Suporte para domínios do Active Directory no Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Todos os sistemas de site Configuration Manager devem ser membros de um domínio do Active Directory com suporte. Configuration Manager computadores cliente podem ser membros do domínio ou membros do grupo de trabalho.
Requisitos e limitações
A associação de domínio também se aplica a sistemas de sites que dão suporte ao gerenciamento de clientes baseados na Internet em uma rede de perímetro. (Essas redes também são conhecidas como DMZ, zona desmilitarizada e sub-rede exibida).
Não há suporte para alterar as seguintes configurações para um computador que hospeda uma função de sistema de site:
Associação de domínio, incluindo se você remover um sistema de site do domínio e, em seguida, voltar ao mesmo domínio.
Nome de domínio
Nome do computador
Antes de fazer essas alterações, desinstale a função do sistema de sites. Para fazer essas alterações em um servidor de site, desinstale o site primeiro. Você também pode considerar a criação de um servidor de site no modo passivo para ajudar a gerenciar essa alteração em um servidor de site.
Configuration Manager dá suporte ao nível funcional de domínio e floresta do Windows Server 2008 R2 ou posterior.
Namespace desarticulado
Você pode instalar Configuration Manager sistemas de site e clientes em um domínio que tenha um namespace desarticulado.
Em um namespace desarticulado, o sufixo DNS primário de um computador não corresponde ao nome de domínio DNS do Active Directory desse computador. Outro cenário de namespace desarticulado ocorrerá se o nome de domínio NetBIOS de um controlador de domínio não corresponder ao nome de domínio DNS do Active Directory.
Cenários de desarticulação
As seções a seguir identificam os cenários com suporte para um namespace desarticulado.
Cenário 1
O sufixo DNS primário do controlador de domínio difere do nome de domínio DNS do Active Directory. Os computadores que são membros do domínio podem ser contíguos ou não contíguos.
O controlador de domínio é desarticulado neste cenário. Computadores que são membros do domínio, como servidores de site e computadores, podem ter um sufixo DNS primário que corresponda:
- O sufixo DNS primário do controlador de domínio
- O nome de domínio DNS do Active Directory
Cenário 2
Um computador membro em um domínio do Active Directory é desarticulado, mesmo que o controlador de domínio não seja desarticulado.
Nesse cenário, o sufixo DNS primário de um sistema de site difere do nome de domínio DNS do Active Directory. O sufixo DNS primário do controlador de domínio é o mesmo que o nome de domínio DNS do Active Directory. Computadores membros Configuration Manager clientes podem ter um sufixo DNS primário que corresponda:
- O sufixo DNS primário do servidor de sistema de site desarticulado
- O nome de domínio DNS do Active Directory
Configurar o namespace separado
Para permitir que um computador acesse controladores de domínio que são desarticulados, altere o atributo msDS-AllowedDNSSuffixes Active Directory no contêiner de objeto de domínio. Adicione os dois sufixos DNS ao atributo.
Para garantir que a lista de pesquisa de sufixo DNS contenha todos os namespaces DNS na organização, configure a lista de pesquisa para cada computador no domínio desarticulado. Inclua os seguintes sufixos na lista de namespaces:
- O sufixo DNS primário do controlador de domínio
- O nome de domínio DNS
- Quaisquer namespaces adicionais para outros servidores que Configuration Manager poderão se comunicar com
Você pode usar a política de grupo para configurar a lista de pesquisa de sufixo do DNS (Sistema de Nomes de Domínio ).
Importante
Quando você referenciar um computador em Configuration Manager, insira o computador usando seu sufixo DNS primário. Esse sufixo deve corresponder ao nome de domínio totalmente qualificado registrado como o atributo dnsHostName no domínio do Active Directory e o nome da entidade de serviço associado ao sistema.
Domínios de rótulo único
Configuration Manager dá suporte a sistemas de site e clientes em um único domínio de rótulo quando os seguintes critérios são atendidos:
Configure o domínio de rótulo único no Active Directory Domain Services com um namespace DNS desarticulado que tenha um domínio de nível superior válido.
Por exemplo: O domínio de rótulo único da Contoso está configurado para ter um namespace desarticulado no DNS de contoso.com. Quando você especifica o sufixo DNS em Configuration Manager para um computador no domínio Contoso, você especifica "Contoso.com" e não "Contoso".
As conexões de DCOM (modelo de objeto de componente distribuído) entre servidores de site no contexto do sistema devem ser bem-sucedidas usando a autenticação Kerberos.