Delen via

  • Artikel

De Windows-omgeving voorbereiden voor Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Gebruik de informatie in de volgende secties om u te helpen uw Windows-omgeving te configureren om System Center 2012 Configuration Manager te ondersteunen.

  • Active Directory voorbereiden voor Configuration Manager

    • Breid het Active Directory-schema uit

    • Creëer de container systeembeheer

    • Beveiligingsrechten instellen op de container systeembeheer

    • Publicatie van Active Directory inschakelen voor de Configuration Manager-site

  • Configureer Windows-gebaseerde servers voor systeemrollen van de Configuration Manager-site

    • Externe differentiële compressie

    • Internet Information Services (IIS)

    • Aanvraag filtering voor IIS

Active Directory voorbereiden voor Configuration Manager

Wanneer u het Active Directory-schema uitbreidt, is die actie een configuratie voor het hele forest die eenmaal per forest moet gedaan worden. Uitbreiding van het schema is een onomkeerbare actie die moet worden uitgevoerd door een gebruiker die lid is van de groep Schema-administrators of aan wie voldoende machtigingen zijn gedelegeerd om het schema te wijzigen. Als u besluit het Active Directory-schema uit te breiden, kunt u dit doen voor of na de installatie uitvoert. Voor informatie om u te helpen beslissen of u het Active Directory-schema zou uitbreiden, zie Bepalen of het Active Directory-schema voor Configuration Manager moet worden uitgebreid.

Tip

Indien het Active Directory-schema uitgebreid werd met de Configuration Manager 2007-schema-uitbreidingen, moet u het schema niet uitbreiden voor System Center 2012 Configuration Manager. De Active Directory-schema-uitbreidingen zijn ongewijzigd ten aanzien van Configuration Manager 2007.

Er zijn vier acties vereist om Configuration Manager-clients in staat te stellen query's uit te voeren op Active Directory Domain Services en zodoende sitebronnen te vinden:

  • Breid het Active Directory-schema uit.

  • Maak de container voor systeembeheer.

  • Beveiligingsrechten instellen op de container voor systeembeheer.

  • Publicatie van Active Directory inschakelen voor de Configuration Manager-site

Breid het Active Directory-schema uit

Configuration Manager ondersteunt twee methoden om het Active Directory-schema uit te breiden. De eerste moet gebruikt worden met het hulpprogramma extadsch.exe. De tweede is om het LDIFDE hulpprogramma te gebruiken om informatie over de schema-uitbreiding te importeren door gebruik te maken van het ConfigMgr_ad_schema.ldf-bestand.

Notitie

Test, vóór u uw Active Directory-schema uitbreidt, de schema-uitbreidingen op conflicten met uw huidige Active Directory-schema. Zie, voor informatie over hoe de Active Directory-schemauitbreidingen te testen, Testing for Active Directory Schema Extension Conflicts (Testen op uitbreidingsconflicten voor Active Directory-schema) in de Active Directory Domain Services-documentatie.

Het Active Directory-schema met behulp van ExtADSch.exe uitbreiden

U kunt het Active Directory-schema uitbreiden door het extadsch.exe-bestand, gelocaliseerd in de SMSSETUP\BIN\X64-map op de Configuration Manager-installatiemedia uit te voeren. Het extadsch.exe-bestand geeft geen uitvoer weer, wanneer het draait, maar levert feedback wanneer u het uitvoert vanaf een opdrachtconsole zoals een opdrachtregel. Wanneer extadsch.exe draait, genereert het een logboekbestand in de hoofdmap van het systeemstation met de naam extadsch.log, dat aangeeft of de schema-update succesvol afsloot of problemen vermeldt die optraden bij het uitbreiden van het schema.

Tip

Naast het genereren van een logboekbestand, geeft het extadsch.exe-programma resultaten weer in het console-venster wanneer hij uitgevoerd wordt vanuit de opdrachtregel.

Het volgende zijn beperkingen voor het gebruik van extadsch.exe:

  • Extadsch.exe is niet ondersteund wanneer het draait op Windows 2000–gebaseerde computers. Gebruik, om het Active Directory schema uit te breiden vanuit een Windows 2000–gebaseerde computer, het ConfigMgr_ad_schema.ldf.

  • Om het mogelijk te maken dat extadsch.log wordt gecreëerd wanneer u extadsch.exe uitvoert op een Windows Vista computer, moet u aangemeld zijn op de computer met een account die machtigingen heeft van een lokale beheerder.

Het Active Directory-schema met behulp van Extadsch.exe uitbreiden

  1. Creëer een backup van de systeemstatus van de schemamaster-domeincontroller.

  2. Verzeker dat u aangemeld bent op de schemamaster-domeincontroller met een account die een lid is van de beveiligingsgroep schemabeheerders.

    System_CAPS_importantBelangrijk

    U moet aangemeld zijn als een lid van de beveiligingsgroep schemabeheerders om het schema uit te breiden. Het extadsch.exe-bestand uitvoeren door de Uitvoeren als-opdracht te gebruiken in een poging het schema uit te breiden door gebruikmaking van alternatieve referenties zal falen.

  3. Voer extadsch.exe uit, dat zich bevindt op \SMSSETUP\BIN\X64 op de installatiemedia, om nieuwe klassen en attributen toe te voegen aan het Active Directory-schema.

  4. Verifieer dat de schemauitbreiding slaagde, door het extadsch.log-logboekbestand te controleren dat zich in de hoofdmap van het systeemstation bevindt.

  5. Indien de schemauitbreiding niet slaagde, herstel dan de vorige systeemstatus van de schema-master van de backup die werd gemaakt in stap 1.

    Notitie

    Om de systeemstatus te herstellen op een Windows domeincontroller, moet het systeem opnieuw opgestart worden in Modus Active Directory herstellen. Voor meer informatie over Modus Active Directory herstellen, zie Restart the domain controller in Directory Services Restore Mode locally (Start de domeincontroller opnieuw op in lokale Modus Active Directory herstellen).

Het Active Directory-Schema met behulp van een LDIF-bestand uitbreiden

U kunt het LDIFDE opdrachtregel-hulpprogramma gebruiken om een mapobject te importeren in Active Directory Domain Services door gebruik te maken van LDAP Data Interchange Format (LDIF)-bestanden.

Voor grotere zichtbaarheid van de wijzigingen die gemaakt worden aan het Active Directory-schema dan het extadsch.exe hulpprogramma biedt, kunt u het LDIFDE hulpprogramma gebruiken om schemauitbreidingsinformatie te importeren door het ConfigMgr_ad_schema.ldf-bestand te gebruiken dat zich in de SMSSETUP\BIN\X64-map bevindt op de Configuration Manager-installatiemedia.

Notitie

Het ConfigMgr_ad_schema.ldf-bestand is ongewijzigd ten opzichte van de versie geboden door Configuration Manager 2007.

Het Active Directory-schema met behulp van het bestand ConfigMgr_ad_schema.ldf uitbreiden

  1. Creëer een backup van de systeemstatus van de schemamaster-domeincontroller.

  2. Open het ConfigMgr_ad_schema.ldf-bestand dat zich bevindt in de SMSSETUP\BIN\X64-map van de Configuration Manager-installatiemedia en bewerk het bestand om het uit te breiden Active Directory-hoofddomein te definiëren. Alle instanties van de tekst DC=x in het bestand moeten vervangen worden door de volledige naam van het uit te breiden domein.

    Indien bijvoorbeeld de volledige naam van het uit te breiden domein widgets.microsoft.com is, wijzig dan alle instanties van DC=x in het bestand naar DC=widgets, DC=microsoft, DC=com.

  3. Gebruik het LDIFDE opdrachtregel-hulpprogramma om de inhoud van het ConfigMgr_ad_schema.ldf-bestand te importeren in Active Directory Domain Services.

    Met de volgende opdrachtregel worden bijvoorbeeld de schema-uitbreidingen geïmporteerd in Active Directory Domain Services, wordt uitgebreide logboekregistratie ingeschakeld en wordt een logboekbestand gemaakt tijdens het importproces: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <locatie voor logbestand>

  4. Om te verifiëren dat de schemauitbreiding geslaagd was, kunt u het logboekbestand controleren, gemaakt door de opdrachtegel in stap 3.

  5. Indien de schemauitbreiding niet slaagde, herstel dan de vorige systeemstatus van de schema-master van de backup die werd gemaakt in stap 1.

    Notitie

    Om de systeemstatus te herstellen op een Windows domeincontroller, moet het systeem opnieuw opgestart worden in Modus Active Directory herstellen. Voor meer informatie over Modus Active Directory herstellen, zie Restart the domain controller in Directory Services Restore Mode locally (Start de domeincontroller opnieuw op in lokale Modus Active Directory herstellen).

Creëer de container systeembeheer

Configuration Manager maakt niet automatisch de System Management-container in Active Directory Domain Services wanneer het schema is uitgebreid. De container moet eenmaal gemaakt worden voor elk domein dat een Configuration Manager primaire of secundaire siteserver bevat, die site-informatie publiceert naar Active Directory Domain Services

Tip

U kunt de siteservers computeraccount Volledige controle machtiging verlenen voor de systeemcontainer in Active Directory Domain Services, wat resulteert in het automatisch maken door de siteserver van de System Management-container wanneer site-informatie voor het eerst wordt gepubliceerd op Active Directory Domain Services. Het is evenwel veiliger om de System Management-container te maken.

Gebruik ADSI Bewerken om de System Management-container te maken in Active Directory Domain Services. Voor meer informatie over hoe ADSI Bewerken te installeren en te gebruiken, zie Adsi EDIT (adsiedit.msc) (ADSI Bewerken (adsiedit.msc)) in de Active Directory Domain Services-documentatie.

De container systeembeheer handmatig maken

  1. Meld u aan als een account dat die de Alle onderliggende objecten-machtiging heeft op de Systeem container in Active Directory Domain Services.

  2. Voer ADSI Bewerken uit en maak verbinding met het domein waaronder de siteserver zich bevindt.

  3. Vouw Domein <FQDN-naam van computer> uit, vouw <DN-naam> uit, klik met de rechtermuisknop op CN=Systeem, klik op Nieuw en klik vervolgens op Object.

  4. Selecteer, in het Maak object dialoogvenster, Container, en klik dan op Volgende.

  5. Tik in het Waarde vakje, Systeembeheer in en klik dan op Volgende.

  6. Klik op Beëindig om de procedure te vervolledigen.

Beveiligingsrechten instellen op de container systeembeheer

Nadat u de System Management-container in Active Directory Domain Services hebt gemaakt, moet u de computeraccount van de siteserver de machtigingen verlenen die nodig zijn om site-informatie te publiceren op de container.

System_CAPS_importantBelangrijk

De computeraccount van de primaire siteserver moet Volledige controle-machtigingen hebben gekregen voor de System Management-container en al zijn onderliggende objecten. Indien u secundaire sites hebt, moet de computeraccount van de secundaire siteserver ook Volledige controle-machtigingen hebben gekregen voor de System Management-container en al zijn onderliggende objecten.

U kunt de nodige machtigingen verlenen door Active Directory-gebruikers te gebruiken en administratief beheer voor computers of de Active Directory Service Interfaces Editor (ADSI Bewerken). Voor meer informatie over hoe ADSI Bewerken te installeren, zie ADSI Edit (ADSI Bewerken (adsiedit.msc)).

Notitie

De volgende procedures worden gegeven als voorbeelden van hoe Windows Server 2008 R2 computers te configureren. Indien u een andere versie van het besturingssysteem gebruikt, zoals Windows Server 2012 R2, raadpleeg dan de documentatie van het besturingssysteem voor informatie over hoe u gelijkaardige configuraties maakt.

Machtigingen toepassen op de System Management-container door Active Directory-gebruikers en beheerhulpmiddelen voor computers

  1. Klik op Start, klik op Voer uit en voer dan dsa.msc in om de Active Directory-gebruikers en beheerhulpmiddelen voor computers te openen.

  2. Klik op Weergeven en klik dan op Geavanceerde opties.

  3. Vouw de Systeem-container uit, klik met de rechtermuisknop op Systeembeheer in en klik dan op Eigenschappen.

  4. Klik, in het dialoogvenster Eigenschappen voor systeembeheer op het tabblad Beveiliging en klik dan op Toevoegen om de computeraccount van de siteserver toe te voegen. Verleen de account Machtigingen voor volledige controle.

  5. Klik op Geavanceerd, selecteer de computeraccount van serversite en klik dan op Bewerken.

  6. Selecteer, in de Toepassen op lijst, Dit object en de onderliggende objecten.

  7. Klik op OK en sluit dan de Active Directory-gebruikers en het beheerhulpmiddelen van de computer om de procedure te vervolledigen.

Machtigingen toepassen op de System Management-container door de ADSI Bewerken-console te gebruiken

  1. Klik op Starten, klik op Uitvoeren en voer dan adsiedit.msc in om de ADSI Bewerken-console te openen.

  2. Indien nodig moet u een verbinding maken met het domein van de siteserver.

  3. Vouw in het consolevenster het domein van de siteserver uit, vouw DC=<DN-naam van de server> uit en vouw vervolgens CN=Systeem uit. Klik met de rechtermuisknop op CN=Systeembeheer en klik dan op Eigenschappen.

  4. Klik, in het dialoogvenster CN=Eigenschappen voor systeembeheer op het tabblad Beveiliging en klik dan op Toevoegen om de computeraccount van de siteserver toe te voegen. Verleen de account Machtigingen voor volledige controle.

  5. Klik op Geavanceerd, selecteer de computeraccount van serversite en klik dan op Bewerken.

  6. Selecteer, in de lijst Toepassen op, de optie Dit object en de onderliggende objecten.

  7. Klik op OK om de ADSI-Bewerken-console te sluiten en vervolledig de procedure.

Publicatie van Active Directory inschakelen voor de Configuration Manager-site

Behalve het Active Directory-schema uit te breiden, de System Management-container te maken, en instellingsmachtigingen voor die container, moet u Configuration Manager inschakelen om sitegegevens te publiceren op Active Directory Domain Services. Voor informatie over hoe sitegegevens te publiceren, zie Publicatie van sitegegevens naar Active Directory-domeinservices plannen.

Configureer Windows-gebaseerde servers voor systeemrollen van de Configuration Manager-site

Vóór u Windows Server met System Center 2012 Configuration Manager kunt gebruiken, moet u zeker stellen dat de computer geconfigureerd is om Configuration Manager-operaties te ondersteunen. Gebruik de informatie in de volgende secties om Windows-servers te configureren voor Configuration Manager. Zie voor meer informatie over vereisten voor sitesysteemrollen de sectie in het onderwerp .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Notitie

De procedures in de volgende secties worden gegeven als voorbeelden van hoe Windows Server 2008 R2 of Windows Server 2008 R2 computers te configureren. Indien u een andere versie van het besturingssysteem gebruikt, zoals Windows Server 2012 R2, raadpleeg dan de documentatie van het besturingssysteem voor informatie over hoe u gelijkaardige configuraties maakt.

Externe differentiële compressie

Siteservers en distributiepunten vereisen Externe differentiële compressie (RDC) om handtekeningen van pakketten te genereren en handtekeningvergelijking uit te voeren. Indien RDC niet ingeschakeld is, moet u het inschakelen op de sitesysteemservers.

Gebruik de volgende procedure als een voorbeeld voor het inschakelen van Externe differentiële compressie op Windows Server- 2008 en Windows Server 2008 R2-computers. Raadpleeg de documentatie van uw besturingssysteem voor de juiste procedure als u een andere versie hebt van het besturingssysteem.

Voor het configureren van Externe differentiële compressie voor Windows Server 2008 of Windows Server 2008 R2.

  1. Navigeer op een computer met Windows Server 2008 of Windows Server 2008 R2 naar Start / Alle programma's / Beheerprogramma's / Serverbeheer om Serverbeheer te starten. Selecteer in Serverbeheer het knooppunt Functies en klik op Functies toevoegen om de wizard Functies toevoegen te starten.

  2. Selecteer op de pagina Functies selecterenExterne differentiële compressie en klik daarna op Volgende.

  3. Voer de wizard uit en sluit Serverbeheer om de configuratie te voltooien.

Internet Information Services (IIS)

Verschillende sitesysteemrollen vereisen Internet Information Services (IIS). Als IIS nog niet is ingeschakeld, moet u dit doen op de sitesysteemservers voordat u een sitesysteemrol installeert die IIS vereist. Behalve de sitesysteemserver is IIS vereist voor de volgende sitesysteemrollen:

  • Application Catalog-webservicepunt

  • Application Catalog-websitepunt

  • Distributiepunt

  • Inschrijvingspunt

  • Proxypunt voor inschrijving

  • Terugvalstatuspunt

  • Beheerpunt

  • Software-updatepunt

De minimumversie van IIS die vereist is voor Configuration Manager is de standaardversie die met het besturingssysteem van de server waarop het sitesysteem draait, wordt meegeleverd.

Wanneer u bijvoorbeeld IIS inschakelt op een computer met Windows Server 2008 die u als distributiepunt wilt gebruiken, wordt IIS 7.0 geïnstalleerd. U kunt ook IIS 7.5 installeren. Als u IIS inschakelt op een computer met Windows 7 voor een distributiepunt, wordt automatisch IIS 7.5 geïnstalleerd. U kunt geen IIS versie 7.0 gebruiken voor een distributiepunt dat op Windows 7 draait.

Gebruik de volgende procedure als voorbeeld voor het installeren van IIS op een computer met Windows Server 2008 of Windows Server 2008 R2. Raadpleeg de documentatie van uw besturingssysteem voor de juiste procedure als u een andere versie hebt van het besturingssysteem.

IIS (Internet Information Services) installeren op computers met Windows Server 2008 en Windows Server 2008 R2

  1. Navigeer op een computer met Windows Server 2008 of Windows Server 2008 R2 naar Start / Alle programma's / Beheerprogramma's / Serverbeheer om Serverbeheer te starten. Selecteer in Serverbeheer het knooppunt Functies en klik op Functies toevoegen om de wizard Functies toevoegen te starten.

  2. Installeer op de pagina Functies selecteren van de wizard Functies toevoegen eventuele extra functies die nodig zijn voor de ondersteuning van de sitesysteemrollen die u op deze computer installeert. Als u bijvoorbeeld BITS-serveruitbreidingen wilt toevoegen:

    - Schakel voor Windows Server 2008 het selectievakje **BITS-serveruitbreidingen** in. Schakel voor Windows Server 2008 R2 het selectievakje **BITS (Background Intelligent Transfer Services)** in. Klik desgevraagd op **Vereiste functieservices toevoegen** om de betroffen componenten toe te voegen, waaronder de functie Web Server (IIS) en klik vervolgens op **Volgende**.

  <div class="alert">


  > [!TIP]
  > <P>Zorg ervoor, als u een computer configureert die als siteserver of distributiepunt gaat fungeren dat u het selectievakje voor <STRONG>Externe differentiële compressie</STRONG> hebt ingeschakeld.</P>


  </div>

  3. Klik op de pagina Webserver (IIS) van de wizard Functies toevoegen op Volgende.

  4. Installeer op de pagina Functieservices selecteren van de wizard Functies toevoegen eventueel extra functieservices die nodig zijn voor de ondersteuning van de sitesysteemrollen die u op deze computer installeert. Voor als u bijvoorbeeld ASP.NET en Windows-verificatie wilt toevoegen:

    - Schakel voor **Toepassingsontwikkeling** het selectievakje **ASP.NET** in en klik desgevraagd op Vereiste functieservices toevoegen om de afhankelijke componenten toe te voegen.

- Schakel voor **Beveiliging** het selectievakje **Windows-verificatie** in.

  5. Zorg ervoor dat in het knooppunt Beheerprogramma's voor Compatibiliteit met IIS 6-beheer beide selectievakjes Compatibiliteit met IIS 6-metabase en Compatibiliteit met IIS 6 WMI zijn ingeschakeld en klik vervolgens op Volgende.

  6. Klik op de pagina Bevestiging op Installeren, voer de wizard uit en sluit Serverbeheer om de configuratie te voltooien.

Aanvraag filtering voor IIS

IIS blokkeert standaard de toegang tot verschillende bestandsnaamextensies en maplocaties voor HTTP- of HTTPS-communicatie. Als de bronbestanden van uw pakket extensies bevatten die in IIS zijn geblokkeerd, moet u het gedeelte requestFiltering in het bestand applicationHost.config configureren op distributiepuntcomputers.

De volgende bestandsnaamextensies worden door Configuration Manager gebruikt voor pakketten en toepassingen. U kunt de volgende bestandsnaamextensies op distributiepunten toestaan:

  • .PCK

  • .PKG

  • .STA

  • .TAR

Misschien beschikt u bijvoorbeeld over bronbestanden voor een software-implementatie die een map met de naam bin bevat, of een bestand met de bestandsextensie .mdb. Het filteren van IIS-aanvragen blokkeert standaard de toegang tot deze elementen. Wanneer u de standaardconfiguratie voor IIS gebruikt voor een distributiepunt, kunnen clients die BITS gebruiken deze software-implementatie niet van het distributiepunt downloaden. In dit scenario geven de clients aan dat deze op inhoud wachten. U kunt de clients in staat stellen om deze inhoud door middel van BITS te downloaden door op elk toepasselijk distributiepunt het gedeelte requestFiltering van het bestand applicationHost.config te bewerken, waardoor de bestanden en mappen in de software-implementaties toegankelijk zijn.

System_CAPS_importantBelangrijk

De aanpassingen aan het gedeelte requestFiltering gelden voor alle websites op die server. Deze configuratie verhoogt de kwetsbaarheid voor aanvallen van de computer. De aanbevolen beveiligingsprocedure is om Configuration Manager uit te voeren op een speciale webserver. Als u andere toepassingen op de webserver moet uitvoeren, gebruikt u een aangepaste website voor Configuration Manager. Zie voor informatie over aangepaste websites de sectie Planning voor aangepaste websites met Configuration Manager in Sitesystemen plannen in Configuration Manager.

Gebruik de volgende procedure als voorbeeld voor het aanpassen van requestFiltering op een computer met Windows Server 2008 of Windows Server 2008 R2. Raadpleeg de documentatie van uw besturingssysteem voor de juiste procedure als u een andere versie hebt van het besturingssysteem.

Aanvraagfiltering voor IIS op distributiepunten configureren

  1. Open op de distributiepuntcomputer het bestand applicationHost.config dat zich in de map %Windir%\System32\Inetsrv\Config\ bevindt.

  2. Zoek de sectie <requestFiltering> op.

  3. Bepaal de bestandsnaamextensies en mapnamen die u in de pakketten op dit distributiepunt wilt hebben. Voer de volgende stappen uit voor elk door u gewenste extensie en mapnaam:

    - Als deze als **fileExtension**-element is vermeld, stelt u de waarde voor **Toegestaan** in op **Waar**.

  Als uw inhoud bijvoorbeeld een bestand met de extensie .mdb bevat, wijzigt u de regel **\<add fileExtension=".mdb" allowed="false" /\>** in **\<add fileExtension=".mdb" allowed="true" /\>**.

  Sta alleen de bestandsnaamextensies toe die vereist zijn voor uw inhoud.

- Als deze als **\<hiddenSegments\>**-element wordt vermeld, verwijdert u de vermelding die overeenkomt met de bestandsextensie of mapnaam uit het bestand.

  Als uw inhoud bijvoorbeeld een map bevat met het label **bin**, verwijdert u de regel \<**add segment="bin" /\>** uit het bestand.

  4. Sla het bestand applicationHost.config op en sluit het om de configuratie te voltooien.