關於Configuration Manager的架構延伸模組

  • 發行項

適用於:Configuration Manager (目前的分支)

您可以擴充 Active Directory 架構以支援Configuration Manager。 此動作會編輯樹系的 Active Directory 架構,以新增容器和數個屬性。 Configuration Manager網站會使用這些擴充功能在 Active Directory 中發佈金鑰資訊,讓用戶端可以安全地加以存取。 這項資訊可以簡化用戶端的部署和設定。 它也可協助用戶端找出月臺資源,例如具有已部署內容的伺服器,或為用戶端提供不同服務的伺服器。

Microsoft建議您針對Configuration Manager擴充 Active Directory 架構,但並非必要。

擴充Active Directory 架構之前,您應該熟悉Active Directory 網域服務並熟悉如何修改Active Directory 架構

考量

  • Configuration Manager最新分支沒有新的 Active Directory 架構延伸模組。 自 2007 Configuration Manager起,尚未變更。 如果您先前已將架構擴充為舊版,則不需要再次擴充架構。

  • 擴充架構是全樹系、一次性、無法復原的動作。

  • 只有 架構管理員 群組的成員可以擴充架構。 它也可以是具有變更架構之委派許可權的使用者。

  • 您可以在安裝Configuration Manager月臺之前或之後擴充架構。 不過,最好先擴充架構,再開始設定月臺和階層設定。 此動作可以簡化許多後續的設定步驟。

  • 擴充架構之後,Active Directory 通用類別目錄會複寫整個樹系。 規劃在複寫流量不會對其他網路相依進程造成負面影響時擴充架構。 Active Directory 只會複寫新增的屬性。

未使用 Active Directory 架構的裝置和用戶端

  • 由Exchange Server連接器管理的行動裝置

  • macOS 電腦的用戶端

  • Configuration Manager內部部署 MDM 註冊的行動裝置

  • 您為僅限網際網路用戶端管理設定的 Windows 用戶端

  • Configuration Manager偵測到位於網際網路上的 Windows 用戶端

優點的功能

下列Configuration Manager功能可受益于擴充 Active Directory 架構。

用戶端電腦安裝和月臺指派

當您在 Windows 電腦上安裝新的用戶端時,它會Active Directory 網域服務搜尋安裝內容。

如果您未擴充架構,請使用下列其中一個選項來提供設定詳細資料:

  • 使用 用戶端推入安裝。 這個方法會使用您在 Configuration Manager 主控台中設定的用戶端安裝屬性。

  • 使用 手動安裝。 在命令列上至少提供下列用戶端安裝屬性:

    • 指定電腦可以從中下載安裝檔案的管理點或來源路徑。 使用 CCMSetup 屬性 /mp/source

    • 指定用戶端要使用的初始管理點清單。 它會使用這個初始管理點來指派給月臺,並下載用戶端原則和月臺設定。 使用 CCMSetup Client.msi 屬性 SMSMP

    如需詳細資訊,請 參閱關於用戶端安裝參數和屬性

  • 在 DNS 中發佈管理點。 設定用戶端使用此服務位置方法。

用戶端對伺服器通訊的埠組態

當用戶端安裝時,它會使用來自 Active Directory 的埠資訊。 如果您稍後變更月臺的用戶端對伺服器通訊埠,用戶端會從 Active Directory 取得這個新的埠設定。

如果您未擴充架構,請使用下列其中一個選項,為現有的用戶端提供新的埠設定:

  • 重新安裝用戶端。 使用設定新埠的選項。

  • 將自訂腳本部署至更新通訊埠的用戶端。 如果用戶端因為埠變更而無法與網站通訊,您就無法使用Configuration Manager來部署此腳本。 例如,您可以使用群組原則。

內容部署案例

當您在某個月臺建立內容,然後將該內容部署到階層中的另一個月臺時,接收月臺會嘗試驗證已簽署內容資料的簽章。 此行為需要存取您建立此內容之來源網站的公開金鑰。 當您擴充 Configuration Manager 的 Active Directory 架構時,階層中的所有月臺都可以使用月臺的公開金鑰。

如果您未擴充架構,請使用階層維護工具preinst.exe,在月臺之間交換安全金鑰資訊。

例如,您打算在主要月臺建立內容,然後將該內容部署到不同主要月臺下方的次要月臺。 如果您擴充 Active Directory 架構,次要月臺會自動取得來源主要月臺的公開金鑰。 否則,請使用preinst.exe直接在兩個網站之間共用金鑰。

Active Directory 屬性和類別

當您擴充Configuration Manager的架構時,下列類別和屬性會新增至架構,並可供該 Active Directory 樹系中的所有Configuration Manager月臺使用。

屬性 類別
cn=mS-SMS-Assignment-Site-Code
cn=mS-SMS-Capabilities
cn=MS-SMS-Default-MP
cn=mS-SMS-Device-Management-Point
cn=mS-SMS-Health-State
cn=MS-SMS-MP-Address
cn=MS-SMS-MP-Name
cn=MS-SMS-Ranged-IP-High
cn=MS-SMS-Ranged-IP-Low
cn=MS-SMS-Roaming-Boundaries
cn=MS-SMS-Site-Boundaries
cn=MS-SMS-Site-Code
cn=mS-SMS-Source-Forest
cn=mS-SMS-Version		 cn=MS-SMS-Management-Point
cn=MS-SMS-Roaming-Boundary-Range
cn=MS-SMS-Server-Locator-Point
cn=MS-SMS-Site

注意事項

架構延伸模組可能包含來自舊版產品的屬性和類別,但未由最新版本使用。 例如:

  • 屬性:cn=MS-SMS-Site-Boundaries
  • 類別:cn=MS-SMS-Server-Locator-Point

您可以在ConfigMgr_ad_schema中檢視這些設定。來自Configuration Manager安裝媒體之 \SMSSETUP\BIN\x64資料夾的 LDF 檔案。

後續步驟

準備 Active Directory 以進行網站發佈