Если Configuration Manager 2007 развертывается в нескольких лесах Active Directory, то при проектировании иерархии Configuration Manager 2007 нужно будет рассмотреть такие вопросы:
- связь с сайтом Configuration Manager
2007;
- связь между сайтами Configuration Manager
2007;
- поддержка клиентов в лесах;
- настройка клиентов в лесах Active
Directory;
- утверждение клиентов (смешанный режим) в
лесах Active Directory;
- поддержка роуминга в лесах Active
Directory.
- настройка клиентов в лесах Active
Directory;
Связь через отношения доверия лесов в пределах сайта Configuration Manager
Системы одного и того же сайта поддерживаются в нескольких лесах Active Directory только в двух поддерживаемых сценариях.
- Точка средства проверки работоспособности
системы, используемая в защите доступа к сети
- Интернет-управление клиента с поддержкой
перечисленных ниже систем сайта, установленных в отдельном лесу на
сервере сайта:
- Точка управления
- Точка распространения
- Точка обновления программного обеспечения
- Резервная точка состояния
Примечание Также поддерживаются следующие системы сайта, установленные в отдельном лесу (хотя с точки зрения безопасности это не лучшее решение): точка обнаружения серверов и точка обслуживания PXE. - Точка управления
В обоих поддерживаемых сценариях, даже если между двумя лесами установлено обоюдное доверие или внешние доверительные отношения между доменом сервера сайта и доменом системы сайта, для установки и настройки системы сайта необходимо задать учетную запись пользователя Windows.
К системам сайта, которые поддерживают управление клиентами через Интернет, применяется дополнительная конфигурация отношений доверия между лесами. Если эти системы сайта устанавливаются в лесу, к которому сервер сайта не принадлежит, и нужно сделать так, чтобы пересылка данных инициировалась только с сервера сайта в системы сайта, но не в обратном направлении, включите параметр Разрешить только инициированные сервером сайта передачи данных из этой системы сайта. В сценарии управления клиентами через Интернет, в котором системы сайта устанавливаются в демилитаризованной зоне (также называемой промежуточной подсетью), в этой конфигурации все передачи данных между системами сайта и интрасетью инициируются только из интрасети и не инициируются из непроверенных сетей. Поэтому это решение является более безопасным, чем прием в интрасети подключений, инициированных из демилитаризованной зоны. Однако при выборе этой конфигурации для использования в нескольких лесах следует принять во внимание следующее.
- Учетную запись пользователя Windows
необходимо настроить для установки, даже если между лесами есть
доверительные отношения.
- Использование этой настройки приводит к
некоторой задержке при передаче сообщений об изменении состояния на
сайт и снижению производительности сервера веб-узла.
Важно! |
---|
Все остальные системы сайта, не упомянутые выше, необходимо размещать в том же лесу Active Directory, что и сайт. Их можно установить в разных доменах леса, за исключением сервера сайта, компьютера с поставщиком SMS, точки формирования отчетов и сервера базы данных сайта. Все эти системы необходимо разместить в одном домене. |
Связь между сайтами Configuration Manager через отношения доверия лесов
Иерархия Configuration Manager поддерживает размещение основных сайтов в разных лесах Active Directory. Установка дополнительных сайтов в удаленном лесу Active Directory с основного родительского сайта не поддерживается.
Когда иерархия содержит основные сайты в разных лесах Active Directory, необходимо использовать средство обслуживания иерархии (Preinst.exe) для настройки обмена ключами вручную, поскольку сайты в разных лесах Active Directory не могут автоматически извлекать ключи из доменных служб Active Directory. Обмен ключами необходим для подписывания данных, которыми обмениваются сайты. Дополнительные сведения об обмене ключами в ручном режиме см. в разделе Обмен открытыми ключами между сайтами вручную.
Если в иерархии сайтов Configuration Manager 2007 есть основные сайты, расположенные в разных лесах Active Directory, для связи между сайтами нет необходимости в доверительных отношениях между лесами Active Directory при условии, что для каждого сайта в свойствах адреса отправителя правильно настроены учетные записи пользователей домена. Если в свойствах адреса отправителя на каждом сайте не настроены учетные записи пользователей домена как учетные записи адреса сайта, будут использоваться учетные записи компьютеров с сервером сайта. При использовании в качестве учетных записей адреса сайта используются учетные записи серверов сайта, для связи между сайтами необходимо наличие отношений полного доверия между лесами Active Directory.
Поддержка отношения доверия лесов клиентами
Иерархия Configuration Manager поддерживает размещение основных сайтов и клиентов в удаленном лесу Active Directory. При использовании этого сценария убедитесь, что системы сайтов могут успешно разрешать короткое имя клиентских компьютеров, находящихся в другом лесу. Для большинства действий, инициируемых сервером, таких как принудительная установка на клиенте и удаленное управление, подключение к клиенту выполняется с использованием короткого имени, а не полного доменного имени. Одним из способов обеспечения успешного разрешение коротких имен является указание DNS-суффиксов для поиска клиентских компьютеров при настройке систем сайтов.
Для обнаружения ресурса компьютера в другом лесу при помощи метода обнаружения систем Active Directory между лесом сервера сайта и лесом компьютера должны быть отношения доверия.
Если между системой сайта и клиентом находится брандмауэр, убедитесь, что его настройка позволяет устанавливать подключения, необходимые для Configuration Manager. Список портов, используемых при развертывании клиентов, см. в разделе Порты, используемые при развертывании клиентов Configuration Manager. Дополнительные сведения о портах, используемых при развертывании клиентов, см. в разделе Порты, используемые программой Configuration Manager.
Если есть клиенты, которые принадлежат другому лесу, чем назначенный им сервер сайта, приведенные ниже дополнительные сведения помогут правильно их настроить.
Настройка клиентов в нескольких лесах Active Directory
Клиенты Configuration Manager 2007 в интрасети используют доменные службы Active Directory как основное средство обнаружения и настройки служб. Клиенты, которые находятся в отдельном лесу, не смогут извлекать информацию, которую публикует в доменных службах Active Directory назначенный им сервер сайта.
Чтобы управлять такими клиентами, необходимо обеспечить альтернативные методы выполнения таких действий:
- проверка совместимости сайта при
назначении;
- обнаружение службы для точек управления и для
точки обнаружения серверов, если соответствующие назначения не
выполнены непосредственно
- настройка основного режима
Настройте эти клиенты так, как будто область действия доменных служб Active Directory не распространяется на Configuration Manager 2007. Данные, которые нужны таким клиентам, а также дополнительные действия по их настройке приведены в подразделе "Рассмотрение возможностей и функций для расширения схемы Active Directory на Configuration Manager" раздела Определение необходимости расширения схемы Active Directory.
Утверждение клиентов (смешанный режим) в лесах Active Directory
Если сайт работает в смешанном режиме, и используется конфигурация сайта под названием Автоматически утвердить компьютеры в доверенных доменах, в точке управления необходимо настроить полные доменные имена интрасети.
Дополнительные сведения об утверждении см. в разделе Об утверждении клиентов в Configuration Manager, а о том, как указать полное доменное имя точки управления, — в разделе Настройка полного доменного имени в интрасети для систем сайтов.
Поддержка роуминга в лесах Active Directory
Поскольку клиенты из разных лесов не имеют доступа к опубликованным в доменных службах Active Directory сведениям о сайте, они не имеют возможности глобального роуминга, которая позволила бы им находить точки распространения в любом сайте иерархии. Вместо этого они имеют возможность регионального роуминга, что позволяет находить локальные точки распространения, если сайт, на который осуществляется роуминг, расположен в иерархии ниже, чем тот, который им назначен. Если клиенты из другого леса осуществляют роуминг на сайт того же уровня или сайт, расположенный в иерархии выше, они загрузят исходные файлы пакета из назначенного им сайта. Дополнительные сведения о функционировании глобального и регионального роуминга см. в разделе О роуминге клиента в Configuration Manager.
См. также
Задачи
Автоматическая публикация точки управления по умолчанию в DNSНастройка интернет-систем сайтов для передачи только тех данных, которые инициированы сервером сайта
Обмен открытыми ключами между сайтами вручную
Основные понятия
О защите доступа к сети и нескольких лесах Active DirectoryОпределение необходимости точки обнаружения серверов для клиентов Configuration Manager
Определение размещения сервера для интернет-управления клиентами
Общие сведения об интернет-управлении клиентами