Unterstützung für Active Directory-Domänen in Configuration Manager

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Alle Configuration Manager Standortsysteme müssen Mitglieder einer unterstützten Active Directory-Domäne sein. Configuration Manager Clientcomputer können Domänenmitglieder oder Arbeitsgruppenmitglieder sein.

Anforderungen und Einschränkungen

  • Die Domänenmitgliedschaft gilt auch für Standortsysteme, die die internetbasierte Clientverwaltung in einem Umkreisnetzwerk unterstützen. (Diese Netzwerke werden auch als DMZ, demilitarisierte Zone und überprüftes Subnetz bezeichnet.)

  • Es wird nicht unterstützt, die folgenden Konfigurationen für einen Computer zu ändern, der eine Standortsystemrolle hostet:

    • Domänenmitgliedschaft, einschließlich, wenn Sie ein Standortsystem aus der Domäne entfernen und dann erneut derselben Domäne beitreten.

    • Domänenname

    • Name des Computers

    Bevor Sie diese Änderungen vornehmen, deinstallieren Sie die Standortsystemrolle. Um diese Änderungen an einem Standortserver vorzunehmen, deinstallieren Sie zuerst den Standort. Sie können auch erwägen, einen Standortserver im passiven Modus zu erstellen, um diese Änderung auf einem Standortserver zu verwalten.

  • Configuration Manager unterstützt die Domänen- und Gesamtstrukturfunktionsebene von Windows Server 2008 R2 oder höher.

Nicht zusammenhängender Namespace

Sie können Configuration Manager Standortsysteme und -clients in einer Domäne mit einem nicht zusammenhängenden Namespace installieren.

In einem nicht zusammenhängenden Namespace stimmt das primäre DNS-Suffix eines Computers nicht mit dem Active Directory-DNS-Domänennamen dieses Computers überein. Ein weiteres nicht zusammenhängendes Namespaceszenario tritt auf, wenn der NetBIOS-Domänenname eines Domänencontrollers nicht mit dem Active Directory-DNS-Domänennamen übereinstimmt.

Nicht zusammenhängende Szenarien

In den folgenden Abschnitten werden die unterstützten Szenarien für einen nicht zusammenhängenden Namespace beschrieben.

Szenario 1

Das primäre DNS-Suffix des Domänencontrollers unterscheidet sich vom Active Directory-DNS-Domänennamen. Computer, die Mitglieder der Domäne sind, können entweder zusammenhängend oder nicht zusammenhängend sein.

Der Domänencontroller ist in diesem Szenario disjunkt. Computer, die Mitglieder der Domäne sind, z. B. Standortserver und Computer, können ein primäres DNS-Suffix aufweisen, das mit folgendem übereinstimmt:

  • Das primäre DNS-Suffix des Domänencontrollers
  • Der Active Directory-DNS-Domänenname

Szenario 2

Ein Mitgliedscomputer in einer Active Directory-Domäne ist getrennt, auch wenn der Domänencontroller nicht getrennt ist.

In diesem Szenario unterscheidet sich das primäre DNS-Suffix eines Standortsystems vom Active Directory-DNS-Domänennamen. Das primäre DNS-Suffix des Domänencontrollers entspricht dem Active Directory-DNS-Domänennamen. Mitgliedscomputer, die Configuration Manager Clients sind, können über ein primäres DNS-Suffix verfügen, das mit folgendem übereinstimmt:

  • Das primäre DNS-Suffix des nicht zusammenhängenden Standortsystemservers
  • Der Active Directory-DNS-Domänenname

Konfigurieren eines nicht zusammenhängenden Namespaces

Damit ein Computer auf nicht zusammenhängende Domänencontroller zugreifen kann, ändern Sie das Active Directory-Attribut msDS-AllowedDNSSuffixes im Domänenobjektcontainer. Fügen Sie dem Attribut beide DNS-Suffixe hinzu.

Um sicherzustellen, dass die Dns-Suffixsuchliste alle DNS-Namespaces in der Organisation enthält, konfigurieren Sie die Suchliste für jeden Computer in der nicht zusammenhängenden Domäne. Fügen Sie die folgenden Suffixe in die Liste der Namespaces ein:

  • Das primäre DNS-Suffix des Domänencontrollers
  • Der DNS-Domänenname
  • Alle zusätzlichen Namespaces für andere Server, mit denen Configuration Manager kommunizieren können

Sie können gruppenrichtlinien verwenden, um die Dns-Suffixsuchliste (Domain Name System) zu konfigurieren.

Wichtig

Wenn Sie in Configuration Manager auf einen Computer verweisen, geben Sie den Computer mit dessen primärem DNS-Suffix ein. Dieses Suffix sollte dem vollqualifizierten Domänennamen entsprechen, der als attribut dnsHostName in der Active Directory-Domäne registriert ist, und dem Dienstprinzipalnamen, der dem System zugeordnet ist.

Einteilige Domänen

Configuration Manager unterstützt Standortsysteme und Clients in einer Domäne mit nur einer Bezeichnung, wenn die folgenden Kriterien erfüllt sind:

  • Konfigurieren Sie die Einzelbezeichnungsdomäne in Active Directory Domain Services mit einem nicht zusammenhängenden DNS-Namespace, der über eine gültige Domäne der obersten Ebene verfügt.

    Zum Beispiel: Die Domäne mit nur einer Bezeichnung von Contoso ist für einen nicht zusammenhängenden Namespace im DNS von contoso.com konfiguriert. Wenn Sie das DNS-Suffix in Configuration Manager für einen Computer in der Domäne Contoso angeben, geben Sie "Contoso.com" und nicht "Contoso" an.

  • Die DCOM-Verbindungen (Distributed Component Object Model) zwischen Standortservern im Systemkontext müssen mithilfe der Kerberos-Authentifizierung erfolgreich sein.