在 Configuration Manager 中规划发现
适用于: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager 发现会标识可使用 配置管理器 管理的计算机和用户资源。 它还可以发现环境中的网络基础结构。 发现将为每个发现的对象创建发现数据记录 (DDR),并将此信息存储在 配置管理器 数据库中。
资源发现成功后,发现会将关于资源的信息放在一个文件中,此文件称为发现数据记录 (DDR)。 DDR 反过来会被站点服务器处理并输入到 配置管理器 数据库中,然后数据库复制会在此数据库中针对所有站点复制这些 DDR。 复制使发现数据在层次结构中的每个站点中可用,而与发现或处理数据的位置无关。
你可以使用发现信息创建自定义查询和收集,以对诸如分配自定义客户端设置和软件部署之类的管理任务的资源进行逻辑分组。 必须先发现计算机,然后才能使用客户端请求安装在设备上安装 配置管理器 客户端。
使用下列部分来帮助你在 配置管理器 中规划发现:
Configuration Manager 中的发现方法
决定要使用哪些发现方法
关于 Active Directory 系统、用户和组发现方法
共享的发现选项
Active Directory 系统发现
Active Directory 用户发现
Active Directory 组发现
关于 Active Directory 林发现
关于增量发现
关于检测信号发现
关于网络发现
关于发现数据记录
决定在何处运行发现
最佳发现方案
Configuration Manager 中的新增功能
.jpeg "System_CAPS_note"){kind=icon} 说明 |
|---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
System Center 2012 Configuration Manager 为发现引入了以下更改:
在主站点或管理中心站点仅处理一次每个发现数据记录并将其输入到数据库中,然后删除该发现数据记录,而不做任何其他处理。
系统使用 配置管理器 数据库复制与层次结构中的每个站点共享输入到一个站点的数据库中的发现信息。
Active Directory 林发现是一种新的发现方法,此方法可以发现子网和 Active Directory 站点并可以将其添加为层次结构边界。
Active Directory 系统组发现已被删除。
Active Directory 安全组发现已重命名为 Active Directory 组发现,并且将发现资源的组成员身份。
Active Directory 系统发现和 Active Directory 组发现支持从发现中筛选出过期计算机记录的选项。
Active Directory 系统、用户和组发现支持 Active Directory 增量发现。 增量发现从 Configuration Manager 2007 R3 中得到改进,现在可以检测在组中添加或删除计算机或用户的时间。
Configuration Manager 中的发现方法
为 配置管理器 启用发现方法之前,请确保了解每种方法可以发现的对象。 因为发现可能会生成大量的网络流量,并且所产生的 DDR 可能会导致在处理过程中使用大量的 CPU 资源,所以请计划仅使用满足目标所需的那些发现方法。 要取得成功,你只能使用一两种发现方法,并且你可以始终以管制方式启用其他方法以扩展环境中的发现级别。
使用下表来帮助你规划六种可配置的发现方法中的每种方法:
发现方法 |
默认情况下启用 |
运行发现的帐户 |
更多信息 |
|---|---|---|---|
Active Directory 林发现 |
否 |
Active Directory 林发现帐户或站点服务器计算机帐户 |
|
Active Directory 系统发现 |
否 |
Active Directory 系统发现帐户或站点服务器计算机帐户 |
|
Active Directory 用户发现 |
否 |
Active Directory 用户发现帐户或站点服务器计算机帐户 |
|
Active Directory 组发现 |
否 |
Active Directory 组发现帐户或站点服务器计算机帐户 |
|
检测信号发现 |
是 |
客户端的计算机帐户 |
|
网络发现 |
否 |
站点服务器的计算机帐户 |
|
所有可配置的发现方法都支持发现运行时间计划。 你可以将每种方法配置为在特定位置中搜索要添加到 配置管理器 数据库中的资源,检测信号发现除外。 运行发现后,你可以更改发现方法搜索的位置。 在下一次运行发现时会搜索这些新位置。 但是,在下次运行发现方法时,并不仅仅搜索新位置,发现方法始终会尝试从所有当前配置的位置中发现信息。
检测信号发现是默认情况下启用的唯一发现方法。 要帮助维护 配置管理器 客户端的数据库记录,请不要禁用检测信号发现。
除了使用这些发现方法之外,Configuration Manager 还使用名为“服务器发现”(SMS_WINNT_SERVER_DISCOVERY_AGENT) 的进程。 此发现方法为作为站点系统的计算机(如配置为管理点的计算机)创建资源记录。 此发现方法每日都会运行并且不可配置。
决定要使用哪些发现方法
为了发现潜在的 配置管理器 客户端计算机或用户资源,你必须启用合适的发现方法。 你可以使用发现方法的不同组合来查找不同的资源,以及发现关于那些资源的附加信息。 你使用的发现方法决定了发现的资源的类型,以及发现进程中使用的 配置管理器 服务和代理。 它们还决定了关于你可以发现的资源的信息类型。
发现计算机
当你想要发现计算机时,可以使用 Active Directory 系统发现或网络发现。
例如,在使用客户端请求安装之前,你想要发现能够安装 配置管理器 客户端的资源,则可以运行 Active Directory 系统发现。 或者,可以运行网络发现并使用其选项来发现(以后使用客户端请求安装所需的)资源的操作系统。 但是,通过使用 Active Directory 系统发现,你不仅可以发现资源,而且还可以发现基本信息,并且可以从 Active Directory 域服务中发现关于资源的扩展信息。 此信息或许可用于构建复杂的查询和集合,以用于分配客户端设置或内容部署。 而网络发现会向你提供无法用其他发现方法获得的网络拓扑信息,但网络发现未提供关于 Active Directory 环境的任何信息。
也可以仅使用检测信号发现来强制发现用客户端请求安装以外的其他方法安装的客户端。 但是,与其他发现方法不同,检测信号发现无法发现没有活动的 配置管理器 客户端的计算机,并且会返回有限的一组信息。 其用途是维护现有的数据库记录,而不是作为该记录的基础。 检测信号发现提交的信息可能不足,因此无法构建复杂的查询或集合。
如果使用 Active Directory 组发现来发现指定组的成员资格,则可能会发现有限的系统或计算机信息。 这不能取代计算机的完整发现,但可以提供基本信息。 此基本信息不足以进行客户端请求安装。
发现用户
当你想要发现关于用户的信息时,可以使用 Active Directory 用户发现。 与 Active Directory 系统发现相似,此方法从 Active Directory 中发现用户,并包含基本信息以及扩展的 Active Directory 信息。 与计算机信息相似,你可以使用此信息构建复杂的查询和集合。
发现组信息
当你想要发现关于组和组成员身份的信息时,请使用 Active Directory 组发现。 此发现方法创建安全组的资源记录。
你可以使用此方法搜索特定的 Active Directory 组,以确定该组以及该组内的任何嵌套组中的成员。 也可以使用此方法在 Active Directory 位置中搜索组,以及以递归方式搜索 Active Directory 域服务内该位置中的每个子容器。
此发现方法还搜索通讯组的成员资格。 这可以确定用户和计算机的组关系。
发现组时,也可能会发现关于其成员的有限信息。 这并不能取代 Active Directory 系统或用户发现,通常不足以构建复杂查询和集合或用作客户端请求安装的基础。
“发现基础结构”
可以使用 Active Directory 林发现和网络发现这两种方法来发现网络基础结构。
你可以使用 Active Directory 林发现在 Active Directory 林中搜索关于子网和 Active Directory 站点配置的信息。 然后,这些配置会自动输入到 配置管理器 中作为边界位置。
想要发现网络拓扑时,请使用网络发现。 虽然其他发现方法会返回与 Active Directory 域服务相关的信息,并且可以确定客户端的当前网络位置,但它们不会根据网络的子网和路由器拓扑提供基础结构信息。
关于 Active Directory 系统、用户和组发现方法
本部分包含有关以下发现方法的信息:
Active Directory 系统发现
Active Directory 用户发现
Active Directory 组发现
| 说明 |
|---|
本部分中的信息不适用于 Active Directory 林发现。 |
这三种发现方法的配置和操作相似,并且可以发现计算机、用户以及关于 Active Directory 域服务中存储的资源的组成员身份信息。 发现进程由发现代理进行管理,该发现代理在每个站点中配置为运行发现的站点服务器上运行。 你可以将其中每种发现方法配置为搜索一个或多个 Active Directory 位置,并将其作为本地林或远程林中的位置实例。
当发现在不受信任的林中搜索资源时,发现代理必须能够解析以下对象,才能成功进行操作:
要使用 Active Directory 系统发现来发现计算机资源,发现代理必须能够解析资源的 FQDN。 如果无法解析 FQDN,则它将尝试通过资源的 NetBIOS 名称来解析资源。
要使用 Active Directory 用户发现或 Active Directory 组发现来发现用户或组资源,发现代理必须能够解析你为 Active Directory 位置指定的域控制器名称的 FQDN。
对于你指定的每个位置实例,你可以配置单个搜索选项,如启用位置 Active Directory 子容器的递归搜索。 也可以将唯一帐户配置为在搜索该位置实例时使用。 这样,你可以灵活地在一个站点配置发现方法以跨多个林搜索多个 Active Directory 位置,而不必配置对所有位置拥有权限的单个帐户。
在特定站点运行这三种发现方法中的每种发现方法时,该站点中的 配置管理器 站点服务器会与指定 Active Directory 林中最近的域控制器联系,以查找 Active Directory 资源。 域和林可以处于任何支持的 Active Directory 模式,并且分配给每个位置实例的帐户必须对指定的 Active Directory 位置具有“读取”访问权限。 发现会在指定位置搜索对象,然后尝试收集有关那些对象的信息。 如果能够确定足够的资源相关信息,则将创建 DDR。 所需信息因使用的发现方法而异。
如果你将同一发现方法配置为在不同 配置管理器 站点上运行以利用查询本地 Active Directory 服务器的优势,你可以将每个站点配置为包含一组独特的发现选项。 由于发现数据与层次结构中的每个站点共享,因此请避免这些配置之间出现重叠,以高效地一次发现一个资源。 对于较小的环境,你可以考虑仅在层次结构中的一个站点上运行每个发现方法,以减少管理开销并降低多个发现操作重新发现同一资源的可能性。 如果最大程度地减少运行发现的站点数,你可以减少发现使用的网络总带宽,并减少已创建并必须由站点服务器处理的 DDR 的总数。
许多发现方法配置是一目了然的。 使用下列部分来了解有关在你对其进行配置之前可能需要其他信息的发现选项的详细信息。
共享的发现选项
下表确定在多个 Active Directory 发现方法上可用的配置选项。
注册表项: |
√ = 支持 |
Ø = 不支持 |
发现选项 |
Active Directory 系统发现 |
Active Directory 用户发现 |
Active Directory 组发现 |
详细信息 |
||
|---|---|---|---|---|---|---|
增量发现 |
√ |
√ |
√ |
增量发现是一个可用于每个 Active Directory 发现方法的选项,Active Directory 林发现除外。配置管理器 可以使用增量发现在 Active Directory 域服务 (AD DS) 中搜索在发现方法的上次完整发现周期后更改的特定属性。 你可以配置一个短间隔以供增量发现搜索新资源,因为仅发现新资源对站点服务器性能的影响不像完整发现周期所造成的影响那么大。 增量发现可能会检测到以下新资源类型:
增量发现无法检测何时从 AD DS 中删除了资源。 你必须运行完整发现周期来检测此更改。 对增量发现所发现的对象 DDR 进行处理的方式类似于由完整发现周期创建的 DDR。 你在每个发现方法的属性中的“轮询计划”选项卡上配置增量发现。 |
||
按域登录名筛选过期计算机记录 |
√ |
Ø |
√ |
你可以配置发现,以根据计算机的最后一个域登录名排除过期计算机记录的发现。 如果启用此选项,Active Directory 系统发现将评估它确定的每台计算机。 Active Directory 组发现将评估作为所发现的组的成员的每台计算机。 使用此选项的要求如下:
在配置上一次登录后的时间时,请考虑域控制器之间的复制间隔。 你可以在“Active Directory 系统发现属性”对话框和“Active Directory 组发现属性”对话框中的“选项”选项卡上通过选择“仅发现登录到域一段给定时间的计算机”选项来配置筛选。
|
||
按计算机密码筛选过期记录 |
√ |
Ø |
√ |
你可以配置发现,以根据计算机进行的最后一次计算机帐户密码更新排除过期计算机记录的发现。 如果启用此选项,Active Directory 系统发现将评估它确定的每台计算机。 Active Directory 组发现将评估作为所发现的组的成员的每台计算机。 使用此选项的要求如下:
在配置此选项时,除了域控制器之间的复制间隔外,还要考虑此属性的更新间隔。 你可以在“Active Directory 系统发现属性”对话框和“Active Directory 组发现属性”对话框中的“选项”选项卡上通过选择“仅发现具有更新的计算机帐户密码一段给定时间的计算机”选项来配置筛选。
|
||
搜索自定义的 Active Directory 属性 |
√ |
√ |
Ø |
每种发现方法都支持可发现的属性的唯一列表。 你在“Active Directory 系统发现属性”和“Active Directory 用户发现属性”对话框的“Active Directory 属性”选项卡上配置 Active Directory 自定义属性。 |
.jpeg "System_CAPS_warning")
警告
Active Directory 系统发现
使用 配置管理器 Active Directory 系统发现在指定的 Active Directory 域服务 (AD DS) 位置中搜索可用于创建集合和查询的计算机资源。 然后,你可以使用客户端请求安装将客户端安装到发现的计算机上。 要成功创建计算机的发现数据记录 (DDR),Active Directory 系统发现必须能够标识计算机帐户,然后成功地将计算机名称解析为 IP 地址。
默认情况下,Active Directory 系统发现将发现有关计算机的基本信息,其中包括:
计算机名称
操作系统和版本
Active Directory 容器名称
IP 地址
Active Directory 站点
上次登录时间戳
除了基本信息外,你可以配置从 Active Directory 域服务中发现扩展属性。
你可以查看 Active Directory 系统发现返回的对象属性的默认列表,并在“Active Directory 系统发现属性”对话框中的“Active Directory 属性”选项卡上配置要发现的其他属性。
有关如何配置此发现方法的详细信息,请参阅为计算机、用户或组配置 Active Directory 发现。
站点服务器上 adsysdis.log 文件夹内的 <InstallationPath>\LOGS 文件中记录了 Active Directory 系统发现操作。
Active Directory 用户发现
使用 配置管理器 Active Directory 用户发现在 Active Directory 域服务 (AD DS) 中搜索以确定用户帐户和关联的属性。
你可以查看 Active Directory 用户发现返回的对象属性的默认列表,并在“Active Directory 用户发现属性”对话框中的“Active Directory 属性”选项卡上配置要发现的其他属性。
默认情况下,Active Directory 用户发现将发现有关用户帐户的基本信息,其中包括:
用户名
唯一用户名(包括域名)
Domain
Active Directory 容器名称
除了基本信息外,你可以配置从 Active Directory 域服务中发现扩展属性。
有关如何配置此发现方法的详细信息,请参阅为计算机、用户或组配置 Active Directory 发现。
站点服务器上 adusrdis.log 文件夹内的 <InstallationPath>\LOGS 文件中记录了 Active Directory 用户发现操作。
Active Directory 组发现
使用 配置管理器 Active Directory 组发现在 Active Directory 域服务 (AD DS) 中搜索以确定计算机和用户的组成员身份。
此发现方法搜索你配置的发现作用域,然后确定该发现作用域中的资源的组成员身份。 默认情况下,只会发现安全组。 但是,如果在“Active Directory 组发现属性”对话框中的“选项”选项卡上选中“发现分发组的成员”选项的复选框,则可以发现分发组的成员身份。
使用 Active Directory 组发现来发现下列信息:
组
组的成员身份
有关组成员计算机和用户的有限信息(即使这些计算机和用户以前未被另一种发现方法发现过)
此发现方法用于确定组和组成员的组关系。 此发现方法不支持可通过使用 Active Directory 系统发现或 Active Directory 用户发现确定的扩展 Active Directory 属性。 由于此发现方法未经过优化,无法发现计算机和用户资源,因此请考虑在运行 Active Directory 系统发现和 Active Directory 用户发现之后运行此发现方法。 这是因为此发现方法会为组创建完整 DDR,但只会为作为组成员的计算机和用户创建有限的 DDR。
你可以配置下列发现作用域,该作用域控制 Active Directory 组发现搜索信息的方式:
位置:如果要搜索一个或多个 Active Directory 容器,请使用位置。 此作用域选项支持指定 Active Directory 容器的递归搜索,该搜索还会搜索指定容器下的每个子容器。 此过程将继续,直至找不到其他子容器为止。
组:如果要搜索一个或多个特定 Active Directory 组,请使用组。 你可以配置“Active Directory 域”以使用默认域和林,或将搜索范围限制为单独的域控制器。 此外,你可以指定要搜索的一个或多个组。 如果未指定至少一个组,则会搜索在指定“Active Directory 域”位置中找到的所有组。
.jpeg "System_CAPS_caution"){kind=icon} 小心 |
|---|
在配置发现作用域时,请仅选择你必须发现的组。 这是因为 Active Directory 组发现会尝试发现发现作用域中每个组的每个成员。 大组的发现可能需要使用大量的带宽和 Active Directory 资源。 |
| 说明 |
|---|
你必须运行 Active Directory 系统发现或 Active Directory 用户发现来创建基于扩展 Active Directory 属性的集合,并确保准确的计算机和用户发现结果。 |
有关如何配置此发现方法的详细信息,请参阅为计算机、用户或组配置 Active Directory 发现。
站点服务器上 adsgdis.log 文件夹内的 <InstallationPath>\LOGS 文件中记录了 Active Directory 组发现操作。
关于 Active Directory 林发现
使用 配置管理器 Active Directory 林发现来发现 IP 子网和 Active Directory 站点,并将它们以边界的形式添加到 配置管理器。
与其他发现方法不同,Active Directory 林发现不会发现你可管理的资源。 相反,此方法发现 Active Directory 网络位置,并可将这些位置转换为边界以在整个层次结构中使用。
使用 Active Directory 林发现来执行下列操作:
发现 Active Directory 林中的 IP 子网
发现 Active Directory 林中的 Active Directory 站点
在 配置管理器 中以边界的形式添加发现的 IP 子网和 Active Directory 站点
当启用“发布到林”并且指定的 Active Directory 林帐户具有该林的权限时,发布到该林的 Active Directory 域服务。
在以下节点的 配置管理器 控制台中管理 Active Directory 林发现,这些节点位于“管理”工作区的“层次结构配置”下:
发现方法:你可在此处启用 Active Directory 林发现以在层次结构的顶层站点上运行。 你也可以指定一个简单的计划来运行发现,并将其配置为依据所发现的 IP 子网和 Active Directory 站点自动创建边界。 Active Directory 林发现无法在子主站点或辅助站点上运行。
说明此发现方法不支持增量发现。
Active Directory 林:在此处配置要发现的其他 Active Directory 林,为每个林指定要用作 Active Directory 林帐户的帐户,并配置针对每个林的发布。 此外,你可以监视发现过程,并将 IP 子网和 Active Directory 站点作为边界和边界组的成员添加到 配置管理器。
如果针对某个林启用了发布,并且为 配置管理器 扩展了该林的架构,则会为已启用以发布到该 Active Directory 林的每个站点发布下列信息:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
| 说明 |
|---|
辅助站点始终使用辅助站点服务器计算机帐户来发布到 Active Directory。 如果希望辅助站点发布到 Active Directory,请确保辅助站点服务器计算机帐户具有发布到 Active Directory 的权限。 辅助站点无法将数据发布到不受信任的林。 |
.jpeg "System_CAPS_tip") 提示 |
|---|
要为层次结构中的每个站点配置 Active Directory 林发布,请将你的 配置管理器 控制台连接到层次结构的顶层站点。 Active Directory 站点的“属性”对话框中的“发布”选项卡只能显示当前站点及其子站点。 |
| 小心 |
|---|
如果清除将站点发布到 Active Directory 林的选项,则会从该林的 Active Directory 中删除该站点的所有以前发布的信息,包括可用站点系统角色。 |
Active Directory 林发现在以下位置运行:本地 Active Directory 林、每个受信任的林以及你在 配置管理器 控制台的“Active Directory 林”节点中配置的其他所有林。
Active Directory 林发现操作记录在下列日志中:
站点服务器上 <InstallationPath>\Logs 文件夹的 ADForestDisc.Log 文件中记录了除与发布相关的操作之外的所有操作。
站点服务器上 hman.log 文件夹内的 sitecomp.log 和 <InstallationPath>\Logs 中记录了 Active Directory 林发现发布操作。
关于增量发现
增量发现不是 配置管理器 中的完整发现方法,但却是可用于 Active Directory 系统、用户和组发现方法的选项。 增量发现可以标识对 Active Directory 中以前发现的资源所做的大部分更改,它使用的资源比完整发现周期少。
如果为发现方法启用增量发现,则发现方法会在 Active Directory 域服务 (AD DS) 中搜索在发现方法的上次完整发现周期后更改的特定属性。 这些更改会提交到 配置管理器 数据库中以更新资源发现记录。
默认情况下,增量发现按 5 分钟周期运行。 这是因为它在发现过程中使用的资源比在完整发现周期中使用的资源少,并且对站点服务器性能的影响没有完整发现周期的影响大。 使用增量发现时,请考虑针对该发现方法减小完整发现周期的频率。
增量发现可以检测对 Active Directory 对象所做的更改。 增量发现检测到的最常见更改如下:
添加到 Active Directory 中的新计算机或用户
对基本计算机和用户信息所做的更改
添加到组中的新计算机或用户
从组中删除的计算机或用户
对系统组对象所做的更改
虽然增量发现可以检测新资源以及对组成员资格所做的更改,但它无法检测从 AD DS 中删除资源的时间。
对增量发现所发现的对象 DDR 进行处理的方式类似于由完整发现周期创建的 DDR。
你在每个发现方法的属性中的“轮询计划”选项卡上配置增量发现。
关于检测信号发现
检测信号发现不同于其他 配置管理器 发现方法。 它默认情况下处于启用状态,并且在每个计算机客户端上运行以创建发现数据记录 (DDR)。 对于移动设备客户端,移动设备客户端正在使用的管理点会创建此 DDR。
检测信号发现在为层次结构中所有客户端配置的日程安排上运行,或者(若为手动调用)通过运行客户端 配置管理器 程序中“操作”选项卡上的“发现数据收集周期”,在特定客户端上运行。 运行检测信号发现时,它会创建包含客户端当前信息(包括网络位置、NetBIOS 名称和操作状态详细信息)的发现数据记录 (DDR)。 它是一个大约 1KB 的小文件,此文件会复制到管理点,然后由主站点进行处理。 如果提交检测信号发现 DDR,则可以在数据库中保留活动客户端的记录,并且也可以强制发现可能已从数据库中删除或已经手动安装且未由其他发现方法发现的活动客户端。
检测信号发现是唯一提供有关客户端安装状态的详细信息的发现方法,提供详细信息所采用的方式是用值“是”更新系统资源客户端属性。 要发送检测信号发现记录,客户端计算机必须能够与管理点取得联系。
| 说明 |
|---|
对于 配置管理器 SP1,检测信号发现数据记录还包括客户端代理的版本。 |
检测信号发现的默认计划设置为每 7 天进行一次。 如果你更改检测信号发现间隔,请确保它比从站点数据库中删除非活动客户端记录的“删除过期的发现数据”站点维护任务运行得更加频繁。 你可以仅为主站点配置“删除过期的发现数据”任务。
| 说明 |
|---|
即使禁用检测信号发现,也仍然会针对活动的移动设备客户端来创建和提交 DDR。 这可以确保“删除过期的发现数据”任务不影响活动的移动设备。 当“删除过期的发现数据”任务删除移动设备的数据库记录时,它还会吊销设备证书以及阻止移动设备连接到管理点。 |
检测信号发现操作记录在以下位置:
对于计算机客户端,检测信号发现操作记录在 InventoryAgent.log 文件夹内的 %Windir%\CCM\Logs 中的客户端上。
对于移动设备客户端,检测信号发现操作记录在移动设备客户端所使用管理点的 DMPRP.log 文件夹内的 %Program Files%\CCM\Logs 中。
关于网络发现
使用 配置管理器 网络发现来发现网络拓扑和网络上的设备。
网络发现通过查询运行 Microsoft 实现的 DHCP 的服务器、路由器中的地址解析协议 (ARP) 缓存、启用了 SNMP 的设备以及 Active Directory 域,在你的网络中搜索启用了 IP 的资源。
要成功地发现资源,网络发现必须识别资源的 IP 地址以及子网掩码。 由于可以将不同类型的设备连接到网络,因此网络发现可以发现无法支持 配置管理器 客户端软件的资源。 例如,可以发现但无法管理的设备包括打印机和路由器。
网络发现可以返回多个属性作为它所发现的记录的一部分。 这包括以下内容:
NetBIOS 名称
IP 地址
资源域
系统角色
SNMP 社区名称
MAC 地址
要使用网络发现,你必须指定要运行的发现的级别。 你也需要配置一个或多个发现机制,以使网络发现能够查询网络段或设备。 你也可以配置有助于控制网络上的发现操作的设置。 最后,你可以定义网络发现运行的一个或多个计划。
| 说明 |
|---|
复杂的网络和低带宽连接可能导致网络发现运行缓慢并生成大量的网络流量。 作为一种最佳方案,请仅在其他发现方法找不到你必须发现的资源时,才运行网络发现。 例如,你必须发现工作组计算机,则使用网络发现。 其他发现方法不发现工作组计算机。 |
当发现标识 IP 可寻址对象并且可以确定对象子网掩码时,它将为该对象创建发现数据记录 (DDR)。
网络发现活动记录在运行发现的站点服务器上 Netdisc.log 内的 <InstallationPath>\Logs 中。
网络发现的级别
配置网络发现时,你可以指定以下三个发现级别之一:
发现的级别 |
详细信息 |
|---|---|
拓扑 |
此级别发现路由器和子网,但不标识对象的子网掩码。 |
拓扑和客户端 |
除了拓扑之外,此级别还发现潜在的客户端(如计算机)以及打印机和路由器等资源。 此级别的发现尝试标识它所发现的对象的子网掩码。 |
拓扑、客户端和客户端操作系统 |
除了拓扑和潜在客户端之外,此级别还尝试发现计算机操作系统名称和版本。 该级别使用 Windows 浏览器和 Windows 网络调用。 |
对于每个增量级别,网络发现会增加其活动的网络带宽使用量。 在启用网络发现的各个方面之前,请考虑可以生成的网络流量。
例如,在首次使用网络发现时,你可以仅从此拓扑级别开始标识网络基础结构。 然后,可以将网络发现重新配置为发现对象及其设备操作系统。 你也可以配置设置,以将网络发现局限于网络段的特定范围,从而在网络位置中发现你需要的对象,并避免不需要的网络流量以及从边缘路由器或网络外部发现对象。
网络发现选项
要启用网络发现以搜索 IP 可寻址的设备,你必须配置一个或多个选项以指定如何查询设备。 下表中列出了这些选项。
选项 |
详细信息 |
惠? |
||||
|---|---|---|---|---|---|---|
域 |
指定你希望网络发现查询的每个域。 网络发现可以发现你可以在浏览网络时从站点服务器中查看的任何计算机。 网络发现检索 IP 地址,然后使用 Internet 控制消息协议 (ICMP) 回显请求 ping 它所发现的每个设备。ping 命令有助于确定当前处于活动状态的计算机。 |
运行发现的站点服务器必须有权读取每个指定域中的域控制器。
|
||||
SNMP 设备 |
指定你希望网络发现查询的每个 SNMP 设备。 网络发现从回应查询的任何 SNMP 设备中检索 ipNetToMediaTable 值。 此值返回作为客户端计算机或其他资源(如打印机、路由器或其他 IP 可寻址的设备)的 IP 地址的数组。 |
要查询设备,你必须指定设备的 IP 地址或 NetBIOS 名称。 你必须将网络发现配置为使用设备的共同体名称,否则设备将拒绝基于 SNMP 的查询。 |
||||
DHCP |
指定你希望网络发现查询的每个 DHCP 服务器。 网络发现可以查询 32 位和 64 位 DHCP 服务器以获取向每个服务器注册的设备的列表。 网络发现使用对 DHCP 服务器上的数据库的远程过程调用来检索信息。 当网络发现枚举 DHCP 服务器时,它并不始终发现静态 IP 地址。 网络发现不查找 DHCP 服务器上已排除的 IP 地址范围中的 IP 地址,并且不发现为手动分配保留的 IP 地址。
|
为了让网络发现成功地查询 DHCP 服务器,运行发现的服务器的计算机帐户必须是 DHCP 服务器上 DHCP 用户组的成员。 例如,满足以下条件之一时存在此访问级别:
|
.jpeg "System_CAPS_important"){kind=icon}
重要事项| 说明 |
|---|
网络发现在运行发现的站点服务器的计算机帐户上下文中运行。 如果计算机帐户对不受信任的域没有权限,则域和 DHCP 服务器配置可能无法发现资源。 |
限制网络发现
当网络发现在网络边缘上查询 SNMP 设备时,它可以标识关于在中间网络之外的子网和 SNMP 设备的信息。 通过配置发现可以与其通信的 SNMP 设备,以及指定要查询的网络段,你可以限制网络发现。
使用下列配置以限制网络发现的作用域:
配置 |
详细信息 |
||
|---|---|---|---|
子网 |
配置网络发现在使用 SNMP 和 DHCP 选项时查询的子网。 这两个选项仅搜索启用的子网。 例如,DHCP 请求可以从整个网络内的位置中返回设备。 如果只想发现特定子网上的设备,请在“网络发现属性”对话框内的“子网”选项卡上指定和启用该特定子网。 指定和启用子网时,你将未来的 DHCP 和 SNMP 发现操作局限于那些子网。
|
||
SNMP 共同体名称 |
要使网络发现能够成功查询 SNMP 设备,请使用设备的共同体名称配置网络发现。
|
||
最大跃点数 |
配置最大路由器跃点数时,你可以限制网络发现能够使用 SNMP 查询的网络段和路由器的数目。
例如,路由器跃点数为“0”(零)的仅拓扑发现会发现源服务器所在的子网,并包含该子网上的任何路由器。 下图显示了在路由器跃点数指定为 0 的服务器 1 上运行仅拓扑网络发现时,该网络发现查找的内容:子网 D 和路由器 1。 .jpeg "仅拓扑网络发现图示")
下图显示了在路由器跃点数指定为 0 的服务器 1 上运行拓扑和客户端网络发现时,该网络发现查找的内容:子网 D 和路由器 1,以及子网 D 上的所有潜在客户端。 .jpeg "网络客户端发现图示: 路由器跃点")
为了更好地了解其他路由器跃点如何增加发现的网络资源量,请考虑以下网络: .jpeg "初始网络发现示例,跃点计数 4")
从具有一个路由器跃点的服务器 1 中运行仅限拓扑的网络发现将发现以下各项:
|
发现网络发现创建的数据记录
当网络发现发现对象时,它将为该对象创建发现数据记录 (DDR)。 网络发现必须确定对象 IP 地址并随后确定其子网掩码,然后才能发现对象。 如果网络发现无法确定对象的子网掩码,则不会创建 DDR。
网络发现使用以下方法来确定对象的子网掩码:
方法 |
详细信息 |
限制 |
|---|---|---|
路由器 ARP 缓存 |
网络发现将查询路由器的 ARP 缓存来查找子网信息。 |
通常,路由器 ARP 缓存中的数据生存时间很短。 当网络发现查询 ARP 缓存时,ARP 缓存可能不再包含有关所请求的对象的信息。 |
DHCP |
网络发现查询你指定的每个 DHCP 服务器来发现 DHCP 服务器为其提供了租约的设备。 |
网络发现只支持运行 DHCP 的 Microsoft 实现的 DHCP 服务器。 |
SNMP 设备 |
网络发现可以直接查询 SNMP 设备。 |
设备必须安装本地 SNMP 代理,网络发现才能查询该设备。 你还必须将网络发现配置为使用 SNMP 代理所使用的共同体名称。 |
配置管理器 将处理网络发现所创建的 DDR,就好像它处理其他发现方法所创建的 DDR 一样。
关于发现数据记录
发现数据记录 (DDR) 是发现方法创建的文件,其中包含有关你可在 配置管理器 中进行管理的资源的信息。 DDR 包含有关计算机、用户的信息,并在某些情况下包含有关网络基础结构的信息。 将在主站点或管理中心站点上对它们进行处理。 DDR 中的资源信息进入数据库后,即会删除 DDR,并且信息将以全局数据的形式复制到层次结构中的所有站点。
处理 DDR 的站点取决于它包含的信息:
数据库中没有的新发现资源的 DDR 在层次结构的顶层站点上进行处理。 顶层站点在数据库中创建一条新资源记录,并为其分配唯一的标识符。 DDR 通过基于文件的复制进行传输,直至到达顶层站点为止。
以前发现的对象的 DDR 在主站点上进行处理。 如果 DDR 包含有关数据库中已有资源的信息,则子主站点不会将 DDR 传输到管理中心站点。
辅助站点不处理发现数据记录,并会始终通过基于文件的复制将这些记录传输到其父主站点。
DDR 文件由 .ddr 扩展名标识,大小通常约为 1 KB。
决定在何处运行发现
当你计划在 配置管理器 中使用发现时,你必须考虑在何处运行每个发现方法。
配置管理器 将发现数据添加到数据库后,将会在层次结构中的所有站点之间快速共享该数据。 由于在层次结构中的多个站点上发现相同信息并无好处,因此请考虑配置一个用于在单一站点上运行的每个发现方法的单一实例,而不是在不同的站点上运行单一方法的多个实例。
不过,将相同的发现方法指派为在多个站点上运行(每个方法有单独的配置和计划)偶尔也可能会有帮助。 这是因为,在每个站点上,单一发现方法每次运行时,都会对该方法的所有配置进行评估。 如果你的确将单一发现方法的多个实例配置为在不同站点上运行,请仔细规划每个实例的配置,以避免让两个或者更多发现过程发现相同的资源。 在多个站点上发现相同的位置和资源可能会消耗额外的网络带宽,而且会创建毫无新价值可言却必须仍然由站点服务器处理的重复资源 DDR。
下表确定了你可在哪些站点上配置不同的发现方法。
发现方法 |
支持的位置 |
|---|---|
Active Directory 林发现 |
|
Active Directory 组发现 |
|
Active Directory 系统发现 |
|
Active Directory 用户发现 |
|
检测信号发现1 |
|
网络发现 |
|
1 辅助站点无法配置检测信号发现,但可从客户端接收检测信号 DDR。
当辅助站点运行网络发现或接收检测信号发现 DDR 时,它们会通过基于文件的复制将 DDR 传输到其父主站点。 这是因为只有主站点和管理中心站点才能处理发现数据记录 (DDR)。 有关如何处理 DDR 的详细信息,请参阅本主题中的关于发现数据记录。
当你计划在何处运行发现时,请考虑以下事项:
在针对系统、用户或组使用 Active Directory 发现方法时:
在拥有与域控制器的快速网络连接的站点上运行发现。
考虑 Active Directory 复制拓扑以确保发现可访问最新信息。
考虑发现配置的作用域,并仅限于发现那些你必须发现的 Active Directory 位置和组。
如果使用网络发现:
使用受限的初始配置来确定网络拓扑。
确定网络拓扑之后,将网络发现配置为在位于网络区域中心你希望更充分发现的特定站点上运行。
由于检测信号发现不在特定站点上运行,因此在有关在何处运行发现的一般规划中,你不必考虑它。
由于每个站点服务器和网络环境都不同,因此请限制你的初始发现配置,并密切监视每个站点服务器,确定它处理所生成的发现数据的能力。
最佳发现方案
使用下面的最佳方案信息来帮助你在 System Center 2012 Configuration Manager 中使用发现。
在运行 Active Directory 组发现之前运行 Active Directory 系统发现和 Active Directory 用户发现
当 Active Directory 组发现将以前未发现的用户或计算机标识为组成员时,它会尝试发现该用户或计算机的基本详细信息。 由于 Active Directory 组发现未针对此类型的发现进行优化,此过程可能会导致 Active Directory 组发现运行缓慢。 此外,Active Directory 组发现只会确定有关它发现的用户和计算机的基本详细信息,而不会创建完整的用户或计算机发现记录。 当你运行 Active Directory 系统发现和 Active Directory 用户发现时,每个对象类型的其他 Active Directory 属性将可用,因此 Active Directory 组发现可更有效地运行。
当你配置 Active Directory 组发现时,请只指定用于 Configuration Manager 的特定组
为了帮助控制 Active Directory 组发现的资源使用,请仅指定你用于 配置管理器 的那些组。 这是因为 Active Directory 组发现会以递归方式搜索它发现的每个组来查找用户、计算机和嵌套组。 搜索每个嵌套组可能会扩展 Active Directory 组发现的作用域,并降低性能。 此外,如果为 Active Directory 组发现配置增量发现,发现方法将监视每个组的更改。 如果该方法必须搜索不必要的组,这会进一步降低性能。
将发现方法配置为具有更长的完整发现间隔和更频繁的增量发现周期
由于增量发现使用的资源比完整发现周期少,并且可确定 Active Directory 中的新资源或修改的资源,因此,在使用增量发现时,你可以将完整发现周期的频率减少到每周运行一次或更少。 Active Directory 系统发现、Active Directory 用户发现和 Active Directory 组发现的增量发现可确定 Active Directory 对象的几乎所有更改,并可保持准确的资源发现数据。
在网络位置与 Active Directory 域控制器最接近的主站点上运行 Active Directory 发现方法
为了改善 Active Directory 发现的性能,建议在拥有与域控制器的快速网络连接的主站点上运行发现。 如果你在多个站点上运行同一 Active Directory 发现方法,建议你对每个发现方法进行配置以避免重叠。 与 配置管理器 过去的版本不同,发现数据会在站点之间共享。 因此不必在多个站点上发现相同的信息。 有关详细信息,请参阅 决定在何处运行发现。
当你计划依据发现数据自动创建边界时,请仅在一个站点上运行 Active Directory 林发现。
如果在层次结构中的多个站点上运行 Active Directory 林发现,则建议你仅启用在单一站点上自动创建边界的选项。 这是因为,当 Active Directory 林发现在每个站点上运行并创建边界时,配置管理器 无法将这些边界合并为单一边界对象。 如果你将 Active Directory 林发现配置为在多个站点上自动创建边界,将会导致在 配置管理器 控制台中出现重复的边界对象。