Подготовка среды Windows к Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Расширение схемы Active Directory распространяется на весь лес и может выполняться в каждом лесу лишь один раз. Расширение схемы — необратимое действие. Его должен выполнять пользователь, являющийся членом группы "Администраторы схемы", или пользователь, которому были предоставлены разрешения, достаточные для изменения схемы. Вы можете расширить схему Active Directory до или после выполнения установки. Сведения о принятии решения о расширении схемы Active Directory см. в разделе Определение необходимости расширения схемы Active Directory для Configuration Manager.

System_CAPS_tipСовет

Если схема Active Directory была расширена с помощью расширений схемы Configuration Manager 2007, расширять схему для System Center 2012 Configuration Manager не требуется. Расширения схемы Active Directory не отличаются от расширений, используемых в Configuration Manager 2007.

Чтобы клиенты Configuration Manager могли обращаться к доменным службам Active Directory для нахождения ресурсов сайта, необходимо выполнить четыре действия.

  • Расширить схему Active Directory.

  • Создать контейнер System Management.

  • Настроить разрешения безопасности для контейнера System Management.

  • Включение публикации Active Directory для сайта Configuration Manager

Configuration Manager поддерживает два метода расширения схемы Active Directory. Первый метод предполагает использование служебной программы extadsch.exe. Во втором методе используется служебная программа LDIFDE, которая импортирует сведения о расширении схемы с помощью файла ConfigMgr_ad_schema.ldf.

System_CAPS_noteПримечание

Перед расширением схемы Active Directory проверьте расширения схемы на наличие конфликтов с текущей схемой Active Directory. Сведения о тестировании расширений схемы Active Directory см. в статье Тестирование на наличие конфликтов расширений схемы Active Directory в документации по доменным службам Active Directory.

Схему Active Directory можно расширить с помощью файла extadsch.exe, находящегося в папке SMSSETUP\BIN\X64 на установочном носителе Configuration Manager. Файл extadsch.exe не отображает выходные данные во время выполнения, но выводит информацию, если запускается из командной консоли в качестве средства командной строки. Во время выполнения файл extadsch.exe создает файл журнала extadsch.log в корне системного диска. В нем отмечается успешное завершение обновления схемы или наличие проблем, возникших при расширении схемы.

System_CAPS_tipСовет

В дополнение к созданию файла журнала программа extadsch.exe отображает результаты в окне консоли, когда ее запуск выполняется из командной строки.

Существуют следующие ограничения для использования программы extadsch.exe.

  • Extadsch.exe не поддерживается при запуске на компьютерах с ОС Windows 2000. Чтобы расширить схему Active Directory с компьютера под управлением ОС Windows 2000, следует использовать файл ConfigMgr_ad_schema.ldf.

  • Чтобы включить создание файла extadsch.log во время выполнения программы extadsch.exe на компьютере с ОС Windows Vista, необходимо выполнить вход в систему компьютера с учетной записью локального администратора.

  1. Создайте резервную копию состояния системы основного контроллера домена схемы.

  2. Выполните вход в основной контроллер домена схемы с учетной записью, входящей в группу безопасности "Администраторы схемы".

    System_CAPS_importantВажно

    Эта учетная запись позволит успешно расширить схему. Выполнение файла extadsch.exe с помощью команды Запуск от имени для расширения схемы с использованием альтернативных учетных данных завершится неудачей.

  3. Запустите файл extadsch.exe, находящийся в папке \SMSSETUP\BIN\X64 на установочном носителе, чтобы добавить новые классы и атрибуты в схему Active Directory.

  4. Убедитесь в успешном выполнении расширения схемы, просмотрев файл extadsch.log, находящийся в корне системного диска.

  5. Если процедура расширения схемы завершилась ошибкой, восстановите предыдущее основное состояние системы схемы из резервной копии, созданной на шаге 1.

    System_CAPS_noteПримечание

    Чтобы восстановить состояние системы в контроллере домена Windows, необходимо перезапустить систему в режиме восстановления служб каталогов. Дополнительные сведения о режиме восстановления служб каталогов см. в статье Локальный перезапуск контроллера домена в режиме восстановления служб каталогов.

Чтобы импортировать объекты каталогов в доменные службы Active Directory с помощью LDIF-файла, воспользуйтесь программой командной строки LDIFDE.

Чтобы представить изменения, внесенные в схему Active Directory, более детализировано, чем это делает служебная программа extadsch.exe, используйте программу LDIFDE для импорта сведений о расширении схемы с помощью файла ConfigMgr_ad_schema.ldf, находящегося в папке SMSSETUP\BIN\X64 на установочном носителе Configuration Manager.

System_CAPS_noteПримечание

Версия файла ConfigMgr_ad_schema.ldf, предоставляемого с Configuration Manager 2007, не изменилась.

  1. Создайте резервную копию состояния системы основного контроллера домена схемы.

  2. Откройте файл ConfigMgr_ad_schema.ldf, находящийся в папке SMSSETUP\BIN\X64 установочного носителя Configuration Manager, и измените его для определения корневого домена Active Directory, который нужно расширить. Все текстовые строки DC=x в файле необходимо заменить полным именем расширяемого домена.

    Например, если полное имя расширяемого домена — widgets.microsoft.com, измените все строки DC=x в файле на DC=widgets, DC=microsoft, DC=com.

  3. С помощью программы командной строки LDIFDE импортируйте содержимое файла ConfigMgr_ad_schema.ldf в доменные службы Active Directory.

    Например, следующая командная строка позволит импортировать расширения схемы в доменные службы Active Directory, включить режим подробного ведения журнала и создать файл журнала во время процесса импорта: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <расположение для хранения файла журнала>.

  4. Чтобы проверить успешное выполнение расширения схемы, просмотрите файл журнала, созданный с помощью командной строки из шага 3.

  5. Если процедура расширения схемы завершилась ошибкой, восстановите предыдущее основное состояние системы схемы из резервной копии, созданной на шаге 1.

    System_CAPS_noteПримечание

    Чтобы восстановить состояние системы в контроллере домена Windows, необходимо перезапустить систему в режиме восстановления служб каталогов. Дополнительные сведения о режиме восстановления служб каталогов см. в статье Локальный перезапуск контроллера домена в режиме восстановления служб каталогов.

При расширении схемы Configuration Manager не создает автоматически контейнер System Management в доменных службах Active Directory. Контейнер необходимо создать один раз для каждого домена, в который входит сервер первичного сайта Configuration Manager, публикующий данные сайта в доменных службах Active Directory.

System_CAPS_tipСовет

Учетной записи компьютера сервера сайта можно предоставить права Полный доступ для доступа к контейнеру System в доменных службах Active Directory, что приведет к автоматическому созданию сервером сайта контейнера System Management при первой публикации данных сайта в доменных службах Active Directory. Однако более безопасный вариант — создать контейнер System Management вручную.

Для создания контейнера System Management в доменных службах Active Directory используйте оснастку ADSI Edit. Дополнительные сведения об установке и использовании оснастки ADSI Edit см. в статье ADSI Edit (adsiedit.msc) (Оснастка ADSI Edit (adsiedit.msc)) в документации по доменным службам Active Directory.

  1. Войдите в систему под учетной записью с правами на создание любых дочерних объектов контейнера Система в доменных службах Active Directory.

  2. Запустите оснастку ADSI Edit и подключитесь к домену, в котором находится сервер сайта.

  3. Последовательно разверните узлы Домен <полное доменное имя компьютера>, <различающееся имя>, щелкните правой кнопкой мыши CN=System, выберите команду Создать, а затем — Объект.

  4. В диалоговом окне Создание объекта выберите Контейнер и нажмите кнопку Далее.

  5. В поле Значение введите System Management, а затем нажмите кнопку Далее.

  6. Нажмите кнопку Готово, чтобы завершить процедуру.

Создав контейнер System Management в доменных службах Active Directory учетной записи компьютера сервера сайта, следует предоставить разрешения, необходимые для публикации данных сайта в контейнере.

System_CAPS_importantВажно

Учетная запись компьютера сервера основного сайта должна иметь разрешения Полный доступ для доступа к контейнеру System Management и всем его дочерним объектам. Если в иерархии есть вторичные сайты, учетная запись компьютера сервера вторичного сайта должна иметь разрешения Полный доступ для доступа к контейнеру System Management и всем его дочерним объектам.

Необходимые разрешения предоставляются с помощью средства администрирования "Пользователи и компьютеры Active Directory" или оснастки Active Directory Service Interfaces Editor (ADSI Edit). Дополнительные сведения об установке и использовании оснастки ADSI Edit см. в статье ADSI Edit (adsiedit.msc) (Оснастка ADSI Edit (adsiedit.msc)).

System_CAPS_noteПримечание

Следующие процедуры — это примеры настройки компьютеров с Windows Server 2008 R2. При наличии другой версии операционной системы, например Windows Server 2012 R2, обратитесь к документации по этой операционной системе и узнайте, каким образом выполняются аналогичные настройки.

  1. Нажмите кнопку Пуск, выберите пункт Выполнить и введите dsa.msc, чтобы открыть средство администрирования "Active Directory — пользователи и компьютеры".

  2. Выберите Вид и щелкните Дополнительные параметры.

  3. Разверните контейнер System, правой кнопкой мыши щелкните System Management, а затем нажмите кнопку Свойства.

  4. В диалоговом окне Свойства управления системой, откройте вкладку Безопасность, а затем нажмите кнопку Добавить, чтобы добавить учетную запись компьютера сервера сайта. Предоставьте учетной записи разрешения Полный доступ.

  5. Щелкните Дополнительно, выберите учетную запись компьютера сервера сайта и нажмите кнопку Изменить.

  6. В списке Применить выберите Этот объект и все дочерние объекты.

  7. Нажмите кнопку ОК, чтобы закрыть средство администрирования "Active Directory — пользователи и компьютеры" и завершить процедуру.

  1. Нажмите кнопку Пуск, выберите Выполнить и введите adsiedit.msc, чтобы открыть консоль ADSIEdit.

  2. При необходимости подключитесь к домену сервера сайта.

  3. В панели консоли последовательно разверните узлы домена сервера сайта, DC=<различающееся имя сервера, CN=System. Правой кнопкой мыши щелкните CN=System Management и выберите пункт Свойства.

  4. В диалоговом окне Свойства: CN=System Management, откройте вкладку Безопасность, а затем нажмите кнопку Добавить, чтобы добавить учетную запись компьютера сервера сайта. Предоставьте учетной записи разрешения Полный доступ.

  5. Щелкните Дополнительно, выберите учетную запись компьютера сервера сайта и нажмите кнопку Изменить.

  6. В списке Применять выберите Этот объект и все дочерние объекты.

  7. Нажмите кнопку ОК, чтобы закрыть консоль ADSIEdit и завершить процедуру.

Кроме расширения схемы Active Directory, создания контейнера System Management и установки разрешений для этого контейнера, необходимо включить в Configuration Manager публикацию данных сайта в доменных службах Active Directory. Сведения о публикации данных сайта см. в разделе Планирование публикации данных сайта в доменных службах Active Directory.

Прежде чем начать использовать Windows Server с System Center 2012 Configuration Manager, необходимо убедиться, что компьютер настроен для поддержки операций Configuration Manager. Следующие разделы содержат сведения о настройке серверов под управлением ОС Windows для Configuration Manager. Дополнительные сведения о предварительных требованиях для системных ролей сайтов см. в разделе Компоненты, необходимые для ролей системы сайта статьи Поддерживаемые конфигурации для диспетчера конфигурации.

System_CAPS_noteПримечание

Процедуры в следующих разделах приведены в качестве примеров настройки компьютеров с ОС Windows Server 2008 или Windows Server 2008 R2. При наличии другой версии операционной системы, например Windows Server 2012 R2, обратитесь к документации по этой операционной системе и узнайте, каким образом выполняются аналогичные настройки.

Чтобы создавать подписи пакетов и сравнивать подписи, серверам сайта и точкам распространения требуется функция удаленного разностного сжатия (RDC). Включите функцию RDC на серверах систем сайтов, если она еще не включена.

Следующая процедура используется в качестве примера включения функции удаленного разностного сжатия на компьютерах с ОС Windows Server 2008 или Windows Server 2008 R2. При наличии другой версии операционной системы обратитесь к документации по имеющейся операционной системе и соответствующим образом измените действия в этой процедуре.

  1. На компьютере с ОС Windows Server 2008 или Windows Server 2008 R2 последовательно выберите Пуск / Все программы / Администрирование / Диспетчер сервера, чтобы запустить диспетчер сервера. В диспетчере сервера выберите узел Компоненты и нажмите кнопку Добавить компоненты, чтобы запустить мастер добавления компонентов.

  2. На странице Выбор компонентов выберите Удаленное разностное сжатие и нажмите кнопку Далее.

  3. Завершите работу мастера и закройте диспетчер сервера, чтобы закончить настройку.

Службы IIS требуются нескольким ролям систем сайта. Если службы IIS еще не включены, их следует включить на серверах систем сайта до установки роли системы сайта, которой они необходимы. Кроме сервера системы сайта службы IIS требуются следующим ролям систем сайта.

  • Точка веб-службы каталога приложений

  • Точка веб-сайта каталога приложений.

  • Точка распространения.

  • Точка регистрации

  • Прокси-точка регистрации.

  • Резервная точка состояния.

  • Точка управления.

  • Точка обновления программного обеспечения

Минимальная версия служб IIS, необходимая Configuration Manager, представляет собой версию по умолчанию, входящую в состав операционной системы сервера, на котором запущена система сайта.

Например, при включении служб IIS на компьютере под управлением ОС Windows Server 2008, который планируется использовать в качестве точки управления, устанавливаются службы IIS 7.0. Можно также установить службы IIS 7.5. При включении служб IIS на компьютере с ОС Windows 7 для точки распространения автоматически устанавливаются службы IIS 7.5. Службы IIS версии 7.0 нельзя использовать для точки управления под управлением ОС Windows 7.

Следующая процедура используется в качестве примера установки служб IIS на компьютере с ОС Windows Server 2008 или Windows Server 2008 R2. При наличии другой версии операционной системы обратитесь к документации по имеющейся операционной системе и соответствующим образом измените действия в этой процедуре.

  1. На компьютере с ОС Windows Server 2008 или Windows Server 2008 R2 последовательно выберите Пуск / Все программы / Администрирование / Диспетчер сервера, чтобы запустить диспетчер сервера. В диспетчере сервера выберите узел Компоненты и нажмите кнопку Добавить компоненты, чтобы запустить мастер добавления компонентов.

  2. На странице Выбор компонентов мастера добавления компонентов установите дополнительные компоненты, которые требуются для поддержки ролей системы сайта, установленных на этом компьютере. Например, чтобы добавить компонент Серверные расширения BITS, выполните следующие действия.

    • Для Windows Server 2008 установите флажок Серверные расширения BITS. Для Windows Server 2008 R2 установите флажок Фоновые интеллектуальные службы передачи (BITS). Получив запрос, нажмите кнопку Добавить требуемые службы роли, чтобы добавить зависимые компоненты, включая роль веб-сервера (IIS), а затем нажмите кнопку Далее.

      System_CAPS_tipСовет

      Если выполняется настройка компьютера, которому будет назначена роль сервера сайта или точки распространения, установите флажок Удаленное разностное сжатие.

  3. На странице Веб-сервер (IIS) мастера добавления компонентов нажмите кнопку Далее.

  4. На странице Выбор служб ролей мастера добавления компонентов установите дополнительные службы ролей, которые требуются для поддержи ролей системы сайта, установленных на этом компьютере. Например, чтобы добавить компоненты ASP.NET и Проверка подлинности Windows, выполните следующие действия.

    • Для элемента Разработка приложений установите флажок ASP.NET и, получив запрос, нажмите кнопку "Добавить требуемые службы роли", чтобы добавить зависимые компоненты.

    • Для элемента Безопасность установите флажок Проверка подлинности Windows.

  5. В узле Средства управления (для элемента Совместимость управления IIS 6) убедитесь, что установлены флажки Совместимость метабазы IIS 6 и Совместимость WMI в IIS 6, и нажмите кнопку Далее.

  6. На странице Подтверждение нажмите кнопку Установить, завершите работу мастера и закройте окно диспетчера серверов, чтобы завершить настройку.

По умолчанию службы IIS блокируют доступ к различным расширениям имен файлов и расположениям папок для подключений по протоколу HTTP или HTTPS. Если исходные файлы пакета содержат расширения, блокируемые IIS, потребуется внести изменения в раздел requestFiltering файла applicationHost.config на компьютерах точек распространения.

Configuration Manager использует перечисленные ниже расширения имен файлов для пакетов и приложений. Вам потребуется разрешить следующие расширения имен файлов в точках распространения:

  • PCK,

  • PKG,

  • STA,

  • TAR.

Например, в пакете развертывания программного обеспечения могут содержаться исходные файлы, включающие папку с именем bin или файл с расширением mdb. По умолчанию функция фильтрации запросов IIS блокирует доступ к этим элементам. Если на точке распространения используется конфигурация IIS по умолчанию, клиенты, использующие службу BITS, не смогут загрузить этот пакет развертывания программного обеспечения с точки распространения. В этом случае на клиентах отображается состояние ожидания содержимого. Чтобы дать клиентам возможность загружать это содержимое с помощью службы BITS, на каждой соответствующей точке распространения необходимо внести изменения в раздел requestFiltering файла applicationHost.config, чтобы разрешить доступ к папкам и файлам в пакете развертывания программного обеспечения.

System_CAPS_importantВажно

Изменения, внесенные в раздел requestFiltering, применяются ко всем веб-сайтам на этом сервере. Эта конфигурация также увеличивает вероятность возникновения угроз безопасности для компьютера. В целях безопасности рекомендуется использовать Configuration Manager на выделенном веб-сервере. Если на веб-сервере требуется запускать другие приложения, используйте для Configuration Manager специальный веб-сайт. Сведения о настраиваемых веб-сайтах см. в разделе Планирование настраиваемых веб-сайтов с помощью Configuration Manager статьи Планирование систем сайта в Configuration Manager.

Используйте следующую процедуру в качестве примера изменения раздела requestFiltering на компьютере с ОС Windows Server 2008 или Windows Server 2008 R2. При наличии другой версии операционной системы обратитесь к документации по имеющейся операционной системе и соответствующим образом измените действия в этой процедуре.

Настройка фильтрации запросов для служб IIS на точке распространения

  1. На компьютере точки распространения откройте файл applicationHost.config, который находится в папке %Windir%\System32\Inetsrv\Config\.

  2. Найдите раздел <requestFiltering>.

  3. Определите расширения имен файлов и имена папок, которые будут использоваться в пакетах на этой точке распространения. Для каждого необходимого расширения файла и имени папки выполните следующие действия.

    • Если имя или расширение содержится в списке элементов fileExtension, задайте для параметра allowed (разрешено) значение true (да).

      Например, если содержимое содержит файл с расширением MDB, измените строку <add fileExtension=".mdb" allowed="false" /> на строку <add fileExtension=".mdb" allowed="true" />.

      Разрешайте только те расширения имен файлов, которые требуются для пакетов.

    • Если имя или расширение указано как элемент <hiddenSegments>, удалите запись в файле конфигурации, которая соответствует расширению файла или имени папки.

      Например, если в пакете содержится папка с именем bin, удалите строку <add segment=”bin” /> из файла.

  4. Чтобы завершить настройку, сохраните и закройте файл applicationHost.config.

Показ: