Delen via

  • Artikel

Bepalen of het Active Directory-schema voor Configuration Manager moet worden uitgebreid

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Wanneer u het Active Directory-schema voor System Center 2012 Configuration Manager uitbreidt, kunt u site-informatie publiceren naar Active Directory Domain Services. Uitbreiding van het Active Directory-schema is optioneel voor Configuration Manager. Door het schema uit te breiden kunt u echter alle Configuration Manager-functies en -functionaliteit gebruiken met zo min mogelijk administratieve overhead.

Als u besluit het Active Directory-schema uit te breiden, kunt u dit doen voor- of nadat u Configuration Manager Setup uitvoert.

Overwegingen voor uitbreiding van het Active Directory-schema voor Configuration Manager

De Active Directory-schema-uitbreidingen voor System Center 2012 Configuration Manager (en hogere versies, zoals SP1 of R2) zijn ongewijzigd voor diegene die worden gebruikt door Configuration Manager 2007. Als u het schema uitbreidt voor Configuration Manager 2007, hoeft u het schema niet nogmaals uit te breiden voor System Center 2012 Configuration Manager.

Op dezelfde manier geldt dat als u het schema hebt uitgebreid voor de ene versie van System Center 2012 Configuration Manager, u het schema niet nogmaals hoeft uit te breiden voor een latere versie van Configuration Manager.

Uitbreiding van het Active Directory-schema is een actie voor het hele forest en kan slechts één keer per forest worden uitgevoerd. Uitbreiding van het schema is een onomkeerbare actie die moet worden uitgevoerd door een gebruiker die lid is van de groep Schema-administrators of aan wie voldoende machtigingen zijn gedelegeerd om het schema te wijzigen. Als u besluit het Active Directory-schema uit te breiden, kunt u dit doen voor of na de installatie uitvoert.

Er zijn vier acties vereist om Configuration Manager-clients in staat te stellen query's uit te voeren op Active Directory Domain Services en zodoende sitebronnen te vinden:

  • Breid het Active Directory-schema uit.

  • Maak de System Management-container.

  • Stel beveiligingsmachtigingen in voor de System Management-container.

  • Schakel Active Directory-publicatie in voor de Configuration Manager-site.

Voor informatie over het uitbreiden van het schema, het maken van de System Management-container en het configureren van de instelling van beveiligingsmachtigingen voor de container raadpleegt u Active Directory voorbereiden voor Configuration Manager in het onderwerp De Windows-omgeving voorbereiden voor Configuration Manager. Zie Configuration Manager voor informatie over het inschakelen van publicatie voor Publicatie van sitegegevens naar Active Directory-domeinservices plannen-sites.

Mobiele apparaten die worden beheerd door de Exchange Server-connector en de volgende clients maken geen gebruik van Active Directory-schema-uitbreidingen voor Configuration Manager:

  • De client voor Mac-computers

  • De client voor Linux- en UNIX-servers

  • Mobiele apparaten die zijn geregistreerd door Configuration Manager

  • Mobiele apparaten die zijn geregistreerd door Microsoft Intune

  • Verouderde clients van mobiele apparaten

  • Windows-clients die zijn geconfigureerd voor clientbeheer uitsluitend op internet

  • Windows-clients die door Configuration Manager worden gedetecteerd op internet

In de volgende tabel worden Configuration Manager-functies geïdentificeerd die gebruikmaken van een Active Directory-schema dat is uitgebreid voor Configuration Manager. Als er workarounds zijn die u kunt gebruiken indien u het schema niet kunt uitbreiden, worden deze ook vermeld.

Functionaliteit

Active Directory

Details

Installatie van clientcomputer en sitetoewijzing

Optioneel

Wanneer er een nieuwe Configuration Manager Windows-client wordt geïnstalleerd, kan de client in Active Directory Domain Services zoeken naar installatie-eigenschappen. Als u het schema niet uitbreidt, moet u een van de volgende workarounds gebruiken om configuratiedetails op te geven die op computers moeten worden geïnstalleerd:

  • Gebruik client-pushinstallatie. Voordat u de clientinstallatiemethode gebruikt, moet u ervoor zorgen dat aan alle vereisten wordt voldaan. Zie voor meer informatie de sectie "Afhankelijkheden van de installatiemethode" in Vereisten voor de computerclients.

  • Installeer clients handmatig en geef eigenschappen voor de clientinstallatie op met behulp van opdrachtregeleigenschappen van de CCMSetup-installatie. Dit moet het volgende omvatten:

    • Geef een beheerpunt of bronpad op waar de computer tijdens de clientinstallatie de installatiebestanden kan downloaden door gebruik te maken van de CCMSetup-eigenschap /mp:=<management point name computer name> of /bron:<path to client source files> op de CCMSetup-opdrachtregel.

    • Geef een lijst met eerste beheerpunten op die de client moet gebruiken, zodat deze aan de site kan worden toegewezen en download vervolgens het clientbeleid en site-instellingen. Gebruik hiervoor de Client.msi- eigenschap SMSMP van CCMSetup.

  • Publiceer het beheerpunt in DNS of WINS en configureer clients voor het gebruik van deze servicelocatiemethode.

Poortconfiguratie voor de communicatie van de client naar de server

Optioneel

Wanneer een client wordt geïnstalleerd, wordt deze geconfigureerd met poortinformatie. Als u later de poort voor communicatie van de client naar de server wijzigt voor een site, kan een client deze nieuwe poortinstelling verkrijgen van Active Directory Domain Services. Als u het schema niet uitbreidt, moet u een van de volgende workarounds gebruiken om deze nieuwe poortconfiguratie voor bestaande clients:

  • Installeer clients opnieuw en configureer ze zodanig dat de nieuwe poortinformatie wordt gebruikt.

  • Implementeer op clients een script om de poortinformatie bij te werken. Als clients niet met een site kunnen communiceren wegens de poortwijziging, moet u dit script extern publiceren naar Configuration Manager. U kunt bijvoorbeeld een groepsbeleid gebruiken.

Network Access Protection

Vereist

In Configuration Manager worden statusreferenties gepubliceerd naar Active Directory Domain Services, zodat het System Health Validator-punt de statusverklaring van een client kan valideren.

Scenario's voor inhoudsimplementatie

Optioneel

Wanneer u inhoud op de ene site maakt en die inhoud vervolgens op een andere site in de hiërarchie implementeert, moet de ontvangende site de handtekening van de ondertekende inhoudsgegevens kunnen verifiëren. Hiervoor is toegang vereist tot de openbare sleutel van de bronsite waar u deze gegevens maakt.

Wanneer u het Active Directory-schema uitbreidt voor Configuration Manager, wordt de openbare sleutel van een site beschikbaar gesteld voor alle sites in de hiërarchie. Als u het Active Directory-schema niet uitbreidt, kunt u het hulpprogramma voor hiërarchie-onderhoud, preinst.exe, gebruiken om informatie over de beveiligingssleutel uit te wisselen tussen sites.

Als u bijvoorbeeld van plan bent om inhoud te maken op een primaire site en die inhoud op een secundaire site te implementeren onder een andere primaire site, moet u het Active Directory-schema uitbreiden zodat de secundaire site de openbare sleutel van de primaire bronsite kan verkrijgen, of moet u preinst.exe gebruiken om sleutels rechtstreeks te delen tussen de twee sites.

Kenmerken en klassen die worden toegevoegd door de Configuration Manager-schema-uitbreidingen

Wanneer u het schema voor Configuration Manager uitbreidt, worden er diverse klassen en kenmerken toegevoegd die elke Configuration Manager-site in het Active Directory-forest kan gebruiken. Omdat de globale catalogus in het hele forest wordt gerepliceerd, moet u rekening houden met het netwerkverkeer dat hierdoor mogelijk ontstaat. In Windows 2000-forests veroorzaakt uitbreiding van het schema een volledige synchronisatie van de hele globale catalogus. Vanaf Windows 2003-forests worden alleen de nieuw toegevoegde kenmerken gerepliceerd. Plan de uitbreiding van het schema gedurende een periode dat het replicatieverkeer geen nadelige invloed heeft op andere processen die afhankelijk zijn van het netwerk.

Wanneer u het Active Directory-schema voor System Center 2012 Configuration Manager uitbreidt, worden de volgende kenmerken en klassen toegevoegd aan Active Directory Domain Services.

  • Kenmerken:

    • cn=mS-SMS-Assignment-Site-Code

    • cn=mS-SMS-Capabilities

    • cn=MS-SMS-Default-MP

    • cn=mS-SMS-Device-Management-Point

    • cn=mS-SMS-Health-State

    • cn=MS-SMS-MP-Address

    • cn=MS-SMS-MP-Name

    • cn=MS-SMS-Ranged-IP-High

    • cn=MS-SMS-Ranged-IP-Low

    • cn=MS-SMS-Roaming-Boundaries

    • cn=MS-SMS-Site-Boundaries

    • cn=MS-SMS-Site-Code

    • cn=mS-SMS-Source-Forest

    • cn=mS-SMS-Version

  • Klassen:

    • cn=MS-SMS-Management-Point

    • cn=MS-SMS-Roaming-Boundary-Range

    • cn=MS-SMS-Server-Locator-Point

    • cn=MS-SMS-Site

Notitie

De Active Directory-schema-uitbreidingen bevatten mogelijk kenmerken en klassen die zijn overgebracht uit eerdere versies van het product maar niet worden gebruikt door Microsoft System Center 2012 Configuration Manager. Bijvoorbeeld:

  • Kenmerk: cn=MS-SMS-Site-Boundaries

  • Klasse: cn=MS-SMS-Server-Locator-Point

Om te waarborgen dat deze lijsten actueel zijn voor uw versie van System Center 2012 Configuration Manager, controleert u het bestand ConfigMgr_ad_schema.LDF, dat te vinden is in de map \SMSSETUP\BIN\x64 van de installatiemedia voor System Center 2012 Configuration Manager.