Configuration Manager 2012 Beta 2 中的Active Directory Forest Discovery and Publishing

  • Article

背景

在很多大型的组织中,网络配置,活动目录域服务以及Configuration Manager 通常都进行独立管理。网络拓扑或活动目录结构的更改必须在团队之间保持及时的沟通,以确保Configuration Manager边界设定的精确性。正确的边界信息可以保证应用程序和软件更新有效的部署到所有被管理的客户端。在客户端漫游的情况下,保持可用并且最新的边界设置显得尤为重要。现在在Configuration Manager 2012 Beta2中,活动目录林发现功能的引入和站点发布功能的改进将使企业能够集中管理跨林站点系统角色,而无需像SCCM 2007那样要在远端目录林中部署多余的站点。

域林发现和站点发布概述

为了提高不断变化的网络环境的可管理性,Configuration Manager 2012 Beta 2引入了活动目录域林发现。有了这个功能,站点可以发现与企业相关的活动目录森林及其中的域,站点和IP子网。因为域用户或者域成员计算机账号都有权限查询目录林的信任关系,活动目录林模块可以返回其他目录林及其信任方向的信息。系统可以连接到所有的森林并构建一个完整的企业环境映射。通过使用特定的凭据,它还可以跨林边界发现,从而无需关心域林之间的信任关系,实现按需发现。通过AD林发现获得的信息,还可以直接作为边界或边界组输出。AD发现所获得的数据是动态更新的,对于已经不在AD域服务中的数据将从站点数据库中移除。当客户端请求MP或DP的时候,这些被发现的信息也会被用来确保它们拿到的是最佳站点系统。 

 

对每个目录林指定的凭据即可用于森林发现也可用于站点发布。有了凭据,站点就能发布站点配置信息到远程受信任或不受信任的域林,发布的信息包括站点系统位置和功能,边界,客户端计算机需要的认证站点系统的安全信息,MP的通信模式(HTTPS/HTTP),以及用于寻找最合适的MP或DP进行通信的网络信息。这使得客户端计算机更易于在受信任的林的服务器中查找到针对用户组或者用户账号部署的程序。

 

如何使用AD 域林发现

1)      启用域林发现

AD域林发现是位于Configuration Manager 控制台的管理工作区中的一种新的发现方法。它可以在中心站点(CAS,central Administrator Site)和主站点(Primary Site)启用。辅助站点(secondary Site )不支持AD林发现。

要启用AD域林发现,需要打开活动目录林发现方法属性的对话框,并通过选中"启用活动目录林发现"的复选框启用发现方法。AD林发现的范围涵盖域林中的AD站点和IP子网 ,用户有两个更灵活的选择来配置是否想创建基于自动发现结果的AD站点类型边界或子网类型边界。林发现可以以周/小时/天来定义运行时间。林发现方法会自动创建边界,但仍需手动将边界添加到边界组,并关联到一个站点以确保提供给客户端有效的内容或边界被用于站点分配。

AD域林发现方法可以通过从功能区或用鼠标右击菜单中选择"立即运行完整发现"按需运行。

2)      监控域林发现的运行状态

AD 域林发现的运行进度可以通过查看域林发现日志(SCCM安装目录)\Logs\ADForestDisc.log或查看AD域林发现组件状态信息来查看。在Comfiguration Manager控制台点击Monitoring,展开System Status,单击Component Status,选择SMS_AD_Forest_Discovery_Manager, 然后单击右键选择Show Messages 来查看组件的状态信息。

3)      检查森林发现结果,并利用它们来创建边界组

AD域林发现完成后,可以通过在管理工作区选择AD域林查看发现的信息,每个发现的域林的信息和状态都被一一列出。默认情况下,域选项卡列出在此AD域林中发现的所有域。如果您右键单击其中一个可用的列标题,您可以通过选择Functional Level 来添加显示信息。AD 站点选项卡列出在此目录林中所有已发现的AD站点。IP子网选项卡列出所有发现的 IP 子网。IP子网与每个 AD 站点相关联,并被保留在数据库中。发现状态包括发现及发布的状态。

在Active Directory 站点选项卡中,可以从详细信息列表中选择一个或多个AD站点和IP子网,用鼠标右键单击,或使用功能区将其添加到新的或已存在的边界组中。

4)      发现其他的域林资源

通过使用默认的设置,将自动发现与执行AD林发现的站点所在森林有信任关系的域林。若要发现与站点所在森林没有任何信任关系的域林,需要添加一个新的AD域林并使用在要添加的域林中具有读取权限的帐户。

 

     

5)      发布站点信息到目标域林

站点跨林发布会把站点和站点系统角色信息写到AD域服务当中。发布功能要求目标域林的AD Schema被Configuration Manager Schema 扩展,并且AD域林发现账户对目标域林AD中的系统容器具有完全的控制权限。您可以通过在域林属性对话框勾选"Publish sites to the Active Directory forest"选项来启用域林发布功能。

显示在AD域林列表视图中的发布状态是整个SCCM架构所有站点的发布状态摘要。如果整个架构中有一个站点发布“失败”,那么最终发布状态将显示“失败”。如果要查看已发布的站点信息:打开AD用户和计算机、连接到域林中的域控制器,并转到“视图” > “高级功能”。站点和MP信息发布在“System”->“System Management”节点下。

故障排除指南

要排查站点跨林发布遇到的问题,需要在执行发布的站点上检查组件SMS_Hierarchy_Manager 和 SMS_Site_Component_Manager的状态消息。对于发现的森林,只要其启用了发布功能,那么每一个站点都会向此森林发布站点及站点角色信息。如果发布失败,每个站点的Hman.log 文件和sitecomp.log 文件会记录失败的原因。下面是一些发布失败的典型原因。  

1)      域林的 AD 架构不可扩展。若要解决此问题,以拥有Schema Admin权限的账户登录到森林中,然后从Configuration Manager 2012 安装CD中运行extadsch.exe以扩展Schema。

2)      站点服务器的计算机帐户没有足够的权限写入目标林中AD System容器。若要解决此问题,请给站点服务器的计算机帐户完全控制System容器及其所有子对象的权限。

3)      用于站点发布的特定帐户没有足够的权限写入目标林中AD System容器。若要解决此问题,请给特定计算机帐户完全控制系统容器和所有子对象的权限。

4)      用于发布的备用凭据 (如活动目录林帐户的特定帐户)只适用于单个站点。在 Beta 2,在其中一个站点上设置的账户无法被另一个站点使用,这是目前的一个功能局限。若要解决此问题,请从Configuration Manager控制台连接到不能发布信息的站点,在活动目录林节点中,修改AD林的属性,并重新设置帐户。在发现方法节点中,运行AD林发现触发从该站点发布。

5)      发布状态是层次结构中所有站点的发布结果的汇总。当发布状态指示"失败"时,通过查看站点状态消息或日志文件来验证每个站点包括中心站点、 主站点和辅助站点是否已经完成站点发布。

--徐喜春 (Randy Xu)