将网络位置定义为Configuration Manager的边界

适用于: Configuration Manager(current branch)

Configuration Manager边界是网络上包含要管理的设备的位置。 可以创建不同类型的边界,例如 Active Directory 站点或网络 IP 地址。 当Configuration Manager客户端标识类似的网络位置时,该设备是边界的一部分。

Configuration Manager支持以下边界类型:

  • IP 子网
  • Active Directory 站点
  • IPv6 前缀
  • IP 地址范围
  • 从版本 2006) 开始的 VPN (

可以手动创建单个边界或使用 Active Directory 林发现。 此发现方法会自动查找并创建 IP 子网和 Active Directory 站点的边界。 当 Active Directory 林发现标识 Active Directory 站点的超级网络时,Configuration Manager将超级网络转换为 IP 地址范围边界。

如果设备不在预期的边界内,则可能是因为尚未将其网络位置定义为边界。 当设备的网络位置有疑问时,请在设备上使用以下 Windows 命令进行确认:

  • IP 地址: ipconfig
  • Active Directory 站点: nltest /dsgetsite
  • Vpn: ipconfig /all

边界类型

IP 子网

IP 子网边界类型需要 子网 ID。 例如,169.254.0.0。 如果提供网络 (默认网关) 和子网掩码值,Configuration Manager会自动计算子网 ID。 保存边界时,Configuration Manager仅保存子网 ID 值。

注意

Configuration Manager不支持将超级网络直接输入为边界。 请改用 IP 地址范围边界类型。

Active Directory 站点

对于 Active Directory 站点 边界类型,请指定站点名称。 可以键入名称或浏览站点服务器的本地林。

为边界指定 Active Directory 站点时,边界包括作为该 Active Directory 站点成员的每个 IP 子网。 如果 Active Directory 站点的配置在 Active Directory 中更改,则此边界中包含的网络位置也会更改。

Active Directory 站点边界不适用于纯Microsoft Entra设备,也称为已加入云域的设备。 如果它们在本地漫游,并且你只创建 Active Directory 站点类型边界,则这些设备不会处于边界内。

提示

使用以下 Windows 命令查看设备的当前 Active Directory 站点: nltest /dsgetsite

若要确定客户端是否已加入云域,请使用以下 Windows 命令: dsregcmd /status。 有关详细信息,请参阅 dsregcmd 命令 - 设备状态

IPv6 前缀

对于 IPv6 前缀 边界类型,指定 前缀。 例如,2001:1111:2222:3333

IP 地址范围

对于 IP 地址范围 边界类型,请指定范围的 起始 IP 地址结束 IP 地址 。 范围可以包括一部分 IP 子网或多个 IP 子网。 使用 IP 地址范围边界类型来支持超级网络。

还可以使用此类型为单个 IP 地址定义边界。 将起始 IP 地址和结束 IP 地址设置为相同的值。 对于唯一的设备或测试环境,此配置可能很有用。

VPN

从版本 2006 开始,为了简化远程客户端的管理,请为 VPN 创建边界类型。 当客户端发送位置请求时,它会包含有关其网络配置的其他信息。 根据此信息,服务器确定客户端是否在 VPN 上。 若要Configuration Manager关联边界中的客户端,请将设备连接到 VPN。

可以通过多种方式配置 VPN 边界:

  • 自动检测 VPN:Configuration Manager检测使用点到点隧道协议 (PPTP) 的任何 VPN 解决方案。 如果它未检测到 VPN,请使用其他选项之一。 控制台列表中的 Auto:On边界值为 。

  • 连接名称:指定设备上 VPN 连接的名称。 它是 Windows 中用于 VPN 连接的网络适配器的名称。 Configuration Manager与字符串的前 250 个字符匹配,但不支持通配符或部分字符串。 控制台列表中的 Name:<name>边界值为 ,其中 <name> 是指定的连接名称。

    例如,在设备上运行 ipconfig 命令,其中一部分以 开头: PPP adapter ContosoVPN:。 使用字符串 ContosoVPN 作为 “连接名称”。 它在列表中显示为 Name:CONTOSOVPN

  • 连接说明:指定 VPN 连接的说明。 Configuration Manager与字符串的前 243 个字符匹配,但不支持通配符或部分字符串。 控制台列表中的 Description:<description>边界值为 ,其中 <description> 是指定的连接说明。

    例如,在设备上运行 ipconfig /all 命令,其中一个连接包含以下行: Description . . . . . . . . . . . : ContosoMainVPN。 使用字符串 ContosoMainVPN 作为 连接说明。 它在列表中显示为 Description:CONTOSOMAINVPN

重要

若要充分利用此功能,请在更新站点后,将客户端更新到最新版本。 更新站点和主机时,Configuration Manager控制台中会显示新功能。 在客户端版本也是最新的之前,完整方案不起作用。

若要在 OS 部署期间使用此 VPN 边界,请确保同时更新启动映像以包含最新的客户端二进制文件。

从版本 2111 开始,现在可以匹配连接名称或说明的开头,而不是整个字符串。 某些第三方 VPN 驱动程序会动态创建连接,该连接以一致的字符串开头,但也具有唯一的连接标识符。 例如,Virtual network adapter #19。 使用 “连接名称”“连接说明 ”选项时,还要使用新的 “开头为” 选项。

创建边界

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“层次结构配置”,然后选择“边界”节点。

  2. 在功能区的“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 创建边界”。

  3. 在“创建边界”窗口的“常规”选项卡上,指定以下信息:

    • 说明:通过友好名称或引用标识边界。

      注意

      Configuration Manager根据其类型和范围自动命名边界。 无法修改名称。

    • 类型:选择要创建的边界类型。 然后指定类型所需的其他信息。 有关详细信息,请参阅 边界类型

  4. 切换到“ 边界组 ”选项卡。如果站点中已有边界组,则可以立即将此新边界添加到一个或多个组。

  5. 选择“ 确定” 以保存新边界。

配置边界

提示

创建边界时,Configuration Manager根据边界的类型和范围自动命名它。 无法修改此名称。 若要帮助标识Configuration Manager控制台中的边界,请指定说明。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“层次结构配置”,然后选择“边界”节点。

  2. 选择要修改的边界。 在功能区的“ 开始 ”选项卡上的 “属性” 组中,选择“ 属性”。

  3. 在边界的 “属性” 窗口中的“ 常规 ”选项卡上,可以配置以下设置:

    • 编辑 说明
    • 更改边界的类型
    • 通过编辑边界的网络位置来更改边界的范围。 例如,对于 Active Directory 站点边界,可以指定新的 Active Directory 站点名称。
  4. 若要查看与此边界关联的站点系统,请切换到“ 站点系统 ”选项卡。无法从边界的属性更改此配置。

    提示

    若要将服务器列为边界的站点系统,请将其关联为至少包含此边界的一个边界组的站点系统服务器。 在边界组的“ 引用 ”选项卡上进行此配置。 有关详细信息,请参阅 配置站点分配和选择站点系统服务器

  5. 若要修改此边界的边界组成员身份,请选择“ 边界组 ”选项卡:

    • 若要将此边界添加到一个或多个边界组,请选择“ 添加”。 选择一个或多个边界组,然后选择“ 确定”。

    • 若要从边界组中删除此边界,请选择边界组,然后选择 “删除”。

  6. 选择 “确定” 关闭边界属性并保存配置。

后续步骤

每个边界可供层次结构中的每个站点使用。 创建边界后,将边界添加到一个或多个 边界组