2008. 11. 15. 15:50
SCCM 2007의 Active Directoy 스키마 확장에 따른 이점 SystemCenter2008. 11. 15. 15:50
| 기능 | 스키마 확장 | 요구 사항 상세 |
| 클라이언트 설치와 사이트 할당 | 권장 | Requirement: AD 스키마의 확장이 되지 않으면 Ccmsetup.exe을 이용한 클라이언트 설치 시 AD Domain Service로부터 파라미터 값을 자동으로 받을 수 없다. |
| Workaround: Ccmsetup.exe를 이용한 클라이언트 설치 시 SMSSLP=<Server locator point>를 이용해 Server locator point 값에 대한 파라미터를 준다. | ||
| Workaround: SMS 2003의 스키마 확장으로 AD Server locator point가 AD Domain Service에 게시되어 있다면 동일 도메인 내에 있는 Configiration Manager 2007 클라이언트는 자동으로 할당되어 진다. | ||
| Workaround: 클라이언트는 DNS 또는 WINS 서버를 이용해 할당될 수 있다. | ||
| 사이트 모드 설정, 클라이언트 인증서 선택과 CRL 체크와 관련된 설정 | 권장 | Requirement: AD 스키마 확장이 되어 있지 않다면 사이트 모드 정보(Native/Mixed)와 Native Mode에 관련된 클라이언트 설정이 AD Domain Service에 게시될 수 없다. |
| Workaround: CCMSetup.exe 클라이언트 설치 시 파라미터 값을 주거나 Push Installation을 사용한다. | ||
| 클라이언트와 서버 간 통신 포트 설정 | 권장 | Requirement: AD 스키마 확장이 되어 있지 않은 상태에서 클라이언트 설치 이후에 기본 통신 포트가 변경되면 클라이언트는 사이트 시스템과 통신할 수 없다. |
| Workaround: 적용되는 모든 클라이언트를 재설치하거나 스크립트를 배포해 수동으로 클라이언트가 사이트 서버와 통신하는 포트 정보를 변경해야 한다. | ||
| 글로벌 로밍 | 필요 | Requirement: AD 스키마가 확장되어 있지 않다면 로밍 클라이언트는 Resident management point로부터 S/W 업데이트나 배포된 콘텐츠를 요청할 수 없다. 이 경우 클라이언트는 Default management point로 요청을 보내기 때문에 추가적인 네트웍 트레픽이 발생한다. 또한 클라이언트가 Assign된 사이트의 상위 사이트나 계층 구조 상의 동일 계층 사이트로부터 콘텐츠를 받을 수 없다. |
| Workaround: 없음 | ||
| Configuration Manager의 NAP 기능 | 필요 | Requirement: AD 스키마가 확장되지 않는다면 AD Domain Service의 NAP에 Health State 정보(HRA)를 게시할 수 없기 때문에 클라이언트의 Health State를 확인할 수 없다. |
| Workaround: 없음 | ||
| 사이트 간 Secure key exchange | 권장 | Requirement: AD 스키마가 확장되지 않는다면 사이트 간 통신을 하기 위해 보안키 교환을 하도록 설정된 사이트의 자동으로 교환하는 공용키를 사용할 수 없다. |
| (사이트 간 보안키 교환은 기본적으로 활성화된다.) | ||
| Workaround: 하위 사이트를 계층 구조에 추가하기 전에 상/하위 사이트의 공용키를 수동으로 교환해야 한다. | ||
| Hierarchy mainternance Tool 사용 (Preinst.exe) | ||
| 신뢰할 수 있는 Management point 확인 | 권장 | Requirement: AD 스키마가 확장되지 않는다면 클라이언트는 사이트와 트러스트를 맺기 위해 신뢰할 수 있는 루트키를 사용해야 한다. 클라이언트가 신뢰할 수 있는 루트키가 미리 제공되어 있지 않다면 클라이언트는 첫번째로 통신하는 Managemenr point를 신뢰하게 된다. |
| Workaround: 신뢰할 수 있는 루트키를 클라이언트에 미리 제공해야 한다. | ||
| How to Pre-provision the Trusted Root Key on Clients | ||
| Workaround: Native Mode를 사용한다. Native Mode에서 Management point의 인증서는 반드시 신뢰할 수 있는 루트 인증 기관에서 서명되고 PKI에서 발행한 인증서를 사용해야 한다. 클라이언트는 유효한 서버 인증서를 가지고 있고 첫번째로 접속하는 Management point를 신뢰한다. | ||
| Management point를 호스팅하는 중앙 사이트 서버의 장애 복구 | 권장 | Requirement: AD 스키마가 확장되지 않고 만약 클라이언트가 통신하는 중앙 사이트 서버가 Management point로 동작한다면, 클라이언트는 새로운 사이트 서버와 Management point가 복구된 이후에 자동으로 사이트와 트러스트를 맺을 방법이 없다. |
| Workaround: 사이트의 모든 클라이언트에서 신뢰하는 루트키를 제거하고 다시 제공해야 한다. | ||
| Workaround: Management point 역할을 다른 서버로 이동한다. 중앙 사이트에 속한 클라이언트가 Management point를 잃게 되면 클라이언트는 다시 신뢰 관계를 맺을 수 있다. |
기본적으로, Configuration Manager의 Primary site는 하위 사이트의 공용키를 Parent site가 알고 있거나 AD Domain Service에 게시되어 있지 않은 이상 연결을 수락하지 않는다. 그러나, 업그레이드의 경우에는 Configuration Manager의 설치 중에 사이트의 원본 보안키 교환 설정을 변경하지 않는다.
하위 사이트의 연결을 수락하기 위해 스키마 확장을 하지 않는 다른 방법으로는 사이트 간 보안키 교환을 요구하지 않는 것인데 이는 보안 상 매우 위험하다.
