Standorteigenschaften: Registerkarte „Standortmodus“

Letzte Aktualisierung: November 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Auf der Registerkarte Standortmodus können Sie definieren, ob der Configuration Manager 2007-Standort im einheitlichen oder im gemischten Modus ausgeführt wird. Außerdem können Sie damit die Einstellungen bezüglich des Standortmodus definieren. Standortmodi geben an, wie Clients mit dem Standort kommunizieren. Um den Modus für den jeweiligen Standort auszuwählen, wählen Sie in der Auswahldropdownliste Standortmodus entweder Einheitlich oder Gemischt aus.

Diese Registerkarte wird nicht angezeigt, wenn die Eigenschaften eines sekundären Standorts angezeigt werden. Sekundäre Standorte erben die auf der Registerkarte „Standortmodus“ enthaltenen Einstellungen von ihrem übergeordneten Standort.

ImportantWichtig
Führen Sie die Schritte unter Administratorcheckliste: Migrieren eines Standorts zum einheitlichen Modus aus, um zu verhindern, dass Clients nach der Änderung des Standortmodus vom gemischten in den einheitlichen Modus nicht mehr verwaltet werden.

Nach Auswahl des Standortmodus hängen die angezeigten Optionen davon ab, ob Sie den einheitlichen bzw. den gemischten Modus ausgewählt haben.

noteHinweis
Wenn Sie den Standortmodus vom gemischten in den einheitlichen Modus geändert haben und ein Netzwerklastenausgleich-Verwaltungspunkt (Network Load Balancing, NLB) vorhanden ist, der mit einer IP-Adresse angegeben wird, müssen Sie diesen für die Verwendung eines vollqualifizierten Domänennamens (FQDN) neu konfigurieren. Clients können ihren Standardverwaltungspunkt erst dann kontaktieren und nur verwaltet werden, wenn Sie den NLB-Verwaltungspunkt mit einem FQDN neu konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren des Intranet-FQDN eines NLB-Verwaltungspunkts.

Einstellungseigenschaften im einheitlichen Modus

Wenn Sie den einheitlichen Modus für den Standort ausgewählt haben, werden folgende Eigenschaften im einheitlichen Modus angezeigt.

Standortserver-Signaturzertifikat
Gibt das Standortserver-Signaturzertifikat an, das zur Konfiguration des Standorts für die Verwendung des einheitlichen Modus erforderlich ist. Dieses Zertifikat muss dem Standortserver bereits Configuration Manager 2007-extern bereitgestellt worden sein. Sie können den einheitlichen Modus ohne Angeben dieses Zertifikats nicht konfigurieren.

noteHinweis
Das Standortserver-Signaturzertifikat muss direkt in jeder primären Standortdatenbank konfiguriert werden. Sie können den Standortmodus für einen untergeordneten primären Standort nicht von einem übergeordneten primären Standort konfigurieren, weil dieses Zertifikat in diesem Szenario nicht korrekt überprüft werden kann.

Weitere Informationen zu den PKI-Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für den einheitlichen Modus.

Weitere Informationen zum Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate finden Sie unter Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate

Zertifikat
Gibt das Standortserver-Signaturzertifikat für den Standort an.

Wenn Sie das Zertifikat ausgewählt haben, wird im Dialogfeld entweder der Anzeigename des Zertifikats (falls vorhanden) oder <Kein Anzeigename> angezeigt (falls das ausgewählte Zertifikat keinen Anzeigenamen aufweist).

Wurde das Zertifikat noch nicht angegeben, klicken Sie auf Durchsuchen, um es auszuwählen. Sie können auch den Fingerabdruck in das Textfeld Fingerabdruck eingeben.

Mit diesem Zertifikat signiert der Standortserver die Clientrichtlinien. Um mit diesem Zertifikat signierte Richtlinien zu akzeptieren, müssen Clients auch eine Kopie des Standortserver-Signaturzertifikats aufweisen. Weitere Informationen finden Sie unter Entscheiden, wie das Standortserver-Signaturzertifikat den Clients bereitgestellt werden soll (einheitlicher Modus).

Durchsuchen
Durchsucht den Zertifikatspeicher auf dem Standortserver, sodass Sie das Standortserver-Signaturzertifikat aus der Liste der angezeigten Zertifikate auswählen können. Wenn Sie das falsche Zertifikat angeben, kann das dazu führen, dass der Standort nicht verwaltet wird. Das von Ihnen ausgewählte Zertifikat wird also auf Folgendes überprüft:

  • Zertifikat liegt innerhalb seines Gültigkeitszeitraums und ist noch nicht abgelaufen.

  • Zertifikat weist den korrekten Antragstellernamen auf, der den Standortcode des Standorts umfasst.

  • Zertifikatzweck umfasst Dokumentsignaturen.

Fingerabdruck
Wenn Sie den Zertifikatspeicher des Standortservers nicht durchsuchen können (weil Sie z. B. nicht die notwendigen Berechtigungen haben), aber über den Fingerabdruck des Zertifikats verfügen, können Sie diesen hier eingeben. Der Fingerabdruck muss als Hexadezimalzeichenfolge eingegeben werden. Um Eingabefehler zu vermeiden, kopieren Sie die Zeichenfolge aus dem Zertifikat, und fügen Sie sie ein.

noteHinweis
Sie können den Fingerabdruck mithilfe des Microsoft MMC-Snap-Ins „Zertifikate“ kopieren. Wechseln Sie auf dem Computer, auf dem es gespeichert ist, zu „Lokaler Computer“ > Privater Speicher, und erweitern Sie Zertifikate. Doppelklicken Sie auf das Zertifikat, und klicken Sie auf die Registerkarte Details. Führen Sie einen Bildlauf durch die Dateien durch, und klicken Sie auf Fingerabdruck. Kopieren Sie die Hexadezimalzeichenfolge, die im Textfeld angezeigt wird.

Wenn Sie den Fingerabdruck eingeben, versucht Configuration Manager 2007, ihn mit einem gültigen Zertifikat im Zertifikatspeicher des Standortservers in Übereinstimmung zu bringen. Ist dies erfolgreich und wird das Zertifikat erfolgreich überprüft, wird der Anzeigename mit der Option Zertifikat angezeigt.

Betriebssystembereitstellungseinstellungen
Gibt Einstellungen bezüglich der Betriebssystembereitstellung an, wenn sich der Standort im einheitlichen Modus befindet. Die sekundären Standorte erben diese Einstellungen, die untergeordneten primären Standorte aber nicht.

Stamm-Zertifizierungsstellenzertifikate angeben
Öffnet das Dialogfeld Stammzertifizierungsstellen-Zertifikate angeben, mit dem Sie exportierte Stammzertifizierungsstellen-Zertifikate, die dem Standort zugewiesen sind, importieren können. Diese sind möglicherweise erforderlich, damit Betriebssystembereitstellungs-Clients die Installation abschließen können.

Informationen zum Vorbereiten der Stammzertifizierungsstellen-Zertifikate finden Sie unter Vorbereiten der Stammzertifizierungsstellen-Zertifikate für Betriebssystem-Bereitstellungsclients.

In Active Directory veröffentlichte Clienteinstellungen
Gibt die Standorteinstellungen im einheitlichen Modus an, die in Active Directory-Domänendiensten für Clientcomputer veröffentlicht und automatisch mit Clientpushinstallationen verwendet werden.

Clientcomputer mit Zugriff auf diese Einstellungen in den Active Directory-Domänendiensten werden regelmäßig mit diesen Werten konfiguriert. Dies geschieht bei einer erfolgreichen Standortzuweisung, beim Start und alle 25 Stunden.

Wenn Clientcomputer die Standardeinstellungen nicht verwenden, geben Sie diese Optionen mit CCMSetup-Installationseigenschaften an, wenn eines der folgenden Szenarien zutrifft:

  • Das Active Directory-Schema ist nicht für Configuration Manager 2007 erweitert.

  • Das Active Directory-Schema ist für Configuration Manager 2007 erweitert, Sie verwenden aber Clients, die nicht auf diese Einstellungen zugreifen können, weil sie Arbeitsgruppenclients sind oder sich in einer anderen Active Directory-Gesamtstruktur befinden.

  • Sie möchten andere Clienteinstellungen nur für die Installation angeben.

Weitere Informationen zu den Befehlszeileneigenschaften finden Sie unter Informationen zu Clientinstallationseigenschaften von Configuration Manager.

CRL-Prüfung für Clients zulassen
Gibt an, ob Configuration Manager-Clientcomputer eine Zertifikatsperrliste (Certificate Revocation List, CRL) verwenden, bevor die für den einheitlichen Modus erforderlichen PKI-Zertifikate verwendet werden.

Die CRL-Überprüfung wird bei Installation des Standorts im einheitlichen Modus standardmäßig aktiviert. Wenn der Standort im gemischten Modus installiert und später zum einheitlichen Modus migriert wurde, ist die CRL-Überprüfung für Clients in der Standardeinstellung deaktiviert.

Weitere Informationen finden Sie unter Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus).

HTTP-Kommunikation für Roaming und Standortzuweisung zulassen
Gibt an, ob Clientcomputer im einheitlichen Modus HTTP verwenden können, wenn sie per Roaming zu einem Standort im gemischten Modus wechseln, damit sie mit dem residenten Verwaltungspunkt für die Inhaltssuche kommunizieren und Inhalte von den Verteilungspunkten dieses Standorts herunterladen können.

Darüber hinaus ist HTTP für die Kommunikation mit einem Serverlocatorpunkt erforderlich, der für die Standortzuweisung notwendig ist, wenn das Active Directory-Schema nicht für Configuration Manager 2007 erweitert wird und wenn Clientcomputer im einheitlichen Modus einen Verwaltungspunkt für den Netzwerklastenausgleich im Intranet verwenden und diesen nicht in den Active Directory-Domänendiensten finden können.

Die Standardoption besteht darin, die HTTP-Kommunikation für Roaming und Standortzuweisung nicht zuzulassen.

Weitere Informationen zu dieser Option finden Sie unter Entscheiden, ob eine Konfiguration der HTTP-Kommunikation für Roaming und Standortzuweisung erforderlich ist (einheitlicher Modus).

Zertifikatspeicher
Gibt den Speicherort des im einheitlichen Modus zu verwendenden Clientzertifikats an.

Der Standardspeicherort ist der private Speicher im Computerzertifikatspeicher. Wurde das Clientzertifikat einem anderen Ort im Computerspeicher bereitgestellt, geben Sie dies hier an.

Zertifikatauswahlkriterien
Gibt die Auswahlkriterien an, die verwendet werden, wenn mehr als ein Zertifikat im angegebenen Zertifikatspeicher gefunden wird.

In der Standardeinstellung wird nur der Zertifikatzweck überprüft. Wählen Sie eine der folgenden Optionen, um die Zertifikatauswahlkriterien anzugeben. Geben Sie dann einen beliebigen zugeordneten Wert an:

  • Nur Zertifikatzweck überprüfen: Diese Option verwendet weder den Antragstellernamen noch den alternativen Antragstellernamen, wenn Zertifikate ausgewählt werden. Stattdessen werden Zertifikate nur anhand des vorgesehenen Zertifikatzwecks ausgewählt, der die Clientauthentifizierung umfassen muss. Dies ist das Standardkriterium für die Zertifikatauswahl.

  • Antragsteller enthält Zeichenfolge: Bei der Übereinstimmung der Zeichenfolge im Antragstellernamen im Zertifikat wird die Groß- und Kleinschreibung nicht beachtet. Bei diesem Auswahlkriterium wird die Groß-/Kleinschreibung nicht berücksichtigt. Sie bietet sich an, wenn Sie den vollständig qualifizierten Domänennamen eines Computers verwenden und die Zertifikatauswahl auf dem Domänensuffix (z. B. contoso.com) basieren soll. Sie können diese Auswahlmethode jedoch auch verwenden, um nach einer beliebigen Zeichenfolge zu suchen, durch die sich das gewünschte Zertifikat von den anderen Zertifikaten im Clientzertifikatspeicher unterscheidet.

  • Antragsteller oder alternativer Name enthält Attribute: Bei der Übereinstimmung der Attributidentifizierung des Antragstellernamens oder alternativen Antragstellernamens im Zertifikat muss die Groß- und Kleinschreibung beachtet werden. Dieses Auswahlkriterium ist angemessen, wenn Sie definierte X.500-Namen oder entsprechende Objekt-IDs gemäß RFC 3280 verwenden und die Zertifikatauswahl auf den Attributwerten basieren soll. Geben Sie nur die Attribute und deren Werte an, die zur eindeutigen Identifizierung oder Überprüfung der Gültigkeit des Zertifikats erforderlich sind und das Zertifikat von den anderen Zertifikaten im Zertifikatspeicher des Clients unterscheiden. Die Reihenfolge, in der die Attribute eingegeben werden, spielt keine Rolle. Eine Liste der für Zertifikatauswahlkriterien unterstützten Attributwerte finden Sie in der Tabelle unter Bestimmen, ob Clientzertifikateinstellungen angegeben werden müssen (einheitlicher Modus). Die folgenden Beispiele definieren Zertifikatauswahlkriterien mithilfe von OID-Attributen und durch Verwendung definierter Namensattribute:

    • Beispiel 1:   2.5.4.8 =Maryland, 2.5.4.6 =US, 2.5.4.10= Contoso, 2.5.4.11 =Sales

    • Beispiel 2:   ST=Maryland, C=US, O= Contoso, OU=Workstations

Falls mehrere Zertifikate mit den Kriterien übereinstimmen
Gibt die Aktion an, die ausgeführt werden muss, wenn der Configuration Manager anhand der angegebenen Einstellungen mehr als ein gültiges Zertifikat im angegebenen Zertifikatspeicher gefunden hat.

  • Beliebiges passendes Zertifikat auswählen: Von den gefundenen Zertifikaten, die mit der Auswahl übereinstimmen, wird eines zufällig ausgewählt. Wird Configuration Manager 2007 SP1 oder höher auf dem Client ausgeführt, wird das Zertifikat mit der längsten Gültigkeitsdauer ausgewählt. Kann mit diesem Zertifikat keine Verbindung hergestellt werden, wird kein Verbindungsversuch mit einem der anderen gefundenen Zertifikate unternommen, und der Client sendet eine Fehlermeldung an den ihm zugewiesenen Fallbackstatuspunkt.

  • Auswahl nicht zulassen und Fehlermeldung senden: Keines der Zertifikate wird beim Versuch verwendet, eine Verbindung herzustellen. Stattdessen versucht der Client nicht, mit seinem Verwaltungspunkt zu kommunizieren, und sendet vielmehr eine Fehlermeldung an den ihm zugewiesenen Fallbackstatuspunkt. Dies ist die Standardkonfiguration.

OK
Speichert die Änderungen und schließt das Dialogfeld.

Abbrechen
Schließt das Dialogfeld, ohne die Änderungen zu speichern.

Übernehmen
Speichert die Änderungen und lässt das Dialogfeld angezeigt.

Hilfe
Öffnet die Hilfedokumentation für die Standorteigenschaften: Registerkarte „Standortmodus“.

Einstellungseigenschaften im gemischten Modus

Wenn Sie den gemischten Modus für den Standort ausgewählt haben, werden folgende Eigenschaften im gemischten Modus angezeigt.

Genehmigungseinstellungen
Gibt die Clientgenehmigungseinstellungen an, die beim Autorisieren von Computern zur vollständigen Verwaltung an einem Standort im gemischten Modus verwendet werden.

Genehmigen Sie Clients an einem Standort im gemischten Modus, die Clientidentität zu überprüfen. Sie müssen eine Clientgenehmigungsmethode auswählen, die Ihrem Risikoprofil entspricht. Weitere Informationen zum Sichern von Clients finden Sie unter Bewährte Methoden zum Schützen von Clients. Weitere Informationen zur Genehmigung finden Sie unter Informationen zur Clientgenehmigung in Configuration Manager.

noteHinweis
Durch das Ändern der Standortgenehmigungsmethode wird der Genehmigungsstatus von bereits dem Standort zugewiesenen Clients nicht automatisch zurückgesetzt. Die neue Einstellung wirkt sich nur auf neu zugewiesene Clients aus.

Jeden Computer manuell genehmigen
Die manuelle Genehmigung jedes Computers am Standort bietet das geringste Risiko, ist aber mit dem größten Verwaltungsaufwand verbunden. Clients müssen in der Configuration Manager-Konsole manuell genehmigt werden. Weitere Informationen finden Sie im Abschnitt „So genehmigen Sie Clients manuell“ unter Genehmigen von Configuration Manager-Clients.

Computer in vertrauenswürdigen Domänen automatisch genehmigen (empfohlen)
Durch die automatische Genehmigung von Computern in vertrauenswürdigen Domänen werden Clientcomputer automatisch autorisiert, die Domänen beigetreten sind, denen die Domäne des Standortservers vertraut.

ImportantWichtig
Falls Ihre Configuration Manager 2007-Hierarchie mehrere Domänen umfasst, muss der Verwaltungspunkt mit einem Intranet-FQDN konfiguriert werden, um Clients zu genehmigen, die sich nicht in der Domäne des Standortservers befinden.

Weitere Informationen finden Sie unter Konfigurieren des Intranet-FQDN der Standortsysteme und Bestimmen, ob FQDN-Servernamen verwendet werden.

Wenn Sie diese Einstellung verwenden, sollten Sie sicherstellen, dass andere Sicherheitskontrollen implementiert wurden, um zu verhindern, dass nicht vertrauenswürdige Computern einer vertrauenswürdigen Domäne beitreten können.

Alle Computer automatisch genehmigen (nicht empfohlen)
Durch die automatische Genehmigung aller Computer wird jeder Computer autorisiert, der eine Zuweisung zum Standort anfordert. Diese Einstellung wird nie empfohlen, weil dadurch jeder Computer potenziell vertrauliche Daten empfangen kann, ohne dass seine Vertrauenswürdigkeit überprüft wird.

Dieser Standort verfügt nur über ConfigMgr 2007-Clients.
Diese Einstellung ermöglicht unabhängig von der ausgewählten Clientgenehmigungsmethode, dass für Configuration Manager-Clients, die nicht mit SMS 2003-Clientkommunikationseinstellungen kompatibel sind, striktere Clientkommunikations-Sicherheitseinstellungen verfügbar sind. Bevor Sie diese Einstellung aktivieren, müssen Sie sicherstellen, dass am Standort keine SMS 2003-Clients vorhanden sind.

Clienteinstellungen
Gibt die Clientdatenverschlüsselungs-Einstellungen für an Verwaltungspunkte gesendete Clientinformationen an.

Daten vor dem Senden an den Verwaltungspunkt verschlüsseln.
Verwenden Sie diese Einstellung zur Verschlüsselung der Inventurdaten und Zustandsmeldungen, die von Clients an den zugehörigen Verwaltungspunkt gesendet werden. Bei dieser Verschlüsselungsmethode werden das selbstsignierte Zertifikat des Clients, für das keine PKI erforderlich ist, und der 3DES-Algorithmus verwendet. Letzterer ist weniger sicher als die Verschlüsselung im einheitlichen Modus mit einem PKI-Zertifikat und SSL. Weitere Informationen zu den Unterschieden bei der Sicherung von Clientdaten im gemischten und im einheitlichen Modus finden Sie in der Tabelle „Vergleich zwischen gemischtem und einheitlichem Modus“ im Thema Vorteile der Verwendung des einheitlichen Modus.

OK
Speichert die Änderungen und schließt das Dialogfeld.

Abbrechen
Schließt das Dialogfeld, ohne die Änderungen zu speichern.

Übernehmen
Speichert die Änderungen und lässt das Dialogfeld angezeigt.

Hilfe
Öffnet die Hilfedokumentation für die Standorteigenschaften: Registerkarte „Standortmodus“.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: