Acerca de los métodos de detección para Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Configuration Manager métodos de detección encuentran diferentes dispositivos en la red, dispositivos y usuarios de Active Directory o usuarios de Microsoft Entra id. Para usar de forma eficaz un método de detección, debe comprender sus configuraciones y limitaciones disponibles.
Detección de bosques de Active Directory
Configurable: Sí
Habilitado de forma predeterminada: No
Cuentas que puede usar para ejecutar este método:
Cuenta de bosque de Active Directory (definida por el usuario)
Cuenta de equipo del servidor de sitio
A diferencia de otros métodos de detección de Active Directory, la detección de bosques de Active Directory no detecta los recursos que puede administrar. En su lugar, este método detecta las ubicaciones de red configuradas en Active Directory. Puede convertir esas ubicaciones en límites para su uso en toda la jerarquía.
Cuando se ejecuta este método, busca en el bosque de Active Directory local, en cada bosque de confianza y en otros bosques que configure en el nodo Bosques de Active Directory de la consola de Configuration Manager.
Use la detección de bosques de Active Directory para:
Descubra sitios y subredes de Active Directory y, a continuación, cree límites de Configuration Manager en función de esas ubicaciones de red.
Identifique las supernets asignadas a un sitio de Active Directory. Convierta cada supernet en un límite de intervalo de direcciones IP.
Publicar en Servicios de dominio de Active Directory (AD DS) en un bosque cuando se habilita la publicación en ese bosque. La cuenta de bosque de Active Directory especificada debe tener permisos para ese bosque.
Puede administrar la detección de bosques de Active Directory en la consola de Configuration Manager. Vaya al área de trabajo Administración y expanda Configuración de jerarquía.
Métodos de detección: habilite la detección de bosques de Active Directory para que se ejecute en el sitio de nivel superior de la jerarquía. También puede especificar una programación para ejecutar la detección. Configúrelo para crear automáticamente límites a partir de las subredes IP y los sitios de Active Directory que detecta. La detección de bosques de Active Directory no se puede ejecutar en un sitio primario secundario ni en un sitio secundario.
Bosques de Active Directory: configure los demás bosques para detectar, especifique cada cuenta de bosque de Active Directory y configure la publicación en cada bosque. Supervise el proceso de detección. Agregue subredes IP y sitios de Active Directory como Configuration Manager límites y miembros de grupos de límites.
Para configurar la publicación de bosques de Active Directory para cada sitio de la jerarquía, conecte la consola de Configuration Manager al sitio de nivel superior de la jerarquía. La pestaña Publicación del cuadro de diálogo Propiedades de un sitio de Active Directory solo puede mostrar el sitio actual y sus sitios secundarios. Cuando la publicación está habilitada para un bosque y el esquema de ese bosque se extiende para Configuration Manager, se publica la siguiente información para cada sitio habilitado para publicar en ese bosque de Active Directory:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
Nota:
Los sitios secundarios siempre usan la cuenta de equipo del servidor de sitio secundario para publicar en Active Directory. Si desea que los sitios secundarios se publiquen en Active Directory, asegúrese de que la cuenta de equipo del servidor de sitio secundario tenga permisos para publicar en Active Directory. Un sitio secundario no puede publicar datos en un bosque que no es de confianza.
Precaución
Al desactivar la opción para publicar un sitio en un bosque de Active Directory, toda la información publicada anteriormente para ese sitio, incluidos los roles de sistema de sitio disponibles, se quita de Active Directory.
Las acciones para la detección de bosques de Active Directory se registran en los registros siguientes:
Todas las acciones, excepto las relacionadas con la publicación, se registran en el archivo ADForestDisc.Log de la <carpeta InstallationPath>\Logs del servidor de sitio.
Las acciones de publicación de detección de bosques de Active Directory se registran en los archivos hman.log y sitecomp.log de la <carpeta InstallationPath>\Logs del servidor de sitio.
Para obtener más información sobre cómo configurar este método de detección, vea Configurar métodos de detección.
Detección de grupos de Active Directory
Configurable: Sí
Habilitado de forma predeterminada: No
Cuentas que puede usar para ejecutar este método:
Cuenta de detección de grupos de Active Directory (definida por el usuario)
Cuenta de equipo del servidor de sitio
Sugerencia
Además de la información de esta sección, consulte Características comunes de la detección de grupos, sistemas y usuarios de Active Directory.
Use este método para buscar Servicios de dominio de Active Directory para identificar:
Grupos de seguridad locales, globales y universales.
Pertenencia a grupos.
Información limitada sobre los usuarios y equipos miembros de un grupo, incluso cuando otro método de detección no ha detectado previamente esos equipos y usuarios.
Este método de detección está diseñado para identificar los grupos y las relaciones de grupo de los miembros de los grupos. De forma predeterminada, solo se detectan grupos de seguridad. Si también desea buscar la pertenencia a grupos de distribución, debe activar la casilla de la opción Detectar la pertenencia a grupos de distribución en la pestaña Opción del cuadro de diálogo Propiedades de detección de grupos de Active Directory.
La detección de grupos de Active Directory no admite los atributos extendidos de Active Directory que se pueden identificar mediante la detección de sistemas de Active Directory o la detección de usuarios de Active Directory. Dado que este método de detección no está optimizado para detectar recursos de equipo y usuario, considere la posibilidad de ejecutar este método de detección después de ejecutar la detección de sistemas de Active Directory y la detección de usuarios de Active Directory. Esta sugerencia se debe a que este método crea un registro de datos de detección completo (DDR) para grupos, pero solo un DDR limitado para equipos y usuarios que son miembros de grupos.
Puede configurar los siguientes ámbitos de detección que controlan cómo este método busca información:
Ubicación: use una ubicación si desea buscar en uno o varios contenedores de Active Directory. Esta opción de ámbito admite una búsqueda recursiva de los contenedores de Active Directory especificados. Este proceso busca en cada contenedor secundario en el contenedor que especifique. Continúa hasta que no se encuentran más contenedores secundarios.
Grupos: use grupos si desea buscar en uno o más grupos específicos de Active Directory. Puede configurar Dominio de Active Directory para usar el dominio y el bosque predeterminados, o limitar la búsqueda a un controlador de dominio individual. Además, puede especificar uno o varios grupos para buscar. Si no especifica al menos un grupo, se buscarán todos los grupos que se encuentran en la ubicación de Dominio de Active Directory especificada.
Precaución
Al configurar un ámbito de detección, elija solo los grupos que debe detectar. Esta recomendación se debe a que la detección de grupos de Active Directory intenta detectar a cada miembro de cada grupo en el ámbito de detección. La detección de grupos grandes puede requerir un uso intensivo del ancho de banda y de los recursos de Active Directory.
Nota:
Para poder crear colecciones basadas en atributos extendidos de Active Directory y para garantizar resultados de detección precisos para equipos y usuarios, ejecute la detección de sistemas de Active Directory o la detección de usuarios de Active Directory, en función de lo que quiera detectar.
Las acciones para la detección de grupos de Active Directory se registran en el archivo adsgdis.log de la <InstallationPath>\LOGS
carpeta del servidor de sitio.
Para obtener más información sobre cómo configurar este método de detección, vea Configurar métodos de detección.
Detección del sistema de Active Directory
Configurable: Sí
Habilitado de forma predeterminada: No
Cuentas que puede usar para ejecutar este método:
Cuenta de detección del sistema de Active Directory (definida por el usuario)
Cuenta de equipo del servidor de sitio
Sugerencia
Además de la información de esta sección, consulte Características comunes de la detección de grupos, sistemas y usuarios de Active Directory.
Use este método de detección para buscar en las ubicaciones de Servicios de dominio de Active Directory especificadas los recursos de equipo que se pueden usar para crear colecciones y consultas. También puede instalar el cliente Configuration Manager en un dispositivo detectado mediante la instalación de inserción de cliente.
De forma predeterminada, este método detecta información básica sobre el equipo, incluidos los siguientes atributos:
Nombre del equipo
Sistema operativo y versión
Nombre del contenedor de Active Directory
Dirección IP
Sitio de Active Directory
Marca de tiempo del último inicio de sesión
Para crear correctamente un DDR para un equipo, la detección del sistema de Active Directory debe poder identificar la cuenta de equipo y, a continuación, resolver correctamente el nombre del equipo en una dirección IP.
En el cuadro de diálogo Propiedades de detección de sistemas de Active Directory, en la pestaña Atributos de Active Directory , puede ver la lista completa de atributos de objeto predeterminados que detecta. También puede configurar el método para detectar atributos extendidos.
Las acciones para la detección del sistema de Active Directory se registran en el archivo adsysdis.log de la <InstallationPath>\LOGS
carpeta del servidor de sitio.
Para obtener más información sobre cómo configurar este método de detección, vea Configurar métodos de detección.
Detección de usuarios de Active Directory
Configurable: Sí
Habilitado de forma predeterminada: No
Cuentas que puede usar para ejecutar este método:
Cuenta de detección de usuarios de Active Directory (definida por el usuario)
Cuenta de equipo del servidor de sitio
Sugerencia
Además de la información de esta sección, consulte Características comunes de la detección de grupos, sistemas y usuarios de Active Directory.
Use este método de detección para buscar Servicios de dominio de Active Directory para identificar las cuentas de usuario y los atributos asociados. De forma predeterminada, este método detecta información básica sobre la cuenta de usuario, incluidos los siguientes atributos:
Nombre de usuario
Nombre de usuario único, que incluye el nombre de dominio
Dominio
Nombres de contenedor de Active Directory
En el cuadro de diálogo Propiedades de detección de usuarios de Active Directory, en la pestaña Atributos de Active Directory , puede ver la lista predeterminada completa de atributos de objeto que detecta. También puede configurar el método para detectar atributos extendidos.
Las acciones para la detección de usuarios de Active Directory se registran en el archivo adusrdis.log en la <InstallationPath>\LOGS
carpeta del servidor de sitio.
Para obtener más información sobre cómo configurar este método de detección, vea Configurar métodos de detección.
Microsoft Entra detección de usuarios
Use Microsoft Entra detección de usuarios para buscar en la suscripción de Microsoft Entra usuarios con una identidad en la nube moderna. Microsoft Entra detección de usuarios puede encontrar los atributos siguientes:
objectId
displayName
mail
mailNickname
onPremisesSecurityIdentifier
userPrincipalName
tenantID
onPremisesDomainName
onPremisesSamAccountName
onPremisesDistinguishedName
Este método admite la sincronización completa y diferencial de los atributos de usuario desde Microsoft Entra identificador. A continuación, esta información se puede usar a lo largo de los datos de detección que se recopilan de los otros métodos de detección.
Las acciones de Microsoft Entra detección de usuarios se registran en el archivo SMS_AZUREAD_DISCOVERY_AGENT.log del servidor de sitio de nivel superior de la jerarquía.
Para configurar Microsoft Entra detección de usuarios, consulte Configuración de Azure Services for Cloud Management. Para obtener información sobre cómo configurar este método de detección, vea Configurar Microsoft Entra detección de usuarios.
Microsoft Entra detección de grupos de usuarios
Puede detectar grupos de usuarios y miembros de esos grupos desde Microsoft Entra identificador. Microsoft Entra detección de grupos de usuarios puede encontrar los atributos siguientes:
objectId
displayName
mailNickname
onPremisesSecurityIdentifier
tenantID
Las acciones de Microsoft Entra detección de grupos de usuarios se registran en el archivo SMS_AZUREAD_DISCOVERY_AGENT.log del servidor de sitio de nivel superior de la jerarquía. Para obtener información sobre cómo configurar este método de detección, vea Configurar Microsoft Entra detección de grupos de usuarios.
Detección de latidos
Configurable: Sí
Habilitado de forma predeterminada: Sí
Cuentas que puede usar para ejecutar este método:
- Cuenta de equipo del servidor de sitio
La detección de latidos difiere de otros métodos de detección de Configuration Manager. Está habilitado de forma predeterminada y se ejecuta en cada cliente de equipo en lugar de en un servidor de sitio para crear un DDR. Para ayudar a mantener el registro de base de datos de Configuration Manager clientes, no deshabilite la detección de latidos. Además de mantener el registro de base de datos, este método puede forzar la detección de un equipo como nuevo registro de recursos. También puede volver a rellenar el registro de base de datos de un equipo que se eliminó de la base de datos.
La detección de latidos se ejecuta según una programación configurada para todos los clientes de la jerarquía. La programación predeterminada para la detección de latidos se establece en cada siete días. Si cambia el intervalo de detección de latidos, asegúrese de que se ejecuta con más frecuencia que la tarea de mantenimiento del sitio Eliminar datos de detección antiguos. Esta tarea elimina los registros de cliente inactivos de la base de datos del sitio. Puede configurar la tarea Eliminar datos de detección antiguos solo para sitios primarios.
También puede ejecutar manualmente la detección de latidos en un cliente específico. Ejecute el ciclo de recopilación de datos de detección en la pestaña Acción del panel de control Configuration Manager de un cliente.
Cuando se ejecuta la detección de latidos, crea un DDR que tiene la información actual del cliente. A continuación, el cliente copia este pequeño archivo en un punto de administración para que un sitio primario pueda procesarlo. El archivo tiene un tamaño de aproximadamente 1 KB y tiene la siguiente información:
Ubicación de red
nombre NetBIOS
Versión del agente cliente
Detalles del estado operativo
La detección de latidos es el único método de detección que proporciona detalles sobre el estado de instalación del cliente. Para ello, actualiza el atributo de cliente de recursos del sistema para establecer un valor igual a Sí.
Las acciones para la detección de latidos se registran en el cliente en el archivo InventoryAgent.log de la %Windir%\CCM\Logs
carpeta .
Para obtener más información sobre cómo configurar este método de detección, vea Configurar métodos de detección.
Detección de redes
Configurable: Sí
Habilitado de forma predeterminada: No
Cuentas que puede usar para ejecutar este método:
- Cuenta de equipo del servidor de sitio
Use este método para detectar la topología de la red y detectar los dispositivos de la red que tienen una dirección IP. La detección de redes busca en la red recursos habilitados para IP consultando los siguientes orígenes:
- Servidores que ejecutan una implementación de Microsoft de DHCP
- Cachés del Protocolo de resolución de direcciones (ARP) en enrutadores de red
- Dispositivos habilitados para SNMP
- Dominios de Active Directory
Para poder usar la detección de red, debe especificar el nivel de detección que se va a ejecutar. También puede configurar uno o varios mecanismos de detección que permiten que la detección de redes consulte los segmentos de red o los dispositivos. También puede configurar opciones que ayuden a controlar las acciones de detección en la red. Por último, defina una o varias programaciones para cuando se ejecute la detección de red.
Para que este método detecte correctamente un recurso, la detección de red debe identificar la dirección IP y la máscara de subred del recurso. Los métodos siguientes se usan para identificar la máscara de subred de un objeto:
Caché ARP del enrutador: La detección de redes consulta la caché ARP de un enrutador para buscar información de subred. Normalmente, los datos de una caché ARP de enrutador tienen un breve período de vida. Por lo tanto, cuando la detección de redes consulta la caché ARP, es posible que la memoria caché ARP ya no tenga información sobre el objeto solicitado.
DHCP: La detección de redes consulta cada servidor DHCP que especifique para detectar los dispositivos para los que el servidor DHCP ha proporcionado una concesión. La detección de redes solo admite servidores DHCP que ejecutan la implementación de MICROSOFT de DHCP.
Dispositivo SNMP: La detección de redes puede consultar directamente un dispositivo SNMP. Para que la detección de red consulte un dispositivo, el dispositivo debe tener instalado un agente SNMP local. Configure también la detección de red para usar el nombre de la comunidad que usa el agente SNMP.
Cuando la detección identifica un objeto direccionable por IP y puede determinar la máscara de subred del objeto, crea un DDR para ese objeto. Dado que diferentes tipos de dispositivos se conectan a la red, la detección de redes detecta recursos que no admiten el cliente Configuration Manager. Por ejemplo, los dispositivos que se pueden detectar pero no administrar incluyen impresoras y enrutadores.
La detección de red puede devolver varios atributos como parte del registro de detección que crea. Estos atributos incluyen:
nombre NetBIOS
Direcciones IP
Dominio de recursos
Roles del sistema
Nombre de la comunidad SNMP
Direcciones MAC
La actividad de detección de red se registra en el archivo Netdisc.log del InstallationPath>\Logs
servidor de sitio que ejecuta la detección.
Para obtener más información sobre cómo configurar este método de detección, vea Configurar métodos de detección.
Nota:
Las redes complejas y las conexiones de ancho de banda bajo pueden hacer que la detección de red se ejecute lentamente y genere tráfico de red significativo. Ejecute la detección de red solo cuando los otros métodos de detección no puedan encontrar los recursos que tiene que detectar. Por ejemplo, use la detección de redes para detectar equipos del grupo de trabajo. Otros métodos de detección no detectan equipos de grupo de trabajo.
Niveles de detección de red
Al configurar la detección de red, se especifica uno de los tres niveles de detección:
Nivel de detección | Detalles |
---|---|
Topología | Este nivel detecta enrutadores y subredes, pero no identifica una máscara de subred para los objetos. |
Topología y cliente | Además de la topología, este nivel detecta clientes potenciales como equipos y recursos como impresoras y enrutadores. Este nivel de detección intenta identificar la máscara de subred de los objetos que encuentra. |
Topología, cliente y sistema operativo cliente | Además de la topología y los clientes potenciales, este nivel intenta detectar el nombre y la versión del sistema operativo del equipo. En este nivel se usan llamadas del Explorador de Windows y redes de Windows. |
Con cada nivel incremental, la detección de redes aumenta su actividad y el uso del ancho de banda de red. Tenga en cuenta el tráfico de red que se puede generar antes de habilitar todos los aspectos de la detección de red.
Por ejemplo, cuando se usa la detección de red por primera vez, puede empezar con solo el nivel de topología para identificar la infraestructura de red. A continuación, vuelva a configurar la detección de red para detectar objetos y sus sistemas operativos de dispositivo. También puede configurar opciones que limiten la detección de red a un intervalo específico de segmentos de red. De este modo, detectará objetos en las ubicaciones de red que necesite y evitará el tráfico de red innecesario. Este proceso también permite detectar objetos de enrutadores perimetrales o de fuera de la red.
Opciones de detección de redes
Para habilitar la detección de redes para buscar dispositivos direccionables IP, configure una o varias de estas opciones.
Nota:
La detección de red se ejecuta en el contexto de la cuenta de equipo del servidor de sitio que ejecuta la detección. Si la cuenta de equipo no tiene permisos para un dominio que no es de confianza, las configuraciones de dominio y servidor DHCP pueden no detectar recursos.
DHCP
Especifique cada servidor DHCP al que desea consultar la detección de red. La detección de redes solo admite servidores DHCP que ejecutan la implementación de MICROSOFT de DHCP.
La detección de redes recupera información mediante llamadas a procedimientos remotos a la base de datos en el servidor DHCP.
La detección de redes puede consultar los servidores DHCP de 32 y 64 bits para obtener una lista de dispositivos registrados con cada servidor.
Para que la detección de red consulte correctamente un servidor DHCP, la cuenta de equipo del servidor que ejecuta la detección debe ser miembro del grupo Usuarios DHCP del servidor DHCP. Por ejemplo, este nivel de acceso existe cuando se cumple una de las siguientes instrucciones.
El servidor DHCP especificado es el servidor DHCP del servidor que ejecuta la detección.
El equipo que ejecuta la detección y el servidor DHCP están en el mismo dominio.
Existe una confianza bidireccional entre el equipo que ejecuta la detección y el servidor DHCP.
El servidor de sitio es miembro del grupo Usuarios DHCP.
Cuando la detección de redes enumera un servidor DHCP, no siempre detecta direcciones IP estáticas. La detección de redes no encuentra direcciones IP que formen parte de un intervalo excluido de direcciones IP en el servidor DHCP. Tampoco detecta direcciones IP reservadas para la asignación manual.
Dominios
Especifique cada dominio que desea que se consulte la detección de red.
La cuenta de equipo del servidor de sitio que ejecuta la detección debe tener permisos para leer los controladores de dominio de cada dominio especificado.
Para detectar equipos del dominio local, debe habilitar el servicio Explorador de equipos en al menos un equipo. Este equipo debe estar en la misma subred que el servidor de sitio que ejecuta la detección de red.
La detección de redes puede detectar cualquier equipo que pueda ver desde el servidor de sitio al examinar la red.
La detección de redes recupera la dirección IP. A continuación, usa una solicitud de eco de Protocolo de mensajes de control de Internet (ICMP) para hacer ping a cada dispositivo que encuentre. El comando ping ayuda a determinar qué equipos están activos actualmente.
Dispositivos SNMP
Especifique cada dispositivo SNMP que quiera consultar en la detección de red.
La detección de red obtiene el
ipNetToMediaTable
valor de cualquier dispositivo SNMP que responda a la consulta. Este valor devuelve matrices de direcciones IP que son equipos cliente u otros recursos, como impresoras, enrutadores u otros dispositivos direccionables ip.Para consultar un dispositivo, debe especificar la dirección IP o el nombre netBIOS del dispositivo.
Configure la detección de red para usar el nombre de la comunidad del dispositivo o el dispositivo rechaza la consulta basada en SNMP.
Limitación de la detección de redes
Cuando la detección de redes consulta un dispositivo SNMP en el perímetro de la red, puede identificar información sobre subredes y dispositivos SNMP que están fuera de la red inmediata. Use la siguiente información para limitar la detección de red configurando los dispositivos SNMP con los que se puede comunicar la detección y especificando los segmentos de red que se van a consultar.
Subredes
Configure las subredes que consulta la detección de red cuando usa las opciones SNMP y DHCP. Estas dos opciones solo buscan en las subredes habilitadas.
Por ejemplo, una solicitud DHCP puede devolver dispositivos de ubicaciones de toda la red. Si desea detectar solo dispositivos en una subred específica, especifique y habilite esa subred específica en la pestaña Subredes del cuadro de diálogo Propiedades de detección de redes. Al especificar y habilitar subredes, se limitan las futuras tareas de detección de DHCP y SNMP a esas subredes.
Nota:
Las configuraciones de subred no limitan los objetos que detecta la opción Detección de dominios .
Nombres de comunidad SNMP
Para permitir que la detección de red consulte correctamente un dispositivo SNMP, configure la detección de red con el nombre de la comunidad del dispositivo. Si la detección de red no está configurada mediante el nombre de la comunidad del dispositivo SNMP, el dispositivo rechaza la consulta.
Máximo de saltos
Al configurar el número máximo de saltos de enrutador, se limita el número de segmentos de red y enrutadores que la detección de red puede consultar mediante SNMP.
El número de saltos que configure limita el número de dispositivos y segmentos de red que la detección de red puede consultar.
Por ejemplo, una detección de solo topología con saltos de enrutador 0 (cero) detecta la subred en la que reside el servidor de origen. Incluye todos los enrutadores de esa subred.
En el diagrama siguiente se muestra lo que encuentra una consulta de detección de red solo de topología cuando se ejecuta en el servidor 1 con 0 saltos de enrutador especificados: subred D y enrutador 1.
En el diagrama siguiente se muestra lo que encuentra una topología y una consulta de detección de red de cliente cuando se ejecuta en el servidor 1 con 0 saltos de enrutador especificados: subred D y enrutador 1, y todos los clientes potenciales de la subred D.
Para obtener una mejor idea de cómo más saltos de enrutador pueden aumentar la cantidad de recursos de red que se detectan, tenga en cuenta la siguiente red:
La ejecución de una detección de red de solo topología desde el servidor 1 con un salto de enrutador detecta las siguientes entidades:
Enrutador 1 y subred 10.1.10.0 (se encuentra con saltos cero)
Subredes 10.1.20.0 y 10.1.30.0, subred A y enrutador 2 (se encuentran en el primer salto)
Advertencia
Cada aumento en el número de saltos de enrutador puede aumentar significativamente el número de recursos detectables y aumentar el ancho de banda de red que usa la detección de red.
Detección de servidores
Configurable: No
Además de los métodos de detección configurables por el usuario, Configuration Manager usa un proceso denominado Detección de servidores (SMS_WINNT_SERVER_DISCOVERY_AGENT
). Este método de detección crea registros de recursos para equipos que son sistemas de sitio, como un equipo configurado como punto de administración.
Características comunes de la detección de grupos, la detección de sistemas y la detección de usuarios de Active Directory
En esta sección se proporciona información sobre las características que son comunes a los siguientes métodos de detección:
Detección de grupos de Active Directory
Detección del sistema de Active Directory
Detección de usuarios de Active Directory
Nota:
La información de esta sección no se aplica a la detección de bosques de Active Directory.
Estos tres métodos de detección son similares en la configuración y la operación. Pueden detectar equipos, usuarios e información sobre pertenencias a grupos de recursos almacenados en Servicios de dominio de Active Directory. El proceso de detección lo administra un agente de detección. El agente se ejecuta en el servidor de sitio en cada sitio donde la detección está configurada para ejecutarse. Puede configurar cada uno de estos métodos de detección para buscar en una o varias ubicaciones de Active Directory como instancias de ubicación en el bosque local o bosques remotos.
Cuando la detección busca recursos en un bosque que no es de confianza, el agente de detección debe poder resolver lo siguiente para que se realice correctamente:
Para detectar un recurso de equipo mediante la detección del sistema de Active Directory, el agente de detección debe poder resolver el FQDN del recurso. Si no puede resolver el FQDN, intenta resolver el recurso por su nombre NetBIOS.
Para detectar un recurso de usuario o grupo mediante la detección de usuarios de Active Directory o la detección de grupos de Active Directory, el agente de detección debe poder resolver el FQDN del nombre del controlador de dominio que especifique para la ubicación de Active Directory.
Para cada ubicación que especifique, puede configurar opciones de búsqueda individuales, como habilitar una búsqueda recursiva de los contenedores secundarios de Active Directory de la ubicación. También puede configurar una cuenta única para usarla cuando busque en esa ubicación. Esta cuenta proporciona flexibilidad para configurar un método de detección en un sitio para buscar varias ubicaciones de Active Directory en varios bosques. No es necesario configurar una sola cuenta que tenga permisos para todas las ubicaciones.
Cuando cada uno de estos tres métodos de detección se ejecuta en un sitio específico, el Configuration Manager servidor de sitio de ese sitio se pone en contacto con el controlador de dominio más cercano del bosque de Active Directory especificado para buscar recursos de Active Directory. El dominio y el bosque pueden estar en cualquier modo de Active Directory compatible. La cuenta que asigne a cada instancia de ubicación debe tener permiso de acceso de lectura a las ubicaciones de Active Directory especificadas.
La detección busca objetos en las ubicaciones especificadas y, a continuación, intenta recopilar información sobre esos objetos. Se crea un DDR cuando se puede identificar suficiente información sobre un recurso. La información necesaria varía en función del método de detección que se use.
Si configura el mismo método de detección para que se ejecute en diferentes sitios de Configuration Manager para aprovechar las ventajas de consultar servidores locales de Active Directory, puede configurar cada sitio con un conjunto único de opciones de detección. Dado que los datos de detección se comparten con cada sitio de la jerarquía, evite la superposición entre estas configuraciones para detectar de forma eficaz cada recurso una sola vez.
Para entornos más pequeños, considere la posibilidad de ejecutar cada método de detección en un solo sitio de la jerarquía. Esta configuración reduce la sobrecarga administrativa y la posibilidad de que varias acciones de detección vuelvan a detectar los mismos recursos. Al minimizar el número de sitios que ejecutan la detección, se reduce el ancho de banda de red general que usa la detección. También puede reducir el número total de DDR que se crean y que deben procesar los servidores de sitio.
Muchas de las configuraciones del método de detección se explican por sí mismas. Use las secciones siguientes para obtener más información sobre las opciones de detección que podrían requerir información adicional antes de configurarlas.
Las siguientes opciones están disponibles para su uso con varios métodos de detección de Active Directory:
Detección diferencial
Disponible para:
Detección de grupos de Active Directory
Detección del sistema de Active Directory
Detección de usuarios de Active Directory
La detección diferencial no es un método de detección independiente, sino una opción disponible para los métodos de detección aplicables. La detección diferencial busca en atributos específicos de Active Directory los cambios realizados desde el último ciclo de detección completo del método de detección aplicable. Los cambios de atributo se envían a la base de datos Configuration Manager para actualizar el registro de detección del recurso.
De forma predeterminada, la detección diferencial se ejecuta en un ciclo de cinco minutos. Esta programación es mucho más frecuente que la programación típica para un ciclo de detección completo. Este ciclo frecuente es posible porque la detección diferencial usa menos recursos de servidor de sitio y red que un ciclo de detección completo. Al usar la detección diferencial, puede reducir la frecuencia del ciclo de detección completo para ese método de detección.
Los siguientes son los cambios más comunes que detecta la detección diferencial:
Nuevos equipos o usuarios agregados a Active Directory
Cambios en la información básica del equipo y del usuario
Nuevos equipos o usuarios que se agregan a un grupo
Equipos o usuarios que se quitan de un grupo
Cambios en los objetos de grupo del sistema
Aunque la detección diferencial puede detectar nuevos recursos y cambios en la pertenencia a grupos, no puede detectar cuándo se ha eliminado un recurso de Active Directory. Las DDR creadas por la detección diferencial se procesan de forma similar a las DDR creadas por un ciclo de detección completo.
Configure la detección diferencial en la pestaña Programación de sondeo en las propiedades de cada método de detección.
Filtrar registros de equipos obsoletos por inicio de sesión de dominio
Disponible para:
Detección de grupos de Active Directory
Detección del sistema de Active Directory
Puede configurar la detección para excluir equipos con un registro de equipo obsoleto. Esta exclusión se basa en el último inicio de sesión de dominio del equipo. Cuando esta opción está habilitada, la detección del sistema de Active Directory evalúa cada equipo que identifica. La detección de grupos de Active Directory evalúa cada equipo que es miembro de un grupo que se detecta.
Para usar esta opción:
Los equipos deben configurarse para actualizar el
lastLogonTimeStamp
atributo en Servicios de dominio de Active Directory.El nivel funcional del dominio de Active Directory debe establecerse en Windows Server 2003 o posterior.
Al configurar la hora posterior al último inicio de sesión que desea usar para esta configuración, tenga en cuenta el intervalo de replicación entre controladores de dominio.
El filtrado se configura en la pestaña Opción de los cuadros de diálogo Propiedades de detección de sistemas de Active Directory y Propiedades de detección de grupos de Active Directory. Elija Detectar solo los equipos que han iniciado sesión en un dominio en un período de tiempo determinado.
Advertencia
Al configurar este filtro y filtrar registros obsoletos por contraseña del equipo, la detección excluye los equipos que cumplen los criterios de cualquiera de los filtros.
Filtrar registros obsoletos por contraseña del equipo
Disponible para:
Detección de grupos de Active Directory
Detección del sistema de Active Directory
Puede configurar la detección para excluir equipos con un registro de equipo obsoleto. Esta exclusión se basa en la última actualización de contraseña de la cuenta de equipo por parte del equipo. Cuando esta opción está habilitada, la detección del sistema de Active Directory evalúa cada equipo que identifica. La detección de grupos de Active Directory evalúa cada equipo que es miembro de un grupo que se detecta.
Para usar esta opción:
- Los equipos deben configurarse para actualizar el
pwdLastSet
atributo en Servicios de dominio de Active Directory.
Al configurar esta opción, tenga en cuenta el intervalo de actualizaciones de este atributo. Tenga en cuenta también el intervalo de replicación entre controladores de dominio.
El filtrado se configura en la pestaña Opción de los cuadros de diálogo Propiedades de detección de sistemas de Active Directory y Propiedades de detección de grupos de Active Directory. Elija Detectar solo los equipos que han actualizado la contraseña de su cuenta de equipo en un período de tiempo determinado.
Advertencia
Al configurar este filtro y filtrar registros obsoletos por inicio de sesión de dominio, la detección excluye los equipos que cumplen los criterios de cualquiera de los filtros.
Búsqueda de atributos personalizados de Active Directory
Disponible para:
Detección del sistema de Active Directory
Detección de usuarios de Active Directory
Cada método de detección admite una lista única de atributos de Active Directory que se pueden detectar.
Puede ver y configurar la lista de atributos personalizados en la pestaña Atributos de Active Directory en los cuadros de diálogo Propiedades de detección de sistemas de Active Directory y Propiedades de detección de usuarios de Active Directory.
Siguientes pasos
Seleccione los métodos de detección que se usarán para Configuration Manager