[アーティクル]
10/27/2015

Configuration Manager の Windows 環境の準備

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager をサポートするように Windows 環境を構成するときに、次のセクションの情報を参考にしてください。

Configuration Manager 向けの Active Directory の準備
- Active Directory スキーマを拡張する
- System Management コンテナーを作成する
- System Management コンテナーにセキュリティ権限を設定する。
- Configuration Manager サイトで Active Directory の発行を有効にする
Configuration Manager サイトシステムの役割用の Windows ベースサーバーの構成
- Remote Differential Compression
- インターネットインフォメーションサービス (IIS)
- IIS の要求のフィルタリング

Configuration Manager 向けの Active Directory の準備

Active Directory スキーマの拡張は、フォレスト全体の構成を対象とした操作であり、フォレストごとに 1 回のみ実行します。スキーマの拡張は取り消しできない操作なので、スキーマ管理グループのメンバーまたはスキーマを変更するのに十分なアクセス許可を委任されたユーザーが実行する必要があります。 Active Directory スキーマを拡張する場合は、セットアップの実行前でも実行後でもその手順を実行できます。 Active Directory スキーマを拡張すべきかどうかを考慮する際には、「Configuration Manager 向けに Active Directory スキーマを拡張すべきかどうかの判断」を参照してください。

ヒント
Active Directory スキーマが Configuration Manager 2007 スキーマ拡張により拡張されている場合は、System Center 2012 Configuration Manager 用にスキーマを拡張する必要はありません。Configuration Manager 2007 以降、Active Directory スキーマ拡張は変更されていません。

Configuration Manager クライアントで Active Directory ドメインサービスをクエリして、サイトのリソースを見つけることができるようにするには、次の 4 つの操作を実行する必要があります。

Active Directory スキーマを拡張する。
System Management コンテナーを作成する。
System Management コンテナーにセキュリティ権限を設定する。
Configuration Manager サイトで Active Directory の発行を有効にする

Active Directory スキーマを拡張する

Configuration Manager は、2 つの Active Directory スキーマの拡張方法をサポートします。 1 つ目は extadsch.exe ユーティリティを使用する方法です。 2 つ目は、LDIFDE ユーティリティを使用して、ConfigMgr_ad_schema.ldf ファイルによりスキーマ拡張情報をインポートする方法です。

[!メモ]

Active Directory スキーマを拡張する前に、スキーマ拡張をテストして現在の Active Directory スキーマとの競合がないか確認してください。 Active Directory スキーマ拡張のテスト方法については、Active Directory ドメインサービスドキュメントの「Testing for Active Directory Schema Extension Conflicts (Active Directory スキーマ拡張の競合のテスト)」を参照してください。

ExtADSch.exe を使用した Active Directory スキーマの拡張

Configuration Manager インストールメディアの SMSSETUP\BIN\X64 フォルダーにある extadsch.exe ファイルを実行して Active Directory スキーマを拡張できます。 extadsch.exe ファイルは実行時に出力を表示しませんが、コマンドコンソールからコマンドラインとして実行した場合は、フィードバックが表示されます。 extadsch.exe を実行すると、システムドライブのルートに extadsch.log というログファイルが生成されます。このログファイルは、スキーマの更新が正常に完了したか、スキーマの拡張中に問題が発生したかを示します。

ヒント
また、extadsch.exe プログラムをコマンドラインから実行した場合は、コンソールウィンドウに結果が表示されます。

extadsch.exe には、以下のような制限事項があります。

Windows 2000 ベースのコンピューターでは、Extadsch.exe の実行はサポートされません。 Active Directory スキーマを Windows 2000 ベースのコンピューターで拡張するには、ConfigMgr_ad_schema.ldf ファイルを使用します。
Windows Vista コンピューターで extadsch.exe を実行する時に extadsch.log が作成されるようにするには、ローカル管理者のアクセス許可のあるアカウントを使ってコンピューターにログオンしている必要があります。

Extadsch.exe を使用して Active Directory スキーマを拡張するには

スキーママスタードメインコントローラーのシステム状態のバックアップを作成します。

スキーマ管理セキュリティグループのメンバーであるアカウントで、スキーママスタードメインコントローラーにログオンしていることを確認します。

重要
正常にスキーマを拡張するには、スキーマ管理セキュリティグループのメンバーとしてログオンする必要があります。実行コマンドを使用して extadsch.exe ファイルを実行することにより、代替資格情報を使ってスキーマを拡張しようとすると、失敗します。

インストールメディアの \SMSSETUP\BIN\X64 にある extadsch.exe を実行して、新しいクラスと属性を Active Directory スキーマに追加します。
システムドライブのルートにある extadsch.log を確認することにより、スキーマの拡張が成功したことを確認します。
スキーマ拡張の手順に失敗した場合は、手順 1 で作成したバックアップから、スキーママスターの以前のシステム状態を復元します。

[!メモ]

Windows ドメインコントローラーでシステム状態を復元するには、システムをディレクトリサービス復元モードで再起動する必要があります。ディレクトリサービス復元モードの詳細については、「Restart the Domain Controller in Directory Services Restore Mode Locally (ローカルからドメインコントローラーをディレクトリサービス復元モードで再起動する)」を参照してください。

LDIF ファイルを使用した Active Directory スキーマの拡張

LDIFDE コマンドラインユーティリティでは、LDAP データ交換形式 (LDIF) ファイルを使用して Active Directory ドメインサービスにディレクトリオブジェクトをインポートできます。

extadsch.exe ユーティリティを使用した場合よりも Active Directory スキーマに加えられる変更をわかりやすくするために、LDIFDE ユーティリティで ConfigMgr_ad_schema.ldf ファイルを使用してスキーマ拡張情報をインポートすることができます。このファイルは、SMSSETUP\BIN\X64 インストールメディアの Configuration Manager フォルダーにあります。

[!メモ]

ConfigMgr_ad_schema.ldf ファイルは、Configuration Manager 2007 で提供されたバージョンから変更されていません。

ConfigMgr_ad_schema.ldf ファイルを使用して Active Directory スキーマを拡張するには

スキーママスタードメインコントローラーのシステム状態のバックアップを作成します。
Configuration Manager インストールメディアの SMSSETUP\BIN\X64 ディレクトリにある ConfigMgr_ad_schema.ldf ファイルを開き、ファイルを編集して、拡張する Active Directory ルートドメインを定義します。このファイルでは、テキスト DC=x のすべてのインスタンスを、拡張するドメインのフルネームで置き換える必要があります。

たとえば拡張するドメインのフルネームが widgets.microsoft.com である場合、ファイル内にあるすべての DC=x のインスタンスを DC=widgets, DC=microsoft, DC=com に変更します。
LDIFDE コマンドラインユーティリティを使用して、ConfigMgr_ad_schema.ldf ファイルの内容を Active Directory ドメインサービスにインポートします。

たとえば、次のコマンドラインは、スキーマ拡張を Active Directory ドメインサービスにインポートし、詳細ログ記録をオンにして、インポート処理中にログファイルを作成します: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <ログファイルを保存する場所>
スキーマの拡張が成功したことを確認するには、手順 3 で使用したコマンドラインによって作成されたログファイルを確認します。
スキーマ拡張の手順に失敗した場合は、手順 1 で作成したバックアップから、スキーママスターの以前のシステム状態を復元します。

[!メモ]

Windows ドメインコントローラーでシステム状態を復元するには、システムをディレクトリサービス復元モードで再起動する必要があります。ディレクトリサービス復元モードの詳細については、「Restart the Domain Controller in Directory Services Restore Mode Locally (ローカルからドメインコントローラーをディレクトリサービス復元モードで再起動する)」を参照してください。

System Management コンテナーを作成する

Configuration Manager では、スキーマの拡張時に Active Directory ドメインサービスに System Management コンテナーは自動的に作成されません。このコンテナーは、サイト情報を Active Directory ドメインサービスに発行する Configuration Manager のプライマリサイトサーバーまたはセカンダリサイトサーバーが含まれるドメインごとに一度作成する必要があります。

ヒント
サイトサーバーのコンピューターアカウントに、Active Directory ドメインサービスの System コンテナーの "フルコントロール" アクセス許可を付与することができます。こうすることで、サイト情報を初めて Active Directory ドメインサービスに発行するときに、System Management コンテナーが自動的に作成されるようになります。ただし、System Management コンテナーを手動で作成する方が安全性が高くなります。

サイトサーバーのコンピューターアカウントに、Active Directory ドメインサービスの System コンテナーの "フルコントロール" アクセス許可を付与することができます。こうすることで、サイト情報を初めて Active Directory ドメインサービスに発行するときに、System Management コンテナーが自動的に作成されるようになります。ただし、System Management コンテナーを手動で作成する方が安全性が高くなります。

Active Directory ドメインサービスで System Management コンテナーを作成するには、ADSI エディターを使用します。 ADSI エディターのインストール方法と使い方の詳細については、Active Directory ドメインサービスドキュメントの「ADSI Edit (adsiedit.msc) (ADSI エディター)」を参照してください。

System Management コンテナーを手動で作成するには

Active Directory ドメインサービス内の System コンテナーですべての子オブジェクトを作成する権限を持つアカウントとしてログオンします。
ADSI エディターを実行して、サイトサーバーが常駐しているドメインに接続します。
[ドメイン] <コンピューター完全修飾ドメイン名>、<識別名> の順に展開して、[CN=System] を右クリックし、[新規]、[オブジェクト] を順にクリックします。
[オブジェクトの作成] ダイアログボックスで、[コンテナー] を選択し、[次へ] をクリックします。
[値] ボックスに、「System Management」と入力し、[次へ] をクリックします。
[完了] をクリックしてこの手順を完了します。

System Management コンテナーにセキュリティ権限を設定する。

Active Directory ドメインサービスに System Management コンテナーを作成したら、サイトサーバーのコンピューターアカウントに、コンテナーにサイト情報を発行するのに必要なアクセス許可を付与する必要があります。

重要
プライマリサイトサーバーのコンピューターアカウントには、System Management コンテナーとそのすべての子オブジェクトの "フルコントロール" アクセス許可を付与します。セカンダリサイトがある場合は、セカンダリサイトサーバーのコンピューターアカウントにも、System Management コンテナーとそのすべての子オブジェクトの "フルコントロール" アクセス許可を付与します。

プライマリサイトサーバーのコンピューターアカウントには、System Management コンテナーとそのすべての子オブジェクトの "フルコントロール" アクセス許可を付与します。セカンダリサイトがある場合は、セカンダリサイトサーバーのコンピューターアカウントにも、System Management コンテナーとそのすべての子オブジェクトの "フルコントロール" アクセス許可を付与します。

必要なアクセス許可を付与するには、Active Directory ユーザーとコンピューター管理ツールか、Active Directory サービスインターフェイスエディター (ADSI エディター) を使用します。 ADSI エディターのインストール方法と使い方の詳細については、「ADSI Edit (adsiedit.msc) (ADSI エディター)」を参照してください。

[!メモ]

以下の手順は、Windows Server 2008 R2 コンピューターを構成する方法の例です。Windows Server 2012 R2 など、これとは別のバージョンのオペレーティングシステムを使用している場合は、そのオペレーティングシステムのドキュメントで構成方法を参照してください。

Active Directory ユーザーとコンピューター管理ツールを使用して System Management コンテナーにアクセス許可を適用するには

[スタート]、[実行] の順にクリックして「dsa.msc」を入力し、Active Directory ユーザーとコンピューターの管理ツールを開きます。
[表示]、[高度な機能] を順にクリックします。
[System] コンテナーを展開し、[System Management] を右クリックして [プロパティ] をクリックします。
[System Management のプロパティ] ダイアログボックスで、[セキュリティ] タブをクリックし、[追加] をクリックして、サイトサーバーのコンピューターアカウントを追加します。このアカウントに "フルコントロール" アクセス許可を付与します。
[詳細設定] をクリックして、サイトサーバーのコンピューターアカウントを選択し、[編集] をクリックします。
[適用先] の一覧で [このオブジェクトとすべての子オブジェクト] を選択します。
[OK] をクリックし、Active Directory ユーザーとコンピューター管理ツールを閉じて手順を完了します。

ADSI エディターコンソールを使用して System Management コンテナーにアクセス許可を適用するには

[スタート]、[実行] を順にクリックして、「adsiedit.msc」と入力し、ADSIEdit コンソールを開きます。
必要に応じて、サイトサーバーのドメインに接続します。
[コンソール] ウィンドウで、サイトサーバーのドメインを展開し、[DC=<サーバー識別名>]、[CN=System] の順に展開します。[CN=System Management] を右クリックし、[プロパティ] をクリックします。
[CN=System Management のプロパティ] ダイアログボックスで、[セキュリティ] タブをクリックし、[追加] をクリックして、サイトサーバーのコンピューターアカウントを追加します。このアカウントに "フルコントロール" アクセス許可を付与します。
[詳細設定] をクリックして、サイトサーバーのコンピューターアカウントを選択し、[編集] をクリックします。
[適用先] の一覧で [このオブジェクトとすべての子オブジェクト] を選択します。
[OK] をクリックして ADSI エディターコンソールを閉じ、手順を完了します。

Configuration Manager サイトで Active Directory の発行を有効にする

Active Directory スキーマを拡張することに加えて、System Management コンテナーを作成し、そのコンテナーのアクセス許可を設定して、Configuration Manager がサイトデータを Active Directory ドメインサービスに発行するようにする必要があります。サイトデータの発行方法の詳細については、「Active Directory ドメインサービスへのサイトデータの発行の計画」を参照してください。

Configuration Manager サイトシステムの役割用の Windows ベースサーバーの構成

System Center 2012 Configuration Manager で Windows Server を使用するには、コンピューターが Configuration Manager 操作をサポートするように構成されていることを確認する必要があります。Configuration Manager 用に Windows サーバーを構成する際には、次のセクションの情報を参考にしてください。サイトシステムの役割の前提条件の詳細については、「」の「」セクションを参照してください。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

[!メモ]

以下のセクションで紹介する手順は、Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターを構成する方法の例です。Windows Server 2012 R2 など、これとは別のバージョンのオペレーティングシステムを使用している場合は、そのオペレーティングシステムのドキュメントで構成方法を参照してください。

Remote Differential Compression

サイトサーバーおよび配布ポイントでパッケージ署名を生成して署名比較を実行するには、RDC (Remote Differential Compression) が必要です。 RDC が有効になっていない場合は、これらのサイトシステムサーバーで有効にする必要があります。

Windows Server 2008 コンピューターと Windows Server 2008 R2 コンピューターで Remote Differential Compression を有効にする方法については、以下の手順を例として参照してください。これとは別のバージョンのオペレーティングシステムを使用している場合は、オペレーティングシステムのドキュメントで手順を確認してください。

Windows Server 2008 または Windows Server 2008 R2 の Remote Differential Compression を構成するには

Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターで、[スタート]、[すべてのプログラム]、[管理ツール]、[サーバーマネージャー] の順に移動し、[サーバーマネージャー] を起動します。サーバーマネージャーで、機能ノードを選択し、[機能の追加] をクリックして、機能の追加ウィザードを開始します。
[機能の選択] ページで、[Remote Differential Compression] を選択し、[次へ] をクリックします。
ウィザードを終了し、サーバーマネージャーを閉じて構成を完了します。

インターネットインフォメーションサービス (IIS)

サイトシステムの役割によっては、インターネットインフォメーションサービス (IIS) が必要となります。 IIS が有効になっていない場合は、IIS を必要とするサイトシステムの役割をインストールする前に、サイトシステムサーバー上で IIS を有効にする必要があります。サイトシステムサーバーの他に、次のサイトシステムの役割は IIS を必要とします。

アプリケーションカタログ Web サービスポイント
アプリケーションカタログ Web サイトポイント
配布ポイント
登録ポイント
登録プロキシポイント
フォールバックステータスポイント
管理ポイント
ソフトウェアの更新ポイント

Configuration Manager で必要とされる IIS の最小バージョンは、サイトシステムで実行するオペレーティングシステムに付属している既定のバージョンです。

たとえば、配布ポイントとして使用する予定の Windows Server 2008 コンピューターで IIS を有効にすると、IIS 7.0 がインストールされます。 IIS 7.5 をインストールすることもできます。配布ポイント用の Windows 7 コンピューターで IIS を有効にすると、IIS 7.5 が自動的にインストールされます。 Windows 7 を実行する配布ポイントに、IIS バージョン 7.0 は使用できません。

Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターに IIS をインストールする方法については、以下の手順を例として参照してください。これとは別のバージョンのオペレーティングシステムを使用している場合は、オペレーティングシステムのドキュメントで手順を確認してください。

Windows Server 2008 コンピューターおよび Windows Server 2008 R2 コンピューターにインターネットインフォメーションサービス (IIS) をインストールするには

Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターで、[スタート]、[すべてのプログラム]、[管理ツール]、[サーバーマネージャー] の順に移動し、[サーバーマネージャー] を起動します。サーバーマネージャーで、機能ノードを選択し、[機能の追加] をクリックして、機能の追加ウィザードを開始します。

機能の追加ウィザードの [機能の選択] ページで、このコンピューターにインストールするサイトシステムの役割をサポートするのに必要となる追加機能をインストールします。たとえば、BITS サーバー拡張を追加する場合は次の手順を実行します。

- Windows Server 2008 では、**\[BITS サーバー拡張\]** チェック ボックスをオンにします。 Windows Server 2008 R2 では、**\[バックグラウンド インテリジェント転送サービス (BITS)\]** チェック ボックスをオンにします。 メッセージが表示されたら、**\[必要な役割サービスの追加\]** をクリックして、Web サーバー (IIS) ロールを含む依存コンポーネントを追加し、**\[次へ\]** をクリックします。

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh427340.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />ヒント</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>サイト サーバーまたは配布ポイントとなるコンピューターを構成する場合は、<strong>[Remote Differential Compression]</strong> チェック ボックスをオンにします。</p></td>
  </tr>
  </tbody>
  </table>

  </div>

[機能の追加ウィザード] の**[Web サーバー (IIS)]** ページで、[次へ] をクリックします。

機能の追加ウィザードの [役割サービスの選択] ページで、このコンピューターにインストールするサイトシステムの役割をサポートするのに必要となる追加の役割サービスをインストールします。たとえば、ASP.NET と Windows 認証を追加するには、次のようにします。

- **アプリケーション開発**については、**\[ASP.NET\]** チェック ボックスをオンにし、メッセージが表示されたら、\[必要な役割サービスの追加\] をクリックして依存コンポーネントを追加します。

- **セキュリティ**については、**\[Windows 認証\]** チェック ボックスをオンにします。

IIS 6 と互換性のある管理については、[管理ツール] ノードで、[IIS 6 メタベース互換] と [IIS 6 WMI 互換] の両方のチェックボックスが選択されていることを確認し、[次へ] をクリックします。
[確認] ページで、[インストール] をクリックしてウィザードを完了し、サーバーマネージャーを閉じて構成を完了します。

IIS の要求のフィルタリング

IIS では、特定のファイル名拡張子とフォルダーの場所は、HTTP または HTTPS 通信によるアクセスがブロックされるように既定で設定されています。パッケージのソースファイルの名前に IIS でブロックされている拡張子が含まれている場合、配布ポイントのコンピューターの applicationHost.config ファイルの requestFiltering セクションを構成する必要があります。

Configuration Manager では、パッケージとアプリケーションに次のファイル名拡張子が使用されます。これらのファイル名拡張子を、配布ポイントで許可してください。

.PCK
.PKG
.STA
.TAR

たとえば、ソフトウェア展開のソースファイルに bin という名前のフォルダー、またはファイル名に .mdb という拡張子の付いたファイルが含まれているとします。既定では、IIS の要求フィルタリングによりこれらの要素へのアクセスがブロックされます。配布ポイントで IIS の既定の構成を使用する場合、BITS を使用するクライアントは配布ポイントからこのソフトウェア展開をダウンロードできません。この場合は、クライアントはコンテンツ待ちになります。クライアントが BITS を使用してこのコンテンツをダウンロードできるようにするには、該当する各配布ポイントで、applicationHost.config ファイルの requestFiltering セクションを、ソフトウェア展開に含まれているファイルとフォルダーへのアクセスを許可するように編集します。

重要
requestFiltering セクションに加えた変更は、そのサーバー上のすべての Web サイトに適用されます。この構成により、コンピューターの攻撃可能な領域が増大されます。専用の Web サーバーで Configuration Manager を実行するのが、セキュリティ上は最適な方法です。 Web サーバー上で他のアプリケーションを実行する必要がある場合は、Configuration Manager のカスタム Web サイトを使用します。カスタム Web サイトの詳細については、「Configuration Manager のカスタム Web サイトの使用計画」の「Configuration Manager のサイトシステムの計画」セクションを参照してください。

requestFiltering セクションに加えた変更は、そのサーバー上のすべての Web サイトに適用されます。この構成により、コンピューターの攻撃可能な領域が増大されます。専用の Web サーバーで Configuration Manager を実行するのが、セキュリティ上は最適な方法です。 Web サーバー上で他のアプリケーションを実行する必要がある場合は、Configuration Manager のカスタム Web サイトを使用します。カスタム Web サイトの詳細については、「Configuration Manager のカスタム Web サイトの使用計画」の「Configuration Manager のサイトシステムの計画」セクションを参照してください。

Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターで requestFiltering を変更する方法については、以下の手順を例として参照してください。これとは別のバージョンのオペレーティングシステムを使用している場合は、オペレーティングシステムのドキュメントで手順を確認してください。

配布ポイントで IIS の要求フィルタリングを構成するには

配布ポイントのコンピューターで、%Windir%\System32\Inetsrv\Config\ ディレクトリにある applicationHost.config ファイルを開きます。
<requestFiltering> セクションを見つけます。

この配布ポイントのパッケージに含めるファイル名の拡張子を決定します。必要な拡張子とフォルダー名ごとに、次の手順を実行します。

- **fileExtension** 要素として記載されている場合は、**allowed** の値を **true** に設定します。

  たとえば、コンテンツに拡張子が .mdb のファイルが含まれる場合は、行 **\<add fileExtension=".mdb" allowed="false" /\>** を **\<add fileExtension=".mdb" allowed="true" /\>** に変更します。

  コンテンツに必要なファイル名拡張子のみを許可してください。

- **\<hiddenSegments\>** 要素として記載されている場合は、ファイル名拡張子またはフォルダー名に一致するエントリをファイルから削除します。

  たとえば、コンテンツに **bin** という名前のフォルダーが含まれる場合は、行 \<**add segment=”bin” /\>** をファイルから削除します。

applicationHost.config ファイルを保存して閉じて、構成を完了します。

参照

Configuration Manager のサイトと階層の構成