Planeación de la detección en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
La detección de System Center 2012 Configuration Manager identifica recursos de equipo y usuario que se pueden gestionar mediante el uso de Configuration Manager. También puede detectar la infraestructura de red en su entorno. La detección crea un registro de datos de detección (DDR) para cada objeto detectado y almacena esta información en la base de datos de Configuration Manager.
Cuando la detección de un recurso es correcta, se incluye información sobre el recurso en un archivo que se conoce como registro de datos de detección (DDR). Los DDR son procesados por servidores de sitio y se incluyen en la base de datos de Configuration Manager, donde la replicación de base de datos los replica con todos los sitios. La replicación hace que los datos de detección estén disponibles en cada sitio en la jerarquía, independientemente de dónde se detectaron o procesaron.
Puede utilizar la información de detección para crear consultas personalizadas y recopilaciones que agrupen de forma lógica los recursos para tareas de administración como la asignación de configuración de cliente personalizada e implementaciones de software. Hay que detectar equipos antes de poder utilizar la instalación de inserción de cliente para instalar el cliente de Configuration Manager en dispositivos.
Utilice las siguientes secciones como ayuda para planear la detección en Configuration Manager:
Métodos de detección en Configuration Manager
Decidir qué métodos de detección usar
Acerca de los métodos de detección de grupos, usuarios y sistemas de Active Directory
Opciones de detección compartidas
Detección de sistemas de Active Directory
Detección de usuario de Active Directory
Detección de grupos de Active Directory
Acerca de la detección de bosques de Active Directory
Acerca de la detección de diferencias
Acerca de la detección de latidos
Acerca de la detección de redes
Acerca de los registros de datos de detección
Decidir dónde ejecutar la detección
Prácticas recomendadas para la detección
Novedades de Configuration Manager
Nota
La información de esta sección también aparece en la guía Introducción a System Center 2012 Configuration Manager.
System Center 2012 Configuration Manager presenta los siguientes cambios en la detección:
Cada registro de datos de detección se procesa y se incluye en la base de datos solamente una vez, en un sitio primario o sitio de administración central, y, a continuación, se elimina sin procesamiento adicional.
La información de detección introducida en la base de datos en un sitio se comparte con cada sitio de la jerarquía mediante la replicación de bases de datos de Configuration Manager.
La detección de bosques de Active Directory es un nuevo método de detección que puede detectar subredes y sitios de Active Directory, y que puede agregarlos como límites de la jerarquía.
Se ha quitado la detección de grupos de sistemas de Active Directory.
La detección de grupos de seguridad de Active Directory cambia de nombre a detección de grupos de Active Directory y detecta la pertenencia a grupos de los recursos.
La detección de sistemas de Active Directory y la detección de grupos de Active Directory admiten opciones para filtrar los registros de equipos obsoletos de la detección.
Las opciones de detección de grupos, usuarios y sistemas de Active Directory admiten la detección de diferencias de Active Directory. Se ha mejorado la detección de diferencias desde Configuration Manager 2007 R3 y ahora se puede detectar cuándo se agregan o se quitan usuarios o equipos de un grupo.
Métodos de detección en Configuration Manager
Antes de habilitar los métodos de detección de Configuration Manager, asegúrese de que comprende lo que puede detectar cada método. Debido a que la detección puede generar un gran volumen de tráfico de red y los DDR resultantes pueden suponer un uso significativo de los recursos de la CPU durante el procesamiento, planee usar solamente aquellos métodos de detección que necesite para lograr sus objetivos. Podría usar solamente uno o dos métodos de detección para lograr sus objetivos y siempre puede habilitar métodos adicionales de una manera controlada para ampliar la detección en su entorno.
Utilice la siguiente tabla como ayuda para planear cada uno de los seis métodos de detección configurables.
Método de detección |
Habilitado de forma predeterminada |
Cuentas que ejecutan la detección |
Más información |
---|---|---|---|
Detección de bosques de Active Directory |
No |
Cuenta de detección de bosques de Active Directory o la cuenta de equipo del servidor de sitio |
|
Detección de sistemas de Active Directory |
No |
Cuenta de detección de sistemas de Active Directory o la cuenta de equipo del servidor de sitio |
|
Detección de usuario de Active Directory |
No |
Cuenta de detección de usuarios de Active Directory o la cuenta de equipo del servidor de sitio |
|
Detección de grupos de Active Directory |
No |
Cuenta de detección de grupos de Active Directory o la cuenta de equipo del servidor de sitio |
|
Detección de latidos |
Sí |
Cuenta de equipo del cliente |
|
Detección de redes |
No |
Cuenta de equipo del servidor de sitio |
|
Todos los métodos de detección configurables admiten una programación de la ejecución de la detección. Con la excepción de la detección de latidos, puede configurar cada método para buscar ubicaciones específicas para agregar recursos a la base de datos de Configuration Manager. Después de ejecutar la detección, puede cambiar las ubicaciones que busca un método de detección. Se buscará en estas nuevas ubicaciones durante la siguiente detección. Sin embargo, la siguiente ejecución del método de detección no se limita a las nuevas ubicaciones y siempre intenta detectar información de todas las ubicaciones configuradas actuales.
La detección de latidos es el único método de detección que está habilitado de forma predeterminada. Para ayudar a mantener el registro de base de datos de los clientes de Configuration Manager, no deshabilite la detección de latidos.
Además de estos métodos de detección, Configuration Manager también utiliza un proceso denominado detección de servidores (SMS_WINNT_SERVER_DISCOVERY_AGENT). Este método de detección crea registros de recursos para los equipos que son sistemas de sitio, por ejemplo, un equipo que esté configurado como un punto de administración. Este método de detección se ejecuta diariamente y no es configurable.
Decidir qué métodos de detección usar
Para detectar posibles equipos cliente de Configuration Manager o recursos de usuario, debe habilitar los métodos de detección adecuados. Puede utilizar diferentes combinaciones de métodos de detección para localizar recursos diferentes y detectar información adicional sobre dichos recursos. Los métodos de detección que utilice determinan el tipo de recursos detectados y los agentes y servicios de Configuration Manager que se usan en el proceso de detección. También determinan el tipo de información acerca de los recursos que puede detectar.
Detectar equipos
Cuando desee detectar equipos, puede usar la detección de redes o la detección de sistemas de Active Directory.
Como ejemplo, si desea detectar recursos que puedan instalar el cliente de Configuration Manager antes de usar la instalación de inserción de cliente, puede ejecutar la detección de sistemas de Active Directory. Como alternativa, podría ejecutar la detección de redes y utilizar sus opciones para detectar el sistema operativo de los recursos (necesario para usar después la instalación de inserción de cliente). Sin embargo, mediante el uso de la detección de sistemas de Active Directory, no solo se detecta el recurso, sino que se detecta información básica y se puede detectar información ampliada en Servicios de dominio de Active Directory. Esta información puede ser útil en la creación de consultas complejas y recopilaciones que se utilizarán para la asignación de la configuración del cliente o la distribución de contenido. La detección de redes, por otro lado, proporciona información acerca de la tipología de red que no puede adquirir con otros métodos de detección, pero no proporciona información acerca del entorno de Active Directory.
También es posible utilizar únicamente la detección de latidos para forzar la detección de clientes que se instalaron por métodos distintos de la instalación de inserción de cliente. No obstante, a diferencia de otros métodos de detección, la detección de latidos no puede detectar equipos que no tengan un cliente de Configuration Manager activo y devuelve información limitada. Está destinado a mantener un registro de la base de datos existente y no a ser la base de ese registro. La información presentada por la detección de latidos podría no ser suficiente para crear consultas complejas o recopilaciones.
Si utiliza la detección de grupos de Active Directory para detectar la pertenencia a un grupo específico, puede detectar información del equipo o sistema limitada. Esto no sustituye a una detección completa de equipos, pero puede proporcionar información básica. Esta información básica no es suficiente para la instalación de inserción de cliente.
Detectar usuarios
Cuando desee obtener información sobre los usuarios, puede usar la detección de usuarios de Active Directory. Similar a la detección de sistemas de Active Directory, este método detecta los usuarios de Active Directory e incluye información básica además de información ampliada de Active Directory. Puede utilizar esta información para crear consultas complejas y recopilaciones similares a las de los equipos.
Detectar información de grupo
Cuando desee obtener información sobre grupos y pertenencias a grupos, use la detección de grupos de Active Directory. Este método de detección crea registros de recursos para los grupos de seguridad.
Puede utilizar este método para buscar un grupo específico de Active Directory para identificar a los miembros de ese grupo, además de los grupos anidados dentro de ese grupo. También puede utilizar este método para buscar una ubicación de Active Directory para grupos y buscar de forma recursiva en cada contenedor secundario de esa ubicación en Servicios de dominio de Active Directory.
Este método de detección también puede buscar la pertenencia a grupos de distribución. Esto puede identificar las relaciones de grupo de usuarios y equipos.
Cuando se detecta un grupo, también puede detectar información limitada sobre sus miembros. Esto no sustituye la detección de usuarios o de sistemas de Active Directory y suele ser insuficiente para crear consultas complejas y recopilaciones o para servir como base de una instalación de inserción de cliente.
Detectar infraestructura
Hay dos métodos que puede usar para detectar la infraestructura de red: la detección de redes y la detección de bosques de Active Directory.
Puede utilizar la detección de bosques de Active Directory para buscar un bosque de Active Directory para obtener información acerca de subredes y configuraciones de sitios de Active Directory. A continuación, estas configuraciones se pueden introducir automáticamente en Configuration Manager como ubicaciones de límite.
Cuando desee detectar la topología de red, utilice la detección de redes. Mientras otros métodos de detección devuelven información relacionada con Servicios de dominio de Active Directory y pueden identificar la ubicación de red actual de un cliente, no proporcionan información de infraestructura basada en las subredes y la topología del enrutador de la red.
Acerca de los métodos de detección de grupos, usuarios y sistemas de Active Directory
Esta sección contiene información acerca de los siguientes métodos de detección:
Detección de sistemas de Active Directory
Detección de usuario de Active Directory
Detección de grupos de Active Directory
Nota
La información de esta sección no se aplica a la detección de bosques de Active Directory.
Estos tres métodos de detección son similares en configuración y funcionamiento, y pueden detectar equipos, usuarios e información acerca de pertenencia a grupos de los recursos almacenados en Servicios de dominio de Active Directory. El proceso de la detección lo administra un agente de detección que se ejecuta en el servidor de sitio en cada sitio donde se configura la ejecución de la detección. Puede configurar cada uno de estos métodos de detección para buscar una o más ubicaciones de Active Directory como instancias de ubicación en el bosque local o los bosques remotos.
Cuando la detección busca recursos en un bosque que no es de confianza, el agente de detección debe ser capaz de resolver lo siguiente para tener éxito:
Para detectar un recurso de equipo con la detección de sistemas de Active Directory, el agente de detección debe ser capaz de resolver el FQDN del recurso. Si no puede resolver el FQDN, a continuación, intentará resolver el recurso por su nombre NetBIOS.
Para detectar un recurso de usuario o grupo con la detección de usuarios de Active Directory o la detección de grupos de Active Directory, el agente de detección debe ser capaz de resolver el FQDN del nombre de controlador de dominio que especifique para la ubicación de Active Directory.
Para cada instancia de ubicación que especifique, puede configurar opciones de búsqueda individuales, como habilitar una búsqueda recursiva de los contenedores secundarios de Active Directory de las ubicaciones. También puede configurar una cuenta única para utilizar cuando realice una búsqueda en esa instancia de la ubicación. Esto proporciona flexibilidad a la hora de configurar un método de detección en un sitio para buscar varias ubicaciones de Active Directory en varios bosques, sin tener que configurar una cuenta única que tenga permisos para todas las ubicaciones.
Cuando estos tres métodos de detección se ejecutan en un sitio específico, el servidor de sitio de Configuration Manager de dicho sitio se pone en contacto con el controlador de dominio más próximo del bosque de Active Directory especificado para localizar los recursos de Active Directory. El dominio y el bosque pueden estar en cualquier modo de Active Directory admitido, y la cuenta que asigne a cada instancia de ubicación debe tener permiso de acceso de Lectura en las ubicaciones de Active Directory especificadas. La detección busca objetos en las ubicaciones definidas, e intenta recopilar información acerca de ellos. Cuando se puede identificar suficiente información acerca de un recurso, se crea un DDR. La información necesaria varía en función del método de detección que se utilice.
Si configura el mismo método de detección para que se ejecute en diferentes sitios de Configuration Manager a fin de sacar partido de la consulta de servidores locales de Active Directory, puede configurar cada sitio con un único conjunto de opciones de detección. Dado que los datos de detección se comparten con cada sitio de la jerarquía, evite la superposición entre estas configuraciones para detectar de forma eficaz una sola vez cada recurso. En entornos más pequeños, puede tener en cuenta la posibilidad de ejecutar cada método de detección en un único sitio de la jerarquía para reducir la sobrecarga administrativa y el potencial para que varias acciones de detección detecten de nuevo los mismos recursos. Al minimizar el número de sitios que ejecutan la detección, puede reducir el ancho de banda de red total empleado por la detección y disminuir el número total de DDR que se crean y que los servidores de sitio deben procesar.
Muchas de las configuraciones del método de detección se explican por sí mismas. Utilice las siguientes secciones para obtener más información acerca de las opciones de detección que pueden requerir información adicional antes de configurarlas.
Opciones de detección compartidas
En la tabla siguiente se identifican las opciones de configuración que están disponibles en varios métodos de detección de Active Directory.
Clave: |
√ = Compatible |
Ø = No compatible |
Opción de detección |
Detección de sistemas de Active Directory |
Detección de usuario de Active Directory |
Detección de grupos de Active Directory |
Detalles |
||
---|---|---|---|---|---|---|
Detección de diferencias |
√ |
√ |
√ |
La detección de diferencias es una opción disponible para cada método de detección de Active Directory excepto la detección de bosques de Active Directory.Configuration Manager puede usar la detección de diferencias para buscar en Servicios de dominio de Active Directory (AD DS) atributos específicos modificados después del último ciclo de detección completo del método de detección. Puede configurar un intervalo corto para que la detección de diferencias busque nuevos recursos porque la detección de nuevos recursos únicamente no afecta al rendimiento del servidor de sitio tanto como un ciclo de detección completo. La detección de diferencias puede detectar los siguientes tipos de recursos nuevos:
La detección de diferencias no puede detectar cuándo se elimina un recurso de AD DS. Debe ejecutar un ciclo de detección completo para detectar este cambio. Los DDR para los objetos que detecta la detección de diferencias se procesan de forma similar a los DDR que se crean mediante un ciclo de detección completo. La detección de diferencias se configura en la pestaña Programación de sondeo de las propiedades para cada método de detección. |
||
Filtrar registros informáticos obsoletos por inicio de sesión de dominio |
√ |
Ø |
√ |
Puede configurar la detección para que excluya la detección de registros informáticos obsoletos en función del último inicio de sesión de dominio del equipo. Cuando esta opción está habilitada, la detección de sistemas de Active Directory evalúa cada equipo que identifica. La detección de grupos de Active Directory evalúa cada equipo que es miembro de un grupo que se detecta. El uso de esta opción requiere lo siguiente:
Al configurar el tiempo después del último inicio de sesión, tenga en cuenta el intervalo para la replicación entre controladores de dominio. El filtrado se configura en la pestaña Opción de los cuadros de diálogo Propiedades de detección de sistemas de Active Directory y Propiedades de detección de grupos de Active Directory mediante la selección de la opción Detectar solo los equipos que iniciaron sesión en un dominio en un determinado período de tiempo.
|
||
Filtrar registros obsoletos por contraseña de equipo |
√ |
Ø |
√ |
Puede configurar la detección para que excluya la detección de registros informáticos obsoletos en función de la última actualización de contraseña de la cuenta de equipo por el equipo. Cuando esta opción está habilitada, la detección de sistemas de Active Directory evalúa cada equipo que identifica. La detección de grupos de Active Directory evalúa cada equipo que es miembro de un grupo que se detecta. El uso de esta opción requiere lo siguiente:
Al configurar esta opción, tenga en cuenta el intervalo de las actualizaciones para este atributo, además del intervalo de replicación entre controladores de dominio. El filtrado se configura en la pestaña Opción de los cuadros de diálogo Propiedades de detección de sistemas de Active Directory y Propiedades de detección de grupos de Active Directory mediante la selección de la opción Detectar solo los equipos que actualizaron su contraseña de cuenta de equipo en un determinado período de tiempo.
|
||
Buscar atributos personalizados de Active Directory |
√ |
√ |
Ø |
Cada método de detección es compatible con una lista única de atributos que se pueden detectar. Los atributos personalizados de Active Directory se configuran en la pestaña Atributos de Active Directory de los cuadros de diálogo Propiedades de detección de sistemas de Active Directory y Propiedades de detección de usuarios de Active Directory. |
Detección de sistemas de Active Directory
Utilice la detección de sistemas de Active Directory de Configuration Manager para buscar las ubicaciones de Servicios de dominio de Active Directory (AD DS) especificadas para recursos informáticos que se pueden utilizar en la creación de recopilaciones y consultas. Puede instalar el cliente en los equipos detectados mediante la instalación de inserción de cliente. Para crear correctamente un registro de datos de detección (DDR) para un equipo, la detección de sistemas de Active Directory debe poder identificar la cuenta de equipo y resolver el nombre del equipo en una dirección IP.
De forma predeterminada, la detección de sistemas de Active Directory detecta información básica acerca del equipo incluido lo siguiente:
Nombre del equipo
Sistema operativo y versión
Nombre de contenedor de Active Directory
Dirección IP
Sitio de Active Directory
Marca de tiempo de último inicio de sesión
Además de la información básica, puede configurar la detección de atributos extendidos de Servicios de dominio de Active Directory.
Puede ver la lista predeterminada de atributos de objetos devueltos por la detección de sistemas de Active Directory y configurar atributos adicionales para su detección en el cuadro de diálogo Propiedades de detección de sistemas de Active Directory de la pestaña Atributos de Active Directory.
Para obtener más información sobre cómo configurar este método de detección, consulte Configuración de la detección de Active Directory para equipos, usuarios o grupos.
Las acciones de detección de sistemas de Active Directory se registran en el archivo adsysdis.log que está en la carpeta <InstallationPath>\LOGS del servidor de sitio.
Detección de usuario de Active Directory
La detección de usuarios de Active Directory de Configuration Manager se usa para buscar Servicios de dominio de Active Directory (AD DS) e identificar las cuentas de usuario y los atributos asociados.
Puede ver la lista predeterminada de atributos de objetos devueltos por la detección de usuarios de Active Directory y configurar atributos adicionales para su detección en el cuadro de diálogo Propiedades de detección de usuarios de Active Directory de la pestaña Atributos de Active Directory.
De forma predeterminada, la detección de usuarios de Active Directory detecta información básica acerca de la cuenta de usuario, incluido lo siguiente:
Nombre de usuario
Nombre de usuario único (incluye el nombre de dominio)
Dominio
Nombres de contenedor de Active Directory
Además de la información básica, puede configurar la detección de atributos extendidos de Servicios de dominio de Active Directory.
Para obtener más información sobre cómo configurar este método de detección, consulte Configuración de la detección de Active Directory para equipos, usuarios o grupos.
Las acciones de detección de usuarios de Active Directory se registran en el archivo adusrdis.log que está en la carpeta <InstallationPath>\LOGS del servidor de sitio.
Detección de grupos de Active Directory
La detección de grupos de Active Directory de Configuration Manager se utiliza para buscar Servicios de dominio de Active Directory (AD DS) e identificar las pertenencias a grupos de equipos y usuarios.
Este método de detección busca en un ámbito de detección configurado, e identifica las pertenencias a grupos de recursos en ese ámbito de detección. De forma predeterminada, solo se detectan grupos de seguridad. No obstante, puede detectar la pertenencia de los grupos de distribución al seleccionar la casilla de la opción Detectar la pertenencia de los grupos de distribución de la pestaña Opción en el cuadro de diálogo Propiedades de detección de grupos de Active Directory.
Utilice la detección de grupos de Active Directory para detectar la información siguiente:
Grupos
Pertenencia a grupos
Información limitada acerca de equipos y usuarios de miembros de grupos, incluso si esos equipos y usuarios no se detectaron anteriormente por otro método de detección
Este método de detección está pensado para identificar grupos y las relaciones de grupo de miembros de grupos. Este método de detección no es compatible con los atributos extendidos de Active Directory que pueden identificarse mediante la detección de sistemas de Active Directory o la detección de usuarios de Active Directory. Como este método de detección no está optimizado para detectar recursos de equipos y usuarios, tenga en cuenta la posibilidad de ejecutar este método de detección una vez ejecutadas la detección de sistemas de Active Directory y la detección de usuarios de Active Directory. Esto se debe a que este método de detección crea un DDR completo para grupos, pero solo un DDR limitado para equipos y usuarios que son miembros de grupos.
Puede configurar los siguientes ámbitos de detección que controlan cómo busca información la detección de grupos de Active Directory:
Ubicación: utilice una ubicación si desea buscar en uno o varios contenedores de Active Directory. Esta opción de ámbito es compatible con una búsqueda recurrente de los contenedores de Active Directory especificados que también busca en cada contenedor secundario del contenedor que especifique. Este proceso continúa hasta que no se encuentren más contenedores secundarios.
Grupos: utilice grupos si desea buscar en uno o varios grupos específicos de Active Directory. Puede configurar el Dominio de Active Directory para que utilice el dominio y el bosque predeterminados o limitar la búsqueda a un controlador de dominio determinado. Además, puede especificar uno o más grupos en los que realizar la búsqueda. Si no especifica al menos un grupo, la búsqueda se realizará en todos los grupos que se encuentren en el Dominio de Active Directory especificado.
Precaución |
---|
Cuando se configura un ámbito de detección, seleccione solo los grupos que debe detectar. Esto se debe a que la detección de grupos de Active Directory intenta detectar cada miembro de cada grupo del ámbito de detección. La detección de grupos grandes puede requerir un uso considerable de ancho de banda y de recursos de Active Directory. |
Nota
Debe ejecutar la detección de sistemas de Active Directory o la detección de usuarios de Active Directory para crear recopilaciones basadas en atributos extendidos de Active Directory y garantizar unos resultados de detección precisos para equipos y usuarios.
Para obtener más información sobre cómo configurar este método de detección, consulte Configuración de la detección de Active Directory para equipos, usuarios o grupos.
Las acciones de detección de grupos de Active Directory se registran en el archivo adsgdis.log que está en la carpeta <InstallationPath>\LOGS del servidor de sitio.
Acerca de la detección de bosques de Active Directory
La detección de bosques de Active Directory de Configuration Manager se utiliza para detectar subredes IP y sitios de Active Directory, y agregarlos a Configuration Manager como límites.
A diferencia de otros métodos de detección, la detección de bosques de Active Directory no detecta recursos que se puedan administrar. En su lugar, este método detecta ubicaciones de red de Active Directory, y puede convertir esas ubicaciones en límites que se utilizan en toda la jerarquía.
Utilice la detección de bosques de Active Directory para hacer lo siguiente:
Detectar subredes IP en un bosque de Active Directory
Detectar sitios de Active Directory en un bosque de Active Directory
Agregar subredes IP y sitios de Active Directory que se detectan como límites en Configuration Manager
Publicar en Servicios de dominio de Active Directory de un bosque cuando está habilitada la publicación en ese bosque y la cuenta de bosque de Active Directory especificada tiene permisos en dicho bosque
Administre la detección de bosques de Active Directory en la consola de Configuration Manager desde los nodos siguientes de Configuración de jerarquía en el área de trabajo Administración:
Métodos de detección: aquí puede habilitar la detección de bosques de Active Directory para que se ejecute en el sitio de nivel superior de la jerarquía. También puede especificar un plan sencillo para ejecutar la detección, y configurarlo para crear automáticamente los límites de las subredes IP y los sitios de Active Directory que detecte. No se puede ejecutar la detección de bosques de Active Directory en un sitio primario secundario ni en un sitio secundario.
Nota
Este método de detección no admite la detección de diferencias.
Bosques de Active Directory: aquí puede configurar los bosques de Active Directory adicionales que desea detectar, especificar la cuenta que va a utilizar como cuenta de bosque de Active Directory en cada bosque, y configurar la publicación para cada bosque. Adicionalmente, puede supervisar el proceso de detección y agregar subredes IP y sitios de Active Directory a Configuration Manager como límites y miembros de grupos de límites.
Cuando la publicación está habilitada para un bosque y el esquema de ese bosque se extiende para Configuration Manager, se publica la siguiente información de cada sitio que está habilitado para publicar en ese bosque de Active Directory:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
Nota
Los sitios secundarios siempre utilizan la cuenta de equipo del servidor de sitio secundario para publicar en Active Directory. Si desea que los sitios secundarios publiquen en Active Directory, asegúrese de que la cuenta del equipo del servidor de sitio secundario tenga permisos para publicar en Active Directory. Un sitio secundario no puede publicar datos en un bosque que no sea de confianza.
Sugerencia |
---|
Si desea configurar la publicación para bosques de Active Directory para cada sitio de la jerarquía, conecte la consola de Configuration Manager al sitio de nivel superior de la jerarquía. La pestaña Publicación del cuadro de diálogo Propiedades del sitio de Active Directory solo puede mostrar el sitio actual y sus sitios secundarios. |
Precaución |
---|
Al desactivar la opción para publicar un sitio en un bosque de Active Directory, toda la información anteriormente publicada para ese sitio, incluidos los roles de sistema de sitio disponibles, se elimina del Active Directory de ese bosque. |
La detección de bosques de Active Directory se ejecuta en el bosque de Active Directory local, cada bosque de confianza y cada bosque adicional que configure en el nodo Bosques de Active Directory de la consola de Configuration Manager.
Las acciones de detección de bosques de Active Directory se registran en los registros siguientes:
Todas las acciones, con excepción de las acciones relativas a la publicación, se registran en el archivo ADForestDisc.Log de la carpeta <InstallationPath>\Logs del servidor de sitio.
Las acciones de publicación de detección de bosques de Active Directory se registran en hman.log y sitecomp.log, que están en la carpeta <InstallationPath>\Logs del servidor de sitio.
Acerca de la detección de diferencias
La detección de diferencias no es un método de detección completo de Configuration Manager sino una opción disponible para los métodos de detección de sistemas, usuarios y grupos de Active Directory. La detección de diferencias puede identificar la mayoría de los cambios realizados en un recurso detectado anteriormente en Active Directory y utiliza menos recursos que un ciclo de detección completo.
Cuando se habilita la detección de diferencias para un método de detección, este método busca en Servicios de dominio de Active Directory (AD DS) atributos específicos modificados después del último ciclo de detección completo del método de detección. Estos cambios se envían a la base de datos de Configuration Manager para actualizar el registro de detección de recursos.
De forma predeterminada, la detección de diferencias se ejecuta en un ciclo de cinco minutos. Esto se debe a que utiliza un número menor de recursos durante la detección que un ciclo de detección completo y no afecta al rendimiento del servidor de sitio tanto como lo haría un ciclo de detección completo. Cuando se utiliza la detección de diferencias, tenga en cuenta la posibilidad de reducir la frecuencia del ciclo de detección completo para ese método de detección.
La detección de diferencias puede detectar cambios en los objetos de Active Directory. Los cambios siguientes son los cambios más comunes que encuentra la detección de diferencias:
Nuevos equipos o usuarios agregados a Active Directory
Cambios en la información básica de equipos y usuarios
Nuevos equipos o usuarios que se agregan a un grupo
Equipos o usuarios que se quitan de un grupo
Cambios en los objetos de grupo del sistema
Aunque la detección de diferencias puede detectar nuevos recursos y cambios en la pertenencia a grupos, no puede detectar cuándo se eliminó un recurso de AD DS.
Los DDR para los objetos que detecta la detección de diferencias se procesan de forma similar a los DDR que se crean mediante un ciclo de detección completo.
La detección de diferencias se configura en la pestaña Programación de sondeo de las propiedades para cada método de detección.
Acerca de la detección de latidos
La detección de latidos difiere de otros métodos de detección de Configuration Manager. Está habilitada de forma predeterminada y se ejecuta en el cliente de cada equipo para crear un registro de datos de detección (DDR). Para los clientes de dispositivos móviles, el punto de administración, que el cliente del dispositivo móvil utiliza, crea este DDR.
La detección de latidos se ejecuta en un programa configurado para todos los clientes de la jerarquía o, si se invoca manualmente, en un cliente específico mediante la ejecución de Ciclo de recopilación de datos de descubrimiento de la pestaña Acción del programa Configuration Manager de un cliente. Cuando se ejecuta la detección de latidos, se crea un registro de datos de detección (DDR) que contiene la información actual del cliente, incluida la ubicación de red, el nombre de NetBIOS y los detalles del estado operativo. Es un archivo pequeño, aproximadamente de 1 KB, que se copia en un punto de administración y se procesa mediante un sitio principal. El envío de un DDR de detección de latidos puede mantener un registro de un cliente activo en la base de datos y forzar igualmente la detección de un cliente activo que quizá se eliminó de la base de datos o se instaló manualmente y no se detectó mediante ningún otro método de detección.
La detección de latidos es el único método de detección que proporciona detalles acerca del estado de instalación del cliente mediante la actualización de un atributo de cliente de un recurso del sistema que tenga el valor Sí. Para enviar el registro de detección de latidos, el equipo cliente debe ser capaz de ponerse en contacto con un punto de administración.
Nota
Con Configuration Manager SP1, el registro de datos de detección de latidos también incluye la versión del agente de cliente.
El plan predeterminado para la detección de latidos está establecido en cada 7 días. Si modifica el intervalo de detección de latidos, asegúrese de que se ejecuta con mayor frecuencia que la tarea de mantenimiento del sitio Eliminar datos de detección antiguos, que elimina registros de clientes inactivos en la base de datos del sitio. Puede configurar la tarea Eliminar datos de detección antiguos solo para sitios primarios.
Nota
Incluso cuando se deshabilita la detección de latidos, todavía se crean y se envían DDR a clientes de dispositivos móviles activos. Esto garantiza que la tarea Eliminar datos de detección antiguos no afecte a los dispositivos móviles activos. Cuando la tarea Eliminar datos de detección antiguos elimina un registro de base de datos para un dispositivo móvil, revoca igualmente el certificado del dispositivo e impide a este dispositivo conectarse con los puntos de administración.
Las acciones de detección de latidos se registran en las siguientes ubicaciones:
Para clientes de equipos, las acciones de detección de latidos se registran en el cliente del InventoryAgent.log de la carpeta %Windir%\CCM\Logs.
Para clientes de dispositivos móviles, las acciones de detección de latidos se registran en el DMPRP.log de la carpeta %Program Files%\CCM\Logs del punto de administración que el cliente del dispositivo móvil utiliza.
Acerca de la detección de redes
Detección de redes de Configuration Manager se usa para detectar la topología y los dispositivos de la red.
Detección de redes busca en la red recursos habilitados para IP mediante la consulta de servidores que ejecutan una implementación de Microsoft de DHCP, memorias caché del Protocolo de resolución de direcciones (ARP) en enrutadores, dispositivos habilitados para SNMP y dominios de Active Directory.
Para detectar correctamente un recurso, Detección de redes debe identificar la dirección IP y la máscara de subred del recurso. Debido a que pueden conectarse a la red diferentes tipos de dispositivos, Detección de redes puede detectar recursos que no son compatibles con el software de cliente de Configuration Manager. Por ejemplo, entre los dispositivos que se pueden detectar, pero no administrar, se incluyen impresoras y enrutadores.
Detección de redes puede devolver varios atributos como parte del registro de detección que se crea. Esto incluye lo siguiente:
Nombre de NetBIOS
Direcciones IP
Dominio de recursos
Roles del sistema
Nombre de comunidad SNMP
Direcciones MAC
Para utilizar Detección de redes, debe especificar el nivel de detección que se va a ejecutar. También puede configurar uno o más mecanismos de detección que permiten a Detección de redes consultar segmentos o dispositivos de red. Puede configurar asimismo las opciones que ayudan a controlar las acciones de detección en la red. Por último, puede definir una o más programaciones para la ejecución de Detección de redes.
Nota
Las redes complejas y las conexiones de ancho de banda reducido pueden provocar que Detección de redes se ejecute lentamente y genere mucho tráfico de red. Como práctica recomendada, ejecute Detección de redes solo cuando los otros métodos de detección no puedan encontrar los recursos que debe detectar. Por ejemplo, puede utilizar Detección de redes si debe detectar equipos de grupos de trabajo. Los equipos de grupos de trabajo no se detectan mediante otros métodos de detección.
Cuando la detección identifica un objeto IP direccionable y puede determinar la máscara de subred de objetos, crea un registro de datos de detección (DDR) para ese objeto.
La actividad de Detección de redes se registra en el Netdisc.log de <InstallationPath>\Logs del servidor de sitio que ejecuta la detección.
Niveles de Detección de redes
Al configurar Detección de redes, se puede especificar uno de los tres niveles de detección:
Nivel de detección |
Detalles |
---|---|
Topología |
Este nivel detecta los enrutadores y subredes, pero no identifica una máscara de subred para los objetos. |
Topología y cliente |
Además de la topología, este nivel detecta posibles clientes como equipos y recursos, tales como impresoras y enrutadores. Este nivel de detección intenta identificar la máscara de subred de los objetos que encuentra. |
Topología, cliente y sistema operativo de cliente |
Además de la topología y posibles clientes, este nivel intenta detectar el nombre y la versión del sistema operativo del equipo. Este nivel utiliza el Explorador de Windows y las llamadas a redes de Windows. |
Con cada nivel de incremento, Detección de redes aumenta su actividad y el uso de ancho de banda de red. Tenga en cuenta el tráfico de red que puede generarse antes de habilitar todos los aspectos de Detección de redes.
Por ejemplo, cuando se utiliza Detección de redes por primera vez, puede comenzar únicamente por el nivel de topología para identificar la infraestructura de red. A continuación, puede volver a configurar Detección de redes para que se detecten objetos y sus sistemas operativos de dispositivos. También puede configurar opciones que limiten Detección de redes a un intervalo específico de segmentos de red para detectar objetos en ubicaciones de red que necesite, y evitar un tráfico de red innecesario y la detección de objetos desde enrutadores perimetrales o desde fuera de la red.
Opciones de Detección de redes
Para que Detección de redes pueda buscar dispositivos IP direccionables, debe configurar una o varias opciones que especifiquen cómo consultar dispositivos. Las opciones aparecen en la tabla siguiente.
Opción |
Detalles |
Requisitos |
||
---|---|---|---|---|
Dominios |
Especifique cada dominio que desea que consulte Detección de redes. Detección de redes puede detectar cualquier equipo que se pueda ver desde el servidor de sitio al examinar la red. Detección de redes recupera la dirección IP y utiliza una solicitud de eco del Protocolo de mensajes de control de Internet para hacer ping a cada dispositivo que encuentre. El comando ping ayuda a determinar qué equipos están activos actualmente. |
El servidor de sitio que ejecute la detección debe tener permisos para leer los controladores de dominio en cada dominio especificado. Nota Para detectar equipos del dominio local, debe habilitar el servicio Explorador de equipos en al menos un equipo que se encuentre en la misma subred que el servidor de sitio que ejecuta Detección de redes. |
||
Dispositivos SNMP |
Especifique cada dispositivo SNMP que desea que consulte Detección de redes. Detección de red recupera el valor ipNetToMediaTable desde cualquier dispositivo SNMP que responda a la consulta. Este valor devuelve matrices de direcciones IP que son equipos cliente u otros recursos como impresoras, enrutadores u otros dispositivos IP direccionables. |
Para consultar un dispositivo, debe especificar la dirección IP o el nombre de NetBIOS del mismo. Debe configurar Detección de redes para que utilice el nombre de comunidad del dispositivo o el dispositivo rechazará la consulta basada en SNMP. |
||
DHCP |
Especifique cada servidor DHCP que desea que consulte Detección de redes. Detección de redes puede consultar servidores DHCP de 32 y 64 bits para obtener una lista de los dispositivos que están registrados en cada servidor. Detección de redes recupera información mediante llamadas a procedimiento remoto en la base de datos del servidor DHCP. Cuando Detección de redes enumera un servidor DHCP, no siempre detecta direcciones IP estáticas. Detección de redes no encuentra direcciones IP que forman parte de un intervalo de direcciones IP excluido en el servidor DHCP y no detecta direcciones IP que están reservadas para su asignación manual. Nota La detección de redes sólo admite servidores DHCP en que se ejecuta la implementación de DHCP de Microsoft.
|
Para que Detección de redes consulte correctamente un servidor DHCP, la cuenta de equipo del servidor que ejecuta la detección debe ser miembro del grupo Usuarios de DHCP del servidor DHCP. Por ejemplo, este nivel de acceso existe cuando se cumple una de las siguientes acciones:
|
Nota
Detección de redes se ejecuta en el contexto de la cuenta de equipo del servidor de sitio que ejecuta la detección. Si la cuenta de equipo no tiene permisos para un dominio que no es de confianza, es posible que las configuraciones de dominio y de servidor DHCP no consigan detectar recursos.
Limitación de Detección de redes
Cuando Detección de redes consulta un dispositivo SNMP en el perímetro de la red, puede identificar información acerca de las subredes y los dispositivos SNMP que se encuentran fuera de la red inmediata. Puede limitar Detección de redes mediante la configuración de los dispositivos SNMP con los que se puede comunicar la detección y mediante la especificación de los segmentos de red que se van a consultar.
Para limitar el ámbito de Detección de redes, use las siguientes configuraciones:
Configuración |
Detalles |
||
---|---|---|---|
Subredes |
Configure las subredes en que la detección de redes realiza consultas cuando utiliza las opciones DHCP y SNMP. Estas dos opciones sólo buscan en las subredes habilitadas. Por ejemplo, una solicitud DHCP puede devolver los dispositivos desde ubicaciones de toda la red. Si desea que solo se detecten los dispositivos de una subred concreta, especifique y habilite dicha subred en la pestaña Subredes del cuadro de diálogo Propiedades de Detección de redes. Al especificar y habilitar las subredes, se limitan futuras operaciones de detección DHCP y SNMP en esas subredes. Nota La configuración de las subredes no limita los objetos detectados con la opción de detección de dominios. |
||
Nombres de comunidades SNMP |
Para habilitar la detección de redes para consultar correctamente un dispositivo SNMP, configure la detección de redes con el nombre de comunidad del dispositivo.
|
||
Número máximo de saltos |
Cuando se configura el número máximo de saltos de enrutador, se limita el número de segmentos de red y enrutadores que puede consultar la detección de redes con SNMP.
Por ejemplo, una detección solo de topología con 0 (cero) saltos de enrutador detecta la subred en que reside el servidor de origen e incluye todos los enrutados de dicha subred. En el diagrama siguiente se muestra qué encuentra la detección de redes de solo topología cuando se ejecuta en el servidor 1 con 0 saltos de enrutador definidos: subred D y enrutador 1. En el diagrama siguiente se muestra qué encuentra una detección de redes de clientes y topologías cuando se ejecuta en el servidor 1 con 0 saltos de enrutador definidos: subred D y enrutador 1, así como todos los clientes posibles en la subred D. Para hacerse una idea más clara de cómo los saltos de enrutador adicionales pueden aumentar la cantidad de recursos de red detectados, tenga en cuenta la siguiente red: Al ejecutar una detección de redes de solo topología desde el servidor 1 con un salto de enrutador, se detecta lo siguiente:
|
Registros de datos de detección creados por la detección de redes
Cuando la detección de redes detecta un objeto, crea un registro de datos de detección (DDR) para dicho objeto. Para que la detección de redes detecte un objeto, es necesario identificar la dirección IP del objeto y, a continuación, su máscara de subred. La detección de redes no crea un DDR si no puede determinar la máscara de subred de un objeto.
La detección de redes utiliza los siguientes métodos para identificar la máscara de subred de un objeto:
Método |
Detalles |
Limitación |
---|---|---|
Caché ARP del enrutador |
La detección de redes consulta la caché ARP de un enrutador para buscar información de subred. |
Normalmente, los datos de una caché ARP del enrutador tienen un corto período de vida. Cuando la detección de redes consulta la caché ARP, es posible que ésta ya no contenga información acerca del objeto solicitado. |
DHCP |
La detección de redes consulta cada servidor DHCP especificado para detectar los dispositivos para los que el servidor DHCP ha proporcionado una concesión. |
La detección de redes sólo admite servidores DHCP en que se ejecuta la implementación de DHCP de Microsoft. |
Dispositivo SNMP |
La detección de redes puede consultar directamente un dispositivo SNMP. |
Para que la detección de redes consulte un dispositivo, este último debe tener instalado un agente SNMP local. También se debe configurar la detección de redes para utilizar el nombre de comunidad utilizado por el agente SNMP. |
Configuration Manager procesa DDR creados por la detección de redes de la misma forma en que procesa DDR creados por otros métodos de detección.
Acerca de los registros de datos de detección
Los registros de datos de detección (DDR) son archivos creados por un método de detección que contienen información acerca de los recursos que se pueden administrar en Configuration Manager. Los DDR contienen información acerca de los equipos, los usuarios y, en algunos casos, la infraestructura de red. Estos se procesan en sitios primarios o en sitios de administración central. Después de que la información sobre los recursos del DDR se incluye en la base de datos, se elimina el DDR y se replica la información como datos globales en todos los sitios de la jerarquía.
El sitio en que se procesa un DDR depende de la información que contiene:
Los DDR de los nuevos recursos detectados que no se encuentran en la base de datos se procesan en el sitio de primer nivel de la jerarquía. El sitio de primer nivel crea un nuevo registro de recursos en la base de datos y le asigna un identificador único. Los DDR se transfieren mediante la replicación basada en archivos hasta que alcanzan el sitio de primer nivel.
Los DDR de los objetos detectados anteriormente se procesan en sitios primarios. Los sitios primarios secundarios no transfieren DDR al sitio de administración central cuando el DDR contiene información sobre un recurso que ya está en la base de datos.
El sitio secundario no procesa los registros de datos de detección y siempre los transfiere a su sitio primario principal mediante la replicación basada en archivos.
Los archivos DDR se identifican por la extensión .ddr y tienen un tamaño típico de aproximadamente 1 kB.
Decidir dónde ejecutar la detección
Si se prevé utilizar la detección en Configuration Manager, cabe tener en cuenta dónde ejecutar cada método de detección.
Después de que Configuration Manager agrega datos de detección a una base de datos, estos se comparten rápidamente entre todos los sitios de la jerarquía. Habida cuenta de que detectar la misma información en varios sitios de la jerarquía no aporta ningún beneficio, es conveniente configurar una sola instancia de cada método de detección utilizado para ejecutarse en un único sitio, en lugar de varias instancias de un único método en diferentes sitios.
Sin embargo, periódicamente podría resultar útil asignar el mismo método de detección para ejecutarse en varios sitios, cada uno con una programación y una configuración independientes. Esto se debe a que, en cada sitio, se evalúan todas las configuraciones de un único método de detección cada vez que se ejecuta el método. Si se configuran varias instancias de un único método de detección para ejecutarse en diferentes sitios, es necesario planificar detenidamente la configuración de cada uno a fin de evitar que dos o más procesos de detección detecten los mismos recursos. La detección de las mismas ubicaciones y los mismos recursos en varios sitios puede consumir ancho de banda de red adicional, además de crear DDR duplicados de recursos que no aportan ningún valor y que también deben procesar los servidores del sitio.
En la tabla siguiente se identifica en qué sitios se pueden configurar los diferentes métodos de detección.
Método de detección |
Ubicaciones admitidas |
---|---|
Detección de bosques de Active Directory |
|
Detección de grupos de Active Directory |
|
Detección de sistemas de Active Directory |
|
Detección de usuario de Active Directory |
|
Detección de latidos1 |
|
Detección de redes |
|
1 Los sitios secundarios no pueden configurar el método de detección de latidos, pero pueden recibir el DDR de latido de un cliente.
Cuando los sitios secundarios ejecutan la detección de redes o reciben DDR de detección de latidos, transfieren el DDR mediante la replicación basada en archivos a su sitio primario principal. Esto se debe a que sólo los sitios primarios y los sitios de administración central pueden procesar registros de datos de detección (DDR). Para obtener más información sobre cómo se procesan los DDR, consulte Acerca de los registros de datos de detección en este tema.
Al planear dónde ejecutar la detección, cabe tener en cuenta lo siguiente:
Cuando se utiliza un método de detección de Active Directory para sistemas, usuarios o grupos:
Ejecute la detección en un sitio que tiene una conexión de red rápida con los controladores de dominio.
Tenga en cuenta la topología de replicación de Active Directory para garantizar que la detección puede tener acceso a la información más reciente.
Tenga en cuenta el ámbito de la configuración de detección y limite la detección únicamente a las ubicaciones y los grupos de Active Directory que se deban detectar.
Si utiliza la detección de redes:
Utilice una configuración inicial limitada para identificar la topología de la red.
Después de identificar la topología de la red, configure la detección de redes para ejecutarse en sitios específicos que son fundamentales para las áreas de la red que desea detectar plenamente.
Habida cuenta de que la detección de latidos no se ejecuta en un sitio específico, no es necesario considerarla en la planificación general de dónde ejecutar la detección.
Como cada servidor de sitio y entorno de red son diferentes, cabe limitar las configuraciones de detección inicial y supervisar de cerca la capacidad de cada servidor de sitio para procesar los datos de detección que se han generado.
Prácticas recomendadas para la detección
Utilice la siguiente información sobre prácticas recomendadas para ayudarle a utilizar la detección en System Center 2012 Configuration Manager.
Ejecución de la detección de sistemas de Active Directory y la detección de usuarios de Active Directory antes de ejecutar la detección de grupos de Active Directory
Cuando la detección de grupos de Active Directory identifica un usuario o equipo no detectado previamente como miembro de un grupo, trata de detectar los detalles básicos del usuario o el equipo. Habida cuenta de que la detección de grupos de Active Directory no está optimizada para este tipo de detección, este proceso puede dar lugar a que la detección de grupos de Active Directory se ejecute con lentitud. Además, la detección de grupos de Active Directory identifica sólo los detalles básicos sobre los usuarios y equipos que detecta, y no crea un registro de detección completo del usuario o el equipo. Al ejecutar la detección de sistemas de Active Directory y la detección de usuarios de Active Directory, se encontrarán disponibles también los atributos adicionales de Active Directory para cada tipo de objeto y, como resultado, la detección de grupos de Active Directory se ejecuta de manera más eficaz.
Al configurar la detección de grupos de Active Directory, cabe especificar sólo los grupos utilizados con Configuration Manager
Con el fin de controlar el uso que la detección de grupos de Active Directory hace de los recursos, es necesario especificar sólo los grupos utilizados con Configuration Manager. Esto se debe a que la detección de grupos de Active Directory busca usuarios, equipos y grupos anidados de forma recursiva en cada grupo que detecta. La búsqueda de cada grupo anidado puede ampliar el ámbito de la detección de grupos de Active Directory y reducir el rendimiento. Además, al configurar la detección de diferencias para la detección de grupos de Active Directory, el método de detección supervisa los cambios de cada grupo. Esto reduce aún más el rendimiento cuando el método debe buscar grupos innecesarios.
Configuración de métodos de detección con un intervalo más largo entre la detección completa, y un período más frecuente para la detección de diferencias
Habida cuenta de que la detección de diferencias consume menos recursos que un ciclo de detección completa, además de poder identificar recursos nuevos o modificados en Active Directory, al utilizar la detección de diferencias se puede reducir la frecuencia de los ciclos de detección completa a una ejecución por semana o incluso menos. La detección de diferencias para la detección de sistemas de Active Directory, la detección de usuarios de Active Directory y la detección de grupos de Active Directory identifica casi todos los cambios de los objetos de Active Directory y puede mantener datos de detección precisos sobre los recursos.
Ejecución de métodos de detección de Active Directory en el sitio primario que tiene una ubicación de red más cercana al controlador de dominio de Active Directory
Para mejorar el rendimiento de la detección de Active Directory, se recomienda ejecutar la detección en un sitio primario que tiene una conexión de red rápida a los controladores de dominio. Si se ejecuta el mismo método de detección de Active Directory en varios sitios, se recomienda configurar cada método de detección para evitar superposiciones. A diferencia de las versiones anteriores de Configuration Manager, los datos de detección se comparten entre los sitios. Por lo tanto, no es necesario detectar la misma información en varios sitios. Para obtener más información, vea Decidir dónde ejecutar la detección.
Ejecución de la detección de bosques de Active Directory en un solo sitio cuando se planea crear automáticamente los límites de los datos de detección
Si se ejecuta la detección de bosques de Active Directory en más de un sitio de una jerarquía, se recomienda habilitar sólo las opciones para crear automáticamente los límites en un solo sitio. Esto se debe a que, cuando la detección de bosques de Active Directory se ejecuta en cada sitio y crea límites, Configuration Manager no puede combinar dichos límites en un objeto de un solo límite. Al configurar la detección de bosques de Active Directory para crear automáticamente los límites en varios sitios, el resultado pueden ser objetos con límites duplicados en la consola de Configuration Manager.