• Artikel

Konfigurieren von Standortkomponenten in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Sie konfigurieren Standortkomponenten, um das Verhalten von Standortsystemrollen auf einem Standort und die Statusberichterstattung des Standorts zu steuern. Konfigurationen für Standortsystemrollen gelten für jede Instanz einer Standortsystemrolle auf einem bestimmten Standort. Diese Konfigurationen müssen für jeden Standort gesondert vorgenommen werden, da sie nicht für mehrere Standorte gelten.

Konfigurieren von Standortkomponenten für Configuration Manager

Sie konfigurieren Standortkomponenten, um das Verhalten von Standortsystemrollen auf einem Standort und die Statusberichterstattung des Standorts zu steuern. Konfigurationen für Standortsystemrollen gelten für jede Instanz einer Standortsystemrolle auf einem bestimmten Standort. Diese Konfigurationen müssen für jeden Standort gesondert vorgenommen werden, da sie nicht für mehrere Standorte gelten.

Gehen Sie wie folgt vor, um die zu konfigurierende Standortkomponente auf einem bestimmten Standort auszuwählen.

So bearbeiten Sie die Standortkomponenten auf einem Standort

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, und klicken Sie auf Standorte.

  3. Wählen Sie den Standort mit den zu konfigurierenden Standortkomponenten aus.

  4. Klicken Sie auf der Registerkarte Startseite in der Gruppe Einstellungen auf Standortkomponenten konfigurieren, und wählen Sie dann die Standortkomponente aus, die Sie konfigurieren möchten.

Konfigurationsoptionen für Standortkomponenten

Viele Konfigurationsoptionen für die Standortkomponenten sind selbsterklärend, oder es werden zusätzliche Informationen in den Dialogfeldern angezeigt. In den nachfolgenden Abschnitten finden Sie weitere Informationen zu den Einstellungen, für die Sie möglicherweise einige Informationen benötigen, bevor Sie sie konfigurieren:

Eigenschaften von Systemintegritätsprüfungspunkt-Komponente

Konfigurieren Sie diese Konfigurationsoptionen nur, wenn Sie planen, zur Verwendung des Netzwerkzugriffsschutzes für Softwareupdates Systemintegritätsprüfungspunkte auf dem Standort zu installieren.

Konfigurationsoption

Beschreibung

Abfrageintervall (Minuten)

Gibt an, wie oft von Systemintegritätsprüfungspunkten aus den Active Directory-Domänendiensten Configuration Manager-Integritätszustandsreferenzen abgerufen und zwischengespeichert werden (in Minuten). Diese Informationen werden mithilfe einer LDAP-Anfrage (Lightweight Directory Access-Protokoll) an einen globalen Katalogserver abgerufen.

Je niedriger der angegebene Wert ist, desto schneller entdeckt der Systemintegritätsprüfungspunkt Änderungen der Configuration Manager-NAP-Richtlinien. Clients werden hier jedoch öfter mit „Nicht kompatibel“ bewertet, obwohl sie alle in den Configuration Manager-NAP-Richtlinien angegebenen Softwareupdates aufweisen. Wenn die Richtlinien auf dem Netzwerkrichtlinienserver so konfiguriert sind, dass nicht kompatible Clients nur begrenzten Netzwerkzugriff erhalten, verfügen Clients in diesem Fall erst dann wieder über vollständigen Netzwerkzugriff, wenn die Configuration Manager-NAP-Richtlinien heruntergeladen, die Kompatibilität neu bewertet und ein neues SoH an den Systemintegritätspunkt gesendet wurde. Dieser Vorgang kann einige Minuten dauern.

Je höher der Wert ist, desto seltener werden Clients mit „Nicht kompatibel“ bewertet, wenn sie alle in den Configuration Manager-NAP-Richtlinien angegebenen Softwareupdates aufweisen. In diesem Fall besteht nicht das Risiko, dass Clients nur über begrenzten Netzwerkzugriff zum Herunterladen der v-NAP-Richtlinien und für die Neubewertung der Kompatibilität verfügen. Ein höherer Wert kann jedoch auch bedeuten, dass Clients mit „Kompatibel“ bewertet werden, obwohl die Kompatibilitätsbewertung nicht mit den aktuellen Configuration Manager-NAP-Richtlinien ausgeführt wurde.

Es wird empfohlen, für diese Option den doppelten Wert der Clienteinstellung Clientrichtlinien-Abrufintervall zu konfigurieren (standardmäßig ist dieser Wert auf 1 Stunde festgelegt). Somit wird die Wahrscheinlichkeit reduziert, dass Clients, auf denen die ausgewählten Softwareupdates vorhanden sind, begrenzten Netzwerkzugriff aufweisen. Gleichzeitig wird sichergestellt, dass die Kompatibilitätsergebnisse auf den aktuellen Configuration Manager-NAP-Richtlinien basieren.

Für diese Einstellung kann ein Wert zwischen 1 und 10080 Minuten festgelegt werden, der Standardwert ist 120 Minuten.

Gültigkeitszeitraum (Stunden)

Gibt den Zeitraum (in Stunden) an, in dem ein zwischengespeichertes Client-SoH von den Systemintegritätsprüfungspunkten als kompatibel zugelassen wird.

Wenn das Client-SoH älter als der Gültigkeitszeitraum ist, wird vom Systemintegritätsprüfungspunkt der Integritätszustand „Nicht kompatibel“ an den Netzwerkrichtlinienserver zurückgegeben. Wenn in diesem Fall Richtlinien auf dem Netzwerkrichtlinienserver die Kompatibilität erzwingen, muss der Client den Kompatibilitätsstatus neu bewerten und ein neues SoH erstellen. Ein längerer Gültigkeitszeitraum führt daher zu einer schnelleren Verarbeitung (und schnelleren Verbindungen), aber möglicherweise auch zu nicht aktuellen Kompatibilitätsinformationen.

Für diese Einstellung kann ein Wert zwischen 1 und 168 Stunden festgelegt werden, der Standardwert ist 26 Stunden.

System_CAPS_importantWichtig

Wenn Sie den Standardgültigkeitszeitraum ändern, müssen Sie einen Wert konfigurieren, der höher ist als die konfigurierte NAP-Clienteinstellung für die Planung der erneuten Auswertung. Wenn die Kompatibilitätsauswertung auf dem Client selten und nicht im Gültigkeitszeitraum ausgeführt wird, werden die Clients vom Systemintegritätsbewertungspunkt als „Nicht kompatibel“ bewertet.

In diesem Fall müssen Clients bei der Wiederherstellung die Kompatibilität neu bewerten und ein aktuelles SoH erstellen. Dieser Vorgang kann einige Minuten dauern. Wenn die Richtlinien auf dem Netzwerkrichtlinienserver so konfiguriert sind, dass der Netzwerkzugriff für nicht kompatible Computer begrenzt wird, können die Computer während der Neubewertung nicht auf die vollständigen Netzwerkressourcen zugreifen.

Erstellungsdatum muss später sein als (UTC)

Gibt an, ob ein Client-SoH nach einem angegebenen Zeitpunkt (Coordinated Universal Time, UTC) erstellt werden soll. Wählen Sie nach der Auswahl dieser Option das Datum und die Uhrzeit aus. Für das Datum und die Uhrzeit kann kein Wert in der Zukunft festgelegt werden, sondern nur ein aktueller oder vergangener Zeitpunkt.

Diese Einstellung eignet sich, wenn Sie gerade eine neue Configuration Manager-NAP-Richtlinie konfiguriert haben und das in der Richtlinie ausgewählte Softwareupdate zwingend in die Bewertung eingeschlossen werden soll, unabhängig vom Gültigkeitszeitraum.

Diese Option ist standardmäßig nicht aktiviert.

Active Directory-Gesamtstruktur angeben

Gibt an, dass sich der Standortserver und die Systemintegritätsprüfungspunkte für diesen Standort nicht in derselben Active Directory-Gesamtstruktur befinden. Zum Konfigurieren der Systemintegritätsprüfungspunkt-Komponente für diese Umgebung müssen Sie feststellen, in welchen Gesamtstrukturen die Systemintegritätsprüfungspunkte sich befinden, ob Vertrauensstellungen zwischen ihnen vorhanden sind, und Sie müssen entscheiden, in welcher Gesamtstruktur die Configuration Manager-Integritätszustandsreferenzen veröffentlicht werden sollen.

Die Active Directory-Gesamtstruktur, in der die Integritätszustandsreferenzen veröffentlicht werden, muss mit den Configuration Manager-Schemaerweiterungen erweitert werden. Die Standortserver müssen in Active Directory veröffentlicht werden, und Berechtigungen müssen im Container „Systemverwaltung“ in Active Directory ordnungsgemäß festgelegt werden. Diese Active Directory-Abhängigkeiten können sich auf Ihre Wahl der Gesamtstruktur auswirken, mit der Configuration Manager-Integritätszustandsreferenzen veröffentlicht werden.

In den folgenden Szenarien lernen Sie vier grundlegende Konfigurationen kennen, die für den Fall gelten, dass der Netzwerkzugriffsschutz in Configuration Manager mehrere Active Directory-Gesamtstrukturen umfasst. Mithilfe dieser Szenarien können Sie entscheiden, in welcher Active Directory-Gesamtstruktur die Integritätszustandsreferenzen veröffentlicht werden sollen.

  • Standortserver befinden sich in einer Active Directory-Gesamtstruktur, und alle Systemintegritätsprüfungspunkte befinden sich in einer anderen Active Directory-Gesamtstruktur.Configuration Manager-Integritätszustandsreferenzen werden in der Gesamtstruktur veröffentlicht, die die Standortserver enthält. Wählen Sie diese Option aus, wenn Sie Active Directory-Domänendienste für Configuration Manager erweitern können und die Systemintegritätsprüfungspunkte sich in einem Umkreisnetzwerk befinden.

  • Standortserver befinden sich in einer Active Directory-Gesamtstruktur, und alle Systemintegritätsprüfungspunkte befinden sich in einer anderen Active Directory-Gesamtstruktur.Configuration Manager-Integritätszustandsreferenzen werden in der Gesamtstruktur veröffentlicht, die die Systemintegritätsprüfungspunkte enthält. Wählen Sie diese Option aus, wenn Sie die Active Directory-Domänendienste für Configuration Manager nicht erweitern können, das Schema der zweiten Gesamtstruktur aber erweitert werden kann.

  • Standortserver befinden sich in einer Active Directory-Gesamtstruktur, und alle Systemintegritätsprüfungspunkte befinden sich in einer anderen Active Directory-Gesamtstruktur.Configuration Manager-Integritätszustandsreferenzen werden in einer dritten Active Directory-Gesamtstruktur veröffentlicht, die Vertrauensstellungen mit den beiden anderen Gesamtstrukturen aufweist (Vertrauensstellung entweder mit Gesamtstruktur oder mit externer Domäne). Wählen Sie diese Option aus, wenn Sie Active Directory-Domänendienste für keine der Gesamtstrukturen erweitern können, das Schema einer neuen oder vorhandenen Gesamtstruktur aber erweitert werden kann.

  • Standortserver befinden sich in einer Active Directory-Gesamtstruktur, und alle Systemintegritätsprüfungspunkte befinden sich in einer anderen Active Directory-Gesamtstruktur.Configuration Manager-Integritätszustandsreferenzen werden in einer dritten Active Directory-Gesamtstruktur veröffentlicht, die keine Vertrauensstellungen mit den beiden anderen Gesamtstrukturen aufweist (Vertrauensstellung weder mit Gesamtstruktur noch mit externer Domäne). Wählen Sie diese Option aus, wenn Sie Active Directory-Domänendienste für keine der Gesamtstrukturen erweitern können. Dabei ist es aber möglich, das Schema einer neuen oder vorhandenen Gesamtstruktur, die keine Vertrauensstellungen mit den beiden anderen Gesamtstrukturen aufweisen kann, zu erweitern.

Konto zum Veröffentlichen der Integritätszustandsreferenz

Gibt ein Microsoft Windows-Benutzerkonto in der festgelegten Active Directory-Gesamtstruktur an, wenn eine der folgenden Bedingungen zutrifft:

  • Die festgelegte Gesamtstruktur ist nicht die gleiche Gesamtstruktur wie der Standortserver.

  • Es besteht keine Vertrauensstellung zwischen der Domäne des Standortservers und dem Domänensuffix.

  • Es besteht eine Vertrauensstellung zwischen der Domäne des Standortservers und dem Domänensuffix, doch dem Systemverwaltungscontainer in Active Directory wurde kein Vollzugriff für das Computerkonto des Standortservers erteilt.

Konto zum Abfragen der Integritätszustandsreferenz

Gibt ein Windows-Benutzerkonto in der festgelegten Active Directory-Gesamtstruktur an, wenn eine der folgenden Bedingungen zutrifft:

  • Die festgelegte Gesamtstruktur ist nicht die gleiche Gesamtstruktur wie die Systemintegritätsprüfungspunkte.

  • Es besteht keine Vertrauensstellung zwischen den Systemintegritätsprüfungspunkten und dem Domänensuffix.

Eigenschaften von Softwareverteilungskomponenten

Konfigurationsoption

Beschreibung

Netzwerkzugriffskonto

Geben Sie ein Windows-Benutzerkonto als Netzwerkzugriffskonto an, wenn für Clientcomputer aus Arbeitsgruppen oder nicht vertrauenswürdigen Domänen der Zugriff auf Netzwerkressourcen erforderlich ist.

System_CAPS_importantWichtig

Das Netzwerkzugriffskonto wird nie als Sicherheitskontext zum Ausführen von Anwendungen und Programmen, Installieren von Softwareupdates oder Ausführen von Tasksequenzen verwendet. Es wird nur für den Zugriff auf Ressourcen im Netzwerk verwendet.

Für Configuration Manager-Clientcomputer wird zum Ausführen der meisten Configuration Manager-Clientvorgänge auf dem Computer das lokale Systemkonto verwendet. Dieses Konto verfügt jedoch nicht über Zugriff auf Netzwerkressourcen. Mit dem lokalen Systemkonto ist beispielsweise die Authentifizierung des Computers bei Verteilungspunkten, um eine Verbindung herzustellen und Software herunterzuladen, nicht möglich. In diesen Szenarien wird für Clients aus vertrauenswürdigen Domänen das Konto <Computername>$ verwendet, um auf Netzwerkressourcen zuzugreifen. Wenn die Verwendung des Kontos <Computername>$ zur Authentifizierung nicht möglich ist, können Sie für diese Computer ein bestimmtes Windows-Benutzerkonto als Netzwerkzugriffskonto verwenden.

Sie können auch dann ein Windows-Benutzerkonto als Netzwerkzugriffskonto angeben, wenn Sie ein Betriebssystem bereitstellen. Der Grund hierfür besteht darin, dass bei dem Computer, auf dem das Betriebssystem bereitgestellt werden soll, kein Sicherheitskontext verfügbar ist, über den der Zugriff auf Inhalte im Netzwerk möglich ist.

System_CAPS_noteHinweis

Wenn Sie ein Windows-Benutzerkonto angeben, konfigurieren Sie es mit den erforderlichen Mindestberechtigungen für den Inhalt, auf den zum Herunterladen der Software Zugriff bestehen muss. Für das Konto muss die Benutzerberechtigung Auf diesen Computer vom Netzwerk aus zugreifen für den Verteilungspunkt oder einen anderen Server vorliegen, auf dem der Paketinhalt gespeichert ist.

Gewähren Sie diesem Konto nicht die Benutzerberechtigung zur interaktiven Anmeldung oder die Benutzerberechtigung, der Domäne Computer zuzuweisen. Wenn während einer Tasksequenz Computer der Domäne beitreten müssen, verwenden Sie dafür das Tasksequenz-Editor-Domänenbeitrittskonto.

In Für System Center 2012 R2 Configuration Manager und höher: können Sie jetzt mehrere Netzwerkzugriffskonten pro Standort angeben. Wenn der Zugriff seitens Clients auf Inhalte über das lokale Computerkonto nicht möglich ist, wird zunächst das zuletzt erfolgreich verwendete Netzwerkzugriffskonto verwendet. In Configuration Manager wird die Einrichtung von maximal zehn Netzwerkzugriffskonten unterstützt.

Eigenschaften von Softwareupdatepunkt-Komponente

Weitere Informationen zu den Konfigurationsoptionen für die Softwareupdatepunktkomponente finden Sie unter Konfigurieren von Softwareupdates im Configuration Manager.

Eigenschaften für Verwaltungspunktkomponenten

Konfigurationsoption

Beschreibung

Verwaltungspunkte

Gibt die Verwaltungspunkte auf dem Configuration Manager-Standort an, die in die Active Directory-Domänendienste veröffentlichen sollen.

Für Configuration Manager-Clients werden Verwaltungspunkte für die Dienstidentifizierung verwendet, um Standortinformationen zu suchen, wie Zugehörigkeit zu Begrenzungsgruppen und PKI-Zertifikatauswahloptionen, sowie andere Verwaltungspunkte auf dem Standort und Verteilungspunkte, von denen Software heruntergeladen werden kann. Bei Clients werden Verwaltungspunkte darüber hinaus verwendet, um Standortzuweisungen abzuschließen, Clientrichtlinien herunterzuladen und ihre Clientinformationen hochzuladen.

Die sicherste Methode zum Suchen von Verwaltungspunkten besteht für Clients darin, sie in den Active Directory-Domänendiensten zu veröffentlichen. Daher wählen Sie in der Regel alle funktionsfähigen Verwaltungspunkte für die Veröffentlichung in den Active Directory-Domänendiensten aus. Allerdings ist es für diese Methode der Dienstidentifizierung erforderlich, dass das Schema für Configuration Manager erweitert wird, dass ein System Management-Container mit entsprechenden Sicherheitsberechtigungen für den Standortserver zur Veröffentlichung in diesen Container vorhanden ist, dass der Configuration Manager-Standort für die Veröffentlichung in den Active Directory-Domänendiensten konfiguriert ist, und dass Clients der gleichen Active Directory-Gesamtstruktur zugewiesen sind wie die Gesamtstruktur des Standortservers.

Wenn es für Clients im Intranet nicht möglich ist, Verwaltungspunkte mithilfe von Active Directory-Domänendiensten zu suchen, verwenden Sie die DNS-Veröffentlichung.

Ausgewählte Intranetverwaltungspunkte in DNS veröffentlichen

Geben Sie diese Option an, wenn es für Clients im Intranet nicht möglich ist, Verwaltungspunkte aus Active Directory-Domänendiensten heraus zu suchen, jedoch die Verwendung eines DNS-Datensatzes zur Dienstidentifizierung (SRV RR) eine Option ist, um einen Verwaltungspunkt auf ihren zugewiesenen Standort zu suchen.

Damit in Configuration Manager Intranet-Verwaltungspunkte in DNS veröffentlicht werden können, müssen die beiden folgenden Bedingungen erfüllt sein:

  • Auf Ihren DNS-Servern wird BIND in der Version 8.1.2 oder höher verwendet.

  • Auf Ihren DNS-Server sind automatische Updates konfiguriert, und Datensätze für die Dienstidentifizierung werden unterstützt.

  • Zu den angegebenen FQDNs für die Verwaltungspunkte in Configuration Manager müssen Hosteinträge (A- oder AAA-Datensätze) in DNS vorhanden sein.

System_CAPS_warningWarnung

Damit in DNS veröffentlichte Verwaltungspunkte von Clients gefunden werden können, müssen Sie die Clients einem bestimmten Standort zuweisen (statt die automatische Standortzuweisung zu verwenden) und diese Clients für die Verwendung des Standortcodes mit dem Domänensuffix ihres Verwaltungspunkts konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Clientcomputern für die Suche nach Verwaltungspunkten mithilfe der DNS-Veröffentlichung in Configuration Manager.

Wenn es für Configuration Manager-Clients nicht möglich ist, Verwaltungspunkte mithilfe von Active Directory-Domänendiensten oder DNS zu suchen, wird als Alternative WINS verwendet. Der erste für einen Standort installierte Verwaltungspunkt wird automatisch in WINS veröffentlicht, wenn er für das Zulassen von HTTP-Clientverbindungen im Intranet konfiguriert wird.

Eigenschaften der Out-of-Band-Verwaltungspunktkomponente

System_CAPS_importantWichtig

Sie können Konfigurationsoptionen für die Out-of-Band-Verwaltungskomponente nur speichern, wenn auf dem Standort mindestens ein Anmeldungspunkt installiert ist.

Weitere Informationen zu den Konfigurationsoptionen für die Out-of-Band-Verwaltungspunktkomponente finden Sie unter Schritt 5: Konfigurieren der Out-of-Band-Verwaltungskomponente.

Auswertung der Sammlungsmitgliedschaft

System_CAPS_noteHinweis

Für System Center 2012 Configuration Manager SP1 und höher:

Verwenden Sie diesen Task, um die Häufigkeit der inkrementellen Auswertung der Sammlungsmitgliedschaft zu ändern. Bei der inkrementellen Auswertung wird eine Sammlungsmitgliedschaft nur mit neuen oder geänderten Ressourcen aktualisiert.

In Configuration Manager ohne Service Pack konfigurieren Sie die Auswertung der Sammlungsmitgliedschaft als Standortwartungstask. Weitere Informationen finden Sie im Abschnitt Planen von Wartungstasks für Configuration Manager des Themas Planen von Standortvorgängen in Configuration Manager