為 Configuration Manager 準備 Windows 環境

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

當您延伸 Active Directory 架構時,此動作是針對整合樹系的設定,您必須對每個樹系執行一次此設定。 延伸架構是無法還原的動作,必須由 Schema Admins 群組的成員,或已委派足夠權限來修改架構的人員完成此動作。 如果您決定延伸 Active Directory 架構,您可以在執行安裝程式前後延伸該架構。 如需可協助您決定是否要延伸 Active Directory 架構的資訊,請參閱判斷是否要延伸 Configuration Manager 的Active Directory 架構

System_CAPS_tip提示

如果已使用 Configuration Manager 2007 架構延伸來延伸 Active Directory 架構,您就不需要延伸 System Center 2012 Configuration Manager 的架構。 Active Directory 架構延伸從 Configuration Manager 2007 以來並未變更。

要讓 Configuration Manager 用戶端成功查詢 Active Directory 網域服務以找到網站資源,必須完成四個動作:

  • 延伸 Active Directory 架構。

  • 建立系統管理容器。

  • 設定系統管理容器的安全性權限。

  • 啟用 Configuration Manager 網站的 Active Directory 發佈功能

Configuration Manager 支援兩種延伸 Active Directory 架構的方法。 第一個方法是使用 extadsch.exe 公用程式。 第二個方法是使用 LDIFDE 公用程式,透過 ConfigMgr_ad_schema.ldf 檔案匯入架構延伸資訊。

System_CAPS_note注意事項

請先測試架構延伸是否與您目前的 Active Directory 架構衝突,再延伸您的 Active Directory 架構。 如需有關如何測試 Active Directory 架構延伸的資訊,請參閱 Active Directory 網域服務文件中的 Testing for Active Directory Schema Extension Conflicts (測試 Active Directory 架構延伸衝突)

您可以執行位於 Configuration Manager 安裝媒體之 SMSSETUP\BIN\X64 資料夾中的 extadsch.exe 檔案,延伸 Active Directory 架構。 extadsch.exe 檔案在執行時不會顯示輸出,但若是您從命令主控台以命令列執行,則會提供回應。 當 extadsch.exe 執行時,會在系統磁碟的根目錄產生名為 extadsch.log 的記錄檔,該檔案會指明架構更新是否順利完成,或在延伸架構時是否發生任何問題。

System_CAPS_tip提示

除了產生記錄檔之外,extadsch.exe 程式會在從命令列執行時,於主控台視窗中顯示結果。

以下是使用 extadsch.exe 的限制:

  • Extadsch.exe 不支援在安裝 Windows 2000 的電腦上執行。 若要從 Windows 2000 電腦延伸 Active Directory 架構,請使用 ConfigMgr_ad_schema.ldf

  • 若要在您於 Windows Vista 電腦上執行 extadsch.exe 時建立 extadsch.log,您必須使用具有本機系統管理員權限的帳戶登入電腦。

  1. 建立架構主機網域控制站系統狀態的備份。

  2. 確定您是使用具有 Schema Admins 安全性群組成員身分的帳戶登入架構主機網域控制站。

    System_CAPS_important重要事項

    您必須登入為 Schema Admins 安全性群組的成員,才能順利延伸架構。 使用 [執行身分] 命令執行 [extadsch.exe] 檔案,以嘗試使用替代認證延伸架構的動作將會失敗。

  3. 執行位於安裝媒體之 \SMSSETUP\BIN\X64extadsch.exe,將新類別和屬性加入 Active Directory 架構。

  4. 檢閱位於系統磁碟根目錄的 extadsch.log,確認架構延伸是否順利執行。

  5. 如果架構延伸程序不成功,您可以從步驟 1 建立的備份還原架構主機先前的系統狀態。

    System_CAPS_note注意事項

    若要在 Windows 網域控制站上還原系統狀態,您必須以目錄服務還原模式重新啟動系統。 如需有關目錄服務還原模式的詳細資訊,請參閱 Restart the Domain Controller in Directory Services Restore Mode Locally (以本機目錄服務還原模式重新啟動網域控制站)

您可以使用 LDIFDE 命令列公用程式,利用 LDAP 資料交換格式 (LDIF) 檔案將目錄物件匯入至 Active Directory 網域服務。

為比 extadsch.exe 公用程式所提供者更清楚看到 Active Directory 架構的變更,您可以使用位於 Configuration Manager 安裝媒體之 SMSSETUP\BIN\X64 資料夾中的 ConfigMgr_ad_schema.ldf 檔案,使用 LDIFDE 公用程式匯入架構延伸資訊。

System_CAPS_note注意事項

ConfigMgr_ad_schema.ldf 檔案與 Configuration Manager 2007 提供的版本相同。

  1. 建立架構主機網域控制站系統狀態的備份。

  2. 開啟位於 Configuration Manager 安裝媒體之 SMSSETUP\BIN\X64 目錄中的 ConfigMgr_ad_schema.ldf 檔案,編輯此檔案以定義 Active Directory 根網域使之延伸。 您必須以要延伸的網域全名,取代檔案中 [DC=x] 內文的所有執行個體。

    例如,若要延伸的網域全域名為 widgets.microsoft.com,請將檔案中 [DC=x] 的所有執行個體取代為 [DC=widgets, DC=microsoft, DC=com]。

  3. 使用 LDIFDE 命令列公用程式,將 ConfigMgr_ad_schema.ldf 檔案的內容匯入至 Active Directory 網域服務。

    例如,以下命令列會將架構延伸匯入至 Active Directory 網域服務,開啟詳細資訊記錄,並在匯入期間建立記錄檔:ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <儲存記錄檔的位置>

  4. 若要確認架構延伸是否成功,您可以檢閱步驟 3 中使用命令列建立的記錄檔。

  5. 如果架構延伸程序不成功,您可以從步驟 1 建立的備份還原架構主機先前的系統狀態。

    System_CAPS_note注意事項

    若要在 Windows 網域控制站上還原系統狀態,您必須以目錄服務還原模式重新啟動系統。 如需有關目錄服務還原模式的詳細資訊,請參閱 Restart the Domain Controller in Directory Services Restore Mode Locally (以本機目錄服務還原模式重新啟動網域控制站)

Configuration Manager 不會在延伸架構時,自動在 Active Directory 網域服務中建立 System Management 容器。 每個包含將網站資訊發佈到 Active Directory 網域服務的 Configuration Manager 主要網站伺服器或次要網站伺服器的網域,都必須建立一次容器

System_CAPS_tip提示

您可以授與站台伺服器電腦帳戶對 Active Directory 網域服務中 [系統] 容器的 [完全控制] 權限,如此可讓站台伺服器在第一次將站台資訊發佈到 Active Directory 網域服務時,自動建立 System Management 容器。 不過,手動建立 System Management 容器比較安全。

使用 [ADSI 編輯] 在 Active Directory 網域服務中建立 System Management 容器。 如需有關如何安裝及使用 [ADSI 編輯] 的詳細資訊,請參閱 Active Directory 網域服務文件中的 ADSI Edit (adsiedit.msc) (ADSI 編輯 (adsiedit.msc))

  1. 以具有 Active Directory 網域服務之 [系統] 容器 [建立所有子物件] 權限的帳戶登入。

  2. 執行 [ADSI 編輯],並連線至網站伺服器所在的網域。

  3. 依序展開 [網域] <電腦完整網域名稱>、[<辨別名稱>],以滑鼠右鍵按一下 [CN=System],按一下 [新增],然後再按一下 [物件]。

  4. 在 [建立物件] 對話方塊中,選取 [容器],然後按 [下一步]。

  5. 在 [值] 方塊中輸入 [系統管理],然後按 [下一步]。

  6. 按一下 [完成] 完成程序。

於 Active Directory 網域服務中建立 System Management 容器後,您必須將發佈到容器所需的權限,授與網站伺服器電腦帳戶。

System_CAPS_important重要事項

必須將 System Management 容器及其所有子物件的 [完全控制] 權限,授與主要站台伺服器電腦帳戶。 如果有次要站台,您必須將 System Management 容器及其所有子物件的 [完全控制] 權限,授與次要站台伺服器電腦帳戶。

您可以使用 Ative Directory 使用者和電腦系統管理工具或 Active Directory 服務介面編輯器 (ADSI 編輯器) 來授與所需的權限。 如需有關如何安裝及使用 [ADSI 編輯] 的詳細資訊,請參閱 ADSI Edit (adsiedit.msc) (ADSI 編輯 (adsiedit.msc))

System_CAPS_note注意事項

提供的下列程序,是有關如何設定 Windows Server 2008 R2 電腦的範例。 如果您使用如 Windows Server 2012 R2 的不同版本之作業系統,請參閱作業系統文件中有關如何進行類似設定的資訊。

  1. 依序按一下 [開始] 和 [執行],然後輸入 [dsa.msc] 開啟 Active Directory 使用者和電腦系統管理工具。

  2. 按一下 [檢視],然後按一下 [進階功能]。

  3. 展開 [系統] 容器,以滑鼠右鍵按一下 [系統管理],然後按一下 [內容]。

  4. 在 [系統管理內容] 對話方塊中,按一下 [安全性] 索引標籤,然後按一下 [新增] 以新增網站伺服器電腦帳戶。 授與帳戶 [完全控制權限]。

  5. 按一下 [進階],選取伺服器的電腦帳戶,然後按一下 [編輯]。

  6. 在 [套用到] 清單中,選取 [此物件及所有子系物件]。

  7. 按一下 [確定],然後關閉 Active Directory 使用者和電腦系統管理工具以完成程序。

  1. 依序按一下 [開始] 和 [執行],然後輸入 adsiedit.msc 開啟 ADSIEdit 主控台。

  2. 如有需要,可連線至網站伺服器的網域。

  3. 在主控台窗格中,展開站台伺服器的網域,展開 [DC=<伺服器辨別名稱>],然後展開 [CN=System]。 以滑鼠右鍵按一下 [CN=System Management],然後按一下 [內容]。

  4. 在 [CN=System Management Properties] 對話方塊中,按一下 [安全性] 索引標籤,然後按一下 [新增] 以新增網站伺服器電腦帳戶。 授與帳戶 [完全控制權限]。

  5. 按一下 [進階],選取伺服器的電腦帳戶,然後按一下 [編輯]。

  6. 在 [套用到] 清單中,選取 [此物件及所有子系物件]。

  7. 按一下 [確定] 關閉 ADSIEdit 主控台並完成程序。

除了延伸 Active Directory 架構、建立 System Management 容器,並設定該容器的權限,您也必須啟用 Configuration Manager 才能將網站資料發佈到 Active Directory 網域服務。 如需有關如何發佈網站資料的資訊,請參閱規劃將站台資料發佈至 Active Directory 網域服務

您必須先確定電腦已設定為支援 System Center 2012 Configuration Manager 選項,才能使用 Windows Server 與 Configuration Manager。 使用以下各節中的資訊,設定 Configuration Manager 的 Windows 伺服器。 如需網站系統角色必要條件的詳細資訊,請參閱主題中的一節。c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

System_CAPS_note注意事項

以下各節中的程序,提供如何設定 Windows Server 2008 或 Windows Server 2008 R2 電腦的範例。 如果您使用如 Windows Server 2012 R2 的不同版本之作業系統,請參閱作業系統文件中有關如何進行類似設定的資訊。

網站伺服器和發佈點需要使用遠端差異壓縮 (RDC) 來產生套件簽章,以及執行簽章壓縮。 如果未啟用 RDC,您必須在這些網站系統伺服器上啟用它。

使用下列程序,以當作如何在 Windows Server 2008 和 Windows Server 2008 R2 電腦上啟用遠端差異壓縮的範例。 如果您使用的是其他版本的作業系統,請參閱作業系統文件中的類似程序。

  1. 在 Windows Server 2008 或 Windows Server 2008 R2 電腦上,瀏覽至 [開始 / 所有程式 / 系統管理工具 / 伺服器管理員],啟動 [伺服器管理員]。 在伺服器管理員中,選取 [功能] 節點,然後按一下 [新增功能],啟動 [新增功能精靈]。

  2. 在 [選取功能] 頁面上,選取 [遠端差異壓縮],然後按 [下一步]。

  3. 完成精靈並關閉伺服器管理員以完成設定。

有數個網站系統角色需要 Internet Information Services (IIS)。 如果尚未啟用 IIS,必須先在網站系統伺服器上啟用,才能安裝需要 IIS 的網站系統角色。 除了網站系統伺服器外,下列網站系統角色也需要 IIS:

  • 應用程式類別目錄 Web 服務點

  • 應用程式類別目錄網站點

  • 發佈點

  • 註冊點

  • 註冊 Proxy 點

  • 後援狀態點

  • 管理點

  • 軟體更新點

Configuration Manager 需要的最低 IIS 版本是網站系統執行伺服器作業系統所隨附的預設版本。

例如,當您在規劃作為發佈點的 Windows Server 2008 電腦上啟用 IIS 時,會安裝 IIS 7.0。 您也可以安裝 IIS 7.5。 如果在 Windows 7 電腦上安裝用於發佈點的 IIS,會自動安裝 IIS 7.5。 您不能在執行 Windows 7 的發佈點上使用 IIS 7.0 版。

請遵循下列範例程序,瞭解如何在 Windows Server 2008 或 Windows Server 2008 R2 電腦上安裝 IIS。 如果您使用的是其他版本的作業系統,請參閱作業系統文件中的類似程序。

  1. 在 Windows Server 2008 或 Windows Server 2008 R2 電腦上,瀏覽至 [開始 / 所有程式 / 系統管理工具 / 伺服器管理員],啟動 [伺服器管理員]。 在伺服器管理員中,選取 [功能] 節點,然後按一下 [新增功能],啟動 [新增功能精靈]。

  2. 在新增功能精靈的 [選取功能] 頁面上,安裝支援此電腦上安裝之網站系統角色所需的其他任何功能。 例如,若要新增 [BITS 伺服器擴充功能]:

    • 若使用 Windows Server 2008,請選取 [BITS 伺服器擴充功能] 核取方塊。 若使用 Windows Server 2008 R2,請選取 [背景智慧型傳送服務 (BITS)] 核取方塊。 出現提示時,按一下 [新增所需的角色服務] 新增相依元件,包括網頁伺服器 (IIS) 角色,然後按 [下一步]。

      System_CAPS_tip提示

      如果要設定作為網站伺服器或發佈點的電腦,請務必選取 [遠端差異壓縮] 核取方塊。

  3. 在新增功能精靈的 [網頁伺服器 (IIS)] 頁面中,按 [下一步]。

  4. 在新增功能精靈的 [選取角色服務] 頁面上,安裝支援此電腦上安裝之網站系統角色所需的其他任何角色服務。 例如,若要新增 ASP.NETWindows 驗證

    • 在 [應用程式開發] 選取 [ASP.NET] 核取方塊,出現提示時,按一下 [新增所需的角色服務] 以新增相依元件。

    • 選取 [安全性] 的 [Windows 驗證] 核取方塊。

  5. 在 [管理工具] 節點中,確定已選取 [IIS 6 管理相容性] 的 [IIS 6 Metabase 相容性] 和 [IIS 6 WMI 相容性] 核取方塊,然後按 [下一步]。

  6. 按一下 [確認] 頁面中的 [安裝]、完成精靈,然後關閉伺服器管理員,即可完成設定。

根據預設,IIS 會封鎖 HTTP 或 HTTPS 通訊存取伺服器副檔名和資料夾位置。 如果套件來源檔案包含 IIS 會封鎖的副檔名,則必須在發佈點電腦上的 applicationHost.config 檔案中設定 requestFiltering 區段。

Configuration Manager 的套件和應用程式使用下列副檔名。 允許在發佈點上使用下列副檔名:

  • .PCK

  • .PKG

  • .STA

  • .TAR

例如,您的軟體部署來源檔案中可能包含名為 bin 的資料夾,或是副檔名為mdb 的檔案。 根據預設,IIS 要求篩選功能會封鎖這些元素的存取。 在發佈點上使用預設的 IIS 設定時,使用 BITS 的用戶端無法從發佈點下載此軟體部署。 在此案例中,用戶端會表明正在等待內容。 若要讓用戶端能夠使用 BITS 下載此內容,請在每個適用的發佈點上編輯 applicationHost.config 檔案的 requestFiltering 區段,允許存取軟體部署中的檔案及資料夾。

System_CAPS_important重要事項

requestFiltering 區段中的修改會套用至該伺服器上的所有網站。 此設定會增加電腦受攻擊面。 最佳安全作法是在專用 Web 伺服器上執行 Configuration Manager。 如果必須在該 Web 伺服器上執行其他應用程式,請使用 Configuration Manager 的自訂網站。 如需自訂網站的相關資訊,請參閱使用 Configuration Manager 規劃自訂網站中的規劃 Configuration Manager 中的網站系統一節中。

請遵循下列範例程序,瞭解如何在 Windows Server 2008 或 Windows Server 2008 R2 電腦上修改 requestFiltering。 如果您使用的是其他版本的作業系統,請參閱作業系統文件中的類似程序。

為發佈點上的 IIS 設定要求篩選

  1. 在發佈點電腦上,開啟位於 %Windir%\System32\Inetsrv\Config\ 目錄中的 applicationHost.config 檔案。

  2. 搜尋 <requestFiltering> 區段。

  3. 決定此發佈點上套件中的副檔名和資料夾名稱。 針對您需要的每個副檔名和資料夾名稱,執行下列步驟:

    • 如果它列為 fileExtension 元素,請將 allowed 的值設為 true

      例如,如果內容包含副檔名為 .mdb 的檔案,請將 <add fileExtension=".mdb" allowed="false" /> 變更為 <add fileExtension=".mdb" allowed="true" />

      僅允許內容所需的副檔名。

    • 如果列為 <hiddenSegments> 元素,請從檔案中刪除所有符合檔案名稱或資料夾名稱的項目。

      例如,如果內容包含的資料夾有一個 bin 標籤,請移除檔案中的 <add segment=”bin” /> 一行。

  4. 儲存並關閉 applicationHost.config 檔案以完成設定。

顯示: