Главная System Center, Новое Работа мобильных устройств и SCMDM с использованием Wi-Fi
  • Работа мобильных устройств и SCMDM с использованием Wi-Fi

    SCMDM2008sm.jpgПри работе с System Center Mobile Device Manager 2008 (SCMDM) в некоторых ситуация оказывается гораздо более удобным использовать имеющиеся точки доступа Wi-Fi для выполнения определенных задач. В официальной документации по SCMDM предлагается несколько возможных вариантов по использованию беспроводных точек доступа, и в этой статья я попробую рассмотреть предлагаемые варианты, а также возможные ограничения при их реализации. При именовании способов подключения я буду давать каждому из них адаптированное русское название, а в скобках приводить название из документации, дабы никого не путать.

    Подключение с использованием шлюза, расположенного в периметре (External MDM Gateway for Wi-Fi)

    Данный способ предполагает, что мобильные устройства будут подключаться к шлюзу (Gateway Server), находящемуся в периметре, из внутренней сети с использованием корпоративных точек доступа. Главным достоинством такого подключения является возможность использования шлюза для подключения устройств как из внутренней сети по Wi-Fi, так и из внешней сети при помощи Wi-Fi/GPRS/EDGE/3G. Также, если на предприятии уже имеется развернутый экземпляр SCMDM, то при реализации этой модели нет необходимости сильно модифицировать существующую инфраструктуру.

    При реализации этого способа необходимо учитывать несколько моментов:

    1. Устройства, подключающиеся к шлюзу при помощи точки доступа, должны быть уже введены в домен.
    2. На межсетевом экране, разделяющем внутреннюю сеть от периметра, должны быть открыты порты UDP 500 и 4500, а также разрешен протокол IP 50 для нормальной работы IPSec.

    Подключение с использованием шлюза, расположенного во внутренней сети (Internal MDM Gateway for Wi-Fi)

    Этот способ развивает предыдущий вариант и предполагает подключение устройств, расположенных в подсети А, к MDM Device Management Server’у, расположенному в подсети Б, через Gateway Server, который находится на границе между этими подсетями.

    В каком случае может быть применен данный вариант?

    По мнению Microsoft подобная архитектура позволит использовать выделенную подсеть для мобильных устройств, что существенно повысит безопасность основной рабочей сети.

    В качестве преимуществ такого подключения можно выделить:

    1. Наличие Gateway Server’а позволяет воспользоваться такой функцией, как Wipe Now, которая гарантирует быструю очистку устройств.
    2. Установка дополнительного Gateway Server’а в периметре позволит также использовать устройства, которые подключаются извне (см. Использование публичной точки доступа для подключения). При этом нужно иметь ввиду, что автоматического переключения между внутренним и внешним шлюзом не происходит. И если устройство, подключенное через внешний шлюз, оказывается в радиусе действия внутренней точки доступа, необходимо будет вручную переподключить VPN-соединение.

    Использование публичной точки доступа для подключения (Public Wi-Fi for MDM)

    Использование публичных точек доступа может быть весьма полезным с точки зрения скорости подключения и стоимости трафика (т.к. зачастую публичный Wi-Fi бесплатен). Еще одним положительным моментом является возможность использования того же Gateway Server’а, что и при обычном подключении через сети сотового оператора. Но при этом данный метод обладает рядом ограничений, главным из которых является следующее – часто публичные точки доступа имеют ограничения при трансляции запросов через NAT и возможна ситуация, что поток пакетов IPSec просто не сможет быть нормально доставлен до шлюза.

    Использование конфигурации без шлюза (No VPN Gateway for Wi-Fi)

    Решение об отказе от использования шлюза (Gateway Server) может быть вызвано несколькими причинами – желание развернуть тестовую среду без возможности получения доступа к ресурсам извне, либо банальное желание сэкономить на инфраструктуре SCMDM.

    В любом случае необходимо понимать, что подобная конфигурация обладает рядом недостатков:

    1. Невозможность использования службы Alerter, которая работает на Gateway Server’е и, как следствие, невозможность использования Wipe Now. Удаленная очистка устройств будет происходить только по сценарию Wipe Soon.
    2. После того, как устройство было присоединено к домену, оно всегда будет подключаться к Device Management Server’у напрямую.

    Итог

    Итак, каждый из рассмотренных сценариев обладает своими положительными и отрицательными сторонами. Главным критерием при выборе какого-либо из них должна являться целесообразность потенциальных рисков и затрат. Так, на мой взгляд, наиболее интересным является сценарий с использованием внутренней точки доступа и выделенной подсетью для устройств, с дополнительным шлюзом в периметре сети, но для него на данный момент есть неразрешимая задача – автоматическое переподключение VPN-соединения, т.к. не каждый пользователь готов обучаться премудростям ручного переключения. Но, если вы просто хотите попробовать SCMDM, то оптимальным вариантом будет использование конфигурации без шлюза.

    Алексей Ватутин

    • Рубрика: System Center,Новое
    • Автор: Ватутин Алексей
    • Дата: Четверг 25 Мар 2010

Комментарии

  1. Спасибо за статью!

Опубликовать

Я не робот.