Informazioni sui metodi di individuazione per Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Configuration Manager metodi di individuazione trovano dispositivi diversi nella rete, dispositivi e utenti da Active Directory o utenti da Microsoft Entra ID. Per usare in modo efficiente un metodo di individuazione, è necessario conoscerne le configurazioni e le limitazioni disponibili.
Individuazione foresta Active Directory
Configurabile: Sì
Abilitato per impostazione predefinita: No
Account che è possibile usare per eseguire questo metodo:
Account foresta Active Directory (definito dall'utente)
Account computer del server del sito
A differenza di altri metodi di individuazione di Active Directory, l'individuazione della foresta di Active Directory non individua le risorse che è possibile gestire. Questo metodo individua invece i percorsi di rete configurati in Active Directory. Può convertire tali posizioni in limiti da usare in tutta la gerarchia.
Quando viene eseguito, questo metodo esegue la ricerca nella foresta locale di Active Directory, in ogni foresta attendibile e in altre foreste configurate nel nodo Foreste di Active Directory della console di Configuration Manager.
Usare l'individuazione foresta active directory per:
Individuare siti e subnet di Active Directory e quindi creare limiti Configuration Manager in base a tali percorsi di rete.
Identificare le supernet assegnate a un sito di Active Directory. Convertire ogni supernet in un limite dell'intervallo di indirizzi IP.
Pubblicare in Active Directory Domain Services (AD DS) in una foresta quando la pubblicazione in tale foresta è abilitata. L'account della foresta di Active Directory specificato deve disporre delle autorizzazioni per tale foresta.
È possibile gestire l'individuazione foresta active directory nella console di Configuration Manager. Passare all'area di lavoro Amministrazione ed espandere Configurazione gerarchia.
Metodi di individuazione: abilitare l'individuazione foresta active directory per l'esecuzione nel sito di primo livello della gerarchia. È anche possibile specificare una pianificazione per l'esecuzione dell'individuazione. Configurarlo per creare automaticamente i limiti dalle subnet IP e dai siti di Active Directory individuati. L'individuazione foresta active directory non può essere eseguita in un sito primario figlio o in un sito secondario.
Foreste di Active Directory: configurare le altre foreste per individuare, specificare ogni account della foresta active directory e configurare la pubblicazione in ogni foresta. Monitorare il processo di individuazione. Aggiungere subnet IP e siti di Active Directory come Configuration Manager limiti e membri dei gruppi di limiti.
Per configurare la pubblicazione per le foreste di Active Directory per ogni sito nella gerarchia, connettere la console di Configuration Manager al sito di primo livello della gerarchia. La scheda Pubblicazione nella finestra di dialogo Proprietà di un sito di Active Directory può visualizzare solo il sito corrente e i relativi siti figlio. Quando la pubblicazione è abilitata per una foresta e lo schema di tale foresta viene esteso per Configuration Manager, vengono pubblicate le informazioni seguenti per ogni sito abilitato per la pubblicazione nella foresta active directory:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
Nota
I siti secondari usano sempre l'account computer del server del sito secondario per pubblicare in Active Directory. Se si desidera che i siti secondari vengano pubblicati in Active Directory, assicurarsi che l'account computer del server del sito secondario disponga delle autorizzazioni per la pubblicazione in Active Directory. Un sito secondario non può pubblicare dati in una foresta non attendibile.
Attenzione
Quando si deseleziona l'opzione per pubblicare un sito in una foresta di Active Directory, tutte le informazioni pubblicate in precedenza per tale sito, inclusi i ruoli del sistema del sito disponibili, vengono rimosse da Active Directory.
Le azioni per Individuazione foresta Active Directory vengono registrate nei log seguenti:
Tutte le azioni, ad eccezione delle azioni correlate alla pubblicazione, vengono registrate nel file ADForestDisc.Log nella <cartella InstallationPath>\Logs nel server del sito.
Le azioni di pubblicazione di Individuazione foresta Active Directory vengono registrate nei file hman.log e sitecomp.log nella <cartella InstallationPath>\Logs nel server del sito.
Per altre informazioni su come configurare questo metodo di individuazione, vedere Configurare i metodi di individuazione.
Individuazione del gruppo di Active Directory
Configurabile: Sì
Abilitato per impostazione predefinita: No
Account che è possibile usare per eseguire questo metodo:
Account di individuazione del gruppo di Active Directory (definito dall'utente)
Account computer del server del sito
Consiglio
Oltre alle informazioni contenute in questa sezione, vedere Funzionalità comuni di individuazione di gruppi, sistemi e utenti di Active Directory.
Usare questo metodo per cercare Active Directory Domain Services per identificare:
Gruppi di sicurezza locali, globali e universali.
Appartenenza dei gruppi.
Informazioni limitate sui computer membri e sugli utenti di un gruppo, anche quando un altro metodo di individuazione non ha individuato in precedenza tali computer e utenti.
Questo metodo di individuazione è destinato a identificare i gruppi e le relazioni di gruppo dei membri dei gruppi. Per impostazione predefinita, vengono individuati solo i gruppi di sicurezza. Se si desidera trovare anche l'appartenenza ai gruppi di distribuzione, è necessario selezionare la casella per l'opzione Individuare l'appartenenza ai gruppi di distribuzione nella scheda Opzione della finestra di dialogo Proprietà individuazione gruppo Active Directory .
L'individuazione del gruppo di Active Directory non supporta gli attributi estesi di Active Directory che possono essere identificati tramite l'individuazione del sistema active directory o l'individuazione utente di Active Directory. Poiché questo metodo di individuazione non è ottimizzato per individuare le risorse di computer e utenti, è consigliabile eseguire questo metodo di individuazione dopo aver eseguito l'individuazione del sistema active directory e l'individuazione utente di Active Directory. Questo suggerimento è dovuto al fatto che questo metodo crea un record di dati di individuazione completo (DDR) per i gruppi, ma solo un DDR limitato per i computer e gli utenti che sono membri di gruppi.
È possibile configurare gli ambiti di individuazione seguenti che controllano il modo in cui questo metodo cerca informazioni:
Percorso: usare una posizione se si vuole eseguire una ricerca in uno o più contenitori di Active Directory. Questa opzione di ambito supporta una ricerca ricorsiva dei contenitori di Active Directory specificati. Questo processo cerca ogni contenitore figlio nel contenitore specificato. Continua fino a quando non vengono trovati altri contenitori figlio.
Gruppi: usare i gruppi se si vuole cercare uno o più gruppi di Active Directory specifici. È possibile configurare Dominio di Active Directory per l'uso del dominio e della foresta predefiniti oppure limitare la ricerca a un singolo controller di dominio. Inoltre, è possibile specificare uno o più gruppi da cercare. Se non si specifica almeno un gruppo, viene eseguita la ricerca in tutti i gruppi trovati nel percorso Dominio di Active Directory specificato.
Attenzione
Quando si configura un ambito di individuazione, scegliere solo i gruppi che è necessario individuare. Questo consiglio è dovuto al fatto che l'individuazione del gruppo di Active Directory tenta di individuare ogni membro di ogni gruppo nell'ambito di individuazione. L'individuazione di gruppi di grandi dimensioni può richiedere un uso esteso della larghezza di banda e delle risorse di Active Directory.
Nota
Prima di poter creare raccolte basate sugli attributi estesi di Active Directory e per garantire risultati di individuazione accurati per computer e utenti, eseguire l'individuazione del sistema Active Directory o l'individuazione utente di Active Directory, a seconda di ciò che si vuole individuare.
Le azioni per l'individuazione dei gruppi di Active Directory vengono registrate nel file adsgdis.log nella <InstallationPath>\LOGS
cartella nel server del sito.
Per altre informazioni su come configurare questo metodo di individuazione, vedere Configurare i metodi di individuazione.
Individuazione del sistema active directory
Configurabile: Sì
Abilitato per impostazione predefinita: No
Account che è possibile usare per eseguire questo metodo:
Account di individuazione del sistema Active Directory (definito dall'utente)
Account computer del server del sito
Consiglio
Oltre alle informazioni contenute in questa sezione, vedere Funzionalità comuni di individuazione di gruppi, sistemi e utenti di Active Directory.
Usare questo metodo di individuazione per cercare nelle posizioni di Active Directory Domain Services specificate le risorse del computer che possono essere usate per creare raccolte e query. È anche possibile installare il client Configuration Manager in un dispositivo individuato usando l'installazione push client.
Per impostazione predefinita, questo metodo individua le informazioni di base sul computer, inclusi gli attributi seguenti:
Nome computer
Sistema operativo e versione
Nome contenitore Active Directory
Indirizzo IP
Sito di Active Directory
Timestamp dell'ultimo accesso
Per creare correttamente un DDR per un computer, l'individuazione del sistema active directory deve essere in grado di identificare l'account del computer e quindi risolvere correttamente il nome del computer in un indirizzo IP.
Nella scheda Attributi di Active Directory della finestra di dialogo Proprietà individuazione sistema Active Directory è possibile visualizzare l'elenco completo degli attributi degli oggetti predefiniti individuati. È anche possibile configurare il metodo per individuare gli attributi estesi.
Le azioni per l'individuazione del sistema Active Directory vengono registrate nel file adsysdis.log nella <InstallationPath>\LOGS
cartella nel server del sito.
Per altre informazioni su come configurare questo metodo di individuazione, vedere Configurare i metodi di individuazione.
Individuazione utente di Active Directory
Configurabile: Sì
Abilitato per impostazione predefinita: No
Account che è possibile usare per eseguire questo metodo:
Account di individuazione utente di Active Directory (definito dall'utente)
Account computer del server del sito
Consiglio
Oltre alle informazioni contenute in questa sezione, vedere Funzionalità comuni di individuazione di gruppi, sistemi e utenti di Active Directory.
Usare questo metodo di individuazione per cercare Active Directory Domain Services per identificare gli account utente e gli attributi associati. Per impostazione predefinita, questo metodo individua le informazioni di base sull'account utente, inclusi gli attributi seguenti:
Nome utente
Nome utente univoco, che include il nome di dominio
Dominio
Nomi dei contenitori di Active Directory
Nella finestra di dialogo Proprietà individuazione utente Active Directory , nella scheda Attributi di Active Directory , è possibile visualizzare l'elenco predefinito completo degli attributi degli oggetti individuati. È anche possibile configurare il metodo per individuare gli attributi estesi.
Le azioni per l'individuazione utente di Active Directory vengono registrate nel file adusrdis.log nella <InstallationPath>\LOGS
cartella nel server del sito.
Per altre informazioni su come configurare questo metodo di individuazione, vedere Configurare i metodi di individuazione.
Microsoft Entra'individuazione utente
Usare Microsoft Entra individuazione utente per cercare nella sottoscrizione di Microsoft Entra gli utenti con un'identità cloud moderna. Microsoft Entra'individuazione utente può trovare gli attributi seguenti:
objectId
displayName
mail
mailNickname
onPremisesSecurityIdentifier
userPrincipalName
tenantID
onPremisesDomainName
onPremisesSamAccountName
onPremisesDistinguishedName
Questo metodo supporta la sincronizzazione completa e differenziale degli attributi utente dall Microsoft Entra ID. Queste informazioni possono quindi essere usate insieme ai dati di individuazione raccolti dagli altri metodi di individuazione.
Le azioni per Microsoft Entra'individuazione utente vengono registrate nel file SMS_AZUREAD_DISCOVERY_AGENT.log nel server del sito di livello superiore della gerarchia.
Per configurare Microsoft Entra'individuazione utente, vedere Configurare Servizi di Azure per la gestione cloud. Per informazioni su come configurare questo metodo di individuazione, vedere Configurare l'individuazione utente Microsoft Entra.
Microsoft Entra individuazione del gruppo di utenti
È possibile individuare i gruppi di utenti e i membri di tali gruppi da Microsoft Entra ID. Microsoft Entra individuazione del gruppo di utenti può trovare gli attributi seguenti:
objectId
displayName
mailNickname
onPremisesSecurityIdentifier
tenantID
Le azioni per Microsoft Entra individuazione del gruppo utenti vengono registrate nel file SMS_AZUREAD_DISCOVERY_AGENT.log nel server del sito di livello superiore della gerarchia. Per informazioni su come configurare questo metodo di individuazione, vedere Configurare l'individuazione Microsoft Entra gruppo di utenti.
Individuazione heartbeat
Configurabile: Sì
Abilitato per impostazione predefinita: Sì
Account che è possibile usare per eseguire questo metodo:
- Account computer del server del sito
L'individuazione heartbeat differisce dagli altri metodi di individuazione Configuration Manager. È abilitata per impostazione predefinita ed è eseguita in ogni client del computer anziché in un server del sito per creare un DDR. Per mantenere il record di database dei client Configuration Manager, non disabilitare l'individuazione heartbeat. Oltre a gestire il record del database, questo metodo può forzare l'individuazione di un computer come nuovo record di risorse. Può anche ripopolare il record di database di un computer eliminato dal database.
L'individuazione heartbeat viene eseguita in base a una pianificazione configurata per tutti i client nella gerarchia. La pianificazione predefinita per l'individuazione heartbeat è impostata su ogni sette giorni. Se si modifica l'intervallo di individuazione heartbeat, assicurarsi che venga eseguito più frequentemente rispetto all'attività di manutenzione del sito Elimina dati di individuazione obsoleti. Questa attività elimina i record client inattivi dal database del sito. È possibile configurare l'attività Elimina dati di individuazione obsoleti solo per i siti primari.
È anche possibile eseguire manualmente l'individuazione heartbeat in un client specifico. Eseguire il ciclo di raccolta dati di individuazione nella scheda Azione del pannello di controllo Configuration Manager di un client.
Quando viene eseguita l'individuazione heartbeat, crea un DDR con le informazioni correnti del client. Il client copia quindi questo piccolo file in un punto di gestione in modo che un sito primario possa elaborarlo. Il file ha una dimensione di circa 1 KB e contiene le informazioni seguenti:
Percorso di rete
Nome NetBIOS
Versione dell'agente client
Dettagli dello stato operativo
L'individuazione heartbeat è l'unico metodo di individuazione che fornisce dettagli sullo stato di installazione del client. A tale scopo, aggiornando l'attributo client della risorsa di sistema per impostare un valore uguale a Sì.
Le azioni per l'individuazione heartbeat vengono registrate sul client nel file InventoryAgent.log nella %Windir%\CCM\Logs
cartella.
Per altre informazioni su come configurare questo metodo di individuazione, vedere Configurare i metodi di individuazione.
Individuazione della rete
Configurabile: Sì
Abilitato per impostazione predefinita: No
Account che è possibile usare per eseguire questo metodo:
- Account computer del server del sito
Usare questo metodo per individuare la topologia della rete e individuare i dispositivi nella rete con un indirizzo IP. L'individuazione di rete cerca nella rete le risorse abilitate per l'IP eseguendo una query sulle origini seguenti:
- Server che eseguono un'implementazione Microsoft di DHCP
- Cache ARP (Address Resolution Protocol) nei router di rete
- Dispositivi abilitati per SNMP
- Domini di Active Directory
Prima di poter usare l'individuazione di rete, è necessario specificare il livello di individuazione da eseguire. È anche possibile configurare uno o più meccanismi di individuazione che consentono all'individuazione di rete di eseguire query per segmenti di rete o dispositivi. È anche possibile configurare impostazioni che consentono di controllare le azioni di individuazione nella rete. Infine, si definiscono una o più pianificazioni per l'esecuzione dell'individuazione di rete.
Affinché questo metodo rilevi correttamente una risorsa, l'individuazione di rete deve identificare l'indirizzo IP e la subnet mask della risorsa. Per identificare la subnet mask di un oggetto vengono usati i metodi seguenti:
Cache ARP del router: L'individuazione di rete esegue una query sulla cache ARP di un router per trovare informazioni sulla subnet. In genere, i dati in una cache ARP del router hanno un breve tempo di vita. Pertanto, quando l'individuazione di rete esegue query nella cache ARP, la cache ARP potrebbe non avere più informazioni sull'oggetto richiesto.
DHCP: L'individuazione di rete esegue una query su ogni server DHCP specificato per individuare i dispositivi per i quali il server DHCP ha fornito un lease. L'individuazione di rete supporta solo i server DHCP che eseguono l'implementazione Microsoft di DHCP.
Dispositivo SNMP: L'individuazione di rete può eseguire direttamente query su un dispositivo SNMP. Affinché l'individuazione di rete eserciti una query su un dispositivo, è necessario che sia installato un agente SNMP locale. Configurare anche l'individuazione di rete per usare il nome della community usato dall'agente SNMP.
Quando l'individuazione identifica un oggetto indirizzabile tramite IP e può determinare la subnet mask dell'oggetto, crea un DDR per tale oggetto. Poiché diversi tipi di dispositivi si connettono alla rete, l'individuazione di rete individua le risorse che non supportano il client Configuration Manager. Ad esempio, i dispositivi che possono essere individuati ma non gestiti includono stampanti e router.
L'individuazione di rete può restituire diversi attributi come parte del record di individuazione creato. Questi attributi includono:
Nome NetBIOS
Indirizzi IP
Dominio risorsa
Ruoli di sistema
Nome della community SNMP
Indirizzi MAC
L'attività di individuazione di rete viene registrata nel file Netdisc.log in InstallationPath>\Logs
nel server del sito che esegue l'individuazione.
Per altre informazioni su come configurare questo metodo di individuazione, vedere Configurare i metodi di individuazione.
Nota
Le reti complesse e le connessioni a larghezza di banda ridotta possono causare un'esecuzione lenta dell'individuazione di rete e generare traffico di rete significativo. Eseguire l'individuazione di rete solo quando gli altri metodi di individuazione non riescono a trovare le risorse che è necessario individuare. Ad esempio, usare l'individuazione di rete per individuare i computer del gruppo di lavoro. Altri metodi di individuazione non individuano i computer del gruppo di lavoro.
Livelli di individuazione di rete
Quando si configura l'individuazione di rete, si specifica uno dei tre livelli di individuazione:
Livello di individuazione | Dettagli |
---|---|
Topologia | Questo livello individua router e subnet, ma non identifica una subnet mask per gli oggetti. |
Topologia e client | Oltre alla topologia, questo livello individua potenziali client come computer e risorse come stampanti e router. Questo livello di individuazione tenta di identificare la subnet mask degli oggetti trovati. |
Topologia, client e sistema operativo client | Oltre alla topologia e ai potenziali client, questo livello tenta di individuare il nome e la versione del sistema operativo del computer. Questo livello usa le chiamate di Rete windows e Windows Browser. |
Con ogni livello incrementale, l'individuazione della rete aumenta l'attività e l'utilizzo della larghezza di banda di rete. Considerare il traffico di rete che può essere generato prima di abilitare tutti gli aspetti dell'individuazione di rete.
Ad esempio, quando si usa l'individuazione di rete per la prima volta, è possibile iniziare solo con il livello di topologia per identificare l'infrastruttura di rete. Riconfigurare quindi l'individuazione di rete per individuare gli oggetti e i relativi sistemi operativi del dispositivo. È anche possibile configurare impostazioni che limitano l'individuazione di rete a un intervallo specifico di segmenti di rete. In questo modo si individuano gli oggetti nelle posizioni di rete necessarie ed si evita il traffico di rete non necessario. Questo processo consente anche di individuare gli oggetti dai router perimetrali o dall'esterno della rete.
Opzioni di individuazione di rete
Per consentire all'individuazione di rete di cercare dispositivi indirizzabili tramite IP, configurare una o più di queste opzioni.
Nota
L'individuazione di rete viene eseguita nel contesto dell'account computer del server del sito che esegue l'individuazione. Se l'account computer non dispone delle autorizzazioni per un dominio non attendibile, le configurazioni del dominio e del server DHCP possono non riuscire a individuare le risorse.
DHCP
Specificare ogni server DHCP su cui si vuole eseguire una query di individuazione di rete. L'individuazione di rete supporta solo i server DHCP che eseguono l'implementazione Microsoft di DHCP.
L'individuazione di rete recupera informazioni tramite chiamate di procedura remota al database nel server DHCP.
L'individuazione di rete può eseguire query su server DHCP a 32 bit e a 64 bit per un elenco di dispositivi registrati con ogni server.
Affinché l'individuazione di rete eserciti correttamente una query su un server DHCP, l'account computer del server che esegue l'individuazione deve essere un membro del gruppo Utenti DHCP nel server DHCP. Ad esempio, questo livello di accesso esiste quando una delle istruzioni seguenti è vera
Il server DHCP specificato è il server DHCP del server che esegue l'individuazione.
Il computer che esegue l'individuazione e il server DHCP si trovano nello stesso dominio.
Esiste un trust bidirezionale tra il computer che esegue l'individuazione e il server DHCP.
Il server del sito è un membro del gruppo Utenti DHCP.
Quando l'individuazione di rete enumera un server DHCP, non sempre individua gli indirizzi IP statici. L'individuazione di rete non trova gli indirizzi IP che fanno parte di un intervallo escluso di indirizzi IP nel server DHCP. Inoltre, non individua gli indirizzi IP riservati per l'assegnazione manuale.
Domini
Specificare ogni dominio su cui si vuole eseguire una query di individuazione di rete.
L'account computer del server del sito che esegue l'individuazione deve avere le autorizzazioni per leggere i controller di dominio in ogni dominio specificato.
Per individuare i computer dal dominio locale, è necessario abilitare il servizio Browser computer in almeno un computer. Questo computer deve trovarsi nella stessa subnet del server del sito che esegue l'individuazione di rete.
L'individuazione di rete può individuare qualsiasi computer che è possibile visualizzare dal server del sito quando si esplora la rete.
L'individuazione di rete recupera l'indirizzo IP. Usa quindi una richiesta echo ICMP (Internet Control Message Protocol) per effettuare il ping di ogni dispositivo trovato. Il comando ping consente di determinare quali computer sono attualmente attivi.
Dispositivi SNMP
Specificare ogni dispositivo SNMP su cui si vuole eseguire una query di individuazione di rete.
L'individuazione di rete ottiene il
ipNetToMediaTable
valore da qualsiasi dispositivo SNMP che risponde alla query. Questo valore restituisce matrici di indirizzi IP che sono computer client o altre risorse, ad esempio stampanti, router o altri dispositivi indirizzabili tramite IP.Per eseguire query su un dispositivo, è necessario specificare l'indirizzo IP o il nome NetBIOS del dispositivo.
Configurare l'individuazione di rete per l'uso del nome della community del dispositivo oppure il dispositivo rifiuta la query basata su SNMP.
Limitazione dell'individuazione di rete
Quando l'individuazione di rete esegue una query su un dispositivo SNMP sul bordo della rete, può identificare le informazioni sulle subnet e i dispositivi SNMP che si trovano all'esterno della rete immediata. Usare le informazioni seguenti per limitare l'individuazione di rete configurando i dispositivi SNMP con cui l'individuazione può comunicare e specificando i segmenti di rete su cui eseguire query.
Subnet
Configurare le subnet su cui viene eseguita l'individuazione di rete quando usa le opzioni SNMP e DHCP. Queste due opzioni cercano solo le subnet abilitate.
Ad esempio, una richiesta DHCP può restituire i dispositivi da posizioni nell'intera rete. Se si desidera individuare solo i dispositivi in una subnet specifica, specificare e abilitare tale subnet specifica nella scheda Subnet della finestra di dialogo Proprietà individuazione rete. Quando si specificano e si abilitano le subnet, si limitano le attività di individuazione DHCP e SNMP future a tali subnet.
Nota
Le configurazioni della subnet non limitano gli oggetti individuati dall'opzione Di individuazione domini .
Nomi della community SNMP
Per abilitare l'individuazione di rete per eseguire correttamente una query su un dispositivo SNMP, configurare l'individuazione di rete con il nome della community del dispositivo. Se l'individuazione di rete non è configurata usando il nome della community del dispositivo SNMP, il dispositivo rifiuta la query.
Numero massimo di hop
Quando si configura il numero massimo di hop del router, è possibile limitare il numero di segmenti di rete e router su cui l'individuazione di rete può eseguire query tramite SNMP.
Il numero di hop configurati limita il numero di dispositivi e segmenti di rete su cui l'individuazione di rete può eseguire query.
Ad esempio, un'individuazione solo topologia con 0 (zero) hop router individua la subnet in cui risiede il server di origine. Include tutti i router nella subnet.
Il diagramma seguente mostra cosa trova una query di individuazione di rete solo topologia quando viene eseguita nel server 1 con 0 hop router specificati: subnet D e Router 1.
Il diagramma seguente mostra cosa trovano una topologia e una query di individuazione della rete client quando viene eseguita nel server 1 con 0 hop router specificati: subnet D e Router 1 e tutti i potenziali client nella subnet D.
Per avere un'idea migliore di come un numero maggiore di hop del router possa aumentare la quantità di risorse di rete individuate, considerare la rete seguente:
L'esecuzione di un'individuazione di rete solo topologia dal server 1 con un hop router individua le entità seguenti:
Router 1 e subnet 10.1.10.0 (trovato con zero hop)
Subnet 10.1.20.0 e 10.1.30.0, subnet A e Router 2 (disponibili nel primo hop)
Avviso
Ogni aumento del numero di hop del router può aumentare significativamente il numero di risorse individuabili e aumentare la larghezza di banda di rete usata dall'individuazione di rete.
Individuazione server
Configurabile: No
Oltre ai metodi di individuazione configurabili dall'utente, Configuration Manager usa un processo denominato Individuazione server (SMS_WINNT_SERVER_DISCOVERY_AGENT
). Questo metodo di individuazione crea record di risorse per i computer che sono sistemi del sito, ad esempio un computer configurato come punto di gestione.
Funzionalità comuni dell'individuazione di gruppi di Active Directory, dell'individuazione del sistema e dell'individuazione utente
In questa sezione vengono fornite informazioni sulle funzionalità comuni ai metodi di individuazione seguenti:
Individuazione del gruppo di Active Directory
Individuazione del sistema active directory
Individuazione utente di Active Directory
Nota
Le informazioni in questa sezione non si applicano all'individuazione della foresta di Active Directory.
Questi tre metodi di individuazione sono simili nella configurazione e nell'operazione. Possono individuare computer, utenti e informazioni sulle appartenenze ai gruppi di risorse archiviate in Active Directory Domain Services. Il processo di individuazione viene gestito da un agente di individuazione. L'agente viene eseguito nel server del sito in ogni sito in cui l'individuazione è configurata per l'esecuzione. È possibile configurare ognuno di questi metodi di individuazione per eseguire ricerche in uno o più percorsi di Active Directory come istanze della posizione nella foresta locale o nelle foreste remote.
Quando l'individuazione cerca risorse in una foresta non attendibile, l'agente di individuazione deve essere in grado di risolvere quanto segue per avere esito positivo:When discovery searches an untrusted forest for resources, the discovery agent must be able to resolve the following to be successful:
Per individuare una risorsa computer usando l'individuazione del sistema active directory, l'agente di individuazione deve essere in grado di risolvere il nome di dominio completo della risorsa. Se non è in grado di risolvere il nome di dominio completo, tenta di risolvere la risorsa in base al nome NetBIOS.
Per individuare una risorsa utente o di gruppo usando l'individuazione utente di Active Directory o l'individuazione del gruppo di Active Directory, l'agente di individuazione deve essere in grado di risolvere il nome di dominio completo del nome del controller di dominio specificato per il percorso di Active Directory.
Per ogni percorso specificato, è possibile configurare singole opzioni di ricerca, ad esempio l'abilitazione di una ricerca ricorsiva dei contenitori figlio di Active Directory del percorso. È anche possibile configurare un account univoco da usare durante la ricerca in tale posizione. Questo account offre flessibilità nella configurazione di un metodo di individuazione in un sito per eseguire ricerche in più posizioni di Active Directory in più foreste. Non è necessario configurare un singolo account con autorizzazioni per tutte le posizioni.
Quando ognuno di questi tre metodi di individuazione viene eseguito in un sito specifico, il server del sito Configuration Manager in tale sito contatta il controller di dominio più vicino nella foresta di Active Directory specificata per individuare le risorse di Active Directory. Il dominio e la foresta possono essere in qualsiasi modalità Active Directory supportata. L'account assegnato a ogni istanza del percorso deve disporre dell'autorizzazione di accesso in lettura per i percorsi di Active Directory specificati.
L'individuazione cerca oggetti nelle posizioni specificate e quindi tenta di raccogliere informazioni su tali oggetti. Viene creato un DDR quando è possibile identificare informazioni sufficienti su una risorsa. Le informazioni richieste variano a seconda del metodo di individuazione in uso.
Se si configura lo stesso metodo di individuazione per l'esecuzione in siti di Configuration Manager diversi per sfruttare i vantaggi dell'esecuzione di query sui server Active Directory locali, è possibile configurare ogni sito con un set univoco di opzioni di individuazione. Poiché i dati di individuazione vengono condivisi con ogni sito nella gerarchia, evitare sovrapposizioni tra queste configurazioni per individuare in modo efficiente ogni risorsa una sola volta.
Per gli ambienti più piccoli, prendere in considerazione l'esecuzione di ogni metodo di individuazione in un solo sito nella gerarchia. Questa configurazione riduce il sovraccarico amministrativo e il potenziale per più azioni di individuazione di riscoprire le stesse risorse. Quando si riduce al minimo il numero di siti che eseguono l'individuazione, si riduce la larghezza di banda di rete complessiva usata dall'individuazione. È anche possibile ridurre il numero complessivo di DDR creati e che devono essere elaborati dai server del sito.
Molte configurazioni del metodo di individuazione sono autoesplicativi. Usare le sezioni seguenti per altre informazioni sulle opzioni di individuazione che potrebbero richiedere informazioni aggiuntive prima di configurarle.
Le opzioni seguenti sono disponibili per l'uso con più metodi di individuazione di Active Directory:
Filtrare i record del computer non aggiornati in base all'accesso al dominio
Filtrare i record non aggiornati in base alla password del computer
Individuazione delta
Disponibile per:
Individuazione del gruppo di Active Directory
Individuazione del sistema active directory
Individuazione utente di Active Directory
L'individuazione differenziale non è un metodo di individuazione indipendente, ma un'opzione disponibile per i metodi di individuazione applicabili. L'individuazione delta cerca negli attributi di Active Directory specifici le modifiche apportate dall'ultimo ciclo di individuazione completo del metodo di individuazione applicabile. Le modifiche dell'attributo vengono inviate al database Configuration Manager per aggiornare il record di individuazione della risorsa.
Per impostazione predefinita, l'individuazione differenziale viene eseguita in un ciclo di cinque minuti. Questa pianificazione è molto più frequente rispetto alla pianificazione tipica per un ciclo di individuazione completo. Questo ciclo frequente è possibile perché l'individuazione differenziale usa meno risorse di rete e server del sito rispetto a un ciclo di individuazione completo. Quando si usa l'individuazione differenziale, è possibile ridurre la frequenza del ciclo di individuazione completo per il metodo di individuazione.
Di seguito sono riportate le modifiche più comuni rilevate dall'individuazione differenziale:
Nuovi computer o utenti aggiunti ad Active Directory
Modifiche alle informazioni di base su computer e utenti
Nuovi computer o utenti aggiunti a un gruppo
Computer o utenti rimossi da un gruppo
Modifiche agli oggetti gruppo di sistema
Sebbene l'individuazione differenziale possa rilevare nuove risorse e modifiche all'appartenenza ai gruppi, non è in grado di rilevare quando una risorsa è stata eliminata da Active Directory. Le DDR create dall'individuazione differenziale vengono elaborate in modo analogo alle DDR create da un ciclo di individuazione completo.
È possibile configurare l'individuazione differenziale nella scheda Pianificazione polling nelle proprietà di ogni metodo di individuazione.
Filtrare i record del computer non aggiornati in base all'accesso al dominio
Disponibile per:
Individuazione del gruppo di Active Directory
Individuazione del sistema active directory
È possibile configurare l'individuazione per escludere i computer con un record computer non aggiornato. Questa esclusione si basa sull'ultimo accesso al dominio del computer. Quando questa opzione è abilitata, l'individuazione del sistema active directory valuta ogni computer identificato. L'individuazione dei gruppi di Active Directory valuta ogni computer membro di un gruppo individuato.
Per usare questa opzione:
I computer devono essere configurati per aggiornare l'attributo
lastLogonTimeStamp
in Active Directory Domain Services.Il livello di funzionalità del dominio Active Directory deve essere impostato su Windows Server 2003 o versione successiva.
Quando si configura l'ora successiva all'ultimo accesso che si vuole usare per questa impostazione, considerare l'intervallo per la replica tra controller di dominio.
È possibile configurare il filtro nella scheda Opzione nelle finestre di dialogo Proprietà individuazione sistema Active Directory e Proprietà individuazione gruppo Active Directory . Scegliere Individua solo i computer che hanno eseguito l'accesso a un dominio in un determinato periodo di tempo.
Avviso
Quando si configura questo filtro e si filtrano i record non aggiornati in base alla password del computer, l'individuazione esclude i computer che soddisfano i criteri di entrambi i filtri.
Filtrare i record non aggiornati in base alla password del computer
Disponibile per:
Individuazione del gruppo di Active Directory
Individuazione del sistema active directory
È possibile configurare l'individuazione per escludere i computer con un record computer non aggiornato. Questa esclusione si basa sull'ultimo aggiornamento della password dell'account computer da parte del computer. Quando questa opzione è abilitata, l'individuazione del sistema active directory valuta ogni computer identificato. L'individuazione dei gruppi di Active Directory valuta ogni computer membro di un gruppo individuato.
Per usare questa opzione:
- I computer devono essere configurati per aggiornare l'attributo
pwdLastSet
in Active Directory Domain Services.
Quando si configura questa opzione, considerare l'intervallo per gli aggiornamenti a questo attributo. Si consideri anche l'intervallo di replica tra controller di dominio.
È possibile configurare il filtro nella scheda Opzione nelle finestre di dialogo Proprietà individuazione sistema Active Directory e Proprietà individuazione gruppo Active Directory . Scegliere Individua solo i computer che hanno aggiornato la password dell'account computer in un determinato periodo di tempo.
Avviso
Quando si configura questo filtro e si filtrano i record non aggiornati in base all'accesso al dominio, l'individuazione esclude i computer che soddisfano i criteri di entrambi i filtri.
Ricerca di attributi di Active Directory personalizzati
Disponibile per:
Individuazione del sistema active directory
Individuazione utente di Active Directory
Ogni metodo di individuazione supporta un elenco univoco di attributi di Active Directory che è possibile individuare.
È possibile visualizzare e configurare l'elenco di attributi personalizzati nella scheda Attributi di Active Directory nelle finestre di dialogo Proprietà individuazione sistema Active Directory e Proprietà individuazione utente Active Directory .
Passaggi successivi
Selezionare i metodi di individuazione da usare per Configuration Manager