Ondersteuning voor Active Directory-domeinen in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Alle Configuration Manager-sitesystemen moeten lid zijn van een ondersteund Active Directory-domein. Configuration Manager clientcomputers kunnen domeinleden of werkgroepleden zijn.
Vereisten en beperkingen
Domeinlidmaatschap is ook van toepassing op sitesystemen die ondersteuning bieden voor clientbeheer via internet in een perimeternetwerk. (Deze netwerken worden ook wel dmz, gedemilitariseerde zone en gescreend subnet genoemd.
Het wordt niet ondersteund om de volgende configuraties te wijzigen voor een computer die als host fungeert voor een sitesysteemrol:
Domeinlidmaatschap, ook als u een sitesysteem uit het domein verwijdert en vervolgens opnieuw lid wordt van hetzelfde domein.
Domeinnaam
Computernaam
Voordat u deze wijzigingen aanbrengt, verwijdert u de sitesysteemrol. Als u deze wijzigingen wilt aanbrengen op een siteserver, verwijdert u eerst de site. U kunt ook overwegen om een siteserver in de passieve modus te maken om deze wijziging op een siteserver te beheren.
Configuration Manager ondersteunt het functionele domein- en forestniveau van Windows Server 2008 R2 of hoger.
Niet-aaneengesloten naamruimte
U kunt Configuration Manager sitesystemen en -clients installeren in een domein met een niet-aaneengesloten naamruimte.
In een niet-aaneengesloten naamruimte komt het primaire DNS-achtervoegsel van een computer niet overeen met de Active Directory DNS-domeinnaam van die computer. Een ander niet-aaneengesloten naamruimtescenario treedt op als de NetBIOS-domeinnaam van een domeincontroller niet overeenkomt met de DNS-domeinnaam van Active Directory.
Niet-aaneengesloten scenario's
In de volgende secties worden de ondersteunde scenario's voor een niet-aaneengesloten naamruimte beschreven.
Scenario 1
Het primaire DNS-achtervoegsel van de domeincontroller verschilt van de Active Directory DNS-domeinnaam. Computers die lid zijn van het domein kunnen niet-aaneengesloten of niet aaneengesloten zijn.
De domeincontroller is in dit scenario niet aan elkaar gekoppeld. Computers die lid zijn van het domein, zoals siteservers en computers, kunnen een primair DNS-achtervoegsel hebben dat overeenkomt met:
- Het primaire DNS-achtervoegsel van de domeincontroller
- De Active Directory DNS-domeinnaam
Scenario 2
Een lidcomputer in een Active Directory-domein is niet aaneengesloten, ook al is de domeincontroller niet aaneengesloten.
In dit scenario verschilt het primaire DNS-achtervoegsel van een sitesysteem van de Active Directory DNS-domeinnaam. Het primaire DNS-achtervoegsel van de domeincontroller is hetzelfde als de Active Directory DNS-domeinnaam. Lidcomputers die Configuration Manager clients kunnen een primair DNS-achtervoegsel hebben dat overeenkomt met:
- Het primaire DNS-achtervoegsel van de niet-aaneengesloten sitesysteemserver
- De Active Directory DNS-domeinnaam
Niet-aaneengesloten naamruimte configureren
Als u een computer toegang wilt geven tot niet-aaneengesloten domeincontrollers, wijzigt u het Active Directory-kenmerk msDS-AllowedDNSSuffixes in de domeinobjectcontainer. Voeg beide DNS-achtervoegsels toe aan het kenmerk.
Als u ervoor wilt zorgen dat de lijst met DNS-achtervoegsels alle DNS-naamruimten in de organisatie bevat, configureert u de zoeklijst voor elke computer in het niet-aaneengesloten domein. Neem de volgende achtervoegsels op in de lijst met naamruimten:
- Het primaire DNS-achtervoegsel van de domeincontroller
- De DNS-domeinnaam
- Eventuele extra naamruimten voor andere servers waarmee Configuration Manager kunnen communiceren
U kunt groepsbeleid gebruiken om de zoeklijst voor dns-achtervoegsels (Domain Name System) te configureren.
Belangrijk
Wanneer u in Configuration Manager naar een computer verwijst, voert u de computer in met behulp van het primaire DNS-achtervoegsel. Dit achtervoegsel moet overeenkomen met de volledig gekwalificeerde domeinnaam die is geregistreerd als het kenmerk dnsHostName in het Active Directory-domein en de service-principalnaam die is gekoppeld aan het systeem.
Domeinen met één label
Configuration Manager ondersteunt sitesystemen en clients in een domein met één label wanneer aan de volgende criteria wordt voldaan:
Configureer het domein met één label in Active Directory Domain Services met een niet-aaneengesloten DNS-naamruimte met een geldig domein op het hoogste niveau.
Bijvoorbeeld: Het domein met één label van Contoso is geconfigureerd voor een niet-aaneengesloten naamruimte in DNS van contoso.com. Wanneer u het DNS-achtervoegsel opgeeft in Configuration Manager voor een computer in het Contoso-domein, geeft u 'Contoso.com' op en niet 'Contoso'.
De DCOM-verbindingen (Distributed Component Object Model) tussen siteservers in de systeemcontext moeten succesvol zijn met behulp van Kerberos-verificatie.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor