System Center 2012 Configuration Manager におけるワークグループ環境でのクライアントご利用手順について

  • Article

こんにちは。システムセンター サポートの鈴木です。

今回は、System Center 2012 Configuration Manager (以下、SCCM 2012) クライアントをワークグループ環境にてご利用いただく場合に、ご注意いただきたいポイントについてご案内します。

SCCM 2012 では、ワークグループ環境の SCCM クライアントを管理することをサポートしています。
しかしながら、ワークグループ環境は、 SCCM サイト サーバーと同じドメインに参加している環境とは異なり、Active Directory の情報が参照できない、またドメイン環境にあるリソースへアクセスすることができないといった制限があります。
ここでは、ワークグループ環境にて SCCM クライアントをご利用いただく際に必要となる以下の代表的な注意事項をご案内します。

A. SCCM クライアントのインストール
B. SCCM クライアントの手動承認
C. ネットワーク アクセス アカウントの構成

詳細な内容は以下の通りです。

=====================================================
A. SCCM クライアントのインストール
=====================================================
ワークグループ 環境にある端末へ、SCCM クライアントをインストールいただく際に、クライアントが最初に通信する管理ポイントを指定していただく必要があります。
そのため、SCCM クライアント エージェントをインストールする際には、以下の SMSMP オプションを用いて管理ポイントを指定してください。

クライアントに ccmsetup.exe のみを予め配布しておいて、インストール ソース ファイルを配布ポイントから取得する場合は、以下のコマンドを実行します。
----------------------------------------
例 : 接続先管理ポイントを mp01.contoso.com, サイトコードを P01 とする場合、コマンド プロンプトを管理者権限で起動し、以下のコマンドを実行します。
CCMSetup.exe /mp:mp01.contoso.com SMSMP=mp01.contoso.com SMSSITECODE=P01
----------------------------------------

-参考情報
Configuration Manager のクライアント インストール プロパティについて
https://technet.microsoft.com/ja-jp/library/gg699356.aspx

~~~~~~~~~~~~~~
補足情報 :
~~~~~~~~~~~~~~
ccmsetup.exe を実行する際に、 \\SERVER\SMS_PRI\Client\ccmsetup.exe のように、共有フォルダーに配置してある ccmsetup.exe を実行する場合は、/noservice オプションを付与する必要があります。既定では、/service で実行されるため、ccmsetup.exe はローカル システム アカウント (SYSTEM) で実行されます。しかしながら、ワークグループ コンピューターにおいて、ccmsetup.exe が SYSTEM で実行されると、共有フォルダーからインストール モジュールをダウンロードする際に、認証が通らず失敗します。/noservice で実行することで、ユーザー アカウントで実行されますので、共有フォルダーにアクセスできるアカウントであれば、共有フォルダーからのインストール モジュールのダウンロードが成功し、インストールが進みます。
なお、プライマリ サイトから Client フォルダーの内容をすべてワークグループ コンピューターにコピーして、コピーした Client フォルダー配下の ccmsetup.exe を実行する場合は、ローカルのファイルを使用するため、/noservice を付与しなくても問題ありません。

====================================
B. SCCM クライアントの手動承認
====================================
SCCM クライアントが、SCCM サイト サーバーのリソース(配布ポイント、ソフトウェア更新ポイントなど)にアクセスする場合、TCP/IP レベルでの認証処理が行われます。

ドメイン環境のクライアントについては、既定では自動的に承認されますが、ワークグループ環境のクライアントについては、手動で承認する必要があります。

※既定では、下図のように「信頼されたドメインのコンピュータを自動的に承認する」が有効になっています。この設定は、[管理] - [概要] - [サイトの構成] - [サイト] を右クリックし、[階層設定] をクリックすることでご確認いただけます。

手動承認手順は以下の通りです。
----------------
>>手順
----------------
1. Configuration Manager コンソールを起動し、以下のとおり展開します。

資産とコンプライアンス
└ 概要
└ デバイス (または、[すべてのデスクトップ クライアントおよびサーバー クライアント] のコレクション)

2. 右ペインに表示された対象のワークグループ コンピューターのエントリーを右クリックして、[承認] を実施してください。

-参考情報
Configuration Manager でクライアントを管理する方法
- [デバイス] ノードを使用してクライアントを管理する- クライアントを承認する
https://technet.microsoft.com/ja-jp/library/gg712288.aspx#BKMK_ManagingClients_DevicesNode

=============================================
C. ネットワーク アクセス アカウントの構成
=============================================
ワークグループ環境にソフトウェアを展開するためには、ネットワーク アクセス アカウントを構成する必要があります。
ワークグループ 環境にあるクライアントは、ネットワーク アクセス アカウントを使用して、ドメイン環境にある配布ポイント上のリソースにアクセスします。
そのため、ネットワーク アクセス アカウントが構成されていない場合、クライアントは配布ポイント上のコンテンツにアクセスすることができず、認証エラーが発生します。

構成手順は以下の通りです。
----------------
>>手順
----------------
1. Configuration Manager コンソールを起動し、以下のとおり展開します。

管理
└ 概要
└ サイトの構成
└ サイト

2. [サイト コンポーネントの構成] -[ソフトウェアの配布] を選択します。
3. [ネットワーク アクセス アカウント]タブを開き、[ネットワークの場所にアクセスするアカウントを指定する] にて任意のドメイン アカウントを指定します。

-参考情報
Configuration Manager のコンテンツ管理の構成
- ネットワーク アクセス アカウントの構成
https://technet.microsoft.com/ja-jp/library/gg682115.aspx#BKMK_NetworkAccessAccount

Managing Workgroup Clients in System Center 2012 Configuration Manager
https://blogs.technet.com/b/configurationmgr/archive/2014/07/01/managing-workgroup-clients-in-system-center-2012-configuration-manager.aspx
※ 恐縮ながら、英語情報となります。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。