Förbered Windows-miljön för Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Använd informationen i följande stycken som hjälp för att konfigurera din Windows-miljö så att den stöder System Center 2012 Configuration Manager.

  • Förbered Active Directory för Configuration Manager

    • Utöka Active Directory-schemat

    • Skapa System Management-behållaren

    • Ange säkerhetsbehörighet för System Management-behållaren

    • Aktivera Active Directory-publicering för Configuration Manager-platsen

  • Konfigurera Windows-baserade servrar för Configuration Manager-platssystemroller

    • RDC (Remote Differential Compression)

    • IIS (Internet Information Services)

    • Begärandefiltrering för IIS

Förbered Active Directory för Configuration Manager

När du utökar Active Directory-schemat är den här åtgärden en skogsomfattande konfiguration som du måste göra en gång per skog. Att utöka schemat går inte att ångra och måste utföras av en användare som är medlem i Schema-administratörsgruppen eller som har tilldelats tillräcklig behörighet för att ändra schemat. Om du beslutar dig för att utöka Active Directory-schemat kan du utöka det före eller efter installationen. Information som hjälper dig att besluta om du ska utöka Active Directory-schemat finns i Avgöra om du ska utöka Active Directory-schemat för Configuration Manager.

System_CAPS_tipTips

Om Active Directory-schemat utökats med Configuration Manager 2007-schematilläggen behöver du inte utöka schemat för System Center 2012 Configuration Manager. Active Directory-schematilläggen har inte ändrats från Configuration Manager 2007.

Det krävs fyra åtgärder för att lyckas aktivera Configuration Manager-klienter att fråga Active Directory Domain Services att leta reda på platsresurserna:

  • Utöka Active Directory-schemat.

  • Skapa System Management-behållaren.

  • Ange säkerhetsbehörighet för System Management-behållaren.

  • Aktivera Active Directory-publicering för Configuration Manager-platsen

Utöka Active Directory-schemat

Configuration Manager har stöd för två metoder att utöka Active Directory-schemat. Den första är att använda verktyget extadsch.exe. Den andra är att använda verktyget LDIFDE för att importera schemautökningsinformationen med filen ConfigMgr_ad_schema.ldf.

System_CAPS_noteObs!

Innan du utökar ditt Active Directory-schema ska du testa schematilläggen för konflikter med ditt befintliga Active Directory-schema. Information om hur du testar Active Directory-schematilläggen finns i Testa för Active Directory-schematilläggskonflikter i dokumentationen till Active Directory Domain Services.

Utöka Active Directory-schemat med ExtADSch.exe

Du kan utöka Active Directory-schemat genom att köra filen extadsch.exe, som finns i mappen SMSSETUP\BIN\X64 på installationsmediet för Configuration Manager. Filen extadsch.exe visar inga utdata när den körs, men ger återkoppling om den körs som kommandorad från en kommandokonsol. När du kör extadsch.exe genererar programmet en loggfil i datorns rotkatalog med namnet extadsch.log, som anger om schemauppdateringen lyckades eller om några problem inträffade när schemat utökades.

System_CAPS_tipTips

Förutom att en loggfil genereras visar programmet extadsch.exe resultat i konsolfönstret när det körs från kommandoraden.

Användning av extadsch.exe har följande begränsningar:

  • Extadsch.exe stöds inte på Windows 2000-baserade datorer. Om du vill utöka Active Directory-schemat på en Windows 2000-baserad dator använder du ConfigMgr_ad_schema.ldf.

  • För att extadsch.log ska kunna skapas när du kör extadsch.exe på en dator med Windows Vista måste du bara inloggad på datorn med ett konto som har lokal administratörsbehörighet.

Utöka Active Directory-schemat med ExtADSch.exe

  1. Skapa en säkerhetskopia av systemtillståndet för schemats huvuddomänkontrollant.

  2. Kontrollera att du är inloggad på schemats huvuddomänkontrollant med ett konto som är medlem i säkerhetsgruppen Schemaadministratörer.

    System_CAPS_importantViktigt

    Du måste vara inloggad som medlem i gruppen Schemaadministratörer för att kunna utöka schemat. Om du kör filen extadsch.exe med kommandot Kör som för att försöka utöka schemat med annan inloggningsinformation kommer att misslyckas.

  3. Kör extadsch.exe, som finns i \SMSSETUP\BIN\X64 på installationsmediet, för att lägga till de nya klasserna och attributen till Active Directory-schemat.

  4. Verifiera att schemat har utökats genom att titta i filen extadsch.log, som finns i datorns rotkatalog.

  5. Om schemat inte har utökats återställer du schemahanterarens föregående systemtillstånd från den säkerhetskopia du skapade i steg 1.

    System_CAPS_noteObs!

    För att återställa systemtillståndet på en Windows-domänkontrollant måste datorn startas om i Återställningsläge för katalogtjänster. Mer information om Återställningsläge för katalogtjänster finns i Starta om domänkontrollanten i Återställningsläge för katalogtjänster lokalt.

Utöka Active Directory-schemat med en LDIF-fil

Du kan använda kommandoradsverktyget LDIFDE för att importera katalogobjekt till Active Directory Domain Services med LDIF-filer (LDAP Data Interchange Format).

För att ändringarna i Active Directory-schemat ska synas bättre än med verktyget extadsch.exe kan du använda verktyget LDIFDE för att importera schematilläggsinformation med filen ConfigMgr_ad_schema.ldf, som finns i mappen SMSSETUP\BIN\X64 på installationsmediet för Configuration Manager.

System_CAPS_noteObs!

Filen ConfigMgr_ad_schema.ldf har inte ändrats från den version som följde med Configuration Manager 2007.

Utöka Active Directory-schemat med filen ConfigMgr_ad_schema.ldf

  1. Skapa en säkerhetskopia av systemtillståndet för schemats huvuddomänkontrollant.

  2. Öppna filen ConfigMgr_ad_schema.ldf, som finns i katalogen SMSSETUP\BIN\X64 på installationsmediet för Configuration Manager, och redigera filen för att definiera den Active Directory-rotdomän som ska utökas. Alla förekomster av texten DC=x i filen måste ersättas med det fullständiga namnet på den domän som ska utökas.

    Om t.ex. det fullständiga namnet på den domän som ska utökas är widgets.microsoft.com, byter du alla förekomster av DC=x i filen till DC=widgets, DC=microsoft, DC=com.

  3. Använd kommandoradsverktyget LDIFDE för att importera innehållet i filen ConfigMgr_ad_schema.ldf till Active Directory Domain Services.

    Följande kommandorad importerar t.ex. schematilläggen till Active Directory Domain Services, aktiverar utförlig loggning och skapar en loggfil under importen: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <plats där loggfil ska sparas>

  4. Du kan verifiera att schemat har utökats genom att titta i den loggfil som skapades med kommandoraden i steg 3.

  5. Om schemat inte har utökats återställer du schemahanterarens föregående systemtillstånd från den säkerhetskopia du skapade i steg 1.

    System_CAPS_noteObs!

    För att återställa systemtillståndet på en Windows-domänkontrollant måste datorn startas om i Återställningsläge för katalogtjänster. Mer information om Återställningsläge för katalogtjänster finns i Starta om domänkontrollanten i Återställningsläge för katalogtjänster lokalt.

Skapa System Management-behållaren

Configuration Manager skapar inte automatiskt System Management-behållaren i Active Directory Domain Services när schemat utökas. Behållaren måste skapas en gång för varje domän som innehåller en primär Configuration Manager-platsserver eller sekundär platsserver som publicerar platsinformation till Active Directory Domain Services.

System_CAPS_tipTips

Du kan tilldela platsserverns datorkonto behörigheten Fullständig behörighet till systembehållaren i Active Directory Domain Services. Det gör att platsservern automatiskt skapar System Management-behållaren när platsinformation publiceras till Active Directory Domain Services för första gången. Det är dock säkrare att skapa System Management-behållaren manuellt.

Använd ADSI Edit för att skapa System Management-behållaren i Active Directory Domain Services. Mer information om hur du installerar och använder ADSI Edit finns i ADSI Edit (adsiedit.msc) i dokumentationen till Active Directory Domain Services.

Skapa System Management-behållaren manuellt

  1. Logga in som ett konto som har behörigheten Skapa alla underordnade objekt för System-behållaren i Active Directory Domain Services.

  2. Kör ADSI Edit och anslut till den domän där platsservern finns.

  3. Utöka domän <fullständigt domännamn i dator>, utöka <unikt namn>, högerklicka på CN=System, klicka på Nytt, och sedan på Objekt.

  4. I dialogrutan Skapa objekt väljer du Behållare och klickar sedan på Nästa.

  5. I rutan Värde skriver du System Management. Klicka sedan på Nästa.

  6. Slutför proceduren genom att klicka på Slutför.

Ange säkerhetsbehörighet för System Management-behållaren

När du har skapat System Management-behållaren i Active Directory Domain Services måste du ge platsserverns datorkonto de behörigheter som krävs för att publicera platsinformation i behållaren.

System_CAPS_importantViktigt

Den primära platsserverns datorkonto måste få behörigheten Fullständig behörighet för System Management-behållaren och alla underordnade objekt. Om du har sekundära platser måste den sekundära platsserverns datorkonto också få behörigheten Fullständig behörighet för System Management-behållaren och alla underordnade objekt.

Du kan ge de behörigheter som krävs med det administrativa verktyget Active Directory-användare och -datorer eller ADSI Edit (Active Directory Service Interfaces Editor). Mer information om hur du installerar och använder ADSI Edit finns i ADSI Edit (adsiedit.msc).

System_CAPS_noteObs!

Följande procedurer är exempel på hur du konfigurerar Windows Server 2008 R2-datorer. Om du använder en annan operativsystemversion, t.ex. Windows Server 2012 R2, finns mer information om hur du gör motsvarande konfigurationer i dokumentationen för det operativsystemet.

Ge behörigheter till System Management-behållaren med det administrativa verktyget Active Directory-användare och -datorer

  1. Klicka på Start, klicka på Kör och skriv dsa.msc. Det administrativa verktyget Active Directory-användare och -datorer öppnas.

  2. Klicka på Visa och sedan på Avancerade funktioner.

  3. Expandera behållaren System, högerklicka på System Management och klicka sedan på Egenskaper.

  4. I dialogrutan Egenskaper för System Management klickar du på fliken Säkerhet. Klicka sedan på Lägg till för att lägga till platsserverns datorkonto. Ge kontot behörigheten Fullständig behörighet.

  5. Klicka på Avancerat, välj platsserverns datorkonto och klicka på Redigera.

  6. I listan Tillämpa på väljer du Objektet och alla underordnade objekt.

  7. Klicka på OK. Stäng det administrativa verktyget Active Directory-användare och -datorer för att slutföra proceduren.

Ge behörigheter till System Management-behållaren med ADSI Edit-konsolen

  1. Klicka på Start, klicka på Kör och skriv adsiedit.msc. ADSIEdit-konsolen öppnas.

  2. Anslut om det behövs till platsserverns domän.

  3. I konsolfönstret expanderar du platsserverns domän. Expandera DC=<unikt namn för server> och expandera sedan CN=System. Högerklicka på CN=System Management och klicka sedan på Egenskaper.

  4. I dialogrutan Egenskaper för CN=System Management klickar du på fliken Säkerhet. Klicka sedan på Lägg till för att lägga till platsserverns datorkonto. Ge kontot behörigheten Fullständig behörighet.

  5. Klicka på Avancerat, välj platsserverns datorkonto och klicka på Redigera.

  6. I listan Tillämpa på väljer du Objektet och alla underordnade objekt.

  7. Klicka på OK. ADSIEdit-konsolen stängs och proceduren slutförs.

Aktivera Active Directory-publicering för Configuration Manager-platsen

Förutom att utöka Active Directory-schemat, skapa System Management-behållaren och ange behörigheter för behållaren måste du aktivera Configuration Manager för publicering av platsdata till Active Directory Domain Services. Information om hur du publicerar platsdata finns i Planera publicering av platsdata i Active Directory Domain Services

Konfigurera Windows-baserade servrar för Configuration Manager-platssystemroller

Innan du kan använda en Windows Server med System Center 2012 Configuration Manager måste du se till att datorn är konfigurerad för att stödja Configuration Manager-operationer. Använd informationen i följande stycken för att konfigurera Windows-servrar för Configuration Manager. Mer information om kraven för platssystemrollen finns i avsnittet Krav för platssystemroller i hjälpavsnittet Konfigurationer som stöds för Configuration Manager.

System_CAPS_noteObs!

Procedurerna i följande stycken är exempel på hur du konfigurerar Windows Server 2008- och Windows Server 2008 R2-datorer. Om du använder en annan operativsystemversion, t.ex. Windows Server 2012 R2, finns mer information om hur du gör motsvarande konfigurationer i dokumentationen för det operativsystemet.

RDC (Remote Differential Compression)

Platsservrar och distributionsplatser kräver RDC (Remote Differential Compression) för att generera paketsignaturer och jämföra signaturer. Om RDC inte aktiverats måste du aktivera det på dessa platssystemservrar.

Följande procedur är ett exempel på hur du aktiverar RDC på Windows Server 2008- och Windows Server 2008 R2-datorer. Om du har en annan operativsystemversion läser du om motsvarande steg i operativsystemdokumentationen.

Konfigurera RDC för Windows Server 2008 och Windows Server 2008 R2

  1. På datorn med Windows Server 2008 eller Windows Server 2008 R2 går du till Start/Alla program/Administrationsverktyg/Serverhanteraren så startas Serverhanteraren. I Serverhanteraren väljer du noden Funktioner och klickar på Lägg till funktioner så startas guiden Lägg till funktioner.

  2. På sidan Välj funktion väljer du Remote Differential Compression och klickar sedan på Nästa.

  3. Slutför guiden och stäng Serverhanteraren för att slutföra konfigurationen.

IIS (Internet Information Services)

Flera platssystemroller kräver IIS (Internet Information Services). Om IIS inte redan är aktiverad måste du aktivera funktionen på platssystemservrarna innan du installerar en platssystemroll som kräver IIS. Utöver platssystemservern kräver följande platssystemroller IIS:

  • Webbservicepunkt för programkatalog

  • Webbplatspunkt för programkatalog

  • Distributionsplats

  • Registreringsplats

  • Registreringsproxyplats

  • Status för återställningsplats

  • Hanteringsplats

  • Programuppdateringsplats

Den lägsta versionen av IIS som Configuration Manager kräver är standardversionen som medföljer operativsystemet för servern som kör platssystemet.

Exempel: När du aktiverar IIS på en Windows Server 2008-dator som du planerar att använda som en distributionsplats installeras IIS 7.0. Du kan även installera IIS 7.5. Om du aktiverar IIS på en Windows 7-dator för en distributionsplats installeras IIS 7.5 automatiskt. Du kan inte använda IIS version 7.0 för en distributionsplats som kör Windows 7.

Följande procedur är ett exempel på hur du installerar IIS på en dator med Windows Server 2008 eller Windows Server 2008 R2. Om du har en annan operativsystemversion läser du om motsvarande steg i operativsystemdokumentationen.

Installera IIS (Internet Information Services) på datorer med Windows Server 2008 och Windows Server 2008 R2

  1. På datorn med Windows Server 2008 eller Windows Server 2008 R2 går du till Start/Alla program/Administrationsverktyg/Serverhanteraren så startas Serverhanteraren. I Serverhanteraren väljer du noden Funktioner och klickar på Lägg till funktioner så startas guiden Lägg till funktioner.

  2. På sidan Välj funktioner i guiden Lägg till funktioner installerar du ytterligare funktioner som krävs för att hantera de platssystemroller du installerar på den här datorn. Om du till exempel vill lägga till Servertillägg för BITS:

    - För Windows Server 2008 markerar du kryssrutan **Servertillägg för BITS**. För Windows Server 2008 R2 markerar du kryssrutan **Background Intelligent Transfer Services (BITS)**. När du uppmanas till det klickar du på **Lägg till nödvändiga rolltjänster** så läggs beroende komponenter till, bland annat rollen Webbserver (IIS). Klicka sedan på **Nästa**.
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh272770.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Tips</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Om du konfigurerar en dator som ska bli en platsserver eller en distributionsplats markerar du kryssrutan för <strong>Remote Differential Compression</strong>.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
  3. På sidan Webbserver (IIS) i guiden Lägg till funktioner klickar du på Nästa.

  4. På sidan Välj rolltjänster i guiden Lägg till funktioner installerar du ytterligare rolltjänster som krävs för att hantera de platssystemroller du installerar på den här datorn. Om du till exempel vill lägga till ASP.NET och Windows-autentisering:

    - För **Programutveckling** markerar du kryssrutan **ASP.NET** och när du uppmanas till det klickar du på Lägg till nödvändiga rolltjänster, så läggs de beroende tjänsterna till.
    
    - För **Säkerhet** markerar du kryssrutan **Windows-autentisering**.
    
  5. I noden Hanteringsverktyg går du till IIS 6-kompatibilitetshantering och markerar kryssrutorna IIS 6-metabaskompatibilitet och IIS 6 WMI-kompatibilitet. Klicka sedan på Nästa.

  6. På sidan Bekräftelse klickar du på Installera, slutför guiden och stänger Serverhanteraren för att slutföra konfigurationen.

Begärandefiltrering för IIS

Som standard blockerar IIS flera filnamnstillägg och mapplatser från åtkomst med HTTP- eller HTTPS-kommunikation. Om paketkällfilerna innehåller tillägg som blockeras i IIS måste du konfigurera avsnittet requestFiltering i filen applicationHost.config på distributionsplatsdatorer.

Följande filnamnstillägg används av Configuration Manager för paket och program. Tillåt följande filnamnstillägg på distributionsplatser:

  • .PCK

  • .PKG

  • .STA

  • .TAR

Du kan exempelvis ha källfiler för en programdistribution som inkluderar en mapp med namnet bin eller som innehåller en fil med filnamnstillägget .mdb. Som standard blockerar IIS-begärandefiltreringen åtkomst till de här elementen. När du använder standardkonfigurationen för IIS på en distributionsplats laddar inte klienter som använder BITS ned den här programdistributionen från distributionsplatsen. I det här scenariot indikerar klienterna att de väntar på innehåll. Om du vill aktivera nedladdning av det här innehållet på klienterna med BITS, redigerar du avsnittet requestFiltering i filen applicationHost.config på varje aktuell distributionsplats, för att tillåta åtkomst till filer och mappar i programdistributionen.

System_CAPS_importantViktigt

Ändringar i avsnittet requestFiltering gäller för alla webbplatser på den servern. Med den här konfigurationen ökas datorns attackyta. En rekommenderad säkerhetsmetod är att köra Configuration Manager på en dedikerad webbserver. Om du måste köra andra program på webbservern använder du en anpassad webbplats för Configuration Manager. Mer information om anpassade webbplatser finns i avsnittet Planera för anpassade webbplatser med Configuration Manager i Planera platssystem i Configuration Manager.

Följande procedur är ett exempel på hur du ändrar requestFiltering på en dator med Windows Server 2008 eller Windows Server 2008 R2. Om du har en annan operativsystemversion läser du om motsvarande steg i operativsystemdokumentationen.

Konfigurera begärandefiltrering för IIS på distributionsplatser

  1. Öppna filen applicationHost.config på distributionsplatsdatorn, i mappen %Windir%\System32\Inetsrv\Config\.

  2. Sök efter avsnittet < requestFiltering >.

  3. Bestäm vilka filnamnstillägg och mappnamn du vill ha i paketen på distributionsplatsen. För varje tillägg och mappnamn du vill ha utför du följande steg:

    - Om elementet är listat som **fileExtension** anger du värdet **true** för **allowed**.
    
      Om innehållet exempelvis omfattar en fil med ett .mdb-tillägg ändrar du raden **\<add fileExtension=".mdb" allowed="false" /\>** till **\<add fileExtension=".mdb" allowed="true" /\>**.
    
      Tillåt bara de filnamnstillägg som krävs för innehållet.
    
    - Om elementet är listat som **\<hiddenSegments\>** tar du bort posten som matchar filnamnstillägget eller mappnamnet från filen.
    
      Om innehållet exempelvis omfattar en mapp med etiketten **bin** tar du bort raden \<**add segment=”bin” /\>** från filen.
    
  4. Spara och stäng filen applicationHost.config för att slutföra konfigurationen.