規劃 Configuration Manager 中的探索

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager 探索會識別您可使用 Configuration Manager 進行管理的電腦和使用者資源。 此外,它還可探索環境中的網路基礎結構。 探索程序會為每個已探索的物件建立一個探索資料記錄 (DDR),並將此資訊儲存在 Configuration Manager 資料庫中。

當資源的探索成功時,該探索會將資源相關資訊置於檔案中並作為探索資源記錄 (DDR) 以供參照。 隨後 DDR 會由站台伺服器進行處理並輸入 Configuration Manager 資料庫,然後資料庫複寫會將這些資料覆寫至所有站台。 無論探索資料是在何處進行探索或處理,都可透過複寫讓階層中的每個站台都能使用這些資料。

您可以使用探索資訊來建立自訂查詢與集合,透過邏輯方式將資源分組來進行管理工作,例如指派自訂用戶端設定和軟體部署。 您必須先探索電腦,才能使用用戶端推入安裝在裝置上安裝 Configuration Manager 用戶端。

請利用以下各節來協助您規劃 Configuration Manager 中的探索:

System_CAPS_note注意事項

本節提供的資訊也會出現在開始使用 System Center 2012 Configuration Manager 指南。

System Center 2012 Configuration Manager 會使探索產生下列變更:

  • 在主要站台或管理中心網站上,每個探索資料記錄的處理及輸入資料庫的次數都只有一次,然後探索資料記錄會被刪除而不需要額外的處理。

  • 在某個站台輸入資料庫的探索資訊,會使用 Configuration Manager 資料庫複寫,與階層中的各個站台共用此資訊。

  • Active Directory 樹系探索是一種新的探索方法,可探索子網路和 Active Directory 站台,並可將其新增為階層的界限。

  • Active Directory 系統群組探索已移除。

  • Active Directory 安全性群組探索會重新命名為 Active Directory 群組探索,並探索資源的群組成員資格。

  • Active Directory 系統探索和 Active Directory 群組探索皆支援從探索中篩選出過時電腦記錄的選項。

  • Active Directory 系統、使用者和群組探索皆支援 Active Directory 差異探索。 差異探索是從 Configuration Manager 2007 R3 改良而成,且現在可偵測電腦或使用者在群組中新增或移除的時間。

在啟用 Configuration Manager 的探索方法之前,請確定您瞭解各個方法可探索的內容。 由於探索作業會產生大量的網路流量,且產生的 DDR 會在處理期間耗用龐大的 CPU 資源,因此請規劃為只使用達成目標所需的探索方法。 您可以只使用會成功達成目標的一個或兩個探索方法,並且以審慎的態度使用其他方法來延伸環境中的探索層級。

請使用以下表格來協助您規劃這六種可設定的探索方法。

探索方法

預設已啟用

執行探索的帳戶

詳細資訊

Active Directory 樹系探索

Active Directory 樹系探索帳戶,或站台伺服器的電腦帳戶

  • 可探索 Active Directory 站台和子網路,然後針對已設定為進行探索的樹系為每個站台和子網路建立 Configuration Manager 界限。 當 Active Directory 樹系探索識別已指派給 Active Directory 站台的超網路時,Configuration Manager 會將超網路轉換成 IP 位址範圍界限。

  • 支援使用者定義的帳戶以探索每個樹系的資源。

  • 可在發佈至已啟用樹系且指定的帳戶具有該樹系的權限時,發佈至樹系的 Active Directory 網域服務。

Active Directory 系統探索

Active Directory 系統探索帳戶,或站台伺服器的電腦帳戶

  • 從 Active Directory 網域服務中的指定位置探索電腦。

Active Directory 使用者探索

Active Directory 使用者探索帳戶,或站台伺服器的電腦帳戶

  • 從 Active Directory 網域服務中的指定位置探索使用者帳戶。

Active Directory 群組探索

Active Directory 群組探索帳戶,或站台伺服器的電腦帳戶

  • 從 Active Directory 網域服務中的指定位置探索本機、全域和萬用安全性群組、這些群組中的成員資格以及發佈群組中的成員資格。 發佈群組不會探索為群組資源。

活動訊號探索

用戶端的電腦帳戶

  • 由作用中 Configuration Manager 用戶端所使用,以更新其在資料庫中的探索記錄。

  • 活動訊號探索可強制將電腦探索為新的資源記錄,或重新匯入已從資料庫刪除的電腦資料庫記錄。

網路探索

站台伺服器的電腦帳戶

  • 搜尋網路基礎結構以找出具有 IP 位址的網路裝置。

  • 可探索其他探索方法可能未發現的裝置。 這包括印表機、 路由器和橋接器。

所有可設定的探索方法皆支援探索執行的排程。 活動訊號探索除外,您可以設定各種方法來搜尋資源的特定位置以新增至 Configuration Manager 資料庫。 探索執行後,您可以變更探索方法搜尋的位置。 這些新位置會在下次執行探索時進行搜尋。 不過,探索方法下一次執行的範圍不會僅限於新的位置,並且一律會嘗試從所有目前設定的位置探索資訊。

活動訊號探索是唯一預設啟用的探索方法。 為協助維護 Configuration Manager 用戶端的資料庫記錄,請勿停用活動訊號探索。

除了這些探索方法以外,Configuration Manager 也會使用一種稱為伺服器探索 (SMS_WINNT_SERVER_DISCOVERY_AGENT) 的程序。 這個探索方法會為站台系統的電腦 (例如設定為管理點的電腦) 建立資源記錄。 此探索方法會每日執行且無法設定。

若要探索潛在的 Configuration Manager 用戶端電腦或使用者資源,您必須啟用適當的探索方法。 您可以使用不同的探索方法組合來尋找不同的資源,以及探索與這些資源有關的其他資訊。 您使用的探索方法會決定已探索的資源類型,以及在探索程序中使用哪些 Configuration Manager 服務和代理程式。 同時會決定與可探索之資源相關的資訊類型。

探索電腦
當您要探索電腦時,您可以使用 Active Directory 系統探索或網路探索。

例如,如果您要在使用用戶端推入安裝之前探索可安裝 Configuration Manager 用戶端的資源,您可執行 Active Directory 系統探索。 或者,您也可以執行網路探索並使用其選項來探索資源的作業系統 (稍後使用用戶端推入安裝時需要)。 不過,在使用 Active Directory 系統探索時,您不只會探索資源,還會探索基本資訊,並可從 Active Directory 網域服務探索相關的額外資訊。 此資訊將有助於建立複雜的查詢與集合,以用來指派用戶端設定或內容部署。 另一方面,網路探索可提供您使用其他探索方法無法取得的網路拓撲的相關資訊,但網路探索不會提供任何與您的 Active Directory 環境有關的資訊。

您也可以只使用活動訊號探索來強制探索使用用戶端推入安裝以外的方法所安裝的用戶端。 不過,與其他探索方法不同的是,活動訊號探索無法探索沒有作用中 Configuration Manager 用戶端的電腦,並且只會傳回有限的資訊。 其目的在於維護現有的資料庫記錄而非作為該記錄的基礎。 活動訊號探索提交的資訊可能不足以建立複雜的查詢或集合。

如果您使用 Active Directory 群組探索來探索指定群組的成員資格,您可以探索有限的系統或電腦資訊。 這並不會取代電腦的完整探索,但可提供基本資訊。 此基本資訊並不足以執行用戶端推入安裝。

探索使用者
當您要探索與使用者有關的資訊時,可使用 Active Directory 使用者探索。 與 Active Directory 系統探索類似,此方法會探索 Active Directory 的使用者,並還包含除了延伸的 Active Directory 資訊以外的基本資訊。 您可以使用此資訊來建立與電腦應用類似的複雜查詢和集合。

探索群組資訊
當您要探索與群組和群組成員資格有關的資訊時,可使用 Active Directory 群組探索。 此探索方法會建立安全性群組的資源記錄。

您可以使用此方法來搜尋特定的 Active Directory 群組,以便在該群組內的任何巢狀群組外還識別該群組的成員。 您也可以使用此方法來搜尋群組的 Active Directory 位置,並以遞迴方式在 Active Directory 網域服務中搜尋該位置的每個子容器。

此探索方法也可搜尋發佈群組的成員資格。 並可識別使用者及電腦的群組關係。

當您探索群組時,您也可以探索與其成員相關的有限資訊。 不過此方法並不會取代 Active Directory 系統或使用者探索,且通常不足以建立複雜的查詢和集合,也無法作為用戶端推入安裝的基礎。

探索基礎結構
您可以使用兩種方法來探索網路基礎結構,分別是 Active Directory 樹系探索和網路探索。

您可以使用 Active Directory 樹系探索來搜尋 Active Directory 樹系,以尋找與子網路和 Active Directory 站台設定有關的資訊。 然後這些設定會自動輸入至 Configuration Manager 作為界限位置。

當您想要探索網路拓撲時,可使用網路探索。 雖然其他探索方法會傳回與 Active Directory 網域服務相關的資訊並可識別用戶端的目前網路位置,但不提供以子網路和網路路由器拓撲為基礎的基礎結構資訊。

本節包含與下列探索方法相關的資訊:

  • Active Directory 系統探索

  • Active Directory 使用者探索

  • Active Directory 群組探索

System_CAPS_note注意事項

本節中的資訊不適用於 Active Directory 樹系探索。

這三種探索方法在設定及操作方面相當類似,並可探索電腦、使用者,以及儲存在 Active Directory 網域服務中與資源群組成員資格相關的資訊。 此探索程序是由站台伺服器上執行的探索代理程式所管理 (位於已設定執行探索的每個站台上)。 您可以設定每一種探索方法來搜尋一個或多個 Active Directory 位置,作為本機樹系或遠端樹系中的位置執行個體。

當探索搜尋不受信任的樹系以尋找資源時,探索代理程式必須能成功解析下列情況:

  • 若要使用 Active Directory 系統探索來探索電腦資源,探索代理程式必須能解析資源的 FQDN。 若無法解析 FQDN,接著便會嘗試依其 NetBIO 名稱來解析資源。

  • 若要使用 Active Directory 使用者探索或 Active Directory 群組探索來探索使用者或群組資源,探索代理程式必須能解析您為 Active Directory 位置指定的網域控制站名稱 FQDN。

您可以針對所指定的每個位置執行個體來設定個別的搜尋選項,例如啟用遞迴式搜尋來搜尋 Active Directory 子容器位置。 您也可以設定唯一的帳戶以便在搜尋該位置執行個體時使用。 這可在單一站台上設定探索方法上提供彈性,以便在多個樹系之間搜尋多個 Active Directory 位置,而不需要設定具備所有位置權限的單一帳戶。

當您在特定站台上執行這三種探索方法時,該站台上的 Configuration Manager 站台伺服器會連絡指定 Active Directory 樹系中最近的網域控制站,以找出 Active Directory 資源。 網域和樹系可以處於任何支援的 Active Directory 模式下,並且您指派給每個位置執行個體的帳戶都必須擁有指定之 Active Directory 位置的 [讀取] 權限。 探索會在指定的位置上搜尋物件,然後嘗試收集與這些物件相關的資訊。 當能夠識別足夠的資源相關資訊時便建立 DDR。 必要的資訊會依使用的探索方法而有所不同。

如果您要設定在不同 Configuration Manager 站台上執行相同的探索方法,以利用本機 Active Directory 伺服器查詢的優勢,您可以使用一組唯一的探索選項來設定每個站台。 由於探索資料會在階層中的每個站台間共用,因此請避免重複這些設定以便一次就有效率地探索每個資源。 對於規模較小的環境,您可能會考慮只在階層中的單一站台上執行每個探索方法,藉此減少管理上的額外負擔以及避免執行多個探索動作來重新探索相同的資源。 當您將執行探索的站台數目降到最低時,就可以減少探索所使用的整體網路頻寬,同時減少必須由站台伺服器建立和處理的整體 DDR 數量。

許多的探索方法設定都一目了然。 請利用以下各節取得與探索選項相關的詳細資訊,在設定這些選項之前您可能會需要額外的資訊。

下表可協助您識別多個 Active Directory 探索方法可用的設定選項。

索引鍵:

√ = 支援

Ø = 不支援

探索選項

Active Directory 系統探索

Active Directory 使用者探索

Active Directory 群組探索

詳細資料

差異探索

差異探索是每個 Active Directory 探索方法 (除了 Active Directory 樹系探索以外) 可用的選項。Configuration Manager 可以使用差異探索來搜尋特定屬性之 Active Directory 網域服務 (AD DS),該屬性為探索方法之最後一個完整探索循環之後已變更的屬性。 您可以設定差異探索在搜尋新資源時的短暫間隔,因為僅探索新資源並不會像完整探索週期一樣影響站台伺服器的效能。

差異探索可偵測下列新的資源類型:

  • 電腦物件

  • 使用者物件

  • 安全性群組物件

  • 系統群組物件

當資源已從 AD DS 中刪除時,差異探索即無法偵測。 您必須執行完整的探索週期來偵測此變更。

差異探索所探索物件 的 DDR 的處理方式與完整探索週期所建立的 DDR 類似。

您可以在每種探索方法的內容中的 [輪詢排程] 索引標籤上設定差異探索。

依網域登入來篩選過時的電腦記錄

Ø

您可以設定探索根據電腦的上次網域登入來排除過時電腦記錄的探索。 當啟用此選項時,Active Directory 系統探索會評估其識別的每部電腦。 Active Directory 群組探索則會評估所探索的群組成員的每一部電腦。

使用這個選項需要執行下列動作:

  • 電腦必須設定為更新 AD DS 中的 lastLogonTimeStamp 屬性。

  • Active Directory 網域功能層級設定為 Windows Server 2003 或更新版本。

若您在上次登入後設定時間,請考量網域控制站之間的複寫間隔。

您可以藉由選取 [僅探索在指定時間登入網域的電腦] 選項,在 [Active Directory 系統探索內容] 和 [Active Directory 群組探索內容] 對話方塊中設定 [選項] 索引標籤上的篩選。

System_CAPS_warning警告

當您針對相同的探索方法設定這兩種過時記錄篩選時,符合其中一種篩選準則的電腦將會從探索中排除。

依電腦密碼篩選過時的記錄

Ø

您可以設定探索根據電腦的上次電腦帳戶密碼更新來排除探索過時的電腦記錄。 當啟用此選項時,Active Directory 系統探索會評估其識別的每部電腦。 Active Directory 群組探索則會評估所探索的群組成員的每一部電腦。

使用這個選項需要執行下列動作:

  • 電腦必須設定為更新 AD DS 中的 pwdLastSet 屬性。

當設定此選項時,除了網域控制站間的複寫間隔之外,還請考慮此屬性的更新間隔。

您可以藉由選取 [僅探索在指定時間更新其電腦帳戶密碼的電腦] 選項,在 [Active Directory 系統探索內容] 和 [Active Directory 群組探索內容] 對話方塊中設定 [選項] 索引標籤上的篩選。

System_CAPS_warning警告

當您針對相同的探索方法設定這兩種過時記錄篩選時,符合其中一種篩選準則的電腦將會從探索中排除。

搜尋自訂的 Active Directory 屬性

Ø

每個探索方法都支援可探索的唯一屬性清單。

您可以在 [Active Directory 系統探索內容] 和 [Active Directory 使用者探索內容] 對話方塊中的 [Active Directory 屬性] 索引標籤上,設定 Active Directory 自訂屬性。

使用 Configuration Manager Active Directory 系統探索來搜尋指定的 Active Directory 網域服務 (AD DS) 位置,以尋找可用來建立集合與查詢的電腦資源。 然後您可以使用用戶端推入安裝,將用戶端安裝至探索的電腦。 若要成功建立電腦的探索資料記錄 (DDR),Active Directory 系統探索必須能夠識別電腦帳戶,然後成功將電腦名稱解析為 IP 位址。

根據預設,Active Directory 系統探索會探索與電腦相關的基本資訊,包括下列項目:

  • 電腦名稱

  • 作業系統和版本

  • Active Directory 容器名稱

  • IP 位址

  • Active Directory 站台

  • 上次登入時間戳記

除了基本資訊之外,您還可以設定探索從 Active Directory 網域服務延伸的屬性。

您可以檢視 Active Directory 系統探索傳回的預設物件屬性清單,並在 [Active Directory 系統探索內容] 對話方塊中的 [Active Directory 屬性] 索引標籤上,設定要探索的其他屬性。

如需如何設定探索方法的詳細資訊,請參閱設定電腦、使用者或群組的 Active Directory 探索

Active Directory 系統探索動作會記錄在站台伺服器上 adsysdis.log 資料夾中的 <InstallationPath>\LOGS 檔案內。

使用 Configuration Manager Active Directory 使用者探索來搜尋 Active Directory 網域服務 (AD DS),以識別使用者帳戶和相關屬性。

您可以檢視 Active Directory 使用者探索傳回的預設物件屬性清單,並在 [Active Directory 使用者探索內容] 對話方塊中的 [Active Directory 屬性] 索引標籤上,設定要探索的其他屬性。

根據預設,Active Directory 使用者探索會探索與使用者帳戶相關的基本資訊,包括下列項目:

  • 使用者名稱

  • 唯一的使用者名稱 (包括網域名稱)

  • Domain

  • Active Directory 容器名稱

除了基本資訊之外,您還可以設定探索從 Active Directory 網域服務延伸的屬性。

如需如何設定探索方法的詳細資訊,請參閱設定電腦、使用者或群組的 Active Directory 探索

Active Directory 使用者探索動作會記錄在站台伺服器上 adusrdis.log 資料夾中的 <InstallationPath>\LOGS 檔案內。

使用 Configuration Manager Active Directory 群組探索來搜尋 Active Directory 網域服務 (AD DS),以識別電腦和使用者的群組成員資格。

此探索方法會搜尋您設定的探索範圍,然後在該探索範圍中識別資源的群組成員資格。 根據預設,僅會探索安全性群組。 不過,若您在 [Active Directory 群組探索內容] 對話方塊的 [選項] 索引標籤上勾選 [探索發佈群組的成員資格] 核取方塊,就可以探索發佈群組的成員資格。

使用 Active Directory 群組探索來探索下列資訊:

  • 群組

  • 群組的成員資格

  • 與群組成員電腦和使用者有關的有限資訊,即使這些電腦和使用者之前並未由其他探索方法進行探索。

此探索方法的目的在於識別群組以及群組成員的群組關係。 此探索方法並不支援可使用 Active Directory 系統探索或 Active Directory 使用者探索識別的延伸 Active Directory 屬性。 由於此探索方法尚未最佳化以探索電腦和使用者資源,請考慮在執行 Active Directory 系統探索和 Active Directory 使用者探索之後執行此探索方法。 這是因為此探索方法會為群組建立完整的 DDR,但身為群組成員的電腦和使用者只能獲得有限的 DDR。

您可以設定下列探索範圍以控制 Active Directory 群組探索搜尋資訊的方式:

  • 位置:請使用位置來搜尋一個或多個 Active Directory 容器。 此範圍選項支援指定的 Active Directory 容器的遞迴式搜尋,同時可搜尋所指定容器下的每個子容器。 此程序會繼續執行,直到找不到任何子容器為止。

  • 群組:請使用群組來搜尋一個或多個特定 Active Directory 群組。 您可以設定 [Active Directory 網域] 為使用預設網域和樹系,或縮小個別網域控制站的搜尋範圍。 此外,您還可以指定一個或多個要搜尋的群組。 如果您未指定至少一個群組,則會搜尋在指定的 [Active Directory 網域] 位置中找到的所有群組。

System_CAPS_caution警告

當您設定探索範圍時,請僅選取您必須探索的群組。 這是因為 Active Directory 群組探索會嘗試探索該範圍中每個群組的每個成員。 大型群組的探索會需要使用大量的頻寬和 Active Directory 資源。

System_CAPS_note注意事項

您必須執行 Active Directory 系統探索或 Active Directory 使用者探索,才能建立以延伸 Active Directory 屬性為基礎的集合,並確保電腦和使用者的探索結果正確無誤。

如需如何設定探索方法的詳細資訊,請參閱設定電腦、使用者或群組的 Active Directory 探索

Active Directory 群組探索動作會記錄在站台伺服器上 adsgdis.log 資料夾中的 <InstallationPath>\LOGS 檔案內。

使用 Configuration Manager Active Directory 樹系探索來探索 IP 子網路與 Active Directory 站台,並將其新增至 Configuration Manager 作為界限。

與其他探索方法不同,Active Directory 樹系探索不會探索您可管理的資源。 相反地,此方法會探索 Active Directory 網路位置並可將這些位置轉換成可在階層中使用的界限。

使用 Active Directory 樹系探索執行下列動作:

  • 探索 Active Directory 樹系中的 IP 子網路

  • 探索 Active Directory 樹系中的 Active Directory 站台

  • 在 Configuration Manager 中新增已探索為界限的 IP 子網路和 Active Directory 站台

  • 在發佈已啟用樹系且指定的 Active Directory 樹系帳戶具有該樹系的權限時,發佈至樹系的 Active Directory 網域服務。

從 [系統管理] 工作區 [階層組態] 的下列節點,管理在 Configuration Manager 主控台的 Active Directory 樹系探索:

  • 探索方法:您可以在此啟用 Active Directory 樹系探索,使其在階層中的頂層站台上執行。 您也可以指定簡易排程來執行探索,並設定為自動從其探索的 IP 子網路和 Active Directory 站台建立界限。 Active Directory 樹系探索無法在子主要站台或次要站台上執行。

    System_CAPS_note注意事項

    此探索方法不支援差異探索。

  • Active Directory 樹系:您可以在此設定要探索的其他 Active Directory 樹系、為每個樹系指定要作為 Active Directory 樹系帳戶的帳戶,並設定發佈至每個樹系。 此外,您還可以監視探索程序,將 IP 子網路和 Active Directory 站台新增至 Configuration Manager 作為界限及界限群組的成員。

當啟用樹系的發佈並已針對 Configuration Manager 延伸該樹系架構時,則會為已啟用為發佈至該 Active Directory 樹系的每個站台發佈下列資訊:

  • SMS-Site-<site code>

  • SMS-MP-<site code>-<site system server name>

  • SMS-SLP-<site code>-<site system server name>

  • SMS-<site code>-<Active Directory site name or subnet>

System_CAPS_note注意事項

次要網站一律使用次要網站伺服器電腦帳戶發佈至 Active Directory。 如果您要由次要站台發佈至 Active Directory,請確定次要站台伺服器電腦具備可發佈至 Active Directory 的權限。 次要站台無法將資料發佈至不信任的樹系。

System_CAPS_tip提示

若要設定階層中每個站台發佈至 Active Directory 樹系,請將您的 Configuration Manager 主控台連線至階層的頂層站台。 Active Directory 站台 [內容] 對話方塊中的 [發佈] 索引標籤只能顯示目前的站台及其子站台。

System_CAPS_caution警告

清除選項以將站台發佈至 Active Directory 樹系時,所有該站台之前發佈的資訊,包括可用的站台系統角色,都會從該樹系的 Active Directory 中移除。

在本機 Active Directory 樹系上執行的 Active Directory 樹系探索、每個信任的樹系和每個您在 Configuration Manager 主控台之 Active Directory 樹系 節點設定的其他樹系。

系統會在下列記錄中記錄 Active Directory 樹系探索活動:

  • 所有活動 (但不包括與發佈相關的活動) 會記錄在站台伺服器上 InstallationPath>\Logs 資料夾中的 ADForestDisc.Log 檔案中。

  • Active Directory 樹系探索的發佈活動則會記錄在站台伺服器上 hman.log 資料夾中的 sitecomp.log<InstallationPath>\Logs 中。

差異探索並非 Configuration Manager 中的完整探索方法,而是 Active Directory 系統、使用者與群組探索方式的可用選項。 差異探索可識別大部分針對 Active Directory 中先前所探索資源所做的變更,使用的資源比完整探索週期來得要少。

啟用探索方法中的差異探索時,該探索方法會搜尋 Active Directory 網域服務 (ADDS),找出探索方法的上次完整探索週期後已變更的特定屬性。 這些變更會提交至 Configuration Manager 資料庫,以更新資源探索記錄。

根據預設,差異探索會以 5 分鐘的週期執行, 這是因為在進行探索期間,這種探索使用的資源比完整探索週期來得少,對站台伺服器效能的影響也沒有完整探索週期來得明顯。 使用差異探索時,請考量降低該探索方法的完整探索週期的頻率。

差異探索可以偵測到 Active Directory 物件的變更。 以下是差異探索最常偵測到的變更:

  • 將新的電腦或使用者新增到 Active Directory

  • 基本的電腦和使用者資訊的變更

  • 新增到群組的新電腦或使用者

  • 從群組移除的電腦或使用者

  • 系統群組物件的變更

儘管差異探索可以偵測到新的資源與群組成員資格的變更,但資源若已從 AD DS 刪除時,就無法偵測。

差異探索所探索物件 的 DDR 的處理方式與完整探索週期所建立的 DDR 類似。

您可以在每種探索方法的內容中的 [輪詢排程] 索引標籤上設定差異探索。

活動訊號探索與其他 Configuration Manager 探索方法不同。 這預設為啟用,並在每個電腦用戶端上執行,以建立探索資料記錄 (DDR)。 若為行動裝置用戶端,則會由行動裝置用戶端所使用的管理點來建立此 DDR。

活動訊號探索會依據對此階層中所有用戶端設定的排程執行,或如果手動叫用,則依據在用戶端 Configuration Manager 程式之 [動作] 索引標籤的 [探索資料收集週期] 在特定用戶端執行。 當活動訊號探索執行時,會建立包含用戶端目前資訊的探索資料記錄 (DDR),包括網路位置、NetBIOS 名稱和操作狀態詳細資料。 這是一個僅約 1KB 的小檔案,會複製到管理點,然後由主要站台處理。 提交活動訊號探索 DDR 可以維護資料庫中的作用中用戶端記錄,同時強制探索可能已經從資料庫移除的作用中用戶端,或已經手動安裝但還未由另一個探索方法探索到的作用中用戶端。

活動訊號探索是唯一一種藉由更新系統資源用戶端屬性 (其值為 [是]) 來提供用戶端安裝狀態詳細資料的探索方法。 若要傳送活動訊號探索記錄,用戶端電腦必須能夠與管理點連絡。

System_CAPS_note注意事項

使用 Configuration Manager SP1,則活動訊號探索資料記錄也會包含用戶端代理程式的版本。

活動訊號探索的預設排程設定為每 7 天一次。 如果變更了活動訊號探索間隔,請確定執行的頻率比站台維護工作 [刪除過時探索資料] (會從站台資料庫刪除非使用中用戶端的記錄 ) 來得更頻繁。 您只能針對主要站台設定 [刪除過時探索資料] 工作。

System_CAPS_note注意事項

即使停用活動訊號探索,仍會建立 DDR,並針對作用中行動裝置用戶端提交。 這可確保 [刪除過時探索資料] 工作不會影響作用中行動裝置。 [刪除過時探索資料] 工作刪除行動裝置的資料庫記錄時,同時也會撤銷裝置憑證,並封鎖行動裝置,使其無法連線至管理點。

活動訊號探索動作會記錄在以下位置:

  • 若為電腦用戶端,則會將活動訊號探索動作記錄在用戶端上 InventoryAgent.log 資料夾中的 %Windir%\CCM\Logs 內。

  • 若為行動裝置用戶端,活動訊號探索動作則會記錄在行動裝置用戶端所使用管理點 DMPRP.log 資料夾中的 %Program Files%\CCM\Logs 內。

使用 Configuration Manager 網路探索來探索網路拓撲和網路上的裝置。

網路探索會藉由查詢執行 Microsoft 之 DHCP 實作、路由器中的位址解析通訊協定 (ARP) 快取、具備 SNMP 功能的裝置以及 Active Directory 網域的伺服器,來搜尋您的網路,找出啟用 IP 的資源。

若要成功探索資源,網路探索必須辨識資源的 IP 位址和子網路遮罩。 由於不同類型的裝置都可以連線到網路,因此網路探索可以探索出無法支援 Configuration Manager 用戶端軟體的資源。 例如,可以探索出但並不受管理的裝置,包括印表機和路由器。

網路探索可以傳回數種屬性,作為其建立之探索記錄的一部分。 這包括下列項目:

  • NetBIOS 名稱

  • IP 位址

  • 資源網域

  • 系統角色

  • SNMP 社群名稱

  • MAC 位址

若要使用網路探索,您必須指定執行探索的層級。 您也要設定可啟用網路探索來查詢網路區段或裝置的一個或多個探索機制。 您也可以設定能協助控制網路上探索動作的設定。 最後,您要定義網路探索執行的一或多個排程。

System_CAPS_note注意事項

複雜網路和低頻寬的連線會導致網路探索執行速度緩慢,並產生明顯的網路流量。 最佳作法是只在其他探索方法無法找出您必須探索的資源時,才執行網路探索。 例如,若您必須探索工作群組電腦,就請使用網路探索。 工作群組電腦不是由其他探索方法探索。

當探索辨識出可 IP 定址的物件,並可判斷物件子網路遮罩時,便會建立該物件的探索資料記錄 (DDR)。

網路探索活動會記錄在執行探索的站台伺服器上 Netdisc.log 中的 <InstallationPath>\Logs

設定網路探索時,要從三個探索層級中指定一個:

探索的層級

詳細資料

拓撲

此層級會探索路由器和子網路,但不會識別出物件的子網路遮罩。

拓撲和用戶端

除了拓撲外,此層級也會探索潛在用戶端 (如電腦) 和資源 (如印表機和路由器)。 此探索層級會嘗試識別出所找到物件的子網路遮罩。

拓撲、用戶端和用戶端作業系統

除了拓撲與潛在用戶端外,此層級也會嘗試探索電腦作業系統名稱和版本。 此層級會使用 Windows 瀏覽器和 Windows 網路功能呼叫。

隨著層級遞增,網路探索也會隨之增加其活動和網路頻寬使用量。 請考量在您啟用網路探索所有面向前可能會產生的網路流量。

例如,第一次使用網路探索時,您可能只會以拓撲層級來開始,以識別您的網路基礎結構。 接著,您可以重新設定網路探索,以探索出物件及其裝置作業系統。 您也可以設定限制網路探索在特定網路區段內工作的設定,以探索出您要求的網路位置中的物件,並避免不必要的網路流量,以及從邊際路由器或您的網路外探索物件。

若要啟用網路探索來搜尋可 IP 定址的裝置,您必須設定一個或多個可指定如何查詢裝置的選項。 這些選項列於下表中。

選項

詳細資料

需求

網域

指定要網路探索進行查詢的每個網域。

網路探索可以在您瀏覽網路時探索出可從站台伺服器上檢視的所有電腦。 網路探索會擷取 IP 位址,然後使用網際網路控制訊息通訊協定的回應要求,Ping 出所找到的每個裝置。ping 命令可協助判斷目前作用中的電腦。

執行探索的站台伺服器必須具備權限,才能讀取每個指定網域中的網域控制站。

System_CAPS_note注意事項

若要從本機網域探索電腦,就必須在位於與作為執行網路探索之站台伺服器相同子網路中的至少一部電腦上,啟用電腦瀏覽器服務。

SNMP 裝置

指定要網路探索進行查詢的每個 SNMP 裝置。

網路探索會從回應該查詢的 SNMP 裝置擷取 ipNetToMediaTable 值。 此值會傳回用戶端電腦或其他資源 (如印表機、路由器或其他可 IP 定址的裝置) 的 IP 位址陣列。

若要查詢某個裝置,您必須指定該裝置的 IP 位址或 NetBIOS 名稱。

您必須設定網路探索為使用裝置的社群名稱,否則裝置會拒絕以 SNMP 為基礎的查詢。

DHCP

指定要網路探索進行查詢的每個 DHCP 伺服器。

網路探索可以同時查詢 32 位元和 64 位元 DHCP 伺服器,以找出每個伺服器上註冊的裝置清單。

網路探索會使用遠端程序呼叫 DHCP 伺服器的資料庫,來擷取資訊。

網路探索列舉 DHCP 伺服器時,不會每次都找到靜態 IP 位址。 網路探索不會找到 DHCP 伺服器上在 IP 位址除外範圍內的 IP 位址,也不會探索針對手動指派保留的 IP 位址。

System_CAPS_note注意事項

網路探索僅支援執行 Microsoft DHCP 實作的 DHCP 伺服器。

System_CAPS_important重要事項

若要成功設定網路探索中的 DHCP 伺服器,您的環境必須支援 IPv4。 您不能將網路探索設定為在原生 IPv6 環境中使用 DHCP 伺服器。

若要讓網路探索成功查詢 DHCP 伺服器,執行探索之伺服器的電腦帳戶必須是 DHCP 伺服器上 DHCP 使用者群組的成員。

例如,以下項目為真時,會存在此層級的存取權。

  • 指定的 DHCP 伺服器是執行探索之伺服器的 DHCP 伺服器。

  • 執行探索的電腦與 DHCP 伺服器位於同一網域。

  • 在執行探索的電腦與 DHCP 伺服器間存在雙向信任。

  • 站台伺服器是 DHCP 使用者群組的成員。

System_CAPS_note注意事項

網路探索會在執行探索之站台伺服器的電腦帳戶內容中執行。 如果電腦帳戶沒有不信任網域的權限,則網域與 DHCP 伺服器設定都無法探索資源。

網路探索查詢網路邊際的 SNMP 裝置時,可以找出有關在您的網路外的子網路和 SNMP 裝置的資訊。 您可經由設定探索能與之通訊的 SNMP 裝置,以及指定要查詢的網路區段,來限制網路探索。

請使用以下設定來限制網路探索的範圍:

設定

詳細資料

子網路

設定網路探索在使用 SNMP 和 DHCP 選項時查詢的子網路。 只有啟用的子網路可以透過這兩個選項搜尋。

例如,DHCP 要求可以從整個網路的某個位置傳回裝置。 如果您想要只探索特定子網路上的裝置,請在 [網路探索內容] 對話方塊的 [子網路] 索引標籤上指定和啟用該特定子網路。 當您指定和啟用子網路時,會將未來的 DHCP 和 SNMP 探索作業限制在這些子網路。

System_CAPS_note注意事項

子網路設定不會限制網域探索選項所探索的物件。

SNMP 群體名稱

若要讓網路探索順利查詢 SNMP 裝置,請以裝置的群體名稱設定網路探索。

  • 如果網路探索不是使用 SNMP 裝置的群體名稱進行設定,裝置會拒絕查詢。

躍點數上限

當您設定路由器躍點數上限時,會限制網路探索可使用 SNMP 查詢的網路區段和路由器數目。

  • 您所設定的躍點數目,會限制網路探索可查詢之其他裝置和網路區段數目。

例如,含 0 (零) 路由器躍點的拓撲專屬探索,會探索原始伺服器所在的子網路,並指出該子網路上的任何路由器。

下圖顯示拓撲專屬網路探索在伺服器 1 上以指定 0 路由器躍點數執行時,會發現什麼:子網路 D 和路由器 1。

拓撲專屬網路探索圖

下圖顯示拓撲和用戶端網路探索在伺服器 1 上以指定 0 路由器躍點數執行時,會發現什麼:子網路 D 和路由器 1,以及子網路 D 上所有潛在用戶端。

網路用戶端探索圖:路由器躍點

若要得知其他路由器躍點是如何增加探索的網路資源量,請考慮下列網路:

初始網路探索範例,躍點計數 4

從伺服器 1 使用一個路由器躍點執行拓撲專屬網路探索時,探索下列各項:

  • 路由器 1 和子網路 10.1.10.0 (以零躍點找到)。

  • 子網路 10.1.20.0 和 10.1.30.0、子網路 A 和路由器 2 (在第一個躍點上找到)。

System_CAPS_warning警告

每次增加路由器躍點數目,都會大幅提高可探索的資源數目,以及增加網路探索所使用的網路頻寬。

當網路探索發現到物件時,會為該物件建立探索資料記錄 (DDR)。 若要讓網路探索去探索某個物件,它必須先識別物件 IP 位址,然後再識別子網路遮罩。 如果網路探索無法判斷某物件的子網路遮罩,便不會建立 DDR。

網路探索會使用下列方法識別物件的子網路遮罩:

方法

詳細資料

限制

路由器 ARP 快取

網路探索會查詢路由器的 ARP 快取,以尋找子網路資訊。

通常,路由器 ARP 快取中資料的存留時間都很短。 當網路探索查詢 ARP 快取時,ARP 快取可能已不再包含所要求物件的資訊。

DHCP

網路探索會查詢您指定要探索裝置的各個 DHCP 伺服器,以了解 DHCP 伺服器提供的使用期。

網路探索僅支援執行 Microsoft DHCP 實作的 DHCP 伺服器。

SNMP 裝置

網路探索可以直接查詢 SNMP 裝置。

若要讓網路探索查詢裝置,該裝置必須安裝本機 SNMP 代理程式。 您還必須將網路探索設定為使用 SNMP 代理程式所使用的群體名稱。

Configuration Manager 處理網路探索建立 DDR 的方式,和處理由其他網路探索方法所建立的 DDR 一樣。

探索資料記錄 (DDRs) 是由某個探索方法建立的檔案,其包含有關您可以在 Configuration Manager 中管理的資源資訊。 DDR 包含與電腦、使用者 (某些情況下尚有網路基礎結構) 的資訊。 這些資訊會在主要站台或管理中心網站上處理。 當 DDR 中的資源資訊輸入到資料庫後,就會將 DDR 刪除,並會複寫資訊以當作階層中所有站台的全域資料。

站台所處理的 DDR,取決於其所含的資訊:

  • 新探索的資源 DDR 若不在資料庫中,便會在階層的頂層站台處理。 頂層站台會在資料庫中建立新的資源記錄,並為其指派唯一的識別碼。 DDR 會經由以檔案為基礎的複寫傳輸,直到其到達頂層站台為止。

  • 先前探索之物件的 DDR,會在主要站台上處理。 子主要站台不會在 DDR 包含已存在於資料庫之資源的相關資訊時,將 DDR 傳送到管理中心網站。

  • 次要站台不會處理探索資料記錄,且一定會經由以檔案為基礎的複寫方式,將它們傳送到其父主要站台。

DDR 檔案是以 .ddr 副檔名作為識別,檔案大小通常約 1 KB。

當您計劃在 Configuration Manager 中使用探索時,必須考量要在哪裡執行各種探索方法。

在 Configuration Manager 將探索資料新增至資料庫時,會在階層內的所有站台間快速共用這些資料。 由於在階層的多個站台中探索相同的資訊並沒有好處,因此請考慮為您用於在單一站台上執行的各個探索方法設定單一執行個體,而不是在不同站台上執行單一方法的多個執行個體。

不過,定期進行時,也許在多個站台指派相同探索方法是可行的,每一個方法皆使用不同的設定和排程。 這是因為在每個站台上,單一探索方法的所有設定是在每次執行探索方法時進行評估。 如果您設定單一探索方法的多個執行個體在不同站台上執行,請仔細規劃各個設定,以避免有兩個或多個探索程序處理相同資源的探索。 在多個站台探索相同位置和資源,會消耗額外的網路頻寬,並且為無新增值而站台伺服器仍必須處理之資源,建立重複的 DDR。

下表說明您可以在哪些站台設定不同的探索方法:

探索方法

支援的位置

Active Directory 樹系探索

  • 管理中心網站

  • 主要站台

Active Directory 群組探索

  • 主要網站

Active Directory 系統探索

  • 主要網站

Active Directory 使用者探索

  • 主要網站

活動訊號探索1

  • 主要網站

網路探索

  • 主要網站

  • 次要網站

1 次要站台無法設定活動訊號探索,但可以從用戶端接收活動訊號 DDR。

當次要站台執行網路探索,或接收活動訊號探索 DDR 時,會經由檔案複寫將 DDR 傳送到其父主要站台。 這是因為只有主要站台和管理中心網站可以處理探索資料記錄 (DDR)。 如需如何處理探索資料記錄 (DDR) 的詳細資訊,請參閱本主題中的關於探索資料記錄

當您規劃何處執行探索時,請考慮下列各項:

  • 當您要針對系統、使用者或群組使用 Active Directory 探索方法時:

    • 在採用快速網路與您的網域控制站連線的站台上執行探索。

    • 考慮使用 Active Directory 複寫拓撲以確定探索可存取最新資訊。

    • 考慮探索設定的範圍,並將探索限制在這些 Active Directory 位置,以及您必須探索的群組。

  • 如果使用網路探索:

    • 使用有限的初始設定來識別您的網路拓撲。

    • 在識別網路拓撲後,請將網路探索設定在您想要進行完全探索之網路區域中央的特定站台上執行。

  • 由於活動訊號探索不會在特定站台執行,因此您不需要在規劃執行探索位置時考慮到它。

  • 由於各個站台伺服器和網路環境不同,請限制您的初始探索設定,並仔細監視各站台伺服器處理所產生之探索資料的能力。

以下最佳作法資訊可協助您在 System Center 2012 Configuration Manager 中使用探索。

當 Active Directory 群組探索識別出先前未探索到的使用者或電腦為群組的成員時,會嘗試探索使用者或電腦的基本詳細資料。 由於 Active Directory 群組探索並未針對探索類型進行最佳化,此程序可能會造成 Active Directory 群組探索的執行速度過慢。 此外,Active Directory 群組探索只會識別所探索之使用者和電腦的相關基本詳細資料,並不會建立完整的使用者或電腦探索記錄。 當您執行 Active Directory 系統探索和 Active Directory 使用者探索時,可使用各物件類型的其他 Active Directory 屬性,使 Active Directory 群組探索可以更有效地執行。

若要有效控制 Active Directory 群組探索使用的資源,請在搭配 Configuration Manager 使用時僅指定這些群組。 這是因為 Active Directory 群組探索會以遞迴方式搜尋各個群組,以探索使用者、電腦及巢狀群組。 搜尋各個巢狀群組可能會延伸 Active Directory 群組探索的範圍,並降低效能。 此外,當您設定 Active Directory 群組探索的差異探索時,探索方法會監視各個群組的變更。 這麼做可能會在該方法必須搜尋不必要的群組時,使效能更為降低。

由於差異探索會使用比完整探索週期更少的資源,而且可以識別 Active Directory 中新增或修改的資源,因此當您使用差異探索時,可以降低完整探索週期頻率至一星期或不到一星期執行一次。 Active Directory 系統探索、Active Directory 使用者探索和 Active Directory 群組探索的差異探索,會識別幾乎所有 Active Directory 物件的變更,進而能維持準確的資源探索資料。

若要改善 Active Directory 探索的效能,建議您在採用快速網路與網域控制站連線的主要站台上執行探索。 如果要在多個站台上執行相同的 Active Directory 探索方法,建議您設定各種探索方法以避免重疊。 和舊版的 Configuration Manager 不同的是,探索資料可在站台間共用。 因此,並不需要在多個站台探索相同的資訊。 如需詳細資訊,請參閱決定執行探索的位置

如果您要在階層中一個以上的站台上執行 Active Directory 樹系探索,建議您只在單一站台啟用自動建立界限的選項。 這是因為當 Active Directory 樹系探索在各個站台執行並建立界限時,Configuration Manager 無法將這些界限合併為單一界限物件。 當您將 Active Directory 樹系探索設定為在多個站台自動建立界限時,可能會在 Configuration Manager 主控台產生重複的界限物件。

顯示: