サイトのプロパティ:[サイトモード] タブ

[アーティクル]
12/19/2014

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

[サイトモード] タブで、Configuration Manager 2007 が動作するモードとしてネイティブモードと混在モードのいずれかを選択し、サイトモードに関連する設定を定義します。サイトモードを使用して、クライアントとサイトとの通信方法を指定します。サイトが動作するモードを選択するには、[サイトモード] ボックスから [ネイティブ] と [混在] のどちらかを選択します。

セカンダリサイトのプロパティの表示中は、このタブは表示されません。セカンダリサイトは、親サイトのサイトモードのタブに入っている情報を継承します。

重要

サイトモードを混在モードからネイティブモードに変更した結果としてクライアントが管理されないようにするには、「管理者チェックリスト :サイトのネイティブモードへの移行」を参照してください。

サイトモードを選択すると、ネイティブモードと混在モードのどちらを選択したかによって、異なるオプションが表示されます。

注意

サイトモードを混在モードからネイティブモードに変更し、かつネットワーク負荷分散 (NLB) 管理ポイントが IP アドレスを使用するように指定されている場合は、IP アドレスの代わりに完全修飾ドメイン名 (FQDN) を使用するように NLB 管理ポイントを構成し直す必要があります。FQDN を使用するように NLB 管理ポイントを構成し直すまでは、クライアントは、既定の管理ポイントにコンタクトできなくなるため、管理されなくなります。詳細については、「NLB 管理ポイントのイントラネット FQDN の構成方法」を参照してください。

ネイティブモードの設定のプロパティ

ネイティブモードでのサイト操作を選択すると、次のネイティブモードのプロパティが表示されます。

サイトサーバー署名証明書
サイトサーバー署名証明書を指定します。これは、ネイティブモードでの操作を使用してサイトを構成する場合に必須です。この証明書は、Configuration Manager 2007 の外部で、サイトサーバーへすでに展開されている必要があります。この証明書を指定せずにネイティブモードを構成することはできません。

注意

サイトサーバー署名証明書は、各プライマリサイトデータベースで直接構成する必要があります。親プライマリサイトから子プライマリサイトのサイトモードを設定することはできません。これは、そのシナリオでは証明書を正しく検証できないためです。

PKI 証明書要件の詳細については、「ネイティブモードの証明書要件」を参照してください。

ネイティブモードに必要な PKI 証明書の展開方法の詳細については、「ネイティブモードで必要な PKI 証明書の展開」を参照してください。

証明書
サイトのサイトサーバー署名証明書を指定します。

証明書が選択されている場合、証明書にフレンドリ名があるときは証明書のフレンドリ名、選択されている証明書にフレンドリ名がないときは <フレンドリ名がありません> と表示されます。

証明書が指定されていない場合は、[参照] をクリックして選択するか、[拇印] テキストボックスに拇印を入力します。

この証明書はサイトサーバーがクライアントポリシーに署名する際に使用します。この証明書が署名したポリシーを受け入れるには、クライアントもサイトサーバー署名証明書のコピーを持っている必要があります。詳細については、「クライアントにサイトサーバー署名証明書を展開する方法を決定する (ネイティブモード)」を参照してください。

参照
サイトサーバー上の証明書ストアを参照します。ここで、表示される証明書のリストからサイトサーバー署名証明書を選択できます。誤った証明書を指定するとサイトが管理されなくなる恐れがあるため、選択する証明書では次の点が検証されます。
- 証明書が有効期間内で、期限切れになっていない。
- 証明書に正しい証明書サブジェクト名がついており、サブジェクト名にサイトのサイトコードが含まれている。
- 証明書の目的にドキュメントの署名機能が含まれている。

拇印
適切なアクセス許可がないなどの理由でサイトサーバーの証明書ストアを参照できないが、証明書の拇印を持っている場合は、ここに入力します。拇印は、連続した 16 進数の文字列として入力する必要があります。入力ミスを少なくするため、証明書そのものから文字列をコピーして貼り付けます。

注意

Microsoft Certificates MMC スナップインを使用して拇印をコピーできます。拇印が保存されているコンピュータで、[ローカルコンピュータ]、[個人用] ストアの順に移動し、[証明書] を展開します。証明書をダブルクリックし、[詳細] タブをクリックします。ファイルをスクロールし、[拇印] をクリックします。テキストボックスに表示される 16 進数の文字列をコピーします。

拇印を入力すると、Configuration Manager 2007 はサイトサーバーの証明書ストアにある有効な証明書と拇印を照合します。照合に成功し、証明書が正しく検証されると、[証明書] オプションに対するフレンドリ名が表示されます。

オペレーティングシステムの展開設定
サイトがネイティブモードで動作しているときの、オペレーティングシステムの展開に関連する設定を指定します。これらの設定はセカンダリサイトには継承されますが、子プライマリサイトには継承されません。

ルート CA 証明書の指定
[ルート CA 証明書の指定] ダイアログボックスを開きます。ここで、サイトに割り当てられているクライアントの、エクスポートされたルート証明機関の証明書をインポートできます。この証明書は、オペレーティングシステムを展開するクライアントでインストールを完了するために必要となることがあります。

ルート証明機関の証明書の準備の詳細については、「オペレーティングシステムの展開クライアントで使用するルート証明機関証明書の準備方法」を参照してください。

Active Directory に公開されたクライアントの設定
クライアントコンピュータの Active Directory ドメインサービスに発行され、クライアントプッシュインストールで自動的に使用される、ネイティブモードのサイト設定を指定します。

Active Directory ドメインサービスでこれらの設定を使用できるクライアントコンピュータは、これらの値で定期的に設定されます。設定されるタイミングは、サイト割り当てが成功したとき、起動時、25 時間ごとなどです。

クライアントコンピュータが既定の設定を使用しない場合、次のシナリオのいずれかに該当するときは、CCMSetup インストールプロパティでこれらのオプションを指定します。
- Active Directory スキーマが Configuration Manager 2007 向けに拡張されていない。
- Active Directory スキーマは Configuration Manager 2007 用に拡張されているが、ワークグループのクライアントであったり、別の Active Directory フォレストに属しているといった理由でこれらの設定を使用できないクライアントがある。
- インストールのためのみに別のクライアント設定を指定したい。
コマンドラインプロパティの詳細については、「Configuration Manager クライアントインストールのプロパティについて」を参照してください。

クライアントの CRL チェックを有効にする
ネイティブモードで必要な PKI 証明書を使用する前に Configuration Manager クライアントコンピュータで証明書失効確認 (CRL) を使用するかどうかを指定します。

この設定の既定では、サイトをネイティブモードでインストールした場合に CRL チェックを有効にします。サイトが混在モードでインストールされて、ネイティブモードに移行されると、この設定の既定はクライアントに対する CRL チェックを無効にします。

詳細については、「クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブモード)」を参照してください。

ローミングとサイト割り当てのための HTTP 通信を許可する
ネイティブモードのクライアントコンピュータが混在モードのサイトにローミングする場合に HTTP を使用できるかどうかを指定します。これを指定することで、クライアントコンピュータはコンテンツの場所について常駐管理ポイントと交信したり、サイトの配布ポイントからコンテンツをダウンロードしたりすることができます。

また、サーバーロケータポイントとの交信にも HTTP が必要となります。サーバーロケータポイントは、Active Directory スキーマが Configuration Manager 2007 用に拡張されていない場合や、ネイティブモードのクライアントコンピュータがイントラネット上のネットワーク負荷分散管理ポイントを使用しているために Active Directory ドメインサービスで Active Directory スキーマが見つからない場合に、サイト割り当てで必要となります。

既定では、ローミングおよびサイト割り当てでは HTTP 通信を使用できません。

このオプションの詳細については、「ローミングとサイト割り当てのために HTTP 通信を構成する必要があるかどうかを判断する (ネイティブモード)」を参照してください。

証明書ストア
ネイティブモードで使用するクライアント証明書の場所を指定します。

既定の場所は、[コンピュータ] 証明書ストア内の [個人用] ストアです。[コンピュータ-] ストア内の別の場所にクライアント証明書を展開している場合は、その場所を指定します。

証明書の選択条件
指定した証明書ストア内に複数の有効な証明書が見つかった場合に使用する選択条件を指定します。

既定では、証明書の目的のみをチェックするように設定されています。証明書の選択条件を指定するには、次のいずれかのオプションを選択し、関連する値を指定します。
- [証明書の目的のみをチェックする]: このオプションでは、証明書の選択時にサブジェクト名やサブジェクトの別名を使用しません。その代わり、証明書の意図した目的のみを基準に証明書が選択されます。証明書にはクライアント認証が含まれている必要があります。これが既定の証明書選択条件です。
- [サブジェクトに文字列が含まれる]:証明書のサブジェクト名に一致する文字列は、大文字小文字を区別しません。コンピュータの完全修飾ドメイン名を使用していて、ドメインサフィックス (contoso.com など) に基づいて証明書を選択したい場合に、この選択条件が適しています。しかし、この選択方法を使用すれば、クライアントの証明書ストア内で証明書を他の証明書と区別する文字列や連続した文字を識別することができます。
- [サブジェクトまたは代替に属性が含まれる]:属性の識別が、証明書内のサブジェクト名またはサブジェクトの別名と大文字小文字を区別して行われます。RFC 3280 に従って X.500 識別名または同等のオブジェクト識別子を使用していて、属性値に基づいて証明書を選択する場合、この選択条件が適しています。証明書を一意に識別または検証し、クライアントの証明書ストア内で証明書を別の証明書と区別するために必要な属性およびその値のみを指定します。属性が入力される順序には意味はありません。証明書の選択条件でサポートされる属性値の一覧は、「クライアント証明書設定を指定するかどうかを判断する (ネイティブモード)」を参照してください。次の例では、オブジェクト識別子属性および識別名属性を使用して、証明書の選択条件を定義します。
  - 例 1: 2.5.4.8 =Maryland, 2.5.4.6 =US, 2.5.4.10= Contoso, 2.5.4.11 =Sales
  - 例 2: ST=Maryland, C=US, O= Contoso, OU=Workstations

複数の証明書が条件に一致した場合
指定した設定を基準としたときに有効な証明書が複数見つかった場合の動作を指定します。
- [一致した証明書を選択する]:選択内容と一致して見つかった証明書のうちから、ランダムに 1 つが選択されます。クライアントが Configuration Manager 2007 SP1 以降を実行している場合、有効期間が最も長い証明書が選択されます。その証明書で正常に接続できない場合は別の証明書が試され、割り当てられたフォールバックステータスポイントにクライアントからエラーメッセージが送信されます。
- [選択せずにエラーメッセージを送信する]:いずれの証明書も使用せずに接続を試行します。その代わり、クライアントは管理ポイントとの接続を試行せず、割り当てられたフォールバックステータスポイントにエラーメッセージを送信します。これが既定の構成です。

OK
変更を保存してダイアログボックスを閉じます。

キャンセル
変更を保存せずにダイアログボックスを閉じます。

適用
変更を保存してダイアログボックスを開いたままにします。

ヘルプ
[サイトのプロパティ] の[サイトモード] タブのヘルプが開きます。

混在モードの設定のプロパティ

混在モードでのサイト操作を選択すると、次の混在モードのプロパティが表示されます。

承認設定
混在モードのサイトで完全に管理されるコンピュータを承認する際に使用する、クライアントの承認設定を指定します。

クライアント ID を検証するには、混在モードでクライアントを承認します。必ず、自分のリスクプロファイルに合ったクライアントの承認方法を選択してください。クライアントのセキュリティの詳細については、「クライアントについて推奨するセキュリティ運用方法」、承認の詳細については、「Configuration Manager クライアントの承認について」を参照してください。

注意

サイトの承認方法を変更しても、既にサイトに割り当てられているクライアントの承認ステータスは、自動的にリセットされません。新しい設定は、新しく割り当てられたクライアントにのみ適用されます。

各コンピュータを手動で承認する
サイト内のすべてのコンピュータを手動で承認すると、リスクは最も小さくなりますが、管理オーバーヘッドは最も大きくなります。クライアントは、Configuration Manager コンソールから手動で承認する必要があります。「Configuration Manager クライアントの承認方法」で、「クライアントを手動で承認するには」の手順を参照してください。

信頼されたドメインのコンピュータを自動的に承認する (推奨)
信頼されたドメインのコンピュータを自動的に承認すると、サイトサーバーのドメインによって信頼されるドメインに参加しているクライアントコンピュータが自動的に認証されます。

重要

Configuration Manager 2007 の階層が複数のドメインにわたっている場合、サイトサーバーのドメインと異なるドメインにあるクライアントを承認するには、イントラネットの FQDN で管理ポイントを構成する必要があります。

詳細については、「サイトシステムのイントラネット FQDN の構成方法」と「FQDN サーバー名を使用するかどうかを判断する」を参照してください。

この設定を使用するとき、信頼されたドメインに信頼されないコンピュータが参加することを防ぐ、その他のセキュリティ制御があることを確認してください。

すべてのコンピュータを自動的に承認する (推奨しません)
すべてのコンピュータを自動的に承認すると、サイトでの割り当てを要求するすべてのコンピュータが認証されます。信頼性の検証を行うことなく機密性の高い可能性のあるデータがどのコンピュータでも受け取れるようになるため、この設定は絶対にお勧めしません。

このサイトに ConfigMgr 2007 クライアントのみを含める
選択したクライアントの認証方法にかかわらず、この設定では、Configuration Manager クライアントで使用できる、より強力なクライアント通信セキュリティ設定が有効になります。このより強力なクライアント通信セキュリティ設定と SMS 2003 のクライアント通信設定との間には互換性がありません。この設定を有効にする前に、サイト内に SMS 2003 クライアントが存在しないことを確認してください。

クライアント設定
管理ポイントへ送信されるクライアント情報に対する、クライアントのデータの暗号化設定を指定します。

管理ポイントに送信する前にデータを暗号化する
この設定を選択し、インベントリデータをクライアントから管理ポイントに送信される状態メッセージを暗号化します。この暗号化方法は PIK を必要としないクライアントの自己署名入り証明書を使用し、またネイティブモードで SSL で暗号化された PKI 証明書を使用するより安全な暗号化方法ではなく、3DES アルゴリズムを使用します。混在モードおよびネイティブモードでのクライアントデータのセキュリティの違いについては、「ネイティブモードの利点」トピックの「混在モードとネイティブモードの比較」を参照してください。

OK
変更を保存してダイアログボックスを閉じます。

キャンセル
変更を保存せずにダイアログボックスを閉じます。

適用
変更を保存してダイアログボックスを開いたままにします。

ヘルプ
[サイトのプロパティ] の[サイトモード] タブのヘルプが開きます。

参照:

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメントチームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.

次の方法で共有

サイトのプロパティ:[サイト モード] タブ

ネイティブ モードの設定のプロパティ

混在モードの設定のプロパティ

参照:

タスク

概念

その他のリソース

その他のリソース

サイトのプロパティ:[サイトモード] タブ

ネイティブモードの設定のプロパティ