Acerca dos métodos de deteção para Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Configuration Manager métodos de deteção encontram diferentes dispositivos na sua rede, dispositivos e utilizadores do Active Directory ou utilizadores de Microsoft Entra ID. Para utilizar eficientemente um método de deteção, deve compreender as respetivas configurações e limitações disponíveis.
Deteção de floresta do Active Directory
Configurável: Sim
Ativado por predefinição: Não
Contas que pode utilizar para executar este método:
Conta de floresta do Active Directory (definida pelo utilizador)
Conta de computador do servidor do site
Ao contrário de outros métodos de deteção do Active Directory, a deteção de florestas do Active Directory não deteta recursos que pode gerir. Em vez disso, este método deteta as localizações de rede configuradas no Active Directory. Pode converter essas localizações em limites para utilização em toda a hierarquia.
Quando este método é executado, procura na floresta local do Active Directory, em cada floresta fidedigna e noutras florestas que configura no nó Florestas do Active Directory da consola do Configuration Manager.
Utilize a deteção de florestas do Active Directory para:
Descubra sites e sub-redes do Active Directory e, em seguida, crie limites de Configuration Manager com base nessas localizações de rede.
Identifique as super-redes atribuídas a um site do Active Directory. Converta cada super-rede num limite de intervalo de endereços IP.
Publicar no Active Directory Domain Services (AD DS) numa floresta quando a publicação nessa floresta está ativada. A conta de floresta do Active Directory especificada tem de ter permissões para essa floresta.
Pode gerir a deteção de florestas do Active Directory na consola do Configuration Manager. Aceda à área de trabalho Administração e expanda Configuração da Hierarquia.
Métodos de Deteção: ative a deteção de florestas do Active Directory para ser executada no site de nível superior da hierarquia. Também pode especificar uma agenda para executar a deteção. Configure-o para criar automaticamente limites a partir das sub-redes IP e dos sites do Active Directory que deteta. A deteção de florestas do Active Directory não pode ser executada num site primário subordinado ou num site secundário.
Florestas do Active Directory: configure as outras florestas para detetar, especificar cada conta de floresta do Active Directory e configurar a publicação para cada floresta. Monitorize o processo de deteção. Adicione sub-redes IP e sites do Active Directory como Configuration Manager limites e membros de grupos de limites.
Para configurar a publicação de florestas do Active Directory para cada site da hierarquia, ligue a consola do Configuration Manager ao site de nível superior da hierarquia. O separador Publicação na caixa de diálogo Propriedades de um site do Active Directory só pode mostrar o site atual e os respetivos sites subordinados. Quando a publicação está ativada para uma floresta e o esquema dessa floresta é expandido para Configuration Manager, são publicadas as seguintes informações para cada site que esteja ativado para publicar nessa floresta do Active Directory:
SMS-Site-<site code>SMS-MP-<site code>-<site system server name>SMS-SLP-<site code>-<site system server name>SMS-<site code>-<Active Directory site name or subnet>
Observação
Os sites secundários utilizam sempre a conta de computador do servidor do site secundário para publicar no Active Directory. Se pretender que os sites secundários publiquem no Active Directory, certifique-se de que a conta de computador do servidor do site secundário tem permissões para publicar no Active Directory. Um site secundário não pode publicar dados numa floresta não fidedigna.
Cuidado
Quando desmarca a opção para publicar um site numa floresta do Active Directory, todas as informações publicadas anteriormente para esse site, incluindo as funções do sistema de sites disponíveis, são removidas do Active Directory.
As ações para a Deteção de Florestas do Active Directory são registadas nos seguintes registos:
Todas as ações, exceto as ações relacionadas com a publicação, são registadas no ficheiro ADForestDisc.Log na <pasta InstallationPath>\Logs no servidor do site.
As ações de publicação da Deteção de Florestas do Active Directory são registadas nos ficheiros hman.log e sitecomp.log na <pasta InstallationPath>\Logs no servidor do site.
Para obter mais informações sobre como configurar este método de deteção, veja Configurar métodos de deteção.
Deteção de grupos do Active Directory
Configurável: Sim
Ativado por predefinição: Não
Contas que pode utilizar para executar este método:
Conta de deteção de grupo do Active Directory (definida pelo utilizador)
Conta de computador do servidor do site
Dica
Para além das informações nesta secção, veja Funcionalidades comuns do grupo, sistema e deteção de utilizadores do Active Directory.
Utilize este método para procurar Active Directory Domain Services para identificar:
Grupos de segurança locais, globais e universais.
A associação de grupos.
Informações limitadas sobre os utilizadores e computadores membros de um grupo, mesmo quando outro método de deteção não detetou anteriormente esses computadores e utilizadores.
Este método de deteção destina-se a identificar grupos e as relações de grupo de membros de grupos. Por predefinição, apenas os grupos de segurança são detetados. Se também pretender encontrar a associação de grupos de distribuição, tem de marcar a caixa da opção Detetar a associação de grupos de distribuição no separador Opção na caixa de diálogo Propriedades de Deteção de Grupos do Active Directory.
A deteção de grupos do Active Directory não suporta os atributos expandidos do Active Directory que podem ser identificados através da deteção do sistema do Active Directory ou da deteção de utilizadores do Active Directory. Uma vez que este método de deteção não está otimizado para detetar recursos de computador e de utilizador, considere executar este método de deteção depois de executar a deteção do sistema do Active Directory e a deteção de utilizadores do Active Directory. Esta sugestão deve-se ao facto de este método criar um registo de dados de deteção completo (DDR) para grupos, mas apenas um DDR limitado para computadores e utilizadores que sejam membros de grupos.
Pode configurar os seguintes âmbitos de deteção que controlam a forma como este método procura informações:
Localização: utilize uma localização se quiser procurar um ou mais contentores do Active Directory. Esta opção de âmbito suporta uma pesquisa recursiva dos contentores do Active Directory especificados. Este processo procura cada contentor subordinado no contentor que especificar. Continua até que não sejam encontrados mais contentores subordinados.
Grupos: utilize grupos se quiser procurar um ou mais grupos específicos do Active Directory. Pode configurar Domínio do Active Directory para utilizar o domínio e a floresta predefinidos ou limitar a pesquisa a um controlador de domínio individual. Além disso, pode especificar um ou mais grupos para procurar. Se não especificar, pelo menos, um grupo, todos os grupos encontrados na localização de Domínio do Active Directory especificada são pesquisados.
Cuidado
Quando configurar um âmbito de deteção, escolha apenas os grupos que tem de detetar. Esta recomendação deve-se ao facto de a deteção de grupos do Active Directory tentar detetar cada membro de cada grupo no âmbito de deteção. A deteção de grupos grandes pode exigir uma utilização extensiva da largura de banda e dos recursos do Active Directory.
Observação
Antes de poder criar coleções baseadas em atributos expandidos do Active Directory e para garantir resultados de deteção precisos para computadores e utilizadores, execute a deteção do sistema do Active Directory ou a deteção de utilizadores do Active Directory, consoante o que pretende detetar.
As ações para a deteção de grupos do Active Directory são registadas no ficheiro adsgdis.log na <InstallationPath>\LOGS pasta no servidor do site.
Para obter mais informações sobre como configurar este método de deteção, veja Configurar métodos de deteção.
Deteção de sistema do Active Directory
Configurável: Sim
Ativado por predefinição: Não
Contas que pode utilizar para executar este método:
Conta de deteção de sistema do Active Directory (definida pelo utilizador)
Conta de computador do servidor do site
Dica
Para além das informações nesta secção, veja Funcionalidades comuns do grupo, sistema e deteção de utilizadores do Active Directory.
Utilize este método de deteção para procurar nas localizações de Active Directory Domain Services especificadas recursos informáticos que podem ser utilizados para criar coleções e consultas. Também pode instalar o cliente Configuration Manager num dispositivo detetado através da instalação push do cliente.
Por predefinição, este método deteta informações básicas sobre o computador, incluindo os seguintes atributos:
Nome do computador
SO e versão
Nome do contentor do Active Directory
Endereço IP
Site do Active Directory
Carimbo de data/hora do último início de sessão
Para criar com êxito um DDR para um computador, a deteção do sistema do Active Directory tem de ser capaz de identificar a conta de computador e, em seguida, resolve com êxito o nome do computador para um endereço IP.
Na caixa de diálogo Propriedades da Deteção do Sistema do Active Directory , no separador Atributos do Active Directory , pode ver a lista completa de atributos de objetos predefinidos que deteta. Também pode configurar o método para detetar atributos expandidos.
As ações para a deteção do sistema do Active Directory são registadas no ficheiro adsysdis.log na <InstallationPath>\LOGS pasta no servidor do site.
Para obter mais informações sobre como configurar este método de deteção, veja Configurar métodos de deteção.
Deteção de utilizadores do Active Directory
Configurável: Sim
Ativado por predefinição: Não
Contas que pode utilizar para executar este método:
Conta de deteção de utilizadores do Active Directory (definida pelo utilizador)
Conta de computador do servidor do site
Dica
Para além das informações nesta secção, veja Funcionalidades comuns do grupo, sistema e deteção de utilizadores do Active Directory.
Utilize este método de deteção para pesquisar Active Directory Domain Services para identificar contas de utilizador e atributos associados. Por predefinição, este método deteta informações básicas sobre a conta de utilizador, incluindo os seguintes atributos:
Nome de usuário
Nome de utilizador exclusivo, que inclui o nome de domínio
Domínio
Nomes de contentor do Active Directory
Na caixa de diálogo Propriedades de Deteção de Utilizadores do Active Directory , no separador Atributos do Active Directory , pode ver a lista predefinida completa de atributos de objetos que deteta. Também pode configurar o método para detetar atributos expandidos.
As ações para a Deteção de Utilizadores do Active Directory são registadas no ficheiro adusrdis.log na <InstallationPath>\LOGS pasta no servidor do site.
Para obter mais informações sobre como configurar este método de deteção, veja Configurar métodos de deteção.
Microsoft Entra deteção de utilizadores
Utilize Microsoft Entra deteção de utilizadores para procurar utilizadores com uma identidade na cloud moderna na sua subscrição do Microsoft Entra. Microsoft Entra deteção de utilizadores pode encontrar os seguintes atributos:
objectIddisplayNamemailmailNicknameonPremisesSecurityIdentifieruserPrincipalNametenantIDonPremisesDomainNameonPremisesSamAccountNameonPremisesDistinguishedName
Este método suporta a sincronização completa e delta de atributos de utilizador de Microsoft Entra ID. Em seguida, estas informações podem ser utilizadas juntamente com os dados de deteção que recolhe a partir de outros métodos de deteção.
As ações para Microsoft Entra deteção de utilizadores são registadas no ficheiro SMS_AZUREAD_DISCOVERY_AGENT.log no servidor de site de camada superior da hierarquia.
Para configurar Microsoft Entra deteção de utilizadores, veja Configurar os Serviços do Azure para a Gestão da Cloud. Para obter informações sobre como configurar este método de deteção, veja Configurar Microsoft Entra deteção de utilizadores.
Microsoft Entra deteção de grupos de utilizadores
Pode detetar grupos de utilizadores e membros desses grupos a partir de Microsoft Entra ID. Microsoft Entra deteção de grupos de utilizadores pode encontrar os seguintes atributos:
objectIddisplayNamemailNicknameonPremisesSecurityIdentifiertenantID
As ações para Microsoft Entra deteção de grupos de utilizadores são registadas no ficheiro SMS_AZUREAD_DISCOVERY_AGENT.log no servidor de site de camada superior da hierarquia. Para obter informações sobre como configurar este método de deteção, veja Configurar Microsoft Entra deteção de grupos de utilizadores.
Deteção de heartbeat
Configurável: Sim
Ativado por predefinição: Sim
Contas que pode utilizar para executar este método:
- Conta de computador do servidor do site
A deteção de heartbeat difere de outros métodos de deteção Configuration Manager. Está ativado por predefinição e é executado em cada cliente de computador em vez de num servidor do site para criar um DDR. Para ajudar a manter o registo de base de dados de clientes Configuration Manager, não desative a deteção de heartbeat. Além de manter o registo da base de dados, este método pode forçar a deteção de um computador como um novo registo de recursos. Também pode repovoar o registo de base de dados de um computador que foi eliminado da base de dados.
A deteção de heartbeat é executada com base numa agenda configurada para todos os clientes na hierarquia. A agenda predefinida para a deteção de heartbeat está definida como a cada sete dias. Se alterar o intervalo de deteção do heartbeat, certifique-se de que é executado com mais frequência do que a tarefa de manutenção do site Eliminar Dados de Deteção Desatuários. Esta tarefa elimina registos de cliente inativos da base de dados do site. Pode configurar a tarefa Eliminar Dados de Deteção Desatuários apenas para sites primários.
Também pode executar manualmente a deteção de heartbeat num cliente específico. Execute o Ciclo de Recolha de Dados de Deteção no separador Ação do painel de controlo Configuration Manager de um cliente.
Quando a deteção de heartbeat é executada, cria um DDR que tem as informações atuais do cliente. Em seguida, o cliente copia este pequeno ficheiro para um ponto de gestão para que um site primário possa processá-lo. O ficheiro tem cerca de 1 KB de tamanho e tem as seguintes informações:
Local da rede
Nome NetBIOS
Versão do agente cliente
Detalhes da status operacional
A deteção de heartbeat é o único método de deteção que fornece detalhes sobre a instalação do cliente status. Fá-lo ao atualizar o atributo de cliente de recurso do sistema para definir um valor igual a Sim.
As ações de deteção de heartbeat são registadas no cliente no ficheiro InventoryAgent.log na %Windir%\CCM\Logs pasta.
Para obter mais informações sobre como configurar este método de deteção, veja Configurar métodos de deteção.
Descoberta de rede
Configurável: Sim
Ativado por predefinição: Não
Contas que pode utilizar para executar este método:
- Conta de computador do servidor do site
Utilize este método para detetar a topologia da sua rede e detetar dispositivos na sua rede que tenham um endereço IP. A deteção de rede procura recursos ativados para IP na sua rede ao consultar as seguintes origens:
- Servidores que executam uma implementação microsoft do DHCP
- Caches do Protocolo de Resolução de Endereços (ARP) em routers de rede
- Dispositivos com SNMP ativado
- Domínios do Active Directory
Antes de poder utilizar a deteção de rede, tem de especificar o nível de deteção a executar. Também configura um ou mais mecanismos de deteção que permitem que a deteção de rede consulte segmentos de rede ou dispositivos. Também pode configurar definições que ajudam a controlar as ações de deteção na rede. Por fim, define uma ou mais agendas para quando a deteção de rede é executada.
Para que este método detete um recurso com êxito, a deteção de rede tem de identificar o endereço IP e a máscara de sub-rede do recurso. Os seguintes métodos são utilizados para identificar a máscara de sub-rede de um objeto:
Cache do ARP do Router: A deteção de rede consulta a cache do ARP de um router para encontrar informações de sub-rede. Normalmente, os dados numa cache do ARP de router têm um curto período de tempo de vida. Por conseguinte, quando a deteção de rede consulta a cache do ARP, a cache do ARP poderá já não ter informações sobre o objeto pedido.
DHCP: A deteção de rede consulta cada servidor DHCP que especificar para detetar os dispositivos para os quais o servidor DHCP forneceu uma concessão. A deteção de rede suporta apenas servidores DHCP que executam a implementação da Microsoft do DHCP.
Dispositivo SNMP: A deteção de rede pode consultar diretamente um dispositivo SNMP. Para a deteção de rede consultar um dispositivo, o dispositivo tem de ter um agente SNMP local instalado. Configure também a deteção de rede para utilizar o nome da comunidade que o agente SNMP está a utilizar.
Quando a deteção identifica um objeto endereçável por IP e pode determinar a máscara de sub-rede do objeto, cria um DDR para esse objeto. Uma vez que diferentes tipos de dispositivos se ligam à rede, a deteção de rede deteta recursos que não suportam o cliente Configuration Manager. Por exemplo, os dispositivos que podem ser detetados, mas não geridos, incluem impressoras e routers.
A deteção de rede pode devolver vários atributos como parte do registo de deteção que cria. Estes atributos incluem:
Nome NetBIOS
Endereços IP
Domínio do recurso
Funções de sistema
Nome da comunidade SNMP
Endereços MAC
A atividade de deteção de rede é registada no ficheiro Netdisc.log no InstallationPath>\Logs servidor do site que executa a deteção.
Para obter mais informações sobre como configurar este método de deteção, veja Configurar métodos de deteção.
Observação
As redes complexas e as ligações de largura de banda baixa podem fazer com que a deteção de rede seja executada lentamente e gere tráfego de rede significativo. Execute a deteção de rede apenas quando os outros métodos de deteção não conseguirem encontrar os recursos que tem de detetar. Por exemplo, utilize a deteção de rede para detetar computadores de grupo de trabalho. Outros métodos de deteção não detetam computadores de grupo de trabalho.
Níveis de deteção de rede
Quando configura a deteção de rede, especifica um dos três níveis de deteção:
| Nível de deteção | Detalhes |
|---|---|
| Topologia | Este nível deteta routers e sub-redes, mas não identifica uma máscara de sub-rede para objetos. |
| Topologia e cliente | Além da topologia, este nível deteta potenciais clientes, como computadores, e recursos, como impressoras e routers. Este nível de deteção tenta identificar a máscara de sub-rede dos objetos que encontra. |
| Topologia, cliente e sistema operativo cliente | Além da topologia e dos potenciais clientes, este nível tenta detetar o nome e a versão do sistema operativo do computador. Este nível utiliza o Browser do Windows e as chamadas de Rede do Windows. |
A cada nível incremental, a deteção de rede aumenta a atividade e a utilização da largura de banda de rede. Considere o tráfego de rede que pode ser gerado antes de ativar todos os aspetos da deteção de rede.
Por exemplo, quando utiliza a deteção de rede pela primeira vez, pode começar apenas com o nível de topologia para identificar a sua infraestrutura de rede. Em seguida, reconfigure a deteção de rede para detetar objetos e os respetivos sistemas operativos de dispositivos. Também pode configurar definições que limitam a deteção de rede a um intervalo específico de segmentos de rede. Dessa forma, deteta objetos em localizações de rede de que necessita e evita tráfego de rede desnecessário. Este processo também lhe permite detetar objetos de routers edge ou de fora da sua rede.
Opções de deteção de rede
Para permitir que a deteção de rede procure dispositivos endereçáveis por IP, configure uma ou mais destas opções.
Observação
A deteção de rede é executada no contexto da conta de computador do servidor do site que executa a deteção. Se a conta de computador não tiver permissões para um domínio não fidedigno, as configurações do domínio e do servidor DHCP podem não conseguir detetar recursos.
DHCP
Especifique cada servidor DHCP que pretenda que a deteção de rede consulte. A deteção de rede suporta apenas servidores DHCP que executam a implementação da Microsoft do DHCP.
A deteção de rede obtém informações através de chamadas de procedimento remoto para a base de dados no servidor DHCP.
A deteção de rede pode consultar servidores DHCP de 32 bits e de 64 bits para obter uma lista de dispositivos registados em cada servidor.
Para que a deteção de rede consulte com êxito um servidor DHCP, a conta de computador do servidor que executa a deteção tem de ser membro do grupo Utilizadores DHCP no servidor DHCP. Por exemplo, este nível de acesso existe quando uma das seguintes afirmações é verdadeira
O servidor DHCP especificado é o servidor DHCP do servidor que executa a deteção.
O computador que executa a deteção e o servidor DHCP estão no mesmo domínio.
Existe uma confiança bidirecional entre o computador que executa a deteção e o servidor DHCP.
O servidor do site é membro do grupo Utilizadores dhCP.
Quando a deteção de rede enumera um servidor DHCP, nem sempre deteta endereços IP estáticos. A deteção de rede não encontra endereços IP que façam parte de um intervalo excluído de endereços IP no servidor DHCP. Também não deteta endereços IP reservados para atribuição manual.
Domínios
Especifique cada domínio que pretende que a deteção de rede consulte.
A conta de computador do servidor do site que executa a deteção tem de ter permissões para ler os controladores de domínio em cada domínio especificado.
Para detetar computadores a partir do domínio local, tem de ativar o serviço Browser de Computador em, pelo menos, um computador. Este computador tem de estar na mesma sub-rede que o servidor do site que executa a deteção de rede.
A deteção de rede pode detetar qualquer computador que possa ver a partir do servidor do site quando navega na rede.
A deteção de rede obtém o endereço IP. Em seguida, utiliza um pedido de eco ICMP (Internet Control Message Protocol) para enviar ping a cada dispositivo que encontrar. O comando ping ajuda a determinar que computadores estão atualmente ativos.
Dispositivos SNMP
Especifique cada dispositivo SNMP que pretenda que a deteção de rede consulte.
A deteção de rede obtém o
ipNetToMediaTablevalor de qualquer dispositivo SNMP que responda à consulta. Este valor devolve matrizes de endereços IP que são computadores cliente ou outros recursos, como impressoras, routers ou outros dispositivos endereçáveis por IP.Para consultar um dispositivo, tem de especificar o endereço IP ou o nome NetBIOS do dispositivo.
Configure a deteção de rede para utilizar o nome da comunidade do dispositivo ou o dispositivo rejeita a consulta baseada em SNMP.
Limitar a deteção de rede
Quando a deteção de rede consulta um dispositivo SNMP na periferia da sua rede, pode identificar informações sobre sub-redes e dispositivos SNMP que estão fora da sua rede imediata. Utilize as seguintes informações para limitar a deteção de rede ao configurar os dispositivos SNMP com os quais a deteção pode comunicar e ao especificar os segmentos de rede a consultar.
Sub-redes
Configure as sub-redes que a deteção de rede consulta quando utiliza as opções SNMP e DHCP. Estas duas opções procuram apenas as sub-redes ativadas.
Por exemplo, um pedido DHCP pode devolver dispositivos de localizações em toda a rede. Se quiser detetar apenas dispositivos numa sub-rede específica, especifique e ative essa sub-rede específica no separador Sub-redes na caixa de diálogo Propriedades de Deteção de Rede . Quando especifica e ativa sub-redes, limita futuras tarefas de deteção DHCP e SNMP a essas sub-redes.
Observação
As configurações de sub-rede não limitam os objetos detetados pela opção Deteção de domínios .
Nomes da comunidade SNMP
Para permitir que a deteção de rede consulte com êxito um dispositivo SNMP, configure a deteção de rede com o nome da comunidade do dispositivo. Se a deteção de rede não estiver configurada com o nome da comunidade do dispositivo SNMP, o dispositivo rejeita a consulta.
Máximo de saltos
Quando configura o número máximo de saltos de router, limita o número de segmentos de rede e routers que a deteção de rede pode consultar através do SNMP.
O número de saltos que configura limita o número de dispositivos e segmentos de rede que a deteção de rede pode consultar.
Por exemplo, uma deteção apenas de topologia com saltos de router 0 (zero) deteta a sub-rede na qual reside o servidor de origem. Inclui todos os routers nessa sub-rede.
O diagrama seguinte mostra o que uma consulta de deteção de rede só de topologia encontra quando é executada no Servidor 1 com 0 saltos de router especificados: sub-rede D e Router 1.
O diagrama seguinte mostra o que uma consulta de deteção de rede de cliente e topologia encontra quando é executada no Servidor 1 com 0 saltos de router especificados: sub-rede D e Router 1 e todos os potenciais clientes na sub-rede D.
Para ter uma ideia melhor de como mais saltos de router podem aumentar a quantidade de recursos de rede detetados, considere a seguinte rede:
A execução de uma deteção de rede apenas de topologia a partir do Servidor 1 com um salto de router deteta as seguintes entidades:
Router 1 e sub-rede 10.1.10.0 (encontrado com zero saltos)
Sub-redes 10.1.20.0 e 10.1.30.0, sub-rede A e Router 2 (encontradas no primeiro salto)
Aviso
Cada aumento do número de saltos de router pode aumentar significativamente o número de recursos detetáveis e aumentar a largura de banda de rede que a deteção de rede utiliza.
Deteção do servidor
Configurável: Não
Além dos métodos de deteção configuráveis pelo utilizador, Configuration Manager utiliza um processo denominado Deteção de Servidor (SMS_WINNT_SERVER_DISCOVERY_AGENT). Este método de deteção cria registos de recursos para computadores que são sistemas de sites, como um computador que está configurado como um ponto de gestão.
Funcionalidades comuns da deteção de grupos do Active Directory, deteção do sistema e deteção de utilizadores
Esta secção fornece informações sobre funcionalidades comuns aos seguintes métodos de deteção:
Deteção de grupos do Active Directory
Deteção de sistema do Active Directory
Deteção de utilizadores do Active Directory
Observação
As informações nesta secção não se aplicam à deteção de florestas do Active Directory.
Estes três métodos de deteção são semelhantes na configuração e operação. Podem detetar computadores, utilizadores e informações sobre associações a grupos de recursos armazenados no Active Directory Domain Services. O processo de deteção é gerido por um agente de deteção. O agente é executado no servidor do site em cada site onde a deteção está configurada para ser executada. Pode configurar cada um destes métodos de deteção para procurar uma ou mais localizações do Active Directory como instâncias de localização na floresta local ou florestas remotas.
Quando a deteção procura recursos numa floresta não fidedigna, o agente de deteção tem de conseguir resolve o seguinte para ter êxito:
Para detetar um recurso de computador com a deteção do sistema do Active Directory, o agente de deteção tem de conseguir resolve o FQDN do recurso. Se não conseguir resolve o FQDN, tenta resolve o recurso pelo respetivo nome NetBIOS.
Para detetar um recurso de utilizador ou grupo com a deteção de utilizadores do Active Directory ou a deteção de grupos do Active Directory, o agente de deteção tem de conseguir resolve o FQDN do nome do controlador de domínio que especificar para a localização do Active Directory.
Para cada localização que especificar, pode configurar opções de pesquisa individuais, como ativar uma pesquisa recursiva dos contentores subordinados do Active Directory da localização. Também pode configurar uma conta exclusiva para utilizar quando procura nessa localização. Esta conta proporciona flexibilidade na configuração de um método de deteção num site para procurar várias localizações do Active Directory em várias florestas. Não tem de configurar uma única conta que tenha permissões para todas as localizações.
Quando cada um destes três métodos de deteção é executado num site específico, o Configuration Manager servidor do site nesse site contacta o controlador de domínio mais próximo na floresta do Active Directory especificada para localizar recursos do Active Directory. O domínio e a floresta podem estar em qualquer modo suportado do Active Directory. A conta que atribuir a cada instância de localização tem de ter permissão de acesso de Leitura para as localizações especificadas do Active Directory.
A deteção procura objetos nas localizações especificadas e, em seguida, tenta recolher informações sobre esses objetos. É criada uma DDR quando podem ser identificadas informações suficientes sobre um recurso. As informações necessárias variam consoante o método de deteção que está a ser utilizado.
Se configurar o mesmo método de deteção para ser executado em diferentes sites Configuration Manager para tirar partido da consulta de servidores do Active Directory locais, pode configurar cada site com um conjunto exclusivo de opções de deteção. Uma vez que os dados de deteção são partilhados com cada site da hierarquia, evite a sobreposição entre estas configurações para detetar eficazmente cada recurso de uma só vez.
Para ambientes mais pequenos, considere executar cada método de deteção em apenas um site da hierarquia. Esta configuração reduz a sobrecarga administrativa e o potencial de múltiplas ações de deteção redescobrirem os mesmos recursos. Quando minimiza o número de sites que executam a deteção, reduz a largura de banda de rede geral que a deteção utiliza. Também pode reduzir o número geral de DDRs criados e que têm de ser processados pelos servidores do site.
Muitas das configurações do método de deteção são explicativas. Utilize as secções seguintes para obter mais informações sobre as opções de deteção que podem necessitar de informações adicionais antes de as configurar.
As seguintes opções estão disponíveis para utilização com vários métodos de deteção do Active Directory:
Deteção delta
Disponível para:
Deteção de grupos do Active Directory
Deteção de sistema do Active Directory
Deteção de utilizadores do Active Directory
A deteção delta não é um método de deteção independente, mas sim uma opção disponível para os métodos de deteção aplicáveis. A deteção delta procura em atributos específicos do Active Directory as alterações efetuadas desde o último ciclo de deteção completo do método de deteção aplicável. As alterações de atributo são submetidas para a base de dados Configuration Manager para atualizar o registo de deteção do recurso.
Por predefinição, a deteção delta é executada num ciclo de cinco minutos. Esta agenda é muito mais frequente do que a agenda típica para um ciclo de deteção completo. Este ciclo frequente é possível porque a deteção delta utiliza menos recursos de rede e servidor do site do que um ciclo de deteção completo. Quando utiliza a deteção delta, pode reduzir a frequência do ciclo de deteção completo desse método de deteção.
Seguem-se as alterações mais comuns que a deteção delta deteta:
Novos computadores ou utilizadores adicionados ao Active Directory
Alterações às informações básicas do computador e do utilizador
Novos computadores ou utilizadores adicionados a um grupo
Computadores ou utilizadores removidos de um grupo
Alterações aos objetos do grupo de sistema
Embora a deteção delta possa detetar novos recursos e alterações à associação a grupos, não consegue detetar quando um recurso foi eliminado do Active Directory. Os DDRs criados pela deteção delta são processados de forma semelhante às DDRs criadas por um ciclo de deteção completo.
Pode configurar a deteção delta no separador Agendamento de Consultas nas propriedades de cada método de deteção.
Filtrar registos de computador obsoletos por início de sessão de domínio
Disponível para:
Deteção de grupos do Active Directory
Deteção de sistema do Active Directory
Pode configurar a deteção para excluir computadores com um registo de computador obsoleto. Esta exclusão baseia-se no último início de sessão do domínio do computador. Quando esta opção está ativada, a deteção do sistema do Active Directory avalia cada computador identificado. A deteção de grupos do Active Directory avalia cada computador que seja membro de um grupo detetado.
Para utilizar esta opção:
Os computadores têm de ser configurados para atualizar o
lastLogonTimeStampatributo no Active Directory Domain Services.O nível funcional do domínio do Active Directory tem de ser definido como Windows Server 2003 ou posterior.
Quando estiver a configurar a hora após o último início de sessão que pretende utilizar para esta definição, considere o intervalo de replicação entre controladores de domínio.
Pode configurar a filtragem no separador Opção nas caixas de diálogo Propriedades de Deteção do Sistema do Active Directory e Propriedades de Deteção de Grupos do Active Directory . Opte por Detetar apenas computadores com sessão iniciada num domínio num determinado período de tempo.
Aviso
Quando configura este filtro e Filtrar registos obsoletos por palavra-passe de computador, a deteção exclui os computadores que cumprem os critérios de ambos os filtros.
Filtrar registos obsoletos por palavra-passe de computador
Disponível para:
Deteção de grupos do Active Directory
Deteção de sistema do Active Directory
Pode configurar a deteção para excluir computadores com um registo de computador obsoleto. Esta exclusão baseia-se na última atualização da palavra-passe da conta de computador pelo computador. Quando esta opção está ativada, a deteção do sistema do Active Directory avalia cada computador identificado. A deteção de grupos do Active Directory avalia cada computador que seja membro de um grupo que é detetado.
Para utilizar esta opção:
- Os computadores têm de ser configurados para atualizar o
pwdLastSetatributo no Active Directory Domain Services.
Quando estiver a configurar esta opção, considere o intervalo de atualizações para este atributo. Considere também o intervalo de replicação entre controladores de domínio.
Pode configurar a filtragem no separador Opção nas caixas de diálogo Propriedades de Deteção do Sistema do Active Directory e Propriedades de Deteção de Grupos do Active Directory . Opte por Detetar apenas computadores que tenham atualizado a palavra-passe da conta de computador num determinado período de tempo.
Aviso
Quando configura este filtro e Filtrar registos obsoletos por início de sessão de domínio, a deteção exclui os computadores que cumprem os critérios de ambos os filtros.
Procurar atributos personalizados do Active Directory
Disponível para:
Deteção de sistema do Active Directory
Deteção de utilizadores do Active Directory
Cada método de deteção suporta uma lista exclusiva de atributos do Active Directory que podem ser detetados.
Pode ver e configurar a lista de atributos personalizados no separador Atributos do Active Directory nas caixas de diálogo Propriedades de Deteção do Sistema do Active Directory e Propriedades de Deteção de Utilizadores do Active Directory .
Próximas etapas
Selecionar métodos de deteção a utilizar para Configuration Manager