Stöd för Active Directory-domäner i Configuration Manager

Gäller för: Konfigurationshanteraren (current branch)

Alla Configuration Manager platssystem måste vara medlemmar i en Active Directory-domän som stöds. Configuration Manager klientdatorer kan vara domänmedlemmar eller arbetsgruppsmedlemmar.

Krav och begränsningar

• Domänmedlemskap gäller även för platssystem som stöder Internetbaserad klienthantering i ett perimeternätverk. (Dessa nätverk kallas även dmz, demilitariserad zon och skärmat undernät).

• Det går inte att ändra följande konfigurationer för en dator som är värd för en platssystemroll:

  • Domänmedlemskap, inklusive om du tar bort ett platssystem från domänen och sedan återansluter till samma domän.

  • Domännamn

  • Datornamn

  Avinstallera platssystemrollen innan du gör de här ändringarna. Om du vill göra dessa ändringar på en platsserver avinstallerar du platsen först. Du kan också överväga att skapa en platsserver i passivt läge för att hantera den här ändringen på en platsserver.

• Configuration Manager stöder domän- och skogsfunktionsnivå för Windows Server 2008 R2 eller senare.

Uppdelad namnrymd

Du kan installera Configuration Manager platssystem och klienter i en domän som har en uppdelad namnrymd.

I ett disjoint namnområde matchar inte det primära DNS-suffixet för en dator Datorns Active Directory DNS-domännamn. Ett annat scenario för disjoint-namnområde inträffar om NetBIOS-domännamnet för en domänkontrollant inte matchar Active Directory DNS-domännamnet.

Olika scenarier

I följande avsnitt identifieras de scenarier som stöds för ett osammanhängande namnområde.

Scenario 1

Domänkontrollantens primära DNS-suffix skiljer sig från Active Directory DNS-domännamnet. Datorer som är medlemmar i domänen kan antingen vara åtskilda eller inte åtskilda.

Domänkontrollanten är uppdelad i det här scenariot. Datorer som är medlemmar i domänen, till exempel platsservrar och datorer, kan ha ett primärt DNS-suffix som antingen matchar:

• Domänkontrollantens primära DNS-suffix
• Active Directory DNS-domännamnet

Scenario 2

En medlemsdator i en Active Directory-domän är uppdelad, även om domänkontrollanten inte är uppdelad.

I det här scenariot skiljer sig det primära DNS-suffixet för ett platssystem från Active Directory DNS-domännamnet. Domänkontrollantens primära DNS-suffix är samma som Active Directory DNS-domännamnet. Medlemsdatorer som är Configuration Manager klienter kan ha ett primärt DNS-suffix som antingen matchar:

• Det primära DNS-suffixet för den uppdelade platssystemservern
• Active Directory DNS-domännamnet

Konfigurera disjoint-namnområde

Om du vill tillåta att en dator får åtkomst till domänkontrollanter som är åtskilda ändrar du Active Directory-attributet msDS-AllowedDNSSuffixes i domänobjektcontainern. Lägg till båda DNS-suffixen i attributet.

För att se till att söklistan för DNS-suffix innehåller alla DNS-namnområden i organisationen konfigurerar du söklistan för varje dator i den uppdelade domänen. Inkludera följande suffix i listan över namnområden:

• Domänkontrollantens primära DNS-suffix
• DNS-domännamnet
• Eventuella ytterligare namnområden för andra servrar som Configuration Manager kan kommunicera med

Du kan använda grupprincip för att konfigurera söklistan för DNS-suffix (Domain Name System ).

Domäner med en etikett

Configuration Manager stöder platssystem och klienter i en domän med en enda etikett när följande kriterier uppfylls:

• Konfigurera domänen med en etikett i Active Directory Domain Services med ett osammanhängande DNS-namnområde som har en giltig toppnivådomän.

  Till exempel: Contosos domän med en etikett är konfigurerad för att ha ett osammanhängande namnområde i DNS för contoso.com. När du anger DNS-suffixet i Configuration Manager för en dator i Contoso-domänen anger du "Contoso.com" och inte "Contoso".

• DCOM-anslutningarna (Distributed Component Object Model) mellan platsservrar i systemkontexten måste lyckas med hjälp av Kerberos-autentisering.