在多个 Active Directory 林中的 Configuration Manager
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
当跨多个 Active Directory 林部署 Configuration Manager 2007 时,请在设计 Configuration Manager 2007 层次结构时规划下列注意事项:
Configuration Manager 2007 站点内的通信
Configuration Manager 2007 站点之间的通信
跨林的客户端的支持
配置跨 Active Directory 林的客户端
批准跨 Active Directory 林的客户端(混合模式)
跨 Active Directory 林的漫游支持
Configuration Manager 站点内林信任之间的通信
只有两种跨 Active Directory 林支持单个站点内的站点系统的受支持方案:
系统健康验证程序点,与网络访问保护一起使用
基于 Internet 的客户端管理,支持安装在单独的林中的下列站点系统与站点服务器通信:
管理点
分发点
软件更新点
回退状态点
备注
如果下列站点系统安装在单独的林中,则它们也受支持,尽管这不是安全最佳方案:服务器定位器点和 PXE 服务点。
在任意一种受支持的方案中,即使两个林之间存在双向信任,或者站点服务器的域与站点系统域之间存在外部信任,您也必须为站点系统的安装和配置指定一个 Windows 用户帐户。
还有另一种适用于支持基于 Internet 的客户端管理的站点系统的跨林信任配置。如果这些站点系统安装在与站点服务器不同的林中,并且您希望确保通信永远只从站点服务器向站点系统启动,而不从站点系统向站点服务器启动,则启用站点系统选项“仅允许从此站点系统由站点服务器启动的数据传输”。在基于 Internet 的客户端管理方案中,这些站点系统安装在外围网络(也称为 DMZ、外围安全区域和外围子网)中,此配置可确保这些站点系统与 Intranet 之间的所有连接都仅从 Intranet 启动,而不从不受信任的网络启动。因此,这比接受从外围网络启动的进入 Intranet 的连接更安全。但是,如果选择此跨林信任配置,请注意下列注意事项:
即使两个林之间存在信任关系,也必须为安装配置 Windows 用户帐户。
此配置可能会在将状态消息发送到站点时造成某种程度的延迟,同时降低站点服务器的性能。
重要
站点内未在上面列出的所有其他站点系统必须位于同一 Active Directory 林中。除必须位于同一域中的站点服务器、SMS 提供程序计算机、报表点和站点数据库服务器以外,其他站点系统可以安装在同一林的不同域中。
Configuration Manager 站点间的跨林信任通信
Configuration Manager 层次结构支持来自不同的 Active Directory 林的主站点。Configuration Manager 不支持来自远程 Active Directory 林内的父主站点中的辅助站点。
当层次结构包含来自不同 Active Directory 林的主站点时,您必须使用层次结构维护工具 (Preinst.exe) 配置手动密钥交换,因为不同 Active Directory 林中的站点无法从 Active Directory 域服务中自动检索密钥。如果要对在站点之间发送的数据进行签名,则需要进行密钥交换。有关手动交换公钥的信息,请参阅如何在站点之间手动交换公钥。
如果 Configuration Manager 2007 站点层次结构中的一个或多个主站点位于不同的 Active Directory 林中,则只要在每个站点的发送程序地址属性中正确配置了域用户帐户,就不需要使用 Active Directory 林信任来启用站点到站点通信。如果未在每个站点的发送程序地址属性中将域用户帐户配置为站点地址帐户,则将使用站点服务器计算机帐户。将站点服务器计算机帐户用作站点地址帐户时,林之间必须具有完全 Active Directory 林信任才能实现站点与站点之间的通信。
客户端 SupportAcross 林信任
Configuration Manager 层次结构支持远程 Active Directory 林中的主站点和客户端。在此方案中,请确保站点系统能够成功解析其他林中客户端计算机的短名称。大多数由服务器启动的操作(如客户端请求安装和远程控制)会使用计算机的短名称连接到客户端,而不是使用完全限定的域名 (FQDNA)。针对不同林中的客户端计算机用 DNS 搜索后缀配置站点系统是确保成功解析短名称的一种方法。
要使用 Active Directory 系统发现来发现其他林中的计算机资源,站点服务器林与计算机所在的林之间必须存在林信任。
当站点系统与客户端之间存在防火墙时,请确保将防火墙配置为允许 Configuration Manager 所需的通信。有关在客户端部署期间使用的端口的列表,请参阅Configuration Manager 客户端部署期间使用的端口。有关在部署客户端之后使用的端口的详细信息,请参阅 Configuration Manager 使用的端口。
如果有客户端与其分配的站点服务器不在相同林中,则使用以下附加信息来确保正确配置这些客户端。
配置跨 Active Directory 林的客户端
Intranet 上的 Configuration Manager 2007 客户端使用 Active Directory 域服务作为服务定位和配置的主要方法。如果有客户端位于单独的林中,它们无法检索由其分配的站点服务器发布到 Active Directory 域服务的信息。
为使这些客户端受管理,必须确保具有用于以下各项的备用方法:
完成站点分配的站点兼容性检查
管理点的服务定位,以及服务器定位器点(如果不是直接指定)
纯模式配置
像未针对 Configuration Manager 2007 扩展 Active Directory 域服务一样配置这些客户端。这些客户端将需要的信息以及其他配置步骤将在决定是否应扩展 Active Directory 架构内的“为 Configuration Manager 扩展 Active Directory 架构的特征和功能注意事项”部分中列出。
批准跨 Active Directory 林的客户端(混合模式)
如果站点处于混合模式,并且您使用的站点配置是“自动批准受信任的域中的计算机”,则必须使用 Intranet 完全限定的域名 (FQDN) 来配置管理点。
有关批准的详细信息,请参阅关于 Configuration Manager 中的客户端批准,有关如何指定管理点的 FQDN 的信息,请参阅如何配置站点系统的 Intranet FQDN。
跨 Active Directory 林的漫游支持
由于来自另一个林的客户端无法访问发布到 Active Directory 域服务的站点信息,这些客户端将不具有可让其在任何层次结构的任何站点中找到分发点的全局漫游功能。但这些客户端具有区域漫游功能,当它们漫游至层次结构中级别比其已分配站点低的站点时,区域漫游允许它们查找本地分发点。如果来自另一个林的客户端漫游至同级站点或层次结构中更高级别的站点,它们将从已分配的站点下载包源文件。有关全局和区域漫游行为的详细信息,请参阅关于 Configuration Manager 中的客户端漫游。
另请参阅
任务
如何将默认管理点自动发布到 DNS
如何将基于 Internet 的站点系统配置为仅允许由站点服务器启动的数据传输
如何在站点之间手动交换公钥
概念
关于网络访问保护和多个 Active Directory 林
确定是否需要 Configuration Manager 客户端的服务器定位器点
为基于 Internet 的客户端管理确定服务器布局
基于 Internet 的客户端管理概述