Bestimmen der Standortsystemrollen für die Clientbereitstellung in Configuration Manager

Standardmäßig wird für alle Windows-Clientcomputer ein Verteilungspunkt für die Installation des Configuration Manager-Clients verwendet. Wenn ein Verteilungspunkt nicht verfügbar ist, ist ein Fallback auf einen Verwaltungspunkt möglich. Mithilfe der CCMSetup-Befehlszeileneigenschaft /source:<Pfad> können Windows-Clients jedoch auch von einer alternativen Quelle aus auf Computern installiert werden. Dies ist beispielsweise nützlich beim Installieren von Clients im Internet. Vielleicht möchten Sie aber auch das Senden von Netzwerkpaketen zwischen dem Computer und dem Verwaltungspunkt bei der Clientinstallation vermeiden, weil die für Ihre Installationsmethode erforderlichen Ports durch eine Firewall blockiert werden oder Sie über eine Verbindung mit geringer Bandbreite verfügen. Allerdings ist für alle Clients die Kommunikation mit einem Verwaltungspunkt erforderlich, damit sie einem Standort zugewiesen und von Configuration Manager verwaltet werden können.

Weitere Informationen zur CCMSetup-Befehlszeileneigenschaft /source:<Pfad> finden Sie unter Informationen zu Clientinstallationseigenschaften in Configuration Manager.

Wenn Sie mehr als einen Verwaltungspunkt in der Hierarchie installieren, stellen Clients automatisch eine Verbindung zu dem Punkt her, der aufgrund der Gesamtstrukturmitgliedschaft und der Netzwerkadresse am besten geeignet ist. Sie können an einem sekundären Standort nicht mehr als einen Verwaltungspunkt installieren.

Macintosh-Computerclients (nur Configuration Manager SP1) und mobile Geräteclients, die Sie mit Configuration Manager anmelden, erfordern für die Clientinstallation immer einen Verwaltungspunkt. Dieser Verwaltungspunkt muss sich an einem primären Standort befinden, für die Unterstützung mobiler Geräte konfiguriert sein und Clientverbindungen über das Internet akzeptieren. Für diese Clients können keine Verwaltungspunkte an sekundären Standorten verwendet werden, und es kann keine Verbindung mit Verwaltungspunkten an anderen primären Standorten hergestellt werden.

Sie können einen Fallbackstatuspunkt verwenden, um die Clientbereitstellung für Windows-Computer zu überwachen und Clients auf diesen Computern zu ermitteln, die nicht verwaltet werden, weil die Kommunikation mit einem Verwaltungspunkt nicht möglich ist. Für Macintosh-Computer (nur Configuration Manager SP1), mobile Geräte, die mithilfe von Configuration Manager angemeldet wurden, und mobile Geräte, die über den Exchange Server-Connector verwaltet werden, wird kein Fallbackstatuspunkt verwendet.

Hinweis
Ein Fallbackstatuspunkt ist nicht erforderlich, um Clientaktivität und Clientintegrität zu überwachen.

Die Kommunikation zwischen Fallbackstatuspunkt und Clients geschieht immer über HTTP, wobei nicht authentifizierte Verbindungen verwendet und Daten im Klartext gesendet werden. Dadurch ist der Fallbackstatuspunkt insbesondere dann für Angriffe anfällig, wenn er in der internetbasierten Clientverwaltung verwendet wird. Sie können die Angriffsfläche verringern, indem Sie immer einen eigenen Server verwenden, der den Fallbackstatuspunkt ausführt, und auf diesem Server in einer Produktionsumgebung keine andere Standortsystemrollen installieren.

Installieren Sie einen Fallbackstatuspunkt, wenn Folgendes zutrifft:

• Sie möchten erreichen, dass Clientkommunikationsfehler von Windows-Computern auch dann an den Standort gesendet werden, wenn diese Clientcomputer nicht mit einem Verwaltungspunkt kommunizieren können.

• Sie möchten die System Center 2012 Configuration Manager-Berichte zur Clientbereitstellung nutzen, in denen die vom Fallbackstatuspunkt gesendeten Daten angezeigt werden.

• Sie verfügen über einen dedizierten Server für diese Standortsystemrolle und haben zusätzliche Sicherheitsmaßnahmen zum Schutz des Servers vor Angreifern ergriffen.

• Die Vorteile der Verwendung eines Fallbackstatuspunkts überwiegen im Vergleich mit den Sicherheitsrisiken durch nicht authentifizierte Verbindungen und Klartextübertragungen über HTTP-Verkehr.

Verzichten Sie auf die Installation eines Fallbackstatuspunkts, wenn Folgendes zutrifft:

• Die Sicherheitsrisiken der Ausführung einer Website mit nicht authentifizierten Verbindungen und Klartextübertragungen überwiegen im Vergleich zu den Vorteilen der Identifizierung von Problemen bei der Clientkommunikation.

In Configuration Manager stehen viele Berichte zur Verfügung, mit denen Installation, Zuweisung und Verwaltung von Clients in der Configuration Manager-Konsole vereinfacht werden. Für einige Berichte zur Clientbereitstellung ist es erforderlich, dass Clients einem Fallbackstatuspunkt zugewiesen werden.

Obwohl die Berichte für die Clientbereitstellung nicht erforderlich sind und einige Bereitstellungsinformationen in der Configuration Manager-Konsole angezeigt sowie in ausführlicherer Form aus den Clientprotokolldateien abgerufen werden können, enthalten die Berichte wertvolle Informationen, die das Überwachen und die Problembehebung der Clientbereitstellung vereinfachen.

In Configuration Manager sind der Anmeldungspunkt und der Anmeldungsproxypunkt erforderlich, um mobile Geräte und Zertifikate für Macintosh-Computer (nur Configuration Manager SP1) anzumelden. Diese Standortsystemrollen sind nicht erforderlich, wenn Sie mobile Geräte mit dem Exchange Server-Connector verwalten, wenn Sie den Legacyclient für mobile Geräte (z. B. für Windows CE) installieren oder wenn Sie das Clientzertifikat auf Macintosh-Computern unabhängig von Configuration Manager anfordern und installieren.

Obwohl ein Verteilungspunkt für die Installation des Configuration Manager-Clients auf Windows-Computern nicht erforderlich ist, wird in Configuration Manager standardmäßig ein Verteilungspunkt verwendet, um die Clientquelldateien auf Windows-Computern zu installieren. Allerdings ist es auch möglich, diese Dateien von einem Verwaltungspunkt herunterzuladen. Verteilungspunkte werden nicht verwendet, um Clients für mobile Geräte zu installieren, die mithilfe von Configuration Manager angemeldet wurden. Sie werden allerdings bei der Installation des Legacyclients für mobile Geräte verwendet. Wenn Sie den Configuration Manager-Client im Rahmen einer Betriebssystembereitstellung installieren, wird das Betriebssystem auf einem Verteilungspunkt gespeichert und von dort abgerufen.

Obwohl Verteilungspunkte für die Installation der meisten Configuration Manager-Clients nicht erforderlich sind, benötigen Sie Verteilungspunkte, um Software, wie z. B. Anwendungen und Softwareupdates, auf den Clients zu installieren.

Der Anwendungskatalog-Websitepunkt und der Anwendungskatalog-Webdienstpunkt sind für die Clientbereitstellung nicht erforderlich. Allerdings kann es dennoch sinnvoll sein, sie im Rahmen der Clientbereitstellung zu installieren, damit Benutzer nach der Installation des Configuration Manager-Clients auf Windows-Computern die folgenden Aktionen ausführen können:

• Zurücksetzen mobiler Geräte

• Suchen und Installieren von Anwendungen aus dem Anwendungskatalog

• Bereitstellen von Anwendungen für Benutzer und Geräte mit dem Bereitstellungszweck Verfügbar