Obsługa domen usługi Active Directory w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Wszystkie Configuration Manager systemy lokacji muszą być członkami obsługiwanej domeny usługi Active Directory. Configuration Manager komputery klienckie mogą być członkami domeny lub członkami grupy roboczej.
Wymagania i ograniczenia
Członkostwo w domenie dotyczy również systemów lokacji, które obsługują internetowe zarządzanie klientami w sieci obwodowej. (Te sieci są również nazywane strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną).
Zmiana następujących konfiguracji komputera, który hostuje rolę systemu lokacji, nie jest obsługiwana:
Członkostwo w domenie, w tym w przypadku usunięcia systemu lokacji z domeny, a następnie ponownego dołączenia do tej samej domeny.
Nazwa domeny
Nazwa komputera
Przed wprowadzeniem tych zmian odinstaluj rolę systemu lokacji. Aby wprowadzić te zmiany na serwerze lokacji, najpierw odinstaluj lokację. Możesz również rozważyć utworzenie serwera lokacji w trybie pasywnym , aby ułatwić zarządzanie tą zmianą na serwerze lokacji.
Configuration Manager obsługuje poziom funkcjonalności domeny i lasu systemu Windows Server 2008 R2 lub nowszego.
Rozłączana przestrzeń nazw
Możesz zainstalować Configuration Manager systemy lokacji i klientów w domenie z rozłączaną przestrzenią nazw.
W rozłącznej przestrzeni nazw podstawowy sufiks DNS komputera nie jest zgodny z nazwą domeny DNS usługi Active Directory tego komputera. Inny scenariusz rozłącznej przestrzeni nazw występuje, jeśli nazwa domeny NetBIOS kontrolera domeny nie jest zgodna z nazwą domeny DNS usługi Active Directory.
Scenariusze rozłączne
W poniższych sekcjach opisano obsługiwane scenariusze dla rozłącznej przestrzeni nazw.
Scenariusz 1
Podstawowy sufiks DNS kontrolera domeny różni się od nazwy domeny DNS usługi Active Directory. Komputery będące członkami domeny mogą być rozłączne lub nierozłączne.
Kontroler domeny jest rozłączne w tym scenariuszu. Komputery będące członkami domeny, takie jak serwery lokacji i komputery, mogą mieć podstawowy sufiks DNS, który odpowiada:
- Podstawowy sufiks DNS kontrolera domeny
- Nazwa domeny DNS usługi Active Directory
Scenariusz 2
Komputer członkowski w domenie usługi Active Directory jest rozłączne, mimo że kontroler domeny nie jest rozłączne.
W tym scenariuszu podstawowy sufiks DNS systemu lokacji różni się od nazwy domeny DNS usługi Active Directory. Podstawowy sufiks DNS kontrolera domeny jest taki sam jak nazwa domeny DNS usługi Active Directory. Komputery członkowskie, które są Configuration Manager klienci mogą mieć podstawowy sufiks DNS, który odpowiada:
- Podstawowy sufiks DNS rozłącznego serwera systemu lokacji
- Nazwa domeny DNS usługi Active Directory
Konfigurowanie rozłączanego obszaru nazw
Aby zezwolić komputerowi na dostęp do kontrolerów domeny, które są rozłączne, zmień atrybut msDS-AllowedDNSSuffixes usługi Active Directory w kontenerze obiektów domeny. Dodaj oba sufiksy DNS do atrybutu.
Aby upewnić się, że lista wyszukiwania sufiksów DNS zawiera wszystkie przestrzenie nazw DNS w organizacji, skonfiguruj listę wyszukiwania dla każdego komputera w domenie rozłączanej. Na liście przestrzeni nazw dołącz następujące sufiksy:
- Podstawowy sufiks DNS kontrolera domeny
- Nazwa domeny DNS
- Wszelkie dodatkowe przestrzenie nazw dla innych serwerów, z którymi Configuration Manager mogą się komunikować
Za pomocą zasad grupy można skonfigurować listę wyszukiwania sufiksów systemu nazw domen (DNS ).
Ważna
Podczas odwoływania się do komputera w Configuration Manager wprowadź komputer przy użyciu jego sufiksu podstawowego DNS. Ten sufiks powinien być zgodny z w pełni kwalifikowaną nazwą domeny zarejestrowaną jako atrybut dnsHostName w domenie usługi Active Directory i nazwą główną usługi skojarzoną z systemem.
Domeny z jedną etykietą
Configuration Manager obsługuje systemy lokacji i klientów w domenie z jedną etykietą, gdy spełnione są następujące kryteria:
Skonfiguruj domenę z pojedynczą etykietą w Active Directory Domain Services z rozłączaną przestrzenią nazw DNS, która ma prawidłową domenę najwyższego poziomu.
Na przykład: Domena pojedynczej etykiety firmy Contoso jest skonfigurowana tak, aby miała rozłączną przestrzeń nazw w systemie DNS contoso.com. Po określeniu sufiksu DNS w Configuration Manager dla komputera w domenie contoso należy określić "Contoso.com", a nie "Contoso".
Połączenia modelu obiektów składników rozproszonych (DCOM) między serwerami lokacji w kontekście systemu muszą zakończyć się pomyślnie przy użyciu uwierzytelniania Kerberos.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla