Интернет-управление клиентами позволяет управлять клиентами Configuration Manager 2007, не подключенными к сети компании, но имеющими стандартное подключение к Интернету. У такого подхода есть несколько преимуществ, в том числе снижение расходов благодаря тому, что не нужно поддерживать виртуальные частные сети, а обновления программного обеспечения развертываются быстрее.

Поскольку при управлении компьютерами в общедоступной сети действуют более строгие требования в области безопасности, в случае интернет-управления клиентами сайт должен работать в основном режиме. Это позволяет гарантировать, что подключения к точке управления, точке обновления программного обеспечения и точкам распространения проходят взаимную проверку подлинности независимым центром, а передаваемые между системами сайта данные шифруются при помощи протокола SSL.

Возможности, которые не поддерживаются при управлении через Интернет

Не все возможности Configuration Manager 2007 подходят для использования в Интернете, поэтому они не поддерживаются при управлении клиентами через Интернет. Возможности, которые не поддерживаются при управлении через Интернет, обычно используют доменные службы Active Directory (которые недоступны через Интернет) или не подходят для общедоступной сети (например, функции обнаружения сетевых ресурсов и пробуждения по локальной сети).

При управлении клиентами через Интернет не поддерживаются следующие возможности:

  • распространение программного обеспечения, нацеленное на пользователей (явным образом или через группы безопасности Microsoft Windows);

  • точки распространения филиалов (точка распространения филиала не может поддерживать интернет-клиенты, а интернет-клиенты невозможно настроить в качестве точки распространения филиала);

  • развертывание клиентов через Интернет;

  • автоназначение сайта;

  • защита доступа к сети;

  • пробуждение по локальной сети;

  • развертывание операционной системы;

  • последовательности задач;

  • удаленное управление;

  • внешнее управление в Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версиях;

  • функция проверки связи с клиентом, используемая в Configuration Manager 2007 R2 вместе с функцией создания отчетов о состоянии клиентов.

Кроме того, интернет-управление клиентами не поддерживает роуминг, позволяющий клиентам всегда находить ближайшую точку распространения для загрузки содержимого. Клиенты, управляемые по Интернету, имеют фиксированную точку интернет-управления и взаимодействуют с ней, только если они находятся в Интернете. Кроме того эти клиенты взаимодействуют с системами сайта, которые настроены на интернет-управление клиентами.

Клиенты, подключаемые через Интернет, загружают содержимое из любой интернет-точки распространения на сайте независимо от ее пропускной способности и физического расположения. Поэтому настроить защищенную систему сайта для поддержки интернет-управления клиентами невозможно.

Настройка систем сайта для интернет-управления клиентами

Для поддержки расположенных в Интернете клиентов не требуются дополнительные роли системы сайта. Вместо этого существующие роли системы основного сайта, работающего в основном режиме, настраиваются для интернет-управления клиентами и размещаются в сети соответствующим образом. Интернет-управление клиентами поддерживается следующими системами сайта:

  • точкой управления (с кластером балансировки сетевой нагрузки и без него);

  • точки распространения;

  • Резервная точка состояния

  • точка обновления программного обеспечения (с кластером балансировки сетевой нагрузки и без него).

Некоторые поддерживаемые сценарии определяют расположение серверов на основном сайте Configuration Manager 2007. Они включают как размещение всего сайта Configuration Manager 2007 в пределах демилитаризованной зоны (также называемой промежуточной подсетью), так и разделение сайта между демилитаризованной зоной и интрасетью. Конфигурация брандмауэров и прокси-серверов зависит от выбранного размещения серверов. В случае использования прокси-сервера, например Microsoft ISA Server 2006, сервер также должен иметь соответствующий сертификат и поддерживать завершение запросов SSL, чтобы прокси-сервер мог проверять подлинность подключений клиентов.

Настройка клиентов для интернет-управления

Клиентские компьютеры и устройства мобильных клиентов можно настроить для применения одного из следующих методов управления:

  • управление только через Интернет;

  • управление только через интрасеть.

Клиенты, управление которыми осуществляется через Интернет, необходимо настроить на использование интернет-точки управления из назначенного им сайта. Клиенты не могут взаимодействовать с интернет-точкой управления из другого сайта или с любой другой интернет-системой из другого сайта. Чтобы задать конфигурацию интернет-точки управления, можно воспользоваться параметрами командной строки во время установки или вкладкой Интернет компонента Configuration Manager, запускаемого из панели управления клиентского компьютера.

Примечание
Вкладка Интернет отображается только в том случае, если клиент работает в основном режиме.

Клиенты, которые настроены для управления только через Интернет, взаимодействуют только с системами сайта, для которых включена поддержка интернет-управления клиентами. Управление через Интернет подходит для компьютеров и устройств, про которые известно, что они никогда не подключаются к интрасети компании, например компьютеры в удаленных точках розничной торговли.

Клиенты, поддерживающие управление только через интрасеть, не могут использовать точку интернет-управления, и им не требуется подключаться к системам сайта, настроенным для интернет-управления клиентами.

Для клиентских компьютеров можно настроить и третий режим, который не доступен для мобильных клиентских устройств:

  • управление через Интернет и интрасеть.

Для поддержки этого режима клиенты должны входить в домен и иметь отношение доверия с лесом Active Directory сервера сайта. Например, они должны входить в тот же лес Active Directory, что и сервер сайта, либо они должны проходить проверку подлинности с использованием внешнего доверия или доверия леса. Клиенты, входящие в рабочие группы, не поддерживают управление через Интернет и интрасеть одновременно, и их необходимо настраивать на управление только через Интернет или только через интрасеть.

Клиентские компьютеры, для которых настроено управление через Интернет и интрасеть, могут автоматически переключаться между режимами управления при обнаружении изменения сети.

При обнаружении такого изменения сети клиентский компьютер сначала предпринимает попытку обращения к назначенной ему точке управления в интрасети. В случае успеха клиентский компьютер работает как стандартный клиент в интрасети. Если же подключиться к назначенной точке управления не удается, клиентский компьютер пытается подключиться к настроенной для него точке интернет-управления, используя для этого полное доменное имя в Интернете, настроенное в точке управления и зарегистрированное на DNS-серверах Интернета. Когда точка интернет-управления отвечает, клиентский компьютер начинает использовать точки распространения и точку обновления программного обеспечения, которые также настроены для интернет-управления клиентами.

Преимущество автоматического переключения между управлением через Интернет и интрасеть заключается в том, что при возвращении в интрасеть клиентские компьютеры могут использовать полный набор возможностей Configuration Manager. Кроме того, процесс загрузки, начатый через Интернет, может быть автоматически продолжен в интрасети.

Важно!
Если клиентами, которые не поддерживают одновременное управление через интрасеть и Интернет, например клиентами, входящими в рабочую группу, требуется управлять через Интернет, для них необходимо настраивать управление только через Интернет. Это значит, что при подключении к интрасети они будут по-прежнему взаимодействовать с интернет-системами сайта. Кроме того, они не поддерживают полный набор функций Configuration Manager, доступных при управлении через интрасеть и перечисленных выше в разделе "Возможности, которые не поддерживаются при управлении через Интернет".

Использование интернет-клиентами резервной точки состояния

В случае использования на сайте с интернет-управлением клиентами резервной точки состояния при установке клиента необходимо настроить на нем резервную интернет-точку состояния. Если клиенту, когда он находится в Интернете, не удастся подключиться к точке интернет-управления (например, из-за истекшего срока действия сертификата), он по протоколу HTTP отправит сообщение об изменении состояния с описанием ошибки настроенной для него резервной интернет-точке состояния.

Если для клиента настроено управление как через Интернет, так и через интрасеть, а также настроена резервная интернет-точка состояния, он не будет использовать резервную точку состояния в интрасети. Это значит, что если при перемещении в интрасеть клиентскому компьютеру не удается подключиться к назначенной точке управления в интрасети, он из интрасети отправит сообщение об изменении состояния с описанием ошибки резервной интернет-точке состояния.

Использование параметров прокси-сервера клиентскими компьютерами в Интернете

Помимо задания точки интернет-управления клиентами, для клиентских компьютеров можно также задать параметры прокси-сервера. Параметры прокси-сервера следует задавать, если клиентскому компьютеру необходимо подключаться к Интернету через прокси-сервер.

Важно!
Если для клиентских запросов по протоколу HTTPS используется номер порта сайта, отличный от принятого в отрасли стандартного номера порта 443, подключения к Интернету, требующие использования прокси-сервера, скорее всего, не будут работать, поскольку обычно на прокси-серверах настраивается порт HTTPS по умолчанию 443.

Возможность настройки прокси-сервера особенно полезна для пользователей ноутбуков, подключающихся к интрасетям другим компаний, например для консультантов. Задание в свойствах Configuration Manager параметров прокси-сервера означает, что управление компьютерами продолжается даже тогда, когда пользователи находятся вне системы. Если же параметры прокси-сервера не заданы в свойствах Configuration Manager, клиентские компьютеры Configuration Manager будут пытаться использовать для подключения к заданной точке интернет-управления следующие способы обнаружения прокси-сервера:

  1. параметры прокси-сервера, настроенные в браузере по умолчанию;

  2. контекст локального компьютера;

  3. учетные данные находящегося в системе пользователя.

Содержание раздела

Роли системы сайты, поддерживающие интернет-управление клиентами

Поддерживаемые сценарии интернет-управления клиентами

Сетевой график для интернет-серверов: сценарий 1 без реплики SQL Server

Сетевая схема для интернет-серверов: сценарий 1 с репликой SQL Server

Сетевой график для интернет-серверов: сценарий 2 с дочерним сайтом

Сетевая диаграмма для интернет-серверов: сценарий 2 с полной иерархией

Сетевой график для интернет-серверов: сценарий 3 без реплики SQL Server

Сетевая схема для интернет-серверов: сценарий 3 с репликой SQL Server

Сетевая диаграмма для интернет-серверов: сценарий 4 с двумя сетевыми картами

Сетевая диаграмма для интернет-серверов: сценарий 4 с подключениями из Интернета в интрасеть

Сетевой график для интернет-серверов: сценарий 4 с подключениями из интрасети в демилитаризованную зону

Примеры сценариев для реализации интернет-управления клиентами в Configuration Manager

См. также