Bestimmen der Serverplatzierung für die internetbasierte Clientverwaltung

Letzte Aktualisierung: März 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die internetbasierte Clientverwaltung unterstützt verschiedene Szenarien, von denen jedes seine Vor- und Nachteile hat. Zur Bestimmung, ob sich Server im Umkreisnetzwerk oder im Intranet befinden müssen, müssen Sie entscheiden, welches Szenario für Ihre Umgebung und Ihre Geschäftsanforderungen geeignet ist.

Alle unten angegebenen Verweise auf Serverplatzierungen beziehen sich ausschließlich auf einen primären Standort. Sekundäre Standorte unterstützen die internetbasierte Clientverwaltung nicht.

Serverplatzierung für Standorte, die nicht gleichzeitig Intranetclients verwalten müssen

Wenn der Configuration Manager 2007-Standort nicht sowohl Internetclients als auch Intranetclients unterstützen muss, finden die Szenarien 1 und 2 in der folgenden Tabelle Anwendung. In der folgenden Tabelle werden die Vor- und Nachteile der Szenarien aufgeführt sowie die entsprechende Serverplatzierung.

 

Szenario zur ausschließlichen Unterstützung von Internetclients Vorteil Nachteil Serverplatzierung

Szenario 1: Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen von Clients über das Internet zu. Der Standortserver befindet sich im Intranet:

  • Der Verwaltungspunkt, der internetbasierte Clients unterstützt, kommuniziert direkt mit dem SQL-Server im Intranet.

Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt.

Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit.

Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL- und SMB-Verkehr (Server Message Block) zulässt.

Die SQL-Verbindung wird vom Umkreisnetzwerk zum Intranet initiiert. Diese Konfiguration ist weniger sicher, als wenn die Verbindung vom Intranet initiiert wird.

Bei einem mit der Softwareupdatepunkt-Rolle konfigurierten Server, der zur Synchronisierung von Softwareupdate-Metadaten mit einem aktiven Softwareupdatepunkt an einem übergeordneten Standort im Intranet dient, muss die Back-End-Firewall so konfiguriert werden, dass eingehender HTTPS-/HTTP-Datenverkehr erlaubt ist. Zum Blockieren eingehender Verbindungen dieser Art verwenden Sie das Export- und Importverfahren für die Synchronisierung der Softwareupdates, wie in dem folgenden Thema beschrieben: Synchronisieren von Updates mittels Export und Import.

Umkreisnetzwerk:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

Intranet:

  • Standortserver

  • SQL Server (kann auf dem Standortserver ausgeführt werden)

Szenario 1: Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen von Clients über das Internet zu. Der Standortserver befindet sich im Intranet:

  • Der Verwaltungspunkt zur Unterstützung internetbasierter Clients kommuniziert mit einem SQL-Serverreplikat im Umkreisnetzwerk.

Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt.

Aufgrund des SQL-Replikats werden alle Verbindungen vom Umkreisnetzwerk zum Intranet im Intranet initiiert. Diese Konfiguration ist sicherer, als wenn die Verbindungen vom Umkreisnetzwerk aus initiiert werden.

Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL-Verkehr und SMB-Verkehr zulässt.

Für das SQL-Replikat ist ein Server mit den damit verbundenen Kosten erforderlich. Zwischen dem Replikat und dem Standortserver tritt außerdem eine Replikationswartezeit auf.

Bei einem mit der Softwareupdatepunkt-Rolle konfigurierten Server, der zur Synchronisierung von Softwareupdate-Metadaten mit einem aktiven Softwareupdatepunkt an einem übergeordneten Standort im Intranet dient, muss die Back-End-Firewall so konfiguriert werden, dass eingehender HTTPS-/HTTP-Datenverkehr erlaubt ist. Zum Blockieren eingehender Verbindungen dieser Art verwenden Sie das Export- und Importverfahren für die Synchronisierung der Softwareupdates, wie in dem folgenden Thema beschrieben: Synchronisieren von Updates mittels Export und Import.

Umkreisnetzwerk:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

  • Ein für die Replikation konfigurierter SQL Server

Intranet:

  • Standortserver

  • SQL Server (kann auf dem Standortserver ausgeführt werden)

Szenario 2: Der internetbasierte Standort befindet sich im Umkreisnetzwerk:

  • Er ist ein untergeordneter Standort Ihrer Configuration Manager 2007-Hierarchie.

Es wird kein Internetverkehr an das Intranet geleitet.

Bei der Back-End-Firewall ist vom untergeordneten Standortserver zum übergeordneten Standortserver nur eine Konfiguration erforderlich.

Zentralisierte Verwaltung und Berichterstattung werden unterstützt.

Der Standortserver ist für Angriffe aus dem Internet anfälliger, als wenn er sich im Intranet befinden würde.

Die Back-End-Firewall muss so konfiguriert sein, dass eingehender SMB-Verkehr zugelassen wird.

Bei einem mit der Softwareupdatepunkt-Rolle konfigurierten Server, der zur Synchronisierung von Softwareupdate-Metadaten mit einem aktiven Softwareupdatepunkt am übergeordneten Standort dient, muss die Back-End-Firewall so konfiguriert werden, dass eingehender HTTPS-/HTTP-Datenverkehr erlaubt ist. Alternativ können Sie das Export- und Importverfahren für die Synchronisierung der Softwareupdates verwenden, wie in dem folgenden Thema beschrieben: Synchronisieren von Updates mittels Export und Import.

Umkreisnetzwerk:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

Intranet:

  • Keine

Szenario 2: Der internetbasierte Standort befindet sich im Umkreisnetzwerk:

  • Er ist der einzige Standort in Ihrer Configuration Manager 2007-Hierarchie.

Es wird kein Internetverkehr an das Intranet geleitet.

Die Back-End-Firewall muss nicht extra konfiguriert werden.

Der Standortserver ist für Angriffe aus dem Internet anfälliger, als wenn er sich im Intranet befinden würde.

Zentralisierte Verwaltung und Berichterstattung werden nicht unterstützt.

Umkreisnetzwerk:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

Intranet:

  • Keine

Serverplatzierung für Standorte, die Clients im Internet und Intranet verwalten

Wenn der Configuration Manager 2007-Standort sowohl Internetclients als auch Intranetclients unterstützt, finden die Szenarien 3 und 4 der folgenden Tabelle Anwendung. In der folgenden Tabelle werden die Vor- und Nachteile der Szenarien aufgeführt sowie die entsprechende Serverplatzierung.

 

Szenario zum Unterstützen von Clients im Internet und im Intranet Vorteil Nachteil Serverplatzierung

Szenario 3: Der Standort umfasst das Umkreisnetzwerk und das Intranet. Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen von Clients über das Internet zu. Es gibt einen zweiten Verwaltungspunkt (und einen zweiten Softwareupdatepunkt und Fallbackstatuspunkt sowie zusätzliche Verteilungspunkte) und weitere Standortsysteme im Intranet, die für Clients gedacht sind, die eine Verbindung mit dem Intranet herstellen:

  • Der Verwaltungspunkt, der internetbasierte Clients unterstützt, kommuniziert direkt mit dem SQL-Server im Intranet.

  • Zum Blockieren eingehender Verbindungen vom internetbasierten Softwareupdatepunkt am aktiven Softwareupdatepunkt verwenden Sie das Export- und Importverfahren für die Synchronisierung der Softwareupdates, wie in dem folgenden Thema beschrieben: Synchronisieren von Updates mittels Export und Import.

Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt.

Der zugewiesene Verwaltungspunkt und die anderen Standortsysteme, zu denen die Intranetclients eine Verbindung herstellen, sind vom Internetverkehr getrennt.

Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit.

Für internetbasierte Verbindungen sind weitere Server mit den damit verbundenen Kosten erforderlich.

Der manuelle Export und Import von Softwareupdate-Metadaten ist mit Verwaltungsaufwand verbunden.

Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL-Verkehr und SMB-Verkehr zulässt.

Die SQL-Verbindung wird vom Umkreisnetzwerk zum Intranet initiiert. Diese Konfiguration ist weniger sicher, als wenn die Verbindung vom Intranet initiiert wird.

Umkreisnetzwerk:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

Intranet:

  • Standortserver

  • SQL Server (kann auf dem Standortserver ausgeführt werden)

  • Fallbackstatuspunkt

  • Verteilungspunkte

  • Softwareupdatepunkt

  • Alle anderen Standortsysteme

Szenario 3: Der Standort umfasst das Umkreisnetzwerk und das Intranet. Alle internetbasierten Standortsysteme befinden sich im Umkreisnetzwerk und lassen Verbindungen von Clients über das Internet zu. Es gibt einen zweiten Verwaltungspunkt (und einen zweiten Softwareupdatepunkt und Fallbackstatuspunkt sowie zusätzliche Verteilungspunkte) und weitere Standortsysteme im Intranet, die für Clients gedacht sind, die eine Verbindung mit dem Intranet herstellen:

  • Der Verwaltungspunkt zur Unterstützung internetbasierter Clients kommuniziert mit einem SQL-Serverreplikat im Umkreisnetzwerk.

  • Zum Blockieren eingehender Verbindungen vom internetbasierten Softwareupdatepunkt am aktiven Softwareupdatepunkt verwenden Sie das Export- und Importverfahren für die Synchronisierung der Softwareupdates, wie in dem folgenden Thema beschrieben: Synchronisieren von Updates mittels Export und Import.

Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt.

Der zugewiesene Verwaltungspunkt und die anderen Standortsysteme, zu denen die Intranetclients eine Verbindung herstellen, sind vom Internetverkehr getrennt.

Aufgrund des SQL-Replikats werden alle Verbindungen vom Umkreisnetzwerk zum Intranet im Intranet initiiert. Diese Konfiguration ist sicherer, als wenn die Verbindungen vom Umkreisnetzwerk aus initiiert werden.

Für internetbasierte Verbindungen sind weitere Server mit den damit verbundenen Kosten erforderlich.

Der manuelle Export und Import von Softwareupdate-Metadaten ist mit Verwaltungsaufwand verbunden.

Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL-Verkehr und SMB-Verkehr zulässt.

Umkreisnetzwerk:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

  • SQL Server

Intranet:

  • Standortserver

  • SQL Server (kann auf dem Standortserver ausgeführt werden)

  • Fallbackstatuspunkt

  • Verteilungspunkte

  • Softwareupdatepunkt

  • Alle anderen Standortsysteme

Szenario 4: Der Standort verbindet Umkreisnetzwerk und Intranet:

  • Internetbasierte Standortsysteme haben zwei Netzwerkkarten.

Für Intranet- und Internetverbindungen müssen weniger Server konfiguriert und gewartet werden.

Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt.

Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit.

Es gibt keine Sicherheitsgrenze zwischen dem Umkreisnetzwerk und dem Intranet. Diese Lösung wird nicht empfohlen.

Die SQL-Verbindung wird vom Umkreisnetzwerk zum Intranet initiiert. Dies ist eine der weniger sicheren Konfigurationen.

Umkreisnetzwerk:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

Intranet:

  • Dieselben Standortsysteme wie im Umkreisnetzwerk, da sie sich in beiden Netzwerken befinden

  • Standortserver

  • SQL Server (kann auf dem Standortserver ausgeführt werden)

  • Alle anderen Standortsysteme

Szenario 4: Der Standort verbindet Umkreisnetzwerk und Intranet:

  • Internetbasierte Standortsysteme befinden sich im Intranet und akzeptieren sowohl Internet- als auch Intranetverbindungen.

Für Intranet- und Internetverbindungen müssen weniger Server konfiguriert und gewartet werden.

Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt.

Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit.

Erfordert eine Reverseproxykonfiguration zwischen dem Umkreisnetzwerk und dem Intranet, sodass die internetbasierten Standortsysteme im Intranet auf Internetclients veröffentlicht werden.

Internetclients überschreiten eine Sicherheitsgrenze, um Verbindungen mit Servern im Intranet herzustellen. Sie können dieses Bedrohung verringern, indem Sie auf dem Proxyserver SSL-Bridging anstatt SSL-Tunneling verwenden. Weitere Informationen finden Sie unter Bestimmen der Anforderungen für Proxywebserver zur Verwendung mit internetbasierter Clientverwaltung.

Umkreisnetzwerk:

  • Keine

Intranet:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

  • Alle anderen Standortsysteme

Szenario 4: Der Standort verbindet Umkreisnetzwerk und Intranet:

  • Internetbasierte Standortsysteme befinden sich im Umkreisnetzwerk und akzeptieren sowohl Internet- als auch Intranetverbindungen.

Für Intranet- und Internetverbindungen müssen weniger Server konfiguriert und gewartet werden.

Der Standortserver ist aufgrund seiner Platzierung im Intranet vor Internetverkehr geschützt.

Es muss kein SQL Server-Replikat konfiguriert werden, und es gibt keine damit verbundene Replikationswartezeit.

Intranetclients überschreiten eine Sicherheitsgrenze, um Verbindungen mit Servern herzustellen, die Internetverkehr ausgesetzt sind.

Die Back-End-Firewall muss so konfiguriert werden, dass sie SQL-Verkehr und SMB-Verkehr zulässt.

Die SQL-Verbindung wird vom Umkreisnetzwerk zum Intranet initiiert. Dies ist eine der weniger sicheren Konfigurationen.

Umkreisnetzwerk:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Fallbackstatuspunkt

  • Internetbasierte Verteilungspunkte

  • Internetbasierter Softwareupdatepunkt

Intranet:

  • Standortserver

  • SQL Server (kann auf dem Standortserver ausgeführt werden)

  • Alle anderen Standortsysteme

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: