• Artikel

Bestimmen, ob das Active Directory-Schema für Configuration Manager erweitert werden soll

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Durch die Erweiterung des Active Directory-Schemas für System Center 2012 Configuration Manager werden Standortinformationen in den Active Directory-Domänendiensten veröffentlicht. Das Erweitern des Active Directory-Schemas ist optional für Configuration Manager. Allerdings können durch das Erweitern des Schemas alle Funktionen von Configuration Manager mit minimalem Verwaltungsaufwand genutzt werden.

Sie können das Active Directory-Schema vor und nach dem Ausführen von Configuration Manager-Setup erweitern.

Überlegungen zum Erweitern des Active Directory-Schemas für Configuration Manager

Die Active Directory-Schemaerweiterungen für System Center 2012 Configuration Manager (und spätere Versionen wie SP1 oder R2) unterscheiden sich nicht von den Erweiterungen, die von Configuration Manager 2007 verwendet werden. Wenn das Schema für Configuration Manager 2007 erweitert wurde, ist eine erneute Erweiterung des Schemas für System Center 2012 Configuration Manager nicht erforderlich.

Ebenso ist keine erneute Erweiterung des Schemas für eine spätere Version von System Center 2012 Configuration Manager erforderlich, wenn das Schema bereits für eine Configuration Manager-Version erweitert wurde.

Die Erweiterung des Active Directory-Schemas ist eine gesamtstrukturübergreifende Aktion und kann pro Gesamtstruktur nur einmal ausgeführt werden. Die Schemaerweiterung kann nicht rückgängig gemacht werden und muss von einem Mitglied der Gruppe Schema-Admins oder einem Benutzer mit den erforderlichen Berechtigungen zum Ändern des Schemas ausgeführt werden. Sie können das Active Directory-Schema vor und nach dem Setup erweitern.

Es sind vier Aktionen erforderlich, damit Configuration Manager-Clients Active Directory-Domänendienste erfolgreich nach den Speicherorten von Standortressourcen abfragen können:

  • Erweitern des Active Directory-Schemas

  • Erstellen des System Management-Containers

  • Festlegen der Sicherheitsberechtigungen im System Management-Container

  • Aktivieren der Active Directory-Veröffentlichung für den Configuration Manager-Standort

Informationen zum Erweitern des Schemas, Erstellen des System Management-Containers und Konfigurieren von Sicherheitsberechtigungen für den Container finden Sie im Abschnitt Vorbereiten von Active Directory für Configuration Manager des Themas Vorbereiten der Windows-Umgebung für Configuration Manager. Weitere Informationen zum Aktivieren der Veröffentlichung für Configuration Manager-Standorte finden Sie unter Planen der Veröffentlichung von Standortdaten in Active Directory-Domänendiensten.

Mobile Geräte, die über den Exchange Server-Connector verwaltet werden, und die folgenden Clients nutzen keine Active Directory-Schemaerweiterungen für Configuration Manager:

  • Client für Macintosh-Computer

  • Client für Linux- und UNIX-Server

  • Mobile Geräte, die mithilfe von Configuration Manager angemeldet werden

  • Mobile Geräte, die mithilfe von Microsoft Intune angemeldet werden

  • Legacyclients für mobile Geräte

  • Windows-Clients, die für die rein internetbasierte Clientverwaltung konfiguriert sind

  • Windows-Clients, die von Configuration Manager im Internet erkannt werden

In der folgenden Tabelle sind Configuration Manager-Funktionen aufgelistet, bei denen ein für Configuration Manager erweitertes Active Directory-Schema verwendet wird. Darüber hinaus sind mögliche Problemumgehungen angegeben, falls das Schema nicht erweitert werden kann.

Funktionalität

Active Directory

Details

Clientcomputerinstallation und Standortzuweisung

Optional

Wenn ein neuer Configuration Manager-Windows-Client installiert wird, können die Active Directory-Domänendienste vom Client nach Installationseigenschaften durchsucht werden. Wenn Sie das Schema nicht erweitern, müssen Sie eine der folgenden Problemumgehungen verwenden, um für die Installation auf Computern erforderliche Konfigurationsdaten bereitzustellen:

  • Verwenden der Clientpushinstallation: Bevor Sie die Clientinstallationsmethode verwenden, müssen alle Voraussetzungen erfüllt sein. Weitere Informationen finden Sie im Abschnitt „Installationsmethodenabhängigkeiten“ unter Voraussetzungen für Computerclients.

  • Manuelles Installieren von Clients und Bereitstellen von Installationseigenschaften über die CCMSetup-Befehlszeileneigenschaften für die Installation: Dies umfasst folgende Aktionen:

    • Angeben eines Verwaltungspunkts oder Quellpfads zum Herunterladen der Installationsdateien über die CCMSetup-Befehlszeile während der Clientinstallation (CCMSetup-Eigenschaft /mp:=<Computername des Verwaltungspunkts> bzw. /source:<Pfad für die Clientquelldateien>)

    • Geben Sie eine Liste von ersten Verwaltungspunkten an, die vom Client verwendet werden, damit eine Zuordnung zum Standort möglich ist und die Clientrichtlinie sowie die Standorteinstellungen heruntergeladen werden können. Zu diesem Zweck verwenden Sie die „CCMSetup Client.msi“-Eigenschaft „SMSMP“.

  • Veröffentlichen des Verwaltungspunkts in DNS oder WINS und Konfigurieren von Clients für die Verwendung dieser Dienstidentifizierungsmethode

Portkonfiguration für die Kommunikation zwischen Client und Server

Optional

Wenn ein Client installiert wird, wird er mit Portinformationen konfiguriert. Wenn Sie den Port für die Kommunikation zwischen Client und Server für einen Standort später ändern, kann ein Client diesen neuen Port von den Active Directory-Domänendiensten abrufen. Wenn Sie das Schema nicht erweitern, müssen Sie eine der folgenden Problemumgehungen verwenden, um die neue Portkonfiguration für vorhandene Clients bereitzustellen:

  • Installieren Sie die Clients erneut, und konfigurieren Sie sie für die Verwendung der neuen Portinformationen.

  • Stellen Sie ein Skript zum Update der Portinformationen auf den Clients bereit. Wenn aufgrund der Portänderung die Kommunikation von Clients mit einem Standort nicht möglich ist, müssen Sie dieses Skript extern für Configuration Manager bereitstellen. Sie könnten beispielsweise Gruppenrichtlinien verwenden.

Netzwerkzugriffsschutz

Erforderlich

Mit Configuration Manager werden Integritätszustandsreferenzen in Active Directory-Domänendiensten veröffentlicht, sodass die Überprüfung des SoH durch den Systemintegritätsprüfungspunkt möglich ist.

Szenarien für die Bereitstellung von Inhalten

Optional

Wenn Sie Inhalte auf einem Standort erstellen und dann auf einem anderen Standort in der Hierarchie bereitstellen, muss der Zielstandort in der Lage sein, die Signatur der signierten Inhaltsdaten zu überprüfen. Dazu ist der Zugriff auf den öffentlichen Schlüssel des Quellstandorts erforderlich, auf dem die Daten erstellt wurde.

Wenn Sie das Active Directory-Schema für Configuration Manager erweitern, wird der öffentliche Schlüssel eines Standorts allen Standorten in der Hierarchie zur Verfügung gestellt. Wenn Sie das Active Directory-Schema nicht erweitern, können Sie die gesicherten Schlüsselinformationen mithilfe des Hierarchieverwaltungstools, preinst.exe, zwischen Standorten austauschen.

Wenn Sie beispielsweise planen, Inhalte auf einem primären Standort zu erstellen und diese dann auf einem sekundären Standort unterhalb eines anderen primären Standorts bereitzustellen, müssen Sie entweder das Active Directory-Schema erweitern, damit der öffentliche Schlüssel des primären Quellstandorts durch den sekundären Standort abgerufen werden kann, oder die Schlüssel mithilfe von preinst.exe direkt zwischen beiden Standorten freigeben.

Attribute und Klassen, die von den Configuration Manager-Schemaerweiterungen hinzugefügt werden

Beim Erweitern des Schemas für Configuration Manager werden mehrere Klassen und Attribute hinzugefügt, die von jedem Configuration Manager-Standort in der Active Directory-Gesamtstruktur verwendet werden können. Da der globale Katalog überall in der Gesamtstruktur repliziert wird, müssen Sie den möglicherweise dabei generierten Netzwerkverkehr berücksichtigen. Bei Windows 2000-Gesamtstrukturen führt das Erweitern des Schemas zu einer vollständigen Synchronisierung des gesamten globalen Katalogs. Bei Gesamtstrukturen ab Windows 2003 werden nur die neu hinzugefügten Attribute repliziert. Erweitern Sie das Schema in einem Zeitraum, in dem die Replikationsaktivitäten keine negativen Auswirkungen auf andere vom Netzwerk abhängige Prozesse haben.

Wenn Sie das Active Directory-Schema für System Center 2012 Configuration Manager erweitern, werden den Active Directory-Domänendiensten folgende Attribute und Klassen hinzugefügt:

  • Attribute:

    • cn=mS-SMS-Assignment-Site-Code

    • cn=mS-SMS-Capabilities

    • cn=MS-SMS-Default-MP

    • cn=mS-SMS-Device-Management-Point

    • cn=mS-SMS-Health-State

    • cn=MS-SMS-MP-Address

    • cn=MS-SMS-MP-Name

    • cn=MS-SMS-Ranged-IP-High

    • cn=MS-SMS-Ranged-IP-Low

    • cn=MS-SMS-Roaming-Boundaries

    • cn=MS-SMS-Site-Boundaries

    • cn=MS-SMS-Site-Code

    • cn=mS-SMS-Source-Forest

    • cn=mS-SMS-Version

  • Klassen:

    • cn=MS-SMS-Management-Point

    • cn=MS-SMS-Roaming-Boundary-Range

    • cn=MS-SMS-Server-Locator-Point

    • cn=MS-SMS-Site

System_CAPS_noteHinweis

Die Active Directory-Schemaerweiterungen können Attribute und Klassen enthalten, die aus vorherigen Versionen des Produkts übernommen wurden, aber von Microsoft System Center 2012 Configuration Manager nicht verwendet werden. Beispiel:

  • Attribut: cn=MS-SMS-Site-Boundaries

  • Klasse: cn=MS-SMS-Server-Locator-Point

Überprüfen Sie die Datei System Center 2012 Configuration Manager, die sich im Ordner ConfigMgr_ad_schema.LDF des \SMSSETUP\BIN\x64-Installationsmediums befindet, um sicherzustellen, dass diese Listen für Ihre Version von System Center 2012 Configuration Manager aktuell sind.