Planen der Ermittlung in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Bei der System Center 2012 Configuration Manager-Ermittlung werden Computer und Benutzerressourcen identifiziert, die Sie mit Configuration Manager verwalten können. Dabei kann auch die Netzwerkinfrastruktur in der Umgebung ermittelt werden. Bei der Ermittlung wird für jedes ermittelte Objekt ein Discovery Data Record (DDR) erstellt. Diese Informationen werden in der Configuration Manager-Datenbank gespeichert.
Ist die Ermittlung einer Ressource erfolgreich, werden Informationen über diese Ressource in einer Datei gespeichert, die als Discovery Data Record (DDR) bezeichnet wird. DDRs werden wiederum von Standortservern verarbeitet und in die Configuration Manager-Datenbank eingegeben, wo sie per Datenbankreplikation an allen Standorten repliziert werden. Durch die Replikation werden Ermittlungsdaten an jedem Standort in der Hierarchie verfügbar gemacht, unabhängig davon, wo die Daten ermittelt oder verarbeitet wurden.
Mithilfe von Ermittlungsinformationen können Sie benutzerdefinierte Abfragen und Sammlungen erstellen, in denen Ressourcen für Verwaltungstasks wie die Zuweisung von benutzerdefinierten Clienteinstellungen und Softwarebereitstellungen logisch gruppiert werden. Der Configuration Manager-Client kann erst nach der Ermittlung von Computern mithilfe der Clientpushinstallation auf Geräten installiert werden.
Anhand der folgenden Abschnitte können Sie die Ermittlung in Configuration Manager planen.
Ermittlungsmethoden in Configuration Manager
Auswählen geeigneter Ermittlungsmethoden
Informationen zu den Methoden für die Active Directory-Systemermittlung, -Benutzerermittlung und -Gruppenermittlung
Gemeinsame Ermittlungsoptionen
Active Directory-Systemermittlung
Active Directory-Benutzerermittlung
Active Directory-Gruppenermittlung
Informationen zur Active Directory-Gesamtstrukturermittlung
Informationen zur Deltaermittlung
Informationen zur Frequenzermittlung
Informationen zur Netzwerkermittlung
Informationen zu Discovery Data Records
Auswählen des Ausführungsorts der Ermittlung
Bewährte Methoden für die Ermittlung
Neuheiten in Configuration Manager
Hinweis |
---|
Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager. |
In System Center 2012 Configuration Manager gibt es hinsichtlich der Ermittlung die folgenden Neuerungen:
Jeder Discovery Data Record wird nur einmal an einem primären Standort oder an einem Standort der zentralen Verwaltung verarbeitet und in die Datenbank eingegeben. Danach wird er ohne weitere Verarbeitung gelöscht.
Die in die Datenbank eines Standorts eingegebenen Ermittlungsinformationen werden mithilfe der Configuration Manager-Datenbankreplikation für alle Standorte in der Hierarchie freigegeben.
Die Active Directory-Gesamtstrukturermittlung ist eine neue Ermittlungsmethode, mit der Subnetze und Active Directory-Standorte ermittelt und einer Hierarchie als Grenzen hinzugefügt werden können.
Die Active Directory-Systemgruppenermittlung wurde entfernt.
Die Active Directory-Sicherheitsgruppenermittlung wurde in Active Directory-Gruppenermittlung umbenannt und wird zur Ermittlung der Gruppenmitgliedschaften von Ressourcen verwendet.
Von der Active Directory-Systemermittlung und der Active Directory-Gruppenermittlung werden Optionen unterstützt, mit denen veraltete Computerdatensätze aus der Ermittlung herausgefiltert werden.
Die Active Directory-Deltaermittlung wird von der Active Directory-Systemermittlung, der Active Directory-Benutzerermittlung und der Active Directory-Gruppenermittlung unterstützt. Die Deltaermittlung wurde seit Configuration Manager 2007 R3 verbessert. Wenn Computer oder Benutzer einer Gruppe hinzugefügt bzw. daraus entfernt werden, kann dies jetzt von der Deltaermittlung erkannt werden.
Ermittlungsmethoden in Configuration Manager
Machen Sie sich damit vertraut, was von den einzelnen Ermittlungsmethoden ermittelt werden kann, bevor Sie Methoden für Configuration Manager aktivieren. Bei der Ermittlung kann starker Netzwerkdatenverkehr entstehen, und bei der Verarbeitung der resultierenden DDRs werden gegebenenfalls erhebliche CPU-Ressourcen in Anspruch genommen. Sie sollten sich daher auf die Ermittlungsmethoden beschränken, die zur Erreichung Ihrer Ziele erforderlich sind. Möglicherweise genügen ein oder zwei Ermittlungsmethoden für Ihre Zwecke. Bei Bedarf können Sie jederzeit weitere Methoden Schritt für Schritt hinzufügen, um die Ermittlung in Ihrer Umgebung auszuweiten.
In der folgenden Tabelle werden die sechs konfigurierbaren Ermittlungsmethoden im Einzelnen vorgestellt, um Ihnen die Planung zu erleichtern.
Ermittlungsmethode |
Standardmäßig aktiviert |
Konten, von denen die Ermittlung ausgeführt wird |
Weitere Informationen |
---|---|---|---|
Active Directory-Gesamtstrukturermittlung |
Nein |
Konto für Active Directory-Gesamtstrukturermittlung oder Computerkonto des Standortservers |
|
Active Directory-Systemermittlung |
Nein |
Konto für Active Directory-Systemermittlung oder Computerkonto des Standortservers |
|
Active Directory-Benutzerermittlung |
Nein |
Konto für Active Directory-Benutzerermittlung oder Computerkonto des Standortservers |
|
Active Directory-Gruppenermittlung |
Nein |
Konto für Active Directory-Gruppenermittlung oder Computerkonto des Standortservers |
|
Frequenzermittlung |
Ja |
Computerkonto des Clients |
|
Netzwerkermittlung |
Nein |
Computerkonto auf dem Standortserver |
|
Von allen konfigurierbaren Ermittlungsmethoden wird ein Zeitplan für die Ausführung der Ermittlung unterstützt. Mit Ausnahme der Frequenzermittlung können Sie jede der Methoden so konfigurieren, dass bestimmte Orte nach Ressourcen durchsucht und der Configuration Manager-Datenbank hinzugefügt werden. Nach der Ermittlung können Sie die von einer Ermittlungsmethode durchsuchten Orte ändern. Diese neuen Orte werden bei der nächsten Ausführung der Ermittlung berücksichtigt. Allerdings ist die nächste Ausführung der Ermittlungsmethode nicht auf die neuen Orte beschränkt. Es wird vielmehr immer versucht, Informationen an allen gegenwärtig konfigurierten Orten zu ermitteln.
Die Frequenzermittlung ist als einzige Ermittlungsmethode standardmäßig aktiviert. Es wird empfohlen, die Frequenzermittlung nicht zu deaktivieren, um den Datenbankdatensatz von Configuration Manager-Clients aufrechtzuerhalten.
Zusätzlich zu diesen Ermittlungsmethoden wird von Configuration Manager auch ein als „Serverermittlung“ (SMS_WINNT_SERVER_DISCOVERY_AGENT) bezeichneter Prozess verwendet. Bei dieser Ermittlungsmethode werden Ressourceneinträge für Computer, bei denen es sich um Standortsysteme handelt, erstellt. Dazu gehören beispielsweise Computer, die als Verwaltungspunkte konfiguriert sind. Diese Ermittlungsmethode wird täglich ausgeführt und kann nicht konfiguriert werden.
Auswählen geeigneter Ermittlungsmethoden
Sie müssen geeignete Ermittlungsmethoden aktivieren, damit potenzielle Configuration Manager-Clientcomputer oder Benutzerressourcen ermittelt werden können. Es ist möglich, verschiedene Ermittlungsmethoden miteinander zu kombinieren, um verschiedene Ressourcen zu finden und zusätzliche Informationen zu diesen Ressourcen zu ermitteln. Durch die verwendeten Ermittlungsmethoden wird bestimmt, welcher Ressourcentyp ermittelt wird und welche Configuration Manager-Dienste und -Agents im Ermittlungsprozess eingesetzt werden. Auch die Art von Informationen, die Sie für Ressourcen ermitteln können, wird durch die Ermittlungsmethoden bestimmt.
Computer ermitteln
Zur Ermittlung von Computern können Sie die Active Directory-Systemermittlung oder die Netzwerkermittlung verwenden.
Wenn Sie beispielsweise Ressourcen ermitteln möchten, mit denen der Configuration Manager-Client vor dem Ausführen der Clientpushinstallation installiert werden kann, könnten Sie die Active Directory-Systemermittlung ausführen. Alternativ könnten Sie die Netzwerkermittlung ausführen und mithilfe ihrer Optionen das Betriebssystem der Ressourcen ermitteln (für die spätere Clientpushinstallation erforderlich). Bei der Active Directory-Systemermittlung ermitteln Sie aber nicht nur die Ressource, sondern auch grundlegende Informationen. Über die Active Directory-Domänendienste können Sie zudem erweiterte Informationen ermitteln. Diese Informationen können sich beim Erstellen komplexer Abfragen und Sammlungen, mit denen Clienteinstellungen zugewiesen oder Inhalte bereitgestellt werden, als nützlich erweisen. Über die Netzwerkermittlung hingegen erhalten Sie Informationen über die Netzwerktopologie, die von keiner anderen Ermittlungsmethode geliefert werden. Allerdings werden von der Netzwerkermittlung keinerlei Informationen über die Active Directory-Umgebung bereitgestellt.
Es ist auch möglich, nur die Frequenzermittlung zu verwenden, um die Ermittlung von Clients zu erzwingen, die Sie mit anderen Methoden als der Clientpushinstallation installiert haben. Im Gegensatz zu anderen Ermittlungsmethoden können bei der Frequenzermittlung jedoch nur Computer mit einem aktiven Configuration Manager-Client ermittelt werden. Die zurückgegebenen Informationen sind zudem beschränkt. Diese Ermittlung ist zur Wartung eines vorhandenen Datenbankdatensatzes vorgesehen, und nicht als Grundlage für diesen Datensatz. Die von der Frequenzermittlung bereitgestellten Informationen reichen möglicherweise nicht aus, um komplexe Abfragen oder Sammlungen zu erstellen.
Wenn Sie mithilfe der Active Directory-Gruppenermittlung die Mitgliedschaft einer bestimmten Gruppe ermitteln, können Sie beschränkte System- oder Computerinformationen ermitteln. Dies stellt zwar keinen Ersatz für eine vollständige Ermittlung von Computern dar, kann aber grundlegende Informationen liefern. Diese grundlegenden Informationen sind für die Clientpushinstallation unzureichend.
Benutzer ermitteln
Zur Ermittlung von Informationen über Benutzer können Sie die Active Directory-Benutzerermittlung verwenden. Bei dieser Methode, die viele Ähnlichkeiten mit der Active Directory-Systemermittlung hat, werden Benutzer über Active Directory ermittelt und neben erweiterten Active Directory-Informationen auch grundlegende Informationen geliefert. Mithilfe dieser Informationen können Sie ähnlich wie für Computer komplexe Abfragen und Sammlungen erstellen.
Gruppeninformationen ermitteln
Zur Ermittlung von Informationen über Gruppen und Gruppenmitgliedschaften können Sie die Active Directory-Gruppenermittlung verwenden. Bei dieser Ermittlungsmethode werden Ressourceneinträge für Sicherheitsgruppen erstellt.
Mit dieser Methode können Sie eine bestimmte Active Directory-Gruppe durchsuchen, um die Mitglieder dieser Gruppe sowie alle in dieser Gruppe geschachtelten Gruppen zu identifizieren. Außerdem eignet sich diese Methode zum Durchsuchen eines Active Directory-Orts nach Gruppen sowie zum rekursiven Durchsuchen aller untergeordneten Container dieses Orts in den Active Directory-Domänendiensten.
Mit dieser Ermittlungsmethode kann auch die Mitgliedschaft von Verteilergruppen durchsucht werden. Dabei können die Gruppenbeziehungen von Benutzern und Computern identifiziert werden.
Beim Ermitteln einer Gruppe können Sie auch in begrenztem Umfang Informationen über die Mitglieder dieser Gruppe in Erfahrung bringen. Dies stellt keinen Ersatz für die Active Directory-Systemermittlung oder -Benutzerermittlung dar. Die ermittelten Informationen eignen sich in der Regel nicht als Grundlage für komplexe Abfragen, Sammlungen oder eine Clientpushinstallation.
Infrastruktur ermitteln
Für die Ermittlung der Netzwerkinfrastruktur stehen zwei Methoden zur Auswahl: die Active Directory-Gesamtstrukturermittlung und die Netzwerkermittlung.
Mit der Active Directory-Gesamtstrukturermittlung können Sie eine Active Directory-Gesamtstruktur nach Informationen über Subnetze und Active Directory-Standortkonfigurationen durchsuchen. Diese Konfigurationen können dann automatisch in Configuration Manager als Grenzpositionen eingegeben werden.
Soll die Netzwerktopologie ermittelt werden, verwenden Sie die Netzwerkermittlung. Von anderen Ermittlungsmethoden werden zwar Informationen in Bezug auf die Active Directory-Domänendienste zurückgegeben, und der aktuelle Netzwerkort eines Clients kann identifiziert werden, aber es werden keine Infrastrukturinformationen auf Basis der Subnetze und der Routertopologie eines Netzwerks bereitgestellt.
Informationen zu den Methoden für die Active Directory-Systemermittlung, -Benutzerermittlung und -Gruppenermittlung
Dieser Abschnitt enthält Informationen zu den folgenden Ermittlungsmethoden:
Active Directory-Systemermittlung
Active Directory-Benutzerermittlung
Active Directory-Gruppenermittlung
Hinweis |
---|
Die Informationen in diesem Abschnitt gelten nicht für die Active Directory-Gesamtstrukturermittlung. |
Diese drei Ermittlungsmethoden weisen Ähnlichkeiten in Bezug auf die Konfiguration und die Vorgänge auf. Mit ihnen können Computer, Benutzer und Informationen über die Gruppenmitgliedschaften von Ressourcen, die in den Active Directory-Domänendiensten gespeichert sind, ermittelt werden. Der Ermittlungsprozess wird von einem Ermittlungs-Agent verwaltet. Dieser wird an jedem Standort, an dem die Ermittlung konfigurationsgemäß ausgeführt werden soll, auf dem Standortserver ausgeführt. Sie können für jede dieser Ermittlungsmethoden festlegen, dass mindestens ein Active Directory-Ort als Ortsinstanz in der lokalen Gesamtstruktur oder in Remotegesamtstrukturen durchsucht werden soll.
Beim Durchsuchen einer als nicht vertrauenswürdig eingestuften Gesamtstruktur nach Ressourcen muss vom Ermittlungs-Agent Folgendes aufgelöst werden können:
Der FQDN der Ressource muss vom Ermittlungs-Agent aufgelöst werden können, um eine Computerressource mit der Active Directory-Systemermittlung zu ermitteln. Ist dies nicht möglich, wird versucht, die Ressource anhand ihres NetBIOS-Namens aufzulösen.
Der FQDN des von Ihnen für den Active Directory-Ort angegebenen Domänencontrollernamens muss vom Ermittlungs-Agent aufgelöst werden können, um einen Benutzer oder eine Benutzergruppe mit der Active Directory-Benutzerermittlung oder der Active Directory-Gruppenermittlung zu ermitteln.
Sie können für jede von Ihnen angegebene Ortsinstanz individuelle Suchoptionen konfigurieren. Beispielsweise können Sie das rekursive Durchsuchen der untergeordneten Active Directory-Container an diesen Orten aktivieren. Außerdem können Sie ein eindeutiges Konto konfigurieren, das beim Durchsuchen dieser Ortsinstanz verwendet werden soll. Sie haben somit die flexible Möglichkeit, eine Ermittlungsmethode an einem Standort zu konfigurieren und zum Durchsuchen mehrerer Active Directory-Orte in vielen Gesamtstrukturen anzuweisen, ohne ein einzelnes Konto mit Berechtigungen für sämtliche Orte konfigurieren zu müssen.
Bei der Ausführung dieser drei Ermittlungsmethoden an einem bestimmten Standort wird vom Configuration Manager-Standortserver an diesem Standort eine Verbindung mit dem nächstgelegenen Domänencontroller in der angegebenen Active Directory-Gesamtstruktur hergestellt, um Active Directory-Ressourcen zu suchen. Die Domäne und die Gesamtstruktur können sich in einem beliebigen unterstützten Active Directory-Modus befinden. Das Konto, das Sie jeder Ortsinstanz zuweisen, muss über die Berechtigung Lesen für die angegebenen Active Directory-Orte verfügen. Bei der Ermittlung werden zunächst die angegebenen Orte nach Objekten durchsucht. Anschließend wird versucht, Informationen über diese Objekte zu sammeln. Falls genügend Informationen zu einer Ressource identifiziert werden können, wird ein DDR erstellt. Welche Informationen erforderlich sind, hängt jeweils von der verwendeten Ermittlungsmethode ab.
Sie können die gleiche Ermittlungsmethode für die Ausführung an mehreren Configuration Manager-Standorten konfigurieren, um den Vorteil von Abfragen an die lokalen Active Directory-Server zu nutzen. In diesem Fall können Sie jeden Standort mit einem eindeutigen Satz von Ermittlungsoptionen konfigurieren. Da die Ermittlungsdaten für alle Standorte in der Hierarchie freigegeben werden, sollten Sie ein Überlappen zwischen diesen Konfigurationen vermeiden, um jede Ressource effektiv ein Mal ermitteln zu können. In kleineren Umgebungen können Sie erwägen, jede Ermittlungsmethode nur an einem einzigen Standort in der Hierarchie auszuführen. So können Sie den Verwaltungsaufwand gering halten und die Wahrscheinlichkeit, dass die gleichen Ressourcen von mehreren Ermittlungsaktionen ermittelt werden, senken. Wenn Sie die Anzahl von Standorten, an denen die Ermittlung ausgeführt wird, so gering wie möglich halten, können Sie dadurch die gesamte Netzwerkbandbreite, die von der Ermittlung verwendet wird, sowie die Gesamtzahl von DDRs, die von den Standortservern erstellt und verarbeitet werden müssen, senken.
Viele Konfigurationen von Ermittlungsmethoden sind selbsterklärend. In den nachfolgenden Abschnitten finden Sie weitere Informationen, die Sie möglicherweise benötigen, bevor Sie sie die entsprechenden Ermittlungsoptionen konfigurieren.
Gemeinsame Ermittlungsoptionen
In der folgenden Tabelle sind die Konfigurationsoptionen, die bei mehreren Active Directory-Ermittlungsmethoden verfügbar sind, aufgeführt.
Legende: |
√ = Unterstützt |
Ø = Nicht unterstützt |
Ermittlungsoption |
Active Directory-Systemermittlung |
Active Directory-Benutzerermittlung |
Active Directory-Gruppenermittlung |
Details |
||
---|---|---|---|---|---|---|
Deltaermittlung |
√ |
√ |
√ |
Die Deltaermittlung ist eine Option, die für alle Active Directory-Ermittlungsmethoden mit Ausnahme der Active Directory-Gesamtstrukturermittlung verfügbar ist. Sie kann von Configuration Manager verwendet werden, um die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) auf bestimmte Attribute hin zu durchsuchen, die sich seit dem letzten vollständigen Ermittlungszyklus der Ermittlungsmethode geändert haben. Für die Suche nach neuen Ressourcen durch die Deltaermittlung können Sie ein kurzes Intervall konfigurieren, da die Leistung des Standortservers durch eine Ermittlung ausschließlich neuer Ressourcen weniger beeinträchtigt wird als durch einen vollständigen Ermittlungszyklus. Von der Deltaermittlung können die folgenden neuen Ressourcentypen erkannt werden:
Wenn eine Ressource aus den Active Directory-Domänendiensten gelöscht wurde, kann dies von der Deltaermittlung nicht erkannt werden. Sie müssen einen vollständigen Ermittlungszyklus ausführen, damit diese Änderung erkannt wird. DDRs für Objekte, die von der Deltaermittlung ermittelt werden, werden wie von einem vollständigen Ermittlungszyklus erstellte DDRs verarbeitet. Die Deltaermittlung wird in den Eigenschaften einer Ermittlungsmethode auf der Registerkarte Abfragezeitplan konfiguriert. |
||
Filtern veralteter Computerdatensätze bei der Domänenanmeldung |
√ |
Ø |
√ |
Sie können die Ermittlung so konfigurieren, dass veraltete Computerdatensätze auf Basis der letzten Domänenanmeldung des Computers von der Ermittlung ausgeschlossen werden. Wenn diese Option aktiviert ist, wird jeder identifizierte Computer von der Active Directory-Systemermittlung ausgewertet. Von der Active Directory-Gruppenermittlung wird jeder Computer ausgewertet, der Mitglied in einer ermittelten Gruppe ist. Zum Verwenden dieser Option ist Folgendes erforderlich:
Berücksichtigen Sie das Intervall der Replikation zwischen Domänencontrollern, wenn Sie die Zeit nach der letzten Anmeldung konfigurieren. Konfigurieren Sie das Filtern auf der Registerkarte Option sowohl im Dialogfeld Eigenschaften der Active Directory-Systemermittlung als auch im Dialogfeld Eigenschaften der Active Directory-Gruppenermittlung, indem Sie die Option Nur Computer ermitteln, die in einem bestimmten Zeitraum bei einer Domäne angemeldet waren auswählen.
|
||
Filtern veralteter Datensätze nach Computerkennwort |
√ |
Ø |
√ |
Sie können die Ermittlung so konfigurieren, dass veraltete Computerdatensätze auf Basis der letzten Aktualisierung des Computerkontokennworts von der Ermittlung ausgeschlossen werden. Wenn diese Option aktiviert ist, wird jeder identifizierte Computer von der Active Directory-Systemermittlung ausgewertet. Von der Active Directory-Gruppenermittlung wird jeder Computer ausgewertet, der Mitglied in einer ermittelten Gruppe ist. Zum Verwenden dieser Option ist Folgendes erforderlich:
Berücksichtigen Sie das Updateintervall des Attributs sowie das Intervall der Replikation zwischen Domänencontrollern, wenn Sie diese Option konfigurieren. Konfigurieren Sie das Filtern auf der Registerkarte Option sowohl im Dialogfeld Eigenschaften der Active Directory-Systemermittlung als auch im Dialogfeld Eigenschaften der Active Directory-Gruppenermittlung, indem Sie die Option Nur Computer ermitteln, von denen in einem bestimmten Zeitraum das Kennwort für das Computerkonto aktualisiert wurde auswählen.
|
||
Suchen nach benutzerdefinierten Attributen von Active Directory |
√ |
√ |
Ø |
Von jeder Ermittlungsmethode wird eine eindeutige Liste von Attributen, die ermittelt werden können, unterstützt. Konfigurieren Sie benutzerdefinierte Attribute von Active Directory auf der Registerkarte Active Directory-Attribute sowohl im Dialogfeld Eigenschaften der Active Directory-Systemermittlung als auch im Dialogfeld Eigenschaften der Active Directory-Benutzerermittlung. |
Active Directory-Systemermittlung
Verwenden Sie die Active Directory-Systemerkennung von Configuration Manager, um nach den angegebenen Speicherorten von Computerressourcen, mit denen Sammlungen und Abfragen erstellt werden können, in den Active Directory-Domänendiensten zu suchen. Sie können den Client dann mithilfe von Clientpushinstallation auf den ermittelten Computern installieren. Damit erfolgreich ein Discovery Data Record (DDR) für einen Computer erstellt werden kann, muss das Computerkonto von der Active Directory-Systemermittlung identifiziert werden, und der Computername muss erfolgreich in eine IP-Adresse aufgelöst werden.
Von der Active Directory-Systemermittlung werden standardmäßig Basisinformationen über den Computer einschließlich der folgenden Informationen ermittelt:
Computername
Betriebssystem und Version
Active Directory-Containername
IP-Adresse
Active Directory-Standort
Zeitstempel der letzten Anmeldung
Über die Basisinformationen hinaus können Sie auch die Ermittlung erweiterter Attribute aus den Active Directory-Domänendiensten konfigurieren.
Sie können im Dialogfeld Eigenschaften der Active Directory-Systemermittlung auf der Registerkarte Active Directory-Attribute die Standardliste von Objektattributen anzeigen, welche von der Active Directory-Systemermittlung zurückgegeben werden, und Sie können zusätzliche Attribute konfigurieren, die ermittelt werden sollen.
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren der Active Directory-Ermittlung für Computer, Benutzer oder Gruppen.
Die Aktionen der Active Directory-Systemermittlung werden in der Datei adsysdis.log im Ordner <InstallationPath>\LOGS auf dem Standortserver aufgezeichnet.
Active Directory-Benutzerermittlung
Verwenden Sie die Active Directory-Benutzerermittlung in Configuration Manager, um die Active Directory-Domänendienste zu durchsuchen und Benutzerkonten sowie zugeordnete Attribute zu identifizieren.
Sie können im Dialogfeld Eigenschaften der Active Directory-Benutzerermittlung auf der Registerkarte Active Directory-Attribute die Standardliste von Objektattributen anzeigen, die von der Active Directory-Benutzerermittlung zurückgegeben werden, und Sie können zusätzliche Attribute konfigurieren, die ermittelt werden sollen.
Von der Active Directory-Benutzerermittlung werden standardmäßig Basisinformationen über das Benutzerkonto einschließlich der folgenden Informationen ermittelt:
Benutzername
Eindeutiger Benutzername (einschließlich Domänenname)
Domain
Active Directory-Containernamen
Über die Basisinformationen hinaus können Sie auch die Ermittlung erweiterter Attribute aus den Active Directory-Domänendiensten konfigurieren.
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren der Active Directory-Ermittlung für Computer, Benutzer oder Gruppen.
Die Aktionen der Active Directory-Benutzerermittlung werden in der Datei adusrdis.log im Ordner <InstallationPath>\LOGS auf dem Standortserver aufgezeichnet.
Active Directory-Gruppenermittlung
Verwenden Sie die Active Directory-Gruppenermittlung in Configuration Manager, um die Active Directory-Domänendienste zu durchsuchen und die Gruppenmitgliedschaften von Computern und Benutzern zu identifizieren.
Von dieser Ermittlungsmethode wird ein Ermittlungsbereich durchsucht, den Sie konfigurieren, und es werden die Gruppenmitgliedschaften der Ressourcen in diesem Ermittlungsbereich identifiziert. Standardmäßig werden nur Sicherheitsgruppen ermittelt. Sie können jedoch auch die Mitgliedschaften in Verteilergruppen ermitteln, indem Sie im Dialogfeld Eigenschaften der Active Directory-Gruppenermittlung auf der Registerkarte Option das Kontrollkästchen für die Option "Mitgliedschaft von Verteilergruppen ermitteln" aktivieren.
Verwenden Sie die Active Directory-Gruppenermittlung zum Ermitteln der folgenden Informationen:
Gruppen
Mitgliedschaft in Gruppen
Eingeschränkte Informationen über die Mitgliedscomputer und Benutzer einer Gruppe, auch wenn diese Computer und Benutzer zuvor nicht von einer anderen Ermittlungsmethode ermittelt wurden
Mithilfe dieser Ermittlungsmethode lassen sich Gruppen sowie Gruppenbeziehungen der Mitglieder von Gruppen identifizieren. Von dieser Ermittlungsmethode werden die erweiterten Active Directory-Attribute, die mithilfe der Active Directory-Systemermittlung oder der Active Directory-Benutzerermittlung identifiziert werden können, nicht unterstützt. Da diese Ermittlungsmethode nicht für die Ermittlung von Computer- und Benutzerressourcen optimiert ist, sollten Sie sie ausführen, nachdem Sie die Active Directory-Systemermittlung und die Active Directory-Benutzerermittlung ausgeführt haben. Dies liegt daran, dass von dieser Ermittlungsmethode ein vollständiger DDR für Gruppen erstellt wird, während für Computer, die Mitglieder von Gruppen sind, nur ein eingeschränkter DDR erstellt wird.
Sie können die folgenden Ermittlungsbereiche konfigurieren; von diesen wird gesteuert, auf welche Art von der Active Directory-Gruppenermittlung nach Informationen gesucht wird:
Speicherort: Verwenden Sie einen Speicherort, wenn Sie einen oder mehrere Active Directory-Container durchsuchen möchten. Von dieser Bereichsoption wird ein rekursives Durchsuchen der angegebenen Active Directory-Container unterstützt, wobei auch die untergeordneten Container des angegebenen Containers durchsucht werden. Dieser Prozess wird fortgesetzt, bis keine untergeordneten Container mehr gefunden werden.
Gruppen: Verwenden Sie Gruppen, wenn Sie eine oder mehrere bestimmte Active Directory-Gruppen durchsuchen möchten. Sie können die Active Directory-Domäne zum Verwenden von Standarddomäne und Standardgesamtstruktur konfigurieren, oder Sie können die Suche auf einen einzelnen Domänencontroller beschränken. Zusätzlich können Sie eine oder mehrere zu durchsuchende Gruppen angeben. Wenn Sie nicht mindestens eine Gruppe angeben, werden alle Gruppen, die am angegebenenActive Directory-Domänenspeicherort gefunden werden, durchsucht.
Achtung |
---|
Wenn Sie einen Ermittlungsbereich konfigurieren, wählen Sie nur die Gruppen aus, die ermittelt werden müssen. Dies ist notwendig, weil von der Active Directory-Gruppenermittlung versucht wird, jedes Mitglied in allen Gruppen innerhalb des Ermittlungsbereichs zu ermitteln. Bei der Ermittlung großer Gruppen kann es zu einer übermäßigen Beanspruchung von Bandbreite und Active Directory-Ressourcen kommen. |
Hinweis |
---|
Sie müssen entweder die Active Directory-Systemerkennung oder die Active Directory-Benutzererkennung ausführen, um Sammlungen auf Basis von erweiterten Active Directory-Attributen zu erstellen und um zu gewährleisten, dass die Ermittlungsergebnisse für Computer und Benutzer korrekt sind. |
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren der Active Directory-Ermittlung für Computer, Benutzer oder Gruppen.
Die Aktionen der Active Directory-Gruppenermittlung werden in der Datei adsgdis.log im Ordner <InstallationPath>\LOGS auf dem Standortserver aufgezeichnet.
Informationen zur Active Directory-Gesamtstrukturermittlung
Verwenden Sie die Active Directory-Gesamtstrukturermittlung in Configuration Manager, um IP-Subnetze und Active Directory-Standorte zu ermitteln und sie Configuration Manager als Grenzen hinzuzufügen.
Im Unterschied zu anderen Ermittlungsmethoden werden von der Active Directory-Gesamtstrukturermittlung keine Ressourcen, die Sie verwalten können, erkannt. Stattdessen werden Active Directory-Netzwerkorte erkannt, die in Grenzen konvertiert und dann hierarchieweit verwendet werden können.
Verwenden Sie die Active Directory-Gesamtstrukturermittlung für die folgenden Aufgaben:
Ermitteln von IP-Subnetzen in einer Active Directory-Gesamtstruktur
Ermitteln von Active Directory-Standorten in einer Active Directory-Gesamtstruktur
Hinzufügen der ermittelten IP-Subnetze und der Active Directory-Standorte als Grenzen in Configuration Manager
Veröffentlichen in den Active Directory-Domänendiensten einer Gesamtstruktur, sofern die Veröffentlichung in dieser Gesamtstruktur aktiviert ist und dem angegebenen Active Directory-Gesamtstrukturkonto entsprechende Berechtigungen für diese Gesamtstruktur erteilt wurden
Verwalten Sie die Active Directory-Gesamtstrukturermittlung in der Configuration Manager-Konsole im Arbeitsbereich Verwaltung unter Hierarchiekonfiguration in den folgenden Knoten:
Ermittlungsmethoden: Hier können Sie die Ausführung der Active Directory-Gesamtstrukturermittlung am Standort der obersten Ebene Ihrer Hierarchie aktivieren. Sie können außerdem einen einfachen Zeitplan für die Ausführung der Ermittlung angeben, und Sie können die automatische Erstellung von Grenzen aus den ermittelten IP-Subnetzen und Active Directory-Standorten konfigurieren. Die Active Directory-Gesamtstrukturermittlung kann weder an untergeordneten primären Standorten noch an sekundären Standorten ausgeführt werden.
Hinweis Von dieser Ermittlungsmethode wird keine Deltaermittlung unterstützt.
Active Directory-Gesamtstrukturen: Hier konfigurieren Sie die zusätzlichen Active Directory-Gesamtstrukturen, die ermittelt werden sollen, geben das Konto zur Verwendung als Active Directory-Gesamtstrukturkonto für jede Gesamtstruktur an und konfigurieren das Veröffentlichen in jeder Gesamtstruktur. Zusätzlich können Sie den Ermittlungsvorgang überwachen und Configuration Manager IP-Subnetze sowie Active Directory-Standorte als Grenzen und Mitglieder von Begrenzungsgruppen hinzufügen.
Wenn die Veröffentlichung für eine Gesamtstruktur aktiviert ist und das Gesamtstrukturschema für Configuration Manager erweitert wurde, werden für jeden Standort, bei dem die Veröffentlichung in dieser Active Directory-Gesamtstruktur aktiviert ist, die folgenden Informationen veröffentlicht:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
Hinweis |
---|
Die Veröffentlichung in Active Directory durch sekundäre Standorte erfolgt immer über das Computerkonto des sekundären Standortservers. Wenn Sie die Veröffentlichung durch sekundäre Standorte in Active Directory wünschen, stellen Sie sicher, dass das Computerkonto des sekundären Standortservers zur Veröffentlichung in Active Directory berechtigt ist. In einer nicht vertrauenswürdigen Gesamtstruktur können von einem sekundären Standort keine Daten veröffentlicht werden. |
Tipp |
---|
Zum Konfigurieren aller Standorte in einer Hierarchie für die Veröffentlichung in Active Directory-Gesamtstrukturen verbinden Sie die Configuration Manager-Konsole mit dem Standort auf der obersten Ebene der Hierarchie. Im Dialogfeld Eigenschaften eines Active Directory-Standorts werden auf der Registerkarte Veröffentlichen nur der aktuelle Standort und dessen untergeordnete Standorte angezeigt. |
Achtung |
---|
Wenn Sie die Option zum Veröffentlichen eines Standorts in einer Active Directory-Gesamtstruktur deaktivieren, werden alle bereits veröffentlichten Informationen dieses Standorts, einschließlich der verfügbaren Standortsystemrollen, aus dieser Active Directory-Gesamtstruktur entfernt. |
Die Active Directory-Gesamtstrukturermittlung wird in der lokalen Active Directory-Gesamtstruktur, allen vertrauenswürdigen Gesamtstrukturen und allen weiteren von Ihnen im Knoten Active Directory-Gesamtstrukturen der Configuration Manager-Konsole konfigurierten Gesamtstrukturen ausgeführt.
Aktionen im Rahmen der Active Directory-Gesamtstrukturermittlung werden in den folgenden Protokollen aufgezeichnet:
Alle Aktionen, mit Ausnahme von Aktionen im Zusammenhang mit der Veröffentlichung, werden auf dem Standortserver in der Datei ADForestDisc.Log im Ordner InstallationPath>\Logs aufgezeichnet.
Veröffentlichungsaktionen im Zusammenhang mit der Active Directory-Gesamtstrukturermittlung werden auf dem Standortserver in den Dateien hman.log und sitecomp.log im Ordner <InstallationPath>\Logs aufgezeichnet.
Informationen zur Deltaermittlung
Die Deltaermittlung stellt keine vollständige Ermittlungsmethode in Configuration Manager dar, sondern eine für die Methoden „Active Directory-Systemermittlung“, „Active Directory-Benutzerermittlung“ und „Active Directory-Gruppenermittlung“ verfügbare Option. Bei der Deltaermittlung können die meisten Änderungen an einer zuvor in Active Directory ermittelten Ressource identifiziert werden. Dabei werden weniger Ressourcen beansprucht als bei einem vollständigen Ermittlungszyklus.
Wenn Sie die Deltaermittlung für eine Ermittlungsmethode aktivieren, werden die Active Directory-Domänendienste (AD DS) von der Ermittlungsmethode nach bestimmten Attributen durchsucht, die sich seit ihrem letzten vollständigen Ermittlungszyklus geändert haben. Diese Änderungen werden an die Configuration Manager-Datenbank übermittelt, damit für den Ermittlungsdatensatz der Ressource ein entsprechendes Update ausgeführt werden kann.
Die Deltaermittlung wird standardmäßig in einem Fünfminutenzyklus ausgeführt. Dies liegt daran, dass von ihr im Vergleich zu einem vollständigen Ermittlungszyklus weniger Ressourcen beansprucht werden und auch die Leistung des Standortservers weniger beeinträchtigt wird. Bei der Verwendung der Deltaermittlung sollten Sie erwägen, die Häufigkeit des vollständigen Ermittlungszyklus der betreffenden Ermittlungsmethode zu reduzieren.
Bei der Deltaermittlung können Änderungen an Active Directory-Objekten erkannt werden. Die gängigsten Änderungen, die von der Deltaermittlung erkannt werden, sind:
Neue Computer oder Benutzer, die Active Directory hinzugefügt wurden
Änderungen an grundlegenden Computer- und Benutzerinformationen
Neue Computer oder Benutzer, die einer Gruppe hinzugefügt wurden
Computer oder Benutzer, die aus einer Gruppe entfernt wurden
Änderungen an Systemgruppenobjekten
Bei der Deltaermittlung können zwar neue Ressourcen und Änderungen an der Gruppenmitgliedschaft erkannt werden, jedoch nicht, ob eine Ressource aus den AD DS gelöscht wurde.
DDRs für Objekte, die von der Deltaermittlung ermittelt werden, werden wie von einem vollständigen Ermittlungszyklus erstellte DDRs verarbeitet.
Die Deltaermittlung wird in den Eigenschaften einer Ermittlungsmethode auf der Registerkarte Abfragezeitplan konfiguriert.
Informationen zur Frequenzermittlung
Die Frequenzermittlung unterscheidet sich von anderen Configuration Manager-Ermittlungsmethoden. Sie ist standardmäßig aktiviert und wird auf jedem Computerclient ausgeführt, um einen Discovery Data Record (DDR) zu erstellen. Für mobile Geräteclients wird dieser DDR von dem Verwaltungspunkt erstellt, der vom mobilen Geräteclient verwendet wird.
Die Frequenzermittlung wird entweder nach einem für alle Clients in der Hierarchie festgelegten Zeitplan ausgeführt oder manuell für einen bestimmten Client aufgerufen. Zur manuellen Ausführung muss im Configuration Manager-Programm des betreffenden Clients auf der Registerkarte Aktion der Ermittlungsdaten-Sammlungszyklus ausgeführt werden. Bei der Frequenzermittlung wird ein Discovery Data Record (DDR) erstellt, der die aktuellen Informationen des Clients einschließlich des Netzwerkorts, des NetBIOS-Namens und der Einzelheiten zum Betriebsstatus enthält. Es handelt sich dabei um eine kleine Datei (ca. 1 KB), die auf einen Verwaltungspunkt kopiert und dann von einem primären Standort verarbeitet wird. Durch die Übermittlung eines von der Frequenzermittlung erstellten DDR kann der Datensatz eines aktiven Clients in der Datenbank gewartet werden. Außerdem kann die Ermittlung eines aktiven Clients erzwungen werden, der möglicherweise aus der Datenbank entfernt oder manuell installiert und von keiner anderen Ermittlungsmethode ermittelt wurde.
Die Frequenzermittlung ist die einzige Ermittlungsmethode, von der Details zum Clientinstallationsstatus bereitgestellt werden, indem für ein Clientattribut mit dem Wert Ja für eine Systemressource ein Update ausgeführt wird. Die Übermittlung des von der Frequenzermittlung erstellten Datensatzes setzt voraus, dass vom Clientcomputer eine Verbindung mit dem Verwaltungspunkt hergestellt werden kann.
Hinweis |
---|
Bei Configuration Manager SP1 enthält der Datensatz der Frequenzermittlung auch die Version des Client-Agents. |
Laut Standardzeitplan wird die Frequenzermittlung alle 7 Tage ausgeführt. Achten Sie bei einer Änderung des Frequenzermittlungsintervalls darauf, dass die Frequenzermittlung häufiger als der Standortwartungstask Veraltete Ermittlungsdaten löschen ausgeführt wird. Von diesem Task werden inaktive Clientdatensätze aus der Standortdatenbank gelöscht. Sie können den Task Veraltete Ermittlungsdaten löschen nur für primäre Standorte konfigurieren.
Hinweis |
---|
Selbst wenn die Frequenzermittlung deaktiviert ist, werden dennoch DDRs für aktive mobile Geräteclients erstellt und übermittelt. Auf diese Weise wird sichergestellt, dass aktive mobile Geräte vom Task Veraltete Ermittlungsdaten löschen nicht beeinträchtigt werden. Wenn ein Datenbankeintrag für ein mobiles Gerät vom Task Veraltete Ermittlungsdaten löschen gelöscht wird, wird auch das Gerätezertifikat aufgehoben, und die Verbindung des mobilen Geräts mit Verwaltungspunkten wird blockiert. |
Frequenzermittlungsaktionen werden an den folgenden Speicherorten protokolliert:
Für Computerclients werden Frequenzermittlungsaktionen auf dem Client in der Datei InventoryAgent.log im Ordner %Windir%\CCM\Logs aufgezeichnet.
Für mobile Clients werden Frequenzermittlungsaktionen in der Datei DMPRP.log im Ordner %Program Files%\CCM\Logs des vom mobilen Geräteclient verwendeten Verwaltungspunkts aufgezeichnet.
Informationen zur Netzwerkermittlung
Die Configuration Manager-Netzwerkermittlung dient zur Ermittlung der Netzwerktopologie und der Geräte im Netzwerk.
Bei der Netzwerkermittlung wird ein Netzwerk nach IP-fähigen Ressourcen durchsucht. Dazu werden Server abgefragt, auf denen eine Microsoft-Implementierung von DHCP, ARP-Caches (Address Resolution Protocol) in Routern, SNMP-fähige Geräte und Active Directory-Domänen ausgeführt werden.
Die erfolgreiche Ermittlung einer Ressource setzt voraus, dass die IP-Adresse und die Subnetzmaske der Ressource von der Netzwerkermittlung identifiziert werden. Da unterschiedliche Gerätetypen eine Verbindung mit dem Netzwerk herstellen können, werden bei der Netzwerkermittlung gegebenenfalls Ressourcen ermittelt, von denen die Configuration Manager-Clientsoftware nicht unterstützt werden kann. Zu den Geräten, die ermittelt, aber nicht verwaltet werden können, gehören beispielsweise Drucker und Router.
Von der Netzwerkermittlung können mehrere Attribute als Teil des von ihr erstellten Ermittlungsdatensatzes zurückgegeben werden. Dazu gehören unter anderem:
NetBIOS-Name
IP-Adressen
Domäne der Ressource
Systemrollen
SNMP-Communityname
MAC-Adressen
Falls Sie die Netzwerkermittlung verwenden möchten, müssen Sie die auszuführende Ermittlungsebene festlegen. Sie müssen außerdem mindestens einen Ermittlungsmechanismus konfigurieren, mit dessen Hilfe von der Netzwerkermittlung eine Abfrage nach Netzwerksegmenten oder -geräten ausgeführt werden kann. Außerdem können Sie Einstellungen festlegen, die die Steuerung von Ermittlungsaktionen im Netzwerk erleichtern. Abschließend definieren Sie mindestens einen Zeitplan für die Ausführung der Netzwerkermittlung.
Hinweis |
---|
Durch komplexe Netzwerke und Verbindungen mit geringer Bandbreite kann die Ausführung der Netzwerkermittlung beeinträchtigt werden und ein starker Netzwerkdatenverkehr entstehen. Es wird empfohlen, die Netzwerkermittlung nur auszuführen, wenn die zu ermittelnden Ressourcen von den anderen Ermittlungsmethoden nicht gefunden werden. Die Netzwerkermittlung bietet sich beispielsweise an, wenn Sie Arbeitsgruppencomputer ermitteln müssen. Arbeitsgruppencomputer werden von anderen Ermittlungsmethoden nicht erkannt. |
Wenn bei der Ermittlung ein IP-fähiges Objekt identifiziert wird und die Subnetzmaske des Objekts bestimmt werden kann, wird für dieses Objekt ein Discovery Data Record (DDR) erstellt.
Die Netzwerkermittlungsaktivität wird in der Datei Netdisc.log im Ordner <InstallationPath>\Logs auf dem Standortserver, auf dem die Ermittlung ausgeführt wird, aufgezeichnet.
Ebenen der Netzwerkermittlung
Beim Konfigurieren der Netzwerkermittlung stehen drei Ermittlungsebenen zur Auswahl:
Ermittlungsebene |
Details |
---|---|
Topologie |
Auf dieser Ebene werden Router und Subnetze ermittelt. Es werden keine Subnetzmasken für Objekte identifiziert. |
Topologie und Client |
Auf dieser Ebene werden zusätzlich zur Topologie auch potenzielle Clients wie Computer sowie Ressourcen wie Drucker und Router ermittelt. Es wird versucht, die Subnetzmaske der gefundenen Objekte zu identifizieren. |
Topologie, Client und Clientbetriebssystem |
Auf dieser Ebene wird versucht, zusätzlich zur Topologie und zu potenziellen Clients den Namen und die Version des Computerbetriebssystems zu ermitteln. Dabei werden Windows-Browser- und Windows-Netzwerkaufrufe verwendet. |
Je höher die Stufe, desto stärker die Aktivität der Netzwerkermittlung und die Auslastung der Netzwerkbandbreite. Es empfiehlt sich, die Folgen für den Netzwerkdatenverkehr sorgfältig zu erwägen, bevor Sie alle Optionen der Netzwerkermittlung aktivieren.
Beispielsweise wäre es sinnvoll, sich beim ersten Einsatz der Netzwerkermittlung mit der Topologieebene zu begnügen und nur die Netzwerkinfrastruktur zu ermitteln. Anschließend könnten Sie die Netzwerkermittlung neu konfigurieren, damit auch Objekte und deren Gerätebetriebssysteme ermittelt werden. Sie könnten auch Einstellungen festlegen, durch die die Netzwerkermittlung auf bestimmte Netzwerksegmente beschränkt wird und nur Objekte an den erforderlichen Netzwerkorten ermittelt werden. Auf diese Weise können Sie unnötigen Netzwerkdatenverkehr und die Ermittlung von Objekten vermeiden, die sich auf Edgeroutern oder außerhalb des Netzwerks befinden.
Optionen für die Netzwerkermittlung
Damit bei der Netzwerkermittlung IP-fähige Geräte gesucht werden können, müssen Sie durch Konfigurieren mindestens einer Option angeben, wie Geräte abgefragt werden sollen. Die Optionen sind in der folgenden Tabelle aufgeführt.
Option |
Details |
Anforderungen |
||||
---|---|---|---|---|---|---|
Domänen |
Geben Sie alle Domänen an, die bei der Netzwerkermittlung abgefragt werden sollen. Bei der Netzwerkermittlung kann jeder Computer ermittelt werden, den Sie beim Durchsuchen des Netzwerks auf dem Standortserver anzeigen können. Zuerst wird die IP-Adresse abgerufen, und dann wird jedes gefundene Gerät mit einer ICMP-Echoanforderung (Internet Control Message-Protokoll) gepingt. Mit dem Befehl ping können Sie feststellen, welche Computer zurzeit aktiv sind. |
Der Standortserver, auf dem die Ermittlung ausgeführt wird, muss für die Domänencontroller in allen angegebenen Domänen über eine Leseberechtigung verfügen.
|
||||
SNMP-Geräte |
Geben Sie alle SNMP-Geräte an, die bei der Netzwerkermittlung abgefragt werden sollen. Bei der Netzwerkermittlung wird von jedem SNMP-Gerät, von dem keine Antwort auf die Abfrage eingeht, der Wert ipNetToMediaTable abgerufen. Von diesem Wert werden Arrays von IP-Adressen zurückgegeben, bei denen es sich um Clientcomputer oder andere Ressourcen wie Drucker, Router oder sonstige IP-fähige Geräte handelt. |
Zum Abfragen eines Geräts müssen Sie die IP-Adresse oder den NetBIOS-Namen dieses Geräts angeben. Sie müssen die Netzwerkermittlung für die Verwendung des Communitynamens des Geräts konfigurieren. Andernfalls wird die SNMP-basierte Abfrage vom Gerät abgelehnt. |
||||
DHCP |
Geben Sie alle DHCP-Server an, die bei der Netzwerkermittlung abgefragt werden sollen. Bei der Netzwerkermittlung können sowohl 32-Bit- als auch 64-Bit-DHCP-Server nach einer Liste der Geräte abgefragt werden, die bei den einzelnen Servern registriert sind. Bei der Netzwerkermittlung werden Informationen mithilfe von Remoteprozeduraufrufen an die Datenbank auf dem DHCP-Server abgerufen. Wenn bei der Netzwerkermittlung ein DHCP-Server aufgezählt wird, können statische IP-Adressen nicht immer ermittelt werden. Bei der Netzwerkermittlung werden keine IP-Adressen gefunden, die einem ausgeschlossenen IP-Adressbereich auf dem DHCP-Server angehören. IP-Adressen, die für die manuelle Zuweisung reserviert sind, werden ebenfalls nicht ermittelt.
|
Ein DHCP-Server kann bei der Netzwerkermittlung nur erfolgreich abgefragt werden, wenn das Computerkonto des Servers, auf dem die Ermittlung ausgeführt wird, ein Mitglied der DHCP-Benutzergruppe auf dem DHCP-Server ist. Beispielsweise ist diese Zugriffsebene gegeben, wenn eine der folgenden Aussagen zutrifft:
|
Hinweis |
---|
Die Netzwerkermittlung wird im Kontext des Computerkontos auf dem Standortserver, auf dem die Ermittlung ausgeführt wird, ausgeführt. Falls das Computerkonto keine Berechtigungen für eine nicht vertrauenswürdige Domäne hat, kann es vorkommen, dass weder von der Serverkonfiguration „Domäne“, noch von der Konfiguration „DHCP“ Ressourcen ermittelt werden können. |
Beschränken der Netzwerkermittlung
Beim Abfragen eines SNMP-Geräts am Rand des Netzwerks können von der Netzwerkermittlung Informationen über Subnetze und SNMP-Geräte identifiziert werden, die sich außerhalb des unmittelbaren Netzwerks befinden. Sie können die Netzwerkermittlung beschränken. Dazu konfigurieren Sie die SNMP-Geräte, bei denen die Kommunikation mit der Ermittlung möglich ist, und geben die abzufragenden Netzwerksegmente an.
Verwenden Sie die folgenden Konfigurationen, um den Umfang der Netzwerkermittlung zu beschränken:
Konfiguration |
Details |
||
---|---|---|---|
Subnetze |
Konfigurieren Sie die Subnetze, die bei der Netzwerkermittlung abgefragt werden, sofern die Ermittlungsoptionen SNMP-Geräte und DHCP ausgewählt wurden. Von diesen beiden Optionen werden nur die aktivierten Subnetze durchsucht. Beispielsweise können von einer DHCP-Anforderung Geräte von Orten im gesamten Netzwerk zurückgegeben werden. Falls Sie nur Geräte in einem bestimmten Subnetz ermitteln möchten, müssen Sie im Dialogfeld Eigenschaften von Netzwerkermittlung auf der Registerkarte Subnetze dieses Subnetz angeben und aktivieren. Wenn Sie Subnetze angeben und aktivieren, beschränken Sie künftige DHCP- und SNMP-Ermittlungsvorgänge auf diese Subnetze.
|
||
SNMP-Community-Namen |
Damit ein SNMP-Gerät erfolgreich abgefragt werden kann, müssen Sie beim Konfigurieren der Netzwerkermittlung den Communitynamen des Geräts angeben.
|
||
Maximale Hopanzahl |
Wenn Sie die maximale Anzahl der Routerhops festlegen, schränken Sie die Anzahl der Netzwerksegmente und Router ein, die von der Netzwerkermittlung mithilfe von SNMP abgefragt werden kann.
Beispielsweise wird bei einer auf die Topologie beschränkten Ermittlung mit 0 (null) Routerhops das Subnetz ermittelt, in dem sich der ursprüngliche Server befindet, und alle Router in diesem Subnetz werden mit eingeschlossen. Im folgenden Diagramm ist dargestellt, was bei einer auf die Topologie beschränkten Netzwerkermittlung gefunden wird, wenn sie auf Server 1 ausgeführt wird und 0 Routerhops angegeben sind: Subnetz D und Router 1. Im folgenden Diagramm ist dargestellt, was bei einer Topologie- und Clientnetzwerkermittlung gefunden wird, wenn sie auf Server 1 ausgeführt wird und 0 Routerhops angegeben sind: Subnetz D, Router 1 und alle potenziellen Clients in Subnetz D. Damit Sie besser verstehen, wie Routerhops die Anzahl der ermittelten Netzwerkressourcen erhöhen können, stellen Sie sich folgendes Netzwerk vor: Beim Ausführen einer nur auf die Topologie bezogenen Netzwerkermittlung auf Server 1 mit einem einzigen Routerhop wird Folgendes ermittelt:
|
Von der Netzwerkermittlung erstellte Discovery Data Records
Wenn mithilfe der Netzwerkermittlung ein Objekt ermittelt wird, wird ein Discovery Data Record (DDR) für dieses Objekt erstellt. Damit ein Objekt mithilfe der Netzwerkermittlung ermittelt werden kann, müssen die IP-Adresse und die Subnetzmaske des Objekts identifiziert werden. Wenn die Subnetzmaske eines Objekts von der Netzwerkermittlung nicht bestimmt werden kann, wird kein DDR erstellt.
Die Subnetzmaske eines Objekts wird von der Netzwerkermittlung mithilfe der folgenden Methoden identifiziert:
Methode |
Details |
Einschränkung |
---|---|---|
Router-ARP-Cache |
Bei der Netzwerkermittlung wird der ARP-Cache eines Routers abgefragt, um Subnetzinformationen zu identifizieren. |
Daten in einem Router-ARP-Cache sind in der Regel nicht lange gültig. Wenn der ARP-Cache im Rahmen der Netzwerkermittlung abgefragt wird, sind Informationen zum angeforderten Objekt möglicherweise nicht mehr im ARP-Cache vorhanden. |
DHCP |
Bei der Netzwerkermittlung wird jeder angegebene DHCP-Server abgefragt, um die Geräte zu ermitteln, für die eine Lease des DHCP-Servers verfügbar ist. |
Bei der Netzwerkermittlung werden nur DHCP-Server unterstützt, auf denen die Microsoft-Implementierung von DHCP ausgeführt wird. |
SNMP-Gerät |
Bei der Netzwerkermittlung kann ein SNMP-Gerät direkt abgefragt werden. |
Damit ein Gerät bei der Netzwerkermittlung abgefragt werden kann, muss auf dem Gerät ein lokaler SNMP-Agent installiert sein. Sie müssen die Netzwerkermittlung zur Verwendung des Communitynamens konfigurieren, der vom SNMP-Agent verwendet wird. |
In Configuration Manager werden durch die Netzwerkermittlung erstellte DDRs ebenso verarbeitet wie durch andere Ermittlungsmethoden erstellte DDRs.
Informationen zu Discovery Data Records
Discovery Data Records (DDRs) sind Dateien, die durch eine Ermittlungsmethode erstellt wurden. Sie enthalten Informationen über eine Ressource, die Sie in Configuration Manager verwalten können. DDRs enthalten Informationen über Computer, Benutzer und in einigen Fällen über die Netzwerkinfrastruktur. Sie werden auf primären Standorten oder auf Standorten der zentralen Verwaltung verarbeitet. Nachdem die im DDR enthaltenen Ressourceninformationen in die Datenbank eingetragen wurden, wird der DDR gelöscht, und die Informationen werden als globale Daten auf alle Standorte in der Hierarchie repliziert.
Auf welchem Standort ein DDR verarbeitet wird, ist abhängig von den enthaltenen Informationen:
DDRs für neu ermittelte und noch nicht in der Datenbank enthaltene Ressourcen werden auf dem Standort auf der obersten Ebene der Hierarchie verarbeitet. Vom Standort auf der obersten Ebene der Hierarchie wird ein neuer Ressourcendatensatz in der Datenbank erstellt und diesem eine eindeutige ID zugeordnet. DDRs werden mithilfe von dateibasierter Replikation bis auf den Standort auf der obersten Ebene übertragen.
DDRs für bereits ermittelte Objekte werden auf primären Standorten verarbeitet. Von untergeordneten Standorten werden DDRs nicht an den Standort der zentralen Verwaltung übertragen, wenn der DDR Informationen über eine Ressource enthält, die sich bereits in der Datenbank befindet.
Discovery Data Records werden auf sekundären Standorten nicht verarbeitet, sondern von diesen immer mithilfe von dateibasierter Replikation auf den übergeordneten primären Standort übertragen.
DDR-Dateien verfügen über die Erweiterung DDR und über eine Größe von in der Regel ca. 1 KB.
Auswählen des Ausführungsorts der Ermittlung
Wenn Sie die Verwendung der Ermittlung in Configuration Manager planen, müssen Sie entscheiden, wo jede Ermittlungsmethode ausgeführt werden soll.
Nachdem in Configuration Manager Ermittlungsdaten einer Datenbank hinzugefügt wurden, werden diese Daten direkt für alle Standorte in der Hierarchie freigegeben. Da es nicht sinnvoll ist, identische Informationen von mehreren Standorten in Ihrer Hierarchie zu ermitteln, empfiehlt es sich, für jede verwendete Ermittlungsmethode eine einzige Instanz auf einem einzigen Standort zu konfigurieren, statt mehrere Instanzen einer Methode auf verschiedenen Standorten auszuführen.
Allerdings kann es hilfreich sein, regelmäßig die gleiche Ermittlungsmethode mit einer separaten Konfiguration und einem eigenen Zeitplan auf mehreren Standorten ausführen zu lassen. Der Grund hierfür besteht darin, dass auf jedem Standort alle Konfigurationen für eine einzelne Ermittlungsmethode bei jedem Ausführen dieser Ermittlungsmethode ausgewertet werden. Wenn Sie mehrere Instanzen einer einzigen Ermittlungsmethode für die Ausführung auf unterschiedlichen Standorten konfigurieren, sollten Sie die Konfiguration sorgfältig planen, um zu verhindern, dass die gleichen Ressourcen von mehreren Ermittlungsprozessen ermittelt werden. Durch die Ermittlung der gleichen Speicherorte und Ressourcen auf mehreren Standorten wird zusätzliche Netzwerkbandbreite beansprucht. Außerdem werden Duplikate von DDRs für Ressourcen erstellt, die keinen zusätzlichen Wert haben, aber trotzdem von den Standortservern verarbeitet werden müssen.
In der folgenden Tabelle wird beschrieben, auf welchen Standorten Sie die verschiedenen Ermittlungsmethoden konfigurieren können.
Ermittlungsmethode |
Unterstützte Standorte |
---|---|
Active Directory-Gesamtstrukturermittlung |
|
Active Directory-Gruppenermittlung |
|
Active Directory-Systemermittlung |
|
Active Directory-Benutzerermittlung |
|
Frequenzermittlung1 |
|
Netzwerkermittlung |
|
1 Auf sekundären Standorten kann die Frequenzermittlung nicht konfiguriert werden, jedoch ist es möglich, den Frequenz-DDR von einem Client zu empfangen.
Wenn auf sekundären Standorten die Netzwerkermittlung ausgeführt wird oder Frequenzermittlungs-DDRs empfangen werden, wird der DDR mithilfe von dateibasierter Replikation an deren übergeordneten primären Standort übertragen. Der Grund hierfür besteht darin, dass Discovery Data Records (DDRs) nur von primären Standorten und Standorten der zentralen Verwaltung verarbeitet werden können. Weitere Informationen zur Verarbeitung von DDRs finden Sie unter Informationen zu Discovery Data Records in diesem Thema.
Beachten Sie Folgendes, wenn Sie planen, wo die Ermittlung ausgeführt werden soll:
Wenn Sie eine Active Directory-Ermittlungsmethode für Systeme, Benutzer oder Gruppen verwenden:
Führen Sie die Ermittlung auf einem Standort aus, der über eine schnelle Netzwerkverbindung mit Ihren Domänencontrollern verfügt.
Beachten Sie die Active Directory-Replikationstopologie, um sicherzustellen, dass bei der Ermittlung Zugriff auf die neuesten Informationen besteht.
Beachten Sie den Bereich der Ermittlungskonfiguration und beschränken Sie die Ermittlung auf diejenigen Active Directory-Orte und -Gruppen, die ermittelt werden müssen.
Wenn Sie die Netzwerkermittlung verwenden:
Verwenden Sie eine eingeschränkte Erstkonfiguration, um Ihre Netzwerktopografie zu identifizieren.
Nachdem Sie Ihre Netzwerktopografie identifiziert haben, konfigurieren Sie die Netzwerkermittlung für die Ausführung auf bestimmten Standorten, die für diejenigen Netzwerkbereich maßgeblich sind, die umfassender ermittelt werden sollen.
Da die Frequenzermittlung nicht auf einem bestimmten Standort ausgeführt wird, müssen Sie diese Methode bei der allgemeinen Planung der Ermittlungsausführung nicht berücksichtigen.
Da jeder Standortserver und jede Netzwerkumgebung unterschiedlich ist, beschränken Sie die Erstkonfigurationen für die Ermittlung, und überwachen Sie für jeden Standortserver sorgfältig dessen Fähigkeiten bei der Verarbeitung der generierten Ermittlungsdaten.
Bewährte Methoden für die Ermittlung
Wenden Sie die folgenden bewährten Methoden für die Verwendung der Ermittlung in System Center 2012 Configuration Manager an.
Ausführen der Active Directory-Systemermittlung und Active Directory-Benutzerermittlung vor der Active Directory-Gruppenermittlung
Wenn bei der Active Directory-Gruppenermittlung ein bisher nicht ermittelter Computer als Mitglied einer Gruppe identifiziert wird, wird versucht, grundlegende Details für den Benutzer oder Computer zu ermitteln. Da die Active Directory-Gruppenermittlung für diese Art der Ermittlung nicht optimiert ist, kann dieser Prozess dazu führen, dass sich die Leistung für die Active Directory-Gruppenermittlung verlangsamt. Außerdem werden bei der Active Directory-Gruppenermittlung nur die grundlegenden Details zu den ermittelten Benutzern und Computern identifiziert, und es wird kein vollständiger Benutzer- oder Computerermittlungsdatensatz erstellt. Beim Ausführen der Active Directory-Systemermittlung und Active Directory-Benutzerermittlung sind die zusätzlichen Active Directory-Attribute für jeden Objekttyp verfügbar, sodass die Active Directory-Gruppenermittlung effizienter ausgeführt werden kann.
Ausschließliches Angeben von Gruppen, die Sie mit Configuration Manager verwenden, beim Konfigurieren der Active Directory-Gruppenermittlung
Geben Sie nur die Gruppen an, die Sie mit Configuration Manager verwenden, um die Ressourcennutzung der Active Directory-Gruppenermittlung besser steuern zu können. Dies liegt daran, dass bei der Active Directory-Gruppenermittlung jede ermittelte Gruppe rekursiv nach Benutzern, Computern und verschachtelten Gruppen durchsucht wird. Das Durchsuchen aller verschachtelten Gruppen kann dazu führen, dass sich der Umfang der Active Directory-Gruppenermittlung vergrößert und die Leistung beeinträchtigt wird. Wenn Sie die Deltaermittlung für die Active Directory-Gruppenermittlung konfigurieren, wird von der Ermittlungsmethode jede Gruppe auf Änderungen überwacht. Dadurch wird die Leistung noch stärker beeinträchtigt, da nicht erforderliche Gruppen durchsucht werden müssen.
Konfigurieren von Ermittlungsmethoden mit einem längeren Intervall zwischen der vollständigen Ermittlung und häufigeren Zeiträumen für die Deltaermittlung
Da bei der Deltaermittlung weniger Ressourcen als bei einem vollständigen Ermittlungszyklus genutzt werden und neue oder geänderte Ressourcen in Active Directory identifiziert werden können, können Sie die Häufigkeit der vollständigen Ermittlungszyklen bei Verwendung der Deltaermittlung auf maximal einmal pro Woche reduzieren. Bei der Deltaermittlung für die Active Directory-Systemermittlung, Active Directory-Benutzerermittlung und Active Directory-Gruppenermittlung werden nahezu alle Änderungen von Active Directory-Objekten identifiziert, und für Ressourcen können genaue Ermittlungsdaten vorgehalten werden.
Ausführen von Active Directory-Ermittlungsmethoden an einem primären Standort mit einem Netzwerkspeicherort, der über die geringste Entfernung zum Active Directory-Domänencontroller verfügt
Zur Verbesserung der Leistung einer Active Directory-Ermittlung wird empfohlen, die Ermittlung an einem primären Standort auszuführen, der über eine schnelle Netzwerkverbindung zu den Domänencontrollern verfügt. Wenn Sie die gleiche Active Directory-Ermittlungsmethode an mehreren Standorten ausführen, wird empfohlen, zum Vermeiden einer Überlappung jede Ermittlungsmethode separat zu konfigurieren. Im Gegensatz zu den vorherigen Versionen von Configuration Manager sind die Ermittlungsdaten für die Nutzung durch andere Standorte freigegeben. Daher ist es nicht erforderlich, an mehreren Standorten die gleichen Informationen zu ermitteln. Weitere Informationen finden Sie unter Auswählen des Ausführungsorts der Ermittlung.
Ausführen der Active Directory-Gesamtstrukturermittlung an nur einem Standort, wenn Sie die automatische Erstellung von Grenzen aus den Ermittlungsdaten planen
Wenn Sie die Active Directory-Gesamtstrukturermittlung in einer Hierarchie an mehr als einem Standort ausführen, wird empfohlen, Optionen zum automatischen Erstellen von Grenzen nur an einem einzelnen Standort zu aktivieren. Der Grund ist, dass Grenzen von Configuration Manager nicht zu einem einzelnen Grenzobjekt zusammengeführt werden können, wenn die Active Directory-Gesamtstrukturermittlung an jedem Standort ausgeführt wird und Grenzen erstellt werden. Wenn Sie die Active Directory-Gesamtstrukturermittlung so konfigurieren, dass Grenzen an mehreren Standorten automatisch erstellt werden, können sich in der Configuration Manager-Konsole doppelte Grenzobjekte ergeben.