Konfigurowanie składników lokacji w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Składniki lokacji konfiguruje się w celu kontroli sposobu działania ról systemu lokacji w lokacji oraz raportowania stanu lokacji. Konfiguracje ról systemu lokacji mają zastosowanie do każdego wystąpienia roli w danej lokacji. Konfiguracje należy przeprowadzać pojedynczo w każdej lokacji i nie można ich stosować do wielu lokacji.
Konfigurowanie składników lokacji w programie Configuration Manager
Składniki lokacji konfiguruje się w celu kontroli sposobu działania ról systemu lokacji w lokacji oraz raportowania stanu lokacji. Konfiguracje ról systemu lokacji mają zastosowanie do każdego wystąpienia roli w danej lokacji. Konfiguracje należy przeprowadzać pojedynczo w każdej lokacji i nie można ich stosować do wielu lokacji.
Aby wybrać składnik do skonfigurowania w określonej lokacji, wykonaj czynności opisane w poniższej procedurze.
Aby edytować składniki w lokacji
-
W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.
-
W obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji i kliknij przycisk Lokacje.
-
Wybierz lokację zawierającą składniki do skonfigurowania.
-
Na karcie Narzędzia główne w grupie Ustawienia kliknij przycisk Konfiguruj składniki lokacji, a następnie wybierz składnik lokacji do skonfigurowania.
Opcje konfiguracji składników lokacji
Wiele opcji konfiguracji składników lokacji nie wymaga wyjaśnień lub zapewnia dodatkowe informacje w oknach dialogowych. Więcej informacji niezbędnych do rozpoczęcia konfiguracji poszczególnych ustawień znajduje się w następujących sekcjach:
Właściwości składnika punktu modułu sprawdzania poprawności kondycji systemu
Te opcje należy skonfigurować tylko w przypadku instalowania w lokacji punktów modułu sprawdzania poprawności kondycji systemu w celu używania funkcji ochrony dostępu do sieci w ramach aktualizacji oprogramowania.
Opcja konfiguracji |
Opis |
||
|---|---|---|---|
Interwał kwerendy (minuty) |
Określa w minutach częstotliwość pobierania z usług domenowych Active Directory odwołań do kondycji programu Menedżer konfiguracji i zapisywania ich w pamięci podręcznej przez punkty modułu sprawdzania poprawności kondycji systemu. Informacje są pobierane przy użyciu wywołania protokołu LDAP na serwer wykazu globalnego. Im niższa wartość, tym szybciej moduł sprawdzania poprawności kondycji systemu będzie wykrywał zmiany w zasadach NAP programu Configuration Manager; istnieje jednak większe prawdopodobieństwo uznania klientów za niezgodnych, mimo że mają wszystkie wymagane aktualizacje oprogramowania określone w zasadach NAP programu Configuration Manager. Jeżeli zasady na serwerze zasad sieciowych zostały skonfigurowane, aby niezgodni klienci mieli ograniczony dostęp do sieci, w tym scenariuszu klienci będą mieli pełny dostęp do sieci po pobraniu zasad NAP programu Configuration Manager, ponownej ocenie swojej zgodności, a następnie wysłaniu nowego raportu o kondycji do punktu modułu sprawdzania poprawności kondycji systemu. Ten proces może potrwać kilka minut. Zwiększenie wartości ogranicza prawdopodobieństwo uznania klientów za niezgodnych, gdy mają oni wszystkie wymagane aktualizacje oprogramowania określone w zasadach NAP programu Configuration Manager. W tym scenariuszu nie występuje ryzyko ograniczenia klientom dostępu do sieci w celu pobrania zasad NAP programu Configuration Manager i ponownej oceny zgodności. Przy wyższej wartości klienci mogą jednak zostać uznani za zgodnych, mimo że nie oszacowali zgodności przy użyciu najnowszych zasad NAP Configuration Manager. Aby zmniejszyć prawdopodobieństwo ograniczenia dostępu do sieci klientom z wybranymi aktualizacji oprogramowania, zapewniając jednocześnie, że wyniki zgodności będą oparte na najnowszych zasadach NAP programu Configuration Manager, w tej opcji należy skonfigurować wartość dwukrotnie większą od określonej w ustawieniu klienta Interwał sondowania zasad klienta (domyślny interwał sondowania zasad klienta wynosi godzinę). To ustawienie może mieć wartość z zakresu od 1 do 10 080 minut. Domyślna wartość to 120 minut. |
||
Okres ważności (godziny) |
Określa liczbę godzin, przez jaką raport o kondycji klienta zapisany w pamięci podręcznej będzie akceptowany przez punkty modułu sprawdzania poprawności kondycji systemu jako zgodny. Jeżeli raport o kondycji klienta jest starszy niż okres ważności, punkt modułu sprawdzania poprawności kondycji systemu określa kondycję na serwerze zasad sieciowych jako niezgodną. W tym scenariuszu, gdy zasady na serwerze zasad sieciowych w tym wymuszają zgodność, klient musi ponownie ocenić stan zgodności i dostarczyć nowy raport o kondycji. W związku z tym dłuższy okres ważności powoduje szybsze przetwarzanie (i krótszy czas nawiązywania połączeń), ale informacje o zgodności mogą nie być aktualne. To ustawienie może mieć wartość z zakresu od 1 do 168 godzin. Domyślna wartość to 26 godzin.
|
||
Data utworzenia musi przypadać później niż (czas UTC) |
Określa czas utworzenia raportu o kondycji klienta po określonej dacie i godzinie (w uniwersalnym czasie koordynowanym). Po wybraniu tej opcji należy określić datę i godzinę. Nie można określić wartości daty i godziny w przyszłości. Data i godzina muszą mieć bieżące lub wcześniejsze wartości. Ta opcja jest odpowiednia w przypadku skonfigurowania tylko nowych zasad ochrony dostępu do sieci (NAP) programu Configuration Manager. W takim przypadku należy uwzględnić w ocenie aktualizacje oprogramowania wybrane w zasadach niezależnie od okresu ważności. Ta opcja nie jest domyślnie włączona. |
||
Wyznacz las usługi Active Directory |
Określa, że serwer lokacji i punkty modułu sprawdzania poprawności kondycji systemu w ramach tej lokacji nie znajdują się w tym samym lesie usługi Active Directory. Aby skonfigurować składnik punktu modułu sprawdzania poprawności kondycji systemu w tym środowisku, należy ustalić, w których lasach znajdują się punkty modułu sprawdzania poprawności kondycji systemu i czy istnieją między nimi relacje zaufania, a następnie wybrać las, który ma publikować odwołania do kondycji programu Configuration Manager. W lesie usługi Active Directory publikującym odwołania do kondycji należy zastosować rozszerzenia schematu programu Menedżer konfiguracji, serwery lokacji muszą publikować dane w usłudze Active Directory, a w kontenerze zarządzania systemem w usłudze Active Directory należy odpowiednio określić uprawnienia. Te zależności usługi Active Directory mogą mieć wpływ na decyzję, w którym lesie będą publikowane odwołania do kondycji programu Menedżer konfiguracji. W poniższych scenariuszach opisano cztery podstawowe konfiguracje, gdy ochrona dostępu do sieci w programie Menedżer konfiguracji obejmuje wiele lasów usługi Active Directory. Te scenariusze ułatwiają podjęcie decyzji, w którym lesie usługi Active Directory mają być publikowane odwołania do kondycji.
|
||
Konto publikowania odwołań do kondycji |
Określa konto użytkownika systemu Microsoft Windows w wyznaczonym lesie usługi Active Directory w przypadku spełnienia jednego z następujących warunków:
|
||
Konto kwerendy odwołania do stanu kondycji |
Określa konto użytkownika systemu Windows w wyznaczonym lesie usługi Active Directory w przypadku spełnienia jednego z następujących warunków:
|
Właściwości składnika dystrybucji oprogramowania
Opcja konfiguracji |
Opis |
||
|---|---|---|---|
Konto dostępu do sieci |
Określ w ramach konta dostępu do sieci konto użytkownika systemu Windows, gdy komputery klienckie należące do grup roboczych lub niezaufanych domen wymagają dostępu do zasobów sieciowych.
Mimo że komputery klienckie programu Menedżer konfiguracji wykonują większość operacji klienta programu Menedżer konfiguracji przy użyciu konta systemu lokalnego, konto to nie zapewnia dostępu do zasobów sieciowych. Przy użyciu konta systemu lokalnego nie można na przykład uwierzytelnić komputera z punktami dystrybucji w celu nawiązania połączenia i pobrania oprogramowania. W tych scenariuszach klienci z zaufanych domen uzyskują dostęp do zasobów sieciowych przy użyciu konta <nazwa komputera>$. Na komputerach bez możliwości uwierzytelniania przy użyciu konta <nazwa komputera>$ można użyć określonego konta użytkownika systemu Windows na potrzeby konta dostępu do sieci. Określenie konta użytkownika systemu Windows w ramach konta dostępu do sieci może być również konieczne podczas wdrażania systemu operacyjnego. Jest to spowodowane brakiem kontekstu zabezpieczeń, którego komputer odbierający system operacyjny może użyć w celu uzyskania dostępu do zawartości w sieci. Uwaga W przypadku określenia konta użytkownika systemu Windows należy skonfigurować w nim minimalne wymagane uprawnienia dostępu do zawartości wymagane w celu pobrania oprogramowania. Konto musi mieć uprawnienie użytkownika Uzyskiwanie dostępu do tego komputera z sieci w punkcie dystrybucji lub na innym serwerze z zawartością pakietu. Nie przyznawaj temu kontu interaktywnych uprawnień logowania ani dołączania komputerów do domeny. Jeżeli musisz dołączyć komputery do domeny podczas sekwencji zadań, użyj konta dołączania do domeny edytora sekwencji zadań. Dla programu System Center 2012 R2 Configuration Manager i nowszych wersji: Teraz można określić wiele kont dostępu do sieci dla lokacji. Gdy klienci próbują uzyskać dostęp do zawartości i nie mogą użyć lokalnego konta komputera, w pierwszej kolejności używają ostatniego konta dostępu do sieci, za pomocą którego pomyślnie nawiązano połączenie. Program Menedżer konfiguracji obsługuje dodanie maksymalnie dziesięciu kont dostępu do sieci. |
Właściwości składnika punktu aktualizacji oprogramowania
Więcej informacji o opcjach konfiguracji składnika punktu aktualizacji oprogramowania znajduje się w temacie Konfigurowanie aktualizacji oprogramowania w programie Configuration Manager.
Właściwości składnika punktu zarządzania
Opcja konfiguracji |
Opis |
||
|---|---|---|---|
Punkty zarządzania |
Określa punkty zarządzania w lokacji programu Menedżer konfiguracji publikowane w usługach domenowych Active Directory. Klienci programu Menedżer konfiguracji używają punktów zarządzania do znalezienia usługi, znalezienia informacji o lokacji (takich jak członkostwo grupy granic oraz opcje wyboru certyfikatu PKI), a także znalezienia innych punktów zarządzania w lokacji i punktów dystrybucji, z których ma zostać pobrane oprogramowanie. Klienci używają również punktów zarządzania w celu przypisania lokacji i pobrania zasad klienta oraz przesłania informacji o kliencie. Najbezpieczniejszą metodą wyszukiwania punktów zarządzania przez klientów jest publikowanie ich w usługach domenowych Active Directory. Dlatego zazwyczaj do opublikowania w usługach domenowych Active Directory wybiera się wszystkie działające punkty zarządzania. W ramach tej metody lokalizacji usługi należy jednak rozszerzyć schemat programu Menedżer konfiguracji, kontener Zarządzanie systemem musi mieć odpowiednie uprawnienia zabezpieczeń umożliwiające serwerowi lokacji publikowanie w nim danych, lokację programu Menedżer konfiguracji należy skonfigurować do publikowania w usługach domenowych Active Directory, a klienci muszą należeć do tego samego lasu usługi Active Directory co serwer lokacji. Jeżeli klienci w sieci intranet nie mogą wyszukiwać punktów zarządzania przy użyciu usług domenowych Active Directory, użyj funkcji publikowania DNS. |
||
Publikuj wybrane punkty zarządzania intranetem w systemie DNS |
Wybierz tę opcję, gdy klienci w sieci intranet nie mają możliwości wyszukiwania punktów zarządzania w usługach domenowych Active Directory, ale mogą wyszukiwać punkty zarządzania w przypisanej im lokacji przy użyciu rekordu zasobów lokalizacji usługi w systemie DNS (SRV RR). Aby publikować intranetowe punkty zarządzania w systemie DNS przy użyciu programu Menedżer konfiguracji, należy spełnić wszystkie następujące warunki:
Jeżeli klienci programu Menedżer konfiguracji nie mogą wyszukać punktów zarządzania w sieci intranet przy użyciu usług domenowych Active Directory lub systemu DNS, powracają do korzystania z usługi WINS. Pierwszy punkt zarządzania zainstalowany w lokacji jest automatycznie publikowany w usłudze WINS w przypadku skonfigurowania jej do akceptowania połączeń klienta przy użyciu protokołu HTTP w ramach sieci intranet. |
.jpeg "System_CAPS_warning")
OstrzeżenieWłaściwości składnika punktu zarządzania poza pasmem
.jpeg "System_CAPS_important"){kind=icon} Ważne |
|---|
Nie można zapisać opcji konfiguracji dla składnika zarządzania poza pasmem, jeśli w lokacji nie ma zainstalowanego przynajmniej jednego punktu rejestracyjnego. |
Aby uzyskać więcej informacji o opcjach konfiguracji składnika punktu zarządzania poza pasmem, zobacz Krok 5: Konfigurowanie poza pasmem składnika zarządzania.
Ocena członkostwa w kolekcji
Uwaga
Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:
Za pomocą tego zadania może zmienić, jak często członkostwo w kolekcji jest oceniane przyrostowo. Ocena przyrostowa aktualizuje członkostwo kolekcji tylko nowymi i zmienionymi zasobami.
Jeśli program Menedżer konfiguracji jest bez dodatku Service Pack możesz skonfigurować ocenę członkostwa w kolekcji jako zadanie konserwacji lokacji. Aby uzyskać informacje, zobacz sekcja Panowanie zadań konserwacji dotyczących programu Configuration Manager w temacie Planowanie operacji lokacji w programie Configuration Manager.