Preparar o Ambiente do Windows para o Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Quando expande o esquema do Active Directory, esta ação constitui uma configuração em toda a floresta que deverá fazer uma vez por floresta. A extensão do esquema constitui uma ação irreversível, tendo de ser desempenhada por um utilizador que seja membro do Grupo Admins de Esquemas ou a quem tenham sido delegadas permissões suficientes para modificar o esquema. Se decidir expandir o esquema do Active Directory, poderá expandi-lo antes ou depois da Configuração. Para obter informações para o ajudar a decidir se pretende expandir o esquema do Active Directory, consulte Determinar se Deve Expandir o Esquema do Active Directory para o Configuration Manager.

System_CAPS_tipSugestão

Se o esquema do Active Directory tiver sido expandido com as extensões de esquema do Configuration Manager 2007, não será necessário expandir o esquema para o System Center 2012 Configuration Manager. As extensões de esquema do Active Directory não foram alteradas em relação ao Configuration Manager 2007.

São necessárias quatro ações para permitir que os clientes do Gestor de configuração consultem com êxito os Serviços de Domínio do Active Directory para localizarem recursos de site:

  • Expandir o esquema do Active Directory.

  • Criar o contentor Gestão do Sistema.

  • Definir permissões de segurança no contentor Gestão do Sistema.

  • Ativar a publicação no Active Directory para o site do Configuration Manager

O Gestor de configuração suporta dois métodos de expansão do esquema do Active Directory. O primeiro consiste em utilizar o utilitário extadsch.exe. O segundo consiste em utilizar o utilitário LDIFDE para importar as informações de extensão do esquema utilizando o ficheiro ConfigMgr_ad_schema.ldf.

System_CAPS_noteNota

Antes de expandir o esquema do Active Directory, teste eventuais conflitos das extensões de esquema com o esquema atual do Active Directory. Para obter informações sobre como testar as extensões de esquema do Active Directory, consulte Testing for Active Directory Schema Extension Conflicts (Testar Conflitos de Extensões do Esquema do Active Directory) na documentação dos Serviços de Domínio do Active Directory.

Poderá expandir o esquema do Active Directory executando o ficheiro extadsch.exe, localizado na pasta SMSSETUP\BIN\X64 do suporte de dados de instalação do Gestor de configuração. O ficheiro extadsch.exe não apresenta resultados quando é executado, mas fornece informações quando é executado como linha de comandos, numa consola de comandos. Quando é executado, o extadsch.exe gera um ficheiro de registo na raiz da unidade de sistema com o nome extadsch.log, que indica se a atualização de esquema foi concluída com êxito ou se foram encontrados problemas ao expandir o esquema.

System_CAPS_tipSugestão

Além de gerar um ficheiro de registo, o programa extadsch.exe apresenta resultados na janela da consola quando é executado a partir da linha de comandos.

As limitações da utilização do utilitário extadsch.exe são:

  • A execução do extadsch.exe em computadores com o Windows 2000 não é suportada. Para expandir o esquema do Active Directory a partir de um computador com o Windows 2000, utilize o ConfigMgr_ad_schema.ldf.

  • Para permitir a criação do ficheiro de registo extadsch.log ao executar o extadsch.exe num computador com o Windows Vista, terá de ter sessão iniciada no computador com uma conta com permissões de administrador local.

  1. Crie uma cópia de segurança do estado do sistema do controlador de domínio principal do esquema.

  2. Certifique-se de que iniciou sessão no controlador de domínio principal do esquema com uma conta que seja membro do grupo de segurança Admins de Esquema.

    System_CAPS_importantImportante

    Para expandir o esquema com êxito, terá de ter sessão iniciada como membro do grupo de segurança Admins de Esquema. A execução do ficheiro extadsch.exe utilizando o comando Executar Como para tentar expandir o esquema utilizando credenciais alternativas falhará.

  3. Execute o utilitário extadsch.exe, localizado em \SMSSETUP\BIN\X64 no suporte de dados de instalação, para adicionar as novas classes e atributos ao esquema do Active Directory.

  4. Certifique-se de que a expansão do esquema foi bem sucedida consultando o ficheiro de registo extadsch.log, localizado na raiz da unidade de sistema.

  5. Se o procedimento de expansão do esquema não tiver tido êxito, restaure o estado de sistema anterior do mestre do esquema a partir da cópia de segurança criada no passo 1.

    System_CAPS_noteNota

    Para restaurar o estado do sistema num controlador de domínio do Windows, o sistema terá de ser reiniciado no Modo de Restauro dos Serviços de Diretório. Para mais informações sobre o Modo de Restauro dos Serviços de Diretório, consulte Restart the Domain Controller in Directory Services Restore Mode Locally (Reiniciar o Controlador de Domínio no Modo de Restauro dos Serviços de Diretório Localmente).

Poderá utilizar o utilitário da linha de comandos LDIFDE para importar os objetos de diretório para os Serviços de Domínio do Active Directory utilizando ficheiros LDIF (Formato de Intercâmbio de Dados LDAP).

Para aumentar a visibilidade das alterações efetuadas ao esquema do Active Directory pelo utilitário extadsch.exe, poderá utilizar o utilitário LDIFDE para importar as informações de extensão do esquema utilizando o ficheiro ConfigMgr_ad_schema.ldf, localizado na pasta SMSSETUP\BIN\X64 do suporte de dados de instalação do Gestor de configuração.

System_CAPS_noteNota

O ficheiro ConfigMgr_ad_schema.ldf não foi alterado em relação à versão fornecida com o Configuration Manager 2007.

  1. Crie uma cópia de segurança do estado do sistema do controlador de domínio principal do esquema.

  2. Abra o ficheiro ConfigMgr_ad_schema.ldf, localizado no diretório SMSSETUP\BIN\X64 do suporte de dados de instalação do Gestor de configuração, e edite o ficheiro para definir o domínio raiz do Active Directory a expandir. Todas as instâncias do texto DC=x no ficheiro deverão ser substituídas pelo nome completo do domínio a expandir.

    Por exemplo, se o nome completo do domínio a expandir for widgets.microsoft.com, altere todas as instâncias de DC=x no ficheiro para DC=widgets, DC=microsoft, DC=com.

  3. Utilize o utilitário da linha de comandos LDIFDE para importar o conteúdo do ficheiro ConfigMgr_ad_schema.ldf para os Serviços de Domínio do Active Directory.

    Por exemplo, a seguinte linha de comandos importa as extensões de esquema para os Serviços de Domínio do Active Directory, ativa o registo verboso e cria um ficheiro de registo durante o processo de importação: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <localização de armazenamento do ficheiro de registo>

  4. Para verificar se a expansão do esquema teve êxito, poderá consultar o ficheiro de registo criado pela linha de comandos utilizada no passo 3.

  5. Se o procedimento de expansão do esquema não tiver tido êxito, restaure o estado de sistema anterior do mestre do esquema a partir da cópia de segurança criada no passo 1.

    System_CAPS_noteNota

    Para restaurar o estado do sistema num controlador de domínio do Windows, o sistema terá de ser reiniciado no Modo de Restauro dos Serviços de Diretório. Para mais informações sobre o Modo de Restauro dos Serviços de Diretório, consulte Restart the Domain Controller in Directory Services Restore Mode Locally (Reiniciar o Controlador de Domínio no Modo de Restauro dos Serviços de Diretório Localmente).

O Gestor de configuração não cria automaticamente o contentor System Management nos Serviços de Domínio do Active Directory quando o esquema é expandido. O contentor terá de ser criado uma vez para cada domínio que inclua um servidor de site primário ou servidor de site secundário do Gestor de configuração que publique as informações de site nos Serviços de Domínio do Active Directory

System_CAPS_tipSugestão

Poderá conceder a permissão Controlo Total à conta de computador do servidor de site no contentor Sistema dos Serviços de Domínio do Active Directory, o que resultará na criação automática do contentor System Management pelo servidor de site quando as informações de site forem publicadas pela primeira vez nos Serviços de Domínio do Active Directory. No entanto, é mais seguro criar manualmente o contentor System Management.

Utilize o Editor de ADSI para criar o contentor System Management nos Serviços de Domínio do Active Directory. Para mais informações sobre a instalação e utilização do Editor de ADSI, consulte ADSI Edit (adsiedit.msc) na documentação dos Serviços de Domínio do Active Directory.

  1. Inicie sessão com uma conta que tenha a permissão Criar Todos os Objetos Subordinados no contentor Sistema dos Serviços de Domínio do Active Directory.

  2. Execute o Editor de ADSI e estabeleça ligação ao domínio em que reside o servidor de site.

  3. Expanda o Domínio <nome de domínio completamente qualificado do computador>, expanda o <nome único>, clique com o botão direito do rato em CN=System, clique em Novo e, em seguida, em Objeto.

  4. Na caixa de diálogo Criar Objeto, selecione Contentor e clique em Seguinte.

  5. Na caixa Valor, escreva Gestão do Sistema e clique em Seguinte.

  6. Clique em Concluir para concluir o procedimento.

Após criar o contentor System Management nos Serviços de Domínio do Active Directory, terá de conceder à conta de computador do servidor de site as permissões necessárias para publicar as informações de site no contentor.

System_CAPS_importantImportante

A conta de computador do servidor de site primário terá de ter permissões de Controlo Total no contentor System Management e em todos os seus objetos subordinados. Se tiver sites secundários, a conta de computador do servidor de site secundário também terá de ter permissões de Controlo Total no contentor System Management e em todos os seus objetos subordinados.

Pode conceder as permissões necessárias utilizando a ferramenta administrativa Utilizadores e Computadores do Active Directory ou o Active Directory Service Interfaces Editor (Editor de ADSI). Para mais informações sobre a instalação e utilização do Editor de ADSI, consulte ADSI Edit (adsiedit.msc).

System_CAPS_noteNota

Os procedimentos seguintes são fornecidos como exemplos de como configurar computadores com o Windows Server 2008 R2. Se estiver a utilizar outra versão do sistema operativo, como o Windows Server 2012 R2, consulte a documentação desse sistema operativo para obter informações sobre como efetuar configurações semelhantes.

  1. Clique em Iniciar, clique em Executar e introduza dsa.msc para abrir a ferramenta administrativa Utilizadores e Computadores do Active Directory.

  2. Clique em Ver e em Funcionalidades Avançadas.

  3. Expanda o contentor Sistema, clique com o botão direito do rato em Gestão do Sistema e clique em Propriedades.

  4. Na caixa de diálogo Propriedades de Gestão do Sistema, clique no separador Segurança e clique em Adicionar para adicionar a conta de computador do servidor de site. Conceda permissões de Controlo Total à conta.

  5. Clique em Avançadas, selecione a conta de computador do servidor de site e clique em Editar.

  6. Na lista Aplicar a, selecione Este objeto e os objetos subordinados.

  7. Clique em OK e feche a ferramenta administrativa Utilizadores e Computadores do Active Directory para concluir o procedimento.

  1. Clique em Iniciar, clique em Executar e introduza adsiedit.msc para abrir a consola do Editor de ADSI.

  2. Se necessário, estabeleça ligação ao domínio do servidor de site.

  3. No painel da consola, expanda o domínio do servidor do site, expanda DC=<nome único do servidor> e expanda CN=System. Clique com o botão direito do rato em CN=System Management e clique em Propriedades.

  4. Na caixa de diálogo Propriedades de CN=System Management, clique no separador Segurança e clique em Adicionar para adicionar a conta de computador do servidor de site. Conceda permissões de Controlo Total à conta.

  5. Clique em Avançadas, selecione a conta de computador do servidor de site e clique em Editar.

  6. Na lista Aplicar em, selecione Este objeto e os objetos subordinados.

  7. Clique em OK para fechar a consola do Editor de ADSI e concluir o procedimento.

Além de expandir o esquema do Active Directory, criar o contentor System Management e definir as respetivas permissões, terá de ativar o Gestor de configuração para publicar os dados do site nos Serviços de Domínio do Active Directory. Para obter informações sobre a publicação dos dados do site, consulte Planear Publicação de Dados do Site nos Serviços de Domínio do Active Directory.

Para poder utilizar um Windows Server com o System Center 2012 Configuration Manager, terá de se certificar de que o computador se encontra configurado para suportar operações do Gestor de configuração. Utilize as informações das secções seguintes para configurar servidores Windows para o Gestor de configuração. Para mais informações sobre pré-requisitos das funções do sistema de sites, consulte a secção do tópico .c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

System_CAPS_noteNota

Os procedimentos das secções seguintes são fornecidos como exemplos de como configurar computadores com o Windows Server 2008 ou Windows Server 2008 R2. Se estiver a utilizar outra versão do sistema operativo, como o Windows Server 2012 R2, consulte a documentação desse sistema operativo para obter informações sobre como efetuar configurações semelhantes.

Os servidores de sites e pontos de distribuição requerem Compressão de Diferencial Remota (RDC) para gerar assinaturas de pacote e efetuar a comparação de assinaturas. Se a RDC não estiver ativada, terá de a ativar nestes servidores do sistema de sites.

Utilize o seguinte procedimento como um exemplo de como ativar a Compressão de Diferencial Remota em computadores com o Windows Server 2008 e Windows Server 2008 R2. Se tiver outra versão do sistema operativo, consulte o procedimento equivalente na documentação do sistema operativo.

  1. No computador com o Windows Server 2008 ou Windows Server 2008 R2, navegue para Iniciar / Todos os Programas / Ferramentas Administrativas / Gestor de Servidor para iniciar o Gestor de Servidor. No Gestor de Servidor, selecione o nó Funcionalidades e clique em Adicionar Funcionalidades para iniciar o Assistente para Adicionar Funcionalidades.

  2. Na página Selecionar Funcionalidades, selecione Compressão de Diferencial Remota e clique em Seguinte.

  3. Conclua o assistente e feche o Gestor de Servidores para concluir a configuração.

Várias funções do sistema de sites requerem os Serviços de Informação Internet (IIS). Se o IIS ainda não estiver ativado, deve ativá-lo nos servidores do sistema de sites antes de instalar uma função do sistema de sites que necessite do IIS. Para além do servidor do sistema de sites, também as seguintes funções dos sistemas de sites necessitam do IIS:

  • Ponto de serviço Web do Catálogo de Aplicações

  • Ponto de Web site do Catálogo de Aplicações

  • Ponto de distribuição

  • Ponto de inscrição

  • Ponto proxy de registo

  • Ponto de estado de contingência

  • Ponto de gestão

  • Ponto de atualização de Software

A versão mínima do IIS que o Gestor de configuração requer é a versão predefinida fornecida com o sistema operativo do servidor que executa o sistema de sites.

Por exemplo, quando ativar o IIS num computador com o Windows Server 2008 que pretende utilizar como ponto de distribuição, é instalado o IIS 7.0. Também pode instalar o IIS 7.5. Se ativar o IIS num computador com Windows 7 para um ponto de distribuição, o IIS 7.5 é instalado automaticamente. É possível utilizar o IIS versão 7.0 para o ponto de distribuição que executa o Windows 7.

Utilize o procedimento seguinte como um exemplo de como instalar o IIS num computador com o Windows Server 2008 ou o Windows Server 2008 R2. Se tiver outra versão do sistema operativo, consulte o procedimento equivalente na documentação do sistema operativo.

  1. No computador com o Windows Server 2008 ou Windows Server 2008 R2, navegue para Iniciar / Todos os Programas / Ferramentas Administrativas / Gestor de Servidor para iniciar o Gestor de Servidor. No Gestor de Servidor, selecione o nó Funcionalidades e clique em Adicionar Funcionalidades para iniciar o Assistente para Adicionar Funcionalidades.

  2. Na página Selecionar Funcionalidades do Assistente para Adicionar Funcionalidades, instale as funcionalidades adicionais necessárias para suportar as funções do sistema de sites instaladas neste computador Por exemplo, para adicionar as Extensões de Servidor BITS:

    • Para o Windows Server 2008, selecione a caixa de verificação Extensões de servidor BITS. Para o Windows Server 2008 R2, selecione a caixa de verificação Serviços de Transferência Inteligente em Segundo Plano (BITS). Quando solicitado,clique em Adicionar Serviços de Função Requeridos para adicionar os componentes dependentes, incluindo a função do Servidor Web (IIS), e clique em Seguinte.

      System_CAPS_tipSugestão

      Se estiver a configurar um computador que será um servidor do site ou ponto de distribuição, certifique-se de que a caixa de verificação Compressão de Diferencial Remota está selecionada.

  3. Na página Servidor Web (IIS) do Assistente para Adicionar Funcionalidades, clique em Seguinte.

  4. Na página Selecionar Serviços de Função do Assistente para Adicionar Funcionalidades, instale os serviços de função adicionais necessários para suportar as funções do sistema de sites instaladas neste computador Por exemplo, para adicionar ASP.NET e Autenticação do Windows:

    • Em Desenvolvimento de Aplicações, selecione a caixa de verificação ASP.NET, quando solicitado, clique em Adicionar Serviços de Função Requeridos para adicionar os componentes dependentes.

    • Em Segurança, selecione a caixa de verificação Autenticação do Windows.

  5. No nó Ferramentas de Gestão, para Compatibilidade de Gestão do IIS 6, certifique-se de que estão selecionadas ambas as caixas de verificação Compatibilidade com Metabase do IIS 6 e Compatibilidade com WMI do IIS 6 e clique em Seguinte.

  6. Na página Confirmação, clique em Instalar para concluir o assistente e feche o Gestor de Servidores para concluir a configuração.

Por predefinição, o IIS bloqueia várias extensões de nomes de ficheiros e localizações de pastas contra o acesso por comunicação HTTP ou HTTPS. Se os ficheiros de origem do pacote tiverem extensões bloqueadas no IIS, deve configurar a secção requestFiltering do ficheiro applicationHost.config nos computadores do ponto de distribuição.

As extensões de nomes de ficheiros seguintes são utilizadas pelo Gestor de configuração para os pacotes e aplicações. Permita as seguintes extensões de nomes ficheiros nos pontos de distribuição:

  • .PCK

  • .PKG

  • .STA

  • .TAR

Por exemplo, pode ter ficheiros de origem para uma implementação de software que incluam uma pasta denominada bin ou que contenham um ficheiro com a extensão de nome de ficheiro .mdb. Por predefinição, a filtragem de pedidos do IIS bloqueia o acesso a estes elementos. Quando utiliza a configuração predefinida do IIS num ponto de distribuição, os clientes que utilizam o BITS não conseguem transferir esta implementação de software a partir do ponto de distribuição. Neste cenário, os clientes indicam que estão a aguardar o conteúdo. Para ativar os clientes para transferir este conteúdo utilizando o BITS, em cada ponto de distribuição aplicável, edite a secção requestFiltering do ficheiro applicationHost.config para permitir acesso aos ficheiros e pastas da implementação de software.

System_CAPS_importantImportante

As modificações à secção requestFiltering aplicam-se a todos os Web sites desse servidor. Esta configuração aumenta a superfície de ataque do computador. O procedimento recomendado de segurança consiste em executar o Gestor de configuração num servidor Web dedicado. Se tiver de executar outras aplicações no servidor Web, utilize um Web site personalizado para o Gestor de configuração. Para obter informações sobre sites personalizados, consulte a secção Planear Web sites personalizados com o Configuration Manager em Planear Sistemas de Sites no Configuration Manager.

Utilize o procedimento seguinte como um exemplo de como modificar o requestFiltering num computador com o Windows Server 2008 ou o Windows Server 2008 R2. Se tiver outra versão do sistema operativo, consulte o procedimento equivalente na documentação do sistema operativo.

Para configurar a filtragem de pedidos do IIS em pontos de distribuição

  1. No computador do ponto de distribuição, abra o ficheiro applicationHost.config file localizado no diretório %Windir%\System32\Inetsrv\Config\.

  2. Procure a secção <requestFiltering>.

  3. Determine as extensões de nomes de ficheiros e nomes de pastas que terá nos pacotes deste ponto de distribuição. Para cada extensão e nome de pasta de que necessitar, execute os passos seguintes:

    • Se estiver listado como um elemento fileExtension, defina o valor de permitido em verdadeiro.

      Por exemplo, se o conteúdo incluir um ficheiro com a extensão .mdb, altere a linha <add fileExtension=".mdb" allowed="false" /> para <add fileExtension=".mdb" allowed="true" />.

      Permita apenas as extensões de nomes de ficheiros necessárias ao seu conteúdo.

    • Se estiver listado como um elemento <hiddenSegments>, elimine do ficheiro a entrada que corresponde à extensão de nome de ficheiro ou ao nome da pasta.

      Por exemplo, se o conteúdo incluir uma pasta com a etiqueta bin, remova a linha <add segment=”bin” /> do ficheiro.

  4. Guarde e feche o ficheiro applicationHost.config para concluir a configuração.

Mostrar: