Konfigurace součástí lokalit v nástroji Configuration Manager

Článek
10/26/2015

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Součásti lokality konfigurujete za účelem ovládání chování rolí systému lokality v lokalitě a ovládání chování při zasílání zpráv o stavu lokality. Konfigurace pro role systému lokality se použijí na každou instanci role systému lokality v konkrétní lokalitě. Tyto konfigurace je nutné provést pro každou lokalitu zvlášť a nepoužijí se na více lokalit.

Konfigurace součástí lokalit pro nástroj Configuration Manager

Pomocí níže uvedeného postupu vyberte součást lokality, kterou budete konfigurovat v konkrétní lokalitě.

Úprava součástí lokality v lokalitě

V konzole aplikace Configuration Manager klikněte na položku Správa.
V pracovním prostoru Správa rozbalte nabídku Konfigurace lokality a klikněte na položku Lokality.
Vyberte lokalitu, která obsahuje součásti lokality, které budete konfigurovat.
Na kartě Domů ve skupině Nastavení klikněte na možnost Konfigurovat součásti lokality a poté vyberte součást lokality, kterou chcete nakonfigurovat.

Možnosti konfigurace pro součásti lokality

Mnohé z možností konfigurace pro součásti lokality jsou zřejmé nebo jsou u nich v dialogových oknech uvedeny další informace. Následující části obsahují podrobnosti o nastaveních, která mohou před konfigurací vyžadovat určité informace.

Vlastnosti součásti bohu validátoru stavu systému

Tyto možnosti konfigurace konfigurujte, pouze pokud nainstalujete body validátoru stavu systému v lokalitě za účelem používání architektury NAP pro aktualizace softwaru.

Interval dotazu (minuty)

Údaj v minutách uvádějící, jak často body validace stavu systému načítají a ukládají do mezipaměti odkazy na stav systému Configuration Manager ze služeb Active Directory Domain Services. Tyto informace se načítají pomocí volání LDAP (Lightweight Directory Access Protocol) na server globálního katalogu.

Čím je hodnota nižší, tím rychleji validátor stavu systému zjistí změny zásad NAP nástroje Configuration Manager. Existuje ale vyšší pravděpodobnost, že budou klienti označeni za nekompatibilní, i když mají všechny požadované aktualizace softwaru uvedené v zásadách NAP nástroje Configuration Manager. Pokud jsou v tomto scénáři zásady na serveru Network Policy Server nakonfigurovány, aby poskytly nekompatibilním klientům omezený přístup k síti, v tomto scénáři nebudou mít klienti úplný přístup k síti, dokud si nestáhnou zásady NAP nástroje Configuration Manager, opětovně nevyhodnotí svou kompatibilitu a neodešlou nové prohlášení o stavu bodu validátoru stavu systému. Tento proces může trvat několik minut.

Čím je hodnota vyšší, tím menší je pravděpodobnost, že budou klienti shledání nekompatibilními, když mají všechny požadované aktualizace softwaru uvedené v zásadách NAP nástroje Configuration Manager. V tomto scénáři nebudou klienti riskovat omezený přístup k síti, aby si stáhli zásady NAP nástroje Configuration Manager a opětovně vyhodnotili kompatibilitu. Vyšší hodnota ale může znamenat, že jsou klienti považováni za kompatibilní, i když nevyhodnotili kompatibilitu s nejnovějšími zásadami NAP nástroje Configuration Manager.

Nastavením, které sníží pravděpodobnost, že klienti, kteří mají vybrané aktualizace softwaru, budou mít pouze omezený přístup k síti, ale zajistí, aby byly výsledky kompatibility založeny na nejnovějších zásadách NAP nástroje Configuration Manager, je konfigurace této možnosti na dvojnásobek hodnoty stanovené pro nastavení klienta Interval dotazování zásad klienta (ve výchozím nastavení je interval dotazování zásad klienta jednou za hodinu).

Toto nastavení může být v rozmezí 1 až 10080 minut, přičemž výchozí hodnota je 120 minut.

Doba platnosti (hodiny)

Udává délku doby v hodinách, po kterou prohlášení klienta o stavu uložené v mezipaměti bude přijímáno body validátoru stavu systému jako kompatibilní.

Pokud je prohlášení klienta o stavu starší než doba platnosti, bod validátoru stavu systému vrátí serveru Network Policy Server stav jako nedodržující předpisy. Pokud v tomto scénáři zásady na serveru Network Policy Server vynucují kompatibilitu, klient je donucen znovu vyhodnotit svůj stav kompatibility a předložit nové prohlášení o stavu. Delší doba platnosti má proto za následek rychlejší zpracování (a dobu připojování), ale informace o kompatibilitě nemusejí být aktuální.

Toto nastavení může být v rozmezí 1 až 168 hodin, přičemž výchozí hodnota je 26 hodin.

Pokud změníte výchozí dobu platnosti, ujistěte se, že konfigurujete hodnotu, která je vyšší než nakonfigurované nastavení plánu opakovaného vyhodnocení NAP klienta. Pokud k vyhodnocení dodržování předpisů v klientovi dochází méně často než u období platnosti, budou klienti shledáni bodem validátoru stavu systému jako nekompatibilní.

V tomto scénáři přikáže náprava klientům opakované vyhodnocení dodržování předpisů a vytvoření aktuálního prohlášení o stavu. Tento proces může trvat několik minut, takže pokud jsou zásady na serveru Network Policy Server nakonfigurovány tak, aby omezovaly přístup k síti nekompatibilním počítačům, počítače nebudou mít v průběhu této doby opakovaného vyhodnocování přístup k síťovým prostředkům v plné síti.

Datum vytvoření musí být po (UTC)

Udává, zda chcete vyžadovat, aby bylo prohlášení klienta o stavu vytvořeno po zadaném datu a čase (v čase UTC). Po výběru této možnosti zadejte datum a čas. Datum a čas nelze nastavit na budoucí hodnotu, musí to být aktuální datum a čas nebo datum a čas v minulosti.

Nastavení této možnosti je vhodné, když jste právě nakonfigurovali nové zásady NAP (Network Access Protection) nástroje Configuration Manager a je nutné, aby byla vybraná aktualizace softwaru uvedená v těchto zásadách zahrnuta ve vyhodnocení bez ohledu na dobu platnosti.

Tato možnost není ve výchozím nastavení povolena.

Nastavení doménové struktury služby Active Directory

Udává, že server lokality a body validátoru stavu systému pro tuto lokalitu nejsou ve stejné doménové struktuře služby Active Directory. Při konfiguraci součásti bodu validátoru stavu systému pro toto prostředí musíte uvést, ve které doménové struktuře se body validátoru stavu systému nalézají, určit, zda mezi nimi existují vztahy důvěry, a rozhodnout, která doménová struktura bude publikovat odkazy na stav systému nástroje Configuration Manager.

Doménová struktura služby Active Directory, která publikuje odkazy na stav systému, musí být rozšířena rozšířeními schématu nástroje Configuration Manager, servery lokality musí publikovat do služby Active Directory a v kontejneru System Management ve službě Active Directory musí být správně nastavena oprávnění. Tyto závislosti služby Active Directory mohou ovlivnit vaše rozhodnutí, která doménová struktura se použije k publikování odkazů na stav systému Configuration Manager.

Následující scénáře uvádí čtyři základní konfigurace, kdy architektura NAP v Configuration Manager zasahuje do více doménových struktur služby Active Directory. Tyto scénáře vám pomohou v rozhodování, která doménová struktura bude publikovat odkazy na stav systému.

Servery lokality se nachází v jedné oblasti aktivního adresáře a všechna místa validátorů dobrého stavu systému se nachází v další oblasti aktivního adresáře. Odkazy na stav systému Configuration Manager se publikují do doménové struktury, která obsahuje servery lokality. Tuto možnost vyberte, pokud chcete rozšířit služby Active Directory Domain Services pro Configuration Manager a pokud se body validátoru stavu systému nacházejí v hraniční síti.
Servery lokality se nachází v jedné oblasti aktivního adresáře a všechna místa validátorů dobrého stavu systému se nachází v další oblasti aktivního adresáře. Odkazy na stav systému Configuration Manager se publikují do doménové struktury, která obsahuje body validátoru stavu systému. Tuto možnost vyberte, pokud nemůžete rozšířit služby Active Directory Domain Services pro Configuration Manager, ale můžete rozšířit schéma druhé doménové struktury.
Servery lokality se nachází v jedné oblasti aktivního adresáře a všechna místa validátorů dobrého stavu systému se nachází v další oblasti aktivního adresáře. Odkazy na stav systému Configuration Manager se publikují do třetí doménové struktury služby Active Directory, která má vztah důvěry s dalšími dvěma doménovými strukturami (buď důvěru k doménové struktuře, nebo důvěru k externí doméně). Tuto možnost vyberte, pokud nemůžete rozšířit služby Active Directory Domain Services pro žádnou z doménových struktur, ale můžete rozšířit schéma nové nebo stávající doménové struktury.
Servery lokality se nachází v jedné oblasti aktivního adresáře a všechna místa validátorů dobrého stavu systému se nachází v další oblasti aktivního adresáře. Odkazy na stav systému Configuration Manager se publikují do třetí doménové struktury služby Active Directory, která nemá žádný vztah důvěry s dalšími dvěma doménovými strukturami (ani důvěru k doménové struktuře, ani důvěru k externí doméně). Tuto možnost vyberte, pokud nemůžete rozšířit službu Active Directory Domain Services pro žádnou z doménových struktur, ale můžete rozšířit schéma nové nebo stávající doménové struktury, která nemůže mít žádný vztah důvěry se dvěma dalšími doménovými strukturami.

Účet pro publikování odkazu na stav

Uvádí uživatelský účet v Microsoft Windows v určené doménové struktuře, pokud platí jedna z následujících podmínek:

Určená doménová struktura není stejná doménová struktura jako server lokality.
Mezi doménou serveru lokality a příponou domény není žádný vztah důvěry.
Mezi doménou serveru lokality a příponou domény existuje vtah důvěry, ale nebylo uděleno oprávnění k úplnému řízení kontejneru System Management ve službě Active Directory.

Účet pro dotazování odkazu na stav

Určuje uživatelský účet ve Windows v určené doménové struktuře, pokud platí jedna z následujících podmínek:

Uvedená doménová struktura není stejná struktura jako body validátoru stavu systému.
Mezi body validátoru stavu systému a příponou domény není žádný vztah důvěry.

Vlastnosti součásti distribuce softwaru

Účet přístupu k síti

Zadejte uživatelský účet Windows pro přístup k síti, když klientské počítače z pracovních skupin nebo nedůvěryhodných domén požadují přístup k síťovým prostředkům.

Důležité
Účet přístupu k síti se nikdy nepoužívá jako bezpečnostní kontext ke spouštění aplikací a programů, instalaci aktualizací softwaru ani spouštění pořadí úloh. Používá se pouze k přístupu k prostředkům v síti.

I když klientské počítače Configuration Manager používají k většině operací klienta Configuration Manager na počítači účet místního systému, tento účet nemá přístup k síťovým prostředkům. Místní systém nemůže například ověřit počítač pro distribuční body, aby se mohl počítač připojit a stáhnout si software. V těchto scénářích používají klienti z důvěryhodných domén pro přístup k síťovým prostředkům účet <název_počítače>$. Počítače, které pro ověření počítače použít <název_počítače>$ nemůžou, můžou použít uživatelský účet Windows určený pro účet přístupu k síti.

Když nasazujete operační systém, je možné, že budete muset určit uživatelský účet Windows pro účet přístupu k síti. Důvodem je to, že počítač, který přijímá operační systém, nemá bezpečnostní kontext, díky němuž by mohl mít přístup k obsahu v síti.

Poznámka

Když zadáváte uživatelský účet Windows, nakonfigurujte jej tak, aby měl minimální vhodná oprávnění k obsahu, k němuž musí mít přístup, aby si mohl stáhnout software. Účet musí mít uživatelské právo Přístup k tomuto počítači ze sítě na distribučním bodu nebo jiném serveru, kde je uložen obsah balíčku.

Neudělujte tomuto účtu uživatelské právo interaktivního přihlašování ani uživatelské právo k připojování počítačů k doméně. Pokud musíte během sekvence úlohy připojit počítače k doméně, použijte účet připojení domény editoru sekvence úlohy.

Pro System Center 2012 R2 Configuration Manager a novější: Nyní můžete určit více účtů přístupu k síti pro danou lokalitu. Když se klienti pokusí o přístup k obsahu a nemůžou použít svůj účet místního počítače, nejprve použijí poslední účet přístupu k síti, který se úspěšně připojil.Configuration Manager podporuje přidání až deseti účtů přístupu k síti.

Vlastnosti komponenty bodu aktualizace softwaru

Více informací o možnostech konfigurace komponenty bodu aktualizace softwaru naleznete v tématu Konfigurace aktualizací softwaru v nástroji Configuration Manager.

Vlastnosti komponent vzdáleného bodu správy

Body správy

Určuje body správy v lokalitě Configuration Manager, kam se mají publikovat služby Active Directory Domain Services.

Klienti Configuration Manager používají body správy pro umístění služby: k nalezení informací o lokalitě, jako je členství ve skupině hranic a možnosti výběru certifikátu PKI, a k nalezení dalších bodů správy v lokalitě a distribučních bodů, z nichž lze stáhnout software. Klienti dále používají body správy k dokončení přiřazení lokality a stažení zásad klienta a nahrání informací o klientovi.

Jelikož nejbezpečnější metodou, jak mohou klienti nalézt body správy, je publikovat je do služeb Active Directory Domain Services, obvykle vždy vyberete možnost, že mají všechny fungující body publikovat do služeb Active Directory Domain Services. Tato metoda umístění služby ale vyžaduje, aby bylo schéma rozšířeno pro Configuration Manager, aby existoval kontejner System Management s příslušnými oprávněními zabezpečení pro server lokality k publikování do tohoto kontejneru, aby byla lokalita Configuration Manager nakonfigurovaná tak, aby publikovala do služeb Active Directory Domain Services, a aby klienti patřili do stejné doménové struktury služby Active Directory jako doménová struktura serveru lokality.

Když klienti v intranetu nemohou použít k nalezení bodů správy služby Active Directory Domain Services, použijte publikování v DNS.

Publikování vybraných intranetových bodů správy v DNS

Tuto možnost zadejte, když klienti na intranetu nemohou nalézt body správy ze služeb Active Directory Domain Services, ale mohou použít záznam prostředků umístění služby DNS (SRV RR) a nalézt bod správy v lokalitě, kterou mají přiřazenu.

Aby mohl nástroj Configuration Manager publikovat intranetové body správy do DNS, musí být splněny všechny níže uvedené podmínky:

Vaše servery DNS mají protokol BIND verze 8.1.2 nebo vyšší.
Vaše servery DNS jsou nakonfigurovány pro automatické aktualizace a podporují záznamy prostředků umístění služby.
Zadané plně kvalifikované názvy domény pro intranet pro body správy v nástroji Configuration Manager mají záznamy hostitele (například záznamy A nebo AAA) ve službě DNS.

Aby mohli klienti nalézt body správy publikované v DNS, musíte klientům přiřadit konkrétní lokalitu (než abyste používali automatické přiřazení lokality) a tyto klienty nakonfigurovat, aby používali kód lokality s příponou domény jejich bodu správy. Další informace naleznete v části Konfigurace klientských počítačů pro vyhledání bodů správy pomocí publikování DNS v nástroji Configuration Manager.

Pokud klienti nástroje Configuration Manager nemohou k nalezení bodů správy na intranetu použít služby Active Directory Domain Services ani DNS, přejdou na použití služby WINS. První bod správy, který je nainstalován pro lokalitu, se automaticky publikuje do služby WINS, když je nakonfigurován, aby přijímal připojení klienta pomocí protokolu HTTP na intranetu.

Vlastnosti komponent vzdálené správy

Důležité
Možnosti konfigurace pro součást vzdálené správy nemůžete uložit, pokud lokalita nemá nainstalovaný minimálně jeden bod zápisu.

Více informací o možnostech konfigurace komponenty bodu vzdálené správy najdete v tématu Krok 5: Konfigurace mimo pásmo komponenty správy.

Vyhodnocování členství kolekce

Poznámka

Pro System Center 2012 Configuration Manager SP1 a novější:

Tuto úlohu použijte ke změně počtu postupných vyhodnocování členství kolekce. Postupná vyhodnocování aktualizují členství kolekce pouze novými nebo změněnými zdroji.

V nástroji Configuration Manager bez aktualizace Service Pack konfigurujete vyhodnocování členství kolekce jako úlohu správy lokality. Další informace najdete v části Plánování úloh údržby pro nástroj Configuration Manager v tématu Plánování operací lokalit v Configuration Manageru.

Viz také

Konfigurace lokalit a hierarchie v nástroji Configuration Manager