Configuration Managerに使用する検出方法を選択する
Configuration Manager (現在のブランチ) に適用
Configuration Managerの検出を正常かつ効率的に使用するには、使用する方法と実行するサイトを検討する必要があります。
検出によって大量のネットワーク トラフィックが生成される可能性があり、結果として得られる探索データ レコード (DDR) では処理中に大量の CPU リソースを使用できるため、目標を達成するために必要な検出方法のみを使用します。 最初に 1 つまたは 2 つの検出方法のみを使用し、後で制御された方法で追加のメソッドを有効にして、環境内の検出レベルを拡張できます。 このトピックの情報は、情報に基づいた意思決定を行う際に役立ちます。
さまざまな検出方法の詳細については、「Configuration Managerの検出方法について」を参照してください。
さまざまなものを検出する方法を選択する
潜在的なConfiguration Managerクライアント コンピューターまたはユーザー リソースを検出するには、適切な検出方法を有効にする必要があります。 さまざまな検出方法の組み合わせを使用して、さまざまなリソースを見つけ、それらのリソースに関する追加情報を検出できます。 使用する検出方法によって、検出されるリソースの種類と、検出プロセスで使用されるConfiguration Managerサービスとエージェントが決まります。 また、検出できるリソースに関する情報の種類も決定されます。
コンピューターを検出する
コンピューターを検出する場合は、 Active Directory システム検出 または ネットワーク検出を使用できます。
たとえば、クライアント プッシュ インストールを使用する前にConfiguration Manager クライアントをインストールできるリソースを検出する場合は、Active Directory システム検出を実行できます。 この方法を使用すると、リソースを検出するだけでなく、Active Directory Domain Servicesから基本情報を検出することもできます。 この情報は、クライアント設定またはコンテンツ展開の割り当てに使用する複雑なクエリとコレクションを作成する場合に役立ちます。
または、Network Discovery を実行し、そのオプションを使用してリソースのオペレーティング システムを検出することもできます (後でクライアント プッシュ インストールを使用するために必要)。 Network Discovery では、他の検出方法では取得できないネットワーク トポロジに関する情報が提供されます。 ただし、この方法では、Active Directory 環境に関する情報は提供されません。
ハートビート検出というメソッドもあります。 ハートビート検出のみを使用して、クライアント プッシュ インストール以外の方法でインストールしたクライアントを強制的に検出できます。 ただし、他の検出方法とは異なり、ハートビート検出では、アクティブなConfiguration Manager クライアントを持たないコンピューターを検出できません。 これは、そのレコードの基礎ではなく、既存のデータベース レコードを維持することを目的とした限られた情報セットを返します。 Heartbeat Discovery によって送信された情報では、複雑なクエリやコレクションを構築するのに十分でない場合があります。
Active Directory グループ探索を使用して指定したグループのメンバーシップを検出する場合は、限られたシステムまたはコンピューター情報を検出できます。 これは、コンピューターの完全な検出を置き換えるのではなく、基本情報を提供できます。 この情報は、クライアント プッシュ インストールには不十分です。
ユーザーの検出
ユーザーに関する情報を検出する場合は、 Active Directory ユーザー検出を使用します。 Active Directory システム検出と同様に、このメソッドは Active Directory からユーザーを検出します。 これには、拡張 Active Directory 情報に加えて、基本的な情報も含まれます。 この情報を使用して、コンピューターと同様の複雑なクエリとコレクションを作成できます。
グループ情報を検出する
グループとグループ メンバーシップに関する情報を検出する場合は、 Active Directory グループ探索を使用します。 この検出方法は、セキュリティ グループのリソース レコードを作成します。
このメソッドを使用すると、特定の Active Directory グループを検索して、そのグループ内の入れ子になったグループに加えて、そのグループのメンバーを識別できます。 このメソッドを使用して、Active Directory の場所でグループを検索し、その場所の各子コンテナーを再帰的にActive Directory Domain Servicesで検索することもできます。
この検出方法では、配布グループのメンバーシップを検索することもできます。 これにより、ユーザーとコンピューターの両方のグループ関係を識別できます。
グループを検出すると、そのメンバーに関する限定的な情報を見つけることもできます。 ただし、Active Directory システムまたはユーザー検出方法は置き換わりません。 通常、複雑なクエリとコレクションを構築したり、クライアント プッシュ インストールの基礎として機能したりするには不十分です。
インフラストラクチャの検出
ネットワーク インフラストラクチャの検出には、Active Directory フォレスト探索とネットワーク探索の 2 つの方法があります。
Active Directory フォレスト探索を使用して、Active Directory フォレストでサブネットと Active Directory サイトの構成に関する情報を検索します。 これらの構成は、境界の場所としてConfiguration Managerに自動的に入力できます。
ネットワーク トポロジを検出する場合は、ネットワーク探索を使用します。 他の検出方法では、Active Directory Domain Servicesに関連する情報が返され、クライアントの現在のネットワークの場所を識別できますが、ネットワークのサブネットとルーター トポロジに基づくインフラストラクチャ情報は提供されません。
検出データがサイト間で共有される
Configuration Managerデータベースに検出データを追加すると、階層内のすべてのサイトですばやく共有されます。 通常、階層内の複数のサイトで同じ情報を検出してもメリットがないため、1 つのサイトで実行するために使用する各検出方法の 1 つのインスタンスを設定することを検討してください。 異なるサイトで 1 つのメソッドの複数のインスタンスを実行するのではなく、これを行うことをお勧めします。
ただし、一部の環境では、同じ検出方法を複数のサイトで実行するように割り当て、それぞれ個別の構成とスケジュールを設定すると便利な場合があります。 たとえば、ネットワーク検出を使用する場合は、WAN 経由ですべてのネットワークの場所を検出するのではなく、各サイトにローカル ネットワークを検出するように指示できます。
同じ検出方法の複数のインスタンスを異なるサイトで実行するように構成する場合は、各サイトの構成を慎重に計画してください。 2 つ以上のサイトがネットワークまたは Active Directory から同じリソースを検出しないようにする必要があります。 これにより、追加のネットワーク帯域幅が消費され、重複する DDR が作成される可能性があります。
次の表は、さまざまな検出方法を設定できるサイトを示しています。
| 検出方法 | サポートされている場所 |
|---|---|
| Active Directory フォレストの検出 | 中央管理サイト プライマリ サイト |
| Active Directory グループの検出 | プライマリ サイト |
| Active Directory システム検出 | プライマリ サイト |
| Active Directory ユーザー検出 | プライマリ サイト |
| ハートビート検出1 | プライマリ サイト |
| ネットワーク検出 | プライマリ サイト セカンダリ サイト |
1 セカンダリ サイトはハートビート検出を構成できませんが、クライアントからハートビート DDR を受信できます。
セカンダリ サイトは、ネットワーク探索を実行するか、ハートビート検出 DDR を受信すると、ファイル ベースのレプリケーションによって DDR を親プライマリ サイトに転送します。 これは、プライマリ サイトと中央管理サイトのみが DDR を処理できるためです。 DDR の処理方法の詳細については、「 検出データ レコードについて」を参照してください。
さまざまな検出方法に関する考慮事項
サイト サーバーとネットワーク環境はそれぞれ異なるため、検出の初期構成を制限することをお勧めします。 次に、生成された検出データを処理する機能について、各サイト サーバーを注意深く監視します。
システム、ユーザー、またはグループに Active Directory 検出方法を使用する場合:
ドメイン コントローラーへの高速ネットワーク接続を持つサイトで検出を実行します。
検出が最新の情報にアクセスできることを確認するには、Active Directory レプリケーション トポロジを検討してください。
検出構成のスコープを検討し、検出する必要がある Active Directory の場所とグループのみに検出を制限します。
ネットワーク検出を使用する場合:
限られた初期構成を使用して、ネットワーク 地形を識別します。
ネットワーク 地形を特定したら、より完全に検出するネットワーク領域の中心となる特定のサイトで実行するようにネットワーク探索を設定します。
ハートビート検出は特定のサイトでは実行されないため、検出を実行する場所の一般的な計画で考慮する必要はありません。
検出のベスト プラクティス
検出で最適な結果を得るには、次のことをお勧めします。
Active Directory グループ探索を実行する前に、Active Directory システム検出と Active Directory ユーザー検出を実行します。
Active Directory グループ検出では、以前に検出されていないユーザーまたはコンピューターがグループのメンバーとして識別されると、ユーザーまたはコンピューターの基本的な詳細の検出が試行されます。 Active Directory グループ探索は、この種類の検出用に最適化されていないため、このプロセスによって実行速度が低下する可能性があります。 さらに、Active Directory グループ探索では、検出されたユーザーとコンピューターに関する基本的な詳細のみが識別され、完全なユーザーまたはコンピューターの検出レコードは作成されません。 Active Directory システム検出と Active Directory ユーザー検出を実行すると、オブジェクトの種類ごとに追加の Active Directory 属性を使用できます。 その結果、Active Directory グループ探索がより効率的に実行されます。
Active Directory グループ探索を設定するときは、Configuration Managerで使用するグループのみを指定します。
Active Directory グループ探索によるリソースの使用を制御するには、Configuration Managerで使用するグループのみを指定します。 これは、Active Directory グループ探索では、検出された各グループがユーザー、コンピューター、入れ子になったグループを再帰的に検索するためです。 入れ子になった各グループを検索すると、Active Directory グループ探索のスコープを拡張し、パフォーマンスを低下させることができます。 さらに、Active Directory グループ探索の差分検出を設定すると、検出方法によって各グループの変更が監視されます。 これにより、メソッドが不要なグループを検索する必要がある場合のパフォーマンスがさらに低下します。
完全検出の間隔が長く、デルタ探索の頻度が高い検出方法を設定します。
差分検出では、完全な検出サイクルよりも少ないリソースが使用され、Active Directory 内の新しいリソースまたは変更されたリソースを特定できるため、完全検出サイクルの頻度を減らして毎週 (またはそれより少ない) 実行できます。 Active Directory システム検出、Active Directory ユーザー検出、および Active Directory グループ探索のデルタ検出は、Active Directory オブジェクトのほぼすべての変更を識別し、リソースの正確な検出データを維持できます。
Active Directory ドメイン コントローラーに最も近いネットワークの場所を持つプライマリ サイトで Active Directory 検出メソッドを実行します。
Active Directory 検出のパフォーマンスを向上させるには、ドメイン コントローラーへのネットワーク接続が高速なプライマリ サイトで検出を実行することをお勧めします。 複数のサイトで同じ Active Directory 検出方法を実行する場合は、重複しないように各検出方法を設定します。 過去のバージョンのConfiguration Managerとは異なり、検出データはサイト間で共有されます。 そのため、複数のサイトで同じ情報を検出する必要はありません。 詳細については、「 検出データがサイト間で共有される」を参照してください。
検出データから境界を自動的に作成する予定の場合は、1 つのサイトでのみ Active Directory フォレスト探索を実行します。
階層内の複数のサイトで Active Directory フォレスト探索を実行する場合は、1 つのサイトで境界を自動的に作成するオプションのみを有効にすることをお勧めします。 これは、Active Directory フォレスト探索が各サイトで実行され、境界が作成された場合、Configuration Managerそれらの境界を 1 つの境界オブジェクトにマージできないためです。 複数のサイトに境界を自動的に作成するように Active Directory フォレスト検出を構成すると、Configuration Manager コンソールで境界オブジェクトが複製される可能性があります。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示