有关CM 2007 Active Directory Domain的常见问题

  • Article

我已经看客户询问有关活动目录域服务适用于配置管理器中的问题的数目不断增加。 美国科技教育不是例外促使我写了一些常问的问题。

产品文档中此信息虽然我能理解为什么它有时很难找到一种特定的情况下确切的答案只是因为有太多可能出现的变动。 一个包含此信息的大量的文档主题是 多源目录林的配置管理器

有关于配置管理器中的一个活动目录相关问题请参阅是否它解决此博客张贴内容中。 如果看不到列出的问题通过电子邮件与您的问题或建议的 SMSDocs@Microsoft.com

问: 在他们在不同的域,站点系统服务器时,配置管理器可以管理客户端?

答案: 是的。 在这里的唯一潜在知是在混合模式下站点时,您必须配置管理点与 FQDN 自动审批工作。 提示: 请检查名称解析 (NetBIOS 和 FQDN) 正在两个域之间。

我的网站系统中的所有服务器的站点是否都有问题: 要在相同的域中吗?

答: 没有,在同一站点中的站点系统可以从不同的域在同一林中,以下的除外:

  • SMS 提供程序
  • 报告点
  • 站点数据库服务器:

我的网站系统中的所有服务器的站点是否都有问题: 为来自同一个林中吗?

答: 大多数情况下,是的。 有几个例外情况:

  • 系统健康验证程序点
  • 基于网络的站点系统
  • 服务器定位点 (最安全的做法是在同一林中安装此)
  • PXE 服务点 (最安全的做法是在同一林中安装此)

问: 在他们在不同的目录林中,从站点服务器时,配置管理器可以管理客户端?

答: 是,与此配置不需要任何的 PKI 证书或安装任何站点系统服务器到这另一个林中。 最重要的事情来记住这是这些客户端不能访问发布的活动目录域服务-站点服务器的站点信息,即使有这两个林之间的信任。 这意味着在安装这些客户端时,他们需要完成站点分配一个服务器定位点。 请确保已安装服务器定位点和这些客户端可以访问它,这样做的最简单方法是使用 SMSSLP 属性,当您安装客户端。 更多的信息请参阅 如何创建服务器定位点在配置管理器 与指定的配置管理器在客户端计算机的服务器定位点

此外:

  • 请确保您有两个林-之间名称解析客户端可以解决配置管理器原位站点系统服务器的名称和站点系统服务器可以解决客户端计算机的名称。
  • 没有客户端域和站点服务器的域之间的信任时,您需要一个网络访问帐户,这些客户端无法访问分发点。 更多的信息,请参阅 如何配置网络访问帐户
  • 如果网站是在混合模式下,并且有是在客户端之间的不信任,域和站点服务器的域如果网站配置为 自动批准在受信任的域中的计算机 ,默认选项,您必须手动批准这些客户端这些客户端不会获批准。
  • 如果网站是在本机模式下,并且客户端将使用内联网通信,客户端必须安装使用允许 HTTP 通讯的漫游和站点分配的选项。 执行此操作的最简单方法是使用 /native:fallback 或 /native:crlandfallback 属性,当您安装客户端。 更多的信息请参阅 如何配置 HTTP 通信漫游和站点分配。 此外应确保您的 PKI 解决方案旨在跨越两个林。
  • 如果要通过使用活动目录查找方法发现这些客户端必须有充分的林信任的地方。 但是,只有客户端推送安装需要计算机被发现。 有关其他客户端安装方法和它们的依赖项的详细信息,请参阅 配置管理器客户端部署的前提条件

问: 我要支持从另一个的目录林中的客户端,安装,这些客户端在同一个目录林中,或在站点服务器的目录林中的服务器定位点吗?

答: 技术上,您可以安装服务器定位点或森林中。 然而,作为一个安全的最佳做法安装在站点服务器的森林中。 如果在两个林之间防火墙请注意,服务器定位点通过 HTTP 要求未经身份验证的客户端连接。 如果这是对您的安全策略,一个备用的配置,这些客户端,并要求的 PKI 证书和网站是在本机模式下的只有网络客户端管理进行配置。 此配置不需要这些客户端与服务器定位点。 更多的信息请参阅问题"是它可以管理从另一个目录林中的客户端,通过使用 HTTPS 连接只吗?"

问: 可以安装客户端在另一个林中而无需下载客户端安装源文件从管理点吗?

答案: 是的。 将客户端安装源文件复制到文件服务器上的客户端的森林管理点或站点服务器从。 然后,使用 CCMSetup 属性 /source: <path> 安装客户端时。 客户端安装源代码文件位于配置管理器 2007年站点服务器和管理点上的 <InstallationPath> \Client 文件夹中。

问: 我的客户端通信的两个林之间的防火墙上打开需要哪些端口?

答: 安装客户端,请参阅 端口使用在配置管理器客户端部署。 注意客户端推送安装是最少的防火墙友好的安装方法,因为它需要 SMB 和 RPC。 客户端安装将取决于您正在使用的配置管理器功能后,可能会使用的端口。 业务端口的一个列表,请参阅 端口的配置管理器中使用

问: 是否可以管理从另一个目录林中的客户端,通过使用 HTTPS 连接只吗?

是的,答: 在本机模式下您的站点是否配置网络连接的本机模式站点系统并安装这些客户端仅网络客户端管理。 有关此配置的详细信息,请参阅 提示和技巧: 使用内联网的 Internet-Only 客户端管理

问: 我可以安装辅助站点在另一个林中吗?

答复: 第 在林 A 中时您的主站点配置管理器不支持在森林 B.中安装辅助站点 在这种情况下必须在林 B 中安装的主站点,或使用在林 A 中的主站点管理 B.森林中的客户端

问: 什么额外的配置是需要如果我安装在另一个林中的网站?

答: 如果您在站点之间使用安全密钥交换,使用层次结构维护工具 (Preinst.exe) 来配置手动密钥交换。 更多的信息,请参阅 如何手动交换公共密钥的站点

如果必须将域用户帐户配置为发件人地址属性的每个站点中的站点地址帐户的两个目录林信任关系之间没有信任关系。 如果在站点之间充分林信任您可以使用站点服务器的计算机帐户。

问: 我可以安装站点系统在域控制器上吗?

答案: 是的。 没有任何技术的限制,您可以防止在域控制器上安装任何站点系统角色。 但是,对于安全最佳做法这不是建议在生产环境中。

问: 我可以安装站点系统 (而不是在一个活动目录林) 的独立服务器上吗?

答复: 第 所有站点系统必须都属于一个 Active Directory 林中。 这包括分支分发点和基于互联网的网站系统。

任何配置管理器功能或操作问题: 是否需要特定的域或林功能级别吗?

答复: 第 唯一的例外是需要一个完整的目录林信任时本身需要的 Windows Server 2003 的最小森林水平。 一个完整的目录林信任时,需要为以下:

  • 发现在另一个林中的计算机
  • 允许仅站点服务器开始从该站点系统数据传输 ,这是一个基于互联网的网站系统,以确保从 intranet 器只启动连接的外围网络中安装的配置选项的选项。

配置管理器是否支持所有版本的活动目录域服务包括 Windows Server 2008 R2?

答案: 是的。 但是,对于支持版本,客户端和站点系统上的操作系统始终检查版本的配置管理器,您正在运行的 支持的配置 文档。

问: 我需要再次扩展架构,如果创建新的配置管理器网站,或者添加新域的计算机吗?

答复: 第 活动目录架构扩展用于在整个的森林,因此您需要扩展架构的配置管理器中只有一次如果您配置管理器层次结构包含在目录林内部。 唯一的例外是,如果您在另一个的目录林中创建一个新的主站点,并且您希望将发布到活动目录域服务这个新站点。 在这种情况下扩展新的目录林的架构 (和配置系统管理容器的安全权限)。

问: 我需要扩展架构再次为配置管理器升级到更高版本的配置管理器 (,例如配置管理器 SP2) 或后提高我 Active Directory 域或目录林功能级别吗?

答复: 第 如果您已扩展为配置管理器中的活动目录架构,您不需要再为这些方案对其进行扩展。 但是,如果您从 SMS 2003 升级到配置管理器中,您应扩展架构的配置管理器可以从新的站点更改,发布到活动目录域服务中受益。

--Carol Bailey

本文由机器自动翻译,微软不对翻译内容负责,您可以从这里获得原文和翻译信息 查看信息