次の方法で共有

ネットワーク アクセス保護と複数の Active Directory フォレストについて

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

次の情報から、Configuration Manager 階層が複数の Active Directory フォレストにまたがるとき、Configuration Manager 2007 にネットワーク アクセス保護 (NAP) を実装する意味を理解して、この環境でサポートされるシナリオを特定します。

Configuration Manager のネットワーク アクセス保護が複数のフォレストに影響を受ける理由

Configuration Manager 2007 でネットワーク アクセス保護 (NAP) を使用しており、Configuration Manager 階層が複数の Active Directory フォレストにまたがる場合、追加の構成要件が必要となります。これは、Configuration Manager のネットワーク アクセス保護が Active Directory 内に正常性状態の参照を格納するためです。Configuration Manager NAP ポリシーを作成または変更するとき、サイト サーバーは Active Directory 内の Configuration Manager 正常性状態の参照に対して更新を公開します。

子サイトが親サイトから Configuration Manager NAP ポリシーを継承するとき、その子サイトのサイト サーバーも Active Directory に正常性状態の参照を公開します。これらの正常性状態の参照は、その後でシステム正常性検証ツール ポイントがグローバル カタログ サーバーを照会することで、Active Directory から取得されます。

既定では、サイト サーバーは自身の Active Directory フォレストに発行し、システム正常性検証ツール ポイントは自身の Active Directory フォレストから正常性状態の参照を取得します。このため、サイト サーバーおよびシステム正常性検証ツール ポイントが同じ Active Directory フォレスト内にない場合、正常性状態の参照を格納する Active Directory フォレストおよびドメインを指定する必要があります。この場合、サイト サーバーとシステム正常性検証ツール ポイントの両方とまったく異なるフォレストを指定することもできます。

Configuration Manager 正常性状態の参照を格納する Active Directory フォレストは、Configuration Manager 2007 スキーマ拡張によって拡張されている必要があります。サイト サーバーは、ネットワーク アクセス保護が有効になっている場合、Active Directory に識別データを発行するように構成されている必要があります。また、サイト サーバーおよびシステム正常性検証ツール ポイントで必要なアクセス許可を持つ、指定したフォレストに System Management コンテナが存在する必要があります。

注意

スキーマの拡張および Configuration Manager 2007 の発行については、「Configuration Manager に対して Active Directory スキーマを拡張する方法」および「Active Directory ドメイン サービスに Configuration Manager サイト情報を発行する方法」を参照してください。

複数のフォレストがサポートされるシナリオ

複数の Active Directory フォレストで実施すべき構成手順は環境、既存の構成、および Configuration Manager 2007 の正常性状態の参照を公開する場所によって異なります。次の一覧は、サイト サーバーが特定の Active Directory フォレストに存在し、すべてのシステム正常性検証ツール ポイントが別の Active Directory フォレストに存在する場合に、Configuration Manager でサポートされる 4 つの基本シナリオです。

  • Configuration Manager 正常性状態の参照を、サイト サーバーを含むフォレストに発行する。

  • Configuration Manager 正常性状態の参照を、システム正常性検証ツール ポイントを含むフォレストに発行する。

  • Configuration Manager 正常性状態の参照を、他の 2 つのフォレストと信頼関係にある 3 番目の Active Directory フォレスト (信頼されるフォレストまたは信頼される外部ドメインのいずれか) に発行する。

  • Configuration Manager 正常性状態の参照を、他の 2 つのフォレストと信頼関係にない 3 番目の Active Directory フォレスト (信頼されないフォレストまたは信頼されない外部ドメインのいずれか) に発行する。

正常性状態の参照を公開するフォレストを決定する場合の情報については、「ネットワーク アクセス保護の正常性状態の参照を発行するフォレストを決定する」を参照してください。

複数のフォレストにネットワーク アクセス保護を使用している場合に Active Directory を提供する手順、および Configuration Manager で必要な追加手順については、「複数のフォレストに対してネットワーク アクセス保護を展開する方法」を参照してください。

参照:

タスク

システム正常性検証ツール ポイントのインストール方法
Active Directory ドメイン サービスに Configuration Manager サイト情報を発行する方法

概念

ネットワーク アクセス保護の NAP 正常性状態参照について
ネットワーク アクセス保護のシステム正常性検証ツール ポイントについて

その他のリソース

Configuration Manager に対して Active Directory スキーマを拡張する方法

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.