Avantages du mode natif
Mis à jour: décembre 2009
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Le mode natif est la configuration de site recommandée pour les nouveaux sites Configuration Manager 2007 parce qu'il offre un niveau de sécurité plus élevé grâce à l'intégration d'une infrastructure de clé publique (PKI) qui permet de protéger les communications clients-serveurs. Par ailleurs, le mode natif est obligatoire pour la gestion des clients Internet.
En mode natif, les clients communiquent via HTTPS sur les systèmes de site suivants :
Points de gestion :
Point de gestion par défaut
Points de gestion avec équilibrage de la charge réseau
Point de gestion proxy
Point de gestion Internet
Points de distribution standard (pas de points de distribution de branche)
points de mise à jour logicielle,
Point de migration de l'état
Notes
Dans certaines situations sur l'intranet, les clients en mode natif peuvent communiquer avec les points de distribution standard via le protocole SMB (Server Message Blocks). C'est le cas notamment si les publications sont configurées avec l'option Exécuter le programme à partir du point de distribution, lorsque le protocole HTTPS échoue ou si le point de distribution n'est pas configuré avec l'option Autoriser les clients à transférer le contenu de ce point de distribution en utilisant BITS, HTTP et HTTPS (nécessaire pour les clients de périphériques et les clients basés sur Internet).
En mode natif, les clients continuent de communiquer via HTTP jusqu'au point d'état de secours. Ainsi, les problèmes de communication liés aux certificats peuvent être signalés au site afin que l'administrateur puisse identifier et résoudre les problèmes de communication des clients. En outre, si un client fonctionnant en mode natif est configuré avec l'option Activer la communication HTTP pour l'itinérance et l'attribution de site, le client peut communiquer via HTTP sur les systèmes de site suivants :
Point de recherche de serveur
Point de gestion et points de distribution résidents d'un site en mode mixte
Important
Le mode natif n'affecte pas la communication entre les serveurs de site ou entre les sites d'une hiérarchie Configuration Manager 2007. Pour protéger cette communication, utilisez IPsec. Pour plus d'informations, consultez Implémentation IPsec dans Configuration Manager 2007.
En mode natif, les stratégies des clients sont signées par le serveur de site, qui ajoute un niveau de protection supplémentaire à la hiérarchie Configuration Manager 2007 pour limiter le risque de sécurité d'un point de gestion compromis qui enverrait des stratégies altérées. Cette sécurité est particulièrement utile lorsque vous utilisez la gestion des clients Internet. En effet, cet environnement exige un point de gestion exposé aux communications sur Internet.
Le mode mixte offre un niveau de sécurité inférieur pour prendre en charge les clients SMS 2003, offrant des certificats auto-signés si vous ne disposez pas d'une infrastructure de clé publique qui peut fournir les certificats requis pour Configuration Manager 2007.
Vous ne pouvez pas mettre à niveau un site SMS 2003 directement en mode natif, même si vous pouvez migrer vers le mode natif à l'issue de la mise à niveau.
Lorsque vous migrez un site principal vers le mode natif, cette procédure migre automatiquement les sites secondaires associés au site principal. Les sites enfants principaux ne migrent pas automatiquement.
Comparaison entre le mode mixte et le mode natif
Le tableau suivant compare les deux modes site et les fonctions de sécurité offertes.
Fonctionnement de Configuration Manager | Mode mixte | Mode natif |
---|---|---|
Utilisation de certificats |
Certificats auto-signés qui sont générés et gérés par Configuration Manager, et utilisés uniquement dans Configuration Manager. |
Certificats PKI standard qui sont créés et gérés indépendamment de Configuration Manager, et qui peuvent être intégrés avec d'autres solutions commerciales. |
Authentification réciproque entre le client et les systèmes de site |
Authentification propriétaire entre le client et le point de gestion, et entre le client et le point de migration de l'état. Aucun autre système de site n'utilise l'authentification réciproque avec les clients. |
Authentification mutuelle SSL entre le client et les systèmes de site suivants :
Authentification du serveur SSL vers le point de mise à jour du logiciel. |
Authentification entre systèmes de site et chiffrement du trafic |
Non - IPsec est recommandé pour protéger cette communication. Consultez Implémentation IPsec dans Configuration Manager 2007. |
Non - IPsec est recommandé pour protéger cette communication. Consultez Implémentation IPsec dans Configuration Manager 2007. |
WINS peut être utilisé pour la résolution de noms et l'emplacement du service. |
Oui |
Même si WINS peut être utilisé pour la résolution des noms et l'emplacement d'un point de recherche de serveur, WINS ne peut pas être utilisé en mode natif pour rechercher le point de gestion par défaut. Les points de gestion par défaut se trouvent dans Active Directory, DNS ou le point de recherche de serveur. Cependant, les points de gestion d'équilibrage de charge réseau ne peuvent se trouver que dans Active Directory ou un point de recherche de serveur. Pour plus d'informations sur l'emplacement des services en mode natif, consultez Configuration Manager et emplacement des services (points d'informations et de gestion de site). |
Stratégie signée |
Oui - par le point de gestion |
Oui - par le serveur de site et le point de gestion. |
Stratégie chiffrée via SSL |
Non |
Oui |
Contenu signé |
Oui, si les publications utilisent l'option Télécharger le contenu à partir du point de distribution et l'exécuter localement. Non, si les publications utilisent l'option Exécuter le programme à partir du point de distribution. |
Oui, si les publications utilisent l'option Télécharger le contenu à partir du point de distribution et l'exécuter localement Non, si les publications utilisent l'option Exécuter le programme à partir du point de distribution (cette option n'est pas prise en charge lorsque le client est géré sur Internet) |
Contenu chiffré |
Non |
Oui, avec SSL si les publications utilisent l'option Télécharger le contenu à partir du point de distribution et l'exécuter localement. Cependant, si HTTPS échoue dans l'intranet, le contenu est envoyé via SMB sans être chiffré. Non, si les publications utilisent l'option Exécuter le programme à partir du point de distribution (cette option n'est pas prise en charge lorsque le client est géré sur Internet). |
Données d'inventaire et messages d'état signés |
Oui, avec SHA1 si les clients exécutent au minimum SMS 2003 Service Pack 1. |
Oui, La seule exception concerne les messages d'état au point d'état de secours qui ne sont pas signés. |
Données d'inventaire et messages d'état chiffrés |
Facultatif, avec 3DES |
Oui, avec SSL. La seule exception concerne les messages d'état au point d'état de secours qui ne sont pas chiffrés. |
Messages d'état des clients signés |
Non |
Oui, |
Messages d'état des clients chiffrés |
Non |
Oui, avec SSL. |
Données de contrôle de logiciel des clients signées |
Non |
Oui |
Données de contrôle de logiciel des clients chiffrées |
Non |
Oui, avec SSL |
Approbation client à gérer entièrement dans le site |
Nécessite la configuration avec l'une des options suivantes :
|
|
Si la fonctionnalité de déploiement du système d'exploitation est utilisée, les données de migration de l'état sont signées et chiffrées |
Oui |
Oui, avec SSL |
Voir aussi
Concepts
Configuration requise pour le mode natif
Présentation de la gestion des clients Internet
Certificats requis pour le mode natif
Décider si vous devez configurer la communication HTTP pour l'itinérance et l'attribution de site (Mode natif)
Communication des clients en mode mixte et en mode natif
Configuration Manager et emplacement des services (points d'informations et de gestion de site)
Implémentation IPsec dans Configuration Manager 2007
Autres ressources
Comment configurer le mode natif
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.