Configuration Manager の探索の計画
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager には、Configuration Manager で管理できるコンピューターとユーザーのリソースを探索する機能が備わっています。 また、環境のネットワーク インフラストラクチャも探索することができます。 検出されたオブジェクトごとに探索データ レコード (DDR) が作成され、Configuration Manager データベースに保存されます。
リソースが正常に検出されると、そのリソースに関する情報がファイルに入れられます。このファイルのことを、探索データ レコード (DDR) といいます。 DDR は、サイト サーバーによって処理され、Configuration Manager データベースに挿入されます。ここで、データベースのレプリケーションによって、DDR がすべてのサイトにレプリケートされます。 このレプリケーションによって、データがどこで検出または処理されたかに関係なく、階層内の各サイトでデータを使用できるようになります。
探索情報は、管理作業 (カスタム クライアント設定の割り当てやソフトウェアの展開など) で使用するリソースを論理的なグループに分けるカスタム クエリとコレクションを作成するときに使うことができます。 コンピューターが検出されていないと、Configuration Manager クライアントをプッシュ インストールすることはできません。
Configuration Manager の探索機能の使用計画をたてるときに、次のセクションの情報を参考にしてください。
Configuration Manager で使用できる探索方法
使用する探索方法の決定
Active Directory システムの探索、Active Directory ユーザーの探索、Active Directory グループの探索について
探索方法に共通するオプション
Active Directory システムの探索
Active Directory ユーザー検出
Active Directory グループの探索
Active Directory フォレストの探索について
差分探索について
定期探索について
ネットワーク探索について
探索データ レコードについて
探索を実行する場所の決定
探索のベスト プラクティス
Configuration Manager の新機能
[!メモ]
このセクションの情報は、次の場所にも表示されます: 「System Center 2012 Configuration Manager の概要」ガイド
System Center 2012 Configuration Manager では、探索機能に次のような変更が加えられています。
探索データ レコードは、プライマリ サイトか中央管理サイトで一度だけ処理されてデータベースに挿入されます。その後、別の処理は行われずに、探索データ レコードが削除されます。
1 つのサイトでデータベースに挿入された探索情報は、Configuration Manager のデータベースのレプリケーションによって、階層内の各サイトと共有できるようになります。
"Active Directory フォレストの探索" という新しい探索方法が加わりました。この方法では、サブネットと Active Directory サイトを探索して、階層の境界として追加できます。
"Active Directory システム グループの探索" という探索方法が削除されました。
"Active Directory セキュリティ グループの探索" という方法が "Active Directory グループの探索" という方法に変わり、リソースのメンバーシップを探索するようになりました。
"Active Directory システムの探索" と "Active Directory グループの探索" で、古いコンピューターのレコードを探索から除外するオプションを使えるようになりました。
"Active Directory システムの探索"、"Active Directory ユーザーの探索"、"Active Directory グループの探索" で差分探索を行えます。Configuration Manager 2007 R3 以後、差分探索機能が改善され、グループのコンピューターやユーザーが追加または削除されたことを検出できるようになりました。
Configuration Manager で使用できる探索方法
Configuration Manager の探索方法を有効にする前に、それぞれの方法で何を検出できるかをよく理解しておいてください。 探索によって大量のネットワーク トラフィックが発生し、生成された DDR の処理に大量の CPU リソースが消費される可能性があるので、目的に合った探索方法だけを使用する計画をたててください。 1 つか 2 つの探索方法を使うだけで、目的を達せられることもよくあります。別の探索方法を後からいつでも有効にできるので、環境の変化に合わせて、慎重に探索の規模を広げてください。
次に、6 つの構成可能な探索方法について簡単に説明します。
探索方法 |
既定で有効 |
探索を実行するアカウント |
説明 |
|---|---|---|---|
Active Directory フォレストの探索 |
× |
Active Directory フォレストの探索アカウント、またはサイト サーバーのコンピューター アカウント |
|
Active Directory システムの探索 |
× |
Active Directory システムの探索アカウント、またはサイト サーバーのコンピューター アカウント |
|
Active Directory ユーザー検出 |
× |
Active Directory ユーザーの探索アカウント、またはサイト サーバーのコンピューター アカウント |
|
Active Directory グループの探索 |
× |
Active Directory グループの探索アカウント、またはサイト サーバーのコンピューター アカウント |
|
定期探索 |
○ |
クライアントのコンピューター アカウント |
|
ネットワーク探索 |
× |
サイト サーバーのコンピューター アカウント |
|
どの構成可能な探索方法を使用する場合も、探索を実行するスケジュールを設定できます。 定期探索以外の方法では、Configuration Manager データベースに追加するリソースの特定の場所を検索するように構成できます。 探索を実行した後で、検索する場所を変更することができます。 この新しい場所は、次回、探索を実行するときに検索されます。 ただし、新しい場所だけでなく、現在構成しているすべての場所が探索されます。
定期探索は、既定で有効になっている唯一の探索方法です。 これは、Configuration Manager クライアントのデータベースのレコードを維持するためです。定期探索を無効にしないでください。
Configuration Manager では、上記の探索方法だけでなく、サーバー探索というプロセス (SMS_WINNT_SERVER_DISCOVERY_AGENT) も使います。 このプロセスでは、サイト システムのコンピューター (管理ポイントとして構成されているコンピューターなど) のリソースのレコードが作成されます。 このプロセスは、毎日実行され、構成することはできません。
使用する探索方法の決定
Configuration Manager で管理することになるクライアント コンピューターやユーザー リソースを見つけるには、適切な探索方法を有効にしなければなりません。 さまざまな探索方法を使って、各種リソースと、そのリソースに関する他の情報を見つけることができます。 使用する探索方法によって、検出されるリソースの種類、および探索プロセスで使用される Configuration Manager サービスとエージェントが決まります。 また、リソースに関するどのような情報を検出できるかも、探索方法によって異なります。
コンピューターを探索する
コンピューターを見つけたい場合は、Active Directory システム探索、またはネットワーク探索を使用できます。
たとえば、Configuration Manager クライアントをプッシュ インストールする前に、クライアントをインストール可能なリソースを見つけるために、Active Directory システムの探索を実行します。 または、ネットワーク探索でリソースのオペレーティング システム (後でクライアントをプッシュ インストールするときに必要) を検出するオプションを指定してから、探索を実行することもできます。 しかし、Active Directory システムの探索方法を使った場合は、リソースだけでなく、リソースの基本的な情報と、Active Directory ドメイン サービスにある、リソースの詳しい情報を検出することもできます。 この情報は、クライアント設定の割り当てやコンテンツの展開で使用する複雑なクエリとコレクションを構築するのに便利です。 一方、ネットワーク探索では、他の探索方法では見つからないネットワーク トポロジの情報を得ることができますが、Active Directory 環境に関する情報は何も返されません。
定期探索だけを使って、プッシュ方式以外の方法でインストールされたクライアントを見つけることも可能です。 ただし、他の探索方法とは異なり、定期探索では、アクティブな Configuration Manager クライアントのないコンピューターを見つけることはできず、返される情報にも限りがあります。 これは、定期探索の主な目的は、既存のデータベース レコードを維持することで、そのレコードの基になるデータを取り扱うことではないためです。 したがって、定期探索で返された情報は、複雑なクエリやコレクションの構築用には不十分な場合があります。
Active Directory グループの探索方法で、特定のグループのメンバーシップを探索するときに、システムまたはコンピューターの限られた情報を検出することができます。 これは、コンピューターの完全な探索の代わりにはなりませんが、基本的な情報を得ることができます。 ただし、この情報は、クライアントのプッシュ インストール用に使うのには不十分です。
ユーザーを探索する
ユーザーに関する情報を見つけたい場合は、Active Directory ユーザー探索を使用できます。 この方法では、Active Directory のユーザーを見つけて、Active Directory システムの探索と同様に、その基本的な情報と Active Directory の拡張属性を検出することができます。 この情報は、前述したコンピューターの探索の場合と同じように、複雑なクエリとコレクションを構築するのに使えます。
グループの情報を探索する
グループとグループのメンバーシップに関する情報が必要な場合は、Active Directory グループ探索を使用できます。 この方法では、セキュリティ グループ用のリソース レコードが作成されます。
この探索方法を使って、特定の Active Directory グループを検索し、そのグループ、およびネストされているグループのメンバーを見つけることができます。 また、Active Directory の特定の場所でグループを検索したり、Active Directory ドメイン サービスの特定の場所にある各子コンテナーを繰り返し検索することもできます。
この探索方法では、配布グループのメンバーシップを検索することもできます。 ユーザーとコンピューターの両方のグループの関係がわかります。
グループを探索するときに、そのメンバーに関する限られた情報を検出することもできます。 この方法は、Active Directory システムの探索や Active Directory ユーザーの探索の代わりにはなりません。得られた情報は、通常、複雑なクエリやコレクションを構築したり、クライアントのプッシュ インストールで使用したりするには不十分です。
インフラストラクチャを探索する
ネットワーク インフラストラクチャを探索する方法には、Active Directory フォレスト探索とネットワーク探索の 2 通りあります。
Active Directory フォレストの探索では、Active Directory のフォレストで、サブネットと Active Directory サイトの構成に関する情報を検索します。 これらの構成は、Configuration Manager に、境界の場所として自動的に挿入されます。
ネットワーク トポロジを検出したい場合は、ネットワーク探索方法を使います。 他の探索方法では、Active Directory ドメイン サービスに関係のある情報が返され、クライアントのネットワークでの現在の場所が識別されますが、ネットワークのサブネットやルーターのトポロジに基づいたインフラストラクチャの情報は返されません。
Active Directory システムの探索、Active Directory ユーザーの探索、Active Directory グループの探索について
ここでは、次の探索方法について説明します。
Active Directory システムの探索
Active Directory ユーザー検出
Active Directory グループの探索
[!メモ]
このセクションの情報は、Active Directory フォレストの探索には当てはまりません。
この 3 つの探索方法は、構成と操作方法がよく似ており、それぞれ Active Directory に格納されたコンピューター、ユーザー、リソースのグループ メンバーシップに関する情報を探索します。 探索プロセスは、探索を実行するように構成された各サイトのサイト サーバーで実行されている探索エージェントによって管理されます。 どの方法でも、Active Directory の検索する 1 つまたは複数の場所をローカルまたはリモート フォレスト内の場所インスタンスとして構成することができます。
信頼されていないフォレストでリソースの検索する場合は、次のことが必要です。
Active Directory システムの探索方法でコンピューター リソースを探索する場合は、探索エージェントが、そのリソースの FQDN を解決できなければなりません。 FQDN を解決できない場合は、NetBIOS 名を解決します。
Active Directory ユーザーの探索方法でユーザーを、または Active Directory グループの探索方法でグループを探索する場合は、探索エージェントが、Active Directory の場所として指定されたドメイン コントローラーの FQDN を解決できなければなりません。
指定する場所のインスタンスごとに、検索オプションを構成することができます。たとえば、Active Directory の子コンテナーの場所を繰り返し検索するオプションがあります。 また、この場所のインスタンスを検索するときに使用する固有なアカウントを構成することもできます。 そのため、複数のフォレスト内の複数の Active Directory の場所を探索する方法を 1 つのサイトで構成できます。すべての場所のアクセス許可を持っている単一のアカウントを構成する必要はありません。
この 3 つの探索方法のいずれかを特定のサイトで実行すると、そのサイトの Configuration Manager サイト サーバーが、指定されたActive Directory フォレスト内の最も近いドメイン コントローラーと通信して、Active Directory のリソースを見つけます。 ドメインとフォレストは、Active Directory のサポートされているどのモードでもかまいません。それぞれの場所インスタンスに割り当てるアカウントには、指定した Active Directory の場所の読み取りアクセス許可が必要です。 まず、指定された場所でオブジェクトが検索され、そのオブジェクトに関する情報が収集されます。 リソースに関する十分な情報が収集されると、DDR が作成されます。 必要な情報は、使用している探索方法によって異なります。
異なる Configuration Manager サイトでローカルの Active Directory サーバーを照会する同じ探索方法を構成する場合は、サイトごとに別々の探索オプションを構成することができます。 探索データは、階層にあるサイトで共有されるので、構成が重なり合うのを避け、各リソースが一度だけ検出されるようにしてください。 環境の規模が小さい場合は、それぞれの探索方法を階層内の 1 つのサイトだけで実行して、管理上のオーバーヘッドを抑えると共に、同じリソースが何度も検出される危険性を下げてください。 探索を実行するサイトの数を減らすと、探索によって使用されるネットワーク帯域幅が少なくなるだけでなく、作成される DDR の数、つまりサイト サーバーが処理しなければならない DDR の数も少なくなります。
探索方法の構成の多くは、一目見ただけで、その意味がわかります。 次のセクションでは、探索オプションを実際に構成する前に知っておく必要のある情報を説明します。
探索方法に共通するオプション
次の表に、Active Directory の探索方法に共通するオプションを示します。
記号の意味: |
√ = サポートされている |
Ø = サポートされていない |
検索オプション |
Active Directory システムの探索 |
Active Directory ユーザー検出 |
Active Directory グループの探索 |
説明 |
||
|---|---|---|---|---|---|---|
差分探索 |
√ |
√ |
√ |
Active Directory フォレストの探索以外で使用できるオプション。Configuration Manager では、差分探索を使用して、Active Directory ドメイン サービス (AD DS) で完全な探索が最後に実行されてから変更された特定の属性を検索できます。 通常、新しいリソースを見つける差分探索の実施間隔を短く設定してもかまいません。これは、完全な探索とは異なり、新しいリソースだけの検索は、サイト サーバーのパフォーマンスに影響しないからです。 差分探索で、次の種類の新しいリソースを見つけることができます。
リソースが AD DS から削除されたことを差分探索で検出することはできません。 この変更を検出するには、完全な探索を実施する必要があります。 差分探索で生成される DDR は、完全な探索で生成される DDR と同様に処理されます。 差分検索を構成するには、該当する探索方法のプロパティの [ポーリングのスケジュール] タブを使います。 |
||
古いコンピューター レコードをドメインへのログオン日時に基づいて除外する |
√ |
Ø |
√ |
コンピューターでの最後のドメイン ログイン日時に基づいて、古いコンピューター レコードを探索から除外します。 Active Directory システムの探索でこのオプションを有効にすると、見つかった各コンピューターが評価されます。 Active Directory グループの探索でこのオプションを有効にすると、見つかったグループに属する各コンピューターが評価されます。 このオプションを使用するには、次のことが必要です。
探索の基準にする最後のログイン日時を構成するときは、ドメイン コントローラー同士のレプリケーション間隔を考慮してください。 このフィルター処理を構成するには、[Active Directory システム探索のプロパティ] ダイアログ ボックス、または [Active Directory グループ探索のプロパティ] ダイアログ ボックスの [オプション] タブで、[指定した期間内にドメインにログオンしたコンピューターのみ探索する] オプションを選択します。
|
||
古いレコードをコンピューターのパスワードに基づいて除外する |
√ |
Ø |
√ |
コンピューターで最後に更新されたコンピューター アカウントのパスワードに基づいて、古いコンピューター レコードを探索から除外します。 Active Directory システムの探索でこのオプションを有効にすると、見つかった各コンピューターが評価されます。 Active Directory グループの探索でこのオプションを有効にすると、見つかったグループに属する各コンピューターが評価されます。 このオプションを使用するには、次のことが必要です。
このオプションを構成するときは、パスワード属性の更新間隔と、ドメイン コントローラー同士のレプリケーション間隔の両方を考慮してください。 このフィルター処理を構成するには、[Active Directory システム探索のプロパティ] ダイアログ ボックス、または [Active Directory グループ探索のプロパティ] ダイアログ ボックスの [オプション] タブで、[指定した期間内にアカウントのパスワードが更新されたコンピューターのみ探索する] オプションを選択します。
|
||
Active Directory のカスタマイズされた属性を検索する |
√ |
√ |
Ø |
探索方法ごとに、検出可能な属性の一覧が用意されています。 Active Directory のカスタマイズされた属性の検索を構成するには、[Active Directory システム探索のプロパティ] ダイアログ ボックス、または [Active Directory ユーザー探索のプロパティ] ダイアログボックスの [Active Directory の属性] タブを使います。 |
.jpeg "System_CAPS_warning"){kind=icon}
警告
Active Directory システムの探索
Configuration Manager の Active Directory システムの探索方法は、Active Directory ドメイン サービス (AD DS) の指定された場所で、コレクションやクエリの作成に使用できるコンピューター リソースを見つけるために使います。 この探索で見つかったコンピューターに、クライアントをプッシュ インストールすることができます。 コンピューターの探索データ レコードを正しく作成するためには、Active Directory システムの探索時に、コンピューター アカウントが識別され、そのコンピューター名が IP アドレスに解決されなければなりません。
既定では、Active Directory システムを探索するときに、コンピューターの次の基本的な情報が探されます。
コンピューター名
オペレーティング システムのバージョン
Active Directory コンテナー名
IP アドレス
Active Directory サイト
最後のログオンのタイムスタンプ
上記の基本的な情報に加えて、Active Directory ドメイン サービスの拡張属性を探索するように構成することができます。
Active Directory システム探索によって返されるオブジェクト属性の既定の一覧を表示し、探索する追加の属性を構成するには、[Active Directory システム探索のプロパティ] ダイアログ ボックスの [Active Directory の属性] タブを使います。
この探索方法を構成する方法の詳細については、「Active Directory のコンピューター、ユーザー、またはグループの探索の構成」を参照してください。
Active Directory システムの探索時に行われた処理が、サイト サーバーの adsysdis.log フォルダーの <InstallationPath>\LOGS ファイルに記録されます。
Active Directory ユーザー検出
Configuration Manager の Active Directory ユーザーの探索方法は、Active Directory ドメイン サービス (AD DS) を検索して、ユーザー アカウントとその属性を見つけるために使います。
Active Directory ユーザー探索によって返されるオブジェクト属性の既定の一覧を表示し、探索する追加の属性を構成するには、[Active Directory ユーザー探索のプロパティ] ダイアログ ボックスの [Active Directory の属性] タブを使います。
既定では、Active Directory ユーザーの探索で、ユーザー アカウントの次の基本的な情報が探されます。
ユーザー名
固有なユーザー名 (ドメイン名を含む)
ドメイン
Active Directory コンテナー名
上記の基本的な情報に加えて、Active Directory ドメイン サービスの拡張属性を探索するように構成することができます。
この探索方法を構成する方法の詳細については、「Active Directory のコンピューター、ユーザー、またはグループの探索の構成」を参照してください。
Active Directory ユーザーの探索時に行われた処理が、サイト サーバーの adusrdis.log フォルダーの <InstallationPath>\LOGS ファイルに記録されます。
Active Directory グループの探索
Configuration Manager の Active Directory グループの探索方法は、Active Directory ドメイン サービス (AD DS) を検索して、コンピューター グループとユーザー グループのメンバーシップを識別するために使います。
この方法では、指定した探索スコープが検索され、そのスコープ内にあるリソースのグループのメンバーシップが識別されます。 既定では、セキュリティ グループだけが探索されます。 配布グループのメンバーシップが探索されるようにするには、[Active Directory グループ探索のプロパティ] ダイアログ ボックスの [オプション] タブで、[配布グループのメンバーシップを探索する] オプションのチェック ボックスをオンにします。
Active Directory グループの探索方法で返される情報は次のとおりです。
グループ
グループのメンバーシップ
グループのメンバーのコンピューターやユーザーに関する限られた情報。この情報は、これらのコンピューターやユーザーが、別の探索方法で検出されていない場合も返されます。
この探索方法は、グループ、およびグループのメンバーの関係を識別するのが目的ですが、 ただし、Active Directory システムの探索や Active Directory ユーザーの探索で検出可能な Active Directory の拡張属性を返すことはできません。 この探索方法は、コンピューター リソースやユーザー リソース自体の探索用には最適化されていません。そのため、Active Directory システムの探索と Active Directory ユーザーの探索を実行した後で、この探索を実行するようにしてください。 その理由は、この探索方法によってグループの完全な DDR が作成されますが、グループのメンバーであるコンピューターおよびユーザーにのみ DDR が制限されるためです。
次の探索スコープを構成して、Active Directory グループの探索で情報がどのように検索されるかを指定することができます。
場所:1 つまたは複数の Active Directory コンテナーを検索したい場合に、このスコープを使用します。 指定した Active Directory コンテナーと、その子コンテナーを反復検索することができます。 このプロセスは、それ以上子コンテナーが見つからなくなるまで繰り返されます。
[グループ]:グループは、1 つまたは複数の特定の Active Directory グループを検索する場合に使用します。 [Active Directory ドメイン] オプションで、探索スコープを既定のドメインとフォレストに構成するか、個々のドメイン コントローラーに制限します。 さらに、検索するグループを 1 つまたは複数指定することができます。 グループを何も指定しなかった場合は、[Active Directory ドメイン] で指定した場所にあるすべてのグループが検索されます。
.jpeg "System_CAPS_caution") 注意 |
|---|
探索スコープを構成するときは、探索する必要のあるグループだけを選択してください。 探索スコープにあるすべてのグループのすべてのメンバーが探索されるので、 グループが大きい場合は、大量の帯域幅と Active Directory のリソースが消費される可能性があります。 |
[!メモ]
Active Directory の拡張属性に基づいてコレクションを作成する場合や、コンピューターとユーザーの正確な探索結果を得たい場合は、Active Directory システムの探索か Active Directory ユーザーの探索を実行する必要があります。
この探索方法を構成する方法の詳細については、「Active Directory のコンピューター、ユーザー、またはグループの探索の構成」を参照してください。
Active Directory グループの探索時に行われた処理が、サイト サーバーの adsgdis.log フォルダーの <InstallationPath>\LOGS ファイルに記録されます。
Active Directory フォレストの探索について
Configuration Manager の Active Directory フォレストの探索方法は、IP サブネットと Active Directory サイトを見つけて、Configuration Manager の境界に追加するために使います。
他の探索方法とは異なり、Active Directory フォレストの探索では、管理できるリソースを検出しません。 その代わりに、Active Directory ネットワークの場所を見つけて、階層全体で使用する境界に変換します。
次の場合に、Active Directory フォレストの探索方法を使用します。
Active Directory フォレストにある IP サブネットを見つける。
Active Directory フォレストにある Active Directory サイトを見つける。
検出された IP サブネットと Active Directory サイトを Configuration Manager の境界に追加する。
探索情報を Active Directory ドメイン サービスのフォレストに発行する (フォレストへの発行が有効になっており、指定した Active Directory アカウントにそのフォレストのアクセス許可がある場合)。
Configuration Manager コンソールで Active Directory フォレスト探索を管理するには、[管理] ワークスペースの [階層の構成] の下の以下のノードを使います。
探索方法:階層の最上位で実行する Active Directory フォレストの探索を有効にすることができます。 探索を実行する簡単なスケジュールを設定したり、検出された IP サブネットと Active Directory サイトから自動的に境界が作成されるように構成することもできます。 Active Directory フォレストの探索を、子プライマリ サイトやセカンダリ サイトで実行することはできません。
[!メモ]
この探索方法で、差分探索を行うことはできません。
Active Directory フォレスト:探索したい Active Directory フォレストの追加、各フォレストで使用する Active Directory フォレスト アカウントの指定、見つかった情報の各フォレストへの発行の構成を行えます。 さらに、探索プロセスを監視したり、IP サブネットと Active Directory サイトを Configuration Manager の境界および境界グループのメンバーに追加することもできます。
フォレストへの発行が有効になっており、そのフォレストのスキーマを Configuration Manager 用に拡張している場合は、そのフォレストへの発行が有効になっている各サイトの次の情報が発行されます。
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
[!メモ]
セカンダリ サイトでは、Active Directory に発行するときに、必ず、セカンダリ サイト サーバーのコンピューター アカウントを使います。 セカンダリ サイトの情報を Active Directory に発行したい場合は、そのセカンダリ サイト サーバーのコンピューター アカウントに Active Directory への発行権限があることを確認してください。 信頼されていないフォレストにセカンダリ サイトからデータを発行することはできません。
.jpeg "System_CAPS_tip") ヒント |
|---|
階層の各サイトの Active Directory フォレストへの発行を構成するには、まず、Configuration Manager コンソールで、階層の最上位サイトに接続します。Active Directory サイトの [プロパティ] ダイアログ ボックスの [発行] タブに、現在のサイトとその子サイトだけが表示されます。 |
| 注意 |
|---|
Active Directory フォレストにサイトを発行するオプションの選択を解除すると、そのサイトの使用可能なサイト システムの役割の情報を含み、すべての情報がそのフォレストの Active Directory から削除されます。 |
Active Directory フォレストの探索は、ローカルの Active Directory フォレスト、信頼されている各フォレスト、および Configuration Manager コンソールの [Active Directory フォレスト] ノードで構成した追加の各フォレストで実行できます。
Active Directory フォレストの探索時に行われた処理は、次のログに記録されます。
フォレストへの発行に関係のある処理を除くすべての処理: サイト サーバーの <InstallationPath>\Logs フォルダーの ADForestDisc.Log ファイル
フォレストへの発行に関係のある処理: サイト サーバーの hman.log フォルダーの sitecomp.log ファイルと <InstallationPath>\Logs ファイル
差分探索について
差分探索は、Configuration Manager の完全な探索方法の 1 つではなく、Active Directory システムの探索、Active Directory ユーザーの探索、および Active Directory グループの探索で選択できるオプションです。 差分探索では、Active Directory の既に検出されているリソースに加えられた変更の多くを識別でき、完全な探索よりリソースの消費量が少なくて済みます。
ある探索方法の差分探索オプションを有効にすると、Active Directory ドメイン サービスで、その方法の完全な探索が最後に実行されてから変更された特定の属性が検索されます。 これらの変更は、Configuration Manager データベースのリソースの探索レコードを更新するために送信されます。
既定では、差分探索は、5 分間隔で実行されます。 これは、探索時に消費するリソースが完全な探索よりも少なく、サイト サーバーのパフォーマンスにも、完全な探索ほど影響を与えないからです。 探索方法で差分探索を有効にする場合は、その完全な探索を実行する頻度を下げることを検討してください。
差分探索で、Active Directory オブジェクトに加えられた変更を見つけることができます。 次に、差分探索を使ってよく検出する変更点をいくつか示します。
Active Directory に追加された新しいコンピューターとユーザー
コンピューターとユーザーの基本的な情報の変更
グループに追加された新しいコンピューターとユーザー
グループから削除されたコンピューターとユーザー
システム グループ オブジェクトに加えられた変更
差分探索で、新しいリソースとグループのメンバーシップの変更を検出できますが、AD DS からリソースが削除されたことを検出することはできません。
差分探索で生成される DDR は、完全な探索で生成される DDR と同様に処理されます。
差分検索を構成するには、該当する探索方法のプロパティの [ポーリングのスケジュール] タブを使います。
定期探索について
定期探索は、Configuration Manager の他の探索方法とは大きく異なります。 定期探索は、既定で有効になっており、探索データ レコード (DDR) を作成するために各クライアント コンピューターで実行されます。 モバイル デバイス クライアントの場合は、この DDR は、そのモバイル デバイス クライアントが使用している管理ポイントによって作成されます。
定期探索は、階層にあるすべてのクライアントを対象として構成されたスケジュールに従って実行するか、手動で呼び出して、クライアントの Configuration Manager プログラムの [操作] タブにある [探索データ収集サイクル] を実行することにより、特定のクライアントに対して実行することができます。 定期探索を実行すると、クライアントの現在の情報 (ネットワークの場所、NetBIOS 名、稼働状態の詳細など) を含む探索データ レコード (DDR) が作成されます。 DDR は、1 KB ほどの小さなファイルで、管理ポイントにコピーされてから、プライマリ サイトによって処理されます。 定期探索の DDR が送信されることによって、データベースにあるアクティブなクライアントのレコードが維持され、データベースから削除されたアクティブなクライアントや、手動でインストールされ、他の探索方法で検出されていないアクティブなクライアントを見つけられるようになります。
クライアントのインストール ステータスの詳細を返すことができるのは、定期探索だけです。ただし、クライアントが更新されるように、"システム リソース" 属性を [はい] に設定しておかなければなりません。 定期探索レコードを送信するには、クライアント コンピューターが管理ポイントと通信できる必要があります。
[!メモ]
Configuration Manager SP1 の場合、定期探索データ レコードにクライアント エージェントのバージョンも含まれます。
既定では、定期探索は 7 日おきに実行されるように設定されています。 この実行間隔を変更する場合は、必ず、"期限切れの探索データの削除" というメンテナンス タスク (サイト データベースから非アクティブなクライアント レコードを削除するタスク) の実行間隔より短くしてください。 "期限切れの探索データの削除" タスクは、プライマリ サイトだけで構成できます。
[!メモ]
アクティブなモバイル デバイス クライアントの DDR は、定期探索を無効にしても、作成されて送信されます。 そのため、アクティブなモバイル デバイスは、"期限切れの探索データの削除" タスクの影響を受けません。 "期限切れの探索データの削除" タスクでデータベースのモバイル デバイスのレコードを削除するときは、デバイス証明書を失効させ、モバイル デバイスからの管理ポイントへの接続もブロックすることになります。
定期探索時に行われた処理は、次のログに記録されます。
コンピューター クライアントの場合: クライアントの InventoryAgent.log フォルダーの %Windir%\CCM\Logs ファイル
モバイル デバイス クライアントの場合: モバイル デバイス クライアントが使用している管理ポイントの DMPRP.log フォルダーの %Program Files%\CCM\Logs ファイル
ネットワーク探索について
Configuration Manager のネットワーク探索は、ネットワーク トポロジとネットワークにあるデバイスを検出するために使います。
ネットワーク探索は、Microsoft の実装の DHCP を実行しているサーバー、ルーターのアドレス解決プロトコル (ARP) キャッシュ、SNMP 対応デバイス、Active Directory ドメインを照会することにより、ネットワークにある IP 対応リソースを見つけます。
ネットワーク探索でリソースを見つけるには、そのリソースの IP アドレスとサブネット マスクを識別しなければなりません。 通常、ネットワークには多種多様なデバイスが接続されているので、ネットワーク探索で、Configuration Manager クライアント ソフトウェアをインストールできない ( で管理できない) デバイスが見つかることがあります。 たとえば、プリンターやルーターが、このようなデバイスに当てはまります。
ネットワーク探索では、作成される探索データ レコードの一部としていくつかの属性を返す場合があります。 これには、次のコンピューターが含まれます。
NetBIOS 名
IP アドレス
リソースのドメイン
システムの役割
SNMP コミュニティ名
MAC アドレス
ネットワーク探索を使用するには、探索を実行するレベルを指定する必要があります。 また、ネットワークのセグメントやデバイスを照会する方法も構成します。 さらに、検索時にネットワークで行われる処理を制御する設定もあります。 最後に、ネットワーク探索を実行するスケジュールを設定します。
[!メモ]
複雑なネットワークや帯域幅の狭い接続では、ネットワーク探索の実行に時間がかかり、大量のネットワーク トラフィックが発生する可能性があります。 ベスト プラクティスとして、検出しなければならないデバイスが、他の方法で見つからない場合だけ、ネットワーク探索を実行してください。 たとえば、ワークグループのコンピューターを見つけなければならない場合に、ネットワーク探索を実行します。 ワークグループのコンピューターは、他の探索方法では検出されません。
ネットワーク探索時に、IP アドレスを持つことができるオブジェクトが識別され、そのサブネット マスクが判別されると、そのオブジェクトの探索データ レコード (DDR) が作成されます。
ネットワーク探索時に行われた処理は、探索を実行したサイト サーバーの Netdisc.log フォルダーの <InstallationPath>\Logs に記録されます。
ネットワーク探索のレベル
ネットワーク探索を構成するときは、次の 3 つのレベルの 1 つを指定します。
探索のレベル |
説明 |
|---|---|
トポロジ |
ルーターとサブネットを探索しますが、オブジェクトのサブネット マスクは識別しません。 |
トポロジとクライアント |
トポロジに加え、クライアントになり得るオブジェクト (コンピューターなど) とリソース (プリンターやルーターなど) を探索します。 見つかったオブジェクトのサブネット マスクを識別します。 |
トポロジ、クライアント、およびクライアントのオペレーティング システム |
トポロジ、クライアントになり得るオブジェクトに加え、コンピューターのオペレーティング システムとバージョンを探索します。 Windows ブラウザーと Windows ネットワークの呼び出しを使用します。 |
レベルが上がるに従って、探索時に行われる処理の量と、消費されるネットワーク帯域幅が増えます。 最も高いレベルに設定する前に、発生する可能性のあるネットワーク トラフィックを考慮してください。
たとえば、ネットワーク探索を初めて実行するときは、トポロジ レベルに設定して、ネットワーク インフラストラクチャを確認するだけで十分かもしれません。 次に、デバイスやオペレーティング システムを確認しなければならなくなったときに、高いレベルに設定し直します。 ネットワークの特定の場所にあるオブジェクトだけが検出され、不必要なネットワーク トラフィックが発生しないように、探索するネットワーク セグメントを設定したり、ネットワークの境界にあるルーターが接続するオブジェクトや、ネットワークの外にあるオブジェクトを探索するように設定したりできます。
ネットワーク探索のオプション
ネットワーク探索で、IP アドレスを持つことができるデバイスを見つけるには、デバイスを照会する方法を決めるオプションを指定する必要があります。 次の表に、これらのオプションを示します。
オプション |
説明 |
要件 |
||
|---|---|---|---|---|
ドメイン |
ネットワーク探索時に検索するドメインを指定します。 ネットワークを閲覧するときにサイト サーバーから見ることができるコンピューターが検出されます。 見つかったデバイスの IP アドレスを取得し、インターネット制御メッセージ プロトコルのエコー要求を使って、各デバイスを Ping します。 この ping コマンドを実行することにより、どのコンピューターが現在アクティブかがわかります。 |
ネットワーク探索を実行するサイト サーバーは、指定した各ドメインにあるドメイン コントローラーの読み取り権限を持っている必要があります。
|
||
SNMP デバイス |
ネットワーク探索時に照会する各 SNMP デバイスを指定します。 クエリに応答した SNMP デバイスの ipNetToMediaTable の値が取得されます。 この値は、コンピューターまたは他のリソース (プリンターやルーター、IP アドレスを持つことができる他のデバイス) の IP アドレスの配列です。 |
デバイスを照会するには、そのデバイスの IP アドレスか NetBIOS 名を指定する必要があります。 ネットワーク探索でデバイスのコミュニティ名を使用するように構成してください。このように構成しないと、SNMP クエリがデバイスによって拒否されます。 |
||
DHCP |
ネットワーク探索時に照会する各 DHCP サーバーを指定します。 32 ビットと 64 ビットの両方の DHCP サーバーを照会して、各サーバーに登録されているデバイスのリストを取得できます。 情報を取得するために、DHCP サーバーにあるデータベースへのリモート プロシージャ コールが使われます。 ネットワーク探索で、DHCP サーバーが列挙されるときに、常に静的な IP アドレスが検出されるとは限りません。 DHCP サーバーで割り当てから除外するように設定にされている IP アドレスの範囲に当てはまる IP アドレスや、手動で割り当てるために予約されている IP アドレスは、ネットワーク探索で見つかりません。
|
ネットワーク探索時に DHCP サーバーを照会するには、探索を実行するサーバーのコンピューター アカウントが、DHCP サーバーの DHCP ユーザー グループのメンバーでなければなりません。 これと同じレベルのアクセス権は、次のいずれかの条件を満たした場合に存在することになります。
|
.jpeg "System_CAPS_important")
重要[!メモ]
ネットワーク探索は、探索を実行するサイト サーバーのコンピューター アカウントのコンテキストで実行されます。 コンピューター アカウントに、信頼されていないドメインのアクセス許可がないと、[ドメイン] と [DHCP サーバー] のどちらのオプションを構成した場合も、リソースを見つけることはできません。
ネットワーク探索を制限する
ネットワーク探索時に、ネットワークの端にある SNMP デバイスを照会する場合は、ネットワークのすぐ外にあるサブネットと SNMP デバイスの情報を識別することができます。 ネットワーク探索の範囲を制限するには、ネットワーク探索時に通信する SNMP デバイスと、照会するネットワーク セグメントを構成します。
次の表に、ネットワーク探索のスコープを制限する方法を示します。
構成 |
説明 |
||
|---|---|---|---|
サブネット |
ネットワーク探索で [SNMP デバイス] オプションか [DHCP] オプションを使用するときに、照会するサブネットを構成します。 有効にしたサブネットだけが検索されます。 たとえば、DHCP サーバーの照会によって、ネットワーク全体のデバイスの情報が返されますが、 特定のサブネットにあるデバイスだけを見つけたい場合は、[ネットワーク探索のプロパティ] ダイアログ ボックスの [サブネット] タブで、その特定のサブネットを指定して有効にします。 このように設定すると、今後実行される、DHCP サーバーを使用した探索と SNMP デバイスの探索の範囲が、指定したサブネットに制限されます。
|
||
SNMP コミュニティ名 |
ネットワーク探索で SNMP デバイスを照会するには、ネットワーク探索を構成するときに、そのデバイスのコミュニティ名を指定する必要があります。
|
||
最大ホップ数 |
ネットワーク探索で SNMP を使って照会できるネットワーク セグメントの数とルーターの数を制限します。
たとえば、探索のレベルをトポロジに設定し、[最大ホップ数] を 0 に設定した場合は、照会元のサーバーが存在するサブネットが探索され、そのサブネットにあるルーターが照会されます。 次の図は、探索のレベルをトポロジのみに設定し、[最大ホップ数] を 0 に指定したネットワーク探索をサーバー 1 で実行する例を示しています。この場合、サブネット D とルーター 1 が見つかります。 .jpeg "トポロジのみのネットワーク検出ダイアグラム")
次の図は、探索のレベルをトポロジとクライアントに設定し、[最大ホップ数] を 0 に指定したネットワーク探索をサーバー 1 で実行する例を示しています。この場合、サブネット D とルーター 1、およびサブネット D にある、クライアントになり得るデバイスすべてが見つかります。 .jpeg "ネットワーク クライアント検出ダイアグラム: ルーター ホップ")
ルーターのホップ数を大きくすると、検出されるネットワーク リソースの数が増える可能性があることを、次のネットワークを例にして説明します。 .jpeg "イニシャル ネットワーク検出の例、ホップ数 4")
探索のレベルをトポロジに、[最大ホップ数] を 1 に設定したネットワーク探索をサーバー 1 で実行すると、次のものが検出されます。
|
ネットワーク探索で作成される探索データ レコード
ネットワーク探索でオブジェクトが見つかると、そのオブジェクトの探索データ レコード (DDR) が作成されます。 ネットワーク探索でオブジェクトを検出するには、オブジェクトの IP アドレスを識別してから、そのサブネット マスクを識別する必要があります。 オブジェクトのサブネット マスクを識別できなかった場合は、DDR が作成されません。
ネットワーク探索では、次の方法でオブジェクトのサブネット マスクを識別します。
メソッド |
説明 |
制限 |
|---|---|---|
ルーターの ARP キャッシュ |
ルーターの ARP キャッシュを照会して、サブネット情報を見つけます。 |
通常、ルーターの ARP キャッシュには、ごく短い時間しかデータが入っていません。 そのため、ネットワーク探索で ARP キャッシュを照会したときに、必要なオブジェクトの情報がなくなっている可能性もあります。 |
DHCP |
指定された DHCP サーバーを照会して、DHCP サーバーがアドレスをリースしたデバイスを見つけます。 |
ネットワーク探索では、Microsoft の実装の DHCP を実行している DHCP サーバーしか照会できません。 |
SNMP デバイス |
SNMP デバイスを直接照会します。 |
ネットワーク探索時にデバイスを照会するには、そのデバイスにローカル SNMP エージェントがインストールされている必要があります。 また、SNMP エージェントで使われているコミュニティ名を、ネットワーク探索で使用するように構成する必要があります。 |
Configuration Manager は、ネットワーク探索で生成された DDR を、他の探索方法で作成された DDR とまったく同じように処理します。
探索データ レコードについて
探索データ レコード (DDR) は、探索方法によって作成されたファイルです。Configuration Manager で管理できるリソースに関する情報が含まれています。 この情報には、コンピューターやユーザー、ネットワーク インフラストラクチャの情報があります。 DDR は、プライマリ サイトか中央管理サイトで処理されます。 DDR にあるリソースの情報がデータベースに挿入されると、その DDR は削除され、階層内のすべてのサイトに情報がグローバル データとしてレプリケートされます。
DDR を処理するサイトは、DDR に含まれている情報によって異なります。
今までデータベースには存在しておらず、新しく検出されたリソースの DDR は、階層の最上位サイトで処理されます。 最上位サイトのデータベースに新しいリソース レコードが作成され、固有な識別子が割り当てられます。 DDR は、最上位サイトに到達するまで、ファイルベースのレプリケーションによって転送されます。
既に検出されているオブジェクトの DDR は、プライマリ サイトで処理されます。 データベースに存在するリソースに関する情報が DDR に含まれている場合は、子プライマリ サイトは DDR を中央管理サイトに転送しません。
セカンダリ サイトが探索データ レコードを処理することはなく、常に、ファイルベースのレプリケーションで親サイトに転送します。
DDR ファイルには、.ddr という拡張子が付き、サイズは通常 1 KB ほどです。
探索を実行する場所の決定
Configuration Manager の探索の実行計画をたてるときは、各方法の探索をどこで実行するかを決めなければなりません。
探索データがいったん Configuration Manager のデータベースに挿入されると、すぐに階層内のすべてのサイトで共有されます。 階層内の複数のサイトで同じ情報を検出しても意味がないので、1 つの探索方法を複数のサイトで何度も実行するのではなく、1 つの探索方法を 1 つのサイトで実行する計画をたててください。
ただし、同じ方法の探索をサイトごとに別々の構成とスケジュールにして、複数のサイトで定期的に実行すると便利な場合があります。 これは、それぞれのサイトで、1 つの探索方法のすべての構成が、探索を実行するたびに評価されるからです。 同じ方法の探索を異なるサイトで何度か実行する場合は、複数の探索プロセスで同じリソースが検出されないように、慎重に構成してください。 複数のサイトで同じ場所にある同じリソースを検出すると、ネットワーク帯域幅が余分に消費されるだけでなく、DDR も重複して作成されます。このような DDR は不必要ですが、通常どおり、サイト サーバーが処理することになります。
次の表に、探索方法ごとに実行可能な場所を示します。
探索方法 |
実行可能な場所 |
|---|---|
Active Directory フォレストの探索 |
|
Active Directory グループの探索 |
|
Active Directory システムの探索 |
|
Active Directory ユーザー検出 |
|
定期探索1 |
|
ネットワーク探索 |
|
1 セカンダリ サイトでは定期探索を実行できませんが、クライアントから定期探索の DDR を受信することはできます。
セカンダリ サイトでネットワーク探索を実行するか、定期探索の DDR を受信すると、DDR がファイルベースのレプリケーションによって、その親プライマリ サイトに転送されます。 これは、DDR を処理できるのは、プライマリ サイトと中央管理サイトだけだからです。 DDR がどのように処理されるかについては、このトピックの「探索データ レコードについて」を参照してください。
探索を実行する場所を決めるときは、次のことに注意してください。
Active Directory システムの探索、Active Directory ユーザーの探索、または Active Directory グループの探索方法を使用する場合:
ドメイン コントローラーと高速ネットワークで接続されているサイトで実行します。
Active Directory のレプリケーション トポロジを確認し、探索時に最新の情報にアクセスできるようにします。
探索のスコープを構成して、検出する必要のある Active Directory の場所とグループだけが探索されるようにします。
ネットワーク探索を使用する場合:
初めてネットワーク探索を実行するときは、ネットワーク トポロジだけが識別されるように構成します。
ネットワーク トポロジを検出したら、もっと詳しく探索したい領域の中央に位置する特定のサイトで、ネットワーク探索を実行します。
定期探索では、実行するサイトを指定しないので、実行場所の計画をたてるときに考慮する必要はありません。
実際のネットワーク環境とサイト サーバーによって、どのような探索方法が適しているかが異なります。初めて探索を実行するときは、その範囲を制限して、生成された探索データを処理する能力が各サイト サーバーにあるかどうかを確認してください。
探索のベスト プラクティス
次のベスト プラクティス情報は、System Center 2012 Configuration Manager で探索を使用するときに役立ちます。
[Active Directory グループの探索] を実行する前に [Active Directory システムの探索] および [Active Directory ユーザーの探索] を実行する
[Active Directory グループの探索] で、グループのメンバーとして以前に探索されていないユーザーまたはコンピューターが特定されるときに、そのユーザーまたはコンピューターの基本情報の探索が試行されます。 [Active Directory グループの探索] はこの種類の探索用に最適化されていないため、このプロセスによって [Active Directory グループの探索] の実行速度が低下する可能性があります。 さらに、[Active Directory グループの探索] では、ユーザーおよびコンピューターに関する基本情報のみが探索され、完全なユーザーまたはコンピューターの探索レコードは作成されません。 [Active Directory システムの探索] および [Active Directory ユーザーの探索] を実行すると、オブジェクトの種類ごとに追加の Active Directory 属性を使用できます。結果として、[Active Directory グループの探索] がより効率的に実行されます。
[Active Directory グループの探索] を構成する場合、Configuration Manager で使用するグループのみを指定する
[Active Directory グループの探索] でリソースの使用を制御するには、Configuration Manager で使用する Active Directory グループのみを指定します。 これは、[Active Directory グループの探索] が、ユーザー、コンピューター、および入れ子のグループについて、探索する各グループを再帰的に検索するためです。 入れ子の各グループの検索で [Active Directory グループの探索] の範囲を拡張できますが、パフォーマンスは低下します。 さらに、[Active Directory グループの探索] で差分探索を構成すると、この探索方法では、各グループの変更が監視されます。 この方法では、不要なグループを検索する必要があるときに、パフォーマンスがさらに低下します。
完全探索は長い間隔、差分探索は短い頻度で探索方法を構成する
差分探索は完全探索サイクルよりも使用リソースが少なく、Active Directory で新規または変更されたリソースを特定できるため、差分探索を使用すると、完全探索サイクルの頻度を 1 週間に 1 度以下に減らすことができます。 [Active Directory システムの探索]、[Active Directory ユーザーの探索]、および [Active Directory グループの探索] の差分探索によって、Active Directory オブジェクトのほぼすべての変更が特定されます。また、リソースの正確な探索データが維持されます。
Active Directory ドメイン コントローラーに最も近いネットワークの場所にあるプライマリ サイトで Active Directory の探索方法を実行する
Active Directory の探索のパフォーマンスを改善するには、ドメイン コントローラーに対する高速なネットワーク接続があるプライマリ サイトで探索を実行することが推奨されます。 複数のサイトで同じ Active Directory の探索方法を実行する場合、重複を防ぐように各探索方法を構成することが推奨されます。 これまでのバージョンの Configuration Manager とは異なり、探索データは複数のサイトで共有されます。 そのため、複数のサイトで同じ情報を探索する必要はありません。 詳細については、「探索を実行する場所の決定」をご覧ください。
探索データから境界を自動的に作成する計画の場合は、1 つのサイトでのみ [Active Directory フォレストの探索] を実行する
階層内の複数のサイトで [Active Directory フォレストの探索] を実行する場合、1 つのサイトで境界を自動的に作成するオプションのみを有効にすることが推奨されます。 [Active Directory フォレストの探索] は各サイトで実行し、境界を作成するため、Configuration Manager ではこのような境界を 1 つの境界オブジェクトに結合できません。 複数のサイトで境界を自動的に作成するように [Active Directory フォレストの探索] を構成すると、Configuration Manager コンソールで境界オブジェクトが重複する結果になる可能性があります。