Active Directory スキーマを拡張する必要があるかどうかを判断する
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Active Directory スキーマを Configuration Manager 2007 向けに拡張すると、クライアントは、信頼されたソースから Configuration Manager に関連したさまざまな種類の情報を取得できます。Active Directory スキーマが拡張されない場合、必要な情報を取得するための回避策があることもありますが、Active Directory ドメイン サービスに照会するより安全性が低下します。
また、スキーマを拡張しないと、組織内のコンピュータとユーザー用にログオン スクリプトやグループ ポリシー オブジェクト (GPO) などの回避策ソリューションを作成して保守する必要が生じ、他の管理者に多大な作業負荷をもたらす可能性があります。
Active Directory スキーマは、Configuration Manager 2007 セットアップの実行前後に拡張できます。ただし、推奨する運用方法として、スキーマは Configuration Manager 2007 セットアップを実行する前に拡張するようにします。Active Directory スキーマは、サイト サーバーを含むフォレスト用に 1 度だけ拡張します。ドメイン コントローラ上のオペレーティング システムをアップグレードする場合や、ドメインまたはフォレストの機能レベルを上げた後に、スキーマを再度拡張する必要はありません。Configuration Manager の新しいバージョンに含まれる新しいスキーマ拡張により、スキーマを再度拡張する必要性が出た場合、この要件については「Configuration Manager がサポートする構成」に示されています。
注意
Configuration Manager 向けにスキーマを拡張しても、サイト情報は自動的に Active Directory ドメイン サービスに発行されません。スキーマを拡張した後、サイトが Active Directory ドメイン サービスに発行するには、その前に Active Directory ドメイン サービスのセキュリティを構成する必要があります。
Configuration Manager サイト向け SMS 2003 Active Directory スキーマ拡張の使用
SMS 2003 Active Directory スキーマ拡張を使用した、Configuration Manager 2007 サイトの展開がサポートされています。Configuration Manager 2007 向けに Active Directory スキーマを拡張するかどうかを決定する際には、重要な考慮事項があります。Configuration Manager 2007 サイトが、サイト データを Active Directory ドメイン サービスに発行していても、Active Directory スキーマが SMS 2003 向けにのみ拡張されている場合、発行されたデータを保存するために必要な Active Directory スキーマ属性が存在しないことがあります。
Active Directory スキーマが SMS 2003 向けに拡張されていて、Configuration Manager 向けには拡張されていない場合は、次の制限事項が適用されます。
Configuration Manager 2007 サーバー ロケータ ポイントを使用して、割り当てサイトの互換性の検証を許可し、クライアントの割り当てを完了する必要があります。スキーマが SMS 2003 向けに拡張された場合、クライアントは Active Directory ドメイン サービスを使用して自動的にサーバー ロケータ ポイントを検出できます。
Configuration Manager のネットワーク アクセス保護には Configuration Manager 2007 Active Directory スキーマ拡張が必要であるため、この機能は、SMS 2003 Active Directory スキーマ拡張を使用しているサイトではサポートされていません。
サイト モードの変更には、クライアントで手動による回避策が必要です。
クライアント通信ポートの変更には、手動による回避策が必要です。
管理ポイント dNSHostName 属性は、Active Directory ドメイン サービスに発行されなくなります。
Configuration Manager 用の Active Directory スキーマの拡張に関する機能の考慮事項
次の表は、Active Directory スキーマ拡張を使用する特定の Configuration Manager 2007 機能、および Configuration Manager 2007 向けにスキーマが拡張されていない場合の関連した回避策を示しています。
| 機能 | スキーマ拡張の要件 | 要件の詳細 |
|---|---|---|
クライアントのインストールとサイトの割り当て |
推奨 |
要件: Active Directory スキーマが Configuration Manager 向けに拡張されていない場合、Ccmsetup.exe を使用するクライアント インストールは、Active Directory ドメイン サービスから自動的にクライアント展開のパラメータを取得できません。 対応策: CCMSetup インストールのコマンド ライン オプションを使用するクライアント インストールのプロパティを指定します。詳細については、「Configuration Manager クライアント インストールのプロパティについて」を参照してください。 対応策: SMS 2003 スキーマ拡張を使用して Active Directory ドメイン サービスに公開された Configuration Manager 2007 サーバー ロケータ ポイントが同じ Active Directory フォレストに登録されている場合、Configuration Manager 2007 クライアントによって自動的に検出できます。 対応策: クライアントのインストール時に、CCMSetup コマンド ラインで client.msi のプロパティ SMSSLP=<サーバー ロケータ ポイント名> にサーバー ロケータ ポイント情報を入力します。詳細については、「Configuration Manager クライアント インストールのプロパティについて」を参照してください。 対応策: DNS で管理ポイントを発行し、WINS でサーバー ロケータ ポイントを発行します。詳細については、「Configuration Manager とサービスの場所 (サイト情報と管理ポイント)」を参照してください。 |
サイト モード設定、クライアント証明書の選択や CRL チェックなどの関連設定 |
推奨 |
要件: Active Directory スキーマが Configuration Manager 向けに拡張されていない場合、サイト モード情報とネイティブ モード構成に関連したクライアント設定は、Active Directory ドメイン サービスに発行できません。 対応策: CCMSetup.exe クライアント インストールのコマンドライン プロパティ、またはクライアント プッシュ インストールを使用します。 |
クライアントからサーバーへの通信のポート構成 |
推奨 |
要件: Active Directory スキーマが Configuration Manager 向けに拡張されていない場合、クライアント インストールの後で既定の通信ポートが変更されると、クライアントはサイト システムと通信できません。 対応策: 影響を受けたクライアントをすべて再インストールするか、スクリプトを展開して、サイト内でクライアントがサイト システムと通信するために使用するポートを手動で変更します。 |
グローバル ローミング |
必須かどうか |
要件: Active Directory スキーマが Configuration Manager または SMS 2003 向けに拡張されていない場合、ローミング クライアントは、常駐管理ポイントから提供情報およびソフトウェアの更新のコンテンツを要求できません。このシナリオでは、クライアントの既定の管理ポイントからコンテンツの場所を要求するためにネットワーク トラフィックが増加し、クライアントは、階層内の兄弟サイト、またはクライアントの割り当てサイトより上位のサイトからコンテンツの場所を検出できなくなります。ローミング時のクライアント動作の詳細については、「Configuration Manager のクライアントのローミングについて」を参照してください。 対応策: ありません。 |
Configuration Manager のネットワーク アクセス保護 (NAP) |
必須かどうか |
要件: Active Directory スキーマが Configuration Manager 向けに拡張されていない場合、ネットワーク アクセス保護に対応しているサイトは、Configuration Manager 正常性状態参照を Active Directory ドメイン サービスに発行できません。正常性状態参照が Active Directory ドメイン サービスに発行されない場合、システム正常性検証ツール ポイントは、クライアントの正常性ステートメントを検証できません。 対応策: ありません。 |
サイト間でのセキュリティ キーの交換1 |
推奨 |
要件: Active Directory スキーマが Configuration Manager 向けに拡張されていない場合、セキュリティ キーの交換を必要とするよう構成されているサイトは、自動的に公開キーを交換してサイト間の通信を有効にすることができません。 注意 Configuration Manager サイト間でのセキュリティ キーの交換は、既定で有効になっています。1 対応策: Hierarchy Maintenance ツール (Preinst.exe) を使用して子サイトを接続する前に、親サイトと子サイトの公開キーを手動で交換します。詳細については、「サイト間で公開キーを手動で交換する方法」を参照してください。 |
信頼された管理ポイントの検証 |
推奨 |
要件: Active Directory スキーマが Configuration Manager 向けに拡張されていない場合、クライアントは、信頼されたルート キーを使用してサイトとの信頼関係を確立する必要があります。クライアントに、信頼されたルート キーが事前に準備されていない場合、クライアントは、通信する最初の管理ポイントを信頼することになります。 対応策: クライアントに、信頼されたルート キーを事前に準備します。詳細については、「Configuration Manager で信頼されたルート キーを管理する方法」を参照してください。 対応策: ネイティブ モードを使用します。ネイティブ モードでも、管理ポイント証明書はセントラル サイトで信頼されたルート キーによって署名されている必要がありますが、管理ポイントは PKI 発行の証明書を使用します。PKI が侵害されていなければ、クライアントは、有効なサーバー認証証明書を所有している最初に接続した管理ポイントを信頼できます。ネイティブ モードの PKI 証明書要件の詳細については、「ネイティブ モードの証明書要件」を参照してください。 |
管理ポイントの役割をホストしているセントラル サイト サーバーの障害からの回復 |
推奨 |
要件: Active Directory スキーマが Configuration Manager 向けに拡張されておらず、クライアントが、サイトの管理ポイントとしても機能するセントラル サイト サーバーに属している場合、クライアントは、新しいセントラル サイト サーバーと管理ポイントが復元された後でサイトとの信頼関係を自動的に確立することはできません。 対応策: 信頼されたルート キーをサイト内の各クライアントから削除し、再度準備します。詳細については、「Configuration Manager で信頼されたルート キーを管理する方法」を参照してください。 対応策: 管理ポイントの役割を別のサーバーに移動します。セントラル サイト内のクライアントは、管理ポイントのみまたはセントラル サイト サーバーのみを失う場合に限り、信頼関係を再確立できます。詳細については、「信頼されたルート キーについて」を参照してください。 |
1 既定では、Configuration Manager プライマリ サイトは、子サイトの公開キーが親サイトに認識されているか、Active Directory ドメイン サービスで発行されている場合を除き、子サイトの接続を受け付けません。ただし、アップグレード シナリオでは、Configuration Manager セットアップは、サイトの元のセキュリティ キー交換設定を変更しません。スキーマ拡張を必要とせずに子サイトを接続できる別の方法は、サイト間でセキュリティ キーの交換を要求しないことですが、不正な子サイトがサイトに接続して信頼されていないデータを渡すようになる恐れがあるため、この方法は推奨しません。
参照:
タスク
概念
Active Directory ドメイン サービスに発行された Configuration Manager クライアント インストールのプロパティについて
Configuration Manager とサービスの場所 (サイト情報と管理ポイント)