Configuration Managerでの Active Directory ドメインのサポート

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

すべてのConfiguration Manager サイト システムは、サポートされている Active Directory ドメインのメンバーである必要があります。 クライアント コンピューター Configuration Managerドメイン メンバーまたはワークグループ メンバーにすることができます。

要件と制限事項

  • ドメイン メンバーシップは、境界ネットワークでのインターネット ベースのクライアント管理をサポートするサイト システムにも適用されます。 (これらのネットワークは、DMZ、非武装地帯、およびスクリーン サブネットとも呼ばれます)。

  • サイト システムの役割をホストするコンピューターの次の構成を変更することはサポートされていません。

    • ドメインからサイト システムを削除した後、同じドメインに再度参加する場合など、ドメイン メンバーシップ。

    • ドメイン名

    • コンピューター名

    これらの変更を行う前に、サイト システムの役割をアンインストールします。 これらの変更をサイト サーバーに対して行うには、まずサイトをアンインストールします。 また、 パッシブ モードでサイト サーバー を作成して、サイト サーバーでこの変更を管理することもできます。

  • Configuration Managerでは、Windows Server 2008 R2 以降のドメインおよびフォレストの機能レベルがサポートされます。

不整合な名前空間

Configuration Managerサイト システムとクライアントは、不整合な名前空間を持つドメインにインストールできます。

不整合な名前空間では、コンピューターのプライマリ DNS サフィックスがそのコンピューターの Active Directory DNS ドメイン名と一致しません。 ドメイン コントローラーの NetBIOS ドメイン名が Active Directory DNS ドメイン名と一致しない場合、別の不整合な名前空間シナリオが発生します。

不整合なシナリオ

次のセクションでは、不整合な名前空間でサポートされるシナリオについて説明します。

シナリオ 1

ドメイン コントローラーのプライマリ DNS サフィックスは、Active Directory DNS ドメイン名とは異なります。 このドメインのメンバーであるコンピューターは、不整合である場合も、不整合でない場合もどちらもあり得ます。

このシナリオでは、ドメイン コントローラーが不整合です。 サイト サーバーやコンピューターなど、ドメインのメンバーであるコンピューターには、次のいずれかに一致するプライマリ DNS サフィックスを使用できます。

  • ドメイン コントローラーのプライマリ DNS サフィックス
  • Active Directory DNS ドメイン名

シナリオ 2

ドメイン コントローラーが不整合ではない場合でも、Active Directory ドメイン内のメンバー コンピューターは不整合です。

このシナリオでは、サイト システムのプライマリ DNS サフィックスが Active Directory DNS ドメイン名と異なります。 ドメイン コントローラーのプライマリ DNS サフィックスは、Active Directory DNS ドメイン名と同じです。 クライアントConfiguration Managerメンバー コンピューターは、次のいずれかに一致するプライマリ DNS サフィックスを持つことができます。

  • 不整合なサイト システム サーバーのプライマリ DNS サフィックス
  • Active Directory DNS ドメイン名

名前空間の不整合を構成する

コンピューターが不整合なドメイン コントローラーにアクセスできるようにするには、ドメイン オブジェクト コンテナーの msDS-AllowedDNSSuffixes Active Directory 属性を変更します。 両方の DNS サフィックスを 属性に追加します。

DNS サフィックス検索リストに組織内のすべての DNS 名前空間が含まれていることを確認するには、不整合ドメイン内の各コンピューターの検索リストを構成します。 名前空間の一覧に次のサフィックスを含めます。

  • ドメイン コントローラーのプライマリ DNS サフィックス
  • DNS ドメイン名
  • Configuration Managerが通信する可能性がある他のサーバー用の追加の名前空間

グループ ポリシーを使用して、 ドメイン ネーム システム (DNS) サフィックス検索 リストを構成できます。

重要

Configuration Managerでコンピューターを参照する場合は、プライマリ DNS サフィックスを使用してコンピューターを入力します。 このサフィックスは、Active Directory ドメインの dnsHostName 属性として登録されている完全修飾ドメイン名と、システムに関連付けられているサービス プリンシパル名と一致する必要があります。

単一ラベルのドメイン

Configuration Managerでは、次の条件が満たされた場合に、単一のラベル ドメイン内のサイト システムとクライアントがサポートされます。

  • 有効な最上位ドメインを持つ不整合な DNS 名前空間を使用して、Active Directory Domain Servicesの単一ラベル ドメインを構成します。

    例えば: Contoso の単一ラベル ドメインは、CONTOSO.COM の DNS で不整合な名前空間を持つよう構成されています。 Contoso ドメイン内のコンピューターのConfiguration Managerで DNS サフィックスを指定する場合は、"Contoso" ではなく "Contoso.com" を指定します。

  • システム コンテキスト内のサイト サーバー間の分散コンポーネント オブジェクト モデル (DCOM) 接続は、Kerberos 認証を使用して成功する必要があります。