Configuration Manager の Windows 環境の準備

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager をサポートするように Windows 環境を構成するときに、次のセクションの情報を参考にしてください。

  • Configuration Manager 向けの Active Directory の準備

    • Active Directory スキーマを拡張する

    • System Management コンテナーを作成する

    • System Management コンテナーにセキュリティ権限を設定する。

    • Configuration Manager サイトで Active Directory の発行を有効にする

  • Configuration Manager サイト システムの役割用の Windows ベース サーバーの構成

    • Remote Differential Compression

    • インターネット インフォメーション サービス (IIS)

    • IIS の要求のフィルタリング

Configuration Manager 向けの Active Directory の準備

Active Directory スキーマの拡張は、フォレスト全体の構成を対象とした操作であり、フォレストごとに 1 回のみ実行します。 スキーマの拡張は取り消しできない操作なので、スキーマ管理グループのメンバーまたはスキーマを変更するのに十分なアクセス許可を委任されたユーザーが実行する必要があります。 Active Directory スキーマを拡張する場合は、セットアップの実行前でも実行後でもその手順を実行できます。 Active Directory スキーマを拡張すべきかどうかを考慮する際には、「Configuration Manager 向けに Active Directory スキーマを拡張すべきかどうかの判断」を参照してください。

System_CAPS_tipヒント

Active Directory スキーマが Configuration Manager 2007 スキーマ拡張により拡張されている場合は、System Center 2012 Configuration Manager 用にスキーマを拡張する必要はありません。Configuration Manager 2007 以降、Active Directory スキーマ拡張は変更されていません。

Configuration Manager クライアントで Active Directory ドメイン サービスをクエリして、サイトのリソースを見つけることができるようにするには、次の 4 つの操作を実行する必要があります。

  • Active Directory スキーマを拡張する。

  • System Management コンテナーを作成する。

  • System Management コンテナーにセキュリティ権限を設定する。

  • Configuration Manager サイトで Active Directory の発行を有効にする

Active Directory スキーマを拡張する

Configuration Manager は、2 つの Active Directory スキーマの拡張方法をサポートします。 1 つ目は extadsch.exe ユーティリティを使用する方法です。 2 つ目は、LDIFDE ユーティリティを使用して、ConfigMgr_ad_schema.ldf ファイルによりスキーマ拡張情報をインポートする方法です。

[!メモ]

Active Directory スキーマを拡張する前に、スキーマ拡張をテストして現在の Active Directory スキーマとの競合がないか確認してください。 Active Directory スキーマ拡張のテスト方法については、Active Directory ドメイン サービス ドキュメントの「Testing for Active Directory Schema Extension Conflicts (Active Directory スキーマ拡張の競合のテスト)」を参照してください。

ExtADSch.exe を使用した Active Directory スキーマの拡張

Configuration Manager インストール メディアの SMSSETUP\BIN\X64 フォルダーにある extadsch.exe ファイルを実行して Active Directory スキーマを拡張できます。 extadsch.exe ファイルは実行時に出力を表示しませんが、コマンド コンソールからコマンド ラインとして実行した場合は、フィードバックが表示されます。 extadsch.exe を実行すると、システム ドライブのルートに extadsch.log というログ ファイルが生成されます。このログ ファイルは、スキーマの更新が正常に完了したか、スキーマの拡張中に問題が発生したかを示します。

System_CAPS_tipヒント

また、extadsch.exe プログラムをコマンド ラインから実行した場合は、コンソール ウィンドウに結果が表示されます。

extadsch.exe には、以下のような制限事項があります。

  • Windows 2000 ベースのコンピューターでは、Extadsch.exe の実行はサポートされません。 Active Directory スキーマを Windows 2000 ベースのコンピューターで拡張するには、ConfigMgr_ad_schema.ldf ファイルを使用します。

  • Windows Vista コンピューターで extadsch.exe を実行する時に extadsch.log が作成されるようにするには、ローカル管理者のアクセス許可のあるアカウントを使ってコンピューターにログオンしている必要があります。

Extadsch.exe を使用して Active Directory スキーマを拡張するには

  1. スキーマ マスター ドメイン コントローラーのシステム状態のバックアップを作成します。

  2. スキーマ管理セキュリティ グループのメンバーであるアカウントで、スキーマ マスター ドメイン コントローラーにログオンしていることを確認します。

    System_CAPS_important重要

    正常にスキーマを拡張するには、スキーマ管理セキュリティ グループのメンバーとしてログオンする必要があります。実行 コマンドを使用して extadsch.exe ファイルを実行することにより、代替資格情報を使ってスキーマを拡張しようとすると、失敗します。

  3. インストール メディアの \SMSSETUP\BIN\X64 にある extadsch.exe を実行して、新しいクラスと属性を Active Directory スキーマに追加します。

  4. システム ドライブのルートにある extadsch.log を確認することにより、スキーマの拡張が成功したことを確認します。

  5. スキーマ拡張の手順に失敗した場合は、手順 1 で作成したバックアップから、スキーマ マスターの以前のシステム状態を復元します。

    [!メモ]

    Windows ドメイン コントローラーでシステム状態を復元するには、システムをディレクトリ サービス復元モードで再起動する必要があります。 ディレクトリ サービス復元モードの詳細については、「Restart the Domain Controller in Directory Services Restore Mode Locally (ローカルからドメイン コントローラーをディレクトリ サービス復元モードで再起動する)」を参照してください。

LDIF ファイルを使用した Active Directory スキーマの拡張

LDIFDE コマンド ライン ユーティリティでは、LDAP データ交換形式 (LDIF) ファイルを使用して Active Directory ドメイン サービスにディレクトリ オブジェクトをインポートできます。

extadsch.exe ユーティリティを使用した場合よりも Active Directory スキーマに加えられる変更をわかりやすくするために、LDIFDE ユーティリティで ConfigMgr_ad_schema.ldf ファイルを使用してスキーマ拡張情報をインポートすることができます。このファイルは、SMSSETUP\BIN\X64 インストール メディアの Configuration Manager フォルダーにあります。

[!メモ]

ConfigMgr_ad_schema.ldf ファイルは、Configuration Manager 2007 で提供されたバージョンから変更されていません。

ConfigMgr_ad_schema.ldf ファイルを使用して Active Directory スキーマを拡張するには

  1. スキーマ マスター ドメイン コントローラーのシステム状態のバックアップを作成します。

  2. Configuration Manager インストール メディアの SMSSETUP\BIN\X64 ディレクトリにある ConfigMgr_ad_schema.ldf ファイルを開き、ファイルを編集して、拡張する Active Directory ルート ドメインを定義します。 このファイルでは、テキスト DC=x のすべてのインスタンスを、拡張するドメインのフル ネームで置き換える必要があります。

    たとえば拡張するドメインのフル ネームが widgets.microsoft.com である場合、ファイル内にあるすべての DC=x のインスタンスを DC=widgets, DC=microsoft, DC=com に変更します。

  3. LDIFDE コマンド ライン ユーティリティを使用して、ConfigMgr_ad_schema.ldf ファイルの内容を Active Directory ドメイン サービスにインポートします。

    たとえば、次のコマンド ラインは、スキーマ拡張を Active Directory ドメイン サービスにインポートし、詳細ログ記録をオンにして、インポート処理中にログ ファイルを作成します: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <ログ ファイルを保存する場所>

  4. スキーマの拡張が成功したことを確認するには、手順 3 で使用したコマンド ラインによって作成されたログ ファイルを確認します。

  5. スキーマ拡張の手順に失敗した場合は、手順 1 で作成したバックアップから、スキーマ マスターの以前のシステム状態を復元します。

    [!メモ]

    Windows ドメイン コントローラーでシステム状態を復元するには、システムをディレクトリ サービス復元モードで再起動する必要があります。 ディレクトリ サービス復元モードの詳細については、「Restart the Domain Controller in Directory Services Restore Mode Locally (ローカルからドメイン コントローラーをディレクトリ サービス復元モードで再起動する)」を参照してください。

System Management コンテナーを作成する

Configuration Manager では、スキーマの拡張時に Active Directory ドメイン サービスに System Management コンテナーは自動的に作成されません。 このコンテナーは、サイト情報を Active Directory ドメイン サービスに発行する Configuration Manager のプライマリ サイト サーバーまたはセカンダリ サイト サーバーが含まれるドメインごとに一度作成する必要があります。

System_CAPS_tipヒント

サイト サーバーのコンピューター アカウントに、Active Directory ドメイン サービスの System コンテナーの "フル コントロール" アクセス許可を付与することができます。こうすることで、サイト情報を初めて Active Directory ドメイン サービスに発行するときに、System Management コンテナーが自動的に作成されるようになります。 ただし、System Management コンテナーを手動で作成する方が安全性が高くなります。

Active Directory ドメイン サービスで System Management コンテナーを作成するには、ADSI エディターを使用します。 ADSI エディターのインストール方法と使い方の詳細については、Active Directory ドメイン サービス ドキュメントの「ADSI Edit (adsiedit.msc) (ADSI エディター)」を参照してください。

System Management コンテナーを手動で作成するには

  1. Active Directory ドメイン サービス内の System コンテナーですべての子オブジェクトを作成する権限を持つアカウントとしてログオンします。

  2. ADSI エディターを実行して、サイト サーバーが常駐しているドメインに接続します。

  3. [ドメイン] <コンピューター完全修飾ドメイン名>、<識別名> の順に展開して、[CN=System] を右クリックし、[新規][オブジェクト] を順にクリックします。

  4. [オブジェクトの作成] ダイアログ ボックスで、[コンテナー] を選択し、[次へ] をクリックします。

  5. [値] ボックスに、「System Management」と入力し、[次へ] をクリックします。

  6. [完了] をクリックしてこの手順を完了します。

System Management コンテナーにセキュリティ権限を設定する。

Active Directory ドメイン サービスに System Management コンテナーを作成したら、サイト サーバーのコンピューター アカウントに、コンテナーにサイト情報を発行するのに必要なアクセス許可を付与する必要があります。

System_CAPS_important重要

プライマリ サイト サーバーのコンピューター アカウントには、System Management コンテナーとそのすべての子オブジェクトの "フル コントロール" アクセス許可を付与します。 セカンダリ サイトがある場合は、セカンダリ サイト サーバーのコンピューター アカウントにも、System Management コンテナーとそのすべての子オブジェクトの "フル コントロール" アクセス許可を付与します。

必要なアクセス許可を付与するには、Active Directory ユーザーとコンピューター管理ツールか、Active Directory サービス インターフェイス エディター (ADSI エディター) を使用します。 ADSI エディターのインストール方法と使い方の詳細については、「ADSI Edit (adsiedit.msc) (ADSI エディター)」を参照してください。

[!メモ]

以下の手順は、Windows Server 2008 R2 コンピューターを構成する方法の例です。Windows Server 2012 R2 など、これとは別のバージョンのオペレーティング システムを使用している場合は、そのオペレーティング システムのドキュメントで構成方法を参照してください。

Active Directory ユーザーとコンピューター管理ツールを使用して System Management コンテナーにアクセス許可を適用するには

  1. [スタート][実行] の順にクリックして「dsa.msc」を入力し、Active Directory ユーザーとコンピューターの管理ツールを開きます。

  2. [表示][高度な機能] を順にクリックします。

  3. [System] コンテナーを展開し、[System Management] を右クリックして [プロパティ] をクリックします。

  4. [System Management のプロパティ] ダイアログ ボックスで、[セキュリティ] タブをクリックし、[追加] をクリックして、サイト サーバーのコンピューター アカウントを追加します。 このアカウントに "フル コントロール" アクセス許可を付与します。

  5. [詳細設定] をクリックして、サイト サーバーのコンピューター アカウントを選択し、[編集] をクリックします。

  6. [適用先] の一覧で [このオブジェクトとすべての子オブジェクト] を選択します。

  7. [OK] をクリックし、Active Directory ユーザーとコンピューター管理ツールを閉じて手順を完了します。

ADSI エディター コンソールを使用して System Management コンテナーにアクセス許可を適用するには

  1. [スタート][実行] を順にクリックして、「adsiedit.msc」と入力し、ADSIEdit コンソールを開きます。

  2. 必要に応じて、サイト サーバーのドメインに接続します。

  3. [コンソール] ウィンドウで、サイト サーバーのドメインを展開し、[DC=<サーバー識別名>][CN=System] の順に展開します。[CN=System Management] を右クリックし、[プロパティ] をクリックします。

  4. [CN=System Management のプロパティ] ダイアログ ボックスで、[セキュリティ] タブをクリックし、[追加] をクリックして、サイト サーバーのコンピューター アカウントを追加します。 このアカウントに "フル コントロール" アクセス許可を付与します。

  5. [詳細設定] をクリックして、サイト サーバーのコンピューター アカウントを選択し、[編集] をクリックします。

  6. [適用先] の一覧で [このオブジェクトとすべての子オブジェクト] を選択します。

  7. [OK] をクリックして ADSI エディター コンソールを閉じ、手順を完了します。

Configuration Manager サイトで Active Directory の発行を有効にする

Active Directory スキーマを拡張することに加えて、System Management コンテナーを作成し、そのコンテナーのアクセス許可を設定して、Configuration Manager がサイト データを Active Directory ドメイン サービスに発行するようにする必要があります。 サイト データの発行方法の詳細については、「Active Directory ドメイン サービスへのサイト データの発行の計画」を参照してください。

Configuration Manager サイト システムの役割用の Windows ベース サーバーの構成

System Center 2012 Configuration Manager で Windows Server を使用するには、コンピューターが Configuration Manager 操作をサポートするように構成されていることを確認する必要があります。Configuration Manager 用に Windows サーバーを構成する際には、次のセクションの情報を参考にしてください。 サイト システムの役割の前提条件の詳細については、「」の「」セクションを参照してください。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

[!メモ]

以下のセクションで紹介する手順は、Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターを構成する方法の例です。Windows Server 2012 R2 など、これとは別のバージョンのオペレーティング システムを使用している場合は、そのオペレーティング システムのドキュメントで構成方法を参照してください。

Remote Differential Compression

サイト サーバーおよび配布ポイントでパッケージ署名を生成して署名比較を実行するには、RDC (Remote Differential Compression) が必要です。 RDC が有効になっていない場合は、これらのサイト システム サーバーで有効にする必要があります。

Windows Server 2008 コンピューターと Windows Server 2008 R2 コンピューターで Remote Differential Compression を有効にする方法については、以下の手順を例として参照してください。 これとは別のバージョンのオペレーティング システムを使用している場合は、オペレーティング システムのドキュメントで手順を確認してください。

Windows Server 2008 または Windows Server 2008 R2 の Remote Differential Compression を構成するには

  1. Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターで、[スタート]、[すべてのプログラム]、[管理ツール]、[サーバー マネージャー] の順に移動し、[サーバー マネージャー] を起動します。 サーバー マネージャーで、機能ノードを選択し、[機能の追加] をクリックして、機能の追加ウィザードを開始します。

  2. [機能の選択] ページで、[Remote Differential Compression] を選択し、[次へ] をクリックします。

  3. ウィザードを終了し、サーバー マネージャーを閉じて構成を完了します。

インターネット インフォメーション サービス (IIS)

サイト システムの役割によっては、インターネット インフォメーション サービス (IIS) が必要となります。 IIS が有効になっていない場合は、IIS を必要とするサイト システムの役割をインストールする前に、サイト システム サーバー上で IIS を有効にする必要があります。 サイト システム サーバーの他に、次のサイト システムの役割は IIS を必要とします。

  • アプリケーション カタログ Web サービス ポイント

  • アプリケーション カタログ Web サイト ポイント

  • 配布ポイント

  • 登録ポイント

  • 登録プロキシ ポイント

  • フォールバック ステータス ポイント

  • 管理ポイント

  • ソフトウェアの更新ポイント

Configuration Manager で必要とされる IIS の最小バージョンは、サイト システムで実行するオペレーティング システムに付属している既定のバージョンです。

たとえば、配布ポイントとして使用する予定の Windows Server 2008 コンピューターで IIS を有効にすると、IIS 7.0 がインストールされます。 IIS 7.5 をインストールすることもできます。 配布ポイント用の Windows 7 コンピューターで IIS を有効にすると、IIS 7.5 が自動的にインストールされます。 Windows 7 を実行する配布ポイントに、IIS バージョン 7.0 は使用できません。

Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターに IIS をインストールする方法については、以下の手順を例として参照してください。 これとは別のバージョンのオペレーティング システムを使用している場合は、オペレーティング システムのドキュメントで手順を確認してください。

Windows Server 2008 コンピューターおよび Windows Server 2008 R2 コンピューターにインターネット インフォメーション サービス (IIS) をインストールするには

  1. Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターで、[スタート]、[すべてのプログラム]、[管理ツール]、[サーバー マネージャー] の順に移動し、[サーバー マネージャー] を起動します。 サーバー マネージャーで、機能ノードを選択し、[機能の追加] をクリックして、機能の追加ウィザードを開始します。

  2. 機能の追加ウィザードの [機能の選択] ページで、このコンピューターにインストールするサイト システムの役割をサポートするのに必要となる追加機能をインストールします。 たとえば、BITS サーバー拡張を追加する場合は次の手順を実行します。

    - Windows Server 2008 では、**\[BITS サーバー拡張\]** チェック ボックスをオンにします。 Windows Server 2008 R2 では、**\[バックグラウンド インテリジェント転送サービス (BITS)\]** チェック ボックスをオンにします。 メッセージが表示されたら、**\[必要な役割サービスの追加\]** をクリックして、Web サーバー (IIS) ロールを含む依存コンポーネントを追加し、**\[次へ\]** をクリックします。
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427340.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />ヒント</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>サイト サーバーまたは配布ポイントとなるコンピューターを構成する場合は、<strong>[Remote Differential Compression]</strong> チェック ボックスをオンにします。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
  3. [機能の追加ウィザード] の**[Web サーバー (IIS)]** ページで、[次へ] をクリックします。

  4. 機能の追加ウィザードの [役割サービスの選択] ページで、このコンピューターにインストールするサイト システムの役割をサポートするのに必要となる追加の役割サービスをインストールします。 たとえば、ASP.NETWindows 認証を追加するには、次のようにします。

    - **アプリケーション開発**については、**\[ASP.NET\]** チェック ボックスをオンにし、メッセージが表示されたら、\[必要な役割サービスの追加\] をクリックして依存コンポーネントを追加します。
    
    - **セキュリティ**については、**\[Windows 認証\]** チェック ボックスをオンにします。
    
  5. IIS 6 と互換性のある管理については、[管理ツール] ノードで、[IIS 6 メタベース互換][IIS 6 WMI 互換] の両方のチェック ボックスが選択されていることを確認し、[次へ] をクリックします。

  6. [確認] ページで、[インストール] をクリックしてウィザードを完了し、サーバー マネージャーを閉じて構成を完了します。

IIS の要求のフィルタリング

IIS では、特定のファイル名拡張子とフォルダーの場所は、HTTP または HTTPS 通信によるアクセスがブロックされるように既定で設定されています。 パッケージのソース ファイルの名前に IIS でブロックされている拡張子が含まれている場合、配布ポイントのコンピューターの applicationHost.config ファイルの requestFiltering セクションを構成する必要があります。

Configuration Manager では、パッケージとアプリケーションに次のファイル名拡張子が使用されます。 これらのファイル名拡張子を、配布ポイントで許可してください。

  • .PCK

  • .PKG

  • .STA

  • .TAR

たとえば、ソフトウェア展開のソース ファイルに bin という名前のフォルダー、またはファイル名に .mdb という拡張子の付いたファイルが含まれているとします。 既定では、IIS の要求フィルタリングによりこれらの要素へのアクセスがブロックされます。 配布ポイントで IIS の既定の構成を使用する場合、BITS を使用するクライアントは配布ポイントからこのソフトウェア展開をダウンロードできません。 この場合は、クライアントはコンテンツ待ちになります。 クライアントが BITS を使用してこのコンテンツをダウンロードできるようにするには、該当する各配布ポイントで、applicationHost.config ファイルの requestFiltering セクションを、ソフトウェア展開に含まれているファイルとフォルダーへのアクセスを許可するように編集します。

System_CAPS_important重要

requestFiltering セクションに加えた変更は、そのサーバー上のすべての Web サイトに適用されます。 この構成により、コンピューターの攻撃可能な領域が増大されます。 専用の Web サーバーで Configuration Manager を実行するのが、セキュリティ上は最適な方法です。 Web サーバー上で他のアプリケーションを実行する必要がある場合は、Configuration Manager のカスタム Web サイトを使用します。 カスタム Web サイトの詳細については、「Configuration Manager のカスタム Web サイトの使用計画」の「Configuration Manager のサイト システムの計画」セクションを参照してください。

Windows Server 2008 コンピューターまたは Windows Server 2008 R2 コンピューターで requestFiltering を変更する方法については、以下の手順を例として参照してください。 これとは別のバージョンのオペレーティング システムを使用している場合は、オペレーティング システムのドキュメントで手順を確認してください。

配布ポイントで IIS の要求フィルタリングを構成するには

  1. 配布ポイントのコンピューターで、%Windir%\System32\Inetsrv\Config\ ディレクトリにある applicationHost.config ファイルを開きます。

  2. <requestFiltering> セクションを見つけます。

  3. この配布ポイントのパッケージに含めるファイル名の拡張子を決定します。 必要な拡張子とフォルダー名ごとに、次の手順を実行します。

    - **fileExtension** 要素として記載されている場合は、**allowed** の値を **true** に設定します。
    
      たとえば、コンテンツに拡張子が .mdb のファイルが含まれる場合は、行 **\<add fileExtension=".mdb" allowed="false" /\>** を **\<add fileExtension=".mdb" allowed="true" /\>** に変更します。
    
      コンテンツに必要なファイル名拡張子のみを許可してください。
    
    - **\<hiddenSegments\>** 要素として記載されている場合は、ファイル名拡張子またはフォルダー名に一致するエントリをファイルから削除します。
    
      たとえば、コンテンツに **bin** という名前のフォルダーが含まれる場合は、行 \<**add segment=”bin” /\>** をファイルから削除します。
    
  4. applicationHost.config ファイルを保存して閉じて、構成を完了します。