В разделах ниже приведены примеры сценариев реализации интернет-управления клиентами в Configuration Manager 2007 для удовлетворения следующих бизнес-потребностей.

Непрерывное управление ноутбуками, которые регулярно перемещаются между интрасетью и Интернетом

В этом сценарии показано, как можно расширить имеющийся сайт Configuration Manager, чтобы поддерживать клиенты при их перемещении из интрасети в Интернет, используя функции интернет-управления клиентами. Выбранная архитектура сети включает поддерживаемый сценарий добавления интернет-систем сайта в демилитаризованную зону и использование в демилитаризованной зоне реплики SQL Server для обеспечения дополнительной защиты: Сетевая схема для интернет-серверов: сценарий 1 с репликой SQL Server.

A. В корпорации "Датум" работают торговые представители, которые часто выезжают к заказчикам и лишь иногда появляются в офисе. Управление ноутбуками этих сотрудников, чтобы на них имелись все необходимые обновления программного обеспечения и последние приложения, представляет довольно трудную задачу, поскольку для этого торговым представителям нужно либо выделить время, чтобы приехать в офис, либо попробовать подключиться к корпоративной сети через домашнее VPN-подключение, которое является медленным и ненадежным. Кроме того, отдел аудита еженедельно запрашивает свежие отчеты об инвентаризации для сбора данных об использовании приложений, и это требование невозможно выполнить для ноутбуков, поскольку данные инвентаризации для них не обязательно регистрируются каждую неделю.

Чтобы управлять ноутбуками и после того, как они выйдут за пределы интрасети, корпорация "Датум" приняла план действий, описанный в следующей таблице.

Процесс Ссылка

Антон Хартнов является администратором Configuration Manager, который управляет сайтом Configuration Manager 2007. Он читает об интернет-управлении клиентами и о том, как продолжать управлять клиентами, когда они переходят из интрасети в Интернет.

Общие сведения об интернет-управлении клиентами

Взвесив все преимущества и недостатки реализации интернет-управления клиентами и обновления существующих решений на базе виртуальной частной сети (VPN), он приходит к выводу, что интернет-управление клиентами является предпочтительным вариантом, поскольку в данном случае администратору не приходится полагаться на то, что пользователи обязательно установят подключение.

Определение необходимости использовать интернет-управления клиентами

Антон обсуждает это предложение со своим руководителем, который просит его изучить зависимости, связанные с интернет-управлением клиентами, чтобы удостовериться, что они выполнимы, а также привлечь нужных сотрудников компании, которые потребуются для реализации предложения.

Антон проверяет зависимости и составляет список людей, которые потребуются для реализации решения, и с которыми нужно будет пообщаться.

Необходимые условия для интернет-управления клиентами

Определение ролей и процессов администратора для интернет-управления клиентами

Антон выясняет, что для интернет-управления клиентами сайт должен работать в основном режиме, в то время как сейчас он работает в смешанном режиме.

У компании уже есть решение PKI для компьютеров в интрасети и в Интернете, поэтому он сразу же обсуждает этот вопрос со своими коллегами, чтобы убедиться, что это требование можно выполнить, а значит, можно приступать к развертыванию необходимых сертификатов.

Определение возможности использования существующей инфраструктуры открытых ключей в основном режиме

Контрольный список администратора: развертывание требований PKI для работы в основном режиме

После этого Антон собирает совещание по архитектуре с участием представителей группы обеспечения инфраструктуры сети компании, чтобы решить, каким образом реализовать подключение к Интернету в рамках существующей инфраструктуры сети.

Они обсуждают поддерживаемые сценарии, число сайтов, которые должны поддерживать работу с интернет-клиентами, а также размещение серверов.

Поддерживаемые сценарии интернет-управления клиентами

Определение размещения сайта для интернет-управления клиентами

Определение размещения сервера для интернет-управления клиентами

Они принимают решение расширить один из сайтов таким образом, чтобы в демилитаризованной зоне располагались следующие дополнительные системы этого сайта:

  • Точка управления

  • Точка обновления программного обеспечения

  • Резервная точка состояния

  • точки распространения.

Сетевой график для интернет-серверов: сценарий 3 без реплики SQL Server

Они обсуждают проект решения с группой обеспечения безопасности компании, которая одобряет решение при условии, что подключения SQL, созданные в демилитаризованной зоне, не будут проникать через границу безопасности в интрасеть.

Проект перерабатывается таким образом, чтобы поместить в демилитаризованную зону реплику SQL Server, а администраторы баз данных информируются об этом требовании.

Сетевая схема для интернет-серверов: сценарий 3 с репликой SQL Server

После утверждения архитектуры сети Антон привлекает к работе сотрудников по поддержке сети, которые отвечают за брандмауэры и сетевые устройства в демилитаризованной зоне.

Они определяют сетевые порты, которые будут использоваться, чтобы сделать необходимые изменений.

Примечание
Решение требует тщательной проработки процедур отзыва сертификатов PKI, чтобы клиенты Configuration Manager всегда могли находить списки отзыва сертификатов, указанные в сертификатах работающих в основном режиме систем сайта, а серверы работающих в основном режиме систем сайта могли находить списки отзыва сертификатов, указанные в сертификатах работающих в основном режиме клиентов. Архитектура списков отзыва сертификатов PKI может потребовать дополнительной настройки инфраструктуры. Например, находящиеся в Интернете клиенты Configuration Manager могут устанавливать HTTP-подключение для доступа к списку отзыва сертификатов, что может потребовать настройки брандмауэров, прокси-серверов и DNS.

Определение портов, необходимых для управления интернет-клиентами

Зависимости списка отзыва сертификатов для Configuration Manager см. в следующем разделе: Необходимые условия для основного режима.

DNS-серверы Интернета компании управляются внешним подрядчиком, поэтому Антон отправляет запрос на изменение для публикации в системе DNS полных доменных имен в Интернете интернет-систем сайта. Он предоставляет необходимые сведения.

Настройка DNS для ролей системы сайта Configuration Manager

После развертывания сертификатов PKI Антон переводит сайт в основной режим и в течение некоторого времени следит за его работой, чтобы убедиться, что все в порядке.

Миграция сайта из смешанного режима в основной

Определение проблем с сертификатами клиентов в основном режиме

Устанавливаются дополнительные серверы, к которым применяются строгие политики безопасности, подходящие для компьютеров, расположенных в демилитаризованной зоне.

Антон подтверждает, что сетевая инфраструктура настроена в соответствии с установленными требованиями.

Внутренний процесс, специфичный для компании

Антон устанавливает на серверы роли интернет-системы сайта, используя следующие элементы конфигурации:

  • учетная запись, расположенная на сервере;

  • полное доменное имя в Интернете системы сайта;

  • параметр Разрешить только инициированные сервером сайта передачи данных из этой системы сайта.

Настройка учетной записи установки системы сайта

Настройка полных доменных имен систем сайта в Интернете, которые будут поддерживать управление интернет-клиентами

Настройка интернет-систем сайтов для передачи только тех данных, которые инициированы сервером сайта

Антон настраивает интернет-точку обновления программного обеспечения на синхронизацию обновлений программного обеспечения.

Синхронизация обновлений программного обеспечения

Администратор баз данных устанавливает и настраивает реплику SQL Server в демилитаризованной зоне.

Настройка репликации базы данных сайта SQL Server

Антон настраивает интернет-системы сайта, чтобы они принимали подключения только от интернет-клиентов.

Настройка точки управления для подключений интернет-клиентов

Настройка точки распространения для подключений интернет-клиентов

Настройка резервной точки состояния для подключений интернет-клиентов

Настройка точки обновления программного обеспечения для подключений клиентов через Интернет

Антон настраивает интернет-точки распространения, чтобы они могли передавать содержимое через Интернет.

Настройка передачи содержимого в точках распространения по протоколам BITS, HTTP и HTTPS

Антон выполняет пилотный запуск с несколькими компьютерами и указывает на клиенте полное доменное имя интернет-точки управления, используя для этого вкладку Интернет в окне Configuration Manager, запускаемом из панели управления.

Назначение клиентских компьютеров Configuration Manager интернет-точкам управления

После успешного завершения предварительных испытаний Антон расширяет пилотную реализацию и отправляет на несколько компьютеров сценарий, который переустанавливает клиенты со следующими параметрами:

  • назначение интернет-сайту;

  • передача данных в основном режиме и проверка списка отзыва сертификатов;

  • полное доменное имя интернет-точки управления;

  • полное доменное имя резервной интернет-точки состояния;

О свойствах установки клиента Configuration Manager

Пользователи ноутбуков информируются об изменениях, которые будут реализованы, а служба поддержки получает сведения о том, как устранять неполадки клиентов, на которых возникают проблемы при установке приложений и обновлений программного обеспечения, когда они находятся в Интернете.

Внутренний процесс, специфичный для компании

Удовлетворенный результатами пилотных испытаний Антон отправляет такие же сценарии установки на ноутбуки.

Он отслеживает время успешной отправки сценария каждому из клиентов и контролирует развертывание клиентов при помощи отчетов, создаваемых в резервной точке состояния. Кроме того, он выявляет особенности конфигурации клиентов, используя для этого данные инвентаризации оборудования клиентов.

О резервной точке состояния в Configuration Manager

Идентификация сведений о конфигурации клиента для основного режима и управления интернет-клиентами

Спустя шесть недель Антон отмечает, что 95 процентов ноутбуков получили сценарий, а данные инвентаризации этих компьютеров отправляются так же регулярно, как и для компьютеров в интрасети.

Кроме того, согласно отчетам уровень соответствия для ноутбуков такой же, как и для компьютеров в интрасети.

Категория отчетов Программы - Компании и продукты:

  • Подсчет всех инвентаризованных продуктов и версий

Об отчетах по обновлениям программного обеспечения

Антон просит сотрудников службы поддержки и пользователей поделиться своими отзывами, чтобы проанализировать процесс на предмет возможных усовершенствований и изменений.

Внутренний процесс, специфичный для компании

Антон может предоставлять своевременные отчеты об инвентаризации, которые требуются.

Внутренний процесс, специфичный для компании

Это развертывание системы интернет-управления клиентами может следующим образом повлиять на пользователей, компьютеры которых настроены на управление через Интернет и интрасеть.

  • Ноутбук перемещается из интрасети в Интернет.

    Когда торговый представитель подключен к Интернету, его ноутбук продолжает пересылать данные инвентаризации и сведения о соответствии на свой сайт. Необходимые приложения и обновления программного обеспечения устанавливаются автоматически, хотя их предварительная загрузка может занимать какое-то время. Если же подключение разрывается, то загрузка возобновляется при очередном подключении к Интернету.

    Торговый представитель не получает программного обеспечения, предназначенного для его учетной записи Windows, но эти приложения являются необязательными.

  • Ноутбук перемещается из Интернета в интрасеть.

    Торговый представитель возвращается в офис после четырехнедельного отсутствия. Он подключает ноутбук к интрасети, и загрузка большого пакета распространения программного обеспечения возобновляется с того места, на котором она остановилась, и благодаря более быстрому сетевому подключению она довольно быстро завершается.

    Пользователь замечает, что доступны два дополнительных распространения программного обеспечения, и принимает решение установить их на тот случай, если они понадобятся позже.

Управление домашними компьютерами, которые никогда не подключаются к интрасети

В этом сценарии показано, как можно создать новый сайт Configuration Manager, чтобы поддерживать интернет-клиенты, которые никогда не подключаются к интрасети, используя функции интернет-управления клиентами. Выбранная архитектура сети включает поддерживаемый сценарий размещения всего дочернего сайта в демилитаризованной зоне: Сетевой график для интернет-серверов: сценарий 2 с дочерним сайтом.

У компании "Винзавод Coho" имеется несколько сотрудников, которые работают дома, используя собственные компьютеры и взаимодействуя по электронной почте. У них нет учетных записей Windows в интрасети, поэтому они никогда не входят в интрасеть. Однако иногда для работы им требуются программные приложения, и они бы хотели, чтобы проверенные обновления программного обеспечения устанавливались автоматически, чтобы их компьютеры оставались защищенными.

Чтобы обеспечить надомным сотрудникам такой уровень обслуживания, "Винзавод Coho" принимает решение установить на их компьютеры клиент Configuration Manager с управлением только через Интернет. Это позволит управлять домашними компьютерами, что повысит эффективность надомных сотрудников. Жанна Мерьямова работает администратором Configuration Manager, и она решила придерживаться плана действий, представленного в следующей таблице.

Процесс Ссылка

Жанна читает об интернет-управлении клиентами и о том, как настроить клиенты для управления только через Интернет, чтобы они могли получать распространения и обновления программного обеспечения.

Общие сведения об интернет-управлении клиентами

Жанна обсуждает свое предложение с руководителем, который просит ее изучить зависимости, связанные с интернет-управлением клиентами, чтобы удостовериться, что они выполнимы, а также привлечь сотрудников компании, которые потребуются для реализации предложения.

Жанна проверяет зависимости и составляет список людей, которые потребуются для реализации решения.

Необходимые условия для интернет-управления клиентами

Определение ролей и процессов администратора для интернет-управления клиентами

Жанна выясняет, что для интернет-управления клиентами сайт должен работать в основном режиме, в то время как сейчас иерархия настроена на смешанный режим.

У компании нет решения PKI, поэтому в качестве основного приоритета для себя Жанна обозначает изучение этого вопроса.

После обсуждения с руководством принимается решение привлечь консультантов по PKI, которые внедрят решение PKI, которое подходит для Configuration Manager и может быть расширено для поддержки других бизнес-требований в будущем.

Консультанты PKI готовят план перевода центрального сайта иерархии Configuration Manager в основной режим, что позволит создать новый работающий в основном режиме дочерний сайт, который будет поддерживать работающие только через Интернет клиенты.

Жанна передает им список требований к сертификатам для основного режима, которые должны выполняться для центрального сайта и нового дочернего сайта.

Требования к сертификатам для работы в основном режиме

Контрольный список администратора: развертывание требований PKI для работы в основном режиме

После этого Жанна собирает совещание по архитектуре с участием представителей группы обеспечения инфраструктуры сети компании, чтобы решить, каким образом реализовать подключение к Интернету в рамках существующей инфраструктуры сети.

Они обсуждают поддерживаемые сценарии, число сайтов, которые должны поддерживать работу с интернет-клиентами, а также размещение серверов.

Поддерживаемые сценарии интернет-управления клиентами

Определение размещения сайта для интернет-управления клиентами

Определение размещения сервера для интернет-управления клиентами

Они принимают решение создать один новый сайт в демилитаризованной зоне.

Сетевой график для интернет-серверов: сценарий 2 с дочерним сайтом

Они обсуждают проект решения с группой обеспечения безопасности компании, которая одобряет решение, если трафик SMB, пересекающий границу безопасности демилитаризованной зоны, будет защищен при помощи протокола IPsec.

Консультанты по PKI реализуют этот запрос в своем проекте.

Внедрение протокола IPsec в Configuration Manager 2007

После утверждения архитектуры сети Жанна привлекает к работе сотрудников по поддержке сети, которые отвечают за брандмауэры и сетевые устройства в демилитаризованной зоне.

Они определяют порты, которые будут использоваться, чтобы сделать необходимые изменений.

Определение портов, необходимых для управления интернет-клиентами

DNS-серверы Интернета компании управляются внутри компании в демилитаризованной зоне, поэтому Жанна отправляет запрос на изменение для публикации полных доменных имен в Интернете интернет-систем сайта в системе DNS. Она предоставляет необходимые сведения.

Настройка DNS для ролей системы сайта Configuration Manager

После развертывания сертификатов PKI Жанна переводит центральный сайт в основной режим и в течение некоторого времени следит за его работой, чтобы убедиться, что все в порядке.

Миграция сайта из смешанного режима в основной

Устанавливаются дополнительные серверы, к которым применяются строгие политики безопасности, подходящие для компьютеров, расположенных в демилитаризованной зоне.

Жанна подтверждает, что сетевая инфраструктура настроена в соответствии с установленными требованиями.

Внутренний процесс, специфичный для компании

Жанна устанавливает в демилитаризованной зоне новый дочерний сайт, настраивая роли интернет-систем сайта на серверах с полным доменным именем в Интернете систем сайта, зарегистрированных на DNS-серверах Интернета.

Настройка полных доменных имен систем сайта в Интернете, которые будут поддерживать управление интернет-клиентами

Жанна настраивает интернет-точку обновления программного обеспечения на синхронизацию обновлений программного обеспечения.

Синхронизация обновлений программного обеспечения

Жанна настраивает интернет-системы сайта, чтобы они принимали подключения только от интернет-клиентов.

Настройка точки управления для подключений интернет-клиентов

Настройка точки распространения для подключений интернет-клиентов

Настройка резервной точки состояния для подключений интернет-клиентов

Настройка точки обновления программного обеспечения для подключений клиентов через Интернет

Жанна настраивает интернет-точки распространения, чтобы они могли передавать содержимое через Интернет.

Настройка передачи содержимого в точках распространения по протоколам BITS, HTTP и HTTPS

Жанна выполняет пилотный запуск с несколькими компьютерами и указывает на клиенте полное доменное имя интернет-точки управления, используя для этого вкладку Интернет в окне Configuration Manager, запускаемом из панели управления.

Назначение клиентских компьютеров Configuration Manager интернет-точкам управления

После успешного завершения эксплуатационных испытаний Жанна создает и тестирует пакет установки со всеми исходными файлами. Этот пакет устанавливает клиент Configuration Manager со следующими параметрами установки:

  • назначение интернет-сайту;

  • управление только через Интернет;

  • взаимодействие в основном режиме;

  • полное доменное имя интернет-точки управления;

  • полное доменное имя резервной интернет-точки состояния;

  • копия сертификата для подписи сервера сайта.

О свойствах установки клиента Configuration Manager

Специалисты по PKI создают в демилитаризованной зоне веб-портал, к которому домашние пользователи могут подключаться, чтобы запросить необходимые сертификаты.

Внутренний процесс, специфичный для компании

Надомные сотрудники получают информацию о новой службе и о том, что установка состоит из двух этапов:

  • они должны подключиться к веб-порталу и запросить сертификат;

  • они должны запустить пакет установки с компакт-диска, который они получат по почте.

Внутренний процесс, специфичный для компании

Специалисты службы поддержки получают инструкции по решению проблем, возникающих при запросе сертификатов для клиентов и при установке клиентов.

Внутренний процесс, специфичный для компании

Жанна удовлетворена результатами пилотного тестирования с участием нескольких надомных сотрудников и она отправляет установочный компакт-диск оставшимся надомным сотрудникам.

Внутренний процесс, специфичный для компании

Спустя шесть недель Жанна отмечает, что 100 процентов компьютеров надомных сотрудников успешно назначены сайту и получают распространяемое программное обеспечение и обновления программного обеспечения.

О резервной точке состояния в Configuration Manager

Жанна просит сотрудников службы поддержки и пользователей поделиться своими отзывами, чтобы проанализировать процесс на предмет возможных усовершенствований и изменений.

Внутренний процесс, специфичный для компании

Это развертывание системы интернет-управления клиентами может следующим образом повлиять на надомных сотрудников, компьютеры которых настроены на управление только через Интернет.

  • Обновления программного обеспечения устанавливаются автоматически.

    Некоторые надомные сотрудники помнят о необходимости запуска Центра обновления Windows, однако большинство из них забывают это делать или не знают, какие именно обновления устанавливать. Автоматическая установка критических обновлений программного обеспечения поддерживают их компьютеры в безопасном состоянии.

  • Становятся доступными программные приложения.

    Для выполнения проекта часто требуются определенные приложения. Вместо того чтобы пытаться устанавливать их из вложений электронной почты или ждать их получения по почте, пользователи могут по мере необходимости устанавливать нужные приложения, поскольку все они доступны на их компьютерах.

Поддержка интернет-клиентов и клиентов интрасети в интрасети на одном сервере системы сайта

В этом сценарии показано, как можно добавить функцию интернет-управления клиентами на имеющийся в интрасети сайт Configuration Manager без добавления в демилитаризованную зону новых серверов системы сайта. Поскольку в этом случае граница безопасности демилитаризованной зоны соединяется с интрасетью, это не самое удачное решение с точки зрения безопасности. Однако данный сценарий является эффективным способом быстрого тестирования функции интернет-управления клиентами без необходимости устанавливать и настраивать дополнительные серверы. Кроме того, в этом случае отключается проверка отзыва сертификатов на клиентах, чтобы сэкономить на дополнительной настройке, которая потребуется в рабочей сети для публикации списка отзыва сертификатов, доступного из Интернета.

Архитектура сети включает поддерживаемый сценарий, в котором сайт Configuration Manager 2007 размещается в интрасети, а настраиваемые для интернет-управления клиентами системы сайта могут принимать подключения как из Интернета, так и из интрасети. (Сетевая диаграмма для интернет-серверов: сценарий 4 с подключениями из Интернета в интрасеть.)

Администраторы компании Trey Research заинтересованы в возможности реализации решения для интернет-управления клиентами, которое бы дополнило их стратегию управления компьютерами на базе существующей иерархии Configuration Manager. Они испытывали трудности с установкой важных обновлений для системы безопасности и обновлений приложений на ноутбуков сотрудников, которые проводят много времени вне офиса и посещают международные конференции. Однако в настоящее время у компании Trey Research нет инфраструктуры открытого ключа, которая необходима для интернет-управления клиентами. Прежде чем руководители компании согласятся выделить средства на этот проект, им требуется подтверждение того, что функция интернет-управления клиентами работает и сможет обеспечить необходимые преимущества.

Администратор Configuration Manager Александр Шабалин принял решение придерживаться плана действий, представленного в следующей таблице.

Процесс Ссылка

В целях тестирования Александр использует нерабочий лес Active Directory в изолированном сегменте интрасети, у которого нет доступа к Интернету.

Пространство имен Интернета компании — treyresearch.net, а внутреннее пространство имен Active Directory в тестовой сети — testnet.treyresearch.net.

Внутренний процесс.

Для ускорения развертывания и минимизации объема оборудования для тестирования Александр принимает решение использовать только один сервер для всех систем сайта Configuration Manager. На этом сервере будут размещены следующие роли системы сайта:

  • Сервер сайта

  • Точка управления

  • Точка распространения

  • Точка обновления программного обеспечения

Александр принимает решение не развертывать в рамках этого эксперимента резервную точку состояния, потому что, хотя она и помогает выявлять проблемы подключения клиентов, она не требуется для испытания базовых операций сайта.

После тщательного изучения вариантов размещения сервера интернет-систем сайта Александр понимает, что одна система сайта может поддерживать как клиенты в интрасети, так и интернет-клиенты. Хотя это не самое правильное решение с точки зрения безопасности, преимущество для Александра заключается в том, что ему нужно устанавливать и настраивать меньшее число серверов. Такая стратегия позволяет Александру испытать функцию интернет-управления клиентами быстрее, чем если бы ему пришлось настраивать несколько серверов. Риски безопасности, связанные с размещением нескольких ролей системы сайта на одном сервере и передачи интернет-трафика в интрасеть, ограничиваются за счет того, что тестовая сеть изолирована от рабочей сети.

О резервной точке состояния в Configuration Manager

Определение размещения сервера для интернет-управления клиентами

Александр устанавливает новый сервер с Windows Server 2003 с пакетом обновления 1 (SP1) (он присваивает серверу имя IBCMServer) и включает его в домен. Этот сервер и станет единственным сервером систем сайта. На этот сервер он также устанавливает службы IIS и другие компоненты, необходимые для работы Configuration Manager 2007.

После этого он расширяет схему Active Directory для Configuration Manager 2007 и включает публикацию путем создания контейнера System Management и настройки в нем разрешений для компьютера IBCMServer.

Александр устанавливает на ноутбук Windows Vista и включает его в домен.

Необходимые условия для установки Configuration Manager

Расширение схемы Active Directory для Configuration Manager

После этого Александр обсуждает архитектуру пробного решения со специалистами по обслуживанию сети, которые управляют действующими в компаниями требования к подключению к Интернету. После изучения внешних зависимостей для интернет-управления клиентами Александр понимает, что ему потребуется помощь специалистов по сети для решения следующих вопросов.

  • Внешний брандмауэр должен пропускать трафик, относящийся к интернет-управлению клиентами.

  • На DNS-серверах компании необходимо настроить запись общедоступного узла для интернет-системы сайта.

    Они принимают решение использовать в качестве имени узла IBCMServer, поэтому полное доменное имя в Интернете имеет вид IBCMServer.treyresearch.net.

  • Внутренний сервер Microsoft ISA Server должен опубликовать интернет-системы сайта в интрасети.

Необходимые условия для интернет-управления клиентами

Специалистам по обслуживанию сети необходимо получить одобрение специалистов по безопасности, прежде чем он смогут вносить изменения в имеющуюся инфраструктуру Интернета.

Специалисты по безопасности изучают план и выражают озабоченность в связи с размещением сервера в интрасети и его доступностью для интернет-трафика.

Александр объясняет, что такая конфигурация используется только в целях эксперимента в изолированной сети и показывает различные поддерживаемые варианты архитектуры для рабочих сетей. В них сервер сайта не взаимодействует с интернет-трафиком, и хотя интернет-системы сайта могут поддерживать подключения к Интернету и к интрасети, существуют более безопасные конфигурации.

Специалисты по безопасности одобряют экспериментальную конфигурацию, так как они понимают, что Александр будет использовать ее только для более глубокого изучения окончательной архитектуры, если проект будет утвержден.

Поддерживаемые сценарии интернет-управления клиентами

Александр проверяет, что его рядовой сервер был автоматически зарегистрирован под именем IBCMServer во внутренней DNS-зоне Active Directory testnet.treyresearch.net.

Специалисты по обслуживанию сети вручную добавляют DNS-записи A для сервера IBCMServer в общую зону DNS treyresearch.net. Поскольку эта интернет-система сайта будет опубликована на сервере ISA Server, для соответствующей записи настраивается общедоступный IP-адрес, относящийся к одному из внешних адаптеров сервера ISA Server и не использующийся в данный момент. Этот внешний IP-адрес должен быть выделен для подключений интернет-управления клиентами.

Примечание
Если бы Александр использовал для всех своих ролей интернет-систем сайта более одного сервера, каждой внутренней системе сайта, которая принимает подключения через Интернет, требовался бы собственный выделенный внешний IP-адрес, даже если бы все подключения проходили через один и тот же компьютер ISA Server.

Настройка DNS для ролей системы сайта Configuration Manager

Александр изучает требования к PKI и выясняет, какие сертификаты потребуются для его тестовой сети. Он обращается к разделам документации, в которых описаны требования к сертификатам и приведены инструкции по их установке.

Поскольку область применения тестовой среды ограничена, Александру потребуются только следующие сертификаты:

  • корневой центр сертификации;

  • сертификат для подписи сервера сайта;

  • сертификат веб-сервера (для которого требуется полное доменное имя в интрасети и в Интернете);

  • сертификаты клиентов.

Требования к сертификатам для работы в основном режиме

Развертывание сертификатов PKI, необходимых для работы в основном режиме

Александр приходит к выводу, что необходимые сертификаты проще всего развернуть с помощью корневого центра сертификации Microsoft, используя выпуск Windows Server 2003 Enterprise Edition. У такого решения есть следующие преимущества.

  • корневой центр сертификации автоматически развертывается на всех компьютерах в лесу Active Directory;

  • для запроса пользовательских сертификатов можно использовать веб-регистрацию с автоматическим утверждением;

  • автоматическая регистрация поддерживается групповой политикой.

Александр проверяет, что на его единственном контроллере домена Active Directory в тестовой среди установлен выпуск Windows Server 2003 Enterprise Edition и службы IIS.

После этого Александр устанавливает на контроллер домена службы сертификатов (Microsoft) (включая ЦС служб сертификатов и поддержку веб-регистрации службы сертификатов) и настраивает корневой центр сертификации предприятия.

После изучения раздела о развертывании сертификата веб-сервера на серверах систем сайта он приходит к выводу, что ему необходимо включить поддержку атрибута сертификатов "Дополнительное имя субъекта", чтобы он мог указывать полное доменное имя как для интрасети, так и для Интернета. Он выполняет приведенные в статье инструкции, чтобы включить поддержку дополнительного имени субъекта в корневом центре сертификации, который в данной тестовой среде также будет выдавать сертификаты.

Определение возможности использования существующей инфраструктуры открытых ключей в основном режиме

Развертывание сертификатов веб-сервера на серверах системы сайта

Сведения о добавлении поддержки дополнительного имени субъекта в центр сертификации Майкрософт: http://go.microsoft.com/fwlink/?LinkId=93692

У Александра есть небольшой опыт работы с PKI, поэтому он использует пошаговый пример развертывания из библиотеки Configuration Manager.

Он в точности воспроизводит описанную процедуру для сертификата для подписи сервера сайта и сертификатов для развертывания клиентов. Однако ему необходимо изменить эту процедуру при задании сертификата веб-сервера для интернет-системы сайта, поскольку для нее требуется полное доменное имя в интрасети и полное доменное имя в Интернете в качестве дополнительного имени субъекта:

  • он использует шаблон сертификата веб-сервера без изменений и проверяет, что на вкладке Имя субъекта установлен параметр Предоставляется в запросе;

  • при помощи метода веб-регистрации он запрашивает сертификат веб-сервера на рядовом сервере, как он делал для сертификата для подписи сервера сайта;

  • в форме сертификата он указывает в качестве параметра Имя субъекта полное доменное имя в интрасети, в поле Атрибуты он указывает полное доменное имя в Интрасети и полное доменное имя в Интернете: san:dns=IBCMServer.testnet.research.net&dns=IBCMServer.research.net;

  • Александр отправляет сертификат, который сразу же одобряется, и Александр устанавливает его на веб-сайт по умолчанию;

  • Александр возвращается к пошаговому примеру развертывания, чтобы узнать, как настроить службы IIS для использования сертификата веб-сервера.

Пример пошагового развертывания сертификатов PKI, необходимых для работы Configuration Manager в основном режиме: центр сертификации Windows Server 2003

Сведения о добавлении поддержки дополнительного имени субъекта в центр сертификации Майкрософт: http://go.microsoft.com/fwlink/?LinkId=93692

В результате проверки предварительных требований по использованию основного режима Александр выясняет, что, поскольку его центр сертификации, выдающий сертификаты, расположен в интрасети, у клиентов в Интернете по умолчанию не будет доступа к списку отзыва сертификатов. По умолчанию список отзыва сертификатов интрасети публикуется в этом центре сертификации.

Александр изучает раздел по планированию проверки списка отзыва сертификатов и понимает, что, если попытка клиента в Интернете найти список отзыва сертификатов заканчивается неудачно, подключения к ролям интернет-систем сайта также закончатся неудачно.

Вместо публикации списка отзыва сертификатов в Интернете, что пришлось бы обязательно сделать для рабочей сети, Александр решает отключить проверку списка отзыва сертификатов на клиентах внутри его тестовой сети, чтобы снизить число дополнительных требований по настройке.

Необходимые условия для основного режима

Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим)

После этого Александр запускает на рядовом сервере программу установки Configuration Manager 2007 со следующими параметрами:

  • простая установка;

  • код сайта, указанный в сертификате для подписи сервера сайта Имя субъекта;

  • основной режим, успешный переход к развернутому сертификату для подписи сервера сайта.

После завершения установки Александр выполняет следующие задачи:

  • настройка границы Active Directory;

  • настройка сервера системы сайта с полным доменным именем в интрасети IBCMServer.testnet.treyresearch.net и полным доменным именем в Интрасети IBCMServer.treyresearch.net.

  • отключение проверки списка отзыва сертификатов при помощи свойства сайта для поддержки тестовой сетевой среды.

Обзор простой установки

Развертывание сайта с помощью простой установки

Настройка границ Configuration Manager

Настройка полного доменного имени в интрасети для систем сайтов

Настройка полных доменных имен систем сайта в Интернете, которые будут поддерживать управление интернет-клиентами

Включение и отключение проверки отзыва сертификатов (CRL) на клиентах

После этого Александр устанавливает клиент Configuration Manager на ноутбуке, настраивает обновления программного обеспечения и проверяет выполнение стандартных операций Configuration Manager в интрасети.

Задачи для установки клиентов Configuration Manager

Обновление программного обеспечения в Configuration Manager

После проверки работоспособности в основном режиме в интрасети Александр настраивает роли систем сайта, чтобы разрешить подключение клиентов из интрасети и Интернета.

Кроме того, он проверяет, что точка распространения настроена на передачу содержимого с использованием службы BITS и протокола HTTP.

Настройка точки управления для подключений интернет-клиентов

Настройка точки обновления программного обеспечения для подключений клиентов через Интернет

Настройка точки распространения для подключений интернет-клиентов

Настройка передачи содержимого в точках распространения по протоколам BITS, HTTP и HTTPS

На ноутбуке Александр указывает значение IBCM.treyresearch.com в качестве точки интернет-управления на вкладке Интернет окна Configuration Manager, запускаемого из панели управления.

Назначение клиентских компьютеров Configuration Manager интернет-точкам управления

Специалисты по обслуживанию сети вносят последние необходимые изменения в конфигурацию, чтобы разрешить передачу интернет-трафика в демилитаризованную зону и в интрасеть:

  • На внутреннем сервере Microsoft ISA Server настраивается правило публикации сервера, чтобы входящие HTTPS-запросы через порт 443 узла IBCMServer.treyresearch.netrequests сопоставлялись с HTTPS-запросами через порт 443 узла IBCMServer.testnet.treyresearch.net. В этой конфигурации используется туннелирование SSL, которое не требует дополнительных сертификатов на сервере ISA Server.

  • подтверждается, что внешний брандмауэр уже настроен на пропускание входящего трафика через порт 443 на сервер ISA Server.

Определение портов, необходимых для управления интернет-клиентами

Определение требований к прокси-серверам для использования интернет-управления клиентами

Александр отключает тестовый ноутбук от тестовой сети и при помощи функции обновлений программного обеспечения Configuration Manager создает новое необязательное развертывание обновлений программного обеспечения.

После этого Александр приносит тестовый ноутбук домой, подключает его к Интернету, вручную запускает политику клиента, получает уведомление о необязательном обновлении программного обеспечения, и ему удается успешно установить его.

Инициация получения политики для клиента Configuration Manager

О взаимодействии с пользователем при обновлении программного обеспечения

Диалоговое окно "Доступные обновления программного обеспечения" в клиенте

После успешного первичного испытания Александр проводит другие испытания с использованием автоматического распространения программного обеспечения и обновлений программного обеспечения и проверяет, что сведения об инвентаризации оборудования и соответствии управления требуемой конфигурацией передаются, даже когда ноутбук находится в Интернете. Кроме того, он проверяет, что загрузка содержимого автоматически продолжается при перемещении ноутбука из Интернета в интрасеть и наоборот.

Александр документирует результаты своих исследований и спустя две недели представляет их руководству. Успех пилотного проекта убеждает руководство в том, что применение интернет-управления клиентами не затрудняет работу пользователей и является эффективным способом управления ноутбуками, даже когда они находятся за пределами сети компании. Это, в свою очередь, позволяет обеспечить безопасность ноутбуков, поэтому инвестиции, необходимые для создания решения PKI, кажутся оправданными.

У компании нет внутренних ресурсов и опыта для реализации инфраструктуры PKI, поэтому в результатах испытаний содержится обоснование расходов на привлечение к этому проекту внешних подрядчиков, чтобы систему интернет-управления клиентами можно было внедрить в ближайшем будущем.

См. также