Share via

Příprava prostředí systému Windows pro nástroj Configuration Manager

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Informace v následujících částech vám pomohou nakonfigurovat vaše prostředí systému Windows k podporování nástroje System Center 2012 Configuration Manager.

  • Příprava služby Active Directory pro nástroj Configuration Manager

    • Rozšíření schématu služby Active Directory

    • Vytvoření kontejneru System Management

    • Nastavení oprávnění zabezpečení na kontejneru System Management

    • Povolení služby Active Directory publikující pro lokalitu nástroje Configuration Manager

  • Konfigurace serverů se systémem Windows pro role systému lokality nástroje Configuration Manager

    • Funkce Remote Differential Compression

    • Internetová informační služba (IIS)

    • Požadavek filtrování služby IIS

Příprava služby Active Directory pro nástroj Configuration Manager

Když rozšíříte schéma služby Active Directory, tato akce je konfigurací celé oblasti, kterou musíte provést pro každou oblast. Rozšíření schématu je nevratná akce, kterou musí provést člen skupiny Schema Admins nebo jiný uživatel, kterému byla delegována dostatečná oprávnění k úpravě schématu. Rozhodnete-li se rozšířit schéma služby Active Directory, můžete tak učinit před instalací nebo po ní. Informace, které vám pomohou rozhodnout, zda provést rozšíření schématu služby Active Directory, naleznete v tématu Určení možnosti rozšíření schématu služby Active Directory pro nástroj Configuration Manager.

Tip

Pokud bylo schéma služby Active Directory rozšířeno pomocí rozšíření schématu nástroje Configuration Manager 2007, nemusíte rozšiřovat schéma pro nástroj System Center 2012 Configuration Manager. Rozšíření schématu služby Active Directory se nezmění z nástroje Configuration Manager 2007.

Aby se mohli klienti nástroje Configuration Manager úspěšně dotazovat služby AD DS (Active Directory Domain Services) při vyhledávání prostředků lokalit, je třeba provést čtyři akce:

  • Rozšířit schéma služby Active Directory.

  • Vytvoření kontejneru System Management.

  • Nastavení oprávnění zabezpečení na kontejneru System Management.

  • Povolení služby Active Directory publikující pro lokalitu nástroje Configuration Manager

Rozšíření schématu služby Active Directory

Nástroj Configuration Manager podporuje dvě metody pro rozšíření schématu služby Active Directory. První je použití nástroje extadsch.exe. Druhý je použití nástroje LDIFDE pro import informací o rozšíření schématu pomocí souboru ConfigMgr_ad_schema.ldf.

Poznámka

Před rozšířením vašeho schématu služby Active Directory zkontrolujte konflikty rozšíření schématu s vaším aktuálním schématem služby Active Directory. Informace o kontrole rozšíření schématu služby Active Directory naleznete v tématu Kontrola konfliktů rozšíření schématu služby Active Directory v dokumentaci služeb Active Directory Domain Services.

Proveďte rozšíření schématu služby Active Directory pomocí souboru ExtADSch.exe

Schéma služby Active Directory můžete rozšířit spuštěním souboru extadsch.exe umístěného ve složce SMSSETUP\BIN\X64 na instalačním médiu nástroje Configuration Manager. Soubor extadsch.exe nezobrazuje výsledek, když je spuštěn, ale poskytuje zpětnou vazbu, když jej spustíte z nástroje Command Console jako z příkazového řádku. Když je soubor extadsch.exe spuštěný, vytváří protokolový soubor v kořenovém adresáři diskové jednotky systému nazvaný extadsch.log, který uvádí, zda byla aktualizace schématu dokončena úspěšně nebo uvádí problémy, které se vyskytly během rozšiřování schématu.

Tip

Kromě vytváření protokolového souboru tento program extadsch.exe zobrazuje výsledky v okně konzoly, když je spuštěn z příkazového řádku.

Níže jsou uvedena omezení pro použití souboru extadsch.exe:

  • Soubor Extadsch.exe není podporován, když je spuštěn na počítačích se systémem Windows 2000. Pro rozšíření schématu služby Active Directory na počítači se systémem Windows 2000 použijte soubor ConfigMgr_ad_schema.ldf.

  • Pro umožnění vytvoření souboru extadsch.log, když spouštíte soubor extadsch.exe na počítači se systémem Windows Vista, musíte být přihlášeni na počítači s účtem, který má oprávnění místního správce.

Rozšíření schématu služby Active Directory pomocí souboru Extadsch.exe

  1. Vytvořte zálohu stavu systému řadiče domény originálu schématu.

  2. Přihlaste se do řadiče domény originálu schématu pomocí účtu, který je členem skupiny zabezpečení Schema Admins.

    System_CAPS_importantDůležité

    Pro úspěšné rozšíření schématu musíte být přihlášeni jako člen skupiny zabezpečení Schema Admins. Spuštění souboru extadsch.exe pomocí příkazu Spustit jako pro rozšíření schématu pomocí pověření nebude úspěšné.

  3. Spuštěním souboru extadsch.exe nacházejícím se v umístění \SMSSETUP\BIN\X64 na instalačním médiu přidejte nové třídy a atributy do schématu služby Active Directory.

  4. Kontrolou souboru extadsch.log umístěného v kořenovém adresáři diskové jednotky systému ověřte, že rozšíření schématu bylo úspěšné.

  5. Pokud postup rozšíření schématu nebyl úspěšný, obnovte předchozí stav systému originálu schématu ze zálohy vytvořené v kroku 1.

    Poznámka

    Pro obnovení stavu systému řadiče domény v systému Windows musí být systém restartován v režimu obnovení adresářových služeb Directory Services Restore Mode. Další informace o režimu Directory Services Restore Mode naleznete v tématu Místní restartování řadiče domény v režimu Directory Services Restore Mode.

Proveďte rozšíření schématu služby Active Directory pomocí souboru LDIF

Pro import objektů adresáře do služby Active Directory Domain Services můžete použít nástroj LDIFDE příkazového řádku pomocí souborů ve formátu LDIF (LDAP Data Interchange Format).

Pro větší přehled změn prováděných na schématu služby Active Directory, než poskytuje nástroj extadsch.exe, můžete použitím nástroje LDIFDE importovat informace o rozšíření schématu pomocí souboru ConfigMgr_ad_schema.ldf umístěného ve složce SMSSETUP\BIN\X64 na instalačním médiu nástroje Configuration Manager.

Poznámka

Soubor ConfigMgr_ad_schema.ldf se neliší od verze dodané s nástrojem Configuration Manager 2007.

Rozšíření schématu služby Active Directory pomocí souboru ConfigMgr_ad_schema.ldf

  1. Vytvořte zálohu stavu systému řadiče domény originálu schématu.

  2. Otevřete soubor ConfigMgr_ad_schema.ldf umístěný v adresáři SMSSETUP\BIN\X64 instalačního média nástroje Configuration Manager a úpravou souboru definujte rozšíření kořenové domény služby Active Directory. Všechny instance textu DC=x v souboru musí být pro rozšíření domény nahrazeny úplným názvem domény.

    Například, jestliže má rozšiřovaná doména úplný název widgets.microsoft.com, změňte všechny instance DC=x v souboru na DC=widgets, DC=microsoft, DC=com.

  3. Použijte nástroj LDIFDE příkazového řádku k importu obsahu souboru ConfigMgr_ad_schema.ldf do služby Active Directory Domain Services.

    Například následující příkazový řádek provede import rozšíření schématu do služby Active Directory Domain Services, zapne podrobné protokolování a během procesu importu vytvoří protokolový soubor: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <umístění uložení souboru protokolu>

  4. Chcete-li si ověřit, že rozšíření schématu bylo úspěšné, můžete zkontrolovat protokolový soubor vytvořený příkazovým řádkem použitým v kroku 3.

  5. Pokud postup rozšíření schématu nebyl úspěšný, obnovte předchozí stav systému originálu schématu ze zálohy vytvořené v kroku 1.

    Poznámka

    Pro obnovení stavu systému řadiče domény v systému Windows musí být systém restartován v režimu obnovení adresářových služeb Directory Services Restore Mode. Další informace o režimu Directory Services Restore Mode naleznete v tématu Místní restartování řadiče domény v režimu Directory Services Restore Mode.

Vytvoření kontejneru System Management

Nástroj Configuration Manager nevytvoří automaticky kontejner System Management ve službě Active Directory Domain Services, když je schéma rozšířeno. Kontejner musí být vytvořen zvlášť pro každou doménu, která zahrnuje server primární lokality nebo server sekundární lokality nástroje Configuration Manager, který publikuje informace lokality ve službě Active Directory Domain Services.

Tip

Účtu počítače serveru lokality můžete udělit oprávnění Úplné řízení kontejneru systému ve službě Active Directory Domain Services, což bude mít za následek, že server lokality automaticky vytvoří kontejner System Management, když budou informace o lokalitě poprvé publikovány ve službě Active Directory Domain Services. Nicméně mnohem bezpečnější je vytvořit kontejner System Management ručně.

Vytvořte kontejner System Management ve službě Active Directory Domain Services pomocí nástroje ADSI Edit. Další informace o instalaci a použití nástroje ADSI Edit naleznete v tématu ADSI Edit (adsiedit.msc) v dokumentaci služby Active Directory Domain Services.

Ruční vytvoření kontejneru System Management

  1. Přihlaste se jako účet, který má oprávnění Vytvořit všechny podřízené objekty na kontejneru Systém ve službě Active Directory Domain Services.

  2. Spusťte nástroj ADSI Edit a připojte k doméně, ve které se nachází server lokality.

  3. Rozbalte položku Doména <plně kvalifikovaný název domény počítače>, rozbalte <rozlišující název>, klikněte pravým tlačítkem myši na CN=System, klikněte na Nový, a potom na Objekt.

  4. V dialogovém okně Vytvořit objekt zvolte položku Kontejner a pak klikněte na tlačítko Další.

  5. Do pole Hodnota zadejte System Management a pak klikněte na tlačítko Další.

  6. Proceduru dokončete kliknutím na tlačítko Dokončit.

Nastavení oprávnění zabezpečení na kontejneru System Management

Po vytvoření kontejneru System Management ve službě Active Directory Domain Services musíte účtu počítače serveru lokality udělit oprávnění, která jsou požadována pro publikování informací lokality v kontejneru.

System_CAPS_importantDůležité

Účtu počítače serveru primární lokality musí být udělena oprávnění Úplné řízení kontejneru System Management a všech jeho podřízených objektů. Pokud máte sekundární lokality, musí být účtu počítače serveru sekundární lokality udělena oprávnění Úplné řízení kontejneru System Management a všech jeho podřízených objektů.

Nezbytná oprávnění můžete udělit pomocí nástroje správy Active Directory Users and Computers nebo nástroje Active Directory Service Interfaces Editor (ADSI Edit). Další informace o instalaci a použití nástroje ADSI Edit naleznete v tématu ADSI Edit (adsiedit.msc).

Poznámka

Následující procedury jsou uvedeny jako příklady jak konfigurovat počítače se systémem Windows Server 2008 R2. Pokud používáte jinou verzi operačního systému (třeba Windows Server 2012 R2), najdete informace o podobných konfiguracích v dokumentaci tohoto operačního systému.

Zavedení oprávnění vůči kontejneru System Management pomocí nástroje správy Active Directory Users and Computers

  1. Klikněte na tlačítko Start, klikněte na tlačítko Spustit a pak zadáním dsa.msc otevřete nástroj správy Active Directory Users and Computers.

  2. Klikněte na tlačítko Zobrazit a pak klikněte na položku Rozšířené funkce.

  3. Rozbalte kontejner Systém, pravým tlačítkem klikněte na položku System Management a pak klikněte na možnost Vlastnosti.

  4. V dialogovém okně Vlastnosti System Management klikněte na kartu Zabezpečení a pak klikněte na tlačítko Přidat pro přidání účtu počítače serveru lokality. Udělte účtu oprávnění Úplné řízení.

  5. Klikněte na položku Rozšířené, zvolte účet počítače serveru lokality a pak klikněte na možnost Upravit.

  6. V seznamu Použít na zvolte Tento objekt a všechny následné objekty.

  7. Klikněte na tlačítko OK a pak zavřením nástroje správy Active Directory Users and Computers postup dokončete.

Zavedení oprávnění vůči kontejneru System Management pomocí konzoly ADSI Edit

  1. Klikněte na tlačítko Start, klikněte na tlačítko Spustit a pak zadáním adsiedit.msc otevřete konzolu ADSIEdit.

  2. V případě potřeby se připojte k doméně serveru lokality.

  3. Na panelu konzoly rozbalte doménu serveru lokality, rozbalte DC=<rozlišující název serveru> a pak rozbalte CN=System. Pravým tlačítkem klikněte na položku CN=System Management a pak klikněte na možnost Vlastnosti.

  4. V dialogovém okně Vlastnosti CN=System Management klikněte na kartu Zabezpečení a pak klikněte na tlačítko Přidat pro přidání účtu počítače serveru lokality. Udělte účtu oprávnění Úplné řízení.

  5. Klikněte na položku Rozšířené, zvolte účet počítače serveru lokality a pak klikněte na možnost Upravit.

  6. V seznamu Použít na zvolte Tento objekt a všechny následné objekty.

  7. Kliknutím na tlačítko OK zavřete konzolu ADSIEdit a dokončete proceduru.

Povolení služby Active Directory publikující pro lokalitu nástroje Configuration Manager

Kromě rozšíření schématu služby Active Directory, vytvoření kontejneru System Management a nastavení oprávnění pro tento kontejner musíte povolit nástroji Configuration Manager publikování dat lokality do služby Active Directory Domain Services. Informace o publikování dat lokality naleznete v tématu Plánování publikování dat lokality ve službě AD DS (Active Directory Domain Services).

Konfigurace serverů se systémem Windows pro role systému lokality nástroje Configuration Manager

Předtím, než můžete použít systém Windows Server s nástrojem System Center 2012 Configuration Manager, musíte zajistit, aby byl počítač nakonfigurován pro podporu operací nástroje Configuration Manager. Pro konfigurování serverů se systémem Windows pro nástroj Configuration Manager použijte informace v následujících částech. Další informace o požadavcích na systémovou roli lokality najdete v části tématu .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Poznámka

Procedury v následujících částech jsou uvedeny jako příklady konfigurování počítačů se systémem Windows Server 2008 nebo Windows Server 2008 R2. Pokud používáte jinou verzi operačního systému (třeba Windows Server 2012 R2), najdete informace o podobných konfiguracích v dokumentaci tohoto operačního systému.

Funkce Remote Differential Compression

Servery a distribuční body lokality vyžadují, aby funkce Remote Differential Compression (RDC) vytvářela podpisy balíčků a prováděla srovnání podpisů. Pokud není funkce RDC povolena, musíte ji na těchto serverech systému lokality povolit.

Následující proceduru použijte jako příklad procedury povolení funkce Remote Differential Compression na počítačích se systémy Windows Server 2008 a Windows Server 2008 R2. Máte-li jinou verzi operačního systému, vyhledejte obdobný postup v dokumentaci k operačnímu systému.

Konfigurace funkce Remote Differential Compression pro systém Windows Server 2008 nebo Windows Server 2008 R2

  1. Na počítači se systémem Windows Server 2008 nebo Windows Server 2008 R2 přechodem na Start / Všechny programy / Nástroje správy / Správce serveru spusťte nástroj Správce serveru. V nástroji Správce serveru zvolte uzel Funkce a kliknutím na položku Přidat funkce spusťte Průvodce přidáním funkcí.

  2. Na stránce Vybrat funkce zvolte funkci Remote Differential Compression a klikněte na tlačítko Další.

  3. Dokončete průvodce, zavřete nástroj Server Manager a dokončete tak konfiguraci.

Internetová informační služba (IIS)

Některé role systému lokality vyžadují Internetové informační služby (IIS). Pokud služby IIS nejsou ještě povolené, musíte je povolit na serverech systému lokality a až poté nainstalovat role systému lokality, které služby IIS vyžadují. Kromě serveru systému lokality vyžadují služby IIS následující role systému lokality:

  • Bod služeb webu Katalog aplikací

  • Bod lokality Application Catalog

  • Distribuční bod

  • Bod registrace

  • Zprostředkující bod registrace

  • Bod záložního stavu

  • Bod správy

  • Bod aktualizace softwaru

Minimální verze služby IIS, kterou aplikace Configuration Manager vyžaduje, je výchozí verze dodávaná s operačním systémem serveru, na kterém systém lokality pracuje.

Povolíte-li například službu IIS na počítači se systémem Windows Server 2008, který plánujete používat jako distribuční bod, je nainstalována verze IIS 7.0. Můžete také nainstalovat verzi IIS 7.5. Povolíte-li službu IIS na počítači se systémem Windows 7 pro distribuční bod, automaticky se nainstaluje IIS 7.5. Pro distribuční bod se systémem Windows 7 nelze použít IIS verze 7.0.

Následující postup slouží jako příklad instalace služby IIS na počítači se systémem Windows Server 2008 nebo Windows Server 2008 R2. Máte-li jinou verzi operačního systému, vyhledejte obdobný postup v dokumentaci k operačnímu systému.

Instalace Internetové informační služby (IIS) na počítačích se systémy Windows Server 2008 nebo Windows Server 2008 R2

  1. Na počítači se systémem Windows Server 2008 nebo Windows Server 2008 R2 přechodem na Start / Všechny programy / Nástroje správy / Správce serveru spusťte nástroj Správce serveru. V nástroji Správce serveru zvolte uzel Funkce a kliknutím na položku Přidat funkce spusťte Průvodce přidáním funkcí.

  2. Na stránce Vybrat funkce Průvodce přidáním funkcí nainstalujte všechny další vlastnosti, které jsou potřebné k podpoře rolí systému lokality, které instalujete na tento počítač. Příklad: přidání rozšíření serveru BITS:

    • Pro systém Windows Server 2008 vyberte zaškrtávací pole Rozšíření serveru BITS. Pro systém Windows Server 2008 R2 vyberte zaškrtávací pole Služby inteligentního přenosu na pozadí (BITS). Na výzvu klikněte na tlačítko Přidat požadované služby rolí a přidejte závislé součásti, včetně role webového serveru (IIS), a pak klikněte na tlačítko Další.

      Tip

      Konfigurujete-li počítač, který bude sloužit jako server lokality nebo distribuční bod, nezapomeňte zaškrtnout pole funkce Remote Differential Compression.

  3. Na stránce Webový server (IIS) v nástroji Průvodce přidáním funkcí klikněte na tlačítko Další.

  4. Na stránce Vybrat služby rolí Průvodce přidáním funkcí nainstalujte všechny další služby rolí, které jsou potřebné k podpoře rolí systému lokality, které instalujete na tento počítač. Příklad: přidání ASP.NET a ověřování systému Windows:

    • Pro Rozvoj aplikací vyberte zaškrtávací pole ASP.NET, na výzvu klikněte na položku Přidat požadované služby rolí a přidejte závislé součásti.

    • Pro Zabezpečení vyberte zaškrtávací pole Ověřování systému Windows.

  5. V uzlu Nástroje pro správu systému musí být pro položku Kompatibilita správy IIS 6 vybrána obě zaškrtávací pole Kompatibilita metabáze IIS 6 a Kompatibilita IIS 6 WMI, pak klikněte na tlačítko Další.

  6. Na stránce Potvrzení klikněte na tlačítko Instalovat, dokončete průvodce, zavřete Správce serveru a dokončete konfiguraci.

Požadavek filtrování služby IIS

Služba IIS standardně blokuje přístup protokolu HTTP nebo HTTPS k některým příponám názvu souborů a umístěním složek. Pokud zdrojové soubory vašeho balíčku obsahují přípony blokované službou IIS, musíte nakonfigurovat část requestFiltering v souboru applicationHost.config na počítačích distribučních bodů.

Následující přípony názvu souborů jsou používány aplikací Configuration Manager pro balíčky a aplikace. Povolte přípony názvu souborů na distribučních bodech:

  • .PCK

  • .PKG

  • .STA

  • .TAR

Můžete mít například zdrojové soubory pro nasazení softwaru, které zahrnují složku pojmenovanou bin nebo obsahují soubor s příponou názvu .mdb. Služba IIS standardně požaduje zablokování přístupu filtrem k těmto prvkům. Použijete-li na distribučním bodu výchozí konfiguraci služby IIS, klientům používajícím služby BITS se stáhnutí balíčku nasazení softwaru z distribučního bodu nezdaří. V takovém případě klienti signalizují, že čekají na obsah. Chcete-li povolit klientům stažení tohoto obsahu pomocí služby BITS, v každém příslušném distribučním bodu upravte část requestFiltering souboru applicationHost.config a povolte přístup k souborům a složkám při nasazení softwaru.

System_CAPS_importantDůležité

Změny části requestFiltering platí pro všechny weby na daném serveru. Tato konfigurace zvyšuje prostor pro útoky na počítač. Nejlepším způsobem zabezpečení je spuštění aplikace Configuration Manager na vyhrazeném webovém serveru. Musíte-li na webovém serveru spouštět ještě další aplikace, použijte pro aplikaci Configuration Manager přizpůsobený web. Informace o vlastních webech najdete v části Plánování vlastních webových stránek v Configuration Manageru tématu Plánování systémů lokalit ve Správci konfigurace.

Následující postup slouží jako příklad změny části requestFiltering na počítači se systémy Windows Server 2008 nebo Windows Server 2008 R2. Máte-li jinou verzi operačního systému, vyhledejte obdobný postup v dokumentaci k operačnímu systému.

Konfigurování filtrování požadavku pro služby IIS na distribučním bodu

  1. na počítači distribučního bodu otevřete soubor applicationHost.config umístěný v adresáři %Windir%\System32\Inetsrv\Config\.

  2. Vyhledejte část <requestFiltering>.

  3. Určete přípony názvu souboru a názvy složek, které budete mít v balíčcích na tomto distribučním bodu. Pro každou požadovanou příponu a název složky proveďte následující kroky:

    • Pokud je hodnota uvedena jako prvek fileExtension, nastavte ji pro parametr povoleno na možnost true.

      Pokud je obsažený například soubor s příponou .mdb, změňte řádek <add fileExtension=".mdb" allowed="false" /> na <add fileExtension=".mdb" allowed="true" />.

      Povolte pouze takové přípony názvu souboru, které jsou pro obsah požadované.

    • Pokud je hodnota uvedená jako prvek <hiddenSegments>, odstraňte ze souboru záznam odpovídající příponě názvu souboru nebo složky.

      Pokud je obsažená například složka se jmenovkou bin, odeberte ze souboru řádek <add segment=”bin” />.

  4. Uložte a zavřete soubor applicationHost.config a dokončete tak konfiguraci.

Viz také

Konfigurace lokalit a hierarchií v nástroji Configuration Manager