Eventi
19 nov, 23 - 21 nov, 23
Acquisire competenze su richiesta con sessioni online progettate per soddisfare le sfide del settore in Microsoft Ignite.
Iscriviti subitoQuesto browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Si applica a: Configuration Manager (Current Branch)
Per usare correttamente ed efficientemente l'individuazione per Configuration Manager, è necessario considerare quali metodi usare e in quali siti eseguirli.
Poiché l'individuazione può generare un volume elevato di traffico di rete e i record di dati di individuazione risultanti (DDR) possono usare risorse CPU significative durante l'elaborazione, usare solo i metodi di individuazione necessari per soddisfare gli obiettivi. È possibile iniziare usando solo uno o due metodi di individuazione e quindi abilitare metodi aggiuntivi in modo controllato per estendere il livello di individuazione nell'ambiente. Le informazioni in questo argomento consentono di prendere decisioni informate.
Per informazioni sui diversi metodi di individuazione, vedere Informazioni sui metodi di individuazione per Configuration Manager.
Per individuare potenziali Configuration Manager computer client o risorse utente, è necessario abilitare i metodi di individuazione appropriati. È possibile usare diverse combinazioni di metodi di individuazione per individuare risorse diverse e per individuare informazioni aggiuntive su tali risorse. I metodi di individuazione usati determinano il tipo di risorse individuate e quali Configuration Manager servizi e agenti vengono usati nel processo di individuazione. Determinano anche il tipo di informazioni sulle risorse che è possibile individuare.
Quando si desidera individuare i computer, è possibile usare Individuazione sistema Active Directory o Individuazione rete.
Ad esempio, se si vogliono individuare le risorse che possono installare il client Configuration Manager prima di usare l'installazione push client, è possibile eseguire Individuazione sistema Active Directory. Usando questo metodo, non solo si individua la risorsa, ma si individuano anche informazioni di base anche informazioni estese su di essa da Active Directory Domain Services. Queste informazioni potrebbero essere utili per la creazione di query e raccolte complesse da usare per l'assegnazione di impostazioni client o la distribuzione di contenuto.
In alternativa, è possibile eseguire l'individuazione di rete e usare le relative opzioni per individuare il sistema operativo delle risorse (necessario per usare l'installazione push client in un secondo momento). L'individuazione di rete fornisce informazioni sulla topologia di rete che non è possibile acquisire con altri metodi di individuazione. Questo metodo, tuttavia, non fornisce alcuna informazione sull'ambiente Active Directory.
Esiste anche un metodo denominato Heartbeat Discovery. È possibile usare solo l'individuazione heartbeat per forzare l'individuazione dei client installati da metodi diversi dall'installazione push client. Tuttavia, a differenza di altri metodi di individuazione, l'individuazione heartbeat non è in grado di individuare i computer che non dispongono di un client Configuration Manager attivo. Restituisce un set limitato di informazioni, destinato a mantenere un record di database esistente anziché essere la base di tale record. Le informazioni inviate da Heartbeat Discovery potrebbero non essere sufficienti per compilare raccolte o query complesse.
Se si usa Individuazione gruppo di Active Directory per individuare l'appartenenza a un gruppo specificato, è possibile individuare informazioni limitate sul sistema o sul computer. Questo non sostituisce un'individuazione completa dei computer, ma può fornire informazioni di base. Queste informazioni non sono sufficienti per l'installazione push client.
Per individuare informazioni sugli utenti, usare Individuazione utenti di Active Directory. Analogamente a Active Directory System Discovery, questo metodo individua gli utenti da Active Directory. Include informazioni di base, oltre alle informazioni estese di Active Directory. È possibile usare queste informazioni per compilare query e raccolte complesse simili a quelle per i computer.
Per individuare informazioni sui gruppi e le appartenenze ai gruppi, usare Individuazione gruppi di Active Directory. Questo metodo di individuazione crea record di risorse per i gruppi di sicurezza.
È possibile utilizzare questo metodo per eseguire ricerche in un gruppo di Active Directory specifico per identificare i membri di tale gruppo, oltre a tutti i gruppi annidati all'interno di tale gruppo. È anche possibile usare questo metodo per cercare gruppi in un percorso di Active Directory e cercare in modo ricorsivo ogni contenitore figlio di tale posizione in Active Directory Domain Services.
Questo metodo di individuazione può anche cercare l'appartenenza ai gruppi di distribuzione. In questo modo è possibile identificare le relazioni di gruppo tra utenti e computer.
Quando si individua un gruppo, è anche possibile individuare informazioni limitate sui relativi membri. Questo non sostituisce il sistema Active Directory o i metodi di individuazione utente, tuttavia. In genere non è sufficiente compilare query e raccolte complesse o fungere da base per un'installazione push client.
Esistono due metodi che è possibile usare per individuare l'infrastruttura di rete, ovvero Individuazione foresta Active Directory e Individuazione rete.
Usare Individuazione foresta Active Directory per cercare informazioni sulle subnet e le configurazioni del sito di Active Directory in una foresta di Active Directory. Queste configurazioni possono quindi essere immesse automaticamente in Configuration Manager come posizioni dei limiti.
Per individuare la topologia di rete, usare Individuazione rete. Anche se altri metodi di individuazione restituiscono informazioni relative a Active Directory Domain Services e possono identificare il percorso di rete corrente di un client, non forniscono informazioni sull'infrastruttura in base alle subnet e alla topologia del router della rete.
Dopo Configuration Manager aggiunge i dati di individuazione a un database, vengono condivisi rapidamente tra tutti i siti della gerarchia. Poiché in genere non esiste alcun vantaggio nell'individuazione delle stesse informazioni in più siti nella gerarchia, è consigliabile configurare una singola istanza di ogni metodo di individuazione usato per l'esecuzione in un singolo sito. È consigliabile eseguire questa operazione invece di eseguire più istanze di un singolo metodo in siti diversi.
Tuttavia, per alcuni ambienti potrebbe essere utile assegnare lo stesso metodo di individuazione da eseguire in più siti, ognuno con una configurazione e una pianificazione separate. Ad esempio, quando si usa Individuazione rete, è possibile indirizzare ogni sito all'individuazione della rete locale, invece di tentare di individuare tutte le posizioni di rete in una rete WAN.
Se si configurano più istanze degli stessi metodi di individuazione per l'esecuzione in siti diversi, pianificare attentamente la configurazione di ogni sito. Si vuole evitare che due o più siti scoprano le stesse risorse dalla rete o da Active Directory. In questo modo è possibile utilizzare larghezza di banda di rete aggiuntiva e creare DDR duplicati.
La tabella seguente identifica i siti in cui è possibile configurare i diversi metodi di individuazione.
Metodo di individuazione | Percorsi supportati |
---|---|
Individuazione foresta Active Directory | Sito di amministrazione centrale Sito primario |
Individuazione gruppo di Active Directory | Sito primario |
Individuazione sistema Active Directory | Sito primario |
Individuazione utente di Active Directory | Sito primario |
Individuazione heartbeat1 | Sito primario |
Individuazione di rete | Sito primario Sito secondario |
1 I siti secondari non possono configurare l'individuazione heartbeat, ma possono ricevere il DDR heartbeat da un client.
Quando i siti secondari eseguono l'individuazione di rete o ricevono DDR di individuazione heartbeat, trasferiscono il DDR dalla replica basata su file al sito primario padre. Questo perché solo i siti primari e i siti di amministrazione centrale possono elaborare le richieste DDR. Per altre informazioni sull'elaborazione delle DDR, vedere Informazioni sui record di dati di individuazione.
Poiché ogni server del sito e l'ambiente di rete sono diversi, è consigliabile limitare le configurazioni iniziali per l'individuazione. Monitorare quindi attentamente ogni server del sito per la capacità di elaborare i dati di individuazione generati.
Quando si usa un metodo di individuazione di Active Directory per sistemi, utenti o gruppi:
Eseguire l'individuazione in un sito con una connessione di rete veloce ai controller di dominio.
Considerare la topologia di replica di Active Directory per assicurarsi che l'individuazione possa accedere alle informazioni più recenti.
Considerare l'ambito della configurazione di individuazione e limitare l'individuazione solo ai percorsi e ai gruppi di Active Directory che è necessario individuare.
Se si usa l'individuazione di rete:
Usare una configurazione iniziale limitata per identificare la topografia di rete.
Dopo aver identificato la topografia di rete, configurare l'individuazione di rete per l'esecuzione in siti specifici che sono centrali per le aree di rete che si desidera individuare in modo più completo.
Poiché l'individuazione heartbeat non viene eseguita in un sito specifico, non è necessario considerarlo nella pianificazione generale per la posizione in cui eseguire l'individuazione.
Per ottenere risultati ottimali con l'individuazione, è consigliabile quanto segue:
Eseguire Individuazione sistema Active Directory e Individuazione utente active directory prima di eseguire l'individuazione del gruppo di Active Directory.
Quando Individuazione gruppo di Active Directory identifica un utente o un computer non individuato in precedenza come membro di un gruppo, tenta di individuare i dettagli di base per l'utente o il computer. Poiché l'individuazione del gruppo di Active Directory non è ottimizzata per questo tipo di individuazione, questo processo può causarne l'esecuzione lenta. L'individuazione gruppo di Active Directory identifica inoltre solo i dettagli di base relativi agli utenti e ai computer individuati e non crea un record di individuazione completo dell'utente o del computer. Quando si esegue Individuazione sistema Active Directory e Individuazione utenti di Active Directory, sono disponibili gli attributi aggiuntivi di Active Directory per ogni tipo di oggetto. Di conseguenza, l'individuazione del gruppo di Active Directory viene eseguita in modo più efficiente.
Quando si configura l'individuazione gruppo di Active Directory, specificare solo i gruppi usati con Configuration Manager.
Per controllare l'uso delle risorse da parte dell'individuazione gruppo di Active Directory, specificare solo i gruppi usati con Configuration Manager. Questo avviene perché Individuazione gruppo Active Directory cerca in modo ricorsivo ogni gruppo individuato per utenti, computer e gruppi annidati. La ricerca di ogni gruppo annidato può espandere l'ambito dell'individuazione gruppo di Active Directory e ridurre le prestazioni. Inoltre, quando si configura l'individuazione differenziale per l'individuazione del gruppo di Active Directory, il metodo di individuazione monitora ogni gruppo per le modifiche. In questo modo si riducono ulteriormente le prestazioni quando il metodo deve eseguire ricerche in gruppi non necessari.
Configurare i metodi di individuazione con un intervallo più lungo tra l'individuazione completa e un periodo più frequente di individuazione differenziale.
Poiché l'individuazione differenziale usa meno risorse rispetto a un ciclo di individuazione completo e può identificare risorse nuove o modificate in Active Directory, è possibile ridurre la frequenza dei cicli di individuazione completi da eseguire settimanalmente (o meno). L'individuazione differenziale per Active Directory System Discovery, Active Directory User Discovery e Active Directory Group Discovery identifica quasi tutte le modifiche degli oggetti Active Directory e può mantenere dati di individuazione accurati per le risorse.
Eseguire i metodi di individuazione di Active Directory in un sito primario con un percorso di rete più vicino al controller di dominio active directory.
Per migliorare le prestazioni dell'individuazione di Active Directory, è consigliabile eseguire l'individuazione in un sito primario con una connessione di rete veloce ai controller di dominio. Se si esegue lo stesso metodo di individuazione di Active Directory in più siti, configurare ogni metodo di individuazione per evitare sovrapposizioni. A differenza delle versioni precedenti di Configuration Manager, i dati di individuazione vengono condivisi tra i siti. Pertanto, non è necessario individuare le stesse informazioni in più siti. Per altre informazioni, vedere Dati di individuazione condivisi tra siti.
Eseguire Individuazione foresta Active Directory in un solo sito quando si prevede di creare automaticamente limiti dai dati di individuazione.
Se si esegue Individuazione foresta Active Directory in più di un sito in una gerarchia, è consigliabile abilitare solo le opzioni per creare automaticamente limiti in un singolo sito. Questo perché quando l'individuazione foresta active directory viene eseguita in ogni sito e crea limiti, Configuration Manager non può unire tali limiti in un singolo oggetto limite. Quando si configura l'individuazione foresta di Active Directory per creare automaticamente limiti in più siti, il risultato può essere oggetti limite duplicati nella console di Configuration Manager.
Eventi
19 nov, 23 - 21 nov, 23
Acquisire competenze su richiesta con sessioni online progettate per soddisfare le sfide del settore in Microsoft Ignite.
Iscriviti subito