Configuration Manager Active Directory etki alanları için destekSupport for Active Directory domains in Configuration Manager

Uygulama hedefi: Configuration Manager (geçerli dal)Applies to: Configuration Manager (current branch)

Tüm Configuration Manager site sistemleri desteklenen bir Active Directory etki alanının üyesi olmalıdır.All Configuration Manager site systems must be members of a supported Active Directory domain. Configuration Manager istemci bilgisayarları etki alanı üyeleri veya çalışma grubu üyeleri olabilir.Configuration Manager client computers can be domain members or workgroup members.

Gereksinimler ve sınırlamalarRequirements and limitations

  • Etki alanı üyeliği Ayrıca bir çevre ağında Internet tabanlı istemci yönetimini destekleyen site sistemleri için de geçerlidir.Domain membership also applies to site systems that support internet-based client management in a perimeter network. (Bu ağlar DMZ, sivil bölge ve denetimli alt ağ olarak da bilinir).(These networks are also known as a DMZ, demilitarized zone, and screened subnet).

  • Bir site sistem rolü barındıran bir bilgisayar için aşağıdaki yapılandırmaların değiştirilmesi desteklenmez:It's not supported to change the following configurations for a computer that hosts a site system role:

    • Etki alanından bir site sistemini kaldırıp aynı etki alanına yeniden katılırsınız da dahil olmak üzere etki alanı üyeliği.Domain membership, including if you remove a site system from the domain, and then rejoin the same domain.

    • Etki alanı adıDomain name

    • Bilgisayar adıComputer name

    Bu değişiklikleri yapmadan önce, site sistem rolünü kaldırın.Before making these changes, uninstall the site system role. Bir site sunucusunda bu değişiklikleri yapmak için önce siteyi kaldırın.To make these changes to a site server, uninstall the site first. Ayrıca, site sunucusunda bu değişikliği yönetmeye yardımcı olması için pasif modda bir site sunucusu oluşturmayı düşünebilirsiniz.You can also consider creating a site server in passive mode to help manage this change on a site server.

  • Configuration Manager, Windows Server 2008 R2 veya üzeri etki alanı ve orman işlev düzeyini destekler.Configuration Manager supports domain and forest functional level of Windows Server 2008 R2 or later.

Ayrık ad alanıDisjoint namespace

Configuration Manager site sistemlerini ve istemcileri ayrık ad alanınasahip bir etki alanına yükleyebilirsiniz.You can install Configuration Manager site systems and clients in a domain that has a disjoint namespace.

Ayrık bir ad alanında, bir bilgisayarın birincil DNS son eki bu bilgisayarın Active Directory DNS etki alanı adıyla eşleşmez.In a disjoint namespace, the primary DNS suffix of a computer doesn't match the Active Directory DNS domain name of that computer. Etki alanı denetleyicisinin NetBIOS etki alanı adı Active Directory DNS etki alanı adıyla eşleşmezse, başka bir ayrık ad alanı senaryosu oluşur.Another disjoint namespace scenario occurs if the NetBIOS domain name of a domain controller doesn't match the Active Directory DNS domain name.

Ayrık senaryolarDisjoint scenarios

Aşağıdaki bölümlerde ayrık ad alanı için desteklenen senaryolar tanımlanır.The following sections identify the supported scenarios for a disjoint namespace.

Senaryo 1Scenario 1

Etki alanı denetleyicisinin birincil DNS soneki, Active Directory DNS etki alanı adından farklıdır.The primary DNS suffix of the domain controller differs from the Active Directory DNS domain name. Etki alanının üyesi olan bilgisayarlar ayrık olabilir veya olmayabilir.Computers that are members of the domain can be either disjoint or not disjoint.

Etki alanı denetleyicisi bu senaryoda ayrıktır.The domain controller is disjoint in this scenario. Etki alanının site sunucusu ve bilgisayar gibi üyesi olan bilgisayarların, eşleşen bir birincil DNS soneki olabilir:Computers that are members of the domain, such as site servers and computers, can have a primary DNS suffix that either matches:

  • Etki alanı denetleyicisinin birincil DNS son ekiThe primary DNS suffix of the domain controller
  • Active Directory DNS etki alanı adıThe Active Directory DNS domain name

Senaryo 2Scenario 2

Etki alanı denetleyicisi kopuk olmasa da Active Directory etki alanındaki üye bir bilgisayar kopuk.A member computer in an Active Directory domain is disjoint, even though the domain controller isn't disjoint.

Bu senaryoda, bir site sisteminin birincil DNS son eki Active Directory DNS etki alanı adından farklıdır.In this scenario, the primary DNS suffix of a site system differs from the Active Directory DNS domain name. Etki alanı denetleyicisinin birincil DNS soneki, Active Directory DNS etki alanı adıyla aynıdır.The primary DNS suffix of the domain controller is the same as the Active Directory DNS domain name. Configuration Manager istemcileri olan üye bilgisayarlarda, eşleşen birincil DNS son eki olabilir:Member computers that are Configuration Manager clients can have a primary DNS suffix that either matches:

  • Ayrık site sistemi sunucusunun birincil DNS son ekiThe primary DNS suffix of the disjoint site system server
  • Active Directory DNS etki alanı adıThe Active Directory DNS domain name

Ayrık ad alanını YapılandırConfigure disjoint namespace

Bir bilgisayarın ayrık etki alanı denetleyicilerine erişmesine izin vermek için, etki alanı nesne kapsayıcısında msDS-AllowedDNSSuffixes Active Directory özniteliğini değiştirin.To allow a computer to access domain controllers that are disjoint, change the msDS-AllowedDNSSuffixes Active Directory attribute on the domain object container. Özniteliğe her iki DNS soneki de ekleyin.Add both DNS suffixes to the attribute.

DNS soneki arama listesinin KURULUŞTAKI tüm DNS ad alanlarını içerdiğinden emin olmak için ayrık etki alanındaki her bir bilgisayar için arama listesini yapılandırın.To make sure that the DNS suffix search list contains all the DNS namespaces in the organization, configure the search list for each computer in the disjoint domain. Ad alanları listesine aşağıdaki sonekleri ekleyin:Include the following suffixes in the list of namespaces:

  • Etki alanı denetleyicisinin birincil DNS son ekiThe primary DNS suffix of the domain controller
  • DNS etki alanı adıThe DNS domain name
  • Configuration Manager ile iletişim kurabildiği diğer sunucular için ek ad alanlarıAny additional namespaces for other servers that Configuration Manager might communicate with

Etki alanı adı sistemi (DNS) soneki arama listesini yapılandırmak için Grup İlkesi kullanabilirsiniz.You can use group policy to configure the Domain Name System (DNS) suffix search list.

Önemli

Configuration Manager bir bilgisayara başvurduğunuzda, birincil DNS sonekini kullanarak bilgisayarı girin.When you reference a computer in Configuration Manager, enter the computer by using its primary DNS suffix. Bu sonek, Active Directory etki alanında dNSHostName özniteliği olarak kaydedilmiş tam etki alanı adı ve sistemle ilişkili hizmet asıl adı ile eşleşmelidir.This suffix should match the fully qualified domain name that's registered as the dnsHostName attribute in the Active Directory domain and the service principal name that's associated with the system.

Tek etiketli etki alanlarıSingle label domains

Configuration Manager, aşağıdaki ölçütler karşılandığında tek etiketli bir etki alanında site sistemlerini ve istemcileri destekler:Configuration Manager supports site systems and clients in a single label domain when the following criteria are met:

  • Active Directory Domain Services 'deki tek etiketli etki alanını, geçerli bir üst düzey etki alanına sahip ayrık bir DNS ad alanıyla yapılandırın.Configure the single label domain in Active Directory Domain Services with a disjoint DNS namespace that has a valid top-level domain.

    Örneğin: Tek etiketli Contoso etki alanı, contoso.com DNS‘inde ayrık ad alanı içerecek şekilde yapılandırılmıştır.For example: The single label domain of Contoso is configured to have a disjoint namespace in DNS of contoso.com. Contoso etki alanındaki bir bilgisayar için Configuration Manager DNS son ekini belirttiğinizde, "contoso" değil "Contoso.com" belirtirsiniz.When you specify the DNS suffix in Configuration Manager for a computer in the Contoso domain, you specify "Contoso.com" and not "Contoso".

  • Sistem bağlamındaki site sunucuları arasındaki dağıtılmış bileşen nesne modeli (DCOM) bağlantıları, Kerberos kimlik doğrulaması kullanılarak başarılı olmalıdır.The distributed component object model (DCOM) connections between site servers in the system context must be successful by using Kerberos authentication.