Pianificazione dell'individuazione in Configuration Manager
Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
L'individuazione di System Center 2012 Configuration Manager identifica risorse computer e utente che è possibile gestire con Configuration Manager. Inoltre è possibile rilevare l'infrastruttura di rete nel relativo ambiente. L'individuazione crea un record dei dati di individuazione (DDR) per ciascun oggetto rilevato e memorizza queste informazioni nel database di Configuration Manager.
Quando l'individuazione di una risorsa ha esito positivo, inserisce le informazioni sulla risorsa in un file che viene detto record dei dati di individuazione (DDR). I DDR vengono a loro volta elaborati dai server del sito e immessi nel database di Configuration Manager dove vengono quindi replicati dalla replica di database con tutti i siti. La replica rende disponibili i dati di individuazione in ogni sito della gerarchia, indipendentemente da dove siano stati individuati o elaborati.
È possibile utilizzare le informazioni di individuazione per creare query e raccolte personalizzate che raggruppino in modo logico le risorse per attività di gestione, come l'assegnazione di impostazioni client personalizzate e distribuzioni software. È necessario rilevare i computer prima di poter utilizzare l'installazione push client per installare il client di Configuration Manager sui dispositivi.
Utilizzare le seguenti sezioni per la pianificazione dell'individuazione in Configuration Manager:
Metodi di individuazione in Configuration Manager
Decidere i metodi di rilevamento da utilizzare
Informazioni sui metodi di individuazione sistema, utente e gruppo Active Directory
Opzioni di individuazione condivise
Individuazione sistema Active Directory
individuazione utenti di Active Directory
Individuazione gruppo Active Directory
Informazioni sull'individuazione foresta Active Directory
Informazioni sull'individuazione differenziale
Informazioni sull'individuazione heartbeat
Informazioni sull'individuazione di rete
Informazioni sui record dei dati di individuazione
Decidere dove eseguire l'individuazione
Procedure consigliate per l'individuazione
Novità di Configuration Manager
Nota
Le informazioni contenute in questa sezione appaiono anche in nella Guida Introduzione a System Center 2012 Configuration Manager.
System Center 2012 Configuration Manager introduce le seguenti modifiche per l'individuazione:
Ciascun record dei dati di individuazione viene elaborato e immesso nel database solo una volta, in un sito primario o in un sito di amministrazione centrale, quindi viene eliminato senza ulteriori elaborazioni.
Le informazioni sull'individuazione immesse nel database in un sito vengono condivise su ciascun sito della gerarchia utilizzando la replica di database di Configuration Manager.
L'individuazione foresta Active Directory è un nuovo metodo di individuazione che è in grado di individuare subnet e siti di Active Directory e li può aggiungere come limiti per la gerarchia.
L'individuazione gruppo di sistema Active Directory è stata rimossa.
L'individuazione gruppo di protezione Active Directory viene rinominata per l'individuazione gruppo Active Directory e individua l'appartenenza ai gruppi delle risorse.
L'individuazione sistema Active Directory e l'individuazione gruppo Active Directory supportano opzioni che filtrano i record del computer non aggiornati dall'individuazione.
L'individuazione sistema, utente e gruppo Active Directory supporta l'individuazione delta Active Directory. L'individuazione delta è migliorata da Configuration Manager 2007 R3 e ora è in grado di individuare quando i computer o gli utenti vengono aggiunti o rimossi da un gruppo.
Metodi di individuazione in Configuration Manager
Prima di abilitare metodi di individuazione per Configuration Manager, assicurarsi di comprendere che cosa ciascun metodo sia in grado di individuare. Poiché l'individuazione può generare un grosso volume di traffico di rete e i DDR risultanti possono causare un utilizzo significativo di risorse CPU durante l'elaborazione, pianificare di utilizzare solo i metodi di individuazione necessari per soddisfare gli obiettivi. Si potrebbero utilizzare solo uno o due metodi di individuazione che abbiano esito positivo ed è possibile sempre abilitare metodi aggiuntivi in modo controllato per estendere il livello di individuazione nel relativo ambiente.
Utilizzare la tabella riportata di seguito per pianificare ciascuno dei sei metodi di individuazione configurabili.
Metodo di individuazione |
Abilitato per impostazione predefinita |
Account che eseguono l'individuazione |
Altre informazioni |
---|---|---|---|
Individuazione foresta Active Directory |
No |
Account individuazione foresta Active Directory o account computer del server del sito |
|
Individuazione sistema Active Directory |
No |
Account individuazione sistema Active Directory o account computer del server del sito |
|
individuazione utenti di Active Directory |
No |
Account individuazione utente Active Directory o account computer del server del sito |
|
Individuazione gruppo Active Directory |
No |
Account individuazione gruppo Active Directory o account computer del server del sito |
|
Individuazione heartbeat |
Sì |
Account computer del client |
|
Individuazione rete |
No |
Account computer del server del sito |
|
Tutti i metodi di individuazione configurabili supportano una pianificazione per l'esecuzione dell'individuazione. Con l'eccezione dell'individuazione heartbeat, è possibile configurare ciascun metodo per effettuare in specifici percorsi la ricerca di risorse da aggiungere al database di Configuration Manager. Dopo l'esecuzione dell'individuazione, è possibile modificare i percorsi in cui un metodo di individuazione effettua la ricerca. Durante l'esecuzione dell'individuazione successiva viene effettuata la ricerca in questi nuovi percorsi. Tuttavia, l'esecuzione successiva del metodo di individuazione non è limitata ai nuovi percorsi e tenta sempre di individuare le informazioni da tutti i percorsi di configurazione correnti.
L'individuazione heartbeat è il solo metodo di individuazione abilitato per impostazione predefinita. Per mantenere il record del database dei client di Configuration Manager, non disabilitare l'individuazione heartbeat.
Oltre a questi metodi di individuazione, Configuration Manager utilizza anche un processo denominato individuazione server (SMS_WINNT_SERVER_DISCOVERY_AGENT). Questo metodo di individuazione consente di creare record di risorse per i computer che sono sistemi del sito, ad esempio un computer configurato come un punto di gestione. Questo metodo di individuazione viene eseguito ogni giorno e non è configurabile.
Decidere i metodi di rilevamento da utilizzare
Per individuare potenziali computer client o risorse utente di Configuration Manager, è necessario abilitare i metodi di individuazione appropriati. È possibile utilizzare diverse combinazioni di metodi di individuazione per individuare risorse diverse e per scoprire ulteriori informazioni su tali risorse. I metodi di individuazione utilizzati determinano il tipo di risorse che viene individuato e quali servizi e agenti di Configuration Manager vengono utilizzati nel processo di individuazione. È inoltre possibile determinare il tipo di informazioni sulle risorse che è possibile individuare.
Individuazione computer
Quando si desidera individuare dei computer, è possibile usare l'individuazione sistema o l'individuazione di rete Active Directory.
Ad esempio, se si desidera individuare risorse che possano installare il client di Configuration Manager prima di utilizzare l'installazione push client, si potrebbe eseguire l'individuazione sistema Active Directory. In alternativa, si potrebbe eseguire l'individuazione di rete e utilizzare le relative opzioni per individuare il sistema operativo delle risorse (necessario per utilizzare in seguito l'installazione push client). Tuttavia, utilizzando l'individuazione sistema Active Directory, non solo si individua la risorsa, ma informazioni di base ed estese relative a essa dai Servizi di dominio Active Directory. Tali informazioni potrebbero essere utili nella creazione di query e raccolte complesse da utilizzare per l'assegnazione di impostazioni client o distribuzione di contenuto. L'individuazione di rete, d'altro canto, fornisce informazioni sulla topologia di rete che non si è in grado di acquisire con altri mezzi di individuazione, ma non fornisce informazioni sull'ambiente di Active Directory.
È anche possibile utilizzare solo l'individuazione heartbeat per forzare l'individuazione di client installati da metodi diversi dall'installazione push client. Tuttavia, diversamente da altri metodi di individuazione, l'individuazione heartbeat non può individuare computer che non hanno un client attivo di Configuration Manager e restituisce un set limitato di informazioni. È progettato per mantenere un record del database esistente e non per essere la base di tale record. Le informazioni fornite dall'individuazione heartbeat potrebbero non essere sufficienti per creare query o raccolte complesse.
Se si utilizza l'individuazione gruppo Active Directory per individuare l'appartenenza di un gruppo specifico, è possibile individuare informazioni limitate sul sistema o sul computer. Ciò non sostituisce un'individuazione completa di computer, ma può fornire informazioni di base. Tali informazioni sono insufficienti per l'installazione push client.
Individuazione utenti
Quando si desidera individuare informazioni sugli utenti, è possibile usare l'individuazione utente Active Directory. Simile all'individuazione sistema Active Directory, questo metodo individua gli utenti da Active Directory e include informazioni di base oltre alle informazioni Active Directory estese. È possibile utilizzare queste informazioni per creare query e raccolte complesse simili a quelle per i computer.
Individuazione informazioni di gruppo
Quando si desidera individuare informazioni sui gruppi e le appartenenze ai gruppi, usare l'individuazione gruppo Active Directory. Questo metodo di individuazione consente di creare record di risorse per i gruppi di protezione.
È possibile utilizzare questo metodo per effettuare la ricerca di un gruppo Active Directory specifico per individuare i membri di tale gruppo oltre a tutti gli eventuali gruppi inclusi in quel gruppo. È anche possibile utilizzare questo metodo per effettuare la ricerca di gruppi in un percorso Active Directory e una ricerca ricorsiva di ogni contenitore figlio di tale percorso nei Servizi di dominio Active Directory.
Questo metodo di individuazione può inoltre effettuare la ricerca dell'appartenenza di gruppi di distribuzione. Ciò consente di identificare le relazioni di gruppo di utenti e computer.
Quando si individua un gruppo, è inoltre possibile individuare informazioni limitate sui relativi membri. Ciò non sostituisce l'individuazione sistema o utente di Active Directory e in genere non è sufficiente per creare query e raccolte complesse o servire da base dell'installazione push client.
Individuazione infrastruttura
Esistono due metodi che si possono usare per individuare l'infrastruttura di rete, l'individuazione foresta e l'individuazione di rete Active Directory.
È possibile utilizzare l'individuazione foresta di Active Directory per effettuare la ricerca in una foresta Active Directory di informazioni sulle subnet e le configurazioni del sito di Active Directory. Queste configurazioni possono essere quindi immesse automaticamente in Configuration Manager come percorsi di limite.
Quando si desidera individuare la topologia di rete, utilizzare l'individuazione di rete. Mentre altri metodi di individuazione restituiscono informazioni relative ai Servizi di dominio Active Directory e possono individuare il percorso di rete corrente di un client, non forniscono informazioni sull'infrastruttura basate sulle subnet e la topologia del router della rete.
Informazioni sui metodi di individuazione sistema, utente e gruppo Active Directory
Questa sezione contiene informazioni sui metodi di individuazione seguenti:
Individuazione sistema Active Directory
individuazione utenti di Active Directory
Individuazione gruppo Active Directory
Nota
Le informazioni contenute in questa sezione non si applicano all'individuazione foresta Active Directory.
Questi tre metodi di individuazione sono simili per configurazione e funzionamento e possono individuare computer, utenti e informazioni sulle appartenenze al gruppo di risorse memorizzate nei Servizi di dominio Active Directory. Il processo di individuazione è gestito da un agente di individuazione in esecuzione sul server del sito su ogni sito in cui l'individuazione è configurata per l'esecuzione. È possibile configurare ciascuno di questi metodi di individuazione per effettuare la ricerca in uno o più percorsi di Active Directory. come le istanze di percorso nella foresta locale o nelle foreste remote.
Quando l'individuazione effettua la ricerca di risorse in una foresta non trusted, l'agente di individuazione deve essere in grado di risolvere quanto segue per avere esito positivo:
Per individuare una risorsa del computer con l'individuazione sistema Active Directory, l'agente di individuazione deve essere in grado di risolvere l'FQDN della risorsa. Se l'agente di individuazione non è in grado di risolvere l'FQDN, tenterà quindi di risolvere la risorsa con il nome NetBIOS.
Per individuare una risorsa utente o gruppo con l'individuazione utente o gruppo Active Directory, l'agente di individuazione deve essere in grado di risolvere l'FQDN del nome del controller di dominio che si specifica nel percorso Active Directory.
Per ciascuna istanza di percorso specificata, è possibile configurare opzioni di ricerca individuali, come l'abilitazione di una ricerca ricorsiva dei contenitori figlio Active Directory dei percorsi. È inoltre possibile configurare un account univoco da utilizzare durante la ricerca in tale istanza di percorso. Ciò fornisce flessibilità nella configurazione di un metodo di individuazione in un sito per effettuare la ricerca in più percorsi Active Directory in più foreste, senza dover configurare un account singolo che disponga di autorizzazioni per tutti i percorsi.
Quando ciascuno di questi tre metodi di individuazione viene eseguito su un sito specifico, il server del sito di Configuration Manager in tale sito contatta il controllo di dominio più vicino nella foresta Active Directory specificata per individuare le risorse Active Directory. Il dominio e la foresta possono trovarsi in qualsiasi modalità Active Directory supportata e l'account che si assegna a ciascuna istanza di percorso deve avere l'autorizzazione di accesso di Lettura ai percorsi Active Directory specificati. L'individuazione effettua la ricerca degli oggetti nei percorsi specificati, quindi tenta di raccogliere informazioni relative a tali oggetti. Viene creato un DDR quando possono essere individuate sufficienti informazioni su una risorsa. Le informazioni richieste variano a seconda del metodo di individuazione utilizzato.
Se si configura lo stesso metodo di individuazione per l'esecuzione su diversi siti di Configuration Manager per usufruire del vantaggio di eseguire la query dei server locali Active Directory, è possibile configurare ciascun sito con un unico insieme di opzioni di individuazione. Poiché i dati di individuazione vengono condivisi con ogni sito della gerarchia, evitare la sovrapposizione tra tali configurazioni per individuare in modo efficiente ogni risorsa una volta sola. Per ambiente più piccoli, si potrebbe prendere in considerazione l'esecuzione di ciascun metodo di individuazione su un solo sito della gerarchia per ridurre il carico amministrativo e la possibilità che più azioni di individuazione individuino di nuovo le stesse risorse. Quando si riduce al minimo il numero di siti che eseguono l'individuazione, è possibile ridurre la larghezza di banda di rete complessiva utilizzata dall'individuazione, nonché il numero totale di DDR che vengono creati e devono essere elaborati dai server del sito.
Molte delle configurazioni del metodo di individuazione sono di chiara interpretazione Utilizzare le sezioni seguenti per ulteriori informazioni sulle opzioni di individuazione che potrebbe richiedere informazioni aggiuntive prima di essere configurate.
Opzioni di individuazione condivise
Nella tabella seguente vengono identificate le opzioni di configurazione disponibili per più metodi di individuazione di Active Directory.
Chiave: |
√ = Supportata |
Ø = Non supportata |
Opzione di individuazione |
Individuazione sistema Active Directory |
individuazione utenti di Active Directory |
Individuazione gruppo Active Directory |
Dettagli |
||
---|---|---|---|---|---|---|
Individuazione delta |
√ |
√ |
√ |
L'individuazione differenziale è una delle opzioni disponibili per tutti i metodi di rilevamento di Active Directory. Fa eccezione soltanto l'individuazione foresta di Active Directory.Configuration Manager può usare l'individuazione differenziale per cercare in Servizi di dominio Active Directory gli attributi specifici che sono stati modificati in seguito all'ultimo cicli di individuazione completa relativo al metodo di rilevazione. È possibile configurare un intervallo breve per l'individuazione delta per effettuare la ricerca di nuove risorse perché la sola individuazione di nuove risorse non influisce sulle prestazioni del server del sito in modo determinante come un intero ciclo di individuazione. L'individuazione delta è in grado di rilevare i seguenti nuovi tipi di risorse:
L'individuazione delta non può eseguire l'individuazione se una risorsa è stata eliminata dai Servizi di dominio Active Directory. È necessario eseguire un ciclo di individuazione completo per individuare tale modifica. I DDR per gli oggetti individuati dall'individuazione differenziale vengono elaborati in modo analogo rispetto ai DDR creati da un ciclo di individuazione completa. Configurare l'individuazione differenziale nella scheda Pianificazione del polling delle proprietà di ciascun metodo di individuazione. |
||
Filtrare i record del computer non aggiornati per accesso al dominio |
√ |
Ø |
√ |
È possibile configurare l'individuazione per escludere l'individuazione dei record dei computer non aggiornati in base all'ultimo accesso al dominio del computer. Quando è abilitata questa opzione, l'individuazione sistema Active Directory valuta ogni computer identificato. L'individuazione gruppo Active Directory valuta ogni computer membro di un gruppo rilevato. L'utilizzo di questa opzione richiede quanto segue:
Quando si configura l'orario dopo l'ultimo accesso, prendere in considerazione l'intervallo per la replica tra i controller di dominio. È possibile configurare il filtro nella scheda Opzioni nelle finestre di dialogo Proprietà individuazione sistema Active Directory e Proprietà individuazione gruppo Active Directory selezionando l'opzione Individua solo computer che hanno effettuato l'accesso a un dominio in un periodo di tempo specifico.
|
||
Filtrare i record non aggiornati per password del computer |
√ |
Ø |
√ |
È possibile configurare l'individuazione per escludere l'individuazione dei record dei computer non aggiornati in base all'ultimo aggiornamento della password dell'account computer da parte del computer. Quando è abilitata questa opzione, l'individuazione sistema Active Directory valuta ogni computer identificato. L'individuazione gruppo Active Directory valuta ogni computer membro di un gruppo rilevato. L'utilizzo di questa opzione richiede quanto segue:
Durante la configurazione di questa opzione, si prenda in considerazione l'intervallo di aggiornamento a questo attributo oltre all'intervallo di replica tra i controller di dominio. È possibile configurare il filtro nella scheda Opzioni nelle finestre di dialogo Proprietà individuazione sistema Active Directory e Proprietà individuazione gruppo Active Directory selezionando l'opzione Individua solo computer che hanno aggiornato la password dell'account computer in un periodo di tempo specifico.
|
||
Ricerca di attributi di Active Directory personalizzati |
√ |
√ |
Ø |
Ogni metodo di individuazione supporta un elenco univoco di attributi che possono essere rilevati. È possibile configurare gli attributi di Active Directory personalizzati nella scheda Attributi di Active Directory nelle finestre di dialogo Proprietà individuazione sistema Active Directory e Proprietà individuazione utente Active Directory. |
Individuazione sistema Active Directory
Utilizzare l'individuazione sistema Active Directory di Configuration Manager per effettuare la ricerca di risorse computer che possano essere utilizzate per creare raccolte e query nei percorsi specificati dei Servizi di dominio Active Directory. È quindi possibile installare il client nei computer individuati utilizzando l'installazione push client. Per creare correttamente un record dei dati di individuazione (DDR) per un computer, l'individuazione sistema Active Directory deve essere in grado di identificare l'account computer e di risolvere correttamente il nome del computer in un indirizzo IP.
Per impostazione predefinita, l'individuazione sistema Active Directory individua informazioni di base relative al computer tra cui:
Nome computer
Il sistema operativo e la sua versione
Il nome del contenitore Active Directory
Indirizzo IP
Sito di Active Directory
Il timestamp dell'ultimo accesso
Oltre alle informazioni di base, è possibile configurare l'individuazione di attributi estesi dai Servizi di dominio Active Directory.
È possibile visualizzare l'elenco predefinito di attributi oggetto restituiti dall'individuazione sistema Active Directory e configurare attributi aggiuntivi affinché vengano individuati nella finestra di dialogo Proprietà individuazione sistema Active Directory nella scheda Attributi di Active Directory.
Per altre informazioni su come configurare il metodo di individuazione, vedere Configurare l'individuazione Active Directory per computer, utenti o gruppi.
Le azioni dell'individuazione sistema Active Directory vengono registrate nel file adsysdis.log nella cartella <InstallationPath>\LOGS del server del sito.
individuazione utenti di Active Directory
Utilizzare l'individuazione utente Active Directory di Configuration Manager per effettuare la ricerca nei Servizi di dominio Active Directory e identificare account utente e attributi associati.
È possibile visualizzare l'elenco predefinito di attributi oggetto restituiti dall'individuazione utente Active Directory e configurare attributi aggiuntivi affinché vengano individuati nella finestra di dialogo Proprietà individuazione utente Active Directory nella scheda Attributi di Active Directory.
Per impostazione predefinita, l'individuazione utente Active Directory individua informazioni di base relative all'account utente tra cui:
Nome utente
Il nome utente univoco (include il nome di dominio)
Dominio
I nomi dei contenitori Active Directory
Oltre alle informazioni di base, è possibile configurare l'individuazione di attributi estesi dai Servizi di dominio Active Directory.
Per altre informazioni su come configurare il metodo di individuazione, vedere Configurare l'individuazione Active Directory per computer, utenti o gruppi.
Le azioni dell'individuazione utente Active Directory vengono registrate nel file adusrdis.log nella cartella <InstallationPath>\LOGS del server del sito.
Individuazione gruppo Active Directory
Utilizzare l'individuazione gruppo Active Directory di Configuration Manager per effettuare la ricerca nei Servizi di dominio Active Directory e identificare l'appartenenza al gruppo di computer e utenti.
Questo metodo di individuazione effettua la ricerca di un ambito di individuazione che si configura, quindi identifica l'appartenenza al gruppo di risorse in tale ambito di individuazione. Per impostazione predefinita, vengono individuati solo i gruppi di protezione. Tuttavia, è possibile individuare l'appartenenza di gruppi di distribuzione quando si seleziona la casella di controllo per l'opzione Individua l'appartenenza dei gruppi di distribuzione nella scheda Opzione della finestra di dialogo Proprietà individuazione gruppo Active Directory.
Utilizzare l'individuazione gruppo Active Directory per individuare le seguenti informazioni:
Gruppi
Appartenenza di gruppi
Informazioni limitate sui computer e utenti di membri di gruppi, anche quando tali computer e utenti non sono stati precedentemente individuati da un altro metodo di individuazione
Questo metodo di individuazione ha lo scopo di identificare i gruppi e le relazioni di gruppo dei membri dei gruppi. Questo metodo di individuazione non supporta gli attributi estesi di Active Directory che possono essere identificati utilizzando l'individuazione sistema Active Directory o l'individuazione utente Active Directory. Poiché questo metodo di individuazione non è ottimizzato per l'individuazione di risorse computer e utente, eseguire tale metodo dopo aver eseguito l'individuazione sistema Active Directory o l'individuazione utente Active Directory. Infatti tale metodo di individuazione crea un DDR intero per i gruppi, ma un DDR limitato per computer e utenti che sono membri di gruppi.
È possibile configurare i seguenti ambiti di individuazione che controllano la modalità di ricerca delle informazioni dell'individuazione gruppo Active Directory:
Location: utilizzare un percorso se si desidera effettuare la ricerca di uno o più contenitori di Active Directory. Tale opzione dell'ambito supporta una ricerca ricorsiva dei contenitori di Active Directory specificati che effettua anche la ricerca di ciascun contenitore figlio all'interno del contenitore specificato. Questo processo continua finché non vengono più trovati contenitori figlio.
Gruppi: utilizzare i gruppi se si desidera effettuare la ricerca di uno o più gruppi Active Directory specifici. È possibile configurare il Dominio Active Directory per utilizzare il dominio e la foresta predefiniti oppure limitare la ricerca a un singolo controller di dominio. Inoltre, è possibile specificare uno o più gruppi in cui effettuare la ricerca. Se non si specifica almeno un gruppo, viene effettuata la ricerca in tutti i gruppi trovati nel percorso specificato del Dominio Active Directory.
Attenzione |
---|
Quando si configura un ambito di individuazione, selezionare solo i gruppi che è necessario individuare. Infatti, l'individuazione gruppo Active Directory tenta di individuare ogni membro di ciascun gruppo nell'ambito di individuazione. L'individuazione di gruppi di grandi dimensioni può richiedere un uso estensivo della larghezza di banda e di risorse Active Directory. |
Nota
È necessario eseguire l'individuazione sistema Active Directory o l'individuazione utente Active Directory per creare raccolte basate su attributi di Active Directory estesi e per garantire risultati di individuazione precisi per computer e utenti.
Per altre informazioni su come configurare il metodo di individuazione, vedere Configurare l'individuazione Active Directory per computer, utenti o gruppi.
Le azioni dell'individuazione gruppo Active Directory vengono registrate nel file adsgdis.log nella cartella <InstallationPath>\LOGS del server del sito.
Informazioni sull'individuazione foresta Active Directory
Utilizzare l'individuazione foresta Active Directory di Configuration Manager per individuare subnet IP e siti di Active Directory e aggiungerli a Configuration Manager come limiti.
A differenza di altri metodi di individuazione, l'individuazione foresta Active Directory non individua le risorse che è possibile gestire. Questo metodo individua invece percorsi di rete Active Directory e li può convertire in limiti da utilizzare in tutta la gerarchia.
Utilizzare l'individuazione foresta Active Directory per eseguire le operazioni seguenti:
Individuare subnet IP in una foresta Active Directory
Individuare siti di Active Directory in una foresta Active Directory
Aggiungere le subnet IP e i siti di Active Directory che vengono individuati come limiti in Configuration Manager
Pubblicare nei Servizi di dominio Active Directory di una foresta quando la pubblicazione in tale foresta è abilitata e l'account foresta Active Directory specificato dispone di autorizzazioni per quella foresta
Gestire l'individuazione foresta Active Directory nella console di Configuration Manager dai seguenti nodi in Configurazione della gerarchia nell'area di lavoro Amministrazione:
Metodi di individuazione: qui è possibile abilitare l'individuazione foresta Active Directory affinché venga eseguita nel sito di livello superiore della gerarchia. È inoltre possibile specificare una pianificazione semplice per l'esecuzione dell'individuazione e configurarla per creare automaticamente limiti dalle subnet IP e dai siti di Active Directory individuati. L'individuazione foresta Active Directory non può essere eseguita in un sito primario figlio o in un sito secondario.
Nota
Questo metodo di individuazione non supporta l'individuazione delta.
Foreste Active Directory: qui è possibile configurare le foreste Active Directory aggiuntive che si desidera individuare, specificare l'account da utilizzare come account foresta Active Directory per ciascuna foresta e configurare la pubblicazione in ciascun foresta. Inoltre, è possibile monitorare il processo di individuazione e aggiungere le subnet IP e i siti di Active Directory a Configuration Manager come limiti e membri di gruppi di limiti.
Quando la pubblicazione è abilitata per una foresta e lo schema di tale foresta viene esteso per Configuration Manager, vengono pubblicate le seguenti informazioni per ciascun sito abilitato per la pubblicazione in quella foresta Active Directory:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
Nota
I siti secondari usano sempre l'account computer del server del sito secondario per la pubblicazione in Active Directory. Se si desidera che i siti secondari pubblichino in Active Directory, verificare che l'account computer del server del sito secondario disponga delle autorizzazioni per la pubblicazione in Active Directory. Un sito secondario non è in grado di pubblicare dati in una foresta non trusted.
Suggerimento |
---|
Per configurare la pubblicazione per le foreste Active Directory per ogni sito della gerarchia, connettere la console di Configuration Manager al sito di livello superiore della gerarchia. La scheda Pubblicazione nella finestra di dialogo Proprietà di un sito di Active Directory è in grado di visualizzare esclusivamente il sito corrente e i relativi siti figlio. |
Attenzione |
---|
Quando l'opzione per la pubblicazione di un sito in una foresta Active Directory viene deselezionata, tutte le informazioni pubblicate precedentemente per il sito, compresi i ruoli del sistema del sito disponibili, vengono rimosse da Active Directory della foresta. |
L'individuazione foresta Active Directory viene eseguita nella foresta Active Directory locale, in tutte le foreste trusted e in ogni ulteriore foresta configurata nel nodo Foreste Active Directory della console di Configuration Manager.
Le azioni di individuazione foresta Active Directory vengono registrate nei seguenti log:
Tutte le azioni, comprese le azioni di eccezione relative alla pubblicazione, vengono registrate nel file ADForestDisc.Log della cartella InstallationPath>\Logs nel server del sito.
Le azioni di pubblicazione dell'individuazione foresta Active Directory vengono registrate in hman.log e sitecomp.log nella cartella <InstallationPath>\Logs del server del sito.
Informazioni sull'individuazione differenziale
L'individuazione differenziale non è un metodo di individuazione completa in Configuration Manager, bensì un'opzione disponibile per i metodi di individuazione sistema, utente e gruppo Active Directory. L'individuazione differenziale è in grado di individuare la maggior parte delle modifiche apportate a una risorsa individuata precedentemente in Active Directory e di utilizzare un numero inferiore di risorse rispetto a un ciclo di individuazione completa.
Se l'individuazione differenziale viene attivata per un metodo di individuazione, questo cerca in Servizi di dominio Active Directory attributi specifici che hanno subito variazioni dopo l'ultimo ciclo di individuazione completa del metodo di individuazione. Tali modifiche vengono inviate al database di Configuration Manager per aggiornare il record di individuazione delle risorse.
Per impostazione predefinita, l'individuazione differenziale viene eseguita in un ciclo da cinque minuti. Questo è dovuto all'utilizzo di un numero inferiore di risorse durante l'individuazione rispetto a un ciclo di individuazione completa e gli effetti sulle prestazioni del server del sito sono attenuati rispetto a quelli prodotti da un ciclo di individuazione completa. In caso di utilizzo dell'individuazione differenziale, è consigliabile valutare la riduzione della frequenza del ciclo di individuazione completa per tale metodo di individuazione.
L'individuazione differenziale è in grado di individuare le modifiche apportate agli oggetti Active Directory. Di seguito sono elencale le modifiche più comuni rilevate dall'individuazione differenziale:
Nuovi computer o utenti aggiunti ad Active Directory
Modifiche apportate alle informazioni utente e computer di base
Nuovi computer o utenti aggiunti a un gruppo
Computer o utenti rimossi da un gruppo
Modifiche apportate agli oggetti del gruppo di sistema
L'individuazione differenziale, sebbene sia in grado di individuare le nuove risorse e le modifiche apportate all'appartenenza al gruppo, non è in grado di individuare se una risorsa è stata eliminata da Servizi di dominio Active Directory.
I DDR per gli oggetti individuati dall'individuazione differenziale vengono elaborati in modo analogo rispetto ai DDR creati da un ciclo di individuazione completa.
Configurare l'individuazione differenziale nella scheda Pianificazione del polling delle proprietà di ciascun metodo di individuazione.
Informazioni sull'individuazione heartbeat
L'individuazione heartbeat è diversa dagli altri metodi di individuazione di Configuration Manager. Questo metodo è attivato per impostazione predefinita e viene eseguito in ciascun computer client per creare un record dei dati di individuazione (DDR). Per i client di dispositivi mobili, il DDR viene creato dal punto di gestione utilizzato dal client di dispositivi mobili.
L'individuazione heartbeat viene eseguita in base a una pianificazione configurata per tutti i client della gerarchia oppure, se richiamata manualmente, in un client specifico mediante l'esecuzione del Ciclo di recupero dati di rilevamento nella scheda Azione in un programma di Configuration Manager del client. Quando viene eseguita l'individuazione heartbeat, viene creato un record dei dati di individuazione (DDR) contenente le informazioni correnti del client, compreso il percorso di rete, il nome NetBIOS e i dettagli sullo stato operativo. Si tratta di un piccolo file di circa 1 KB che viene copiato in un punto di gestione e quindi elaborato da un sito primario. L'invio di un DDR dell'individuazione heartbeat è in grado di conservare il record di un client attivo nel database, nonché di forzare l'individuazione di un client attivo che potrebbe essere stato rimosso dal database o che è stato installato manualmente e non individuato da un altro metodo di individuazione.
L'individuazione heartbeat è l'unico metodo di individuazione in grado di fornire dettagli relativi allo stato di installazione client mediante l'aggiornamento dell'attributo client di una risorsa di sistema con il valore Sì. Per inviare il record dell'individuazione heartbeat, il computer client deve essere in grado di contattare un punto di gestione.
Nota
Con Configuration Manager SP1, il record dei dati dell'individuazione heartbeat include anche la versione dell'agente client.
La pianificazione predefinita per l'individuazione heartbeat è impostata per l'esecuzione ogni 7 giorni. Se viene modificato l'intervallo di individuazione heartbeat, verificare che l'esecuzione sia più frequente rispetto all'attività di manutenzione del sito Elimina dati di individuazione obsoleti, che consente di eliminare i record client inattivi dal database del sito. È possibile configurare l'attività Elimina dati di individuazione obsoleti solo per i siti primari.
Nota
Anche se l'individuazione heartbeat è disattivata, i DDR vengono comunque creati e inviati per i client di dispositivi mobili attivi. In questo modo, l'attività Elimina dati di individuazione obsoleti non influisce sui dispositivi mobili attivi. Quando l'attività Elimina dati di individuazione obsoleti elimina un record di database per un dispositivo mobile, viene revocato il certificato del dispositivo e viene bloccata la connessione del dispositivo mobile ai punti di gestione.
Le azioni dell'individuazione heartbeat vengono registrate nei seguenti percorsi:
Per i client computer, le azioni dell'individuazione heartbeat vengono registrate nel client nel file InventoryAgent.log della cartella %Windir%\CCM\Logs.
Per i dispositivi mobili, le azioni dell'individuazione heartbeat vengono registrate nel file DMPRP.log della cartella %Program Files%\CCM\Logs del punto di gestione utilizzato dal client di dispositivi mobili.
Informazioni sull'individuazione di rete
Utilizzare l'individuazione di rete di Configuration Manager per individuare la topologia della rete e i dispositivi nella rete.
L'individuazione di rete cerca nella rete le risorse con IP abilitato eseguendo query in server che eseguono un'implementazione Microsoft di DHCP, cache ARP (Address Resolution Protocol) nei router, dispositivi con SNMP abilitato e domini Active Directory.
Per individuare correttamente una risorsa, l'individuazione di rete deve identificare l'indirizzo IP e la subnet mask della risorsa. Dal momento che alla rete possono connettersi diversi tipi di dispositivi, l'individuazione di rete consente di individuare risorse non in grado di supportare il software client di Configuration Manager. Ad esempio, i dispositivi che è possibile individuare ma non gestire includono stampanti e router.
L'individuazione di rete può restituire vari attributi appartenenti al record di individuazione creato. Tali attributi includono:
Nome NetBIOS
Indirizzi IP
Dominio risorse
Ruoli del sistema
Nome comunità SNMP
Indirizzi MAC
Per utilizzare l'individuazione di rete, è necessario specificare il livello di individuazione da eseguire. È inoltre possibile configurare uno o più meccanismi di individuazione che consentono all'individuazione di rete di eseguire query relative a dispositivi o segmenti di rete. È inoltre possibile configurare impostazioni che consentono di controllare le azioni di individuazione nella rete. Infine, è possibile definire una o più pianificazioni relative all'esecuzione dell'individuazione di rete.
Nota
Reti complesse e connessioni con larghezza di banda bassa possono provocare un'esecuzione lenta dell'individuazione della rete e generare un traffico di rete notevole. È consigliabile eseguire l'individuazione di rete solo quando gli altri metodi di individuazione non sono in grado di individuare le risorse che è necessario individuare. Utilizzare ad esempio l'individuazione di rete se è necessario individuare i computer del gruppo di lavoro. Non è possibile individuare i computer del gruppo di lavoro mediante altri metodi di individuazione.
Quando l'individuazione rileva un oggetto indirizzabile tramite IP ed è in grado di determinare la subnet mask degli oggetti, viene creato un record dei dati di individuazione (DDR) per l'oggetto.
L'attività di individuazione di rete viene registrata nel file Netdisc.log in <InstallationPath>\Logs nel server del sito che esegue l'individuazione.
Livelli di individuazione di rete
Quando viene configurata l'individuazione di rete, è possibile specificare tre diversi livelli di individuazione:
Livello di individuazione |
Dettagli |
---|---|
Topologia |
Questo livello consente di individuare i router e le subnet, ma non di individuare una subnet mask per gli oggetti. |
Topologia e client |
Oltre alla topologia, questo livello individua i potenziali clienti come computer e risorse quali stampanti e router. Questo livello di individuazione tenta di identificare la subnet mask degli oggetti rilevati. |
Topologia, client e sistema operativo client |
Oltre alla topologia e ai potenziali clienti, questo livello tenta di individuare il nome e la versione del sistema operativo del computer. Questo livello utilizza il servizio Browser di Windows e le chiamate di rete Windows. |
Con ciascun livello incrementale, l'individuazione di rete incrementa l'attività e l'utilizzo della larghezza di banda di rete. Prima di attivare tutte le funzioni dell'individuazione di rete è consigliabile valutare il traffico di rete che potrebbe essere generato.
Ad esempio, quando si utilizza per la prima volta l'individuazione di rete, è possibile iniziare con il livello di topologia per identificare l'infrastruttura di rete. Quindi, è possibile riconfigurare l'individuazione di rete per individuare oggetti e sistemi operativi dei dispositivi. È inoltre possibile configurare impostazioni per limitare l'individuazione di rete a un intervallo specifico di segmenti di rete, individuare oggetti nei percorsi di rete richiesti ed evitare traffico di rete superfluo o l'individuazione di oggetti provenienti da router perimetrali o esterni alla rete.
Opzioni di individuazione di rete
Per abilitare l'individuazione di rete alla ricerca di dispositivi indirizzabili tramite IP, è necessario configurare una o più opzioni che consentono di specificare come eseguire le query relative ai dispositivi. Nella seguente tabella sono elencate le opzioni.
Opzione |
Dettagli |
Requisiti |
||
---|---|---|---|---|
Domini |
Specificare ciascun dominio in cui si desidera che l'individuazione di rete esegua le query. L'individuazione di rete è in grado di individuare qualsiasi computer che è possibile visualizzare dal server del sito durante l'esplorazione della rete. L'individuazione di rete recupera l'indirizzo IP e quindi utilizza una richiesta echo Internet Control Message Protocol per eseguire il ping di ciascun dispositivo rilevato. Il comando ping consente di determinare quali computer sono attualmente attivi. |
Il server del sito che esegue l'individuazione deve disporre delle autorizzazioni di lettura per i controller di dominio in ciascun dominio specificato. Nota Per individuare i computer del dominio locale, è necessario attivare il servizio Browser di computer in almeno un computer localizzato nella stessa subnet del server del sito che esegue l'individuazione di rete. |
||
Dispositivi SNMP |
Specificare ciascun dispositivo SNMP in cui si desidera che l'individuazione di rete esegua le query. L'individuazione di rete recupera il valore ipNetToMediaTable da un dispositivo SNMP che risponde alla query. Questo valore restituisce matrici di indirizzi IP che corrispondono a computer client o altre risorse, come stampanti, router e altri dispositivi indirizzabili tramite IP. |
Per eseguire query in un dispositivo, è necessario specificare l'indirizzo IP o il nome NetBIOS del dispositivo. Se l'individuazione di rete non viene configurata per l'utilizzo del nome comunità del dispositivo, il dispositivo rifiuta la query basata su SNMP. |
||
DHCP |
Specificare ciascun server DHCP in cui si desidera che l'individuazione di rete esegua le query. L'individuazione di rete può eseguire query in server DHCP a 32 bit e 64 bit per un elenco dei dispositivi registrati in ogni server. L'individuazione di rete recupera le informazioni mediante chiamate a procedura remota al database nel server DHCP. Quando l'individuazione di rete enumera un server DHCP, non vengono sempre rilevati indirizzi IP statici. L'individuazione di rete non individua indirizzi IP appartenenti a un intervallo di indirizzi IP escluso nel server DHCP e non individua indirizzi IP riservati all'assegnazione manuale. Nota L'individuazione di rete supporta solo i server DHCP che eseguono l'implementazione Microsoft di DHCP.
|
Per consentire all'individuazione di rete di eseguire correttamente le query in un server DHCP, l'account computer del server che esegue l'individuazione deve appartenere al gruppo DHCP Users nel server DHCP. Questo livello di accesso esiste ad esempio quando viene soddisfatta una delle seguenti condizioni:
|
Nota
L'individuazione di rete viene eseguita all'interno dell'account computer del server del sito che esegue l'individuazione. Se l'account computer non dispone delle autorizzazioni per un dominio non attendibile, nelle configurazioni del dominio e del server DHCP possono verificarsi errori durante l'individuazione delle risorse.
Limitazione dell'individuazione di rete
Quando l'individuazione di rete esegue query in un dispositivo SNMP perimetrale rispetto alla rete, possono essere individuate informazioni relative alle subnet e ai dispositivi SNMP esterni alla rete. È possibile limitare l'individuazione di rete configurando i dispositivi SNMP con cui può comunicare l'individuazione e specificando i segmenti di rete in cui eseguire le query.
Per limitare l'ambito dell'individuazione di rete, utilizzare le seguenti configurazioni:
Configurazione |
Dettagli |
||
---|---|---|---|
Subnet |
Configurare le subnet in cui l'individuazione di rete esegue le query quando vengono utilizzate le opzioni SNMP e DHCP. Queste due opzioni eseguono ricerche solo nelle subnet abilitate. Una richiesta DHCP può ad esempio restituire dispositivi che si trovano in percorsi di tutta la rete. Se si desidera individuare esclusivamente i dispositivi di una subnet specifica, specificare e abilitare tale subnet nella scheda Subnet della finestra di dialogo Proprietà dell'individuazione della rete. Quando si specificano e si abilitano le subnet, è necessario limitare operazioni future di individuazione DHCP e SNMP per le subnet. Nota Le configurazioni subnet non limitano gli oggetti individuati dall'opzione di individuazione Domini. |
||
Nomi comunità SNMP |
Per consentire all'individuazione di rete di eseguire correttamente le query in un dispositivo SNMP, configurare l'individuazione di rete con il nome comunità del dispositivo.
|
||
Hop massimi |
Quando viene configurato il numero massimo di hop router, è necessario limitare il numero di router e segmenti di rete in cui l'individuazione di rete può eseguire query utilizzando SNMP.
Un'individuazione solo per topologia con 0 (zero) hop router individua ad esempio la subnet in cui risiede il server di origine e comprende tutti i router della subnet. Il seguente diagramma illustra i risultati di un'individuazione di rete solo per topologia quando viene eseguita nel server 1 con 0 hop router specificati: subnet D e Router 1. Il seguente diagramma illustra i risultati di un'individuazione di rete per topologia e per il client quando viene eseguita nel server 1 con 0 hop router specificati: subnet D e Router 1 e tutti i potenziali client della subnet D. Per capire meglio come gli hop router aggiuntivi possono determinare un aumento del numero di risorse di rete individuate, tenere in considerazione la seguente rete: Eseguendo un'individuazione di rete solo per topologia dal server 1 con un hop router i risultati sono i seguenti:
|
Record dei dati di individuazione creati dall'individuazione di rete
Quando l'individuazione di rete individua un oggetto, viene creato un record dei dati di individuazione (DDR) per l'oggetto. L'individuazione di rete individua un oggetto quando identifica l'indirizzo IP e quindi la subnet mask dell'oggetto. Se l'individuazione di rete non è in grado di determinare la subnet mask di un oggetto, non viene creato nessun DDR.
L'individuazione di rete utilizza i seguenti metodi per identificare la subnet mask di un oggetto:
Metodo |
Dettagli |
Limitazione |
---|---|---|
Cache ARP del router |
L'individuazione di rete esegue query nella cache ARP di un router per ottenere informazioni sulla subnet. |
In genere i dati nella cache ARP di un router hanno una durata breve. Quando l'individuazione di rete esegue query nella cache ARP, è possibile che la cache ARP non contenga più informazioni sull'oggetto richiesto. |
DHCP |
L'individuazione di rete esegue query in ogni server DHCP specificato per individuare i dispositivi per cui il server DHCP ha fornito un lease. |
L'individuazione di rete supporta solo i server DHCP che eseguono l'implementazione Microsoft di DHCP. |
Dispositivo SNMP |
L'individuazione di rete può eseguire direttamente query in un dispositivo SNMP. |
L'individuazione di rete può eseguire query in un dispositivo solo se nel dispositivo è installato un agente SNMP locale. È inoltre necessario configurare l'individuazione di rete per l'utilizzo del nome comunità utilizzato dall'agente SNMP. |
Configuration Manager elabora i DDR creati dall'individuazione di rete analogamente ai DDR creati da altri metodi di individuazione.
Informazioni sui record dei dati di individuazione
I record dei dati di individuazione (DDR) sono file creati da un metodo di individuazione contenenti informazioni su una risorsa che è possibile gestire in Configuration Manager. I DDR contengono informazioni sui computer, sugli utenti e, in alcuni casi, sull'infrastruttura di rete. Questi vengono elaborati nei siti primari o nei siti di amministrazione centrale. Dopo l'immissione nel database delle informazioni sulle risorse contenute nel DDR, il DDR viene eliminato e le informazioni vengono replicate come dati globali in tutti i siti della gerarchia.
Il sito in cui viene elaborato un DDR dipende dalle informazioni contenute:
I DDR per le nuove risorse individuate non presenti nel database vengono elaborati nel sito di livello superiore della gerarchia. Il sito di livello superiore crea un nuovo record di risorse nel database e assegna al record un identificatore univoco. I DDR vengono trasferiti mediante replica basata su file fino a raggiungere il sito di livello superiore.
I DDR per gli oggetti rilevati in precedenza vengono elaborati nei siti primari. I siti primari figlio non trasferiscono i DDR nel sito di amministrazione centrale se questi contengono informazioni su una risorsa già presente nel database.
I siti secondari non elaborano i record dei dati di individuazione e li trasferiscono al relativo sito primario padre sempre mediante replica basata su file.
I file DDR si distinguono mediante l'estensione DDR e solitamente hanno una dimensione di circa 1 KB.
Decidere dove eseguire l'individuazione
Se si intende utilizzare l'individuazione in Configuration Manager, è necessario valutare dove eseguire ciascun metodo di individuazione.
Dopo l'aggiunta dei dati di individuazione in un database da parte di Configuration Manager, tali dati vengono rapidamente condivisi in tutti i siti della gerarchia. Dal momento che individuare le stesse informazioni in più siti della gerarchia non offre alcun vantaggio, è consigliabile valutare la configurazione di una singola istanza di ciascun metodo di individuazione utilizzato per l'esecuzione in un unico sito anziché optare per l'esecuzione di più istanze di un unico metodo in più siti.
Tuttavia, periodicamente può essere utile assegnare lo stesso metodo di individuazione da eseguire in più siti, con configurazioni e pianificazioni distinte. Quando un metodo di individuazione viene eseguito in un sito, infatti, vengono valutate tutte le configurazioni disponibili per tale metodo. Se vengono configurate più istanze di un singolo metodo di individuazione da eseguire in più siti, è necessario pianificare la configurazione di ciascuna istanza per evitare che due o più processi di individuazione individuino le stesse risorse. L'individuazione degli stessi percorsi e delle stesse risorse in più siti può determinare un maggiore utilizzo della larghezza di banda di rete e la creazione di DDR duplicati per le risorse che, seppur non costituiscano un valore aggiunto, devono comunque essere elaborati dai server del sito.
Nella seguente tabella viene stabilito in quali siti è possibile configurare i vari metodi di individuazione.
Metodo di individuazione |
Percorsi supportati |
---|---|
Individuazione foresta Active Directory |
|
Individuazione gruppo Active Directory |
|
Individuazione sistema Active Directory |
|
individuazione utenti di Active Directory |
|
Individuazione heartbeat1 |
|
Individuazione rete |
|
1 I siti secondari non sono in grado di configurare l'individuazione heartbeat ma possono ricevere il record dei dati di individuazione di heartbeat da un client.
Quando i siti secondari eseguono l'individuazione di rete o ricevono i DDR dell'individuazione heartbeat, trasferiscono tali DDR mediante replica basata su file nel relativo sito primario padre. Infatti, solo i siti primari e i siti di amministrazione centrale sono in grado di elaborare i record dei dati di individuazione (DDR). Per altre informazioni su come vengono elaborati i DDR, vedere Informazioni sui record dei dati di individuazione in questo argomento.
Quando si pianifica dove eseguire il rilevamento, è necessario valutare quanto segue:
Quando si utilizza un metodo di individuazione Active Directory per sistemi, utenti o gruppi:
Eseguire l'individuazione in un sito che dispone di una connessione di rete veloce ai controller di dominio.
Prendere in considerazione la topologia di replica di Active Directory per garantire all'individuazione l'accesso alle informazioni più recenti.
Valutare l'ambito della configurazione dell'individuazione e limitare l'individuazione solo ai gruppi e ai percorsi di Active Directory che è necessario individuare.
Se si utilizza l'individuazione di rete:
Per individuare la topografia di rete, utilizzare una configurazione iniziale limitata.
Dopo aver individuato la topografia di rete, configurare l'individuazione di rete per l'esecuzione in siti specifici centrali rispetto alle aree di rete che si desidera individuare in modo più completo.
Dal momento che l'individuazione heartbeat non viene eseguita in un sito specifico, non è necessario prenderla in considerazione in fase di pianificazione generale per stabilire dove eseguire l'individuazione.
Dal momento che ogni server del sito e ogni ambiente di rete è diverso dall'altro, è necessario limitare le configurazioni dell'individuazione iniziali e monitorare attentamente la capacità di ogni server del sito di elaborare i dati di individuazione generati.
Procedure consigliate per l'individuazione
Utilizzare le seguenti informazioni delle procedure consigliate per utilizzare l'individuazione in System Center 2012 Configuration Manager.
Prima di eseguire l'individuazione gruppo Active Directory eseguire l'individuazione sistema Active Directory e l'individuazione utente Active Directory
In caso di individuazione di un computer o di un utente non individuato precedentemente come membro di un gruppo, l'individuazione gruppo Active Directory tenta di individuare dettagli di base relativi all'utente o al computer. Dal momento che l'individuazione gruppo Active Directory non è ottimizzata per questo tipo di individuazione, il processo può comprometterne la velocità di esecuzione. Inoltre, l'individuazione gruppo Active Directory consente di individuare solo i dettagli di base relativi agli utenti e ai computer individuati, ma non di creare un record di individuazione utente o computer completo. In caso di esecuzione dell'individuazione sistema Active Directory e dell'individuazione utente Active Directory, gli attributi Active Directory aggiuntivi relativi a ciascun oggetto sono disponibili e, di conseguenza, l'individuazione gruppo Active Directory viene eseguita in modo più efficiente.
Quando viene configurata l'individuazione gruppo Active Directory, è sufficiente specificare solo i gruppi utilizzati con Configuration Manager
Per controllare l'utilizzo delle risorse da parte dell'individuazione gruppo Active Directory, è sufficiente specificare solo i gruppi utilizzati con Configuration Manager. L'individuazione gruppo Active Directory, infatti, esegue ricerche ricorsive in ogni gruppo individuato relativamente a utenti, computer e gruppi nidificati. La ricerca di ciascun gruppo nidificato può espandere l'ambito dell'individuazione gruppo Active Directory e ridurre le prestazioni. Inoltre, se si configura l'individuazione differenziale per l'individuazione gruppo Active Directory, questo metodo di individuazione consente di monitorare le modifiche relative a ciascun gruppo. Le prestazioni vengono ulteriormente ridotte quando il metodo deve eseguire ricerche di gruppi non necessari.
Configurare metodi di individuazione con un intervallo maggiore tra le individuazioni complete e un periodo più frequente per le individuazioni differenziali
Poiché l'individuazione differenziale utilizza un numero inferiore di risorse rispetto a un ciclo di individuazione completa ed è in grado di identificare risorse nuove o modificate in Active Directory, quando si utilizza l'individuazione differenziale è possibile ridurre la frequenza dei cicli di individuazione completa specificando al massimo un'esecuzione a settimana. L'individuazione differenziale per l'individuazione sistema Active Directory, l'individuazione utente Active Directory e l'individuazione gruppo Active Directory consente di identificare quasi tutte le modifiche apportate agli oggetti Active Directory e di conservare i dati accurati di individuazione per le risorse.
Eseguire i metodi di individuazione di Active Directory in un sito primario che disponga di un percorso di rete molto vicino al controller di dominio Active Directory
Per migliorare le prestazioni dell'individuazione Active Directory, è consigliabile eseguire l'individuazione in un sito primario che disponga di una connessione di rete veloce ai controller di dominio. Se si esegue lo stesso metodo di individuazione Active Directory in più siti, è consigliabile configurare ciascun metodo di individuazione in modo da evitare la sovrapposizione. A differenza delle versioni precedenti di Configuration Manager, i dati di individuazione vengono condivisi tra i siti. Non è pertanto necessaria l'individuazione delle stesse informazioni in più siti. Per altre informazioni, vedere Decidere dove eseguire l'individuazione.
Quando si prevede di creare automaticamente i limiti dai dati di individuazione, è consigliabile eseguire l'individuazione foresta Active Directory in un unico sito
Se l'individuazione foresta Active Directory viene eseguita in più di un sito di una gerarchia, è consigliabile attivare solo le opzioni per la creazione automatica dei limiti in un unico sito. Quando l'individuazione foresta Active Directory viene eseguita in tutti i siti e crea i limiti, infatti, Configuration Manager non è in grado di unire tali limiti in un unico oggetto limite. Se l'individuazione foresta Active Directory viene configurata per la creazione automatica dei limiti in più siti, possono verificarsi oggetti limite duplicati nella console di Configuration Manager.