サイト発行用に Active Directory を準備する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Configuration Managerの Active Directory スキーマを拡張すると、Active Directory に新しい構造が導入されます。 Configuration Managerサイトでは、これらの新しい構造を使用して、クライアントが簡単にアクセスできるセキュリティで保護された場所にキー情報を公開します。

オンプレミス クライアントを管理する場合は、Configuration Managerの Active Directory スキーマを拡張する必要があります。 拡張スキーマを使用すると、クライアントのデプロイと設定のプロセスを簡略化できます。 また、拡張スキーマを使用すると、クライアントはコンテンツ サーバーなどのリソースを効率的に見つけることができます。 スキーマの拡張は、任意のフォレストに対する 1 回限りのアクションです。

Configuration Managerの拡張スキーマの利点に慣れていない場合は、「Configuration Managerのスキーマ拡張機能」を参照してください。

拡張スキーマを使用しない場合は、DNS などの他の方法を設定して、サービスやサイト システム サーバーを見つけることができます。 これらのサービスの場所の方法では、他の構成が必要であり、クライアントによるサービスの場所に適した方法ではありません。 詳細については、「クライアントがConfiguration Managerのサイト リソースとサービスを検索する方法について」を参照してください。

Active Directory スキーマが Configuration Manager 2007 または System Center 2012 Configuration Manager用に拡張された場合は、それ以上の操作を行う必要はありません。 スキーマ拡張機能は変更されず、既に設定されています。

手順 1: スキーマを拡張する

Configuration Managerのスキーマを拡張するには:

  • Schema Admins セキュリティ グループのメンバーであるアカウントを使用します。

  • そのアカウントでスキーマ マスター ドメイン コントローラーにサインインします。

次に、次のいずれかのオプションを使用して、新しいクラスと属性を Active Directory スキーマに追加します。

オプション A: extadsch.exe ツールを使用する

このツールは、Configuration Managerインストール メディアの SMSSETUP\BIN\X64 フォルダーにあります。

  1. コマンド ラインを開き、 extadsch.exeを実行します。

    ヒント

    コマンド ラインからこのツールを実行して、実行中のフィードバックを表示します。

  2. スキーマ拡張機能が成功したことを確認するには、システム ドライブのルートにある extadsch.log を確認します。

オプション B: LDIF ファイルを使用する

このファイルは、Configuration Manager インストール メディアの SMSSETUP\BIN\X64 フォルダーにあります。

  1. ConfigMgr_ad_schema.ldf ファイルのコピーを作成します。 メモ帳で編集し、拡張する Active Directory ルート ドメインを定義します。 ファイル内のテキスト DC=x のすべてのインスタンスを、拡張するドメインの完全な名前に置き換えます。 たとえば、拡張するドメインのフル ネームが widgets.contoso.com という名前の場合は、ファイル内のすべての インスタンス DC=x を に DC=widgets, DC=contoso, DC=com変更します。

  2. LDIFDE コマンド ライン ユーティリティを使用して、ConfigMgr_ad_schema.ldf ファイルの内容をActive Directory Domain Servicesにインポートします。 たとえば、次のコマンド ラインはスキーマ拡張機能をインポートし、詳細ログを有効にして、一時ディレクトリにログ ファイルを作成します。

    ldifde -i -f ConfigMgr_ad_schema.ldf -v -j "%temp%"

    詳細については、「 コマンド ライン リファレンス: Ldifde」を参照してください。

  3. スキーマ拡張機能が成功したことを確認するには、ldifde ログ ファイルを確認します。

手順 2: システム管理コンテナー

スキーマを拡張したら、Active Directory Domain Servicesで System Management という名前のコンテナーを作成します。 Active Directory にデータを発行する構成サイトを持つ各ドメインで、このコンテナーを 1 回作成します。 コンテナーごとに、そのドメインにデータを発行する各サイト サーバーのコンピューター アカウントにアクセス許可を付与する必要があります。

  1. Active Directory Domain Servicesのシステム コンテナーに対する [すべての子オブジェクトの作成] アクセス許可を持つアカウントを使用します。

  2. ADSI Edit (adsiedit.msc) を実行し、サイト サーバーのドメインに接続します。

  3. コンテナーを作成します。

    1. 完全修飾ドメイン名を展開し、識別名を展開します。 [CN=System] を右クリックし、[新規] を選択し、[オブジェクト] を選択します

    2. [ オブジェクトの作成 ] ウィンドウで、[ コンテナー] を選択し、[ 次へ] を選択します。

    3. [ ] ボックスに「」と入力 System Managementし、[ 次へ] を選択します。

  4. アクセス許可の割り当て:

    注:

    必要に応じて、Active Directory ユーザーとコンピューター管理ツール (dsa.msc) などの他のツールを使用して、コンテナーにアクセス許可を追加できます。

    1. [CN=システム管理] を右クリックし、[プロパティ] を選択します

    2. [ セキュリティ ] タブに切り替えます。[ 追加] を選択し、[ フル コントロール ] アクセス許可を持つサイト サーバーのコンピューター アカウントを追加します。

      このドメイン内の各Configuration Manager サイト サーバーのコンピューター アカウントを追加します。 サイト サーバーの高可用性を使用する場合は、サイト サーバーのコンピューター アカウントをパッシブ モードで含める必要があります。

    3. [ 詳細設定] を選択し、サイト サーバーのコンピューター アカウントを選択し、[編集] を選択 します

    4. [ 適用先 ] ボックスの一覧で、[ このオブジェクト] と [すべての子孫オブジェクト] を選択します。

    5. [ OK] を選択 して構成を保存します。

次の手順

コンテナーを作成し、アクセス許可を付与したら、Configuration Manager サイトを構成して Active Directory にデータを発行します。

Configuration Managerのサイト データを発行する