• Articolo

Stabilire se estendere lo schema di Active Directory per Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Quando si estende lo schema di Active Directory per System Center 2012 Configuration Manager, è possibile pubblicare le informazioni sul sito in Servizi di dominio Active Directory. L'estensione dello schema di Active Directory è facoltativa per Configuration Manager. Tuttavia, estendendo lo schema è possibile usare tutte le funzionalità e le funzioni di Configuration Manager con una quantità minima di carico amministrativo.

Se si decide di estendere lo schema di Active Directory, è possibile eseguire questa operazione prima o dopo l'installazione di Configuration Manager.

Considerazioni per l'estensione dello Schema di Active Directory per Configuration Manager

Le estensioni dello schema di Active Directory per System Center 2012 Configuration Manager (e versioni successive come SP1 o R2) sono identiche a quelle utilizzate da Configuration Manager 2007. Se si è esteso lo schema per Configuration Manager 2007, non è necessario estendere nuovamente lo schema per System Center 2012 Configuration Manager.

Analogamente, se si è esteso lo schema per una versione di System Center 2012 Configuration Manager, non è necessario estendere nuovamente lo schema per una versione più recente di Configuration Manager.

L'estensione dello schema di Active Directory è un'azione a livello di foresta e può essere eseguita solo una volta per foresta. L'estensione dello schema è un'azione irreversibile e deve essere eseguita da un utente membro del gruppo Schema Admins o che dispone di autorizzazioni sufficienti per modificare lo schema. Se si decide di estendere lo schema di Active Directory, è possibile estenderlo prima o dopo l'installazione.

Sono necessarie quattro azioni per consentire ai client di Configuration Manager di eseguire query a Servizi di dominio Active Directory per individuare le risorse del sito:

  • Estendere lo schema di Active Directory.

  • Creare il contenitore di System Management.

  • Impostare le autorizzazioni di sicurezza nel contenitore di System Management.

  • Attivare la pubblicazione di Active Directory per il sito di Configuration Manager.

Per informazioni su come estendere lo schema, creare il contenitore di System Management e configurare le autorizzazioni di sicurezza nel contenitore, vedere Preparare Active Directory per Configuration Manager nell'argomento Preparare l'ambiente di Windows per Configuration Manager. Per informazioni su come attivare la pubblicazione per i siti di Configuration Manager, vedere Pianificazione della pubblicazione dei dati del sito in Servizi di dominio Active Directory.

I dispositivi mobili gestiti dal connettore Exchange Server e i seguenti client non usano le estensioni dello schema di Active Directory per Configuration Manager:

  • Il client per computer Mac

  • Il client per i server Linux e UNIX

  • I dispositivi mobili registrati da Configuration Manager

  • I dispositivi mobili registrati da Microsoft Intune

  • I client legacy del dispositivo mobile

  • I client Windows configurati solo per la gestione client Internet

  • I client Windows rilevati da Configuration Manager in Internet

Nella seguente tabella vengono individuate le funzioni di Configuration Manager che usano uno schema di Active Directory esteso per Configuration Manager e le possibili soluzioni alternative da usare nel caso in cui sia impossibile estendere lo schema.

Funzionalità

Active Directory

Dettagli

Installazione del computer client e assegnazione sito

Facoltativo

Quando viene installato un nuovo client Windows di Configuration Manager, il client può cercare le proprietà di installazione in Servizi di dominio Active Directory. Se non si estende lo schema, è necessario usare una delle seguenti soluzioni alternative per fornire ai computer i dettagli di configurazione che devono installare:

  • Usare l'installazione push client. Prima di usare il metodo di installazione client, assicurarsi che tutti i prerequisiti siano soddisfatti. Per altre informazioni, vedere la sezione "Dipendenze del metodo di installazione" in Prerequisiti per client per computer.

  • Installare manualmente i client e fornire le proprietà di installazione client usando le proprietà della riga di comando di installazione CCMSetup. È necessario includere le seguenti operazioni:

    • Specificare un punto di gestione o un percorso di origine da cui il computer può scaricare i file di installazione tramite la proprietà CCMSetup /mp:=<nome computer punto di gestione> oppure /source:<percorso dei file di origine client> nella riga di comando CCMSetup durante l'installazione del client.

    • Specificare un elenco di punti di gestione iniziali che il client utilizzerà per eseguire l'assegnazione al sito e quindi scaricare i criteri client e le impostazioni del sito. A tale scopo, usare la proprietà Client.msi SMSMP di CCMSetup.

  • Pubblicare il punto di gestione in DNS o WINS e configurare i client per usare questo metodo di individuazione del servizio.

Configurazione della porta per la comunicazione tra client e server

Facoltativo

Quando un client viene installato, viene configurato con informazioni sulla porta. Se in seguito si modifica la porta per la comunicazione tra client e server di un sito, il client può ottenere l'impostazione della nuova porta da Servizi di dominio Active Directory. Se non si estende lo schema, è necessario usare una delle seguenti soluzioni alternative per fornire ai client esistenti la configurazione della nuova porta:

  • Reinstallare i client e configurarli in modo che utilizzino le informazioni sulla nuova porta.

  • Distribuire uno script ai client per aggiornare le informazioni sulla porta. Se i client non possono comunicare con un sito a causa della modifica della porta, è necessario distribuire questo script esternamente a Configuration Manager. È ad esempio possibile usare Criteri di gruppo.

Protezione accesso alla rete

Richiesto

Configuration Manager pubblica i riferimenti sullo stato di integrità in Servizi di dominio Active Directory in modo che il punto di Convalida integrità sistema possa convalidare il rapporto di integrità di un client.

Scenari di distribuzione del contenuto

Facoltativo

Quando si crea il contenuto in un sito e poi si distribuisce tale contenuto in un altro sito nella gerarchia, il sito ricevente deve essere in grado di verificare la firma dei dati del contenuto firmato. A tale scopo, è necessario l'accesso alla chiave pubblica del sito di origine in cui vengono creati i dati.

Quando si estende lo schema di Active Directory per Configuration Manager, viene resa disponibile una chiave pubblica del sito per tutti i siti nella gerarchia. Se non si estende lo schema di Active Directory, è possibile usare lo strumento di manutenzione gerarchia, preinst.exe, per scambiare le informazioni sulla chiave di sicurezza tra i siti.

Se ad esempio si intende creare il contenuto nel sito primario e distribuirlo in un sito secondario di un sito primario diverso, è necessario estendere lo schema di Active Directory per consentire al sito secondario di ottenere la chiave pubblica per il sito primario di origine oppure usare preinst.exe per condividere direttamente le chiavi tra i due siti.

Attributi e classi aggiunti dalle estensioni dello Schema di Configuration Manager

Quando si estende lo schema per Configuration Manager, vengono aggiunti diversi attributi e classi che possono essere usati da qualsiasi sito di Configuration Manager nella foresta Active Directory. Poiché il catalogo globale viene replicato in tutta la foresta, considerare il traffico di rete che potrebbe essere generato. Nelle foreste Windows 2000, l'estensione dello schema causa una sincronizzazione completa dell'intero catalogo globale. A partire dalle foreste di Windows 2003, vengono replicati solo gli attributi appena aggiunti. Pianificare l'estensione dello schema in un momento in cui il traffico di replica non possa influire negativamente sugli altri processi dipendenti dalla rete.

Quando si estende lo schema di Active Directory per System Center 2012 Configuration Manager, vengono aggiunti i seguenti attributi e classi a Servizi di dominio Active Directory:

  • Attributi:

    • cn=mS-SMS-Assignment-Site-Code

    • cn=mS-SMS-Capabilities

    • cn=MS-SMS-Default-MP

    • cn=mS-SMS-Device-Management-Point

    • cn=mS-SMS-Health-State

    • cn=MS-SMS-MP-Address

    • cn=MS-SMS-MP-Name

    • cn=MS-SMS-Ranged-IP-High

    • cn=MS-SMS-Ranged-IP-Low

    • cn=MS-SMS-Roaming-Boundaries

    • cn=MS-SMS-Site-Boundaries

    • cn=MS-SMS-Site-Code

    • cn=mS-SMS-Source-Forest

    • cn=mS-SMS-Version

  • Classi:

    • cn=MS-SMS-Management-Point

    • cn=MS-SMS-Roaming-Boundary-Range

    • cn=MS-SMS-Server-Locator-Point

    • cn=MS-SMS-Site

Nota

Le estensioni dello schema di Active Directory possono includere attributi e classi ereditati da versioni precedenti del prodotto ma non usati da Microsoft System Center 2012 Configuration Manager. Ad esempio:

  • Attributo: cn=MS-SMS-Site-Boundaries

  • Classe: cn=MS-SMS-Server-Locator-Point

Per verificare che questi elenchi siano aggiornati per la versione di System Center 2012 Configuration Manager, esaminare il file ConfigMgr_ad_schema.LDF disponibile nella cartella \SMSSETUP\BIN\x64 del supporto di installazione di System Center 2012 Configuration Manager.