Siteonderdelen configureren in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

U configureert siteonderdelen om het gedrag van sitesysteemrollen op een site te beheren, en het rapporteringsgedrag van de status van sites te beheren. Configuraties voor sitesysteemrollen zijn van toepassing op elk exemplaar van een sitesysteemrol op een bepaalde site. Deze configuraties moeten op elke site afzonderlijk gedaan worden, en zijn niet van toepassing op meerdere sites.

Siteonderdelen configureren voor Configuration Manager

U configureert siteonderdelen om het gedrag van sitesysteemrollen op een site te beheren, en het rapporteringsgedrag van de status van sites te beheren. Configuraties voor sitesysteemrollen zijn van toepassing op elk exemplaar van een sitesysteemrol op een bepaalde site. Deze configuraties moeten op elke site afzonderlijk gedaan worden, en zijn niet van toepassing op meerdere sites.

Gebruik de volgende procedure om het siteonderdeel te selecteren dat u wilt configureren op een specifieke site.

De siteonderdelen op een site bewerken

  1. Klik in de Configuration Manager-console op Beheer.

  2. Vouw in de werkruimte BeheerSiteconfiguratie uit en klik op Sites.

  3. Selecteer de site die de siteonderdelen heeft die u wilt configureren.

  4. Klik, in het tabblad Start, in de groep Instellingen op Siteonderdelen configureren en selecteer dan het siteonderdeel dat u wilt configureren.

Configuratieopties voor siteonderdelen

Veel van de configuratieopties voor de siteonderdelen behoeven geen uitleg of er wordt bijkomende informatie in de dialoogvensters over gegeven. Gebruik de volgende secties voor meer informatie over de instellingen waarvoor u mogelijk meer uitleg nodigt hebt om ze te configureren:

Eigenschappen van onderdeel System Health Validator-punt

Configureer deze configuratieopties enkel als u System Health Validator-punten wilt installeren in de site om netwerktoegangsbeveiliging (NAP) voor software-updates te gebruiken.

Configuratieoptie

Beschrijving

Query-interval (minuten)

Geeft in minuten hoe vaak System Health Validator-punten Configuration Manager-health-statusreferenties van Active Directory Domain Services ophalen en cachen. De informatie wordt opgehaald met een LDAP-oproep (Lightweight Directory Access Protocol) naar een algemene catalogusserver.

Hoe lager de waarde, hoe sneller de System Health Validator wijzigingen zal detecteren in het NAP-beleid van Configuration Manager; clients blijken echter vaker niet compatibel hoewel ze alle vereiste software-updates hebben die in het NAP-beleid van Configuration Manager zijn gespecificeerd. Als de beleidsregels op de netwerkbeleidserver zijn geconfigureerd om niet-compatibele clients beperkte toegang tot het netwerk te geven, zullen de clients, in dit scenario, geen volledige toegang tot het netwerk hebben tot ze hun NAP-beleid van Configuration Manager hebben gedownload, hun compatibiliteit opnieuw hebben geëvalueerd, en dan een nieuwe statusverklaring hebben gestuurd naar het System Health Validator-punt. Dit proces kan enkele minuten duren.

Hoe hoger de waarde, hoe minder vaak clients niet compatibel zullen blijken wanneer ze alle vereiste software-updates hebben die in het NAP-beleid van Configuration Manager zijn gespecificeerd. In dit scenario lopen clients niet het risico beperkte toegang tot het netwerk te hebben om hun NAP-beleid van Configuration Manager te downloaden en de compatbiliteit opnieuw te evalueren. Een hogere waarde kan echter betekenen dat clients als compatibel worden beschouwd wanneer ze de compatibiliteit niet hebben geëvalueerd met het recentste NAP-beleid van Configuration Manager.

Een instelling om de kans te verlagen dat clients die de geselecteerde software-updates hebben, beperkte toegang tot het netwerk heeft, maar om ervoor te zorgen dat de compatibiliteitsresultaten zijn gebaseerd op het recentste NAP-beleid van Configuration Manager, is om deze optie te configureren als tweemaal de waarde die is gegeven voor de clientinstelling Pollinginterval voor clientbeleid (standaard is het pollinginterval voor het clientbeleid éénmaal per uur).

Deze instelling kan tussen 1 en 10080 minuten liggen, en de standaardwaarde bedraagt 120 minuten.

Geldigheidsduur (uren)

Geeft de tijdsduur in uren waarvoor een gecachede statusverklaring van de client als compatibel zal worden aanvaard door System Health Validator-punten.

Als de statusverklaring van de client ouder is dan de geldigheidsduur, stuurt het System Health Validator-punt een status van niet-compatibel terug naar de netwerkbeleidserver. Als de beleidsregels op de netwerkbeleidserver compatibiliteit afdwingen, wordt de client, in dit scenario, geforceerd de compatibiliteitsstatus opnieuw te evalueren en een nieuwe statusverklaring voor te leggen. Daarom resulteert een langere geldigheidsduur in een snellere verwerking (en verbindingstijden), maar is de compatibiliteitsstatus mogelijk niet bijgewerkt.

Deze instelling kan tussen 1 en 168 uur liggen, en de standaardwaarde bedraagt 26 uur.

System_CAPS_importantBelangrijk

Als u de standaard geldigheidsduur wijzigt, zorg er dan voor dat u een waarde configureert die hoger is dan de geconfigureerde clientinstelling NAP-herevaluatieplanning. Als de compatibiliteitsevaluatie op de client minder vaak gebeurt dan de geldigheidsduur, zal het System Health Validator-punt zeggen dat de clients niet compatibel zijn.

In dit scenario zal herstel de clients vragen de compatibiliteit opnieuw te evalueren en een recente statusverklaring te maken. Dit proces kan enkele minuten duren, als de beleidsregels op de netwerkbeleidserver dus zijn geconfigureerd om toegang tot het netwerk voor niet-compatibele computers te beperken, zullen computers geen toegang hebben tot netwerkbronnen op het volledige netwerk tjidens deze herevaluatieperiode.

Aanmaakdatum moet later zijn dan (UTC)

Specificeert of u ervoor wilt zorgen dat er een statusverklaring van de client wordt gemaakt na een opgegeven datum en tijdstip (in Coordinated Universal Time). Wanneer u deze optie kiest, moet u de datum en het tijdstip selecteren. De datum en het tijdstip kunnen niet op een waarde in de toekomst worden ingesteld, maar moeten een huidige of een eerdere datum en tijdstip zijn.

Het is gepast deze optie in te stellen als u net een nieuw NAP-beleid van Configuration Manager hebt geconfigureerd en het verplicht is dat de software-update die is geselecteerd in het beleid, wordt opgenomen in de evaluatie, ongeacht de geldigheidsduur.

Deze optie is standaard niet ingeschakeld.

Een Active Directory-forest toewijzen

Geeft aan dat de siteserver en System Health Validator-punten voor deze stie zich niet in hetzelfde Active Directory-forest bevinden. Om het onderdeel System Health Validator-punt voor deze omgeving te configureren moet u identificeren in welke forests de System Health Validator-punten zich bevinden, identificeren welke vertrouwensrelaties er daartussen bestaan en beslissen welk forest de health-statusreferenties van Configuration Manager zal publiceren.

Het Active Directory-forest dat de health-statusreferenties publiceert, moet worden uitgebreid met de Configuration Manager-schema-uitbreidingen, de siteservers moeten publiceren naar Active Directory, en machtigingen moeten worden ingesteld op de System Management-container in Active Directory. Deze Active Directory-afhankelijkheden kunnen een invloed hebben op uw beslissing over welk forest zal worden gebruikt om de Configuration Manager-health-statusreferenties te publiceren.

De volgende scenario's identificeren vier basisconfiguraties wanneer netwerktoegangsbeveiliging in Configuration Manager meerdere Active Directory-forests dekt. Gebruik deze scenario's om u te helpen beslissen welk Active Directory-forest de health-statusreferenties zal publiceren.

  • Siteservers bevinden zich in één Active Directory-forest en alle System Health Validator-punten bevinden zich in een andere Active Directory-forest.Configuration Manager-health-statusreferenties worden gepubliceerd op het forest dat de siteservers bevat. Kies deze optie als u Active Directory Domain Services voor Configuration Manager kunt uitbreiden, en als de System Health Validator-punten zich in een perimeternetwerk bevinden.

  • Siteservers bevinden zich in één Active Directory-forest en alle System Health Validator-punten bevinden zich in een andere Active Directory-forest.Configuration Manager-statusinformatie wordt gepubliceerd naar de forest die de System Health Validator-punten bevat. Kies deze optie als u Active Directory Domain Services voor Configuration Manager niet kunt uitbreiden, maar u het schema voor het tweede forest kunt uitbreiden.

  • Siteservers bevinden zich in één Active Directory-forest en alle System Health Validator-punten bevinden zich in een andere Active Directory-forest.Configuration Manager-health-statusreferenties worden gepubliceerd op een derde Active Directory-forest dat vertrouwensrelaties heeft met de andere twee forests (hetzij een forestvertrouwensrelaties hetzij externe domeinvertrouwensrelaties). Kies deze optie als u Active Directory Domain Services niet kunt uitbreiden voor eender welk forest, maar u het schema een nieuw of bestaand forest wel kunt uitbreiden.

  • Siteservers bevinden zich in één Active Directory-forest en alle System Health Validator-punten bevinden zich in een andere Active Directory-forest.Configuration Manager-health-statusreferenties worden gepubliceerd op een derde Active Directory-forest die geen vertrouwensrelaties heeft met de andere twee forests (noch een forestvertrouwensrelaties noch externe domeinvertrouwensrelaties). Kies deze optie als u Active Directory Domain Services niet kunt uitbreiden voor eender welk forest, maar u het schema een nieuw of bestaand forest wel kunt uitbreiden die geen vertrouwensrelaties met de andere twee forests kan hebben.

Publicatieaccount Health-statusreferentie

Geeft een Microsoft Windows-gebruikersaccount in het toegewezen Active Directory-forest als een van de volgende van toepassing is:

  • Het toegewezen forest is niet hetzelfde forest als de siteserver.

  • Er is geen vertrouwensrelatie tussen het domein van de siteserver en het domeinachtervoegsel.

  • Er is een vertrouwensrelatie tussen het domein van de siteserver en het domeinachtervoegsel, maar de machtiging Volledige bevoegdheid is niet toegewezen aan de System Management Active Directory-container voor de computeraccount van de siteserver.

Opvraagaccount Health-statusreferentie

Geeft een Windows-gebruikersaccount in het toegewezen Active Directory-forest als een van de volgende van toepassing is:

  • Het toegewezen forest is niet hetzelfde forest als de System Health Validator-punten.

  • Er is geen vertrouwensrelatie tussen de System Health Validator-punten en het domeinachtervoegsel.

Eigenschappen van softwaredistributieonderdele

Configuratieoptie

Beschrijving

Netwerktoegangsaccount

Geeft een Windows-gebruikersaccount voor de netwerktoegangsaccount wanneer clientcomputers uit werkgroepen of niet-vertrouwde domeinen toegang tot netwerkbronnen vereisen.

System_CAPS_importantBelangrijk

De netwerktoegangsaccount wordt nooit gebruikt als de beveiligingscontext om toepassingen en programma's uit te voeren, software-updates te installeren of takenreeksen uit te voeren. Het wordt enkel gebruikt voor toegang tot bronnen op het netwerk.

Hoewel Configuration Manager-clientcomputers de Lokale systeemaccount gebruiken om de meeste Configuration Manager-clientbewerkingen op de computer uit te voeren, heeft de Lokale systeemaccount geen toegang tot netwerkbronnen. De Lokale systeemaccount kan bijvoorbeeld geen computer naar distributiepunten verifiëren, zodat de computer een verbinding kan maken en software kan downloaden. In deze scenario's maken clients in vertrouwde domeinen gebruik van het <computername>$-account om toegang te krijgen tot de netwerkbronnen. Computers die geen gebruik kunnen maken van het <computername>$-account voor computerverificatie, kunnen een specifieke Windows-gebruikersaccount voor de netwerktoegangsaccount gebruiken.

Mogelijk moet u ook een Windows-gebruikersaccount voor de netwerktoegangsaccount opgeven wanneer u een besturingssysteem implementeert. Dit is omdat de comptuer die het besturingssysteem ontvangt, geen beveiligingscontext heeft voor toegang tot inhoud op het netwerk.

Notitie

Wanneer u een Windows-gebruikersaccount opgeeft, configureer het dan om de mnimum gepaste machtigingen te hebben op de inhoud waartoe het toegang moet hebben om de software te downloaden. De account moet het gebruikersrecht Deze computer via het netwerk benaderen hebben op het distributiepunt of andere server waar de pakketinhoud staat.

Verleen aan deze account geen interactief aanmeldgebruikersrecht of het gebruikersrecht om computers te koppelen aan het domein. Gebruik het domeinlidmaatschapaccount van de takenreekseditor als u tijdens een takenreeks computers lid moet maken van een domein.

Voor System Center 2012 R2 Configuration Manager en later: U kunt nu meerdere netwerktoegangsaccounts voor een site opgeven. Wanneer clients toegang proberen te krijgen tot inhoud en ze hun lokale computeraccount niet kunnen gebruiken, zullen ze eerst het account voor de laatste netwerktoegang gebruiken waarmee verbinding is gemaakt.Configuration Manager ondersteunt het gebruik van maximaal tien accounts voor netwerktoegang.

Eigenschappen van software-updatepuntcomponent

Zie Software-updates configureren in Configuration Manager voor meer informatie over de configuratieopties voor het onderdeel software-updatepunt.

Eigenschappen van beheerpuntonderdelen

Configuratieoptie

Beschrijving

Beheerpunten

Geeft de beheerpunten in de site Configuration Manager om naar Active Directory Domain Services te publiceren.

Configuration Manager-clients gebruiken beheerpunten voor servicelocatie: om site-informatie te vinden zoals lidmaatschap van grensgroepen en opties voor de selectie van PKI-certificaten; en om andere beheerpunten in de site en distributiepunten te vinden van waaruit software kan worden gedownload. Clients gebruiken beheerpunten ook om sitetoewijzing te voltooien en clientbeleid te downloaden en hun clientinformatie te uploaden.

Omdat de veiligste methode voor clients om beheerpunten te vinden, het publiceren ervan in Active Directory Domain Services is, selecteert u gewoonljik altijd alle werkende beheerpunten om naar Active Directory Domain Services te publiceren. Deze servicelocatiemethode vereist echter dat het schema wordt uitgebreid voor Configuration Manager, er een System Management-container is met geschikte beveiligingsmachtigingen voor de siteserver om naar deze container te publiceren, dat de Configuration Manager-site is geconfigureerd om te publiceren naar Active Directory Domain Services, en dat clients behoren tot hetzelfde Active Directory-forest als het forest van de siteserver.

Wanneer clients op het intranet geen Active Directory Domain Services kunnen gebruiken om beheerpunten te zoeken, gebruik dan DNS-publishing.

Geselecteerde intranetbeheerpunten publiceren in DNS

Specificeer deze wanneer clients op het intranet geen beheerpunten kunnen vinden van Active Directory Domain Services, maar ze wel een DNS-servicelocatiebronrecord (SRV RR) kunnen gebruiken om een beheerpunt in hun toegewezen site te zoeken.

Opdat Configuration Manager intranetbeheerpunten naar DNS zou publiceren, moet aan alle volgende voorwaarden worden voldaan:

  • Uw DNS-servers hebben een versie van BIND die 8.1.2 of recenter is.

  • Uw DNS-servers zijn geconfigureerd voor automatische updates en ondersteunen servicelocatiebronrecords.

  • De opgegeven FQDN's voor de beheerpunten in Configuration Manager hebben hostvermeldingen (A- of A-records) in DNS.

System_CAPS_warningWaarschuwing

Opdat clients beheerpunten zouden vinden die in DNS zijn gepubliceerd, moet u de clients toewijzen aan een specifieke site (eerder dan automatische sitetoewijzing te gebruiken) en moet u deze clients configureren om de sitecode met het domeinachtervoegsel van hun beheerpunt te gebruiken. Zie Clientcomputers configureren om beheerpunten te vinden met DNS-publishing in Configuration Manager voor meer informatie.

Als Configuration Manager-clients geen Active Directory Domain Services of DNS kunnen gebruiken om beheerpunten op het intranet te vinden, vallen ze terug op het gebruik van WINS. Het eerste beheerpunt dat voor de site is geïnstalleerd, wordt automatisch gepubliceerd naar WNS wanneer het is geconfigureerd om HTTP-clientverbindingen op het intranet te aanvaarden.

Eigenschappen van het onderdeel buiten-bandbeheerpunt

System_CAPS_importantBelangrijk

U kunt geen configuratieopties voor het onderdeel buiten-bandbeheer opslaan, tenzij de site ten minste één inschrijvingspunt geïnstalleerd heeft.

Zie Stap 5: Configureren van de buiten-Band-Management-onderdeel voor meer informatie over de configuratieopties voor het buiten-bandbeheer onderdeel.

Evaluatie lidmaatschap verzameling

Notitie

Voor System Center 2012 Configuration Manager SP1 en later:

Gebruik deze taak om te wijzigen hoe vaak het verzamelingslidmaatschap stapsgewijs wordt geëvalueerd. Via stapsgewijze evaluatie werkt u een verzamelingslidmaatschap bij met uitsluitend nieuwe of gewijzigde bronnen.

In Configuration Manager zonder servicepack, configureert u evaluaties van het verzamelingslidmaatschap als een siteonderhoudstaak. Zie de sectie Planning voor onderhoudstaken voor Configuration Manager in het onderwerp Sitebewerkingen plannen in Configuration Manager voor informatie.