Condividi tramite


Configurazione dei componenti del sito in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

È possibile configurare componenti del sito per controllare il comportamento dei ruoli del sistema del sito in un sito e il comportamento relativo alla creazione di report dello stato dei siti. Le configurazioni per i ruoli del sistema del sito si applicano a ogni istanza di un ruolo del sistema sito in un particolare sito. Queste configurazioni devono essere effettuate in ogni sito singolarmente e non si applicano a più siti.

Configurare componenti del sito per Configuration Manager

È possibile configurare componenti del sito per controllare il comportamento dei ruoli del sistema del sito in un sito e il comportamento relativo alla creazione di report dello stato dei siti. Le configurazioni per i ruoli del sistema del sito si applicano a ogni istanza di un ruolo del sistema sito in un particolare sito. Queste configurazioni devono essere effettuate in ogni sito singolarmente e non si applicano a più siti.

Utilizzare la procedura seguente per selezionare il componente del sito che verrà configurato in un sito specifico.

Per modificare i componenti del sito in un sito

  1. Nella console di Configuration Manager, fare clic su Amministrazione.

  2. Nell'area di lavoro Amministrazione espandere Configurazione del sito e fare clic su Siti.

  3. Selezionare il sito con i componenti del sito che verranno configurati.

  4. Nella scheda Home del gruppo Impostazioni, fare clic su Configura componenti sito, quindi selezionare il componente del sito che si desidera configurare.

Opzioni di configurazione per i componenti del sito

Molte delle opzioni di configurazione per i componenti del sito sono di chiara interpretazione o visualizzano informazioni aggiuntive nelle finestre di dialogo. Utilizzare le sezioni seguenti per ulteriori informazioni sulle impostazioni che potrebbero richiedere alcune informazioni prima di essere configurate:

Proprietà del componente del punto di Convalida integrità sistema

Configurare queste opzioni di configurazione solo se si installeranno punti di Convalida integrità sistema nel sito per l'utilizzo della Protezione accesso alla rete per gli aggiornamenti software.

Opzione di configurazione

Descrizione

Intervallo di query (minuti)

Specifica in minuti la frequenza con cui i punti di Convalida integrità sistema recuperano e memorizzano nella cache i riferimenti sullo stato di integrità di Configuration Manager dai Servizi di dominio Active Directory. Le informazioni vengono recuperate con una chiamata Lightweight Directory Access Protocol (LDAP) a un server del catalogo globale.

Più basso è il valore, più velocemente la Convalida integrità sistema rileverà le modifiche ai criteri NAP di Configuration Manager; tuttavia, più probabilmente i client non risulteranno conformi anche se hanno tutti gli aggiornamenti software necessari specificati nei criteri NAP di Configuration Manager. In tale scenario, se i criteri nel server dei criteri di rete sono configurati per dare ai client non conformi un accesso di rete limitato, i client non avranno un accesso alla rete completo finché non avranno scaricato i criteri NAP di Configuration Manager, rivalutato la conformità e inviato un nuovo rapporto di integrità al punto di Convalida integrità sistema. Questo processo può richiedere alcuni minuti.

Più alto è il valore, meno probabile risulterà che i client saranno non conformi quando hanno tutti gli aggiornamenti software necessari specificati nei criteri NAP di Configuration Manager. In tale scenario, i client rischieranno di avere un accesso di rete limitato per scaricare i criteri NAP di Configuration Manager e rivalutare la conformità. Tuttavia, un valore più alto potrebbe indicare i client sono considerati conformi quando non hanno valutato la conformità con i più recenti criteri NAP di Configuration Manager.

Un'impostazione per ridurre la probabilità che i client con gli aggiornamenti software selezionati abbia un accesso di rete limitato, ma per assicurarsi che i risultati di conformità siano basati sui criteri NAP più recenti di Configuration Manager, è costituita dal configurare tale opzione con un valore doppio rispetto al valore specificato per l'impostazione client Intervallo di polling dei criteri client (per impostazione predefinita, l'intervallo di polling dei criteri client è di una volta all'ora).

Questa impostazione può essere compresa tra 1 e 10.080 minuti e il valore predefinito è di 120 minuti.

Periodo di validità (ore)

Specifica la durata in ore per cui un rapporto di integrità client memorizzato nella cache verrà accettato come conforme dai punti di Convalida integrità sistema.

Se il rapporto di integrità client è antecedente al periodo di validità, il punto di Convalida integrità sistema restituisce come stato di integrità "non conforme" al Server dei criteri di rete. In tale scenario, se i criteri nel Server dei criteri di rete applica la conformità, il client deve rivalutare lo stato di conformità e presentare un nuovo rapporto di integrità. Pertanto, un periodo di validità più lungo comporta un'elaborazione (e tempi di connessione) più rapida, ma le informazioni di conformità potrebbero non essere aggiornate.

Questa impostazione può essere compresa tra 1 e 168 ore e il valore predefinito è di 26 ore.

System_CAPS_importantImportante

Se si modifica il periodo di validità predefinito, assicurarsi di configurare un valore che sia superiore rispetto all'impostazione client di pianificazione della rivalutazione NAP configurata. Se la valutazione di conformità nel client si verifica meno frequentemente rispetto al periodo di validità, i client verranno trovati non conformi dal punto di Convalida integrità sistema.

In questo scenario, monitoraggio e aggiornamento indicherà ai client di rivalutare la conformità e produrre un rapporto di integrità corrente. Potrebbero essere necessari alcuni minuti per completare il processo, pertanto se i criteri sul server dei criteri di rete vengono configurati con accesso limitato alla rete per i computer non conformi, i computer non saranno in grado di accedere alle risorse di rete sulla rete completa durante questo periodo di rivalutazione.

La data di creazione deve essere successiva a (UTC)

Specifica se si desidera garantire che un rapporto di integrità client venga creato dopo una data e un orario specificati (nel Coordinated Universal Time). Dopo aver selezionato questa opzione, selezionare la data e l'ora. La data e l'ora non possono essere impostate su un valore futuro ma deve corrispondere alla data e all'orario correnti o precedenti.

L'impostazione di questa opzione è appropriata se si è appena configurato un nuovo criterio di Protezione accesso alla rete (NAP) di Configuration Manager ed è necessario che l'aggiornamento software selezionato nei criteri venga incluso nella valutazione, indipendentemente dal periodo di validità.

Questa opzione non è abilitata per impostazione predefinita.

Designare una foresta Active Directory

Specifica che il server del sito e i punti di Convalida integrità sistema per questo sito non si trovano nella stessa foresta Active Directory. Per configurare il componente del punto di Convalida integrità sistema per questo ambiente, è necessario identificare in quali foreste si trovano i punti di Convalida integrità sistema, identificare se esistono relazioni di trust tra di essi e decidere quale foresta pubblicherà i riferimenti sullo stato di integrità di Configuration Manager.

La foresta Active Directory che pubblica i riferimenti sullo stato di integrità deve essere estesa con le estensioni dello schema di Configuration Manager, i server del sito devono pubblicare su Active Directory e le autorizzazioni devono essere impostate correttamente nel contenitore di System Management in Active Directory. Queste dipendenze di Active Directory potrebbero influire sulla scelta della foresta che verrà utilizzata per pubblicare i riferimenti sullo stato di integrità di Configuration Manager.

I seguenti scenari identificano quattro configurazioni di base quando la Protezione accesso alla rete in Configuration Manager si estende su più foreste Active Directory. Utilizzare questi scenari per decidere quale foresta Active Directory pubblicherà i riferimenti sullo stato di salute.

  • I server del sito si trovano in una foresta Active Directory, mentre tutti i punti di Convalida integrità sistema si trovano in un'altra foresta Active DirectoI server del sito si trovano in una foresta Active Directory, mentre tutti i punti di Convalida integrità sistema si trovano in un'altra foresta Active Directory. I riferimenti sull'integrità dello stato di Configuration Manager vengono pubblicati nella foresta che contiene i server del sito.ry. Scegliere questa opzione se si possono estendere i Servizi di dominio Active Directory per Configuration Manager e se i punti di Convalida integrità sistema si trovano in una rete perimetrale.

  • I server del sito si trovano in una foresta Active Directory, mentre tutti i punti di Convalida integrità sistema si trovano in un'altra foresta Active DirectoI server del sito si trovano in una foresta Active Directory, mentre tutti i punti di Convalida integrità sistema si trovano in un'altra foresta Active Directory.Configuration Manager i riferimenti sullo stato di integrità vengono pubblicati nella foresta che contiene i punti di Convalida integrità sistema. Scegliere questa opzione se non si possono estendere i Servizi di dominio Active Directory per Configuration Manager, ma non si può estendere lo schema della seconda foresta.

  • I server del sito si trovano in una foresta Active Directory, mentre tutti i punti di Convalida integrità sistema si trovano in un'altra foresta Active DirectoI server del sito si trovano in una foresta Active Directory, mentre tutti i punti di Convalida integrità sistema si trovano in un'altra foresta Active Directory. I riferimenti sullo stato di integrità di Configuration Manager vengono pubblicati in una terza foresta Active Directory che stabilisce una relazione di trust con altre due foreste (sia un trust di foresta che trust di dominio esterno). Scegliere questa opzione se non si possono estendere i Servizi di dominio Active Directory per una delle foreste, ma si può estendere lo schema di una foresta nuova o esistente.

  • I server del sito si trovano in una foresta Active Directory, mentre tutti i punti di Convalida integrità sistema si trovano in un'altra foresta Active DirectoI server del sito si trovano in una foresta Active Directory, mentre tutti i punti di Convalida integrità sistema si trovano in un'altra foresta Active Directory. I riferimenti sullo stato di integrità di Configuration Manager vengono pubblicati in una terza foresta Active Directory che non stabilisce relazioni di trust con le altre due foreste (né un trust di foresta né trust di dominio esterno). Scegliere questa opzione se non si possono estendere i Servizi di dominio Active Directory per una delle foreste, ma si può estendere lo schema di una foresta nuova o esistente che non può intrattenere relazioni di trust con le altre due foreste.

Account di pubblicazione riferimenti sullo stato di integrità

Specifica un account utente di Microsoft Windows nella foresta Active Directory designata se è applicabile una qualsiasi delle condizioni seguenti:

  • La foresta designata non è la stessa del server del sito.

  • Non esiste alcuna relazione di trust tra il dominio del server del sito e il suffisso del dominio.

  • Esiste una relazione di trust tra il dominio del server del sito e il suffisso del dominio, ma l'autorizzazione Controllo completo non è stata concessa al contenitore Active Directory di System Management per l'account computer del server del sito.

Account di query riferimenti sullo stato di integrità

Specifica un account utente di Windows nella foresta Active Directory designata se è applicabile una qualsiasi delle condizioni seguenti:

  • La foresta designata non è la stessa dei punti di Convalida integrità sistema.

  • Non esiste alcuna relazione di trust tra i punti di Convalida integrità sistema e il suffisso del dominio.

Proprietà del componente di distribuzione software

Opzione di configurazione

Descrizione

Account di accesso alla rete

Specificare un account utente di Windows per l'account di accesso alla rete quando i computer client di gruppi di lavoro o domini non attendibili richiedono l'accesso alle risorse di rete.

System_CAPS_importantImportante

L'account di accesso alla rete non viene mai utilizzato come contesto di protezione per l'esecuzione di applicazioni e programmi, l'installazione di aggiornamenti software o l'esecuzione di sequenze attività. Viene utilizzato solo per accedere alle risorse in rete.

Nonostante i computer client di Configuration Manager utilizzino l'account di sistema locale per eseguire la maggior parte delle operazioni client di Configuration Manager nel computer, l'account di sistema locale non può accedere alle risorse di rete. Ad esempio, l'account di sistema locale non può autenticare un computer nei punti di distribuzione, in modo che il computer possa effettuare una connessione e scaricare software. In tali scenari, i client di domini attendibili usano l'account <nomecomputer>$ per accedere alle risorse di rete. I computer che non possono usare <nomecomputer>$ per l'autenticazione computer possono usare un account utente di Windows specificato per l'account di accesso alla rete.

Potrebbe inoltre essere necessario specificare un account utente di Windows per l'account di accesso alla rete quando si distribuisce un sistema operativo. Questo perché il computer che riceve il sistema operativo non dispone di un contesto di protezione da poter utilizzare per accedere al contenuto in rete.

Nota

Quando si specifica un account utente di Windows, configurarlo in modo da disporre delle autorizzazioni appropriate minime sul contenuto a cui deve accedere per scaricare il software. L'account deve disporre del diritto utente Accedi al computer dalla rete nel punto di distribuzione o in un altro server che contiene il contenuto del pacchetto.

Non concedere a questo account il diritto utente di accesso interattivo o il diritto utente per l'aggiunta di computer al dominio. Se è necessario aggiungere computer al dominio durante una sequenza di attività, usare l'account di aggiunta dominio dell'editor della sequenza di attività.

Per System Center 2012 R2 Configuration Manager e versioni successive: È ora possibile specificare più account di accesso alla rete per un sito. Se i client tentano di accedere ai contenuti e non possono usare il loro account computer locale, useranno innanzitutto l'ultimo account di accesso alla rete connesso correttamente.Configuration Manager supporta l'aggiunta di un massimo di 10 account di accesso alla rete.

Proprietà del componente del punto di aggiornamento software

Per ulteriori informazioni sulle opzioni di configurazioni per il componente del punto di aggiornamento software, vedere Configurazione degli aggiornamenti software in Configuration Manager.

Proprietà del componente del punto di gestione

Opzione di configurazione

Descrizione

Punti di gestione

Specifica i punti di gestione nel sito di Configuration Manager per la pubblicazione nei Servizi di dominio Active Directory.

I client Configuration Manager usano i punti di gestione per la posizione del servizio al fine di trovare informazioni sul sito, come ad esempio le opzioni di selezione dell'appartenenza al gruppo di limiti e del certificato PKI e per trovare altri punti di gestione nel sito e punti di distribuzione da cui scaricare il software. I client utilizzano anche punti di gestione per completare l'assegnazione del sito, scaricare criteri client e caricare le informazioni client.

Poiché per il client il metodo più sicuro per trovare punti di gestione è la loro pubblicazione nei Servizi di dominio Active Directory, in genere si selezioneranno sempre tutti i punti di gestione funzionanti per la pubblicazioni nei Servizi di dominio Active Directory. Tuttavia, questo metodo di individuazione del servizio richiede che lo schema venga esteso per Configuration Manager, che ci sia un contenitore di System Management con appropriate autorizzazioni di protezione affinché il server del sito pubblichi in tale contenitore, che il sito di Configuration Manager sia configurato per pubblicare nei Servizi di dominio Active Directory e che i client appartengano alla stessa foresta Active Directory del server del sito.

Quando i client nella rete intranet non possono utilizzare Servizi di dominio Active Directory per individuare i punti di gestione, utilizzare la pubblicazione DNS.

Pubblicare i punti di gestione intranet selezionati in DNS

Specificare questa opzione quando i client nella rete intranet non possono individuare i punti di gestione da Servizi di dominio Active Directory ma possono utilizzare un record di risorse di individuazione del servizio DNS (SRV RR) per individuare un punto di gestione nel relativo sito assegnato.

Affinché Configuration Manager pubblichi i punti di gestione intranet in DNS, è necessario che vengano soddisfatte tutte le seguenti condizioni:

  • I server DNS dispongono di una versione di BIND corrispondente a 8.1.2 o successiva.

  • I server DNS sono configurati per gli aggiornamenti automatici e supportano i record di risorse di individuazione del servizio.

  • I FQDN specificati per i punti di gestione in Configuration Manager dispongono di voci host (record A o AAA) in DNS.

System_CAPS_warningAvviso

Affinché i client individuino i punti di gestione pubblicati in DNS, è necessario assegnare i client a un sito specifico (invece di utilizzare l'assegnazione automatica del sito) e configurare tali client in modo che utilizzino il codice del sito con il suffisso del dominio del relativo punto di gestione. Per altre informazioni, vedere Come configurare i computer client per trovare i punti di gestione tramite la pubblicazione DNS in Configuration Manager.

Se non possono utilizzare Servizi di dominio Active Directory o DNS per individuare i punti di gestione nella rete, i client di Configuration Manager eseguono il fallback nell'utilizzo di WINS. Il primo punto di gestione installato per il sito viene automaticamente pubblicato in WINS quando viene configurato in modo da accettare le connessioni client HTTP nell'Intranet.

Proprietà componente del punto di gestione fuori banda

System_CAPS_importantImportante

Non è possibile salvare le opzioni di configurazione per il componente di gestione fuori banda a meno che il sito non disponga di almeno un punto di registrazione installato.

Per altre informazioni sulle opzioni di configurazione per il componente punto di gestione fuori banda, vedere Passaggio 5: Configurazione fuori banda componente di gestione.

Valutazione appartenenza alla raccolta

Nota

per System Center 2012 Configuration Manager SP1 e versioni successive:

Utilizzare questa attività per modificare la frequenza con cui l'appartenenza alla raccolta viene valutata in modo incrementale. La valutazione incrementale aggiorna l'appartenenza alla raccolta solo con risorse nuove o modificate.

In Configuration Manager senza Service Pack, è possibile configurare la valutazione di appartenenza alla raccolta come un'attività di manutenzione del sito. Per informazioni, vedere la sezione Pianificazione di attività di manutenzione per Configuration Manager nell'argomento Pianificazione delle operazioni del sito in Configuration Manager