Unterstützung für Active Directory-Domänen in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Alle Configuration Manager Standortsysteme müssen Mitglieder einer unterstützten Active Directory-Domäne sein. Configuration Manager Clientcomputer können Domänenmitglieder oder Arbeitsgruppenmitglieder sein.
Anforderungen und Einschränkungen
Die Domänenmitgliedschaft gilt auch für Standortsysteme, die die internetbasierte Clientverwaltung in einem Umkreisnetzwerk unterstützen. (Diese Netzwerke werden auch als DMZ, demilitarisierte Zone und überprüftes Subnetz bezeichnet.)
Es wird nicht unterstützt, die folgenden Konfigurationen für einen Computer zu ändern, der eine Standortsystemrolle hostet:
Domänenmitgliedschaft, einschließlich, wenn Sie ein Standortsystem aus der Domäne entfernen und dann erneut derselben Domäne beitreten.
Domänenname
Name des Computers
Bevor Sie diese Änderungen vornehmen, deinstallieren Sie die Standortsystemrolle. Um diese Änderungen an einem Standortserver vorzunehmen, deinstallieren Sie zuerst den Standort. Sie können auch erwägen, einen Standortserver im passiven Modus zu erstellen, um diese Änderung auf einem Standortserver zu verwalten.
Configuration Manager unterstützt die Domänen- und Gesamtstrukturfunktionsebene von Windows Server 2008 R2 oder höher.
Nicht zusammenhängender Namespace
Sie können Configuration Manager Standortsysteme und -clients in einer Domäne mit einem nicht zusammenhängenden Namespace installieren.
In einem nicht zusammenhängenden Namespace stimmt das primäre DNS-Suffix eines Computers nicht mit dem Active Directory-DNS-Domänennamen dieses Computers überein. Ein weiteres nicht zusammenhängendes Namespaceszenario tritt auf, wenn der NetBIOS-Domänenname eines Domänencontrollers nicht mit dem Active Directory-DNS-Domänennamen übereinstimmt.
Nicht zusammenhängende Szenarien
In den folgenden Abschnitten werden die unterstützten Szenarien für einen nicht zusammenhängenden Namespace beschrieben.
Szenario 1
Das primäre DNS-Suffix des Domänencontrollers unterscheidet sich vom Active Directory-DNS-Domänennamen. Computer, die Mitglieder der Domäne sind, können entweder zusammenhängend oder nicht zusammenhängend sein.
Der Domänencontroller ist in diesem Szenario disjunkt. Computer, die Mitglieder der Domäne sind, z. B. Standortserver und Computer, können ein primäres DNS-Suffix aufweisen, das mit folgendem übereinstimmt:
- Das primäre DNS-Suffix des Domänencontrollers
- Der Active Directory-DNS-Domänenname
Szenario 2
Ein Mitgliedscomputer in einer Active Directory-Domäne ist getrennt, auch wenn der Domänencontroller nicht getrennt ist.
In diesem Szenario unterscheidet sich das primäre DNS-Suffix eines Standortsystems vom Active Directory-DNS-Domänennamen. Das primäre DNS-Suffix des Domänencontrollers entspricht dem Active Directory-DNS-Domänennamen. Mitgliedscomputer, die Configuration Manager Clients sind, können über ein primäres DNS-Suffix verfügen, das mit folgendem übereinstimmt:
- Das primäre DNS-Suffix des nicht zusammenhängenden Standortsystemservers
- Der Active Directory-DNS-Domänenname
Konfigurieren eines nicht zusammenhängenden Namespaces
Damit ein Computer auf nicht zusammenhängende Domänencontroller zugreifen kann, ändern Sie das Active Directory-Attribut msDS-AllowedDNSSuffixes im Domänenobjektcontainer. Fügen Sie dem Attribut beide DNS-Suffixe hinzu.
Um sicherzustellen, dass die Dns-Suffixsuchliste alle DNS-Namespaces in der Organisation enthält, konfigurieren Sie die Suchliste für jeden Computer in der nicht zusammenhängenden Domäne. Fügen Sie die folgenden Suffixe in die Liste der Namespaces ein:
- Das primäre DNS-Suffix des Domänencontrollers
- Der DNS-Domänenname
- Alle zusätzlichen Namespaces für andere Server, mit denen Configuration Manager kommunizieren können
Sie können gruppenrichtlinien verwenden, um die Dns-Suffixsuchliste (Domain Name System) zu konfigurieren.
Wichtig
Wenn Sie in Configuration Manager auf einen Computer verweisen, geben Sie den Computer mit dessen primärem DNS-Suffix ein. Dieses Suffix sollte dem vollqualifizierten Domänennamen entsprechen, der als attribut dnsHostName in der Active Directory-Domäne registriert ist, und dem Dienstprinzipalnamen, der dem System zugeordnet ist.
Einteilige Domänen
Configuration Manager unterstützt Standortsysteme und Clients in einer Domäne mit nur einer Bezeichnung, wenn die folgenden Kriterien erfüllt sind:
Konfigurieren Sie die Einzelbezeichnungsdomäne in Active Directory Domain Services mit einem nicht zusammenhängenden DNS-Namespace, der über eine gültige Domäne der obersten Ebene verfügt.
Zum Beispiel: Die Domäne mit nur einer Bezeichnung von Contoso ist für einen nicht zusammenhängenden Namespace im DNS von contoso.com konfiguriert. Wenn Sie das DNS-Suffix in Configuration Manager für einen Computer in der Domäne Contoso angeben, geben Sie "Contoso.com" und nicht "Contoso" an.
Die DCOM-Verbindungen (Distributed Component Object Model) zwischen Standortservern im Systemkontext müssen mithilfe der Kerberos-Authentifizierung erfolgreich sein.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für