Fragen zu SCCM2007 Aufbau

01/02/2008 - 16:55 von André | Report spam
Hallo,

in unserem Netz (fast reines W2k3Sp2 mit XP Clients) möchten wir gerne mit
dem oben genannten Produkt den Übergang zu einer gemanagten Umgebung gehen.
Nun stellt sich jedoch die Frage nachn dem korrekten bzw. sinnvollen Aufbau.

Hier ein kurzer Überblick über die derzetige Konfig:

W2k3Sp2 DC´s sowie verschiedene W2k3Sp2 Server, ~250 XP Clients, jeweils
unterschiedliche Subnetze, jedoch gleiches LAN
~50 Laptop´s im Ausseneinsatz, diese sollen auch über den CCM gemanaged
werden

Die Anbindung ans Internet erfolgt über eine HW-Firewall auf Linuxbasis.


Hier nun meine Vorstellung, abgeglichen mit den im Technet zu findenen
Whitepapers, sofern ich diese richtig verstanden habe:

1 CCM Siteserver im Intranet, zusammen mit
ManagementPoint/SoftwareUpdatePoint/FallbackStatusPoint und Distribution
Point.
Davor in Richtugn Internet ein Reverse Proxy, in diesem Fall wird es wohl
ein ISA2006 sein.
Davor muss die Linux HW-FW (historisch bedingt) bleiben. Quasi dann eine
Weiterleitung des ankommenden SSL Traffics auf den ISA einrichten.

Über diese Konfiguration würde ich gerne, auch der Sicherheit wegen, das SSL
Bridging nutzen, also die SSL Verbindung von den Internetclients endet
erstmal auf dem ISA, dieser baut eine neue SSL Verbindung zum CCM auf.
Somit können die Pakete von aussen auch kontrolliert werden.

Nun zu meiner eigentlichen Frage:
Für welchen Client/Server/Firewall benötige ich welches Zertifikat bzw. muss
ich mir eine eigene CA aufbauen, die wiederum durch ein öffentliches Root-CA
eines CA Anbieters, zb. Verisign bestàtigt wird?

Im Moment weiss ich nicht genau, wo wie welche Zertifikate installiert
werden müssen, um eine vollstàdnige Kette von den Clients über den ISA bis
zum CCM zu erhalten.

Vielen Dank für Eure Hilfe

André
 

Lesen sie die antworten

#1 Torsten [MVP]
01/02/2008 - 19:24 | Warnen spam
Hallo Andre,

zum Thema PKI steht hier alles, was für SCCM wichtig ist:
http://technet.microsoft.com/en-us/...80312.aspx
Wegen ISA und Co solltest Du Dich eher an eine ISA-Newgroup wenden, da dies
nichts mehr mit SCCM zu tun hat bzw dort die Antwortchancen höher sind.

Gruß,
Torsten

"André" schrieb im Newsbeitrag
news:
Hallo,

in unserem Netz (fast reines W2k3Sp2 mit XP Clients) möchten wir gerne mit
dem oben genannten Produkt den Übergang zu einer gemanagten Umgebung
gehen.
Nun stellt sich jedoch die Frage nachn dem korrekten bzw. sinnvollen
Aufbau.

Hier ein kurzer Überblick über die derzetige Konfig:

W2k3Sp2 DCŽs sowie verschiedene W2k3Sp2 Server, ~250 XP Clients, jeweils
unterschiedliche Subnetze, jedoch gleiches LAN
~50 LaptopŽs im Ausseneinsatz, diese sollen auch über den CCM gemanaged
werden

Die Anbindung ans Internet erfolgt über eine HW-Firewall auf Linuxbasis.


Hier nun meine Vorstellung, abgeglichen mit den im Technet zu findenen
Whitepapers, sofern ich diese richtig verstanden habe:

1 CCM Siteserver im Intranet, zusammen mit
ManagementPoint/SoftwareUpdatePoint/FallbackStatusPoint und Distribution
Point.
Davor in Richtugn Internet ein Reverse Proxy, in diesem Fall wird es wohl
ein ISA2006 sein.
Davor muss die Linux HW-FW (historisch bedingt) bleiben. Quasi dann eine
Weiterleitung des ankommenden SSL Traffics auf den ISA einrichten.

Über diese Konfiguration würde ich gerne, auch der Sicherheit wegen, das
SSL Bridging nutzen, also die SSL Verbindung von den Internetclients endet
erstmal auf dem ISA, dieser baut eine neue SSL Verbindung zum CCM auf.
Somit können die Pakete von aussen auch kontrolliert werden.

Nun zu meiner eigentlichen Frage:
Für welchen Client/Server/Firewall benötige ich welches Zertifikat bzw.
muss ich mir eine eigene CA aufbauen, die wiederum durch ein öffentliches
Root-CA eines CA Anbieters, zb. Verisign bestàtigt wird?

Im Moment weiss ich nicht genau, wo wie welche Zertifikate installiert
werden müssen, um eine vollstàdnige Kette von den Clients über den ISA bis
zum CCM zu erhalten.

Vielen Dank für Eure Hilfe

André



Ähnliche fragen