Detectie plannen in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager-detectie identificeert computer- en gebruikersbronnen die u kunt beheren met Configuration Manager. Dit kan ook de netwerkinfrastructuur in uw omgeving detecteren. Detectie creëert een detectiegegevensrecord (DDR) voor elk gedetecteerd object en slaat deze informatie op in de Configuration Manager-database.
Wanneer de detectie van een bron slaagt, plaatst het detectieproces informatie over die bron in een bestand dat een detectiegegevensrecord (DDR) wordt genoemd. DDR's worden op hun beurt verwerkt door siteservers en opgenomen in de Configuration Manager-database waar ze vervolgens worden gerepliceerd door databasereplicatie met alle sites. De replicatie maakt detectiegegevens beschikbaar aan elke site in de hiërarchie, ongeacht waar deze zijn gedetecteerd of verwerkt.
U kunt detectiegegevens gebruiken om aangepaste query's en verzamelingen te maken die bronnen voor beheertaken, zoals het toewijzen van aangepaste clientinstellingen en software-implementaties, logisch groeperen. Computers moeten worden gedetecteerd voordat u gebruik kunt maken van clientpushinstallatie om de Configuration Manager-client op apparaten te installeren.
Gebruik de volgende secties om u te helpen bij het plannen van detectie in Configuration Manager:
Detectiemethoden in Configuration Manager
Bepalen van de te gebruiken detectiemethoden
Over het Active Directory-systeem, gebruikers- en groepdetectiemethoden
Gedeelde detectieopties
Active Directory-systeemdetectie
Active Directory-gebruikersdetectie
Active Directory-groepdetectie
Over Active Directory-forestdetectie
Over de detectie van verschillen
Over de Heartbeat-detectie
Over netwerkdetectie
Over detectiegegevensrecords
Bepalen waar detectie moet worden uitgevoerd
Aanbevolen procedures voor detectie
Wat is er nieuw in Configuration Manager
Notitie
De informatie in deze sectie komt ook voor in de gids Getting Started with System Center 2012 Configuration Manager (Aan de slag met System Center 2012 Configuration Manager).
System Center 2012 Configuration Manager introduceert de volgende wijzigingen voor detectie:
Elk detectiegegevensrecord wordt slechts één keer verwerkt en ingevoerd in de database, in een primaire site of centrale beheersite, en vervolgens wordt het detectiegegevensrecord verwijderd zonder bijkomende verwerking.
Detectie-informatie ingevoerd in de database op één site wordt gedeeld met elke site in de hiërarchie door gebruik te maken van Configuration Manager-databasereplicatie.
Active Directory-forestdetectie is een nieuwe detectiemethode die subnets en Active Directory-sites kan ontdekken en deze kan toevoegen als grenzen voor uw hiërarchie.
Detectie van Active Directory-systeemgroepen is verwijderd.
Detectie van Active Directory-beveiligingsgroepen heet nu Active Directory-groepdetectie en detecteert de groepslidmaatschappen van bronnen.
Detectie van Active Directory-systemen en Active Directory-groepsdetectie ondersteunt opties om verouderde computerrecords uit de detectie te filteren.
Detectie van Active Directory-systemen, gebruikers en groepen ondersteunt detectie van Active Directory-verschillen. De detectie van verschillen is verbeterd ten opzichte van Configuration Manager 2007 R3 en kan nu detecteren of computers of gebruikers zijn toegevoegd aan of verwijderd uit een groep.
Detectiemethoden in Configuration Manager
Voordat u detectiemethoden inschakelt voor Configuration Manager dient u ervoor te zorgen dat u begrijpt wat elke methode kan detecteren. Detectie kan grote volumes netwerkverkeer genereren en de resulterende DDR's kunnen een aanzienlijke hoger CPU-verbruik veroorzaken tijdens de verwerking ervan. Selecteer daarom alleen die detectiemethoden die u nodig hebt om uw doelstellingen te behalen. U kunt bijvoorbeeld slechts één of twee detectiemethoden gebruiken om succesvol te zijn, en u kunt altijd bijkomende methoden op een gecontroleerde manier inschakelen om de mate van detectie in uw omgeving uit te breiden.
Gebruik de volgende tabel om te helpen bij het plannen voor elk van de zes configureerbare detectiemethoden.
Detectiemethode |
Standaard ingeschakeld |
Accounts die detectie uitvoeren |
Meer informatie |
|---|---|---|---|
Detectie van Active Directory-forests |
Nee |
Het account voor detectie van Active Directory-forests of het computeraccount van de siteserver |
|
Active Directory-systeemdetectie |
Nee |
Het account voor detectie van Active Directory-systemen of het computeraccount van de siteserver |
|
Active Directory-gebruikersdetectie |
Nee |
Het account voor detectie van Active Directory-gebruikers of het computeraccount van de siteserver |
|
Active Directory-groepdetectie |
Nee |
Het account voor detectie van Active Directory-groepen of het computeraccount van de siteserver |
|
Heartbeat-detectie |
Ja |
Het computeraccount van de client |
|
Netwerkdetectie |
Nee |
Het computeraccount van de siteserver |
|
Alle configureerbare detectiemethoden ondersteunen een schema voor wanneer de detectie wordt uitgevoerd. Met uitzondering van Heartbeat-detectie kunt u elke methode configureren om te zoeken naar specifieke locaties voor bronnen om toe te voegen aan de Configuration Manager-database. Na het uitvoeren van de detectie kunt u de locaties wijzigen waar een detectiemethode zoekt. Deze nieuwe locaties worden doorzocht tijdens de volgende detectie. De volgende keer dat de detectiemethode kan worden uitgevoerd, is echter niet beperkt tot de nieuwe locaties. Het proces probeert altijd informatie te detecteren van alle actueel geconfigureerde locaties.
Heartbeat-detectie is de enige detectiemethode die standaard is ingeschakeld. Schakel Heartbeat-detectie niet uit om het databaserecord van Configuration Manager-clients te helpen behouden.
Naast deze detectiemethoden gebruikt Configuration Manager ook een proces dat serverdetectie heet (SMS_WINNT_SERVER_DISCOVERY_AGENT). Deze detectiemethode maakt bronrecords voor computers die sitesystemen zijn, zoals een computer die als een beheerpunt is geconfigureerd. Deze methode van detectie wordt dagelijks uitgevoerd en kan niet worden geconfigureerd.
Bepalen van de te gebruiken detectiemethoden
U kunt potentiële Configuration Manager-clientcomputers of gebruikersbronnen detecteren door de geschikte detectiemethoden in te schakelen. U kunt verschillende combinaties van detectiemethoden gebruiken om verschillende bronnen te zoeken en om extra informatie te detecteren over die bronnen. De detectiemethoden die u gebruikt, bepalen het type bronnen die zijn gedetecteerd en welke Configuration Manager-services en -agenten er worden gebruikt in het detectieproces. Ze bepalen ook het soort informatie over bronnen die u kunt detecteren.
Computers detecteren
U kunt Active Directory-systeem- of -netwerkdetectie gebruiken als u computers wilt detecteren.
Als u bijvoorbeeld bronnen wilt installeren om bronnen te detecteren die de Configuration Manager-client kunnen installeren voordat u clientpushinstallatie gebruikt, kunt u Active Directory-systeemdetectie uitvoeren. U kunt ook netwerkdetectie uitvoeren en de opties ervan gebruiken om het besturingssysteem van bronnen te detecteren (vereist om later clientpushinstallatie te gebruiken). Door Active Directory-systeemdetectie te gebruiken, detecteert u niet alleen de bron, maar ook basisinformatie en kunt u uitgebreide informatie erover detecteren uit Active Directory Domain Services. Deze informatie kan nuttig zijn in het maken van complexe query's en verzameling voor gebruik voor de toewijzing van clientinstellingen of inhoudimplementatie. Netwerkdetectie geeft u daarentegen informatie over uw netwerktopologie die u niet kunt verwerven met andere detectiemethoden, maar netwerkdetectie geeft u geen informatie over uw Active Directory-omgeving.
Het is ook mogelijk om alleen Heartbeat-detectie te gebruiken om de detectie van clients te forceren die u installeerde met andere methoden dan clientpushinstallatie. Anders dan andere detectiemethoden kan Heartbeat-detectie geen computers detecteren die geen actieve Configuration Manager-client hebben en wordt er een beperkte set van informatie geretourneerd. Het is bedoeld om een bestaand databaserecord te behouden en niet om de basis te zijn van dat record. De informatie die door Heartbeat-detectie wordt verzonden, is mogelijk onvoldoende voor het opbouwen van complexe query's of verzamelingen.
Als u detectie van Active Directory-groepen gebruikt om het lidmaatschap van een bepaalde groep te detecteren, kunt u beperkte systeem- of computerinformatie detecteren. Dit is geen vervanging voor een volledige detectie van computers, maar er kan wel basisinformatie mee worden verkregen. Deze basisinformatie is onvoldoende voor clientpushinstallatie.
Gebruikers detecteren
U kunt de detectie van Active Directory-gebruikers gebruiken als u meer informatie wilt detecteren over gebruikers. Deze methode is vergelijkbaar met de detectie van Active Directory-systemen omdat er gebruikers van Active Directory worden gedetecteerd en er, naast uitgebreide Active Directory-informatie ook basisinformatie wordt verzameld. U kunt deze informatie gebruiken om complexe query's en verzamelingen op te bouwen die vergelijkbaar zijn met die voor computers.
Groepsinformatie detecteren
U kunt de detectie van Active Directory-groepen gebruiken als u meer informatie wilt detecteren over groepen en groepslidmaatschappen. Deze detectiemethode maakt bronrecords voor beveiligingsgroepen.
U kunt deze methode gebruiken om te zoeken naar een specifieke Active Directory-groep om de leden van die groep en eventueel geneste groepen binnen die groep te identificeren. U kunt deze methode ook gebruiken om een Active Directory-locatie voor groepen te vinden en om recursief te zoeken naar elke onderliggende container van die locatie in Active Directory Domain Services.
Deze detectiemethode kan ook zoeken naar het lidmaatschap van distributiegroepen. Dit kan de groepsrelaties van zowel gebruikers als computers identificeren.
Als u een groep detecteert, kunt u beperkte informatie over de leden ervan detecteren. Dit is geen vervanging voor de detectie van Active Directory-systemen of -gebruikers en het is doorgaans onvoldoende om complexe query's en verzamelingen op te bouwen of om als basis te dienen voor clientpushinstallatie.
Infrastructuur detecteren
Er zijn twee methoden die u kunt gebruiken om netwerkinfrastructuur te detecteren, namelijk detectie van Active Directory-forests en -netwerken.
U kunt de detectie van Active Directory-forests gebruiken om te zoeken naar een Active Directory-forest voor informatie over subnets en Active Directory-siteconfiguraties. Deze configuraties kunnen vervolgens automatisch worden ingevoerd in Configuration Manager als grenslocaties.
Gebruik netwerkdetectie als u uw netwerktopologie wilt detecteren. Hoewel andere detectiemethoden informatie geven over Active Directory Domain Services en de actuele netwerklocatie van een client kunnen identificeren, geven ze geen infrastructuurinformatie op basis van de subnets en de routertopologie van uw netwerk.
Over het Active Directory-systeem, gebruikers- en groepdetectiemethoden
Dit gedeelte bevat informatie over de volgende detectiemethoden:
Active Directory-systeemdetectie
Active Directory-gebruikersdetectie
Active Directory-groepdetectie
Notitie
De informatie in deze sectie is niet van toepassing op detectie van Active Directory-forests.
Deze drie detectiemethoden zijn vergelijkbaar in configuratie en werking, en ze kunnen computers, gebruikers en informatie over groepslidmaatschappen van bronnen die zijn opgeslagen in Active Directory Domain Services, detecteren. Het detectieproces wordt beheerd door een detectieagent die op de siteserver wordt uitgevoerd op elke site waarvoor detectie is ingeschakeld. U kunt elk van deze detectiemethoden configureren om te zoeken naar een of meer Active Directory-locaties zoals locatie-instanties in het lokale forest of in externe forests.
Wanneer detectie naar een niet-vertrouwd forest voor bronnen zoekt, moet de detectieagent in staat zijn om het volgende op te lossen om succesvol te zijn:
De detectieagent moet in staat zijn de FQDN-naam van de bron om te zetten om een computerbron met detectie van Active Directory-systemen te detecteren. Als de FQDN-naam niet kan worden omgezet, zal er vervolgens worden geprobeerd om de bron via de NetBIOS-naam om te zetten.
Voor detectie van gebruikers- of groepsbron met detectie van Active Directory-gebruikers of -groepen, moet de detectieagent in staat zijn de FQDN-naam van de domeincontrollernaam die u opgeeft, om te zetten voor de Active Directory-locatie.
Voor elke locatie die u specificeert, kunt u individuele zoekopties configureren, zoals het inschakelen van een recursieve zoekopdracht van de locaties van de onderliggende Active Directory-containers. U kunt ook een uniek account configureren om te worden gebruikt wanneer dat locatie-exemplaar wordt doorzocht. Dit geeft flexibiliteit in het configureren van een detectiemethode op één site om te zoeken naar meerdere Active Directory-locaties in meerdere forests zonder dat er één account moet worden geconfigureerd met machtigingen voor alle locaties.
Wanneer elk van deze drie detectiemethoden op een specifieke site worden uitgevoerd, neemt de Configuration Manager-siteserver op die site contact op met de dichtstbijzijnde domeincontroller in het opgegeven Active Directory-forest om Active Directory-bronnen te vinden. Het domein en het forest kunnen zich in eender welke ondersteunde Active Directory-modus bevinden, en het account dat u toewijst aan elk locatie-exemplaar moet Lees toegang hebben voor de gespecificeerde Active Directory-locaties. Detectie zoekt in de opgegeven locaties naar objecten en probeert vervolgens informatie over die objecten te verzamelen. Er wordt een DDR-bestand gemaakt wanneer er voldoende informatie over een bron kan worden geïdentificeerd. De vereiste informatie is afhankelijk van de detectiemethode die wordt gebruikt.
Indien u dezelfde detectiemethode configureert om uitgevoerd te worden op verschillende Configuration Manager-sites, om voordeel te halen uit het uitvoeren van query's op lokale Active Directory-servers, kunt u elke site configureren met een unieke set van detectieopties. Let erop overlapping te vermijden tussen deze configuraties om efficiënt elke bron één keer te detecteren, en dit omdat detectiegegevens worden gedeeld met elke site in de hiërarchie. U kunt voor kleinere omgevingen overwegen om elke detectiemethode op slechts één enkele site in uw hiërarchie uit te voeren, om administratieve overhead te verminderen, evenals de mogelijkheid dat meerdere detectieacties dezelfde bronnen opnieuw detecteren. Wanneer u het aantal sites minimaliseert die detectie uitvoeren, kunt u de totale netwerkbandbreedte die door detectie wordt gebruikt, verminderen, evenals het totaal aantal DDR's dat wordt gemaakt en dat moeten worden verwerkt door uw siteservers.
Veel van de configuraties van de detectiemethode behoeven geen uitleg. Gebruik de volgende secties voor meer informatie over de detectieopties die kunnen bijkomende informatie vereisen vóór u ze configureert.
Gedeelde detectieopties
De volgende tabel identificeert configuratieopties die beschikbaar zijn op meerdere Active Directory-detectiemethodes.
Sleutel: |
√ = Ondersteund |
Ø = niet-ondersteund |
Detectie-optie |
Active Directory-systeemdetectie |
Active Directory-gebruikersdetectie |
Active Directory-groepdetectie |
Details |
||
|---|---|---|---|---|---|---|
Detectie van verschillen |
√ |
√ |
√ |
Detectie van verschillen is een optie beschikbaar voor elke Active Directory-detectiemethode, behalve Active Directory-forestdetectie. Configuration Manager U kunt detectie van verschillen gebruiken om op Active Directory Domain Services (AD DS) te zoeken naar specifieke attributen die gewijzigd zijn na de laatste volledige detectiecylus van de detectiemethode. U kunt een kort interval voor detectie van verschillen configureren om te zoeken naar nieuwe bronnen, omdat detectie vanenkel nieuwe bronnen de prestatie van de siteserver niet zoveel beïnvloedt als dit het geval is bij een volledige detectiecyclus. Detectie van verschillen kan de volgende nieuwe brontypen detecteren:
Detectie van verschillen kan niet detecteren wanneer een bron werd gewist van AD DS. U moet een volledige detectiecyclus uitvoeren om deze wijziging te detecteren. DDR's voor objecten die detectie van verschillen detecteert, worden verwerkt op een vergelijkbare manier als de DDR's die door een volledige detectiecyclus zijn gemaakt. U configureert detectie van verschillen op het tabblad Polling-planning in de eigenschappen voor elke detectiemethode. |
||
Verouderde computerrecords filteren op aanmelden bij domein |
√ |
Ø |
√ |
U kunt detectie configureren zodat ze detectie van verouderde records uitsluit, gebaseerd op de laatste domeinaanmelding van de computer. Wanneer deze optie is ingeschakeld, beoordeelt Active Directory-systeemdetectie elke computer die het identificeert. Detectie voor Active Directory-groepen beoordeelt elke computer die een lid is van een groep die wordt gedetecteerd. Gebruik van deze optie vereist het volgende:
Wanneer u de tijd configureert na de laatste aanmelding, neem dan het interval voor replicatie tussen domeincontrollers in overweging. U configureert filtering op het tabblad Optie in zowel Eigenschappen van Active Directory-systeemdetectie als dialoogvensters Eigenschappen van detectie voor Active Directory-groepen door de optie te selecteren Detecteer enkel computers die zich aangemeld hebben op een domein binnen een gegeven tijdsperiode.
|
||
Verlopen records filteren op computerwachtwoord |
√ |
Ø |
√ |
U kunt detectie configureren zodat ze detectie van verouderde records uitsluit, gebaseerd op de laatste update van het wachtwoord van de computeraccount door de computer. Wanneer deze optie is ingeschakeld, beoordeelt Active Directory-systeemdetectie elke computer die het identificeert. Detectie voor Active Directory-groepen beoordeelt elke computer die een lid is van een groep die wordt gedetecteerd. Gebruik van deze optie vereist het volgende:
Hou rekening met het interval voor updates voor dit attribuut, alsook met het replicatie-interval tussen domeincontrollers, wanneer u deze optie configureert. U configureert filtering op het tabblad Optie in zowel Eigenschappen van Active Directory-systeemdetectie als dialoogvensters Eigenschappen van detectie voor Active Directory-groepen door de optie te selecteren Detecteer enkel computers die hun wachtwoord hebben geüpdatet binnen een gegeven tijdsperiode.
|
||
Aangepaste kenmerken voor Active Directory zoeken |
√ |
√ |
Ø |
Elke detectiemethode ondersteunt een unieke lijst van attributen die kunnen worden gedetecteerd. U configureert aangepaste attributen van Active Directory op het tabblad Active Directory-attributen in de dialoogvensters Eigenschappen van Active Directory-systeemdetectie en Eigenschappen van Active Directory-gebruikersdetectie. |
.jpeg "System_CAPS_warning"){kind=icon}
Waarschuwing
Active Directory-systeemdetectie
Gebruik Active Directory-systeemdetectie van Configuration Manager om te zoeken naar de gespecificeerde Active Directory Domain Services (AD DS)-locaties voor computerbronnen die kunnen worden gebruikt om verzamelingen en query's te maken. U kunt dan de client installeren op gedetecteerde computers door clientpushinstallatie te gebruiken. Om met succes een gegevensrecord voor detectie (DDR) te maken voor een computer, moet Active Directory-systeemdetectie in staat zijn om de computeraccount te identificeren en dan de computernaam te achterhalen die aan een IP-adres is gekoppeld.
Standaard ontdekt Active Directory-systeemdetectie basisinformaties over de computer, met inbegrip van het volgende:
Computernaam
Besturingssysteem en versie
Active Directory-containernaam
IP-adres
Active Directory-site
Tijdstempel recentste aanmelding
Behalve de basisinformatie kunt u de detectie configureren van uitgebreide attributen vanaf Active Directory Domain Services.
U kunt de standaardlijst van objectattributen zien die geretourneerd wordt door Active Directory-systeemdetectie en bijkomende attributen configureren die moeten ontdekt worden in het dialoogvenster Eigenschappen voor Active Directory-systeemdetectie op het tabblad Active Directory-attributen.
Zie Active Directory-detectie voor computers, gebruikers of groepen configureren voor meer informatie over het configureren van deze detectiemethode.
Active Directory-systeemdetectieacties worden opgeslagen in het bestand adsysdis.log in de <InstallationPath>\LOGS-map op de siteserver.
Active Directory-gebruikersdetectie
Gebruik Active Directory-gebruikersdetectie van Configuration Manager om te zoeken in Active Directory Domain Services (AD DS) om gebruikersaccounts en gekoppelde attributen te identificeren.
U kunt de standaardlijst van objectattributen zien die geretourneerd wordt door Active Directory-gebruikersdetectie en bijkomende attributen configureren die moeten ontdekt worden in het dialoogvenster Eigenschappen voor Active Directory-gebruikersdetectie op het tabblad Active Directory-attributen.
Standaard ontdekt Active Directory-gebruikersdetectie basisinformaties over de computer, met inbegrip van het volgende:
Gebruikersnaam
Unieke gebruikersnaam (inclusief de domeinnaam)
Domein
Namen van Active Directory-container
Behalve de basisinformatie kunt u de detectie configureren van uitgebreide attributen vanaf Active Directory Domain Services.
Zie Active Directory-detectie voor computers, gebruikers of groepen configureren voor meer informatie over het configureren van deze detectiemethode.
Active Directory-gebruikersdetectieacties worden opgeslagen in het bestand adusrdis.log in de <InstallationPath>\LOGS-map op de siteserver.
Active Directory-groepdetectie
Gebruik Detectiemethode voor Active Directory-groepen van Configuration Manager om te zoeken in Active Directory Domain Services (AD DS) om groeplidmaatschappen van computers en gebruikers te identificeren.
De detectiemethode zoekt een detectiebereik af dat u configureert, en identificeert dan de groeplidmaatschappen van bronnen in dat detectiebereik. Standaard worden alleen beveiligingsgroepen gedetecteerd. U kunt evenwel het lidmaatschap van distributiegroepen detecteren wanneer u het selectievakje selecteert voor de optie Detecteer het lidmaatschap van distributiegroepen op het tabblad Optie in het dialoogvenster van eigenschappen van de detectie van Active Directory-groepen.
Detectie van Active Directory-groep gebruiken voor het detecteren van de volgende informatie:
Groepen
Lidmaatschap van groepen
Beperkte informatie over computers en gebruikers die lid zijn van groepen, zelfs wanneer deze computers en gebruikers niet eerder gedetecteerd zijn door een andere detectiemethode.
Deze detectiemethode is bedoeld om groepen te identificeren en de groeprelaties van leden van groepen. Deze detectiemethode ondersteunt niet de uitgebreide Active Directory-attributen die kunnen worden geïdentificeerd door gebruik te maken van Active Directory-systeemdetectie of Active DIrectory-gebruikersdetectie. Overweeg om deze detectiemethode uit te voeren nadat u Active Directory-systeemdetectie en Active Directory-gebruikersdetectie hebt uitgevoerd, omdat deze detectiemethode niet geoptimaliseerd is om computer- en gebruikersbronnen te detecteren. Dit omdat deze detectiemethode een volledige DDR maakt voor groepen, maar enkel een beperkte DDR voor computers en gebruikers die leden zijn van groepen.
U kunt de volgende detectiebereiken configureren die controleren hoe detectie voor Active Directory-groepen zoekt naar informatie:
Locatie: Gebruik een locatie indien u wilt één of meer Active Directory-containers doorzoeken. Deze bereikoptie ondersteunt een recursief zoeken van de gespecificeerde Active Directory-containers dat ook elke container onderliggend aan de door u gespecificeerde container doorzoekt. Dit proces wordt voortgezet tot er geen onderliggende containers meer worden gevonden.
Groepen: Gebruik groepen indien u wilt één of meer Active Directory-groepen doorzoeken. U kunt het Active Directory-domein configureren om het standaard domein en de standaardforest te gebruiken, of de zoekactie te beperken tot een individuele domeincontroller. Daarnaast kunt u één of meer groepen specificeren om te zoeken. Indien u niet minstens één groep opgeeft, zullen alle groepen de opgegeven locatie Active Directory-domein doorzocht worden.
.jpeg "System_CAPS_caution") Let op |
|---|
Wanneer u een detectiebereik configureert, selecteer dan enkel de groepen die u moet detecteren. Dit omdat de detectie voor Active Directory-groepen elk lid van elke groep probeert te detecteren in het detectiebereik. Detectie van grote groepen kan uitgebreid gebruik van bandbreedte vereisen en Active Directory-bronnen. |
Notitie
U kunt ofwel Active Directory-systeemdetectie ofwel Active Directory-gebruikersdetectie uitvoeren om verzamelingen te maken die gebaseerd zijn op uitgebreide Active Directory-attributen en om ervoor te zorgen dat nauwkeurige detectieresultaten worden verkregen voor computers en gebruikers.
Zie Active Directory-detectie voor computers, gebruikers of groepen configureren voor meer informatie over het configureren van deze detectiemethode.
Active Directory-groepdetectieacties worden opgeslagen in het bestand adsgdis.log in de <InstallationPath>\LOGS-map op de siteserver.
Over Active Directory-forestdetectie
Gebruik Active Directory-forestdetectie van Configuration Manager om IP-subnetten te detecteren en Active Directory-sites om ze als grenzen toe te voegen aan Configuration Manager.
In tegenstelling tot andere detectiemethoden, detecteert Active Directory-forestdetectie geen bronnen die u kunt beheren. In plaats daarvan detecteert deze methode Active Directory-netwerklocaties en kan hij deze locaties converteren voor gebruik over de hele hiërarchie.
Detectie van Active Directory-forest gebruiken om het volgende te doen:
IP-subnetten in een Active Directory-forest detecteren
Active Directory-sites in een Active Directory-forest detecteren
Voeg de IP-netten en Active Directory-stes toe die gedetecteerd zijn als grenzen in Configuration Manager
Publiceer naar de Active Directory Domain Services van een forest wanneer publiceren naar deze forest ingeschakeld is en de opgegeven Active Directory-forestaccount machtigingen heeft voor deze forest.
Beheer Active Directory-forestdetectie in de Configuration Manager-console vanaf de volgende knooppunten onder Hiërarchieconfiguratie in de werkruimte Beheer:
Detectiemethoden: Hier kunt u Active Directory-forestdetectie inschakelen om op de site op het hoogste niveau van uw hiërarchie uitgevoerd te worden. U kunt ook een simpele planning opgeven om detectie uit te voeren, en ze configureren om automatisch grenzen te maken vanaf de IP-subnetten en Active Directory-stes die ze detecteert. Active Directory-forestdetectie kan niet uitgevoerd worden op een onderliggende primaire site of op een secundaire site.
Notitie
Deze detectiemethode biedt geen ondersteuning voor detectie van verschillen.
Active Directory-forests: Hier configureert u de bijkomende Active Directory-forests die u wilt detecteren, geeft u de account op die gebruikt moet worden als de Active Directory-forestaccount voor elke forest en configureert u het publiceren naar elke forest. Bijkomend kunt u het detectieproces bewaken en IP-subnetten en Active Directory-sites toevoegen aan Configuration Manager als grenzen en leden van grensgroepen.
Wanneer publiceren ingeschakeld is voor een forest en dat het schema van dit forest uitgebreid is voor Configuration Manager, is de volgende informatie gepubliceerd voor elke site die ingeschakeld is om te publiceren naar deze Active Directory-forest:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
Notitie
Secundaire sites gebruiken steeds de computeraccount van de secundaire siteserver om naar Active Directory te publiceren. Indien u wenst secundaire sites te publiceren naar Active Directory, zorg er dan voor dat de computeraccount van de secundaire siteserver machtigingen heeft om te publiceren naar Active Directory. Een secundaire site kan geen gegevens publiceren naar een niet-vertrouwde forest.
Tip
Verbind uw Configuration Manager-console met de site op het hoogste niveau van uw hiërarchie, om publiceren te configureren voor Active Directory-forests voor elke site in uw hiërarchie. Het tabblad Publiceren in een dialoogvenster Eigenschappen van een Active Directory-site, kan enkel de huidige site en zijn onderliggende sites weergeven.
| Let op |
|---|
Wanneer u de optie wist om een site naar een Active Directory-forest te publiceren, wordt alle eerder gepubliceerde informatie voor die site, inclusief beschikbare sitesysteemrollen, verwijderd uit de Active Directory voor dat forest. |
Active Directory-forestdetectie wordt uitgevoerd op het lokale Active Directory-forest, elk vertrouwd forest, en elke extra forest dat u configureert in het knooppunt Active Directory-forests van de Configuration Manager-console.
Acties van Active Directory-forestdetectie worden geregistreerd in de volgende logboeken:
Alle acties, met uitzondering van de acties die verband houden met publiceren, worden geregisteerd in het bestand ADForestDisc.Log in de map <InstallationPath>\Logs op de siteserver.
Publicatieacties van Active Directory-forestdetectie worden geregistreerd in de hman.log en sitecomp.log in de map <InstallationPath>\Logs op de siteserver.
Over de detectie van verschillen
De detectie van verschillen is geen volledige detectiemethode in Configuration Manager, maar een optie die beschikbaar is voor de detectiemethodes van Active Directory-systemen, -gebruikers en -groepen. De detectie van verschillen kan de meeste wijzigingen aan een eerder gedetecteerde bron in Active Directory identificeren en gebruikt minder bronnen dan een volledige detectiecyclus.
Wanneer u detectie van verschillen voor een detectiemethode inschakelt, zoekt de detectiemethode Active Directory Domain Services (AD DS) naar specifieke kenmerken die zijn gewijzigd na de laatste volledige detectiecyclus van de detectiemethode. Deze wijzigingen worden verzonden naar de Configuration Manager-database om het brondetectierecord bij te werken.
Detectie van verschillen wordt standaard in een cyclus van vijf minuten uitgevoerd. Dit is omdat het tijdens de detectie minder bronnen gebruikt dan een volledige detectiecyclus, en niet zoveel invloed heeft op de prestatie van de siteserver als een volledige detectiecyclus. Wanneer u detectie van verschillen gebruikt, overweeg dan de frequentie van de volledige detectiecyclus voor die detectiemethode te verminderen.
Detectie van verschillen kan wijzigingen op Active Directory-objecten detecteren. De volgende zijn de meest voorkomende wijzigingen die detectie van verschillen detecteert:
Nieuwe computers of gebruikers die zijn toegevoegd aan Active Directory
Wijzigingen in basisinformatie over de computer en gebruiker
Nieuwe computers of gebruikers die zijn toegevoegd aan een groep
Computers of gebruikers die zijn verwijderd uit een groep
Wijzigingen in de systeemgroepsobjecten
Hoewel detectie van verschillen nieuwe bronnen, en wijzigingen aan groepslidmaatschap, kan detecteren, kan het niet detecteren wanneer een bron uit AD DS is gewist.
DDR's voor objecten die detectie van verschillen detecteert, worden verwerkt op een vergelijkbare manier als de DDR's die door een volledige detectiecyclus zijn gemaakt.
U configureert detectie van verschillen op het tabblad Polling-planning in de eigenschappen voor elke detectiemethode.
Over de Heartbeat-detectie
Heartbeat-detectie verschilt van andere Configuration Manager-detectiemethodes. Het wordt standaard ingeschakeld en wordt op elke computerclient uitgevoerd om een detectiegegevensrecord (DDR) te maken. Voor mobiele apparaatclients wordt dit DDR gemaakt door het beheerpunt dat wordt gebruikt door de mobiele apparaatclient.
Heartbeat-detectie wordt uitgevoerd op een schema dat is geconfigureerd voor alle clients in de hiërarchie, of als het handmatig wordt aangeroepen, op een specifieke client door de Verzamelfase zoekgegevens op het tabblad Actie in een Configuration Manager-programma van de client uit te voeren. Wanneer Heartbeat-detectie wordt uitgevoerd, maakt het een detectiegegevensrecord (DDR) dat recente informatie van de client bevat waaronder netwerklocatie, NetBIOS-naam en details met betrekking tot de operationele status. Het is een klein bestand, ongeveer 1 KB, dat wordt gekopieerd naar een beheerpunt, en vervolgens wordt verwerkt door een primaire site. Het verzenden van een detectiegegevensrecord voor Heartbeat-detectie kan het record van een actieve client in de database bewaren, en ook detectie van een actieve client forceren die mogelijk is verwijderd uit de database, of die handmatig is geïnstalleerd en niet is gedetecteerd door een andere detectiemethode.
Heartbeat-detectie is de enige detectiemethode die details geeft over de installatiestatus van de client door een kenmerk en de systeembronclient bij te werken die de waarde Ja heeft. Om het detectiegegevensrecord voor Heartbeat-detectie te verzenden, moet de clientcomputer contact kunnen maken met een beheerpunt.
Notitie
Met Configuration Manager SP1 omvat het detectiegegevensrecord voor Heartbeat-detectie ook de versie van de clientagent.
Het standaard schema voor Heartbeat-detectie is ingesteld op elke 7 dagen. Als u het interval voor heartbeat-detectie wijzigt, zorg er dan voor dat het frequenter wordt uitgevoerd dan de siteonderhoudstaak Verouderde detectiegegevens verwijderen, die inactieve clientrecords uit de sitedatabase wist. U kunt de taak Verouderde detectiegegevens verwijderen alleen voor primaire sites configureren.
Notitie
Zelfs wanneer Heartbeat-detectie is uitgeschakeld, worden er nog steeds detectiegegevensrecords gemaakt en verzonden voor actieve mobiele apparaatclients. Dit zorgt ervoor dat de taak Verouderde detectiegegevens verwijderen geen invloed heeft op actieve mobiele apparaten. Wanneer de taak Verouderde detectiegegevens verwijderen een databaserecord voor een mobiel apparaat wist, trekt het ook het apparaatcertificaat in en blokkeert het het mobiele apparaat zodat het geen verbinding kan maken met beheerpunten.
Acties van Heartbeat-detectie worden geregistreerd op de volgende locaties:
Voor computerclients worden acties van Heartbeat-detectie geregistreerd op de client in de InventoryAgent.log in de map %Windir%\CCM\Logs.
Voor mobiele apparaatclients worden de acties van Heartbeat-detectie geregistreerd in de DMPRP.log in de map %Program Files%\CCM\Logs van het beheerpunt dat de mobiele apparaatclient gebruikt.
Over netwerkdetectie
Gebruik Configuration Manager-netwerkdetectie om de topologie van uw netwerk en apparaten op uw netwerk te detecteren.
Netwerkdetectie doorzoekt uw netwerk naar bronnen met IP ingeschakeld door servers op te vragen die een Microsoft-implementatie van DHCP, ARP (Address Resolution Protocol)-caches in routers, apparaten met SNMP en Active Directory-domeinen uitvoeren.
Om een bron te detecteren moet netwerkdetectie het IP-adres en het subnetmasker van de bron identificeren. Omdat verschillende types apparaten een verbinding kunnen maken met het netwerk, kan netwerkdetectie bronnen detecteren die de Configuration Manager-clientsoftware niet kunnen ondersteunen. Apparaten die kunnen worden gedetecteerd, maar niet kunnen worden beheerd, zijn bijvoorbeeld printers en routers.
Netwerkdetectie kan verschillende kenmerken terugsturen als deel van het detectierecord dat het maakt. Dit omvat het volgende:
NetBIOS-naam
IP-adressen
Brondomein
Systeemrollen
SNMP-communitynaam
MAC-adressen
Om netwerkdetectie te gebruiken moet u het niveau van detectie opgeven dat moet worden uitgevoerd. U configureert ook een of meerdere detectiemechanismen die netwerkdetectie inschakelen om netwerksegmenten of apparaten op te vragen. U kunt ook instellingen configureren die helpen detectieacties op het netwerk te controleren. Tot slot definieert u een of meerdere schema's voor wanneer netwerkdetectie wordt uitgevoerd.
Notitie
Complexe netwerken en verbindingen met een lage bandbreedte kunnen ervoor zorgen dat netwerkdetectie traag wordt uitgevoerd en kunnen significant netwerkverkeer genereren. U voert netwerkdetectie best alleen uit wanneer de andere detectiemethodes de bronnen niet kunnen vinden die u moet detecteren. Gebruik netwerkdetectie bijvoorbeeld als u werkgroepcomputers moet detecteren. Werkgroepcomputers worden niet gedetecteerd door de andere detectiemethodes.
Wanneer detectie een object met IP-adres identificeert en het subnetmasker van het object kan bepalen, maakt het een detectiegegevensrecord (DDR) voor dat object aan.
De activiteit van netwerkdetectie wordt geregistreerd in de Netdisc.log in <InstallationPath>\Logs op de siteserver die de detectie uitvoert.
Niveaus van netwerkdetectie
Wanneer u netwerkdetectie configureert, specificeert u een van drie detectieniveaus:
Niveau van detectie |
Details |
|---|---|
Topologie |
Dit niveau detecteert routers en subnetten die geen subnetmasker voor objecten identificeren. |
Topologie en client |
Naast topologie detecteert dit niveau mogelijke clients zoals computers, en bronnen zoals printers en routers. Dit detectieniveau probeert het subnetmasker van objecten te identificeren die het vindt. |
Topologie, client en het besturingssysteem van de client |
Naast topologie en mogelijke clients probeert dit niveau de naam en de versie van het besturingssysteem van de computer te detecteren. Dit niveau maakt gebruik van Windows-Browser en Windows Networking-oproepen. |
Met elk incrementeel niveau verhoogt de netwerkdetectie haar activiteit en gebruik van de netwerkbandbreedte. Houd rekening met het netwerkverkeer dat kan worden gegenereerd voordat u alle aspecten van netwerkdetectie inschakelt.
Wanneer u netwerkdetectie voor het eerst gebruikt, kunt u bijvoorbeeld starten met enkel het topologieniveau om uw netwerkinfrastructuur te identificeren. Dan zou u netwerkdetectie opnieuw kunnen configureren om objecten en de besturingssystemen van hun apparaten te detecteren. U zou ook instellingen kunnen configureren die netwerkdetectie beperken tot een specifiek bereik van netwerksegmenten om objecten in netwerklocaties te detecteren die u vereist en zo onnodig netwerkverkeer en de detectie van objecten van randrouters of van buiten uw netwerk te vermijden.
Opties voor netwerkdetectie
Om netwerkdetectie in te schakelen om apparaten met een IP-adres te zoeken, moet u een of meerdere opties configureren die specificeren hoe apparaten worden opgevraagd. De opties worden in de volgende tabel weergegeven.
Optie |
Details |
Vereisten |
||
|---|---|---|---|---|
Domeinen |
Geef elk domein dat u wilt dat netwerkdetectie opvraagt. Netwerkdetectie kan elke computer detecteren die u kunt bekijken vanop uw siteserver wanneer u in het netwerk bladert. Netwerkdetectie haalt het IP-adres op en gebruikt dan een Internet Control Message Protocol-echoaanvraag om elk apparaat dat het vindt te pingen. De ping-opdracht helpt te bepalen welke computers momenteel actief zijn. |
De siteserver die detectie uitvoert, moet machtigingen hebben om de domeincontrollers in elk opgegeven domein te lezen. Notitie Om computers uit het lokale domein te detecteren, moet u de Computer Browser-service inschakelen op ten minste één computer die zich op hetzelfde subnet bevindt als de siteserver die netwerkdetectie uitvoert. |
||
SNMP-apparaten |
Geef elk SNMP-apparaat dat u wilt dat netwerkdetectie opvraagt. Netwerkdetectie haalt de ipNetToMediaTable-waarde op van elk SNMP-apparaat dat overeenkomt met de query. Deze waarde stuurt matrices van IP-adressen terug die clientcomputers of andere bronnen zijn zoals printers, routers of andere apparaten met een IP-adres. |
Om een apparaat op te vragen, moet u het IP-adres of de NetBIOS-naam van het apparaat geven. U moet netwerkdetectie configureren om de communitynaam van het apparaat te gebruiken, of het apparaat verwerpt de op SNMP gebaseerde query. |
||
DHCP |
Geef elke DHCP-server die u wilt dat netwerkdetectie opvraagt. Netwerkdetectie kan zowel 32-bit als 64-bit DHCP-servers opvragen voor een lijst van apparaten die met elke server zijn geregistreerd. Netwerkdetectie haalt informatie op met behulp van externe procedureoproepen naar de database op de DHCP-server. Wanneer netwerkdetectie een DHCP-server inventariseert, ontdekt het niet altijd statische IP-adressen. Netwerkdetectie vindt geen IP-adressen die deel uitmaken van een uitgesloten bereik van IP-adressen op de DHCP-server, en ontdekt geen IP-adressen die voorbehouden zijn voor handmatige toewijzing. Notitie Netwerkdetectie ondersteunt alleen DHCP-servers die Microsoft-implementatie van DHCP uitvoeren.
|
Opdat netwerkdetectie een DHCP-server zou kunnen opvragen, moet de computeraccount van de server die detectie uitvoert, lid zijn van de DHCP-gebruikersgroep op de DHCP-server. Dit toegangsniveau bestaat bijvoorbeeld wanneer een van de volgende waar is:
|
.jpeg "System_CAPS_important")
BelangrijkNotitie
Netwerkdetectie wordt uitgevoerd in de context van de computeraccount van de siteserver die detectie uitvoert. Als de computeraccount geen machtigingen op een niet-vertrouwd domein heeft, kan de configuratie van zoals het Domein als de DHCP-server mogelijk geen bronnen detecteren.
Netwerkdetectie beperken
Wanneer netwerkdetctie een SNMP-apparaat aan de rand van uw netwerk opvraagt, kan het informatie identificeren over subnetten en SNMP-apparaten die zich buiten uw onmiddellijke netwerk bevinden. U kunt netwerkdetectie beperken door de SNMP-apparaten te configureren waarmee detectie kan communiceren, en door de netwerksegmenten te geven om op te vragen.
Gebruik de volgende configuraties om het bereik van netwerkdetectie te beperken.
Configuratie |
Details |
||
|---|---|---|---|
Subnetten |
Configureer de subnetten die netwerkdetectie opvraagt wanneer het de SNMP- en DHCP-opties gebruikt. Alleen de ingeschakelde subnetten worden doorzocht door deze twee opties. Een DHCP-aanvraag kan bijvoorbeeld apparaten terugsturen vanuit locaties binnen uw volledige netwerk. Als u enkel apparaten op een specifiek subnet wilt detecteren, geef en schakel dan dat specifieke subnet in op het tabblad Subnetten in het dialoogvenster Netwerkdetectie-eigenschappen. Wanneer u subnetten geeft en inschakelt, beperkt u toekomstige DHCP- en SNMP-detectiebewerkingen tot deze subnetten. Notitie Subnetconfiguraties beperken niet de objecten die de optie Domeindetectie detecteert. |
||
SNMP-communitynamen |
Om netwerkdetectie in te schakelen om een SNMP-apparaat op te vragen, configureert u netwerkdetectie met de communitynaam van het apparaat.
|
||
Maximum aantal hops |
Wanneer u het maximum aantal router-hops configureert, beperkt u het aantal netwerksegmenten en routers die netwerkdetectie via een query kan zoeken door gebruik te maken van SNMP.
Een alleen-topologie-detectie bijvoorbeeld, met 0 (nul) router-hops detecteert het subnet waarop de oorspronkelijke server zich bevindt en neemt alle routers in dat subnet op. Het volgende diagram toont wat een topologie-alleen netwerkdetectie vindt wanneer ze op server 1 uitvoert met 0 gespecificeerde router-hops: subnet D en router 1. .jpeg "Diagram voor netwerkdetectie op basis van alleen topologie")
Het volgende diagram toont wat een topologie- en client-netwerkdetectie vindt wanneer ze op server 1 uitvoert met 0 gespecificeerde router-hops: subnet D en router 1 en alle potentiële clients op subnet D. .jpeg "Diagram netwerkclientdetectie: routerhops")
Beschouw het volgende, om een beter idee te krijgen van hoe bijkomende router-hops de hoeveelheid netwerkbronnen kunnen verhogen die worden gedetecteerd: .jpeg "Voorbeeld van initiële netwerkdetectie, aantal hops 4")
Een topologie-alleen netwerkdetectie vanaf server 1 met één router-hop detecteeert het volgende:
|
Discovery Data Records gemaakt door netwerkdetectie
Wanneer netwerkdetectie een object detecteert, creëert ze een gegevensrecord van detectie (DDR) voor dat object. Opdat netwerkdetectie een object zou detecteren, moet ze het IP-adres van het object en dan haar subnetmasker identificeren. Indien netwerkdetectie het subnetmasker van een object niet kan bepalen, creëert ze geen DDR.
Netwerkdetectie gebruikt de volgende methoden om het subnetmasker van een object te identificeren:
Methode |
Details |
Beperking |
|---|---|---|
Router ARP-cache |
Netwerkdetectie doorzoekt via een query de ARP-cache van een router om subnetinformatie te vinden. |
Typisch blijven gegevens in een ARP-cache van een router slechts korte tijd bestaan. Wanneer netwerkdetectie via een query de ARP-cache doorzoekt, kan de ARP-cache eventueel niet langer informatie bevatten over het opgevraagde object. |
DHCP |
Netwerkdetectie doorzoekt via een query elke DHCP-server die u specificeert, om de apparaten te detecteren waarvoor de DHCP-server een lease heeft geleverd. |
Netwerkdetectie ondersteunt alleen DHCP-servers die Microsoft-implementatie van DHCP uitvoeren. |
SNMP-apparaat |
Netwerkdetectie kan rechtstreeks query uitvoeren op een SNMP-apparaat. |
Opdat netwerkdetectie een apparaat zou detecteren, moet op het apparaat een lokale SNMP-agent zijn geïnstalleerd. U moet ook netwerkdetectie configureren voor gebruik van de communitynaam die gebruikt wordt door de SNMP-agent. |
Configuration Manager verwerkt DDR's die gemaakt zijn door netwerkdetectie zoals hij DDR's verwerkt die zijn gemaakt door andere detectiemethoden.
Over detectiegegevensrecords
Gegevensrecords van detectie (DDR's)zijn bestanden gemaakt door een detectiemetjode die informatie bevatten over een bron die u kunt beheren in Configuration Manager. DDR's bevatten informatie over computers, gebruikers en in sommige gevallen over netwerkinfrastructuur. Ze worden verwerkt op primaire sites of op centrale beheersites. Nadat de broninformatie in de DDR ingevoerd is in de database, wordt de DDR gewist en de informatie repliceert als globale gegevens naar alle sites in de hiërarchie.
De site waarop een DDR wordt verwerkt, hangt af van de informatie die het bevat:
DDR's voor nieuwe gedetecteerde bronnen die zich niet in de database bevinden, worden verwerkt op de site van het hoogste niveau van de hiërarchie. De site op het hoogste niveau maakt een nieuw bronrecord aan in de database en wijst er een unieke identificatie aan toe. DDR's worden overgedragen door replicatie op basis van bestanden, tot ze de site op het hoogste niveay bereiken.
DDR's voor eerder gedetecteerde objecten zijn op primaire sites verwerkt. Onderliggende sites dragen geen DDR's over naar de centrale beheersite, wanneer de DDR informatie bevat over een bron die reeds in de database aanwezig is.
Secundaire sites verwerken geen gegevensrecords van detectie en dragen ze altijd over naar hun bovenliggende primaire site door replicatie op basis van bestanden
DDR-bestanden worden geïdentificeerd door de .ddr-extense en hebben een typische grootte van ongeveer 1 KB.
Bepalen waar detectie moet worden uitgevoerd
Wanneer u plant om detectie te gebruiken in Configuration Manager, moet u overwegen waar elk detectiemethode uit te voeren.
Nadat Configuration Manager detetctietgegevens heeft toegegvoegd aan een database, worden ze vlug gedeeld tussen alle sites in de hiërarchie. Overweeg om één enkele instantie te configureren van elke detectiemethode die u gebruikt om uit te voeren op één enkele site in plaats van meerdere instanties van één enkele methode uit te voeren op verschillende sites, en dit omdat er geen voordeel gehaald wordt uit het detecteren van dezelfde informatie op verschillende sites in uw hiërarchie,
Evenwel kan het periodisch helpen om dezelfde detectiemethode toe te wijzen om uit te voeren op verschillende sites, elk met een afzonderlijke configuratie en planning. Dit omdat op elke site alle configuraties voor één enkele detectiemethode beoordeeld worden telkens de detectiemethode uitgevoerd wordt. Indien u niet verschillende instanties van één enkele detectiemethode configureert om uitgevoerd te worden op verschillende sites, plan dan de configuratie van elk zorgvuldig om te vermijden dat twee of meer detectieprocessen dezelfde bronnen detecteren. Dezelfde locaties en bronnen detecteren op meerdere sites kan aanzienlijk meer netwerkbandbreedte gebruiken en dubbele DDR's creëren voor bronnen die geen toegevoegde waarde hebben en toch moeten worden verwerkt door uw siteservers.
De volgende tabel identificeert op welke sites u de verschillende detectiemethodes kunt configureren.
Detectiemethode |
Ondersteunde locaties |
|---|---|
Detectie van Active Directory-forests |
|
Active Directory-groepdetectie |
|
Active Directory-systeemdetectie |
|
Active Directory-gebruikersdetectie |
|
Heartbeat-detectie1 |
|
Netwerkdetectie |
|
1 Secundaire sites kunnen geen heartbeat-detectie configureren, maar kunnen de heartbeat-DDR van een client ontvangen.
Wanneer secundaire sites netwerkdetectie uitvoeren of heartbeat-detectie DDR's ontvangen, dragen ze de DDR's over door replicatie op basis van bestanden naar hun bovenliggende primaire site. Dit omdat enkel primaire sites en centrale beheersites gegevensrecord van detectie (DDR's) kunnen verwerken. Voor meer informatie over hoe DDR's verwerkt worden, zie Over detectiegegevensrecords in dit onderwerp.
Hou rekening met het volgende als u van plan bent detectie uit te voeren:
Wanneer u een Active Directory-detectemethode gebruikt voor systemen, gebruikers of groepen:
Voer detectie uit op een site die een snelle netwerkverbinding heeft naar uw domeincontrollers.
Overweeg de Active Directory-replicatietopologie om ervoor te zorgen dat detectie toegang kan hebben tot de laatste informatie.
Overweeg het bereik van de detectieconfiguratie en beperk detectie tot enkel deze Active Directory-locaties en -groepen die u dient te detecteren.
Als u netwerkdetectie gebruikt:
Gebruik een beperkte initiële configuratie om uw netwerktopologie te identificeren.
Configureer, nadat u uw netwerktopografie hebt geïdentificeerd, netwerkdetectie om op specifieke sites uitgevoerd te worden die centraal zijn met betrekking tot de netwerkgebieden die meer volledig wilt detecteren.
Gezien heartbeat-detectie niet uitgevoerd wordt op een specifieke site, moet u haar niet in rekening brengen in de algemene planning van de locaties waar detectie moet worden uitgevoerd.
Beperk uw initiële detectieconfiguraties en bewaak elke site van dichtbij met betrekking tot zijn vermogen om de detectiegegevens die gegenereerd zijn, te verwerken, en dit omdat elke siteserver en elke netwerkomgeving verschillend is.
Aanbevolen procedures voor detectie
Gebruik de volgende informatie over best practices om u te helpen om detectie te gebruiken in System Center 2012 Configuration Manager.
Voer Active Directory-systeemdetectie en Active DIrectory-gebruikersdetectie uit vóór u detectie voor Active Directory-groepen uitvoert.
Wanneer detectie voor Active Directory-groepen een eerder niet-gedetecteerde gebruiker of computer detecteert als lid van een groep, probeert ze de basisdetails voor de gebruiker of computer te detecteren. Omdat detectie voor Active Directory-groepen niet geoptimaliseerd is voor dit type detectie, kan dit proces ervoor zorgen dat detectie voor Active Directory-groepen traag verloopt. Bijkomend identificeert detectie voor Active DIrectory-groepen enkel de basisdetails over gebruikers en computers die ze detecteert en maakt ze geen volledige gegevensrecord van detectie aan voor de gebruiker of computer. Wanneer u Active Directory-systeemdetectie en Active Directory-gebruikersdetectie uitvoert, zijn de bijkomende Active DIrectory-attributen voor elk object beschikbaar en tengevolge hiervan xordt Active Directory-systeemdetectie efficiënter uitgevoerd.
Wanneer u detectie voor Active DIrectory-groepen configureert, geef dan enkel groepen op die u gebruikt met Configuration Manager.
Geef, om het gebruik van bronnen door detectie voor Active DIrectory-groepen te controleren, enkel deze groepen op die u gebruikt met Configuration Manager. Dit omdat detectie voor Active Directory-groepen recursief elke groep doorzoekt die ze detecteert voor gebruikers, computers en geneste groepen. Het doorzoeken van elke geneste groep kan het bereik van de detectie voor Active Directory-groepen uitbreiden en de prestaties doen verminderen. Bijkomend controleert de detectiemethode elke groep op wijziging, wanneer u detectie voor verschillen configureert voor detectie voor Active Directory-groepen. Dit vermindert verder de prestaties wanneer de methode onnodige groepen moet doorzoeken.
Configureer detectiemethodes met een langer interval tussen volledige detecties, en met een frequentere periode voor detectie van verschillen.
Omdat detectie van verschillen minder bronnen gebruikt dan een volledige detectiecylus en nieuwe of gewijzigde bronnen kan identificeren in Active Directory, kunt u bij gebruik van detectie van verschillen de frequentie van volledige detectiecycli verminderen tot één keer per week of minder. Detectie van verschillen voor Active Directory-systeemdetectie, Active Directory-gebruikersdetectie en detectie voor Active Directory-groepen identificeert bijna alle de wijzigingen van Active Directory-objecten en kan nauwkeurige detectiegegevens voor bronnen behouden.
Voer Active Directory-detectiemethodes uit op een primaire site die een netwerklocatie heeft, die het dichtst is bij uw Active Directory-domeincontroller.
Om de prestatie te verbeteren van Active Directory-detectie, is het aanbevolen om detectie uit te voeren op een primaire site die een snelle netwerkverbinding heeft tot uw domeincontrollers. Indien u dezelfde Active Directory-detectiemetjode uitvoert op meerdere sites, is het aanbevolen om elke detectiemethode te configureren om overlapping te vermijden. Anders dan bij vroegere versies van Configuration Manager, worden detectiegegevens gedeeld tussen sites. Daarom is het niet nodig om dezelfde informatie te detecteren op meerdere sites. Zie Bepalen waar detectie moet worden uitgevoerd voor meer informatie.
Voer Active Directory-forestdetectie uit op slechts één site, wanneer u plant om automatisch grenzen te creëren voor de detectiegegevens.
Indien u Active Directory-forestdetectie op meer dan één site uitvoert in een hiërarchie, is het aanbevolen om enkel opties in te schakelen om automatisch grenzen te creëren op één enkele site. Wanneer u immers Active Directory-forestdetectie uitvoert op elke site en ze grenzen maakt, kan Configuration Manager deze grenzen niet samenvoegen in één enkel grensobject. Wanneer u Active Directory-forestdetectie configureert om automatisch grenzen te maken op meerdere sites, kan het resultaat zijn dat er dubbele grensobjecten zijn in de Configuration Manager-console.