Planear a gestão de clientes baseados na Internet no System Center Configuration ManagerPlan for Internet-based client management in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Permite de gestão (por vezes referida como IBCM) de clientes baseada na Internet que gerir System Center Configuration Manager, os clientes quando estes não estiverem ligados à sua empresa de rede, mas tem uma ligação padrão à Internet.Internet-based client management (sometimes referred to as IBCM) lets you manage System Center Configuration Manager clients when they are not connected to your company network but have a standard Internet connection. Este esquema apresenta diversas vantagens, incluindo a redução de custos associada à não execução de redes privadas virtuais (VPNs) e à capacidade de implementar atempadamente as atualizações de software.This arrangement has several advantages that include the reduced costs of not having to run virtual private networks (VPNs) and being able to deploy software updates in a timelier manner.

Devido aos requisitos de segurança superiores associados à gestão de computadores cliente numa rede pública, a gestão de clientes baseada na Internet requer que os clientes e os servidores do sistema de sites a que estes ligam utilizem certificados PKI.Because of the higher security requirements of managing client computers on a public network, Internet-based client management requires that clients and the site system servers that the clients connect to use PKI certificates. Isto permite garantir que as ligações são autenticadas por uma autoridade independente e que os dados de e para estes sistemas de sites são encriptados utilizando Secure Sockets Layer (SSL).This ensures that connections are authenticated by an independent authority, and that data to and from these site systems are encrypted by using Secure Sockets Layer (SSL).

Utilize as secções seguintes para o ajudar a planear a gestão de clientes baseada na Internet.Use the following sections to help you plan for Internet-based client management.

Funcionalidades que Não São Suportadas na InternetFeatures that Are Not Supported on the Internet

Nem todas as funcionalidades de gestão de clientes são adequadas para a Internet. Por conseguinte, não são suportadas quando os clientes são geridos na Internet.Not all client management functionality is appropriate for the Internet; therefore they are not supported when clients are managed on the Internet. Normalmente, as funcionalidades que não são suportadas para gestão na Internet baseiam-se nos Serviços de Domínio do Active Directory ou não são adequadas para uma rede pública, como é o caso da deteção de rede e da reativação por LAN (WOL).The features that are not supported for Internet management typically rely on Active Directory Domain Services or are not appropriate for a public network, such as network discovery and Wake-on-LAN (WOL).

As funcionalidades seguintes não são suportadas quando os clientes são geridos na Internet:The following features are not supported when clients are managed on the Internet:

  • Implementação de cliente através da Internet, como por exemplo push de cliente e implementação de cliente baseada em atualização de software.Client deployment over the Internet, such as client push and software update-based client deployment. Em vez disso, utilize a instalação manual de cliente.Instead, use manual client installation.

  • Atribuição automática de site.Automatic site assignment.

  • Reativação por LAN.Wake-on-LAN.

  • Implementação do sistema operativo.Operating system deployment. No entanto, poderá implementar sequências de tarefas que não implementem um sistema operativo, como por exemplo sequências de tarefas que executem scripts e tarefas de manutenção em clientes.However, you can deploy task sequences that do not deploy an operating system; for example, task sequences that run scripts and maintenance tasks on clients.

  • Controlo remoto.Remote control.

  • Implementação de software para utilizadores, a menos que o ponto de gestão baseado na Internet consiga autenticar o utilizador nos Serviços de Domínio do Active Directory utilizando a autenticação do Windows (Kerberos ou NTLM).Software deployment to users unless the Internet-based management point can authenticate the user in Active Directory Domain Services by using Windows authentication (Kerberos or NTLM). Tal poderá suceder quando o ponto de gestão baseado na Internet confiar na floresta em que reside a conta do utilizador.This is possible when the Internet-based management point trusts the forest where the user account resides.

    Além disso, a gestão de clientes baseada na Internet não suporta roaming.Additionally, Internet-based client management does not support roaming. O roaming permite aos clientes localizar sempre os pontos de distribuição mais próximos para transferir conteúdo.Roaming enables clients to always find the closest distribution points to download content. Os clientes geridos na Internet comunicam com os sistemas de sites a partir do site atribuído quando tais sistemas são configurados para utilizar um FQDN da Internet, e as funções do sistema de sites permitem ligações de cliente a partir da Internet.Clients that are managed on the Internet communicate with site systems from their assigned site when these site systems are configured to use an Internet FQDN and the site system roles allow client connections from the Internet. Os clientes selecionam de forma não determinística um dos sistemas de sites baseados na Internet, independentemente da largura de banda ou da localização física.Clients non-deterministically select one of the Internet-based site systems, regardless of bandwidth or physical location.

    Quando tiver um ponto de atualização de software configurado para aceitar ligações a partir da Internet, os clientes baseados na Internet do Configuration Manager que se encontram na Internet efetuam sempre uma análise desse ponto de atualização de software para determinar que atualizações de software são necessárias.When you have a software update point that is configured to accept connections from the Internet, Configuration Manager Internet-based clients on the Internet always scan against this software update point, to determine which software updates are required. No entanto, quando estes clientes se encontram na Internet, começam por tentar transferir as atualizações de software a partir do Microsoft Update, em vez de recorrerem a um ponto de distribuição baseado na Internet.However, when these clients are on the Internet, they first try to download the software updates from Microsoft Update, rather than from an Internet-based distribution point. Só em caso de insucesso é que tentarão transferir as atualizações de software necessárias a partir de um ponto de distribuição baseado na Internet.Only if this fails, will they then try to download the required software updates from an Internet-based distribution point. Os clientes que não estão configurados para gestão de clientes baseados na Internet não tentam nunca transferir as atualizações de software a partir do Microsoft Update, utilizando sempre pontos de distribuição do Configuration Manager.Clients that are not configured for Internet-based client management never try to download the software updates from Microsoft Update, but always use Configuration Manager distribution points.

Considerações sobre comunicações do cliente a partir da Internet ou de uma floresta não fidedignaConsiderations for client communications from the Internet or untrusted forest

As seguintes funções do sistema de sites instaladas nos sites primários suportam ligações de clientes que se encontram em localizações não fidedignas, como a Internet ou uma floresta não fidedigna (os sites secundários não suportam ligações de clientes de localizações não fidedignas):The following site system roles installed at primary sites support connections from clients that are in untrusted locations, like the Internet or an untrusted forest (secondary sites do not support client connections from untrusted locations):

  • Ponto de site do Catálogo de AplicaçõesApplication Catalog website point

  • Módulo de Política do Configuration ManagerConfiguration Manager Policy Module

  • Ponto de distribuição (os pontos de distribuição baseados na nuvem precisam de HTTPS)Distribution point (HTTPS is required by cloud-based distribution points)

  • Ponto proxy de registoEnrollment proxy point

  • Ponto de estado de contingênciaFallback status point

  • Ponto de gestãoManagement point

  • Ponto de atualização de SoftwareSoftware update point

    Acerca dos sistemas de sites com acesso à Internet: About internet facing site systems:
    Embora não exista qualquer requisito uma confiança entre a floresta do cliente e do servidor de sistema do site, quando a floresta que contém um Internet com o sistema de sites confia na floresta que contém as contas de utilizador, esta configuração suporta políticas baseadas no utilizador para dispositivos na Internet quando ativa a política de cliente definição de cliente ativar pedidos da política de utilizador dos clientes Internet.Although there is no requirement to have a trust between a client's forest and that of the site system server, when the forest that contains an Internet facing site system trusts the forest that contains the user accounts, this configuration supports user-based policies for devices on the Internet when you enable the Client Policy client setting Enable user policy requests from Internet clients.

    Por exemplo, as configurações seguintes ilustram quando a gestão de clientes baseada na Internet suporta políticas de utilizador para dispositivos na Internet:For example, the following configurations illustrate when Internet-based client management supports user policies for devices on the Internet:

  • O ponto de gestão baseado na Internet encontra-se na rede de perímetro em que reside um controlador de domínio para autenticar o utilizador e uma firewall intermediária permite pacotes do Active Directory.The Internet-based management point is in the perimeter network where a read-only domain controller resides to authenticate the user and an intervening firewall allows Active Directory packets.

  • A conta de utilizador encontra-se na Floresta A (a intranet) e o ponto de gestão baseado na Internet encontra-se na Floresta B (a rede de perímetro).The user account is in Forest A (the intranet) and the Internet-based management point is in Forest B (the perimeter network). A Floresta B confia na Floresta A e uma firewall intermediária permite os pacotes de autenticação.Forest B trusts Forest A, and an intervening firewall allows the authentication packets.

  • A conta de utilizador e o ponto de gestão baseado na Internet encontram-se na Floresta A (a intranet).The user account and the Internet-based management point are in Forest A (the intranet). O ponto de gestão é publicado na Internet através de um servidor Web proxy (como o Forefront Threat Management Gateway).The management point is published to the Internet by using a web proxy server (like Forefront Threat Management Gateway).

Nota

Se a autenticação Kerberos falhar, será automaticamente tentada a autenticação NTLM.If Kerberos authentication fails, NTLM authentication is then automatically tried.

Como mostra o exemplo anterior, é possível colocar sistemas de sites baseados na Internet na intranet quando estes forem publicados na Internet utilizando um servidor Web proxy, tal como o ISA Server ou o Forefront Threat Management Gateway.As the previous example shows, you can place Internet-based site systems in the intranet when they are published to the Internet by using a web proxy server, such as ISA Server and Forefront Threat Management Gateway. Estes sistemas de sites podem ser configurados apenas para ligações de cliente a partir da Internet, ou para ligações de cliente provenientes da Internet e da intranet.These site systems can be configured for client connection from the Internet only, or client connections from the Internet and intranet. Ao utilizar um servidor Web proxy, poderá configurá-lo para bridge de Secure Sockets Layer (SSL) para SSL (mais seguro) ou túnel SSL:When you use a web proxy server, you can configure it for Secure Sockets Layer (SSL) bridging to SSL (more secure) or SSL tunneling:

  • Protocolo de bridge SSL para SSL: SSL bridging to SSL:
    A configuração recomendada quando utiliza servidores Web proxy para a gestão de clientes baseados na Internet é o protocolo de bridge SSL para SSL, que utiliza a terminação de SSL com a autenticação de SSL.The recommended configuration when you use proxy web servers for Internet-based client management is SSL bridging to SSL, which uses SSL termination with authentication. Os computadores cliente têm de ser autenticados utilizando a autenticação de computador e os clientes antigos do dispositivo móvel são autenticados utilizando a autenticação de utilizador.Client computers must be authenticated by using computer authentication, and mobile device legacy clients are authenticated by using user authentication. Dispositivos móveis que são inscritos pelo Configuration Manager não suportam o protocolo de bridge SSL.Mobile devices that are enrolled by Configuration Manager do not support SSL bridging.

    A vantagem da terminação de SSL no servidor Web proxy é que os pacotes da Internet são sujeitos a inspeção antes de serem encaminhados para a rede interna.The benefit of SSL termination at the proxy web server is that packets from the Internet are subject to inspection before they are forwarded to the internal network. O servidor Web proxy autentica a ligação do cliente, termina-a e, em seguida, abre uma nova ligação autenticada para os sistemas de sites baseados na Internet.The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the Internet-based site systems. Quando os clientes do Configuration Manager utilizam um servidor web proxy, a identidade do cliente (GUID do cliente) está contida em segurança no payload do pacote para que o ponto de gestão não considere o servidor web proxy como o cliente.When Configuration Manager clients use a proxy web server, the client identity (client GUID) is securely contained in the packet payload so that the management point does not consider the proxy web server to be the client. Protocolo de bridge não é suportado no Configuration Manager com HTTP para HTTPS ou de HTTPS para HTTP.Bridging is not supported in Configuration Manager with HTTP to HTTPS, or from HTTPS to HTTP.

  • Protocolo de túnel:Tunneling:
    Se o servidor web proxy não suporta os requisitos para o protocolo de bridge SSL ou se pretende configurar o suporte de Internet para dispositivos móveis inscritos pelo Configuration Manager, a utilização de túnel SSL também é suportada.If your proxy web server cannot support the requirements for SSL bridging, or you want to configure Internet support for mobile devices that are enrolled by Configuration Manager, SSL tunneling is also supported. É uma opção menos segura porque os pacotes SSL da Internet são encaminhados para os sistemas de sites sem a terminação de SSL, não podendo ser, assim, inspecionados quanto a conteúdo malicioso.It is a less secure option because the SSL packets from the Internet are forwarded to the site systems without SSL termination, so they cannot be inspected for malicious content. Quando utiliza o protocolo de túnel SSL, não existem requisitos de certificado para o servidor Web proxy.When you use SSL tunneling, there are no certificate requirements for the proxy web server.

Planear Clientes Baseados na InternetPlanning for Internet-Based Clients

É necessário decidir se os computadores cliente que são geridos pela Internet são configurados para gestão na intranet e Internet ou para gestão de clientes apenas na Internet.You must decide whether the client computers that will be managed over the Internet will be configured for management on the intranet and the Internet, or for Internet-only client management. Apenas é possível configurar a opção de gestão de clientes durante a instalação de um computador cliente.You can only configure the client management option during the installation of a client computer. Se mudar de ideias mais tarde, tem de reinstalar o cliente.If you change your mind later, you must reinstall the client.

Nota

Se configurar um ponto de gestão compatível com Internet, os clientes que se liguem ao ponto de gestão serão compatíveis com Internet quando atualizarem a respetiva lista de pontos de gestão disponíveis.If you configure an Internet capable management point, clients that connect to the management point will become Internet-capable when they next refresh their list of available management points.

Dica

Não é necessário restringir à Internet a configuração de gestão de clientes apenas na Internet e também é possível utilizá-la na intranet.You do not have to restrict the configuration of Internet-only client management to the Internet and you can also use it on the intranet.

Os clientes que estão configurados para gestão de clientes apenas na Internet comunicam apenas com os sistemas de sites que estão configurados para ligações de cliente da Internet.Clients that are configured for Internet-only client management only communicate with the site systems that are configured for client connections from the Internet. Esta configuração seria adequada para computadores que sabe que nunca ligam à intranet da empresa, por exemplo, computadores em pontos de venda em localizações remotas.This configuration would be appropriate for computers that you know never connect to your company intranet, for example, point of sale computers in remote locations. Também pode ser apropriada quando pretender restringir a comunicação de cliente HTTPS apenas (por exemplo, para suportar a firewall e políticas de segurança restringidas) e, quando instalar sistemas de sites baseados na Internet numa rede de perímetro e pretender gerir esses servidores utilizando o cliente do Configuration Manager.It might also be appropriate when you want to restrict client communication to HTTPS only (for example, to support firewall and restricted security policies), and when you install Internet-based site systems in a perimeter network and you want to manage these servers by using the Configuration Manager client.

Se pretender gerir clientes de grupo de trabalho na Internet, tem de os como apenas Internet.When you want to manage workgroup clients on the Internet, you must install them as Internet-only.

Nota

Os clientes de dispositivo móvel são configurados automaticamente como apenas Internet quando são configurados para utilizar um ponto de gestão baseado na Internet.Mobile device clients are automatically configured as Internet-only when they are configured to use an Internet-based management point.

Outros computadores cliente podem ser configurados para gestão de clientes na Internet e intranet.Other client computers can be configured for Internet and intranet client management. Estes podem alternar automaticamente entre a gestão de clientes baseada na Internet e a gestão de clientes na intranet quando detetam uma alteração de rede.They can automatically switch between Internet-based client management and intranet client management when they detect a change of network. Se estes clientes podem localizar e ligar a um ponto de gestão que está configurado para ligações de cliente na intranet, estes clientes são geridos como clientes de intranet que possuem total funcionalidade de gestão do Configuration Manager.If these clients can find and connect to a management point that is configured for client connections on the intranet, these clients are managed as intranet clients that have full Configuration Manager management functionality. Se os clientes não conseguirem localizar ou estabelecer ligação a um ponto de gestão que está configurado para ligações de cliente na intranet, tentam estabelecer ligação a um ponto de gestão baseado na Internet, e se esta ligação tiver êxito, estes clientes são geridos pelos sistemas de sites baseados na Internet no respetivo site atribuído.If the clients cannot find or connect to a management point that is configured for client connections on the intranet, they attempt to connect to an Internet-based management point, and if this is successful, these clients are then managed by the Internet-based site systems in their assigned site.

A vantagem da mudança automática entre gestão de clientes baseados na Internet e gestão de clientes na intranet é que os computadores cliente podem utilizar automaticamente todas as funcionalidades do Configuration Manager sempre que estiverem ligados à intranet e continuarem a ser geridos em funções de gestão essenciais quando estão na Internet.The benefit in automatic switching between Internet-based client management and intranet client management is that client computers can automatically use all Configuration Manager features whenever they are connected to the intranet and continue to be managed for essential management functions when they are on the Internet. Além disso, uma transferência que começou na Internet pode continuar sem interrupções na intranet e vice versa.Additionally, a download that began on the Internet can seamlessly resume on the intranet, and vice versa.

Pré-requisitos da Gestão de Clientes Baseada na InternetPrerequisites for Internet-Based Client Management

Gestão de clientes baseados na Internet no Configuration Manager tem as seguintes dependências externas:Internet-based client management in Configuration Manager has the following external dependencies:

  • Os clientes que são geridos na Internet têm de ter uma ligação à Internet.Clients that will be managed on the Internet must have an Internet connection.

    O Configuration Manager utiliza ligações existentes de fornecedor de serviços de Internet (ISP) à Internet, que podem ser ligações permanentes ou temporárias.Configuration Manager uses existing Internet Service Provider (ISP) connections to the Internet, which can be either permanent or temporary connections. Os dispositivos móveis clientes têm de ter uma ligação à Internet direta, mas com computadores cliente podem ter uma ligação à Internet direta ou estabelecer ligação utilizando um servidor Web proxy.Client mobile devices must have a direct Internet connection, but client computers can have either a direct Internet connection or connect by using a proxy web server.

  • Os sistemas de sites que suportam a gestão de clientes baseados na Internet têm de ter conectividade à Internet e têm de estar num domínio do Active Directory.Site systems that support Internet-based client management must have connectivity to the Internet and must be in an Active Directory domain.

    Os sistemas de sites baseados na Internet não necessitam de uma relação de confiança com a floresta do Active Directory do servidor de sites.The Internet-based site systems do not require a trust relationship with the Active Directory forest of the site server. No entanto, quando o ponto de gestão baseado na Internet consegue autenticar o utilizador através da autenticação do Windows, são suportadas as políticas de utilizador.However, when the Internet-based management point can authenticate the user by using Windows authentication, user policies are supported. Se a autenticação do Windows falhar, apenas são suportadas as políticas de computador.If Windows authentication fails, only computer policies are supported.

    Nota

    Para suportar as políticas de utilizador, é necessário configurar para Verdadeiro as duas definições de cliente Política do Cliente:To support user policies, you also must set to True the two Client Policy client settings:

    • Ativar consulta de política de utilizador nos clientesEnable user policy polling on clients
      • Ativar pedidos da política do utilizador dos clientes InternetEnable user policy requests from Internet clients

    Um ponto do Web site do Catálogo de Aplicações baseado na Internet também necessita de autenticação do Windows para autenticar os utilizadores quando o respetivo computador está na Internet.An Internet-based Application Catalog website point also requires Windows authentication to authenticate users when their computer is on the Internet. Este requisito é independente das políticas de utilizador.This requirement is independent from user policies.

  • É necessário ter uma infraestrutura de chaves públicas (PKI) compatível que possa implementar e gerir os certificados que os clientes necessitam e que são geridos na Internet e nos servidores dos sistemas de site baseados na Internet.You must have a supporting public key infrastructure (PKI) that can deploy and manage the certificates that the clients require and that are managed on the Internet and the Internet-based site system servers.

    Para obter mais informações sobre o certificado PKI, veja Requisitos de Certificado PKI para o Configuration Manager.For more information about the PKI certificates, see PKI certificate requirements for System Center Configuration Manager.

  • O nome de domínio completamente qualificado (FQDN) na Internet dos sistemas de sites que suportam a gestão de clientes baseados na Internet tem de estar registado como entradas de anfitrião nos servidores DNS públicos.The Internet fully qualified domain name (FQDN) of site systems that support Internet-based client management must be registered as host entries on public DNS servers.

  • Servidores proxy ou firewalls intermediários: têm de permitir a comunicação de clientes que está associada a sistemas de sites baseados na Internet.Intervening firewalls or proxy servers must allow the client communication that is associated with Internet-based site systems.

    Requisitos da comunicação de clientes:Client communication requirements:

    • Suportar HTTP 1.1Support HTTP 1.1

    • Permitir que o tipo de conteúdo HTTP do anexo multiparte de MIME (multiparte/misto e aplicação/sequência de octetos)Allow HTTP content type of multipart MIME attachment (multipart/mixed and application/octet-stream)

    • Permitir os seguintes verbos para o ponto de gestão baseado na Internet:Allow the following verbs for the Internet-based management point:

      • HEADHEAD

      • CCM_POSTCCM_POST

      • BITS_POSTBITS_POST

      • GETGET

      • PROPFINDPROPFIND

    • Permitir os seguintes verbos para o ponto de distribuição baseado na Internet:Allow the following verbs for the Internet-based distribution point:

      • HEADHEAD

      • GETGET

      • PROPFINDPROPFIND

    • Permitir os seguintes verbos para o ponto de estado de contingência baseado na Internet:Allow the following verbs for the Internet-based fallback status point:

      • POSTPOST
    • Permitir os seguintes verbos para o ponto de Web site do Catálogo de Aplicações baseado na Internet:Allow the following verbs for the Internet-based Application Catalog website point:

      • POSTPOST

      • GETGET

    • Permitir os seguintes cabeçalhos HTTP para o ponto de gestão baseado na Internet:Allow the following HTTP headers for the Internet-based management point:

      • Intervalo:Range:

      • CCMClientID:CCMClientID:

      • CCMClientIDSignature:CCMClientIDSignature:

      • CCMClientTimestamp:CCMClientTimestamp:

      • CCMClientTimestampsSignature:CCMClientTimestampsSignature:

    • Permitir o seguinte cabeçalho HTTP para o ponto de distribuição baseado na Internet:Allow the following HTTP header for the Internet-based distribution point:

      • Intervalo:Range:

      Para informações de configuração para suportar estes requisitos, consulte a documentação da sua firewall ou do seu servidor proxy.For configuration information to support these requirements, refer to your firewall or proxy server documentation.

      Para requisitos de comunicação semelhantes quando utiliza o ponto de atualização de software para ligações de cliente a partir da Internet, consulte a documentação do Windows Server Update Services (WSUS).For similar communication requirements when you use the software update point for client connections from the Internet, see the documentation for Windows Server Update Services (WSUS). Por exemplo, para o WSUS no Windows Server 2003, consulte o artigo anexo d: Definições de segurança, o anexo de implementação para definições de segurança.For example, for WSUS on Windows Server 2003, see Appendix D: Security Settings, the deployment appendix for security settings.