SCCM 2007 gerenciando hosts em floresta não confiável

Navegue suas respostas
1

Eu tenho uma implementação do SCCM 2007 na floresta "A" que gerencia hosts nessa floresta do Windows 2008. Existe outra floresta / domínio, "B", que eu não tenho confiança com que eu preciso gerenciar hosts também. Eu não preciso empurrar os clientes do console do SCCM, eu vou instalá-los manualmente. Só preciso que os hosts no domínio "B" se conectem novamente à floresta / domínio "A" para fins de gerenciamento. Até o momento, não adicionei nenhum objeto do AD ao domínio "B" para que os hosts consultassem informações de site, SLP ou ponto de gerenciamento.

Estou instalando os hosts com a linha de comando:

ccmsetup.exe /mp:SCCM_Server /site:mysite

SCCM_Server = FQDN do meu servidor sccm (que pode ser resolvido pelo cliente)

Não há ACLs entre os dois servidores.

Nos logs, posso ver a instalação completa e o cliente tenta consultar o AD local para obter informações sobre o site "mysite", mas não consegue encontrá-lo e ele para e nunca se conecta.

Alguém pode me dar alguma orientação sobre como isso deve ser configurado?

    
por BoxerBucks 12.03.2011 / 21:57

2 respostas

1

Temos esta configuração para gerenciar máquinas (principalmente virtuais) em nosso ambiente de desenvolvimento a partir da infraestrutura SCCM do nosso ambiente ao vivo. Estas são florestas totalmente separadas, com um firewall bastante rigoroso entre elas. Usamos principalmente apenas para correção de sistema operacional / aplicativo por meio de atualizações de software do SCCM e relatórios limitados de inventário de hardware / software.

Uma vez que abrimos as portas necessárias no firewall entre os ambientes, tudo que precisávamos era usar a linha de comando correta ao instalar o cliente SCCM nas máquinas dev, usamos esta linha de comando: 

\server\share\ccmsetup.exe /mp:siteserver.fqdn smssitecode=SMS ccmhttpport=50010 smsslp=siteserver.fqdn  FSP=fspservername

Obviamente, o ponto de status de fallback é opcional (mas altamente recomendado para solução de problemas, especialmente se você está tendo problemas na instalação de clientes), e não há necessidade de especificar a porta se você estiver usando a porta padrão.

Descobrimos que as instalações não conseguiam se conectar corretamente ao site até que especificássemos corretamente o código do site e o servidor SLP na sequência de instalação.

Atualizar Consulte este novo artigo do TechNet Usando o ConfigMgr 2007 para gerenciar clientes em um grupo de trabalho ou domínio não confiável

    
por 14.03.2011 / 12:17
0

O que você quer neste caso é contra as melhores práticas publicadas da Microsoft, uma vez que viola limites administrativos que devem terminar com uma dentro de uma floresta.

Mas isso não diz que não pode ser feito. Veja aqui para mais informações SCCM em florestas NÃO-TRATADAS

E aqui você encontrará instruções sobre as melhores práticas da Microsoft. No cenário da Microsoft, deve haver confiança bidirecional entre as florestas ou uma confiança externa entre o domínio do servidor do site e o domínio do sistema de sites Gerenciador de configuração em várias florestas do Active Directory

    
por 12.03.2011 / 23:59

Tags

IIS7.5 Autenticação do Windows faltando item de menu do provedor (ntlm) Como posso usar regras de iptable para impedir a varredura de portas como Hping e nmap?