Systems Management Server 2003 での Active Directory スキーマの変更と発行
このドキュメントのコピーをダウンロードする場合は、ここをクリックしてください
このホワイト ペーパーでは、Microsoft® Systems Management Server (SMS) 2003 の Active Directory® ディレクトリ サービス スキーマを拡張し、SMS 情報を Active Directory に発行する手順について説明します。スキーマはインストール中に自動的に拡張できますが、SMS にアクセス権を与えて情報を Active Directory に正常に発行するには、手動で拡張する必要があります。手動で拡張しなかった場合は、SMS でエラー 4913 が発生し、SMS クライアントが Active Directory の SMS 情報にアクセスできなくなります。
トピック
 | はじめに |
| スキーマの拡張 |
| Active Directory での SMS データの発行 |
| 概要 |
| その他の情報 |
はじめに
Systems Management Server 2003 では、SMS クライアントで Active Directory を使用して SMS リソースを検索できます。SMS クライアントで Active Directory に対してリソースのクエリを実行するには、Active Directory スキーマを拡張し、SMS リソース情報を Active Directory に発行しておく必要があります。スキーマの拡張と発行を行う SMS サイト サーバーと管理者は、これらの手順を実行するのに必要なアクセス権が必要です。
スキーマの拡張と Active Directory への SMS データの発行では、モバイル アドバンストクライアントのグローバル ローミングがサポートされています。さらに、Windows XP、Windows 2000、または Windows Server 2003 を実行しているクライアントでは、WINS (Windows Internet Name Service) トラフィックを生じることなく、サーバー ロケータ ポイントと管理ポイントが自動的に検出されます。
Active Directory ドメインで SMS 2003 を実行すると、Active Directory 境界に基づく境界での高度なセキュリティ機能やサポートなど、他の機能も利用できますが、これらの機能を使用するのに、スキーマの拡張や発行は必要ありません。
スキーマの拡張
Active Directory スキーマを拡張すると、SMS 階層にあるどの SMS 2003 サイトでも使用できるクラスと属性が複数追加されます。この属性はグローバル カタログに追加され、クライアントの情報検索が高速化されます。スキーマを拡張した後、グローバル カタログ サーバーで、すべての複製を完了しておく必要があります。スキーマの拡張処理では、サイト固有の情報は Active Directory に発行されません。
Active Directory での SMS 情報の発行
SMS で Active Directory に情報を発行するには、Systems Management コンテナを作成し、そのコンテナに対するフル コントロール アクセス権を SMS に与える必要があります。System コンテナに対するフル コントロール アクセス権を SMS に与えた場合、SMS で、System コンテナの下に System Management コンテナが自動的に作成されます。セキュリティ上の理由により、ADSIEdit 管理ツールを使用して手動で System Management コンテナを作成し、SMS には System Management コンテナに対してだけフル コントロール アクセス権を与えることをお勧めします。
必要なアクセス権が SMS に与えられていない場合、SMS で Active Directory に情報を発行することができず、SMS クライアントは自動サイト割り当てやグローバル ローミングなどの機能を使用できません。既定では、SMS が Active Directory に正常に発行できるまで、ステータス エラー メッセージ 4913 も出力されます。
各サイト サーバーは、発行が無効に設定されている場合でも、既定では、自動的に Active Directory でデータを発行しようとします。各 SMS サイトでは、各サイト固有の情報を発行します。
スキーマの拡張
スキーマを拡張すると、4 個のクラスと 10 個の属性が Active Directory に作成されます。
SMS 2003 サイトに実装され、使用されるクラスの共通名は次のとおりです。
| • | MS-SMS-Management-Point |
| • | MS-SMS-Server_Locator-Point |
| • | MS-SMS-Site |
| • | MS-SMS-Roaming-Boundary-Range |
SMS 2003 サイトに実装され、使用される属性の共通名は次のとおりです。
| • | MS-SMS-Site-Code |
| • | MS-SMS-Assignment-Site-Code |
| • | MS-SMS-Site-Boundaries |
| • | MS-SMS-Roaming-Boundaries |
| • | MS-SMS-Default-MP |
| • | MS-SMS-Device-Management-Point |
| • | MS-SM-MP-Name |
| • | MS-SMS-MP-Address |
| • | MS-SMS-Ranged-IP-Low |
| • | MS-SMS-Ranged-IP-High |
スキーマの拡張に関する要件
スキーマを拡張する方法に関係なく、次の 2 つの条件を満たしている必要があります。
| • | Active Directory スキーマの更新が可能であること。 |
| • | スキーマを更新する管理者のアカウントが Schema Admins グループのメンバーであるか、スキーマを変更するのに十分なアクセス権がアカウントにあること。 |
スキーマの更新を有効にする
Windows Server 2003 を実行するドメインでは、スキーマの更新が既定で有効になっています。Windows 2000 Server では、Active Directory フォレストのスキーマ マスタの更新を手動で有効にする必要があります。
Windows 2000 ドメインのスキーマ変更を有効にするには
1. | コマンド プロンプトで「Regsvr32 schmmgmt.dll」と入力します。 |
2. | タスク バーの [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。 |
3. | 「mmc」と入力し、[OK] をクリックします。 [コンソール1] ウィンドウが表示され、空のスナップインが表示されます。 |
4. | [コンソール] メニューの [スナップインの追加と削除] をクリックします。 [スナップインの追加と削除] ダイアログ ボックスが表示されます。 |
5. | [追加] をクリックします。 [スタンドアロン スナップインの追加] ダイアログ ボックスが表示され、使用可能なすべてのスナップインが表示されます。[スナップイン] で [Active Directory スキーマ] を選択し、[追加] をクリックします。 |
6. | [閉じる] をクリックします。 [スナップインの追加と削除] ダイアログ ボックスが表示され、追加された Active Directory スキーマ スナップインが表示されます。 |
7. | [OK] をクリックします。 [コンソール1] ウィンドウが表示され、Active Directory スキーマ スナップインが表示されます。 |
8. | コンソール ツリーで [Active Directory スキーマ] を右クリックし、[操作マスタ] を選択します。 [スキーマ マスタの変更] ダイアログ ボックスが表示されます。 |
9. | [このドメイン コントローラでスキーマの修正が可能] をクリックし、[OK] をクリックします。 [コンソール1] ウィンドウが表示され、Active Directory スキーマ スナップインが表示されます。 |
10. | [コンソール] メニューの [終了] をクリックします。 Microsoft 管理コンソール (MMC) のメッセージ ボックスが表示され、変更内容をコンソール1 に保存するかどうかを確認するメッセージが表示されます。 |
11. | [いいえ] をクリックします。 |
これで、スキーマを拡張するための設定が終了しました。
スキーマの拡張
Schema Admins グループのメンバーまたは同等のアクセス権を持つユーザーは、SMS のスキーマをいつでも拡張できます。SMS 管理者に適切なアクセス権がある場合は、SMS のセットアップ中に Active Directory スキーマを拡張できます。SMS 管理者に適切なアクセス権がない場合、スキーマ管理者は SMS のインストールの前または後で、コマンドライン ツール ExtADSch.exe を実行できます。
ExtADSch.exe を使用して Active Directory スキーマを拡張するには
ExtADSch.exe は SMS 2003 プロダクト CD の \SMSSETUP\BIN\I386 フォルダにあります。
1. | スキーマを変更するアクセス権を持つユーザーとしてログオンします。 |
2. | コマンド プロンプトで「ExtADSch」と入力します。 |
3. | Enter キーを押します。 |
SMS のセットアップ中に Active Directory スキーマを拡張するには
1. | スキーマを変更するアクセス権を持つユーザーとしてログオンします。 |
2. | 『Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 15 章「SMS サイトを展開して構成する」の説明に従って、SMS セットアップを実行します。 |
3. | [SMS Active Directory スキーマ] ページで、Active Directory スキーマを拡張するためのオプションを選択します。 |
注意
Active Directory スキーマを拡張した後、企業全体で Active Directory 複製が完了するまで、十分な時間をおく必要があります。通常の業務のネットワーク トラフィックがグローバル カタログ複製の影響を受けない時間帯に、まとめてスキーマの拡張処理をスケジューリングすることが望まれます。
スキーマ拡張の確認
スキーマを拡張した後、該当するログ ファイルを確認し、スキーマ拡張の際にエラーがなかったことを確認する必要があります。
| • | ExtADSch を使用してスキーマを拡張した場合は、ExtADSch.log を確認します。 |
| • | SMS のインストール中にスキーマを拡張した場合は、SMSsetup.log を確認します。 |
どちらのログも %system% ドライブのルート ディレクトリに作成されます。
Active Directory での SMS データの発行
既定では、SMS のインストール時に、サイト プロパティは発行が可能な状態に設定されています。発行が可能な状態であっても、Active Directory コンテナに対する適切なアクセス権を手動で SMS に与えることができます。SMS に適切なアクセス権が与えられている場合は、SMS クライアントで必要となるサーバー ロケータ ポイント、管理ポイント、およびサイト境界に関する情報が発行されます。
サイト プロパティで発行が有効になっていても、SMS アカウントに発行用の適切なアクセス権がない場合は、階層マネージャとサイト コンポーネント マネージャでエラー 4913「Systems Management Server は Active Directory にオブジェクトを作成できません」が発生します。このエラーは、発行用のアクセス権を与えるか、発行を無効にするまで、ステータス メッセージに残ります。
Active Directory に SMS 情報を発行するための要件
Active Directory に SMS 情報を正常に発行するためには、次の 4 つの条件を満たしている必要があります。
| • | Active Directory スキーマが既に正常に拡張されていること。 |
| • | サイト プロパティが Active Directory に識別データを発行できるように設定されていること。この設定は、インストール時に既定で有効になっています。 |
| • | Systems Management コンテナが Active Directory の System コンテナにあること。 |
| • | SMS 階層マネージャと SMS サイト コンポーネント マネージャの各コンポーネントで使用される SMS アカウントに、System Management コンテナに対するフル コントロール アクセス権が与えられていること。標準セキュリティを使用している場合、SMS 階層マネージャと SMS サイト コンポーネント マネージャでは SMS サービス アカウントが使用されます。高度なセキュリティを使用している場合、SMS 階層マネージャと SMS サイト コンポーネント マネージャでは SMS サイト サーバーのコンピュータ アカウントが使用されます。 |
識別データを発行するためのサイト プロパティの設定
Active Directory に SMS 情報を発行しない場合は、既定のサイト プロパティを変更できます。発行を無効に設定すると、階層マネージャとサイト コンポーネント マネージャで、発行に失敗した後のエラー 4913 が発生しなくなります。
サイトの発行設定を変更するには、Site オブジェクト クラスまたはインスタンスに対する変更アクセス権が必要になります。
1. | SMS 管理コンソールで、[Systems Management Server]、[サイト データベース (サイト コード - サイト名)]、[サイトの階層]、[サイト コード - サイト名] の順に展開します。サイトを右クリックして、[プロパティ] をクリックします。 |
2. | [プロパティ] ダイアログ ボックスの [詳細設定] タブをクリックします。 |
Active Directory での System Management コンテナの作成
SMS では、スキーマの拡張の際、System Management コンテナは自動的に作成されません。コンテナはフォレストごとに 1 回作成するだけで済みます。コンテナを手動で作成するか、サイトで最初に Active Directory に発行する際に SMS で作成することができます。System コンテナに対するフル コントロール アクセス権が SMS アカウントにある場合、SMS では System Management コンテナだけを作成できます。先に System に対するアクセス権を与えてから、新規作成された System Management コンテナに対するフル コントロール アクセス権を SMS だけに与えるように変更することもできますが、ADSIEdit を使用して手動で System Management コンテナを作成し、コンテナ作成後にアクセス権を与える方が安全です。ADSIEdit は Windows 2000 Server CD および Windows Server 2003 CD の Windows サポート ツールに含まれていますが、既定ではインストールされません。
Windows サポート ツールをインストールするには
Windows オペレーティング システム CD からサポート ツールをインストールするには、管理者または Administrators グループのメンバーとしてログオンする必要があります。サポート ツールのセットアップ プログラムでは、すべてのサポート ツール ファイルとドキュメントがハード ディスク ドライブにインストールされます。セットアップ プログラムで、[スタート] メニューの [プログラム] フォルダに [Windows Support Tools] フォルダが作成されます。各ツールの詳細については、[Tools Help] をクリックしてください。
1. | CD-ROM ドライブに Windows CD を挿入します。 |
2. | Windows の再インストールのプロンプトが表示された場合は [いいえ] をクリックします。 |
3. | ようこそのページが表示されたら、[追加のタスクを実行する] をクリックし、[Browse this CD] をクリックします。 |
4. | \Support\Tools フォルダに移動します。 セットアップの詳細については、このフォルダにある Readme.htm ファイルを参照してください。 |
5. | Suptools.msi をダブルクリックします。 |
6. | 表示される指示に従います。 |
ADSIEdit を起動するには
1. | タスク バーの [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。 |
2. | 「mmc」と入力し、[OK] をクリックします。 [コンソール1] ウィンドウが表示され、空のスナップインが表示されます。 |
3. | [コンソール] メニューの [スナップインの追加と削除] をクリックします。 [スナップインの追加と削除] ダイアログ ボックスが表示されます。 |
4. | [追加] をクリックします。 [スタンドアロン スナップインの追加] ダイアログ ボックスが表示され、使用可能なすべてのスナップインが表示されます。[スナップイン] で [ADSI 編集] を選択します。 |
5. | [閉じる] をクリックします。 [スナップインの追加と削除] ダイアログ ボックスが表示され、追加された ADSI Edit スナップインが表示されます。 |
6. | [OK] をクリックします。 [コンソール1] ウィンドウが表示され、ADSI Edit スナップインが表示されます。 |
7. | コンソール ウィンドウで ADSI Edit を右クリックし、[接続の設定] を選択します。 |
8. | [Connection Settings] ダイアログ ボックスで [OK] をクリックします。 |
System Management コンテナを手動で作成するには
1. | Active Directory の System コンテナに対して "すべての子オブジェクトの作成" のアクセス権を持つアカウントとしてログオンします。 |
2. | ADSIEdit を起動し、必要に応じてドメインに接続します。 |
3. | コンソール ウィンドウで、[ドメイン (完全なドメイン名)]、<識別名> の順に展開し、[CN=System] を右クリックします。コンテキスト メニューの [New] をクリックし、[オブジェクト] をクリックします。 |
4. | [Create Object] ダイアログ ボックスで [コンテナ] を選択し、[次へ] をクリックします。 |
5. | [値] フィールドに「System Management」と入力し、[次へ] をクリックします。 |
6. | [完了] をクリックします。 |
Active Directory に発行するためのアクセス権を SMS に与える
System Management コンテナを手動で作成した後、System Management コンテナに対するフル コントロール アクセス権を SMS に与える必要があります。標準セキュリティを使用している場合は、SMS サービス アカウントにアクセス権を与えます。高度なセキュリティを使用している場合は、サイト サーバーのコンピュータ アカウントにアクセス権を与えます。アクセス権を与えるには、ADSIEdit、"Active Directory ユーザーとコンピュータ"、またはその他の方法を使用します。
ADSIEdit を使用して System Management コンテナにアクセス権を適用するには
1. | ADSIEdit を起動し、必要に応じてドメインに接続します。 |
2. | コンソール ウィンドウで、[ドメイン (完全なドメイン名)]、<識別名>、[CN=System] の順に展開し、[CN=System Management] を右クリックします。コンテキスト メニューの [プロパティ] をクリックします。 |
3. | [CN=System Management Properties] ダイアログ ボックスで、サイト サーバー コンピュータ アカウント (高度なセキュリティ) または SMS サービス アカウント (標準セキュリティ) を追加し、アカウントにフル コントロール アクセス権を与えます。 |
4. | [OK] をクリックします。 |
"Active Directory ユーザーとコンピュータ" を使用して System Management コンテナにアクセス権を適用するには
1. | [Active Directory ユーザーとコンピュータ] コンソールを開き、[表示] をクリックして、[拡張機能] をクリックします。 |
2. | [ドメイン] に移動して [System] をクリックし、System Management コンテナを右クリックします。 |
3. | [制御の委任] を選択して [オブジェクト制御の委任ウィザード] を表示します。 |
4. | ようこそのページで [次へ] をクリックし、[追加] をクリックして、[オブジェクトの種類] をクリックします。 |
5. | [Select Users]、[Select Computers]、または [Select Groups] の各ダイアログ ボックスで、サイト サーバー コンピュータ名 (高度なセキュリティ) または SMS サービス アカウント名 (標準セキュリティ) を入力します。 |
6. | [OK] をクリックしてウィザードに戻ります |
7. | [次へ] をクリックします。Windows Server 2003 で [委任するカスタム タスクを作成する] ページが表示されます。 注意 |
8. | [Task to Delegate] ページで、[委任するカスタム タスクを作成する] を選択します。[次へ] をクリックします。 |
9. | [Active Directory オブジェクトの種類] ページで、[このフォルダ、このフォルダ内の既存のオブジェクト、およびこのフォルダ内の新しいオブジェクトの作成] を選択します。 |
10. | [次へ] をクリックして、[アクセス権] ページを表示します。 |
11. | [アクセス権] ページで [フル コントロール] のチェック ボックスをオンにし、[次へ] をクリックします。 |
12. | [オブジェクト制御の委任ウィザードの完了] ページの情報を確認し、[完了] をクリックしてウィザードを終了します。 |
適切なアクセス権を設定した後は、階層マネージャまたはサイト コンポーネント マネージャの次回のサイクルで、SMS から情報が発行できるようになります。
Active Directory 発行の確認
SMS で Active Directory データを発行した後、ADSIEdit を使用して SMS Active Directory クラスに関連付けられている値を表示します。ADSIEdit を使用して、階層マネージャでサイト コード オブジェクトが作成されていること、およびサイト コンポーネント マネージャで管理ポイント情報が作成されていることを確認することもできます。
サイト コード オブジェクトの作成を確認するには
1. | ADSIEdit を起動し、必要に応じてドメインに接続します。 | |||||||||||||||
2. | コンソール ウィンドウで、[ドメイン (完全なドメイン名)]、<識別名>、[CN=System] の順に展開し、[CN=System Management] をクリックします。 | |||||||||||||||
3. | 詳細ウィンドウで [CN=SMS-Site-xxx] を右クリックし、[プロパティ] を選択します。 | |||||||||||||||
4. | 次の属性が表示されることを確認します。
|
サイト オブジェクトが発行されていない場合、またはサイト オブジェクトに不正なデータが含まれている場合は、\sms\logs\ フォルダの hman.log を確認してエラーを特定します。
管理ポイント情報の作成を確認するには
1. | ADSIEdit を起動し、必要に応じてドメインに接続します。 | ||||||||||||
2. | コンソール ウィンドウで、[ドメイン (完全なドメイン名)]、<識別名>、[CN=System]、[CN=System Management] の順に展開します。各管理ポイントに CN=SMS-MP-<サイトコード>-<管理ポイント コンピュータ名> という名前のオブジェクトがあることを確認します。 | ||||||||||||
3. | CN=SMS-MP-<サイトコード>-<既定の管理ポイント コンピュータ名> を右クリックし、[プロパティ] を選択します。 | ||||||||||||
4. | 次の属性が表示されることを確認します。
|
各管理ポイントにオブジェクトが発行されていない場合、または既定の管理ポイントの情報が不正である場合は、\sms\logs\ フォルダの sitecomp.log を確認します。
サーバー ロケータ ポイント情報の作成を確認するには
1. | ADSIEdit を起動し、必要に応じてドメインに接続します。 | |||||||||
2. | コンソール ウィンドウで、[ドメイン (完全なドメイン名)]、<識別名>、[CN=System]、[CN=System Management] の順に展開します。各サーバー ロケータ ポイントに CN=SMS-SLP-<サイトコード>-<サーバー ロケータ ポイント コンピュータ名> という名前のオブジェクトがあることを確認します。 | |||||||||
3. | CN=SMS-SLP-<サイトコード>-<サーバー ロケータ ポイント コンピュータ名> を右クリックし、[プロパティ] を選択します。 | |||||||||
4. | 次の属性が表示されることを確認します。
|
サーバー ロケータ ポイントにオブジェクトが発行されていない場合、またはサーバー ロケータ ポイントの情報が不正である場合は、\sms\logs\ フォルダの sitecomp.log を確認します。
概要
SMS クライアントで、必要なすべての SMS 情報を Active Directory でクエリできるようにするため、Active Directory スキーマを拡張し、System Management コンテナに発行するためのアクセス権を SMS に与える必要があります。アクセス権を与えるための最も安全な方法は、System Management コンテナを手動で作成し、SMS に、その SMS 専用のコンテナに対してだけフル コントロール アクセス権を与えることです。拡張と発行が正常にできなかった場合は、クライアントで各種 SMS 機能が使用できなくなり、ステータス メッセージ ビューアにエラー メッセージが表示される可能性があります。スキーマの拡張が正常に終了したかどうかを確認するには、ログ ファイルを使用します。System Management コンテナを手動で作成し、Active Directory に SMS データが正常に発行されていることを確認するには、ADSI Edit を使用します。
その他の情報
SMS のその他の情報については、http://www.microsoft.com/japan/smserver/default.mspx を参照してください。
この文書に記載された情報は、この文書の発行日におけるマイクロソフトの見解を示すものです。マイクロソフトは市場の変化に対応する必要があるため、マイクロソフトは、この文書の内容に関する責任を問われないものとします。また、発行日以降に発表される情報の正確性を保証できません。
このホワイト ペーパーに記載された内容は情報提供のみを目的としており、明示または黙示に関わらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。
お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。
マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。
© 2003 Microsoft Corporation. All rights reserved.
Microsoft、BackOffice、Windows、および Windows NT は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
その他、記載されている会社名、製品名には、各社の商標のものもあります。
Microsoft Corporation / One Microsoft Way / Redmond, WA 98052-6399 / USA
2004 年 1 月