Dela via


Planera identifiering i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Med System Center 2012 Configuration Manager-identifiering upptäcks dator- och användarresurser som du kan hantera med Configuration Manager. Nätverksinfrastrukturen i miljön kan också identifieras. Under identifieringsprocessen skapas en identifieringsdatapost för varje identifierat objekt. Informationen lagras i Configuration Manager-databasen.

När en resurs har identifierats placeras informationen om resursen i en fil som kallas identifieringsdatapost. Identifieringsdataposterna bearbetas i sin tur av platsservrar och läggs till i Configuration Manager-databasen där de replikeras via databasreplikering med alla platser. Replikeringen gör identifieringsinformationen tillgänglig på alla platser i hierarkin oavsett var den identifierades eller bearbetades.

Du kan använda identifieringsinformation för att skapa egna förfrågningar och samlingar som logiskt grupperar resurser för hanteringsuppgifter, till exempel tilldelning av anpassade klientinställningar och programvarudistributioner. Datorer måste identifieras innan du kan använda push-installation för att installera Configuration Manager-klienten på enheter.

I följande avsnitt får du hjälp med att planera för identifiering i Configuration Manager:

  • Identifieringsmetoder i Configuration Manager

  • Bestäm vilken identifieringsmetod som ska användas

  • Om identifieringsmetoder för system, användare och grupper i Active Directory

    • Delade identifieringsalternativ

    • Identifiering av Active Directory-system

    • Identifiering av Active Directory-användare

    • Identifiering av Active Directory-grupper

  • Om Identifiering av Active Directory-skogar

  • Om deltaidentifiering

  • Om pulsslagsidentifiering

  • Om nätverksidentifiering

  • Om identifieringsdataposter

  • Besluta var identifieringen ska köras

  • Metodtips för identifiering

Nyheter i Configuration Manager

System_CAPS_noteObs!

Informationen i det här avsnittet visas även i handboken Komma i gång med System Center 2012 Configuration Manager.

I System Center 2012 Configuration Manager införs följande ändringar av identifieringsfunktionen:

  • Varje identifieringsdatapost bearbetas och införs bara en gång i databasen på en primär plats eller en central administrationswebbpats, och dataposten raderas därefter utan ytterligare bearbetning.

  • Identifieringsinformation som införs i databasen på en plats delas med alla platser i hierarkin genom Configuration Manager-databasreplikering.

  • Identifieringsmetoden för Active Directory-skog är en ny metod som kan identifiera undernät och Active Directory-platser och lägga till dem som gränser i hierarkin.

  • Identifiering av Active Directory-systemgrupper har tagits bort.

  • Identifiering av Active Directory-säkerhetsgrupper kallas nu Identifiering av Active Directory-grupper och identifierar resursernas gruppmedlemskap.

  • Identifiering av Active Directory-system och Identifiering av Active Directory-grupper har stöd för alternativ för att filtrera bort inaktuella datorposter från identifieringsprocessen.

  • Identifiering av system, användare och grupper i Active Directory har stöd för identifiering av Active Directory-förändringar. Identifiering av förändringar har förbättras sedan Configuration Manager 2007 R3 och kan nu upptäcka när datorer eller användare läggs till eller tas bort i en grupp.

Identifieringsmetoder i Configuration Manager

Innan du aktiverar identifieringsmetoder för Configuration Manager måste du veta vad som identifieras med de olika metoderna. Eftersom identifieringsprocessen kan generera hög nätverkstrafik och de resulterande identifieringsdataposterna kan leda till stor belastning på processorn, bör du planera för att bara använda de identifieringsmetoder som behövs för ändamålet. Du kan klara dig med bara en eller två identifieringsmetoder, och du kan alltid lägga till fler metoder om du behöver utöka identifieringsnivån i miljön.

Använd följande tabell som hjälp för att planera för de sex konfigurerbara identifieringsmetoderna.

Identifieringsmetod

Aktiverad som standard

Konton som kör identifiering

Mer information

Identifiering av Active Directory-skog

Nej

Kontot för identifiering av Active Directory-skog eller platsserverns datorkonto

  • Kan identifiera Active Directory-platser och undernät och därefter skapa Configuration Manager-gränser för alla platser och undernät i de skogar du har konfigurerat för identifiering. Om Identifiering av Active Directory-skog identifierar ett övernät som hör till en Active Directory-plats, omvandlas nätet av Configuration Manager till en gräns för IP-adressintervall.

  • Stöder ett användardefinierat konto som identifierar resurser för varje skog.

  • Kan publicera i en skogs Active Directory Domain Services om publicering i skogen är aktiverad, och det angivna kontot har behörighet för skogen.

Identifiering av Active Directory-system

Nej

Kontot för identifiering av Active Directory-system eller platsserverns datorkonto

  • Identifierar datorer från angivna platser i Active Directory Domain Services.

Identifiering av Active Directory-användare

Nej

Kontot för identifiering av Active Directory-användare eller platsserverns datorkonto

  • Identifierar användarkonton från angivna platser i Active Directory Domain Services.

Identifiering av Active Directory-grupper

Nej

Kontot för identifiering av Active Directory-grupper eller platsserverns datorkonto

  • Identifierar lokala, globala och universella säkerhetsgrupper, medlemskapet i grupperna och medlemskapet i distributionsgrupper från angivna plaser i Active directory Domain Services. Distributionsgrupper identifieras inte som gruppresurser.

Identifiering av pulsslag

Ja

Datorkonto på klient

  • Används av aktiva Configuration Manager-klienter för att uppdatera identifieringsposterna i databasen.

  • Identifiering av pulsslag kan tvinga fram identifiering av en dator som en ny resurspost eller kan fylla i databasposten igen för en dator som tagits bort från databasen.

Nätverksidentifiering

Nej

Platsserverns datorkonto

  • Söker i nätverksinfrastrukturen efter nätverksenheter som har en IP-adress.

  • Kan identifiera enheter som kanske inte upptäcks av andra identifieringsmetoder. Det kan vara skrivare, routrar och bryggor.

Alla konfigurerbara identifieringsmetoder har stöd för schemaläggning av identifieringar. Förutom för identifieringsmetoden för pulsslag kan du konfigurera varje metod för att söka på särskilda platser efter resurser som ska läggas till i Configuration Manager-databasen. När identifieringen har körts kan du ändra de platser som ska genomsökas. De nya platserna genomsöks under nästa identifiering. Då genomsöks dock inte bara de nya platserna, utan försök görs alltid för att identifiera information från alla platser som har konfigurerats.

Identifiering av pulsslag är den enda identifieringsmetoden som är aktiverad som standard. Du kan behålla databasposten för Configuration Manager-klienter genom att inte inaktivera identifieringsmetoden för pulsslag.

Förutom de här identifieringsmetoderna används även serveridentifiering (SMS_WINNT_SERVER_DISCOVERY_AGENT) i Configuration Manager. Det är en identifieringsmetod som skapar resursposter för datorer som är platssystem, till exempel en dator som är konfigurerad som hanteringsplats. Den här identifieringsmetoden körs varje dag och kan inte konfigureras.

Bestäm vilken identifieringsmetod som ska användas

Om du vill kunna identifiera potentiella Configuration Manager-klientdatorer eller användarresurser måste du aktivera rätt identifieringsmetoder. Du kan kombinera olika identifieringsmetoder för att hitta olika resurser och identifiera ytterligare information om resurserna. De identifieringsmetoder du väljer bestämmer vilken typ av resurser som ska identifieras och vilka Configuration Manager-tjänster och agenter som ska användas under identifieringen. De bestämmer också vilken typ av information om resurserna som du kan identifiera.

Identifiera datorer
Om du vill identifiera datorer kan du använda identifieringsmetoden för Active Directory-system eller nätverksidentifieringsmetoden.

Om du exempelvis vill identifiera resurser som kan installera Configuration Manager-klienten innan du använder push-installation, kör du identifieringsmetoden för Active Directory-system. Du kan också köra nätverksidentifieringsmetoden och använda alternativen för att identifiera resursernas operativsystem (vilket krävs för att köra push-installation av klient senare). Men om du använder identifieringsmetoden för Active Directory-system kan du inte bara identifiera resursen utan även grundläggande och utökad information om den från Active Directory Domain Services. Sådan information kan vara användbar om du bygger upp avancerade frågor och samlingar som ska användas vid tilldelning av klientinställningar eller innehållsdistribution. Med nätverksidentifieringsmetoden kan du å andra sidan få information om nätverkstopologin, vilket du inte kan få med andra identifieringsmetoder, men däremot ingen information om Active Directory-miljön.

Du kan också enbart använda identifieringsmetoden för pulsslag för att tvinga fram identifiering av klienter som du har installerat på andra sätt än med push-installation. Men till skillnad från andra identifieringsmetoder kan inte pulsslagsidentifieringsmetoden identifiera datorer som inte har någon aktiv Configuration Manager-klient. I stället returneras en begränsad mängd information. Metoden är avsedd att bevara en befintlig databaspost och inte att utgöra grunden för den posten. Informationen som skickas via pulsslagsidentifiering kanske inte räcker för att konstruera avancerade frågor eller samlingar.

Om du använder identifieringsmetoden för Active Directory-grupper för att identifiera medlemskap för en viss grupp, kan du bara identifiera en begränsad mängd system- eller datorinformation. Det ersätter inte en fullständig identifiering av datorer men kan ge grundläggande information. Den här grundläggande informationen räcker inte för push-installation av klienter.

Identifiera användare
Om du vill identifiera information om användare kan du använda identifieringsmetoden för Active Directory-användare. Liksom identifieringsmetoden för Active Directory-system identifierar den här metoden användare i Active Directory och ger både grundläggande information och utökad Active Directory-information. Du kan använda informationen för att bygga upp avancerade frågor och samlingar som dem för datorer.

Identifiera gruppinformation
Om du vill identifiera information om grupper och gruppmedlemskap kan du använda identifieringsmetoden för Active Directory-grupper. Med den här metoden skapas resursposter för säkerhetsgrupper.

Använd den här metoden om du vill söka i en viss Active Directory-grupp för att identifiera medlemmarna i gruppen samt eventuella kapslade grupper i gruppen. Du kan också använda metoden för att söka efter grupper på en Active Directory-plats och rekursivt genomsöka alla underordnade behållare på den platsen i Active Directory Domain Services.

Med den här metoden kan du också söka efter distributionsgruppers medlemskap. Det kan identifiera grupprelationer för både användare och datorer.

När du identifierar en grupp kan du även identifiera begränsad information om medlemmarna i gruppen. Det här ersätter inte identifieringsmetoderna för användare och system i Active Directory och det räcker oftast inte för att konstruera avancerade frågor och samlingar eller tjäna som grund för en push-installation av klient.

Identifiera infrastruktur
Du kan identifiera nätverksinfrastrukturen på två sätt: identifiering av Active Directory-skog och nätverksidentifiering.

Med identifieringsmetoden för Active Directory-skog kan du söka i en Active Directory-skog efter information om undernät och Active Directory-platsinställningar. De här inställningarna kan sedan automatiskt läggas till i Configuration Manager som gränsplatser.

Om du vill identifiera nätverkets topologi använder du nätverksidentifieringsmetoden. Andra identifieringsmetoder ger information om Active Directory Domain Services och kan identifiera en klients aktuella nätverksplats, men de ger ingen infrastrukturinformation baserat på undernäts- och routertopologin i nätverket.

Om identifieringsmetoder för system, användare och grupper i Active Directory

Det här avsnittet innehåller information om följande identifieringsmetoder:

  • Identifiering av Active Directory-system

  • Identifiering av Active Directory-användare

  • Identifiering av Active Directory-grupper

System_CAPS_noteObs!

Informationen i det här avsnittet gäller inte identifieringsmetoden för Active Directory-skog.

De här tre identifieringsmetoderna liknar varandra i konfiguration och användning och kan identifiera datorer, användare och information om gruppmedlemskap för resurser som är lagrade i Active Directory Domain Services. Identifieringsprocessen hanteras av en identifieringsagent som körs på platsservern på varje plats där identifiering är konfigurerad för att köras. Du kan konfigurera var och en av dessa identifieringsmetoder för sökning på en eller flera Active Directory-platser som platsinstanser i den lokala skogen eller i fjärranslutna skogar.

När en icke-betrodd skog genomsöks efter resurser måste identifieringsagenten kunna matcha följande:

  • För att kunna identifiera en datorresurs med identifieringsmetoden för Active Directory-system måste identifieringsagenten kunna matcha resursens fullständiga domännamn. Om det fullständiga domännamnet inte kan matchas görs försök att matcha resursen via NetBIOS-namnet.

  • För att kunna identifiera användar- eller gruppresurser med identifieringsmetoderna för användare eller grupper i Active Directory, måste identifieringsagenten kunna matcha det fullständiga domännamnet för domänkontrollantens namn som du angett för Active Directory-platsen.

För varje platsinstans som du anger kan du ange enskilda sökalternativ, till exempel aktivera rekursiv sökning av platserna för underordnade Active Directory-behållare. Du kan också konfigurera ett unikt konto som ska användas för sökning av platsinstansen. Det här gör att du kan konfigurera en identifieringsmetod på en plats som ska söka på flera Active Directory-platser i flera skogar, utan att behöva konfigurera ett enskilt konto som har behörighet för alla platser.

När var och en av de här tre identifieringsmetoderna körs på en specifik plats kontaktar Configuration Manager-platsservern på den platsen närmaste domänkontrollant i den angivna Active Directory-skogen för att hitta Active Directory-resurser. Domänen och skogen kan vara i vilket Active Directory-läge som helst som stöds. Det konto du tilldelar varje platsinstans måste ha läs-behörighet för de angivna Active Directory-platserna. Under identifieringen genomsöks de angivna platserna efter objekt och därefter görs försök att samla in information om objekten. En identifieringsdatapost skapas när tillräckligt med information om en resurs kan identifieras. Den information som krävs beror på vilken identifieringsmetod som används.

Om du konfigurerar samma identifieringsmetod att köras på olika Configuration Manager-platser för att kunna skicka frågor till lokala Active Directory-servrar, kan du konfigurera varje plats med en unik uppsättning identifieringsalternativ. Eftersom identifieringsdata delas med alla platser i en hierarki, bör du undvika överlapp mellan dessa konfigurationer om det ska gå att identifiera varje resurs effektivt varje gång. I mindre miljöer kanske du vill köra varje identifieringsmetod endast på en plats i hierarkin för att minska administrationen och risken för att flera identifieringsåtgärder återupptäcker samma resurser. Om du använder minsta möjliga antal platser som kör identifiering, kan du minska den totala bandbredd som används för identifiering, och även det totala antalet identifieringsdataposter som skapas och måste behandlas av platsservrarna.

Många av konfigurationerna av identifieringsmetoderna är självförklarande. I följande avsnitt finns mer information om identifieringsalternativen som kan kräva lite ytterligare information innan du konfigurerar dem.

Delade identifieringsalternativ

Följande tabell innehåller konfigurationsalternativ som är tillgängliga för fler Active Directory-identifieringsmetoder.

Förklaring:

√ = Stöds

Ø = Stöds inte

Identifieringsalternativ

Identifiering av Active Directory-system

Identifiering av Active Directory-användare

Identifiering av Active Directory-grupper

Information

Deltaidentifiering

Deltaidentifiering är ett alternativ som är tillgängligt för alla Active Directory-identifieringsmetoder utom identifiering av Active Directory-skogar. Configuration Manager kan använda deltaidentifiering för att söka igenom Active Directory Domain Services (AD DS) efter specifika attribut som har ändrats sedan den senaste kompletta identifieringscykeln för identifieringsmetoden. Du kan konfigurera ett kort intervall för deltaidentifiering och söka efter nya resurser, eftersom platsserverns prestanda inte påverkas lika mycket av att enbart identifiera nya resurser som av den kompletta identifieringscykeln.

Vid deltaidentifiering kan följande nya resurstyper identifieras:

  • Datorobjekt

  • Användarobjekt

  • Säkerhetsgruppsobjekt

  • Systemgruppsobjekt

Det går inte att identifiera att en resurs har tagits bort från AD DS med deltaidentifiering. En sådan ändring kräver en komplett identifieringscykel.

Identifieringsdataposter för objekt som upptäcks vid deltaidentifieringen behandlas på ett sätt som liknar de identifieringsdataposter som skapas under den kompletta identifieringscykeln.

Deltaidentifiering konfigureras på fliken Avsökningsschema i egenskaperna för varje identifieringsmetod.

Filtrera inaktuella datorposter efter domäninloggning

Ø

Du kan ställa in identifieringen så att inaktuella datorposter undantas. Detta grundas på när datorn senast loggade in i domänen. Om detta alternativ är aktiverat, utvärderar Identifiering av Active Directory-system varje dator som identifieras. Identifiering av Active Directory-grupper utvärderar varje dator som är medlem av en grupp som identifieras.

Detta alternativ kräver följande saker:

  • Datorerna måste vara konfigurerade att uppdatera attributet lastLogonTimeStamp i AD DS.

  • Active Directory-domänens funktionsnivå är inställd på Windows Server 2003 eller senare.

När du ställer in tiden efter den senaste inloggningen måste du ta hänsyn till intervallet för replikering mellan domänkontrollanter.

Filtreringen ställs in på fliken Alternativ i dialogrutan Egenskaper för Identifiering av Active Directory-system och Egenskaper för Identifiering av Active Directory-grupper genom att alternativet Identifiera endast datorer som har loggat in på en domän under en viss tidsperiod markeras.

System_CAPS_warningVarning

Om du konfigurerar bägge filtren för inaktuella poster för samma identifieringsmetod, undantas datorerna som uppfyller endera av filtren.

Filtrera inaktuella poster efter datorlösenord

Ø

Du kan ställa in identifieringen så att inaktuella datorposter undantas. Detta grundas på när lösenordet för datorns datorkonto uppdaterades senast. Om detta alternativ är aktiverat, utvärderar Identifiering av Active Directory-system varje dator som identifieras. Identifiering av Active Directory-grupper utvärderar varje dator som är medlem av en grupp som identifieras.

Detta alternativ kräver följande saker:

  • Datorerna måste vara konfigurerade att uppdatera attributet pwdLastSet i AD DS.

Ta hänsyn till intervallet för uppdateringar av det här attributet och intervallet för replikering mellan domänkontrollanter när du ställer in det här alternativet.

Filtreringen ställs in på fliken Alternativ i dialogrutan Egenskaper för Identifiering av Active Directory-system och Egenskaper för Identifiering av Active Directory-grupper genom att alternativet Identifiera endast datorer som har uppdaterat sina lösenord till datorkontot under en viss tidsperiod markeras.

System_CAPS_warningVarning

Om du konfigurerar bägge filtren för inaktuella poster för samma identifieringsmetod, undantas datorerna som uppfyller endera av filtren.

Sök i anpassade Active Directory-attribut

Ø

Varje identifieringsmetod stöder en unik lista med attribut som går att identifiera.

Anpassade Active Directory-attribut konfigureras på fliken Active Directory-attribut i dialogrutan Egenskaper för Identifiering av Active Directory-system och Egenskaper för Identifiering av Active Directory-användare.

Identifiering av Active Directory-system

Använd Identifiering av Active Directory-system i Configuration Manager för att söka igenom de angivna platserna i Active Directory Domain Services (AD DS) efter datorresurser som kan användas för att skapa samlingar och frågor. Då kan du installera klienten på identifierade datorer med hjälp av push-installation. Om det ska gå att skapa en identifieringsdatapost för en dator, måste Identifiering av Active Directory-system kunna identifiera datorkontot och sedan matcha datorns namn mot en IP-adress.

Identifiering av Active Directory-system identifierar som standard grundläggande information om datorn, däribland:

  • Datorns namn

  • Operativsystem och version

  • Active Directory-behållarnamn

  • IP-adress

  • Active Directory-plats

  • Tidstämpel för senaste inloggning

Utöver dessa grunddata kan du ange att utökade attribut från Active Directory Domain Services ska identifieras.

Du kan visa standardlistan med de objektattribut som Identifiering av Active Directory-system returnerar och ange ytterligare attribut som ska identifieras i dialogrutan Egenskaper för Identifiering av Active Directory-system på fliken Active Directory-attribut.

Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera Active Directory-identifiering av datorer, användare eller grupper.

De åtgärder Identifiering av Active Directory-system utförs registreras i filen adsysdis.log i mappen <InstallationPath>\LOGS på platsservern.

Identifiering av Active Directory-användare

Använd Identifiering av Active Directory-användare i Configuration Manager om du vill söka igenom Active Directory Domain Services (AD DS) och identifiera användarkonton och motsvarande attribut.

Du kan visa standardlistan med de objektattribut som Identifiering av Active Directory-användare returnerar och ange ytterligare attribut som ska identifieras i dialogrutan Egenskaper för Identifiering av Active Directory-användare på fliken Active Directory-attribut.

Identifiering av Active Directory-användare identifierar som standard grundläggande information om användarkontot, däribland:

  • Användarnamn

  • Unikt användarnamn (inkluderar domännamnet)

  • Domän

  • Active Directory-behållarnamn

Utöver dessa grunddata kan du ange att utökade attribut från Active Directory Domain Services ska identifieras.

Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera Active Directory-identifiering av datorer, användare eller grupper.

De åtgärder Identifiering av Active Directory-användare utförs registreras i filen adusrdis.log i mappen <InstallationPath>\LOGS på platsservern.

Identifiering av Active Directory-grupper

Använd Identifiering av Active Directory-grupper i Configuration Manager om du vill söka igenom Active Directory Domain Services (AD DS) och datorers och användares gruppmedlemskap.

Med denna identifieringsmetod söks ett identifieringsomfång igenom som du konfigurerar, och därefter identifieras resursernas gruppmedlemskap inom det identifieringsomfånget. Enbart säkerhetsgrupper identifieras som standard. Du kan emellertid identifiera distributionsgruppers medlemskap om du markerar kryssrutan för alternativet Identifiera medlemskap i distributionsgrupper på fliken Alternativ i dialogrutan Egenskaper för Identifiering av Active Directory-grupper.

Identifiera följande information med Identifiering av Active Directory-grupper:

  • Grupper

  • Medlemskap i grupper

  • Begränsad information om en grupps medlemsdatorer och användare, även om dessa datorer och användare inte har identifierats med någon annan identifieringsmetod tidigare

Den här identifieringsmetoden är avsedd att identifiera grupper och grupprelationer mellan gruppmedlemmar. Den här identifieringsmetoden stöder inte utökade Active Directory-attribut som går att identifiera med hjälp av Identifiering av Active Directory-system eller Identifiering av Active Directory-användare. Eftersom den här identifieringsmetoden inte är optimerad för identifiering av datorer och användarresurser, kan du fundera på att köra den här identifieringsmetoden efter att du har kört Identifiering av Active Directory-system och Identifiering av Active Directory-användare. Det beror på att den här identifieringsmetoden skapar en komplett identifieringsdatapost för grupper, men bara en begränsad identifieringsdatapost för datorer och användare som är medlemmar av grupper.

Du kan konfigurera följande identifieringsomfång som bestämmer hur Identifiering av Active Directory-grupper söker efter information:

  • Plats: Använd en plats om du vill söka i en eller flera Active Directory-behållare. Det här omfångsalternativet stöder rekursiv genomsökning av de angivna Active Directory-behållarna. Även varje underordnad behållare till den behållare du anger söks igenom. Processen går vidare tills inga fler underordnade behållare hittas.

  • Grupper: Använd grupper om du vill söka i en eller flera specifika Active Directory-behållare. Du kan ställa in Active Directory-domän så att en standarddomän eller standardskog används, eller begränsa sökningen till en viss domänkontrollant. Dessutom kan du ange en eller flera grupper att söka igenom. Om du inte anger minst en grupp, söks alla grupper i angiven Active Directory-domän igenom.

System_CAPS_cautionAktsamhet

Välj bara de grupper som du måste identifiera när du konfigurerar ett identifieringsomfång. Det beror på att Identifiering av Active Directory-grupper försöker identifiera varje medlem av varje grupp i identifieringsomfånget. Identifiering av stora grupper kan kräva mycket bandbredd och Active Directory-resurser.

System_CAPS_noteObs!

Du måste köra antingen Identifiering av Active Directory-system eller Identifiering av Active Directory-användare för att skapa samlingar som bygger på Active Directory-attribut och för att se till att identifieringsresultaten för datorer och användare blir korrekta.

Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera Active Directory-identifiering av datorer, användare eller grupper.

De åtgärder Identifiering av Active Directory-grupper utför registreras i filen adsgdis.log i mappen <InstallationPath>\LOGS på platsservern.

Om Identifiering av Active Directory-skogar

Använd Identifiering av Active Directory-skogar i Configuration Manager för att identifiera IP-undernät och Active Directory-platser och lägga till dem i Configuration Manager som gränser.

Till skillnad från andra identifieringsmetoder identifierar Identifiering av Active Directory-skogar inte resurser som du kan hantera. Men den här metoden identifieras i stället Active Directory-nätverksplatser, och dessa platser kan omvandlas till gränser som kan användas i hela hierarkin.

Identifiera följande information med Identifiering av Active Directory-skogar:

  • Identifiera IP-undernät i en Active Directory-skog

  • Identifiera Active Directory-platser i en Active Directory-skog

  • Lägg till IP-undernäten och Active Directory-platserna som identifieras som gränser i Configuration Manager

  • Publicera till Active Directory Domain Services i en skog om publicering till den skogen är aktiverat, och om det angivna Active Directory-skogskontot har behörigheter till den skogen

Hantera Identifiering av Active Directory-skogar i Configuration Manager-konsolen från de följande noderna under Hierarkikonfiguration på arbetsytan Administration:

  • Identifieringsmetod: Här kan du aktivera Identifiering av Active Directory-skogar så att det körs på platsen på den högsta nivån i hierarkin. Du kan även ange ett enkelt schema för identifieringen, och konfigurera den att skapa gränser automatiskt utifrån de IP-undernät och Active Directory-platser som upptäcks. Identifiering av Active Directory-skogar går inte att köra på en underordnad primär plats eller på en sekundär plats.

    System_CAPS_noteObs!

    Deltaidentifiering stöds inte med den här identifieringsmetoden.

  • Active Directory-skogar: Här kan du ange de övriga Active Directory-skogar som du vill identifiera, ange det konto som ska användas som Active Directory-skogskonto för varje skog, samt konfigurera publicering till varje skog. Dessutom kan du övervaka identifieringsprocessen och lägga till IP-undernät och Active Directory-platser till Configuration Manager som gränser och medlemmar av gränsgrupper.

När publicering är aktiverat för en skog och skogens schema har utökats för Configuration Manager, publiceras följande information för varje plats som är aktiverad för publicering till den Active Directory-skogen:

  • SMS-Site-<site code>

  • SMS-MP-<site code>-<site system server name>

  • SMS-SLP-<site code>-<site system server name>

  • SMS-<site code>-<Active Directory site name or subnet>

System_CAPS_noteObs!

Sekundära platser använder alltid den sekundära serverns datorkonto för att publicera till Active Directory. Om du vill att sekundära platser ska publicera till Active Directory, måste du se till att den sekundära platsservern har behörighet att publicera till Active Directory. En sekundär plats kan inte publicera data till en skog som inte är betrodd.

System_CAPS_tipTips

Anslut till den överordnade platsen i hierarkin med Configuration Manager-konsolen om du vill konfigurera publicering för Active Directory-skogar för varje plats i hierarkin. På fliken Publicering i dialogrutan Egenskaper för en Active Directory-plats går det bara att visa den aktuella platsen och dess underordnade platser.

System_CAPS_cautionAktsamhet

Om du avmarkerar alternativet för att publicera en plats till en Active Directory-skog, tas all tidigare publicerad information för den platsen, inklusive tillgängliga platssystemroller, bort från skogens Active Directory-katalog.

Active Directory-skogsidentifieringen körs i den lokala Active Directory-skogen, varje betrodd skog och varje ytterligare skog som du konfigurerar i noden Active Directory-skogar i Configuration Manager-konsolen.

Åtgärder för identifiering av Active Directory-skogar registreras i följande loggar:

  • Alla åtgärder, med undantag för åtgärder som rör publicering, registreras i filen ADForestDisc.Log i mappen <InstallationPath>\Logs på platsservern.

  • Publiceringsåtgärder för identifiering av Active Directory-skogar registreras i mappen hman.log och sitecomp.log i <InstallationPath>\Logs på platsservern.

Om deltaidentifiering

Deltaidentifiering är inte en fullständig identifieringsmetod i Configuration Manager, utan ett alternativ som är tillgänglig för identifieringsmetoderna för Active Directory-systemet, användare och grupper. Deltaidentifieringen kan identifiera de flesta ändringarna i en tidigare identifierad resurs i Active Directory, och använder färre resurser än en fullständig identifieringscykel.

Om du aktiverar deltaidentifieringen för en identifieringsmetod, söker identifieringsmetoden igenom Active Directory-domäntjänsterna (AD DS) efter specifika attribut som har ändrats efter identifieringsmetodens senaste fullständiga identifieringscykel. Dessa ändringar överförs till Configuration Manager-databasen för att uppdatera resursidentifieringsposten.

Som standard körs deltaidentifiering med en cykel på fem minuter. Detta beror på att den använder färre resurser under identifieringen än en fullständig identifieringscykel, och den påverkar inte platsserverns prestanda lika mycket som en fullständig identifieringscykel skulle göra. Om du använder deltaidentifiering bör du överväga att minska frekvensen för den fullständiga identifieringscykeln för den här identifieringsmetoden.

Deltaidentifiering kan identifierar förändringar hos Active Directory-objekt. Följande är de vanligaste förändringar som identifieras under deltaidentifieringen:

  • Nya datorer eller användare läggs till i Active Directory

  • Ändringar i grundläggande dator- och användarinformation

  • Nya datorer eller användare läggs till i en grupp

  • Datorer eller användare tas bort från en grupp

  • Ändringar i systemets gruppobjekt

Även om deltaidentifieringen kan identifierar nya resurser och ändringar i gruppmedlemskap kan funktionen inte identifiera när en resurs har tagits bort från AD DS.

Identifieringsdataposter för objekt som deltaidentifieringen identifierar behandlas på liknande sätt som de identifieringsdataposter som skapas av en fullständig identifieringscykel.

Du konfigurerar deltaidentifiering på fliken Avsökningsschema bland egenskaperna för varje identifieringsmetod.

Om pulsslagsidentifiering

Pulsslagsidentifieringen skiljer sig från andra Configuration Manager-identifieringsmetoder. Den är aktiverad som standard och körs på alla datorklienter för att skapa en identifieringsdatapost. För mobila enhetsklienter skapas denna identifieringsdatapost med den hanteringsplats som används av den mobila enhetsklienten.

Pulsslagsidentifiering körs antingen på ett schema som konfigurerats för alla klienter inom hierarkin, eller om den startats manuellt, på en viss klient genom att köra Cykel för insamling av identifieringsdata på fliken Åtgärd i klientens Configuration Manager-program. När pulsslagsidentifieringen körs skapar den en identifieringsdatapost som innehåller klientens aktuella information, inklusive nätverksplats, NetBIOS-namn och driftstatusdetaljer. Det är en liten fil på ungefär 1 kB som kopieras till en hanteringsplats och sedan behandlas av en primär plats. Att sända en identifieringsdatapost för pulsslagsidentifiering kan upprätthålla en aktiv klients post i databasen, och även tvinga identifiering av en aktiv klient som kan ha tagits bort från databasen, eller som har installerats manuellt och inte identifierats med någon annan identifieringsmetod.

Pulsslagsidentifiering är den enda identifieringsmetod som ger detaljer om klientinstallationsstatus genom att uppdatera ett systemresursklientattribut som har värdet Ja. Om du vill skicka pulsslagsidentifieringsposten måste klientdatorn kunna kontakta en hanteringsplats.

System_CAPS_noteObs!

I Configuration Manager SP1 identifierar pulsslagsidentifieringsdataposten även klientagentens version.

Standardschemat för pulsslagsidentifiering är inställt till var 7:e dag. Om du ändrar intervallet för pulsslagsidentifiering kontrollerar du att den körs oftare än platsunderhållsaktiviteten Ta bort föråldrade identifieringsdata som tar bort inaktiva klientposter från platsdatabasen. Du kan enbart konfigurera aktiviteten Ta bort föråldrade identifieringsdata för primära platser.

System_CAPS_noteObs!

Även om pulsslagsidentifiering är inaktiverat skapas fortfarande identifieringsdataposter och skickas in för aktiva mobila enhetsklienter. Detta säkerställer att aktiviteten Ta bort föråldrade identifieringsdata inte påverkar aktiva mobila enheter. Om aktiviteten Ta bort föråldrade identifieringsdata tar bort en databaspost för en mobil enhet återkallar den även enhetscertifikatet och blockerar den mobila enheten från att ansluta till hanteringsplatser.

Pulsslagsidentifieringsåtgärderna loggas på följande platser:

  • För datorklienter registreras åtgärderna för pulsslagsidentifiering på klienten i InventoryAgent.log i mappen %Windir%\CCM\Logs.

  • För mobila enhetsklienter registreras pulsslagsidentifieringsåtgärderna i DMPRP.log i mappen %Program Files%\CCM\Logs för den hanteringsplats som den mobila enhetsklienten använder.

Om nätverksidentifiering

Använd Configuration Manager-nätverksidentifiering om du vill identifiera topologin hos ditt nätverk och enheterna i ditt nätverk.

Funktionen för nätverksidentifiering söker igenom nätverket efter IP-aktiverade resurser genom att ställa frågor till servrar som kör en Microsoft-implementering av DHCP, ARP-cacheminnen (Address Resolution Protocol) på routrar, SNMP-aktiverade enheter och Active Directory-domäner.

För att kunna identifiera en resurs måste nätverksidentifieringen identifiera IP-adressen och undernätsmasken till resursen. Eftersom olika typer av enheter kan ansluta till nätverket kan funktionen för nätverksidentifiering identifiera resurser som inte har stöd för Configuration Manager-klientprogramvaran. Enheter som kan identifierar men inte hanteras omfattar exempelvis skrivare och routrar.

Nätverksidentifieringen kan returnera flera attribut som en del av den identifieringspost som den skapar. Detta omfattar följande:

  • NetBIOS-namn

  • IP-adresser

  • Resursdomän

  • Systemroller

  • Namn på SNMP-grupp

  • MAC-adresser

Om du vill använda Nätverksidentifiering måste du ange nivån på den identifiering som ska köras. Du konfigurerar även en eller flera identifieringsmekanismer som gör att funktionen för nätverksidentifiering kan ställa frågor om nätverkssegment eller enheter. Du kan även konfigurera inställningar som hjälper till att kontrollera identifieringsåtgärderna i nätverket. Slutligen definierar du ett eller flera scheman för när Nätverksidentifiering ska köras.

System_CAPS_noteObs!

Komplexa nätverk och anslutningar med låg bandbredd kan göra att Nätverksidentifiering körs långsamt och genererar mycket nätverkstrafik. Det är en bra rutin att köra Nätverksidentifiering enbart när de andra identifieringsmetoderna inte kan hitta de resurser som du måste identifiera. Använd till exempel Nätverksidentifiering om du måste identifiera arbetsgruppsdatorer. Arbetsgruppsdatorer identifieras inte av andra identifieringsmetoder.

Om identifieringen hittar ett IP-adresserbart objekt och kan avgöra objektets undernätmask, skapar den en identifieringsdatapost för det här objektet.

Aktiviteterna för nätverksidentifiering registreras i Netdisc.log i <InstallationPath>\Logs på den platsserver där identifieringen körs.

Nivåer av nätverksidentifiering

När du konfigurerar Nätverksidentifiering anger du någon av de tre identifieringsnivåerna:

Identifieringsnivå

Information

Topologi

Den här nivån identifierar routrar och undernät, men identifierar inte någon undernätmask för objekt.

Topologi och klient

Förutom topologi identifierar den här nivån potentiella klienter som datorer, och resurser som skrivare och routrar. På denna identifieringsnivå görs försök att identifiera undernätmasken för objekt som hittas.

Topologi, klient, och klientoperativsystem

Förutom topologi och potentiella klienter görs på den här nivån försök att identifiera datoroperativsystemets namn och version. Den här nivån använder Windows Browser och Windows Networking-anrop.

Vid varje stegvis nivå ökar Nätverksidentifiering aktiviteten och användningen av nätverksbandbredd. Väg in den nätverkstrafik som kan genereras innan du aktiverar alla funktioner i Nätverksidentifiering.

När du börjar använda Nätverksidentifiering kan du exempelvis börja med bara topologinivån för att identifiera din nätverksinfrastruktur. Du kan sedan konfigurera om Nätverksidentifiering för att identifiera objekt och deras enhetsoperativsystem. Du kan även konfigurera inställningar som begränsar Nätverksidentifiering till ett specifikt intervall med nätverkssegment för att identifiera objekt på nätverksplatser som du behöver och undvika onödig nätverkstrafik och identifiering av objekt från routrar i utkanten av eller utanför nätverket.

Alternativ för Nätverksidentifiering

Om du vill aktivera Nätverksaktivering för att söka efter IP-adresserbara enheter måste du konfigurera ett eller flera alternativ som anger hur frågor efter enheter ska ställas. Alternativen anges i följande tabell.

Alternativ

Information

Krav

Domäner

Ange varje domän som du vill att Nätverksidentifiering ska ställa frågor till.

Nätverksidentifiering kan identifiera alla datorer som du kan visa från din platsserver när du söker igenom nätverket. Nätverksidentifiering hämtar alla IP-adresser och använder sedan en ICMP-ekobegäran (Internet Control Message Protocol) för att pinga varje enhet som den hittar. Kommandot ping hjälper till att avgöra vilka datorer som är aktiva för närvarande.

Den platsserver som kör identifieringen måste har behörigheter att läsa domänkontrollanterna i varje angiven domän.

System_CAPS_noteObs!

Om du vill identifiera datorer från den lokala domänen måste du aktivera tjänsten Computer Browser på minst en dator som finns i samma undernät som den platsserver som kör Nätverksidentifiering.

SNMP-enheter

Ange varje SNMP-enhet som du vill att Nätverksidentifiering ska ställa frågor till.

Nätverksidentifiering hämtar ipNetToMediaTable-värdet från alla SNMP-enheter som svarar på frågan. Detta värde returnerar uppsättningar med IP-adresser som är klientdatorer eller andra resurser som skrivare, routrar eller andra IP-adresserbara enheter.

Om du vill ställa en fråga till en enhet måste du ange enhetens IP-adress eller NetBIOS-namn.

Du måste konfigurera Nätverksidentifiering att använda gruppnamnet på enheten, annars nekar enheten den SNMP-baserade frågan.

DHCP

Ange varje DHCP-server som du vill att Nätverksidentifiering ska ställa frågor till.

Nätverksidentifieringen kan ställa frågor till både 32-bitars och 64-bitars DHCP-servrar för en lista över enheter som är registrerade på varje server.

Nätverksidentifiering hämtar information genom att använda RPC-anrop till databasen på DHCP-servern.

Om Nätverksidentifiering räknar upp en DHCP-server identifierar den inte alltid statiska IP-adresser. Nätverksidentifiering hittar inte IP-adresser som ingår i en undantaget intervall med IP-adresser på DHCP-servern, och identifierar inte IP-adresser som är reserverade för manuell tilldelning.

System_CAPS_noteObs!

Nätverksidentifiering stöder enbart DHCP-servrar som kör Microsoft-implementeringen av DHCP.

System_CAPS_importantViktigt

Om du vill kunna konfigurera en DHCP-server i Nätverksidentifiering måste det finnas stöd för IPv4 i din miljö. Du kan inte konfigurera Nätverksidentifiering att använda en DHCP-server i en egen IPv6-miljö.

För att Nätverksidentifiering ska kunna ställa frågor till en DHCP-server måste datorkontot till den server som kör identifieringen vara medlem av DHCP-användargruppen på DHCP-servern.

Den här åtkomstnivån finns exempelvis och något av följande stämmer:

  • Den angivna DHCP-servern är DHCP-servern till den server som kör identifieringen.

  • Den dator som kör identifieringen och DHCP-servern finns i samma domän.

  • Ett dubbelriktat förtroende finns mellan den dator som kör identifieringen och DHCP-servern.

  • Platsservern är medlem i DHCP-användargruppen.

System_CAPS_noteObs!

Nätverksidentifiering körs i kontexten till datorkontot på den platsserver som kör identifieringen. Om ett datorkonto inte har behörigheter till en icke betrodd domän kan både domänkonfigurationerna och DHCP-serverkonfigurationerna misslyckas med att identifiera resurser.

Begränsa Nätverksidentifiering

När Nätverksidentifiering ställer en fråga till en SNMP-enhet i utkanten av nätverket kan den identifiera information om undernät och SNMP-enheter som finns utanför det omedelbara nätverket. Du kan begränsa Nätverksidentifiering genom att konfigurera de SNMP-enheter som identifieringsfunktionen kan kommunicera med, och genom att ange de nätverkssegment som frågorna ska ställas till.

Använd följande konfigurationer om du vill begränsa omfattningen av nätverksidentifieringen:

Konfiguration

Information

Undernät

Konfigurera de undernät som Nätverksidentifiering ställer frågor till när funktionen använder SNMP- och DHCP-alternativen. Enbart de aktiverade undernäten söks igenom med de här två alternativen.

En DHCP-begäran kan exempelvis returnera enheter från platser över hela nätverket: Om du enbart vill identifiera enheter i ett visst undernät anger och aktiverar du det specifika undernätet på fliken Undernät i dialogrutan Egenskaper för Nätverksidentifiering. Om du anger och aktiverar undernät begränsar du framtida DHCP- och SNMP-identifieringsåtgärder för dessa undernät.

System_CAPS_noteObs!

Undernätskonfigurationerna begränsar inte de objekt som domänidentifieringsalternativet identifierar.

Namn på SNMP-grupp

Om du vill använda funktionen Nätverksidentifiering för att ställa frågor till en SNMP-enhet, konfigurerar du Nätverksidentifiering med enhetens gruppnamn.

  • Om Nätverksidentifiering inte har konfigurerats med SNMP-enhetens gruppnamn kommer enheten att avvisa frågan.

Maximalt antal hopp

När du konfigurerar det maximala antalet routerhopp begränsar du det antal nätverkssegment och routrar som nätverksidentifieringen kan fråga med SNMP.

  • Det antal hopp du konfigurerar begränsar det antal ytterligare enheter och nätverkssegment som nätverksidentifieringen kan fråga.

T.ex. identifierar en identifiering av endast topologi med 0 (noll) routerhopp det undernät där den ursprungliga servern finns, och innefattar alla routrar i undernätet.

Följande diagram visar vad en nätverksidentifiering av endast topologi hittar när den körs på Server 1 med 0 routerhopp: undernät D och Router 1.

Diagram för nätverksidentifiering endast topologi

Följande diagram visar vad en nätverksidentifiering av topologi och klient hittar när den körs på Server 1 med 0 routerhopp: undernät D och Router 1 samt alla potentiella klienter på undernät D.

Diagram över identifiering av nätverksklient: Routerhopp

Du kan få en bättre uppfattning av hur ytterligare routerhopp kan öka antalet identifierade nätverksresurser genom att titta på följande nätverk:

Exempel på första nätverksidentifiering, antal hopp 4

Om en nätverksidentifiering av endast topologi körs från Server 1 med ett routerhopp identifieras följande:

  • Router 1 och undernät 10.1.10.0 (identifieras med noll hopp).

  • Undernät 10.1.20.0 och 10.1.30.0, undernät A samt Router 2 (hittas med det första hoppet).

System_CAPS_warningVarning

Varje ökning i antalet routerhopp kan dramatiskt öka antalet resurser som går att identifiera, och öka den bandbredd som nätverksidentifiering använder i nätverket.

Identifieringsdataposter som skapas av nätverksidentifiering

Nät nätverksidentifiering hittar ett objekt skapar den en identifieringsdatapost för objektet. För att nätverksidentifiering ska kunna identifiera ett objekt måste den identifiera objektets IP-adress och sedan dess nätmask. Om nätverksidentifieringen inte kan avgöra nätmasken för ett objekt skapas ingen identifieringsdatapost.

Nätverksidentifiering använder följande metoder för att identifiera nätmasken för ett objekt:

Metod

Information

Begränsning

Routerns ARP-cache

Nätverksidentifiering frågar en routers ARP-cache för att få information om nätmasken.

Normalt har data i en routers ARP-cache kort livslängd. När nätverksidentifiering frågar ARP-cachen kanske ARP-cachen inte länge innehåller information om det objekt som efterfrågas.

DHCP

Nätverksidentifiering frågar varje DHCP-server som du anger för att upptäcka de enheter för vilka DHCP-servern har angett en livslängd.

Nätverksidentifiering stöder bara de DHCP-servrar som kör Microsofts implementation av DHCP.

SNMP-enhet

Nätverksidentifiering kan fråga en SNMP-enhet direkt.

För att nätverksidentifiering ska fråga en enhet måste enheten ha en lokal SNMP-agent installerad. Du måste även konfigurera nätverksidentifieringen så att den använder det Namn på SNMP-grupp som används av SNMP-agenten.

Configuration Manager behandlar identifieringsdataposter som skapas av nätverksidentifieringen på samma sätt som den behandlar identifieringsdataposter som skapas av andra identifieringsmetoder.

Om identifieringsdataposter

Identifieringsdataposter är filer som skapas av en identifieringsmetod och som innehåller information om en resurs du kan hantera i Configuration Manager. Identifieringsdataposter innehåller information om datorer, användare och i vissa fall nätverksinfrastruktur. De behandlas på primära platser eller på centrala administrationsplatser. När resursinformationen i identifieringsdataposten har lagts in i databasen tas identifieringsdataposten bort, och informationen replikeras som globala data till alla platser i hierarkin.

Vid vilken plats identifieringsdataposten behandlas beror på vilken information den innehåller:

  • Identifieringsdataposter för nyidentifierade resurser som inte finns i databasen behandlas på platsen högst upp i hierarkin. Platsen på den högsta nivån skapar en ny resurspost i databasen och tilldelar den ett unikt ID. Identifieringsdataposter överförs med filbaserad replikering tills de når platsen på den högsta nivån.

  • Identifieringsdataposter för tidigare identifierade objekt behandlas på primära platser. Underordnade primära platser överför inte identifieringsdataposter till den centrala administrationsplatsen när identifieringsdataposten innehåller information om en resurs som redan finns i databasen.

  • Sekundära platser behandlar inte identifieringsdataposter och överför dem alltid genom filbaserad replikering till sin överordnade primära plats.

Identifieringsdatapostfiler går att känna igen på tillägget .ddr. De har normalt en storlek på c:a 1 kB.

Besluta var identifieringen ska köras

När du planerar att använda identifiering i Configuration Manager måste du fundera över var varje identifieringsmetod ska användas.

När Configuration Manager har lagt till identifieringsdata i en databas delas den snabbt mellan alla platser i hierarkin. Eftersom det inte finns några fördelar med att identifiera samma information på flera platser i hierarkin bör du överväga att konfigurera en enda instans av varje identifieringsmetod som du använder så att den körs på en enda plats istället för att du kör flera instanser av en enda metod på flera platser.

Det kan dock emellanåt vara till hjälp att tilldela samma identifieringsmetod så att den körs på flera platser, med separata konfigurationer och scheman. Detta beror på att på varje plats utvärderas alla konfigurationer för en enstaka identifieringsmetod varje gång identifieringsmetoden körs. Om du konfigurerar flera instanser av en enda identifieringsmetod så att de körs på olika platser, måste du planera konfigurationen för var och en noga så att inte två eller flera identifieringsprocesser identifierar samma resurser. Att identifiera samma platser och resurser på flera platser kan belasta nätverkets bandbredd och skapa dubbletter av identifieringsdataposter som inte fyller någon funktion och ändå måste behandlas av platsservrarna.

Följande tabell anger på vilka platser du kan konfigurera de olika identifieringsmetoderna.

Identifieringsmetod

Platser som stöds

Identifiering av Active Directory-skogar

  • Central administrationswebbplats

  • Primär plats

Identifiering av Active Directory-grupper

  • Primär plats

Identifiering av Active Directory-system

  • Primär plats

Identifiering av Active Directory-användare

  • Primär plats

Pulsslagsidentifiering1

  • Primär plats

Nätverksidentifiering

  • Primär plats

  • Sekundär plats

1 Sekundära platser kan inte konfigurera Pulsslagsidentifiering, men kan ta emot identifieringsdataposten för pulsslag från en klient.

När sekundära platser kör nätverksidentifiering eller tar emot identifieringsdataposter för pulsslag överför de identifieringsdataposten med filbaserad replikering till sin överordnade primära plats. Detta beror på att endast primära platser och centrala administrationsplatser kan behandla identifieringsdataposter. Mer information om hur identifieringsdataposter behandlas finns i Om identifieringsdataposter i det här avsnittet.

Tänk på följande när du planerar var identifieringen ska köras:

  • Om du använder en Active Directory-identifieringsmetod för system, användare och grupper:

    • Kör identifieringen på en plats som har en snabb nätverksanslutning till dina domänkontrollanter.

    • Ta hänsyn till Active Directory-topologin för att se till att identifieringen kan komma åt den senaste informationen.

    • Tänk på identifieringskonfigurationens omfattning, och begränsa identifieringen till endast de Active Directory-platser och -grupper som du behöver identifiera.

  • Om du använder nätverksidentifiering:

    • Använd en begränsad konfiguration till att börja med för att identifiera ditt nätverks topografi.

    • När du har identifierat nätverkets topografi konfigurerar du nätverksidentifiering för att köras på specifika platser som är centrala för de nätverksområden som du vill identifiera mer i detalj.

  • Eftersom Pulsslagsidentifiering inte körs på en specifik plats behöver du i inte fundera över den när du gör allmän planering för var identifieringen ska köras.

  • Eftersom alla platsservrar och nätverksmiljöer är olika bör du begränsa dina första identifieringskonfigurationer och noga övervara varje platsserver för att se att den kan behandla de identifieringsdata som skapas.

Metodtips för identifiering

Använd följande information om metodtips som hjälp för att använda identifiering i System Center 2012 Configuration Manager.

Kör Identifiering av Active Directory-system och Identifiering av Active Directory-användare innan du kör Identifiering av Active Directory-grupper.

När Identifiering av Active Directory-grupper identifierar en tidigare oidentifierad användare eller datorn som medlem i en grupp försöker programmet identifiera grundläggande information om användaren eller datorn. Eftersom Identifiering av Active Directory-grupper inte har optimerats för den här typen av identifiering kan detta göra att Identifiering av Active Directory-grupper körs långsamt. Dessutom identifierar Identifiering av Active Directory-grupper bara grundläggande information om användare och datorer som identifieras, och den skapar inte en fullständig användar- eller datoridentifieringspost. När du kör Identifiering av Active Directory-system och Identifiering av Active Directory-användare är de ytterligare Active Directory-attributen för varje objekttyp tillgängliga, och därför körs Identifiering av Active Directory-grupper mer effektivt.

När du konfigurerar Identifiering av Active Directory-grupper anger du bara grupper som du använder med Configuration Manager.

För att det ska vara lättare hålla reda på hur mycket resurser som används av Identifiering av Active Directory-grupper, anger du bara de grupper som du använder med Configuration Manager. Detta beror på att Identifiering av Active Directory-grupper rekursivt söker igenom varje grupp en påträffar efter användare, datorer och kapslade grupper. Sökningen i varje kapslad grupp kan expandera omfattningen för Identifiering av Active Directory-grupper och minska prestanda. När du konfigurerar deltaidentifiering för Identifiering av Active Directory-grupper övervakar identifieringsmetoden ändringar i varje grupp. Detta minskar prestanda ytterligare när gruppen måste söka igenom grupper som inte behövs.

Konfigurera identifieringsmetoderna med ett längre intervall mellan tillfällena med fullständig identifiering och ett kortare intervall mellan tillfällena med deltaidentifiering.

Eftersom deltaidentifiering använder mindre resurser än en fullständig identifiering, och kan identifiera nya och ändrade resurser i Active Directory, kan du använda deltaidentifiering för att minska frekvensen av fullständig identifiering till en gång i veckan eller mindre. Deltaidentifiering för Identifiering av Active Directory-system, Identifiering av Active Directory-användare och Identifiering av Active Directory-grupper identifierar nästan alla ändringar i Active Directory-objekt och upprätthåller korrekta identifieringsdata för resurser.

Kör identifieringsmetoderna för Active Directory på den primära plats som ligger närmast din Active Directory-domänkontrollant på nätverket

För att förbättra prestanda för Active Directory-identifiering rekommenderar vi att du kör identifieringen på en primär plats som har en snabb nätverksanslutning till dina domänkontrollanter. Om du kör samma Active Directory-identifieringsmetod på flera platser rekommenderar vi att du konfigurerar varje identifieringsmetod så att du undviker överlappningar. Till skillnad från i tidigare versioner av Configuration Manager delas identifieringsdata mellan platser. Därför behöver inte samma information identifieras på flera platser. mer information finns i Besluta var identifieringen ska köras.

Kör Identifiering av Active Directory-skogar på bara en plats om du planerar att skapa gränser automatiskt från identifieringsdata.

Om du kör Identifiering av Active Directory-skogar på mer än en plats i en hierarki rekommenderar vi att du endast aktiverar alternativ för att automatiskt skapa gränser på en enstaka plats. Detta beror på att när Identifiering av Active Directory-skogar körs på varje plats och skapar gränser kan Configuration Manager inte slå samman dessa gränser till ett enda gränsobjekt. När du konfigurerar Identifiering av Active Directory-skogar för att skapa gränser automatiskt på flera platser kan detta ge upphov till dubblerade gränsobjekt i Configuration Manager-konsolen.