На вкладке Режим сайта задается основной или смешанный режим работы сайта Configuration Manager 2007. Соответственно выбранному режиму, устанавливаются другие параметры. Режим сайта определяет способ обмена данными клиентов с сайтом. Чтобы задать режим работы сайта, выберите в раскрывающемся списке Режим сайта строку Основной или Смешанный.
При просмотре свойств дополнительного сайта эта вкладка не выводится. Дополнительный сайт наследует свойства, заданные на вкладке режима родительского сайта.
Важно! |
---|
О том, как не допустить неуправляемости сайта в результате смены его режима со смешанного на основной, см. в разделе Контрольный список администратора: миграция сайта в основной режим. |
Набор регулируемых параметров зависит от выбора основного или смешанного режима сайта.
Примечание |
---|
Если сменить режим сайта со смешанного на основной при установленной точке управления балансировки сетевой нагрузки (NLB), заданной IP-адресом, придется повторно настроить точку управления балансировки сетевой нагрузки с использованием полного доменного имени (FQDN). Если не заменить точку управления NLB именем FQDN, клиенты не смогут определять свои точки управления по умолчанию и останутся без управления. Дополнительные сведения см. в разделе Настройка полного доменного имени в интрасети для точки управления NLB. |
Свойства основного режима
В основном режиме работы сайта выводятся следующие свойства.
- сертификат для подписи сервера сайта;
- Указывает сертификат для подписи сервера сайта, необходимый для
конфигурирования последнего в основном режиме работы. Этот
сертификат должен быть уже развернут на сервере сайта извне по
отношению к Configuration Manager 2007. Без указания этого
сертификата основной режим не может быть установлен.
Примечание Сертификат для подписи сервера сайта необходимо настраивать непосредственно в базе данных каждого основного сайта. Режим основного дочернего сайта нельзя настроить с родительского сайта, поскольку в этом случае сертификат невозможно правильно проверить.
- Сертификат
- Указывает сертификат для подписи сервера сайта . После выбора сертификата выводится его понятное имя или, если сертификату не присвоено такое имя, <Без понятного имени>. Если сертификат еще не указан, выберите его, нажав кнопку Обзор или введя имя в текстовое поле Отпечаток пальца.Этот сертификат используется сервером сайта для подписи политик клиентов. Для принятия политик, подписанных с данным сертификатом, клиенту необходима еще и копия сертификата подписи сервера. Дополнительные сведения см. в разделе Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим).
- Обзор
- Пройдите в хранилище сертификатов на сервере сайта, чтобы
выбрать из списка сертификат для подписи сервера. Неверное указание
сертификата может привести к неуправляемости сайта, поэтому после
его выбора проводятся следующие проверки:
- Действителен ли сертификат и не истек ли срок
его действия.
- Правильно ли указано имя получателя
сертификата, включающее код сайта, на котором он будет
использоваться.
- Данный сертификат подтверждает, в числе
прочего, подписи документов.
- Действителен ли сертификат и не истек ли срок
его действия.
- Отпечаток
- Если нет возможности просмотра хранилища сертификатов сервера
сайта (например, из-за отсутствия соответствующих разрешений), но
есть опечаток пальца сертификата, его можно ввести здесь. Отпечаток
пальца вводится как последовательность шестнадцатеричных символов.
Чтобы устранить возможность ошибок при вводе, копируйте значение из
самого сертификата и вставьте его в текстовое поле.
Примечание Для копирования отпечатка пальца можно воспользоваться оснасткой Microsoft Certificates MMC. На компьютере, где он хранится, войдите в Локальный компьютер, Личное хранилище и разверните узел Сертификаты. Дважды щелкните этот узел, затем щелкните вкладку Сведения. Пролистайте файлы и щелкните Отпечаток пальца. Копируйте строку шестнадцатеричных символов в текстовом поле.
- Параметры развертывания операционной системы
- Содержит параметры, определяющие развертывание операционной системы в основном режиме работы сайта. Эти параметры наследуются дополнительными сайтами, но не основными дочерними.
- Указать только сертификаты корневого центра сертификации
- Открывает диалоговое окно Указать сертификаты корневого центра сертификации, в котором можно импортировать сертификаты, экспортируемые центрами сертификации, для назначенных сайту клиентов. Это может понадобиться клиентам развертывания операционной системы для завершения установки.Подробнее о подготовке сертификатов корневого центра сертификации см. в разделе Подготовка сертификатов корневого центра сертификации для клиентов развертывания операционной системы.
- Параметры клиента, опубликованные в Active Directory
- Указывает параметры сайта в основном режиме, опубликованные в
доменных службах Active Directory для клиентских компьютеров и
автоматически используемые при принудительных установках
клиентов.Клиентские компьютеры, которым доступны эти параметры в
доменных службах Active Directory, периодически конфигурируются по
этим значениям, в том числе при успешном назначении сайта, при
запуске и каждые 25 часов.Если клиентские компьютеры не настроены
на эти параметры по умолчанию и выполняется одно из следующих
условий, укажите параметры вместе со свойствами установки.
- Схема Active Directory не расширена для
Configuration Manager 2007.
- Схема Active Directory расширена для
Configuration Manager 2007, но некоторые клиенты не имеют доступа к
этим параметрам, поскольку принадлежат к рабочей группе или другому
лесу Active Directory.
- Для установки понадобится другая настройка
клиентов.
- Схема Active Directory не расширена для
Configuration Manager 2007.
- Включить проверку списка отзыва сертификатов для клиентов
- Указывает, обращаются ли клиентские компьютеры к списку отзыва сертификатов (CRL), прежде чем воспользоваться сертификатами PKI для основного режима.По умолчанию этот параметр включает проверку списка отзыва сертификатов, если сайт установлен в основном режиме. Если сайт установлен в смешанном режиме, а затем переведен в основной режим, этот параметр по умолчанию отключает проверку списка отзыва сертификатов для клиентов.Дополнительные сведения см. в разделе Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим).
- Включить HTTP-связь для роуминга и присоединения сайтов
- Указывает, могут ли клиентские компьютеры основного режима использовать http при роуминге на сайт в смешанном режиме, что позволит им установить связь с локальной точкой управления для обнаружения содержимого и загружать содержимое с точек распространения этого сайта. Кроме того, HTTP необходим для связи с точкой обнаружения серверов, необходимой для присоединения сайтов в отсутствие расширения схемы Active Directory для Configuration Manager 2007, а также если клиентские компьютеры основного режима используют точку управления балансировкой сетевой нагрузки в интрасети и не могут найти ее в доменных службах Active Directory.По умолчанию, HTTP-связь для роуминга и присоединения сайтов.Подробнее об этом параметре см. в разделе Определение необходимости настройки HTTP-связи для роуминга и присоединения сайтов (основной режим).
- Хранилище сертификатов
- Указывает нахождение сертификата клиента для основного режима. По умолчанию, это Личное хранилище в хранилище сертификатов компьютера. Если сертификат клиента развернут в альтернативное место хранилища компьютера, укажите это здесь.
- Критерий выбора сертификата
- Указывает критерии выбора в случае наличия в указанном
хранилище более чем одного сертификата. По умолчанию, проверятся
только назначение сертификата. Чтобы указать критерии выбора
сертификата, выберите один из следующих параметров, затем укажите
любое связанное значение:
- Проверять только назначение
сертификата: Этот параметр не требует проверки, при выборе
сертификата, имени его получателя или альтернативного получателя.
Сертификат выбирается только по назначению, которое должно включать
проверку подлинности. Это критерии выбора сертификата по
умолчанию.
- Получатель содержит строку: Строка
совпадает с именем получателя, указанным в сертификате, без учета
регистра. Этот критерий выбора подходит, если указано полное
доменное имя компьютера и требуется выбирать сертификат по суффиксу
домена – например, "contoso.com". Однако этот способ выбора можно
использовать для идентификации любой цепочки последовательных
символов, которая отличает данный сертификат от других в хранилище
сертификатов клиента
- Получатель или его альтернатива содержит
атрибуты: Идентификация атрибутов в поле имени или
альтернативного имени получателя сертификата происходит с учетом
регистра. Эти критерии выбора подходит для отличительных имен X500
или эквивалентных идентификаторов объектов в соответствии с RFC
3280, и необходимо выбирать сертификат по значениям этих атрибутов.
Следует задавать только те атрибуты и значения, которые необходимы
для уникальной идентификации или проверки сертификата и для отличия
его от других сертификатов из хранилища сертификатов клиента.
Последовательность ввода атрибутов не имеет значения. Список
значений атрибутов, поддерживаемых для критериев выбора
сертификатов, см. в таблице раздела Определение
необходимости задания параметров сертификата клиента (основной
режим). В следующих примерах показаны критерии выбора
сертификатов с использованием атрибутов идентификаторов объектов и
отличительных имен:
- Пример 1. 2.5.4.8
=Maryland, 2.5.4.6 =US, 2.5.4.10= Contoso, 2.5.4.11 =Sales
- Пример
2. ST=Maryland, C=US, O= Contoso,
OU=Workstations
- Пример 1. 2.5.4.8
=Maryland, 2.5.4.6 =US, 2.5.4.10= Contoso, 2.5.4.11 =Sales
- Проверять только назначение
сертификата: Этот параметр не требует проверки, при выборе
сертификата, имени его получателя или альтернативного получателя.
Сертификат выбирается только по назначению, которое должно включать
проверку подлинности. Это критерии выбора сертификата по
умолчанию.
- Если критерию соответствует несколько сертификатов
- Указывает, как действовать, если Configuration Manager найдет
по заданным параметрам несколько действительных сертификатов:
- Выбрать любые из соответствующих
сертификатов: Выбирается, случайным образом, один из
сертификатов, удовлетворяющий критериям. Если на клиенте
выполняется Configuration Manager 2007 с пакетом обновления 1
(SP1), будет выбран сертификат с максимальным сроком действия. При
неудачной попытке подключения с этим сертификатом другие попытки
подключения с остальными обнаруженными сертификатами не будут
выполнены, а клиент отправит сообщение об ошибке назначенной
резервной точке состояния.
- Прекратить выбор и отправить сообщение об
ошибке: При попытке подключения не будет использоваться ни один
из сертификатов. Клиент не предпримет попытки установить соединение
с точкой управления, отправив, вместо этого, сообщение об ошибке
назначенной ему резервной точке восстановления состояния. Это
конфигурация по умолчанию.
- Выбрать любые из соответствующих
сертификатов: Выбирается, случайным образом, один из
сертификатов, удовлетворяющий критериям. Если на клиенте
выполняется Configuration Manager 2007 с пакетом обновления 1
(SP1), будет выбран сертификат с максимальным сроком действия. При
неудачной попытке подключения с этим сертификатом другие попытки
подключения с остальными обнаруженными сертификатами не будут
выполнены, а клиент отправит сообщение об ошибке назначенной
резервной точке состояния.
- ОК
- Сохранение изменений и закрытие диалогового окна.
- Отмена
- Закрытие диалогового окна без сохранения изменений.
- Применить
- Сохранение изменений без закрытия диалогового окна.
- Справка
- Открытие справочной документации по вкладке "Порты" Справочная документация вкладки режима сайта.
Свойства смешанного режима
В смешанном режиме работы выводятся следующие свойства.
- Параметры утверждения
- Указывает параметры утверждения клиента, которые должны
использоваться в условиях, когда компьютеры авторизуются на полное
управление на сайте, работающем в смешанном режиме. Для проверки
удостоверения клиента, утвердите клиентов на сайте, работающем в
смешанном режиме. Не забудьте указать метод утверждения клиента,
соответствующий профилю риска. Подробнее о безопасности клиентов
см. в разделе Рекомендации по защите
клиентов, об утверждении – в разделе Об утверждении клиентов
в Configuration Manager.
Примечание Смена метода утверждения сайта не приводит к автоматическому сбросу состояния утверждения клиентов, уже назначенных сайту. Новые параметры действуют только в отношении новоназначенных клиентов.
- Вручную утвердить каждый компьютер
- Утверждение каждого компьютера на сайте вручную создает минимальный риск, но приводит к большим затратам на администрирование. Клиентов приходится утверждать вручную с консоли Configuration Manager. См. процедуру "Утверждение клиентов вручную" в разделе Утверждение клиентов Configuration Manager.
- Автоматически утверждать компьютеры в доверенных доменах (рекомендуется)
- При автоматическом утверждении компьютеров в доверенных доменах
происходит автоматическая авторизация клиентских компьютеров,
присоединенных к доменам, проверенным доменом сервера сайта.
Важно! Если иерархия Configuration Manager 2007 распространяется на несколько доменов, точку управления необходимо конфигурировать с полным доменным именем интрасети (FQDN) для утверждения клиентов, принадлежащих домену, отличному от домена сервера сайта. Дополнительные сведения см. в разделах Настройка полного доменного имени в интрасети для систем сайтов и Определение необходимости использования полных доменных имен серверов.
- Автоматически утвердить все компьютеры (не рекомендуется)
- Автоматическое утверждение всех компьютеров приведет к авторизации любого компьютера, который подаст запрос на присоединение к сайту. Этот параметр не рекомендуется использовать, так как при этом любому компьютеру будет предоставлен доступ к секретным данным без проверки надежности.
- Этот сайт содержит только клиенты Configuration Manager 2007.
- При любом выборе метода утверждения клиентов, данный параметр обеспечивает более надежную защиту передаваемых данных для клиентов Configuration Manager, несовместимых, по параметрам связи, с клиентами SMS 2003. Этот параметр можно устанавливать только при условии отсутствия на сайте клиентов SMS 2003.
- Параметры клиента
- Указывает параметры шифрования данных, передаваемых клиентом в точки управления.
- Шифровать данные перед отправкой в точку управления.
- Выберите этот параметр, чтобы шифровать данные инвентаризации и сообщения об изменении состояния, отправляемые клиентами в точку управления. Метод шифрования использует самозаверяющий сертификат клиента, который не требует инфраструктуры открытых ключей, и использует алгоритм 3DES, а не более надежный способ шифрования в основном режиме, использующий сертификат PKI с шифрованием SSL. Дополнительные сведения о различиях в защите данных клиентов в смешанном и основном режиме см. в таблице "Сравнение смешанного и основного режима" в разделе Преимущества использования основного режима.
- ОК
- Сохранение изменений и закрытие диалогового окна.
- Отмена
- Закрытие диалогового окна без сохранения изменений.
- Применить
- Сохранение изменений без закрытия диалогового окна.
- Справка
- Открытие справочной документации по вкладке "Порты" Справочная документация вкладки режима сайта.
См. также
Задачи
Подготовка сертификатов корневого центра сертификации для клиентов развертывания операционной системыОсновные понятия
Режимы сайта Configuration ManagerВыбор между смешанным и основным режимами
Об утверждении клиентов в Configuration Manager
Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим)
Определение необходимости задания параметров сертификата клиента (основной режим)
Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим)
Продление или изменение сертификата для подписи сервера сайта
О свойствах установки клиента Configuration Manager