Übersicht über die internetbasierte Clientverwaltung
Letzte Aktualisierung: Dezember 2009
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Mithilfe der internetbasierten Clientverwaltung können Sie Configuration Manager 2007-Clients verwalten, wenn diese nicht mit Ihrem Unternehmensnetzwerk, sondern standardmäßig mit dem Internet verbunden sind. Diese Möglichkeit bietet eine Reihe von Vorteilen, einschließlich geringerer Kosten, da keine VPNs (Virtuelle Private Netzwerke) ausgeführt werden müssen und Softwareupdates umgehend bereitgestellt werden können.
Da für die Verwaltung von Clientcomputern in einem öffentlichen Netzwerk höhere Sicherheitsanforderungen gelten, müssen sich Standorte für die internetbasierte Clientverwaltung im einheitlichen Modus befinden. Damit wird sichergestellt, dass die Verbindungen mit Verwaltungspunkt, Softwareupdatepunkt und Verteilungspunkten an einer unabhängigen Stelle authentifiziert werden und dass Daten, die an und von diesen Standortsystemen übertragen werden, mit SSL (Secure Sockets Layer) verschlüsselt sind.
Features, die im Internet nicht unterstützt werden
Nicht alle Configuration Manager 2007-Features können im Internet verwendet werden, diese werden bei der Clientverwaltung im Internet nicht unterstützt. Viele Features, die für das Internet nicht unterstützt werden, sind auf die Active Directory-Domänendienste angewiesen (auf die im Internet nicht zugegriffen werden kann) oder können für ein öffentliches Netzwerk nicht verwendet werden (z. B. Netzwerkermittlung und Wake-On-LAN).
Die folgenden Features werden bei Clientverwaltung im Internet nicht unterstützt:
Softwareverteilung, die für Benutzer bestimmt ist (direkt oder mithilfe von Microsoft Windows-Sicherheitsgruppen)
Zweigverteilungspunkte (ein Zweigverteilungspunkt kann keine Internetclients unterstützen und Clients im Internet können nicht als Zweigverteilungspunkte konfiguriert werden)
Clientbereitstellung im Internet
Automatische Standortzuweisung
Netzwerkzugriffsschutz (NAP)
Wake-On-LAN
Betriebssystembereitstellung
Tasksequenzen.
Remotesteuerung
Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 und höher.
Die mit dem Feature „Clientstatusberichte“ in Configuration Manager 2007 R2 verwendete Clientpingfunktionalität
Die internetbasierte Clientverwaltung unterstützt zusätzlich kein Roaming, mit dem Clients immer den nächsten Verteilungspunkt zum Herunterladen von Inhalt ermitteln können. Im Internet verwaltete Clients haben einen festen internetbasierten Verwaltungspunkt. Sie kommunizieren nur mit diesem Verwaltungspunkt, wenn sie sich im Internet befinden, und nur mit Standortsystemen am Standort, die für die internetbasierte Clientverwaltung konfiguriert sind.
Über das Internet verbundene Clients laden Inhalt ungeachtet der Bandbreite oder des physischen Standorts von jedem internetbasierten Verteilungspunkt des Standorts herunter. Aus diesem Grund können Sie kein geschütztes Standortsystem für die Unterstützung der internetbasierten Clientverwaltung konfigurieren.
Konfigurieren von Standortsystemen für die internetbasierte Clientverwaltung
Für die Unterstützung von Clients im Internet sind keine neuen Standortsysteme erforderlich. Stattdessen werden vorhandene Standortsystemrollen an einem primären Standort im einheitlichen Modus für die internetbasierte Clientverwaltung konfiguriert und entsprechend im Netzwerk platziert. Die folgenden Standortsysteme können die Clientverwaltung im Internet unterstützen:
Verwaltungspunkt (mit und ohne Cluster für den Netzwerklastenausgleich)
Verteilungspunkte
Fallbackstatuspunkt
Softwareupdatepunkt (mit und ohne Cluster für den Netzwerklastenausgleich)
Eine Anzahl von unterstützten Szenarien bestimmen den Speicherort der Server am primären Configuration Manager 2007-Standort. Diese reichen vom vollständigen Configuration Manager 2007-Standort im Umkreisnetzwerk (auch als überwachtes Subnetz oder DMZ bekannt) zur Teilung des Standorts zwischen Umkreisnetzwerk und Intranet. Die Konfiguration von Firewalls und Webproxies hängt von der ausgewählten Serverplatzierung ab. Wenn Sie einen Proxywebserver wie Microsoft ISA Server 2006 verwenden, muss dieser auch ein entsprechendes Zertifikat aufweisen und den SSL-Tunnelabschluss unterstützen, damit der Proxywebserver die Clientverbindungen authentifizieren kann.
Konfigurieren von Clients für die internetbasierte Verwaltung
Clientcomputer und mobile Clientgeräte können für eine der folgenden Verwaltungsmethoden konfiguriert werden:
Reine Internetverwaltung
Reine Intranetverwaltung
Über das Internet verwaltete Clients müssen so konfiguriert werden, dass sie den internetbasierten Verwaltungspunkt ihres zugewiesenen Standorts verwenden. Clients können nicht mit einem internetbasierten Verwaltungspunkt eines anderen Standorts oder mit anderen internetbasierten Standortsystemen eines anderen Standorts kommunizieren. Die Konfiguration für den internetbasierten Verwaltungspunkt kann bei der Installation in den Befehlszeileneigenschaften oder in der Systemsteuerung eines Clientcomputers in Configuration Manager auf der Registerkarte Internet angegeben werden.
Hinweis
Die Registerkarte Internet wird nur angezeigt, wenn der Client im einheitlichen Modus kommuniziert.
Clients, die für die reine Internetverwaltung konfiguriert sind, kommunizieren nur mit Standortsystemen, die für die Unterstützung der internetbasierten Clientverwaltung konfiguriert sind. Dies entspricht Computern und Geräten, die nie eine Verbindung mit dem Unternehmensintranet herstellen, z. B. Point of Sale-Computer an Remotestandorten.
Clients, die für die reine Intranetverwaltung konfiguriert sind, können den Internetverwaltungspunkt nicht verwenden und müssen keine Verbindungen mit Standortsystemen herstellen, die für die internetbasierte Clientverwaltung konfiguriert sind.
Clientcomputer können eine dritte Konfiguration aufweisen, die für mobile Geräteclients nicht verfügbar ist:
- Internet- oder Intranetverwaltung
Damit dieser Vorgang unterstützt wird, müssen Clients in die Domäne eingebunden sein, und es muss eine Vertrauensstellung zur Active Directory-Struktur des Standortservers bestehen. Sie müssen sich beispielsweise in derselben Active Directory-Struktur wie die Struktur ihres Standortservers befinden, oder sie müssen über eine externe Vertrauensstellung oder eine Vertrauensstellung für die Gesamtstruktur authentifiziert sein. Arbeitsgruppenclients unterstützen keine Internet- oder Intranetverwaltung, müssen jedoch für die reine Intranet- oder reine Internetverwaltung konfiguriert sein.
Clientcomputer, die für die Internet- oder Intranetverwaltung konfiguriert sind, können automatisch zwischen der internetbasierten Clientverwaltung und der Intranetclientverwaltung wechseln, wenn sie eine Änderung im Netzwerk erkennen.
Wenn die Änderung im Netzwerk erkannt wurde, unternimmt der Client zuerst den Versuch, eine Verbindung mit dem zugewiesenen Verwaltungspunkt im Intranet herzustellen. Ist dieser Vorgang erfolgreich, wird der Clientcomputer als standardmäßiger Intranetclient ausgeführt. Wenn der Client jedoch keine Verbindung mit dem zugewiesenen Verwaltungspunkt herstellen kann, stellt er eine Verbindung mit dem konfigurierten Internetverwaltungspunkt her. Hierzu verwendet er den internetbasierten vollständig qualifizierten Domänennamen (FQDN), der im Verwaltungspunkt konfiguriert und auf Internet-DNS-Servern registriert ist. Antwortet der Internetverwaltungspunkt, verwendet der Clientcomputer wie erforderlich die Verteilungspunkte und Softwareupdatepunkte, die auch für die internetbasierte Clientverwaltung konfiguriert sind.
Der Vorteil des automatischen Wechsels zwischen internetbasierter Clientverwaltung und Intranetclientverwaltung ist, dass Clientcomputer alle Configuration Manager-Features verwenden können, wenn sie erneut eine Verbindung mit dem Intranet herstellen. Außerdem kann ein im Internet begonnener Download nahtlos im Intranet fortgeführt werden.
Wichtig
Wenn Sie über Clients verfügen, die nicht sowohl die Intranet- als auch die Internetclientverwaltung unterstützen (z. B. Arbeitsgruppenclients), und Sie diese über das Internet verwalten möchten, müssen sie für die reine Internetverwaltung konfiguriert sein. Wenn sie also eine Verbindung zum Intranet herstellen, kommunizieren sie weiterhin mit den Internet-basierten Standortsystemen. Darüber hinaus unterstützen sie nicht alle Configuration Manager-Features, die mit der Intranetclientverwaltung in Zusammenhang gebracht werden (siehe vorheriger Abschnitt „Features, die im Internet nicht unterstützt werden“).
Verwendung des Fallbackstatuspunkts durch Internetclients
Wenn Sie am Standort der internetbasierten Clientverwaltung einen Fallbackstatuspunkt verwenden, muss der Client bei der Installation für den internetbasierten Fallbackstatuspunkt konfiguriert werden. Kann der Client im Internet keine Verbindung mit dem internetbasierten Verwaltungspunkt herstellen (z. B. weil das Zertifikat abgelaufen ist), sendet er mithilfe von HTTP eine Fehlerstatusmeldung an den konfigurierten internetbasierten Fallbackstatuspunkt.
Ist der Clientcomputer sowohl für die internet- als auch die intranetbasierte Clientverwaltung und für einen internetbasierten Fallbackstatuspunkt konfiguriert, verwendet er nicht den Fallbackstatuspunkt im Intranet. Ein Clientcomputer, der ins Intranet wechselt und keine Verbindung mit dem zugewiesenen Verwaltungspunkt im Intranet herstellen kann, sendet daher aus dem Intranet eine Fehlerstatusmeldung an den internetbasierten Fallbackstatuspunkt.
Verwendung der Proxyservereinstellungen durch Internetclients
Neben dem internetbasierten Verwaltungspunkt können Clientcomputer auch Proxywebserver-Einstellungen angeben. Geben Sie Proxywebserver-Einstellungen an, wenn der Clientcomputer mithilfe eines Proxywebservers eine Verbindung mit dem Internet herstellen soll.
Wichtig
Wenn Sie nicht die standardmäßige Standortportnummer 443 für HTTPS-Clientanforderungen verwenden, werden Internetverbindungen, die einen Proxywebserver erfordern, wahrscheinlich nicht ordnungsgemäß ausgeführt, da Proxywebserver normalerweise für den standardmäßigen HTTPS-Port 443 konfiguriert sind.
Die Möglichkeit, eine Proxywebserver-Konfiguration anzugeben, ist besonders für Benutzer wie Berater hilfreich, deren Laptops eine Verbindung mit dem Intranet eines anderen Unternehmens herstellt. Das Angeben der Proxywebserver-Details als Configuration Manager-Eigenschaft bedeutet, dass Computer verwaltet werden, auch wenn die Benutzer nicht angemeldet sind. Wenn die Proxywebserver-Einstellungen jedoch nicht als Configuration Manager-Eigenschaft angegeben sind, stellen die Configuration Manager-Clients mithilfe der folgenden Proxywebserver-Ermittlungsmethoden eine Verbindung mit dem angegebenen internetbasierten Verwaltungspunkt her:
Die im Standardbrowser konfigurierten Proxywebserver-Einstellungen
Systemkontext
Die aktuell angemeldeten Benutzeranmeldeinformationen
In diesem Abschnitt werden folgende Themen behandelt:
Standortsystemrollen, die die internetbasierte Clientverwaltung unterstützen
Unterstützte Szenarien für die internetbasierte Clientverwaltung
Netzwerkdiagramm für internetbasierte Server: Szenario 1 ohne SQL Server-Replikation
Netzwerkdiagramm für internetbasierte Server: Szenario 1 mit SQL Server-Replikation
Netzwerkdiagramm für internetbasierte Server: Szenario 2 mit untergeordnetem Standort
Netzwerkdiagramm für internetbasierte Server: Szenario 2 mit vollständiger Hierarchie
Netzwerkdiagramm für internetbasierte Server: Szenario 3 ohne SQL Server-Replikation
Netzwerkdiagramm für internetbasierte Server: Szenario 3 mit SQL Server-Replikation
Netzwerkdiagramm für internetbasierte Server: Szenario 4 mit zwei Netzwerkkarten
Netzwerkdiagramm für internetbasierte Server: Szenario 4 mit Internetverbindungen mit dem Intranet
Siehe auch
Konzepte
Voraussetzungen für die internetbasierte Clientverwaltung
Andere Ressourcen
Konfigurieren der internetbasierten Clientverwaltung
Planen der internetbasierten Clientverwaltung
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com