По умолчанию серверы, на которых работает Configuration Manager 2007, для обмена данными с другими сайтами используют защищенные соединения. На принимающем сайте хранится копия открытого ключа передающего сайта. Перед тем, как принять сообщение, сайт проверяет подлинность источника при помощи открытого ключа отправителя.

Примечание
В этом разделе описаны параметры обмена ключами безопасности в ходе восстановления сайта. Дополнительные сведения о том, когда первоначальный обмен ключами нужно осуществлять вручную и как вручную обменяться открытыми ключами, см. в разделе Обмен открытыми ключами между сайтами вручную.

Обмен ключами вручную с целью восстановления сайта

В случае сбоя сайта он утрачивает свои закрытые/открытые ключи; при восстановлении сайта создаются новые ключи. Для того чтобы данные с отказавшего сайта принимались другими сайтами, новый открытый ключ отказавшего сайта должен быть передан на другие сайты Configuration Manager 2007.

После сбоя на сайте также пропадают все хранящиеся на нем копии открытых ключей всех других сайтов. Поэтому он не будет принимать данные с других сайтов до тех пор, пока не получит новые копии открытых ключей для этих сайтов.

Для безопасного обмена ключами между родительским и дочерним сайтами во время восстановления можно использовать следующие параметры командной строки:

  • /keyforparent служит для передачи нового открытого ключа на родительский сайт отказавшего сайта.

  • /keyforchild служит для передачи нового открытого ключа на дочерний сайт отказавшего сайта.

  • /childkeys служит для передачи новых открытых ключей со всех дочерних сайтов на восстанавливаемый сайт.

  • /parentkeys служит для передачи новых открытых ключей со всех родительских сайтов на восстанавливаемый сайт.

Примечание
Если восстанавливаемый сайт публикуется в доменных службах Active Directory®, он публикует свой новый открытый ключ в объекте сайта Configuration Manager 2007.Любой сайт, получивший сообщение от отказавшего сайта, проверяет его подлинность при помощи старого открытого ключа. Если текущая копия ключа не позволяет удостоверить подпись, сайт запрашивает в глобальном каталоге Active Directory сведения о том, является ли его копия открытого ключа новейшей версией. Если копия не является новейшей, сайт получает новейший открытый ключ из глобального каталога, избавляя пользователя от необходимости выполнения этой операции. Отказавший сайт получит копии открытых ключей других сайтов из глобального каталога аналогичным образом.

См. также