Compatibilidad con los dominios de Active Directory en Configuration ManagerSupport for Active Directory domains in Configuration Manager

Se aplica a: Configuration Manager (rama actual)Applies to: Configuration Manager (current branch)

Todos los sistemas de sitio de Configuration Manager deben ser miembros de un dominio de Active Directory compatible.All Configuration Manager site systems must be members of a supported Active Directory domain. Los equipos cliente de Configuration Manager pueden ser miembros del dominio o miembros del grupo de trabajo.Configuration Manager client computers can be domain members or workgroup members.

Limitaciones y requisitosRequirements and limitations

  • La pertenencia a un dominio también se aplica a los sistemas de sitio que admiten la administración de cliente basada en Internet en una red perimetral.Domain membership also applies to site systems that support internet-based client management in a perimeter network. (Estas redes también se conocen como DMZ, zona desmilitarizada y subred filtrada).(These networks are also known as a DMZ, demilitarized zone, and screened subnet).

  • No se permite cambiar las configuraciones siguientes en un equipo que hospeda un rol de sistema de sitio:It's not supported to change the following configurations for a computer that hosts a site system role:

    • Pertenencia a dominio, incluido si se quita un sistema de sitio del dominio y se vuelve a unir al mismo dominio.Domain membership, including if you remove a site system from the domain, and then rejoin the same domain.

    • Nombre de dominioDomain name

    • Nombre del equipoComputer name

    Antes de realizar estos cambios, desinstale el rol de sistema de sitio.Before making these changes, uninstall the site system role. Para realizar estos cambios en un servidor de sitio, desinstale primero el sitio.To make these changes to a site server, uninstall the site first. También puede crear un servidor de sitio en modo pasivo para ayudar a administrar este cambio en un servidor de sitio.You can also consider creating a site server in passive mode to help manage this change on a site server.

  • Configuration Manager admite el nivel funcional de dominio y de bosque de Windows Server 2008 R2 o versiones posteriores.Configuration Manager supports domain and forest functional level of Windows Server 2008 R2 or later.

Espacio de nombres no contiguoDisjoint namespace

Se pueden instalar clientes y sistemas de sitio de Configuration Manager en un dominio que tenga un espacio de nombres separado.You can install Configuration Manager site systems and clients in a domain that has a disjoint namespace.

En un espacio de nombres separado, el sufijo DNS principal de un equipo no coincide con el nombre de dominio DNS de Active Directory de ese equipo.In a disjoint namespace, the primary DNS suffix of a computer doesn't match the Active Directory DNS domain name of that computer. Otro escenario de espacio de nombres separado se produce si el nombre de dominio NetBIOS de un controlador de dominio no coincide con el nombre de dominio DNS de Active Directory.Another disjoint namespace scenario occurs if the NetBIOS domain name of a domain controller doesn't match the Active Directory DNS domain name.

Escenarios separadosDisjoint scenarios

En las secciones siguientes se identifican los escenarios admitidos para un espacio de nombres separado.The following sections identify the supported scenarios for a disjoint namespace.

Escenario 1Scenario 1

El sufijo DNS principal del controlador de dominio difiere del nombre de dominio DNS de Active Directory.The primary DNS suffix of the domain controller differs from the Active Directory DNS domain name. Los equipos que son miembros del dominio pueden estar separados o no separados.Computers that are members of the domain can be either disjoint or not disjoint.

El controlador de dominio está separado en este escenario.The domain controller is disjoint in this scenario. Los equipos que son miembros del dominio, como servidores de sitio y equipos, pueden tener un sufijo DNS principal que coincida con lo siguiente:Computers that are members of the domain, such as site servers and computers, can have a primary DNS suffix that either matches:

  • El sufijo DNS principal del controlador de dominioThe primary DNS suffix of the domain controller
  • El nombre de dominio DNS de Active DirectoryThe Active Directory DNS domain name

Escenario 2Scenario 2

Un equipo miembro en un dominio de Active Directory es separado, aun cuando el controlador de dominio no es separado.A member computer in an Active Directory domain is disjoint, even though the domain controller isn't disjoint.

En este escenario, el sufijo DNS principal de un sistema de sitio difiere del nombre de dominio DNS de Active Directory.In this scenario, the primary DNS suffix of a site system differs from the Active Directory DNS domain name. El sufijo DNS principal del controlador de dominio es el mismo que el nombre de dominio DNS de Active Directory.The primary DNS suffix of the domain controller is the same as the Active Directory DNS domain name. Los equipos miembro que son clientes de Configuration Manager pueden tener un sufijo DNS principal que coincida con lo siguiente:Member computers that are Configuration Manager clients can have a primary DNS suffix that either matches:

  • El sufijo DNS principal del servidor de sistema de sitio separadoThe primary DNS suffix of the disjoint site system server
  • El nombre de dominio DNS de Active DirectoryThe Active Directory DNS domain name

Configuración del espacio de nombres separadoConfigure disjoint namespace

Para permitir que un equipo tenga acceso a controladores de dominio separados, cambie el atributo de Active Directory msDS-AllowedDNSSuffixes en el contenedor de objetos del dominio.To allow a computer to access domain controllers that are disjoint, change the msDS-AllowedDNSSuffixes Active Directory attribute on the domain object container. Agregue ambos sufijos DNS al atributo.Add both DNS suffixes to the attribute.

Para asegurarse de que la lista de búsqueda de sufijos DNS contiene todos los espacios de nombres DNS de la organización, configure la lista de búsqueda para cada equipo en el dominio separado.To make sure that the DNS suffix search list contains all the DNS namespaces in the organization, configure the search list for each computer in the disjoint domain. Incluya los sufijos siguientes en la lista de espacios de nombres:Include the following suffixes in the list of namespaces:

  • El sufijo DNS principal del controlador de dominio.The primary DNS suffix of the domain controller
  • El nombre de dominio DNS.The DNS domain name
  • Los espacios de nombres adicionales de otros servidores con los que Configuration Manager podría comunicarse.Any additional namespaces for other servers that Configuration Manager might communicate with

Puede usar la directiva de grupo para configurar la lista Búsqueda de sufijos de Sistema de nombres de dominio (DNS) .You can use group policy to configure the Domain Name System (DNS) suffix search list.

Importante

Al hacer referencia a un equipo en Configuration Manager, escriba el equipo con el sufijo DNS principal.When you reference a computer in Configuration Manager, enter the computer by using its primary DNS suffix. Este sufijo debe coincidir con el nombre de dominio completo registrado como el atributo de dnsHostName en el dominio de Active Directory y el nombre de entidad de seguridad de servicio asociado con el sistema.This suffix should match the fully qualified domain name that's registered as the dnsHostName attribute in the Active Directory domain and the service principal name that's associated with the system.

Dominios de una sola etiquetaSingle label domains

Configuration Manager admite clientes y sistemas de sitio en un dominio de una sola etiqueta cuando se cumplen los criterios siguientes:Configuration Manager supports site systems and clients in a single label domain when the following criteria are met:

  • Configure el dominio de una sola etiqueta en Active Directory Domain Services con un espacio de nombres DNS separado que tenga un dominio de nivel superior válido.Configure the single label domain in Active Directory Domain Services with a disjoint DNS namespace that has a valid top-level domain.

    Por ejemplo: El dominio de una sola etiqueta de Contoso está configurado para tener un espacio de nombres separado en DNS de contoso.com.For example: The single label domain of Contoso is configured to have a disjoint namespace in DNS of contoso.com. Al especificar el sufijo DNS en Configuration Manager para un equipo en el dominio Contoso, especifique "Contoso.com" y no "Contoso".When you specify the DNS suffix in Configuration Manager for a computer in the Contoso domain, you specify "Contoso.com" and not "Contoso".

  • Las conexiones del Modelo de objetos componentes distribuido (DCOM) entre los servidores de sitio en el contexto del sistema deben ser correctas mediante el uso de la autenticación Kerberos.The distributed component object model (DCOM) connections between site servers in the system context must be successful by using Kerberos authentication.