Informatie over detectiemethoden voor Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Configuration Manager detectiemethoden verschillende apparaten in uw netwerk vinden, apparaten en gebruikers van Active Directory of gebruikers van Microsoft Entra-id. Als u een detectiemethode efficiënt wilt gebruiken, moet u de beschikbare configuraties en beperkingen begrijpen.
Active Directory-forestdetectie
Configureerbare: Ja
Standaard ingeschakeld: No
Accounts die u kunt gebruiken om deze methode uit te voeren:
Active Directory-forestaccount (door de gebruiker gedefinieerd)
Computeraccount van de siteserver
In tegenstelling tot andere Active Directory-detectiemethoden detecteert Active Directory-forestdetectie geen resources die u kunt beheren. In plaats daarvan detecteert deze methode netwerklocaties die zijn geconfigureerd in Active Directory. Deze locaties kunnen worden omgezet in grenzen voor gebruik in uw hiërarchie.
Wanneer deze methode wordt uitgevoerd, wordt gezocht in het lokale Active Directory-forest, elk vertrouwd forest en andere forests die u configureert in het knooppunt Active Directory-forests van de Configuration Manager-console.
Active Directory-forestdetectie gebruiken om het volgende te doen:
Detecteer Active Directory-sites en -subnetten en maak vervolgens Configuration Manager grenzen op basis van deze netwerklocaties.
Supernetten identificeren die zijn toegewezen aan een Active Directory-site. Converteer elk supernet naar een ip-adresbereikgrens.
Publiceren naar Active Directory Domain Services (AD DS) in een forest wanneer publiceren naar dat forest is ingeschakeld. Het opgegeven Active Directory-forestaccount moet machtigingen hebben voor dat forest.
U kunt Active Directory-forestdetectie beheren in de Configuration Manager-console. Ga naar de werkruimte Beheer en vouw Hiërarchieconfiguratie uit.
Detectiemethoden: Schakel Active Directory-forestdetectie in om uit te voeren op de site op het hoogste niveau van uw hiërarchie. U kunt ook een schema opgeven voor het uitvoeren van detectie. Configureer deze om automatisch grenzen te maken van de IP-subnetten en Active Directory-sites die worden gedetecteerd. Active Directory-forestdetectie kan niet worden uitgevoerd op een onderliggende primaire site of op een secundaire site.
Active Directory-forests: configureer de andere forests om elk Active Directory-forestaccount te detecteren, op te geven en publicatie naar elk forest te configureren. Bewaak het detectieproces. Voeg IP-subnetten en Active Directory-sites toe als Configuration Manager grenzen en leden van grensgroepen.
Als u het publiceren voor Active Directory-forests voor elke site in uw hiërarchie wilt configureren, verbindt u de Configuration Manager-console met de site op het hoogste niveau van uw hiërarchie. Op het tabblad Publiceren in het dialoogvenster Eigenschappen van een Active Directory-site kan alleen de huidige site en de onderliggende sites worden weergegeven. Wanneer publiceren is ingeschakeld voor een forest en het schema van dat forest wordt uitgebreid voor Configuration Manager, wordt de volgende informatie gepubliceerd voor elke site die is ingeschakeld om te publiceren naar dat Active Directory-forest:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
Opmerking
Secundaire sites gebruiken altijd het computeraccount van de secundaire siteserver om te publiceren naar Active Directory. Als u secundaire sites wilt publiceren naar Active Directory, moet u ervoor zorgen dat het computeraccount van de secundaire siteserver machtigingen heeft om te publiceren naar Active Directory. Een secundaire site kan geen gegevens publiceren naar een niet-vertrouwd forest.
Voorzichtigheid
Wanneer u de optie voor het publiceren van een site naar een Active Directory-forest uitschakelt, wordt alle eerder gepubliceerde informatie voor die site, inclusief beschikbare sitesysteemrollen, verwijderd uit Active Directory.
Acties voor Active Directory-forestdetectie worden vastgelegd in de volgende logboeken:
Alle acties, met uitzondering van acties met betrekking tot publiceren, worden vastgelegd in het bestand ADForestDisc.Log in de <map InstallationPath>\Logs op de siteserver.
Active Directory Forest Discovery-publicatieacties worden vastgelegd in de bestanden hman.log en sitecomp.log in de <map InstallationPath>\Logs op de siteserver.
Zie Detectiemethoden configureren voor meer informatie over het configureren van deze detectiemethode.
Active Directory-groepsdetectie
Configureerbare: Ja
Standaard ingeschakeld: No
Accounts die u kunt gebruiken om deze methode uit te voeren:
Active Directory-groepsdetectieaccount (door de gebruiker gedefinieerd)
Computeraccount van de siteserver
Tip
Naast de informatie in deze sectie raadpleegt u Algemene functies van Active Directory-groep, -systeem en -gebruikersdetectie.
Gebruik deze methode om Active Directory Domain Services te zoeken om het volgende te identificeren:
Lokale, wereldwijde en universele beveiligingsgroepen.
Het lidmaatschap van groepen.
Beperkte informatie over de lidcomputers en gebruikers van een groep, zelfs als een andere detectiemethode deze computers en gebruikers niet eerder heeft gedetecteerd.
Deze detectiemethode is bedoeld om groepen en de groepsrelaties van leden van groepen te identificeren. Standaard worden alleen beveiligingsgroepen gedetecteerd. Als u ook het lidmaatschap van distributiegroepen wilt vinden, moet u het selectievakje voor de optie Het lidmaatschap van distributiegroepen detecteren inschakelen op het tabblad Optie in het dialoogvenster Eigenschappen van Active Directory-groepdetectie .
Detectie van Active Directory-groepen biedt geen ondersteuning voor de uitgebreide Active Directory-kenmerken die kunnen worden geïdentificeerd met behulp van Active Directory-systeemdetectie of Active Directory-gebruikersdetectie. Omdat deze detectiemethode niet is geoptimaliseerd voor het detecteren van computer- en gebruikersbronnen, kunt u overwegen deze detectiemethode uit te voeren nadat u Active Directory-systeemdetectie en Active Directory-gebruikersdetectie hebt uitgevoerd. Deze suggestie komt omdat met deze methode een volledige detectiegegevensrecord (DDR) wordt gemaakt voor groepen, maar alleen een beperkte DDR voor computers en gebruikers die lid zijn van groepen.
U kunt de volgende detectiebereiken configureren die bepalen hoe met deze methode naar informatie wordt gezocht:
Locatie: gebruik een locatie als u wilt zoeken in een of meer Active Directory-containers. Deze bereikoptie ondersteunt een recursieve zoekopdracht van de opgegeven Active Directory-containers. Dit proces doorzoekt elke onderliggende container onder de container die u opgeeft. Dit gaat door totdat er geen onderliggende containers meer worden gevonden.
Groepen: gebruik groepen als u wilt zoeken in een of meer specifieke Active Directory-groepen. U kunt Active Directory-domein configureren om het standaarddomein en forest te gebruiken of de zoekopdracht beperken tot een afzonderlijke domeincontroller. Daarnaast kunt u een of meer groepen opgeven om te zoeken. Als u niet ten minste één groep opgeeft, worden alle groepen in de opgegeven Active Directory-domein locatie doorzocht.
Voorzichtigheid
Wanneer u een detectiebereik configureert, kiest u alleen de groepen die u moet detecteren. Deze aanbeveling is omdat Active Directory-groepsdetectie elk lid van elke groep in het detectiebereik probeert te detecteren. Detectie van grote groepen kan een uitgebreid gebruik van bandbreedte en Active Directory-resources vereisen.
Opmerking
Voordat u verzamelingen kunt maken die zijn gebaseerd op uitgebreide Active Directory-kenmerken en om nauwkeurige detectieresultaten voor computers en gebruikers te garanderen, voert u Active Directory-systeemdetectie of Active Directory-gebruikersdetectie uit, afhankelijk van wat u wilt detecteren.
Acties voor active directory-groepsdetectie worden vastgelegd in het bestand adsgdis.log in de <InstallationPath>\LOGS
map op de siteserver.
Zie Detectiemethoden configureren voor meer informatie over het configureren van deze detectiemethode.
Active Directory-systeemdetectie
Configureerbare: Ja
Standaard ingeschakeld: No
Accounts die u kunt gebruiken om deze methode uit te voeren:
Active Directory-systeemdetectieaccount (door de gebruiker gedefinieerd)
Computeraccount van de siteserver
Tip
Naast de informatie in deze sectie raadpleegt u Algemene functies van Active Directory-groep, -systeem en -gebruikersdetectie.
Gebruik deze detectiemethode om in de opgegeven Active Directory Domain Services locaties te zoeken naar computerresources die kunnen worden gebruikt om verzamelingen en query's te maken. U kunt de Configuration Manager-client ook installeren op een gedetecteerd apparaat met behulp van clientpushinstallatie.
Standaard detecteert deze methode basisinformatie over de computer, waaronder de volgende kenmerken:
Computernaam
Besturingssysteem en versie
Active Directory-containernaam
IP-adres
Active Directory-site
Tijdstempel van laatste aanmelding
Als u een DDR voor een computer wilt maken, moet Active Directory-systeemdetectie het computeraccount kunnen identificeren en vervolgens de computernaam kunnen omschakelen naar een IP-adres.
In het dialoogvenster Eigenschappen van Active Directory-systeemdetectie op het tabblad Active Directory-kenmerken kunt u de volledige lijst met standaardobjectkenmerken bekijken die worden gedetecteerd. U kunt de methode ook configureren om uitgebreide kenmerken te detecteren.
Acties voor Active Directory-systeemdetectie worden vastgelegd in het bestand adsysdis.log in de <InstallationPath>\LOGS
map op de siteserver.
Zie Detectiemethoden configureren voor meer informatie over het configureren van deze detectiemethode.
Active Directory-gebruikersdetectie
Configureerbare: Ja
Standaard ingeschakeld: No
Accounts die u kunt gebruiken om deze methode uit te voeren:
Active Directory-gebruikersdetectieaccount (door de gebruiker gedefinieerd)
Computeraccount van de siteserver
Tip
Naast de informatie in deze sectie raadpleegt u Algemene functies van Active Directory-groep, -systeem en -gebruikersdetectie.
Gebruik deze detectiemethode om Active Directory Domain Services te zoeken om gebruikersaccounts en bijbehorende kenmerken te identificeren. Standaard detecteert deze methode basisinformatie over het gebruikersaccount, waaronder de volgende kenmerken:
Gebruikersnaam
Unieke gebruikersnaam, die de domeinnaam bevat
Domein
Active Directory-containernamen
In het dialoogvenster Eigenschappen van Active Directory-gebruikersdetectie kunt u op het tabblad Active Directory-kenmerken de volledige standaardlijst met objectkenmerken bekijken die worden gedetecteerd. U kunt de methode ook configureren om uitgebreide kenmerken te detecteren.
Acties voor Active Directory-gebruikersdetectie worden vastgelegd in het bestand adusrdis.log in de <InstallationPath>\LOGS
map op de siteserver.
Zie Detectiemethoden configureren voor meer informatie over het configureren van deze detectiemethode.
Microsoft Entra gebruikersdetectie
Gebruik Microsoft Entra gebruikersdetectie om in uw Microsoft Entra-abonnement te zoeken naar gebruikers met een moderne cloud-identiteit. Microsoft Entra gebruikersdetectie kan de volgende kenmerken vinden:
objectId
displayName
mail
mailNickname
onPremisesSecurityIdentifier
userPrincipalName
tenantID
onPremisesDomainName
onPremisesSamAccountName
onPremisesDistinguishedName
Deze methode ondersteunt volledige en deltasynchronisatie van gebruikerskenmerken van Microsoft Entra-id. Deze informatie kan vervolgens worden gebruikt naast detectiegegevens die u verzamelt van de andere detectiemethoden.
Acties voor Microsoft Entra gebruikersdetectie worden vastgelegd in het bestand SMS_AZUREAD_DISCOVERY_AGENT.log op de siteserver van de bovenste laag van de hiërarchie.
Zie Azure-services configureren voor cloudbeheer om Microsoft Entra gebruikersdetectie te configureren. Zie Detectie van Microsoft Entra gebruiker configureren voor meer informatie over het configureren van deze detectiemethode.
Microsoft Entra detectie van gebruikersgroepen
U kunt gebruikersgroepen en leden van deze groepen detecteren vanuit Microsoft Entra id. Microsoft Entra detectie van gebruikersgroepen kan de volgende kenmerken vinden:
objectId
displayName
mailNickname
onPremisesSecurityIdentifier
tenantID
Acties voor Microsoft Entra detectie van gebruikersgroepen worden vastgelegd in het bestand SMS_AZUREAD_DISCOVERY_AGENT.log op de siteserver van de bovenste laag van de hiërarchie. Zie Detectie van Microsoft Entra gebruikersgroep configureren voor meer informatie over het configureren van deze detectiemethode.
Heartbeatdetectie
Configureerbare: Ja
Standaard ingeschakeld: Ja
Accounts die u kunt gebruiken om deze methode uit te voeren:
- Computeraccount van de siteserver
Heartbeatdetectie verschilt van andere Configuration Manager detectiemethoden. Het is standaard ingeschakeld en wordt uitgevoerd op elke computerclient in plaats van op een siteserver om een DDR te maken. Schakel heartbeatdetectie niet uit om de databaserecord van Configuration Manager clients te onderhouden. Naast het onderhouden van de databaserecord kan deze methode detectie van een computer afdwingen als een nieuwe resourcerecord. De databaserecord van een computer die uit de database is verwijderd, kan ook opnieuw worden ingevuld.
Heartbeat-detectie wordt uitgevoerd volgens een schema dat is geconfigureerd voor alle clients in de hiërarchie. Het standaardschema voor heartbeatdetectie wordt ingesteld op elke zeven dagen. Als u het interval voor heartbeatdetectie wijzigt, moet u ervoor zorgen dat het vaker wordt uitgevoerd dan de siteonderhoudstaak Verouderde detectiegegevens verwijderen. Met deze taak worden inactieve clientrecords uit de sitedatabase verwijderd. U kunt de taak Verouderde detectiegegevens verwijderen alleen configureren voor primaire sites.
U kunt heartbeatdetectie ook handmatig uitvoeren op een specifieke client. Voer de cyclus detectiegegevensverzameling uit op het tabblad Actie van het Configuration Manager configuratiescherm van een client.
Wanneer heartbeat-detectie wordt uitgevoerd, wordt er een DDR gemaakt met de huidige informatie van de client. De client kopieert dit kleine bestand vervolgens naar een beheerpunt, zodat een primaire site het kan verwerken. Het bestand is ongeveer 1 kB groot en bevat de volgende informatie:
Netwerklocatie
NetBIOS-naam
Versie van de clientagent
Details van de operationele status
Heartbeat-detectie is de enige detectiemethode die details biedt over de clientinstallatiestatus. Dit doet u door het clientkenmerk van de systeemresource bij te werken om een waarde in te stellen die gelijk is aan Ja.
Acties voor heartbeatdetectie worden vastgelegd op de client in het bestand InventoryAgent.log in de %Windir%\CCM\Logs
map.
Zie Detectiemethoden configureren voor meer informatie over het configureren van deze detectiemethode.
Netwerkdetectie
Configureerbare: Ja
Standaard ingeschakeld: No
Accounts die u kunt gebruiken om deze methode uit te voeren:
- Computeraccount van de siteserver
Gebruik deze methode om de topologie van uw netwerk te detecteren en om apparaten in uw netwerk met een IP-adres te detecteren. Netwerkdetectie zoekt in uw netwerk naar ip-resources door query's uit te voeren op de volgende bronnen:
- Servers waarop een Microsoft-implementatie van DHCP wordt uitgevoerd
- ARP-caches (Address Resolution Protocol) in netwerkrouters
- SNMP-apparaten
- Active Directory-domeinen
Voordat u netwerkdetectie kunt gebruiken, moet u het detectieniveau opgeven dat moet worden uitgevoerd. U configureert ook een of meer detectiemechanismen waarmee netwerkdetectie op netwerksegmenten of apparaten kan worden opgevraagd. U kunt ook instellingen configureren waarmee u detectieacties op het netwerk kunt beheren. Ten slotte definieert u een of meer planningen voor wanneer netwerkdetectie wordt uitgevoerd.
Voor deze methode om een resource te detecteren, moet netwerkdetectie het IP-adres en het subnetmasker van de resource identificeren. De volgende methoden worden gebruikt om het subnetmasker van een object te identificeren:
ARP-cache router: Netwerkdetectie voert query's uit op de ARP-cache van een router om subnetgegevens te vinden. Gegevens in een ARP-cache van een router hebben doorgaans een korte time-to-live. Daarom, wanneer netwerkdetectie query's uitvoert op de ARP-cache, heeft de ARP-cache mogelijk geen informatie meer over het aangevraagde object.
DHCP: Netwerkdetectie voert query's uit op elke DHCP-server die u opgeeft om de apparaten te detecteren waarvoor de DHCP-server een lease heeft verstrekt. Netwerkdetectie ondersteunt alleen DHCP-servers waarop de Microsoft-implementatie van DHCP wordt uitgevoerd.
SNMP-apparaat: Netwerkdetectie kan rechtstreeks een query uitvoeren op een SNMP-apparaat. Voor netwerkdetectie om een query uit te voeren op een apparaat, moet op het apparaat een lokale SNMP-agent zijn geïnstalleerd. Configureer ook netwerkdetectie om de communitynaam te gebruiken die de SNMP-agent gebruikt.
Wanneer detectie een IP-adresseerbaar object identificeert en het subnetmasker van het object kan bepalen, wordt er een DDR voor dat object gemaakt. Omdat verschillende typen apparaten verbinding maken met het netwerk, detecteert netwerkdetectie resources die de Configuration Manager-client niet ondersteunen. Apparaten die kunnen worden gedetecteerd, maar niet worden beheerd, bevatten bijvoorbeeld printers en routers.
Netwerkdetectie kan verschillende kenmerken retourneren als onderdeel van de detectierecord die wordt gemaakt. Deze kenmerken zijn onder andere:
NetBIOS-naam
IP-adressen
Resourcedomein
Systeemrollen
Naam van SNMP-community
MAC-adressen
Netwerkdetectieactiviteit wordt vastgelegd in het bestand Netdisc.log in InstallationPath>\Logs
op de siteserver waarop detectie wordt uitgevoerd.
Zie Detectiemethoden configureren voor meer informatie over het configureren van deze detectiemethode.
Opmerking
Complexe netwerken en verbindingen met lage bandbreedte kunnen ertoe leiden dat netwerkdetectie traag wordt uitgevoerd en aanzienlijk netwerkverkeer genereert. Voer netwerkdetectie alleen uit wanneer de andere detectiemethoden de resources die u moet detecteren, niet kunnen vinden. Gebruik bijvoorbeeld netwerkdetectie om werkgroepcomputers te detecteren. Andere detectiemethoden detecteren geen werkgroepcomputers.
Niveaus van netwerkdetectie
Wanneer u netwerkdetectie configureert, geeft u een van de drie detectieniveaus op:
Detectieniveau | Details |
---|---|
Topologie | Dit niveau detecteert routers en subnetten, maar identificeert geen subnetmasker voor objecten. |
Topologie en client | Naast topologie detecteert dit niveau potentiële clients zoals computers en resources zoals printers en routers. Met dit detectieniveau wordt geprobeerd het subnetmasker van objecten te identificeren dat wordt gevonden. |
Topologie, client en clientbesturingssysteem | Naast topologie en potentiële clients probeert dit niveau de naam en versie van het computerbesturingssysteem te detecteren. Dit niveau maakt gebruik van Windows Browser en Windows Networking-aanroepen. |
Met elk incrementeel niveau verhoogt netwerkdetectie de activiteit en het bandbreedtegebruik van het netwerk. Houd rekening met het netwerkverkeer dat kan worden gegenereerd voordat u alle aspecten van netwerkdetectie inschakelt.
Wanneer u bijvoorbeeld voor het eerst netwerkdetectie gebruikt, kunt u beginnen met alleen het topologieniveau om uw netwerkinfrastructuur te identificeren. Configureer vervolgens netwerkdetectie opnieuw om objecten en hun apparaatbesturingssystemen te detecteren. U kunt ook instellingen configureren die netwerkdetectie beperken tot een specifiek bereik van netwerksegmenten. Op die manier detecteert u objecten in netwerklocaties die u nodig hebt en vermijdt u onnodig netwerkverkeer. Met dit proces kunt u ook objecten van edge-routers of van buiten uw netwerk detecteren.
Opties voor netwerkdetectie
Als u netwerkdetectie wilt inschakelen om te zoeken naar IP-adresseerbare apparaten, configureert u een of meer van deze opties.
Opmerking
Netwerkdetectie wordt uitgevoerd in de context van het computeraccount van de siteserver waarop detectie wordt uitgevoerd. Als het computeraccount geen machtigingen heeft voor een niet-vertrouwd domein, kunnen de domein- en DHCP-serverconfiguraties mogelijk geen resources detecteren.
DHCP
Geef elke DHCP-server op waarvoor u een query wilt uitvoeren voor netwerkdetectie. Netwerkdetectie ondersteunt alleen DHCP-servers waarop de Microsoft-implementatie van DHCP wordt uitgevoerd.
Netwerkdetectie haalt informatie op met behulp van externe procedureaanroepen naar de database op de DHCP-server.
Netwerkdetectie kan zowel 32-bits als 64-bits DHCP-servers opvragen voor een lijst met apparaten die bij elke server zijn geregistreerd.
Netwerkdetectie kan alleen een query uitvoeren op een DHCP-server als het computeraccount van de server waarop detectie wordt uitgevoerd lid is van de groep DHCP-gebruikers op de DHCP-server. Dit toegangsniveau bestaat bijvoorbeeld wanneer een van de volgende instructies waar is
De opgegeven DHCP-server is de DHCP-server van de server waarop detectie wordt uitgevoerd.
De computer waarop detectie wordt uitgevoerd en de DHCP-server bevinden zich in hetzelfde domein.
Er bestaat een tweerichtingsvertrouwensrelatie tussen de computer waarop de detectie wordt uitgevoerd en de DHCP-server.
De siteserver is lid van de groep DHCP-gebruikers.
Wanneer netwerkdetectie een DHCP-server opsomt, worden er niet altijd statische IP-adressen gedetecteerd. Netwerkdetectie vindt geen IP-adressen die deel uitmaken van een uitgesloten bereik van IP-adressen op de DHCP-server. Er worden ook geen IP-adressen gedetecteerd die zijn gereserveerd voor handmatige toewijzing.
Domeinen
Geef elk domein op waarvoor netwerkdetectie een query moet uitvoeren.
Het computeraccount van de siteserver waarop detectie wordt uitgevoerd, moet machtigingen hebben om de domeincontrollers in elk opgegeven domein te lezen.
Als u computers van het lokale domein wilt detecteren, moet u de computerbrowserservice op ten minste één computer inschakelen. Deze computer moet zich in hetzelfde subnet bevinden als de siteserver waarop netwerkdetectie wordt uitgevoerd.
Netwerkdetectie kan elke computer detecteren die u kunt weergeven vanaf uw siteserver wanneer u door het netwerk bladert.
Netwerkdetectie haalt het IP-adres op. Vervolgens wordt een ICMP-echoaanvraag (Internet Control Message Protocol) gebruikt om elk gevonden apparaat te pingen. Met de pingopdracht kunt u bepalen welke computers momenteel actief zijn.
SNMP-apparaten
Geef elk SNMP-apparaat op waarvoor netwerkdetectie een query moet uitvoeren.
Netwerkdetectie haalt de
ipNetToMediaTable
waarde op van elk SNMP-apparaat dat op de query reageert. Deze waarde retourneert matrices met IP-adressen die clientcomputers of andere resources zijn, zoals printers, routers of andere IP-adresseerbare apparaten.Als u een query wilt uitvoeren op een apparaat, moet u het IP-adres of de NetBIOS-naam van het apparaat opgeven.
Configureer netwerkdetectie om de communitynaam van het apparaat te gebruiken, of het apparaat weigert de op SNMP gebaseerde query.
Netwerkdetectie beperken
Wanneer netwerkdetectie een query uitvoert op een SNMP-apparaat aan de rand van uw netwerk, kan het informatie identificeren over subnetten en SNMP-apparaten die zich buiten uw directe netwerk bevinden. Gebruik de volgende informatie om netwerkdetectie te beperken door de SNMP-apparaten te configureren waarmee detectie kan communiceren en door de netwerksegmenten op te geven die moeten worden opgevraagd.
Subnetten
Configureer de subnetten die door netwerkdetectie worden opgevraagd wanneer de opties SNMP en DHCP worden gebruikt. Met deze twee opties wordt alleen gezocht in de ingeschakelde subnetten.
Een DHCP-aanvraag kan bijvoorbeeld apparaten retourneren vanaf locaties in het hele netwerk. Als u alleen apparaten in een specifiek subnet wilt detecteren, geeft u dat specifieke subnet op en schakelt u dit in op het tabblad Subnetten in het dialoogvenster Eigenschappen van netwerkdetectie . Wanneer u subnetten opgeeft en inschakelt, beperkt u toekomstige DHCP- en SNMP-detectietaken tot deze subnetten.
Opmerking
Subnetconfiguraties beperken niet de objecten die met de optie Domeinendetectie worden gedetecteerd.
SNMP-communitynamen
Als u wilt dat netwerkdetectie een query op een SNMP-apparaat kan uitvoeren, configureert u netwerkdetectie met de communitynaam van het apparaat. Als netwerkdetectie niet is geconfigureerd met behulp van de communitynaam van het SNMP-apparaat, weigert het apparaat de query.
Maximum aantal hops
Wanneer u het maximum aantal routerhops configureert, beperkt u het aantal netwerksegmenten en routers die door netwerkdetectie kunnen worden opgevraagd met behulp van SNMP.
Het aantal hops dat u configureert, beperkt het aantal apparaten en netwerksegmenten dat door netwerkdetectie kan worden opgevraagd.
Een topologiedetectie met 0 (nul) router hops detecteert bijvoorbeeld het subnet waarop de oorspronkelijke server zich bevindt. Het omvat alle routers op dat subnet.
In het volgende diagram ziet u wat een topologie-only netwerkdetectiequery vindt wanneer deze wordt uitgevoerd op Server 1 met 0 router hops opgegeven: subnet D en Router 1.
In het volgende diagram ziet u wat een topologie- en clientnetwerkdetectiequery vindt wanneer deze wordt uitgevoerd op Server 1 met 0 opgegeven routerhops: subnet D en Router 1, en alle potentiële clients op subnet D.
Als u een beter idee wilt krijgen van hoe meer routerhops de hoeveelheid gedetecteerde netwerkresources kunnen verhogen, kunt u het volgende netwerk overwegen:
Als u een topologienetwerkdetectie uitvoert vanaf Server 1 met één router hop, worden de volgende entiteiten gedetecteerd:
Router 1 en subnet 10.1.10.0 (gevonden met nul hops)
Subnetten 10.1.20.0 en 10.1.30.0, subnet A en Router 2 (gevonden in de eerste hop)
Waarschuwing
Elke toename van het aantal routerhops kan het aantal detecteerbare resources aanzienlijk verhogen en de netwerkbandbreedte verhogen die netwerkdetectie gebruikt.
Serverdetectie
Configureerbare: No
Naast de door de gebruiker configureerbare detectiemethoden gebruikt Configuration Manager een proces met de naam ServerDetectie (SMS_WINNT_SERVER_DISCOVERY_AGENT
). Met deze detectiemethode maakt u resourcerecords voor computers die sitesystemen zijn, zoals een computer die is geconfigureerd als een beheerpunt.
Algemene functies van Active Directory-groepsdetectie, systeemdetectie en gebruikersdetectie
Deze sectie bevat informatie over functies die gemeenschappelijk zijn voor de volgende detectiemethoden:
Active Directory-groepsdetectie
Active Directory-systeemdetectie
Active Directory-gebruikersdetectie
Opmerking
De informatie in deze sectie is niet van toepassing op Active Directory-forestdetectie.
Deze drie detectiemethoden zijn vergelijkbaar in configuratie en bewerking. Ze kunnen computers, gebruikers en informatie over groepslidmaatschappen van resources detecteren die zijn opgeslagen in Active Directory Domain Services. Het detectieproces wordt beheerd door een detectieagent. De agent wordt uitgevoerd op de siteserver op elke site waarop detectie is geconfigureerd om te worden uitgevoerd. U kunt elk van deze detectiemethoden configureren om een of meer Active Directory-locaties te doorzoeken als locatie-exemplaren in het lokale forest of externe forests.
Wanneer detectie in een niet-vertrouwd forest naar resources zoekt, moet de detectieagent het volgende kunnen oplossen om te kunnen slagen:
Als u een computerresource wilt detecteren met behulp van Active Directory-systeemdetectie, moet de detectieagent de FQDN van de resource kunnen oplossen. Als de FQDN niet kan worden omgezet, wordt geprobeerd de resource op te lossen met de NetBIOS-naam.
Als u een gebruiker of groepsresource wilt detecteren met behulp van Active Directory-gebruikersdetectie of Active Directory-groepsdetectie, moet de detectieagent de FQDN kunnen omzetten van de naam van de domeincontroller die u opgeeft voor de Active Directory-locatie.
Voor elke locatie die u opgeeft, kunt u afzonderlijke zoekopties configureren, zoals het inschakelen van een recursieve zoekopdracht van de onderliggende Active Directory-containers van de locatie. U kunt ook een uniek account configureren voor gebruik wanneer deze op die locatie zoekt. Dit account biedt flexibiliteit bij het configureren van een detectiemethode op één site om meerdere Active Directory-locaties in meerdere forests te doorzoeken. U hoeft niet één account te configureren dat machtigingen heeft voor alle locaties.
Wanneer elk van deze drie detectiemethoden op een specifieke site wordt uitgevoerd, neemt de Configuration Manager siteserver op die site contact op met de dichtstbijzijnde domeincontroller in het opgegeven Active Directory-forest om Active Directory-resources te vinden. Het domein en forest kunnen zich in elke ondersteunde Active Directory-modus bevinden. Het account dat u aan elk locatie-exemplaar toewijst, moet leestoegangsmachtigingen hebben voor de opgegeven Active Directory-locaties.
Detectie doorzoekt de opgegeven locaties voor objecten en probeert vervolgens informatie over deze objecten te verzamelen. Er wordt een DDR gemaakt wanneer voldoende informatie over een resource kan worden geïdentificeerd. De vereiste informatie varieert, afhankelijk van de detectiemethode die wordt gebruikt.
Als u dezelfde detectiemethode configureert om op verschillende Configuration Manager sites te worden uitgevoerd om te profiteren van het uitvoeren van query's op lokale Active Directory-servers, kunt u elke site configureren met een unieke set detectieopties. Omdat detectiegegevens worden gedeeld met elke site in de hiërarchie, vermijdt u overlapping tussen deze configuraties om elke resource één keer efficiënt te detecteren.
Voor kleinere omgevingen kunt u overwegen om elke detectiemethode uit te voeren op slechts één site in uw hiërarchie. Deze configuratie vermindert de administratieve overhead en de mogelijkheid voor meerdere detectieacties om dezelfde resources te herontdekken. Wanneer u het aantal sites minimaliseert waarop detectie wordt uitgevoerd, vermindert u de totale netwerkbandbreedte die detectie gebruikt. U kunt ook het totale aantal DDR's verminderen dat wordt gemaakt en moet worden verwerkt door uw siteservers.
Veel van de detectiemethodeconfiguraties spreken voor zich. Gebruik de volgende secties voor meer informatie over de detectieopties waarvoor mogelijk aanvullende informatie nodig is voordat u ze configureert.
De volgende opties zijn beschikbaar voor gebruik met meerdere Active Directory-detectiemethoden:
Delta-detectie
Beschikbaar voor:
Active Directory-groepsdetectie
Active Directory-systeemdetectie
Active Directory-gebruikersdetectie
Delta-detectie is geen onafhankelijke detectiemethode, maar een optie die beschikbaar is voor de toepasselijke detectiemethoden. Delta-detectie zoekt in specifieke Active Directory-kenmerken naar wijzigingen die zijn aangebracht sinds de laatste volledige detectiecyclus van de toepasselijke detectiemethode. De kenmerkwijzigingen worden verzonden naar de Configuration Manager-database om de detectierecord van de resource bij te werken.
Deltadetectie wordt standaard uitgevoerd in een cyclus van vijf minuten. Dit schema komt veel vaker voor dan de gebruikelijke planning voor een volledige detectiecyclus. Deze frequente cyclus is mogelijk omdat deltadetectie minder siteserver- en netwerkresources gebruikt dan een volledige detectiecyclus. Wanneer u deltadetectie gebruikt, kunt u de frequentie van de volledige detectiecyclus voor die detectiemethode verminderen.
Hier volgen de meest voorkomende wijzigingen die deltadetectie detecteert:
Nieuwe computers of gebruikers toegevoegd aan Active Directory
Wijzigingen in basiscomputer- en gebruikersgegevens
Nieuwe computers of gebruikers die zijn toegevoegd aan een groep
Computers of gebruikers die uit een groep zijn verwijderd
Wijzigingen in systeemgroepsobjecten
Hoewel deltadetectie nieuwe resources en wijzigingen in groepslidmaatschap kan detecteren, kan het niet detecteren wanneer een resource uit Active Directory is verwijderd. DDR's die door deltadetectie zijn gemaakt, worden op dezelfde manier verwerkt als de DDR's die zijn gemaakt door een volledige detectiecyclus.
U configureert deltadetectie op het tabblad Polling Schedule in de eigenschappen voor elke detectiemethode.
Verouderde computerrecords filteren op domeinaanmelding
Beschikbaar voor:
Active Directory-groepsdetectie
Active Directory-systeemdetectie
U kunt detectie configureren om computers met een verouderde computerrecord uit te sluiten. Deze uitsluiting is gebaseerd op de laatste domein-aanmelding van de computer. Wanneer deze optie is ingeschakeld, evalueert Active Directory-systeemdetectie elke computer die wordt geïdentificeerd. Active Directory-groepsdetectie evalueert elke computer die lid is van een gedetecteerde groep.
U kunt deze optie als volgt gebruiken:
Computers moeten worden geconfigureerd om het
lastLogonTimeStamp
kenmerk in Active Directory Domain Services bij te werken.Het functionele niveau van het Active Directory-domein moet worden ingesteld op Windows Server 2003 of hoger.
Wanneer u de tijd na de laatste aanmelding configureert die u voor deze instelling wilt gebruiken, moet u rekening houden met het interval voor replicatie tussen domeincontrollers.
U configureert filteren op het tabblad Optie in de dialoogvensters Eigenschappen van Active Directory-systeemdetectie en Eigenschappen van Active Directory-groepsdetectie . Kies ervoor om alleen computers te detecteren die zijn aangemeld bij een domein in een bepaalde periode.
Waarschuwing
Wanneer u dit filter en Verouderde records filteren op computerwachtwoord configureert, worden computers die voldoen aan de criteria van een van beide filters uitgesloten.
Verouderde records filteren op computerwachtwoord
Beschikbaar voor:
Active Directory-groepsdetectie
Active Directory-systeemdetectie
U kunt detectie configureren om computers met een verouderde computerrecord uit te sluiten. Deze uitsluiting is gebaseerd op de laatste update van het wachtwoord van het computeraccount door de computer. Wanneer deze optie is ingeschakeld, evalueert Active Directory-systeemdetectie elke computer die wordt geïdentificeerd. Active Directory-groepsdetectie evalueert elke computer die lid is van een groep die wordt gedetecteerd.
U kunt deze optie als volgt gebruiken:
- Computers moeten worden geconfigureerd om het
pwdLastSet
kenmerk in Active Directory Domain Services bij te werken.
Wanneer u deze optie configureert, moet u rekening houden met het interval voor updates van dit kenmerk. Houd ook rekening met het replicatie-interval tussen domeincontrollers.
U configureert filteren op het tabblad Optie in de dialoogvensters Eigenschappen van Active Directory-systeemdetectie en Eigenschappen van Active Directory-groepsdetectie . Kies voor Alleen computers detecteren die het wachtwoord van hun computeraccount in een bepaalde periode hebben bijgewerkt.
Waarschuwing
Wanneer u dit filter en Verouderde records filteren op domeinaanmelding configureert, sluit detectie computers uit die voldoen aan de criteria van een van beide filters.
Aangepaste Active Directory-kenmerken zoeken
Beschikbaar voor:
Active Directory-systeemdetectie
Active Directory-gebruikersdetectie
Elke detectiemethode ondersteunt een unieke lijst met Active Directory-kenmerken die kunnen worden gedetecteerd.
U kunt de lijst met aangepaste kenmerken weergeven en configureren op het tabblad Active Directory-kenmerken in de dialoogvenstersEigenschappen van Active Directory-systeemdetectie en Eigenschappen voor Active Directory-gebruikersdetectie .
Volgende stappen
Detectiemethoden selecteren die u wilt gebruiken voor Configuration Manager