Archive

Posts Tagged ‘role’

Comment activer le PXE à travers Hyper-V lorsque l’on fait un environnement de test de type PoC pour SCCM 2012 R2 ?

Bonjour à toutes et à tous,

Après un long moment d’absence, je poste ce rapide message de type “pense-bête” afin d’expliquer simplement comment déployer, en mode PXE une machine physique lorsque l’on utilise la fonction OSD de SCCM 2012 R2 virtualisé dans un environnement Hyper-V en mode PoC.

En effet, dans un environnement de type PoC, nous avons tendance à ne déployer que des machines virtuelles. Mais il arrive parfois qu’on soit obligé d’aller plus loin dans les tests et vouloir prouver qu’on peut déployer une machine bien réelle.

Les raisons peuvent être multiples : Soit pour tester Bitlocker lors de la descente de Windows, soit pour tester et valider l’intégration de nouveaux pilotes (drivers) pour un nouveau modèle, ou encore prouver l’intégration des modèles de PC en vigueur dans une solution nouvelle que peut représenter SCCM 2012, coupler avec MDT ou non.

Bref, tester ou démontrer la solution l’OSD de SCCM 2012 ayant pour cible aussi bien des machines virtuelles que physique.

De plus, pour une démo cliente, l’environnement de type PoC peut être mobile si vous installez celui-ci sur un portable plus (+) “technique” que bureautique. Dans mon cas, mon environnement est un RoG (Republic of Gamer) sous Windows 2012 R2, de type Core i7 possédant 32 Go RAM, 1 Téra SSD dédié l’environnement et 128 Go SSD pour l’OS du host (l’OS du portable).

Les pré-requis de l’environnement et de SCCM 2012 R2 étant assez gourmands, je vous conseille au minimum, 16 go Ram, Core i5, un disque dur 500 Go en 7200 tours dédié l’environnement et 1 disque dédié à l’OS de votre host.

Côté services sur le host (votre machine), installez dans cette ordre les services suivants :

Service DNS : Celui-ci permet de mettre en cache les requêtes de résolution de l’ensemble de l’environnement virtualisé (SUP de SCCM (synchronisation Software Updates Point), accès au web pour toutes les machines virtuelles ou physiques), Délégation de la zone DNS pour Active directory hébergé sur votre DC virtuelle, etc.

image

Service DHCP : Votre machine host (votre portable) ne fera pas parti du domaine Active directory virtualisé. Cependant, le service DHCP permettra de distribuer une adresse IP à toutes vos clients OSD (physiques ou virtuels). Il vous faudra dans ce cas, mettre en premier l’adresse IP de votre DC (qui sera aussi serveur DNS) dans vos scopes DHCP et par la suite mettre en 2ème position l’adresse IP de serveur host (votre portable) DNS également.

image

Service Hyper-V : Bien sûr, mettre en place Hyper-V afin de construire tout votre environnement de type PoC. Une fois les redémarrages d’installation effectués et Hyper-V installé, je vous conseille, tout de suite, de mettre en place vos VLAN Virtual Switch depuis la console. D’attribuer une adresse IP statique tout de suite pour chacun d’eux depuis les propriétés des cartes réseaux de votre Host (ATTENTION NE PAS SPECIFIER DE PASSERELLE).

image

Note : Si vous ne créez pas vos Virtual Switchs, vous risquez de ne pas les voir apparaitre dans la console Routage Accès Distant. Même si vous redémarrer le service Routage Accès Distant, l’énumération des cartes réseau de votre Host ne fonctionnera pas (ou pas toujours).

Autre point, afin de pouvoir faire du PXE vers des machines bien réelles, l’un des “Virtual Switchs” sera couplé à ma carte Ethernet.

image

Routage Accès Distant : Pourquoi mettre en place sur votre host ce service ?? Tout simplement parce que celui-ci servira de “Centre” d’aiguillage réseau entre votre environnement PoC et Internet (Ou tout ce qui peut être considéré comme externe à votre environnement virtuel).

Dans mon cas, mais aussi dans le votre, j’activerai la fonction NAT (Network Access Translation) afin permettre à mes machines clientes de sortir vers l’extérieure et sur le Net grâce au WIFI. Raison pour laquelle j’utilise aussi un portable, le WIFI étant présent de base…

image

image 

image  image

Une fois votre environnement virtualisé, Microsoft System Center 2012 R2 Configuration Manager, installé et configuré et les rôles OSD activés, en attribuant le Virtual Switch à vos machines virtuelles, Virtual Switch lui-même lié à votre Carte Ethernet de votre host Hyper-V (de votre portable), couplé aux options DHCP (066 et 067) pour l’OSD, il vous est désormais possible de cibler par PXE, à la fois vos machines virtuelles et vos machines physiques connectées directement en Ethernet sur votre portable, hébergeant l’ensemble des services.

image

Note : Les options DHCP, 066 et 067 sont obligatoires, car dans cet environnement, la notion ou fonction d’IPHelper n’existe pas et n’est pas possible.

Enjoy !

avatar_thumb2 Michel PICOLLET
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :Hyper-V, SCCM, Windows Étiquettes : , , , , , , , , , , , ,

SCCM – Certificats Management et PKI pour SCCM 2012 SP1 (Part2)

sccm201242 Bonjour à toutes et à tous,

Voici la continuité de l’article concernant la sécurisation d’un site SCCM. Dans la 1ère partie, nous avions créé les modèles de certificat et nous avions généré les certificats sur le serveur SCCM.

Dans cette 2ème partie, nous allons maintenant sécuriser notre serveur. Le pré requis de cette suite en donc d’avoir lu et effectué les actions de la partie 1.

Bien sûr, tout ceci doit être testé dans un environnement de test avant le passage en production !!

Je rappelle que la partie AMT/ Intel VPro sera traité à part et ne sera pas abordé ici…

Commençons !
Dans cette partie, nous allons configurer Microsoft IIS (Default Site et Administration WSUS), spécifier le certificat PFX pour le rôle de point de distribution depuis la console SCCM, exporter puis importer le certificat de l’autorité de certification (CA), etc.

Configuration des sites Microsoft IIS (Default Site et Administration WSUS)
Ouvrir la console MMC de IIS 7.0 puis faire comme suit :

image

Ensuite choisir, puis spécifier le certificat ConfigMgr Web Server Certificate pour le port 443 puis cliquer sur OK pour valider et Fermer la Liaison des sites. Répéter l’opération pour le site Administration WSUS, si vous avez effectivement utilisé un site web dédié pour WSUS (Port 8531)

image

Console Microsoft System center 2012 Configuration Management

image

Paramétrage du site
Depuis la Console SCCM, aller dans la section Administration, puis comme suit :

image

Exporter votre CA en fichier .CER, puis importez-la dans le champ : Autorité de certification Racine de confiance

image

Point d’attention
Attendez que tous vos clients possèdent leur certificat avant de forcer le https (laisser http ou https, en attendant). Même chose pour ce qui concerne le paramétrage du panneau de chiffrement.

Paramétrage des rôles
Depuis la console SCCM (section : Administration), dans les propriétés de chaque rôle :

Applications Catalog
Pour le rôle Applications Catalog, ça se passe ici :

image

Applications Catalog Web Service
Concernant le rôle Applications Catalog Web Service, ça se passe ici :

image

Réinstallation du rôle pour le passage en 443 – Cela peut vous obliger également à réinstaller le rôle Applications Catalog !

Management Point
Pour le rôle Management Point, c’est ici :

image

Software Updates Point
Pour le rôle Software Updates Point, c’est ici :

image

Distribution Point
Pour le rôle de Distribution Point, c’est ici :

image

Importer le certificat PFX puis Spécifier le mot de passe associé

Cloud-based Distribution Point

Ce sujet sera détaillé dans une autre partie…

Politique cliente des agents SCCM
Si vous avez spécifié l’URL concernant l’accès au portail Application Catalog, n’oubliez pas d’ajouter le [s] à http de votre URL ! Et en vérifier l’accès depuis un client de test.

Enfin, post est susceptible d’évoluer ou d’être corrigé, en cas d’erreur. N’hésitez pas me signaler toute erreur qui se serait glissée. Par ailleurs, une 3ème partie est en cours d’écriture…

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , , , ,

SCCM – Troubleshooting avancé et la boule de Cristal

sccm2012Bonjour à tous,

Je fais ce post, vite fait pour vous relater un problème que j’ai rencontré avec ConfigMgr 2007 (SCCM). Et notamment, avec le rôle Management Point versus PXE. Nous avons un serveur Central SCCM (hébergeant aussi la base SQL) et un serveur dédié pour les rôles de PXE, Distribution Point et State Migration Point.

Quant au Central, celui-ci possède les rôles habituels, et notamment le rôle de Management Point.

CONTEXTE/ISSUE
Nous avions déplacé temporairement, le rôle Management Point sur le serveur dédié (PXE, etc.), dans le but de corriger un problème IIS sur le serveur d’origine (Central). Et notamment, concernant la configuration de BITS sur le répertoire CCM_Incoming (Error 500 httpSendRequest)…

Au passage, je vous donne la procédure pour réinstaller Microsoft IIS sur SCCM :

http://blogs.technet.com/b/configurationmgr/archive/2009/08/12/configmgr-2007-how-to-properly-reinstall-iis-in-windows-server-2008-on-an-sccm-2007-site-system.aspx

Là, aucun problème, tous les services SCCM raccrochent les informations, et considèrent correctement le nouveau serveur Management Point comme acquis et fonctionnel sur le serveur dédié (PXE, etc.)

Une fois le problème IIS corrigé sur le serveur, nous avons, bien sûr voulu rebasculer le rôle MP sur son serveur d’origine. Et là problème ! Ce qui s’était bien passé la 1ère fois sur le serveur temporaire, s’est mal passé la deuxième fois (Apparemment), lorsque nous avons remis le rôle à sa place. nous nous sommes pas aperçu tout de suite :

La particularité de ce problème, c’est qu’une fois le rôle MP réinstallé sur le serveur d’origine (Central), le fichier de LOG : MPControl.log fait un Code Retour 200 OK dans son autocheck httpSendRequest !! Si on consulte les fichiers de LOG IIS, même chose ! Code Retour 200 !

Malgré tout impossible de déployer une Task Sequence de déploiement de Windows Seven !!

ANALYSES
Après avoir consulté le fichier Log : MPSetup.log, je ne vois aucune erreur, hormis l’installation du fichier MSI. Erreur que j’avais résolu par une réinstallation du rôle MP, pour corrigé le problème. Ceci avait d’ailleurs fonctionné, raison d’ailleurs pour laquelle je n’avais aucune erreur dans le fichier de Log : MPSetupl.log qui se terminait bien par : Installation Successfully.

Mais malgré tout, le rôle Management Point ne fonctionnait plus, et ceci malgré ce que pouvaient dire les fichiers de Logs d’IIS de SCCM (MPControl.log), etc. Je ne parle pas de la console qui reste muette sur le sujet … “Tout est vert, il fait beau, 25 degrés à l’ombre, bref ! Rien à signaler !

Donc je décide d’investiguer côté poste de travail : Le symptôme sur les postes de travail était le suivant : Les postes démarrent bien en mode PXE, chargent bien l’image de démarrage WINPE, mais redémarrent brusquement au bout de 60 secondes, voir moins (Et ceci malgré une console DOS (F8) ouverte). Malgré tout, nous arrivons a récupérer le fichier Log : SMSTS.Log et là l’erreur fait son apparition : No MP Certificates

Une rapide analyse m’envoie vers le fichier de Log : SMSPXE.log. Dans celui-ci, je vois que le serveur Management Point, ainsi que la clé de sécurité (le fameux Certificat) ne sont plus renseignés :

Loaded PXE settings from DB: Default MP: <empty>, Public Certificates: <empty>

ACTIONS DE CORRECTIONS
1 – Je décide donc, de redémarrer le service PXE Service Point (WDS) sur le serveur, afin de forcer le rôle PXE à lire dans la base, les informations concernant le Management Point, afin qu’il met à jour la nouvelle condition du dit rôle ! Rien à faire. Les données ne sont toujours pas renseignées !

2 – Je décide donc d’installer le Rôle PXE (Moins impactant que le rôle MP, sachant qu’on est en production). Même chose ! Aucun effet ! Les données restent vides ! Les services sont inopérants !

Donc par déduction, le problème, vient à coup sûr du Management Point ! De plus, entre-temps, on m’annonce que toutes les télédistributions d’applications sont arrêtées. Les clients n’ont plus accès aux publications !! Bonjour la pression ! Bref ! Quoi qu’il en soit, cela me conforte dans l’idée que le problème vient bien du Management Point sur le Central. Je décide donc de désinstaller celui-ci du serveur Central.

Mais avant… Une rapide recherche chez Microsoft, pour savoir si le problème est référencé ! Et je retrouve la KB et la procédure que j’avais faite pour corriger le problème d’installation du MSI : http://support.microsoft.com/kb/2419559/fr-fr

[… As of right now, the easiest way to resolve this issue is to remove and reinstall the BITS component. If the ConfigMgr 2007 Management Point role was already installed then it will also be necessary to remove and reinstall that role once you’ve done the same with BITS…]

3 – Je ré-applique donc la procédure, malgré que mon installation MP.MSI se soit bien passée la 1ère fois et que du point de vue de SCCM, le rôle Management actuel, fonctionne !

Sans surprise, la procédure se passe correctement, le Management Point revient en [Status 200 OK] dans MPControl.log, idem dans les fichiers de Logs de Microsoft IIS du Central… Le tout est de savoir ce que fait le PXE derrière ! Bah il fonctionne !!! Les champs sont renseignés. Je retrouve le nom FQDN de mon Management Point, ainsi que sa clé de Sécurité (Certificat).

Loaded PXE settings from DB: Default MP: SERVER.EVENT-HORIZON.FR, Public Certificates: 308201E63082014FA00302010202109326C3F7A4B9D2934497E…

Je repousse les boot images sur le serveur PXE (En conséquence de mes premières actions concernant PXE). Tout redevient comme avant ! Le déploiement OSD fonctionne à nouveau, ainsi que les publications d’applications !

Je voulais partager cette expérience avec vous, car cela vous donne un exemple de troubleshooting dans SCCM, dans lequel il n’est pas toujours évident de diagnostiquer un problème quand les logs ne reflètent par l’état réel des services SCCM, Et c’est encore moins facile quand la console SCCM reste muette comme un carpe !

Pour finir, dans l’histoire, je ne suis pas sûr que le réel problème vienne de Microsoft IIS. Je pense à quelque chose de plus profond, lié au socle et à un manque de stabilité du serveur. Je pense que le problème de Microsoft IIS n’est qu’un symptôme. Problème qui nous a d’ailleurs obligé à réinstaller IIS dès le début de l’incident ; Que part effet domino, le reste à suivi, provoquant le bug… Bienvenu dans le monde SCCM ! 🙂

Enjoy !

Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

SCCM – Impossible pour WSUS de synchroniser le catalogue des mises à jour Microsoft ou SUP inopérant

logo-sccm-20072

Bonjour à tous,

Vous avez des problèmes et constatez l’erreur suivante dans le fichier de Log : wsyncmgr.log

Sync failed: WSUS server not configured. Source: CWSyncMgr :: DoSync

Cependant, le fichier de contrôle WSUSCtrl.log vous indique que la connexion au service et à la base SQL s’est effectuée avec succès vous indiquant les messages suivants :

• Successfully connected to local WSUS server
• Successfully checked database connection on WSUS server <SUPServerName>

De plus, vous constatez des erreurs de connexion au site IIS de WSUS dans le fichier de log WCM.log avec le message suivant :

System.Net.WebException: The request failed with HTTP status 403: Forbidden.~~ at Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer(Object[] args)~~ at Microsoft.UpdateServices.Administration.AdminProxy.GetUpdateServer(String serverName, Boolean useSecureConnection, Int32 portNumber)~~ at Microsoft.SystemsManagementServer.WSUS.WSUSServer.ConnectToWSUSServer(String ServerName, Boolean UseSSL, Int32 PortNumber

Step 1 – http://technet.microsoft.com/fr-fr/library/bb735874.aspx

Step 2 – http://social.technet.microsoft.com/forums/en-US/configmgrsum/thread/0c95dae5-97a2-4ae1-a5d4-12a52e2719ee/

Note : Si vous utilisez FEP (Forefront Enpoint Protection) dans sa version TMG, il se peut que celui-ci bloque le serveur SCCM pour communiquer avec le serveur WSUS (Et ceci même si les 2 rôles sont hébergés sur le même serveur physique). Il faut dans ce cas donner l’autorisation au serveur SCCM de piloter et donc de communiquer avec le serveur WSUS dans TMG via le protocole http

Une désinstallation du rôle SUP (software Update Point) et de Microsoft WSUS peut être la dernière solution.

Les étapes sont :

1. Désinstallation du rôle SUP dans ConfigMgr
2. Désinstallation de Microsoft WSUS 2.0 (SP1 ou SP2)
3. Redémarrage du serveur
4. Réinstallation de Microsoft WSUS 2.0 (SP1 ou SP2) avec les recommandations, plus bas dans ce post
5. Configuration de Microsoft IIS 6.0 ou 7.0 pour utiliser le SSL
6. Réactivation du rôle SUP (software Update Point) dans SCCM en spécifiant bien les ports de communication IIS

Consultation des fichiers logs dans cet ordre, se trouvant dans le répertoire Logs de ConfigMgr

SUPSetup.log : Fichier de log de l’installation du rôle SUP dans ConfigMgr (SCCM)
WCM.log : Fichier de log du composant WSUS
WSUSCtrl.log : Fichier de log de contrôle de rôle SUP
wsyncmgr.log : Fichier de log de synchronisation du catalogue des MàJ

Recommandations

Pour une utilisation de WSUS dans Microsoft SCCM, il est conseillé d’installer Microsoft WSUS sur un site web dédié : WSUS Administration. Contrairement à ce qui est indiqué dans l’interface d’installation de WSUS… (Voir la figure ci-contre…) Choix à faire lors de l’installation de WSUS pour une utilisation des SCCM 2007 : Create a Windows Server Update Services 3.0 SP2 Web Site

Configuration de Microsoft IIS 7.0

Voici la structure de Microsoft IIS 7.0 une fois l’installation de WSUS terminée. Les flèches indiquent les répertoires virtuels que vous devez configurer en SSL Require / Ignore pour l’utilisation en SSL (8531). Pour une utilisation de SSL, vous devez bien sûr configurer le Bindings comme suit avec un certificat valide et conforme pour SCCM (plus bas) (Ne pas spécifier d’adresse IP vous devez avoir *)

Commande WSUSUtil.exe pour utiliser le SSL et Proxy

N’oubliez pas de passer la commande suivante pour une utilisation de SSL avec WSUS :

C:\Program Files\Update Services\Tools\wsusutil.exe configuressl WSUSServerName.FQDN

Exemple :
C:\Program Files\Update Services\Tools>wsusutil.exe configuressl server2.domain.lab
URL : https://server2.domaine.lab:8531

Pour finir, si vous utilisez un compte Proxy, n’oubliez pas de passer la commande suivante:

C:\Program Files\Update Services\Tools> wsusutil.exe configuresslproxy <ssl_proxy_ip_or_name> <port> –enable

Activation du rôle Software Update Point dans Microsoft SCCM 2007

Dans SCCM, vérifier bien ou spécifier bien les ports de communication en fonction de votre configuration Microsoft WSUS et IIS. Dans le cas de l’utilisation d’un site Web IIS dédié à WSUS les ports à renseigner sont :

– http : 8530
– https : 8531

Bon courage !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , , , , ,

SCCM – Script PowerShell d’installation automatisée de toute la solution Microsoft pour Microsoft SCCM 2007 SPx Rx (Rôles Serveur, IIS (Webdav, etc.) SQL 2008, WSUS, SCCM (primaire ou Secondaire))

logo-sccm-2007

Bonjour à tous,

Voici la version « définitive » du script d’automatisation des installations pour SCCM (ou autres)… Englobant l’installation automatique des rôles et fonctions serveurs (R2 ou non) de Microsoft SQL 2008 server (R2 ou non), de WSUS 3.0 SP2 en normal ou en NLB, et enfin de SCCM 2007 SPx Rx

De plus, celui-ci permet de préparer l’environnement de Hydration, création des répertoires qui accueilleront les sources de chaque solutions susnommées. Et celui-ci, avec les arguments –DiskConfig et –Ipconfig permettra respectivement de configurer le disque des installations (où seront installées chaque solutions (SQL, SCCM, etc.) et la carte réseau (Adresse IP, Gateway, DNS, etc.).

Utilisation d’un fichier CSV

La particularité de cette version réside dans l’utilisation d’un fichier CSV que vous devez au préalable renseigner afin de correspondre avec votre environnement cible. Donc plus besoin de modifier le script pour renseigner les infos nécessaires comme avant…

Petite précision, tout ce que vous renseignez dans le fichier CSV est créé à la volée… (Répertoires source, cibles, fichiers de réponse d’installation, etc.)

Si je prends l’exemple de l’installation de Microsoft SCCM (i-hydration-v8.0.ps1 -pconfigmgr), le répertoire cible que vous avez spécifié dans le CSV (où vous avez décidé d’installer SCCM) est automatiquement créé ! (En l’occurrence ici, E:\Apps\MSSCCM dans le screenshot suivant…)

Il faut savoir que pour SQL 2008 Rx ou non, la création des répertoires d’installation sont créés par l’assistant (setup.exe) lui-même. Donc le script n’a pas besoin de le faire… (.\i-hydration-v8.0.ps1 –sqlsrv[R2])

clip_image002

Test des environnements

De plus dans cette version, des contrôles sont faits afin d’éviter des accidents ou des maladresses, exemple pour une même instance SQL :

clip_image004

Idem pour le Switch –DiskConfig qui réinitialise le disque dur d’accueil où seront installées vos applications…

clip_image006

Préparation de l’environnement

Pour la préparation de l’environnement Hydration afin d’organiser le déploiement, il suffit de passer la commande : i-hydration-v8.0.ps1 –prepsrv

Cette commande créera les répertoires d’accueil dans lesquels seront ensuite copier par vos soins les sources (binaires) de vos applications (SCCM, SQL, etc.). Le CSV par défaut, pointe sur ces répertoires, mais rien ne vous empêches de pointer sur d’autres répertoires ou même lecteur DVD ou CD

clip_image008

Aide sur l’utilisation du script

Pour finir, je vous invite comme toujours à passer la commande
i-hydration-v8.0.ps1 –help, afin de prendre connaissance des fonctions que l’on peut utiliser avec ce script

De plus, avec –help, le script mappe le fichier .CSV et vous montres les variables qui seront utilisées par le script.

Partie haute : Utilisation du script
Partie centrale : Les cmds construites à la volée, qui seront utilisées par le script
Partie basse : Les variables qui sont actuellement en vigueurs pour le script

image

Je vous conseille bien sûr de tester le script dans un environnement non sensible, afin de vous l’approprier et de détecter qu’il est bien en adéquation avec vos besoins. Petite précision, l’installation de SQL prend déjà en compte les prérequis pour Microsoft forefront… Mais pour se faire, ne pas utiliser d’instance nommée SQL (Seule l’instance par défaut est utilisable)

64pxwindows-powershell-icon Téléchargement du script

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

SCCM – Comment préparer et activer AMT dans SCCM ?

logo-sccm-20072

Je vous mets ici les différentes étapes (7) pour mettre en oeuvre la fonction AMT avec SCCM. L’idée n’est pas de refaire les étapes qui existent déjà dans le TechNet Microsoft d’ailleurs c’est “presque” un copier/coller du TechNet (Je mets le lien plus bas), mais de réunir ces étapes avec cohérence dans une seule page (Post) ceci afin de ne pas se perdre dans cette mise en place, déjà bien assez compliquée… :

image 

NOTE : Pour l’activation et l’utilisation de la partie 802.x1, une extension du schéma de Active directory est conseillé.

Voir le lien suivant : Extensions de schéma Active Directory pour les améliorations des stratégies de groupe sans fil et filaires dans Windows Vista

Présentation de AMT

Présentation de la gestion hors bande

Prérequis et Lien Microsoft qui ont servis à ce post

Configuration requise pour la gestion hors bande
Configurations prises en charge pour Configuration Manager 2007 SP1
Configurations prises en charge dans Configuration Manager 2007 SP2
Configuration de la gestion hors bande

    NOTE : Il vous faudra aussi installer le rôle Out of Band Service Point dans SCCM

    Step 1 – Préparer les services et groupes de domaine Active Directory pour AMT

    Pour créer des groupes de sécurité Windows pour les serveurs de système de site

    1. Sur le contrôleur de domaine, cliquez sur Start, cliquez sur Administrative Tools –> Active Directory Users and Computers.

2. Cliquez avec le bouton droit sur l’OU : Users, cliquez sur New, puis sur Group.

3. Dans la boîte de dialogue New object – Group, entrer par ex. GG-SMS-SERVERS comme Group Name, puis cliquez sur OK.

4. Sous Active Directory Users and Computers, cliquez avec le bouton droit sur le groupe que vous venez de créer, puis cliquez sur Properties.

5. Sous l’onglet Members, cliquez sur Add pour sélectionner le serveur membre.

6. Cliquer sur OK, puis cliquez de nouveau sur OK pour fermer la boîte de dialogue Propriétés du groupe.

Répétez les étapes 2 à 6, en nommant cette fois le groupe Out of Band Service Point

7. Redémarrer le(s) serveur(s) SCCM (s’il est en cours de fonctionnement) pour qu’il détecte l’appartenance au nouveau groupe (Token)

Créer et configurer une unité d’organisation dans les services de domaine Active Directory

1. Sur un contrôleur de domaine, connectez-vous sous un compte administrateur autorisé à créer des unités d’organisation dans le domaine sélectionné.

2. Cliquez sur Start –> Administrative Tools –> Active Directory Users and Computers.

image 
3. Cliquez sur View, puis sur Advanced Features.

image

4. Cliquez avec le bouton droit sur l’objet Domaine ou une autre unité d’organisation dans lequel vous souhaitez créer l’unité d’organisation, puis cliquez sur New –> Organization Unit.

image 
5. Dans la boîte de dialogue New object –> Organization Unit, tapez le nom de votre choix (par exemple, Out Of Band Management), puis cliquez sur OK.

image 
6. Cliquez avec le bouton droit sur l’unité d’organisation que venez de créer, puis cliquez sur Properties.

image

7. Cliquez sur l’onglet Sécurité.

8. Cliquez sur Add pour ajouter le groupe GG-SMS-SERVERS (Groupe qui contient vos Serveurs SCCM qui auront le rôle Out of Band Service Point), puis accorder-lui le niveau d’autorisation : Full Control.

image 

9. Cliquez sur Advanced, sélectionnez le compte du serveur de site principal, puis cliquez sur Edit …

image 

10. Dans la liste Apply to: , sélectionnez This Object and all descendant objects.
Cliquez sur OK

 image

11. Cliquer sur OK pour valider et fermer la fenêtre Advanced Security Settings for <Votre OU> Cliquer sur OK pour fermer la fenêtre <Votre OU> Properties

NOTE : Pour un seul site (serveur) SCCM, on pourrait très bien spécifier le compte machine de celui-ci seulement (à la place du groupe), mais l’idée est plutôt d’utiliser un groupe qui regroupe l’ensemble des serveurs SCCM “futurs” qui endoseront plus tard le rôle Out Of Band Service Point et de lui attribuer les droits que nous venons de spécifier plus haut. Dans ce cas là, il suffira alors de les insérer dans le groupe GG-SMS-SERVERS en question… Aussi vous pouvez recycler un groupe existant. Toutefois, le groupe pour le “Out of Band Service Point” est à créer ! (Etape 7 – Partie 1.1.) A ce stade vous devez avoir deux groupes possédant vos serveurs SCCM :

image 

Step 2 – Déploiement des certificats PKI requis pour AMT et la gestion hors bande : Autorité de certification Windows Server 2008

Procéder comme suit pour créer des groupes de sécurité Windows pour les serveurs de système de site. Ces groupes de sécurité permettront de garantir que seuls les serveurs appropriés peuvent utiliser les deux modèles de certificats requis pour la configuration AMT.

2.1. Demande, installation et préparation du certificat de configuration AMT


1. Demande de certificat pour AMT auprès d’une autorité de certification interne et l’installer

2. Sur le contrôleur de domaine exécutant la console Windows Server 2008, cliquez sur Start –> Administrative Tools, puis cliquez sur Certification Authority

image 

3. Développer le nom de votre autorité de certification, puis cliquez sur Certificats Templates 

4. Cliquez avec le bouton droit sur Certificats Templates, puis cliquez sur Manage pour charger la console Certificats Templates.

image 

5. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Web Server dans la colonne Template Display Name, puis cliquez sur Duplicate Template.

image 

6. Dans la boîte de dialogue Dupliquer le modèle, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK.

image 

7. Sous l’onglet Général de la boîte de dialogue Properties of New Template, entrer un nom pour le modèle de certificat de configuration AMT dans le champ Template display name (par exemple, Configuration AMT ConfigMgr). Cocher la case Publish certificat in Active Directory

image 

8. Cliquez sur l’onglet Request Handling et sélectionnez Allow private key to be exported

image 

9. Cliquez sur l’onglet Subject Name et sélectionnez Build from this Active directory information, puis sélectionner Common name dans la liste déroulante Subject Name format

image 

10. Sous l’onglet Extensions, sélectionner Application Policies, puis cliquez sur Edit …

image 

11. Dans la boîte de dialogue Edit Application Policies Extension, cliquez sur Add

image 

12. Dans la boîte de dialogue Add Application Policy, cliquez sur New

image 

13. Dans la boîte de dialogue New Application Policy, entrer Configuration AMT dans le champ Name, puis le numéro suivant dans le champ Object identifier : 2.16.840.1.113741.1.2.3

image 

14. Cliquez sur OK pour valider, puis cliquez une nouvelle fois sur OK pour fermer la boîte de dialogue Add Application Policy

image 

15. Cliquez sur OK pour fermer la boîte de dialogue Edit Application Policies Extension. Dans la boîte de dialogue Properties of New Template, le champ Description of Application Policies doit maintenant indiquer : Server Authentication et Configuration AMT

image 

16. Sous l’onglet Security, supprimer le droit Enroll pour les groupes Domain Admins et Enterprise Admins. Cliquez sur Add, puis ajouter le groupe Out Of Band Service Point, puis cliquez sur OK pour valider. Donner à ce groupe le droit Enroll en plus de Read

image 

17. Cliquez sur OK pour valider, puis fermer la console Certificate Template. Sous Certification Authority, cliquer-droit sur Certificate Template, cliquez sur New, puis cliquez sur Certificate template to Issue.

image 

18. Dans la boîte de dialogue Enable Certificate Template, sélectionnez le modèle que vous venez de créer (Configuration AMT ConfigMgr), puis cliquez sur OK

image 

19. Ne pas fermer la console Certification Authority

A faire sur le(s) serveur(s) SCCM

20. Après avoir redémarrer le(s) serveur(s) faisant parti(s) de ce groupe (Out Of Band Service Point), sur chaque serveur (SCCM) membre de ce groupe, cliquez sur Start, puis sur Run et tapez mmc.exe. Dans la console vide, cliquez sur File, puis sur Add/Remove snap-ins

21. Dans la boîte de dialogue Add/Remove snap-ins, sélectionnez Certificates dans la liste Available snap-ins, puis cliquez sur Add.

22. Dans la boîte de dialogue Certificates snap-in, cliquez sur Computer Account, puis sur Next

23. Dans la boîte de dialogue Select the computer you want this snap-in to manage, vérifier que l’option Local computer : (The computer this console is running on) est sélectionnée, puis cliquez sur Finish.

24. Dans la boîte de dialogue Add/Remove snap-ins, cliquez sur OK.

25. Dans la console, développer Certificates (Local Computer), puis cliquez sur Personal. Cliquez avec le bouton droit sur Certificates, cliquez sur All Tasks, puis cliquez sur Request New Certificate…

image 

26. Dans la page Before You Begin, cliquez sur Next. Dans la page Select Certificate Enrollement Policy, cliquez sur Next. Puis dans la page Demander des certificats, sélectionnez Configuration AMT ConfigMgr dans la liste des certificats affichés, puis cliquez sur Enroll

image 

27. Dans la page suivante, attendre que le certificat soit installé, puis cliquez sur Finish. Le certificat de configuration doit maintenant s’afficher.

image 

image 

28. Ne pas fermer la fenêtre Certificats (Ordinateur local).

Le certificat de configuration AMT de votre autorité de certification interne est maintenant installé et peut être préparé pour le composant de gestion hors bande.

2.2. Pour préparer le certificat de configuration AMT pour le composant de gestion hors bande

1. Sur l’un des serveurs (SCCM) membre du groupe Out of Band Service Point dans la console MMC Certificates (Local Computer), cliquer-droit sur le certificat Configuration AMT ConfigMgr obtenu à l’étape précédente puis cliquez sur All tasks, puis sur Export…

image 
2. Dans l’Assistant Exportation de certificat, cliquez sur Next . Dans la page Export Private Key, sélectionnez Yes, export the private key, puis cliquez sur Next. Sur la page Export File Format, vérifier que Personal Information Exchange – PKCS #12 (.PFX) est sélectionné, puis choisir Include all certificates in the certification path if possible

image 
3. Dans la page Password, spécifiez et confirmer un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Next. Dans la page File to Export, spécifiez le chemin d’accès où sera stocké le certificat et son nom que vous voulez exporter, puis cliquez sur Next (par ex. D:\Export-CA-PFX.pfx)

image

4. Cliquez sur Finish sur la page Completing the Certificate Export Wizard, puis sur OK dans la boîte de dialogue Certificate Export Wizard

NOTE : Stocker le fichier en toute sécurité et assurez-vous que vous pouvez y accéder à partir de la console Configuration Manager


2.3. Préparation des certificats de serveur Web pour les ordinateurs AMT

1. Sur le contrôleur de domaine qui exécute l’autorité de certification, cliquer avec le bouton droit sur Certificate Templates, puis cliquez sur Manage pour charger la console Certificate Templates Console

2. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Web Server dans la colonne Template Display Name, puis cliquez sur Duplicate Template.

3. Dans la boîte de dialogue Duplicate Template, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK. Sous l’onglet General de la boîte de dialogue Properties of New Template, entrer un nom de modèle pour générer les certificats Web à utiliser pour la gestion hors bande sur les ordinateurs AMT, par exemple, Certificat Server Web AMT ConfigMgr. Cocher la case Publish certificate in Active Directory.

4. Sous l’onglet Security, supprimer l’autorisation Enroll pour les groupes Domain Admins et Enterprise Admins

5. Cliquez sur Add, puis ajouter le groupe GG-SMS-SERVERS possédant tous vos serveurs SCCM qui auront le rôle OOB Service Point, puis cliquez sur OK. Sélectionner les autorisations suivantes : Enroll et Autoenroll, en plus de Read

image 
6. Cliquez sur OK, puis fermer la console Certificate Templates

7. Dans la console Certification Authority, cliquez avec le bouton droit sur Certificate Templates, cliquez sur New, puis cliquez sur Certificate Templates to Issue.

8. Dans la boîte de dialogue Enable Certificate Template, sélectionnez le modèle que vous venez de créer (Certificat Server Web AMT ConfigMgr), puis cliquez sur OK

Le modèle de serveur Web AMT est maintenant prêt pour la configuration d’ordinateurs AMT avec des certificats de serveur Web.

2.4. Préparation des certificats d’authentification du client pour les ordinateurs AMT 802.1x (Facultatif)

1. Pour Configuration Manager 2007 SP2 uniquement : Si vous utilisez des certificats client pour des réseaux sans fil ou câblés authentifiés 802.1X, suivez la procédure ci-après pour préparer les certificats d’authentification client pour les ordinateurs AMT.

2. Pour créer et émettre le modèle de certificat d’authentification client sur l’autorité de certification

3. Dans la console de gestion Certification Authority, cliquez avec le bouton droit sur Certificate Templates, puis cliquez sur Manage pour charger la console de gestion des modèles de certificats.

4. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Workstation Authentication dans la colonne Template Display Name, puis cliquez sur Duplicate Template

5. Dans la boîte de dialogue Duplicate Template, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK.

6. Sous l’onglet General de la boîte de dialogue Properties of New Template, entrer un nom de modèle pour générer les certificats client à utiliser pour la gestion hors bande sur les ordinateurs AMT. Par exemple, Certificat d’authentification client 802.1X AMT ConfigMgr. Cocher la case Publish certificate in Active Directory

image 
7. Sous l’onglet Subject Name, cliquez sur Supply the Request Cliquez sur OK dans la boîte de dialogue d’avertissement pour ce paramètre

image 

8. Sous l’onglet Security, supprimer l’autorisation Enroll pour les groupes Domain Admins et Enterprise Admins. Cliquez sur Ajouter, et ajouter le groupe GG-SMS-SERVERS dans la zone de texte, puis cliquez sur OK. Sélectionnez l’autorisation suivante pour ce groupe : Enroll en plus de Read

image 

9. Cliquez sur OK, puis refermer la console Certificate Template Console

10. Dans la console de gestion Certification Authority, cliquez avec le bouton droit sur Certificate Template, cliquez sur New, puis cliquez sur Certificate Template to Issue. Dans la boîte de dialogue Enable Certificate Templates, sélectionnez le modèle que vous venez de créer (Certificat d’authentification client 802.1X AMT ConfigMgr), puis cliquez sur OK. Fermer la console Certification Authority.

Le modèle de certificat d’authentification client est maintenant prêt à émettre des certificats d’ordinateurs AMT utilisables pour l’authentification client 802.1X

A ce stade les 3 certificats sont maintenant créés et configurés :

image

Step 3 – Comment configurer la gestion hors bande de la configuration AMT dans SCCM ?

1. Dans la console Configuration Manager, accéder à System Center Configuration Manager / Site Database / Site Management / <code du site> – <nom du site> / Site Settings / Component Configuration, cliquez avec le bouton droit sur Out of Band Management, puis cliquez sur Properties

image 
2. Sous l’onglet General, cliquer sur Browse… et pointer sur l’unité d’organisation Out Of Band Management dans le champ Active Directory Container – Se traduisant dans le champ par la requête LDAP :

LDAP://OU=Out Of Band Management,DC=Contoso,D=local

3. Cliquez sur Définir pour spécifier un mot de passe fort pour le compte MEBx que Configuration Manager va configurer dans AMT lors de la première configuration de l’ordinateur. Si le fabricant vous a fourni un mot de passe personnalisé (autre que admin) ou si vous avez modifié le mot de passe du compte MEBx dans AMT, spécifiez ce mot de passe en créant ou en configurant un compte de configuration ou de découverte AMT.

4. Pour Configuration Manager 2007 SP2 uniquement : Si vous devez utiliser la configuration hors bande plutôt que la configuration intrabande, sélectionnez Allow out of band provisioning. Dans la boîte de dialogue de l’avertissement de sécurité, cliquez sur Yes si vous maîtrisez et acceptez les implications de sécurité de ce paramètre.

5. Utilisez la valeur par défaut 9971 pour le port de configuration AMT, à moins que le fabricant de votre ordinateur ne vous en ait fourni une autre

6. Si vous utilisez une configuration AMT hors bande (le client Configuration Manager 2007 SP1 ou versions ultérieures n’est pas installé) et si vous souhaitez que Configuration Manager enregistre automatiquement le nom ProvisionServer dans DNS, activez l’option Register ProvisionServer as an alias in DNS

7. Cliquez sur Browse… pour l’option Provisioning certificate et sélectionnez le fichier de certificat PFX (Etape 2.2.6) qui contient le certificat de configuration AMT exporté avec la clé privée. Entrez le mot de passe créé lors de l’exportation du certificat, puis cliquez sur OK.

8. Cliquez sur Select en regard de l’option Certificate template, puis dans la boîte de dialogue AMT Certificate Configuration, spécifiez les éléments suivants :

A. Issuing CA : Cliquez sur le menu déroulant pour afficher la liste des autorités de certification d’entreprise issues des services de domaine Active Directory et affichées par le nom de domaine complet (FQDN). Sélectionnez l’autorité de certification qui émettra les certificats pour les ordinateurs AMT. Le nom de l’autorité de certification s’affiche automatiquement dans le champ Nom de l’autorité de certification.

B. AMT certificate template : Cliquez sur le menu déroulant pour afficher la liste des modèles disponibles pour le serveur de site et issus de l’autorité de certification sélectionnée. Sélectionnez le modèle de certificat à utiliser pour les demandes de certificats relatifs aux ordinateurs AMT : Configuration AMT ConfigMgr (Etape 2.1.6)

C. Cliquez sur OK pour fermer la boîte de dialogue AMT Certificate Configuration. Ce qui donne pour cette 1ère étape :

image

D. Cliquez sur l’onglet Provisioning Settings. Dans la section AMT Provisioning and Discovery Accounts, cliquez sur l’icône New.

E. Dans la boîte de dialogue AMT Provisioning and Discovery Accounts, spécifiez les éléments suivants :

Name : Entrez le nom du compte de configuration configuré dans les extensions BIOS. Password : Entrez le mot de passe configuré dans les extensions BIOS pour le compte de configuration.
Confirm Password : Entrez de nouveau le mot de passe pour le confirmer. Description : Vous pouvez éventuellement entrer une description vous permettant d’identifier le compte. Si vous devez configurer plusieurs comptes, cette description peut s’avérer particulièrement utile pour vous aider à déterminer quel compte est associé à quel ordinateur

image

F. Cliquez sur OK pour fermer la boîte de dialogue AMT Provisioning and Discovery Accounts.

G. Pour Configuration Manager 2007 SP2 uniquement : Cliquez sur l’onglet Provisioning Schedule si vous désirez configurer les ordinateurs AMT en intrabande, puis acceptez le calendrier par défaut de 1 jour, ou spécifiez le calendrier de votre choix

H. Cliquez sur 802.1x and Wireless, cocher la case Enable 802.1x authentication for wired network, puis Cliquez sur Set…

I. Dans la fenêtre 802.1x and Wireless Network Access Control, dans la section 802.1x authentication –> Server authentication, cliquez sur Select… et sélectionner votre autorité de certificats entreprise (CA) et cliquez sur OK pour valider

J. Dans section Client Authentication pour la section Client certificate template, cliquez sur Select… puis dans la fenêtre RADIUS Client Certificate Configuration, pour le champ: Radius client certificate template, sélectionner le modèle de certificat que vous avez créé à l’étape 2.2 de ce Tutorial (A savoir : Certificat d’authentification client 802.1x AMT ConfigMgr). Cliquez sur OK pour valider

image 

K. Cliquez sur OK pour fermer la fenêtre 802.1x and Wireless Network Access Control
image 

L. Cliquer sur l’onglet Audit Settings puis activer comme suit les options :

image 
M. Cliquez sur AMT Settings et paramétrer comme suit :

image 

Cliquez sur OK pour fermer la boîte de dialogue Out Of Band Management Properties

NOTE : Dans l’onglet 802.1x and Wireless, pour la section Wireless Profiles de la boîte de dialogue Out Of Band Management Properties, vous pourriez définir le profile Wireless à autoriser

image

Cf. le lien suivant pour prendre la meilleure décision :
Meilleures pratiques pour la sécurité de la gestion hors bande et informations de confidentialité

Step 4 – Comment configurer les ordinateurs pour AMT ?

4.1. Pour configurer des ordinateurs pour AMT à l’aide de la configuration intrabande automatique avec le client de Configuration Manager 2007 SP1 (ou version ultérieure)

Vous pouvez découvrir les ordinateurs équipés de contrôleurs de gestion (AMT) et créer un regroupement dédié à ces ordinateurs… Créer un regroupement à l’aide de la requête suivante :

Select SMS_R_System.* from SMS_R_System inner join
SMS_CM_RES_COLL_SMS00001 on SMS_CM_RES_COLL_SMS00001.ResourceId =
SMS_R_System.ResourceId where (AMTStatus = 1 or AMTStatus = 2) 
and SMS_CM_RES_COLL_SMS00001.IsApproved = 1 and
SMS_CM_RES_COLL_SMS00001.IsBlocked = 0

L’adhésion à ce regroupement comportera des ordinateurs dont l’état AMT est Détecté ou Non configuré s’ils sont également approuvés et non bloqués. L’état AMT Détecté signifie que vous devez spécifier un compte de configuration et de découverte AMT avant que la configuration ne se déroule correctement.

1. Cliquez avec le bouton droit sur le regroupement à configurer en intrabande, puis cliquez sur Modifier les paramètres du regroupement et sélectionnez Hors bande.

2. Sélectionnez Activer la configuration automatique de contrôleur de gestion hors bande, puis cliquez sur OK.

3. Surveiller l’avancement de la configuration.

4.2. Pour configurer des ordinateurs pour AMT à l’aide de la configuration hors bande automatique

Vérifier que les ordinateurs peuvent localiser un serveur de configuration. Vous disposez pour cela de plusieurs méthodes :

1. Spécifiez l’adresse IP du point de service hors bande comme serveur de configuration dans les extensions BIOS de l’ordinateur.

2. Configurez les ordinateurs pour qu’ils utilisent DNS lorsqu’ils peuvent résoudre le nom ServeurConfiguration à l’adresse IP du point de service hors bande

Pour Configuration Manager 2007 SP2 uniquement : À partir de Configuration des composants, veillez à ce que l’option Autoriser la préparation hors bande soit sélectionnée sous l’onglet Général de la boîte de dialogue Propriétés de gestion hors bande.

1. Cliquer avec le bouton droit sur Regroupements, puis cliquez sur Importer les ordinateurs hors bande

Pour Configuration Manager 2007 SP2 uniquement : À partir de Configuration des composants, veillez à ce que l’option Autoriser la préparation hors bande soit sélectionnée sous l’onglet Général de la boîte de dialogue Propriétés de gestion hors bande.

1. Cliquer avec le bouton droit sur Regroupements, puis cliquez sur Importer les ordinateurs hors bande. Suivre les instructions de l’Assistant.

2. Cliquer avec le bouton droit sur le regroupement sélectionné dans l’Assistant, cliquez sur Mise à jour de l’adhésion à un regroupement et sur OK, puis appuyez sur F5 pour afficher les ordinateurs importés.

3. Vérifier que le câble d’alimentation et la carte réseau sont connectés à l’ordinateur. Surveiller l’avancement de la configuration.

Step 5 – Comment découvrir les ordinateurs avec des contrôleurs de gestion ?

Pour configurer la découverte du réseau pour les contrôleurs de gestion
 

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de site /<nom du site>/ Paramètres du site / Méthodes de découverte.

2. Cliquez avec le bouton droit sur Découverte du réseau, puis cliquez sur Propriétés.

3. Dans l’onglet Général, sélectionnez Activer la découverte des contrôleurs de gestion hors bande.

4. Cliquez sur OK

Pour initier la découverte des ordinateurs équipés de contrôleurs de gestion pour un regroupement

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de l’ordinateur / Regroupements.

2. Cliquez avec le bouton droit sur le regroupement pour lequel vous voulez initier la découverte des contrôleurs de gestion, cliquez sur Gestion hors bande, puis sur Découvrir les contrôleurs de gestion.

3. Cliquez sur OK dans la boîte de dialogue de confirmation.

Pour initier la découverte d’ordinateurs sélectionnés équipés de contrôleurs de gestion

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de l’ordinateur / Regroupements.

2. À partir d’un des regroupements, sélectionnez une ou plusieurs ressources pour lesquelles vous voulez initier la découverte des contrôleurs de gestion. Cliquez ensuite avec le bouton droit et sélectionnez Gestion hors bande, puis cliquez sur Découvrir les contrôleurs de gestion.

3. Cliquez sur OK dans la boîte de dialogue de confirmation.

Step 6 – Exploitation – Comment configurer les paramètres du BIOS d’un ordinateur à l’aide de la gestion hors bande ?

6.1. Pour configurer les paramètres du BIOS d’un ordinateur à l’aide de la gestion hors bande

1. Connectez-vous à la ressource à l’aide de la console de gestion hors bande. Si besoin, vous pouvez remplacer le type d’émulation de terminal par défaut PC ANSI par VT-100 afin qu’il corresponde aux paramètres d’émulation de terminal du BIOS de l’ordinateur cible. Pour cela, cliquez sur Outils, Options, sélectionnez VT-100 puis cliquez sur OK.

2. Cliquez sur Connexion série. Pour Configuration Manager 2007 SP2 uniquement, cliquez sur le bouton Ouvrir une connexion série sur réseau local, puis sur Oui pour accuser réception de l’avertissement de déconnexion d’une connexion sans fil. Attendez que le menu de configuration du BIOS s’affiche.

3. Cliquez sur Contrôle de l’alimentation, puis sélectionnez l’option de configuration du BIOS dans la liste Option de démarrage.

4. Cliquez sur Mise sous tension si l’ordinateur est éteint ou sur Redémarrer l’ordinateur s’il est sous tension.

5. Cliquez dans la fenêtre vierge pour activer la session d’affichage à distance.

6. Consultez ou modifiez les paramètres du BIOS, puis enregistrez. Une fois la configuration du BIOS terminée, le fait de sélectionner l’option d’enregistrement des paramètres redémarre automatiquement l’ordinateur.

A. Une fois la gestion de l’ordinateur terminée, sélectionnez l’une des options suivantes :

B. Pour vous déconnecter de l’ordinateur et fermer la console de gestion hors bande, cliquez sur Fichier puis sur Quitter.

C. Pour vous déconnecter de l’ordinateur sans fermer la console de gestion hors bande, afin de pouvoir vous y reconnecter plus tard, cliquez sur Fichier, puis sur Se déconnecter.

Option – Comment enregistrer un alias dans DNS pour le point de service hors bande ?

N’activez pas cette option si le rôle du point de service hors bande n’est pas encore installé – Pour utiliser cette fonctionnalité, vous devez enregistrer dans DNS un enregistrement hôte (enregistrement A) pour le serveur de système de site du point de service hors bande.

Option.1. Pour enregistrer manuellement un alias dans DNS Microsoft

1. Dans la console DNS, développez le dossier des zones de recherche directe du serveur avec lequel vous souhaitez travailler.

2. Cliquez avec le bouton droit sur le domaine contenant le point de service hors bande, puis cliquez sur Nouvel alias (CNAME) .

3. Saisissez ProvisionServer ou l’autre nom dans le champ Nom de l’alias.

4. Dans le champ Nom de domaine complet (FQDN) pour l’hôte cible, saisissez le nom de domaine complet du système de site hébergeant le point de service hors bande ou accédez-y.

5. Cliquez sur OK

NOTE : Je vous conseille de déployer sur vos postes de travail, l’agent AMT disponible depuis le site d’Intel ou du contructeur “la Clé Bleue” (Blue Key) qui est ni plus ni moins que l’agent AMT qui sera piloté par l’agent SCCM

Enjoy !

Michel PICOLLET | EXAKIS Paris

Consultant Senior Microsoft [System Center]

mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , , , , , ,

SCCM – Comment automatiser les installations pour SCCM ?

LEVEL 200

Le but de ce post est de vous permettre de gagner du temps dans les installations de plateformes SCCM. Je vous donnerais dans ce post les commandes et fichiers de réponse dont vous aurez besoin pour arriver à gagner du temps.

logo-sccm-2007

Rappel :

Microsoft SCCM (ConfigMgr) 2007 a besoin de certains prérequis pour fonctionner. Et ceux sont souvents ces fameux prérequis qui prennent le plus de temps à préparer avant d’arriver enfin à l’installation de SCCM.

Liste des installations à effectuer :

– Installation de Microsoft IIS 7.x (ASP, etc.) Step1
– Activation de Microsoft BITS Step1
– Installation de Microsoft WebDAV 7.x Step 1 et 2 
– Activation de Microsoft RDC (Remote Differential Compression) Step1
– Installation de Microsoft SQL Server 200x SPx Step4
– Installation de Microsoft WSUS 3.0 SP2 Step5
– Installation de Microsoft WDS (Windows Deployment Service) Step6
– Installation de Microsoft SCCM 2007 SPx Step7

    Version du socle

Deux environnements (ou versions du socle OS) à prendre en compte toutefois concernant les scripts ou lignes de commande : La version Microsoft Windows 2008 Server SPx ou Microsoft Windows 2008 Server R2.

Commandes d’installation et d’activation

Voici les commandes en question dans les deux versions de Windows Server

– En rouge –> Seulement pour Windows 2008 R2
En vert –> Non-obligatoire (En fonction de votre besoin)

1. Installation des rôles et fonctions serveur pour Microsoft SCCM

Concept – Commande à passer :
C:\> ServerManagerCMD.exe –Inputpath Fichier_Réponse.xml

Fichier_Réponse.xml pour la version Windows 2008 SPx (Sans R2)
A copier par ex. dans un fichier .xml –> Install.xml

—————- Copier/Coller—————–

<?xml version="1.0" encoding="UTF-16"?>
<ServerManagerConfiguration Action="Install" xmlns="http://schemas.microsoft.com/sdm/Windows
/ServerManager/Configuration/2007/1">
<RoleService Id="Web-Static-Content" />
<RoleService Id="Web-Default-Doc" />
<RoleService Id="Web-Dir-Browsing" />
<RoleService Id="Web-Http-Errors" />
<RoleService Id="Web-Http-Redirect" />
<RoleService Id="Web-Asp-Net" />
<RoleService Id="Web-Net-Ext" />
<RoleService Id="Web-ASP" />
<RoleService Id="Web-ISAPI-Ext" />
<RoleService Id="Web-ISAPI-Filter" />
<RoleService Id="Web-Http-Logging" />
<RoleService Id="Web-Log-Libraries" />
<RoleService Id="Web-Request-Monitor" />
<RoleService Id="Web-Http-Tracing" />
<RoleService Id="Web-Windows-Auth" />
<RoleService Id="Web-Filtering" />
<RoleService Id="Web-Stat-Compression" />
<RoleService Id="Web-Mgmt-Console" />
<RoleService Id="Web-Scripting-Tools" />
<RoleService Id="Web-Mgmt-Service" />
<RoleService Id="Web-Metabase" />
<RoleService Id="Web-WMI" />
<RoleService Id="Web-Lgcy-Scripting" />
<Role Id="WDS" />
<Feature Id="NET-Framework-Core" />
<Feature Id="RSAT-Bits-Server" />
<Feature Id="BITS" />
<Feature Id="RDC" />
<Feature Id="RSAT-Web-Server" />
</ServerManagerConfiguration>

—————– Copier/Coller—————–

Fichier_Réponse.xml pour la version 2008 R2
A copier par ex. dans un fichier .xml –> Install_for_R2.xml

—————– Copier/Coller—————–

<?xml version="1.0" encoding="UTF-16"?>
<ServerManagerConfiguration Action="Install" xmlns="http://schemas.microsoft.com/sdm/Windows
/ServerManager/Configuration/2007/1">
<RoleService Id="Web-Static-Content" />
<RoleService Id="Web-Default-Doc" />
<RoleService Id="Web-Dir-Browsing" />
<RoleService Id="Web-Http-Errors" />
<RoleService Id="Web-Http-Redirect" />
<RoleService Id="Web-Asp-Net" />
<RoleService Id="Web-Net-Ext" />
<RoleService Id="Web-ASP" />
<RoleService Id="Web-ISAPI-Ext" />
<RoleService Id="Web-ISAPI-Filter" />
<RoleService Id="Web-Http-Logging" />
<RoleService Id="Web-Log-Libraries" />
<RoleService Id="Web-Request-Monitor" />
<RoleService Id="Web-Http-Tracing" />
<RoleService Id="Web-Windows-Auth" />
<RoleService Id="Web-Filtering" />
<RoleService Id="Web-Stat-Compression" />
<RoleService Id="Web-Mgmt-Console" />
<RoleService Id="Web-Scripting-Tools" />
<RoleService Id="Web-Mgmt-Service" />
<RoleService Id="Web-Metabase" />
<RoleService Id="Web-WMI" />
<RoleService Id="Web-Lgcy-Scripting" />
<RoleService Id="Web-DAV-PUBLISHING" />
<Role Id="WDS" />
<Feature Id="NET-Framework-Core" />
<Feature Id="RSAT-Bits-Server" />
<Feature Id="BITS" />
<Feature Id="RDC" />
<Feature Id="RSAT-Web-Server" />
</ServerManagerConfiguration>

—————– Copier/Coller—————–

2. Installation de Microsoft WebDAV 7.x + Activation / Configuration

Installation à faire uniquement pour Windows 2008 SPx sans R2.

image 

Télécharger l’application WebDAV depuis le Site Microsoft, puis passer la commande suivante : C:\…\webdav_x64_rtw.msi /qb

3. Configuration de WebDAV après son installation

(Pour les 2 versions Windows de 2008)

Note : En Blue –> [Option] Prise en considération des problèmes suivants :

SCCM – Le téléchargement de packages depuis les clients SCCM, possédant plusieurs fichiers ou dossiers, est trop long ou semble être blocké !

Message d’erreur lorsque vous visitez un site Web hébergé sur IIS 7.0: « HTTP Error 404.11 – URL_DOUBLE_ESCAPED »

“Copier-Coller” ce qui suit dans un fichier cmd ou .bat et exécuter-le avec les droits d’Administrateur local :

A copier par ex. dans un fichier .cmd –> set-iis7secu.cmd

—————– Copier/Coller—————–

C:\Windows\system32\inetsrv\AppCmd.exe set config "Default Web Site/" /section:system.webServer/webdav/authoring /enabled:true
/commit:apphost

C:\Windows\system32\inetsrv\AppCmd.exe set config "Default Web Site/" /section:system.webServer/webdav/authoringRules
/allowNonMimeMapFiles:true /commit:apphost

C:\Windows\system32\inetsrv\AppCmd.exe set config "Default Web Site/" /section:system.webServer/webdav/authoringRules
/+"[users=’administrator’,path=’*’,access=’Read,Write,Source’]"
/commit:apphost

C:\Windows\system32\inetsrv\AppCmd.exe set config "Default Web Site/" /section:system.webServer/webdav/authoringRules
/+"[users=’*’,path=’*’,access=’Read’]" /commit:apphost

C:\Windows\system32\inetsrv\AppCmd.exe set config "Default Web Site/" /section:system.webServer/webdav/authoring
/properties.allowAnonymousPropfind:true /commit:apphost

C:\Windows\system32\inetsrv\AppCmd.exe set config "Default Web Site/" /section:system.webServer/webdav/authoring
/properties.allowCustomProperties:False /commit:apphost

C:\Windows\system32\inetsrv\AppCmd.exe set config "Default Web Site/" /section:system.webServer/webdav/authoring
/properties.allowInfinitePropfindDepth:true /commit:apphost

C:\Windows\system32\inetsrv\AppCmd.exe set config "Default Web Site/" /section:system.webServer/webdav/authoring
/fileSystem.allowHiddenFiles:true /commit:apphost

C:\Windows\system32\inetsrv\Appcmd.exe set config "Default Web
Site/" /section:system.webServer/webdav/authoring
/maxAllowedXmlRequestLength:31457280 /commit:apphost

C:\Windows\system32\inetsrv\Appcmd.exe set config "Default Web Site/" /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True /commit:appHost

C:\Windows\system32\inetsrv\Appcmd.exe set config /section:windowsAuthentication /enabled:true

Net Stop "World Wide Web Publishing Service"
Net Start "World Wide Web Publishing Service"

—————– Copier/Coller—————–

4. Installation automatique de Microsoft SQL Server 2008 SPx ou R2

Pour cette partie, je prends comme exemple la version 2008 R2 de Microsoft SQL. Cette installation ou l’activation des modules SQL dépend des applications ou modules dont vous aurez besoin dans SCCM. (Par ex. Forefront, Reporting Service Point, etc.).

Au de-là de ça, un argument obligatoire s’ajoute pour l’installation de la version R2 de SQL 2008 : /IAcceptSQLServerLicenseTerms

Donc pour ne pas avoir deux versions du même fichier de réponse (1 pour SQL 2008 et 1 pour la version R2 de SQL), je vous conseille de simplement passer cet argument dans la ligne de commande en fonction de la version du moment que vous installez.

Ce qui nous donne donc ce qui suit :

Setup.exe /qs /IAcceptSQLServerLicenseTerms /ConfigurationFile = "Fichier_Réponse.ini"

– Ou –

Setup.exe /qs /ConfigurationFile="Fichier_Réponse.ini"

Exemple de fichier de réponse “Fichier_Réponse.ini

En rouge –> Ce que vous devez modifier et paramétrer en fonction de votre besoin ou environnement

—————– Copier/Coller—————–

;SQLSERVER2008 Configuration File
[SQLSERVER2008]

ACTION="Install"
FEATURES=
SQLENGINE,REPLICATION,FULLTEXT,AS,RS,CONN,IS,SSMS,ADV_SSMS
PID=xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

INSTANCENAME="MSSQLSERVER"
SQMREPORTING="False"

ASPROVIDERMSOLAP="1"
FILESTREAMLEVEL="3"

FILESTREAMSHARENAME="MSSQLSERVER"
ENABLERANU="False"
ASCOLLATION="Latin1_General_CI_AS"
SQLCOLLATION="SQL_Latin1_General_CP1_CI_AS"

SQLSVCACCOUNT="NT AUTHORITY\SYSTEM"
SQLSYSADMINACCOUNTS="DOMAIN\Account1" "DOMAIN\Account2" "DOMAIN\Group1" "DOMAIN\Group2"

INSTALLSHAREDDIR="E:\Apps\MSSQL\Bin"
INSTALLSHAREDWOWDIR="E:\Apps\MSSQL\Bin\x86"
INSTANCEDIR="D:\Apps\MSSQL\Data"
SQLUSERDBLOGDIR="D:\Apps\MSSQL\Data\MSSQL10.MSSQLSERVER\MSSQL\Logs"
SQLTEMPDBDIR="E:\Apps\MSSQL\Data\MSSQL10.MSSQLSERVER\MSSQL\Data"
SQLTEMPDBLOGDIR="E:\Apps\MSSQL\Data\MSSQL10.MSSQLSERVER\MSSQL\Logs"
ASDATADIR="D:\Apps\MSSQL\Data\MSAS10.MSSQLSERVER\OLAP\Data"
ASLOGDIR="D:\Apps\MSSQL\Data\MSAS10.MSSQLSERVER\OLAP\Log"
ASBACKUPDIR="D:\Apps\MSSQL\Data\MSAS10.MSSQLSERVER\OLAP\Backup"
ASTEMPDIR="E:\Apps\MSSQL\Data\MSAS10.MSSQLSERVER\OLAP\Temp"
ASCONFIGDIR="D:\Apps\MSSQL\Data\MSAS10.MSSQLSERVER\OLAP\Config"

TCPENABLED="1"
NPENABLED="1"

ASSYSADMINACCOUNTS="DOMAIN\Account1" "DOMAIN\Account2" "DOMAIN\Group1" "DOMAIN\Group2"

SQLSVCSTARTUPTYPE="Automatic"
BROWSERSVCSTARTUPTYPE="Automatic"
RSSVCACCOUNT="NT AUTHORITY\NETWORK SERVICE"
RSSVCSTARTUPTYPE="Automatic"
RSINSTALLMODE="DefaultNativeMode"
FTSVCACCOUNT="NT AUTHORITY\LOCAL SERVICE"
INSTANCENAME="MSSQLSERVER"
AGTSVCACCOUNT="NT AUTHORITY\SYSTEM"
AGTSVCSTARTUPTYPE="Automatic"
ISSVCSTARTUPTYPE="Automatic"
ISSVCACCOUNT="NT AUTHORITY\SYSTEM"
ASSVCACCOUNT="NT AUTHORITY\SYSTEM"
ASSVCSTARTUPTYPE="Automatic"
ADDCURRENTUSERASSQLADMIN="False"

—————– Copier/Coller—————–

IMPORTANT : Attention pour le PID à ne pas mettre la mauvaise clé 🙂

5. Installation de Microsoft WSUS 3.0 SP2

Télécharger Microsoft WSUS depuis le Site de Microsoft

Ligne de commande  à passer

En rouge –> Ce que vous devez modifier et paramétrer en fonction de votre besoin ou environnement

Pour un site Primaire SCCM

\…\WSUS30-KB972455-x64.exe /Q CONTENT_LOCAL=1 CONTENT_DIR="Drive:\…\Folder_Stored" SQLINSTANCE_NAME= "ComputerName\InstallSQLInstance” CREATE_DATABASE=1 DEFAULT_WEBSITE=0

Pour un site Secondaire SCCM

\…\WSUS30-KB972455-x64.exe /Q CONTENT_LOCAL=1 CONTENT_DIR="Drive:\…\Folder_Stored" WYUKON_DATA_DIR=”Drive:\…\Folder_Install_DB” CREATE_DATABASE=1 DEFAULT_WEBSITE=0

6. Installation de WDS (Windows Deployment Service) en Stand Alone

C:\> ServerManagerCMD.exe –Install WDS

7. Installation de Microsoft SCCM

\…\Setup.exe /script “Fichier_Réponse.ini

Exemple de fichier de réponse “Fichier_Réponse.ini

En rouge –> Ce que vous devez modifier et paramétrer en fonction de votre besoin ou environnement


Pour un site Primaire SCCM

—————– Copier/Coller—————–

[Identification]
Action=InstallPrimarySite

[Options]
ProductID=xxxx-xxxx-xxxx-xxxx-xxxx

PrerequisiteComp=1
PrerequisitePath=Drive:\Path\Manifests
SiteCode=XXX
SiteName="Description Site"
SMSInstallDir=
Drive:\Path\
ManagementPoint=SERVERNAME.fqdn
SDKServer=SERVERNAME
ClientAgents=SINV,HINV,ADPROG,SUM,SWM,DCM,RT

[SQLConfigOptions]
SQLServerName=
SERVERNAME\INSTANCESQL
CreateSQLDevice=1
DatabaseName=SMS_XXX

—————– Copier/Coller—————–

Pour un site Secondaire SCCM

—————– Copier/Coller—————–

[Identification]
Action=InstallSecondarySite

[Options]
PrerequisiteComp=1
PrerequisitePath=
Drive:\Path\
SiteCode=
XXX
SiteName="Description Site"
SMSInstallDir=
Drive:\Path\
AddressType=MS_LAN
ParentSiteCode=
XXX
ParentSiteServer=SERVERNAME
—————– Copier/Coller—————–

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

%d blogueurs aiment cette page :