Configuration des composants de site dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

La configuration des composants de site permet de contrôler le comportement des rôles de système de site sur un site et de contrôler le comportement de la génération de rapports d'état de sites. Les configurations pour les rôles de système de site s'appliquent à chaque instance d'un rôle de système de site, sur un site spécifique. Ces configurations doivent être effectuées individuellement sur chaque site et ne s'appliquent pas à plusieurs sites.

Configurer des composants de site pour Configuration Manager

La configuration des composants de site permet de contrôler le comportement des rôles de système de site sur un site et de contrôler le comportement de la génération de rapports d'état de sites. Les configurations pour les rôles de système de site s'appliquent à chaque instance d'un rôle de système de site, sur un site spécifique. Ces configurations doivent être effectuées individuellement sur chaque site et ne s'appliquent pas à plusieurs sites.

Utilisez la procédure suivante pour sélectionner les composants de site que vous souhaitez configurer sur un site spécifique.

Pour modifier les composants de site sur un site

  1. Dans la console Configuration Manager, cliquez sur Administration.

  2. Dans l'espace de travail Administration, développez Configuration du site, puis cliquez sur Sites.

  3. Sélectionnez le site dont vous allez configurer les composants.

  4. Dans l'onglet Accueil, dans le groupe Paramètres, cliquez sur Configurer les composants de site, puis sélectionnez le composant de site que vous souhaitez configurer.

Options de configuration des composants de site

La plupart des options de configuration pour les composants de site sont explicites ou affichent des informations supplémentaires dans les boîtes de dialogue. Consultez les sections suivantes pour plus d'informations sur les paramètres qui pourraient nécessiter des informations avant leur configuration :

Propriétés du composant du point du programme de validation d'intégrité système

Ne configurez ces options de configuration que si vous installez des points du programme de validation d'intégrité système sur le site pour utiliser la protection d'accès au réseau pour les mises à jour logicielles.

Option de configuration

Description

Intervalle entre les requêtes (minutes)

Indique, en minutes, la fréquence à laquelle les points du programme de validation d'intégrité système extraient et mettent en cache les références d'état d'intégrité de Configuration Manager à partir des services de domaine Active Directory. Les informations sont extraites avec un appel LDAP (Lightweight Directory Access Protocol) vers un serveur de catalogue global.

Plus la valeur est faible, plus le programme de validation d'intégrité système détecte rapidement les modifications apportées aux stratégies NAP de Configuration Manager ; toutefois, les clients sont plus susceptibles d'être jugés non conformes, même s'ils disposent de toutes les mises à jour logicielles requises spécifiées dans les stratégies NAP de Configuration Manager. Dans ce scénario, si les stratégies du serveur NPS sont configurées pour accorder un accès réseau limité aux clients non conformes, les clients n'auront pas d'accès réseau intégral tant qu'ils n'auront pas téléchargé leurs stratégies NAP de Configuration Manager, réévalué leur conformité, puis envoyé une nouvelle déclaration d'intégrité au point du programme de validation d'intégrité système. Ce processus peut prendre quelques minutes.

Plus la valeur est élevée, moins les clients sont susceptibles d'être jugés non conformes lorsqu'ils disposent de toutes les mises à jour logicielles requises spécifiées dans les stratégies NAP de Configuration Manager. Dans ce scénario, les clients ne risquent pas d'avoir un accès réseau limité pour télécharger leurs stratégies NAP de Configuration Manager et réévaluer leur conformité. Toutefois, une valeur plus élevée peut impliquer que les clients soient jugés conformes lorsqu'ils n'ont pas évalué leur conformité par rapport aux stratégies NAP de Configuration Manager les plus récentes.

Aussi, afin d'éviter que les clients disposant des mises à jour logicielles sélectionnées aient un accès réseau limité, tout en veillant à ce que les résultats de conformité reposent sur les dernières stratégies NAP de Configuration Manager, il vous est recommandé de configurer cette option sur le double de la valeur indiquée pour le paramètre client Intervalle d'interrogation de stratégie client (par défaut, cet intervalle est d'une heure).

Ce paramètre peut être défini entre 1 et 10 080 minutes et la valeur par défaut est de 120 minutes.

Période de validité (heures)

Indique la durée, en heures, pendant laquelle une SoH client mise en cache sera acceptée comme conforme par les points du programme de validation d'intégrité système.

Si l'état d'intégrité du client est plus ancien que à la période de validité, le point du programme de validation d'intégrité système renvoie un état d'intégrité non conforme au serveur NPS. Dans ce scénario, si les stratégies du serveur NPS appliquent la conformité, le client est forcé à réévaluer son état de conformité et à présenter une nouvelle SoH. Par conséquent, une période de validité plus longue résulte en un traitement (et en des temps de connexion) plus rapide, mais la conformité peut ne pas être à jour.

Ce paramètre peut être défini entre 1 et 168 heures et la valeur par défaut est de 26 heures.

Important

Si vous modifiez la période de validité par défaut, veillez à configurer une valeur plus élevée que le paramètre du client pour la planification de la réévaluation du NAP. Si l'évaluation de conformité sur le client se produit moins fréquemment que la période de validité, les clients seront jugés non conformes par le point du programme de validation d'intégrité système.

Dans ce scénario, la mise à jour indiquera au client de réévaluer sa conformité et de générer une SoH actuelle. Ce processus peut prendre quelques minutes, donc si les stratégies du serveur NPS sont configurées pour limiter l'accès réseau pour les ordinateurs non conformes, ces derniers ne pourront pas accéder aux ressources réseau du réseau intégral durant cette réévaluation.

La date de création doit être ultérieure au temps universel (UTC)

Indique si vous voulez vous assurer qu'une SoH client est créée après une certaine date et certaine heure (du temps universel). Après sélection de cette option, sélectionnez la date et l'heure. La date et l'heure ne peuvent pas être définies sur une valeur future, mais doivent correspondre à une date et à une heure actuelles ou passées.

La définition de cette option est appropriée si vous venez de configurer une nouvelle stratégie NAP de Configuration Manager et la mise à jour logicielle sélectionnée dans la stratégie doit impérativement être incluse dans l'évaluation, quelle que soit la période de validité.

Cette option n'est pas activée par défaut.

Spécifier une forêt Active Directory

Indique que le serveur de site et les points du programme de validation d'intégrité système pour ce site ne se trouvent pas dans la même forêt Active Directory. Pour configurer un composant du point du programme de validation d'intégrité système pour cet environnement, vous devez identifier les forêts dans lesquelles se trouvent ces points, identifier si des relations d'approbation existent entre elles et choisir la forêt qui publiera les références d'état d'intégrité de Configuration Manager.

La forêt Active Directory qui publie les références de l'état d'intégrité doit être étendue à l'aide des extensions de schéma Configuration Manager, les serveurs de site doivent effectuer des publications dans Active Directory et des autorisations sur le conteneur System Management doivent être définies de manière appropriée dans Active Directory. Vous devrez déterminer la forêt à utiliser pour publier les références de l'état d'intégrité de Configuration Manager en fonction de ces dépendances Active Directory.

Les exemples ci-dessous présentent quatre configurations de base utilisées dans des situations où la protection d'accès au réseau dans Configuration Manager s'étend sur plusieurs forêts Active Directory. Ils vous aident à déterminer la forêt Active Directory qui publie les références de l'état d'intégrité.

  • Les serveurs de site se trouvent dans une forêt Active Directory et tous les points du programme de validation d'intégrité système se trouvent dans une autre forêt Active Directory. Les références de l'état d'intégrité de Configuration Manager sont publiées dans la forêt qui contient les serveurs de site. Choisissez cette option si vous pouvez étendre les services de domaine Active Directory de Configuration Manager et si les points du programme de validation d'intégrité système se trouvent sur un réseau de périmètre

  • Les serveurs de site se trouvent dans une forêt Active Directory et tous les points du programme de validation d'intégrité système se trouvent dans une autre forêt Active Directory. Les références de l'état d'intégrité de Configuration Manager sont publiées dans la forêt qui contient les points du programme de validation d'intégrité système. Choisissez cette option si vous ne pouvez pas étendre les services de domaine Active Directory de Configuration Manager, mais que vous pouvez étendre le schéma de la deuxième forêt.

  • Les serveurs de site se trouvent dans une forêt Active Directory et tous les points du programme de validation d'intégrité système se trouvent dans une autre forêt Active Directory. Les références de l'état d'intégrité de Configuration Manager sont publiées dans une troisième forêt Active Directory, qui bénéficie de relations d'approbation avec les deux autres forêts (soit une approbation de forêt, soit des approbations de domaines externes). Choisissez cette option si vous ne pouvez étendre les services de domaine Active Directory pour aucune forêt, mais que pouvez étendre le schéma d'une forêt existante ou d'une nouvelle forêt.

  • Les serveurs de site se trouvent dans une forêt Active Directory et tous les points du programme de validation d'intégrité système se trouvent dans une autre forêt Active Directory. Les références de l'état d'intégrité de Configuration Manager sont publiées dans une troisième forêt Active Directory, qui ne bénéficie pas de relations d'approbation avec les deux autres forêts (ni d'une approbation de forêt, ni d'approbations de domaines externes). Choisissez cette option si vous ne pouvez étendre les services de domaine Active Directory pour aucune forêt, mais que pouvez étendre le schéma d'une forêt existante ou d'une nouvelle forêt qui ne peut pas bénéficier de relations d'approbation avec les deux autres forêts.

Compte de publication de la référence d'état d'intégrité

Spécifie un compte d'utilisateur Microsoft Windows dans la forêt Active Directory désignée si l'une des situations suivantes se présente :

  • La forêt désignée n'est pas la même que celle du serveur de site.

  • Aucune relation de confiance n'existe entre le domaine du serveur de site et le suffixe du domaine.

  • Une relation de confiance existe entre le domaine du serveur de site et le suffixe du domaine, mais l'autorisation Contrôle intégral n'a pas été accordée au conteneur System Management dans Active Directory pour le compte d'ordinateur du serveur de site.

Compte d'interrogation de référence d'état d'intégrité

Spécifie un compte d'utilisateur Windows dans la forêt Active Directory désignée si l'une des situations suivantes se présente :

  • La forêt désignée n'est pas la même que celles des points du programme de validation d'intégrité système.

  • Aucune relation de confiance n'existe entre les points du programme de validation d'intégrité système et le suffixe de domaine.

Propriétés du composant de distribution de logiciels

Option de configuration

Description

Compte d'accès au réseau

Spécifiez un compte d'utilisateur Windows pour le compte d'accès au réseau lorsque des ordinateurs clients de groupes de travail ou de domaines non approuvés ont besoin d'accéder à des ressources réseau.

Important

Le compte d'accès au réseau n'est jamais utilisé en tant que contexte de sécurité pour exécuter des applications et des programmes, pour installer des mises à jour logicielles ou pour exécuter des séquences de tâches. Il n'est utilisé que pour accéder aux ressources du réseau.

Même si le client Configuration Manager utilise le compte Système local pour effectuer la plupart des opérations du client Configuration Manager sur l'ordinateur, ce compte ne peut pas accéder aux ressources réseau. Par exemple, le compte Système local ne peut pas authentifier un ordinateur à des points de distribution, afin que l'ordinateur puisse établir une connexion et télécharger le logiciel. Dans ces scénarios, les clients de domaines approuvés utilisent le compte <nom_ordinateur>$ pour accéder aux ressources réseau. Les ordinateurs qui ne peuvent pas utiliser le compte <nom_ordinateur>$ pour l'authentification de l'ordinateur peuvent utiliser un compte d'utilisateur Windows spécifié pour le compte d'accès réseau.

Vous pouvez avoir besoin de spécifier un compte d'utilisateur Windows pour le compte d'accès au réseau lorsque vous déployez un système d'exploitation. Ceci est dû au fait que l'ordinateur qui reçoit le système d'exploitation ne dispose pas d'un contexte de sécurité qu'il peut utiliser pour accéder à du contenu sur le réseau.

Notes

Lorsque vous spécifiez un compte d'utilisateur Windows, configurez-le pour qu'il dispose des autorisations minimales appropriées sur le contenu auquel il doit accéder pour télécharger le logiciel. Le compte doit disposer du droit d'utilisateur Accéder à cet ordinateur à partir du réseau pour le point de distribution ou un autre serveur sur lequel se trouve le contenu du package.

N'accordez pas à ce compte le droit d'utilisateur de connexion interactive ni le droit d'utilisateur permettant d'ajouter des ordinateurs au domaine. Si vous devez joindre les ordinateurs au domaine au cours d'une séquence de tâches, utilisez le compte de jonction de domaine de l'Éditeur de séquence de tâches.

Pour System Center 2012 R2 Configuration Manager et ultérieur : Vous pouvez maintenant spécifier plusieurs comptes d'accès réseau pour un site. Quand des clients essaient d'accéder au contenu et ne peuvent pas utiliser leur compte d'ordinateur local, ils utilisent d'abord le dernier compte d'accès réseau qui s'est connecté avec succès.Configuration Manager prend en charge jusqu'à dix comptes d'accès réseau.

Propriétés des composants du point de mise à jour logicielle

Pour plus d'informations sur les options de configuration pour le composant de point de mise à jour logicielle, voir Configuration des mises à jour dans Configuration Manager.

Propriétés du composant du point de gestion

Option de configuration

Description

Points de gestion

Spécifie les points de gestion du site Configuration Manager à publier dans les services de domaine Active Directory.

Les clients Configuration Manager utilisent des points de gestion pour l'emplacement du service : pour rechercher des informations sur le site, telles que les appartenances à des groupes de limites et les options de sélection de certificats PKI, mais également pour rechercher d'autres points de gestion du site ainsi que des points de distribution, d'où ils peuvent télécharger des logiciels. Les clients utilisent également les points de gestion pour terminer l'attribution de site et télécharger la stratégie client et leurs informations client.

Comme la plus sûre des méthodes pour que les clients trouvent des points de gestion est de publier ceux-ci dans les services de domaines Active Directory, vous aurez généralement toujours besoin de sélectionner tous les points de gestion en fonctionnement pour publier dans les services de domaine Active Directory. Cette méthode d'emplacement du service requiert toutefois l'extension du schéma pour Configuration Manager. Il existe un conteneur Gestion du système disposant des autorisations de sécurité appropriées pour que le serveur de site puisse publier dans ce conteneur, dont le site Configuration Manager est configuré pour publier dans les services de domaine Active Directory et dont les clients appartiennent à la même forêt Active Directory, puisqu'il s'agit de la forêt du serveur de site.

Lorsque les clients sur l'intranet ne peuvent pas utiliser les services de domaine Active Directory pour rechercher des points de gestion, utilisez la publication DNS.

Publier des points de gestion intranet sélectionnés dans DNS

Spécifiez cette option lorsque des clients sur l'intranet ne trouvent pas de points de gestion depuis les services de domaine Active Directory, mais qu'ils peuvent utiliser un enregistrement de la ressource d'emplacement de service DNS (SRV RR) pour trouver un point de gestion dans leur site attribué.

Pour que Configuration Manager puisse publier des points de gestion intranet dans DNS, toutes les conditions suivantes doivent être remplies :

  • Vos serveurs DNS ont une version de BIND 8.1.2 ou ultérieure.

  • Vos serveurs DNS sont configurés pour les mises à jour automatiques et prennent en charge les enregistrements de ressource d'emplacement de service.

  • Les noms de domaine complets spécifiés pour les points de gestion de Configuration Manager ont des entrées d'hôte (enregistrements A ou AAA) dans DNS.

System_CAPS_warningAvertissement

Pour que les clients identifient leurs points de gestion publiés dans DNS, vous devez attribuer les clients à un site spécifique (et non utiliser l'attribution automatique de site), et vous devez configurer ces clients pour qu'ils utilisent le code de site avec le suffixe du domaine de leur point de gestion. Pour plus d'informations, voir Comment configurer des ordinateurs clients pour trouver des points de gestion via la publication DNS dans Configuration Manager.

Si les clients Configuration Manager ne peuvent pas utiliser les services de domaine Active Directory ou DNS pour rechercher des points de gestion sur l'intranet, ils peuvent recourir à l'utilisation de WINS. Le premier point de gestion installé pour le site est automatiquement publié dans WINS lorsqu'il est configuré pour accepter les connexions client HTTP sur l'intranet.

Propriétés du composant du point de gestion hors bande

Important

Vous ne pouvez pas enregistrer les options de configuration pour le composant de gestion hors bande, à moins que le site dispose d'au moins un point d'inscription.

Pour plus d'informations sur les options de configuration pour le composant de point de gestion hors bande, consultez Étape 5 : Configuration du composant de gestion hors bande.

Évaluation de l'appartenance au regroupement

Notes

Pour System Center 2012 Configuration Manager SP1 et ultérieur :

Cette tâche permet de modifier la fréquence à laquelle l'appartenance à un regroupement est évaluée de façon incrémentielle. L'évaluation incrémentielle met à jour une appartenance à un regroupement uniquement avec de nouvelles ressources ou des ressources modifiées.

Dans Configuration Manager sans Service Pack, vous configurez l'évaluation de l'appartenance au regroupement sous forme de tâche de maintenance de site. Pour plus d'informations, consultez la section Planification des tâches de maintenance pour Configuration Manager de la rubrique Planification des opérations de site dans Configuration Manager