• [アーティクル]

Configuration Manager 向けに Active Directory スキーマを拡張すべきかどうかの判断

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager 用に Active Directory スキーマを拡張すると、サイト情報を Active Directory ドメイン サービスに発行できるようになります。 Active Directory スキーマの拡張は、Configuration Manager では省略可能な手順です。 ただし、スキーマを拡張することで、最小限の管理オーバーヘッドで Configuration Manager の全機能を使用できるようになります。

Active Directory スキーマを拡張する場合は、Configuration Manager セットアップの実行前でも実行後でもその手順を実行できます。

Configuration Manager 向けの Active Directory スキーマの拡張に関する考慮事項

System Center 2012 Configuration Manager の Active Directory スキーマ拡張 (および SP1 や R2 のような以降のリリース) には、Configuration Manager 2007 で使用するスキーマ拡張からの変更はありません。Configuration Manager 2007 のスキーマを拡張した場合は、System Center 2012 Configuration Manager 用にもう一度スキーマを拡張する必要はありません。

同様に、1 つのバージョンの System Center 2012 Configuration Manager でスキーマを拡張した場合、以降のバージョンの Configuration Manager でスキーマを拡張する必要はありません。

Active Directory スキーマの拡張は、フォレスト全体に関わる操作であり、フォレストごとに 1 回のみ実行できます。 スキーマの拡張は取り消しできない操作なので、スキーマ管理グループのメンバーまたはスキーマを変更するのに十分なアクセス許可を委任されたユーザーが実行する必要があります。 Active Directory スキーマを拡張する場合は、セットアップの実行前でも実行後でもその手順を実行できます。

Configuration Manager クライアントで Active Directory ドメイン サービスをクエリして、サイトのリソースを見つけることができるようにするには、次の 4 つの操作を実行する必要があります。

  • Active Directory スキーマを拡張する。

  • System Management コンテナーを作成する。

  • System Management コンテナーにセキュリティ権限を設定する。

  • Configuration Manager サイトで Active Directory の発行を有効にする。

スキーマの拡張方法、System Management コンテナーの作成方法、およびコンテナーのセキュリティ アクセス許可の構成方法については、「Configuration Manager 向けの Active Directory の準備」トピックの「Configuration Manager の Windows 環境の準備」を参照してください。Configuration Manager サイトで発行を有効する方法については、「Active Directory ドメイン サービスへのサイト データの発行の計画」を参照してください。

Exchange Server コネクタが管理するモバイル デバイスと次のクライアントは、Configuration Manager に Active Directory スキーマ拡張を使用しません。

  • Mac コンピューター用クライアント

  • Linux および UNIX サーバー用クライアント

  • Configuration Manager によって登録されるモバイル デバイス

  • Microsoft Intune によって登録されるモバイル デバイス

  • モバイル デバイス レガシ クライアント

  • インターネットのみのクライアント管理用に構成した Windows クライアント

  • Configuration Manager でインターネットで検出される Windows クライアント

次の表に、Configuration Manager 用に拡張された Active Directory スキーマを使用する Configuration Manager の機能を示します。また、スキーマを拡張できない場合の回避策について説明します。

機能

Active Directory

説明

クライアント コンピューターのインストールとサイトの割り当て

オプション

新しい Configuration Manager Windows クライアントがインストールされると、クライアントが Active Directory ドメイン サービスを検索して、使用するインストールのプロパティを見つけることができます。 スキーマを拡張しない場合は、次のいずれかの回避策を使って、ンストールのためにコンピューターが必要とする構成詳細を提示する必要があります。

  • クライアント プッシュ インストールを使用する。 クライアント インストール方法を使用する前に、すべての前提条件が満たされていることを確認してください。 詳細については、「コンピューター クライアントの前提条件」の「インストール方法の依存関係」を参照してください。

  • クライアントを手動でインストールし、CCMSetup インストールのコマンドライン プロパティを使用してクライアント インストールのプロパティを指定する。 以下の手順を実行する必要があります。

    • クライアントのインストール時に CCMSetup コマンド ラインで、CCMSetup プロパティ /mp:=<管理ポイント名のコンピューター名> または /source:<クライアント ソース ファイルへのパス> を使用して、インストール ファイルのダウンロード元となる管理ポイントまたはソース パスを指定します。

    • クライアントがサイトを割り当て、クライアントのポリシーとサイト設定をダウンロードするために必要となる初期管理ポイントのリストを指定します。 その際、CCMSetup Client.msi プロパティ SMSMP を使用してください。

  • DNS または WINS に管理ポイントを発行し、このサービスの場所の方法を使用するようにクライアントを構成します。

クライアントからサーバーへの通信のポート構成

オプション

クライアントのインストール時に、ポート情報が構成されます。 その後にサイトのクライアント - サーバー間の通信ポートが変更された場合は、クライアントは Active Directory ドメイン サービスから新しい設定を取得することができます。 スキーマを拡張しない場合は、次のいずれかの回避策を使って、既存のクライアントに新しいポート構成を提示する必要があります。

  • クライアントを再インストールし、新しいポート情報を使用するように構成する。

  • スクリプトをクライアントに配置し、ポート情報を更新する。 ポートが変更されたためにクライアントがサイトと通信できない場合は、外部からこのスクリプトを Configuration Manager に配置する必要があります。 たとえば、グループ ポリシーを使用できます。

ネットワーク アクセス保護

必須

システム正常性検証ツール ポイントがクライアントの正常性ステートメントを検証できるように、Configuration Manager は稼働状態の基準を Active Directory ドメイン サービスに発行します。

コンテンツの展開方法

オプション

特定のサイトでコンテンツを作成し、そのコンテンツを階層内の別のサイトに展開する場合、受信側のサイトは署名付きコンテンツ データの署名を検証する必要があります。 そのためには、データの作成元のソース サイトの公開キーへのアクセスが必要となります。

Configuration Manager 用に Active Directory スキーマを拡張すると、サイトの公開キーが階層内の全サイトでアクセス可能になります。 Active Directory スキーマを拡張しない場合は、階層のメンテナンス ツール preinst.exe を使用して、サイト間でセキュリティ キー情報を交換することができます。

たとえば、プライマリ サイトでコンテンツを作成し、別のプライマリ サイト下にあるセカンダリ サイトにそのコンテンツを展開する場合は、セカンダリ サイトでソース プライマリ サイトの公開キーを取得できるように Active Directory スキーマを拡張するか、preinst.exe を使用して 2 つのサイト間で直接キーを共有することができます。

Configuration Manager スキーマ拡張で追加される属性とクラス

Configuration Manager のスキーマを拡張すると、Active Directory フォレストの Configuration Manager サイトで使用できる複数のクラスおよび属性が追加されます。 グローバル カタログはフォレスト全体にレプリケートされるため、その結果生じるネットワーク トラフィックを考慮する必要があります。 Windows 2000 フォレストでは、スキーマを拡張するとグローバル カタログ全体が完全に同期化されます。 Windows 2003 フォレスト以降、新しく追加された属性だけが複製されます。 レプリケーションのトラフィックがネットワークに依存する他のプロセスに深刻な影響を生じない時間帯を選んで、スキーマの拡張を計画してください。

System Center 2012 Configuration Manager 用に Active Directory スキーマを拡張すると、次の属性とクラスが Active Directory ドメイン サービスに追加されます。

  • 属性:

    • cn=mS-SMS-Assignment-Site-Code

    • cn=mS-SMS-Capabilities

    • cn=MS-SMS-Default-MP

    • cn=mS-SMS-Device-Management-Point

    • cn=mS-SMS-Health-State

    • cn=MS-SMS-MP-Address

    • cn=MS-SMS-MP-Name

    • cn=MS-SMS-Ranged-IP-High

    • cn=MS-SMS-Ranged-IP-Low

    • cn=MS-SMS-Roaming-Boundaries

    • cn=MS-SMS-Site-Boundaries

    • cn=MS-SMS-Site-Code

    • cn=mS-SMS-Source-Forest

    • cn=mS-SMS-Version

  • クラス:

    • cn=MS-SMS-Management-Point

    • cn=MS-SMS-Roaming-Boundary-Range

    • cn=MS-SMS-Server-Locator-Point

    • cn=MS-SMS-Site

[!メモ]

Active Directory スキーマ拡張には、旧バージョンの製品から継承され、Microsoft System Center 2012 Configuration Manager では使用されなくなった属性とクラスが含まれる場合があります。 たとえば、

  • 属性: cn=MS-SMS-Site-Boundaries

  • クラス: cn=MS-SMS-Server-Locator-Point

使用しているバージョンの System Center 2012 Configuration Manager についての最新情報が上のリストに記載されていることを確認するには、ConfigMgr_ad_schema.LDF のインストール メディアの \SMSSETUP\BIN\x64 フォルダーにある System Center 2012 Configuration Manager ファイルを参照してください。