Preparar o ambiente do Windows para o Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Use as informações das seções a seguir para ajudá-lo a configurar o seu ambiente do Windows para oferecer suporte ao System Center 2012 Configuration Manager.

• Preparar o Active Directory para o Configuration Manager

  • Estender o esquema do Active Directory

  • Criar o contêiner do System Management

  • Definir permissões de segurança no contêiner do System Management

  • Habilite a publicação do Active Directory para o site do Configuration Manager

• Configurar servidores baseados no Windows para funções do sistema de site do Configuration Manager

  • Compactação Diferencial Remota

  • Serviços de Informações da Internet (IIS)

  • Filtragem de solicitações para o IIS

Preparar o Active Directory para o Configuration Manager

Quando você estende o esquema do Active Directory, essa ação corresponde a uma configuração de toda a floresta que é necessário fazer uma vez por floresta. A extensão do esquema é uma ação irreversível e deve ser feita por um usuário que seja membro do grupo Administradores de Esquemas ou para o qual tenham sido delegadas permissões suficientes para modificar o esquema. Se você decidir estender o esquema do Active Directory, você poderá estendê-lo antes ou após a instalação. Para obter informações que o ajudem a decidir se você deve ou não estender o esquema do Active Directory, consulte Determinar se deve-se estender o esquema do Active Directory para o Configuration Manager.

Dica
Se o esquema do Active Directory for estendido com extensões de esquema do Configuration Manager 2007, não será necessário estender o esquema para o System Center 2012 Configuration Manager. A reversão das alterações de extensões do esquema do Active Directory é feita no Configuration Manager 2007.

É necessário executar quatro ações para habilitar com êxito clientes do Gerenciador de Configurações para consultar os Serviços de Domínio Active Directory para localizar recursos de site:

• Estender o esquema do Active Directory.

• Criar o contêiner do System Management.

• Definir permissões de segurança no contêiner do System Management.

• Habilite a publicação do Active Directory para o site do Configuration Manager

Estender o esquema do Active Directory

O Gerenciador de Configurações oferece suporte a dois métodos para estender o esquema do Active Directory. O primeiro é usar o utilitário extadsch.exe. O segundo é usar o utilitário LDIFDE para importar as informações sobre a extensão do esquema usando o arquivo ConfigMgr_ad_schema.ldf.

Observação

Para poder estender o esquema do Active Directory, teste as extensões do esquema para ver se há conflitos com o esquema atual do Active Directory. Para obter informações sobre como testar as extensões do esquema do Active Directory, consulte Testing for Active Directory Schema Extension Conflicts (Testando para verificar a existência de conflitos entre extensões do esquema do Active Directory) na documentação dos Serviços de Domínio Active Directory.

Estender o esquema do Active Directory usando o arquivo ExtADSch.exe

É possível estender o esquema do Active Directory executando o arquivo extadsch.exe localizado na pasta SMSSETUP\BIN\X64 da mídia de instalação do Gerenciador de Configurações. O arquivo extadsch.exe não exibe resultado quando é executado, mas fornece feedback quando é executado de um console de comando como uma linha de comando. Quando o arquivo extadsch.exe é executado, ele gera um arquivo de log, na raiz da unidade do sistema, chamado extadsch.log, que indica se a atualização do esquema foi concluída com êxito ou se foram encontrados problemas durante a extensão do esquema.

Dica
Além de gerar um arquivo de log, o programa extadsch.exe exibe resultados na janela do console quando é executado da linha de comando.

Estas são as limitações no uso do extadsch.exe:

• Não há suporte para o Extadsch.exe quando ele é executado em computadores baseados no Windows 2000. Para estender o esquema do Active Directory em um computador baseado no Windows 2000, use o arquivo ConfigMgr_ad_schema.ldf.

• Para permitir que o arquivo extadsch.log seja criado ao executar o extadsch.exe em um computador com o Windows Vista, é necessário estar registrado no computador com uma conta que tenha permissões de administrador local.

Para estender o esquema do Active Directory usando o Extadsch.exe

1. Crie um backup do estado do sistema do controlador de domínio do mestre de esquema.

2. Certifique-se de que você está registrado no controlador de domínio do mestre de esquema com uma conta que seja membro do grupo de segurança Administradores de Esquema.

   Importante
   É necessário estar registrado como um membro do grupo de segurança Administradores de Esquema para estender o esquema com êxito. A execução do arquivo extadsch.exe usando o comando Executar como para tentar estender o esquema utilizando credenciais alternativas falhará.

3. Execute o extadsch.exe, localizado em \SMSSETUP\BIN\X64 na mídia de instalação, para adicionar as novas classes e os atributos ao esquema do Active Directory.

4. Verifique se a extensão do esquema foi realizada com êxito verificando o extadsch.log localizado na raiz da unidade do sistema.

5. Se o procedimento de extensão do esquema não tiver sido concluído com êxito, restaure o estado do sistema anterior do mestre de esquema por meio do backup criado na etapa 1.

   Observação

   Para restaurar o estado do sistema em um controlador de domínio do Windows, o sistema deverá ser reiniciado no Modo de Restauração dos Serviços de Diretório. Para obter mais informações sobre o Modo de Restauração dos Serviços de Diretório, consulte Restart the Domain Controller in Directory Services Restore Mode Locally (Reiniciar o controlador de domínio no Modo de Restauração dos Serviços de Diretório localmente).

Estender o esquema do Active Directory usando um arquivo LDIF

Você pode usar o utilitário de linha de comando LDIFDE para importar objetos de diretórios para os Serviços de Domínio Active Directory usando os arquivos LDIF do LDAP.

Para obter maior visibilidade das alterações feitas no esquema do Active Directory em comparação ao que o utilitário extadsch.exe oferece, use o utilitário LDIFDE para importar as informações da extensão do esquema usando o arquivo ConfigMgr_ad_schema.ldf localizado na pasta SMSSETUP\BIN\X64 na mídia de instalação do Gerenciador de Configurações.

Observação
A reversão das alterações no arquivo ConfigMgr_ad_schema.ldf é feita por meio da versão incluída no Configuration Manager 2007.

Para estender o esquema do Active Directory usando o arquivo ConfigMgr_ad_schema.ldf

1. Crie um backup do estado do sistema do controlador de domínio do mestre de esquema.

2. Abra o arquivo ConfigMgr_ad_schema.ldf, localizado no diretório SMSSETUP\BIN\X64 da mídia de instalação do Gerenciador de Configurações e edite o arquivo para definir o domínio raiz do Active Directory que será estendido. Todas as instâncias do texto DC=x no arquivo devem ser substituídas pelo nome completo do domínio que será estendido.

   Por exemplo, se o nome completo do domínio a ser estendido for widgets.microsoft.com, altere todas as instâncias de DC=x no arquivo para DC=widgets, DC=microsoft, DC=com.

3. Use o utilitário de linha de comando LDIFDE para importar o conteúdo do arquivo ConfigMgr_ad_schema.ldf para os Serviços de Domínio Active Directory.

   Por exemplo, a seguinte linha de comando importará as extensões do esquema para os Serviços de Domínio do Active Directory, ativará o registro em log extenso e criará um arquivo de log durante o processo de importação: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <local para armazenar o arquivo de log>

4. Para verificar se a extensão do esquema foi realizada com êxito, verifique o arquivo de log criado pela linha de comando usada na etapa 3.

5. Se o procedimento de extensão do esquema não tiver sido concluído com êxito, restaure o estado do sistema anterior do mestre de esquema por meio do backup criado na etapa 1.

   Observação

   Para restaurar o estado do sistema em um controlador de domínio do Windows, o sistema deverá ser reiniciado no Modo de Restauração dos Serviços de Diretório. Para obter mais informações sobre o Modo de Restauração dos Serviços de Diretório, consulte Restart the Domain Controller in Directory Services Restore Mode Locally (Reiniciar o controlador de domínio no Modo de Restauração dos Serviços de Diretório localmente).

Criar o contêiner do System Management

O Gerenciador de Configurações não cria automaticamente o contêiner do System Management nos Serviços de Domínio Active Directory quando o esquema é estendido. O contêiner deve ser criado uma vez para cada domínio que inclua um servidor de site primário ou um servidor de site secundário do Gerenciador de Configurações que publique as informações do site nos Serviços de Domínio Active Directory

Dica

Você pode conceder à conta do computador dos servidores do site permissão de Controle Total ao contêiner do Sistema nos Serviços de Domínio Active Directory, o que fará com que o servidor do site crie automaticamente o contêiner do System Management quando as informações do site forem publicadas primeiro nos Serviços de Domínio Active Directory. No entanto, é mais seguro criar manualmente o contêiner do System Management.

Use o Editor ADSI para criar o contêiner do System Management nos Serviços de Domínio Active Directory. Para obter mais informações sobre como instalar e usar o Editor ADSI, consulte ADSI Edit (adsiedit.msc) (Editor ADSI (adsiedit.msc)) na documentação dos Serviços de Domínio Active Directory.

Para criar manualmente o contêiner do System Management

1. Registre-se em uma conta que tenha a permissão Criar Todos os Objetos Filho no contêiner do Sistema nos Serviços de Domínio Active Directory.

2. Execute o Editor ADSI e conecte-se ao domínio em que o servidor do site reside.

3. Expanda o <nome de domínio totalmente qualificado do computador> do Domínio, expanda o <nome diferenciado>, clique com o botão direito do mouse em CN=System, clique em Novo e em Objeto.

4. Na caixa de diálogo Criar Objeto, selecione Contêiner e clique em Próximo.

5. Na caixa Valor, digite System Management e clique em Próximo.

6. Clique em Concluir para concluir o procedimento.

Definir permissões de segurança no contêiner do System Management

Após a criação do contêiner do System Management nos Serviços de Domínio Active Directory, será necessário conceder à conta do computador do servidor do site as permissões necessárias para publicar as informações do site no contêiner.

Importante
É necessário conceder à conta de computador do servidor do site primário permissões de Controle Total ao contêiner do System Management e a todos os seus objetos filho. Se você tiver sites secundários, também será necessário conceder à conta de computador do servidor do site secundário permissões de Controle Total ao contêiner do System Management e a todos os seus objetos filho.

Você pode conceder as permissões necessárias usando a ferramenta administrativa Usuários e Computadores do Active Directory ou o Editor ADSI (Editor de Interfaces de Serviços do Active Directory). Para obter mais informações sobre como instalar e usar o Editor ADSI, consulte ADSI Edit (adsiedit.msc) (Editor ADSI (adsiedit.msc)).

Observação
Os procedimentos a seguir são fornecidos como exemplos de como configurar os computadores Windows Server 2008 R2. Se você estiver usando uma versão diferente do sistema operacional, como o Windows Server 2012 R2, consulte a documentação do sistema operacional para obter informações sobre como fazer configurações semelhantes.

Para aplicar permissões ao contêiner do System Management usando a ferramenta administrativa Usuários e Computadores do Active Directory

1. Clique em Iniciar, em Executar e digite dsa.msc para abrir a ferramenta administrativa Usuários e Computadores do Active Directory.

2. Clique em Exibir e em Recursos Avançados.

3. Expanda o contêiner do Sistema, clique com o botão direito do mouse em System Management e clique em Propriedades.

4. Na caixa de diálogo Propriedades do System Management, clique na guia Segurança e em Adicionar para adicionar a conta de computador do servidor do site. Conceda à conta Permissões de Controle Total.

5. Clique em Avançado, selecione a conta de computador do servidor de site e clique em Editar.

6. Na lista Aplicar a, selecione Este objeto e todos os descendentes.

7. Clique em OK e, em seguida, feche a ferramenta administrativa Usuários e Computadores do Active Directory para concluir o procedimento.

Para aplicar permissões ao contêiner do System Management usando o console do Editor ADSI

1. Clique em Iniciar, em Executar e digite adsiedit.msc para abrir o console do Editor ADSIEdit.

2. Se necessário, conecte-se ao domínio do servidor do site.

3. No painel do console, expanda o domínio do servidor do site, expanda o DC=<nome diferenciado do servidor> e depois expanda CN=System. Clique com o botão direito do mouse em CN=System Management e clique em Propriedades.

4. Na caixa de diálogo CN=System Management Properties, clique na guia Segurança e em Adicionar para adicionar a conta de computador do servidor de site. Conceda à conta Permissões de Controle Total.

5. Clique em Avançado, selecione a conta de computador do servidor de site e clique em Editar.

6. Na lista Aplicar em, selecione Este objeto e todos os descendentes.

7. Clique em OK para fechar o console do Editor ADSI e concluir o procedimento.

Habilite a publicação do Active Directory para o site do Configuration Manager

Além de estender o esquema do Active Directory, criar o contêiner do System Management e configurar permissões para o contêiner, você deve habilitar o Gerenciador de Configurações para publicar dados do site nos Serviços de Domínio Active Directory. Para obter mais informações sobre como publicar dados de site, consulte Planejamento para publicação de dados do site para Serviços de Domínio Active Directory.

Configurar servidores baseados no Windows para funções do sistema de site do Configuration Manager

Para usar um Windows Server com o System Center 2012 Configuration Manager, verifique se o computador está configurado para dar suporte a operações do Gerenciador de Configurações. Use as informações contidas nas seções a seguir para configurar os servidores Windows para o Gerenciador de Configurações. Para obter mais informações sobre os pré-requisitos de função do sistema de site, consulte a seção Pré-requisitos para as Funções do sistema de sites no tópico Configurações com suporte para o Configuration Manager.

Observação
Os procedimentos nas seções a seguir são fornecidos como exemplos de como configurar computadores com Windows Server 2008 ou Windows Server 2008 R2. Se você estiver usando uma versão diferente do sistema operacional, como o Windows Server 2012 R2, consulte a documentação do sistema operacional para obter informações sobre como fazer configurações semelhantes.

Compactação Diferencial Remota

Servidores de site e pontos de distribuição requerem RDC (Compactação Diferencial Remota) para gerar assinaturas de pacote e fazer a comparação entre as assinaturas. Se a RDC não estiver habilitada, será necessário habilitá-la nesses servidores do sistema de site.

Use o procedimento a seguir como exemplo de como habilitar a Compactação Diferencial Remota em computadores com o Windows Server 2008 e o Windows Server 2008 R2. Se você tiver uma versão diferente de sistema operacional, consulte a documentação do sistema operacional para obter o procedimento equivalente.

Para configurar a Compactação Diferencial Remota para o Windows Server 2008 ou o Windows Server 2008 R2

1. No computador com Windows Server 2008 ou Windows Server 2008 R2, navegue até Iniciar / Todos os Programas / Ferramentas Administrativas / Gerenciador de Servidores para iniciar o Gerenciador de Servidores. No Gerenciador de Servidor, selecione o nó Recursos e clique em Adicionar Recursos para iniciar o Assistente para Adicionar Recursos.

2. Na página Selecionar Recursos, selecione Compactação Diferencial Remota e clique em Avançar.

3. Conclua o assistente e feche o Gerenciador de Servidores para concluir a configuração.

Serviços de Informações da Internet (IIS)

Várias funções do sistema de site requerem o IIS (Serviços de Informações da Internet). Se o IIS ainda não estiver habilitado, você deverá habilitá-lo nos servidores do sistema de site para poder instalar funções do sistema de site que requeiram IIS. Além do servidor do sistema de site, as seguintes funções do sistemas de site requerem o IIS:

• Ponto de serviços Web do Catálogo de Aplicativos

• Ponto de sites da Web do catálogo de aplicativos

• Ponto de distribuição

• Ponto de registro

• Ponto proxy do registro

• Ponto de status de fallback

• Ponto de gerenciamento

• Ponto de atualização de software

A versão mínima do IIS que o Gerenciador de Configurações requer é a versão padrão fornecida com o sistema operacional do servidor que executa o sistema de site.

Por exemplo, quando você habilita IIS em um computador Windows Server 2008 que pretende usar como ponto de distribuição, o IIS 7.0 é instalado. Você também pode instalar o IIS 7.5. Se você habilita o IIS em um computador com Windows 7 de um ponto de distribuição, o IIS 7.5 é instalado automaticamente. Você não pode usar o IIS versão 7.0 em um ponto de distribuição que executa o Windows 7.

Use o procedimento a seguir como exemplo de como habilitar o IIS em computadores com o Windows Server 2008 ou Windows Server 2008 R2. Se você tiver uma versão diferente de sistema operacional, consulte a documentação do sistema operacional para obter o procedimento equivalente.

Para instalar o IIS (Serviços de Informações da Internet) em computadores com Windows Server 2008 e Windows Server 2008 R2

1. No computador com Windows Server 2008 ou Windows Server 2008 R2, navegue até Iniciar / Todos os Programas / Ferramentas Administrativas / Gerenciador de Servidores para iniciar o Gerenciador de Servidores. No Gerenciador de Servidor, selecione o nó Recursos e clique em Adicionar Recursos para iniciar o Assistente para Adicionar Recursos.

2. Na página Selecionar Recursos do Assistente para Adicionar Recursos, instale os recursos adicionais necessários para dar suporte às funções do sistema de site instaladas neste computador. Por exemplo, para adicionar Extensões de Servidor BITS:

   - Para o Windows Server 2008, marque a caixa de seleção **Extensões do Servidor BITS**. Para o Windows Server 2008 R2, marque a caixa de seleção **BITS (Background Intelligent Transfer Services)**. Quando solicitado, clique em **Adicionar Serviços de Função Necessários** para adicionar os componentes dependentes, incluindo a função do Servidor Web (IIS), e clique em **Avançar**.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Gg712282.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Dica</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Se estiver configurando um computador que será servidor do site ou ponto de distribuição, verifique se a caixa de seleção <strong>Compactação Diferencial Remota</strong> está marcada.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   

3. Na página Servidor Web (IIS) do Assistente para Adicionar Recursos, clique em Avançar.

4. Na página Selecionar Serviços de Função do Assistente para Adicionar Recursos, instale os serviços de função adicionais necessários para dar suporte às funções do sistema de site instaladas neste computador. Por exemplo, para adicionar ASP.NET e Autenticação do Windows:

   - Para **Desenvolvimento de Aplicativo**, marque a caixa de seleção **ASP.NET** e, quando solicitado, clique em Adicionar Serviços de Função Necessários para adicionar os componentes dependentes.
   
   - Para **Segurança**, marque a caixa de seleção **Autenticação do Windows**.
   

5. No nó Ferramentas de Gerenciamento, para Compatibilidade com Gerenciamento do IIS 6, verifique se as duas caixas de seleção Compatibilidade de Metabase do IIS 6 e Compatibilidade com WMI do IIS 6 estão marcadas e clique em Avançar.

6. Na página Confirmação, clique em Instalar, conclua o assistente e feche o Gerenciador de Servidores para concluir a configuração.

Filtragem de solicitações para o IIS

Por padrão, o IIS bloqueia diversas extensões de nome de arquivo e locais de pasta de acesso por comunicação HTTP ou HTTPS. Se seus arquivos de origem do pacote tiverem extensões bloqueadas no IIS, você deverá configurar a seção requestFiltering no arquivo applicationHost.config nos computadores de ponto de distribuição.

As seguintes extensões de nome de arquivo são usadas pelo Gerenciador de Configurações para pacotes e aplicativos. Permitir as seguintes extensões de nome de arquivo nos pontos de distribuição:

• .PCK

• .PKG

• .STA

• .TAR

Por exemplo, você pode ter arquivos de origem usados para a implantação de software que incluem uma pasta chamada bin ou que contém um arquivo com a. Extensão de nome de arquivo mdb. Por padrão, a filtragem de solicitações de IIS bloqueia o acesso a esses elementos. Quando você usa a configuração do IIS padrão em um ponto de distribuição, os clientes que usam BITS falham ao fazer download dessa implantação de software do ponto de distribuição. Nesse cenário, os clientes indicam que estão aguardando conteúdo. Para habilitar os clientes para baixar esse conteúdo usando BITS, em cada ponto de distribuição aplicável, edite a seção requestFiltering do arquivo applicationHost.config para permitir acesso aos arquivos e pastas na implantação de software.

Importante

As modificações na seção requestFiltering aplicam-se a todos os sites nesse servidor. Essa configuração aumenta a superfície do computador sujeita a ataques. A prática de segurança recomendada é executar o Gerenciador de Configurações em um servidor da Web dedicado. Se precisar executar outros aplicativos no servidor da Web, use um site personalizado para o Gerenciador de Configurações. Para obter informações sobre sites personalizados, consulte a seção Planejando sites personalizados com o Configuration Manager em Planejando sistemas de site no Configuration Manager.

Use o procedimento a seguir como exemplo de como modificar o requestFiltering em computadores com o Windows Server 2008 ou Windows Server 2008 R2. Se você tiver uma versão diferente de sistema operacional, consulte a documentação do sistema operacional para obter o procedimento equivalente.

Para configurar a filtragem de solicitações para o IIS nos pontos de distribuição

1. No computador do ponto de distribuição, abra o arquivo applicationHost.config localizado no diretório %Windir%\System32\Inetsrv\Config\.

2. Procure a seção <requestFiltering>.

3. Determine as extensões de nome de arquivo e nomes de pasta que você terá nos pacotes nesse ponto de distribuição. Para cada extensão e nome de pasta de que você precisar, execute as seguintes etapas:

   - Se estiver listado como um elemento **fileExtension**, configure o valor de **permitido** para **verdadeiro**.
   
     Por exemplo, se em seu conteúdo houver um arquivo com uma extensão .mdb, altere a linha **\<add fileExtension=".mdb" allowed="false" /\>** para **\<add fileExtension=".mdb" allowed="true" /\>**.
   
     Permita somente as extensões de nome de arquivo necessárias para o seu conteúdo.
   
   - Se ele estiver listado como um elemento **\<hiddenSegments\>**, exclua a entrada que corresponde à extensão de nome de arquivo ou ao nome de pasta do arquivo.
   
     Por exemplo, se em seu conteúdo houver uma pasta com o rótulo **bin**, remova a linha \<**add segment=”bin” /\>** do arquivo.
   

4. Salve e feche o arquivo applicationHost.config para concluir a configuração.

Consulte também

Configurando sites e hierarquias no Configuration Manager