决定是否应扩展 Active Directory 架构

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

为 Configuration Manager 2007 扩展 Active Directory 架构允许客户端从受信任的来源检索多种与 Configuration Manager 相关的信息。在某些情况下,如果没有扩展 Active Directory 架构,也有解决方法来检索必要的信息,但是其安全性都低于查询 Active Directory 域服务。

此外,如果没有扩展架构,可能会给需要为组织中的计算机和用户创建和维护解决方案(例如登录脚本和组策略对象 (GPO))的其他管理员带来大量工作负荷。

在运行 Configuration Manager 2007 安装程序之前或之后均可扩展 Active Directory 架构。但是,作为一种最佳做法,请在运行 Configuration Manager 2007 安装程序之前扩展架构。您必须为包含站点服务器的林只扩展一次 Active Directory 架构;如果在域控制器上或者在提升域或林功能级别之后升级操作系统,则不必再次扩展架构。如果新版本的 Configuration Manager 提供了要求再次扩展架构的新架构扩展,则将在 Configuration Manager 支持的配置中介绍此要求。

备注

为 Configuration Manager 扩展架构不会自动将站点信息发布到 Active Directory 域服务。扩展了架构之后,则必须先在 Active Directory 域服务中配置安全性,然后站点才能发布到 Active Directory 域服务。

为 Configuration Manager 站点使用 SMS 2003 Active Directory 架构扩展

支持使用 SMS 2003 Active Directory 架构扩展部署 Configuration Manager 2007 站点。在决定是否为 Configuration Manager 2007 扩展 Active Directory 架构时需要考虑一些重要的注意事项。即使 Configuration Manager 2007 站点要将站点数据发布到 Active Directory 域服务,但是在仅为 SMS 2003 扩展了 Active Directory 架构的某些情况下,存储发布的数据所需的 Active Directory 架构属性将不存在。

如果已经为 SMS 2003 扩展了 Active Directory 架构,但没有为 Configuration Manager 扩展,则适用下列限制:

  • 必须使用 Configuration Manager 2007 服务器定位器点来允许客户端验证分配的站点兼容性,从而完成客户端分配。如果已经为 SMS 2003 扩展了架构,客户端可以通过 Active Directory 域服务自动找到服务器定位器点。

  • 由于 Configuration Manager 的网络访问保护需要 Configuration Manager 2007 Active Directory 架构扩展,使用 SMS 2003 Active Directory 架构扩展的站点不支持此功能。

  • 站点模式更改要求在客户端上执行手动解决办法。

  • 客户端通信端口更改需要手动解决办法。

  • 管理点 dNSHostName 属性不再发布到 Active Directory 域服务。

为 Configuration Manager 扩展 Active Directory 架构的特性和功能注意事项

下表列出了使用 Active Directory 架构扩展的特定 Configuration Manager 2007 特性或功能以及在没有为 Configuration Manager 2007 扩展架构时的任何相关解决办法。

特性或功能 架构扩展要求 要求详细信息

客户端安装和站点分配

推荐

要求:如果没有为 Configuration Manager 扩展 Active Directory 架构,使用 Ccmsetup.exe 的客户端安装将无法从 Active Directory 域服务自动检索客户端部署参数。

解决方法:使用 CCMSetup 安装命令行选项来提供客户端安装属性。有关详细信息,请参阅关于 Configuration Manager 客户端安装属性

解决方法:使用 SMS 2003 架构扩展发布到 Active Directory 域服务的 Configuration Manager 2007 服务器定位器点可以由 Configuration Manager 2007 客户端自动定位,前提是它们属于相同的 Active Directory 林。

解决方法:在客户端安装过程中,在 CCMSetup 命令行上使用 client.msi 属性 SMSSLP=<服务器定位器点名称> 来提供服务器定位器点信息。有关详细信息,请参阅关于 Configuration Manager 客户端安装属性

解决方法:在 DNS 中发布管理点,在 WINS 中发布服务器定位器点。有关详细信息,请参阅Configuration Manager 和服务定位(站点信息和管理点)

站点模式设置以及相关设置(如客户端证书选择和 CRL 检查)

推荐

要求:如果没有为 Configuration Manager 扩展 Active Directory 架构,则与纯模式配置相关的站点模式信息和客户端设置无法发布到 Active Directory 域服务。

解决方法:使用 CCMSetup.exe 客户端安装命令行属性或客户端请求安装。

客户端到服务器通信的端口配置。

推荐

要求:如果没有为 Configuration Manager 扩展 Active Directory 架构,并且在客户端安装之后更改了默认通信端口,则客户端将无法与站点系统通信。

解决方法:重新安装所有受影响的客户端,或部署脚本以手动更改客户端用来与站点内的站点系统通信的端口。

全局漫游

必需

要求:如果没有为 Configuration Manager 或 SMS 2003 扩展 Active Directory 架构,漫游客户端将无法从常驻管理点请求播发和软件更新的内容。此方案会产生附加的网络流量以从客户端的默认管理点请求内容位置,客户端将无法从层次结构中的同级站点或层次结构中高于客户端的已分配站点的站点查找内容。有关漫游时的客户端行为的详细信息,请参阅关于 Configuration Manager 中的客户端漫游

解决方法:无。

Configuration Manager 的网络访问保护 (NAP)

必需

要求:如果没有为 Configuration Manager 扩展 Active Directory 架构,则启用了网络访问保护的站点无法将 Configuration Manager 健康状况引用发布到 Active Directory 域服务。如果健康状况引用没有发布到 Active Directory 域服务器,则系统健康验证程序点将无法验证客户端的健康声明。

解决方法:无。

站点之间的安全密钥交换1

推荐

要求:如果没有为 Configuration Manager 扩展 Active Directory 架构,则配置为需要安全密钥交换的站点将无法自动交换公钥以启用站点到站点通信。

备注

默认情况下在 Configuration Manager 站点之间启用安全密钥交换。1

解决方法:使用层次结构维护工具 (Preinst.exe) 连接子站点之前,手动交换父站点和子站点的公钥。有关详细信息,请参阅如何在站点之间手动交换公钥

验证受信任管理点

推荐

要求:如果没有为 Configuration Manager 扩展 Active Directory 架构,客户端必须使用受信任的根密钥与站点建立信任。除非已经预先为客户端设置了受信任的根密钥,否则它们将信任与其通信的第一个管理点。

解决方法:为客户端预先设置受信任的根密钥。有关详细信息,请参阅如何在 Configuration Manager 中管理受信任的根密钥

解决方法:使用纯模式。在纯模式下,管理点证书仍然必须由中央站点的受信任根密钥签署,但是管理点会使用 PKI 颁发的证书。只要未泄露 PKI ,客户端就可以信任所联系的第一个拥有有效服务器身份验证证书的管理点。有关纯模式的 PKI 证书要求的详细信息,请参阅纯模式的证书要求

从宿主管理点角色的中央站点服务器的故障中恢复

推荐

要求:如果没有为 Configuration Manager 扩展 Active Directory 架构,并且客户端向同时充当站点管理点的中央站点服务器报告,则客户端将无法自动与新中央站点服务器之后的站点建立信任,并且会还原管理点。

解决方法:从站点的每个客户端中删除受信任的根密钥,然后重新设置。有关详细信息,请参阅如何在 Configuration Manager 中管理受信任的根密钥

解决方法:将管理点角色移到不同的服务器。只要中央站点中的客户端仅丢失管理点或仅丢失中央站点服务器,它们就可以重新建立信任关系。有关详细信息,请参阅关于受信任的根密钥

1 默认情况下,Configuration Manager 主站点将不接受子站点连接,除非子站点的公钥已为父站点所知,或已发布在 Active Directory 域服务中。但是,在升级方案中,Configuration Manager 安装程序将不更改站点的原始安全密钥交换设置。允许子站点连接而不要求架构扩展的另一方法是不要求站点之间进行安全的密钥交换,但是不建议这么做,因为这样将允许任何恶意子站点连接到该站点,并开始向上传递不受信任的数据。

另请参阅

任务

如何在站点之间手动交换公钥

概念

关于发布到 Active Directory 域服务的 Configuration Manager 客户端安装属性
Configuration Manager 和服务定位(站点信息和管理点)

其他资源

如何为 Configuration Manager 扩展 Active Directory 架构