SCCM 2007: Mixed Mode oder Native Mode

Schon während der Installation vom SCCM 2007 stellt sich die Frage, ob die Site im Mixed Mode oder im Native Mode betrieben werden soll. Wie soll ich mich denn da jetzt entscheiden, fragt sich vielleicht manch einer, der nicht schon vorher die entscheidenden Stellen der SCCM-Dokumentation studiert oder eine meiner Schulungen besucht hat. Grund genug, dass ich einmal versuche, eine kleine Entscheidungshilfe zu geben und die Links zur Original-Dokumentation nenne, um dessen Lektüre man später mal nicht umhin kommt. Vorab in Kurzform: man nehme zunächst den Mixed Mode und schalte später in den Native Mode , wenn man ihn benötigt.

Rückblick - So eine Entscheidung gab es doch schon einmal:
SMS 2003 Security Mode: Standard oder Advanced?
Wer auch damals die Dokumentation oder Schulungen zum Thema scheute, der ist möglicherweise so vorgegangen: Advanced Security Mode klingt gut, nehme ich. Toll, dann muss ich mir auch kein SMS-Servicekonto ausdenken. Das war eine gute Entscheidung, wenn ein Active Directory bereits im Einsatz war. Falls nicht, also noch die gute alte NT4-Domäne Herr im Netz war, dann: Pech gehabt. Zurück zum Standard Security Mode ging es nicht ohne erneute Installation. Wer sich aber unabhängig von der Erfüllung aller Vorbedingungen des Advanced Security Modes zunächst für den Standard Security Mode entschieden hatte, kämpfte wieder mit einem Haufen Servicekonten, die möglicherweise immer noch im AD ungenutzt herumschwirren, obwohl inzwischen längst zum Advanced Security Mode gewechselt wurde. Der SMS 2003 Advanced Security Mode ist übrigens eine der Vorbedingungen für den Upgrade einer SMS 2003 Site auf SCCM 2007. Call to Action: Räumt endlich Euer AD auf - weg mit den überflüssigen Servicekonten. Und ein Blick auf die SMS-Server schadet auch nicht: Da liegen vielleicht auch noch unnütze Konten und Gruppen herum. Nun aber genug der alten Geschichten und zurück zum Thema.

Der SCCM Site Mode entscheidet einzig und allein über die Absicherung der Client-zu-Server-Kommunikation. Um die Server-zu-Server-Kommunikation sicherer zu machen, kann man zu IPSec greifen, aber das ist ein anderes Thema.

Wer eine SMS 2003 Site upgraded, braucht sich zunächst nicht zu entscheiden. Die SCCM Site muss erstmal im Mixed Mode laufen, damit die SMS 2003 Clients weiter mit der Site kommunizieren können, bis auch diese sämtlichst auf SCCM Client “Version 4.0″ gebracht worden sind. Natürlich werden dabei nur noch SMS 2003 Advanced Clients unterstützt, Windows NT4 ist also raus. Da es in SCCM nun nur noch diesen “Advanced Client”-Typ gibt, heißt er in der Doku nur noch “Client” und konsequenterweise gibt es auch nur noch “Boundaries”, in denen sich diese Clients bewegen. Die “Boundaries” haben die Funktionalität der alten “Roaming Boundaries”. Die alten “Site Boundaries” sind überflüssig geworden, da diese ja nur für den alten “Legacy Client” relevant waren. Und: Die “Boundaries” sind jetzt bei Bedarf “slow” anstatt “remote”. Aber ich schweife schon wieder ab…

Wer sich bei der Neuinstallation für den Native Mode entscheiden möchte, weil es ja auch besser klingt, der wird vielleicht schon gleich einen Rückzieher machen, denn er muss dann das “Site Server Signing Certificate” angeben. Wer solch ein Zertifikat nicht hat, entscheidet sich nun also für den Mixed Mode. Das ist auch weiter kein Problem, denn SCCM 2007 erlaubt den späteren Wechsel zum Native Mode. Konten-Putzen fällt dabei nicht an. Wer glaubt, er habe solch ein Zertifikat, hat aber die Dokumentation nicht aufmerksam gelesen, wird dafür dann auch bestraft: Ein wichtiges Kriterium für das “Site Server Signing Certificate” ist nämlich, dass das Subject exakt “The site code of this site server is XXX” lauten muss, wobei XXX durch den dreistelligen Standortcode zu ersetzen ist, und die Hochkommata natürlich nicht dazugehören. Es gehört auch kein Punkt an das Ende dieses Subjects. Weitere Kriterien für dieses Zertifikat und den Native Mode folgen weiter unten im Text. Aber glücklicherweise ist die Strafe nicht so schwer: SCCM erlaubt auch jederzeit den Wechsel vom Native Mode zurück in den Mixed Mode, falls man merkt, dass man vielleicht doch noch nicht alle Voraussetzungen für den Native Mode zusammen hat.

Was macht nun den Native Mode aus? Wie schon erwähnt, er sichert die Client-zu-Server-Kommunikation höher als im Mixed Mode ab.

Im Mixed Mode authentifiziert sich der Client einfach nur mit seinem Computerkonto. Immerhin wurde gegenüber SMS 2003 eine weitere Schwelle eingebaut: Alle Systeme müssen einmalig genehmigt (approved) werden. SCCM bietet an, das automatisch für alle Domänencomputerkonten zu machen. Alternativ oder ergänzend kann man das aber auch manuell für jeden einzelnen Client, der unverhofft sein Discovery Data Record schickt, machen. Die dritte angebotene Variante, alle Clients unabhängig von ihrer Domänenzugehörigkeit automatisch zu genehmigen, sollte eher nicht in Betracht gezogen werden.

Im Native Mode wird die höhere Absicherung mit Hilfe von Zertifikaten nach Industrie-Standard bewerkstelligt, die dafür sorgen, dass Client und Server sich gegenseitig eindeutig als vertrauenswürdig erkennen können. Man kann dazu (empfohlenerweise) eine Microsoft PKI-Struktur nutzen. Neben der höheren Sicherheit erhält man als zusätzliche Funktion, dass Clients direkt über das Internet gemanaged werden können, ohne dass z.B. ein VPN-Tunnel aufgebaut werden muss. Der Native Mode ist also tatsächlich nur erforderlich, wenn man diese höhere Sicherheit oder die kleine zusätzliche Funktionalität wünscht.

Vor dem Wechsel zum Native Mode oder der Installation im Native Mode müssen eine Reihe von zusätzlichen Bedingungen erfüllt sein:

  • eine existierende Public Key Infrastruktur (PKI),
  • ein auf dem Site Server installiertes Site Server Signing Zertifikat,
  • Web Server Zertifikate für die Site Rollen, die den IIS-Server benötigen, und
  • ein Zertifikat auf allen SCCM Clients und Management Points zur Client Authentifizierung.
  • Das hier in der Liste letztgenannte Zertifikat kann natürlich nicht mit SCCM selbst an alle Clients verteilt werden (es sei denn, die Site läuft noch im Mixed Mode), denn es soll ja gerade die Site auch davor schützen, irgendeinen Datenmüll von einem nicht mit diesem Zertifikat versehenen Netzwerkobjekt anzunehmen. Die Zertifikate können aber automatisch innerhalb einer Microsoft PKI Struktur mit Hilfe der AD Gruppenrichtlinien verteilt werden.
    Die Webserver-Zertifikate sind deshalb erforderlich, weil die Clients z.B. so ihre Inventurdaten über das https-Protokoll abliefern können und umgekehrt sicher sein können, dass sie ihre Pakete über https tatsächlich von einem Verteilungspunkt der SMS-Hierarchie abholen und nicht von einer Virusschleuder, die einfach den Servernamen spooft.
    Mit dem Site Server Signing Zertifikat werden die Policies verziert, die sich die Clients vom Management Point abholen. Damit ist sichergestellt, dass auch diese Einstellungen und Anweisungen tatsächlich von der zugeordneten Site kommen.

    So, nun könnte ich natürlich noch die gesamte, gute, englische Originaldoku übersetzen, aber ich werde mich dann doch mit den wichtigsten Links begnügen. Hier ist die Einstiegsseite:

    Configuration Manager Site Modes [Technet]

    Ganz wichtig sind die Zertifikats-Anforderungen. Wer diese kürzlich gelesen hat, bitte unbedingt nochmal lesen, sie wurden gerade (Ende August) mit wichtigen Hinweisen zu Windows Server 2008 überarbeitet:

    Certificate Requirements for Native Mode [Technet]

    Sehr praktisch sind die beispielhaften Schritt-für-Schritt-Anleitungen, wie die Zertifikate erstellt und auf den Systemen bereitgestellt werden müssen:

    Anleitung für Windows Server 2008 [Technet]
    Anleitung für Windows Server 2003 [Technet]

    Noch ein Wort zu Windows Server 2008: Ein Upgrade des Betriebssystems auf dem SCCM 2007 Siteserver von Windows Server 2003 ist zur Zeit nicht supported! Wer also demnächst alle seine Server auf Windows Server 2008 haben möchte, muss SCCM gleich auf einem solchen installieren. Ein direktes Upgrade von SMS 2003 fällt somit flach. Aber in vielen Fällen ist ja eine Side-by-side-Migration von SMS 2003 auf SCCM 2007 möglich und sinnvoll.

    Kommentarfunktion ist deaktiviert