Archive

Posts Tagged ‘Management Point’

SCCM – Troubleshooting avancé et la boule de Cristal

sccm2012Bonjour à tous,

Je fais ce post, vite fait pour vous relater un problème que j’ai rencontré avec ConfigMgr 2007 (SCCM). Et notamment, avec le rôle Management Point versus PXE. Nous avons un serveur Central SCCM (hébergeant aussi la base SQL) et un serveur dédié pour les rôles de PXE, Distribution Point et State Migration Point.

Quant au Central, celui-ci possède les rôles habituels, et notamment le rôle de Management Point.

CONTEXTE/ISSUE
Nous avions déplacé temporairement, le rôle Management Point sur le serveur dédié (PXE, etc.), dans le but de corriger un problème IIS sur le serveur d’origine (Central). Et notamment, concernant la configuration de BITS sur le répertoire CCM_Incoming (Error 500 httpSendRequest)…

Au passage, je vous donne la procédure pour réinstaller Microsoft IIS sur SCCM :

http://blogs.technet.com/b/configurationmgr/archive/2009/08/12/configmgr-2007-how-to-properly-reinstall-iis-in-windows-server-2008-on-an-sccm-2007-site-system.aspx

Là, aucun problème, tous les services SCCM raccrochent les informations, et considèrent correctement le nouveau serveur Management Point comme acquis et fonctionnel sur le serveur dédié (PXE, etc.)

Une fois le problème IIS corrigé sur le serveur, nous avons, bien sûr voulu rebasculer le rôle MP sur son serveur d’origine. Et là problème ! Ce qui s’était bien passé la 1ère fois sur le serveur temporaire, s’est mal passé la deuxième fois (Apparemment), lorsque nous avons remis le rôle à sa place. nous nous sommes pas aperçu tout de suite :

La particularité de ce problème, c’est qu’une fois le rôle MP réinstallé sur le serveur d’origine (Central), le fichier de LOG : MPControl.log fait un Code Retour 200 OK dans son autocheck httpSendRequest !! Si on consulte les fichiers de LOG IIS, même chose ! Code Retour 200 !

Malgré tout impossible de déployer une Task Sequence de déploiement de Windows Seven !!

ANALYSES
Après avoir consulté le fichier Log : MPSetup.log, je ne vois aucune erreur, hormis l’installation du fichier MSI. Erreur que j’avais résolu par une réinstallation du rôle MP, pour corrigé le problème. Ceci avait d’ailleurs fonctionné, raison d’ailleurs pour laquelle je n’avais aucune erreur dans le fichier de Log : MPSetupl.log qui se terminait bien par : Installation Successfully.

Mais malgré tout, le rôle Management Point ne fonctionnait plus, et ceci malgré ce que pouvaient dire les fichiers de Logs d’IIS de SCCM (MPControl.log), etc. Je ne parle pas de la console qui reste muette sur le sujet … “Tout est vert, il fait beau, 25 degrés à l’ombre, bref ! Rien à signaler !

Donc je décide d’investiguer côté poste de travail : Le symptôme sur les postes de travail était le suivant : Les postes démarrent bien en mode PXE, chargent bien l’image de démarrage WINPE, mais redémarrent brusquement au bout de 60 secondes, voir moins (Et ceci malgré une console DOS (F8) ouverte). Malgré tout, nous arrivons a récupérer le fichier Log : SMSTS.Log et là l’erreur fait son apparition : No MP Certificates

Une rapide analyse m’envoie vers le fichier de Log : SMSPXE.log. Dans celui-ci, je vois que le serveur Management Point, ainsi que la clé de sécurité (le fameux Certificat) ne sont plus renseignés :

Loaded PXE settings from DB: Default MP: <empty>, Public Certificates: <empty>

ACTIONS DE CORRECTIONS
1 – Je décide donc, de redémarrer le service PXE Service Point (WDS) sur le serveur, afin de forcer le rôle PXE à lire dans la base, les informations concernant le Management Point, afin qu’il met à jour la nouvelle condition du dit rôle ! Rien à faire. Les données ne sont toujours pas renseignées !

2 – Je décide donc d’installer le Rôle PXE (Moins impactant que le rôle MP, sachant qu’on est en production). Même chose ! Aucun effet ! Les données restent vides ! Les services sont inopérants !

Donc par déduction, le problème, vient à coup sûr du Management Point ! De plus, entre-temps, on m’annonce que toutes les télédistributions d’applications sont arrêtées. Les clients n’ont plus accès aux publications !! Bonjour la pression ! Bref ! Quoi qu’il en soit, cela me conforte dans l’idée que le problème vient bien du Management Point sur le Central. Je décide donc de désinstaller celui-ci du serveur Central.

Mais avant… Une rapide recherche chez Microsoft, pour savoir si le problème est référencé ! Et je retrouve la KB et la procédure que j’avais faite pour corriger le problème d’installation du MSI : http://support.microsoft.com/kb/2419559/fr-fr

[… As of right now, the easiest way to resolve this issue is to remove and reinstall the BITS component. If the ConfigMgr 2007 Management Point role was already installed then it will also be necessary to remove and reinstall that role once you’ve done the same with BITS…]

3 – Je ré-applique donc la procédure, malgré que mon installation MP.MSI se soit bien passée la 1ère fois et que du point de vue de SCCM, le rôle Management actuel, fonctionne !

Sans surprise, la procédure se passe correctement, le Management Point revient en [Status 200 OK] dans MPControl.log, idem dans les fichiers de Logs de Microsoft IIS du Central… Le tout est de savoir ce que fait le PXE derrière ! Bah il fonctionne !!! Les champs sont renseignés. Je retrouve le nom FQDN de mon Management Point, ainsi que sa clé de Sécurité (Certificat).

Loaded PXE settings from DB: Default MP: SERVER.EVENT-HORIZON.FR, Public Certificates: 308201E63082014FA00302010202109326C3F7A4B9D2934497E…

Je repousse les boot images sur le serveur PXE (En conséquence de mes premières actions concernant PXE). Tout redevient comme avant ! Le déploiement OSD fonctionne à nouveau, ainsi que les publications d’applications !

Je voulais partager cette expérience avec vous, car cela vous donne un exemple de troubleshooting dans SCCM, dans lequel il n’est pas toujours évident de diagnostiquer un problème quand les logs ne reflètent par l’état réel des services SCCM, Et c’est encore moins facile quand la console SCCM reste muette comme un carpe !

Pour finir, dans l’histoire, je ne suis pas sûr que le réel problème vienne de Microsoft IIS. Je pense à quelque chose de plus profond, lié au socle et à un manque de stabilité du serveur. Je pense que le problème de Microsoft IIS n’est qu’un symptôme. Problème qui nous a d’ailleurs obligé à réinstaller IIS dès le début de l’incident ; Que part effet domino, le reste à suivi, provoquant le bug… Bienvenu dans le monde SCCM ! 🙂

Enjoy !

Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

SCCM – Comment installer ou diagnostiquer l’installation des clients SCCM ?

logo-sccm-2007_thumb1

Bonjour à tous,

image_2_thumb

Les questions "Comment installer le client SCCM en Push depuis la console ?" ou encore, "Impossible d’installer le client SCCM en Mode Push..!?" reviennent souvent !

Voici une “check-List” des éléments ou quelques pistes, qu’il vous faut vérifier avant de déclarer qu’effectivement votre client a un réel problème…

Droits et client Push SCCM

Première chose à vérifier, avez-vous configuré le compte d’installation du client dans la console SCCM. Ce compte doit être paramétré dans "Method Push Installation". Par ailleurs, ce compte doit être "Local Administrator" des machines sur lesquelles vous allez installer le client SCCM en mode Push.

Application et rôle SCCM

Deuxième chose à vérifier, veillez à ce que le Firewall du client autorise bien les connexions SMB et WMI. En effet, le serveur SCCM copie les fichiers d’installation sur le client cible en utilisant la Share Admin$ du client (\\Client\admin$). En plus, SCCM scrute la condition du client en s’y connectant en WMI et créer un espace de nom (Namespace) pour le client SCCM.

Cf. lien suivant : http://technet.microsoft.com/en-us/library/bb694088.aspx

Par exemple, si vous avez des problèmes de connexions :
(WMI error = 0x8004100e) dans la log CCM.log sur le serveur SCCM

1. vérifier que le firewall du client ne soit pas à l’origine du problème

2. Depuis le Serveur SCCM ou une autre machines, lancer la console wmimgmt.msc, puis essayer de vous connecter sur la machine cible posant problème :

image

Management Point – Autre piste, le rôle MP (Management Point) est inopérant. La configuration de WebDAV n’a pas été effectuée. Vous devriez alors avoir trace des messages suivants dans CCMSetup.log :

Failed to correctly receive a WEBDAV HTTP request.
Failed to successfully complete HTTP request. (StatusCode at WinHttpQueryHeaders: 500)

Configurer WebDAV depuis la console Microsoft IIS 7.x. D’après certains retours, la réinstallation du rôle Management Point peut être nécessaire !

Limites de site SCCM

Troisième chose à vérifier, l’adresse IP des clients doit être dans les limites de site (Boundaries) du site, censé les gérer ! En effet, si les clients n’y sont pas, ils ne seront pas gérés… Et ceci même si votre console les affiche par le biais de la découverte SCCM. On dit dans ce cas que les clients ne sont pas assignés au site.

Pour conclure, lors de l’installation vous pouvez consulter la log CCMSetup.log pour voir l’état de l’installation du client sur un poste. Ce fichier de log se trouve dans \\Client\admin$\CCMsetup et le client s’installe dans : \\Client\admin$\Sys[plateform]\CCM

Sur le serveur, la log à consulter est CCM.log. Ce fichier de log se trouve dans le répertoire LOGS où se trouve installé SCCM… Ce fichier Log trace la copie des fichiers d’installation sur le client ciblé par le Push. Par ailleurs, certains clients peuvent avoir besoin de redémarrer pour continuer l’installation du client SCCM. En effet, lors de l’installation du client Windows Update est mis à jour avant l’installation du client. Ce qui peut rendre obligatoire le Reboot du poste dans certain cas…

NOTE : Vérifier aussi que vos clients cibles sont supportés par SCCM (Client SCCM) http://technet.microsoft.com/en-us/library/ee344146.aspx

Enjoy!

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

SCCM – Vous rencontrez des problèmes avec le rôle Management Point de SCCM ?

logo-sccm-2007

Il arrive parfois que le Management Point de SCCM ne réponde plus ou refuse de s’installer. Des erreurs de connexion apparaissent dans le fichier de Log :

MPControl.log
"MP Control Manager detected management point is not responding to HTTP requests. The HTTP status code and text is 500, Internal Server Error."

Le diagnostique peut parfois paraitre difficile… Donc voici une liste (non-exhaustive) des éléments que vous devez examiner et qui vous aidera à vous orienter.

1. Microsoft IIS 6.5 ou 7.x

Vérifier l’état du site IIS du serveur ayant le rôle (MP) et la présence du répertoire Virtuel "SMS_MP" – Un redémarrage du service IIS peut aider

Vérifier que WebDAV est bien activé et configuré (True, False, True, True). Les "Rules Authoring" de WebDAV doivent être positionnées pour les Administrators (Full Control) et All Users (Read) concernant "All Content"

Screenchots

image

image

image

 

 

 

 

 

 

 

 

 

 

Vérifier dans IIS que vous avez bien autorisé ou activé le mode d’authentification en mode HTTP 401 Challenge : "Windows Authentication", toujours pour le site "Default Web Site"

Screenchots

image

En mode Natif (Native Mode) SCCM, vérifier que le certificat est toujours valide et respecte le format attendu (exigence) pour le site Web par défaut (443) et qu’il n’a pas expiré. Vérifier que vous pouvez ou non accéder aux URLs suivantes depuis un client SCCM (HTTPS en mode Natif) :

Screenchots

image 

image

Vérifier les fichier de logs de IIS, afin d’être plus précis sur le type d’erreurs de connexions, rencontrées.

2. Microsoft SQL 200x SPx

Vérifier que le serveur (MP) a bien le rôle "smsdbrole_MP" dans SQL (User Mapping) pour la base SMS_XXX. En effet, pour un site secondaire, le MP essaye de se connecter sur le serveur SQL du Site Primaire et doit avoir ce droit sur celui-ci.

Screenchots

image

Vérifier et tester le SPN pour SQL : Si vous utilisez un compte spécifique (de service) ou le compte Local System (compte machine SQL), vérifier à l’aide de la console ADSIEdit.msc pour les propriétés "Service Principal Name" que vous avez bien les enregistrements "MSSQLSvc" et le port de communication, aussi bien pour le nom FQDN (Nom long), que le nom court du serveur SQL.

Vous pouvez, depuis le (MP), passer en ligne de commande et tapez la commande suivante : Setspn.exe -L <Domain>\<Compte de Service SQL>

Screenchots

Ex. pour le compte Local System

image

3. Microsoft SCCM 2007

Depuis un site secondaire SCCM ayant le rôle (MP) vers un site primaire parent :

Vérifier que vous n’avez pas de problème de connexion réseau, et chasser les erreurs 53 ou 5 éventuelles dans le fichier de Log : Sender.log sur le site primaire et/ou Site Secondaire (MP).

Toujours pour un site secondaire (MP), le compte machine du site secondaire ayant le rôle (MP), doit faire partie du groupe local détenu par le Site Primaire : SMS_SiteToSiteConnection_XXX.

De plus, le compte machine du Site Primaire doit faire partie du groupe local détenu par le Site Secondaire : SMS_SiteToSiteConnection_XXX.

Dans le cas où le rôle (MP) serait sur un serveur dédié dans un même site (primaire ou secondaire), vérifier que le compte machine ayant le rôle (MP) fait partie du groupe local détenu par le site (Primaire ou Secondaire) SMS_SiteSystemToSiteServerConnection _SiteCode.

Si le rôle n’a jamais fonctionné, consulter le fichier de Log mpsetup.log

4. Pour les sites Secondaires SCCM (MP)

Vous trouvrez des fichiers de Logs dans le répertoire Logs du client SCCM. En effet, le client est important dans pratiquement tous les rôles SCCM… Certains fichiers de Logs y sont stockés. Pour le rôle Management Point (MP) ayez une intention particulière aux fichiers de Logs commençant par MP_ XXX.log. Il peuvent vous aidez à identifier certains problèmes. Et notamment le fichier de Log : MP_GetAuth.log, MP_Relay.log, MP_Status.log et MP_Framework.log

Ce que j’en pense…

Microsoft SCCM Client
Je vous conseille d’installer le client SCCM sur le serveur (MP). En effet, le client et la partie serveur de SCCM partagent des process, binaires et fichiers de Logs SCCM pour fonctionner… Normalement, SCCM, lors du déployment d’un rôle ou d’un service SCCM depuis la console, installe le client SCCM en version “Lite” (pas d’icône dans le panneau de configuration). Mais parfois, il faut aller plus loin et peut débloquer certaines situations ou réparation… (Disont que ça le rend ‘”plus stable”)

Groupe et compte de service et de fonctionnement
Persollement, j’utilise un groupe global Active directory dans lequel j’inclus tous les serveurs SCCM. Ce groupe est ensuite ajouté dans le groupe Local Administrator de chaque serveur SCCM et SQL, puis dans les groupes SMS_Site… de chaque serveur SCCM (Primaires et Secondaires). Ensuite, je lui donne le droit SysAdmins dans SQL. L’activation des rôles fait le reste (smsdbrole_MP, etc.).

Pour ce qui est du compte de service SQL, deux écoles de “sécurité” s’opposent… Tout dépend de votre exigence en terme de sécurité, je dirais. Le compte Local System a plus de droits q’un simple compte fabriqué à cet effet. Simplement, pour l’un, vous connaissez le mot de passe (Compte fabriqué), pour l’autre, non ! (Local System).

Gestion des flux de communication

Doit-on utiliser ou non des ports statiques pour SQL ?
Je dis OUI ! Car plus facile à tracer et à identifier sur le réseau (Sonde d’audit par.ex.)

Doit-on utiliser ou non des Instances pour SQL ?
Là aussi, je dirais oui (ou de préférence) ! Car pour un serveur dédié SQL, il est plus facile de compartimenter les choses et de gérer l’évolution de SQL par la suite (SPx, Cumunalif Updates, etc.). Par contre, il est possible avec SCCM de passer par l’assistant d’installation de SCCM pour passer d’une instance Nommée à une instance par défaut et inversement, lors d’un déménagement de base par ex.… Et de passer d’une base locale à une base distante et vis-et versa…(Cf. le lien ci-dessous)

TechNet – Comment déplacer la base de données SQL du site SCCM ? http://technet.microsoft.com/fr-fr/library/bb680707.aspx


Annexe : Tips de Aurélien Bonnin

http://myitforum.com/cs2/blogs/abonnin/archive/2009/11/06/system-center-configuration-manager-fix-it-solution-for-error-401-1-in-iis.aspx

System Center Configuration Manager | “Fix It Solution for error 401.1 in IIS” “You receive error 401.1 when you browse a Web site that uses Integrated Authentication and is hosted on IIS 5.1 or a later version”. Cette initiative Fix It consiste à automatiser des workaround proposés par la communauté Microsoft (Microsoft Guys, MVP, Support, etc…) et les rendre accessibles à tous.


Pour les détails de cette KB et l’accès à l’outil Fix It associé : http://support.microsoft.com/default.aspx?scid=kb;EN-US;896861

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , ,
%d blogueurs aiment cette page :