Informationen zu Ermittlungsmethoden für Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Configuration Manager Ermittlungsmethoden finden verschiedene Geräte in Ihrem Netzwerk, Geräte und Benutzer aus Active Directory oder Benutzer aus Microsoft Entra ID. Um eine Ermittlungsmethode effizient verwenden zu können, sollten Sie die verfügbaren Konfigurationen und Einschränkungen kennen.
Active Directory-Gesamtstrukturermittlung
Konfigurierbar: Ja
Standardmäßig aktiviert: Nein
Konten , die Sie zum Ausführen dieser Methode verwenden können:
Active Directory-Gesamtstrukturkonto (benutzerdefiniert)
Computerkonto des Standortservers
Im Gegensatz zu anderen Active Directory-Ermittlungsmethoden ermittelt die Active Directory-Gesamtstrukturermittlung keine Ressourcen, die Sie verwalten können. Stattdessen ermittelt diese Methode Netzwerkspeicherorte, die in Active Directory konfiguriert sind. Es kann diese Standorte in Grenzen konvertieren, um sie in Der gesamten Hierarchie zu verwenden.
Wenn diese Methode ausgeführt wird, durchsucht sie die lokale Active Directory-Gesamtstruktur, jede vertrauenswürdige Gesamtstruktur und andere Gesamtstrukturen, die Sie im Knoten Active Directory-Gesamtstrukturen der Configuration Manager-Konsole konfigurieren.
Verwenden Sie die Active Directory-Gesamtstrukturermittlung für Folgendes:
Ermitteln Sie Active Directory-Standorte und -Subnetze, und erstellen Sie dann Configuration Manager Grenzen basierend auf diesen Netzwerkstandorten.
Identifizieren sie Supernets, die einem Active Directory-Standort zugewiesen sind. Konvertieren Sie jedes Supernet in eine IP-Adressbereichsgrenze.
Veröffentlichen in Active Directory Domain Services (AD DS) in einer Gesamtstruktur, wenn die Veröffentlichung in dieser Gesamtstruktur aktiviert ist. Das angegebene Active Directory-Gesamtstrukturkonto muss über Berechtigungen für diese Gesamtstruktur verfügen.
Sie können die Active Directory-Gesamtstrukturermittlung in der Configuration Manager-Konsole verwalten. Wechseln Sie zum Arbeitsbereich Verwaltung , und erweitern Sie Hierarchiekonfiguration.
Ermittlungsmethoden: Aktivieren Sie die Active Directory-Gesamtstrukturermittlung, um am Standort der obersten Ebene Ihrer Hierarchie ausgeführt zu werden. Sie können auch einen Zeitplan für die Ausführung der Ermittlung angeben. Konfigurieren Sie sie so, dass grenzen aus den ermittelten IP-Subnetzen und Active Directory-Standorten automatisch erstellt werden. Die Active Directory-Gesamtstrukturermittlung kann nicht an einem untergeordneten primären Standort oder an einem sekundären Standort ausgeführt werden.
Active Directory-Gesamtstrukturen: Konfigurieren Sie die anderen Gesamtstrukturen für die Ermittlung, geben Sie jedes Active Directory-Gesamtstrukturkonto an, und konfigurieren Sie die Veröffentlichung in jeder Gesamtstruktur. Überwachen Sie den Ermittlungsprozess. Fügen Sie IP-Subnetze und Active Directory-Standorte als Configuration Manager Grenzen und Mitglieder von Begrenzungsgruppen hinzu.
Um die Veröffentlichung für Active Directory-Gesamtstrukturen für jeden Standort in Ihrer Hierarchie zu konfigurieren, verbinden Sie Ihre Configuration Manager Konsole mit dem Standort der obersten Ebene Ihrer Hierarchie. Auf der Registerkarte Veröffentlichung im Dialogfeld Eigenschaften eines Active Directory-Standorts können nur der aktuelle Standort und seine untergeordneten Standorte angezeigt werden. Wenn die Veröffentlichung für eine Gesamtstruktur aktiviert ist und das Schema dieser Gesamtstruktur um Configuration Manager erweitert wird, werden die folgenden Informationen für jeden Standort veröffentlicht, der für die Veröffentlichung in dieser Active Directory-Gesamtstruktur aktiviert ist:
SMS-Site-<site code>SMS-MP-<site code>-<site system server name>SMS-SLP-<site code>-<site system server name>SMS-<site code>-<Active Directory site name or subnet>
Hinweis
Sekundäre Standorte verwenden immer das Computerkonto des sekundären Standortservers, um in Active Directory zu veröffentlichen. Wenn sekundäre Standorte in Active Directory veröffentlicht werden sollen, stellen Sie sicher, dass das Computerkonto des sekundären Standortservers über Berechtigungen zum Veröffentlichen in Active Directory verfügt. Ein sekundärer Standort kann keine Daten in einer nicht vertrauenswürdigen Gesamtstruktur veröffentlichen.
Achtung
Wenn Sie die Option zum Veröffentlichen eines Standorts in einer Active Directory-Gesamtstruktur deaktivieren, werden alle zuvor veröffentlichten Informationen für diesen Standort, einschließlich der verfügbaren Standortsystemrollen, aus Active Directory entfernt.
Aktionen für die Active Directory-Gesamtstrukturermittlung werden in den folgenden Protokollen aufgezeichnet:
Alle Aktionen, mit Ausnahme von Aktionen im Zusammenhang mit der Veröffentlichung, werden in der AdForestDisc.Log-Datei im <Ordner InstallationPath>\Logs auf dem Standortserver aufgezeichnet.
Veröffentlichungsaktionen der Active Directory-Gesamtstrukturermittlung werden in den Dateien hman.log und sitecomp.log im <Ordner InstallationPath>\Logs auf dem Standortserver aufgezeichnet.
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren von Ermittlungsmethoden.
Active Directory-Gruppenermittlung
Konfigurierbar: Ja
Standardmäßig aktiviert: Nein
Konten , die Sie zum Ausführen dieser Methode verwenden können:
Active Directory-Gruppenermittlungskonto (benutzerdefiniert)
Computerkonto des Standortservers
Tipp
Zusätzlich zu den Informationen in diesem Abschnitt finden Sie weitere Informationen unter Allgemeine Features der Active Directory-Gruppen-, System- und Benutzerermittlung.
Verwenden Sie diese Methode, um Active Directory Domain Services zu suchen, um Folgendes zu identifizieren:
Lokale, globale und universelle Sicherheitsgruppen.
Die Mitgliedschaft von Gruppen.
Eingeschränkte Informationen zu den Mitgliedscomputern und -benutzern einer Gruppe, auch wenn diese Computer und Benutzer zuvor von einer anderen Ermittlungsmethode nicht ermittelt wurden.
Diese Ermittlungsmethode dient zum Identifizieren von Gruppen und der Gruppenbeziehungen von Mitgliedern von Gruppen. Standardmäßig werden nur Sicherheitsgruppen ermittelt. Wenn Sie auch die Mitgliedschaft von Verteilergruppen ermitteln möchten, müssen Sie das Kontrollkästchen für die Option Mitgliedschaft von Verteilergruppen ermitteln auf der Registerkarte Option im Dialogfeld Eigenschaften der Active Directory-Gruppenermittlung aktivieren.
Die Active Directory-Gruppenermittlung unterstützt nicht die erweiterten Active Directory-Attribute, die mithilfe der Active Directory-Systemermittlung oder der Active Directory-Benutzerermittlung identifiziert werden können. Da diese Ermittlungsmethode nicht für die Ermittlung von Computer- und Benutzerressourcen optimiert ist, sollten Sie diese Ermittlungsmethode ausführen, nachdem Sie die Active Directory-Systemermittlung und die Active Directory-Benutzerermittlung ausgeführt haben. Dieser Vorschlag liegt daran, dass diese Methode einen vollständigen Ermittlungsdatensatz (DDR) für Gruppen erstellt, aber nur einen eingeschränkten DDR für Computer und Benutzer, die Mitglieder von Gruppen sind.
Sie können die folgenden Ermittlungsbereiche konfigurieren, die steuern, wie diese Methode nach Informationen sucht:
Standort: Verwenden Sie einen Speicherort, wenn Sie einen oder mehrere Active Directory-Container durchsuchen möchten. Diese Bereichsoption unterstützt eine rekursive Suche der angegebenen Active Directory-Container. Dieser Prozess durchsucht jeden untergeordneten Container unter dem von Ihnen angegebenen Container. Sie wird fortgesetzt, bis keine weiteren untergeordneten Container gefunden werden.
Gruppen: Verwenden Sie Gruppen, wenn Sie eine oder mehrere bestimmte Active Directory-Gruppen durchsuchen möchten. Sie können Active Directory-Domäne so konfigurieren, dass die Standarddomäne und -gesamtstruktur verwendet wird, oder die Suche auf einen einzelnen Domänencontroller beschränken. Darüber hinaus können Sie eine oder mehrere Gruppen für die Suche angeben. Wenn Sie nicht mindestens eine Gruppe angeben, werden alle Im angegebenen Active Directory-Domäne Speicherort gefundenen Gruppen durchsucht.
Achtung
Wenn Sie einen Ermittlungsbereich konfigurieren, wählen Sie nur die Gruppen aus, die Sie ermitteln müssen. Diese Empfehlung liegt daran, dass die Active Directory-Gruppenermittlung versucht, jedes Mitglied jeder Gruppe im Ermittlungsbereich zu ermitteln. Die Ermittlung großer Gruppen kann eine umfangreiche Nutzung von Bandbreite und Active Directory-Ressourcen erfordern.
Hinweis
Bevor Sie Sammlungen erstellen können, die auf erweiterten Active Directory-Attributen basieren, und um genaue Ermittlungsergebnisse für Computer und Benutzer sicherzustellen, führen Sie die Active Directory-Systemermittlung oder die Active Directory-Benutzerermittlung aus, je nachdem, was Sie ermitteln möchten.
Aktionen für die Active Directory-Gruppenermittlung werden in der Datei adsgdis.log im <InstallationPath>\LOGS Ordner auf dem Standortserver aufgezeichnet.
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren von Ermittlungsmethoden.
Active Directory-Systemermittlung
Konfigurierbar: Ja
Standardmäßig aktiviert: Nein
Konten , die Sie zum Ausführen dieser Methode verwenden können:
Active Directory-Systemermittlungskonto (benutzerdefiniert)
Computerkonto des Standortservers
Tipp
Zusätzlich zu den Informationen in diesem Abschnitt finden Sie weitere Informationen unter Allgemeine Features der Active Directory-Gruppen-, System- und Benutzerermittlung.
Verwenden Sie diese Ermittlungsmethode, um die angegebenen Active Directory Domain Services Speicherorte nach Computerressourcen zu durchsuchen, die zum Erstellen von Sammlungen und Abfragen verwendet werden können. Sie können den Configuration Manager-Client auch mithilfe der Clientpushinstallation auf einem ermittelten Gerät installieren.
Standardmäßig ermittelt diese Methode grundlegende Informationen zum Computer, einschließlich der folgenden Attribute:
Name des Computers
Betriebssystem und Version
Name des Active Directory-Containers
IP-Adresse
Active Directory-Standorte
Zeitstempel der letzten Anmeldung
Um erfolgreich eine DDR für einen Computer zu erstellen, muss die Active Directory-Systemermittlung in der Lage sein, das Computerkonto zu identifizieren und den Computernamen dann erfolgreich in eine IP-Adresse aufzulösen.
Im Dialogfeld Eigenschaften der Active Directory-Systemermittlung können Sie auf der Registerkarte Active Directory-Attribute die vollständige Liste der erkannten Standardobjektattribute anzeigen. Sie können die -Methode auch konfigurieren, um erweiterte Attribute zu ermitteln.
Aktionen für die Active Directory-Systemermittlung werden in der Datei adsysdis.log im <InstallationPath>\LOGS Ordner auf dem Standortserver aufgezeichnet.
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren von Ermittlungsmethoden.
Active Directory-Benutzerermittlung
Konfigurierbar: Ja
Standardmäßig aktiviert: Nein
Konten , die Sie zum Ausführen dieser Methode verwenden können:
Active Directory-Benutzerermittlungskonto (benutzerdefiniert)
Computerkonto des Standortservers
Tipp
Zusätzlich zu den Informationen in diesem Abschnitt finden Sie weitere Informationen unter Allgemeine Features der Active Directory-Gruppen-, System- und Benutzerermittlung.
Verwenden Sie diese Ermittlungsmethode, um nach Active Directory Domain Services zu suchen, um Benutzerkonten und zugeordnete Attribute zu identifizieren. Standardmäßig ermittelt diese Methode grundlegende Informationen zum Benutzerkonto, einschließlich der folgenden Attribute:
Benutzername
Eindeutiger Benutzername, der den Domänennamen enthält
Domäne
Active Directory-Containernamen
Im Dialogfeld Eigenschaften der Active Directory-Benutzerermittlung können Sie auf der Registerkarte Active Directory-Attribute die vollständige Standardliste der erkannten Objektattribute anzeigen. Sie können die -Methode auch konfigurieren, um erweiterte Attribute zu ermitteln.
Aktionen für die Active Directory-Benutzerermittlung werden in der Datei adusrdis.log im <InstallationPath>\LOGS Ordner auf dem Standortserver aufgezeichnet.
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren von Ermittlungsmethoden.
Microsoft Entra Benutzerermittlung
Verwenden Sie Microsoft Entra Benutzerermittlung, um Ihr Microsoft Entra-Abonnement nach Benutzern mit einer modernen Cloudidentität zu durchsuchen. Microsoft Entra Benutzerermittlung können die folgenden Attribute finden:
objectIddisplayNamemailmailNicknameonPremisesSecurityIdentifieruserPrincipalNametenantIDonPremisesDomainNameonPremisesSamAccountNameonPremisesDistinguishedName
Diese Methode unterstützt die vollständige und Deltasynchronisierung von Benutzerattributen aus Microsoft Entra ID. Diese Informationen können dann zusammen mit Ermittlungsdaten verwendet werden, die Sie von den anderen Ermittlungsmethoden sammeln.
Aktionen für Microsoft Entra Benutzerermittlung werden in der Datei SMS_AZUREAD_DISCOVERY_AGENT.log auf dem Standortserver der obersten Ebene der Hierarchie aufgezeichnet.
Informationen zum Konfigurieren Microsoft Entra Benutzerermittlung finden Sie unter Konfigurieren von Azure-Diensten für die Cloudverwaltung. Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren Microsoft Entra Benutzerermittlung.
Microsoft Entra Benutzergruppenermittlung
Sie können Benutzergruppen und Mitglieder dieser Gruppen über Microsoft Entra-ID ermitteln. Microsoft Entra Benutzergruppenermittlung können die folgenden Attribute gefunden werden:
objectIddisplayNamemailNicknameonPremisesSecurityIdentifiertenantID
Aktionen für Microsoft Entra Benutzergruppenermittlung werden in der Datei SMS_AZUREAD_DISCOVERY_AGENT.log auf dem Standortserver der obersten Ebene der Hierarchie aufgezeichnet. Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren Microsoft Entra Benutzergruppenermittlung.
Frequenzermittlung
Konfigurierbar: Ja
Standardmäßig aktiviert: Ja
Konten , die Sie zum Ausführen dieser Methode verwenden können:
- Computerkonto des Standortservers
Die Frequenzermittlung unterscheidet sich von anderen Configuration Manager Ermittlungsmethoden. Sie ist standardmäßig aktiviert und wird auf jedem Computerclient statt auf einem Standortserver ausgeführt, um eine DDR zu erstellen. Deaktivieren Sie die Frequenzermittlung nicht, um den Datenbankdatensatz von Configuration Manager Clients zu verwalten. Neben der Verwaltung des Datenbankdatensatzes kann diese Methode die Ermittlung eines Computers als neuen Ressourcendatensatz erzwingen. Es kann auch den Datenbankdatensatz eines Computers, der aus der Datenbank gelöscht wurde, erneut auffüllen.
Die Frequenzermittlung wird nach einem Zeitplan ausgeführt, der für alle Clients in der Hierarchie konfiguriert ist. Der Standardzeitplan für die Frequenzermittlung ist auf alle sieben Tage festgelegt. Wenn Sie das Taktermittlungsintervall ändern, stellen Sie sicher, dass es häufiger ausgeführt wird als der Standortwartungstask Veraltete Ermittlungsdaten löschen. Dieser Task löscht inaktive Clientdatensätze aus der Standortdatenbank. Sie können den Task Veraltete Ermittlungsdaten löschen nur für primäre Standorte konfigurieren.
Sie können die Frequenzermittlung auch manuell auf einem bestimmten Client ausführen. Führen Sie den Ermittlungsdatensammlungszyklus auf der Registerkarte Aktion der Configuration Manager Systemsteuerung eines Clients aus.
Wenn die Frequenzermittlung ausgeführt wird, wird eine DDR erstellt, die die aktuellen Informationen des Clients enthält. Der Client kopiert diese kleine Datei dann an einen Verwaltungspunkt, damit sie von einem primären Standort verarbeitet werden kann. Die Datei ist etwa 1 KB groß und enthält die folgenden Informationen:
Netzwerkadresse
NetBIOS-Name
Version des Client-Agents
Details zu betriebsbezogenen status
Die Frequenzermittlung ist die einzige Ermittlungsmethode, die Details zur Clientinstallation status bereitstellt. Dazu wird das Client-Attribut der Systemressource aktualisiert, um einen Wert auf Ja festzulegen.
Aktionen für die Frequenzermittlung werden auf dem Client in der Datei InventoryAgent.log im %Windir%\CCM\Logs Ordner protokolliert.
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren von Ermittlungsmethoden.
Netzwerkerkennung
Konfigurierbar: Ja
Standardmäßig aktiviert: Nein
Konten , die Sie zum Ausführen dieser Methode verwenden können:
- Computerkonto des Standortservers
Verwenden Sie diese Methode, um die Topologie Ihres Netzwerks zu ermitteln und Geräte in Ihrem Netzwerk zu ermitteln, die über eine IP-Adresse verfügen. Die Netzwerkermittlung durchsucht Ihr Netzwerk nach IP-fähigen Ressourcen, indem Sie die folgenden Quellen abfragen:
- Server, auf denen eine Microsoft-Implementierung von DHCP ausgeführt wird
- ARP-Caches (Address Resolution Protocol) in Netzwerkroutern
- SNMP-fähige Geräte
- Active Directory-Domänen
Bevor Sie die Netzwerkermittlung verwenden können, müssen Sie die Auszuführende Ermittlungsebene angeben. Außerdem konfigurieren Sie einen oder mehrere Ermittlungsmechanismen, die es der Netzwerkermittlung ermöglichen, Netzwerksegmente oder Geräte abzufragen. Sie können auch Einstellungen konfigurieren, mit denen Ermittlungsaktionen im Netzwerk gesteuert werden können. Schließlich definieren Sie einen oder mehrere Zeitpläne für die Ausführung der Netzwerkermittlung.
Damit diese Methode eine Ressource erfolgreich ermitteln kann, muss die Netzwerkermittlung die IP-Adresse und die Subnetzmaske der Ressource identifizieren. Die folgenden Methoden werden verwendet, um die Subnetzmaske eines Objekts zu identifizieren:
Router-ARP-Cache: Die Netzwerkermittlung fragt den ARP-Cache eines Routers ab, um Subnetzinformationen zu finden. In der Regel haben Daten in einem Router-ARP-Cache eine kurze Gültigkeitsdauer. Wenn die Netzwerkermittlung den ARP-Cache abfragt, verfügt der ARP-Cache daher möglicherweise nicht mehr über Informationen zum angeforderten Objekt.
DHCP: Die Netzwerkermittlung fragt jeden dhcp-Server ab, den Sie angeben, um die Geräte zu ermitteln, für die der DHCP-Server eine Lease bereitgestellt hat. Die Netzwerkermittlung unterstützt nur DHCP-Server, auf denen die Microsoft-Implementierung von DHCP ausgeführt wird.
SNMP-Gerät: Die Netzwerkermittlung kann ein SNMP-Gerät direkt abfragen. Damit die Netzwerkermittlung ein Gerät abfragen kann, muss auf dem Gerät ein lokaler SNMP-Agent installiert sein. Konfigurieren Sie außerdem die Netzwerkermittlung für die Verwendung des Communitynamens, den der SNMP-Agent verwendet.
Wenn die Ermittlung ein IP-adressierbares Objekt identifiziert und die Subnetzmaske des Objekts bestimmen kann, wird eine DDR für dieses Objekt erstellt. Da verschiedene Gerätetypen eine Verbindung mit dem Netzwerk herstellen, ermittelt die Netzwerkermittlung Ressourcen, die den Configuration Manager Client nicht unterstützen. Geräte, die ermittelt, aber nicht verwaltet werden können, umfassen beispielsweise Drucker und Router.
Die Netzwerkermittlung kann mehrere Attribute als Teil des erstellten Ermittlungsdatensatzes zurückgeben. Zu diesen Attributen gehören:
NetBIOS-Name
IP-Adressen
Ressourcendomäne
Systemrollen
SNMP-Communityname
MAC-Adressen
Die Netzwerkermittlungsaktivität wird in der Datei Netdisc.log auf InstallationPath>\Logs dem Standortserver aufgezeichnet, auf dem die Ermittlung ausgeführt wird.
Weitere Informationen zum Konfigurieren dieser Ermittlungsmethode finden Sie unter Konfigurieren von Ermittlungsmethoden.
Hinweis
Komplexe Netzwerke und Verbindungen mit geringer Bandbreite können dazu führen, dass die Netzwerkermittlung langsam ausgeführt wird und erheblichen Netzwerkdatenverkehr generiert wird. Führen Sie die Netzwerkermittlung nur aus, wenn die anderen Ermittlungsmethoden die Ressourcen, die Sie ermitteln müssen, nicht finden können. Verwenden Sie beispielsweise die Netzwerkermittlung, um Arbeitsgruppencomputer zu ermitteln. Andere Ermittlungsmethoden ermitteln keine Arbeitsgruppencomputer.
Ebenen der Netzwerkermittlung
Wenn Sie die Netzwerkermittlung konfigurieren, geben Sie eine von drei Ermittlungsebenen an:
| Ermittlungsebene | Details |
|---|---|
| Topologie | Diese Ebene ermittelt Router und Subnetze, identifiziert jedoch keine Subnetzmaske für Objekte. |
| Topologie und Client | Zusätzlich zur Topologie ermittelt diese Ebene potenzielle Clients wie Computer und Ressourcen wie Drucker und Router. Diese Ermittlungsebene versucht, die Subnetzmaske der gefundenen Objekte zu identifizieren. |
| Topologie, Client- und Clientbetriebssystem | Neben der Topologie und potenziellen Clients versucht diese Ebene, den Namen und die Version des Betriebssystems des Computers zu ermitteln. Diese Ebene verwendet Windows-Browser- und Windows-Netzwerkaufrufe. |
Mit jeder inkrementellen Ebene erhöht die Netzwerkermittlung die Aktivität und Die Netzwerkbandbreitennutzung. Berücksichtigen Sie den Netzwerkdatenverkehr, der generiert werden kann, bevor Sie alle Aspekte der Netzwerkermittlung aktivieren.
Wenn Sie beispielsweise die Netzwerkermittlung zum ersten Mal verwenden, können Sie nur mit der Topologieebene beginnen, um Ihre Netzwerkinfrastruktur zu identifizieren. Konfigurieren Sie dann die Netzwerkermittlung neu, um Objekte und deren Gerätebetriebssysteme zu ermitteln. Sie können auch Einstellungen konfigurieren, die die Netzwerkermittlung auf einen bestimmten Bereich von Netzwerksegmenten beschränken. Auf diese Weise ermitteln Sie Objekte an Netzwerkspeicherorten, die Sie benötigen, und vermeiden unnötigen Netzwerkdatenverkehr. Mit diesem Prozess können Sie auch Objekte von Edgeroutern oder von außerhalb Ihres Netzwerks ermitteln.
Optionen für die Netzwerkermittlung
Um die Netzwerkermittlung für die Suche nach IP-adressierbaren Geräten zu aktivieren, konfigurieren Sie eine oder mehrere dieser Optionen.
Hinweis
Die Netzwerkermittlung wird im Kontext des Computerkontos des Standortservers ausgeführt, auf dem die Ermittlung ausgeführt wird. Wenn das Computerkonto nicht über Berechtigungen für eine nicht vertrauenswürdige Domäne verfügt, können die Domänen- und DHCP-Serverkonfigurationen Ressourcen nicht ermitteln.
DHCP
Geben Sie jeden DHCP-Server an, den die Netzwerkermittlung abfragen soll. Die Netzwerkermittlung unterstützt nur DHCP-Server, auf denen die Microsoft-Implementierung von DHCP ausgeführt wird.
Die Netzwerkermittlung ruft Informationen mithilfe von Remoteprozeduraufrufen an die Datenbank auf dem DHCP-Server ab.
Die Netzwerkermittlung kann sowohl 32-Bit- als auch 64-Bit-DHCP-Server nach einer Liste von Geräten abfragen, die bei jedem Server registriert sind.
Damit die Netzwerkermittlung erfolgreich einen DHCP-Server abfragen kann, muss das Computerkonto des Servers, auf dem die Ermittlung ausgeführt wird, Mitglied der Gruppe DHCP-Benutzer auf dem DHCP-Server sein. Diese Zugriffsebene ist beispielsweise vorhanden, wenn eine der folgenden Anweisungen true ist.
Der angegebene DHCP-Server ist der DHCP-Server des Servers, auf dem die Ermittlung ausgeführt wird.
Der Computer, auf dem die Ermittlung ausgeführt wird, und der DHCP-Server befinden sich in derselben Domäne.
Zwischen dem Computer, auf dem die Ermittlung ausgeführt wird, und dem DHCP-Server besteht eine bidirektionale Vertrauensstellung.
Der Standortserver ist Mitglied der Gruppe DHCP-Benutzer.
Wenn die Netzwerkermittlung einen DHCP-Server aufzählt, werden nicht immer statische IP-Adressen ermittelt. Die Netzwerkermittlung findet keine IP-Adressen, die Teil eines ausgeschlossenen IP-Adressbereichs auf dem DHCP-Server sind. Außerdem werden keine IP-Adressen ermittelt, die für die manuelle Zuweisung reserviert sind.
Domänen
Geben Sie jede Domäne an, die von der Netzwerkermittlung abfragt werden soll.
Das Computerkonto des Standortservers, auf dem die Ermittlung ausgeführt wird, muss über Berechtigungen zum Lesen der Domänencontroller in jeder angegebenen Domäne verfügen.
Um Computer aus der lokalen Domäne zu ermitteln, müssen Sie den Computerbrowserdienst auf mindestens einem Computer aktivieren. Dieser Computer muss sich im selben Subnetz wie der Standortserver befinden, auf dem die Netzwerkermittlung ausgeführt wird.
Die Netzwerkermittlung kann jeden Computer ermitteln, den Sie auf Ihrem Standortserver anzeigen können, wenn Sie das Netzwerk durchsuchen.
Die Netzwerkermittlung ruft die IP-Adresse ab. Anschließend wird eine ICMP-Echoanforderung (Internet Control Message Protocol) verwendet, um jedes gefundene Gerät zu pingen. Der ping-Befehl hilft dabei, zu bestimmen, welche Computer derzeit aktiv sind.
SNMP-Geräte
Geben Sie jedes SNMP-Gerät an, das die Netzwerkermittlung abfragen soll.
Die Netzwerkermittlung ruft den
ipNetToMediaTableWert von jedem SNMP-Gerät ab, das auf die Abfrage antwortet. Dieser Wert gibt Arrays von IP-Adressen zurück, bei denen es sich um Clientcomputer oder andere Ressourcen wie Drucker, Router oder andere IP-adressierbare Geräte handelt.Um ein Gerät abzufragen, müssen Sie die IP-Adresse oder den NetBIOS-Namen des Geräts angeben.
Konfigurieren Sie die Netzwerkermittlung so, dass der Communityname des Geräts verwendet wird, oder das Gerät lehnt die SNMP-basierte Abfrage ab.
Einschränken der Netzwerkermittlung
Wenn die Netzwerkermittlung ein SNMP-Gerät am Rand Ihres Netzwerks abfragt, kann es Informationen zu Subnetzen und SNMP-Geräten identifizieren, die sich außerhalb Ihres unmittelbaren Netzwerks befinden. Verwenden Sie die folgenden Informationen, um die Netzwerkermittlung einzuschränken, indem Sie die SNMP-Geräte konfigurieren, mit denen die Ermittlung kommunizieren kann, und indem Sie die abzufragenden Netzwerksegmente angeben.
Subnetze
Konfigurieren Sie die Subnetze, die die Netzwerkermittlung abfragt, wenn die SNMP- und DHCP-Optionen verwendet werden. Mit diesen beiden Optionen werden nur die aktivierten Subnetze gesucht.
Beispielsweise kann eine DHCP-Anforderung Geräte von Standorten im gesamten Netzwerk zurückgeben. Wenn Sie nur Geräte in einem bestimmten Subnetz ermitteln möchten, geben Sie dieses bestimmte Subnetz auf der Registerkarte Subnetze im Dialogfeld Netzwerkermittlungseigenschaften an, und aktivieren Sie es. Wenn Sie Subnetze angeben und aktivieren, beschränken Sie zukünftige DHCP- und SNMP-Ermittlungsaufgaben auf diese Subnetze.
Hinweis
Subnetzkonfigurationen beschränken nicht die Objekte, die von der Domänenermittlungsoption erkannt werden.
SNMP-Communitynamen
Damit die Netzwerkermittlung erfolgreich ein SNMP-Gerät abfragen kann, konfigurieren Sie die Netzwerkermittlung mit dem Communitynamen des Geräts. Wenn die Netzwerkermittlung nicht mithilfe des Communitynamens des SNMP-Geräts konfiguriert ist, lehnt das Gerät die Abfrage ab.
Maximale Anzahl von Hops
Wenn Sie die maximale Anzahl von Routerhops konfigurieren, beschränken Sie die Anzahl der Netzwerksegmente und Router, die die Netzwerkermittlung mithilfe von SNMP abfragen kann.
Die Anzahl der Hops, die Sie konfigurieren, schränkt die Anzahl der Geräte und Netzwerksegmente ein, die die Netzwerkermittlung abfragen kann.
Eine reine Topologieermittlung mit 0 (null) Routerhops ermittelt beispielsweise das Subnetz, in dem sich der ursprüngliche Server befindet. Es enthält alle Router in diesem Subnetz.
Das folgende Diagramm zeigt, was eine reine Topologie-Netzwerkermittlungsabfrage findet, wenn sie auf Server 1 mit angegeben 0 Routerhops ausgeführt wird: Subnetz D und Router 1.
Das folgende Diagramm zeigt, was eine Topologie- und Clientnetzwerkermittlungsabfrage findet, wenn sie auf Server 1 mit den angegebenen 0 Routerhops ausgeführt wird: Subnetz D und Router 1 sowie alle potenziellen Clients im Subnetz D.
Um eine bessere Vorstellung davon zu erhalten, wie mehr Routerhops die Menge der ermittelten Netzwerkressourcen erhöhen können, betrachten Sie das folgende Netzwerk:
Beim Ausführen einer reinen Topologie-Netzwerkermittlung von Server 1 mit einem Routerhop werden die folgenden Entitäten ermittelt:
Router 1 und Subnetz 10.1.10.0 (gefunden mit null Hops)
Subnetze 10.1.20.0 und 10.1.30.0, Subnetz A und Router 2 (auf dem ersten Hop gefunden)
Warnung
Jede Erhöhung der Anzahl der Routerhops kann die Anzahl der auffindbaren Ressourcen erheblich erhöhen und die von der Netzwerkermittlung genutzte Netzwerkbandbreite erhöhen.
Serverermittlung
Konfigurierbar: Nein
Zusätzlich zu den vom Benutzer konfigurierbaren Ermittlungsmethoden verwendet Configuration Manager einen Prozess namens Serverermittlung (SMS_WINNT_SERVER_DISCOVERY_AGENT). Diese Ermittlungsmethode erstellt Ressourcendatensätze für Computer, die Standortsysteme sind, z. B. einen Computer, der als Verwaltungspunkt konfiguriert ist.
Allgemeine Features der Active Directory-Gruppenermittlung, Systemermittlung und Benutzerermittlung
Dieser Abschnitt enthält Informationen zu Features, die den folgenden Ermittlungsmethoden gemeinsam sind:
Active Directory-Gruppenermittlung
Active Directory-Systemermittlung
Active Directory-Benutzerermittlung
Hinweis
Die Informationen in diesem Abschnitt gelten nicht für die Active Directory-Gesamtstrukturermittlung.
Diese drei Ermittlungsmethoden sind in Konfiguration und Vorgang ähnlich. Sie können Computer, Benutzer und Informationen zu Gruppenmitgliedschaften von Ressourcen ermitteln, die in Active Directory Domain Services gespeichert sind. Der Ermittlungsprozess wird von einem Ermittlungs-Agent verwaltet. Der Agent wird auf dem Standortserver an jedem Standort ausgeführt, an dem die Ermittlung für die Ausführung konfiguriert ist. Sie können jede dieser Ermittlungsmethoden konfigurieren, um einen oder mehrere Active Directory-Standorte als Standortinstanzen in der lokalen Gesamtstruktur oder in Remotegesamtstrukturen zu durchsuchen.
Wenn die Ermittlung eine nicht vertrauenswürdige Gesamtstruktur nach Ressourcen durchsucht, muss der Ermittlungs-Agent folgendes auflösen können, um erfolgreich zu sein:
Um eine Computerressource mithilfe der Active Directory-Systemermittlung zu ermitteln, muss der Ermittlungs-Agent in der Lage sein, den FQDN der Ressource aufzulösen. Wenn der FQDN nicht aufgelöst werden kann, wird versucht, die Ressource anhand ihres NetBIOS-Namens aufzulösen.
Um eine Benutzer- oder Gruppenressource mithilfe der Active Directory-Benutzerermittlung oder der Active Directory-Gruppenermittlung zu ermitteln, muss der Ermittlungs-Agent in der Lage sein, den FQDN des Domänencontrollernamens aufzulösen, den Sie für den Active Directory-Speicherort angeben.
Für jeden speicherort, den Sie angeben, können Sie einzelne Suchoptionen konfigurieren, z. B. aktivieren Sie eine rekursive Suche der untergeordneten Active Directory-Container des Standorts. Sie können auch ein eindeutiges Konto konfigurieren, das bei der Suche an diesem Standort verwendet werden soll. Dieses Konto bietet Flexibilität beim Konfigurieren einer Ermittlungsmethode an einem Standort, um mehrere Active Directory-Standorte in mehreren Gesamtstrukturen zu durchsuchen. Sie müssen kein einzelnes Konto konfigurieren, das über Berechtigungen für alle Standorte verfügt.
Wenn jede dieser drei Ermittlungsmethoden an einem bestimmten Standort ausgeführt wird, kontaktiert der Configuration Manager Standortserver an diesem Standort den nächstgelegenen Domänencontroller in der angegebenen Active Directory-Gesamtstruktur, um Active Directory-Ressourcen zu finden. Domäne und Gesamtstruktur können sich in jedem unterstützten Active Directory-Modus befinden. Das Konto, das Sie jedem Standort instance zuweisen, muss über lesezugriffsberechtigungen für die angegebenen Active Directory-Standorte verfügen.
Die Ermittlung durchsucht die angegebenen Speicherorte nach Objekten und versucht dann, Informationen zu diesen Objekten zu sammeln. Ein DDR wird erstellt, wenn ausreichende Informationen zu einer Ressource identifiziert werden können. Die erforderlichen Informationen variieren je nach verwendeter Ermittlungsmethode.
Wenn Sie dieselbe Ermittlungsmethode für die Ausführung an verschiedenen Configuration Manager Standorten konfigurieren, um lokale Active Directory-Server abzufragen, können Sie jeden Standort mit eindeutigen Ermittlungsoptionen konfigurieren. Da Ermittlungsdaten für jeden Standort in der Hierarchie freigegeben werden, vermeiden Sie Überschneidungen zwischen diesen Konfigurationen, um jede Ressource effizient ein einziges Mal zu ermitteln.
Für kleinere Umgebungen sollten Sie jede Ermittlungsmethode nur an einem Standort in Ihrer Hierarchie ausführen. Diese Konfiguration reduziert den Verwaltungsaufwand und das Potenzial mehrerer Ermittlungsaktionen, um dieselben Ressourcen wiederzuentdecken. Wenn Sie die Anzahl der Standorte minimieren, an denen die Ermittlung ausgeführt wird, verringern Sie die gesamte Netzwerkbandbreite, die von der Ermittlung verwendet wird. Sie können auch die Gesamtanzahl der DDRs reduzieren, die von Ihren Standortservern erstellt werden und verarbeitet werden müssen.
Viele der Konfigurationen der Ermittlungsmethoden sind selbsterklärend. In den folgenden Abschnitten erfahren Sie mehr über die Ermittlungsoptionen, die möglicherweise zusätzliche Informationen benötigen, bevor Sie sie konfigurieren.
Die folgenden Optionen stehen für die Verwendung mit mehreren Active Directory-Ermittlungsmethoden zur Verfügung:
Deltaermittlung
Verfügbar für:
Active Directory-Gruppenermittlung
Active Directory-Systemermittlung
Active Directory-Benutzerermittlung
Die Deltaermittlung ist keine unabhängige Ermittlungsmethode, sondern eine Option, die für die entsprechenden Ermittlungsmethoden verfügbar ist. Die Deltaermittlung durchsucht bestimmte Active Directory-Attribute nach Änderungen, die seit dem letzten vollständigen Ermittlungszyklus der anwendbaren Ermittlungsmethode vorgenommen wurden. Die Attributänderungen werden an die Configuration Manager Datenbank übermittelt, um den Ermittlungsdatensatz der Ressource zu aktualisieren.
Standardmäßig wird die Deltaermittlung in einem Fünf-Minuten-Zyklus ausgeführt. Dieser Zeitplan ist viel häufiger als der typische Zeitplan für einen vollständigen Ermittlungszyklus. Dieser häufige Zyklus ist möglich, da bei der Deltaermittlung weniger Standortserver- und Netzwerkressourcen als bei einem vollständigen Ermittlungszyklus verwendet werden. Wenn Sie die Deltaermittlung verwenden, können Sie die Häufigkeit des vollständigen Ermittlungszyklus für diese Ermittlungsmethode reduzieren.
Im Folgenden finden Sie die häufigsten Änderungen, die bei der Deltaermittlung erkannt werden:
Neue Computer oder Benutzer, die Zu Active Directory hinzugefügt wurden
Änderungen an grundlegenden Computer- und Benutzerinformationen
Neue Computer oder Benutzer, die einer Gruppe hinzugefügt werden
Computer oder Benutzer, die aus einer Gruppe entfernt werden
Änderungen an Systemgruppenobjekten
Obwohl die Deltaermittlung neue Ressourcen und Änderungen an der Gruppenmitgliedschaft erkennen kann, kann sie nicht erkennen, wann eine Ressource aus Active Directory gelöscht wurde. DDRs, die durch die Deltaermittlung erstellt werden, werden ähnlich wie die DDRs verarbeitet, die von einem vollständigen Ermittlungszyklus erstellt werden.
Sie konfigurieren die Deltaermittlung auf der Registerkarte Abrufzeitplan in den Eigenschaften für jede Ermittlungsmethode.
Filtern veralteter Computerdatensätze nach Domänenanmeldung
Verfügbar für:
Active Directory-Gruppenermittlung
Active Directory-Systemermittlung
Sie können die Ermittlung so konfigurieren, dass Computer mit einem veralteten Computerdatensatz ausgeschlossen werden. Dieser Ausschluss basiert auf der letzten Domänenanmeldung des Computers. Wenn diese Option aktiviert ist, wertet die Active Directory-Systemermittlung jeden identifizierten Computer aus. Die Active Directory-Gruppenermittlung wertet jeden Computer aus, der Mitglied einer ermittelten Gruppe ist.
So verwenden Sie diese Option:
Computer müssen so konfiguriert werden, dass das
lastLogonTimeStampAttribut in Active Directory Domain Services aktualisiert wird.Die Active Directory-Domänenfunktionsebene muss auf Windows Server 2003 oder höher festgelegt werden.
Wenn Sie die Zeit nach der letzten Anmeldung konfigurieren, die Sie für diese Einstellung verwenden möchten, sollten Sie das Intervall für die Replikation zwischen Domänencontrollern berücksichtigen.
Sie konfigurieren die Filterung auf der Registerkarte Option in den Dialogfeldern Eigenschaften der Active Directory-Systemermittlung und Eigenschaften der Active Directory-Gruppenermittlung . Wählen Sie Nur Computer ermitteln aus, die sich in einem bestimmten Zeitraum bei einer Domäne angemeldet haben.
Warnung
Wenn Sie diesen Filter konfigurieren und veraltete Datensätze nach Computerkennwort filtern, schließt die Ermittlung Computer aus, die die Kriterien eines der filter erfüllen.
Filtern veralteter Datensätze nach Computerkennwort
Verfügbar für:
Active Directory-Gruppenermittlung
Active Directory-Systemermittlung
Sie können die Ermittlung so konfigurieren, dass Computer mit einem veralteten Computerdatensatz ausgeschlossen werden. Dieser Ausschluss basiert auf der letzten Aktualisierung des Computerkontokennworts durch den Computer. Wenn diese Option aktiviert ist, wertet die Active Directory-Systemermittlung jeden identifizierten Computer aus. Die Active Directory-Gruppenermittlung wertet jeden Computer aus, der Mitglied einer ermittelten Gruppe ist.
So verwenden Sie diese Option:
- Computer müssen so konfiguriert werden, dass das
pwdLastSetAttribut in Active Directory Domain Services aktualisiert wird.
Berücksichtigen Sie beim Konfigurieren dieser Option das Intervall für Updates dieses Attributs. Berücksichtigen Sie auch das Replikationsintervall zwischen Domänencontrollern.
Sie konfigurieren die Filterung auf der Registerkarte Option in den Dialogfeldern Eigenschaften der Active Directory-Systemermittlung und Eigenschaften der Active Directory-Gruppenermittlung . Wählen Sie Nur Computer ermitteln aus, die ihr Computerkontokennwort in einem bestimmten Zeitraum aktualisiert haben.
Warnung
Wenn Sie diesen Filter konfigurieren und veraltete Datensätze nach Domänenanmeldung filtern, schließt die Ermittlung Computer aus, die die Kriterien eines der filter erfüllen.
Benutzerdefinierte Active Directory-Attribute durchsuchen
Verfügbar für:
Active Directory-Systemermittlung
Active Directory-Benutzerermittlung
Jede Ermittlungsmethode unterstützt eine eindeutige Liste von Active Directory-Attributen, die ermittelt werden können.
Sie können die Liste der benutzerdefinierten Attribute auf der Registerkarte Active Directory-Attribute in den Dialogfeldern Eigenschaften der Active Directory-Systemermittlung und Active Directory-Benutzerermittlung anzeigen und konfigurieren.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für