• [アーティクル]

Configuration Manager のサイト コンポーネントの構成

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

サイト コンポーネントを構成することで、サイトのサイト システムの役割の動作と、サイト ステータスのレポート処理の動作を制御します。 サイト システムの役割の構成は、特定のサイトのサイト システムの役割の各インスタンスに適用されます。 この構成は、各サイトで個別に作成する必要があり、複数のサイトには適用できません。

Configuration Manager のサイト コンポーネントの構成

サイト コンポーネントを構成することで、サイトのサイト システムの役割の動作と、サイト ステータスのレポート処理の動作を制御します。 サイト システムの役割の構成は、特定のサイトのサイト システムの役割の各インスタンスに適用されます。 この構成は、各サイトで個別に作成する必要があり、複数のサイトには適用できません。

特定のサイトで構成するサイト コンポーネントを選択するには、次の手順に従います。

サイトでサイト コンポーネントを編集するには

  1. Configuration Manager コンソールで [管理] をクリックします。

  2. [管理] ワークスペースで、[サイトの構成] を展開して、[サイト] をクリックします。

  3. 構成するサイト コンポーネントが属しているサイトを選択します。

  4. [ホーム] タブの [設定] グループで [サイト コンポーネントの構成] をクリックして、構成するサイト コンポーネントを選択します。

サイト コンポーネントの構成オプション

サイト コンポーネントの構成オプションの多くは、わかりやすい名前がついているので説明の必要がないか、ウィザードかダイアログ ボックス内に追加情報が表示されます。 構成前に多少の説明が必要となる設定の詳細については、以下のセクションを参照してください。

システム正常性検証ツール ポイント コンポーネントのプロパティ

サイトにシステム正常性検証ツール ポイントをインストールして、ソフトウェア更新プログラム用にネットワーク アクセス保護を使用する場合にのみ、これらの構成オプションを構成してください。

構成オプション

説明

クエリ間隔 (分)

システム正常性検証ツール ポイントが、Active Directory ドメイン サービスから Configuration Manager の稼働状態の基準を取得してキャッシュする間隔を分単位で指定します。 グローバル カタログ サーバーに対する LDAP (Lightweight Directory Access Protocol) 呼び出しを使用して、情報を取得します。

この値が小さいほど、システム正常性検証ツールは Configuration Manager NAP ポリシーの変更をより頻繁に検出します。ただし、Configuration Manager NAP ポリシーで指定された必要なソフトウェアの更新がすべてインストールされているクライアントでも、非対応として検出される可能性が高くなります。 この場合は、ネットワーク ポリシー サーバーのポリシーが非対応クライアントのネットワーク アクセスを制限するように構成されていると、クライアントは、Configuration Manager NAP ポリシーをダウンロードしてコンプライアンス対応を再評価し、新しい正常性ステートメントをシステム正常性検証ツール ポイントに送信するまでネットワーク アクセスが制限されます。 この処理には数分かかることがあります。

この値が大きいほど、Configuration Manager NAP ポリシーで指定された必要なソフトウェア更新プログラムがすべてインストールされているクライアントが、非対応として検出される可能性が低くなります。 この場合は、クライアントが Configuration Manager NAP ポリシーをダウンロードしてコンプライアンス対応を再評価するためのネットワーク アクセスが制限されることはありません。 ただし、この値が大きいと、クライアントは、最新の Configuration Manager NAP ポリシーを使用して対応を評価していないときに対応していると判断される可能性があります。

選択されたソフトウェアの更新がインストールされているクライアントがネットワーク アクセスを制限される可能性を減らす一方で、対応結果が最新の Configuration Manager NAP ポリシーに基づくようにするためには、このオプションがクライアント設定 [クライアント ポリシーのポーリング間隔 (分)] で指定した値 (クライアント ポリシーの既定のポーリング間隔は 1 時間に 1 回です) の 2 倍になるように構成してください。

この設定は、1 ~ 10080 分の間で指定できます。既定値は 120 分です。

有効期間 (時間)

キャッシュされたクライアントの正常性ステートメントが、システム正常性検証ツール ポイントで対応として受け入れられる時間を時間単位で指定します。

クライアントの正常性ステートメントが有効期間を過ぎている場合は、システム正常性検証ツール ポイントから非対応の正常性状態がネットワーク ポリシー サーバーに返されます。 この場合は、ネットワーク ポリシー サーバーのポリシーによってコンプライアンス対応が強制されると、クライアントが対応ステータスを再評価して新しい正常性ステートメントを生成することになります。 したがって、有効期間を長くすると、処理時間 (および接続時間) は短縮されますが、対応情報が最新の状態に保たれない可能性があります。

この設定は、1 ~ 168 時間の間で指定できます。既定値は 26 時間です。

System_CAPS_important重要

既定の有効期間を変更する場合は、構成済みの NAP 再評価スケジュールのクライアント設定よりも高い値を指定してください。 クライアントで実行される対応評価の間隔が有効期間より長い場合、クライアントは、システム正常性検証ツール ポイントによって非対応として検出されます。

この場合、対応を再評価して現在の正常性ステートメントを作成するようにクライアントに指示することで改善できます。 この処理が完了するには数分かかることがあるので、ネットワーク ポリシー サーバーのポリシーが非対応コンピューターのネットワーク アクセスを制限するように構成されている場合、コンピューターは、この再評価の時間中はネットワーク全体のネットワーク リソースにアクセスできません。

次の作成日時以降に限定する (UTC)

指定した日時 (世界協定時刻) 以降にクライアントの正常性ステートメントが作成されるようにするかどうかを指定します。 このオプションを選択した後に、日時を選択します。 この日時は、現在または以前の日時にする必要があり、将来の値に設定することはできません。

新しい Configuration Manager ネットワーク アクセス保護 (NAP) ポリシーを構成したばかりで、有効期間に関係なく、ポリシーで選択したソフトウェアの更新を評価に含める必要がある場合は、このオプションを設定するのが妥当です。

既定では、このオプションは無効になっています。

Active Directory フォレストを指定する

このサイトのサイト サーバーとシステム正常性検証ツール ポイントが同じ Active Directory フォレスト内に存在しないことを指定します。 この環境用にシステム正常性検証ツール コンポーネントを構成するには、システム正常性検証ツール ポイントがどのフォレストにあるかを特定し、両者間に信頼関係が存在するか確認し、どのフォレストが Configuration Manager の稼働状態の基準を発行するかを決定する必要があります。

正常性状態の参照を発行する Active Directory フォレストは、Configuration Manager スキーマ拡張で拡張すること、サイト サーバーを Active Directory に発行すること、Active Directory の System Management コンテナーにアクセス許可を適切にを設定することが必要になります。 Active Directory の依存関係が、Configuration Manager の稼働状態の基準を発行するのに使用するフォレストの決定に影響することがあります。

次に、Configuration Manager のネットワーク アクセス保護が複数の Active Directory フォレストにまたがる場合の基本的な構成を 4 つ示します。 これらの構成例を参考にして、どの Active Directory フォレストが正常性状態の参照を発行するか決定してください。

  • サイト サーバーがある Active Directory フォレストと、すべてのシステム正常性検証ツール ポイントがある Active Directory フォレストは異なります。Configuration Manager の稼働状態の基準は、サイト サーバーを含むフォレストに発行されます。Configuration Manager 用に Active Directory ドメイン サービスを拡張でき、システム正常性検証ツール ポイントが境界ネットワークに存在する場合、このオプションを選択します。

  • サイト サーバーがある Active Directory フォレストと、すべてのシステム正常性検証ツール ポイントがある Active Directory フォレストは異なります。Configuration Manager の稼働状態の基準は、システム正常性検証ツール ポイントを含むフォレストに発行されます。Configuration Manager 用に Active Directory ドメイン サービスを拡張できなくても、2 つ目のフォレストのスキーマを拡張できる場合、このオプションを選択します。

  • サイト サーバーがある Active Directory フォレストと、すべてのシステム正常性検証ツール ポイントがある Active Directory フォレストは異なります。Configuration Manager の稼働状態の基準は、他の 2 つのフォレストと信頼関係にある 3 つ目の Active Directory フォレストに発行されています (フォレストの信頼関係または外部ドメインの信頼関係)。 どちらのフォレストにも Active Directory ドメイン サービスを拡張できなくても、新しいまたは既存のフォレストのスキーマを拡張できる場合、このオプションを選択します。

  • サイト サーバーがある Active Directory フォレストと、すべてのシステム正常性検証ツール ポイントがある Active Directory フォレストは異なります。Configuration Manager の稼働状態の基準は、他の 2 つのフォレストとは信頼関係がない 3 つ目の Active Directory フォレストに発行されます (フォレストの信頼関係も外部ドメインの信頼関係もない)。 どちらのフォレストにも Active Directory ドメイン サービスを拡張できなくても、他の 2 つのフォレストとは信頼関係を持つことができない新しいまたは既存のフォレストのスキーマを拡張できる場合、このオプションを選択します。

稼働状態の基準の公開アカウント

次のいずれかが当てはまる場合は、指定した Active Directory フォレスト内の Microsoft Windows ユーザー アカウントを指定します。

  • 指定したフォレストが、サイト サーバーのフォレストではない。

  • サイト サーバーのドメインと指定したドメイン サフィックスの間に信頼関係が存在しない。

  • サイト サーバーのドメインと指定したドメイン サフィックスの間に信頼関係が存在するが、サイト サーバーのコンピューター アカウントが含まれる Active Directory の System Management コンテナーにフル コントロール アクセス許可が付与されていない。

稼働状態の基準のクエリ アカウント

次のいずれかが当てはまる場合は、指定した Active Directory フォレスト内の Windows ユーザー アカウントを指定します。

  • 指定したフォレストが、システム正常性検証ツール ポイントのフォレストではない。

  • システム正常性検証ツール ポイントと指定したドメイン サフィックスの間に信頼関係が存在しない。

ソフトウェアの配布コンポーネントのプロパティ

構成オプション

説明

ネットワーク アクセス アカウント

ワークグループまたは信頼関係のないドメインのクライアント コンピューターからネットワーク リソースへのアクセスが必要な場合は、ネットワーク アクセス アカウント用の Windows ユーザー アカウントを指定します。

System_CAPS_important重要

ネットワーク アクセス アカウントは、プログラムの実行、ソフトウェア更新プログラムのインストール、タスク シーケンスの実行のためのセキュリティ コンテキストとして使用されることはありません。 ネットワーク上のリソースへのアクセス専用に使用されます。

Configuration Manager クライアント コンピューターは、コンピューター上のほとんどの Configuration Manager クライアントの操作の実行に、ローカル システム アカウントを使用しますが、ローカル システム アカウントはネットワーク リソースにアクセスすることはできません。 たとえば、コンピューターが接続を確立してソフトウェアをダウンロードできるように、ローカル システム アカウントは配布ポイントに対しコンピューターを認証します。 これらのシナリオでは、信頼済みドメインのクライアントは <computername>$ アカウントを使用してネットワーク リソースにアクセスします。 コンピューターの認証に <computername>$ アカウントを使用できないコンピューターでは、ネットワーク アクセス アカウント用に指定した Windows ユーザー アカウントを使用できます。

オペレーティング システムを展開する場合にも、ネットワーク アクセス アカウント用に Windows ユーザー アカウントの指定が必要になることがあります。 その理由は、オペレーティング システムを受信するコンピューターには、ネットワーク上のコンテンツへのアクセスに使用できるセキュリティ コンテキストがないためです。

[!メモ]

Windows ユーザー アカウントを指定する際に、ソフトウェアのダウンロードのためにアクセスが必要なコンテンツに対し、適切な最小限のアクセス許可を付与するようにアカウントを構成してください。 このアカウントには、配布ポイントまたはパッケージ コンテンツが格納されている別のサーバーに対する [ネットワーク経由でコンピューターへアクセス] ユーザー権限が付与されている必要があります。

このアカウントには、対話型ログオンのユーザー権限、または、コンピューターをドメインに含めるユーザー権限を付与しないでください。 タスク シーケンス中にコンピューターをドメインに参加させる必要がある場合は、タスク シーケンス エディターのドメイン参加アカウントを使用します。

System Center 2012 R2 Configuration Manager 以降: 1 つのサイトに複数のネットワーク アクセス アカウントを指定できるようになりました。 クライアントがコンテンツにアクセスしようとしたときに、ローカル コンピューター アカウントを使用できない場合、最初に、前回正常に接続したネットワーク アクセス アカウントを使用します。Configuration Manager では、最大 10 個のネットワーク アクセス アカウントを追加できます。

ソフトウェアの更新ポイント コンポーネントのプロパティ

ソフトウェアの更新ポイント コンポーネントの構成オプションの詳細については、「ソフトウェアの更新の構成」を参照してください。

管理ポイント コンポーネントのプロパティ

構成オプション

説明

管理ポイント

Active Directory ドメイン サービスに発行する Configuration Manager サイト内の管理ポイントを指定します。

Configuration Manager クライアントは、境界グループのメンバーシップや PKI 証明書の選択オプションなどのサイト情報を検索したり、ソフトウェアをダウンロードできるサイト内のその他の管理ポイントや配布ポイントを見つけるための、サービスの場所用に管理ポイントを使用します。 また、クライアントは管理ポイントを使用して、サイト割り当ての実行、クライアント ポリシーのダウンロード、クライアント情報のアップロードを行ないます。

クライアントが管理ポイントを見つけるには、Active Directory ドメイン サービスに発行するのが最も安全な方法であるため、通常は、機能している管理ポイントをすべて選択して Active Directory ドメイン サービスに発行します。 ただし、サービスの場所として使用する場合、Configuration Manager 用にスキーマを拡張すること、System Management コンテナーと、サイト サーバーがこのコンテナーに発行するために必要なセキュリティのアクセス許可があること、Active Directory ドメイン サービスに発行するように Configuration Manager サイトを構成すること、および、クライアントがサイト サーバーのフォレストと同じ Active Directory フォレストに属していることが必要になります。

イントラネット上のクライアントが管理ポイントの検索に Active Directory ドメイン サービスを使用できない場合は、DNS 発行を使用します。

選択したイントラネット管理ポイントを DNS に発行する

イントラネット上のクライアントが Active Directory ドメイン サービスを使用して管理ポイントを検索できないけれど、DNS サービスの場所のリソース レコード (SRV RR) を使用して、割り当てられたサイト内の管理ポイントを検索できる場合は、このオプションを指定します。

Configuration Manager がイントラネットの管理ポイントを DNS に発行するには、次の条件が満たされていなければなりません。

  • DNS サーバーが、バージョン 8.1.2 以降の BIND を使用している。

  • DNS サーバーが自動更新用に構成されていて、サービスの場所のリソース レコードをサポートする。

  • Configuration Manager 内の管理ポイント用に指定された FQDN に DNS のホスト エントリ (A または AAA レコード) がある。

System_CAPS_warning警告

クライアントが DNS に発行された管理ポイントを検索できるようにするには、クライアントを特定のサイトに割り当て (サイトの自動割り当ては使用しない)、管理ポイントのドメイン サフィックスを持つサイト コードを使用するようにクライアントを構成します。 詳細については、「Configuration Manager で DNS 発行を使用して、管理ポイントを検出するようにクライアント コンピューターを構成する方法」をご覧ください。

Configuration Manager クライアントがイントラネット上の管理ポイントの検索に Active Directory ドメイン サービスも DNS も使用できない場合は、WINS を使用するように切り替えられます。 イントラネット上の HTTP クライアント接続を受信するように構成されている場合、サイトで最初にインストールされた管理ポイントが自動的に WINS に発行されます。

帯域外管理ポイント コンポーネントのプロパティ

System_CAPS_important重要

帯域外管理コンポーネントの構成オプションを保存するには、少なくとも 1 つの登録ポイントがサイトにインストールされている必要があります。

帯域外管理ポイント コンポーネントの構成オプションの詳細については、「手順 5:帯域外管理コンポーネントの構成」を参照してください。

コレクション メンバーシップの評価

[!メモ]

System Center 2012 Configuration Manager SP1 以降:

このタスクは、コレクションのメンバーシップの変更箇所を評価する頻度を変更する場合に使用します。 変更箇所の評価は、新しいリソースが追加された場合またはリソースが変更された場合にのみコレクションのメンバーシップを更新します。

サービス パックが適用されていない Configuration Manager の場合、サイト メンテナンス タスクとしてコレクション メンバーシップの評価を構成します。 詳細については、「Configuration Manager のサイト運用の計画」トピックの「Configuration Manager のメンテナンス タスクの計画」セクションをご覧ください。