支持 Configuration Manager 中的 Active Directory 域

适用于: Configuration Manager(current branch)

所有Configuration Manager站点系统都必须是受支持的 Active Directory 域的成员。 Configuration Manager客户端计算机可以是域成员或工作组成员。

要求和限制

• 域成员身份也适用于支持外围网络中基于 Internet 的客户端管理的站点系统。 (这些网络也称为外围网络、隔离区域和屏蔽子网) 。

• 不支持为托管站点系统角色的计算机更改以下配置：

  • 域成员身份，包括从域中删除站点系统，然后重新加入同一域。

  • 域名

  • 计算机名称

  在进行这些更改之前，请卸载站点系统角色。 若要对站点服务器进行这些更改，请先卸载站点。 还可以考虑 在被动模式下创建站点服务器 ，以帮助在站点服务器上管理此更改。

• Configuration Manager支持 Windows Server 2008 R2 或更高版本的域和林功能级别。

不连续命名空间

可以在具有不连续命名空间的域中安装Configuration Manager站点系统和客户端。

在非连续命名空间中，计算机的主 DNS 后缀与该计算机的 Active Directory DNS 域名不匹配。 如果域控制器的 NetBIOS 域名与 Active Directory DNS 域名不匹配，则会发生另一个不连续的命名空间方案。

脱节方案

以下部分介绍不连续命名空间支持的方案。

方案 1

域控制器的主 DNS 后缀不同于 Active Directory DNS 域名。 作为域成员的计算机可以是脱节的，也可以是不脱节的。

该方案中的域控制器是脱节的。 作为域成员的计算机（例如站点服务器和计算机）可以具有与以下任一匹配的主 DNS 后缀：

• 域控制器的主 DNS 后缀
• Active Directory DNS 域名

方案 2

Active Directory 域中的成员计算机是脱节的，即使域控制器不是脱节的。

在此方案中，站点系统的主 DNS 后缀不同于 Active Directory DNS 域名。 域控制器的主 DNS 后缀与 Active Directory DNS 域名相同。 Configuration Manager客户端的成员计算机可以具有与以下任一匹配的主 DNS 后缀：

• 不相交站点系统服务器的主要 DNS 后缀
• Active Directory DNS 域名

配置脱节命名空间

若要允许计算机访问不相交的域控制器，请更改域对象容器上的 msDS-AllowedDNSSuffixes Active Directory 属性。 将这两个 DNS 后缀添加到 属性。

若要确保 DNS 后缀搜索列表 包含组织中的所有 DNS 命名空间，请为非连续域中的每台计算机配置搜索列表。 在命名空间列表中包含以下后缀：

• 域控制器的主 DNS 后缀
• DNS 域名
• Configuration Manager可能与之通信的其他服务器的任何其他命名空间

可以使用组策略配置 域名系统 (DNS) 后缀搜索 列表。

重要

在 Configuration Manager 中引用计算机时，请使用其主 DNS 后缀输入计算机。 此后缀应与 Active Directory 域中注册为 dnsHostName 属性的完全限定域名以及与系统关联的服务主体名称匹配。

单标签域

满足以下条件时，Configuration Manager支持单个标签域中的站点系统和客户端：

• 使用具有有效顶级域的脱节 DNS 命名空间在 Active Directory 域服务 中配置单标签域。

  例如： Contoso 的单标签域配置为在 DNS 中具有不相交的命名空间，contoso.com。 在 Configuration Manager 中为 Contoso 域中的计算机指定 DNS 后缀时，指定“Contoso.com”而不是“Contoso”。

• 系统上下文中站点服务器之间的分布式组件对象模型 (DCOM) 连接必须使用 Kerberos 身份验证成功。