Mi blog

Este Blog tiene como intención, mantener informado al Staff de IT con las distintas soluciones de la familia de productos de Microsoft.
El foco del Blog, brinda mi experiencia con la familia de productos de Ms System Center.
Con 20 años de experiencia en los productos de Microsoft, quiero compatir información, mis propias experiencias y mis articulos.

Si tenes dudas existen 2 solapas, dejame tu consulta aquí … pero también mirá la solapa " consultas anteriores" donde existen otras consultas posteadas.


Marcela Berri
Instructor / Consultor Senior IT
MVP - MCT – MCITP – MCTS – MCSA – MAP



miércoles, 14 de noviembre de 2012



No más Modo Nativo en CfgMgr 2012


Configuration Manager 2007 admite 2 modos en los que puede establecerse un site: Modo Mixto o Modo Nativo.
Modo Mixto: es el modo default en una instalación y permite que los clientes interactúen con el site vía HTTP.
Modo Nativo: Si uno prefiere que las comunicaciones viajen encriptadas, es posible colocar todo el Site dentro de una estructura de PKI (con certificados de cliente y de site systems).  De esta forma, los paquetes serán asegurados vía HTTPS.  Adicionalmente, el modo nativo es requerido para dar soporte a características como el manejo de Internet clients.  Lo importante a destacar, es que en esta versión TODO el Site debe pasar de un modo a otro.
En CM2012, no es más una condición de Site necesariamente, si no que ahora es posible habilitar HTTPS en cada Site System rol de ser necesario.

Por qué querría colocar HTTPS a un MP o DP si dentro de mi empresa no es una preocupación asegurar la comunicación entre cliente y Site?
Pues bien, existen características del producto que requieren HTTPS para poder funcionar como: manejo de Internet-based client, Dispositivos móviles, clientes MAC, manejo de Out-of Band (Intel V-Pro/ATM).
Por esto, es necesario tener bien claro cómo se comporta el producto según su configuración y en base a eso obtener los resultados deseados.
Existen 3 controles para configurar HTTP/HTTPS:
1)   Control del Site
2)   Control de los clientes
3)   Control del site system rol
Veamos entonces las diferencias.
1)   Control del Site:
Tanto al momento de instalar como post instalación, es posible elegir el modo en el que el Site entero escuchará a los clientes: HTTP o HTTPS.
Dentro del workspace de Administración, en las propiedades del Site, solapa “Client Computer Communication” se configura si el site atiende HTTP o HTTPS.

 
Por defecto el Site está en HTTPS or HTTP, que implica la escucha de ambos protocolos.
Es importante destacar que si el valor es colocado sólo en “HTTPS only”, todo el site no escuchará más HTTP y aquellos clientes que no presenten certificado válido o no estén configurados para hablar por HTTPS, no tendrán comunicación con el site, no bajarán políticas.
2)  Control de los clientes


Dentro de la misma solapa: Client Computer Communication” del workspace de Administración, en las propiedades del Site, se configura además cómo el cliente se comunica hacia el Site.






Cuando el tilde es colocado, y el cliente que está configurado con certificados para usar HTTPS, tratará de establecer la comunicación por el medio más seguro primero (HTTPS); si no logra comunicarse, optará por usar HTTP. 
Esta configuración, permite que el Administrador pueda ir chequeando cómo operan los clientes sin necesidad de sufrir la perdida de comunicación, ya que puede cambiar a HTTP. J 
Una vez que los clientes estén listos y utilicen apropiadamente HTTPS, se deberá cambiar el Setting del site a “HTTPS only” (punto 1) y como consecuencia, la opción de Use PKI client certificate (client authentication capability) when available, se grisará, haciendo que todo el site quede funcionando solamente con HTTPS (no permitirá comunicación por HTTP)
 
3)   Control del Site System rol
Por cada Site System rol que interactúe con el cliente (rol que trabaje con IIS), puede ser asegurado de forma tal que solo escuche requerimientos por HTTPS.
Ejemplo: Management Point (policies, status), Distribution Point (contenido), Application Catalog (aplicaciones publicadas), etc. 
Dentro del workspace de Administración, en el nodo “Servers  and Site System Roles”, se encuentran los roles instalados en el/los servidores.  Editando las propiedades del rol que se desea modificar, se configura si el site system atiende HTTP o HTTPS.



Es importante destacar que cada rol individualmente puede ser configurado sólo con una única opción: HTTP  o  HTTPS.  Esto implica que si se desea atender a clientes por ambos protocolos, el site deberá contar con 2 Management Point; uno para clientes HTTP y otro para HTTPS.
 

Ver además:



No hay comentarios.:

Publicar un comentario

Dejame tu comentario