Персонал, ответственный за безопасность, обычно сталкивается с необходимостью обеспечить конфиденциальность, целостность и доступность компьютерных систем. Чтобы сохранить доступность иерархии Configuration Manager 2007, важно иметь план обеспечения непрерывности обслуживания и проводить частые проверки.
Рекомендации
Проектируйте отказоустойчивые сайты Автономный сайт обычно подвержен низкому риску, если нет необходимости развертывать критическое обновление или создавать политики защиты доступа к сети Configuration Manager 2007 для ограничения сетевого доступа. Если сервер сайта Configuration Manager 2007 работает в автономном режиме, не обязательно все операции Configuration Manager 2007 будут остановлены. Например, клиенты все еще могут обрабатывать существующие объявления, если содержимое доступно на точках распространения. Configuration Manager 2007 поддерживает кластеризацию базы данных сайта. Также можно реплицировать сведения базы данных сайта, что обычно делается для повышения производительности, а также позволяет системе сайта принимать реплицированные данные, даже если база данных сайта работает в автономном режиме.
Разработайте план резервного копирования и восстановления Восстановление сбойного сайта Configuration Manager 2007 является сложной задачей. Дополнительные сведения см. в разделе Обслуживание Configuration Manager 2007.
Тестируйте процедуры резервного копирования и восстановления Процедуры резервного копирования не дадут никакого эффекта, если их периодически не проверять. Резервное копирование и восстановление Configuration Manager 2007 – это сложные процедуры, которые необходимо регулярно проверять для обеспечения непрерывности обслуживания в случае сбоя сайта.
Обеспечьте защиту резервных носителей Задача резервного копирования Configuration Manager 2007 создает копии реестра, структуры файлов и базы данных сайта Configuration Manager 2007. Злоумышленники, получившие доступ к носителям резервных копий, могут воспользоваться такими ценными сведениями о сети, как IP-адреса, имена сайтов Active Directory и состояние всех клиентских компьютеров. Атаки на носители резервных копий потенциально так же опасны, как и физические атаки на сервера. Как при любом резервном копировании, сохраняйте носители резервных копий Configuration Manager 2007 в безопасном месте; также можно воспользоваться шифрованием файлов резервных копий и установить управляемую процедуру проверки и восстановления носителей.
Используйте разделение ролей, чтобы повысить уровень восстановления Обычно это применяется на небольших сайтах для всех ролей, устанавливаемых на сервере сайта. Это повышает риск того, что в случае недоступности сервера сайта все функции Configuration Manager 2007 будут отключены. Если это возможно, настройте точку управления, которая находится не на сервере сайта, на увеличение доступности для клиентов. Настройте несколько точек формирования отчетов и точки распространения. Для сайта нельзя создать больше одной точки управления по умолчанию, но можно воспользоваться компьютером с массивом RAID или другими отказоустойчивыми функциями. Кроме того, можно поддерживать работу запасной точки управления и настроить ее по умолчанию, если первая точка управления перейдет в автономный режим работы.
В следующей таблице описано влияние перехода различных систем сайта в автономный режим.
Сервер сайта | База данных сайта | Точка управления | Точка распространения | Результат | |
---|---|---|---|---|---|
Автономно |
В сети |
В сети |
В сети |
Администрирование сайта, включая создание новых объявлений, будет невозможно. Точка управления будет собирать сведения о клиентах и сохранять их в кэше, пока сервер сайта снова не будет в сети. Существующие объявления будут выполняться и клиенты смогут находить точки распространения. |
|
В сети |
Автономно |
В сети |
В сети |
Администрирование сайта, включая создание новых объявлений, будет невозможно. Если клиент уже имеет назначение политик с новыми политиками, и если точка управления кэшировала текст политики, клиент может запросить текст политики и получить ответ текста политики. Запросы на новые назначения политик не обслуживаются. Клиенты будут иметь возможность запускать программы только тогда, когда они будут обнаружены, а соответствующие исходные файлы будут сохранены в локальном кэше клиента. |
|
В сети |
В сети |
Автономно |
В сети |
Несмотря на то, что новые объявления можно создавать, клиенты не будут их получать, пока точка управления не будет снова в сети. Клиенты будут продолжать собирать данные инвентаризации, сведения о контроле использования программных продуктов и сведения о состоянии и сохранять их локально, пока точка управления не будет снова доступна. Клиенты будут иметь возможность запускать программы только тогда, когда они будут обнаружены, а соответствующие исходные файлы будут сохранены в локальном кэше клиента. |
|
В сети |
В сети |
В сети |
Автономно |
Клиенты будут иметь возможность запускать объявления только тогда, когда соответствующие исходные файлы будут загружены локально. |