我正在规划我们的 System Center Configuration Manager 2012R2 部署。
有一件事我很难搞清楚,那就是我需要什么来支持远程笔记本电脑。我们有不少用户有时在家/在路上工作(因此他们的笔记本电脑在域中,但通常一次数周不连接到我们的网络)。我们还有许多用于演示等的笔记本电脑,它们根本不在域中,而且很少甚至从未连接到我们的内部网络。
到目前为止,我知道我需要 PKI 设置并正常工作,这应该不是什么大问题。
但是我是否需要在 DMZ 中为互联网客户端设置单独的服务器?如果需要,那么由哪些角色来设置?其中一篇技术文章说要设置一个完全独立的林。这真的有必要吗?
我可以简单地向内网站点服务器开放 HTTPS 吗?或者这会引入一些巨大的攻击媒介?
我确信有几种方法可以实现这一点,每种方法都有优点、缺点和安全隐患,但到目前为止,我甚至还没有列举出我的选择有哪些。
对于 MDMarra 的问题:
为了管理连接互联网的笔记本电脑,我希望(如果可能的话):
- 保持硬件和软件清单最新
- 确保他们安装了 Windows 更新(希望从 MS 下载,而不是我的本地服务器)
- 检查端点防病毒状态
- 推出软件和第三方更新
当然,有些事情,比如操作系统部署和带外管理,根本无法远程实现。远程控制似乎也不支持远程控制,这很不幸,但我没有它也可以。
我们正在考虑为域连接的笔记本电脑设置 VPN,这可能会让事情变得更容易,但这仍然遥不可及。而且这对非域笔记本电脑没有帮助。
答案1
- 您不需要单独的 DMZ 系统,但强烈建议使用。
- 不需要单独的森林。
- 您可以将内部服务器开放到互联网并将其设置为处理互联网客户端......但这将是一个巨大的安全漏洞。
规划/实施这件事有很多细节。我提供了几个链接来帮助您入门。
以下文章介绍了所有先决条件:http://blogs.technet.com/b/jchalfant/archive/2015/04/15/prerequisites-for-ibcm-in-configuration-manager.aspx
这是有关该过程的非常详细的教程:http://www.systemcenterdudes.com/internet-based-client-management/