Расширение схемы Active Directory — это действие на уровне леса, и оно должно выполняться для каждого леса только один раз. Расширение схемы необратимо, и его должен выполнять пользователь, который является членом группы "Администраторы схемы", или другой пользователь, которому были делегированы достаточные полномочия для изменения схемы. Если схему Active Directory решено расширить, это можно сделать до или после установки.
Несмотря на то, что некоторые функции Configuration Manager зависят от расширения схемы, например защита доступа к сети в Configuration Manager и глобальный роуминг, можно найти обходные пути для включения других функций Configuration Manager без расширения схемы. Дополнительные сведения о таких функциях и обходных путях без расширения схемы Active Directory для Configuration Manager 2007 см. в разделе Определение необходимости расширения схемы Active Directory.
Чтобы успешно разрешить клиентам Configuration Manager запрашивать местонахождение ресурсов сайта у доменных служб Active Directory, необходимо выполнить четыре действия.
- Расширение схемы Active Directory.
- Создание контейнера System Management.
- Задание разрешений безопасности для
контейнера System Management.
- Разрешение публикации Active Directory для
сайта Configuration Manager.
При расширении схемы для Configuration Manager добавляются некоторые классы и атрибуты, которые могут использоваться любым сайтом Configuration Manager из леса Active Directory. Поскольку глобальный каталог реплицируется по всему лесу, необходимо учесть сетевой трафик, который может возникнуть в результате. В лесах Windows 2000 расширение схемы вызывает полную синхронизацию всего глобального каталога. Для лесов Windows 2003 реплицируются только добавленные атрибуты. Расширение схемы следует запланировать на такое время, когда трафик, создаваемый репликацией, не скажется отрицательно на других процессах, зависящих от сети.
Чтобы расширить схему Active Directory для Configuration Manager 2007 необходимо запустить служебную программу ExtADSch.exe или воспользоваться программой командной строки LDIFDE для импорта содержимого LDIF-файла ConfigMgr_ad_schema.ldf. Как служебная программа, так и LDIF-файл находятся в каталоге SMSSETUP\BIN\i386 установочных файлов Configuration Manager 2007. Независимо от метода расширения схемы, должны выполняться два условия.
- Должно быть разрешено обновление схемы Active
Directory. На доменах, работающих под управлением Windows
Server 2003, обновление схемы разрешено по умолчанию. Для
доменов, работающих под управлением Windows 2000 Server,
обновление схемы необходимо вручную разрешить на сервере-хозяине
схемы для леса Active Directory.
- Учетная запись, используемая для обновления
схемы, должна быть членом группы "Администраторы схемы", или ей
должны быть делегированы достаточные разрешения для изменения
схемы.
Примечание |
---|
Для расширения схемы Active Directory для Configuration Manager 2007 рекомендуется использовать LDIF-файл ConfigMgr_ad_schema.ldf. Использование LDIF-файла для расширения схемы Active Directory вместо служебной программы ExtADSch.exe делает вносимые в схему изменения более прозрачными и упрощает диагностику любых проблем, возникающих в процессе расширения схемы. |
Дополнительные сведения о расширении схемы см. в разделах, посвященных следующим задачам:
Расширение схемы Active Directory с помощью LDIF-файла
Расширение схемы Active Directory с помощью программы ExtADSch.exe
Разрешение изменений схемы для домена с Windows 2000 Server
После того как схема будет расширена с помощью классов и атрибутов, необходимых для Configuration Manager, в доменных службах Active Directory в разделе домена сервера сайта внутри контейнера System необходимо создать контейнер System Management.
Поскольку контроллеры доменов не реплицируют свой контейнер System Management на другие домены леса, контейнер System Management необходимо создать для каждого домена, в котором размещен сайт Configuration Manager.
Несмотря на то, что в каждом домене собственный контейнер System Management хранится в разделе домена, сведения о Configuration Manager публикуются в глобальном каталоге для леса. Таким образом, сведения о каждом сайте, опубликованные в Active Directory, становятся доступными для всех клиентов в лесу, независимо от членства в домене. Это еще одна причина, по которой не рекомендуется перекрытие границ сайтов. Сведения о создании контейнера System Management см. в разделе, посвященном следующей задаче:
Создание контейнера System Management в доменных службах Active Directory
Для успешной публикации сведений после создания контейнера System Management учетной записи компьютера-сервера основного сайта необходимо предоставить полный доступ к контейнеру System Management и всем его дочерним объектам. Дополнительные сведения о настройке безопасности контейнера System Management см. в разделе, посвященном следующей задаче:
Установление безопасности на контейнере System Management в доменных службах Active Directory
Когда сведения о сайте Configuration Manager будут успешно опубликованы в доменных службах Active Directory, клиенты Configuration Manager смогут автоматически найти точки обнаружения серверов и точки управления, не создавая WINS-трафик. Если сведения о сайте Configuration Manager не опубликованы в доменных службах Active Directory, сведения о роли сайта Configuration Manager необходимо вручную добавить в WINS. Дополнительные сведения о публикации сведений о Configuration Manager в доменных службах Active Directory см. в разделах, посвященных следующим задачам:
Публикация сведений о сайте Configuration Manager в доменных службах Active Directory
Проверка публикации сведений о сайте в доменных службах Active Directory
Прекращение публикации сведений о сайте в доменных службах Active Directory
Добавление вручную сведений о сайте Configuration Manager к WINS