Archive

Posts Tagged ‘Installation’

SCCM – Certificats Management et PKI pour SCCM 2012 SP1 (Part2)

sccm201242 Bonjour à toutes et à tous,

Voici la continuité de l’article concernant la sécurisation d’un site SCCM. Dans la 1ère partie, nous avions créé les modèles de certificat et nous avions généré les certificats sur le serveur SCCM.

Dans cette 2ème partie, nous allons maintenant sécuriser notre serveur. Le pré requis de cette suite en donc d’avoir lu et effectué les actions de la partie 1.

Bien sûr, tout ceci doit être testé dans un environnement de test avant le passage en production !!

Je rappelle que la partie AMT/ Intel VPro sera traité à part et ne sera pas abordé ici…

Commençons !
Dans cette partie, nous allons configurer Microsoft IIS (Default Site et Administration WSUS), spécifier le certificat PFX pour le rôle de point de distribution depuis la console SCCM, exporter puis importer le certificat de l’autorité de certification (CA), etc.

Configuration des sites Microsoft IIS (Default Site et Administration WSUS)
Ouvrir la console MMC de IIS 7.0 puis faire comme suit :

image

Ensuite choisir, puis spécifier le certificat ConfigMgr Web Server Certificate pour le port 443 puis cliquer sur OK pour valider et Fermer la Liaison des sites. Répéter l’opération pour le site Administration WSUS, si vous avez effectivement utilisé un site web dédié pour WSUS (Port 8531)

image

Console Microsoft System center 2012 Configuration Management

image

Paramétrage du site
Depuis la Console SCCM, aller dans la section Administration, puis comme suit :

image

Exporter votre CA en fichier .CER, puis importez-la dans le champ : Autorité de certification Racine de confiance

image

Point d’attention
Attendez que tous vos clients possèdent leur certificat avant de forcer le https (laisser http ou https, en attendant). Même chose pour ce qui concerne le paramétrage du panneau de chiffrement.

Paramétrage des rôles
Depuis la console SCCM (section : Administration), dans les propriétés de chaque rôle :

Applications Catalog
Pour le rôle Applications Catalog, ça se passe ici :

image

Applications Catalog Web Service
Concernant le rôle Applications Catalog Web Service, ça se passe ici :

image

Réinstallation du rôle pour le passage en 443 – Cela peut vous obliger également à réinstaller le rôle Applications Catalog !

Management Point
Pour le rôle Management Point, c’est ici :

image

Software Updates Point
Pour le rôle Software Updates Point, c’est ici :

image

Distribution Point
Pour le rôle de Distribution Point, c’est ici :

image

Importer le certificat PFX puis Spécifier le mot de passe associé

Cloud-based Distribution Point

Ce sujet sera détaillé dans une autre partie…

Politique cliente des agents SCCM
Si vous avez spécifié l’URL concernant l’accès au portail Application Catalog, n’oubliez pas d’ajouter le [s] à http de votre URL ! Et en vérifier l’accès depuis un client de test.

Enfin, post est susceptible d’évoluer ou d’être corrigé, en cas d’erreur. N’hésitez pas me signaler toute erreur qui se serait glissée. Par ailleurs, une 3ème partie est en cours d’écriture…

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , , , ,

SCCM – Certificats Management et PKI pour SCCM 2012 SP1 (Part1)

janvier 30, 2013 1 commentaire

sccm20124 Bonjour à tous,

Nous allons voir dans ce “long” post, quels sont les certificats dont à besoin SCCM, pour être en mode https, le nombre de modèles certificats que vous avez besoin de créer, et voir  comment mettre en place la partie sécurité dans SCCM.

Dans cette première partie, nous allons voir comment installer une autorité de certificat et nous allons seulement créer les modèles et générer les certificats en question sur le serveur SCCM. Dans la seconde partie, il sera question ensuite d’utiliser ce qu’on a fait afin de passer SCCM dans un mode sécurisé.

La partie AMT/ Intel VPro sera traité à part et ne sera pas abordé ici…

Les certificats que nous allons ici détailler seront :
– Certificat Serveur Web SCCM (Pour SUP, MP et DP)
– Certificat pour les points de distribution (Pour le rôle de OSD/PXE)
– Certificat pour les points de distribution (Cloud-Based) (Cloud DP – Windows Azure)
– Certificat pour les postes de travail (Concernant les clients SCCM)
– Certificat pour la gestion des Mobile Devices (Mobile Devices Management)

Les étapes de ce post (Part 1):
– Installation du Service AD CS (Step 1)
– Création d’une stratégie de groupe Active Directory (Step 2)
– Création des modèles de certificats (Step 3)
– Publication des modèles de certificats dans l’infrastructure ou environnement (Step 4)
– Génération des certificats sur le serveur SCCM (Step 5)

L’environnement de test est pour ma part :
– 1 Serveur Contrôleur de domaine (avec Windows 2008 R2 Enterprise)
– 1 Serveur Microsoft ConfigMgr 2012 SP1 avec SQL

Les rôles MP, DP, etc. se trouvant sur le même Serveur SCCM

Prérequis : Avoir un serveur Windows 2008 R2 Enterprise, membre de votre AD, ceci pour installer le rôle d’Autorité de certification (AD CS) – Pour moi, ce sera mon contrôleur de domaine.

Etape 1 – Installation de l’autorité de certification et des services associés
Ouvrir la console Gestionnaire de Serveur sur votre serveur qui hébergera ce rôle.

1 – Sélectionner l’item Rôles
2 – Cliquer sur Ajouter un rôle
3 – Cliquer sur Suivant afin de passer la page ‘Avant de commencer
4 – Cocher le rôle Services de certificats Active directory, et enfin cliquer sur Suivant
5 – Cliquer sur Suivant afin de passer la page the AD CS
6 – Cocher le service Autorité de certification
7 – Cocher le service Inscription de l’autorité de certification via le Web  
8 – Sélectionner (ou vérifier) que le mode Enterprise soit bien choisi, puis cliquer sur Suivant 
9 – Sélectionner (ou vérifier) que l’option Autorité de certification racine soit bien choisie, puis cliquer sur Suivant
10 – Sélectionner l’option Créer une nouvelle clé privée, puis cliquer sur Suivant.
11 – Accepter les paramètres par valeurs par défauts (2048) puis cliquer sur Suivant.
12 – Accepter les paramètres par défaut (Vous pouvez aussi renommer le nom commun de l’autorité de certification), puis cliquer sur Suivant
13 – Accepter (ou modifier) la période de validité (5 années, par défaut), puis cliquer sur Suivant.
14 – Accepter (ou modifier) l’endroit où sera installée la base de donnée, puis cliquer sur Suivant.
15 – Cliquer sur Suivant concernant le sommaire d’installation de Microsoft IIS
16 – Accepter les rôles et services de Microsoft IIS, puis cliquer sur Suivant.
17 – Confirmer l’installation en cliquant sur Installer
18 – L’installation démarre… 
19 – Un fois terminée, cliquer sur Fermer

Etape 2 – Configuration de la stratégie de groupe concernant l’Auto-inscription des certificats

1 – Lancer la console MMC de Gestion de stratégie de groupe
2 – Créer une nouvelle stratégie de groupe : Stratégie d’Auto-inscription des certificats clients, cliquer sur Ok pour valider

image 

3 – Cliquer-droit sur votre nouvelle stratégie (Stratégie d’Auto-inscription des certificats clients) , puis sélectionner Modifier, La console : Editeur de gestion des stratégie de groupe apparait alors…
4 – Depuis la console Editeur de gestion des stratégie de groupe se rendre comme suit :

image

5 – Double-cliquer sur Client des services de certificats – inscription automatique, puis sélectionner les options comme suit (encadrés rouges) afin d’activer l’auto-inscription et de configurer les options et conditions de renouvellement :

image

6 – Fermer la console MMC Editeur de gestion des stratégie de groupe
7 – Depuis la console de Gestion de stratégie de groupe, lier et activer votre nouvelle stratégie de groupe à votre environnement, regroupant vos Serveur et vos postes de travail (OU Servers et Workstations) qui seront clients de votre infrastructure
8 – Fermer la console MMC : Editeur de gestion des stratégie de groupe

Etape 3 – Création et configuration des modèles de certificats
Nous allons dans cette section, créer les modèle de certificats qui serviront à SCCM. Les certificats a créer est en fonction des environnement et rôles que vous voulez mettre en place au sein de votre site / Nous allons détailler les modèle de certificats suivants (Rappel) :

– Certificat Serveur Web SCCM (SUP, MP et DP)
– Certificat pour les points de distribution (OSD/PXE)
– Certificat pour les points de distribution (Cloud-Based) (Cloud DP – Windows Intune)
– Certificat pour les postes de travail (En fait pour les clients SCCM)
– Certificat pour la gestion des Mobile Devices (Mobile Devices Management)

Création du modèle de Certificat pour les postes de travail
Cette procédure permet de créer un modèle de certificat pour les postes de travail clients de System Center 2012 Configuration Manager.

1 – Ouvrir la console MMC Autorité de certification, cliquer-droit sur Modèles de certificats puis sélectionner Gérer 
2 – Depuis la Console des modèles de certificats, cliquer-droit sur le modèle Authentification de station de travail, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Client Certificate
6 – Aller dans l’onglet Sécurité, puis en plus des droits de Inscrire (Enroll) ajouter les droits de Lecture (Read) et d’Inscription automatique (Autoenroll) concernant le groupe “Ordinateurs du domaine (<Domain>\Domain Computers Group) 
7 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat
8 – Ne fermer pas la console : Console des modèles de certificat

Récapitulatif :
Onglet de Sécurité -> Domain Computers : Inscrire / Lecture / Inscription Auto.

Création du modèle de Certificat pour les points de distribution
Créer un groupe Active Directory ConfigMgr IIS Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS 

1 – Depuis la console  Console des modèles de certificat
2 – Cliquer-droit sur le modèle Authentification de station de travail, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Client Distribution Point Certificate
6 – Aller dans l’onglet Traitement de la demande, puis sélectionner Autoriser l’exportation de la clé privée
7 – Aller dans l’onglet Sécurité, puis supprimer le droit Inscrire (Enroll) au groupe Administrateurs de l’entreprise (<Domain>\Enterprise Admins) dans la listes de utilisateurs et groupes
8 – Ajouter le groupe Active directory ConfigMgr IIS Servers regroupant vos serveurs SCCM; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.
10 – Ne fermer pas la console : Console des modèles de certificat

Récapitulatif :
Onglet Sécurité -> ConfigMgr IIS Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Traitement de la demande –> Autoriser l’exportation de la clé privée

Création du modèle de Certificat Serveur Web SCCM
Créer un groupe Active Directory ConfigMgr IIS Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS (Hébergeant des rôles comme le Management Point, Software Updates Point, etc.).

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Serveur Web, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Web Server Certificate
6 – Aller dans l’onglet Sécurité, puis supprimer le droit d’Inscrire (Enroll) aux groupes Administrateurs de l’entreprise (<Domain>\Enterprise Admins) et Administrateurs du domaine (<Domain>\Domain Admins) dans la listes des utilisateurs et groupes 
7 – Ajouter le groupe Active directory ConfigMgr IIS Servers regroupant vos serveurs SCCM 
8 – Attribuer à ce nouveau groupe le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Sécurité -> ConfigMgr IIS Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Sécurité -> Admins du domaine : Lecture / Ecriture

Création du modèle de Certificat pour les points de distribution (Cloud-Based) – Service Pack 1 de SCCM uniquement et Facultatif si vous n’utiliser pas la Cloud
Créer un groupe Active Directory ConfigMgr Site Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Serveur Web, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Cloud-Based Distribution Point Certificate
6 – Aller dans l’onglet Traitement de la demande, puis sélectionner Autoriser l’exportation de la clé privée 
7 – Aller dans l’onglet Sécurité, puis supprimer le droit Inscrire (Enroll) au groupe Administrateurs de l’entreprise (<Domain>\Enterprise Admins) dans la listes des utilisateurs et groupes 
8 – Ajouter le groupe Active directory ConfigMgr Site Servers regroupant vos serveurs SCCM; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Sécurité -> ConfigMgr Site Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Traitement de la demande –> Autoriser l’exportation de la clé privée

Création du modèle de Certificat pour la gestion des Mobiles Devices
Créer un groupe Active Directory ConfigMgr Mobile Devices Users

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Session authentifiée, et choisir Dupliquer le modèle dans le menu contextuel
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important)
4 – Cliquer sur OK
5 – Spécifier un Nom complet du modèle (ConfigMgr Mobile Device Enrollment Certificate)
6 – Aller dans l’onglet Nom du sujet, puis sélectionner Construire à partir de ces informations Active directory (Build from this Active Directory information)
7 – Spécifier Nom Commun (Common Name) dans le champ Format du nom du sujet (Subject Name format)
8 – Décocher la case Nom de l’utilisateur principal (UPN) (User principal Name (UPN)) dans la section Inclure cette information dans le nom de substitution du sujet (Include this information in alternate subject Name)
9 – Aller dans l’onglet Sécurité, puis ajouter le groupe Active directory ConfigMgr Mobile Devices Users ; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
10 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Nom du sujet -> Construire à partir de ces informations Active directory
Onglet Nom du sujet -> Nom Commun
Onglet Nom du sujet -> Nom de l’utilisateur principal (UPN)
Onglet Sécurité -> ConfigMgr Mobile Devices Users : Inscrire / Lecture

Etape 4 – Publication de vos nouveaux modèles de certificat dans votre autorité de certification
Une fois es modèles les certificats créés, depuis la console Autorité de certification, cliquer-droit sur Modèles de Certificat, sélectionner Nouveau, puis Modèle de certificat à délivrer. Sélectionner vos 5 nouveaux modèles de certificats (Utiliser la touche CTRL ou SHIFT pour la multi-sélection); Une fois sélectionnés, cliquer sur OK afin de les importer. Ceux-ci devraient apparaitre dans le magasin de modèles de certificats disponibles.

image

image

Fermer la console Autorité de certification une fois les modèles importés.

Etape 5 – Demande et génération des certificats sur vos serveurs SCCM
A ce stade, passer en ligne de commande gpupdate.exe /force sur vos serveurs, ou si cela ne suffit pas, redémarrer-les, ceci afin qu’ils prennent conscience de leurs droits concernant les nouveaux modèle de certificats, créés.

Faire ce qu’il suit pour les modèles de certificat suivants :
– Certificat Serveur Web SCCM
– Certificat pour les points de distribution 
– Certificat pour les points de distribution (Cloud-Based)

1 – Cliquer sur Démarrer (Start), click Exécuter (Run), and type mmc.exe. Dans la console, cliquer sur Fichier (file), puis sur (Add/Remove Snap-in)µ
2 – Depuis la boite de dialogue Ajouter/Supprimer un composant logiciel enfichable… (Add or Remove Snap-ins), sélectionner Certificats (Certificats) dans les Composant logiciels enfichables disponibles, puis cliquer sur Ajouter (Add)
3 – Depuis la boite de dialogue Certificate snap-in, sélectionner Un compte d’ordinateur (Computer Account) puis cliquer sur Suivant
4 – Sélectionner L’ordinateur Local (L’ordinateur sur lequel cette console s’exécute) (Local computer : (the computer this console is running on)), puis cliquer sur Terminer et enfin sur OK.
5 – Depuis la console, développer l’item Certificats (Ordinateur Local), et cliquer sur Personnel (Personal)
6 – Cliquer-droit ensuite sur Personnel\Certificats, sélectionner Toutes les Tâches (All Tasks), et enfin sélectionner Demander un nouveau certificat (Request New Certificate)
7 – Concernant la 1ère page Avant de commencer (Before You Begin), cliquer sur Suivant, et encore sur Suivant
8 – Depuis la page Demander des Certificats sélectionner, dans la liste des certificats disponibles, le Certificat correspondant au rôle que votre serveur endossera (IIS, WEB, etc.)

ConfigMgr Web Server Certificate
Concernant uniquement le certificat ConfigMgr Web Server Certificate, cliquer sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaire. Cliquer ici pour configurer les paramètres. 
9 – Puis renseigner et Ajouter > le FQDN de votre serveur SCCM avec un FQDN interne valide et un FQDN externe valide si vous voulez publier votre serveur de site sur Internet.

image

Comprendre ce qu’il faut renseigner ici concernant le certificat Web pour SCCM.
– Si le système de site SCCM accepte uniquement les connexions clientes en mode intranet, et que le nom de domaine complet de celui-ci est server1.internal.contoso.com dans ce mode de connexion, renseigner uniquement server1.internal.contoso.com

– Si le système de site SCCM accepte à la fois les connexions clientes en mode intranet et internet, et que le nom de domaine complet interne de celui-ci est server1.internal.contoso.com, renseigner alors server1.internal.contoso.com puis ajouter-le. Pour le mode internet, renseigner le FQDN que devront utiliser les clients SCCM pour joindre le serveur de site depuis l’extérieur (Internet), par exemple server.contoso.com puis ajouter-le.

ConfigMgr Cloud-Based Distribution Point Certificate
(Uniquement pour la version SP1 de SCCM et facultatif si vous n’utilisez pas le Cloud)
Concernant uniquement le certificat ConfigMgr Cloud-Based Distribution Point Certificate cliquer sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaire. Cliquer ici pour configurer les paramètres.
9 – Puis renseigner  le FQDN de votre serveur avec un FQDN externe valide Internet, par exemple :

image

NOTE : La traduction française dans le Technet n’est pas disponible à ce jour. L’étape concernant ce certificat n’est pas documenté…Ce certificat est utilisé pour chiffrer les données et authentifier les clients auprès du point de distribution se trouvant dans le Cloud. Ce certificat doit être exportés puis importé lorsque vous créez un point de distribution basés sur le Cloud.

10 – Puis cliquer sur OK pour valider votre choix
11 – Une fois les information renseignées, cliquer sur Inscription (Enroll)
12 – L’assistant doit confirmer que le certificat que vous avez choisi, a bien été généré
13 – Cliquer sur Terminer (Finish), une fois le certificat généré.
14 – Ne pas fermer la console MMC

Concernant le certificat Certificat pour les postes de travail, celui-ci sera publié ou déployé par stratégie GPO

Etape 6 – Exportation des certificats générés pour le rôle de point de distribution et Point de distribution Cloud-based (SP1 seulement)
Cette partie explique comment exporter les certificats afin de les injecter dans SCCM. Depuis la console MMC-Certificats, dans Certificats\Personnel\Certificats, repérer les certificats :

– ConfigMgr client Distribution point Certificate
– ConfigMgr Cloud-based distribution point certificats (Facultatif, si vous n’utilisez pas le Cloud)

Pour ces deux certificats uniquement, faire les étapes suivantes :

1 – Cliquer-droit sur le certificat que vous avez choisi, sélectionnez Toutes les tâches, puis cliquez sur Exporter.
2 – Dans l’Assistant Exportation de certificats, cliquez sur Suivant.
3 – Dans la page Exporter la clé privée, sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant
4 – Sur la page Format de fichier d’exportation, assurez-vous que l’option Personal Information Exchange – PKCS #12 (.PFX) est bien sélectionnée.
5 – Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Suivant.
6 – Dans la page Fichier à exporter, spécifiez le nom du fichier que vous voulez exporter, puis cliquez sur Suivant.
7 – Pour fermer l’Assistant, cliquez sur Terminer sur la page Assistant Exportation de certificat, puis cliquez sur OK dans la boîte de dialogue de confirmation.
8 – Fermez la fenêtre Certificats (ordinateur local)

Stockez le fichier de façon sécurisée et vérifiez que vous pouvez y accéder à partir de la console

Vous devez donc désormais avoir en votre possession au moins 1 fichier PFX – Voire 2, si vous êtes en SP1 de SCCM et que vous voulez utiliser un point de distribution dans la Cloud

fin de cette 1ère partie…

Sources et articles Microsoft
Step-by-Step Example Deployment of the PKI Certificates for Configuration Manager: Windows Server 2008 Certification Authority http://technet.microsoft.com/en-us/library/gg682023.aspx#BKMK_clientdistributionpoint2008_cm2012

Enfin, post est susceptible d’évoluer ou d’être corrigé, en cas d’erreur. Ce sujet est complexe et chronophage, où il est facile de se tromper, alors faite attention. N’hésitez pas me signaler toute erreur qui se serait glissée.

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , , ,

SCCM – Installation des agents SCCM 2012, en mode poussé, grâce à la génération des fichiers CCR

sccm201242 Bonjour à tous,

Le saviez-vous ? Ce qui n’était pas “forcément” supporté sous SMS 2.0 ou 2003 (voir même sous 2007), et désormais intégré dans SCCM 2012. A savoir, la génération manuelle des fichiers .CCR. Ce fichier était une étiquette “accrochée” aux machines (1 fichier par machine) sur lesquelles une installation l’agent SCCM était en cours.

Dans les versions plus anciennes, SCCM se chargeait de les générer lorsque l’on déclenchait l’installation du client en mode push, depuis la console. Comme expliqué ici, SCCM 2012 utilise désormais sa base de donnée pour y stocker les machines découvertes, non-installées. Lorsque vous déclenchez l’installation du client dans ce mode, contrairement aux versions précédentes, celui-ci ne créer plus le fichier CCR associé, afin de le stocker ensuite dans la inboxes : <SCCM_Install_Dir>\inboxes\ccr.box.

Client Push Generator

Cependant, ce mécanisme existe encore. Microsoft a même mis à votre disposition un outil pour l’utiliser, ClientPushGenerator.exe. Celui-ci se trouve dans le répertoire \AdminConsole\Bin\.

image

Il suffit alors d’alimenter un fichier texte, contenant vos machines et de le spécifier dans cet outil comme Source File. (Cf. Exemple)

 image

Rapport SQL – Status des installations
Aussi pour avoir une vue des différents retours d’installation de l’agent SCCM, voici une requête SQL simple, mais efficace… (Merci Neil)

SELECT
Name, LatestProcessingAttempt, LastErrorCode From v_CP_Machine
Order By LastErrorCode

image

Code retour 53 : Erreur : Machine injoignable sur le réseau, etc.
Code retour 5 : Erreur : Accès refusé sur le partage administratif Admin$ (par exemple), etc.
Code retour 0 : Installation / Processus OK
Code retour 16389 : Prérequis d’installation ou composants absent ou non installé(s), etc.

ampoule-idee-lumiere-icone-7872-48 P’tite Astuce
Pour réenclencher l’installation qui a échoué, d’un client, il suffit de prendre le .CCR correspondant (se trouvant dans \ccrretry.box) et de le déplacer dans le répertoire ccr.box. Le fichier sera immédiatement traité (Cf. le fichier de log CCM.log).

image 

Blog(s) ou article(s) de référence
Client Push Installation change in Configuration Manager 2012 and how to take advantage of this change for troubleshooting purposes.
http://blogs.technet.com/b/neilp/archive/2012/07/03/client-push-installation-changes-in-configuration-manager-2012-and-how-to-take-advantage-of-these-for-troubleshooting-purposes.aspx

Je vous invite aussi à voir ce lien, Neil Peterson explique en plus la différence entre les deux méthodes.

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , ,

SCCM – Nouvelle version (v14.0) du script Hydration sous Powershell

sccm2012Bonjour à tous,

Nouvelle version (v14.0) du script Hydration sous Powershell v2.0

Fichier : i-hydration-SC2012-v14.ps1

Dans cette version 14.0 :

Correction de bogues mineurs;
Possibilité d’installer WSUS avec un serveur SQL distant;
Ajout du groupe GG-SCCM-SERVERS (par défaut) dans les groupes locaux SCCM;
Ajoute la possibilité d’installer MDT 2012 et créé le Deployment Share (New Switch).

64pxwindows-powershell-icon_thumb3 Téléchargement du script

Dans la version 12.0 précédente :

Correction de bogues mineurs
Intégration de vos remarques
Evolution de présentation d’exécution
Possibilité d’installer soit un CAS, soit un Site Primaire enfant d’un CAS, soit un site CAS / Primaire par système de choix

REMARQUE 1 : L’utilisation d’un fichier CSV est une volonté, afin de le manipuler avec plus de facilité (Lisibilité, modification, etc.).
REMARQUE 2 : Tous les répertoires d’installations cibles des solutions sont automatiquement créés. Inutile des créer à l’avance manuellement.

Caractéristiques du script Powershell : i-hydration-SC2012-v14.ps1 –help

i-hydration-SC2012-v1x.ps1 -[Switch] :

[Switch] -HydrationReps –> To prepare the Hydration folders
[Switch] -DomainServices –> To install and configure AD Service
[Switch] -ADConfigmgr –> To prepare AD environment for SC2012
[Switch] -Rolesr2 –> To Install Windows 2008 R2 server roles for SC2012
[Switch] -ConfigSQL –> To Configure Microsoft SQL Solution for SC2012
[Switch] -SQLSrvr2 –> To Install Microsoft SQL Server 2008 R2 for SC2012
[Switch] -WSUS –> To Install Microsoft WSUS 3.0 SP2 for SC2012
[Switch] -ConfigMgr12 –> To Install CAS/Primary SCCM Server SC2012
[Switch] -MDT12 –> MDT Installation Solution (with Deployment Share) new 
[Switch] -Help –> Help panel …
[Switch] -ReadCSV –> To read CSV i-answers.csv file

NOTE : Tous les fichiers de réponses (Rôles serveur, Active directory, SQL, SCCM, etc.) sont générés à la volée par le script Powershell.

Commande : i-hydration-SC2012-v14.ps1 -Help

Screenshots

image

Lecture du fichier de réponse CSV

Commande : i-hydration-SC2012-v14.ps1 -ReadCSV

image_thumb3

Préparation de l’active Directory pour SCCM 2012 RTM (Sans Extension du schéma)

A faire sur le DC

Commande : .\i-hydration-SC2012-v14.ps1 -ADConfigmgr

Création du container AD : System Management
Création du groupe spécifié dans le fichier de réponse CSV
Positionnement des droits ACE/ACL du le container System Management

Action manuelle : Encore dans cette version du script, vous devez ajouter le compte machine du serveur SCCM futur dans le groupe spécifié manuellement.

Screenshots

Commande

Résultat attendu

clip_image003_thumb2

clip_image004_thumb1

Préparation du futur serveur SCCM 2012 RTM

A faire sur le futur serveur SCCM

Pour l’exemple d’organisation de mes disques et partition :

clip_image006_thumb4

Création de l’organisation des répertoires HYDRATION

A faire sur le futur serveur SCCM

Commande : .\i-hydration-SC2012-v14.ps1 –HydrationReps

Screenshots

Commande

Résultat attendu

clip_image007_thumb2

clip_image008_thumb1

Action manuelle : Copier manuellement les sources dans leurs répertoires respectifs sur le futur serveur SCCM

NOTE : Cette organisation n’est pas obligatoire. Vous pouvez utiliser un chemin UNC par exemple, etc. Il suffit simplement de mettre à jour le fichier de réponse CSV en fonction !

Installation des rôles pour SCCM du futur serveur

A faire sur le futur serveur SCCM

Commande : .\i-hydration-SC2012-v14.ps1 -Rolesr2

Screenshot

Commande

Résultat attendu

clip_image009_thumb

clip_image010_thumb

IMPORTANT : Si vous n’avez pas copier manuellement les sources et notamment .Net Framework 4.0 dans le répertoire Updates, il ne sera pas installé lors cette phase-là. Dans le cas contraire :

clip_image011_thumb2

Installation de Microsoft SQL 2008 R2 avec le Service Pack 1 et le Cumulatif Update 6

A faire sur le serveur SQL

Commande : .\i-hydration-SC2012-v14.ps1 -SQLSrvr2

Prérequis important : Avoir copié les sources suivantes à l’endroit voulu et avoir modifié le fichier de réponse en fonction :

Sources SQL 2008 R2
Sources Service Pack 1
Sources Cumulatif Updates 6

Si vous voulez utiliser un serveur dédié pour SQL, les prérequis serveurs pour SQL doivent y être installés.

image_thumb1

NOTE : A ce stade, SQL n’est pas entièrement configuré

Configuration de Microsoft SQL

A faire sur le serveur SQL

Commande : .\i-hydration-SC2012-v14.ps1 –ConfigSQL

clip_image013_thumb2

A ce stade, SCCM peut désormais être installé, tous les prérequis sont présents !

Installation de Microsoft SC Configuration Manager 2012 RTM

A faire sur le serveur SCCM

Commande : .\i-hydration-SC2012-v14.ps1 -ConfigMgr

Prérequis important : Avoir copié les sources suivantes à l’endroit voulu et avoir modifié le fichier de réponse en fonction :

Sources SCCM 2012 RTM
Updates SCCM2012 (Répertoire Updates)

clip_image014_thumb2

Choisir le type de site que vous voulez installer, le fichier de réponse INI sera construit à volée en fonction de votre choix (Par défaut CAS)

Installation de Microsoft Deployment Toolkit 2012 RTM new

A faire sur le serveur SCCM/MDT

Commande : .\i-hydration-SC2012-v14.ps1 –MDT12

Prérequis important : Avoir copié les sources suivantes à l’endroit voulu et avoir modifié le fichier de réponse en fonction :

Sources de MDT 2012 RTM

image

-> Montage du Deployment Share de MDT 2012 RTM pris en compte dans Hydration v14:

image

NOTE : L’intégration de MDT 2012 dans SCCM 2012 reste manuelle dans cette version du script

Installation de Microsoft WSUS 3.0 SP2

A faire sur le serveur SCCM qui sera Software Update Point

Commande : .\i-hydration-SC2012-v14.ps1 -wsus

Prérequis important : Avoir copié les sources suivantes à l’endroit voulu et avoir modifié le fichier de réponse en fonction :

Sources WSUS 3.0 SP2
Report Viewer 2010 (ou version 2008 minimum)
Avoir installé SQL Server en local ou sur un serveur dédié

clip_image016_thumb2

Installation d’un domain controlleur 2008 R2

A faire sur le serveur SCCM qui sera DC

Commande : .\i-hydration-SC2012-v14.ps1 – DomainServices

Le script est aussi capable d’installer un contrôleur de domaine (New Forest/New domain. Celui-ci générer, comme pour le reste, le fichier de réponse d’installation de l’AD. De même le script installe les services et le DNS en où ils ne seraient pas installés

NOTE : Une petite erreur de variable s’est glissée dans le script, ligne 1260. Modifier la ligne comme suit : if ($CASServerConfigMgr -eq "")

Enjoy !

Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

SCCM – Script Powershell v2 d’installations automatisées Microsoft System Center 2012 ConfigMgr

sccm2012

Bonjour à tous,

Après quelques mois d’absence pour raison personnelle, me revoilà avec un script Powershell Hydration qui permet d’installer toute la solution System Center Configuration Manager 2012 RTM. Celui-ci fonctionne avec des -Switchs (arguments attendus). Chaque Switch correspond à un type d’installation (SQL, SCCM, etc.). Switch que vous pouvez chainer…

Dans cette version :
– Installation d’un Contrôleur de domaine 2008 R2, incluant le rôle DNS
– Préparation de l’active directory
(Volontairement sans l’extension du schéma)
– Installation et configuration des rôles serveur pour SCCM 2012 (Windows 2008 R2)
– Installation de Microsoft SQL 2008 R2 avec le SP1 et le CU6
– Configuration du serveur SQL (Firewall, Ports Réseau, tailles des bases etc.)
– Installation de Microsoft WSUS 3.0 SP2 avec installation et configuration d’un site IIS
– Installation de Microsoft SCCM 2012 RTM
(CAS/Primary).
– P
ositionnement du flag NO_SMS_ON_DRIVE.SMS

Nouveautés
Dans cette version, beaucoup plus de contrôles, de fichiers de Logs. Il est aussi possible de rejouer les installations de SQL en cas d’échec. Le script se charge de savoir où vous en êtes pour reprendre. Enfin, dans version, toujours pour SQL, il est possible de jouer une installation à partir de sources “Splitstreamées”. Par contre, dans cette version, la construction d’une telle source reste à votre charge (modification du fichier, INI SQL, décompression des sources SPx et CUx, etc.).

Screenshot .\V_PSHydration-SCE012-v10.2.ps1 -help

Hydration_v2

NOTE : Tous les fichiers de réponses (Rôles serveur, Active directory, SQL, SCCM, etc.) sont générés à la volée par le script Powershell. Par ailleurs, le script PSH utilise un fichier de réponse CSV pour fonctionner.

Bien sûr, le script peut être fortement amélioré… Je vous fais confiance pour vous l’approprier, afin d’apporter des améliorations ou/et de le corriger … Si vous pouviez juste faire partager vos suggestions, ce serait vraiment super ! Je rappelle que le but de ma démarche est avant tout, faciliter les installations des solutions et surtout de gagner du temps sur nos maquettages, par exemple…

64pxwindows-powershell-icon_thumb

 Téléchargement du script

Enjoy !

Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

SCCM – Comment activer et utiliser la fonction de Branch Cache de Microsoft Windows 2008 R2 avec Microsoft SCCM 2007 ?

logo-sccm-20072

La fonctionnalité de Branch Cache est introduite par Microsoft Windows 2008 R2 et Microsoft Windows 7.

Principe et généralité

Cette fonctionnalité permet de rendre disponible aux clients d’un site distant du contenu déjà télécharger sur un autre système du même site (faisant parti du même réseau). Pour chaque client d’un même site distant désirant obtenir un contenu depuis le serveur du siège, séparé par une bande passante faible, un client peut “demander” si ce même contenu est déjà présent sur son site et détenu par un système, faisant parti du même sous-réseau que lui.

Branch Cache 2008R2

 

Peer-to-Peer mode
Si tel est le cas, le client “demandeur” récupère ainsi ce contenu depuis celui qui le détient, épargnant ainsi un transfert depuis le serveur du siège et à travers la liaison WAN.

Dans le cas contraire, le client “demandeur” récupère le contenu depuis le serveur du siège et à travers la liaison WAN. C’est ce qu’on appelle “la douloureuse”. Mais une fois le contenu téléchargé et installé sur le client “demandeur”, celui-ci mettra à disposition ce contenu aux clients de son site et de son sous-réseau auquel il appartient. Ainsi si une demande similaire est faite par un autre client, celui-ci récupèrera le dit contenu sur le 1er client.

clip_image001

Hosted Cache mode
Si tel est le cas, le client “demandeur” récupère ainsi ce contenu depuis le serveur 2008 R2 qui détient le contenu, épargnant ainsi un transfert depuis le serveur du siège et à travers la liaison WAN.

Dans le cas contraire, le client “demandeur” récupère le contenu depuis le serveur du siège et à travers la liaison WAN, toujours appellée “la douloureuse”. Mais une fois le contenu téléchargé et installé sur le client “demandeur”, celui-ci mettra à disposition ce contenu en cache sur le serveur 2008 R2 ayant la fonction de Branch Cache d’activé. Ainsi si une demande similaire est faite par un autre client, celui-ci récupèrera le dit contenu sur le Serveur 2008 R2 du même site.

clip_image001[5]

Microsoft System Center Configuration Manager 2007 (alias SCCM ou ConfigMgr)
Le seul scénario supporté ou envisagé par SCCM est le mode Peer-to-Peer (1)

Prérequis

– Microsoft Windows 2008 R2
– Microsoft Windows 7 Enterprise ou Ultimate (not Professional Version)
– Domaine Active Directory 2008
– Microsoft SCCM 2007 SP2 (uniquement dans le cadre de ce post)

Installations

Sur le serveur SCCM avec les droits Local Administrator, installer la fonction Branch Cache avec les commandes suivantes (Protocols BITS & SMB):

– C:\> ServerManagerCMD.exe –Install BranchCache
– C:\>
ServerManagerCMD.exe –Install FS-BranchCache

Stratégie GPO

1 – A l’aide de la console Active Directory Users, groups and computers, créer une OU puis insérer le serveur SCCM dans celle-ci
2 – A l’aide de la console GPMC.msc, créer une nouvelle GPO et activer (Enabled) l’option Hash Publication for BranchCache dans <New-GPO> –> Computer Configuration –> Policies –> Administrative Templates –> Network –> Lanman Server, puis choisir l’option
Allow Hash Publication only for shared folder on which BranchCache is enabled (recommandée)
3- Valider la GPO et appliquer-la sur l’OU que vous avez créé
(Où se trouve le serveur SCCM)
4- Redémarrer votre serveur SCCM afin que la GPO puisse s’appliquer

Paramètres des partages SCCM

1- Après le redémarrage du serveur SCCM, à l’aide de la console Share and Storage Management, dans les propriétés, dans l’onglet Caching, vérifier que l’option Only the files and programs that users specify are available offline soit activée pour le partage SCCM SMSPKG[x]$. Puis cocher la case Enable BranchCache.

image

Côté client Windows 7

Pour tester, passer la commande suivante :
– C:\> Netsh BranchCache set service DISTRIBUTED

La valeur des clés de registre suivantes doit être à (0) zéro :
– HKLM\Software\Microsoft\Windows\Current Version\BITS\DisableBranchCache
– HKLM\Software\Policies\Microsoft\Windows\BITS\DisableBranchCache

Par GPO:
A l’aide de la console GPMC.msc, créer une nouvelle GPO et activer les options suivantes dans <New-GPO> –> Computer Configuration –> Policies –> Administrative Templates –> Network –> BranchCache, puis choisir l’option Allow Hash Publication only for shared folder on which BranchCache is enabled :

– Turn on BranchCache
– Set BranchCache Distributed Cache Mode
Configure BranchCache for network files –> X (ms)

X représente le temps de latence entre les fichiers stockés et les clients

Toujours pour la même GPO, naviguer vers <New-GPO> –> Computer Configuration –> Policies –> Administrative Templates –> Network –> Background Intelligent Transfer Service (BITS) désactiver l’option Do not Allow the BITS client to use Windows Branch Cache et activer l’option Allow BITS Peercaching

Valider la GPO et appliquer-la sur l’OU qui possède vos clients Windows 7

Sources

Jean Sébastien Duchêne blog [MVP]
Steve Rachui Blog [PFE]

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

SCCM – Erreur d’installation SCCM 2012 (beta2) sur la version de Microsoft 2008 utilisée !!

SCCM2012INSTALLErrorSQLR2

Cela se passe de commentaires, TOUT EST DANS LE MESSAGE !!

Donc attention à la version de SQL que vous utilisez, en attendant que Microsoft rectifie le tir dans les prochaines version …

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , ,
%d blogueurs aiment cette page :