Для интернет-управления клиентами поддерживается несколько сценариев, и каждый из них имеет свои преимущества: Чтобы определить, должны ли сервера находиться в демилитаризованной зоне или в интрасети, необходимо решить, какой сценарий наиболее подходит для вашей среды и бизнес-требований.

Все ссылки на размещение сервера, приведенные ниже, относятся только к основному сайту, так как дополнительные сайты не поддерживают интернет-управление клиентами.

Размещение сервера для сайтов, которые не должны управлять клиентами в интрасети

Если сайт Configuration Manager 2007 не должен поддерживать клиенты через Интернет и в интрасети, применяются сценарии 1 и 2, описанные в следующей таблице. В следующей таблице приведены преимущества и недостатки каждого из сценариев и соответствующее размещение сервера.

Сценарий, поддерживающий только клиенты через Интернет Преимущество Недостаток Размещение сервера

Сценарий 1. Все интернет-системы сайта располагаются в демилитаризованной зоне и принимают подключения клиентов, соединяющихся через Интернет. Сервер сайта находится в интрасети:

  • Точка управления, поддерживающая интернет-клиенты, обменивается данными напрямую с SQL-сервером в интрасети.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Подключение SQL инициируется из демилитаризованной зоны к интрасети, что является менее безопасной конфигурацией, чем подключение, инициированное из интрасети.

Сервер, настроенный с ролью точки обновления программного обеспечения, которой требуется синхронизация метаданных обновлений программного обеспечения с активной точкой обновления программного обеспечения родительского сайта в интрасети, требует настройки серверного брандмауэра, разрешающей входящий трафик по протоколам HTTPS и HTTP. Чтобы избежать таких входящих подключений, используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

Сценарий 1. Все интернет-системы сайта располагаются в демилитаризованной зоне и принимают подключения клиентов, соединяющихся через Интернет. Сервер сайта находится в интрасети:

  • Точка управления, поддерживающая интернет-клиенты, обменивается данными с репликой SQL-сервера в демилитаризованной зоне.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Реплика SQL означает, что все подключения из демилитаризованной зоны к интрасети инициируются из интрасети, что является более безопасным, чем подключения, инициированные из демилитаризованной зоны.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Для реплики SQL необходим сервер со связанными затратами, а также будет наблюдаться некоторая задержка репликации между репликой и сервером сайта.

Сервер, настроенный с ролью точки обновления программного обеспечения, которой требуется синхронизация метаданных обновлений программного обеспечения с активной точкой обновления программного обеспечения родительского сайта в интрасети, требует настройки серверного брандмауэра, разрешающей входящий трафик по протоколам HTTPS и HTTP. Чтобы избежать таких входящих подключений, используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

  • SQL Server настроен для репликации

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

Сценарий 2. интернет-сайт содержится внутри демилитаризованной зоны:

  • Этот сайт является дочерним сайтом иерархии Configuration Manager 2007.

интернет-трафик не попадает в интрасеть.

От сервера родительского сайта к серверу дочернего сайта необходима только одна настройка на серверном брандмауэре.

Поддерживает централизованное управление и отчеты.

Сервер сайта более уязвим для атак из Интернета, чем размещенный в интрасети.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал входящий SMB-трафик.

Сервер, настроенный с ролью точки обновления программного обеспечения, которой требуется синхронизация метаданных обновлений программного обеспечения с активной точкой обновления программного обеспечения родительского сайта, требует настройки серверного брандмауэра, разрешающей входящий трафик по протоколам HTTPS и HTTP. В качестве альтернативы используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Нет

Сценарий 2. интернет-сайт содержится внутри демилитаризованной зоны:

  • Этот сайт является единственным сайтом иерархии Configuration Manager 2007.

интернет-трафик не попадает в интрасеть.

Не требуется каких-либо настроек на серверном брандмауэре.

Сервер сайта более уязвим для атак из Интернета, чем размещенный в интрасети.

Не поддерживает централизованное управление и отчеты.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Нет

Размещение сервера для сайтов, которые управляют клиентами через Интернет и в интрасети

Если сайт Configuration Manager 2007 должен поддерживать клиенты через Интернет и в интрасети, применяются сценарии 3 и 4, описанные в следующей таблице. В следующей таблице приведены преимущества и недостатки каждого из сценариев и соответствующее размещение сервера.

Сценарий для поддержки клиентов через Интернет и в интрасети Преимущество Недостаток Размещение сервера

Сценарий 3. Сайт охватывает демилитаризованную зону и интрасеть. Все интернет-системы сайта располагаются в демилитаризованной зоне и принимают подключения клиентов, соединяющихся через Интернет. Существует вторая точка управления (и вторая точка обновления программного обеспечения и точка восстановления состояния, а также дополнительные точки распространения) и другие системы сайтов, которые находятся в интрасети для клиентов, подключающихся к интрасети:

  • Точка управления, поддерживающая интернет-клиенты, обменивается данными напрямую с SQL-сервером в интрасети.

  • Чтобы избежать входящих подключений от интернет-точки обновления программного обеспечения к активной точке обновления программного обеспечения, используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Назначенная точка управления и дополнительные системы сайта, к которым подключаются клиенты интрасети, отделены от интернет-трафика.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Для интернет-подключений необходимо больше серверов со связанными затратами.

Экспорт и импорт метаданных обновлений программного обеспечения вручную связан с определенной административной нагрузкой.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Подключение SQL инициируется из демилитаризованной зоны к интрасети, что является менее безопасной конфигурацией, чем подключение, инициированное из интрасети.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

  • Резервная точка состояния

  • точки распространения;

  • Точка обновления программного обеспечения

  • Все другие системы сайта

Сценарий 3. Сайт охватывает демилитаризованную зону и интрасеть. Все интернет-системы сайта располагаются в демилитаризованной зоне и принимают подключения клиентов, соединяющихся через Интернет. Существует вторая точка управления (и вторая точка обновления программного обеспечения и точка восстановления состояния, а также дополнительные точки распространения) и другие системы сайтов, которые находятся в интрасети для клиентов, подключающихся к интрасети:

  • Точка управления, поддерживающая интернет-клиенты, обменивается данными с репликой SQL-сервера в демилитаризованной зоне.

  • Чтобы избежать входящих подключений от интернет-точки обновления программного обеспечения к активной точке обновления программного обеспечения, используйте метод экспорта и импорта для синхронизации обновлений программного обеспечения, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Назначенная точка управления и дополнительные системы сайта, к которым подключаются клиенты интрасети, отделены от интернет-трафика.

Реплика SQL означает, что все подключения из демилитаризованной зоны к интрасети инициируются из интрасети, что является более безопасным, чем подключения, инициированные из демилитаризованной зоны.

Для интернет-подключений необходимо больше серверов со связанными затратами.

Экспорт и импорт метаданных обновлений программного обеспечения вручную связан с определенной административной нагрузкой.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

  • SQL Server

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

  • Резервная точка состояния

  • точки распространения;

  • Точка обновления программного обеспечения

  • Все другие системы сайта

Сценарий 4. Сайт соединяет демилитаризованную зону и интрасеть:

  • интернет-системы сайта имеют две сетевые карты.

Уменьшение числа настраиваемых и обслуживаемых серверов как в интрасети, так и в Интернете.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Между демилитаризованной зоной и интрасетью нет границы безопасности, что не является рекомендуемым решением.

Подключение SQL инициируется из демилитаризованной зоны к интрасети, что является менее безопасной конфигурацией.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Системы сайта такие же, как в демилитаризованной зоне, поскольку они находятся в обоих сетях

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

  • Все другие системы сайта

Сценарий 4. Сайт соединяет демилитаризованную зону и интрасеть:

  • интернет-системы сайта находятся в интрасети и могут принимать подключения как из Интернета, так и из интрасети.

Уменьшение числа настраиваемых и обслуживаемых серверов как в интрасети, так и в Интернете.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Необходима обратная настройка прокси между демилитаризованной зоной и интрасетью, таким образом интернет-системы сайта в интрасети будут публиковаться на интернет-клиентах.

интернет-клиенты обходят границу безопасности для выполнения подключений к серверам в интрасети. Снизить данную угрозу можно использованием на прокси-сервере моста SSL вместо туннелирования SSL. Дополнительные сведения см. в разделе Определение требований к прокси-серверам для использования интернет-управления клиентами.

Демилитаризованная зона:

  • Нет

Интрасеть:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

  • Все другие системы сайта

Сценарий 4. Сайт соединяет демилитаризованную зону и интрасеть:

  • интернет-системы сайта находятся в демилитаризованной зоне и могут принимать подключения как из Интернета, так и из интрасети.

Уменьшение числа настраиваемых и обслуживаемых серверов как в интрасети, так и в Интернете.

Сервер сайта защищен от интернет-трафика, так как находится в интрасети.

Нет реплики SQL-сервера, которую можно настроить, а также нет связанной задержки репликации.

Клиенты интрасети обходят границу безопасности для выполнения подключений к серверам, открытым для интернет-трафика.

Необходимо настроить серверный брандмауэр так, чтобы он пропускал трафик SQL и SMB.

Подключение SQL инициируется из демилитаризованной зоны к интрасети, что является менее безопасной конфигурацией.

Демилитаризованная зона:

  • интернет-точка управления;

  • интернет-точка восстановления состояния

  • интернет-точки распространения

  • Интернет-точка обновления программного обеспечения

Интрасеть:

  • Сервер сайта

  • SQL Server (может быть запущен на сервере сайта)

  • Все другие системы сайта

См. также