Podpora domén služby Active Directory v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Všechny Configuration Manager systémy lokality musí být členy podporované domény služby Active Directory. Configuration Manager klientské počítače můžou být členy domény nebo pracovní skupiny.
Požadavky a omezení
Členství v doméně platí také pro systémy lokality, které podporují internetovou správu klientů v hraniční síti. (Tyto sítě se také označují jako DMZ, demilitarizovaná zóna a monitorovaná podsíť).
U počítače, který je hostitelem role systému lokality, se nepodporuje změna následujících konfigurací:
Členství v doméně, včetně toho, když odeberete systém lokality z domény a pak se znovu připojíte ke stejné doméně.
Název domény
Název počítače
Před provedením těchto změn odinstalujte roli systému lokality. Chcete-li provést tyto změny serveru lokality, nejprve lokalitu odinstalujte. Můžete také zvážit vytvoření serveru lokality v pasivním režimu , který vám pomůže tuto změnu na serveru lokality spravovat.
Configuration Manager podporuje funkční úroveň domény a doménové struktury systému Windows Server 2008 R2 nebo novější.
Oddělený obor názvů
V doméně s odděleným oborem názvů můžete nainstalovat Configuration Manager systémy lokality a klienty.
V odděleném oboru názvů se přípona primárního DNS počítače neshoduje s názvem domény DNS služby Active Directory daného počítače. K dalšímu scénáři nesouvislého oboru názvů dochází v případě, že název domény pro rozhraní NetBIOS řadiče domény neodpovídá názvu domény DNS služby Active Directory.
Nesouvislé scénáře
Následující části identifikují podporované scénáře pro oddělený obor názvů.
Scénář 1
Přípona primárního dns řadiče domény se liší od názvu domény DNS služby Active Directory. Počítače, které jsou členy domény, můžou být oddělené nebo nesouvislé.
Řadič domény je v tomto scénáři nesouvislý. Počítače, které jsou členy domény, například servery lokality a počítače, můžou mít primární příponu DNS, která odpovídá:
- Přípona primárního DNS řadiče domény
- Název domény DNS služby Active Directory
Scénář 2
Členský počítač v doméně služby Active Directory je oddělený, i když řadič domény není oddělený.
V tomto scénáři se přípona primárního dns systému lokality liší od názvu domény DNS služby Active Directory. Přípona primárního dns řadiče domény je stejná jako název domény DNS služby Active Directory. Členské počítače, které jsou Configuration Manager klienty, můžou mít primární příponu DNS, která odpovídá:
- Primární přípona DNS nesouvislého serveru systému lokality
- Název domény DNS služby Active Directory
Konfigurace nesouvislého oboru názvů
Pokud chcete počítači povolit přístup k řadičům domény, které jsou nesouvislé, změňte atribut služby Active Directory msDS-AllowedDNSSuffixes v kontejneru objektů domény. Přidejte do atributu obě přípony DNS.
Pokud se chcete ujistit, že seznam hledání přípon DNS obsahuje všechny obory názvů DNS v organizaci, nakonfigurujte seznam hledání pro každý počítač v oddělené doméně. Do seznamu oborů názvů zahrňte následující přípony:
- Přípona primárního DNS řadiče domény
- Název domény DNS
- Jakékoli další obory názvů pro jiné servery, se kterými Configuration Manager komunikovat
Pomocí zásad skupiny můžete nakonfigurovat seznam hledání přípon DNS (Domain Name System).
Důležité
Když odkazujete na počítač v Configuration Manager, zadejte počítač pomocí jeho primární přípony DNS. Tato přípona by se měla shodovat s plně kvalifikovaným názvem domény, který je zaregistrovaný jako atribut dnsHostName v doméně služby Active Directory, a hlavnímu názvu služby přidruženému k systému.
Domény s jedním popiskem
Configuration Manager podporuje systémy lokality a klienty v doméně s jedním popiskem, pokud jsou splněna následující kritéria:
Nakonfigurujte doménu bez přípony v Active Directory Domain Services s odděleným oborem názvů DNS, který má platnou doménu nejvyšší úrovně.
Příklad: Doména contoso s jedním popiskem je nakonfigurovaná tak, aby měla oddělený obor názvů v DNS contoso.com. Když zadáte příponu DNS v Configuration Manager pro počítač v doméně Contoso, zadáte "Contoso.com" a ne "Contoso".
Připojení modelu DCOM (Distributed Component Object Model) mezi servery lokality v kontextu systému musí být úspěšná pomocí ověřování protokolem Kerberos.