Accueil > SCCM > SCCM – Architecture Microsoft System Center Configuration Manager en mode multi-forêts

SCCM – Architecture Microsoft System Center Configuration Manager en mode multi-forêts

sccm201242Bonjour à tous,

Ce post pour vous faire un point concernant l’architecture Microsoft SCCM 2012. Comme vous le savez les choses changent pas mal dans cette nouvelle version. Après quelques discussions avec Jean-Sébastien DUCHÊNE et pour faire suite au post de Julien TRUCHOT sur son site… Et étant moi-même face à un contexte particulier chez un client, possédant un environnement un peu hostile…

Je vais ici, de manière synthétique et dans les grandes lignes,  expliquer,  ce qui change vraiment côté architecture.

Forêts Active directory
Déjà 1ère chose à retenir, la notion de forêt Active directory n’est plus, dans SCCM 2012, une frontière immuable ! Il n’est pas utile de positionner un serveur primaire SCCM, par forêt. Donc, si vous avez plusieurs un environnement multi-forêts Active directory, vous pouvez désormais les déclarer tout simplement dans votre hiérarchie (Dans votre site primaire) pour les prendre en compte, en y déclarant un compte d’accès valide.

image

Simplicité dans SCCM 2012 !
En dehors de toutes considérations Active directory (multi-forêts, domaines, etc.) – Dans quel cas, doit-on mettre un site primaire supplémentaire, un site secondaire, ou seulement un point de distribution ?

Je dirais que cela dépend déjà de 2 choses, la première, y a t-il une délégation particulière à faire pour une population ou environnement en particulier (délégation que RBAC ne saurait faire :)) ? ; et deuxièmement, combien de clients devez-vous gérer ? La règle générale est de simplifier autant que possible l’architecture, ceci afin d’éviter autant que possible l’installation d’un site primaire supplémentaire, ou de partir “bille en tête” dans un schéma CAS + Primaire.

NOTE : Attention, concernant une configuration CAS + Primaire(s), si votre Serveur CAS tombe, plus aucune modification n’est possible sur le(s) site(s). En effet, les consoles ne sont disponibles qu’en lecture seule. Cependant, tous les rôles et fonctions continuent à fonctionner, le temps pour vous de restaurer du serveur CAS.

Exemple sur l’utilisation d’un site Primaire en mode Stand-Alone

SCCM CAS2

La volonté ou la philosophie dans SCCM 2012 est de simplifier au maximum son architecture dans son ensemble. Avec le Service Pack 1, il devient possible de partir sur l’installation d’un site primaire en mode “Stand Alone”, puis d’envisager ensuite, la mise en place d’un primaire supplémentaire, en cas de nécessité. Mais cela vous obligera AUSSI à mettre en place un serveur CAS, en rattachant, via l’assistant d’installation du CAS, votre primaire actuel; et enfin d’y installer votre 2ème site primaire, à l’origine de changement. Donc réfléchissez bien avant, car cela peut conditionner fortement le dimensionnement Hardware des serveurs impliqués et les services associés, déjà activés…

Primary alone to CAS Server

Exemple sur l’utilisation d’un CAS + Primaires

 SCCM CAS3

Sur le plan technique, lors de votre étude, sur le papier, partez sur la base d’un site primaire en mode “Stand Alone” en positionnant, de manière stratégique des rôles comme le points de distribution, en les répartissant sur l’ensemble de votre infrastructure. Pensez aussi à utiliser les sites secondaires, qui seront enfants de votre primaire stand alone. Ceci concerne les sites distants, hébergeant un nombre assez important de clients – Entre 700 et 1 500 environ, tout en sachant qu’un site secondaire peut gérer jusqu’à 5 000 clients, soit 1 000 clients de plus qu’un point de distribution. Concernant le choix entre les deux modes, je dirais que cela dépendra du débit réseau WAN pratiqué entre les différents sites (physiques), qui face à un grand nombre de PC à gérer, nécessite un contrôle plus poussé concernant les remontés d’inventaires, la récupération des stratégies clientes, etc.

NOTE : Gestion des Réplications de packages dans SCCM 2012
Concernant le rôle de point de distribution, il est désormais possible de gérer la réplication des packages via un pseudo “Sender”. Celui-ci permet via un calendrier de définir la manière ou la stratégie de répliquer un ou plusieurs packages sur un point de distribution distants à travers une liaison WAN, ainsi que l’heure de réplication.

image

Donc une fois les fondamentaux de votre architecture posés, lors de votre étude, monter petit-à-petit en puissance votre structure SCCM, en prenant en compte les aspects réseau (type de liens, débits pratiqués, Flux autorisés, QoS, etc.), l’ensemble des volumétries des ressources (devices) que devra gérer votre site SCCM, les aspects organisationnels de l’entreprise, la séparation des pouvoirs IT (qui politiquement, pourraient aller au-delà de ce que sait désormais faire le nouveau modèle de délégation, etc.).

Puis testez, testez et testez !! Car bien entendu, pas question, à ce stade de passer directement en production !

Gestion des environnements Multi-forêts
De manière générale, il est conseillé d’avoir une relation d’approbation bidirectionnelle entre les différentes forêts. Ceci est même obligatoire si vous voulez implémenter un site primaire dans une forêt distante (en mode CAS + Primaires) ou lorsque vous désirez mettre en place des sites secondaires dans les mêmes conditions. Ceci est dû au nouveau mode de réplication dans SCCM. Autre cas où une telle relation est indispensable, lorsque vous activez le rôle Applications Catalog Point.

Gestion des forêts Active Directory non-approuvées
Microsoft SCCM 2012 est parfaitement capable de gérer des environnements ou des forêts, non approuvés. Par exemple, une DMZ ou des forêts en DMZ, ayant le service cluster activé. Ou encore une forêt de production non approuvée pour des raisons historiques de rachat, etc.

NOTE : Planning for Communications Across Forests in Configuration Manager…
To support domain computers in a forest that is not trusted by your site server’s forest, you can install site system roles in that untrusted forest, with the option to publish site information to the client’s Active Directory forest…
http://technet.microsoft.com/en-us/library/dd8eb74e-3490-446e-b328-e67f3e85c779#Plan_Com_X-Forest)

Exemple de structure SCCM avec un seul primaire Stand alone gérant beaucoup de clients en mode multi-forêts. (Chaque cercle de couleur étant une forêt)

SCCM CAS4

Scénarii et cas concrets
Dans une forêt non-approuvée, il est possible de gérer ses clients en mode Workgroups. Ce choix vous obligera donc à installer l’agents SCCM et de les approuver, manuellement depuis la console. Dans ce cas, oubliez la découverte Active directory, OU, etc. de celle-ci. C’est généralement le choix que l’on fait pour des environnements sensibles comme une DMZ, par exemple, etc. Attention dans ce cas là au sens de la communication : DMZ –> Production😦. Le mode Internet-Based Clients serait fortement conseillé (Proxy Enrollment Point, PKI, SSL, etc.) !

Autre choix, installer un système de site (DP, MP) dans cette forêt distante en la déclarant dans la console de votre site primaire. C’est le choix que l’on peut faire pour une forêt de production “Untrusted”. Cependant, il vous faudra faire l’extension du schéma pour SCCM, créer le conteneur “System Mangement” et publier votre site SCCM dans le DNS de votre nouvelle forêt. Et bien sûr, spécifier un compte d’accès valide, afin de donner les droits appropriés à SCCM pour y installer ses composants, rôles et services.

NOTE : Cette dernière configuration est aussi possible dans un contexte de DMZ. Dans ce cas et afin de respecter le sens de la marche : Production –> DMZ, il est possible de demander au site SCCM d’initier lui-même la connexion vers le system de site (les clients passant par un intermédiaire se trouvant dans la zone DMZ).

image

img-ressources-glass-icone-vista-dlb-232 Pour plus de précisions
http://blogs.technet.com/b/neilp/archive/2012/08/20/cross-forest-support-in-system-center-2012-configuration-manager-part-1.aspx

Microsoft System Center 2012 Configuration Manager Scalability
Distribution Point
Concernant le point de distribution, comme dit plus haut, il est possible de le positionner dans une forêt distante. Cependant, Microsoft n’a pas pu nous offrir l’opportunité de spécifier plusieurs comptes Network Access Account (NAC) ! Pour rappel, ce compte permet aux clients d’accéder au contenu (Packages, OSD, etc.). Ce compte unique est présent uniquement sur le site primaire. Ce qui peut poser problème lorsque votre site SCCM est mode « Cross-forest ».

Pour traiter cette question, vous invites à suivre ce lien :
http://social.technet.microsoft.com/Forums/en-US/configmanagerdeployment/thread/4c6aa99b-d17c-4750-94cb-d3884ad6fd92

 

Une autre possibilité existe toutefois, si votre site primaire en mode “Stand Alone” gère du multi-forêts avec relations d’approbations, vous pouvez positionner tous vos points de distribution dans la forêt Master (Forêt contenant votre site primaire), et associer vos groupes de limites de sites à chaque DP correspondant ; en fonction de l’environnement dont ils ont la charge. Dans ce cas, le compte NAC “Domain\Account” spécifié aux clients des forêts distants, sera toujours valide. Bien sûr, ceci est à mettre en cohérence avec les débits pratiqués face à un site distant physiquement, le calendrier de réplication des packages devient inutile et sans intérêt…

Exemple de structure SCCM avec toujours un seul primaire Stand Alone où tous les points de distribution sont centralisés dans la forêt Master d’administration. (Chaque cercle de couleur étant une forêt)

SCCM CAS4b

Management point
Concernant les points de gestion (Management point – MP) Malheureusement, vous ne pouvez pas dans un même site primaire, positionner et dédier un MP à des clients spécifiques. Pour cela, il vous faudra utiliser un site secondaire. Néanmoins, vous pouvez redonder ce rôle et positionner jusqu’à 10 Management points par site primaire ! Ainsi, les clients choisiront dans la liste des serveurs disponibles, leur MP, et ceci de manière aléatoire. Il est à rappeler que le service cluster NLB n’est plus de ce monde dans la version 2012 de SCCM.

NOTE : Concernant le rôle Management point, dans un contexte multi-forêts, si vous positionnez ce rôle dans une forêt distante, les clients de cette forêt utiliseront, par défaut le management point de leur forêt, avant de songer à contacter le rôle MP d’une autre forêt !

Software Updates Point
Concernant le rôle Software Updates Point, avec le SP1 de SCCM, il est désormais possible d’en mettre plusieurs ! Cependant, sans Service Pack, l’utilisation d’un cluster NLB reste possible. Ce rôle supporte 25 000 clients maximum ou 100 000 clients, si ce rôle est déporté sur une serveur dédié.

Application Catalog
Si vous envisagez de prendre en charge des utilisateurs dans les forêts non fiables, le catalogue d’Application doit être en mesure d’authentifier les utilisateurs qui se connectent à lui. Les deux rôles de l’Application Catalog de souplesse pour prendre en charge ce scénario. Pour soutenir cette configuration :

Installer le rôle Application Catalog Web Service sur un serveur de système de site qui se trouve dans la même forêt que la base de données de site.

Installer le rôle Application Catalog sur un serveur de système de site qui se trouve dans la forêt non fiable (dans la Forêt Distante).

Pour ce faire, spécifiez un compte d’Installation de système de Site qui a des autorisations d’administration locales sur l’ordinateur serveur de site pour installer le rôle et envoyer des messages d’État sur le serveur de site. Après l’installation, le rôle de site du catalogue d’Application communique avec le rôle de service de web Application catalogue au delà des frontières de la sécurité de la forêt à l’aide de certificats (auto-signé ou PKI) (…)

Assurez-vous que vous exécutez la découverte de l’utilisateur ou/et la découverte de groupes d’utilisateurs pour les domaines non approuvés pour prendre en charge les utilisateurs qui appartiennent à ces domaines.

Sources
http://blogs.technet.com/b/configmgrteam/archive/2012/07/05/tips-and-tricks-for-deploying-the-application-catalog-in-system-center-2012-configuration-manager.aspx

Quand mettre un site primaire (Cas particulier)?
Séparation du contenu, où ce que contiendra le site distant doit rester en localité et être géré de manière différente et bien séparée, contexte lié à un pays, par exemple.

Séparation des pouvoirs, où les entités IT, en dépit d’être dans la même société, n’ont pas du tout la même raison d’être. Ayant une organisation IT différente et autonome, bien à eux.

Redondance face aux catastrophes naturelles.

Je vous invite à consulter l’article de Jean-Sébastien, qui détaille bien les différents cas, où un il serait nécessaire de mettre en place un site de type CAS :
http://microsofttouch.fr/default/b/js/archive/2012/05/02/sccm-2012-faites-les-bons-choix-ais-je-vraiment-besoin-d-un-cas.aspx

Le nombre à retenir est 25 !
– 25 primaires supportés par Serveur CAS
– 250 Secondaires supportés par site primaire
– 25 000 clients supportés par Management point (10 000 MAC Apple maximum)

Configurations supportées par SCCM 2012
– 250 points de distribution par site secondaire
– 4 000 clients supportés par rôle, point de distribution
– 5 000 clients supportés, par site secondaire SCCM 2012
– 5 000 points de distribution par site primaire (Les DP des secondaires enfants, compris)
– 10 Management points par site primaire maximum (1 max par site secondaire)
– 100 000 clients maximum par site primaire (50,000 Mac avec le SP1)

img-ressources-glass-icone-vista-dlb-232Pour plus de précisions
http://technet.microsoft.com/en-us/library/gg682077.aspx

Microsoft SQL Server
Il est obligatoire d’utiliser une instance SQL dédiée  par site primaire, avec (nouveauté) le port statique (différent pour chaque site primaire) que vous voulez ! Toutefois, dans ce cas, attention au port SQL Broker, si vous mutualisez vos bases de données de vos différents sites sur le même serveur SQL! La version de SQL doit être 2008 R2 SP1 CU6 minimum ou SQL 2012 CU2. La collation, quant à elle, doit obligatoirement être : SQL_LATIN1_GENERAL_ CP1_CI_AS. L’utilisation de comptes de services dédiés de fonctionnement est préconisée par Microsoft !

NOTE : Attention, en plus de la version de SQL utilisée (Standard, Enterprise ou Datacenter), la notion de SQL installé sur un serveur dédié, ou sur le serveur de site lui-même, peut conditionner la prise en charge du nombre de clients ! Concernant le serveur CAS, dans certains cas, songer à l’utilisation d’un cluster SQL.

A titre d’exemple, une Hiérarchie SCCM (CAS+Primaires) supporte jusqu’à 400 000 clients, si la base de données du CAS a été installée sur une infrastructure SQL Server de type Enterprise (Sinon 50 000 clients maximum).

img-ressources-glass-icone-vista-dlb-232Planification et communication dans Configuration Manager 2012
http://technet.microsoft.com/fr-fr/library/gg712701.aspx

Nouveautés de Microsoft system center 2012 ConfigMgr SP1 RTM
– Prise en charge de Windows Server 2012 et SQL Server 2012,
– Prise en charge des systèmes de type Mac, Linux et UNIX,
– Les cmdlets sont désormais disponibles pour automatiser les opérations de SCCM 2012 avec l’aide de scripts PowerShell :

img-ressources-glass-icone-vista-dlb-232

Cmdlets in System Center 2012 Configuration Manager SP1
http://technet.microsoft.com/en-us/library/jj849987.aspx

Gestion de la hiérarchie plus souple pour basculer un site primaire SCCM en mode Stand-alone vers une structure d’un CAS + site primaire. Migration d’une architecture 2012 side-by-side vers une autre infrastructure SCCM 2012,

Possibilité de mettre plusieurs Software Updates points pour un site, ceci afin de fournir une redondance du rôle pour l’ensemble des clients (à la mode du rôle Management Point),

Possibilité d’initier des opérations de sécurité sur les clients, depuis la console SCCM 2012, incluant le téléchargement de stratégies et le lancement ASAP d’un scan anti-malware,

Prise en charge des environnements virtuels, permettant de spécifier un environnement ou écosystème d’applications virtuelles se partageant le même système de fichiers et base de registre pour un même poste de travail,

Suscription par mail aux alertes pour toutes les fonctions, et non pas uniquement que pour Endpoint Protection.

Sources et articles Microsoft PFE

Blog Technet de Neil Peterson
Cross Forest Support in ConfigMgr 2012 Part 1: Simple Management (part1)
Cross Forest Support in ConfigMgr 2012 Part 2: Forest Discovery, Publishing, and …(part2)
Cross Forest Support in ConfigMgr 2012 Part 3: Site Systems in an Untrusted Forest. (part3)

Merci à Jean-Sébastien DUCHÊNE pour ses éclaircissements et à Julien TRUCHOT pour avoir initié le sujet sur son blog.

Attention dans ce post, tout ceci reste dans le domaine du concept et du possible. Poussé un peu à l’extrême dans certain cas, la volonté ici reste de démontrer des orientations ou des capacités – Il est indispensable donc d’initier une étude poussée pour votre environnement !Enfin ce post est susceptible d’évoluer ou d’être corrigé, en cas d’erreur – Car oui l’erreur est humaine… Ce sujet est complexe et chronophage, ce qui peut provoquer quelques confusions et incompréhensions potentielles.

Donc n’hésitez pas à partager vos retours d’expériences ou tout erreur, car nous faisons tous partis d’une communauté de passionnés, qui n’hésitent pas à partager la moindre information susceptible de nous entre-aider !

Bonne Année 2013 à toutes et à tous !

Enjoy!

avatar Michel PICOLLET | EXAKIS Paris

      Solution Architect Microsoft [System Center]

mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , ,
  1. juin 13, 2013 à 3:11

    This is good site to watch.Thanks for shareing the posts.

  2. juin 14, 2013 à 9:48

    When you can grab my attention in the first few words of an article it’s an accomplishment. You’ve ignited my interest on this subject and I thank you for this.

  1. No trackbacks yet.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :