Configuration Manager のローミングのシナリオ例 :複合
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
このトピックのシナリオは、ローミングとそれに関連するシナリオが Configuration Manager 2007 で動作する仕組みを理解するのに役立ちます。ここでは、「Configuration Manager のローミングのシナリオ例 :簡易」で紹介した基本シナリオよりも複雑なシナリオで、Configuration Manager を複数サイトに展開している同じ架空の会社を使用して説明します。
以下のシナリオを読む前に、「Configuration Manager のクライアントのローミングについて」を参照してください。
以下のシナリオでは、Configuration Manager 階層で割り当てられているサイトの外部にネットワークがある場合に、提供情報およびソフトウェアの更新のコンテンツを取得するクライアントに焦点を当てています。
既定の提供情報設定が原因で、ユーザーがローミング時にコンテンツをダウンロードできない
保護された配布ポイントが原因で、ユーザーがローミング時にコンテンツをダウンロードできない
サイトに割り当てられているクライアントがそのサイトの境界外にあり、情報提供を実行またはソフトウェアの更新をインストールできない
混在モードのクライアントがネイティブ モード サイトにローミングする
ネイティブ モードのクライアントが混在モード サイトにローミングする
クライアントが別の Configuration Manager 2007 階層内にローミングする
Configuration Manager 2007 は、分散環境のあらゆる場所にあるクライアントの管理と、ワイド エリア ネットワーク (WAN) の保護の両方の概念をサポートしているので、ネットワーク トラフィックが飽和状態になることはありません。この 2 つの概念は競合する場合があり、設定と要因の組み合わせによっては、予期しない結果や望ましくない結果が起こる可能性があります。
たとえば、クライアントが必要なコンテンツに常にアクセスできるようにするには、そのコンテンツがローカルで利用できない場合に、別のサイトにローミングするクライアントがフォールバックして、コンテンツの割り当てサイトについて尋ねるようにします。しかし、情報提供とソフトウェアの更新のパッケージにおける既定の設定では、クライアントが低速の境界で接続する場合、コンテンツのダウンロードを許可しません。配布ポイントが保護されるように構成すると、別のサイトのクライアントがコンテンツをダウンロードするのを防ぎ、また、同じサイトのクライアントがコンテンツをダウンロードするのも防ぐことができます。
このトピックのシナリオでは、WAN リンクを経由したコンテンツのダウンロードや通信に対するクライアントの動作が、予期していない、通常では望ましくないと見なされる一般的な状況について説明します。ただし、特定の業務要件においては、その結果が望ましい状況である場合もあります。
以下に、これらの競合を回避するための運用方法をいくつかご紹介します。
イントラネット上でのクライアント ネットワークの場所が Configuration Management 階層で定義されている境界内にあることを確認します。Active Directory サイトを定義する Active Directory 管理者や、クライアントが使用するアドレス範囲 (VPN 接続用アドレスを含む) を定義する DHCP 管理者などの他のサービス管理者と協力します。
定義されている境界内に、クライアントの IP アドレス (またはサブネット)、または複数の Configuration Manager (または SMS 2003) サイトの Active Directory サイトが含まれていないことを確認します。この設定は、境界が重複する原因となり、クライアントの動作が特定できなくなるのでサポートされていません。
境界を高速または低速に設定する場合は、高速境界に接続していないクライアントがコンテンツをダウンロードできる場合に起こりえる結果について注意してください。
特定のサイトの WAN トラフィックを抑制する必要がある場合は、そのサイトの配布ポイントが保護されるように構成します。
プライマリ サイトとセカンダリ サイト間のトラフィックを最小限に抑えるには、セカンダリ サイトにプロキシ管理ポイントをインストールします。
クライアントがローミングする際の WAN リンクのトラフィックを最小限に抑えるには、Configuration Manager 2007 の Active Directory スキーマを拡張します。
境界の詳細については、次のトピックを参照してください。
ローミング シナリオのすべての例で使用する階層
階層にはプライマリ サイトの 3 層があります。
階層の最上位はセントラル サイトで、トロントにある TOR という名前のプライマリ サイトです。
プライマリ サイトの第 2 レベルには、ヒューストン、ロンドン、および上海のそれぞれに HOU、LON、SHA という名前のプライマリ子サイトがあります。
ヒューストンの子プライマリ サイトには、シアトルとボストンに次の名前の 2 つのセカンダリ サイトがあります :SEA、BOS。
LON (ロンドン) の子プライマリ サイトには、マンチェスターに次の名前のセカンダリ サイトがあります :MAN。
SHA (上海) の子プライマリ サイトにはセカンダリ サイトはありません。
プライマリ サイトの第 3 レベルには、シドニーとヘルシンキにそれぞれ SYD、HEL という名前の 2 つのプライマリ孫サイトがあります。
SYD (シドニー) の孫プライマリ サイトには、メルボルンとブリスベンに次の名前のセカンダリ サイトがあります :MEL、BRI。
HEL (ヘルシンキ) の孫プライマリ サイトにはセカンダリ サイトはありません。
以下の図はこの階層を示します。
.gif "シナリオで使用される ConfigMgr 階層")
既定の提供情報設定が原因で、ユーザーがローミング時にコンテンツをダウンロードできない
ヒューストン (HOU) に割り当てられているラップトップを持つユーザーが、シドニー (SYD) に出張します。
ヒューストンの管理者は、[提供情報の名前のプロパティ]の[配布ポイント]タブにある[クライアントが低速または信頼性の低いネットワーク境界内に接続したときの動作を指定してください]の[プログラムを実行しない]オプションを設定して、Microsoft Office 2007 の提供情報を作成しました。以下の図に示すように、提供情報パッケージはヒューストン (HOU)、シアトル (SEA)、ボストン (BOS) の配布ポイントに追加されます。
.gif "ローミング クライアントはコンテンツの取得不可")
グローバル ローミング機能
ユーザーは、ラップトップをシドニーのネットワークに接続して、提供情報を実行しようとします。Configuration Manager クライアントが、シドニーの常駐管理ポイントに接続しますが、このサイトにはコンテンツがありません。
そこで、クライアントはフォールバックして、ヒューストン (HOU) に割り当てられたサイトからソース パッケージをダウンロードできるように、配布ポイントの場所についてヒューストンの既定の管理ポイントに尋ねます。
ところが、コンテンツはヒューストンに存在しているのですが、提供情報の設定により、コンテンツがダウンロードできないようになっています。これは、クライアントのネットワークの場所がヒューストン用に構成されている高速境界内に含まれていないということを既定の管理ポイントが認識するためです。
ユーザーは帰る前にシアトルに立ち寄りました。つまり、割り当てられたサイトのセカンダリ サイトである SEA を訪れたのです。
ラップトップは、シアトルのネットワークに接続されると、サイトを識別して Active Directory ドメイン サービスからプロキシ管理ポイントを検索します。そして、ポリシー、ハードウェア インベントリの送信、および必要なコンテンツの場所について SEA のプロキシ管理と通信します。
ユーザーが、提供情報の実行を再度試みたところ、今度は成功しました。これは、プロキシ管理ポイントが、コンテンツをホストする SEA の配布ポイントを検出したためです。この時点でクライアントはシアトル サイトの高速境界内に入っています。
リージョナル ローミング機能
ユーザーは、ラップトップをシドニーのネットワークに接続して、提供情報を実行しようとします。Configuration Manager クライアントは、ヒューストンの既定の管理ポイントに接続します。この管理ポイントは、シドニーのサイトに関する情報を保持していません。しかし、シドニーの配布ポイントに関する情報は保持していますが、この配布ポイントにはクライアントが要求しているコンテンツがありません。
ヒューストンの既定の管理ポイントは、提供情報に必要なコンテンツをホストするヒューストン内の配布ポイントの一覧を返します。
コンテンツはヒューストンに存在しているのですが、提供情報の設定により、コンテンツがダウンロードできないようになっています。これは、クライアントの IP アドレスがヒューストンの高速境界内にないということを既定の管理ポイントが認識するためです。
ユーザーは帰る前にシアトルに立ち寄りました。つまり、割り当てられたサイトのセカンダリ サイトである SEA を訪れたのです。
ラップトップをシアトルのネットワークに接続すると、ヒューストンの既定の管理ポイントと通信し始めました。既定の管理ポイントは、SEA で使用するプロキシ管理ポイントのクライアントを通知します。
ユーザーが、提供情報の実行を再度試みたところ、今度は成功しました。これは、コンテンツをホストする SEA の配布ポイントをプロキシ管理ポイントが検出し、クライアントがシアトル サイトの高速境界上にあるためです。
保護された配布ポイントが原因で、ユーザーがローミング時にコンテンツをダウンロードできない
上海 (SHA) に割り当てられているラップトップを持つユーザーが、ロンドン (LON) に出張します。
上海サイトは Microsoft Office のアドオンを展開しており、上海サイト内のすべての配布ポイントでソフトウェア パッケージをホストしています。
上海とやり取りする WAN リンクは低速で高価なため、これらのリンクがコンテンツのダウンロードで飽和状態になるのを防ぐ目的から、上海サイトのすべての配布ポイントは、上海サイト用に構成されている境界で保護されるように構成されています。
対象のコンテンツはロンドン サイトで利用できないので、上海からローミングしているラップトップはフォールバックして、上海の既定の管理ポイントに配布ポイントの一覧を要求します。コンテンツは上海で利用できますが、クライアントのロンドンでのネットワークの場所が、上海の保護された配布ポイント用に構成されている境界内にないため、ユーザーは上海サイトに戻るまで提供情報をインストールできません。
以下の図は、このシナリオを示します。
.gif "ローミング クライアントおよび保護配布ポイント")
同様の動作
上海の保護された配布ポイントが高速境界用のみに構成されている場合、以下のような状況では同じような動作が見られます。
リモート ユーザー向けの VPN 範囲用に定義された低速境界が上海サイトにある場合、VPN 経由で接続しているユーザーは、上海のネットワーク (高速境界) に直接接続するまでコンテンツをダウンロードできません。
クライアントが上海サイトに割り当てられていても、ネットワークの場所が上海サイト用に構成されている境界内にない場合は、自動的に低速境界経由で接続していると判断されます。このユーザーは、ネットワークの場所が、保護された配布ポイント用に構成されている境界の 1 つに追加されるまで、割り当てられたサイトの配布ポイントからコンテンツをダウンロードできません。
サイトに割り当てられているクライアントがそのサイトの境界外にあり、情報提供を実行またはソフトウェアの更新をインストールできない
クライアントのネットワークの場所は、ロンドン サイトの高速境界内にありますが、誤ってヒューストン サイトに割り当てられています。
ソフトウェアの更新はトロントで展開されており、階層内のすべての配布ポイントでホストされています。また、ソフトウェアの更新の展開は、既定の設定でクライアントが低速境界にあるときには実行できないように構成されています。以下の図は、このシナリオを示します。
.gif "クライアントがサイト境界の外側にある場合")
グローバル ローミング機能
クライアントはソフトウェアの更新通知を受け取り、ロンドン サイト (LON) の常駐管理ポイントに接続します。ロンドンの管理ポイントは、ソフトウェアの更新に必要なコンテンツを保持しているロンドン内の配布ポイントの一覧を返します。クライアントはロンドン サイトの高速境界上にあるので、ソフトウェアの更新がインストールされます。
リージョナル ローミング機能
クライアントはソフトウェアの更新通知を受け取り、ヒューストンの既定の管理ポイントに接続します。ヒューストンの管理ポイントは、ソフトウェアの更新に必要なコンテンツを保持しているヒューストン内の配布ポイントの一覧を返します。しかし、クライアントがヒューストン サイトの高速境界内にないため、ソフトウェアの更新のインストールが開始されません。
ソフトウェアの更新を再構成するか、クライアントを再割り当てせずに、このクライアントがこの展開用のソフトウェア 更新を取得する唯一の方法は、ロンドンにローミングすることです。これにより、クライアントのネットワークの場所がサイトの高速境界内に含まれます。
同様の動作
また、ヒューストン サイトでリモート ユーザー向けの VPN 範囲に低速境界が定義されている (または VPN 範囲に境界が定義されていない) 場合も、クライアントはソフトウェアの更新を取得できません。このような場合、VPN 経由で接続しているかぎり、ユーザーはコンテンツを取得できません。
シナリオの解決方法
クライアントがコンテンツを取得できないという状況を解決するには、次の再構成手順のいずれかを実行します。
| 再構成 | その他の情報 |
|---|---|
グローバル ローミング機能を持たないクライアントがサイトに割り当てられ、そのクライアントのネットワークの場所が別のサイト (割り当てられたサイトのセカンダリ サイトではありません) の構成済み境界内にある場合は、クライアントを再割り当てします。 上記のシナリオの場合、クライアントをロンドン サイトに再割り当てする必要があります。 |
|
重要な提供情報とソフトウェアの更新の展開について、クライアントが低速ネットワーク境界内に接続している場合はインストールしない、という既定のオプションではなく、フェイルセーフとして、コンテンツをダウンロードしてローカルで実行するように構成することもできます。 注意 この構成では、別のサイトにローミングしている他のクライアントも、フォールバックしてコンテンツの既定の管理ポイントについて尋ねれば、コンテンツをインストールできるようになります。 |
これらのオプションは、次のダイアログ ボックスで構成します。 |
サイト用に構成した低速境界について再検討します。たとえば、VPN 接続が高速境界として構成するのに十分に高速で信頼できるので、VPN ユーザーが、割り当てられたサイトでホストされているコンテンツを常にインストールできる場合があります。 |
混在モードのクライアントがネイティブ モード サイトにローミングする
以下の図のように、ユーザーが低速境界から接続した場合にダウンロードおよび実行をローカルで行うように構成されている重要なソフトウェアの更新が、階層内のすべての配布ポイントで展開およびホストされると、ラップトップ ユーザーがヒューストンからトロントにローミングします。
.gif "複合モード クライアントがネイティブ モード サイトにローミング")
グローバル ローミング機能
グローバル ローミング機能を持つクライアントは、トロント サイトに接続されていることを識別し、常駐管理ポイントとの通信を試みます。しかし、トロント サイトはネイティブ モードになっているため、混在モードのクライアントからの通信を許可しません。クライアントは、フォールバックしてヒューストンの既定の管理ポイントと通信し、ヒューストンの配布ポイントからソフトウェアの更新をインストールします。
リージョナル ローミング機能
リージョナル ローミング機能を持つクライアントは、別のサイトにローミングしたことを識別しません。ヒューストンの既定の管理ポイントとの通信を続け、ソフトウェアの更新をダウンロードできる最も近い配布ポイントを尋ねます。ヒューストンの管理ポイントはトロントの配布ポイントを検索できないため、ヒューストン サイトの配布ポイント一覧を返し、クライアントはそのうちの 1 つからソフトウェアの更新をインストールします。
シナリオの解決方法
トロント サイトにローミングするクライアントと、ヒューストンでそのクライアントに割り当てられているサイトとの間で、必要以上のトラフィックを解決する方法はありません。サイトがネイティブ モードの場合、整合性を確保するために、混在モードのクライアントからの通信を拒否します。
ヒューストン サイトがネイティブ モードに移行されれば、グローバル ローミング機能を持つクライアントはトロントの常駐管理ポイントと通信できるようになり、トロントの配布ポイントからコンテンツをダウンロードできます。
ネイティブ モードのクライアントが混在モード サイトにローミングする
以下の図のように、ユーザーが低速境界から接続した場合にダウンロードおよび実行をローカルで行うように構成されている重要なソフトウェアの更新が、階層内のすべての配布ポイントで展開およびホストされると、ラップトップ ユーザーがトロントからヒューストンにローミングします。
.gif "ネイティブ モード クライアントが複合モード サイトにローミング")
グローバル ローミング機能
グローバル ローミング機能を持つクライアントは、ヒューストン サイトに接続されていることを識別し、常駐管理ポイントとの通信を試みます。しかし、ヒューストン サイトは混在モードになっているため、クライアントと常駐管理ポイント間で証明機関を使用した相互認証は失敗します。
クライアントの構成で[ローミングとサイト割り当てのための HTTP 通信を許可する]オプションが指定されている場合、クライアントはヒューストンの常駐管理ポイントと混在モードで通信できます。また、ヒューストン サイトの配布ポイントを尋ねることもできます。
しかし、クライアントの構成で[ローミングとサイト割り当てのための HTTP 通信を許可する]オプションが指定されていない場合は、混在モードでヒューストンの常駐管理ポイントと通信することはできません。クライアントは、トロントの既定の管理ポイントにフォールバックし、トロント サイトの配布ポイントの 1 つからソフトウェアの更新をダウンロードします。
リージョナル ローミング機能
リージョナル ローミング機能を持つクライアントは、別のサイトにローミングしたことを識別しません。トロントの既定の管理ポイントとの通信を続け、ソフトウェアの更新をダウンロードできる最も近い配布ポイントを尋ねます。トロントの管理ポイントは、ヒューストン内の配布ポイントの一覧を返します。
クライアントの構成で[ローミングとサイト割り当てのための HTTP 通信を許可する]オプションが指定されている場合、クライアントはヒューストンの配布ポイントと混在モードで通信できるので、ヒューストン サイトからソフトウェアの更新をインストールします。
しかし、クライアントの構成で[ローミングとサイト割り当てのための HTTP 通信を許可する]オプションが指定されていない場合は、混在モードでヒューストンの配布ポイントと通信することはできません。代わりに、トロントで割り当てられているサイトからソフトウェアの更新をインストールします。
重要な構成手順
このシナリオを成功させるためには、以下の構成手順が必要です。
| 構成 | その他の情報 |
|---|---|
ネイティブ モードのクライアントを混在モードのサイトにローミングし、混在モードのサイトからローカルでコンテンツをダウンロードするには、クライアントの構成で[ローミングとサイト割り当てのための HTTP 通信を許可する]オプションを設定します。 注意 この構成は、HTTP 通信を許可しない構成に比べて安全性が低くなります。 |
クライアントが別の Configuration Manager 2007 階層内にローミングする
ヒューストン サイトのコンサルタントが、Configuration Manager 2007 をインストールしているミシガンの別の会社を訪問します。ラップトップを別の会社のネットワークに接続すると、DHCP サーバーから IP アドレスを受信し、ネットワーク接続を確立します。このコンサルタントは、以前に受信したオプションの提供情報を実行して、Microsoft Office 2007 のアドオンをインストールしようとします。
Microsoft Office 2007 のアドオンは、この別会社の Configuration Manager 2007 階層上でもオプションの提供情報として利用できるため、ユーザーはインストールできると予測しています。しかし、以下の図に示すように、このユーザーは別会社の階層でコンテンツを利用できません。
.gif "クライアントが別の階層にローミング")
グローバル ローミング機能
グローバル ローミング機能を持つクライアントは、Active Directory ドメイン サービスにサイトおよび既定の管理ポイントを照会します。
このクライアントは、別のネットワーク上では認証されず、Active Directory ドメイン サービスにアクセスできません。グローバル ローミング機能に失敗すると、クライアントはリージョナル ローミング動作に戻ります。
リージョナル ローミング機能
リージョナル ローミング機能を持つクライアントは、新しいネットワークに接続すると、割り当てられたサイトの既定の管理ポイントを検索しようとします。
この場合は、クライアントが新しいネットワーク上に割り当てられたサイトの管理ポイントの検索に失敗する確率が最も高くなります。新しいネットワークで同じサイト コードが使用されていない、またはクライアントが管理ポイントを検出できない場合、クライアントはフォールバックしてヒューストンで現在割り当てられている管理ポイントの使用を試みます。2 つの階層間でネットワーク接続が確立されなければ、この試みは失敗し、クライアントは自身の Configuration Manager 2007 階層に戻るまでコンテンツをダウンロードできません。
クライアントの割り当てられたサイト コードが新しいネットワークのサイト コードと一致する場合、クライアントは DNS、サーバー ロケータ ポイント、および WINS を使って自身のサイトの既定の管理ポイントを検索しようとします。これが成功するには、クライアントの割り当てられたサイト コードと同じコードが新しい階層に含まれている必要があります。さらに、以下のいずれかの条件を満たしている必要があります。
クライアントが DNS 発行を使用して割り当てられたサイト コードの管理ポイントを検索するには、クライアントを新しいネットワーク上の DNS サーバー用に構成する必要があり、そのネットワーク上の管理ポイントにヒューストンの管理ポイントと同じドメイン サフィックスが指定されているか、またはそのクライアントで[以下のサイト割り当て用の DNS サフィックスを指定または変更してください]オプションが再構成されている必要があります。
クライアントがサーバー ロケータ ポイントを使用して管理ポイントを検索するには、クライアントにサーバー ロケータ ポイントが割り当てられた場合は新しいネットワークでまったく同じサーバー ロケータ名または IP アドレスを使用します。その他の場合は、サーバー ロケータ ポイントの手動 WINS エントリを持つ WINS サーバー用のクライアントを新しいネットワーク上で構成する必要があります。また、ネイティブ モードのクライアントがサーバー ロケータ ポイントと通信するには、クライアントの構成で[ローミングとサイト割り当てのための HTTP 通信を許可する]オプションを指定する必要があります。
クライアントが WINS を使用して管理ポイントを検索するには、クライアントが混在モードで動作していて、新しいネットワークで WINS サーバー用に構成されている必要があります。
これらの条件のいずれかが満たされれば、クライアントは割り当てられた管理ポイントを別の階層上の管理ポイントで更新します。ただし、以下のいずれかの理由により、クライアントは新しい階層の管理ポイントを信頼しないため、クライアントを管理できません。
相互認証はネイティブ モードで失敗します。
クライアントの通信モードは、管理ポイントのサイト モードと異なります。
クライアントは、サイトが使用しているポート番号とは異なるクライアント要求のポート番号で構成されています。
クライアントは、自身の階層の信頼されたルート キーを使用した、管理ポイントの証明書の認証に失敗します。
シナリオの解決方法
提供情報がローカルでのダウンロードおよびインストールで必須として構成されている場合は、ラップトップがヒューストン サイトから削除される前にコンテンツのダウンロードが完了していれば、このシナリオは成功していたでしょう。
インターネット ベースのクライアント管理は、会社のイントラネットから定期的に切断されるラップトップに対して、別の解決策を提供します。別の会社のイントラネットにおいて、クライアントは自身のインターネット ベースの管理ポイントに接続し、インターネット経由でコンテンツを受信しようと試みます。これを成功させるには、Configuration Manager クライアントをインターネット アクセス用のローカル プロキシ サーバーを使用するように構成しなければならない場合があります。詳細については、以下を参照してください。
参照:
タスク
概念
Configuration Manager のクライアント サイトの割り当てについて
Configuration Manager のクライアントのローミングについて
配布ポイントについて
Configuration Manager における割り当てのシナリオ例 :プライマリ サイト
Configuration Manager における割り当てのシナリオ例 :セカンダリ サイト
Configuration Manager のローミングのシナリオ例 :簡易
その他のリソース
Configuration Manager クライアントの展開のテクニカル リファレンス
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.