Configuration Managerの検出方法について

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Configuration Manager検出方法では、ネットワーク上のさまざまなデバイス、Active Directory のデバイスとユーザー、または Microsoft Entra ID のユーザーを検索します。 検出方法を効率的に使用するには、使用可能な構成と制限事項を理解する必要があります。

Active Directory フォレストの検出

設定: はい

既定で有効になっています。 いいえ

このメソッドを実行するために使用できるアカウント:

他の Active Directory 検出方法とは異なり、Active Directory フォレストの検出では、管理できるリソースは検出されません。 代わりに、このメソッドは Active Directory で構成されているネットワークの場所を検出します。 階層全体で使用するために、これらの場所を境界に変換できます。

このメソッドを実行すると、Configuration Manager コンソールの [Active Directory フォレスト] ノードで構成したローカル Active Directory フォレスト、各信頼されたフォレスト、およびその他のフォレストが検索されます。

Active Directory フォレスト検出を使用して、次の手順を実行します。

  • Active Directory サイトとサブネットを検出し、それらのネットワークの場所に基づいてConfiguration Manager境界を作成します。

  • Active Directory サイトに割り当てられているスーパーネットを特定します。 各スーパーネットを IP アドレス範囲の境界に変換します。

  • そのフォレストへの発行が有効になっている場合は、フォレスト内のActive Directory Domain Services (AD DS) に発行します。 指定した Active Directory フォレスト アカウントには、そのフォレストに対するアクセス許可が必要です。

Active Directory フォレストの検出は、Configuration Manager コンソールで管理できます。 [管理] ワークスペースに移動し、[階層の構成] を展開します

  • 検出方法: Active Directory フォレストの検出を有効にして、階層の最上位サイトで実行します。 検出を実行するスケジュールを指定することもできます。 検出された IP サブネットと Active Directory サイトから境界を自動的に作成するように構成します。 Active Directory フォレストの検出は、子プライマリ サイトまたはセカンダリ サイトでは実行できません。

  • Active Directory フォレスト: 検出する他のフォレストを構成し、各 Active Directory フォレスト アカウントを指定し、各フォレストへの発行を構成します。 検出プロセスを監視します。 IP サブネットと Active Directory サイトを境界グループのConfiguration Manager境界とメンバーとして追加します。

階層内の各サイトに対して Active Directory フォレストの発行を構成するには、Configuration Manager コンソールを階層の最上位サイトに接続します。 Active Directory サイトの [プロパティ] ダイアログ ボックスの [発行] タブには、現在のサイトとその子サイトのみが表示されます。 フォレストに対して発行が有効になっていて、そのフォレストのスキーマがConfiguration Manager用に拡張されている場合、その Active Directory フォレストへの発行が有効になっているサイトごとに、次の情報が発行されます。

  • SMS-Site-<site code>

  • SMS-MP-<site code>-<site system server name>

  • SMS-SLP-<site code>-<site system server name>

  • SMS-<site code>-<Active Directory site name or subnet>

注:

セカンダリ サイトでは、常にセカンダリ サイト サーバー コンピューター アカウントを使用して Active Directory に発行します。 セカンダリ サイトを Active Directory に発行する場合は、セカンダリ サイト サーバー コンピューター アカウントに Active Directory に発行するアクセス許可があることを確認します。 セカンダリ サイトは、信頼されていないフォレストにデータを発行できません。

注意

Active Directory フォレストにサイトを発行するオプションをオフにすると、そのサイトに対して以前に発行されたすべての情報 (使用可能なサイト システムの役割を含む) が Active Directory から削除されます。

Active Directory フォレスト検出のアクションは、次のログに記録されます。

  • 発行に関連するアクションを除くすべてのアクションは、サイト サーバーの InstallationPath>\Logs フォルダーの<ADForestDisc.Log ファイルに記録されます。

  • Active Directory フォレスト探索の発行アクションは、サイト サーバーの InstallationPath>\Logs フォルダーの<hman.log ファイルと sitecomp.log ファイルに記録されます。

この検出方法を構成する方法の詳細については、「検出 方法の構成」を参照してください。

Active Directory グループの検出

設定: はい

既定で有効になっています。 いいえ

このメソッドを実行するために使用できるアカウント:

ヒント

このセクションの情報に加えて、「 Active Directory グループ、システム、およびユーザー検出の一般的な機能」を参照してください。

次のメソッドを使用して、Active Directory Domain Servicesを検索して識別します。

  • ローカル、グローバル、ユニバーサルのセキュリティ グループ。

  • グループのメンバーシップ。

  • グループのメンバー コンピューターとユーザーに関する限られた情報。別の検出方法でそれらのコンピューターとユーザーが以前に検出されていない場合でも。

この検出方法は、グループとグループのメンバーのグループ関係を識別することを目的としています。 既定では、セキュリティ グループのみが検出されます。 配布グループのメンバーシップも検索する場合は、[Active Directory グループの検出プロパティ] ダイアログ ボックスの [オプション] タブの [配布グループのメンバーシップを検出する] オプションのボックスをチェックする必要があります。

Active Directory グループ検出では、Active Directory システム検出または Active Directory ユーザー検出を使用して識別できる拡張 Active Directory 属性はサポートされていません。 この検出方法は、コンピューターとユーザーのリソースを検出するように最適化されていないため、Active Directory システム検出と Active Directory ユーザー検出を実行した後で、この検出方法を実行することを検討してください。 この提案は、この方法ではグループの完全な検出データ レコード (DDR) を作成しますが、グループのメンバーであるコンピューターとユーザーには限られた DDR のみが作成されるためです。

このメソッドが情報を検索する方法を制御する次の検出スコープを構成できます。

  • 場所: 1 つ以上の Active Directory コンテナーを検索する場合は、場所を使用します。 このスコープ オプションは、指定された Active Directory コンテナーの再帰的検索をサポートします。 このプロセスでは、指定したコンテナーの下にある各子コンテナーが検索されます。 これ以上子コンテナーが見つからないまで続行されます。

  • グループ: 1 つ以上の特定の Active Directory グループを検索する場合は、グループを使用します。 既定のドメインとフォレストを使用するようにActive Directory ドメインを構成することも、個々のドメイン コントローラーに検索を制限することもできます。 さらに、検索する 1 つ以上のグループを指定できます。 少なくとも 1 つのグループを指定しない場合は、指定したActive Directory ドメインの場所にあるすべてのグループが検索されます。

注意

検出スコープを構成する場合は、検出する必要があるグループのみを選択します。 この推奨事項は、Active Directory グループの検出によって、検出スコープ内の各グループの各メンバーが検出されるためです。 大規模なグループを検出するには、帯域幅と Active Directory リソースを広範に使用する必要があります。

注:

拡張 Active Directory 属性に基づくコレクションを作成し、コンピューターとユーザーの正確な検出結果を確保するには、検出する内容に応じて Active Directory システム検出または Active Directory ユーザー検出を実行します。

Active Directory グループ検出のアクションは、サイト サーバー上のフォルダー内の <InstallationPath>\LOGSadsgdis.log ファイルに記録されます。

この検出方法を構成する方法の詳細については、「検出 方法の構成」を参照してください。

Active Directory システム検出

設定: はい

既定で有効になっています。 いいえ

このメソッドを実行するために使用できるアカウント:

ヒント

このセクションの情報に加えて、「 Active Directory グループ、システム、およびユーザー検出の一般的な機能」を参照してください。

コレクションとクエリの作成に使用できるコンピューター リソースについて、指定したActive Directory Domain Servicesの場所を検索するには、この検出方法を使用します。 クライアント プッシュ インストールを使用して、検出されたデバイスにConfiguration Manager クライアントをインストールすることもできます。

既定では、このメソッドはコンピューターに関する基本的な情報 (次の属性を含む) を検出します。

  • コンピューター名

  • OS とバージョン

  • Active Directory コンテナー名

  • IP アドレス

  • [Active Directory サイト]

  • 最終サインインのタイム スタンプ

コンピューターの DDR を正常に作成するには、Active Directory システム検出でコンピューター アカウントを識別し、コンピューター名を IP アドレスに正常に解決できる必要があります。

[ Active Directory システム検出のプロパティ ] ダイアログ ボックスの [ Active Directory 属性 ] タブで、検出される既定のオブジェクト属性の完全な一覧を表示できます。 拡張属性を検出するように メソッドを構成することもできます。

Active Directory システム検出のアクションは、サイト サーバー上のフォルダーの <InstallationPath>\LOGSadsysdis.log ファイルに記録されます。

この検出方法を構成する方法の詳細については、「検出 方法の構成」を参照してください。

Active Directory ユーザー検出

設定: はい

既定で有効になっています。 いいえ

このメソッドを実行するために使用できるアカウント:

ヒント

このセクションの情報に加えて、「 Active Directory グループ、システム、およびユーザー検出の一般的な機能」を参照してください。

この検出方法を使用してActive Directory Domain Servicesを検索して、ユーザー アカウントと関連する属性を識別します。 既定では、このメソッドは、次の属性を含む、ユーザー アカウントに関する基本的な情報を検出します。

  • ユーザー名

  • ドメイン名を含む一意のユーザー名

  • ドメイン

  • Active Directory コンテナー名

[ Active Directory ユーザー検出のプロパティ ] ダイアログ ボックスの [ Active Directory 属性 ] タブで、検出されたオブジェクト属性の完全な既定の一覧を表示できます。 拡張属性を検出するように メソッドを構成することもできます。

Active Directory ユーザー検出のアクションは、サイト サーバー上のフォルダー内の <InstallationPath>\LOGSadusrdis.log ファイルに記録されます。

この検出方法を構成する方法の詳細については、「検出 方法の構成」を参照してください。

ユーザー検出のMicrosoft Entra

Microsoft Entraユーザー検出を使用して、最新のクラウド ID を持つユーザーをMicrosoft Entra サブスクリプションで検索します。 ユーザー検出Microsoft Entra、次の属性を見つけることができます。

  • objectId
  • displayName
  • mail
  • mailNickname
  • onPremisesSecurityIdentifier
  • userPrincipalName
  • tenantID
  • onPremisesDomainName
  • onPremisesSamAccountName
  • onPremisesDistinguishedName

このメソッドは、Microsoft Entra ID からのユーザー属性の完全同期と差分同期をサポートします。 この情報は、他の検出方法から収集したサイド 検出データと共に使用できます。

Microsoft Entraユーザー検出のアクションは、階層の最上位サイト サーバーの SMS_AZUREAD_DISCOVERY_AGENT.log ファイルに記録されます。

ユーザー検出Microsoft Entra構成するには、「Azure Services for Cloud Management の構成」を参照してください。 この検出方法を構成する方法の詳細については、「ユーザー検出Microsoft Entra構成する」を参照してください。

ユーザー グループの検出Microsoft Entra

これらのグループのユーザー グループとメンバーは、Microsoft Entra ID から検出できます。 ユーザー グループ検出Microsoft Entra、次の属性を見つけることができます。

  • objectId
  • displayName
  • mailNickname
  • onPremisesSecurityIdentifier
  • tenantID

Microsoft Entraユーザー グループ検出のアクションは、階層の最上位サイト サーバーの SMS_AZUREAD_DISCOVERY_AGENT.log ファイルに記録されます。 この検出方法を構成する方法については、「ユーザー グループの検出Microsoft Entra構成する」を参照してください。

ハートビート検出

設定: はい

既定で有効になっています。 はい

このメソッドを実行するために使用できるアカウント:

  • サイト サーバーのコンピューター アカウント

ハートビート検出は、他のConfiguration Manager検出方法とは異なります。 これは既定で有効になっており、DDR を作成するためにサイト サーバーではなく、各コンピューター クライアントで実行されます。 Configuration Manager クライアントのデータベース レコードを維持するために、ハートビート検出を無効にしないでください。 このメソッドは、データベース レコードを維持するだけでなく、コンピューターを強制的に新しいリソース レコードとして検出できます。 また、データベースから削除されたコンピューターのデータベース レコードを再入力することもできます。

ハートビート検出は、階層内のすべてのクライアントに対して構成されたスケジュールで実行されます。 ハートビート検出の既定のスケジュールは、7 日ごとにに設定されます。 ハートビート検出間隔を変更する場合は、サイト メンテナンス タスクの [期限切れの検出データの削除] よりも頻繁に実行されていることを確認します。 このタスクは、非アクティブなクライアント レコードをサイト データベースから削除します。 期限 切れの探索データの削除 タスクは、プライマリ サイトに対してのみ構成できます。

また、特定のクライアントでハートビート検出を手動で実行することもできます。 クライアントのConfiguration Managerコントロール パネルの [アクション] タブで、探索データ収集サイクルを実行します。

ハートビート検出が実行されると、クライアントの現在の情報を持つ DDR が作成されます。 その後、クライアントはこの小さなファイルを管理ポイントにコピーして、プライマリ サイトで処理できるようにします。 ファイルのサイズは約 1 KB で、次の情報があります。

  • ネットワークの場所

  • NetBIOS 名

  • クライアント エージェントのバージョン

  • 運用状態の詳細

ハートビート検出は、クライアントのインストール状態に関する詳細を提供する唯一の検出方法です。 これは、システム リソース クライアント属性を更新して、値が Yes に等しい値を設定することで行 われます

ハートビート検出のアクションは、フォルダー内の InventoryAgent.log ファイル内のクライアントに %Windir%\CCM\Logs 記録されます。

この検出方法を構成する方法の詳細については、「検出 方法の構成」を参照してください。

ネットワーク検出

設定: はい

既定で有効になっています。 いいえ

このメソッドを実行するために使用できるアカウント:

  • サイト サーバーのコンピューター アカウント

この方法を使用して、ネットワークのトポロジを検出し、IP アドレスを持つネットワーク上のデバイスを検出します。 ネットワーク検出では、次のソースに対してクエリを実行して、ネットワークで IP 対応リソースを検索します。

  • DHCP の Microsoft 実装を実行するサーバー
  • ネットワーク ルーターのアドレス解決プロトコル (ARP) キャッシュ
  • SNMP 対応デバイス
  • Active Directory ドメイン

ネットワーク検出を使用する前に、実行する検出 のレベル を指定する必要があります。 また、ネットワーク検出がネットワーク セグメントまたはデバイスに対してクエリを実行できるようにする 1 つ以上の検出メカニズムも構成します。 ネットワーク上の検出アクションを制御するのに役立つ設定を構成することもできます。 最後に、ネットワーク検出の実行時の 1 つ以上のスケジュールを定義します。

この方法でリソースを正常に検出するには、ネットワーク検出でリソースの IP アドレスとサブネット マスクを識別する必要があります。 オブジェクトのサブネット マスクを識別するには、次のメソッドを使用します。

  • ルーター ARP キャッシュ: ネットワーク検出は、ルーターの ARP キャッシュに対してクエリを実行してサブネット情報を検索します。 通常、ルーター ARP キャッシュ内のデータの有効期間は短くなります。 そのため、ネットワーク検出が ARP キャッシュに対してクエリを実行すると、ARP キャッシュに要求されたオブジェクトに関する情報がなくなった可能性があります。

  • Dhcp: ネットワーク検出では、指定した各 DHCP サーバーに対してクエリを実行して、DHCP サーバーがリースを提供したデバイスを検出します。 ネットワーク検出では、DHCP の Microsoft 実装を実行する DHCP サーバーのみがサポートされます。

  • SNMP デバイス: ネットワーク検出では、SNMP デバイスに対して直接クエリを実行できます。 ネットワーク検出でデバイスを照会するには、デバイスにローカル SNMP エージェントがインストールされている必要があります。 また、SNMP エージェントが使用しているコミュニティ名を使用するようにネットワーク検出を構成します。

検出によって IP アドレス指定可能なオブジェクトが識別され、オブジェクトのサブネット マスクを決定できる場合、そのオブジェクトの DDR が作成されます。 さまざまな種類のデバイスがネットワークに接続するため、ネットワーク検出では、Configuration Manager クライアントをサポートしていないリソースが検出されます。 たとえば、検出できるが管理できないデバイスには、プリンターとルーターが含まれます。

ネットワーク探索は、作成する探索レコードの一部として複数の属性を返すことができます。 これらの属性は次のとおりです。

  • NetBIOS 名

  • IP アドレス

  • リソース ドメイン

  • システム ロール

  • SNMP コミュニティ名

  • MAC アドレス

ネットワーク検出アクティビティは、検出を実行するサイト サーバーの InstallationPath>\LogsNetdisc.log ファイルに記録されます。

この検出方法を構成する方法の詳細については、「検出 方法の構成」を参照してください。

注:

複雑なネットワークと低帯域幅の接続により、ネットワーク検出の実行速度が遅くなり、大量のネットワーク トラフィックが生成される可能性があります。 他の検出方法で検出する必要があるリソースが見つからない場合にのみ、ネットワーク検出を実行します。 たとえば、ネットワーク検出を使用してワークグループ コンピューターを検出します。 その他の検出方法では、ワークグループ コンピューターは検出されません。

ネットワーク検出のレベル

ネットワーク検出を構成する場合は、次の 3 つの検出レベルのいずれかを指定します。

検出のレベル 詳細
トポロジ このレベルでは、ルーターとサブネットが検出されますが、オブジェクトのサブネット マスクは識別されません。
トポロジとクライアント トポロジに加えて、このレベルでは、コンピューターやプリンターやルーターなどのリソースなどの潜在的なクライアントが検出されます。 このレベルの検出では、検出されたオブジェクトのサブネット マスクを特定しようとします。
トポロジ、クライアント、およびクライアント のオペレーティング システム トポロジと潜在的なクライアントに加えて、このレベルでは、コンピューターオペレーティング システムの名前とバージョンの検出が試行されます。 このレベルでは、Windows ブラウザー呼び出しと Windows ネットワーク呼び出しが使用されます。

増分レベルごとに、ネットワーク検出によってアクティビティとネットワーク帯域幅の使用量が増加します。 ネットワーク検出のすべての側面を有効にする前に生成できるネットワーク トラフィックを検討してください。

たとえば、最初にネットワーク検出を使用する場合は、トポロジ レベルから始めてネットワーク インフラストラクチャを識別できます。 次に、オブジェクトとそのデバイス オペレーティング システムを検出するようにネットワーク検出を再構成します。 ネットワーク検出を特定の範囲のネットワーク セグメントに制限する設定を構成することもできます。 そうすることで、必要なネットワークの場所にあるオブジェクトを検出し、不要なネットワーク トラフィックを回避できます。 このプロセスでは、エッジ ルーターまたはネットワークの外部からオブジェクトを検出することもできます。

ネットワーク検出オプション

ネットワーク検出で IP アドレス指定可能なデバイスを検索できるようにするには、これらのオプションの 1 つ以上を構成します。

注:

ネットワーク検出は、検出を実行するサイト サーバーのコンピューター アカウントのコンテキストで実行されます。 コンピューター アカウントに信頼されていないドメインへのアクセス許可がない場合、ドメインと DHCP サーバーの構成はリソースの検出に失敗する可能性があります。

Dhcp

ネットワーク検出でクエリを実行する各 DHCP サーバーを指定します。 ネットワーク検出では、DHCP の Microsoft 実装を実行する DHCP サーバーのみがサポートされます。

  • ネットワーク検出では、DHCP サーバー上のデータベースへのリモート プロシージャ 呼び出しを使用して情報を取得します。

  • ネットワーク検出では、32 ビットと 64 ビットの両方の DHCP サーバーに対して、各サーバーに登録されているデバイスの一覧を照会できます。

  • ネットワーク検出で DHCP サーバーのクエリを正常に実行するには、検出を実行するサーバーのコンピューター アカウントが DHCP サーバー上の DHCP ユーザー グループのメンバーである必要があります。 たとえば、このレベルのアクセスは、次のいずれかのステートメントが true の場合に存在します

    • 指定された DHCP サーバーは、検出を実行するサーバーの DHCP サーバーです。

    • 検出を実行するコンピューターと DHCP サーバーが同じドメイン内にあります。

    • 検出を実行するコンピューターと DHCP サーバーの間には、双方向の信頼が存在します。

    • サイト サーバーは DHCP ユーザー グループのメンバーです。

  • ネットワーク検出によって DHCP サーバーが列挙される場合、静的 IP アドレスが常に検出されるとは限りません。 ネットワーク検出では、DHCP サーバー上の IP アドレスの除外範囲の一部である IP アドレスが見つかりません。 また、手動割り当て用に予約されている IP アドレスも検出されません。

ドメイン

ネットワーク検出でクエリを実行する各ドメインを指定します。

  • 検出を実行するサイト サーバーのコンピューター アカウントには、指定された各ドメイン内のドメイン コントローラーを読み取るアクセス許可が必要です。

  • ローカル ドメインからコンピューターを検出するには、少なくとも 1 台のコンピューターでコンピューター ブラウザー サービスを有効にする必要があります。 このコンピューターは、ネットワーク検出を実行するサイト サーバーと同じサブネット上にある必要があります。

  • ネットワーク検出では、ネットワークを参照するときにサイト サーバーから表示できる任意のコンピューターを検出できます。

  • ネットワーク検出では、IP アドレスが取得されます。 次に、インターネット制御メッセージ プロトコル (ICMP) エコー要求を使用して、検出された各デバイスに ping を実行します。 ping コマンドは、現在アクティブなコンピューターを特定するのに役立ちます。

SNMP デバイス

ネットワーク検出でクエリを実行する各 SNMP デバイスを指定します。

  • ネットワーク検出は、クエリに ipNetToMediaTable 応答するすべての SNMP デバイスから値を取得します。 この値は、クライアント コンピューターまたはプリンター、ルーター、またはその他の IP アドレス可能なデバイスなどの他のリソースである IP アドレスの配列を返します。

  • デバイスを照会するには、デバイスの IP アドレスまたは NetBIOS 名を指定する必要があります。

  • デバイスのコミュニティ名を使用するようにネットワーク検出を構成するか、デバイスが SNMP ベースのクエリを拒否します。

ネットワーク検出の制限

ネットワーク検出は、ネットワークのエッジ上の SNMP デバイスに対してクエリを実行すると、即時ネットワークの外部にあるサブネットと SNMP デバイスに関する情報を識別できます。 次の情報を使用して、検出が通信できる SNMP デバイスを構成し、クエリを実行するネットワーク セグメントを指定することで、ネットワーク検出を制限します。

サブネット

SNMP オプションと DHCP オプションを使用する場合にネットワーク探索クエリを実行するサブネットを構成します。 これら 2 つのオプションは、有効なサブネットのみを検索します。

たとえば、DHCP 要求は、ネットワーク全体の場所からデバイスを返すことができます。 特定のサブネット上のデバイスのみを検出する場合は、[ネットワーク検出のプロパティ] ダイアログ ボックスの [サブネット] タブでその特定のサブネットを指定して有効にします。 サブネットを指定して有効にすると、将来の DHCP および SNMP 検出タスクをそれらのサブネットに制限します。

注:

サブネット構成では、[ドメインの検出] オプションで検出されるオブジェクト 制限されません。

SNMP コミュニティ名

ネットワーク検出を有効にして SNMP デバイスのクエリを正常に実行するには、デバイスのコミュニティ名を使用してネットワーク検出を構成します。 SNMP デバイスのコミュニティ名を使用してネットワーク検出が構成されていない場合、デバイスはクエリを拒否します。

最大ホップ数

ルーター ホップの最大数を構成する場合は、SNMP を使用してネットワーク検出で照会できるネットワーク セグメントとルーターの数を制限します。

構成するホップの数によって、ネットワーク検出で照会できるデバイスとネットワーク セグメントの数が制限されます。

たとえば、 0 (ゼロ) のルーター ホップを持つトポロジのみの検出では、送信元サーバーが存在するサブネットが検出されます。 これには、そのサブネット上のすべてのルーターが含まれます。

次の図は、0 個のルーター ホップが指定されたサーバー 1 で実行されたときに、トポロジのみのネットワーク検出クエリで検出される内容を示しています。サブネット D とルーター 1。

ルータージャンプがゼロの検出の画像。

次の図は、0 個のルーター ホップが指定されたサーバー 1 で実行されるトポロジとクライアント ネットワーク検出クエリを示しています。サブネット D とルーター 1、サブネット D 上のすべての潜在的なクライアント。

1 つのルータージャンプを使用した検出の画像。

検出されるネットワーク リソースの量を増やすルーター ホップの数を増やす方法を理解するには、次のネットワークを検討してください。

2 つのルーター ジャンプを使用した検出の画像。

1 つのルーター ホップでサーバー 1 からトポロジのみのネットワーク検出を実行すると、次のエンティティが検出されます。

  • ルーター 1 とサブネット 10.1.10.0 (ゼロ ホップで検出)

  • サブネット 10.1.20.0 と 10.1.30.0、サブネット A、ルーター 2 (最初のホップで検出)

警告

ルーター ホップの数が増えるたびに、検出可能なリソースの数が大幅に増加し、ネットワーク検出で使用されるネットワーク帯域幅が増加する可能性があります。

サーバー検出

設定: いいえ

Configuration Managerでは、ユーザーが構成可能な検出方法に加えて、Server Discovery (SMS_WINNT_SERVER_DISCOVERY_AGENT) という名前のプロセスを使用します。 この検出方法では、管理ポイントとして構成されているコンピューターなど、サイト システムであるコンピューターのリソース レコードを作成します。

Active Directory グループの検出、システム検出、およびユーザー検出の一般的な機能

このセクションでは、次の検出方法に共通する機能について説明します。

  • Active Directory グループの検出

  • Active Directory システム検出

  • Active Directory ユーザー検出

注:

このセクションの情報は、Active Directory フォレストの検出には適用されません。

これら 3 つの検出方法は、構成と操作で似ています。 コンピューター、ユーザー、およびActive Directory Domain Servicesに格納されているリソースのグループ メンバーシップに関する情報を検出できます。 検出プロセスは、探索エージェントによって管理されます。 エージェントは、検出が実行されるように構成されている各サイトのサイト サーバーで実行されます。 これらの各検出方法を構成して、1 つ以上の Active Directory の場所をローカル フォレストまたはリモート フォレスト内の場所インスタンスとして検索できます。

検出が信頼されていないフォレストでリソースを検索する場合、検出エージェントは成功するために次の問題を解決できる必要があります。

  • Active Directory システム検出を使用してコンピューター リソースを検出するには、探索エージェントがリソースの FQDN を解決できる必要があります。 FQDN を解決できない場合は、その NetBIOS 名でリソースの解決を試みます。

  • Active Directory ユーザー検出または Active Directory グループ検出を使用してユーザーまたはグループ リソースを検出するには、検出エージェントが Active Directory の場所に指定したドメイン コントローラー名の FQDN を解決できる必要があります。

指定した場所ごとに、場所の Active Directory 子コンテナーの再帰的な検索を有効にするなど、個々の検索オプションを構成できます。 その場所を検索するときに使用する一意のアカウントを構成することもできます。 このアカウントを使用すると、1 つのサイトで検出方法を柔軟に構成し、複数のフォレスト間で複数の Active Directory の場所を検索できます。 すべての場所に対するアクセス許可を持つ 1 つのアカウントを構成する必要はありません。

これらの 3 つの検出方法のそれぞれが特定のサイトで実行されると、そのサイトのConfiguration Manager サイト サーバーは、指定された Active Directory フォレスト内の最も近いドメイン コントローラーに接続して Active Directory リソースを見つけます。 ドメインとフォレストは、サポートされている任意の Active Directory モードにすることができます。 各場所インスタンスに割り当てるアカウントには、指定した Active Directory の場所に対する 読み取り アクセス許可が必要です。

検出では、指定した場所でオブジェクトが検索され、それらのオブジェクトに関する情報の収集が試行されます。 DDR は、リソースに関する十分な情報を特定できる場合に作成されます。 必要な情報は、使用されている検出方法によって異なります。

ローカル Active Directory サーバーのクエリを利用するために、異なるConfiguration Manager サイトで実行するように同じ検出方法を構成する場合は、検出オプションの一意のセットを使用して各サイトを構成できます。 検出データは階層内の各サイトと共有されるため、これらの構成間の重複を避けて、各リソースを 1 回効率的に検出します。

小規模な環境の場合は、階層内の 1 つのサイトでのみ各検出方法を実行することを検討してください。 この構成により、管理オーバーヘッドが削減され、複数の検出アクションが同じリソースを再検出する可能性があります。 検出を実行するサイトの数を最小限に抑えると、検出で使用されるネットワーク帯域幅全体を減らすことができます。 また、作成され、サイト サーバーによって処理する必要がある DDR の総数を減らすこともできます。

検出方法の構成の多くは自明です。 構成する前に追加情報が必要になる可能性がある検出オプションの詳細については、次のセクションを参照してください。

次のオプションは、複数の Active Directory 検出方法で使用できます。

デルタ検出

使用可能な対象:

  • Active Directory グループの検出

  • Active Directory システム検出

  • Active Directory ユーザー検出

デルタ検出は独立した検出方法ではなく、該当する検出方法で使用できるオプションです。 差分検出では、該当する検出方法の最後の完全な検出サイクル以降に行われた変更について、特定の Active Directory 属性が検索されます。 属性の変更がConfiguration Manager データベースに送信され、リソースの検出レコードが更新されます。

既定では、デルタ検出は 5 分間のサイクルで実行されます。 このスケジュールは、完全な検出サイクルの一般的なスケジュールよりもはるかに頻繁です。 差分検出では、完全な検出サイクルよりも少ないサイト サーバーとネットワーク リソースを使用するため、この頻度の高いサイクルが可能です。 デルタ検出を使用する場合は、その検出方法の完全な検出サイクルの頻度を減らすことができます。

デルタ検出で検出される最も一般的な変更を次に示します。

  • Active Directory に追加された新しいコンピューターまたはユーザー

  • 基本的なコンピューターとユーザー情報の変更

  • グループに追加された新しいコンピューターまたはユーザー

  • グループから削除されたコンピューターまたはユーザー

  • システム グループ オブジェクトの変更

差分検出では、新しいリソースとグループ メンバーシップの変更を検出できますが、Active Directory からリソースが削除されたタイミングは検出できません。 差分検出によって作成された DDR は、完全な検出サイクルによって作成された DDR と同様に処理されます。

デルタ検出は、各検出方法のプロパティの [ ポーリング スケジュール ] タブで構成します。

ドメイン サインインで古いコンピューター レコードをフィルター処理する

使用可能な対象:

  • Active Directory グループの検出

  • Active Directory システム検出

古いコンピューター レコードを持つコンピューターを除外するように検出を構成できます。 この除外は、コンピューターの最後のドメイン サインインに基づいています。 このオプションを有効にすると、Active Directory システム検出によって、識別される各コンピューターが評価されます。 Active Directory グループの検出では、検出されたグループのメンバーである各コンピューターが評価されます。

このオプションを使用するには:

  • コンピューターは、Active Directory Domain Servicesで属性をlastLogonTimeStamp更新するように構成する必要があります。

  • Active Directory ドメインの機能レベルは、Windows Server 2003 以降に設定する必要があります。

この設定に使用する最後のサインイン後の時間を構成する場合は、ドメイン コントローラー間のレプリケーションの間隔を検討してください。

[Active Directory システム検出プロパティ] ダイアログ ボックスと [Active Directory グループ検出プロパティ] ダイアログ ボックスの [オプション] タブでフィルター処理を構成します。 [ 特定の期間にドメインにログオンしているコンピューターのみを検出する] を選択します。

警告

このフィルターを構成し、 古いレコードをコンピューター パスワードでフィルター処理すると、検出によって、いずれかのフィルターの条件を満たすコンピューターが除外されます。

古いレコードをコンピューターのパスワードでフィルター処理する

使用可能な対象:

  • Active Directory グループの検出

  • Active Directory システム検出

古いコンピューター レコードを持つコンピューターを除外するように検出を構成できます。 この除外は、コンピューターによる最後のコンピューター アカウントのパスワード更新に基づいています。 このオプションを有効にすると、Active Directory システム検出によって、識別される各コンピューターが評価されます。 Active Directory グループの検出では、検出されたグループのメンバーである各コンピューターが評価されます。

このオプションを使用するには:

  • コンピューターは、Active Directory Domain Servicesで属性をpwdLastSet更新するように構成する必要があります。

このオプションを構成するときは、この属性の更新間隔を考慮してください。 また、ドメイン コントローラー間のレプリケーション間隔も考慮してください。

[Active Directory システム検出プロパティ] ダイアログ ボックスと [Active Directory グループ検出プロパティ] ダイアログ ボックスの [オプション] タブでフィルター処理を構成します。 [ 特定の期間にコンピューター アカウントのパスワードを更新したコンピューターのみを検出する] を選択します。

警告

このフィルターを構成し、 ドメイン ログオンで古いレコードをフィルター処理すると、検出によって、いずれかのフィルターの条件を満たすコンピューターが除外されます。

カスタマイズされた Active Directory 属性を検索する

使用可能な対象:

  • Active Directory システム検出

  • Active Directory ユーザー検出

各検出方法では、検出できる Active Directory 属性の一意の一覧がサポートされています。

[Active Directory システム検出プロパティ] ダイアログ ボックスと [Active Directory ユーザー検出プロパティ] ダイアログ ボックスの [Active Directory 属性] タブで、カスタマイズした属性の一覧を表示および構成できます。

次の手順

Configuration Managerに使用する検出方法を選択する

探索方法を構成する