Archive

Posts Tagged ‘Security’

Cloud – Microsoft Windows Intune (Breaking News)

Bonjour à tous,

Passage à la v2 de Windows Intune de Microsoft, coming weeks..
Quoi de neuf dans cette version ? Voici le mail que je viens de recevoir..

Upgrade Windows Intune v2

Je ferais un petit tour d’horizon sur ces nouveautés, une fois migré…
Le fameux 3ème post que je préparais ! 

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :Intune, SCCM, Windows Étiquettes : , , , , , ,

Cloud – Microsoft Windows Intune : Software Updates Management (Part2)

Bonjour à tous,

Voici donc la partie 2 sur Windows Intune de Microsoft… Tour d’horizon sur le Software Updates Management au sein de Windows Intune

Windows-Intune-logo1

Après avoir rectifié le tir côté client (Cf. Part1), et après un redémarrage, comme demandé par l’assistant d’installation du client Intune, mon client de test est désormais éligible et visible sans erreur dans ma console d’administration… 🙂 ; Nous allons donc pouvoir passer aux choses sérieuses !

image

NOTE : The Windows Intune client software cannot coexist with System Center Configuration Manager 2012 Beta !

Pour régler mon problème j’ai consulté le lien suivant : http://onlinehelp.microsoft.com/fr-fr/windowsintune/hh127708.aspx#BKMK_operations

Software Updates Management

Donc apparition de mon poste de Test dans la console Intune. Pour le moment, les éléments et conditions du poste client ne sont pas connus. En effet, le poste n’ayant pas encore remonté d’inventaire ou de statut. Il faut simplement être patient et attendre que le processus, suive son déroulement…

image

En parallèle, le client Windows Intune Forefront Endpoint protection, se met à jour côté signature anti-virus et déroulera un 1er scan de la machine de test tout de suite après…

image

Une info-bulle sur le poste vous confirmes aussi, que toutes les MAJ liées à l’installation même du client Windows Intune sont disponibles !

image

Vous pouvez aussi déclencher une action de MAJ du client Windows Intune par le biais de la console du client, se trouvant sur le poste.

image

Côté Client Microsoft Windows Intune

Après environ 15 minutes (Pour moi, et en fonction des cas : Débit internet, etc.) le statut du poste commencent à remonter. Et notamment ici, l’état des MAJ de sécurité Microsoft du poste de test…

image

On peut, à partir de là, cliquer sur l’alerte afin de consulter …

image

Il nous est possible d’afficher les propriétés des mises à jour et de les approuver !

image

En guise de test, je les sélectionne toutes, puis je clique sur Approuver

image

Je sélectionne ma cible (Groupe : Tous les Ordinateurs), et je clique sur Installer ! Bien sûr, il est possible de créer un groupe (Collection) de machines clientes Windows Intune, et de n’appliquer les mises à jour que celui-ci.

image

J’accepte la licence Microsoft et le tour est joué ! Côté Client, je déclenche une mise à jour de l’agent (Client Intune) comme suit :

image

Une fois la Policy de Windows Intune récupérée, son client me signale que des mises à jour sont disponibles pour mon poste. Je clique donc sur Installer les mises à jour.

image

Je choisi le mode : Vérifier et installer et je clique sur Suivant

image

Je peux voir effectivement mes mises à jour que j’ai approuvées tout à l’heure ! Je clique ensuite sur Installer pour mettre mon poste à jour !

image

Je peux voir dans la console Windows Intune et après un rafraichissement que le statut des mises à jour se change en Information (i)

image

En parallèle, je peux voir que l’installation des mises à jour se déroule sur mon poste.

image

Cliquer sur Fermer pour terminer l’assistant

image

Contrôle des mises à jour depuis la console Intune

Depuis la console Intune, dans la section Administration, il vous est possible de choisir les mises à jour (Catégories, Produits), à la mode WSUS

image

Vous pouvez aussi définir des règles d’approbation automatiques des mises à jour Microsoft.

image

Une fois, les règles créées, vous pouvez les exécuter ASAP sur vos postes de travail.

image

Application de votre demande..

image

La cible (machines) d’une règle dépend de ce que vous avez choisi à l’étape 4, lors de la création de celle-ci. Il vous est tout à fait possible de créer une collection (Groupe de machines) avant de créer une règle, afin de y appliquer une stratégie d’approbation et de déploiement des mises à jour automatique.

image

Pour créer un groupe des machines, c’est ici :

image

Statut des mises à jour

Il vous est possible de vérifier le statut d’une mise à jour pour une machine donnée ou un ensemble de machines. Le screenshot suivant montre par exemple, que la mise à jour sélectionnée est en attente sur le poste client Intune.

image

Vous pouvez aussi voir l’état de déploiement des mises à jour obligatoires liées entre-autre au fonctionnement de Windows Intune.

image

Rapport Windows Intune

Vous pouvez aussi utiliser les rapports de Windows Intune pour visualiser l’état de déploiement des mises à jour, par exemple :

image

Résultat du rapport généré :

image

Ce rapport peut être exporté ou/et imprimé

image

image

Gestion des stratégies Windows Intune pour le Patchs Management

Microsoft dit : […] Dans la Console Administrateur Windows Intune, vous pouvez utiliser l’espace de travail des stratégies pour configurer celles qui permettent de gérer les paramètres des mises à jour sur les ordinateurs gérés. Vous pouvez indiquer la fréquence à laquelle Windows Intune vérifie la présence de nouvelles mises à jour, sous quel délai les mises à jour sont installées une fois téléchargées, et si les utilisateurs sont invités à installer des mises à jour ou si celles-ci sont installées automatiquement. Vous pouvez également définir des instructions de remplacement si un utilisateur retarde l’installation d’une mise à jour, ainsi que des instructions de suivi après l’installation d’une mise à jour.

Windows Intune inclut un modèle comportant des descriptions des paramètres de stratégie et des recommandations pour la gestion des mises à jour.

Vous pouvez créer une stratégie basée sur ce modèle, puis la déployer immédiatement ou l’enregistrer afin d’y apporter des modifications supplémentaires avant de la déployer sur des ordinateurs gérés.

La procédure suivante décrit la façon d’accéder au modèle de création d’une stratégie de mise à jour. […]

Pour configurer les paramètres de l’agent de mise à jour

1. Ouvrez la Console Administrateur Windows Intune. Dans le volet de raccourcis de l’espace de travail, cliquez sur l’icône Stratégie. Dans la page Vue d’ensemble de la stratégie, sous Tâches, cliquez sur Créer une nouvelle stratégie.

image 
2. Dans la boite de dialogue Créer une nouvelle stratégie, sous Nom du modèle, sélectionnez Paramètres de l’agent Windows Intune, puis cliquez sur Créer une stratégie.

image 
3. Dans la section Général, saisissez un nom et une description pour votre nouvelle stratégie, puis dans la colonne de gauche, cliquez sur Mises à jour.

image 
4. Dans la section Mises à jour du volet Créer une stratégie, définissez les paramètres de la stratégie, puis cliquez sur Enregistrer la stratégie, ou sur Annuler si vous décidez de supprimer cette nouvelle stratégie.

image 
5. Dans la boite de dialogue Déployer la stratégie, choisissez de déployer cette stratégie soit immédiatement, soit ultérieurement.

image 
6. Si vous cliquez sur Oui, dans la boite de dialogue Gérer le déploiement, activez les cases à cocher qui correspondent aux groupes d’ordinateurs sur lesquels vous souhaitez déployer cette stratégie.

image

NOTE : Encore une fois, il vous est tout à fait possible de créer une collection (Groupe de machines) avant de créer une règle, afin de y appliquer une stratégie différente…

Par corollaire, vous pouvez déployer une stratégie sur tous les ordinateurs ou uniquement sur les ordinateurs des groupes que vous sélectionnez. Si la stratégie a été déjà déployée, vous pouvez supprimer la stratégie des ordinateurs appartenant à des groupes spécifiques ou déployer la stratégie sur des groupes supplémentaires.

Vous pouvez donc à tout moment modifier vos stratégies Windows Intune :

image

Types de stratégies possibles

En plus de celle déjà vue concernant la gestion des mises à jour, d’autres types de stratégies existent : Windows Intune Center et Pare-feu Windows (Windows Firewall)

image

Windows Intune Center

image

Windows Firewall
Section 1 : Gestion des profils

image

Section 2 : Gestion des exceptions

image  image

Endpoint Protection Management

La gestion de l’anti-virus de Windows Intune (Forefront Endpoint protection) rentre dans les principes déjà expliqués plus haut. En effet, la mise à jour des signatures anti-virales étant “poussée” par le processus de Software Update Management, les rapports d’activités, s’appuyant sur les rapports d’états (Query) et la configuration du client Endpoint Protection, sur les stratégies de Windows Intune, modèle : Paramètres de l’agent Windows Intune que nous venons de voir…

Voici quelques options (screenshots) :

image image

image image

Voilà, pour l’heure, ce tour d’horizon est terminé. Une partie 3 est déjà en préparation …

Supportabilité Windows

Le logiciel client Windows Intune est pris en charge par les versions 32 et 64 bits de :

– Windows 7 Entreprise, Ultimate et Professionnel
– Windows Vista Entreprise, Ultimate et Professionnel
– Windows XP Édition Professionnelle avec Service Pack (SP3)

Le logiciel client de Windows Intune n’impose pas d’autres conditions pour Windows 7 ou Windows Vista. Toutefois, pour installer ce logiciel sur un ordinateur Windows XP, vérifiez que le processeur est cadencé à 500 mégahertz (500 MHz) au minimum et que la capacité mémoire (RAM) est de 256 mégaoctets (Mo) au minimum. Vous aurez besoin des droits d’administrateur pour installer le logiciel client Windows Intune sur l’ordinateur.

Pour accéder à la console d’administration de Windows Intune, les administrateurs auront besoin d’un navigateur Web prenant en charge Silverlight® 3.0, comme Windows Internet Explorer® 7.0 ou version suivante.

NOTE : Pour installer le logiciel client Windows Intune sur des ordinateurs Windows XP Édition Professionnelle SP2, vous aurez besoin d’installer le logiciel suivant (ces mises à jour ne sont pas requises pour Windows XP Édition Professionnelle SP3 ou suivante) :

Forefront Client Security Filter Manager QFE for Windows XP/SP2
(go.microsoft.com/fwlink/?LinkId=155100).

Microsoft Core XML Services (MSXML) 6.0 doit être démarré. Pour en savoir plus sur MSXML 6.0 et son téléchargement, consultez le Centre de téléchargement Microsoft
(go.microsoft.com/fwlink/?LinkId=169475).

Nous vous conseillons aussi de télécharger et d’installer la dernière mise à jour de sécurité, MSXML 6.0 SP2
(go.microsoft.com/fwlink/?LinkId=169448).

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :Intune, SCCM, Windows Étiquettes : , , , , , ,

Cloud – Microsoft Windows Intune (Part1)

septembre 2, 2011 1 commentaire

Bonjour à tous,

J’espère déjà que vous avez passé de bonnes vacances 2011 ! Maintenant il faut bosser pour financer les prochaines vacances de 2012… Avant le cataclysme que certains nous promettent (Merci les Mayas !) Bref !

Windows-Intune-logo1

Donc, de retour de vacances, (et oui je sais…), nous allons faire un tour d’horizon sur Microsoft Windows Intune. La mode étant aujourd’hui de faire du “Cloud” et à juste titre, nous allons faire un tour d’horizon de ce que Windows Intune peut nous apporter. Sachez déjà qu’il est possible de souscrire à la version d’évaluation chez Microsoft. C’est ici !

Commençons !

1ère connexion à la console en ligne …

Tour d’horizon

Vue générale

Afficher l’état pour évaluer l’intégrité d’ensemble des ordinateurs gérés, contrôler les alertes pour étudier des problèmes principaux qui requièrent une attention particulière, exécuter des rapports et créer des groupes d’ordinateurs.

image

Gestion des clients Intune

j’allais dire SCCM… Non ! Wndows Intune. En effet, un agent doit être installé sur les clients afin de pouvoir les gérer depuis Intune. Ils apparaitrons ici une l’agent déployé. Créer et gérer des groupes d’ordinateurs, afficher les résumés et les détails des états, rechercher des ordinateurs et afficher la liste des ordinateurs.

image

Gestion des mises à jour Microsoft

Administrer le processus de mise à jour des logiciels des ordinateurs gérés.

image

Gestion des mises à jour Microsoft à la mode SCCM 2007 (Je dirais même à la mode SCCM 2012). Simplement en face de la version Bêta 2 de SCCM 2012. L’interface de Windows Intune est plus aboutie, à ce jour ! Il suffit de choisir une mise à jour pour voir LISIBLEMENT le descriptif de celle-ci.

image

N’est-ce pas ? Il vous suffit de l’approuver pour déployer ou non…

image

La gestion des clients Windows Intune, Forefront Enpoint Protection

… est intégré dans Intune. Contribuer à protéger les ordinateurs gérés contre les menaces potentielles avec la protection en temps réel et les analyses et mises à jour automatiques des définitions de programmes malveillants. Identifier et résoudre rapidement les problèmes de programmes malveillants.

image

Gestion des alertes et des tâches à faire

Afficher des alertes pour déterminer l’intégrité d’ensemble des ordinateurs gérés ou pour étudier les problèmes qui se produisent. Répondre aux alertes générées lorsque des utilisateurs demandent une assistance à distance

image

Gestion des applications via Windows Intune

Cela veut dire inventaires : Afficher la liste des programmes qui sont installés sur des ordinateurs gérés et trier l’inventaire.

image

Gestion des licences Microsoft

… achetées par votre Entreprise. L’équivalent d’Asset Intelligent de Microsoft SCCM 2007. Télécharger vos informations de termes du contrat de licence Microsoft pour MVLS (Microsoft Volume License Services) et vérifier que les titres des logiciels Microsoft ont une licence.

image

Gestion des stratégies des clients Intune.

Configurer des stratégies pour gérer les paramètres pour les mises à jour, Endpoint Protection, le Pare-feu Windows et Windows Intune Center sur les ordinateurs gérés. Equivalent à DCM dans Microsoft SCCM, mais plus aboutie

image

Gestion des rapports

image

Console d’administration et de gestion de Windows Intune

image

Commençons à paramétrer notre Windows Intune !

Paramétrage de Windows Intune

Déploiement d’un client Windows Intune

Attention : Désinstaller tout anti-virus autre que Microsoft Forefront Endpoint Protection 201x avant l’installation avant l’installation du client. Car celui-ci installera la version Endpoint protection de Windows Intune en même temps (Par mises à jour post-installation)

image

Concernant Microsoft FEP 2010 ou 2012 en version bêta, la mise à jour vers Forefront de Windows Intune sera automatique :

image

Installation du client

1. Cliquer sur l’icône d’administration de Windows Intune, puis sur Téléchargement du Logiciel Client comme suit :

image14

2. Cliquer sur le lien Télécharger le logiciel client pour récupérer le client Windows Intune : Windows_Intune_Setup.zip

3. Une fois fait, copiez-le et installez-le sur un poste de test qui a accès à l’Internet, en ayant pris soin de le dézipper. Vous devriez avoir donc deux fichiers :

– Windows_Intune_Setup.exe
– WindowsIntune.accountcert

Note : Comment le déployer au sein de l’entreprise ? Utilisant Microsoft SCCM ou les stratégies de groupe Active Directory

4. Double-cliquer sur Windows_Intune_Setup.exe

image imageimage image
Une fois l’installation terminée, le client Windows Intune télécharge les mises à jour restantes

5. Double-cliquer sur l’icône

image

Windows Intunes se lance :

image

6. Installez alors les mises à jour proposées en cliquant sur Install.
Vous pouvez aussi choisir de les lister avant leur installation en cochant Review and Install, puis sur Install

image

L’installation se lance …

image

7. Windows Intune Forefront Protection se met à jour.

image

8. Une fois terminée, redémarrer le poste client de test

Fichiers de Logs
Si vous avez des problèmes d’installation, les logs se trouvent dans :
%ProgramFiles%\microsoft\onlinemanagement\logs

Par exemple :

image

Client Windows Intune

Le poste redémarré, une nouvelle icône fait son apparition dans le menu Démarrer du poste de travail, client :

image

Double-cliquer dessus. Quoi de nouveau ? Possiblité de faire un update pour mettre à jour son poste par rapport aux nouveautés de Windows Intune: nouvelles mises à jour approuvées, etc. Mais de toute façon de manière périodique le poste client remontera un état des lieux et ira chercher ses mises à jour automatiquement.

image

Mais la grosse nouveauté c’est Microsoft Easy Assist !!! Qui remplace le Remote Contrôle traditionnel que l’on peut trouver dans Microsoft 200x SCCM, plus gourmand en ressource… Cela veut-il dire que Microsoft SCCM 2012 aura, dans la version finale cet outil ??? La question reste posée 🙂

Erreur 0x80080005

Si vous rencontrez ce problème, c’est typiquement un Access denied. En effet, pour ma part, le certificat .cert de connexion a été refusé par mon serveur Windows Intune, m’interdisant la connexion et donc la mise à jour. (Mon Windows Seven de test, n’était pas activé…)

image

Côté console Intune, mon client est bien présent et j’ai bien une erreur 🙂 :

image

Si vous cliquez sur Afficher l’erreur :

image

Voici le lien Microsoft pour résoudre les problèmes en fonction des cas :
http://onlinehelp.microsoft.com/fr-fr/windowsintune/ff628138.aspx 

Conclusion

Microsoft Windows Intune ? Wouahh ! Super ! C’est un Microsoft SCCM Lite, où on ne peut pas “encore” faire de déploiement d’applications dans cette version, mais (*) … qui est en droite ligne avec du System Management Online. L’interface est un indice, son ergonomie nous fait penser à SCCM 2012 avec quelques indications pour l’avenir de celui-ci.

Personnellement, je pense que cette solution répond à des besoins précis, rapide d’accès pour les PMI/PME, qui n’ont pas besoin d’avoir une grosse infrastructure que l’on pourrait mettre en place avec Microsoft SCCM dans de grosses entreprises. Mais Windows Intune, pourrait très bien y trouver sa place un jour, je pense à la gestion des clients Based-Internet de SCCM.

Quoi qu’il en soit, si nous devons tous aller dans le nuage un jour, ce serait un allier de valeur, pour connaitre l’état de santé des clients et le maintien de la sécurité en entreprise, qui reste avant tout ici, le principal sujet; Où que se trouvent les postes de travail…

“Il me plait bien ce p’tit…” – Au fait, vous connaissez System Center Essential ? Bref !

Une fois mon client activé et réparé, je vous ferais un p’tit tour d’horizon avec la console Windows Intune, enrichie… (Part 2 à suivre…)

DirectAccessIcon

Microsoft Windows Intune beta 2

(*) La prochaine version sera capable de déployer des applications ! Vous pouvez souscrire au programme beta de la version beta ici.

Aussi mon ami Benoit Sautière vous indique les liens web plus bas. Pour ma part, je vérifie ça de suite…

http://blogs.technet.com/b/stanislas/archive/2011/08/10/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-5-d-233-ploiement-du-client-mbam-sur-les-postes-windows-7.aspx

http://blogs.technet.com/b/fabricem_blogs/archive/2011/07/20/les-nouveaut-233-s-de-windows-intune-2011-partie-2-d-233-ploiement-de-logiciel-et-t-226-ches-224-distance.aspx

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :Intune, SCCM, Windows Étiquettes : , , , , , ,

SCCM – Comment activer (Auto-Approval) et utiliser les mises à jour de Microsoft Forefront 2010 ?

Voici la 3ème partie qui traite de l’aspect : Activation et gestion des mises à jour dans SCCM pour Microsoft Forefront 2010.

Ici les deux premières parties :

1 – Prérequis

Le Rôle Software Update Point doit être activé dans le site SCCM

image

Selection des mises à jour pour Microsoft Forefront 2010 (Security Client)

image   image

La synchronisation Software Update Point doit être activée

image

2 – Configuration de l’Auto-Approval dans Microsoft WSUS 3.x depuis la console

  • Ouvrir la console Microsoft WSUS et aller dans les options
  • sélectionner Automatic Approval dans la panneau central

image

  • Dans l’assistant, cocher la case When an update is in a specific
  • Cliquer ensuite sur Any Classifications pour When an update is in…
  • Puis sélectionner, Definition Updates, puis sur OK pour valider

image   image

  • Ensuite assurez-vous que All Computers pour la ligne Approval the update for est spécifier – Sinon, sélectionner All Computers (Cf. les 2 images suivantes)
  • Cliquer sur OK pour valider votre choix

image   image

  • Spécifier un nom pour la régle que vous venez de créer…
  • Puis cliquer sur OK pour valider et encore sur OK pour fermer l’assistant Automatic Approval

image   image

Fermer la console de Microsoft WSUS

3 – Actions dans la console SCCM

  • Ouvrir la console SCCM
  • Modifier le scheduler de synchronisation des mises à jour Microsoft afin de coller afin vos besoins versus la sortie des MàJ de Microsoft Forefront (Definiftion)

image

  • Exemple de modifications possibles

image   image

  • Puis déclencher une synchronisation de Software Update Point –> Clique-droit –> Run Synchronization sur l’item Update Repository dans Software Updates

image

NOTE : Vous pouvez aussi modifier depuis les options, la période des mises à jour dans la console WSUS et le nombre de synchronisations à effectuer par jour. (Cf. Ci-dessous)

image

image

NOTE : Normalement, Microsoft ne recommandait pas d’ouvrir et d’utiliser la console WSUS lorsqu’on utilisait SCCM. On ne devait absolument pas ouvrir la console… Les choses changent apparemment… 🙂 (Cf. Sources)

Sources : http://technet.microsoft.com/en-us/library/dd185652(printer).aspx

Microsoft Forefront Phasing

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

SCCM – Comment installer Forefront 2010 version RTM ?

logo-header-forefront-dg

Ce Tutorial vous guidera pour l’installation de Microsoft Forefront 2010 RTM… Cependant, je ne vais pas re-détailler ici l’installation de chaque produit. Je vous invite à consulter les posts suivants pour ça.

Step 1 – Prérequis

Microsoft SQL et SCCM doivent remplir un certain nombre de prérequis pour que vous puissiez installer Microsoft Forefront 2010. Je vous invite à consulter le lien Microsoft suivant : http://technet.microsoft.com/en-us/library/ff823830.aspx

Je vous conseille de mettre le dernier Service Pack SQL. De plus, pour des raisons de facilité, utiliser un groupe de domain réunissant l’ensemble des serveurs SCCM. Ce groupe pourra être ajouter dans le fichier de réponse SQL pour l’installation Ex. "Domain\GG-Servers-SCCM"

Aucun anti-virus ou d’ancienne version de Forefront doit être installés !

1. Microsoft SQL Server 2008

Pour installation de zéro, vous devez installer SQL avec des modules suppl.

  • SQL Server Analysis Services
  • SQL Server Integration Services
  • SQL Server Reporting Services
  • SQL Server Agent

De plus, d’après de TechNet (à ce jour) vous devez utiliser l’instance SQL par défaut : MSSQLSERVER

2. Microsoft SCCM 2007 SP2 Rx

2.1. Serveur SCCM

  • Microsoft SCCM 2007 SP2 doit être en Service Pack 2 et doit être configuré et fonctionnel
  • Microsoft SCCM 2007 Rx doit être installé et configuré afin de pouvoir utiliser le Reporting Services SQL (Rôle : Reporting Service Point)

image

2.2. Comment configurer le Reporting Service Point de SCCM ?

Dans le cas vous avez déjà installé SCCM et SQL…

(De gauche à droite …)

A. configuration du Reporting Service Point dans SCCM

image   image

image

B. Comment répliquer les rapports SCCM dans Reporting Services ?

(De gauche à droite …)

image

image   image

image   image

image   image

image   image

C. Reporting Service SQL

Ce qu’on doit voir pour les URL du Reporting Service SQL :

  • Http://<ServerName.domain>/Reports
  • Http://<ServerName.domain>/ReportsServer

image   image

Vous pouvez voir que les deux répertoires sont désormais présents sur le site du Reporting Service de SQL :

  • ConfigMgr_XXX
  • Forefront Endpoint Protection_XXX

XXX = Site Code SCCM

2.3. Modules client SCCM

Pour les clients SCCM, les modules suivantes doivent être installés et configurés :

  • Hardware Inventory
  • Software Distribution
  • Desired Configuration Management
  • Le hotfix KB2271736 doit être installé (Correctif Console)

3. Installation de Microsoft SQL 2008 SPx ou R2

Si n’avez pas installer SQL et SCCM versus Microsoft Forefront 2010 ou que votre installation SQL pour SCCM utilise une instance nommée (pas de chance). Vous êtes obligé d’installer SQL avec une Instance par défaut pour y faire héberger sa propre base (Reports) de Microsoft Forefront 2010.

Attention : Vous devez utiliser le Reporting Service en Instance par défaut pour le rôle SRS (Reporting Service Point SCCM) et Microsoft Forefront 2010

Par contre, vous pouvez laisser la base SCCM en instance nommée. En effet, Microsoft Forefront 2010 la consultera sans problème pour y puiser les informations don’t il a besoin…

Dans les deux cas, vérifier que les deux URLs du Reporting Service SQL fonctionnent correctement :

  • Http://<ServerName.domain>/Reports
  • Http://<ServerName.domain>/ReportsServer

3.1. Installation

Commandes à utiliser :

  • Non-R2 : Setup.exe /qs /ConfigurationFile= "Fichier_Réponse.ini"
  • With-R2 :Setup.exe /qs /IAcceptSQLServerLicenseTerms /ConfigurationFile= "Fichier_Réponse.ini"

Voici le fichier Fichier_Réponse.ini” de réponse SQL que vous devez utiliser :

Note :
En rouge –> Ce que vous devez modifier en fonction de votre environnement

—————- Copier/Coller—————–

;SQLSERVER2008 Configuration File
[SQLSERVER2008]

ACTION="Install"
FEATURES=SQLENGINE,REPLICATION,FULLTEXT,AS,RS,CONN,IS,SSMS,ADV_SSMS
PID=XXXX-XXXX-XXXX-XXXX-XXXX

INSTANCENAME="MSSQLSERVER"
SQMREPORTING="False"
ASPROVIDERMSOLAP="1"
FILESTREAMLEVEL="3"
FILESTREAMSHARENAME="MSSQLSERVER"
ENABLERANU="False"
ASCOLLATION="Latin1_General_CI_AS"
SQLCOLLATION="Latin1_General_CI_AS"
SQLSVCACCOUNT="NT AUTHORITY\SYSTEM"
SQLSYSADMINACCOUNTS="Domain\Account1" "Domain\Account2" "Domain\Account3" "Domain\Group1"Domain\GG-Servers-SCCM

INSTALLSHAREDDIR="E:\APPS\x64"
INSTALLSHAREDWOWDIR="E:\APPS\x86"
INSTANCEDIR="D:\APPS\DATABASE"
SQLUSERDBLOGDIR="E:\APPS\DATABASE\MSSQL10.MSSQLSERVER\MSSQL\Data"
SQLTEMPDBDIR="D:\APPS\DATABASE\MSSQL10.MSSQLSERVER\MSSQL\Data"
SQLTEMPDBLOGDIR="E:\APPS\DATABASE\MSSQL10.MSSQLSERVER\MSSQL\Data"
SQLBACKUPDIR="D:\APPS\DATABASE\Backup"
ASDATADIR="D:\APPS\DATABASE\MSAS10.MSSQLSERVER\OLAP\Data"
ASLOGDIR="E:\APPS\DATABASE\MSAS10.MSSQLSERVER\OLAP\Log"
ASTEMPDIR="D:\APPS\DATABASE\MSAS10.MSSQLSERVER\OLAP\Temp"
ASCONFIGDIR="D:\APPS\DATABASE\MSAS10.MSSQLSERVER\OLAP\Config"
ASBACKUPDIR="D:\APPS\DATABASE\Backup"

TCPENABLED="1"
NPENABLED="1"

ASSYSADMINACCOUNTS="Domain\Account1" "Domain\Account2" "Domain\Account3" "Domain\Group1" “Domain\GG-Servers-SCCM
SQLSVCSTARTUPTYPE="Automatic"
BROWSERSVCSTARTUPTYPE="Automatic"
RSSVCACCOUNT="NT AUTHORITY\NETWORK SERVICE"
RSSVCSTARTUPTYPE="Automatic"
RSINSTALLMODE="DefaultNativeMode"
FTSVCACCOUNT="NT AUTHORITY\LOCAL SERVICE"
AGTSVCACCOUNT="NT AUTHORITY\SYSTEM"
AGTSVCSTARTUPTYPE="Automatic"
ISSVCSTARTUPTYPE="Automatic"
ISSVCACCOUNT="NT AUTHORITY\NetworkService"
ASSVCACCOUNT="NT AUTHORITY\SYSTEM"
ASSVCSTARTUPTYPE="Automatic"
ADDCURRENTUSERASSQLADMIN="False"

—————- Copier/Coller—————–

Step 2 – Installation de Microsoft Forefront 2010

Lancer l’installation de Microsoft Forefront 2010

1. CDROM:\FEP2010_en-us\x64\ServerSetup.exe
(ou x86 en fonction de votre plateforme)

image

2. Accepter la license, puis Cliquer sur Next>

image

3. Sélectionner Advanced Topology
Puis Cliquer sur Next>

image

4. Cliquer sur Next>

image

5. Cliquer sur Next>

image

6. Spécifier le FQDN du serveur déjà spécifié (Voir l’exemple) : Http://<Server.fqdn>/Reports
Entrer le mot de passe du compte spécifié
(ou en spécifier un autre)
Puis Cliquer sur Next>

image

7. Cliquer sur Next>

image

8. Cliquer sur Next>

image

9. Spécifier le répertoire où sera installé Microsoft Forefront 2010
Cliquer sur Next>

image

10. Le statut de chaque prérequis doit être en vert
Cliquer sur Next>

image

NOTE : Il se peut que vous rencontriez une erreur “sans fin” stipulant que votre serveur est en attente de finalisation d’une installation antérieure, alors qu’il n’en est rien, vous obligeant à redémarrer votre serveur, bloquant ainsi les prérequis de FEP 2010. Pour contourner le problème, rendez-vous dans la clé de registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SessionManager et localisez “PendingFileRenameOperations”, renommez-le en  “PendingFileRenameOperations2” puis relancer l’installation ou l’assistant d’installation de FEP 2010… Les prérequis devraient cette fois passer…

11. Cliquer sur Install

image

12. L’installation de Microsoft Forefront démarre…

image

13. Cliquer sur Next>

image

14. Cliquer Finish

image

15. Redémarrer le serveur SCCM

Dans mon exemple les 3 solutions (Logiciels) sont installées sur le même serveur

image

NOTE : Vous pouvez consulter les fichier de logs à cet endroit en utilisant Trace32.exe : C:\ProgramData\Microsoft Forefront\Support\Server. Durant l’installation Microsoft Forefront 2010 client s’installe…!

image

Le redémarrage du serveur permet de parfaire l’installation. Le client Microsoft Forefront peut se mettre à jour et se synchroniser.

image

Une fois Forefront client à jour, le scan démarre aussi tôt !

image

Step 3 – Console SCCM et Microsoft Forefront 2010

Lancer la console SCCM

image

Vous pouvez voir que la console SCCM est enrichie par un nouvel item pour Microsoft Forefront 2010

image

Vous pouvez aussi voir que de nouveaux packages près à être déployer ont fait leur apparition. N’oubliez pas de mettre à jour les point de distribution…

image

De nouvelles collections ont fait aussi leur apparition dans la console SCCM. On remarquera le cadenas de protection rendant celles-ci “non-supprimables”

image

Dans la console SCCM, la section DCM est aussi enrichie !!

image

De nouveaux rapports apparaissent !

image

Step 4 – Déploiement de Microsoft Forefront Client dans SCCM

Maintenant que les éléments sont présents, il ne reste plus qu’à publier le client Forefront en ciblant le bon regroupement. Pour ce faire, créer simplement une publication du package client Forefront “Microsoft Corporation FEP – Deployment 1.0” (Install) sur la sous-collection “Not Targeted” se trouvant dans FEP Collections –> Deployment Status

Note : Afin de respecter l’organisation dans son ensemble, j’ai pour ma part créé un répertoire FEP Deployment stockant ainsi la publication en question

image

De lors que la publication ‘tombe” sur les postes, l’installation peut démarrer immédiatement. Cependant un reboot sera nécessaire, mais le temps que ce reboot s’effectue un certain temps peut s’écouler. Il est bon à savoir que les postes dans cette intervale reste tout de même protégé en mode dégradé…

Step 5 – Synchronisation Software Update Point

Il ne vous reste plus qu’a sélectionner dans les classifications et Produits dans Software Update Point depuis la console SCCM, Microsoft Forefront 2010 afin que le catalogue de SCCM (SUP) soit mis à jour… Ceci afin de vous permettre ensuite de déployer les mises à jour Forefront 2010 sur votre infrastructure Microsoft.

image  image

Avant –> Après la 1ere synchronisation…

image  image

Important : Il faut que le catalogue de Software Update Point ait fait au moins une synchronisation (mise à jour) pour que Microsoft Forefront 2010 apparaisse et soit disponible pour que le produit soit pris en charge par SCCM !

1. Pour déclencher une synchronisation manuelle de Software Update Point (une fois Microsoft Forefront 2010 sélectionné, ou tout aux produits faire comme suit :

image

2. Consulter ensuite à l’aide de Trace32.exe, le fichier de log :wsyncmgr.log depuis <Drive>:\<SCCMFolderInstall>\Logs\ vous verrez en temps réel la synchronisation s’effectuer !

image

Une fois la synchronisation effectuée…

image


Pour plus de précisions…

Je tiens à signaler le très bon article de Jean-Sébastien DUCHENE sur Microsoft Forefront 2010 dans SCCM : http://www.labo-microsoft.org/articles/Forefront-EndPoint-Protection-SCCM/

Annexe 1 : Schèma de principe de fonctionnement de Microsoft Forefront 2010 avec Microsoft SCCM 2007

Microsoft Forefront Phasing


Annexe 2 : Schèma de principe de fonctionnement de Microsoft Forefront 2010 avec Microsoft SCCM 2007 au travers d’une hiérarchie SCCM

Dans ce scénario, Microsoft SQL installé, utilise une instance nommée sur le site central (Primaire) et un port statique. Chaque site secondaire ont localement Microsoft WSUS d’installé afin de pouvoir utilisé le rôle SCCM, Software Update Point. Dans cet exemple et au regard des prérequis de fonctionnement de Microsoft Forefront 2010, dans ce scénario, nous installerons une instance par défaut sur le serveur de site SCCM (ou sur le serveur SQL dédié), puis Microsoft Forefront 2010…

Les mises à jour seront gérés depuis le site central pour l’ensemble de la hiérarchie SCCM et la descente des signatures utiliseront les mécanismes interne à SCCM (Par l’utilisation de SUP) pour mettre à jour les clients des sites secondaires…

image

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

%d blogueurs aiment cette page :