Поддержка доменов Active Directory в Configuration Manager

  • Статья

Относится к Configuration Manager (Current Branch)

Все Configuration Manager системы сайта должны быть членами поддерживаемого домена Active Directory. Configuration Manager клиентские компьютеры могут быть членами домена или рабочей группы.

Требования и ограничения

  • Членство в домене также применяется к системам сайта, поддерживающим управление клиентами через Интернет в сети периметра. (Эти сети также называются dmz, демилитаризованной зоной и подсетью с экраном).

  • Изменение следующих конфигураций для компьютера, на котором размещена роль системы сайта, не поддерживается:

    • Членство в домене, включая удаление системы сайта из домена, а затем повторное присоединение к тому же домену.

    • Доменное имя

    • Имя компьютера

    Перед внесением этих изменений удалите роль системы сайта. Чтобы внести эти изменения на сервер сайта, сначала удалите сайт. Вы также можете создать сервер сайта в пассивном режиме, чтобы управлять этим изменением на сервере сайта.

  • Configuration Manager поддерживает уровень работы домена и леса Windows Server 2008 R2 или более поздней версии.

Несвязанное пространство имен

Вы можете установить Configuration Manager систем сайта и клиентов в домене с несвязанным пространством имен.

В несвязанном пространстве имен основной DNS-суффикс компьютера не соответствует доменному имени DNS Active Directory этого компьютера. Другой сценарий несвязанного пространства имен происходит, если доменное имя NetBIOS контроллера домена не соответствует DNS-имени Active Directory.

Несвязанные сценарии

В следующих разделах описываются поддерживаемые сценарии для несвязанного пространства имен.

Сценарий 1

Основной DNS-суффикс контроллера домена отличается от dns-имени домена Active Directory. Компьютеры, которые являются членами домена, могут быть связанными или несвязанными.

Контроллер домена является несвязанным. Компьютеры, которые являются членами домена, такие как серверы сайта и компьютеры, могут иметь основной DNS-суффикс, соответствующий:

  • Основной DNS-суффикс контроллера домена
  • Доменное имя DNS Active Directory

Сценарий 2

Компьютер-член в домене Active Directory несвязан, даже если контроллер домена не является несвязанным.

В этом сценарии основной DNS-суффикс системы сайта отличается от доменного имени DNS Active Directory. Основной DNS-суффикс контроллера домена совпадает с dns-именем Active Directory. Компьютеры-члены, Configuration Manager клиенты, могут иметь основной DNS-суффикс, соответствующий:

  • Основной DNS-суффикс несвязанного сервера системы сайта
  • Доменное имя DNS Active Directory

Настройка несвязанного пространства имен

Чтобы разрешить компьютеру доступ к несвязанным контроллерам домена, измените атрибут MsDS-AllowedDNSSuffixes Active Directory в контейнере объектов домена. Добавьте в атрибут оба DNS-суффикса.

Чтобы убедиться, что список поиска DNS-суффиксов содержит все пространства имен DNS в организации, настройте список поиска для каждого компьютера в несвязанном домене. Включите следующие суффиксы в список пространств имен:

  • Основной DNS-суффикс контроллера домена
  • Доменное имя DNS
  • Любые дополнительные пространства имен для других серверов, с которыми Configuration Manager могут взаимодействовать

Групповую политику можно использовать для настройки списка поиска суффиксов DNS .

Важно!

При ссылке на компьютер в Configuration Manager введите его с помощью его основного DNS-суффикса. Этот суффикс должен соответствовать полному доменному имени, зарегистрированного в качестве атрибута dnsHostName в домене Active Directory, и имени субъекта-службы, связанного с системой.

Одноуровневые домены

Configuration Manager поддерживает системы сайта и клиенты в одном домене меток при соблюдении следующих условий:

  • Настройте домен с одной меткой в доменные службы Active Directory с несвязанным пространством имен DNS с допустимым доменом верхнего уровня.

    Например: В домене с одной меткой contoso настроено несвязанное пространство имен в DNS contoso.com. При указании DNS-суффикса в Configuration Manager для компьютера в домене Contoso вы указываете "Contoso.com", а не "Contoso".

  • Подключения распределенной объектной модели компонентов (DCOM) между серверами сайта в системном контексте должны быть успешными с помощью проверки подлинности Kerberos.