Välj identifieringsmetoder som ska användas för Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Om du vill använda identifiering för Configuration Manager på ett effektivt sätt måste du överväga vilka metoder som ska användas och på vilka platser de ska köras.
Eftersom identifiering kan generera en stor mängd nätverkstrafik, och resulterande identifieringsdataposter (DDR) kan använda betydande CPU-resurser under bearbetningen, använder du bara de identifieringsmetoder som du behöver för att uppfylla dina mål. Du kan börja med att bara använda en eller två identifieringsmetoder och sedan aktivera ytterligare metoder på ett kontrollerat sätt för att utöka identifieringsnivån i din miljö. Informationen i det här avsnittet kan hjälpa dig att fatta välgrundade beslut.
Information om de olika identifieringsmetoderna finns i Om identifieringsmetoder för Configuration Manager.
Välj metoder för att identifiera olika saker
Om du vill identifiera potentiella Configuration Manager klientdatorer eller användarresurser måste du aktivera lämpliga identifieringsmetoder. Du kan använda olika kombinationer av identifieringsmetoder för att hitta olika resurser och identifiera ytterligare information om dessa resurser. Identifieringsmetoderna som du använder avgör vilken typ av resurser som identifieras och vilka Configuration Manager tjänster och agenter som används i identifieringsprocessen. De bestämmer också vilken typ av information om resurser som du kan identifiera.
Identifiera datorer
När du vill identifiera datorer kan du använda Active Directory System Discovery eller Network Discovery.
Om du till exempel vill identifiera resurser som kan installera Configuration Manager-klienten innan du använder push-installation av klienter kan du köra Active Directory System Discovery. Med den här metoden identifierar du inte bara resursen, utan även grundläggande information, även utökad information om den från Active Directory Domain Services. Den här informationen kan vara användbar för att skapa komplexa frågor och samlingar som ska användas för tilldelning av klientinställningar eller innehållsdistribution.
Du kan också köra Nätverksidentifiering och använda dess alternativ för att identifiera operativsystemet för resurser (krävs för senare användning av push-installation av klienter). Network Discovery ger dig information om din nätverkstopologi som du inte kan hämta med andra identifieringsmetoder. Den här metoden ger dock ingen information om din Active Directory-miljö.
Det finns också en metod som kallas pulsslagsidentifiering. Det går endast att använda pulsslagsidentifiering för att tvinga fram identifiering av klienter som du har installerat med andra metoder än push-installation av klienter. Men till skillnad från andra identifieringsmetoder kan pulsslagsidentifiering inte identifiera datorer som inte har en aktiv Configuration Manager klient. Den returnerar en begränsad uppsättning information som är avsedd att underhålla en befintlig databaspost i stället för att utgöra grunden för den posten. Information som skickas av pulsslagsidentifiering kanske inte räcker för att skapa komplexa frågor eller samlingar.
Om du använder Active Directory-gruppidentifiering för att identifiera medlemskap i en angiven grupp kan du identifiera begränsad system- eller datorinformation. Detta ersätter inte en fullständig identifiering av datorer, men kan ge grundläggande information. Den här informationen är otillräcklig för push-installation av klienter.
Identifiera användare
När du vill identifiera information om användare använder du Active Directory User Discovery. I likhet med Active Directory System Discovery identifierar den här metoden användare från Active Directory. Den innehåller grundläggande information, förutom utökad Active Directory-information. Du kan använda den här informationen för att skapa komplexa frågor och samlingar som liknar dem för datorer.
Identifiera gruppinformation
När du vill identifiera information om grupper och gruppmedlemskap använder du Active Directory-gruppidentifiering. Den här identifieringsmetoden skapar resursposter för säkerhetsgrupper.
Du kan använda den här metoden för att söka i en specifik Active Directory-grupp för att identifiera medlemmarna i gruppen, förutom alla kapslade grupper i gruppen. Du kan också använda den här metoden för att söka efter grupper på en Active Directory-plats och rekursivt söka i varje underordnad container på den platsen i Active Directory Domain Services.
Den här identifieringsmetoden kan också söka efter medlemskap i distributionsgrupper. Detta kan identifiera grupprelationer för både användare och datorer.
När du upptäcker en grupp kan du också identifiera begränsad information om dess medlemmar. Detta ersätter dock inte Active Directory-systemet eller identifieringsmetoderna för användare. Det är vanligtvis inte tillräckligt för att skapa komplexa frågor och samlingar, eller fungera som grund för en push-installation av klienter.
Identifiera infrastruktur
Det finns två metoder som du kan använda för att identifiera nätverksinfrastruktur, Active Directory Forest Discovery och Network Discovery.
Använd Active Directory Forest Discovery för att söka i en Active Directory-skog efter information om undernät och Active Directory-platskonfigurationer. Dessa konfigurationer kan sedan automatiskt anges i Configuration Manager som gränsplatser.
När du vill identifiera nätverkstopologin använder du Nätverksidentifiering. Andra identifieringsmetoder returnerar information som rör Active Directory Domain Services och kan identifiera den aktuella nätverksplatsen för en klient, men de tillhandahåller inte infrastrukturinformation baserat på nätverkets undernät och routertopologi.
Identifieringsdata delas mellan webbplatser
När Configuration Manager lägger till identifieringsdata i en databas delas de snabbt mellan alla platser i hierarkin. Eftersom det vanligtvis inte finns någon fördel med att identifiera samma information på flera platser i hierarkin bör du överväga att konfigurera en enda instans av varje identifieringsmetod som du använder för att köra på en enda plats. Det är en bra idé att göra detta i stället för att köra flera instanser av en enda metod på olika platser.
För vissa miljöer kan det dock vara användbart att tilldela samma identifieringsmetod som ska köras på flera platser, var och en med en separat konfiguration och ett separat schema. När du till exempel använder Nätverksidentifiering kanske du vill dirigera varje plats att identifiera sitt lokala nätverk, i stället för att försöka identifiera alla nätverksplatser i ett WAN.
Om du konfigurerar flera instanser av samma identifieringsmetoder så att de körs på olika platser ska du planera konfigurationen av varje plats noggrant. Du vill undvika att två eller flera webbplatser identifierar samma resurser från nätverket eller Active Directory. Detta kan förbruka ytterligare nätverksbandbredd och skapa duplicerade DDR:er.
I följande tabell identifieras på vilka platser du kan konfigurera de olika identifieringsmetoderna.
| Identifieringsmetod | Platser som stöds |
|---|---|
| Identifiering av Active Directory-skog | Central administrationswebbplats Primär plats |
| Identifiering av Active Directory-grupp | Primär plats |
| Identifiering av Active Directory-system | Primär plats |
| Identifiering av Active Directory-användare | Primär plats |
| Pulsslagsidentifiering1 | Primär plats |
| Nätverksidentifiering | Primär plats Sekundär plats |
1 Sekundära platser kan inte konfigurera pulsslagsidentifiering, men kan ta emot HEARTBEAT DDR från en klient.
När sekundära platser kör Nätverksidentifiering eller tar emot pulsslagsidentifierings-DDR överför de DDR genom filbaserad replikering till sin överordnade primära plats. Det beror på att endast primära platser och centrala administrationsplatser kan bearbeta DDR:erna. Mer information om hur DDR bearbetas finns i Om identifieringsdataposter.
Överväganden för olika identifieringsmetoder
Eftersom varje platsserver och nätverksmiljö är olika är det en bra idé att begränsa dina inledande konfigurationer för identifiering. Övervaka sedan noggrant varje platsserver för dess möjlighet att bearbeta de identifieringsdata som genereras.
När du använder en Active Directory-identifieringsmetod för system, användare eller grupper:
Kör identifiering på en plats som har en snabb nätverksanslutning till dina domänkontrollanter.
Överväg Active Directory-replikeringstopologin för att säkerställa att identifieringen kan komma åt den senaste informationen.
Överväg omfånget för identifieringskonfigurationen och begränsa identifieringen till endast de Active Directory-platser och grupper som du måste identifiera.
Om du använder Nätverksidentifiering:
Använd en begränsad inledande konfiguration för att identifiera nätverkstopografin.
När du har identifierat nätverkstopografin konfigurerar du Nätverksidentifiering så att den körs på specifika platser som är centrala för de nätverksområden som du vill identifiera mer fullständigt.
Eftersom pulsslagsidentifiering inte körs på en viss plats behöver du inte tänka på det i allmän planering för var identifieringen ska köras.
Metodtips för identifiering
För bästa resultat med identifiering rekommenderar vi följande:
Kör Active Directory System Discovery och Active Directory User Discovery innan du kör Active Directory Group Discovery.
När Identifiering av Active Directory-grupp identifierar en tidigare oupptäckt användare eller dator som medlem i en grupp försöker den identifiera grundläggande information för användaren eller datorn. Eftersom Active Directory Group Discovery inte är optimerat för den här typen av identifiering kan den här processen göra att den körs långsamt. Dessutom identifierar Active Directory-gruppidentifiering endast den grundläggande informationen om de användare och datorer som identifieras och skapar inte en fullständig användar- eller datoridentifieringspost. När du kör Active Directory System Discovery och Active Directory User Discovery är de ytterligare Active Directory-attributen för varje objekttyp tillgängliga. Därför körs Active Directory-gruppidentifiering mer effektivt.
När du konfigurerar Identifiering av Active Directory-grupp anger du bara grupper som du använder med Configuration Manager.
Om du vill styra användningen av resurser av Active Directory-gruppidentifiering anger du endast de grupper som du använder med Configuration Manager. Det beror på att Active Directory Group Discovery rekursivt söker igenom varje grupp som identifieras för användare, datorer och kapslade grupper. Sökningen av varje kapslad grupp kan utöka omfånget för Identifiering av Active Directory-grupp och minska prestanda. När du konfigurerar deltaidentifiering för Active Directory-gruppidentifiering övervakar identifieringsmetoden dessutom varje grupp efter ändringar. Detta minskar prestanda ytterligare när metoden måste söka i onödiga grupper.
Konfigurera identifieringsmetoder med ett längre intervall mellan fullständig identifiering och en mer frekvent period av deltaidentifiering.
Eftersom deltaidentifiering använder färre resurser än en fullständig identifieringscykel och kan identifiera nya eller ändrade resurser i Active Directory kan du minska frekvensen för fullständiga identifieringscykler så att de körs varje vecka (eller mindre). Deltaidentifiering för Active Directory System Discovery, Active Directory User Discovery och Active Directory Group Discovery identifierar nästan alla ändringar av Active Directory-objekt och kan upprätthålla korrekta identifieringsdata för resurser.
Kör Active Directory-identifieringsmetoder på en primär plats som har en nätverksplats som är närmast din Active Directory-domänkontrollant.
För att förbättra prestanda för Active Directory-identifiering är det en bra idé att köra identifiering på en primär plats som har en snabb nätverksanslutning till dina domänkontrollanter. Om du kör samma Active Directory-identifieringsmetod på flera platser konfigurerar du varje identifieringsmetod för att undvika överlappning. Till skillnad från tidigare versioner av Configuration Manager delas identifieringsdata mellan webbplatser. Därför är det inte nödvändigt att identifiera samma information på flera platser. Mer information finns i Identifieringsdata delas mellan webbplatser.
Kör Active Directory Forest Discovery på endast en plats när du planerar att automatiskt skapa gränser från identifieringsdata.
Om du kör Active Directory Forest Discovery på mer än en plats i en hierarki är det en bra idé att bara aktivera alternativ för att automatiskt skapa gränser på en enda plats. Detta beror på att när Active Directory Forest Discovery körs på varje plats och skapar gränser kan Configuration Manager inte sammanfoga dessa gränser till ett enda gränsobjekt. När du konfigurerar Active Directory Forest Discovery för att automatiskt skapa gränser på flera platser kan resultatet dupliceras gränsobjekt i Configuration Manager-konsolen.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för