Condividi tramite

  • Articolo

Preparare l'ambiente di Windows per Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Usare le informazioni nelle sezioni riportate di seguito per configurare l'ambiente Windows per il supporto di System Center 2012 Configuration Manager.

  • Preparare Active Directory per Configuration Manager

    • Estendere lo schema di Active Directory

    • Creare il contenitore di System Management

    • Impostare le autorizzazioni di sicurezza nel contenitore di System Management

    • Attivare la pubblicazione di Active Directory per il sito di Configuration Manager

  • Configurare i server basati su Windows per i ruoli del sistema del sito di Configuration Manager

    • Compressione differenziale remota

    • Internet Information Services (IIS)

    • Filtro richieste per IIS

Preparare Active Directory per Configuration Manager

Quando si estende lo schema di Active Directory, questa azione è una configurazione a livello di foresta che è necessario eseguire una sola volta per foresta. L'estensione dello schema è un'azione irreversibile e deve essere eseguita da un utente membro del gruppo Schema Admins o che dispone di autorizzazioni sufficienti per modificare lo schema. Se si decide di estendere lo schema di Active Directory, è possibile estenderlo prima o dopo l'installazione. Per informazioni relative alla scelta di estendere lo schema di Active Directory, vedere Stabilire se estendere lo schema di Active Directory per Configuration Manager.

System_CAPS_tipSuggerimento

Se lo schema di Active Directory è stato esteso con le estensioni dello schema di Configuration Manager 2007, non è necessario estendere lo schema per System Center 2012 Configuration Manager. Le estensioni dello schema di Active Directory sono invariate a partire da Configuration Manager 2007.

Sono necessarie quattro azioni per consentire ai client di Configuration Manager di eseguire query a Servizi di dominio Active Directory per individuare le risorse del sito:

  • Estendere lo schema di Active Directory.

  • Creare il contenitore di System Management.

  • Impostare le autorizzazioni di sicurezza nel contenitore di System Management.

  • Attivare la pubblicazione di Active Directory per il sito di Configuration Manager

Estendere lo schema di Active Directory

Configuration Manager supporta due metodi per estendere lo schema di Active Directory. Il primo consiste nell'usare l'utility extadsch.exe. Il secondo invece nell'usare l'utility LDIFDE per importare le informazioni relative all'estensione dello schema tramite il file ConfigMgr_ad_schema.ldf.

Nota

Prima di estendere lo schema di Active Directory, verificare le estensioni dello schema per eventuali conflitti con lo schema di Active Directory corrente. Per informazioni su come verificare le estensioni dello schema di Active Directory, vedere Testing for Active Directory Schema Extension Conflicts (Verifica per i conflitti delle estensioni dello schema di Active Directory) nella documentazione dei Servizi di dominio Active Directory.

Estendere lo Schema di Active Directory usando ExtADSch.exe

È possibile estendere lo schema di Active Directory tramite l'esecuzione del file extadsch.exe che si trova nella cartella SMSSETUP\BIN\X64 sul supporto di installazione di Configuration Manager. Il file extadsch.exe non visualizza risultati quando è in esecuzione ma fornisce feedback quando lo si esegue da una console di comando come riga di comando. Quando extadsch.exe è in esecuzione, genera un file di registro nella radice dell'unità di sistema denominata extadsch.log, che indica se l'aggiornamento dello schema è stato completato correttamente oppure si sono verificati dei problemi durante l'estensione dello schema.

System_CAPS_tipSuggerimento

Oltre alla generazione di un file di registro, il programma extadsch.exe visualizza i risultati nella finestra della console quando viene eseguito dalla riga di comando.

Quelle che seguono sono limitazioni all'utilizzo di extadsch.exe:

  • ExtADSch.exe non è supportato quando viene eseguito su computer con Windows 2000. Per estendere lo schema di Active Directory da un computer con Windows 2000, usare ConfigMgr_ad_schema.ldf.

  • Per abilitare la creazione di extadsch.log durante l'esecuzione di extadsch.exe su un computer con Windows Vista, è necessario accedere al computer con un account dotato di autorizzazioni di amministratore locale.

Per estendere lo schema di Active Directory usando Extadsch.exe

  1. Creare un backup dello stato del sistema del controller di dominio master dello schema.

  2. Assicurarsi di avere eseguito l'accesso al controllo di dominio master dello schema con un account membro del gruppo di protezione Schema Admins.

    System_CAPS_importantImportante

    Per estendere correttamente lo schema, è necessario essere avere eseguito l'accesso come membro del gruppo di protezione Schema Admins. L'esecuzione del file extadsch.exe tramite il comando Esegui come per tentare di eseguire lo schema usando credenziali alternative avrà esito negativo.

  3. Eseguire extadsch.exe, che si trova in \SMSSETUP\BIN\X64 sul supporto di installazione, per aggiungere le nuove classi e attributi allo schema di Active Directory.

  4. Verificare che l'estensione dello schema abbia esito positivo riesaminando extadsch.log che si trova nella radice dell'unità di sistema.

  5. Se la procedura di estensione dello schema non è riuscita, ripristinare lo stato precedente del sistema del master dello schema dal backup creato nel passaggio 1.

    Nota

    Per ripristinare lo stato del sistema su un controller di dominio di Windows, è necessario riavviare il sistema in modalità ripristino servizi directory. Per altre informazioni sulla modalità ripristino servizi directory, vedere Restart the Domain Controller in Directory Services Restore Mode Locally (Riavviare il controller di dominio in modalità ripristino servizi directory in locale).

Estendere lo schema di Active Directory usando un file LDIF

È possibile usare l'utility della riga di comando LDIFDE per importare gli oggetti della directory nei Servizi di dominio Active Directory tramite file di formato interscambio dati LDAP (LDIF).

Per una visibilità delle modifiche effettuate sullo schema di Active Directory maggiore di quella che offre l'utility extadsch.exe, è possibile usare l'utility LDIFDE per importare le informazioni sull'estensione dello schema tramite il file ConfigMgr_ad_schema.ldf che si trova nella cartella SMSSETUP\BIN\X64 sul supporto di installazione di Configuration Manager.

Nota

Il file ConfigMgr_ad_schema.ldf non è stato modificato rispetto alla versione fornita con Configuration Manager 2007.

Per estendere lo schema di Active Directory usando il file ConfigMgr_ad_schema.ldf

  1. Creare un backup dello stato del sistema del controller di dominio master dello schema.

  2. Aprire il file ConfigMgr_ad_schema.ldf che si trova nella directory SMSSETUP\BIN\X64 del supporto di installazione di Configuration Manager e modificare il file per definire il dominio radice di Active Directory da estendere. Tutte le istanze del testo DC=x nel file devono essere sostituite con il nome completo del dominio da estendere.

    Ad esempio, se il nome completo del dominio da estendere è widgets.microsoft.com, modificare tutte le istanze di DC=x nel file in DC=widgets, DC=microsoft, DC=com.

  3. Usare l'utility della riga di comando LDIFDE per importare i contenuti del file ConfigMgr_ad_schema.ldf nei Servizi di dominio Active Directory.

    Ad esempio, la seguente riga di comando importerà le estensioni dello schema nei Servizi di dominio Active Directory, attiverà una registrazione dettagliata e creerà un file di registro durante il processo di importazione: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <percorso di archiviazione del file di registro>

  4. Per verificare che l'estensione dello schema è stata completata correttamente, è possibile esaminare il file di registro creato dalla riga di comando usata nel passaggio 3.

  5. Se la procedura di estensione dello schema non è riuscita, ripristinare lo stato precedente del sistema del master dello schema dal backup creato nel passaggio 1.

    Nota

    Per ripristinare lo stato del sistema su un controller di dominio di Windows, è necessario riavviare il sistema in modalità ripristino servizi directory. Per altre informazioni sulla modalità ripristino servizi directory, vedere Restart the Domain Controller in Directory Services Restore Mode Locally (Riavviare il controller di dominio in modalità ripristino servizi directory in locale).

Creare il contenitore di System Management

Configuration Manager non crea automaticamente il contenitore di System Management nei Servizi di dominio Active Directory quando viene esteso lo schema. Il contenitore deve essere creato una volta per ciascun dominio che include un server del sito primario o secondario di Configuration Manager che pubblichi informazioni sul sito nei Servizi di dominio Active Directory.

System_CAPS_tipSuggerimento

È possibile garantire l'autorizzazione Controllo completo dell'account del computer dei server del sito al contenitore del sistema nei Servizi di dominio di Active Directory, il che risulta nella creazione automatica da parte del server del sito del contenitore di System Management quando le informazioni sul sito vengono pubblicate per la prima volta nei Servizi di dominio Active Directory. Tuttavia, è più sicuro creare manualmente il contenitore di System Management.

Usare ADSI Edit per creare il contenitore di System Management nei Servizi di dominio Active Directory. Per altre informazioni su come installare e usare ADSI Edit, vedere ADSI Edit (adsiedit.msc) nella documentazione dei Servizi di dominio Active Directory.

Per creare manualmente il contenitore di System Management

  1. Accedere con un account che disponga dell'autorizzazione Crea tutti gli oggetti figlio nel contenitore Sistema nei Servizi di dominio Active Directory.

  2. Eseguire la ADSI Edit e connettersi al dominio in cui risiede il server del sito.

  3. Espandere Dominio <nome di dominio completo del computer>, espandere <nome distinto>, fare clic con il pulsante destro del mouse su CN=System, fare clic su Nuovo e quindi fare clic su Oggetto.

  4. Nella finestra di dialogo Crea oggetto, selezionare Contenitore, quindi fare clic su Avanti.

  5. Nella casella Valore, digitare System Management, quindi fare clic su Avanti.

  6. Fare clic su Fine per completare la procedura.

Impostare le autorizzazioni di sicurezza nel contenitore di System Management

Dopo aver creato il contenitore di System Management nei Servizi di dominio Active Directory, occorre concedere all'account computer del server del sito le autorizzazioni richieste per pubblicare le informazioni sul sito nel contenitore.

System_CAPS_importantImportante

All'account computer del server del sito primario devono essere concesse le autorizzazioni Controllo completo nel contenitore di System Management e in tutti i relativi oggetti figlio. Se sono presenti siti secondari, all'account computer del server del sito secondario devono essere anche concesse le autorizzazioni Controllo completo nel contenitore di System Management e in tutti i relativi oggetti figlio.

È possibile concedere le autorizzazioni necessarie usando lo strumento amministrativo Utenti e computer di Active Directory oppure Active Directory Service Interfaces Editor (ADSI Edit). Per altre informazioni su come installare e usare ADSI Edit, vedere ADSI Edit (adsiedit.msc).

Nota

Le procedure riportate di seguito sono fornite come esempi su come configurare i computer con Windows Server 2008 R2. Se si usa una versione di sistema operativo diversa, ad esempio Windows Server 2012 R2, fare riferimento alla documentazione di tale sistema operativo per informazioni su come effettuare configurazioni simili.

Per applicare le autorizzazioni al contenitore di System Management usando lo strumento amministrativo Utenti e computer di Active Directory

  1. Fare clic su Avvia, su Esegui, quindi immettere dsa.msc per aprire lo strumento amministrativo Utenti e computer di Active Directory.

  2. Fare clic su Visualizza, quindi su Funzionalità avanzate.

  3. Espandere il contenitore Sistema, fare clic con il pulsante destro del mouse su System Management, quindi fare clic su Proprietà.

  4. Nella finestra di dialogo Proprietà di System Management fare clic sulla scheda Protezione, quindi su Aggiungi per aggiungere l'account computer del server del sito. Concedere all'account le autorizzazioni di controllo completo.

  5. Fare clic su Avanzate, selezionare l'account computer del server del sito, quindi fare clic su Modifica.

  6. Nell'elenco Applica a, selezionare Questo oggetto e tutti i discendenti.

  7. Fare clic su OK, quindi chiudere lo strumento amministrativo Utenti e computer di Active Directory per completare la procedura.

Per applicare le autorizzazioni al contenitore di System Management usando la console di ADSI Edit

  1. Fare clic su Avvia, su Esegui, quindi immettere adsiedit.msc per avviare la console di ADSIEdit.

  2. Se necessario, connettersi al dominio del server del sito.

  3. Nel riquadro della console, espandere il dominio del server del sito, espandere DC=<server distinguished name>, e quindi espandere CN=System. Fare clic con il pulsante destro del mouse su CN = System Management, quindi su Proprietà.

  4. Nella finestra di dialogo the CN=System Management Properties, fare clic sulla scheda Sicurezza, quindi su Aggiungi per aggiungere l'account computer del server del sito. Concedere all'account le autorizzazioni di controllo completo.

  5. Fare clic su Avanzate, selezionare l'account computer del server del sito, quindi fare clic su Modifica.

  6. Nell'elenco Applica a, selezionare Questo oggetto e tutti i discendenti.

  7. Fare clic su OK per chiudere la console di ADSIEdit e completare la procedura.

Attivare la pubblicazione di Active Directory per il sito di Configuration Manager

Oltre a estendere lo schema di Active Directory, creare il contenitore di System Management e impostare le relative autorizzazioni, è necessario attivare Configuration Manager per la pubblicazione dei dati del sito in Servizi di dominio Active Directory. Per informazioni su come pubblicare i dati del sito, vedere Pianificazione della pubblicazione dei dati del sito in Servizi di dominio Active Directory.

Configurare i server basati su Windows per i ruoli del sistema del sito di Configuration Manager

Prima di poter usare un Windows Server con System Center 2012 Configuration Manager, è necessario assicurarsi che il computer sia configurato per supportare le operazioni di Configuration Manager. Usare le informazioni nelle sezioni riportate di seguito per configurare i server Windows per Configuration Manager. Per altre informazioni sui prerequisiti dei ruoli del sistema del sito, vedere la sezione nell'argomento .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Nota

Le procedure descritte nelle sezioni riportate di seguito sono fornite come esempi di come configurare i computer Windows Server 2008 o Windows Server 2008 R2. Se si usa una versione di sistema operativo diversa, ad esempio Windows Server 2012 R2, fare riferimento alla documentazione di tale sistema operativo per informazioni su come effettuare configurazioni simili.

Compressione differenziale remota

I server del sito e i punti di distribuzione richiedono la compressione differenziale remota (RDC) per generare firme dei pacchetti ed eseguire il confronto delle firme. Se la RDC non è abilitata, deve essere abilitata su questi server del sistema del sito.

Usare la procedura riportata di seguito come esempio per abilitare la compressione differenziale remota su computer Windows Server 2008 e Windows Server 2008 R2. Se si dispone di una versione diversa del sistema operativo, consultare la documentazione del proprio sistema operativo per la procedura equivalente.

Per configurare la compressione differenziale remota per Windows Server 2008 o Windows Server 2008 R2

  1. In un computer Windows Server 2008 o Windows Server 2008 R2 passare a Start / Tutti i programmi / Strumenti di amministrazione / Server Manager per avviare Server Manager. In Server Manager selezionare il nodo Funzionalità e fare clic su Aggiungi funzionalità per avviare l'Aggiunta guidata di funzionalità.

  2. Nella pagina Seleziona funzionalità selezionare Compressione differenziale remota, quindi fare clic su Avanti.

  3. Completare la procedura guidata quindi chiudere Server Manager per completare la configurazione.

Internet Information Services (IIS)

Diversi ruoli del sistema del sito richiedono Internet Information Services (IIS). Se IIS non è già abilitato, è necessario abilitarlo nei server del sistema del sito prima di installare un ruolo del sistema del sito per cui è necessario IIS. Oltre al server di sistema del sito, IIS è necessario per i seguenti ruoli di sistemi del sito:

  • Punto per servizi Web del Catalogo applicazioni

  • Punto per siti Web del Catalogo applicazioni

  • Punto di distribuzione

  • Punto di registrazione

  • Punto proxy di registrazione

  • Punto di stato di fallback

  • Punto di gestione

  • Punto di aggiornamento software

La versione minima di IIS richiesta da Configuration Manager è la versione predefinita fornita dal sistema operativo del server in esecuzione nel sistema del sito.

Ad esempio, quando si abilita IIS in un computer Windows Server 2008 che si utilizzerà come punto di distribuzione, viene installato IIS 7.0. È inoltre possibile installare IIS 7.5. Se si abilita IIS in un computer Windows 7 per un punto di distribuzione, viene installato automaticamente IIS 7.5. Non è possibile usare IIS versione 7.0 per un punto di distribuzione che esegue Windows 7.

Usare la seguente procedura come esempio della modalità di installazione di IIS in un computer Windows Server 2008 o Windows Server 2008 R2. Se si dispone di una versione diversa del sistema operativo, consultare la documentazione del proprio sistema operativo per la procedura equivalente.

Per installare Internet Information Services (IIS) su computer Windows Server 2008 e Windows Server 2008 R2

  1. In un computer Windows Server 2008 o Windows Server 2008 R2 passare a Start / Tutti i programmi / Strumenti di amministrazione / Server Manager per avviare Server Manager. In Server Manager selezionare il nodo Funzionalità e fare clic su Aggiungi funzionalità per avviare l'Aggiunta guidata di funzionalità.

  2. Nella pagina Seleziona funzionalità dell'aggiunta guidata di funzionalità installare le ulteriori funzionalità necessarie per il supporto dei ruoli del sistema del sito installati nel computer. Ad esempio, per aggiungere Estensioni server BITS:

    - Per Windows Server 2008, selezionare la casella di controllo **Estensioni server BITS**. Per Windows Server 2008 R2, selezionare la casella di controllo **BITS (Servizio trasferimento intelligente in background)**. Quando richiesto, fare clic su **Aggiungi servizi ruolo richiesti** per aggiungere i componenti dipendenti, incluso il ruolo Web Server (IIS) e quindi fare clic su **Avanti**.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Gg712310.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Suggerimento</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Se si sta configurando un computer che sarà un punto di distribuzione o un server del sito, assicurarsi che la casella di controllo relativa a <strong>Compressione differenziale remota</strong> sia selezionata.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  3. Nella pagina Web Server (IIS) dell'aggiunta funzionalità guidata fare clic su Avanti.

  4. Nella pagina Seleziona servizi ruolo dell'aggiunta guidata di funzionalità installare ulteriori servizi ruolo necessari per il supporto dei ruoli del sistema del sito installati nel computer. Ad esempio, per aggiungere ASP.NET e Autenticazione Windows:

    - Per **Sviluppo applicazioni**, selezionare la casella di controllo **ASP.NET** e, quando richiesto, fare clic su Aggiungi servizi ruolo richiesti per aggiungere i componenti dipendenti.

- Per **Sicurezza**, selezionare la casella di controllo **Autenticazione Windows**.

  5. Nel nodo Strumenti di gestione, per Compatibilità di gestione con IIS 6, verificare che entrambe le caselle di controllo Compatibilità metabase IIS 6 e Compatibilità WMI IIS 6 siano selezionate e quindi fare clic su Avanti.

  6. Nella pagina Conferma fare clic su Installa, completare la procedura guidata e chiudere Server Manager per completare la configurazione.

Filtro richieste per IIS

Per impostazione predefinita, IIS impedisce a diverse estensioni di nomi di file e percorsi di cartelle di accedere tramite comunicazione HTTP o HTTPS. Se i file origine del pacchetto contengono estensioni bloccate in IIS, è necessario configurare la sezione requestFiltering nel file applicationHost.config nei computer dei punti di distribuzione.

Le estensioni di file seguenti vengono usate da Configuration Manager per applicazioni e pacchetti. Consentire le seguenti estensioni di file nei punti di distribuzione:

  • PCK

  • PKG

  • STA

  • TAR

Ad esempio, è possibile disporre di file di origine per una distribuzione di software che include una cartella denominata bin o che contiene un file con estensione mdb. Per impostazione predefinita, il filtro richieste di IIS blocca l'accesso a questi elementi. Quando si usa la configurazione IIS predefinita in un punto di distribuzione, i client che usano BITS non riescono a scaricare questa distribuzione di software dal punto di distribuzione. In questo scenario i client indicano di essere in attesa del contenuto. Per consentire ai client di scaricare il contenuto tramite BITS, in ogni punto di distribuzione applicabile modificare la sezione requestFiltering del file applicationHost.config per consentire l'accesso ai file e alle cartelle presenti nella distribuzione del software.

System_CAPS_importantImportante

Le modifiche alla sezione requestFiltering si applicano a tutti i siti Web presenti nel server. Questa configurazione aumenta la superficie di attacco del computer. La procedura di protezione consigliata è l'esecuzione di Configuration Manager in un server Web dedicato. Se è necessario eseguire altre applicazioni nel server Web, usare un sito Web personalizzato per Configuration Manager. Per informazioni sui siti Web personalizzati, vedere la sezione Pianificazione di siti Web personalizzati con Configuration Manager in Pianificazione dei sistemi del sito in Configuration Manager.

Usare la seguente procedura come esempio per modificare requestFiltering in un computer Windows Server 2008 o Windows Server 2008 R2. Se si dispone di una versione diversa del sistema operativo, consultare la documentazione del proprio sistema operativo per la procedura equivalente.

Per configurare il filtro richieste per IIS nei punti di distribuzione

  1. Nel computer del punto di distribuzione, aprire il file applicationHost.config situato nella directory %Windir%\System32\Inetsrv\Config\.

  2. Cercare la sezione <requestFiltering>.

  3. Determinare le estensioni di file e i nomi delle cartelle contenuti nei pacchetti in questo punto di distribuzione. Per ogni nome di cartella ed estensione desiderata, effettuare i seguenti passaggi:

    - Se viene elencato come elemento **fileExtension**, impostare il valore relativo a **allowed** su **true**.

  Ad esempio, se il contenuto contiene un'estensione mdb, modificare la riga **\<add fileExtension=".mdb" allowed="false" /\>** in **\<add fileExtension=".mdb" allowed="true" /\>**.

  Consentire solo le estensioni di file necessarie per il contenuto.

- Se viene elencato come elemento **\<hiddenSegments\>**, eliminare dal file la voce corrispondente all'estensione di file o al nome di cartella.

  Ad esempio, se il contenuto contiene una cartella con etichetta **bin**, rimuovere dal file la riga \<**add segment=”bin” /\>**.

  4. Salvare e chiudere il file applicationHost.config per completare la configurazione.