Entscheiden, ob das Active Directory-Schema erweitert werden soll

Letzte Aktualisierung: Juli 2010

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Durch Erweitern des Active Directory-Schemas für Configuration Manager 2007 können Clients viele Configuration Manager-Informationstypen von einer vertrauenswürdigen Quelle abrufen. In einigen Fällen gibt es Problemumgehungen zum Abrufen der notwendigen Informationen, wenn das Active Directory-Schema nicht erweitert wird. Doch bieten sie nicht die gleiche Sicherheit wie die Active Directory-Domänendienste-Abfrage.

Darüber hinaus kann für andere Administratoren ein beträchtlicher Arbeitsaufwand entstehen, wenn das Schema nicht erweitert wird. Administratoren müssen dann Problemumgehungslösungen wie Anmeldeskripts und Gruppenrichtlinienobjekte (Group Policy Objects, GPO) für Computer und Benutzer in Ihrer Organisation erstellen und warten.

Das Active Directory-Schema kann vor oder nach der Ausführung des Configuration Manager 2007-Setups erweitert werden. Es wird jedoch empfohlen, das Schema vor dem Ausführen des Configuration Manager 2007-Setups zu erweitern. Sie müssen das Active Directory-Schema nur einmal für die Gesamtstruktur erweitern, die Standortserver enthält. Wenn Sie für die Betriebssysteme auf den Domänencontrollern ein Upgrade ausführen oder die Funktionsebene der Domäne oder der Gesamtstruktur heraufstufen, müssen Sie das Schema nicht erneut erweitern. Wenn neue Versionen von Configuration Manager neue Schemaerweiterungen enthalten, für die Sie das Schema erneut erweitern müssen, wird darauf unter Von Configuration Manager unterstützte Konfigurationen hingewiesen.

noteHinweis
Durch die Erweiterung des Schemas für Configuration Manager werden Standortinformationen nicht automatisch in den Active Directory-Domänendiensten veröffentlicht. Nach dem Erweitern des Schemas müssen Sie die Sicherheit in Active Directory-Domänendienste konfigurieren. Erst dann sind Veröffentlichungen durch Standorte in Active Directory-Domänendienste möglich.

Verwenden von SMS 2003 Active Directory-Schemaerweiterungen für Configuration Manager-Standorte

Die Bereitstellung von Configuration Manager 2007-Standorten mithilfe von SMS 2003 Active Directory-Schemaerweiterungen wird unterstützt. Bei der Entscheidung, ob das Active Directory-Schema für Configuration Manager 2007 erweitert werden soll oder nicht, müssen einige wichtige Punkte berücksichtigt werden. Selbst wenn der Configuration Manager 2007-Standort Standortdaten in Active Directory-Domänendiensten veröffentlicht, sind die erforderlichen Active Directory-Schemaattribute zum Speichern der veröffentlichten Daten in einigen Fällen nicht vorhanden, wenn das Active Directory-Schema nur für SMS 2003 erweitert wurde.

Wurde das Active Directory-Schema für SMS 2003 erweitert, aber nicht für den Configuration Manager, gelten die folgenden Einschränkungen:

  • Es muss ein Configuration Manager 2007-Serverlocatorpunkt verwendet werden, damit Clients die Kompatibilität zugewiesener Standorte überprüfen und die Clientzuweisung abschließen können. Clients können einen Serverlocatorpunkt automatisch über Active Directory-Domänendienste suchen, wenn das Schema für SMS 2003 erweitert wurde.

  • Weil der Netzwerkzugriffsschutz für den Configuration Manager Configuration Manager 2007 Active Directory-Schemaerweiterungen erfordert, wird dieses Feature für Standorte, die SMS 2003 Active Directory-Schemaerweiterungen verwenden, nicht unterstützt.

  • Standortmodusänderungen erfordern manuelle Problemumgehungen auf den Clients.

  • Änderungen der Clientkommunikationsports erfordern manuelle Problemumgehungen.

  • Das Verwaltungspunktattribut dNSHostName wird nicht mehr in Active Directory-Domänendiensten veröffentlicht.

Feature- und Funktionsüberlegungen für die Erweiterung des Active Directory-Schemas für den Configuration Manager

In der folgenden Tabelle werden die einzelnen Configuration Manager 2007-Features oder -Funktionen aufgelistet, die Active Directory-Schemaerweiterungen verwenden. Außerdem finden Sie darin alle damit verbundenen Problemumgehungen, wenn das Schema nicht für Configuration Manager 2007 erweitert wurde.

 

Feature oder Funktion Schemaerweitungsanforderung Anforderungsdetails

Clientinstallation und Standortzuweisung

Empfohlen

Anforderung: Wurde das Active Directory-Schema nicht für Configuration Manager erweitert, werden bei der Clientinstallation mit „Ccmsetup.exe“ nicht automatisch die Clientbereitstellungsparameter aus Active Directory-Domänendiensten abgerufen.

Problemumgehung: Geben Sie mithilfe der Optionen der CCMSetup-Befehlszeile Installationseigenschaften an. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften von Configuration Manager.

Problemumgehung: Ein Configuration Manager 2007-Serverlocatorpunkt, der an Active Directory-Domänendienste unter Verwendung von SMS 2003-Schemaerweiterungen veröffentlicht wurde, kann automatisch von Configuration Manager 2007-Clients gesucht werden, wenn diese zur gleichen Active Directory-Gesamtstruktur gehören.

Problemumgehung: Geben Sie die Serverlocatorpunkt-Informationen während der Clientinstallation unter Verwendung der client.msi-Eigenschaft SMSSLP=<Serverlocatorpunktname> in der CCMSetup-Befehlszeile an. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften von Configuration Manager.

Problemumgehung: Veröffentlichen Sie den Verwaltungspunkt in DNS und den Serverlocatorpunkt in WINS. Weitere Informationen finden Sie unter Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte).

Standortmoduseinstellung und damit verbundene Einstellungen, z. B. Auswahl des Clientzertifikats und CRL-Prüfung

Empfohlen

Anforderung: Wurde das Active Directory-Schema nicht für Configuration Manager erweitert, können Standortmodusinformationen und Clienteinstellungen bezüglich der Konfiguration im einheitlichen Modus nicht in den Active Directory-Domänendiensten veröffentlicht werden.

Problemumgehung: Verwenden Sie CCMSetup.exe-Clientinstallations-Befehlszeileneigenschaften oder eine Clientpushinstallation.

Portkonfiguration für die Kommunikation zwischen Client und Server

Empfohlen

Anforderung: Wurde das Active Directory-Schema nicht für Configuration Manager erweitert, können Clients nicht mit Standortsystemen kommunizieren, wenn der Standardkommunikationsport nach der Clientinstallation geändert wird.

Problemumgehung: Installieren Sie alle betroffenen Clients neu, oder stellen Sie ein Skript zur manuellen Änderung der von Clients zur Kommunikation mit Standortsystemen verwendeten Ports bereit.

Globales Roaming

Erforderlich

Anforderung: Wurde das Active Directory-Schema nicht für Configuration Manager oder SMS 2003 erweitert, kann ein Roamingclient keinen Inhalt für Ankündigungen und Softwareupdates von residenten Verwaltungspunkten anfordern. Dieses Szenario erzeugt zusätzlichen Netzwerkverkehr zur Anforderung von Inhaltsorten beim Standardverwaltungspunkt des Clients, und der Client ist nicht in der Lage, Inhalt auf Standorten zu finden, die in der Hierarchie gleichgeordnet sind oder die in der Hierarchie höher stehen als der zugewiesene Standort des Clients. Weitere Informationen zum Clientroamingverhalten finden Sie unter Informationen zum Clientroaming in Configuration Manager.

Problemumgehung: Keine

Netzwerkzugriffsschutz (NAP) für den Configuration Manager

Erforderlich

Anforderung: Wurde das Active Directory-Schema nicht für Configuration Manager erweitert, können Standorte, für die der Netzwerkzugriffsschutz aktiviert wurde, keine Configuration Manager-Integritätszustandsreferenzen in Active Directory-Domänendiensten veröffentlichen. Werden Integritätszustandsreferenzen nicht auf Active Directory-Domänenservern veröffentlicht, ist die Überprüfung des SoH durch den Systemintegritätsprüfungspunkt nicht möglich.

Problemumgehung: Keine

Gesicherter Schlüsselaustausch zwischen den Standorten1

Empfohlen

Anforderung: Wurde das Active Directory-Schema nicht für Configuration Manager erweitert, können Standorte, für die der gesicherte Schlüsselaustausch erforderlich ist, öffentliche Schlüssel nicht automatisch austauschen und so die Kommunikation zwischen Standorten aktivieren.

noteHinweis
Der gesicherte Schlüsselaustausch zwischen Configuration Manager-Standorten ist standardmäßig aktiviert.1

Problemumgehung: Tauschen Sie die öffentlichen Schlüssel des übergeordneten und des untergeordneten Standorts manuell aus, bevor Sie einen untergeordneten Standort mithilfe des Hierarchiewartungstools (Preinst.exe) zuweisen. Weitere Informationen finden Sie unter Manuelles Austauschen von öffentlichen Schlüsseln zwischen Standorten.

Überprüfen eines vertrauenswürdigen Verwaltungspunkts

Empfohlen

Anforderung: Wurde das Active Directory-Schema nicht für Configuration Manager erweitert, muss von Clients anhand des vertrauenswürdigen Stammschlüssels eine Vertrauensstellung mit einem Standort eingerichtet werden. Wenn der vertrauenswürdige Stammschlüssel nicht vorher für Clients bereitgestellt wurde, vertrauen sie dem ersten Verwaltungspunkt, mit dem sie kommunizieren.

Problemumgehung: Stellen Sie den vertrauenswürdigen Stammschlüssel für die Clients im Voraus bereit. Weitere Informationen finden Sie unter Verwalten des vertrauenswürdigen Stammschlüssels in Configuration Manager.

Problemumgehung: Verwenden Sie den einheitlichen Modus. Im einheitlichen Modus muss das Verwaltungspunktzertifikat dennoch von einem vertrauenswürdigen Stammschlüssel am zentralen Standort signiert werden, aber der Verwaltungspunkt verwendet ein von der PKI ausgestelltes Zertifikat. Solange die PKI nicht kompromittiert wurde, kann der Client dem ersten kontaktierten Verwaltungspunkt vertrauen, der ein gültiges Serverauthentifizierungszertifikat hat. Weitere Informationen zu den PKI-Zertifikatanforderungen für den einheitlichen Modus finden Sie unter Zertifikatanforderungen für den einheitlichen Modus.

Wiederherstellen nach einem Fehler beim Hosten der Verwaltungspunktrolle durch den zentralen Standortserver

Empfohlen

Anforderung: Wenn das Active Directory-Schema nicht für Configuration Manager erweitert wurde und wenn Clients an einen zentralen Standortserver berichten, der auch als Verwaltungspunkt für den Standort fungiert, haben Clients keine Möglichkeit, nach dem Wiederherstellen eines neuen zentralen Standortservers und Verwaltungspunkts automatisch eine Vertrauensstellung mit dem Standort herzustellen.

Problemumgehung: Entfernen Sie den vertrauenswürdigen Stammschlüssel von allen Clients im Standort, und stellen Sie ihn erneut bereit. Weitere Informationen finden Sie unter Verwalten des vertrauenswürdigen Stammschlüssels in Configuration Manager.

Problemumgehung: Verschieben Sie die Verwaltungspunktrolle auf einen anderen Server. Solange die Clients am zentralen Standort nur den Verwaltungspunkt oder nur den zentralen Standortserver verlieren, können sie die Vertrauensstellung wiederherstellen. Weitere Informationen finden Sie unter Informationen zum vertrauenswürdigen Stammschlüssel.

1 Standardmäßig akzeptieren primäre Configuration Manager-Standorte nur Verbindungen mit untergeordneten Standorten, wenn der öffentliche Schlüssel des untergeordneten Standorts dem übergeordneten Standort bekannt ist oder in den Active Directory-Domänendiensten veröffentlicht wurde. Bei einem Upgrade ändert das Configuration Manager-Setup aber nicht die Einstellungen des ursprünglichen gesicherten Schlüsselaustauschs des Standorts. Eine weitere Methode, mit der untergeordnete Standorte zugewiesen werden können, ohne Schemaerweiterungen zu erfordern, besteht darin, keinen gesicherten Schlüsselaustausch zwischen Standorten anzufordern. Dies wird aber nicht empfohlen, weil ein nicht autorisierter untergeordneter Standort dann diesem Standort zugewiesen werden kann und nicht vertrauenswürdige Daten in der Hierarchie nach oben senden könnte.

Siehe auch

Anzeigen: