Configuration Manager in mehreren Active Directory-Gesamtstrukturen

  • Artikel

Letzte Aktualisierung: Juli 2010

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Wenn Sie Configuration Manager 2007 in mehreren Active Directory-Gesamtstrukturen bereitstellen, sollten Sie beim Entwerfen der Configuration Manager 2007-Hierarchie Folgendes berücksichtigen:

  • Kommunikation innerhalb eines Configuration Manager 2007-Standorts

  • Kommunikation zwischen Configuration Manager 2007-Standorten

  • Unterstützung von Clients in mehreren Gesamtstrukturen

    • Konfigurieren von Clients in mehreren Active Directory-Gesamtstrukturen

    • Genehmigen von Clients (gemischter Modus) in mehreren Active Directory-Gesamtstrukturen

    • Roamingunterstützung in mehreren Active Directory-Gesamtstrukturen

Kommunikation zwischen Gesamtstruktur-Vertrauensstellungen an einem Configuration Manager-Standort

Es werden nur zwei Szenarien unterstützt, bei denen Standortsysteme mit einem einzigen Standort in mehreren Active Directory-Gesamtstrukturen unterstützt werden:

  • Der mit Netzwerkzugriffsschutz verwendete Systemintegritätsprüfungspunkt

  • Internetbasierte Clientverwaltung, mit der die folgenden Standortsysteme unterstützt werden, die in einer anderen Gesamtstruktur als der Standortserver installiert sind:

    • Verwaltungspunkt

    • Verteilungspunkt

    • Softwareupdatepunkt

    • Fallbackstatuspunkt

    Hinweis

    Obwohl nicht die bewährte Sicherheitsmethode – die folgenden Standortsysteme werden auch unterstützt, wenn sie in einer eigenen Gesamtstruktur installiert sind: Serverlocatorpunkt und PXE-Dienstpunkt.

In beiden unterstützten Szenarien müssen Sie für die Installation und Konfiguration des Standortsystems ein Windows-Benutzerkonto angeben, auch wenn zwischen den beiden Gesamtstrukturen eine bidirektionale Vertrauensstellung besteht oder zwischen der Domäne des Standortservers und der Domäne des Standortsystems externe Vertrauensstellungen vorhanden sind.

Es gibt eine weitere Konfiguration zwischen Gesamtstruktur-Vertrauensstellungen speziell für Standortsysteme, von denen die internetbasierte Clientverwaltung unterstützt wird. Wenn diese Standortsysteme nicht in derselben Gesamtstruktur wie der Standortserver installiert werden und Sie sicherstellen möchten, dass die Kommunikation nicht über die Standortsysteme, sondern ausschließlich über den Standortserver initiiert wird, aktivieren Sie die Standortsystemoption Nur von Standortservern initiierte Datenübertragungen von diesem Standortsystem zulassen. In einem Szenario mit internetbasierter Clientverwaltung, in dem diese Standortsysteme in einem Umkreisnetzwerk (auch als DMZ oder überwachtes Subnetz bezeichnet) installiert werden, stellen Sie mit dieser Konfiguration sicher, dass alle Verbindungen zwischen diesen Standortsystemen und dem Intranet nur über das Intranet und nicht über das nicht vertrauenswürdige Netzwerk initiiert werden. Somit ist diese Lösung sicherer, als wenn über das Umkreisnetzwerk initiierte Verbindungen mit dem Intranet akzeptiert werden. Wenn Sie diese Konfiguration zwischen Gesamtstruktur-Vertrauensstellungen auswählen, sollten Sie jedoch Folgendes beachten:

  • Für die Installation müssen Sie ein Windows-Benutzerkonto konfigurieren, auch wenn zwischen den beiden Gesamtstrukturen eine Vertrauensstellung besteht.

  • Bei dieser Konfiguration können beim Senden von Statusmeldungen an den Standort Wartezeiten und somit Leistungseinbußen auf dem Standortserver entstehen.

Wichtig

Alle anderen Standortsysteme an einem Standort, die oben nicht aufgeführt sind, müssen sich in derselben Active Directory-Gesamtstruktur befinden. Sie können innerhalb der Gesamtstruktur in unterschiedlichen Domänen installiert werden. Ausgenommen davon sind der Standortserver, der SMS-Anbietercomputer, der Berichterstattungspunkt und der Standortdatenbankserver. Diese müssen sich alle in derselben Domäne befinden.

Kommunikation zwischen Gesamtstruktur-Vertrauensstellungen zwischen Configuration Manager-Standorten

Von Configuration Manager-Hierarchien werden primäre Standorte in verschiedenen Active Directory-Gesamtstrukturen unterstützt. Von Configuration Manager werden sekundäre Standorte in einer Active Directory-Remotegesamtstruktur des übergeordneten primären Standorts nicht unterstützt.

Wenn sich in der Hierarchie primäre Standorte aus anderen Active Directory-Gesamtstrukturen befinden, muss der manuelle Schlüsselaustausch mithilfe des Hierarchiewartungstools (Preinst.exe) konfiguriert werden, da Schlüssel aus Active Directory-Domänendienste von den Standorten in anderen Active Directory-Gesamtstrukturen nicht automatisch abgerufen werden können. Der Schlüsselaustausch ist für das Signieren von Daten erforderlich, die zwischen Standorten gesendet werden. Informationen zum manuellen Austausch von öffentlichen Schlüsseln finden Sie unter Manuelles Austauschen von öffentlichen Schlüsseln zwischen Standorten.

Wenn sich ein oder mehrere primäre Standorte in der Configuration Manager 2007-Standorthierarchie innerhalb unterschiedlicher Active Directory-Gesamtstrukturen befinden, ist keine Active Directory-Gesamtstruktur-Vertrauensstellung erforderlich, um eine Kommunikation zwischen Standorten zu ermöglichen, solange die Domänenbenutzerkonten in den Senderadresseigenschaften jedes Standorts richtig konfiguriert sind. Wenn Sie Domänenbenutzerkonten in den Senderadresseigenschaften jedes Standorts nicht als Standortadresskonten konfigurieren, werden die Standortserver-Computerkonten verwendet. Wenn die Standortserver-Computerkonten als Standortadresskonten verwendet werden, muss zwischen den Gesamtstrukturen eine vollständige Active Directory-Gesamtstruktur-Vertrauensstellung konfiguriert sein, um eine Kommunikation zwischen Standorten zu ermöglichen.

Unterstützung von Clients in mehreren Gesamtstrukturen

Von Configuration Manager-Hierarchien werden primäre Standorte und Clients in einer Active Directory-Remotegesamtstruktur unterstützt. Stellen Sie in diesem Szenario sicher, dass der Kurzname der Clientcomputer in der anderen Gesamtstruktur von den Standortsystemen aufgelöst werden kann. Bei den meisten von Servern initiierten Aktionen wie bei der Clientpushinstallation und der Remotesteuerung wird mithilfe des Kurznamens (statt mit dem vollqualifizierten Domänennamen) des Computers eine Verbindung mit Clients hergestellt. Die Konfiguration der Standortsysteme mit DNS-Suchsuffixen für Clientcomputer, die sich in einer anderen Gesamtstruktur befinden, ist eine Methode, mit der sichergestellt werden kann, dass der Kurzname erfolgreich aufgelöst wird.

Damit eine Computerressource in einer anderen Gesamtstruktur mithilfe der Active Directory-Systemermittlung ermittelt werden kann, muss zwischen der Gesamtstruktur des Standortservers und der Gesamtstruktur, in der sich der Computer befindet, eine Gesamtstruktur-Vertrauensstellung bestehen.

Wenn sich zwischen dem Standortsystem und dem Client eine Firewall befindet, vergewissern Sie sich, dass die Firewall für die für Configuration Manager erforderliche Kommunikation konfiguriert ist. Eine Liste der Ports, die während der Clientbereitstellung verwendet werden, finden Sie unter Bei der Bereitstellung von Configuration Manager-Clients verwendete Ports. Weitere Informationen zu den Ports, die nach der Clientbereitstellung verwendet werden, finden Sie unter Von Configuration Manager verwendete Ports.

Wenn Clients vorhanden sind, die sich in einer anderen Gesamtstruktur als der des zugewiesenen Standortservers befinden, stellen Sie mithilfe der folgenden zusätzlichen Informationen sicher, dass sie ordnungsgemäß konfiguriert sind.

Konfigurieren von Clients in mehreren Active Directory-Gesamtstrukturen

Configuration Manager 2007-Clients im Intranet verwenden für die Dienstsuche und -konfiguration primär Active Directory-Domänendienste. Von Clients, die sich in einer anderen Gesamtstruktur befinden, können keine Informationen abgerufen werden, die vom zugewiesenen Standortserver in den Active Directory-Domänendiensten veröffentlicht werden.

Zum Verwalten dieser Clients müssen Sie sicherstellen, dass für folgende Aufgaben alternative Methoden verfügbar sind:

  • Standortkompatibilitätsprüfung zum Durchführen der Standortzuweisung

  • Dienstsuche für Verwaltungspunkte und für den Serverlocatorpunkt, sofern dieser nicht direkt zugewiesen ist

  • Konfiguration des einheitlichen Modus

Konfigurieren Sie diese Clients so, als wenn die Active Directory-Domänendienste nicht für Configuration Manager 2007 erweitert wären. Die für diese Clients erforderlichen Informationen sowie zusätzliche Konfigurationsschritte finden Sie im Abschnitt „Überlegungen zu Features und Funktionen zum Erweitern des Active Directory-Schemas für den Configuration Manager“ im Thema Entscheiden, ob das Active Directory-Schema erweitert werden soll.

Genehmigen von Clients (gemischter Modus) in mehreren Active Directory-Gesamtstrukturen

Wenn sich der Standort im gemischten Modus befindet und die Standortkonfiguration Computer in vertrauenswürdigen Domänen automatisch genehmigen verwendet wird, müssen Sie den Verwaltungspunkt mit einem vollqualifizierten Domänennamen (FQDN) für das Intranet konfigurieren.

Weitere Informationen zur Genehmigung finden Sie unter Informationen zur Clientgenehmigung in Configuration Manager. Informationen zum Angeben des FQDN des Verwaltungspunkts finden Sie unter Konfigurieren des Intranet-FQDN der Standortsysteme.

Roamingunterstützung in mehreren Active Directory-Gesamtstrukturen

Da Clients aus einer anderen Gesamtstruktur keinen Zugriff auf Standortinformationen haben, die in Active Directory-Domänendiensten veröffentlicht werden, verfügen sie nicht über die globalen Roamingfähigkeiten, die es ihnen ermöglichen würden, Verteilungspunkte in jedem Standort der Hierarchie zu finden. Stattdessen können sie mithilfe von regionalem Roaming lokale Softwareverteilungspakete ausfindig machen, wenn sie in einen Standort wechseln, der sich in der Hierarchie unterhalb des ihnen zugewiesenen Standorts befindet. Wenn Clients aus einer anderen Gesamtstruktur in einen gleichgeordneten oder in einen in der Hierarchie höheren Standort wechseln, laden sie die Paketquelldateien aus ihrem zugewiesenen Standort herunter. Weitere Informationen zum Verhalten beim globalen und regionalen Roaming finden Sie unter Informationen zum Clientroaming in Configuration Manager.

Siehe auch

Tasks

Automatisches Veröffentlichen des Standardverwaltungspunkts in DNS
Konfigurieren internetbasierter Standortsysteme, damit nur von Standortservern initiierte Datenübertragungen zugelassen werden
Manuelles Austauschen von öffentlichen Schlüsseln zwischen Standorten

Konzepte

Informationen zu Netzwerkzugriffsschutz und mehreren Active Directory-Gesamtstrukturen
Bestimmen, ob ein Serverlocatorpunkt für Configuration Manager-Clients erforderlich ist
Bestimmen der Serverplatzierung für die internetbasierte Clientverwaltung
Übersicht über die internetbasierte Clientverwaltung