项目
04/26/2016

在 Configuration Manager 中配置站点组件

适用对象：System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

你可以配置站点组件来控制站点上的站点系统角色的行为，以及控制站点状态报告行为。站点系统角色的配置适用于特定站点上的站点系统角色的每个实例。这些配置必须在每个站点上单独进行，并且不适用于多个站点。

为 Configuration Manager 配置站点组件

使用下列过程来选择你将在特定站点上配置的站点组件。

编辑站点上的站点组件

在配置管理器控制台中，单击“管理”。
在“管理”工作区中，展开“站点配置”，并单击“站点”。
选择包含你将配置的站点组件的站点。
在“主页”选项卡上的“设置”组中，单击“配置站点组件”，然后选择要配置的站点组件。

站点组件的配置选项

站点组件的许多配置选项都一目了然，或在对话框中显示其他信息。使用下列部分来了解有关在你对其进行配置之前可能需要某些信息的设置的详细信息。

系统健康验证程序点组件属性

只有当你将在站点中安装系统健康验证程序点以便为软件更新使用网络访问保护时，才配置这些配置选项。

查询间隔（分钟）

指定系统健康验证程序点从 Active Directory 域服务检索和缓存配置管理器健康状况引用的频率（分钟）。信息通过对全局编录服务器的轻型目录访问协议 (LDAP) 调用来检索。

值越低，系统健康验证程序对 Configuration Manager NAP 策略更改的检测速度就越快；但是，发现客户端不符合的可能性也越高（即使它们具有在 Configuration Manager NAP 策略中指定的所有必需软件更新）。在这种情况下，如果将网络策略服务器上的策略配置为对不符合的客户端授予受限网络访问权限，那么，客户端只有在下载其 Configuration Manager NAP 策略、重新评估其符合性并随后将新的健康声明发送到系统健康验证程序点之后，才能具有完全网络访问权限。此过程可能需要几分钟。

值越高，当客户端具有在 Configuration Manager NAP 策略中指定的所有必需软件更新时，发现客户端不符合的可能性就越低。在这种情况下，客户端在下载其 Configuration Manager NAP 策略并重新评估符合性时，不具有受限访问权限的风险。但是，较高的值可能表示，在客户端没有使用最新的 Configuration Manager NAP 策略评估符合性时，将客户端认定为符合。

为了降低包含选定软件更新的客户端具有受限网络访问权限的可能性，同时确保符合性结果基于最新的 Configuration Manager NAP 策略，请将此选项的值配置为客户端设置“客户端策略轮询间隔”（默认情况下，客户端策略轮询间隔为每小时一次）中指定值的两倍。

此设置范围为 1 至 10080 分钟，默认值为 120 分钟。

有效期（小时）

指定系统健康验证程序点将缓存的客户端健康声明接受为符合的时间长度（小时）。

如果客户端健康声明超过有效期，则系统健康验证程序点将网络策略服务器健康状况返回为不符合。在这种情况下，如果网络策略服务器上的策略强制符合性，则会强制客户端重新评估其符合性状态并显示新的健康声明。因此，较长的有效期将导致更快速的处理（及连接时间），但符合性信息可能不是最新的。

此设置范围为 1 至 168 小时，默认值为 26 小时。

如果更改默认有效期，请确保你配置的值比配置的 NAP 重新评估计划客户端设置高。如果客户端上符合性评估发生的频率低于有效期，系统健康验证程序点将客户端发现为不符合。

在这种情况下，修正将指示客户端重新评估其符合性并生成最新的健康声明。完成此过程可能需要几分钟，因此，如果网络策略服务器上的策略配置为限制对不符合计算机的网络访问，计算机在此重新评估时间期间将不能访问完整网络上的网络资源。

创建日期必须晚于 (UTC)

指定是否要确保在指定的日期和时间（以协调世界时表示）之后创建客户端健康声明。选择此选项后，选择日期和时间。不能将日期和时间设置为将来的值，必须是当前或先前的日期和时间。

在以下情况下适合设置此选项：您刚刚已配置了全新的 Configuration Manager 网络访问保护 (NAP) 策略，并且在策略中选择的软件更新必须包括在评估中（不考虑有效期）。

默认情况下不启用此选项。

指定 Active Directory 林

为此站点指定不在同一 Active Directory 林中的站点服务器和系统健康验证程序点。要为此环境配置系统健康验证程序点组件，你必须确定系统健康验证程序点位于哪些林中，确定这些林之间是否存在信任关系，并决定哪个林将发布 Configuration Manager 健康状况引用

必须使用配置管理器架构扩展对发布健康状况引用的 Active Directory 林进行扩展，必须将站点服务器发布到 Active Directory，并且必须在 Active Directory 中的“系统管理”容器上适当地设置权限。这些 Active Directory 依赖关系可能会影响你有关将使用哪个林来发布配置管理器健康状况引用的决策。

当配置管理器中的网络访问保护跨越多个 Active Directory 林时，下列方案确定四项基本配置。使用这些方案来帮助你决定哪个 Active Directory 林将发布健康状况引用。

站点服务器驻留在一个 Active Directory 林中，而所有系统健康验证程序点驻留在另一 Active Directory 林中。配置管理器健康状况引用被发布到包含站点服务器的林中。如果可为配置管理器扩展 Active Directory 域服务，并且系统健康验证程序点位于外围网络中，请选择此选项
站点服务器驻留在一个 Active Directory 林中，而所有系统健康验证程序点驻留在另一 Active Directory 林中。配置管理器健康状况引用被发布到包含系统健康验证程序点的林中。如果无法为配置管理器扩展 Active Directory 域服务，但可扩展第二个林的架构，请选择此选项。
站点服务器驻留在一个 Active Directory 林中，而所有系统健康验证程序点驻留在另一 Active Directory 林中。配置管理器健康状况引用被发布到与其他两个林有信任关系（林信任或外部域信任）的第三个 Active Directory 林中。如果无法为任一林扩展 Active Directory 域服务，但可扩展新林或现有林的架构，请选择此选项。
站点服务器驻留在一个 Active Directory 林中，而所有系统健康验证程序点驻留在另一 Active Directory 林中。配置管理器健康状况引用被发布到与其他两个林没有信任关系（林信任或外部域信任均没有）的第三个 Active Directory 林中。如果无法为任一林扩展 Active Directory 域服务，但可扩展不能与其他两个林具有任何信任关系的新林或现有林的架构，请选择此选项。

健康状况引用发布帐户

如果下列任何条件适用，则指定所指定的 Active Directory 林中的 Microsoft Windows 用户帐户：

指定的林不是站点服务器所在的林。
站点服务器的域和域后缀之间没有信任关系。
站点服务器的域和域后缀之间有信任关系，但没有为站点服务器的计算机帐户授予系统管理 Active Directory 容器的“完全控制”权限。

健康状况引用查询帐户

如果下列任何条件适用，则指定所指定的 Active Directory 林中的 Windows 用户帐户：

指定的林不是系统健康验证程序点所在的林。
系统健康验证程序点和域后缀之间没有信任关系。

软件分发组件属性

网络访问帐户

当工作组或不受信任域中的客户端计算机需要访问网络资源时，为网络访问帐户指定 Windows 用户帐户。

重要事项
决不会将网络访问帐户用作安全性上下文来运行应用程序和程序、安装软件更新或运行任务序列。它仅用于访问网络上的资源。

尽管配置管理器客户端计算机使用“本地系统”帐户在计算机上执行大多数配置管理器客户端操作，但“本地系统”帐户无法访问网络资源。例如，“本地系统”帐户无法向分发点验证计算机以便计算机可进行连接和下载软件。在这些情况下，受信任域中的客户端使用 <计算机名>$ 帐户来访问网络资源。无法使用 <计算机名>$ 进行计算机身份验证的计算机可对网络访问帐户使用指定的 Windows 用户帐户。

在部署操作系统时，你可能也必须为网络访问帐户指定 Windows 用户帐户。这是因为接收操作系统的计算机没有它可用于访问网络上的内容的安全性上下文。

当你指定 Windows 用户帐户时，请将该帐户配置为具有它必须访问以下载软件的内容的最低合适权限。在承载包内容的分发点或其他服务器上，帐户必须具有“从网络访问此计算机”用户权限。

不要为此帐户授予交互式登录用户权限或用于将计算机加入域的用户权限。如果在任务序列过程中必须将计算机加入到域中，请使用任务序列编辑器域加入帐户。

适用于 System Center 2012 R2 Configuration Manager 和更高版本：你现在可以为站点指定多个网络访问帐户。当客户端尝试访问内容且无法使用其本地计算机帐户时，它们将首先使用成功连接的上一个网络访问帐户。配置管理器支持最多添加 10 个网络访问帐户。

软件更新点组件属性

有关软件更新点组件的配置选项的详细信息，请参阅在 Configuration Manager 中配置软件更新。

管理点组件属性

管理点

在配置管理器站点中指定管理点以发布到 Active Directory 域服务。

配置管理器客户端使用管理点来进行服务查找：查找站点信息（例如边界组成员身份和 PKI 证书选择选项）；以及查找站点中的其他管理点和从中下载软件的分发点。客户端还使用管理点来完成站点分配，以及下载客户端策略和上载其客户端信息。

由于客户端查找管理点的最安全方法是在 Active Directory 域服务中发布它们，因此你通常会始终选择所有正常运行的管理点以发布到 Active Directory 域服务。但是，此服务查找方法要求为配置管理器扩展架构、存在具有相应安全权限的“系统管理”容器以便站点服务器发布到此容器、配置管理器站点配置为发布到 Active Directory 域服务中，并且客户端属于与站点服务器的林相同的 Active Directory 林。

当 Intranet 上的客户端无法使用 Active Directory 域服务来查找管理点时，请使用 DNS 发布。

在 DNS 中发布所选的 Intranet 管理点

在 Intranet 上的客户端无法从 Active Directory 域服务中查找管理点时指定此选项，但它们可以使用 DNS 服务位置资源记录 (SRV RR) 在为其分配的站点中查找管理点。

要使配置管理器能够将 Intranet 管理点发布到 DNS，必须满足下列所有条件：

你的 DNS 服务器具有 BIND 版本 8.1.2 或更高版本。
你的 DNS 服务器已针对自动更新进行配置，并且支持服务位置资源记录。
配置管理器中管理点的指定 FQDN 在 DNS 中具有主机条目（A 或 AAA 记录）。

警告
为了使客户端能够查找 DNS 中发布的管理点，你必须将客户端分配给特定站点（而不是使用自动站点分配），并配置这些客户端以使用具有其管理点的域后缀的站点代码。有关详细信息，请参阅如何在 Configuration Manager 中配置客户端计算机以使用 DNS 发布查找管理点。

如果配置管理器客户端无法使用 Active Directory 域服务或 DNS 在 Intranet 上查找管理点，它们将回退为使用 WINS。会将为站点安装的第一个管理点自动发布到 WINS（如果其配置为接受 Intranet 上的 HTTP 客户端连接）。

带外管理点组件属性

重要事项
除非站点至少安装了一个注册点，否则你无法保存带外管理组件的配置选项。

有关带外管理点组件的配置选项的详细信息，请参阅步骤 5：带外管理组件将部署配置。

集合成员身份评估

注意
适用于 System Center 2012 Configuration Manager SP1 和更高版本：

使用此任务来更改以增量方式对集合成员身份进行评估的频率。增量评估仅使用新资源或已更改资源来更新集合成员身份。

在不带 Service Pack 的配置管理器中，你以站点维护任务的形式配置集合成员身份评估。相关信息，请参阅在 Configuration Manager 中规划站点操作主题中的规划 Configuration Manager 的维护任务部分。

请参阅

在 Configuration Manager 中配置站点和层次结构

通过