Accueil > SCCM > SCCM – Vous rencontrez des problèmes avec le rôle Management Point de SCCM ?

SCCM – Vous rencontrez des problèmes avec le rôle Management Point de SCCM ?

logo-sccm-2007

Il arrive parfois que le Management Point de SCCM ne réponde plus ou refuse de s’installer. Des erreurs de connexion apparaissent dans le fichier de Log :

MPControl.log
"MP Control Manager detected management point is not responding to HTTP requests. The HTTP status code and text is 500, Internal Server Error."

Le diagnostique peut parfois paraitre difficile… Donc voici une liste (non-exhaustive) des éléments que vous devez examiner et qui vous aidera à vous orienter.

1. Microsoft IIS 6.5 ou 7.x

Vérifier l’état du site IIS du serveur ayant le rôle (MP) et la présence du répertoire Virtuel "SMS_MP" – Un redémarrage du service IIS peut aider

Vérifier que WebDAV est bien activé et configuré (True, False, True, True). Les "Rules Authoring" de WebDAV doivent être positionnées pour les Administrators (Full Control) et All Users (Read) concernant "All Content"

Screenchots

image

image

image

 

 

 

 

 

 

 

 

 

 

Vérifier dans IIS que vous avez bien autorisé ou activé le mode d’authentification en mode HTTP 401 Challenge : "Windows Authentication", toujours pour le site "Default Web Site"

Screenchots

image

En mode Natif (Native Mode) SCCM, vérifier que le certificat est toujours valide et respecte le format attendu (exigence) pour le site Web par défaut (443) et qu’il n’a pas expiré. Vérifier que vous pouvez ou non accéder aux URLs suivantes depuis un client SCCM (HTTPS en mode Natif) :

Screenchots

image 

image

Vérifier les fichier de logs de IIS, afin d’être plus précis sur le type d’erreurs de connexions, rencontrées.

2. Microsoft SQL 200x SPx

Vérifier que le serveur (MP) a bien le rôle "smsdbrole_MP" dans SQL (User Mapping) pour la base SMS_XXX. En effet, pour un site secondaire, le MP essaye de se connecter sur le serveur SQL du Site Primaire et doit avoir ce droit sur celui-ci.

Screenchots

image

Vérifier et tester le SPN pour SQL : Si vous utilisez un compte spécifique (de service) ou le compte Local System (compte machine SQL), vérifier à l’aide de la console ADSIEdit.msc pour les propriétés "Service Principal Name" que vous avez bien les enregistrements "MSSQLSvc" et le port de communication, aussi bien pour le nom FQDN (Nom long), que le nom court du serveur SQL.

Vous pouvez, depuis le (MP), passer en ligne de commande et tapez la commande suivante : Setspn.exe -L <Domain>\<Compte de Service SQL>

Screenchots

Ex. pour le compte Local System

image

3. Microsoft SCCM 2007

Depuis un site secondaire SCCM ayant le rôle (MP) vers un site primaire parent :

Vérifier que vous n’avez pas de problème de connexion réseau, et chasser les erreurs 53 ou 5 éventuelles dans le fichier de Log : Sender.log sur le site primaire et/ou Site Secondaire (MP).

Toujours pour un site secondaire (MP), le compte machine du site secondaire ayant le rôle (MP), doit faire partie du groupe local détenu par le Site Primaire : SMS_SiteToSiteConnection_XXX.

De plus, le compte machine du Site Primaire doit faire partie du groupe local détenu par le Site Secondaire : SMS_SiteToSiteConnection_XXX.

Dans le cas où le rôle (MP) serait sur un serveur dédié dans un même site (primaire ou secondaire), vérifier que le compte machine ayant le rôle (MP) fait partie du groupe local détenu par le site (Primaire ou Secondaire) SMS_SiteSystemToSiteServerConnection _SiteCode.

Si le rôle n’a jamais fonctionné, consulter le fichier de Log mpsetup.log

4. Pour les sites Secondaires SCCM (MP)

Vous trouvrez des fichiers de Logs dans le répertoire Logs du client SCCM. En effet, le client est important dans pratiquement tous les rôles SCCM… Certains fichiers de Logs y sont stockés. Pour le rôle Management Point (MP) ayez une intention particulière aux fichiers de Logs commençant par MP_ XXX.log. Il peuvent vous aidez à identifier certains problèmes. Et notamment le fichier de Log : MP_GetAuth.log, MP_Relay.log, MP_Status.log et MP_Framework.log

Ce que j’en pense…

Microsoft SCCM Client
Je vous conseille d’installer le client SCCM sur le serveur (MP). En effet, le client et la partie serveur de SCCM partagent des process, binaires et fichiers de Logs SCCM pour fonctionner… Normalement, SCCM, lors du déployment d’un rôle ou d’un service SCCM depuis la console, installe le client SCCM en version “Lite” (pas d’icône dans le panneau de configuration). Mais parfois, il faut aller plus loin et peut débloquer certaines situations ou réparation… (Disont que ça le rend ‘”plus stable”)

Groupe et compte de service et de fonctionnement
Persollement, j’utilise un groupe global Active directory dans lequel j’inclus tous les serveurs SCCM. Ce groupe est ensuite ajouté dans le groupe Local Administrator de chaque serveur SCCM et SQL, puis dans les groupes SMS_Site… de chaque serveur SCCM (Primaires et Secondaires). Ensuite, je lui donne le droit SysAdmins dans SQL. L’activation des rôles fait le reste (smsdbrole_MP, etc.).

Pour ce qui est du compte de service SQL, deux écoles de “sécurité” s’opposent… Tout dépend de votre exigence en terme de sécurité, je dirais. Le compte Local System a plus de droits q’un simple compte fabriqué à cet effet. Simplement, pour l’un, vous connaissez le mot de passe (Compte fabriqué), pour l’autre, non ! (Local System).

Gestion des flux de communication

Doit-on utiliser ou non des ports statiques pour SQL ?
Je dis OUI ! Car plus facile à tracer et à identifier sur le réseau (Sonde d’audit par.ex.)

Doit-on utiliser ou non des Instances pour SQL ?
Là aussi, je dirais oui (ou de préférence) ! Car pour un serveur dédié SQL, il est plus facile de compartimenter les choses et de gérer l’évolution de SQL par la suite (SPx, Cumunalif Updates, etc.). Par contre, il est possible avec SCCM de passer par l’assistant d’installation de SCCM pour passer d’une instance Nommée à une instance par défaut et inversement, lors d’un déménagement de base par ex.… Et de passer d’une base locale à une base distante et vis-et versa…(Cf. le lien ci-dessous)

TechNet – Comment déplacer la base de données SQL du site SCCM ? http://technet.microsoft.com/fr-fr/library/bb680707.aspx


Annexe : Tips de Aurélien Bonnin

http://myitforum.com/cs2/blogs/abonnin/archive/2009/11/06/system-center-configuration-manager-fix-it-solution-for-error-401-1-in-iis.aspx

System Center Configuration Manager | “Fix It Solution for error 401.1 in IIS” “You receive error 401.1 when you browse a Web site that uses Integrated Authentication and is hosted on IIS 5.1 or a later version”. Cette initiative Fix It consiste à automatiser des workaround proposés par la communauté Microsoft (Microsoft Guys, MVP, Support, etc…) et les rendre accessibles à tous.


Pour les détails de cette KB et l’accès à l’outil Fix It associé : http://support.microsoft.com/default.aspx?scid=kb;EN-US;896861

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , ,
  1. Aucun commentaire pour l’instant.
  1. No trackbacks yet.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :