Suchen

Microsoft System Center Configuration Manager 2007, Teil 4 Grundlegende Verwaltungsaufgaben: Standorteinstellungen und Sitemodus

Autor / Redakteur: Frank Castro Lieberwirth / Dipl.-Ing. (FH) Andreas Donner

Moderne Netzwerke lassen sich kaum ohne Management Software verwalten. Microsoft System Center Configuration Manager (SCCM) 2007 ist ein Produkt, mit dem sich Microsoft-Netzwerke zentral administrieren lassen. Die neueste Aktualisierung von SCCM bietet nicht nur eine Reihe von neuer Features, zu denen auch ein Updatemanagement gehört, sondern auch Assetverwaltung und Intel-AMT Unterstützung. Der Artikel zeigt, welche Sicherheitsvorbereitungen getroffen und Vor-Einstellungen getätigt werden müssen, um diese Features verwenden zu können.

Firma zum Thema

SCCM unterstützt PKI, um einen sicheren Datentransfer zu ermöglichen.
SCCM unterstützt PKI, um einen sicheren Datentransfer zu ermöglichen.
( Archiv: Vogel Business Media )

System Center Configuration Manager kennt den nativen und den gemischten Sitemodus. Sie dienen zur Client zu Server- aber nicht zur internen Site-Server-Kommunikation. Der gemischte Modus entspricht dem bereits bekannten Modus aus Systems Management Server 2003 und seinen Vorgängern. Er dient zur Abwärtskompatibilität. Der native Modus unterstützt eine gesicherte Datenverbindung über Zertifikate. Das ermöglicht eine Datenverbindung über das Internet und die Verwendung von Intel AMT.

Doch bevor der native Modus eingestellt werden kann, ist eine PKI (Public Key Infrastructur) einzurichten, und es sind – falls noch nicht vorhanden – Zertifikatsvorlagen zu erstellen. Alternativ können die Zertifikate aber auch aus anderen Quellen, wie von namhaften Zertifizierungsstellen kommen.

Bildergalerie

Der größte Planungsfehler bei einer eigenen PKI ist hierbei der Einsatz eines Windows Server 2003 in der Standard-Edition als Zertifikatsserver. Mit diesem kann man zwar ebenfalls Zertifikate verwalten und eine PKI einrichten, Erweiterungen sind jedoch nicht möglich. Es muss also schon mindestens eine Windows Enterprise-Edition sein! Der Hilfetext von SCCM liefert wegen seiner detaillierten Arbeitsanweisungen bei der Konfiguration von „eigenen“ Zertifikaten wertvolle Hilfe.

Um eine gesicherte Kommunikation im gesamten Netzwerk herzustellen, sind folgende Schritte notwendig:

  • Für Client zu Server-Kommunikation: Verwenden von HTTPS mit Hilfe von benutzerdefinierten oder gleichartigen Zertifikaten.
  • Für Server zu Server-Kommunikation: Einrichten von IPSec über eine PKI.

Vom gemischten zum nativen Modus

Wie in einem früheren Artikel erwähnt wurde, erfordert der SCCM die Zusammenarbeit unterschiedlicher Teams. Kompetenzen des Sicherheits- und des PKI-Teams (Zertifikatsserver, Domänensicherheitsrichtlinie in Active Directory, usw.) sind mit denen des Internet Information Server-Teams (Webauftritt und Load Balance) und des Netzwerkinfrastruktur-Teams (DNS-Server, usw.) in Einklang zu bringen.

Der native Modus ist bei einer neuen Installation von SCCM voreingestellt. Um diesen Modus innerhalb einer gemischten Standort-Hierarchie (und das sollte in den meisten Fällen vorliegen) zu etablieren, ist es ratsam, den nativen Modus erst in einer späteren Phase umzustellen. Generell muss der primäre Standortserver im nativen Modus mit einem speziellen Signierungszertifikat konfiguriert sein. Ebenso muss eine Migration immer von der höchsten Stelle der Hierarchie ausgehen, d.h. der übergeordnete Standort ist ein SCCM-Standort mit der höchsten Aktualisierung (Service Pack bzw. Release).

Weiterhin sollte sich eine Organisation Gedanken manchen, ob sie eine Kommunikation zum Client zulassen will, falls der Managementpunkt nicht über HTTPS erreichbar ist. In diesem Fall sollte dann das Standortsystem Fallbackstatuspunkt (Fallback Status Point, FSP) eingerichtet werden.

weiter mit: Tipps zur Vorbereitung von Public Key Infrastructure

weitere Beiträge unserer SCCM-Reihe im Überblick:

  • Microsoft SCCM, Teil 1: Mehr als zehn Jahre System-Management – ein Überblick
  • Microsoft SCCM, Teil 2: Technische Planung in der Vorprojektphase eines SCCM-Einsatzes
  • Microsoft SCCM, Teil 3: Einführung in die interne Verwaltungsstruktur
  • Microsoft SCCM, Teil 5: Grundlegende Verwaltungsaufgaben: Discovery und Clientinstallation
  • Microsoft SCCM, Teil 6: Agenten für die Verwaltung von stationären und mobilen Computern
  • Microsoft SCCM, Teil 7: WSUS 3.0 für Microsoft Updates verwenden
  • Microsoft SCCM, Teil 8: Softwareverteilung mit dem SCCM – grundlegende Server-Aufgaben
  • Microsoft SCCM, Teil 9: Softwareverteilung mit dem SCCM - Verteilung von Softwarepaketen und Kontrolle

Artikelfiles und Artikellinks

(ID:2014386)