クライアントがサイト リソースとサービスを検索する方法

Configuration Manager (現在のブランチ) に適用

Configuration Managerクライアントは、サービスの場所と呼ばれるプロセスを使用してサイト システム サーバーを見つけます。 クライアントはこれらのサーバーと通信でき、クライアントが使用できるサービスを提供します。 クライアント タスクを正常にサポートするようにサイトをより適切に構成するには、クライアントがサービスの場所を使用してサイト リソースを検索する方法とタイミングを理解する必要があります。 これらの構成では、Active Directory Domain Servicesや DNS などのドメインとネットワーク構成を操作するためにサイトが必要な場合があります。 さらに複雑な代替手段を構成する必要もあります。

サービスを提供するサイト システムの役割の例を次に示します。

• クライアントのコア サイト システム サーバー。
• 管理ポイント。
• 配布ポイントやソフトウェアの更新ポイントなど、クライアントが通信できる他のサイト システム サーバー。

サービスの場所の基礎

クライアントがサービスの場所を使用して通信する管理ポイントを見つけると、次の側面が評価されます。

• 現在のネットワークの場所
• 通信プロトコルの優先設定
• 割り当てられたサイト

管理ポイントとのクライアント通信

クライアントは管理ポイント (MP) と通信して、次の点を行います。

• サイトの他の管理ポイントに関する情報をダウンロードします。 次に、将来のサービスの場所サイクルに関する既知の管理ポイントの一覧を作成します。 このリストは MP リストとも呼ばれます。

• インベントリや状態などの構成の詳細をアップロードします。

• クライアントの構成を設定し、インストールするソフトウェアやその他の関連タスクを通知するポリシーをダウンロードします。

• クライアントが使用できるサービスを提供する他のサイト システムの役割に関する情報を要求します。 たとえば、クライアントがインストールできるソフトウェアの配布ポイントや、ソフトウェア更新プログラムに関するメタデータのソフトウェアの更新ポイントなどです。

クライアント サービスの場所要求

Configuration Manager クライアントは、サービスの場所の要求を行います。

• 連続操作の25時間ごと。

• クライアントがネットワーク構成または場所の変更を検出した場合。

• コンピューター上の ccmexec.exe サービスが開始されたとき。 この Windows サービスは、コア クライアント サービスです。

• クライアントが、必要なサービスを提供するサイト システムの役割を見つける必要がある場合。

サイト システムの役割に対するクライアント要求

クライアントがロールをホストするサーバーを検索しようとすると、サービスの場所が使用されます。 HTTP または HTTPS のいずれかの通信プロトコルをサポートするロールを検索しようとします。 既定では、クライアントは使用可能な最も安全な方法を使用します。

• HTTPS を使用するには、公開キー 基盤 (PKI) を使用し、クライアントとサーバーに PKI 証明書をインストールする必要があります。 詳細については、「Configuration Managerの PKI 証明書の要件」を参照してください。

• IIS を使用し、クライアント通信をサポートするロールの場合は、HTTP または HTTPS 用に構成します。 HTTP を使用する場合は、署名と暗号化の選択肢も検討してください。 詳細については、「 署名と暗号化の計画」を参照してください。

重要

バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。

割り当てられた管理ポイントを決定する

プライマリ サイトでは、複数の管理ポイントがサポートされています。 各クライアントは、管理ポイントを既定として個別に識別します。 クライアントが最初にプライマリ サイトに割り当てると、既定の管理ポイントが選択されます。 この既定の管理ポイントは、そのクライアントに 割り当てられた 管理ポイントになります。

ヒント

クライアント のインストール プロパティを使用して、クライアントに割り当てられた管理ポイントを設定できます。 詳細については、「 クライアント インストールのプロパティ」を参照してください。

クライアントは、クライアントの現在のネットワークの場所と境界グループの構成に基づいて、通信する管理ポイントを選択します。 管理ポイントが割り当てられている場合でも、このサーバーはクライアントが使用する管理ポイントではない可能性があります。

注:

クライアントは、登録メッセージと特定のポリシー メッセージに割り当てられた管理ポイントを常に使用します。 この動作は、他の通信がプロキシまたはローカル管理ポイントに送信された場合でも発生します。

優先管理ポイントを使用できます。 推奨される管理ポイントは、クライアントがサイト システム サーバーを検索するために使用する境界グループに関連付けられている、クライアントの割り当てられたサイトからの管理ポイントです。 優先管理ポイントと境界グループの関連付けは、配布ポイントまたは状態移行ポイントを境界グループに関連付ける方法と似ています。 階層の優先管理ポイントを有効にすると、クライアントが割り当てられたサイトの管理ポイントを使用するときに、割り当てられたサイトの他の管理ポイントを使用する前に優先管理ポイントの使用が試行されます。

ヒント

管理ポイント アフィニティは、クライアント上のレジストリ キー構成と共に構成できます。 管理ポイント アフィニティは、割り当てられた管理ポイントの既定の動作をオーバーライドし、クライアントが 1 つ以上の特定の管理ポイントを使用できるようにします。 詳細については、 Microsoft Premier エンジニアからのこのブログ投稿を参照してください。

クライアントが管理ポイントに接続する必要があるたびに、最初に MP リストがチェックされます。 クライアントは、インストール時に初期 MP リストを作成します。 その後、クライアントは、階層内の各管理ポイントに関する詳細を含むリストを定期的に更新します。

クライアントが MP リストに有効な管理ポイントを見つけることができない場合は、サービスの場所のソースを検索します。 使用できる管理ポイントが見つかるまで、次のソースが順番に使用されます。

1. 管理ポイント
2. Active Directory Domain Services (AD DS)
3. DNS

クライアントが管理ポイントを正常に見つけて連絡すると、使用可能な管理ポイントの現在の一覧がダウンロードされます。 次に、独自のローカル MP リストを更新します。

このプロセスは、すべてのクライアントで同じです。 たとえば、インターネット上のConfiguration Manager クライアントがインターネット ベースの管理ポイントに接続すると、管理ポイントはそのクライアントに使用可能なインターネット ベースの管理ポイントの一覧を送信します。 インターネット上にないクライアントは、内部管理ポイントの一覧のみを取得します。

MP リスト

MP リストは、クライアントに推奨されるサービスの場所のソースです。 これは、クライアントが以前に識別した管理ポイントの優先順位付けされた一覧です。 クライアントは、現在のネットワークの場所に基づいて MP リストを並べ替えます。 WMI にリストをローカルに格納します。

最初の MP リストを作成する

クライアントのインストール中に、クライアントは次の規則を使用して最初の MP リストを作成します。

• クライアントのインストール中に指定された管理ポイントを含めます。 たとえば、 プロパティまたは/mpパラメーターを使用するSMSMP場合です。

• 発行された管理ポイントに対して AD DS にクエリを実行します。 クライアントは、割り当てられたサイトと同じ製品バージョンにある AD DS の管理ポイントを識別します。

• 最初の 2 つのルールから管理ポイントが取得されない場合、クライアントは公開された管理ポイントの DNS をチェックします。

MP リスト カテゴリ

クライアントは、次のカテゴリを使用して管理ポイントの一覧を整理します。

• プロキシ: セカンダリ サイトの管理ポイント。

• ローカル: サイトの境界によって定義される、クライアントの現在のネットワークの場所に関連付けられている任意の管理ポイント。

  • クライアントが複数の境界グループに属している場合、クライアントの現在のネットワークの場所を含むすべての境界の和集合からローカル管理ポイントの一覧が決定されます。

  • ローカル管理ポイントは、通常、クライアントに割り当てられた管理ポイントのサブセットです。 クライアントが、その境界グループにサービスを提供する管理ポイントを持つ別のサイトに関連付けられているネットワーク上の場所に存在しない限り。

• 割り当て済み: クライアントの割り当てられたサイト内にある管理ポイント。

優先管理ポイントを使用できます。 境界グループに関連付けられていないサイト、またはクライアントの現在のネットワークの場所に関連付けられている境界グループにないサイトの管理ポイントは、推奨されません。 クライアントは、使用可能な優先管理ポイントが見つからない場合に、これらの管理ポイントを使用します。

使用する管理ポイントを選択する

一般的な通信では、クライアントは、クライアントのネットワークの場所に基づいて、次の順序で管理ポイントを使用しようとします。

1. プロキシ
2. ローカル
3. 割り当て済み

クライアントは、登録メッセージと特定のポリシー メッセージに割り当てられた管理ポイントを常に使用します。 この動作は、他の通信をプロキシまたはローカル管理ポイントに送信する場合でも発生します。

各 カテゴリ内では、クライアントは、次の順序で、基本設定に基づいて管理ポイントを使用しようとします。

1. クライアントが HTTPS 通信用に構成されている場合:
   1. 信頼されたフォレストまたはローカル フォレスト内の HTTPS 対応
   2. 信頼されたフォレストまたはローカル フォレスト内にない HTTPS 対応
2. 信頼されたフォレストまたはローカル フォレスト内の HTTP 対応
3. 信頼されたフォレストまたはローカル フォレスト内にない HTTP 対応

優先順に並べ替えられた一連の管理ポイントから、クライアントはリストの最初の管理ポイントの使用を試みます。 この並べ替えられた管理ポイントの一覧は、それ以外の場合はランダム化され、それ以上並べ替えることはできません。 リストの順序は、クライアントが MP リストを更新するたびに変更できます。

クライアントが最初の管理ポイントに接続できない場合は、その一覧で連続する各管理ポイントが試行されます。 優先されていない管理ポイントを試す前に、カテゴリ内の各優先管理ポイントを試行します。 クライアントがカテゴリ内の管理ポイントと正常に通信できない場合は、使用する管理ポイントが見つかるまで、次のカテゴリの優先管理ポイントに接続しようとします。

クライアントは、管理ポイントとの通信を確立した後、次のまで同じ管理ポイントを使用し続けます。

• クライアントは、10 分間にわたって 5 回の試行で管理ポイントと通信できません。

次に、クライアントは、使用する新しい管理ポイントをランダムに選択します。

Active Directory

ドメインに参加しているクライアントは、サービスの場所に AD DS を使用できます。 この動作では、サイトが Active Directory にデータを発行する必要があります。

クライアントは、次のすべての条件に該当する場合に、サービスの場所に AD DS を使用できます。

• Active Directory スキーマを拡張しました。

• 発行用に Active Directory フォレストを構成し、発行するようにConfiguration Manager サイトを構成しました。

• クライアント コンピューターは Active Directory ドメインのメンバーであり、グローバル カタログ サーバーにアクセスできます。

AD DS からのサービスの場所に使用する管理ポイントが見つからない場合、クライアントは DNS の使用を試みます。

DNS

イントラネット上のクライアントは、サービスの場所に DNS を使用できます。 この動作では、管理ポイントに関する情報を DNS に公開するには、階層内の少なくとも 1 つのサイトが必要です。

次のいずれかの条件に該当する場合は、サービスの場所に DNS を使用することを検討してください。

• CONFIGURATION MANAGERをサポートするように AD DS スキーマを拡張していません。

• イントラネット上のクライアントは、Configuration Manager発行を有効にしていないフォレスト内にあります。

• ワークグループ コンピューター上にクライアントがあり、これらのクライアントをインターネット専用クライアント管理用に構成していません。 インターネット用に構成されたワークグループ クライアントは、インターネットに接続する管理ポイントとのみ通信し、サービスの場所に DNS を使用しません。

• DNS から管理ポイントを検索するようにクライアントを構成できます。

サイトが管理ポイントのサービスの場所レコードを DNS に発行する場合:

• 発行は、イントラネットからのクライアント接続を受け入れる管理ポイントにのみ適用されます。

• 発行すると、管理ポイント サーバーの DNS ゾーンにサービスロケーション リソース レコード (SRV RR) が追加されます。 そのサーバーには、DNS に対応するホスト エントリが必要です。

既定では、ドメインに参加しているクライアントは、クライアントのローカル ドメインからの管理ポイント レコードの DNS を検索します。 別のドメイン サフィックスを指定するように クライアント インストール プロパティ を構成できます。

詳細については、「 DNS 公開を使用して管理ポイントを検索するようにクライアント コンピューターを構成する方法」を参照してください。

管理ポイントを DNS に発行する

DNS に管理ポイントを発行するには、次の 2 つの条件が満たされている必要があります。

• DNS サーバーは、少なくとも 8.1.2 のバージョンの BIND を使用して、サービスの場所のリソース レコードをサポートします。

• Configuration Managerの管理ポイントに指定されたイントラネット FQDN には、DNS にホスト エントリ (A レコード) があります。

重要

Configuration Manager DNS 発行では、不整合な名前空間はサポートされていません。 不整合な名前空間がある場合は、管理ポイントを DNS に手動で発行できます。 他のいずれかのサービスの場所メソッドを使用することもできます。

DNS 構成シナリオ

DNS サーバーは自動更新をサポートしています

イントラネット上の管理ポイントを DNS に自動的に発行するようにConfiguration Managerを構成することも、これらのレコードを DNS に手動で発行することもできます。 管理ポイントConfiguration Manager DNS に発行すると、イントラネット FQDN とポート番号がサービスの場所 (SRV) レコードに追加されます。 DNS 発行は、サイトの 管理ポイント コンポーネントのプロパティで構成します。 詳細については、「 サイト コンポーネント - 管理ポイント」を参照してください。

動的更新の場合、DNS ゾーンは "セキュリティ保護のみ" に設定されています

既定のアクセス許可では、最初の管理ポイントのみが DNS に正常に発行できます。

DNS レコードを正常に発行および変更できる管理ポイントが 1 つだけの場合、クライアントはその管理ポイントから完全な MP リストを取得できます。 発行された 1 つの管理ポイントが正常である限り、クライアントは任意の管理ポイントを見つけることができます。

DNS サーバーは自動更新をサポートしていませんが、サービスの場所レコードをサポートします

このシナリオでは、管理ポイントを DNS に手動で発行します。 サービスの場所リソース レコード (SRV RR) を手動で構成します。 Configuration Managerでは、サービスの場所レコードに対して RFC 2782 がサポートされています。 これらのレコードの形式は次のとおりです。 _Service._Protocol.Name TTL Class SRV Priority Weight Port Target

管理ポイントを Configuration Manager に発行するには、次の値を指定します。

• _Service: _mssms_mp_<sitecode>。 たとえば、_mssms_mp_xyz のように指定します。
• ._Protocol: ._tcp
• .名前: 管理ポイントの DNS サフィックスを指定します(例: contoso.com
• TTL: 4 時間使用 14400 します。
• クラス: RFC 1035 に指定 IN します。
• Priority: Configuration Managerはこのフィールドを使用しません。
• 重み: Configuration Managerはこのフィールドを使用しません。
• ポート: 管理ポイントが使用するポート番号を指定します。 たとえば、 443 既定では HTTPS です。
• ターゲット: 管理ポイントの役割を持つサイト システム サーバーのイントラネット FQDN を指定します。

Windows Server DNS の構成

Windows Server DNS を使用する場合は、次の手順に従ってイントラネット管理ポイントのこの DNS レコードを入力します。

サイトの自動発行を構成する

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サイト] ノードを選択します。

2. 発行を構成するサイトを選択します。 リボンで、[ サイト コンポーネントの構成 ] を選択し、[ 管理ポイント] を選択します。

3. 発行する管理ポイントを選択します。 この選択は、AD DS と DNS の発行に適用されます。

4. [ DNS で選択したイントラネット管理ポイントを発行する] オプションを有効にします。

Windows Server 上の DNS に管理ポイントを手動で発行する

1. DNS 管理コンソールで、管理ポイント コンピューターの DNS ゾーンを選択します。

2. サイト システムのイントラネット FQDN のホスト レコード (A または AAAA) があることを確認します。 このレコードが存在しない場合は、作成します。

3. [ 新しいその他のレコード] を選択し、[ サービスの場所 (SRV)] を選択し、[ レコードの作成] を選択します。

4. 次の情報を指定し、[完了] を選択 します。

   • ドメイン: 必要に応じて、管理ポイントの DNS サフィックス (例: contoso.com) を入力します。
   • サービス: _mssms_mp_<sitecode>。 たとえば、_mssms_mp_xyz のように指定します。
   • プロトコル: ._tcp
   • Priority: Configuration Managerはこのフィールドを使用しません。
   • 重み: Configuration Managerはこのフィールドを使用しません。
   • ポート: 管理ポイントが使用するポート番号を指定します。 たとえば、 443 既定では HTTPS です。
   • このサービスを提供するホスト: 管理ポイントの役割を持つサイト システム サーバーのイントラネット FQDN を指定します。

DNS に発行するイントラネット上の管理ポイントごとに、これらの手順を繰り返します。