为 Configuration Manager 准备 Windows 环境

 

适用对象：System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

使用下列部分中的信息来帮助你配置 Windows 环境以支持 System Center 2012 Configuration Manager。

• 为 Configuration Manager 准备 Active Directory

  • 扩展 Active Directory 架构

  • 创建系统管理容器

  • 为系统管理容器设置安全权限

  • 为 Configuration Manager 站点启用 Active Directory 发布

• 为 Configuration Manager 站点系统角色配置基于 Windows 的服务器

  • 远程差分压缩

  • Internet Information Services (IIS)

  • IIS 的请求筛选

为 Configuration Manager 准备 Active Directory

在扩展 Active Directory 架构时，此操作是你必须为每个林执行一次的林范围配置。 扩展架构是不可逆的操作，而且必须由作为架构管理员组成员的用户或已被授予足够的架构修改权限的用户来完成。 如果决定扩展 Active Directory 架构，则可以在安装之前或之后扩展它。 有关可帮助你决定是否扩展 Active Directory 架构的信息，请参阅确定是否为 Configuration Manager 扩展 Active Directory 架构。

提示
如果已使用 Configuration Manager 2007 架构扩展对 Active Directory 架构进行了扩展，则你不必为 System Center 2012 Configuration Manager 扩展架构。 Active Directory 架构扩展与 Configuration Manager 2007 相比并无变化。

若要成功使 配置管理器 客户端能够查询 Active Directory 域服务以找到站点资源，必须执行四项操作：

• 扩展 Active Directory 架构。

• 创建系统管理容器。

• 为系统管理容器设置安全权限。

• 为 Configuration Manager 站点启用 Active Directory 发布

扩展 Active Directory 架构

配置管理器 支持使用两种方法来扩展 Active Directory 架构。 第一种方法是使用 extadsch.exe 实用工具。 第二种方法是使用 LDIFDE 实用工具，通过 ConfigMgr_ad_schema.ldf 文件来导入架构扩展信息。

注意
在扩展 Active Directory 架构之前，请测试架构扩展是否与当前 Active Directory 架构冲突。 有关如何测试 Active Directory 架构扩展的信息，请参阅 Active Directory 域服务文档中的 Testing for Active Directory Schema Extension Conflicts（测试以确定 Active Directory 架构扩展冲突）。

通过使用 ExtADSch.exe 来扩展 Active Directory 架构

你可以通过运行位于 配置管理器 安装媒体上 SMSSETUP\BIN\X64 文件夹中的 extadsch.exe 文件来扩展 Active Directory 架构。 extadsch.exe 文件在运行时不显示输出，但在你从命令控制台中以命令行形式运行该文件时，它将提供反馈。 extadsch.exe 运行时将在系统驱动器的根目录中生成一个名为“extadsch.log”的日志文件，该文件指示架构更新是否成功完成或在扩展架构时遇到的任何问题。

提示
除了生成日志文件外，当“extadsch.exe”程序从命令行中运行时，它还会在控制台窗口中显示结果。

使用 extadsch.exe 时有下列限制：

• 在基于 Windows 2000 的计算机上运行时，“Extadsch.exe”不受支持。 要从基于 Windows 2000 的计算机中扩展 Active Directory 架构，请使用“ConfigMgr_ad_schema.ldf”。

• 在 Windows Vista 计算机上运行“extadsch.exe”时，为了能够创建“extadsch.log”，你必须使用具有本地管理员权限的帐户登录到该计算机。

通过使用 Extadsch.exe 来扩展 Active Directory 架构

1. 创建架构主机域控制器的系统状态的备份。

2. 确保你使用作为“架构管理员”安全组成员的帐户登录到架构主机域控制器。

   重要事项
   为了成功扩展架构，你必须以“架构管理员”安全组成员的身份登录。 通过使用“运行方式”命令运行“extadsch.exe”文件以尝试使用备用凭据扩展架构的操作将失败。

3. 运行位于安装媒体上 \SMSSETUP\BIN\X64 处的“extadsch.exe”，将新类和属性添加到 Active Directory 架构。

4. 通过查看位于系统驱动器根目录中的“extadsch.log”，验证架构扩展是否成功。

5. 如果架构扩展过程未成功，请通过步骤 1 中创建的备份还原架构主机以前的系统状态。

   注意
   要还原 Windows 域控制器上的系统状态，必须在目录服务还原模式下重启系统。 有关目录服务还原模式的详细信息，请参阅 Restart the Domain Controller in Directory Services Restore Mode Locally（以本地方式在目录服务还原模式下重启域控制器）。

通过使用 LDIF 文件来扩展 Active Directory 架构

你可以使用 LDIFDE 命令行实用工具，通过 LDAP 数据交换格式 (LDIF) 文件将目录对象导入 Active Directory 域服务。

为使在对 Active Directory 架构所做的更改方面比 extadsch.exe 实用程序更加清晰明了，你可以使用 LDIFDE 实用程序导入架构扩展信息，方法是使用位于 配置管理器 安装媒体上 SMSSETUP\BIN\X64 文件夹中的 ConfigMgr_ad_schema.ldf 文件。

注意
ConfigMgr_ad_schema.ldf 文件与 Configuration Manager 2007 附带的版本相比并无变化。

通过使用 ConfigMgr_ad_schema.ldf 文件来扩展 Active Directory 架构

1. 创建架构主机域控制器的系统状态的备份。

2. 打开位于 配置管理器 安装媒体的 SMSSETUP\BIN\X64 目录中的 ConfigMgr_ad_schema.ldf 文件，然后编辑该文件以定义要扩展的 Active Directory 根域。 必须将该文件中文本“DC=x”的所有实例替换为要扩展的域的完整名称。

   例如，要扩展的域的完整名称为 widgets.microsoft.com，则将文件中“DC=x”的所有实例更改为“DC=widgets, DC=microsoft, DC=com”。

3. 使用 LDIFDE 命令行实用工具将“ConfigMgr_ad_schema.ldf”文件的内容导入 Active Directory 域服务。

   例如，下列命令行会将架构扩展导入 Active Directory 域服务，启用详细日志记录，并在导入过程中创建一个日志文件：ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <location to store log file>

4. 为了验证架构扩展是否成功，你可以查看步骤 3 中使用的命令行所创建的日志文件。

5. 如果架构扩展过程未成功，请通过步骤 1 中创建的备份还原架构主机以前的系统状态。

   注意
   要还原 Windows 域控制器上的系统状态，必须在目录服务还原模式下重启系统。 有关目录服务还原模式的详细信息，请参阅 Restart the Domain Controller in Directory Services Restore Mode Locally（以本地方式在目录服务还原模式下重启域控制器）。

创建系统管理容器

扩展架构时，配置管理器 不会在 Active Directory 域服务中自动创建 System Management 容器。 对于包括将站点信息发布到 Active Directory 域服务的 配置管理器 主站点服务器或辅助站点服务器的每个域，必须为其创建一次容器

提示
可以授予站点服务器计算机帐户对 Active Directory 域服务中“系统”容器的“完全控制”权限，这样，在第一次将站点信息发布到 Active Directory 域服务时，站点服务器可以自动创建 System Management 容器。 但是，手动创建 System Management 容器会更安全。

使用“ADSI 编辑”在 Active Directory 域服务中创建 System Management 容器。 有关如何安装和使用 ADSI 编辑器的详细信息，请参阅 Active Directory 域服务文档中的 ADSI Edit (adsiedit.msc)（ADSI 编辑器 (adsiedit.msc)）。

手动创建系统管理容器

1. 以对 Active Directory 域服务中“系统”容器具有“创建所有子对象”权限的帐户身份登录。

2. 运行“ADSI 编辑器”，并连接到站点服务器所在的域。

3. 展开“域”<计算机完全限定的域名>，展开 <可分辨名称>，右键单击“CN=System”，再单击“新建”，然后单击“对象”。

4. 在“创建对象”对话框中，选择“容器”，然后单击“下一步”。

5. 在“值”框中，键入“系统管理”，然后单击“下一步”。

6. 单击“完成”以完成该过程。

为系统管理容器设置安全权限

在 Active Directory 域服务中创建了 System Management 容器后，你必须为站点服务器的计算机帐户授予将站点信息发布到容器所需的权限。

重要事项
必须为主站点服务器计算机帐户授予对 System Management 容器及其所有子对象的“完全控制”权限。 如果有辅助站点，则还必须为辅助站点服务器计算机帐户授予 System Management 容器及其所有子对象的“完全控制”权限。

你可以通过使用“Active Directory 用户和计算机”管理工具或 Active Directory 服务界面编辑器（ADSI 编辑器）来授予必要的权限。 有关如何安装和使用 ADSI 编辑器的详细信息，请参阅 ADSI Edit (adsiedit.msc)（ADSI 编辑器 (adsiedit.msc)）。

注意
提供了下列过程作为如何配置 Windows Server 2008 R2 计算机的示例。 如果你在使用其他操作系统版本（例如 Windows Server 2012 R2），请参阅该操作系统文档来了解有关如何进行类似配置的信息。

通过使用“Active Directory 用户和计算机”管理工具将权限应用于系统管理容器

1. 单击“开始”，单击“运行”，然后输入“dsa.msc”以打开“Active Directory 用户和计算机”管理工具。

2. 单击“查看”，然后单击“高级功能”。

3. 展开“系统”容器，右键单击“系统管理”，然后单击“属性”。

4. 在“System Management 属性”对话框中，单击“安全”选项卡，然后单击“添加”以添加站点服务器计算机帐户。 为该帐户授予“完全控制”权限。

5. 单击“高级”，选择站点服务器的计算机帐户，然后单击“编辑”。

6. 在“应用到”列表中，选择“这个对象及全部后代”。

7. 单击“确定”然后关闭“Active Directory 用户和计算机”管理工具以完成该过程。

通过使用 ADSI 编辑器控制台将权限应用系统管理容器

1. 单击“开始”，单击“运行”，然后输入“adsiedit.msc”以打开 ADSIEdit 控制台。

2. 如有必要，请连接到站点服务器的域。

3. 在控制台窗格中，依次展开站点服务器的域、“DC=<服务器可分辨名称>”，然后展开“CN=System”。 右键单击“CN=System Management”，然后单击“属性”。

4. 在“CN=System Management 属性”对话框中，单击“安全”选项卡，然后单击“添加”以添加站点服务器计算机帐户。 为该帐户授予“完全控制”权限。

5. 单击“高级”，选择站点服务器的计算机帐户，然后单击“编辑”。

6. 在“应用到”列表中，选择“这个对象及全部后代”。

7. 单击“确定”关闭 ADSIEdit 控制台并完成该过程。

为 Configuration Manager 站点启用 Active Directory 发布

除了扩展 Active Directory 架构、创建 System Management 容器以及为该容器设置权限之外，还必须启用 配置管理器 以将站点数据发布到 Active Directory 域服务。 有关如何发布站点数据的信息，请参阅规划将站点数据发布到 Active Directory 域服务。

为 Configuration Manager 站点系统角色配置基于 Windows 的服务器

你必须确保已将计算机配置为支持 System Center 2012 Configuration Manager 操作，然后才能将 Windows 服务器与 配置管理器 一起使用。 使用下列部分中的信息来为 配置管理器 配置 Windows 服务器。 有关站点系统角色先决条件的详细信息，请参阅 站点系统角色的先决条件主题中的受支持的配置的配置管理器部分。

注意
提供了下列部分中的过程作为如何配置 Windows Server 2008 或 Windows Server 2008 R2 计算机的示例。 如果你在使用其他操作系统版本（例如 Windows Server 2012 R2），请参阅该操作系统文档来了解有关如何进行类似配置的信息。

远程差分压缩

站点服务器和分发点需要远程差分压缩 (RDC)，才能生成包签名和执行签名比较。 如果未启用 RDC，你必须在这些站点系统服务器上将其启用。

使用下列过程作为如何在 Windows Server 2008 和 Windows Server 2008 R2 计算机上启用远程差分压缩的示例。 如果你的操作系统版本不同，请参阅操作系统文档，以了解等效的过程。

为 Windows Server 2008 或 Windows Server 2008 R2 配置远程差分压缩

1. 在 Windows Server 2008 或 Windows Server 2008 R2 计算机上，依次导航到“开始”->“所有程序”->“管理工具”->“服务器管理器”，以启动“服务器管理器”。 在服务器管理器中，选择“功能”节点，单击“添加功能”以启动“添加功能向导”。

2. 在“选择功能”页面上，选择“远程差分压缩”，然后单击“下一步”。

3. 完成向导并关闭服务器管理器以完成配置。

Internet Information Services (IIS)

若干站点系统角色需要 Internet Information Services (IIS)。 如果尚未启用 IIS，你必须在安装需要 IIS 的站点系统角色之前在站点系统服务器上将其启用。 除了站点系统服务器之外，下列站点系统角色也需要 IIS：

• 应用程序目录 Web 服务点

• 应用程序目录网站点

• 分发点

• 注册点

• 注册代理点

• 回退状态点

• 管理点

• 软件更新点

配置管理器 需要的最低 IIS 版本为随运行站点系统的服务器的操作系统一起提供的默认版本。

例如，当你在计划用作分发点的 Windows Server 2008 计算机上启用 IIS 时，将安装 IIS 7.0。 你也可以安装 IIS 7.5。 如果在分发点的 Windows 7 计算机上启用 IIS，则会自动安装 IIS 7.5。 你无法为运行 Windows 7 的分发点使用 IIS 版本 7.0。

使用下列过程作为如何在 Windows Server 2008 或 Windows Server 2008 R2 计算机上安装 IIS 的示例。 如果你的操作系统版本不同，请参阅操作系统文档，以了解等效的过程。

在 Windows Server 2008 和 Windows Server 2008 R2 计算机上安装 Internet Information Services (IIS)

1. 在 Windows Server 2008 或 Windows Server 2008 R2 计算机上，依次导航到“开始”->“所有程序”->“管理工具”->“服务器管理器”，以启动“服务器管理器”。 在服务器管理器中，选择“功能”节点，单击“添加功能”以启动“添加功能向导”。

2. 在“添加功能向导”的“选择功能”页上，安装必需的任何其他功能，以支持你在此计算机上安装的站点系统角色。 例如，若要添加“BITS 服务器扩展”，请执行以下操作：

   - 对于 Windows Server 2008，请选中“BITS 服务器扩展”复选框。 对于 Windows Server 2008 R2，请选中“后台智能传输服务(BITS)”复选框。 出现提示时，单击“添加必需的角色服务”以添加从属组件（包括 Web 服务器 (IIS) 角色），再单击“下一步”。
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Gg712284.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />提示</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>如果配置的是将成为站点服务器或分发点的计算机，则确保选中“远程差分压缩”复选框。</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   

3. 在添加功能向导的“Web 服务器 (IIS)”页面上，单击“下一步”。

4. 在“添加功能向导”的“选择角色服务”页上，安装必需的任何其他角色服务，以支持你在此计算机上安装的站点系统角色。 例如，若要添加“ASP.NET”和“Windows 身份验证”，请执行以下操作：

   - 对于“应用程序开发”，请选中“ASP.NET”复选框，并在出现提示时单击“添加必需的角色服务”以添加从属组件。
   
   - 对于“安全”，请选中“Windows 身份验证”复选框。
   

5. 在“管理工具”节点中，对于“IIS 6 管理兼容性”，请确保选中“IIS 6 元数据库兼容性”和“IIS 6 WMI 兼容性”复选框，然后单击“下一步”。

6. 在“确认”页上，单击“安装”，完成向导，然后关闭服务器管理器以完成配置。

IIS 的请求筛选

默认情况下，IIS 阻止 HTTP 或 HTTPS 通信访问多个文件扩展名和文件夹位置。 如果包源文件包含 IIS 阻止的扩展名，则必须在分发点计算机上的 applicationHost.config 文件中配置 requestFiltering 部分。

配置管理器 将下列文件扩展名用于包和应用程序。 在分发点上允许下列文件扩展名：

• .PCK

• .PKG

• .STA

• .TAR

例如，软件部署的源文件可能包含名为 bin 的文件夹，或者包含具有 .mdb 文件扩展名的文件。 默认情况下，IIS 请求筛选会阻止对这些元素的访问。 在分发点上使用默认的 IIS 配置时，使用 BITS 的客户端不能从分发点下载此软件部署。 在这种情况下，客户端表示它们正在等待内容。 若要允许客户端使用 BITS 下载此内容，请在每个合适的分发点上编辑 applicationHost.config 文件的 requestFiltering 部分，以允许访问软件部署中的文件和文件夹。

重要事项
对 requestFiltering 部分所做的修改将应用到该服务器上的所有网站。 此配置会增大计算机的受攻击面。 最佳安全方案是在专用 Web 服务器上运行 配置管理器。 如果必须在 Web 服务器上运行其他应用程序，请让 配置管理器 使用自定义网站。 有关自定义网站的信息，请参阅利用 Configuration Manager 规划自定义网站中的在 Configuration Manager 中规划站点系统部分。

使用下列过程作为如何在 Windows Server 2008 或 Windows Server 2008 R2 计算机上修改 requestFiltering 的示例。 如果你的操作系统版本不同，请参阅操作系统文档，以了解等效的过程。

在分发点上配置 IIS 的请求筛选

1. 在分发点计算机上，打开 %Windir%\System32\Inetsrv\Config\ 目录中的 applicationHost.config 文件。

2. 搜索 <requestFiltering> 部分。

3. 确定要在此分发点上的包中具有的文件扩展名和文件夹名称。 对于所需的每个扩展名和文件夹名称，执行下列步骤：

   - 如果它列出为 **fileExtension** 元素，则将 **allowed** 的值设置为 **true**。
   
     例如，如果内容包含扩展名为 .mdb 的文件，请将行 **\<add fileExtension=".mdb" allowed="false" /\>** 更改为 **\<add fileExtension=".mdb" allowed="true" /\>**。
   
     只允许内容所需要的文件扩展名。
   
   - 如果它列出为 **\<hiddenSegments\>** 元素，则从文件中删除与文件扩展名或文件夹名称匹配的条目。
   
     例如，如果内容包含具有 **bin** 标签的文件夹，则从文件中删除行 \<**add segment=”bin” /\>**。
   

4. 保存并关闭 applicationHost.config 文件，以完成配置。

请参阅

在 Configuration Manager 中配置站点和层次结构