複数の Active Directory フォレスト内の Configuration Manager

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

複数の Active Directory フォレストにわたって Configuration Manager 2007 を展開する場合、Configuration Manager 2007 階層の設計時に次の考慮事項について計画してください。

  • Configuration Manager 2007 サイト内の通信

  • Configuration Manager 2007 サイト間の通信

  • 複数のフォレストにわたるクライアントのサポート

    • 複数の Active Directory フォレストにわたるクライアントの構成

    • 複数の Active Directory フォレストにわたるクライアントの承認 (混在モード)

    • 複数の Active Directory フォレスト間でのローミングのサポート

Configuration Manager サイト内でのフォレスト信頼間の通信

単一のサイト内のサイト システムが、複数の Active Directory フォレストにわたってサポートされているシナリオとしては、次の 2 つだけがサポートされています。

  • ネットワーク アクセス保護と共に使用されるシステム正常性検証ツール ポイント

  • サイト サーバーとは別のフォレストにインストールされた次のサイト システムをサポートするインターネット ベースのクライアント管理:

    • 管理ポイント

    • 配布ポイント

    • ソフトウェアの更新ポイント

    • フォールバック ステータス ポイント

    注意

    推奨されるセキュリティ運用方法ではありませんが、次のサイト システムも、別のフォレストにインストールされている場合にサポートされます。サイト システムとしてサーバー ロケータ ポイントと PXE サービス ポイントもサポートされていますが、推奨するセキュリティ運用方法ではありません。

サポートされている 2 つのシナリオでは、2 つのフォレスト間に双方向の信頼が存在するか、またはサイト サーバーのドメインとサイト システムのドメインの間に外部の信頼が存在する場合であっても、サイト システムのインストールおよび構成用の Windows ユーザー アカウントを指定する必要があります。

また、インターネット ベースのクライアント管理をサポートするサイト システムに適用される、追加のフォレスト信頼間構成もあります。これらのサイト システムがサイト サーバーとは別のフォレストにインストールされていて、通信をサイト サーバーからサイト システムへの方向で開始し、サイト システムからサイト サーバーへの方向では開始しないようにする場合は、サイト システムのオプション[サイト サーバが開始した、このサイト システムからのデータ転送のみを許可する] を有効にします。これらのサイト システムが境界ネットワーク (DMZ、非武装地帯、およびスクリーン サブネットとも呼ばれます) にインストールされているインターネット ベースのクライアント管理のシナリオでは、この構成により、これらのサイト システムとイントラネットの間のすべての接続はイントラネットからのみ開始されるようになり、信頼されていないネットワークから開始されることはなくなります。したがって、この構成は、境界ネットワークから開始される接続をイントラネットに受け入れるよりも安全なソリューションです。しかし、複数のフォレスト信頼にわたってこの構成を使用する場合は、次の考慮事項に注意してください。

  • 2 つのフォレストの間に信頼関係が存在する場合でも、インストール用の Windows ユーザー アカウントを構成する必要があります。

  • この構成により、サイトにステータス メッセージを送信する際に待ち時間が生じ、サイト サーバーのパフォーマンスが低下する場合があります。

重要

上に挙げた以外のすべてのサイト システムは、同じ Active Directory フォレスト内にあることが必要です。これらのサイト システムは、すべて同じドメインにあることが必要なサイト サーバー、SMS プロバイダのコンピュータ、レポート ポイント、およびサイト データベース サーバーを除いて、フォレスト内の異なるドメインにインストールできます。

フォレスト信頼を超えた Configuration Manager サイト間の通信

Configuration Manager の階層は、異なる Active Directory フォレストからのプライマリ サイトをサポートします。ただし、Configuration Manager ではセカンダリ サイトが、その親プライマリ サイトからリモートの Active Directory フォレスト内に存在することはできません。

階層に異なる Active Directory フォレストからのプライマリ サイトが含まれる場合、別の Active Directory フォレストにあるサイトは Active Directory ドメイン サービスから自動的にはキーを取得できないので、Hierarchy Maintenance ツール (Preinst.exe) を使用して手動によるキーの交換を構成する必要があります。キーの交換は、サイト間でやり取りされるデータに署名するために必要です。手動による公開キーの交換の詳細については、「サイト間で公開キーを手動で交換する方法」を参照してください。

Configuration Manager 2007 サイト階層内の 1 つまたは複数のプライマリ サイトが異なる Active Directory フォレストに存在する場合、ドメイン ユーザー アカウントが各サイトの送信者アドレス プロパティで正しく構成されていれば、サイト間通信を有効にするために Active Directory フォレストの信頼関係は必要ありません。各サイトのセンダ アドレス プロパティでドメイン ユーザー アカウントをサイト アドレス アカウントとして構成しない場合、サイト サーバー コンピュータ アカウントが使用されます。サイト サーバーのコンピュータ アカウントがサイト アドレス アカウントとして使用される場合、サイト間通信を有効にするには、フォレスト間に完全な Active Directory フォレスト信頼関係が必要となります。

複数のフォレスト信頼にわたるクライアントのサポート

Configuration Manager の階層は、リモートの Active Directory フォレスト内のプライマリ サイトとクライアントをサポートします。このシナリオでは、サイト システムが別のフォレストにあるクライアント コンピュータの短い名前を正しく解決できることを確認します。クライアント プッシュ インストールやリモート コントロールなど、サーバーにより開始される操作のほとんどは、完全修飾ドメイン名 (FQDNA) の代わりに短い名前を使ってクライアントに接続します。短い名前が正常に解決されるようにする 1 つの方法として、異なるフォレスト内のクライアント コンピュータには DNS 検索サフィックスを使用してサイト システムを構成することができます。

Active Directory システム探索を使用して別のフォレストにあるコンピュータ リソースを検出するには、サイト サーバー フォレストと、そのコンピュータが属するフォレストとの間にフォレスト信頼関係が必要です。

サイト システムとクライアントの間にファイアウォールがある場合、そのファイアウォールが Configuration Manager で必要とされる通信を許可するよう構成されていることを確認してください。クライアントの展開中に使用されるポートのリストは、「Configuration Manager クライアントの展開で使用されるポート」を参照してください。クライアントの展開後に使用されるポートの詳細については、「Configuration Manager で使用されるポート」を参照してください。

クライアントが、その割り当てサイト サーバーのフォレストとは異なるフォレスト内にある場合、次の追加の情報に従って、それらのクライアントを正しく構成してください。

複数の Active Directory フォレストにわたるクライアントの構成

イントラネット上の Configuration Manager 2007 クライアントは、サービスの場所を特定したり、サービスを構成したりするために、Active Directory ドメイン サービスを主な手段として使用します。クライアントが別のフォレストに存在する場合、そのクライアントは、割り当てられたサイト サーバーから Active Directory ドメイン サービスに発行された情報を取得できません。

これらのクライアントを管理するには、次のそれぞれについて代替手段が利用できることを確認してください。

  • サイトの割り当てを完了するためのサイト互換性チェック

  • 管理ポイント、および管理ポイントが直接割り当てられていない場合はサーバー ロケータ ポイントのサービスの場所の特定

  • ネイティブ モードの構成

このようなクライアントは、次の Active Directory ドメイン サービスが Configuration Manager 2007 に拡張されていないものとして構成します。これらのクライアントが必要とする情報および追加の構成手順については、「Active Directory スキーマを拡張する必要があるかどうかを判断する」の「Configuration Manager 用の Active Directory スキーマの拡張に関する機能の考慮事項」セクションを参照してください。

複数の Active Directory フォレストにわたるクライアントの承認 (混在モード)

サイトが混在モードであり、サイト構成として [信頼されたドメインのコンピュータを自動的に承認する] を使用している場合は、イントラネット完全修飾ドメイン名 (FQDN) を使用して管理ポイントを構成する必要があります。

承認の詳細については「Configuration Manager クライアントの承認について」を、管理ポイントの FQDN の指定方法の詳細については「サイト システムのイントラネット FQDN の構成方法」を参照してください。

複数の Active Directory フォレスト間でのローミングのサポート

別のフォレストのクライアントは、Active Directory ドメイン サービスに発行されたサイト情報にアクセスできないため、サイト階層のすべての配布ポイントを検索できるグローバル ローミング機能が備わっていません。その代わりに地域ローミング機能が備わっており、階層内でそのクライアントが割り当てられているサイトより下位のサイトをローミングしているときに、ローカルの配布ポイントを検索できます。別のフォレストのクライアントは、兄弟サイトまたは階層内にある上位のサイトをローミングする場合、そのクライアントが割り当てられているサイトからパッケージ ソース ファイルをダウンロードします。グローバルまたは地域ローミングの動作の詳細については、「Configuration Manager のクライアントのローミングについて」を参照してください。

参照:

タスク

DNS に既定の管理ポイントを自動で発行する方法
サイト サーバーによるデータ転送のみを許可するためにインターネット ベースのサイト システムを構成する方法
サイト間で公開キーを手動で交換する方法

概念

ネットワーク アクセス保護と複数の Active Directory フォレストについて
Configuration Manager クライアントにサーバー ロケータ ポイントが必要かどうかを判断する
インターネット ベースのクライアント管理のサーバーの配置を決定する
インターネット ベースのクライアント管理の概要