Décider si vous devez étendre le schéma Active Directory
Mis à jour: juillet 2010
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
L'extension du schéma Active Directory pour Configuration Manager 2007 permet aux clients de récupérer de nombreux types d'informations concernant Configuration Manager et provenant d'une source fiable. Dans certains cas, si le schéma Active Directory n'est pas étendu, d'autres solutions sont possibles pour extraire les informations nécessaires, mais elles seront moins sécurisées qu'avec les services de domaine Active Directory.
Par ailleurs, le fait de ne pas étendre le schéma peut entraîner une charge de travail considérable pour les autres administrateurs qui devront alors créer et gérer des solutions, comme des scripts d'ouverture de session et des objets de stratégie de groupe pour les ordinateurs et les utilisateurs de votre organisation.
Le schéma Active Directory peut être étendu avant ou après l'exécution du programme d'installation Configuration Manager 2007. Toutefois, il est recommandé d'étendre le schéma avant d'exécuter le programme d'installation de Configuration Manager 2007. Vous devez étendre le schéma Active Directory une seule fois pour la forêt contenant les serveurs du site. Vous ne devez pas étendre à nouveau le schéma si vous mettez à niveau les systèmes d'exploitation sur les contrôleurs de domaine ou après avoir augmenté les niveaux fonctionnels du domaine ou de la forêt. Si de nouvelles versions de Configuration Manager fournissent de nouvelles extensions de schéma exigeant que vous étendiez à nouveau le schéma, cette condition sera documentée dans les Configurations prises en charge dans Configuration Manager.
Notes
L'extension du schéma pour Configuration Manager n'entraîne pas la publication automatique des informations concernant le site dans les services de domaine Active Directory. Après avoir étendu le schéma, vous devez configurer la sécurité dans les services de domaine Active Directory avant que les sites puissent publier sur les services de domaine Active Directory.
Utilisation des extensions de schéma Active Directory SMS 2003 pour des sites Configuration Manager
Cette fonctionnalité est prise en charge afin de déployer des sites Configuration Manager 2007 utilisant les extensions de schéma Active Directory SMS 2003. La décision d'étendre le schéma Active Directory pour Configuration Manager 2007 est fonction d'un certain nombre de considérations importantes. Même si le site Configuration Manager 2007 publie des données de site dans les services de domaine Active Directory, certains attributs du schéma Active Directory nécessaires au stockage des données publiées ne seront pas présents si le schéma Active Directory a été uniquement étendu pour SMS 2003.
Si le schéma Active Directory a été étendu pour SMS 2003, mais non pour Configuration Manager, les limitations ci-après s'appliquent :
Un point de recherche de serveur Configuration Manager 2007 doit être utilisé pour permettre aux clients de vérifier la compatibilité du site attribué afin de terminer l'attribution du client. Les clients peuvent automatiquement localiser un point de recherche de serveur via les services de domaine Active Directory si le schéma est étendu pour SMS 2003.
Étant donné que la protection d'accès réseau pour Configuration Manager requiert des extensions de schéma Active Directory Configuration Manager 2007, cette fonctionnalité n'est pas prise en charge pour les sites utilisant des extensions de schéma Active Directory SMS 2003.
Les changements de mode site engendrent des erreurs sur les clients, nécessitant des solutions manuelles.
Les changements de ports de communication des clients engendrent des erreurs sur les clients, nécessitant des solutions manuelles.
L'attribut dNSHostName du point de gestion n'est plus publié dans les services de domaine Active Directory.
Fonctionnalités et fonctions liées à l'extension du schéma Active Directory pour Configuration Manager
Le tableau ci-dessous présente les fonctionnalités ou fonctions de Configuration Manager 2007 qui utilisent les extensions du schéma Active Directory, ainsi que des solutions pour chacune d'elles en cas d'échec si le schéma n'est pas étendu pour Configuration Manager 2007.
| Fonctionnalité ou fonction | Extensions de schéma | Détails des conditions |
|---|---|---|
Installation du client et attribution de site |
Recommandé |
Configuration requise : Si le schéma Active Directory n'a pas encore été étendu pour Configuration Manager, le processus d'installation du client basé sur Ccmsetup.exe ne sera pas en mesure de récupérer automatiquement les paramètres de déploiement du client depuis les services de domaine Active Directory. Solution : Fournir les propriétés d'installation du client à l'aide des options de ligne de commande d'installation CCMSetup. Pour plus d'informations, consultez À propos des propriétés d'installation du client Configuration Manager. Solution : Un point de recherche de serveur Configuration Manager 2007 publié dans les services de domaine Active Directory utilisant des extensions de schéma SMS 2003 peut être automatiquement localisé par les clients Configuration Manager 2007 appartenant à la même forêt Active Directory. Solution : Fournir des informations sur un point de recherche de serveur à l'aide de la propriété client.msi property SMSSLP=<nom du point de recherche de serveur> sur la ligne de commande CCMSetup pendant l'installation du client. Pour plus d'informations, consultez À propos des propriétés d'installation du client Configuration Manager. Solution : Publier le point de gestion dans DNS et publier le point de recherche de serveur dans WINS. Pour plus d'informations, consultez Configuration Manager et emplacement des services (points d'informations et de gestion de site). |
Paramètre de mode site et paramètres liés, tels que la sélection du certificat de client et la vérification de la liste de révocation de certificats |
Recommandé |
Configuration requise : Si le schéma Active Directory n'a pas été étendu pour Configuration Manager, les informations sur le mode site et les paramètres du client liés à la configuration du mode natif ne peuvent pas être publiés dans les services de domaine Active Directory. Solution : Utiliser les propriétés de la ligne de commande d'installation client CCMSetup.exe ou d'installation poussée du client. |
Configuration du port pour la communication client à serveur. |
Recommandé |
Configuration requise : Si le schéma Active Directory n'a pas été étendu pour Configuration Manager, les clients ne seront pas en mesure de communiquer avec les systèmes de site en cas de changement du port de communication par défaut après l'installation du client. Solution : Réinstaller tous les clients affectés ou déployer un script pour changer manuellement les ports utilisés par les clients afin de communiquer avec les systèmes de site au sein du site. |
Itinérance globale |
Obligatoire |
Configuration requise : Si le schéma Active Directory n'a pas été étendu pour Configuration Manager ou SMS 2003, la requête de contenu d'un client itinérant, pour publications et mises à jour logicielles à partir de points de gestion résidents, ne peut aboutir. Dans ce cas, un trafic réseau supplémentaire est généré pour localiser le contenu sur le point de gestion par défaut du client. Or, ce dernier ne sera pas en mesure de localiser le contenu de sites frères ou de sites situés plus haut que le site attribué au client dans la hiérarchie. Pour plus d'informations sur le comportement des clients en itinérance, consultez À propos de l'itinérance client dans Configuration Manager. Solution : Aucune. |
Protection d'accès réseau (NAP) pour Configuration Manager |
Obligatoire |
Configuration requise : Si le schéma Active Directory n'a pas été étendu pour Configuration Manager, les sites activés pour la protection d'accès réseau ne seront pas en mesure de publier les références de l'état d'intégrité de Configuration Manager dans les services de domaine Active Directory. Si les références de l'état d'intégrité ne sont pas publiées dans les services de domaine Active Directory, le point du programme de validation d'intégrité système ne peut pas valider les déclarations d'intégrité des clients. Solution : Aucune. |
Nécessite l'échange de clé sécurisé entre les sites1 |
Recommandé |
Configuration requise : Si le schéma Active Directory n'a pas été étendu pour Configuration Manager, les sites configurés pour nécessiter l'échange de clé sécurisé ne seront pas en mesure d'échanger automatiquement les clés publiques de sorte à activer la communication entre les sites. Notes L'échange de clé sécurisé entre les sites Configuration Manager est activé par défaut.1 Solution : Échanger manuellement les clés publiques des sites parent et enfant avant d'attacher un site enfant à l'aide de l'outil Maintenance de la hiérarchie (Preinst.exe). Pour plus d'informations, consultez Comment échanger manuellement des clés publiques entre des sites. |
Vérification d'un point de gestion approuvé |
Recommandé |
Configuration requise : Si le schéma Active Directory n'a pas été étendu pour Configuration Manager, les clients doivent utiliser la clé racine approuvée pour approuver un site. Les clients approuvent le premier point de gestion avec lequel il communique, sauf si la clé racine approuvée leur a été préalablement fournie. Solution : Pré-configurer la clé racine approuvée sur les clients. Pour plus d'informations, consultez Comment gérer la clé racine approuvée dans Configuration Manager. Solution :Utiliser le mode natif. En mode natif, le certificat du point de gestion doit toujours être signé par la clé racine approuvée sur le site central. En revanche, le point de gestion utilise un certificat émis par l'infrastructure à clés publiques. À condition que l'infrastructure à clés publiques n'ait pas été compromise, le client peut approuver le premier point de gestion qu'il contacte et qui dispose d'un certificat d'authentification de serveur valide. Pour plus d'informations sur les configurations requises des certificats d'infrastructure à clé publique (PKI) pour le mode natif, consultez Certificats requis pour le mode natif. |
Récupération d'un serveur de site central défaillant qui héberge le rôle du point de gestion |
Recommandé |
Configuration requise : Si le schéma Active Directory n'a pas été étendu pour Configuration Manager alors que les clients rendent compte au serveur de site central servant également de point de gestion du site, les clients n'ont aucun moyen d'approuver automatiquement le site après la restauration du nouveau serveur de site central et du point de gestion. Solution : Supprimer la clé raciné approuvée sur chaque client du site et la remettre en service. Pour plus d'informations, consultez Comment gérer la clé racine approuvée dans Configuration Manager. Solution : Déplacer le rôle de point de gestion vers un autre serveur. À condition que les clients du site central ne perdent que le point de gestion ou le serveur de site central (mais pas les deux), ils peuvent rétablir la relation de confiance. Pour plus d'informations, consultez À propos de la clé racine approuvée. |
1 Par défaut, les sites principaux Configuration Manager n'acceptent pas les connexions au site enfant, à moins que la clé publique du site enfant ne soit connue du site parent ou publiée dans les services de domaine Active Directory. Cependant, lors d'une mise à niveau, le programme d'installation de Configuration Manager ne modifie pas les paramètres d'échange de clé sécurisé d'origine du site. Une autre méthode permettant le rattachement des sites enfants sans extension de schéma est de ne pas exiger l'échange de clé sécurisé entre les sites, ce qui n'est pas recommandé car tout site enfant malveillant pourrait ainsi s'attacher à ce site et transmettre alors des données non approuvées.
Voir aussi
Tâches
Comment échanger manuellement des clés publiques entre des sites
Concepts
À propos de la publication des propriétés d'installation de Configuration Manager sur les services de domaine Active Directory
Configuration Manager et emplacement des services (points d'informations et de gestion de site)
Autres ressources
Comment étendre le schéma Active Directory pour Configuration Manager