Delen via

Ondersteuning voor Active Directory-domeinen in Configuration Manager

  • Artikel

Van toepassing op: Configuration Manager (current branch)

Alle Configuration Manager-sitesystemen moeten lid zijn van een ondersteund Active Directory-domein. Configuration Manager clientcomputers kunnen domeinleden of werkgroepleden zijn.

Vereisten en beperkingen

  • Domeinlidmaatschap is ook van toepassing op sitesystemen die ondersteuning bieden voor clientbeheer via internet in een perimeternetwerk. (Deze netwerken worden ook wel dmz, gedemilitariseerde zone en gescreend subnet genoemd.

  • Het wordt niet ondersteund om de volgende configuraties te wijzigen voor een computer die als host fungeert voor een sitesysteemrol:

    • Domeinlidmaatschap, ook als u een sitesysteem uit het domein verwijdert en vervolgens opnieuw lid wordt van hetzelfde domein.

    • Domeinnaam

    • Computernaam

    Voordat u deze wijzigingen aanbrengt, verwijdert u de sitesysteemrol. Als u deze wijzigingen wilt aanbrengen op een siteserver, verwijdert u eerst de site. U kunt ook overwegen om een siteserver in de passieve modus te maken om deze wijziging op een siteserver te beheren.

  • Configuration Manager ondersteunt het functionele domein- en forestniveau van Windows Server 2008 R2 of hoger.

Niet-aaneengesloten naamruimte

U kunt Configuration Manager sitesystemen en -clients installeren in een domein met een niet-aaneengesloten naamruimte.

In een niet-aaneengesloten naamruimte komt het primaire DNS-achtervoegsel van een computer niet overeen met de Active Directory DNS-domeinnaam van die computer. Een ander niet-aaneengesloten naamruimtescenario treedt op als de NetBIOS-domeinnaam van een domeincontroller niet overeenkomt met de DNS-domeinnaam van Active Directory.

Niet-aaneengesloten scenario's

In de volgende secties worden de ondersteunde scenario's voor een niet-aaneengesloten naamruimte beschreven.

Scenario 1

Het primaire DNS-achtervoegsel van de domeincontroller verschilt van de Active Directory DNS-domeinnaam. Computers die lid zijn van het domein kunnen niet-aaneengesloten of niet aaneengesloten zijn.

De domeincontroller is in dit scenario niet aan elkaar gekoppeld. Computers die lid zijn van het domein, zoals siteservers en computers, kunnen een primair DNS-achtervoegsel hebben dat overeenkomt met:

  • Het primaire DNS-achtervoegsel van de domeincontroller
  • De Active Directory DNS-domeinnaam

Scenario 2

Een lidcomputer in een Active Directory-domein is niet aaneengesloten, ook al is de domeincontroller niet aaneengesloten.

In dit scenario verschilt het primaire DNS-achtervoegsel van een sitesysteem van de Active Directory DNS-domeinnaam. Het primaire DNS-achtervoegsel van de domeincontroller is hetzelfde als de Active Directory DNS-domeinnaam. Lidcomputers die Configuration Manager clients kunnen een primair DNS-achtervoegsel hebben dat overeenkomt met:

  • Het primaire DNS-achtervoegsel van de niet-aaneengesloten sitesysteemserver
  • De Active Directory DNS-domeinnaam

Niet-aaneengesloten naamruimte configureren

Als u een computer toegang wilt geven tot niet-aaneengesloten domeincontrollers, wijzigt u het Active Directory-kenmerk msDS-AllowedDNSSuffixes in de domeinobjectcontainer. Voeg beide DNS-achtervoegsels toe aan het kenmerk.

Als u ervoor wilt zorgen dat de lijst met DNS-achtervoegsels alle DNS-naamruimten in de organisatie bevat, configureert u de zoeklijst voor elke computer in het niet-aaneengesloten domein. Neem de volgende achtervoegsels op in de lijst met naamruimten:

  • Het primaire DNS-achtervoegsel van de domeincontroller
  • De DNS-domeinnaam
  • Eventuele extra naamruimten voor andere servers waarmee Configuration Manager kunnen communiceren

U kunt groepsbeleid gebruiken om de zoeklijst voor dns-achtervoegsels (Domain Name System) te configureren.

Belangrijk

Wanneer u in Configuration Manager naar een computer verwijst, voert u de computer in met behulp van het primaire DNS-achtervoegsel. Dit achtervoegsel moet overeenkomen met de volledig gekwalificeerde domeinnaam die is geregistreerd als het kenmerk dnsHostName in het Active Directory-domein en de service-principalnaam die is gekoppeld aan het systeem.

Domeinen met één label

Configuration Manager ondersteunt sitesystemen en clients in een domein met één label wanneer aan de volgende criteria wordt voldaan:

  • Configureer het domein met één label in Active Directory Domain Services met een niet-aaneengesloten DNS-naamruimte met een geldig domein op het hoogste niveau.

    Bijvoorbeeld: Het domein met één label van Contoso is geconfigureerd voor een niet-aaneengesloten naamruimte in DNS van contoso.com. Wanneer u het DNS-achtervoegsel opgeeft in Configuration Manager voor een computer in het Contoso-domein, geeft u 'Contoso.com' op en niet 'Contoso'.

  • De DCOM-verbindingen (Distributed Component Object Model) tussen siteservers in de systeemcontext moeten succesvol zijn met behulp van Kerberos-verificatie.