В результате расширения схемы Active Directory для Configuration Manager 2007 клиенты могут получить информацию многих типов, относящуюся к Configuration Manager, из доверенных источников. В некоторых случаях имеются обходные пути, позволяющие получить необходимую информацию, если схема Active Directory не расширена, но они менее надежны, чем отправка запросов доменным службам Active Directory.

Кроме того, нерасширение схемы может повлечь за собой дополнительную нагрузку на других администраторов, которым потребуется создавать и поддерживать различные обходные пути, такие как сценарии входа пользователя в систему и объекты групповой политики для систем и пользователей организации.

Расширение схемы Active Directory возможно как до, так и после выполнения установки Configuration Manager 2007. Тем не менее рекомендуется выполнить расширение схемы до запуска программы установки Configuration Manager 2007. Необходимо выполнить расширение схемы Active Directory только один раз для леса, содержащего серверы сайта. Нет необходимости выполнять расширение схемы повторно при обновлении операционной системы на контроллерах домена или при увеличении функционального уровня домена или леса. При наличии в новых версиях Configuration Manager новых расширений схем, требующих повторного расширения схемы, это будет указано в разделе Поддерживаемые конфигурации Configuration Manager.

Примечание
Расширение этой схемы на Configuration Manager не приводит к автоматической публикации данных сайта в доменных службах Active Directory. После выполнения расширения схемы необходимо выполнить настройку безопасности в доменных службах Active Directory до публикации в них сайтов.

Использование SMS 2003 активного расширения схемы Active Directory для сайтов Configuration Manager.

Эта возможность используется для развертывания сайтов Configuration Manager 2007 с использованием расширений схемы SMS 2003 Active Directory. Имеются дополнительные важные сведения, которые следует учитывать при принятии решения о расширении схемы Active Directory для Configuration Manager 2007. Даже если сайт Configuration Manager 2007 является сайтом публикации данных для доменных служб Active Directory, требуемые атрибуты схемы Active Directory для сохранения опубликованных данных в некоторых случаях не существуют, если схема Active Directory была расширена только для SMS 2003.

Если схема Active Directory расширена для SMS 2003, но не расширена для Configuration Manager, применяются следующие ограничения:

  • Точка обнаружения серверов Configuration Manager 2007 используется для того, чтобы клиенты могли удостовериться в способности назначенного сайта выполнить задачи клиента. Все клиенты могут автоматически обнаружить точку обнаружения серверов при помощи доменной службы Active Directory, если схема расширена для SMS 2003.

  • Поскольку защита доступа к сети для Configuration Manager требует расширений схемы Configuration Manager 2007 Active Directory, эта способность не поддерживается для сайтов, использующих схему расширений SMS 2003 Active Directory.

  • Режим сайта изменяет требуемые инструкции по решению проблем клиентов вручную.

  • Порт связи клиентов изменяет инструкции по решению проблем клиентов вручную.

  • Точка управления атрибутами dNSHostName больше не публикуется в доменных службах Active Directory.

Расширение схемы Active Directory для Configuration Manager не является необходимым для основного режима.

В следующей таблице представлены специфические особенности или функции Configuration Manager 2007, которые используют расширения схемы Active Directory, и некоторые относящиеся к ним инструкции по решению для случаев, когда схема не расширена для Configuration Manager 2007.

Компонент или функция Требование схемы расширения Подробности требования

Вопросы установки клиента и назначения сайта

Рекомендуемое

Требование. Если схема Active Directory не была расширена для Configuration Manager, клиент, установленный при помощи программы Ccmsetup.exe, не сможет автоматически получать параметры развертывания клиента от доменных служб Active Directory.

Возможное решение. Предоставить свойства установки клиента при помощи параметров командной строки CCMSetup. Дополнительные сведения см. в разделе О свойствах установки клиента Configuration Manager.

Возможное решение. Точка обнаружения серверов Configuration Manager 2007, опубликованная в доменных службах Active Directory при помощи расширений схемы SMS 2003, может быть автоматически найдена клиентами Configuration Manager 2007, если они находятся в том же лесу Active Directory.

Возможное решение. Во время установки клиента предоставить сведения о точке обнаружения серверов, используя при установке клиента свойство SMSSLP=<имя точки обнаружения серверов> файла client.msi в командной строке CCMSetup. Дополнительные сведения см. в разделе О свойствах установки клиента Configuration Manager.

Возможное решение. Опубликовать точку управления в DNS, а точку обнаружения серверов — в WINS. Дополнительные сведения см. в разделе Configuration Manager и расположение службы (сведения о сайте и точки управления).

Настройка режима сайта и связанные с этим настройки, такие как выбор сертификата клиента и проверка списка отзыва сертификатов

Рекомендуемое

Требование. Если схема Active Directory не была расширена для Configuration Manager, сведения о режиме сайта и настройки клиента, относящиеся к конфигурации основного режима, не будут опубликованы в доменных службах Active Directory.

Возможное решение. Использовать при установке клиента CCMSetup.exe свойства командной строки или выполнить принудительную установку клиента.

Конфигурация порта для передачи данных между клиентами и серверами

Рекомендуемое

Требование. Если схема Active Directory не была расширена для Configuration Manager, клиенты не смогут обмениваться данными с системами сайта, если после установки клиента порт связи, назначенный по умолчанию, был изменен.

Возможное решение. Переустановить все затронутые этой проблемой клиенты или развернуть сценарий для ручного изменения портов, используемых клиентами для обмена данными с системами сайта в пределах данного сайта.

Глобальный роуминг

Обязательное

Требование. Если схема Active Directory не была расширена для Configuration Manager или SMS 2003, клиент в роуминге не сможет запросить содержимое для объявлений и обновлений программного обеспечения у локальных точек управления. Этот сценарий приводит к появлению дополнительного сетевого трафика из-за запросов расположения содержимого, поступающих на точку управления по умолчанию клиента. Клиент не сможет обнаружить содержимое на сайтах того же уровня иерархии, а также сайтах, которые находятся выше в иерархии, чем сайт, назначенный клиенту. Дополнительные сведения о возможностях и функционировании клиентского роуминга см. в разделе О роуминге клиента в Configuration Manager.

Возможное решение. Отсутствует.

Защита доступа к сети (NAP) в Configuration Manager

Обязательное

Требование. Если схема Active Directory не была расширена для Configuration Manager, сайты, в которых включена защита доступа к сети, не смогут опубликовать ссылки на сведения о состоянии работоспособности Configuration Manager в доменных службах Active Directory. Если ссылки на состояние работоспособности не опубликованы в доменных службах Active Directory, точка средства проверки работоспособности системы не сможет проверить состояние работоспособности клиентов.

Возможное решение. Отсутствует.

Безопасный обмен ключами между сайтами1

Рекомендуемое

Требование. Если схема Active Directory не была расширена для Configuration Manager, сайты, для которых настроен безопасный обмен ключами, не смогут автоматически обмениваться открытыми ключами для обмена данными между собой.

Примечание
Безопасный обмен ключами между сайтами Configuration Manager разрешен по умолчанию.1

Возможное решение. Произвести обмен открытыми ключами между родительским и дочерним сайтами вручную, прежде чем подключать дочерний сайт при помощи средства обслуживания иерархии (Preinst.exe). Дополнительные сведения см. в разделе Обмен открытыми ключами между сайтами вручную.

Проверка доверенной точки управления

Рекомендуемое

Требование. Если схема Active Directory не была расширена для Configuration Manager, для установки отношений доверия с сайтом клиенты должны использовать ключ доверенного корня. Пока клиенты не будут предварительно обеспечены ключом доверенного корня, они будут доверять первой же точке управления, с которой установят связь.

Возможное решение. Заранее предоставить клиентам ключ доверенного корня. Дополнительные сведения см. в разделе Управление ключом доверенного корня в Configuration Manager.

Возможное решение. Использование основного режима. В основном режиме сертификат точки управления должен быть по-прежнему назначен ключом доверенного корня с центрального сайта, но точка управления использует сертификат, выданный PKI. До тех пор пока PKI не будет дискредитирована, этот клиент будет доверять первой точке управления, с которой установит контакт, если только она будет иметь действительный сертификат проверки подлинности сервера. Дополнительные сведения о требованиях, предъявляемых к сертификату PKI для основного режима см. в разделе Требования к сертификатам для работы в основном режиме.

Восстановление после ошибки на сервере центрального сайта, на котором размещена роль точки управления

Рекомендуемое

Требование. Если схема Active Directory не была расширена для Configuration Manager, а клиенты отправляют отчеты на сервер центрального сайта, который к тому же работает как точка управления для этого сайта, после восстановления нового сервера центрального сайта и точки управления у клиентов не будет возможности автоматически установить отношение доверия с этим сайтом.

Возможное решение. Удалить ключ доверенного корня с каждого клиента в пределах сайта и заново подготовить их к работе. Дополнительные сведения см. в разделе Управление ключом доверенного корня в Configuration Manager.

Возможное решение. Переместить роль точки управления на другой сервер. В ситуациях, когда клиенты центрального сайта теряют только точку управления или только сервер центрального сайта, они могут восстановить доверительные отношения. Дополнительные сведения см. в разделе О ключе доверенного корня.

1 По умолчанию основные сайты Configuration Manager не могут принимать подключения от дочерних сайтов до тех пор, пока открытый ключ дочернего сайта не станет известным родительскому сайту или не будет опубликован в доменных службах Active Directory. Однако, в соответствии со сценарием обновления, Configuration Manager Setup не изменит параметры обмена исходного ключа безопасности. Другой способ разрешения дочерним сайтам подключаться без расширений схемы состоит в том, что ключ безопасности обмена между сайтами не требуется, но данный способ не рекомендуется, потому что в таком случае любой мошеннический дочерний сайт может подвергнуть этот сайт атаке и начать передавать небезопасные данные.

См. также