我在林“A”中实施了 SCCM 2007,用于管理 Windows 2008 林中的主机。还有另一个林/域“B”,我对它不信任,我也需要在其中管理主机。我不需要从 SCCM 控制台推出客户端,我将手动安装它们。我只需要域“B”中的主机重新连接到林/域“A”进行管理。到目前为止,我还没有向域“B”添加任何 AD 对象,以便主机查询站点、SLP 或管理点信息。
我正在使用命令行安装主机:
ccmsetup.exe /mp:SCCM_Server /site:我的站点
SCCM_Server = 我的 sccm 服务器的 FQDN(可由客户端解析)
两台服务器之间没有 ACL。
从日志中,我可以看到安装已完成,并且客户端尝试在本地 AD 中查询“mysite”的站点信息,但找不到并且停止并且从未连接。
有人能给我一些关于如何设置的指导吗?
答案1
我们已将此设置用于从实时环境的 SCCM 基础架构管理开发环境中的机器(主要是虚拟机)。这些是完全独立的林,它们之间有相当严格的防火墙。我们主要仅将其用于通过 SCCM 软件更新修补操作系统/应用程序,以及有限的硬件/软件库存报告。
一旦我们在环境之间的防火墙中打开了所需的端口,我们所需要做的就是在开发机器上安装 SCCM 客户端时使用正确的命令行,我们使用以下命令行:
\\server\share\ccmsetup.exe /mp:siteserver.fqdn smssitecode=SMS ccmhttpport=50010 smsslp=siteserver.fqdn FSP=fspservername
显然,回退状态点是可选的(但强烈建议用于故障排除,特别是如果您当前在安装客户端时遇到问题),并且如果您使用标准端口,则无需指定端口。
我们发现,除非我们在安装字符串中正确指定站点代码和 SLP 服务器,否则安装无法正确连接到站点。
更新 请参阅这篇新的 TechNet 文章使用 ConfigMgr 2007 管理工作组或不受信任域中的客户端
答案2
在这种情况下,您想要的违反了 Microsoft 发布的最佳实践,因为它违反了应以森林内部结束的管理边界。
但这并不意味着它无法实现。更多信息请参见此处 跨不受信任林的 SCCM
在这里,您将找到如何在 Microsoft 最佳实践中执行。在 Microsoft 方案中,林之间必须有双向信任,或者站点服务器的域与站点系统域之间必须有外部信任 多个 Active Directory 林中的配置管理器