Definieren von Netzwerkstandorten als Grenzen für Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Configuration Manager Grenzen sind Standorte in Ihrem Netzwerk, die Geräte enthalten, die Sie verwalten möchten. Sie können verschiedene Arten von Grenzen erstellen, z. B. einen Active Directory-Standort oder eine Netzwerk-IP-Adresse. Wenn der Configuration Manager Client einen ähnlichen Netzwerkstandort identifiziert, ist dieses Gerät Teil der Grenze.
Configuration Manager unterstützt die folgenden Begrenzungstypen:
- IP-Subnetz
- Active Directory-Standorte
- IPv6-Präfix
- IP-Adressbereich
- VPN (ab Version 2006)
Sie können einzelne Grenzen manuell erstellen oder die Active Directory-Gesamtstrukturermittlung verwenden. Diese Ermittlungsmethode sucht und erstellt automatisch Grenzen für IP-Subnetze und Active Directory-Standorte. Wenn die Active Directory-Gesamtstrukturermittlung ein Supernet für einen Active Directory-Standort identifiziert, konvertiert Configuration Manager das Supernet in eine Ip-Adressbereichsgrenze.
Wenn sich ein Gerät nicht in der erwarteten Grenze befindet, liegt dies möglicherweise daran, dass Sie seinen Netzwerkstandort nicht als Grenze definiert haben. Wenn der Netzwerkstandort eines Geräts zweifelhaft ist, verwenden Sie die folgenden Windows-Befehle auf dem Gerät, um dies zu bestätigen:
- IP-Adresse:
ipconfig
- Active Directory-Standort:
nltest /dsgetsite
- VPN:
ipconfig /all
Begrenzungstypen
IP-Subnetz
Der Ip-Subnetzgrenztyp erfordert eine Subnetz-ID. Beispiel: 169.254.0.0
. Wenn Sie die Werte für Netzwerk (Standardgateway) und Subnetzmaske angeben, berechnet Configuration Manager automatisch die Subnetz-ID. Wenn Sie die Grenze speichern, speichert Configuration Manager nur den Wert der Subnetz-ID.
Hinweis
Configuration Manager unterstützt den direkten Eintrag eines Supernets nicht als Grenze. Verwenden Sie stattdessen den Begrenzungstyp IP-Adressbereich.
Active Directory-Standorte
Geben Sie für den Typ der Active Directory-Standortbegrenzung den Standortnamen an. Sie können den Namen eingeben oder die lokale Gesamtstruktur des Standortservers durchsuchen.
Wenn Sie einen Active Directory-Standort für eine Grenze angeben, umfasst die Grenze jedes IP-Subnetz, das Mitglied dieses Active Directory-Standorts ist. Wenn sich die Konfiguration des Active Directory-Standorts in Active Directory ändert, ändern sich auch die in dieser Grenze enthaltenen Netzwerkstandorte.
Active Directory-Standortgrenzen funktionieren nicht für reine Microsoft Entra-Geräte, die auch als In die Clouddomäne eingebundene Geräte bezeichnet werden. Wenn sie lokal roamingn und Sie nur Die Grenzen des Active Directory-Standorttyps erstellen, befinden sich diese Geräte nicht in einer Grenze.
Tipp
Verwenden Sie den folgenden Windows-Befehl, um den aktuellen Active Directory-Standort eines Geräts anzuzeigen: nltest /dsgetsite
.
Verwenden Sie den folgenden Windows-Befehl, um zu ermitteln, ob ein Client in die Clouddomäne eingebunden ist: dsregcmd /status
. Weitere Informationen finden Sie unter befehl dsregcmd – Gerätestatus.
IPv6-Präfix
Geben Sie für den Begrenzungstyp des IPv6-Präfixes ein Präfix an. Beispiel: 2001:1111:2222:3333
.
IP-Adressbereich
Geben Sie für den Begrenzungstyp des IP-Adressbereichs die Start-IP-Adresse und die endende IP-Adresse für den Bereich an. Der Bereich kann einen Teil eines IP-Subnetzes oder mehrere IP-Subnetze enthalten. Verwenden Sie einen Begrenzungstyp für IP-Adressbereiche, um ein Supernet zu unterstützen.
Sie können diesen Typ auch verwenden, um eine Grenze für eine einzelne IP-Adresse zu definieren. Legen Sie sowohl die Start- als auch die End-IP-Adresse auf denselben Wert fest. Diese Konfiguration kann für eindeutige Geräte oder Testumgebungen nützlich sein.
VPN
Erstellen Sie ab Version 2006 einen Begrenzungstyp für VPNs, um die Verwaltung von Remoteclients zu vereinfachen. Wenn ein Client eine Standortanforderung sendet, enthält er zusätzliche Informationen zur Netzwerkkonfiguration. Anhand dieser Informationen bestimmt der Server, ob sich der Client in einem VPN befindet. Damit Configuration Manager den Client in der Grenze zuordnen können, verbinden Sie das Gerät mit dem VPN.
Sie können eine VPN-Grenze auf verschiedene Arten konfigurieren:
Vpn automatisch erkennen: Configuration Manager erkennt jede VPN-Lösung, die das Point-to-Point-Tunneling-Protokoll (PPTP) verwendet. Wenn Ihr VPN nicht erkannt wird, verwenden Sie eine der anderen Optionen. Der Begrenzungswert in der Konsolenliste ist
Auto:On
.Verbindungsname: Geben Sie den Namen der VPN-Verbindung auf dem Gerät an. Dies ist der Name des Netzwerkadapters in Windows für die VPN-Verbindung. Configuration Manager entspricht den ersten 250 Zeichen der Zeichenfolge, unterstützt jedoch keine Wildcardzeichen oder Teilzeichenfolgen. Der Begrenzungswert in der Konsolenliste ist
Name:<name>
, wobei<name>
der von Ihnen angegebene Verbindungsname ist.Beispielsweise führen Sie den
ipconfig
Befehl auf dem Gerät aus, und einer der Abschnitte beginnt mit:PPP adapter ContosoVPN:
. Verwenden Sie die ZeichenfolgeContosoVPN
als Verbindungsnamen. Sie wird in der Liste alsName:CONTOSOVPN
angezeigt.Verbindungsbeschreibung: Geben Sie die Beschreibung der VPN-Verbindung an. Configuration Manager entspricht den ersten 243 Zeichen der Zeichenfolge, unterstützt jedoch keine Wildcardzeichen oder Teilzeichenfolgen. Der Begrenzungswert in der Konsolenliste ist
Description:<description>
, wobei<description>
die von Ihnen angegebene Verbindungsbeschreibung ist.Beispielsweise führen Sie den
ipconfig /all
Befehl auf dem Gerät aus, und eine der Verbindungen enthält die folgende Zeile:Description . . . . . . . . . . . : ContosoMainVPN
. Verwenden Sie die ZeichenfolgeContosoMainVPN
als Verbindungsbeschreibung. Sie wird in der Liste alsDescription:CONTOSOMAINVPN
angezeigt.
Wichtig
Um dieses Feature in vollem Umfang nutzen zu können, aktualisieren Sie nach dem Aktualisieren des Standorts auch Clients auf die neueste Version. Neue Funktionen werden in der Configuration Manager-Konsole angezeigt, wenn Sie den Standort und die Konsole aktualisieren. Das vollständige Szenario ist erst funktionsfähig, wenn die Clientversion ebenfalls die neueste ist.
Um diese VPN-Grenze während einer Betriebssystembereitstellung zu verwenden, müssen Sie auch das Startimage so aktualisieren, dass es die neuesten Clientbinärdateien enthält.
Ab Version 2111 können Sie den Anfang eines Verbindungsnamens oder einer Beschreibung anstelle der gesamten Zeichenfolge abgleichen. Einige VPN-Treiber von Drittanbietern erstellen die Verbindung dynamisch, die mit einer konsistenten Zeichenfolge beginnt, aber auch über einen eindeutigen Verbindungsbezeichner verfügt. Beispiel: Virtual network adapter #19
. Wenn Sie die Optionen Verbindungsname oder Verbindungsbeschreibung verwenden, verwenden Sie auch die neue Option Beginnt mit .
Erstellen einer Grenze
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Hierarchiekonfiguration, und wählen Sie den Knoten Grenzen aus.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Grenze erstellen aus.
Geben Sie auf der Registerkarte Allgemein des Fensters Grenze erstellen die folgenden Informationen an:
Beschreibung: Identifizieren Sie die Grenze anhand eines Anzeigenamens oder Verweises.
Hinweis
Configuration Manager die Grenze automatisch basierend auf ihrem Typ und Bereich benennt. Sie können den Namen nicht ändern.
Typ: Wählen Sie den Typ der zu erstellenden Grenze aus. Geben Sie dann die zusätzlichen Informationen an, die für den Typ erforderlich sind. Weitere Informationen finden Sie unter Begrenzungstypen.
Wechseln Sie zur Registerkarte Begrenzungsgruppen . Wenn sie bereits über Begrenzungsgruppen am Standort verfügen, können Sie diese neue Grenze sofort einer oder mehreren Gruppen hinzufügen.
Wählen Sie OK aus, um die neue Grenze zu speichern.
Konfigurieren einer Grenze
Tipp
Wenn Sie eine Grenze erstellen, Configuration Manager diese automatisch basierend auf dem Typ und dem Bereich der Grenze benennt. Sie können diesen Namen nicht ändern. Geben Sie eine Beschreibung an, um die Grenze in der Configuration Manager-Konsole zu identifizieren.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Hierarchiekonfiguration, und wählen Sie den Knoten Grenzen aus.
Wählen Sie die Grenze aus, die Sie ändern möchten. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Eigenschaftendie Option Eigenschaften aus.
Im Fenster Eigenschaften für die Grenze können Sie auf der Registerkarte Allgemein die folgenden Einstellungen konfigurieren:
- Bearbeiten der Beschreibung
- Ändern des Typs für die Grenze
- Ändern Sie den Bereich einer Grenze, indem Sie deren Netzwerkstandorte bearbeiten. Für eine Active Directory-Standortgrenze können Sie beispielsweise einen neuen Active Directory-Standortnamen angeben.
Um die Standortsysteme anzuzeigen, die dieser Grenze zugeordnet sind, wechseln Sie zur Registerkarte Standortsysteme . Sie können diese Konfiguration nicht über die Eigenschaften einer Grenze ändern.
Tipp
Damit ein Server als Standortsystem für eine Grenze aufgeführt wird, ordnen Sie ihn als Standortsystemserver für mindestens eine Begrenzungsgruppe zu, die diese Grenze enthält. Nehmen Sie diese Konfiguration auf der Registerkarte Verweise einer Begrenzungsgruppe vor. Weitere Informationen finden Sie unter Konfigurieren der Standortzuweisung und Auswählen von Standortsystemservern.
Um die Begrenzungsgruppenmitgliedschaft für diese Grenze zu ändern, wählen Sie die Registerkarte Begrenzungsgruppen aus :
Um diese Grenze einer oder mehreren Begrenzungsgruppen hinzuzufügen, wählen Sie Hinzufügen aus. Wählen Sie eine oder mehrere Begrenzungsgruppen und dann OK aus.
Um diese Grenze aus einer Begrenzungsgruppe zu entfernen, wählen Sie die Begrenzungsgruppe und dann Entfernen aus.
Wählen Sie OK aus, um die Begrenzungseigenschaften zu schließen und die Konfiguration zu speichern.
Nächste Schritte
Jede Grenze steht für jeden Standort in Ihrer Hierarchie zur Verfügung. Nachdem Sie eine Grenze erstellt haben, fügen Sie die Grenze einer oder mehreren Begrenzungsgruppen hinzu.