Сведения о методах обнаружения для Configuration Manager
Относится к Configuration Manager (Current Branch)
Configuration Manager методы обнаружения находят различные устройства в сети, устройства и пользователей из Active Directory или пользователей из Microsoft Entra идентификатора. Чтобы эффективно использовать метод обнаружения, необходимо понимать доступные конфигурации и ограничения.
Обнаружение леса Active Directory
Настраиваемые: Да
Включено по умолчанию: Нет
Учетные записи, которые можно использовать для выполнения этого метода:
Учетная запись леса Active Directory (определяемая пользователем)
Учетная запись компьютера сервера сайта
В отличие от других методов обнаружения Active Directory, обнаружение леса Active Directory не обнаруживает ресурсы, которыми можно управлять. Вместо этого этот метод обнаруживает сетевые расположения, настроенные в Active Directory. Он может преобразовать эти расположения в границы для использования во всей иерархии.
При выполнении этого метода выполняется поиск по локальному лесу Active Directory, каждому доверенному лесу и другим лесам, настроенным в узле Леса Active Directory консоли Configuration Manager.
Используйте обнаружение леса Active Directory, чтобы:
Найдите сайты и подсети Active Directory, а затем создайте границы Configuration Manager на основе этих сетевых расположений.
Определите суперсети, назначенные сайту Active Directory. Преобразуйте каждую суперсеть в границу диапазона IP-адресов.
Публикация в доменные службы Active Directory (AD DS) в лесу, когда публикация в этом лесу включена. Указанная учетная запись леса Active Directory должна иметь разрешения для этого леса.
Вы можете управлять обнаружением леса Active Directory в консоли Configuration Manager. Перейдите в рабочую область Администрирование и разверните узел Конфигурация иерархии.
Методы обнаружения. Включите обнаружение леса Active Directory для запуска на сайте верхнего уровня иерархии. Можно также указать расписание для выполнения обнаружения. Настройте его для автоматического создания границ из IP-подсетей и сайтов Active Directory, которые он обнаруживает. Обнаружение леса Active Directory не может выполняться на дочернем первичном сайте или на вторичном сайте.
Леса Active Directory. Настройте другие леса для обнаружения, укажите каждую учетную запись леса Active Directory и настройте публикацию в каждом лесу. Мониторинг процесса обнаружения. Добавьте IP-подсети и сайты Active Directory в качестве Configuration Manager границ и членов групп границ.
Чтобы настроить публикацию для лесов Active Directory для каждого сайта в иерархии, подключите консоль Configuration Manager к сайту верхнего уровня иерархии. На вкладке Публикация в диалоговом окне Свойства сайта Active Directory может отображаться только текущий сайт и его дочерние сайты. Если публикация включена для леса и схема этого леса расширена на Configuration Manager, для каждого сайта, на котором включена публикация в этом лесу Active Directory, публикуются следующие сведения:
SMS-Site-<site code>SMS-MP-<site code>-<site system server name>SMS-SLP-<site code>-<site system server name>SMS-<site code>-<Active Directory site name or subnet>
Примечание.
Вторичные сайты всегда используют учетную запись компьютера сервера вторичного сайта для публикации в Active Directory. Если требуется опубликовать вторичные сайты в Active Directory, убедитесь, что учетная запись компьютера сервера вторичного сайта имеет разрешения на публикацию в Active Directory. Вторичный сайт не может публиковать данные в недоверенном лесу.
Предостережение
При снятии флажка публикации сайта в лесу Active Directory все ранее опубликованные сведения для этого сайта, включая доступные роли системы сайта, удаляются из Active Directory.
Действия для обнаружения леса Active Directory записываются в следующие журналы:
Все действия, кроме действий, связанных с публикацией, записываются в файл ADForestDisc.Log в папке <InstallationPath>\Logs на сервере сайта.
Действия публикации обнаружения леса Active Directory записываются в файлы hman.log и sitecomp.log в папке <InstallationPath>\Logs на сервере сайта.
Дополнительные сведения о настройке этого метода обнаружения см. в разделе Настройка методов обнаружения.
Обнаружение групп Active Directory
Настраиваемые: Да
Включено по умолчанию: Нет
Учетные записи, которые можно использовать для выполнения этого метода:
Учетная запись обнаружения группы Active Directory (определяемая пользователем)
Учетная запись компьютера сервера сайта
Совет
Помимо сведений в этом разделе, см. общие возможности обнаружения групп, систем и пользователей Active Directory.
Используйте этот метод для поиска доменные службы Active Directory для идентификации:
Локальные, глобальные и универсальные группы безопасности.
Членство в группах.
Ограниченная информация о компьютерах-членах и пользователях группы, даже если другой метод обнаружения ранее не обнаружил эти компьютеры и пользователей.
Этот метод обнаружения предназначен для идентификации групп и связей между группами членов групп. По умолчанию обнаруживаются только группы безопасности. Если вы хотите также найти членство в группах рассылки, необходимо проверка поле для параметра Обнаружение членства в группах рассылки на вкладке Параметр в диалоговом окне Свойства обнаружения групп Active Directory.
Обнаружение групп Active Directory не поддерживает расширенные атрибуты Active Directory, которые можно идентифицировать с помощью обнаружения системы Active Directory или обнаружения пользователей Active Directory. Так как этот метод обнаружения не оптимизирован для обнаружения ресурсов компьютеров и пользователей, рассмотрите возможность запуска этого метода обнаружения после выполнения обнаружения систем Active Directory и обнаружения пользователей Active Directory. Это предложение связано с тем, что этот метод создает полную запись данных обнаружения (DDR) для групп, но только ограниченную ddr для компьютеров и пользователей, которые являются членами групп.
Можно настроить следующие области обнаружения, которые управляют тем, как этот метод ищет информацию:
Расположение. Используйте расположение, если требуется выполнить поиск в одном или нескольких контейнерах Active Directory. Этот параметр область поддерживает рекурсивный поиск указанных контейнеров Active Directory. Этот процесс выполняет поиск каждого дочернего контейнера в заданном контейнере. Она продолжается до тех пор, пока не будет найдено больше дочерних контейнеров.
Группы. Используйте группы, если требуется выполнить поиск в одной или нескольких определенных группах Active Directory. Вы можете настроить домен Active Directory для использования домена и леса по умолчанию или ограничить поиск отдельным контроллером домена. Кроме того, можно указать одну или несколько групп для поиска. Если не указать хотя бы одну группу, выполняется поиск всех групп, найденных в указанном домен Active Directory расположении.
Предостережение
При настройке область обнаружения выберите только группы, которые необходимо обнаружить. Эта рекомендация связана с тем, что обнаружение группы Active Directory пытается обнаружить каждого члена каждой группы в область обнаружения. Для обнаружения больших групп может потребоваться широкое использование пропускной способности и ресурсов Active Directory.
Примечание.
Прежде чем создавать коллекции, основанные на расширенных атрибутах Active Directory, и обеспечить точные результаты обнаружения для компьютеров и пользователей, выполните обнаружение систем Active Directory или обнаружение пользователей Active Directory в зависимости от того, что вы хотите обнаружить.
Действия для обнаружения групп Active Directory записываются в файл adsgdis.log в папке <InstallationPath>\LOGS на сервере сайта.
Дополнительные сведения о настройке этого метода обнаружения см. в разделе Настройка методов обнаружения.
Обнаружение системы Active Directory
Настраиваемые: Да
Включено по умолчанию: Нет
Учетные записи, которые можно использовать для выполнения этого метода:
Учетная запись обнаружения системы Active Directory (определяемая пользователем)
Учетная запись компьютера сервера сайта
Совет
Помимо сведений в этом разделе, см. общие возможности обнаружения групп, систем и пользователей Active Directory.
Используйте этот метод обнаружения для поиска ресурсов компьютера в указанных доменные службы Active Directory расположениях, которые можно использовать для создания коллекций и запросов. Вы также можете установить клиент Configuration Manager на обнаруженном устройстве с помощью принудительной установки клиента.
По умолчанию этот метод обнаруживает основные сведения о компьютере, включая следующие атрибуты:
Имя компьютера
ОС и версия
Имя контейнера Active Directory
IP-адрес
Сайт Active Directory
Метка времени последнего входа
Чтобы успешно создать ddr для компьютера, обнаружение системы Active Directory должно иметь возможность идентифицировать учетную запись компьютера, а затем успешно разрешить имя компьютера в IP-адрес.
В диалоговом окне Свойства обнаружения системы Active Directory на вкладке Атрибуты Active Directory можно просмотреть полный список обнаруженных атрибутов объекта по умолчанию. Вы также можете настроить метод для обнаружения расширенных атрибутов.
Действия для обнаружения системы Active Directory записываются в файл adsysdis.log в папке <InstallationPath>\LOGS на сервере сайта.
Дополнительные сведения о настройке этого метода обнаружения см. в разделе Настройка методов обнаружения.
Обнаружение пользователей Active Directory
Настраиваемые: Да
Включено по умолчанию: Нет
Учетные записи, которые можно использовать для выполнения этого метода:
Учетная запись обнаружения пользователей Active Directory (определяемая пользователем)
Учетная запись компьютера сервера сайта
Совет
Помимо сведений в этом разделе, см. общие возможности обнаружения групп, систем и пользователей Active Directory.
Используйте этот метод обнаружения для поиска доменные службы Active Directory для идентификации учетных записей пользователей и связанных атрибутов. По умолчанию этот метод обнаруживает основные сведения об учетной записи пользователя, включая следующие атрибуты:
Имя пользователя
Уникальное имя пользователя, включающее доменное имя
Домен
Имена контейнеров Active Directory
В диалоговом окне Свойства обнаружения пользователей Active Directory на вкладке Атрибуты Active Directory можно просмотреть полный список атрибутов объектов по умолчанию, которые он обнаруживает. Вы также можете настроить метод для обнаружения расширенных атрибутов.
Действия для обнаружения пользователей Active Directory записываются в файл adusrdis.log в папке <InstallationPath>\LOGS на сервере сайта.
Дополнительные сведения о настройке этого метода обнаружения см. в разделе Настройка методов обнаружения.
обнаружение пользователей Microsoft Entra
Используйте Microsoft Entra обнаружение пользователей для поиска в подписке Microsoft Entra пользователей с современным облачным удостоверением. Microsoft Entra обнаружения пользователей можно найти следующие атрибуты:
objectIddisplayNamemailmailNicknameonPremisesSecurityIdentifieruserPrincipalNametenantIDonPremisesDomainNameonPremisesSamAccountNameonPremisesDistinguishedName
Этот метод поддерживает полную и разностную синхронизацию атрибутов пользователя из идентификатора Microsoft Entra. Затем эти сведения можно использовать вместе с данными обнаружения, которые вы собираете из других методов обнаружения.
Действия для обнаружения Microsoft Entra пользователей записываются в файл SMS_AZUREAD_DISCOVERY_AGENT.log на сервере сайта верхнего уровня иерархии.
Сведения о настройке Microsoft Entra обнаружения пользователей см. в статье Настройка служб Azure для управления облачными клиентами. Сведения о настройке этого метода обнаружения см. в разделе Настройка обнаружения пользователей Microsoft Entra.
Microsoft Entra обнаружение групп пользователей
Группы пользователей и членов этих групп можно найти по идентификатору Microsoft Entra. Microsoft Entra обнаружения групп пользователей можно найти следующие атрибуты:
objectIddisplayNamemailNicknameonPremisesSecurityIdentifiertenantID
Действия для обнаружения групп пользователей Microsoft Entra записываются в файл SMS_AZUREAD_DISCOVERY_AGENT.log на сервере сайта верхнего уровня иерархии. Сведения о настройке этого метода обнаружения см. в разделе Настройка обнаружения групп пользователей Microsoft Entra.
Обнаружение пульса
Настраиваемые: Да
Включено по умолчанию: Да
Учетные записи, которые можно использовать для выполнения этого метода:
- Учетная запись компьютера сервера сайта
Обнаружение пульса отличается от других методов обнаружения Configuration Manager. Он включен по умолчанию и выполняется на каждом клиенте компьютера, а не на сервере сайта, чтобы создать DDR. Чтобы упростить ведение записи базы данных Configuration Manager клиентов, не отключайте обнаружение пульса. Помимо ведения записи базы данных, этот метод может принудительно обнаруживать компьютер в качестве новой записи ресурса. Он также может повторно заполонить запись базы данных компьютера, который был удален из базы данных.
Обнаружение пульса выполняется по расписанию, настроенному для всех клиентов в иерархии. Расписание по умолчанию для обнаружения пульса имеет значение каждые семь дней. При изменении интервала обнаружения пульса убедитесь, что он выполняется чаще, чем задача обслуживания сайта Удаление устаревших данных обнаружения. Эта задача удаляет неактивные клиентские записи из базы данных сайта. Задачу Удалить устаревшие данные обнаружения можно настроить только для первичных сайтов.
Вы также можете вручную запустить обнаружение пульса на определенном клиенте. Запустите цикл сбора данных обнаружения на вкладке Действие Configuration Manager панели управления клиента.
При выполнении обнаружения пульса создается ddr с текущей информацией клиента. Затем клиент копирует этот небольшой файл в точку управления, чтобы первичный сайт смог обработать его. Размер файла составляет около 1 КБ и содержит следующие сведения:
Расположение в сети
NetBIOS-имя
Версия агента клиента
Сведения о рабочем состоянии
Обнаружение пульса — это единственный метод обнаружения, предоставляющий сведения о состоянии установки клиента. Это делается путем обновления атрибута клиента системного ресурса, чтобы задать значение , равное Да.
Действия для обнаружения пульса регистрируются на клиенте в файле InventoryAgent.log в папке %Windir%\CCM\Logs .
Дополнительные сведения о настройке этого метода обнаружения см. в разделе Настройка методов обнаружения.
Обнаружение сети.
Настраиваемые: Да
Включено по умолчанию: Нет
Учетные записи, которые можно использовать для выполнения этого метода:
- Учетная запись компьютера сервера сайта
Используйте этот метод для обнаружения топологии сети и обнаружения устройств в сети с IP-адресом. Обнаружение сети выполняет поиск ресурсов с поддержкой IP-адресов в сети, запрашивая следующие источники:
- Серверы, на которые запущена реализация DHCP майкрософт
- Кэши протокола разрешения адресов (ARP) в сетевых маршрутизаторах
- Устройства с поддержкой SNMP
- Домены Active Directory
Прежде чем использовать сетевое обнаружение, необходимо указать уровень обнаружения для запуска. Вы также настраиваете один или несколько механизмов обнаружения, которые позволяют сетевому обнаружению запрашивать сегменты сети или устройства. Можно также настроить параметры, помогающие управлять действиями обнаружения в сети. Наконец, необходимо определить одно или несколько расписаний при выполнении обнаружения сети.
Чтобы этот метод успешно обнаружил ресурс, обнаружение сети должно определить IP-адрес и маску подсети ресурса. Для идентификации маски подсети объекта используются следующие методы:
Кэш ARP маршрутизатора: Обнаружение сети запрашивает кэш ARP маршрутизатора для поиска сведений о подсети. Как правило, данные в кэше ARP маршрутизатора имеют короткий срок жизни. Таким образом, когда сетевое обнаружение запрашивает кэш ARP, кэш ARP может больше не содержать сведения о запрошенном объекте.
DHCP: Сетевое обнаружение запрашивает каждый указанный DHCP-сервер для обнаружения устройств, для которых DHCP-сервер предоставил аренду. Сетевое обнаружение поддерживает только DHCP-серверы, на которые запущена реализация DHCP Майкрософт.
Устройство SNMP: Сетевое обнаружение может напрямую запрашивать устройство SNMP. Чтобы сетевое обнаружение запрашивало устройство, на устройстве должен быть установлен локальный агент SNMP. Кроме того, настройте обнаружение сети, чтобы использовать имя сообщества, используемое агентом SNMP.
Когда обнаружение идентифицирует объект с IP-адресом и может определить маску подсети объекта, оно создает для этого объекта ddr. Так как различные типы устройств подключаются к сети, обнаружение сети обнаруживает ресурсы, которые не поддерживают клиент Configuration Manager. Например, устройства, которые можно обнаружить, но не управлять, включают принтеры и маршрутизаторы.
Сетевое обнаружение может возвращать несколько атрибутов в составе создаваемой записи обнаружения. К этим атрибутам относятся:
NetBIOS-имя
IP-адреса
Домен ресурсов
Системные роли
Имя сообщества SNMP
MAC-адреса
Действия обнаружения сети записываются в файл Netdisc.log в InstallationPath>\Logs на сервере сайта, на котором выполняется обнаружение.
Дополнительные сведения о настройке этого метода обнаружения см. в разделе Настройка методов обнаружения.
Примечание.
Сложные сети и подключения с низкой пропускной способностью могут привести к медленному выполнению обнаружения сети и созданию значительного сетевого трафика. Выполняйте обнаружение сети только в том случае, если другие методы обнаружения не могут найти ресурсы, которые необходимо обнаружить. Например, используйте обнаружение сети для обнаружения компьютеров рабочей группы. Другие методы обнаружения не обнаруживают компьютеры рабочей группы.
Уровни сетевого обнаружения
При настройке сетевого обнаружения необходимо указать один из трех уровней обнаружения:
| Уровень обнаружения | Подробно |
|---|---|
| Топология | Этот уровень обнаруживает маршрутизаторы и подсети, но не определяет маску подсети для объектов. |
| Топология и клиент | Помимо топологии, этот уровень обнаруживает потенциальные клиенты, такие как компьютеры, и ресурсы, такие как принтеры и маршрутизаторы. Этот уровень обнаружения пытается определить маску подсети объектов, которые она находит. |
| Топология, клиент и клиентская операционная система | Помимо топологии и потенциальных клиентов, этот уровень пытается найти имя и версию операционной системы компьютера. На этом уровне используются вызовы браузера Windows и сетевых подключений Windows. |
При каждом добавочном уровне обнаружение сети увеличивает активность и использование пропускной способности сети. Прежде чем включить все аспекты сетевого обнаружения, рассмотрите сетевой трафик, который можно создать.
Например, при первом использовании обнаружения сети можно начать только с уровня топологии для идентификации сетевой инфраструктуры. Затем перенастройте сетевое обнаружение для обнаружения объектов и операционных систем на их устройствах. Можно также настроить параметры, ограничивающие обнаружение сети определенным диапазоном сегментов сети. Таким образом, вы обнаруживаете объекты в сетевых расположениях, которые вам нужны, и избегаете ненужного сетевого трафика. Этот процесс также позволяет обнаруживать объекты с пограничных маршрутизаторов или за пределами сети.
Параметры обнаружения сети
Чтобы включить сетевое обнаружение для поиска устройств с IP-адресом, настройте один или несколько из этих параметров.
Примечание.
Сетевое обнаружение выполняется в контексте учетной записи компьютера сервера сайта, на котором выполняется обнаружение. Если учетная запись компьютера не имеет разрешений на ненадежный домен, конфигурации домена и DHCP-сервера могут не обнаружить ресурсы.
DHCP
Укажите каждый DHCP-сервер, к которому требуется выполнить запрос сетевого обнаружения. Сетевое обнаружение поддерживает только DHCP-серверы, на которые запущена реализация DHCP Майкрософт.
Обнаружение сети получает сведения с помощью удаленных вызовов процедур к базе данных на DHCP-сервере.
Сетевое обнаружение может запрашивать как 32-разрядные, так и 64-разрядные DHCP-серверы для получения списка устройств, зарегистрированных на каждом сервере.
Чтобы сетевое обнаружение успешно запрашивал DHCP-сервер, учетная запись компьютера сервера, на котором выполняется обнаружение, должна быть членом группы "Пользователи DHCP" на DHCP-сервере. Например, этот уровень доступа существует, если один из следующих операторов имеет значение true.
Указанный DHCP-сервер является DHCP-сервером сервера, на котором выполняется обнаружение.
Компьютер, на котором выполняется обнаружение, и DHCP-сервер находятся в одном домене.
Между компьютером, на котором выполняется обнаружение, и DHCP-сервером существует двустороннее доверие.
Сервер сайта является членом группы "Пользователи DHCP".
Когда сетевое обнаружение перечисляет DHCP-сервер, он не всегда обнаруживает статические IP-адреса. Сетевое обнаружение не находит IP-адреса, которые входят в исключенный диапазон IP-адресов на DHCP-сервере. Он также не обнаруживает IP-адреса, зарезервированные для назначения вручную.
Домены
Укажите каждый домен, к которому требуется выполнить запрос сетевого обнаружения.
Учетная запись компьютера сервера сайта, на котором выполняется обнаружение, должна иметь разрешения на чтение контроллеров домена в каждом указанном домене.
Чтобы обнаружить компьютеры из локального домена, необходимо включить службу "Браузер компьютеров" по крайней мере на одном компьютере. Этот компьютер должен находиться в той же подсети, что и сервер сайта, на котором выполняется обнаружение сети.
При обнаружении сети можно обнаружить любой компьютер, который можно просмотреть с сервера сайта при просмотре сети.
При обнаружении сети извлекается IP-адрес. Затем он использует эхо-запрос ICMP для проверки связи с каждым устройством, которое находит. Команда ping помогает определить, какие компьютеры в настоящее время активны.
Устройства SNMP
Укажите каждое устройство SNMP, к которому требуется выполнить запрос сетевого обнаружения.
Сетевое
ipNetToMediaTableобнаружение получает значение от любого устройства SNMP, которое отвечает на запрос. Это значение возвращает массивы IP-адресов, которые являются клиентскими компьютерами или другими ресурсами, такими как принтеры, маршрутизаторы или другие УСТРОЙСТВА с IP-адресом.Чтобы запросить устройство, необходимо указать IP-адрес или NetBIOS-имя устройства.
Настройте сетевое обнаружение так, чтобы использовать имя сообщества устройства, в противном случае устройство отклоняет запрос на основе SNMP.
Ограничение сетевого обнаружения
Когда сетевое обнаружение запрашивает устройство SNMP на границе сети, оно может идентифицировать сведения о подсетях и устройствах SNMP, которые находятся за пределами вашей непосредственной сети. Используйте следующие сведения для ограничения сетевого обнаружения, настроив устройства SNMP, с которыми может взаимодействовать обнаружение, и указав сегменты сети для запроса.
Подсети
Настройте подсети, запрашиваемые обнаружением сети при использовании параметров SNMP и DHCP. Эти два параметра выполняют поиск только в включенных подсетях.
Например, DHCP-запрос может возвращать устройства из расположений по всей сети. Если вы хотите обнаружить только устройства в определенной подсети, укажите и включите эту подсеть на вкладке Подсети в диалоговом окне Свойства обнаружения сети . При указании и включении подсетей будущие задачи обнаружения DHCP и SNMP ограничиваются этими подсетями.
Примечание.
Конфигурации подсети не ограничивают объекты, обнаруженные параметром обнаружения доменов .
Имена сообществ SNMP
Чтобы включить обнаружение сети для успешного запроса устройства SNMP, настройте сетевое обнаружение с именем сообщества устройства. Если обнаружение сети не настроено с помощью имени сообщества устройства SNMP, устройство отклоняет запрос.
Максимальное число прыжков
При настройке максимального числа прыжков маршрутизатора вы ограничиваете количество сегментов сети и маршрутизаторов, к которым может выполняться обнаружение сети, с помощью SNMP.
Количество прыжков, которое вы настраиваете, ограничивает количество устройств и сегментов сети, к которым может выполняться обнаружение сети.
Например, обнаружение только топологии с 0 (ноль) прыжков маршрутизатора обнаруживает подсеть, в которой находится исходный сервер. Он включает все маршрутизаторы в этой подсети.
На следующей схеме показано, что находит запрос обнаружения сети только для топологии при выполнении на сервере 1 с указанными 0 прыжками маршрутизатора: подсети D и маршрутизатором 1.
На следующей схеме показано, что находит запрос обнаружения топологии и клиентской сети при выполнении на сервере 1 с указанными 0 прыжками маршрутизатора: подсетью D и маршрутизатором 1 и всеми потенциальными клиентами в подсети D.
Чтобы получить лучшее представление о том, как дополнительные прыжки маршрутизатора могут увеличить объем обнаруженных сетевых ресурсов, рассмотрите следующую сеть:
При выполнении обнаружения сети только для топологии с сервера 1 с одним прыжком маршрутизатора обнаруживаются следующие сущности:
Маршрутизатор 1 и подсеть 10.1.10.0 (найдено с нулевым прыжком)
Подсети 10.1.20.0 и 10.1.30.0, подсеть A и маршрутизатор 2 (находятся на первом прыжке)
Предупреждение
Каждое увеличение числа прыжков маршрутизатора может значительно увеличить количество обнаруживаемых ресурсов и увеличить пропускную способность сети, используемую обнаружением сети.
Обнаружение сервера
Настраиваемые: Нет
Помимо настраиваемых пользователем методов обнаружения, Configuration Manager использует процесс обнаружения сервера (SMS_WINNT_SERVER_DISCOVERY_AGENT). Этот метод обнаружения создает записи ресурсов для компьютеров, которые являются системами сайта, например компьютер, настроенный в качестве точки управления.
Общие возможности обнаружения групп Active Directory, обнаружения систем и пользователей
В этом разделе содержатся сведения о функциях, которые являются общими для следующих методов обнаружения:
Обнаружение групп Active Directory
Обнаружение системы Active Directory
Обнаружение пользователей Active Directory
Примечание.
Сведения в этом разделе не применяются к обнаружению леса Active Directory.
Эти три метода обнаружения похожи в конфигурации и операции. Они могут обнаруживать компьютеры, пользователей и сведения о членстве в группах ресурсов, хранящихся в доменные службы Active Directory. Процессом обнаружения управляет агент обнаружения. Агент запускается на сервере сайта на каждом сайте, где настроено обнаружение. Каждый из этих методов обнаружения можно настроить для поиска одного или нескольких расположений Active Directory в качестве экземпляров расположения в локальном лесу или удаленных лесах.
Когда обнаружение выполняет поиск ресурсов в недоверенном лесу, агент обнаружения должен иметь возможность разрешить следующие задачи, чтобы успешно выполнить следующие действия:
Чтобы обнаружить ресурс компьютера с помощью системного обнаружения Active Directory, агент обнаружения должен иметь возможность разрешать полное доменное имя ресурса. Если не удается разрешить полное доменное имя, он пытается разрешить ресурс по имени NetBIOS.
Чтобы обнаружить ресурс пользователя или группы с помощью обнаружения пользователей Active Directory или обнаружения групп Active Directory, агент обнаружения должен иметь возможность разрешить полное доменное имя имени контроллера домена, указанного для расположения Active Directory.
Для каждого указанного расположения можно настроить отдельные параметры поиска, например включить рекурсивный поиск дочерних контейнеров Active Directory расположения. Вы также можете настроить уникальную учетную запись для использования при поиске в этом расположении. Эта учетная запись обеспечивает гибкость при настройке метода обнаружения на одном сайте для поиска нескольких расположений Active Directory в нескольких лесах. Вам не нужно настраивать одну учетную запись с разрешениями для всех расположений.
Когда каждый из этих трех методов обнаружения выполняется на определенном сайте, сервер сайта Configuration Manager на этом сайте связывается с ближайшим контроллером домена в указанном лесу Active Directory, чтобы найти ресурсы Active Directory. Домен и лес могут находиться в любом поддерживаемом режиме Active Directory. Учетная запись, назначаемая каждому экземпляру расположения, должна иметь разрешение на чтение для указанных расположений Active Directory.
Обнаружение выполняет поиск объектов в указанных расположениях, а затем пытается собрать сведения об этих объектах. При обнаружении достаточного количества сведений о ресурсе создается ГДР. Требуемые сведения зависят от используемого метода обнаружения.
Если один и тот же метод обнаружения настроен для запуска на разных сайтах Configuration Manager, чтобы воспользоваться преимуществами запросов к локальным серверам Active Directory, вы можете настроить каждый сайт с уникальным набором параметров обнаружения. Так как данные обнаружения совместно используются для каждого сайта в иерархии, избегайте перекрытия между этими конфигурациями, чтобы эффективно обнаруживать каждый ресурс в один раз.
Для небольших сред рассмотрите возможность запуска каждого метода обнаружения только на одном сайте в иерархии. Такая конфигурация сокращает административные издержки и возможность повторного обнаружения одних и того же ресурса с помощью нескольких действий обнаружения. При минимизации количества сайтов, выполняющих обнаружение, уменьшается общая пропускная способность сети, используемая обнаружением. Вы также можете уменьшить общее число DDR, которые создаются и должны обрабатываться серверами сайта.
Многие конфигурации методов обнаружения являются понятными. Используйте следующие разделы для получения дополнительных сведений о параметрах обнаружения, которые могут потребовать дополнительных сведений перед их настройкой.
С несколькими методами обнаружения Active Directory доступны следующие параметры.
Обнаружение разностных данных
Доступно для:
Обнаружение групп Active Directory
Обнаружение системы Active Directory
Обнаружение пользователей Active Directory
Обнаружение разностных данных — это не независимый метод обнаружения, но доступный для применимых методов обнаружения. Разностное обнаружение выполняет поиск определенных атрибутов Active Directory на наличие изменений, внесенных с момента последнего полного цикла обнаружения применимого метода обнаружения. Изменения атрибутов отправляются в базу данных Configuration Manager для обновления записи обнаружения ресурса.
По умолчанию обнаружение разностных данных выполняется в течение пяти минут. Это расписание гораздо чаще, чем обычное расписание для полного цикла обнаружения. Такой частый цикл возможен, так как разностное обнаружение использует меньше ресурсов сервера сайта и сети, чем полный цикл обнаружения. При использовании разностного обнаружения можно уменьшить частоту полного цикла обнаружения для этого метода обнаружения.
Ниже приведены наиболее распространенные изменения, обнаруженные при обнаружении разностного обнаружения.
Новые компьютеры или пользователи, добавленные в Active Directory
Изменения основных сведений о компьютере и пользователях
Новые компьютеры или пользователи, добавленные в группу
Компьютеры или пользователи, удаленные из группы
Изменения объектов системной группы
Хотя обнаружение разностных данных может обнаруживать новые ресурсы и изменения в членстве в группах, оно не может определить, когда ресурс был удален из Active Directory. DDR, созданные путем разностного обнаружения, обрабатываются аналогично DDR, созданным полным циклом обнаружения.
Разностное обнаружение можно настроить на вкладке Расписание опроса в свойствах для каждого метода обнаружения.
Фильтрация устаревших записей компьютера по входу в домен
Доступно для:
Обнаружение групп Active Directory
Обнаружение системы Active Directory
Вы можете настроить обнаружение, чтобы исключить компьютеры с устаревшей записью компьютера. Это исключение основано на последнем входе в домен компьютера. Если этот параметр включен, обнаружение системы Active Directory оценивает каждый компьютер, который он идентифицирует. Обнаружение групп Active Directory оценивает каждый компьютер, который является членом обнаруженной группы.
Чтобы использовать этот параметр, выполните следующие действия:
Компьютеры должны быть настроены для обновления атрибута
lastLogonTimeStampв доменные службы Active Directory.Для режима работы домена Active Directory необходимо установить windows Server 2003 или более поздней версии.
При настройке времени после последнего входа, которое вы хотите использовать для этого параметра, учитывайте интервал репликации между контроллерами домена.
Фильтрация настраивается на вкладке Option в диалоговых окнах Свойства обнаружения системы Active Directory и Свойства обнаружения групп Active Directory . Выберите обнаружение только компьютеров, которые вошли в домен за заданный период времени.
Предупреждение
При настройке этого фильтра и фильтрации устаревших записей по паролю компьютера при обнаружении исключаются компьютеры, которые соответствуют условиям любого фильтра.
Фильтрация устаревших записей по паролю компьютера
Доступно для:
Обнаружение групп Active Directory
Обнаружение системы Active Directory
Вы можете настроить обнаружение, чтобы исключить компьютеры с устаревшей записью компьютера. Это исключение основано на последнем обновлении пароля учетной записи компьютера. Если этот параметр включен, обнаружение системы Active Directory оценивает каждый компьютер, который он идентифицирует. Обнаружение групп Active Directory оценивает каждый компьютер, который является членом обнаруженной группы.
Чтобы использовать этот параметр, выполните следующие действия:
- Компьютеры должны быть настроены для обновления атрибута
pwdLastSetв доменные службы Active Directory.
При настройке этого параметра учитывайте интервал обновления этого атрибута. Также рассмотрите интервал репликации между контроллерами домена.
Фильтрация настраивается на вкладке Option в диалоговых окнах Свойства обнаружения системы Active Directory и Свойства обнаружения групп Active Directory . Выберите обнаружение только компьютеров, которые обновили пароль учетной записи компьютера за заданный период времени.
Предупреждение
При настройке этого фильтра и фильтрации устаревших записей по входу в домен, обнаружение исключает компьютеры, которые соответствуют условиям любого фильтра.
Поиск настраиваемых атрибутов Active Directory
Доступно для:
Обнаружение системы Active Directory
Обнаружение пользователей Active Directory
Каждый метод обнаружения поддерживает уникальный список атрибутов Active Directory, которые можно обнаружить.
Список настраиваемых атрибутов можно просмотреть и настроить на вкладке Атрибуты Active Directory в диалоговых окнах Свойства обнаружения системы Active Directory и Свойства обнаружения пользователей Active Directory .
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по