选项略有不同,这取决于运行的Windows Server版本。通过输入以下命令,您可以看到LDIFDE语法的完整列表:
ldifde / ?
您还可以在以下网址找到有关使用LDIFDE的详细信息http://technet2.microsoft.com/windowsserver2008/en/library/8fe5b815-f89d-48c0-8b2c-a9cd1d6986521033.mspx?mfr=true.更新ConfigMgr模式的典型命令如下:
ldifde -i -f ConfigMgr_ad_schema. ldifdeldf -v -j SchemaUpdate.log
LDIFDE提供的详细日志记录比ExtADSch.exe生成的日志文件更详细。ConfigMgr_ad_schema。LDF文件允许您在应用所有预期的更改之前检查它们。您还可以修改LDF文件来定制模式扩展。例如,您可以删除用于创建类和属性的部分,这些部分已经作为使用表3.1中提到的-k开关的替代方法存在。
编辑LDF文件时要小心-除非您完全了解LDF,否则不要尝试编辑LDF文件,并且记住在将所有修改应用到生产环境之前要测试它们。
扩展模式
每个AD林都有一个域控制器,该域控制器具有模式主控制器的角色。所有模式修改都是在模式主服务器上进行的。要修改模式,必须使用schema Admins组成员的林根域帐户登录。
关于架构管理员组-内置的Schema Admins组存在于您的林的根域中。通常,Schema Admins组中不应该有任何用户帐户。您应该只在需要修改模式时临时向模式管理员添加帐户。执行这种级别的谨慎将保护模式免受任何意外修改。
ConfigMgr 2007模式修改创建了4个新类和14个与这些类一起使用的新属性。创建的类表示如下:
管理分客户可以使用这些信息来找到一个管理点。
漫游边界范围当客户端连接到不在其指定站点边界内的网络时,可以使用此信息来定位ConfigMgr服务。
服务器定位点(SLPs)客户端可以使用此信息来查找SLP。
ConfigMgr网站-客户端可以从这个AD对象中检索站点的重要信息。
真实世界:关于改变模式的技巧和技巧在计划对AD模式进行任何更改时,特别是在对现有类进行更改时,您将希望保持谨慎,因为这可能会影响您的环境。
当您修改模式时,您应该在应用更改时将模式主机临时脱机。无论您使用何种方法来扩展模式,在使模式主服务器恢复联机之前,您都应该检查日志,以验证模式扩展是否成功。这样,如果模式修改有问题,您可以在另一个域控制器上获得模式主角色,并保留原来的模式!
在实际扩展ConfigMgr 2007的模式之前,运行dcdiag和netdiag命令行工具,这是Windows支持工具的一部分。这些工具验证所有域控制器(dc)都在复制并且运行正常。由于验证这些工具的输出可能比较困难,您可以使用以下语法将结果输出到文本文件:
dcdiag > c: \ dcdiag.txt搜索输出文本文件的失败,看看是否有任何域控制器有问题的复制。如果出现任何失败,不要更新模式。在域控制器不正常或复制不正确时升级模式将导致它们成为孤立域控制器,因为AD已升级到更高版本。机器将需要手动和痛苦地清除AD。
第6章描述了Management Point和Server Locator Point服务器角色。
架构扩展和ConfigMgr 2007更新-在Service Pack (SP) 1或Release 2 (R2)中,配置管理器2007的RTM(发布到制造,或初始发布)版本的模式扩展都没有变化(在撰写本章时,还不知道SP 2是否会包含模式更改)。ConfigMgr模式扩展包括以前对模式扩展的SMS 2003版本的更改。
尽管您可以仅使用应用于AD的SMS 2003模式扩展来部署ConfigMgr,但您将无法拥有ConfigMgr模式扩展提供的所有功能。SMS 2003模式扩展不支持的配置管理器特性包括网络访问保护和本机模式安全。本章的“扩展Active Directory的好处”一节讨论了这些特性。
查看模式变化
如果您对新类的细节感兴趣,可以使用模式管理Microsoft管理控制台(MMC)管理单元查看它们的完整模式定义。在将管理单元添加到管理控制台之前,必须在命令提示符下执行以下命令进行安装:
regsvr32 schmmgmt.dll
安装管理单元后,执行以下步骤将架构管理添加到MMC:
选择“开始”,选择“运行”,然后输入MMC.
从Microsoft管理控制台的“文件”菜单中选择“添加/删除管理单元”。
单击“添加”按钮,然后选择“Active Directory架构”。
选择“关闭”,然后单击“确定”以完成打开对话框。
模式管理工具的左窗格显示一个树控件,它有两个主要节点—类和属性。如果你展开classes节点,你会发现ConfigMgr定义了以下类:
mSSMSManagementPoint
mSSMSRoamingBoundaryRange
mSSMSServerLocatorPoint
mSSMSSite
单击一个类,选择它并在右窗格中显示与该类关联的属性。每个类的属性列表除了专门为ConfigMgr 2007创建的属性外,还包括许多以前在Active Directory中定义的属性。您可以右键单击一个类并选择Properties来显示它的属性页。作为一个例子,图3.1显示mssssite类的一般属性。您可以通过单击properties页面上的Help按钮来查看这些属性的说明。
表示ConfigMgr站点的模式类的通用属性
您可以在模式管理控制台中attributes节点下看到14个ConfigMgr属性。这些属性的名称都以mS-SMS.您可以右键单击一个属性并选择Properties来显示它的属性页。图3.2显示mS-SMS-Capabilities属性。
表示站点功能的模式属性的一般属性
验证架构扩展-检查ExtADSch.log是否有故障。仅在目录服务事件日志中查看事件id 1137并不能确认模式被正确扩展;该领域的一些经验发现,在日志文件中显示失败的模式扩展似乎是成功的。
额外的任务
扩展模式之后,在ConfigMgr将使用的对象发布到Active Directory之前,您必须完成以下几个任务:
创建系统管理容器,ConfigMgr对象将驻留在AD中。如果您以前扩展了SMS的模式,那么System Management容器将已经存在。每个发布ConfigMgr数据的域都必须有一个System Management容器。
设置系统管理容器的权限。设置权限允许ConfigMgr站点服务器将站点信息发布到容器中。
将站点配置为发布到AD。
下一节将描述这些任务。
创建系统管理容器
您可以使用ADSIEdit MMC工具来创建System Management AD容器。如果您还没有安装ADSIEdit,您可以自己安装该工具。安装ADSIEdit的步骤会根据运行的Windows Server版本而有所不同。
在Windows Server 2008中,使用服务器管理器添加ADSIEdit。注意,配置域控制器服务器角色会自动将ADSIEdit添加到管理工具程序组。
在Windows Server 2003或Windows 2000 Server上安装ADSIEdit软件,请执行以下步骤:
运行Windows安装文件在\SUPPORT\TOOLS\suptools。msi从Windows Server 2003安装媒体。(对于Windows 2000系统,安装文件是adminpak.msi。)
选择“开始”,选择“运行”,然后输入MMC.
从“文件”菜单中选择“添加/删除管理单元”。
单击“添加”按钮,选择“ADSI编辑”。
选择“关闭”,然后单击“确定”以完成打开对话框。
要从ADSIEdit创建系统管理容器,执行以下步骤:
右键单击树窗格中的根ADSI编辑节点,选择连接到…,然后单击OK连接到默认名称上下文。
在树窗格中展开默认名称上下文节点。然后展开显示域的专有名称的节点(以DC=<开头)域名>),右键单击CN=系统节点。
选择新建,然后选择对象。
在“创建对象”对话框中选择Container,然后单击Next。
输入名称系统管理然后单击Next和Finish,完成向导。
图3.3显示ADSIEdit,树控件扩展到CN=System节点,并显示创建对象对话框。
使用ADSIEdit创建系统管理容器
设置系统管理容器的权限
您可以使用Windows Server管理工具菜单组中的Active Directory用户和计算机(ADUC)实用程序查看系统管理容器并对其设置权限。启动ADUC后,您需要从视图菜单中启用高级功能选项。然后,您可以展开域分区和System容器,以找到System Management。
默认情况下,只有某些管理组具有在System Management容器中创建和修改对象所需的权限。出于安全原因,您应该创建一个新组并将ConfigMgr站点服务器添加到其中,而不是将它们添加到内置管理组。执行以下步骤授予ConfigMgr站点服务器安全组所需的访问权限:
右键单击System Management容器,选择Properties,然后选择Security选项卡。
单击Add按钮并选择ConfigMgr站点服务器使用的组,如图3.4.
- 图3.4
选择Site Server安全组
选中复选框中的“完全控制”图3.5,并选择OK应用更改。
- 图3.5
为System Management容器分配权限
配置站点以发布到活动目录
执行以下步骤配置ConfigMgr站点,将站点信息发布到AD:
导航到系统中心配置管理器->站点数据库->站点管理-> <网站代码在ConfigMgr控制台中打开>(选择开始->所有程序-> Microsoft配置管理器以打开配置管理器控制台)。
右键单击站点代码并选择Properties。单击“高级”选项卡,然后选择“在Active Directory域服务中发布此站点”复选框,如图所示图3.6.选择OK应用您的更改。
配置要发布到AD的站点
在扩展模式并采取其他必要步骤使站点能够发布到AD之后,您应该会看到在System Management容器中显示的ConfigMgr对象。图3.7显示在Active Directory用户和计算机中查看的ConfigMgr对象。
系统管理容器显示在Active Directory用户和计算机中
扩展Active Directory的好处
一旦扩展了Active Directory架构并执行了将站点信息发布到AD所需的其他步骤,与ConfigMgr站点位于同一AD林中的客户端就可以查询AD以定位Configuration Manager服务并检索有关ConfigMgr站点的重要信息。工作组和域中没有信任关系的客户端无法利用模式扩展。
以下ConfigMgr特性需要扩展AD模式并将站点信息发布到AD:
全球漫游- ConfigMgr中的漫游允许客户端(如笔记本电脑)连接到不同位置的网络,并从本地站点接收某些服务。模式扩展允许客户端查询AD中的mSSMSRoamingBoundaryRange对象,并确定站点是否存在于其当前网络位置的IP子网中。这被称为全球漫游.如果没有模式扩展,客户端只能在其指定的站点或漫游到ConfigMgr层次结构中其指定站点下的站点时接收服务。
全球漫游可以使网络位置上的客户端可以使用内容,否则这些内容是不可用的。全球漫游还可以防止不必要的网络流量,否则,在远程位置的客户需要从其指定的站点提供服务。有关全球漫游的更多信息,请参见第12章。
网络访问保护-你可以使用ConfigMgr的NAP功能来阻止不符合指定安全补丁要求的客户端连接到网络。NAP要求客户端检索存储在mSSMSSite AD对象属性中的健康状态引用信息。第15章详细讨论了网络接入保护。