Udostępnij za pośrednictwem

  • Artykuł

Określanie, czy rozszerzyć schemat usługi Active Directory dla programu Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Po rozszerzeniu schematu usługi Active Directory dla programu System Center 2012 Configuration Manager informacje o lokacji można publikować w usługach domenowych Active Directory. W przypadku programu Menedżer konfiguracji rozszerzanie schematu usługi Active Directory jest opcją. Jednak po rozszerzeniu schematu można korzystać ze wszystkich funkcji programu Menedżer konfiguracji przy minimalnej liczbie czynności administracyjnych.

Decyzję o rozszerzeniu schematu usługi Active Directory można podjąć przed uruchomieniem Instalatora programu Menedżer konfiguracji lub po jego uruchomieniu.

Uwagi dotyczące rozszerzania schematu usługi Active Directory dla programu Configuration Manager

Rozszerzenia schematu usługi Active Directory programu System Center 2012 Configuration Manager (i jego późniejszych wersji, takich jak SP1 i R2) nie uległy zmianie w porównaniu do rozszerzeń używanych w programie Configuration Manager 2007. W przypadku rozszerzenia schematu dla programu Configuration Manager 2007 nie jest konieczne ponowne rozszerzanie schematu dla programu System Center 2012 Configuration Manager.

Podobnie w przypadku rozszerzenia schematu dla jednej wersji programu System Center 2012 Configuration Manager nie jest konieczne ponowne rozszerzanie schematu dla późniejszej wersji programu Menedżer konfiguracji.

Rozszerzenie schematu usługi Active Directory to akcja mająca zastosowanie do całego lasu. Można ją wykonać tylko jeden raz w odniesieniu do jednego lasu. Rozszerzenie schematu to nieodwracalna akcja, która musi być wykonana przez użytkownika będącego członkiem grupy administratorów schematu lub mającego uprawnienia wystarczające do modyfikacji schematu. Schemat usługi Active Directory można rozszerzyć przed instalacją lub po niej.

Aby pomyślnie umożliwić klientom programu Menedżer konfiguracji wysyłanie kwerend do usług domenowych Active Directory, które pozwalają lokalizować zasoby lokacji, należy wykonać cztery następujące akcje:

  • Rozszerzenie schematu usługi Active Directory

  • Tworzenie kontenera System Management

  • Ustawienie uprawnień zabezpieczeń kontenera System Management

  • Włączenie publikowania usługi Active Directory dla lokacji programu Menedżer konfiguracji

Informacje o sposobie rozszerzania schematu, tworzeniu kontenerów programu System Management i konfigurowaniu uprawnień zabezpieczeń kontenera znajdują się w sekcji Przygotowanie usługi Active Directory dla programu Configuration Manager tematu Przygotowanie środowiska systemu Windows na program Configuration Manager. Informacje o sposobie włączania publikowania dla lokacji programu Menedżer konfiguracji znajdują się w temacie Planowanie publikowania danych lokacji do usług domenowych Active Directory.

Rozszerzenia schematu usługi Active Directory dla programu Menedżer konfiguracji nie są używane przez urządzenia przenośne zarządzane przez łącznik serwera Exchange Server oraz przez następujących klientów:

  • Klienci dla komputerów Mac

  • Klienci dla serwerów Linux i UNIX

  • Urządzenia przenośne zarejestrowane przez program Menedżer konfiguracji

  • Urządzenia przenośne zarejestrowane przez program Microsoft Intune

  • Starsi klienci urządzeń przenośnych

  • Klienci Windows skonfigurowani wyłącznie do zarządzania przez Internet

  • Klienci Windows, którzy zostali wykryci przez program Menedżer konfiguracji jako znajdujący się w Internecie

W poniższej tabeli przedstawiono funkcje programu Menedżer konfiguracji, które korzystają ze schematu usług Active Directory rozszerzonego dla programu Menedżer konfiguracji, a dodatkowo przedstawiono informacje o tym, czy istnieją obejścia, które mogą być używane, gdy nie można rozszerzyć schematu.

Funkcja

Usługi domenowe

Szczegóły

Instalacja komputera klienckiego i przypisanie lokacji

Opcjonalne

Po zainstalowaniu nowego klienta systemu Windows programu Menedżer konfiguracji może on wyszukiwać właściwości instalacji usług domenowych Active Directory. Jeśli schemat nie zostanie rozszerzony, w celu dostarczenia szczegółów konfiguracji wymaganych przez komputery w ramach instalacji należy zastosować następujące obejścia:

  • Użycie instalacji wypychanej klienta. Przed użyciem metody instalacji wypychanej klienta należy się upewnić, że są spełnione wszystkie warunki wstępne. Aby uzyskać więcej informacji, należy zapoznać się z sekcją „Zależności dotyczące metody instalacji” w temacie Wymagania wstępne dla komputerów klienckich.

  • Ręczne zainstalowanie klientów i dostarczenie właściwości instalacji klienta przy użyciu wiersza polecenia programu CCMSetup. Musi to uwzględniać następujące kwestie:

    • Określenie podczas instalacji klienta w wierszu poleceń programu CCMSetup nazwy punktu zarządzania lub ścieżki źródłowej, z których komputer może pobrać pliki instalacji, za pomocą właściwości /mp:=<nazwa komputera punktu zarządzania> lub /source:<ścieżka do plików źródłowych klienta>.

    • Określenie listy początkowych punktów zarządzania do użytku przez klienta, które można przypisać do lokacji, a następnie wykorzystać do pobierania zasady klienta i ustawień lokacji. Do tego celu należy użyć właściwości SMSMP konsoli Client.msi programu CCMSetup.

  • Opublikowanie punktu zarządzania w systemie DNS lub WINS i skonfigurowanie klientów do używania tej metody lokalizowania usługi.

Konfiguracja portów dla komunikacji klient-serwer

Opcjonalne

W momencie instalacji klienta następuje skonfigurowanie informacji o jego portach. W przypadku późniejszej zmiany portu komunikacji klient-serwer dotyczącej lokacji klient może pobrać to nowe ustawienie portu z usług domenowych Active Directory. Jeśli schemat nie zostanie rozszerzony, w celu dostarczenia nowej konfiguracji portu do istniejących klientów należy zastosować następujące obejścia:

  • Ponowna instalacja klientów i skonfigurowanie ich do używania nowych informacji o porcie.

  • Wdrożenie na klientach skryptów aktualizujących informacje o porcie. Jeśli klienci nie mogą komunikować się z lokacją z powodu zmiany portu taki skrypt należy wdrożyć poza programem Menedżer konfiguracji. Można na przykład użyć zasady grupy.

Ochrona dostępu do sieci

Wymagane

Program Menedżer konfiguracji publikuje odwołania do stanu kondycji w usługach domenowych Active Directory, tak aby punkt modułu sprawdzania poprawności kondycji systemu mógł weryfikować raporty o kondycji klientów.

Scenariusze rozmieszczania zawartości

Opcjonalne

Gdy zawartość jest tworzona w jednej lokacji, a następnie wdrażana w innej lokacji w tej samej hierarchii, lokacja docelowa musi mieć możliwość weryfikacji sygnatury podpisanych danych zawartości. Wymaga to dostępu do klucza publicznego lokacji źródłowej, w której utworzono dane.

Po rozszerzeniu schematu usługi Active Directory dla programu Menedżer konfiguracji klucz publiczny lokacji staje się dostępny dla wszystkich lokacji w hierarchii. Jeśli schemat usługi Active Directory nie zostanie rozszerzony, informacje o kluczu zabezpieczeń można wymienić między lokacjami za pomocą narzędzia preinst.exe umożliwiającego obsługę hierarchii.

W przypadku zamiaru utworzenia zawartości w lokacji głównej i rozmieszczenia tej zawartości do lokacji dodatkowej poniżej innej lokacji głównej należy rozszerzyć schemat usługi Active Directory w celu umożliwienia lokacji dodatkowej uzyskania klucza publicznego źródłowej lokacji głównej albo użyć narzędzia preinst.exe w celu bezpośredniego udostępnienia kluczy między dwoma lokacjami.

Atrybuty i klasy dodawane przez rozszerzenia schematu programu Configuration Manager

Po rozszerzeniu schematu dla programu Menedżer konfiguracji są dodawane różne klasy i atrybuty, które mogą być używane przez dowolną lokację programu Menedżer konfiguracji w lesie usługi Active Directory. Ponieważ wykaz globalny jest replikowany w całym lesie, należy wziąć pod uwagę ruch sieciowy generowany przez tę operację. W lasach w systemie Windows 2000 rozszerzenie schematu powoduje pełną synchronizację całego wykazu globalnego. Począwszy od systemu Windows 2003, w lasach są replikowane tylko nowo dodane atrybuty. Rozszerzenie schematu należy zaplanować na taki czas, w którym ruch związany z replikacją nie wpłynie niekorzystanie na inne procesy sieciowe.

Po rozszerzeniu schematu usługi Active Directory dla programu System Center 2012 Configuration Manager do usług domenowych Active Directory są dodawane następujące atrybuty i klasy:

  • Atrybuty:

    • cn=mS-SMS-Assignment-Site-Code

    • cn=mS-SMS-Capabilities

    • cn=MS-SMS-Default-MP

    • cn=mS-SMS-Device-Management-Point

    • cn=mS-SMS-Health-State

    • cn=MS-SMS-MP-Address

    • cn=MS-SMS-MP-Name

    • cn=MS-SMS-Ranged-IP-High

    • cn=MS-SMS-Ranged-IP-Low

    • cn=MS-SMS-Roaming-Boundaries

    • cn=MS-SMS-Site-Boundaries

    • cn=MS-SMS-Site-Code

    • cn=mS-SMS-Source-Forest

    • cn=mS-SMS-Version

  • Klasy:

    • cn=MS-SMS-Management-Point

    • cn=MS-SMS-Roaming-Boundary-Range

    • cn=MS-SMS-Server-Locator-Point

    • cn=MS-SMS-Site

Uwaga

Rozszerzenia schematu usługi Active Directory mogą zawierać atrybuty i klasy, które są przenoszone z poprzednich wersji produktu, ale nie są używane przez program Microsoft System Center 2012 Configuration Manager. Na przykład:

  • Atrybut: cn=MS-SMS-Site-Boundaries

  • Klasa: cn=MS-SMS-Server-Locator-Point

Aby mieć pewność, że te listy obowiązują w przypadku posiadanej wersji programu System Center 2012 Configuration Manager, należy sprawdzić plik ConfigMgr_ad_schema.LDF, który znajduje się w folderze \SMSSETUP\BIN\x64 na nośniku instalacyjnym programu System Center 2012 Configuration Manager.