzwerke. In diesen Entwürfen empfängt der Standortserver keine Daten aus dem Internet. Obwohl die internetbasierten Standortsysteme Internet- und Intranetverbindungen unterstützen, bieten andere Entwürfe eine größere Sicherheit.

Das Sicherheitsteam genehmigt den Entwurf der Machbarkeitsstudie unter der Voraussetzung, dass Oliver mit dem Team eine umfangreichere Überprüfung des endgültigen Entwurfs durchführt, wenn das Projekt zugelassen wird.

Unterstützte Szenarien für die internetbasierte Clientverwaltung

Oliver überprüft, ob der Computername IBCMServer automatisch vom Mitgliedsserver in der internen Active Directory DNS-Zone von testnet.treyresearch.net registriert wurde.

Das Netzwerkteam fügt der öffentlichen DNS-Zone von treyresearch.net manuell einen DNS-A-Eintrag für IBCMServer hinzu. Da dieses internetbasierte Standortsystem von ISA Server veröffentlicht wird, ist dieser Eintrag mit einer IP-Adresse eines externen Adapters von ISA Server konfiguriert, der aktuell nicht in Verwendung ist. Diese externe IP-Adresse muss den Verbindungen der internetbasierten Clientverwaltung zugeordnet werden.

Hinweis

Wenn Oliver mehr als einen Server für die internetbasierten Standortsystemrollen verwendet hätte, wäre für jedes interne Standortsystem, das Verbindungen über das Internet akzeptiert, eine eigene zugeordnete externe IP-Adresse erforderlich. Dies ist auch der Fall, wenn alle Verbindungen über denselben ISA Server-Computer ausgeführt werden.

Konfigurieren des DNS für Configuration Manager-Standortsystemrollen

Oliver beschäftigt sich nun mit den PKI-Anforderungen und überprüft, welche Zertifikate für das Testnetzwerk erforderlich sind. Er durchsucht die Dokumentationsthemen nach Informationen zu Zertifikatsanforderungen und den jeweiligen Installationsanleitungen.

Aufgrund der begrenzten Anwendung der Testumgebung sind nur folgende Zertifikate erforderlich:

  • Stammzertifizierungsstelle

  • Standortserver-Signaturzertifikat

  • Webserverzertifikat (für Intranet-FQDN und Internet-FQDN)

  • Clientzertifikate

Zertifikatanforderungen für den einheitlichen Modus

Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate

Oliver erkennt, dass die erforderlichen Zertifikate am einfachsten mithilfe einer Microsoft-Stammzertifizierungsstelle für Unternehmen bereitgestellt werden können und hierzu die Enterprise Edition von Windows Server 2003 verwendet werden kann. Diese Lösung bietet die folgenden Vorteile:

  • Die Stammzertifizierungsstelle wird automatisch für alle Computer in der Active Directory-Gesamtstruktur bereitgestellt.

  • Die webbasierte Registrierung kann zur Anforderung von benutzerdefinierten Zertifikaten mit automatischer Genehmigung verwendet werden.

  • Die automatische Registrierung wird von der Gruppenrichtlinie unterstützt.

Oliver überprüft, ob der einzelne Active Directory-Domänencontroller im Testnetzwerk die Enterprise Edition von Windows Server 2003 ausführt und IIS (Internet Information Services) installiert wurde.

Oliver installiert auf dem Domänencontroller dann die Microsoft Zertifikatdienste (mit den Unterkomponenten Zertifizierungsstelle für Zertifikatdienste und Webregistrierungsunterstützung für Zertifikatdienste) und konfiguriert eine Stammzertifizierungsstelle für Unternehmen.

Nach der Lektüre der Informationen zum Bereitstellen des Webserverzertifikats für Standortsystemserver stellt Oliver fest, dass er die Unterstützung des SAN-Zertifikatattributs (Subject Alternative Name, Alternativer Antragstellername) aktivieren muss, damit er sowohl Intranet-FQDN als auch Internet-FQDN angeben kann. Er führt die im Artikel aufgelisteten Schritte zum Aktivieren der SAN-Unstützung auf der Stammzertifizierungsstelle aus. Diese gibt in dieser Testumgebung auch die Zertifikate aus.

Bestimmen, ob die vorhandene PKI im einheitlichen Modus verwendet werden kann

Bereitstellen der Webserverzertifikate für Standortsystemserver

Informationen zur Unterstützung von alternativen Antragstellernamen mit einer Microsoft-Zertifizierungsstelle finden Sie unter: http://go.microsoft.com/fwlink/?LinkId=93692

Oliver verfügt über wenig PKI-Erfahrung, daher liest er die schrittweise Anleitung des Bereiststellungshandbuchs in der Configuration Manager-Bibliothek.

Er befolgt die für das Signaturzertifikat des Standortservers und für die Bereitstellung von Clientzertifikaten aufgeführten Schritte genau. Er muss allerdings den Prozess zum Angeben des Webserverzertifikats für dieses internetbasierte Standortsystem ändern, da hierfür sowohl Intranet-FQDN als auch Internet-FQDN im alternativen Antragstellernamen erforderlich sind:

  • Er verwendet die Vorlage für das Webserverzertifikat, ohne dies zu ändern, und überprüft, ob auf der Registerkarte Antragstellername die Option Informationen wurden in der Anforderung angegeben aktiviert ist.

  • Er verwendet die Webregistrierungsmethode für die Anforderung des Webserverzertifikats vom Mitgliedsserver, so wie er dies auch für das Signaturzertifikat des Standortservers ausgeführt hat.

  • Im Zertifikatformular gibt Oliver den Intranet-FQDN als Antragstellername an. Im Feld Attribute gibt er sowohl den Intranet-FQDN als auch den Internet-FQDN wie folgt ein: san:dns=IBCMServer.testnet.research.net&dns=IBCMServer.research.net.

  • Er übermittelt das Zertifikat, es wird umgehend genehmigt, und Oliver installiert es auf der Standardwebsite.

  • Oliver kehrt nun wieder zur schrittweisen Anleitung im Bereiststellungshandbuch zurück und befolgt die Informationen zum Konfigurieren von ISS für die Verwendung des Webserverzertifikats.

Beispiel für schrittweise Bereitstellung der für Configuration Manager im einheitlichen Modus erforderlichen PKI-Zertifikate: Windows Server 2003-Zertifizierungsstelle

Informationen zur Unterstützung von alternativen Antragstellernamen mit einer Microsoft-Zertifizierungsstelle finden Sie unter: http://go.microsoft.com/fwlink/?LinkId=93692

Nach der Überprüfung der Anforderungen für den einheitlichen Modus stellt Oliver fest, dass Clients im Internet nicht standardmäßig auf die Zertifikatsperrliste (Certificate Revocation List, CRL) zugreifen können, da sich die ausstellende Zertifizierungsstelle im Intranet befindet. Für die Zertifizierungsstelle wird standardmäßig eine Intranet-CRL veröffentlicht.

Oliver liest das Planungsthema zur CRL-Prüfung und erkennt, dass keine Verbindungen zu den internetbasierten Standortsystemrollen hergestellt werden können, wenn ein Client im Internet nach der CRL sucht und diese nicht finden kann.

Statt der CRL-Veröffentlichung im Internet, wie dies für ein Produktionsnetzwerk erforderlich wäre, entscheidet sich Oliver für die Deaktivierung der CRL-Prüfung auf den Clients in dieser Testumgebung, sodass zusätzliche Konfigurationsanforderungen minimiert werden.

Voraussetzungen für den einheitlichen Modus

Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus)

Oliver führt das Configuration Manager 2007-Setup dann auf dem Mitgliedsserver mit den folgenden Einstellungen aus:

  • Einfache Installation

  • Gleicher Standortcode im Antragstellernamen des Signaturzertifikats des Standortservers.

  • Einheitlicher Modus, erfolgreiches Durchsuchen des bereitgestellten Signaturzertifikats des Standortservers.

Wenn das Setup abgeschlossen ist, führt Oliver die folgenden Aufgaben aus:

  • Konfigurieren einer Active Directory-Grenze.

  • Konfigurieren eines Standortsystemservers mit Intranet-FQDN für IBCMServer.testnet.treyresearch.net und Internet-FQDN für IBCMServer.treyresearch.net.

  • Deaktivieren der CRL-Prüfung von Clients als Standorteigenschaft zur Unterstützung der Testnetzwerkumgebung.

Übersicht über die einfache Installation

Bereitstellen eines Standorts mithilfe einer einfachen Installation

Konfigurieren von Grenzen in Configuration Manager

Konfigurieren des Intranet-FQDN der Standortsysteme

Konfigurieren des Internet-FQDN von Standortsystemen, die die internetbasierte Clientverwaltung unterstützen

Aktivieren oder Deaktivieren der CRL-Prüfung (Certificate Revocation List) auf Clients

Oliver installiert den Configuration Manager-Client nun auf dem Laptop, konfiguriert die Softwareupdates und überprüft die Standardausführung von Configuration Manager im Intranet.

Aufgaben für die Installation von Configuration Manager-Clients

Softwareupdates in Configuration Manager

Sobald die Intranetausführung im einheitlichen Modus bestätigt wurde, konfiguriert Oliver die Standortsystemrollen, sodass Intranet- und Internetclientverbindungen zugelassen werden.

Er überprüft außerdem, ob der Verteilungspunkt für die Inhaltsübertragung mit BITS und HTTP konfiguriert ist.

Konfigurieren eines Verwaltungspunkts für internetbasierte Clientverbindungen

Konfigurieren eines Softwareupdatepunkts für internetbasierte Clientverbindungen

Konfigurieren eines Verteilungspunkts für internetbasierte Clientverbindungen

Konfigurieren eines Verteilungspunkts für die Übertragung von Inhalt mithilfe von BITS, HTTP und HTTPS

Oliver gibt in der Systemsteuerung des Laptopcomputers im Configuration Manager auf der Registerkarte Internet den folgenden internetbasierten Clientverwaltungspunkt an: IBCM.treyresearch.com.

Zuweisen von Configuration Manager-Clientcomputern zum internetbasierten Verwaltungspunkt

Das Netzwerkteam führt die letzten erforderlichen Konfigurationen aus, damit der Internetdatenverkehr sowohl für das Umkreisnetzwerk als auch für das Intranet zugelassen wird:

  • Der Back-End-Microsoft ISA Server wird mit einer Serververöffentlichungsregel konfiguriert, damit über Port 443 eingehende HTTPS-Anforderungen an IBCMServer.treyresearch.net den über Port 443 eingehenden HTTPS-Anforderungen an IBCMServer.testnet.treyresearch.net zugeordnet werden. Diese Konfiguration verwendet SSL-Tunneling, und daher sind hierfür keine zusätzlichen Zertifikate auf dem ISA Server erforderlich.

  • Die Konfiguration der Front-End-Firewall wird überprüft, damit der eingehende Datenverkehr von Port 443 für den ISA Server zugelassen wird.

Bestimmen der erforderlichen Ports für die internetbasierte Clientverwaltung

Bestimmen der Anforderungen für Proxywebserver zur Verwendung mit internetbasierter Clientverwaltung

Oliver entfernt den Testlaptop dann aus dem Testnetzwerk und erstellt eine neue optionale Softwareupdatebereitstellung mithilfe des Softwareupdatefeatures in Configuration Manager.

Er nimmt den Testlaptop dann mit nach Hause. Dort stellt Oliver eine Verbindung mit dem Internet her und initiiert manuell die Clientrichtlinie. Er empfängt eine Benachrichtigung über ein optionales Softwareupdate und kann dieses erfolgreich installieren.

Initiieren des Richtlinienabrufs für einen Configuration Manager-Client

Informationen zur Endbenutzerführung für Softwareupdates

Dialogfeld „Verfügbare Softwareupdates“ auf Clients

Nach diesem ersten erfolgreichen Test führt Oliver weitere Tests mit automatischen Softwareupdates und Softwareverteilungen aus. Er kann bestätigen, dass die Hardwareinventur und Kompatibilitätsinformationen für die Verwaltung gewünschter Konfigurationen auch dann gemeldet werden, wenn sich der Laptop im Internet befindet. Er bestätigt außerdem, dass ein Inhaltsdownload nahtlos fortgesetzt werden kann, wenn der Laptop vom Internet ins Intranet und umgekehrt wechselt.

Oliver dokumentiert diese Ergebnisse und präsentiert sie zwei Wochen später der Geschäftsführung. Das erfolgreiche Ergebnis überzeugt die Geschäftsführung davon, dass die internetbasierte Clientverwaltung eine große Benutzerfreundlichkeit sowie eine effektive Methode zum Verwalten von Laptops bietet. Dies gilt auch für die Fälle, in denen sich die Laptops außerhalb des Unternehmensnetzwerks befinden. Auch die Sicherheit der Laptops wird verbessert, sodass die erforderlichen Investitionen für eine PKI-Lösung als kosteneffektiv eingestuft werden.

Das Unternehmen verfügt nicht über die internen Ressourcen oder die Erfahrung zur Implementierung einer internen PKI. Durch die Machbarkeitsstudie werden daher die Kosten für eine Auslagerung des Projekts gerechtfertigt, damit die internetbasierte Clientverwaltung in der nächsten Zeit implementiert werden kann.

Siehe auch

Konzepte

Administratorcheckliste: Konfigurieren eines Standorts für die internetbasierte Clientverwaltung
Administratorcheckliste: Konfigurieren von Clientcomputern für einen Standort, der die internetbasierte Clientverwaltung unterstützt
Administratorworkflow: Konfigurieren eines Standorts für die internetbasierte Clientverwaltung
Übersicht über die internetbasierte Clientverwaltung

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com