Bestimmen der Anforderungen für Proxywebserver zur Verwendung mit internetbasierter Clientverwaltung
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Letzte Aktualisierung des Themas: August 2008
Die Serveranforderungen für den Fall, dass Sie Proxywebserver mit internetbasierter Clientverwaltung in Configuration Manager 2007 verwenden, finden Sie in den folgenden Abschnitten.
Produkt- und Konfigurationsinformationen für den Fall, dass Sie Microsoft ISA Server (Internet Security and Acceleration) als Proxywebserver verwenden, finden Sie unter:
Konfigurieren des ISA SSL-Bridgings für die internetbasierte Clientverwaltung in System Center Configuration Manager (https://go.microsoft.com/fwlink/?LinkId=122350, möglicherweise in englischer Sprache).
Allgemeine Setup- und Konfigurationsinformationen finden Sie auf der Webseite zu Microsoft ISA Server unter (https://go.microsoft.com/fwlink/?LinkId=91897, möglicherweise in englischer Sprache).
SSL-Unterstützung (Secure Sockets Layer)
Hinweis
Die Verwendung eines SSL-Tunnelabschlusses mit Authentifizierung durch Bridging-Technologie wird empfohlen, obwohl auch das SSL-Tunneling unterstützt wird, wenn der Proxywebserver kein Bridging mit Authentifizierung unterstützt. Weitere Informationen zum Unterschied zwischen Bridging und Tunneling finden Sie in der Dokumentation zum Internet Security and Acceleration Server (https://go.microsoft.com/fwlink/?LinkId=80311, möglicherweise in englischer Sprache).
SSL-zu-SSL-Bridging:
Die empfohlene Konfiguration zur Verwendung von Proxywebservern bei der internetbasierten Clientverwaltung von Configuration Manager 2007 ist SSL-zu-SSL-Bridging und Tunnelabschluss mit Authentifizierung. Die Authentifizierung von Clientcomputern muss über die Computerauthentifizierung erfolgen. Die Authentifizierung von mobilen Clientgeräten erfolgt über die Benutzerauthentifizierung.
Der SSL-Tunnelabschluss für den Proxywebserver hat den Vorteil, dass Pakete aus dem Internet überprüft werden, bevor sie an das interne Netzwerk weitergeleitet werden. Der Proxywebserver authentifiziert die vom Client eingehende Verbindung, beendet sie und öffnet eine neue authentifizierte Verbindung mit dem internetbasierten Standortsystem. Wenn Configuration Manager-Clients einen Proxywebserver verwenden, wird die Clientidentität (Client-GUID) sicher als Bestandteil der Paketnutzdaten transportiert, sodass der Verwaltungspunkt den Proxywebserver nicht als Client ansieht. In Configuration Manager 2007 wird kein HTTP-zu-HTTPS- oder HTTPS-zu-HTTP-Bridging unterstützt.
Tunneling:
Sollte Ihr Proxywebserver die Voraussetzung für die Unterstützung von SSL-Bridging erfüllen, steht Ihnen als weitere Möglichkeit die Verwendung von SSL-Tunneling zur Verfügung. Diese Option ist weniger sicher, da die SSL-Pakete aus dem Internet ohne Tunnelabschluss an die Standortsysteme weitergeleitet werden und daher nicht auf schädliche Inhalte überprüft werden können. Bei der Verwendung von SSL-Tunneling muss der Proxywebserver keine Zertifikatanforderungen erfüllen.
Zertifikatanforderungen für das SSL-Bridging
Webserverzertifikat für die Serverauthentifizierung und SSL, wenn Bridging verwendet wird:
Das Zertifikat muss mit einer Stammzertifizierungsstelle verkettet sein, die von Clientcomputern als vertrauenswürdig eingestuft wird.
Das Zertifikat muss die internetbasierten, vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) von allen internetbasierten Standortsystemen im Feld „Alternativer Antragstellername“ enthalten.
Clientcomputerzertifikat für die Authentifizierung, wenn Bridging für Clientcomputer verwendet wird:
Das Zertifikat muss mit einer Stammzertifizierungsstelle verkettet sein, die von den Standortsystemservern als vertrauenswürdig eingestuft wird.
Das Zertifikat muss einen eindeutigen Wert im Feld „Antragstellername“ oder im Feld „Alternativer Antragstellername“ aufweisen.
Clientbenutzerzertifikat für die Authentifizierung, wenn Bridging für mobile Clientgeräte verwendet wird:
Das Zertifikat muss mit einer Stammzertifizierungsstelle verkettet sein, die von den Standortsystemservern als vertrauenswürdig eingestuft wird.
Das Zertifikat muss einen eindeutigen Wert im Feld „Antragstellername“ oder im Feld „Alternativer Antragstellername“ aufweisen.
Fallbackstatuspunkt-Anforderungen
HTTP-Unterstützung:
- Wenn ein internetbasierter Fallbackstatuspunkt verwendet wird, muss der Proxywebserver HTTP-Datenverkehr zulassen.
DNS-Anforderungen
Die internetbasierten Standortsysteme müssen mit einem Internet-FQDN in Configuration Manager 2007 konfiguriert sein, der auch auf öffentlichen DNS-Servern mit der IP-Adresse des verwendeten Proxywebservers registriert ist.
Die internetbasierten Standortsysteme müssen auf dem Proxywebserver mit dem Internet-FQDN veröffentlicht werden, den sie auch in Configuration Manager 2007 verwenden.
Überprüfung auf Anwendungsebene
Wenn der Proxywebserver eine Überprüfung auf Anwendungsebene durchführt, muss er die folgende Kommunikation zwischen Configuration Manager-Clients und internetbasierten Standortsystemen zulassen:
HTPP Version 1.1
HTTP-Inhaltstyp Multipart-MIME-Anhang
Erforderliche Verben und HTTP-Header
Weitere Informationen finden Sie unter den externen Abhängigkeiten, die in Voraussetzungen für die internetbasierte Clientverwaltung aufgeführt sind.
Siehe auch
Konzepte
Zertifikatanforderungen für den einheitlichen Modus
Bestimmen der erforderlichen Ports für die internetbasierte Clientverwaltung
Übersicht über die internetbasierte Clientverwaltung
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com