Archive

Posts Tagged ‘Server’

SCCM – Nouvelle version (v14.0) du script Hydration sous Powershell

sccm2012Bonjour à tous,

Nouvelle version (v14.0) du script Hydration sous Powershell v2.0

Fichier : i-hydration-SC2012-v14.ps1

Dans cette version 14.0 :

Correction de bogues mineurs;
Possibilité d’installer WSUS avec un serveur SQL distant;
Ajout du groupe GG-SCCM-SERVERS (par défaut) dans les groupes locaux SCCM;
Ajoute la possibilité d’installer MDT 2012 et créé le Deployment Share (New Switch).

64pxwindows-powershell-icon_thumb3 Téléchargement du script

Dans la version 12.0 précédente :

Correction de bogues mineurs
Intégration de vos remarques
Evolution de présentation d’exécution
Possibilité d’installer soit un CAS, soit un Site Primaire enfant d’un CAS, soit un site CAS / Primaire par système de choix

REMARQUE 1 : L’utilisation d’un fichier CSV est une volonté, afin de le manipuler avec plus de facilité (Lisibilité, modification, etc.).
REMARQUE 2 : Tous les répertoires d’installations cibles des solutions sont automatiquement créés. Inutile des créer à l’avance manuellement.

Caractéristiques du script Powershell : i-hydration-SC2012-v14.ps1 –help

i-hydration-SC2012-v1x.ps1 -[Switch] :

[Switch] -HydrationReps –> To prepare the Hydration folders
[Switch] -DomainServices –> To install and configure AD Service
[Switch] -ADConfigmgr –> To prepare AD environment for SC2012
[Switch] -Rolesr2 –> To Install Windows 2008 R2 server roles for SC2012
[Switch] -ConfigSQL –> To Configure Microsoft SQL Solution for SC2012
[Switch] -SQLSrvr2 –> To Install Microsoft SQL Server 2008 R2 for SC2012
[Switch] -WSUS –> To Install Microsoft WSUS 3.0 SP2 for SC2012
[Switch] -ConfigMgr12 –> To Install CAS/Primary SCCM Server SC2012
[Switch] -MDT12 –> MDT Installation Solution (with Deployment Share) new 
[Switch] -Help –> Help panel …
[Switch] -ReadCSV –> To read CSV i-answers.csv file

NOTE : Tous les fichiers de réponses (Rôles serveur, Active directory, SQL, SCCM, etc.) sont générés à la volée par le script Powershell.

Commande : i-hydration-SC2012-v14.ps1 -Help

Screenshots

image

Lecture du fichier de réponse CSV

Commande : i-hydration-SC2012-v14.ps1 -ReadCSV

image_thumb3

Préparation de l’active Directory pour SCCM 2012 RTM (Sans Extension du schéma)

A faire sur le DC

Commande : .\i-hydration-SC2012-v14.ps1 -ADConfigmgr

Création du container AD : System Management
Création du groupe spécifié dans le fichier de réponse CSV
Positionnement des droits ACE/ACL du le container System Management

Action manuelle : Encore dans cette version du script, vous devez ajouter le compte machine du serveur SCCM futur dans le groupe spécifié manuellement.

Screenshots

Commande

Résultat attendu

clip_image003_thumb2

clip_image004_thumb1

Préparation du futur serveur SCCM 2012 RTM

A faire sur le futur serveur SCCM

Pour l’exemple d’organisation de mes disques et partition :

clip_image006_thumb4

Création de l’organisation des répertoires HYDRATION

A faire sur le futur serveur SCCM

Commande : .\i-hydration-SC2012-v14.ps1 –HydrationReps

Screenshots

Commande

Résultat attendu

clip_image007_thumb2

clip_image008_thumb1

Action manuelle : Copier manuellement les sources dans leurs répertoires respectifs sur le futur serveur SCCM

NOTE : Cette organisation n’est pas obligatoire. Vous pouvez utiliser un chemin UNC par exemple, etc. Il suffit simplement de mettre à jour le fichier de réponse CSV en fonction !

Installation des rôles pour SCCM du futur serveur

A faire sur le futur serveur SCCM

Commande : .\i-hydration-SC2012-v14.ps1 -Rolesr2

Screenshot

Commande

Résultat attendu

clip_image009_thumb

clip_image010_thumb

IMPORTANT : Si vous n’avez pas copier manuellement les sources et notamment .Net Framework 4.0 dans le répertoire Updates, il ne sera pas installé lors cette phase-là. Dans le cas contraire :

clip_image011_thumb2

Installation de Microsoft SQL 2008 R2 avec le Service Pack 1 et le Cumulatif Update 6

A faire sur le serveur SQL

Commande : .\i-hydration-SC2012-v14.ps1 -SQLSrvr2

Prérequis important : Avoir copié les sources suivantes à l’endroit voulu et avoir modifié le fichier de réponse en fonction :

Sources SQL 2008 R2
Sources Service Pack 1
Sources Cumulatif Updates 6

Si vous voulez utiliser un serveur dédié pour SQL, les prérequis serveurs pour SQL doivent y être installés.

image_thumb1

NOTE : A ce stade, SQL n’est pas entièrement configuré

Configuration de Microsoft SQL

A faire sur le serveur SQL

Commande : .\i-hydration-SC2012-v14.ps1 –ConfigSQL

clip_image013_thumb2

A ce stade, SCCM peut désormais être installé, tous les prérequis sont présents !

Installation de Microsoft SC Configuration Manager 2012 RTM

A faire sur le serveur SCCM

Commande : .\i-hydration-SC2012-v14.ps1 -ConfigMgr

Prérequis important : Avoir copié les sources suivantes à l’endroit voulu et avoir modifié le fichier de réponse en fonction :

Sources SCCM 2012 RTM
Updates SCCM2012 (Répertoire Updates)

clip_image014_thumb2

Choisir le type de site que vous voulez installer, le fichier de réponse INI sera construit à volée en fonction de votre choix (Par défaut CAS)

Installation de Microsoft Deployment Toolkit 2012 RTM new

A faire sur le serveur SCCM/MDT

Commande : .\i-hydration-SC2012-v14.ps1 –MDT12

Prérequis important : Avoir copié les sources suivantes à l’endroit voulu et avoir modifié le fichier de réponse en fonction :

Sources de MDT 2012 RTM

image

-> Montage du Deployment Share de MDT 2012 RTM pris en compte dans Hydration v14:

image

NOTE : L’intégration de MDT 2012 dans SCCM 2012 reste manuelle dans cette version du script

Installation de Microsoft WSUS 3.0 SP2

A faire sur le serveur SCCM qui sera Software Update Point

Commande : .\i-hydration-SC2012-v14.ps1 -wsus

Prérequis important : Avoir copié les sources suivantes à l’endroit voulu et avoir modifié le fichier de réponse en fonction :

Sources WSUS 3.0 SP2
Report Viewer 2010 (ou version 2008 minimum)
Avoir installé SQL Server en local ou sur un serveur dédié

clip_image016_thumb2

Installation d’un domain controlleur 2008 R2

A faire sur le serveur SCCM qui sera DC

Commande : .\i-hydration-SC2012-v14.ps1 – DomainServices

Le script est aussi capable d’installer un contrôleur de domaine (New Forest/New domain. Celui-ci générer, comme pour le reste, le fichier de réponse d’installation de l’AD. De même le script installe les services et le DNS en où ils ne seraient pas installés

NOTE : Une petite erreur de variable s’est glissée dans le script, ligne 1260. Modifier la ligne comme suit : if ($CASServerConfigMgr -eq "")

Enjoy !

Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

SCCM – Script Powershell v2 d’installations automatisées Microsoft System Center 2012 ConfigMgr

sccm2012

Bonjour à tous,

Après quelques mois d’absence pour raison personnelle, me revoilà avec un script Powershell Hydration qui permet d’installer toute la solution System Center Configuration Manager 2012 RTM. Celui-ci fonctionne avec des -Switchs (arguments attendus). Chaque Switch correspond à un type d’installation (SQL, SCCM, etc.). Switch que vous pouvez chainer…

Dans cette version :
– Installation d’un Contrôleur de domaine 2008 R2, incluant le rôle DNS
– Préparation de l’active directory
(Volontairement sans l’extension du schéma)
– Installation et configuration des rôles serveur pour SCCM 2012 (Windows 2008 R2)
– Installation de Microsoft SQL 2008 R2 avec le SP1 et le CU6
– Configuration du serveur SQL (Firewall, Ports Réseau, tailles des bases etc.)
– Installation de Microsoft WSUS 3.0 SP2 avec installation et configuration d’un site IIS
– Installation de Microsoft SCCM 2012 RTM
(CAS/Primary).
– P
ositionnement du flag NO_SMS_ON_DRIVE.SMS

Nouveautés
Dans cette version, beaucoup plus de contrôles, de fichiers de Logs. Il est aussi possible de rejouer les installations de SQL en cas d’échec. Le script se charge de savoir où vous en êtes pour reprendre. Enfin, dans version, toujours pour SQL, il est possible de jouer une installation à partir de sources “Splitstreamées”. Par contre, dans cette version, la construction d’une telle source reste à votre charge (modification du fichier, INI SQL, décompression des sources SPx et CUx, etc.).

Screenshot .\V_PSHydration-SCE012-v10.2.ps1 -help

Hydration_v2

NOTE : Tous les fichiers de réponses (Rôles serveur, Active directory, SQL, SCCM, etc.) sont générés à la volée par le script Powershell. Par ailleurs, le script PSH utilise un fichier de réponse CSV pour fonctionner.

Bien sûr, le script peut être fortement amélioré… Je vous fais confiance pour vous l’approprier, afin d’apporter des améliorations ou/et de le corriger … Si vous pouviez juste faire partager vos suggestions, ce serait vraiment super ! Je rappelle que le but de ma démarche est avant tout, faciliter les installations des solutions et surtout de gagner du temps sur nos maquettages, par exemple…

64pxwindows-powershell-icon_thumb

 Téléchargement du script

Enjoy !

Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

SCCM – Comment gérer et optimiser l’utilisation de la bande passante avec Microsoft SCCM 2007 (Bandwidth)

logo-sccm-200722

Bandwidth Management

Il peut s’avérer indispensable de maitriser les flux de réplication entre sites SCCM. Et notamment en journée… Ceci afin d’impacter le moins possible la production d’une entreprise. Ce post vous fournira les vecteurs ou pointeurs qui vous aideront à minimiser les flux SCCM. Ou du moins à les canaliser !

Donc l’objectif ici, est de proposer une solution de gestion des bandes passantes (Bandwidth) SCCM en fonction de leur lien respectif. Ceci afin de préserver les flux métiers de l’entreprise…

Pour cela, il est nécessaire de répondre aux questions suivantes :
– Quel est le minima réseau nécessaire pour le fonctionnement de SCCM ?
– Quelles solutions sont à retenir pour la gestion des bandes passantes dans SCCM ?

Eléments à considérer
– Volumétrie des packages SCCM à répliquer ?
– Nombre d’objets à répilquer dans SCCM ?
– Bande passantes utilisées entre les sites ?
– Quel type instantanéïté voulez-vous dans SCCM ?

Quels sont les outils ou pointeurs disponibles dans SCCM ?

Petit rappel, deux sites SCCM (2 primaires) parent-enfant l’un de l’autre, sont liés par ce qu’on appelle un “Sender” (Adresse). C’est ni plus, ni moins qu’un lien “ombilical” uni-directionnel, qui réunit deux site entre-eux ! En l’occurence ici, un site A répliquant vers un Site B. (Fig. 1). A l’image de Microsoft Active Directory, un lien SCCM est uni-directionnel, ce qui nécessite de créer une adresse du site B vers A afin de faire du bi-directionnel. (Fig. 2)

imageimage

Sender, vue logique et vue physique, mon coeur balance !

Dans SCCM, deux vues s’opposent : une vue “Logique” et une vue “Physique” !
Par ex. dans la figure de gauche, si nous ajoutons un Site C, comme site enfant du Site B. Cela nous fait une architecture SCCM à 3 niveaux. Par conséquent, nous allons tout naturellement créer les adresses (Senders) dans les 2 sens, afin que le Site B puisse répliquer avec son site enfant (le Site C), et vice et versa, logique ! Mais qu’est ce qui nous empêches de faire un lien direct du Site A vers le Site C (Figure de droite) ? Rien !

imageimage

En effet, nous pourrions très bien trouver pertinent de faire un tel lien dans le cas où la bande passante entre les Sites A et C est plus rapide, avec un débit plus important, qu’entre les Sites B et C, surtout dans ce sens pour la descente des packages dans SCCM, par exemple… Pourtant, sur le plan “Logique” le Site C est bien enfant du Site B

Je ne vous le conseille pas !! Eviter ! Seule la figure de gauche convient !

Donc 1ère régle, le lien physique (Vue Physique) doit refléter le lien qui existe entre le parent et l’enfant, et inversement (vue Logique).

imageimage

On pourrait aussi imaginer faire un “pontage” suppl. du Site A vers C en plus de celui de B vers C. (Figure de droite). Mais là encore, il n’existe pas de notion de “poids” (Cost) dans SCCM, afin de privilégier le meilleure chemin de réplication à prendre.

Donc 2ème régle, faite simple. Gérer plutôt le flux réseau au niveau matériel d’abord et choisissiez la topologie (mode étoile, etc.) avant de vouloir le faire par SCCM. SCCM doit être la dernière option ou permettre d’affirmer votre volonté topologique réseau !

Idem concernant les protocoles de communication (SMB, HTTP, SIP, etc.). Faite de la QoS (Quality of Services). Concernant les clients SCCM, vous pouvez utiliser la fonction Branch Cache dans Windows 2008 R2. Je vous orienterais donc vers cette article.

Gestion des packages

Si on imagine une volumétrie totale de 128 Go de packages dans SCCM, stockés et déployés à partir du site SCCM Root. Ceci afin de “pousser” les applications et Masters 7 (ou autres) de type Corporate. Combien de temps vais-je mettre pour que les packages arrive sur mon site enfant de 2ème ou de 3ème niveau ? Et comment éviter de saturer mes liens WAN ?

Binary Differential Replication
Pour les gros packages de type masters OS, il est possible d’utiliser l’option, “Enable binary Differential replication” dans les propriétés d’un package (Figure de gauche). Cette fonction, permet de ne répliquer que le delta d’un package, suite à une modification de celui-ci. Faut-il encore qu’il soit déjà là…

Copie compressée des packages
Il est aussi possible de compresser le package, en choisissant l’option, “Use a compressed copy of the source directory”. Alors SCCM fabriquera donc un fichier .PCK de la source spécifiée dans cette même fenêtre et le répliquera sur les points de distribution SCCM (Figure de droite).

imageimage

Cependant, si les fichiers sources, disponibles depuis un SAS de livraison (Serveur de fichiers), ont été modifiés, les points de distribution ne seront pas mis à jour. Cette dernière option convient donc plus pour de la copie de CD-ROM, ou dans l’hypothèse où les packages ne seront plus disponibles et/ou modifiés par la suite sur la source.

Fichiers PCK dans SCCM

Comparaison entre l’option, compressée ou depuis la source
Comparaison entre les deux options pour les 2 modes

image

Scenario 1: Use a compressed copy of the sources directory
Lors de réplication d’un point de distribution distant ([SERVER2] à [SERVER4]), un fichier PKG est généré, et les binaires du même package sont copiés dans un répertoire sur le serveur de site local [SERVER2]

La copie du package sur un site distant enfant se fait en PCK – Pas de PCK localement présent sur [SERVER2] (Root). Dans cette méthode un répertoire JUP0000E est bien créé, afin d’y accueillir les binaires, mais à ce stade il est vide !

Ils ne seront décompressés et copiés que lorsque l’application sera utilisée par SCCM
(Par ex. publication de l’application pour les postes du site primaire [SERVER4] enfant de Root). Le fichier PCK est conservé afin d’être répliqué sur le autre site enfant de [SERVER4]

Dés lorsqu’on active une publication locale à [SERVER4] (Site primaire enfant), le package est immédiatement décompressé et copié dans le répertoire local JUP0000E du primaire

image

Important : Dans cette méthode, le PCK est conservé parce que [SERVER4], en plus d’être server primaire SCCM, celui-ci est « Distribution Point ». Dans le cas où celui ne le serait pas, le PCK peut disparaitre ! Dans ce cas, les PCK ne sont générés sur [SERVER4] uniquement pour que celui-ci se charge de les copier sur l’un de ses fils (Primaire ou Secondaire)

Scenario 2: Option: Always obtain files from the source directory
Lors de réplication d’un point de distribution distant ([SERVER2] à [SERVER4]). Aucun PKG n’est généré à ce stade et les binaires du package sont copiés dans un répertoire sur le serveur de site local [SERVER2]

La copie sur un site distant enfant provoque la génération d’un PCK local [SERVER2] celui-ci est ensuite envoyé sur le site distant [SERVER4]. De plus, les binaires (stockés dans le répertoire) sont aussi copiés sur le site distants [SERVER4]

Ce qui représente deux sessions de copies, une copie pour le PCK et une copie pour les binaires. Seule dans cette méthode le PCK est généré en local sur [SERVER2]

image

Gestion de bande passante dans SCCM

Alors déjà il faut savoir que le flux descendant au sein d’une hiérarchie SCCM est plus importante de par la descente des packages, que la remonté des informations d’état. A contrario, le flux montant SCCM de fonctionnement (hors packages) est plus important que le flux descendant.

Le flux descendant avec gestion des packages étant le cœur du problème le plus souvent, nous nous y tiendrons pour ce qui suit, prenant en compte les données citées plus haut et la répartition en cours pour les packages « Toutes Filiales ».

SCCM offre la possibilité de positionner des priorités sur les packages et d’en filtrer la réplication vers un autre site partenaire (enfant). Cependant, cela concerne aussi bien les packages SCCM que le fonctionnement même de SCCM. Il n’est pas possible de définir les priorités sur les autres objets touchant au fonctionnement même de SCCM. (Par exemple. Ajout d’une machine dans une collection).

Par défaut, les packages SCCM sont considérés comme une information de type normale et sont configurés en priorité Medium. Cette configuration est modifiable dans les propriétés d’un package même.

image

Gestion des priorités pour un package
Gestion des objets en fonction de leur priorité respective : Medium, Low, High

Cas d’un déploiement d’urgence
Les patchs de sécurité dits critiques peuvent être « tagués » en High et être autorisé à être répliqué en journée sur les sites enfants, en n’utilisant qu’un certain % de bande passante, ceci afin d’y être déployés.

A contrario, les images WIM représentant ainsi plusieurs Go et peut être « taguées » en Low et n’être autorisées qu’à être répliquées que pendant la nuit en n’utilisant qu’un certain % de bande passante.

Note : Il est possible de répliquer les packages SCCM par l’utilisation de disques durs externes en utilisant l’outil : « Preload package on Site »

Gestion des réplications des priorités
Une fois les priorités définies, il est possible de gérer la réplication des priorités spécifiées dans SCCM par le biais de l’utilisation d’un calendrier. Cette gestion est accessible dans les propriétés de l’adresse de site ciblant un site (enfant) partenaire.

Gestion des Sender inter-sites (Adresses)
Gestion des Calendriers de réplication inter-sites des objets

image

Gestion par l’expression de % d’utilisation de bande passante
image

Gestion des flux SCCM
Toujours dans les propriétés des adresses et dans la gestion des réplications, il possible de gérer le taux d’occupation de la bande passante détectée par SCCM. Seuls les packages et publications sont gérables sur le plan priorités via la console.

Tous les Packages sont par défaut en priorité Medium :

– Drivers Packages
– Package software
– Master WIM
– Package de déploiement (WSUS)

La combinaison de ces 2 méthodes citées plus haut, permet de gérer les réplications SCCM tout en prenant en compte les priorités d’urgence en sens SCCM du terme et de la bande passante disponible et détectée entre deux sites.

Application concréte

Exemple de hiérarchie

image

Exemple de définition de règles
Considérons 75Mo comme étant la barrière volumétrique de packages.
– Considérons maintenant que nous voulons préserver la bande passante WAN entre 8 à 18 heures, n’autorisant SCCM que 25% d’utilisation de la bande passante détectée, puis 50% entre 4h et 8h du matin et 19h et 22h.

A ceci, vous voulez que seuls les packages en priorité High ou inférieurs à 75Mo en medium, soient autorisés à être répliqués à travers la hiérarchie SCCM, en journée.

Voici que nous devrions faire…

1 – Faire l’inventaire et la cartographie de tous vos packages présents dans SCCM et mettre les priorités correspondantes : Low pour les packages se trouvant au-dessus de 75Mo, ainsi que les drivers et les Masters OS (WIM)…

Type de packages (Vol.)

Nombre de PKG

Priorités

Packages en dessous (<) de 75 Mo

597

Medium

Packages en dessus (>) de 75 Mo

132

Low

Packages Masters WIM

17

Low

Packages Drivers

58

Low

Pour configurer des propriétés des packages et des publications (Advertisements) …

image image

2 – Définir une règle de réplication (Sender) descendante pour tous vos sites SCCM

Gestion des priorités Gestion des flux SCCM

Pour tous les sites SCCM
Parents –> Enfant

Option:
Allow medium & high priority only

De 08 h à 19 h
Du Monday au Friday

image

Le filtrage pourrait avoir un impact important sur les mécanismes SCCM pour des objets dont la priorité est Medium

Pour tous les sites SCCM
Parents –> Enfant

Option :
25% de bande passante
08h à 19h

Option :
50% de bande passante
04h à 07h
19h à 22h

Option :
100% de bande passante
22h à 04h

image

Note : Par défaut, les packages sont en priorité Medium, il ne sera donc pas possible pour eux de se répliquer en journée A savoir entre 08h et 19h

Conséquences

Si on consulte le fichier de log, Sender.log, nous pouvons observer les évaluations SCCM pour le transfert du site à l’autre :

Pour la règle High Only
1. Evaluation des objets et de leur priorité
2. Acceptation ou refus après évaluation pour les objets non conformes
3. Abandon de l’envoi par Sender ou réplication des informations respectant les critères

image

Capacité % de flux en fonction de la planification horaire

En fonction des horaires d’ouverture de flux et du % de bande passante autorisé, il est possible de connaitre la capacité de volume de réplication sur 24 heures en fonction de la bande passante définie, disponible selon la formule suivante :

Volume répliqué = (Débit en kbps x Hours x 3600) x (% Bandwidth réservée / 100) / (8 x 1024)

Par exemple sur une ligne de 512 kbps : Selon les tranches horaires suivantes et le % de Bandwidth de chaque tranche, voici la volumétrie consommée pour tranche horaire sur 24 heures.

0h00 – 04h00

4h00 – 08h00

8h00 – 19h00

19h – 22h

22h00 – 0h00

4h

4h

11h

3h

2h

100%

50%

25%

50%

100%

900Mo

450Mo

618,75Mo

337,50Mo

450,00Mo

Total répliqué d’information : 2756,25 Mo

Temps (en H)

Débit du lien réseau

% Réseau disponible

Volume transféré (Mo)

Volume (Mo)

11
7
6

512Kbps

25%
50%
100%

618,75
787,50
1350,00

2756,25

Répartition des packages

Répartition

Volumétrie totale (Go)

Temps (Days)

Packages < 75 Mo

5

1,9

Packages > 75 Mo

75,3

36,1

Packages WIM

45

21,6

Packages Drivers

2,7

1,3

TOTAL

128

61,3

Ce qui donne le graph suivant :

image

Communication inter-sites

Il faut savoir qu’il n’est pas recommandé de mettre un point de distribution d’un site SCCM sur un site distant. Car dans cette configuration, il y a pas de maitrise des flux SMB de réplication (copies de packages, etc.). Seule la notion de site (primaire ou secondaire) met à disposition un calendrier de réplication, et le % de consommation du lien WAN à utiliser.

– Figure de gauche : Pas de contrôle de flux (SMB)
– Figure de droite : Maitrise de la bande passante via le Sender SCCM (SMB)

image  image

Note : Pour savoir quand mettre un site SCCM enfant, ou non, je vous renvoie vers cet article

Clients SCCM

Le rôle de point de distribution de branche (BDP), permet de transformer un PC comme dépositaires des packages SCCM. La copie se fait dans cette configuration en utilisant BITS (Figure de gauche).

Dans la figure de droite, il est possible de publier des applications (Packages) sur des postes (clients) distants. Mais dans ce cas là, attention à bien activer le protocole BITS sur les DP (Distribution Point) et de bien spécifier que le clients distants doivent télécharger les packages en local avant de les exécuter !

image    image

Note 1 : Lorsque le téléchargement en BITS d’un package depuis un client est en échec, le client peut basculer en SMB. Vous pouvez le voir en consultant le fichier de log, FileBITS.log sur le client en question…

Note 2 : Le téléchargement entre les clients et le BDP (Point de distribution de branche) d’un même site (distant) se fait en utilisant le protocole SMB (Fig. Gauche)

Note 3 : Pour les clients distants en publication directe, vous pouvez définir la limite de site distante en Slow… Ceci afin de “dire” à SCCM que cette limite (Boundary) est distante et de faible débit. Ceci pourra vous servir dans les conditions de publications (Advertisements) (Fig. droite).

Fonctionnement des clients et inventaires SCCM

Dans un Site SCCM, les clients SCCM remontent 4 Mo d’inventaires et 5 Ko par delta. Si nous considérons un site primaire de 1000 clients cela représente un volume de 3,90 Go de données et 4,88 Mo de delta tous les 7 jours par défaut.

Une fois les données compilées dans la base de données du primaire, ces informations sont compressées est envoyées au site parent sous formes compressées (ou delta).

Note : Il est à noter que le déploiement des clients SCCM se fait par vague, la remonté des inventaires sont donc glissés dans le temps. Le polling des clients est donc dans leur fonctionnement (Interrogation MP (33Ko toutes les 60 minutes (par défaut)), est également glissé dans le temps

Flux ou trafic entre les clients et une infrastructure SCCM

Le tableau suivant recense la taille des paquets échangés entre un client et l’infrastructure SCCM. Il s’agit d’une estimation. Les chiffres pourront donc être amenés à évoluer.

Rôle

Evènements

Fréquence

Taille

Client SCCM

Recherche MP au démarrage de l’agent SMS

Logon User ou toutes les 25 heures

Changement IP

33 Ko

Client SCCM

Requête de Politique Ordinateur

1h

3,4 Ko

Client SCCM

Requête de Politique Utilisateur

1h

7 Ko

Point de Gestion

Réponse à la Requête de politique (si aucune nouvelle « Policy »)

1h

4 Ko

Point de Gestion

Découverte par Pulsation d’Inventaire

7j

5 Ko

Inventaire Matériel

Delta moyen sans changement majeur

7j

5 Ko (*)

(dépend de la configuration du MOF)

Inventaire Logiciel

Delta moyen sans changement majeur

7j

5 Ko

(dépend du nombre de fichiers inventoriés)

(*) Ces chiffres dépendent de la configuration SCCM (Extension d’inventaire, complexité des règles d’inventaire…)

Gestion du Sender dans SCCM

Dans SCCM, il est possible de gérer le nombre de connexions concourantes maximum par site SCCM parent ou Enfants. Il est donc important de configurer le Sender en fonction du nombre de sites connectés au site concerné en fonction du volume de données à répliquer. Il est conseillé d’adapter la valeur « All Sites » à chaque niveau en fonction du nombre de sites connectés

image

ANNEXES – Configuration des adresses et options (Sender)

Les propriétés des limites du taux de transfert de l’adresse permettent de définir les taux maximum de transfert des données, par heure, du site actif au site de destination.

Illimité lors de l’expédition de données à cette adresse

La sélection de cette option autorise un taux de transfert illimité des données lorsque le site actif envoie des données à cette adresse.

Mode impulsion

Lorsque le mode impulsion est sélectionné, vous pouvez limiter la quantité de données envoyées entre des sites, ce qui vous permet de préciser la taille des blocs de données envoyés (en kilo-octets) dans lesquels les données sont subdivisées, ainsi qu’un délai à respecter entre chaque envoi de bloc de données (en secondes).

Taille des blocs de données (Ko) : Spécifiez la taille du bloc de données que Configuration Manager 2007 envoie à l’adresse
Délai entre les blocs de données (secondes) : Délai entre l’envoi des données par Configuration Manager 2007 à l’adresse et l’envoi du bloc de données suivant

Limité aux taux de transfert maximaux indiqués par heure

Il s’agit des heures de la journée et du pourcentage du taux de transfert maximal autorisé pour chaque heure. Si aucun chiffre n’apparaît sous une heure, 100 % du taux de transfert maximal est autorisé pour cette heure. Cliquez et faites glisser pour sélectionner plusieurs heures.

Lorsque cette option est sélectionnée, vous pouvez également préciser le taux de transfert maximal pour la période sélectionnée :

Période : Période sélectionnée dans le graphique du jour ci-dessus.
Limite (% de largeur de bande de connexion) : Il s’agit du pourcentage du taux de transfert maximal autorisé pour la période sélectionnée. Vous pouvez choisir un pourcentage ou Illimité.

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

SCCM – Comment préparer et activer AMT dans SCCM ?

logo-sccm-20072

Je vous mets ici les différentes étapes (7) pour mettre en oeuvre la fonction AMT avec SCCM. L’idée n’est pas de refaire les étapes qui existent déjà dans le TechNet Microsoft d’ailleurs c’est “presque” un copier/coller du TechNet (Je mets le lien plus bas), mais de réunir ces étapes avec cohérence dans une seule page (Post) ceci afin de ne pas se perdre dans cette mise en place, déjà bien assez compliquée… :

image 

NOTE : Pour l’activation et l’utilisation de la partie 802.x1, une extension du schéma de Active directory est conseillé.

Voir le lien suivant : Extensions de schéma Active Directory pour les améliorations des stratégies de groupe sans fil et filaires dans Windows Vista

Présentation de AMT

Présentation de la gestion hors bande

Prérequis et Lien Microsoft qui ont servis à ce post

Configuration requise pour la gestion hors bande
Configurations prises en charge pour Configuration Manager 2007 SP1
Configurations prises en charge dans Configuration Manager 2007 SP2
Configuration de la gestion hors bande

    NOTE : Il vous faudra aussi installer le rôle Out of Band Service Point dans SCCM

    Step 1 – Préparer les services et groupes de domaine Active Directory pour AMT

    Pour créer des groupes de sécurité Windows pour les serveurs de système de site

    1. Sur le contrôleur de domaine, cliquez sur Start, cliquez sur Administrative Tools –> Active Directory Users and Computers.

2. Cliquez avec le bouton droit sur l’OU : Users, cliquez sur New, puis sur Group.

3. Dans la boîte de dialogue New object – Group, entrer par ex. GG-SMS-SERVERS comme Group Name, puis cliquez sur OK.

4. Sous Active Directory Users and Computers, cliquez avec le bouton droit sur le groupe que vous venez de créer, puis cliquez sur Properties.

5. Sous l’onglet Members, cliquez sur Add pour sélectionner le serveur membre.

6. Cliquer sur OK, puis cliquez de nouveau sur OK pour fermer la boîte de dialogue Propriétés du groupe.

Répétez les étapes 2 à 6, en nommant cette fois le groupe Out of Band Service Point

7. Redémarrer le(s) serveur(s) SCCM (s’il est en cours de fonctionnement) pour qu’il détecte l’appartenance au nouveau groupe (Token)

Créer et configurer une unité d’organisation dans les services de domaine Active Directory

1. Sur un contrôleur de domaine, connectez-vous sous un compte administrateur autorisé à créer des unités d’organisation dans le domaine sélectionné.

2. Cliquez sur Start –> Administrative Tools –> Active Directory Users and Computers.

image 
3. Cliquez sur View, puis sur Advanced Features.

image

4. Cliquez avec le bouton droit sur l’objet Domaine ou une autre unité d’organisation dans lequel vous souhaitez créer l’unité d’organisation, puis cliquez sur New –> Organization Unit.

image 
5. Dans la boîte de dialogue New object –> Organization Unit, tapez le nom de votre choix (par exemple, Out Of Band Management), puis cliquez sur OK.

image 
6. Cliquez avec le bouton droit sur l’unité d’organisation que venez de créer, puis cliquez sur Properties.

image

7. Cliquez sur l’onglet Sécurité.

8. Cliquez sur Add pour ajouter le groupe GG-SMS-SERVERS (Groupe qui contient vos Serveurs SCCM qui auront le rôle Out of Band Service Point), puis accorder-lui le niveau d’autorisation : Full Control.

image 

9. Cliquez sur Advanced, sélectionnez le compte du serveur de site principal, puis cliquez sur Edit …

image 

10. Dans la liste Apply to: , sélectionnez This Object and all descendant objects.
Cliquez sur OK

 image

11. Cliquer sur OK pour valider et fermer la fenêtre Advanced Security Settings for <Votre OU> Cliquer sur OK pour fermer la fenêtre <Votre OU> Properties

NOTE : Pour un seul site (serveur) SCCM, on pourrait très bien spécifier le compte machine de celui-ci seulement (à la place du groupe), mais l’idée est plutôt d’utiliser un groupe qui regroupe l’ensemble des serveurs SCCM “futurs” qui endoseront plus tard le rôle Out Of Band Service Point et de lui attribuer les droits que nous venons de spécifier plus haut. Dans ce cas là, il suffira alors de les insérer dans le groupe GG-SMS-SERVERS en question… Aussi vous pouvez recycler un groupe existant. Toutefois, le groupe pour le “Out of Band Service Point” est à créer ! (Etape 7 – Partie 1.1.) A ce stade vous devez avoir deux groupes possédant vos serveurs SCCM :

image 

Step 2 – Déploiement des certificats PKI requis pour AMT et la gestion hors bande : Autorité de certification Windows Server 2008

Procéder comme suit pour créer des groupes de sécurité Windows pour les serveurs de système de site. Ces groupes de sécurité permettront de garantir que seuls les serveurs appropriés peuvent utiliser les deux modèles de certificats requis pour la configuration AMT.

2.1. Demande, installation et préparation du certificat de configuration AMT


1. Demande de certificat pour AMT auprès d’une autorité de certification interne et l’installer

2. Sur le contrôleur de domaine exécutant la console Windows Server 2008, cliquez sur Start –> Administrative Tools, puis cliquez sur Certification Authority

image 

3. Développer le nom de votre autorité de certification, puis cliquez sur Certificats Templates 

4. Cliquez avec le bouton droit sur Certificats Templates, puis cliquez sur Manage pour charger la console Certificats Templates.

image 

5. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Web Server dans la colonne Template Display Name, puis cliquez sur Duplicate Template.

image 

6. Dans la boîte de dialogue Dupliquer le modèle, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK.

image 

7. Sous l’onglet Général de la boîte de dialogue Properties of New Template, entrer un nom pour le modèle de certificat de configuration AMT dans le champ Template display name (par exemple, Configuration AMT ConfigMgr). Cocher la case Publish certificat in Active Directory

image 

8. Cliquez sur l’onglet Request Handling et sélectionnez Allow private key to be exported

image 

9. Cliquez sur l’onglet Subject Name et sélectionnez Build from this Active directory information, puis sélectionner Common name dans la liste déroulante Subject Name format

image 

10. Sous l’onglet Extensions, sélectionner Application Policies, puis cliquez sur Edit …

image 

11. Dans la boîte de dialogue Edit Application Policies Extension, cliquez sur Add

image 

12. Dans la boîte de dialogue Add Application Policy, cliquez sur New

image 

13. Dans la boîte de dialogue New Application Policy, entrer Configuration AMT dans le champ Name, puis le numéro suivant dans le champ Object identifier : 2.16.840.1.113741.1.2.3

image 

14. Cliquez sur OK pour valider, puis cliquez une nouvelle fois sur OK pour fermer la boîte de dialogue Add Application Policy

image 

15. Cliquez sur OK pour fermer la boîte de dialogue Edit Application Policies Extension. Dans la boîte de dialogue Properties of New Template, le champ Description of Application Policies doit maintenant indiquer : Server Authentication et Configuration AMT

image 

16. Sous l’onglet Security, supprimer le droit Enroll pour les groupes Domain Admins et Enterprise Admins. Cliquez sur Add, puis ajouter le groupe Out Of Band Service Point, puis cliquez sur OK pour valider. Donner à ce groupe le droit Enroll en plus de Read

image 

17. Cliquez sur OK pour valider, puis fermer la console Certificate Template. Sous Certification Authority, cliquer-droit sur Certificate Template, cliquez sur New, puis cliquez sur Certificate template to Issue.

image 

18. Dans la boîte de dialogue Enable Certificate Template, sélectionnez le modèle que vous venez de créer (Configuration AMT ConfigMgr), puis cliquez sur OK

image 

19. Ne pas fermer la console Certification Authority

A faire sur le(s) serveur(s) SCCM

20. Après avoir redémarrer le(s) serveur(s) faisant parti(s) de ce groupe (Out Of Band Service Point), sur chaque serveur (SCCM) membre de ce groupe, cliquez sur Start, puis sur Run et tapez mmc.exe. Dans la console vide, cliquez sur File, puis sur Add/Remove snap-ins

21. Dans la boîte de dialogue Add/Remove snap-ins, sélectionnez Certificates dans la liste Available snap-ins, puis cliquez sur Add.

22. Dans la boîte de dialogue Certificates snap-in, cliquez sur Computer Account, puis sur Next

23. Dans la boîte de dialogue Select the computer you want this snap-in to manage, vérifier que l’option Local computer : (The computer this console is running on) est sélectionnée, puis cliquez sur Finish.

24. Dans la boîte de dialogue Add/Remove snap-ins, cliquez sur OK.

25. Dans la console, développer Certificates (Local Computer), puis cliquez sur Personal. Cliquez avec le bouton droit sur Certificates, cliquez sur All Tasks, puis cliquez sur Request New Certificate…

image 

26. Dans la page Before You Begin, cliquez sur Next. Dans la page Select Certificate Enrollement Policy, cliquez sur Next. Puis dans la page Demander des certificats, sélectionnez Configuration AMT ConfigMgr dans la liste des certificats affichés, puis cliquez sur Enroll

image 

27. Dans la page suivante, attendre que le certificat soit installé, puis cliquez sur Finish. Le certificat de configuration doit maintenant s’afficher.

image 

image 

28. Ne pas fermer la fenêtre Certificats (Ordinateur local).

Le certificat de configuration AMT de votre autorité de certification interne est maintenant installé et peut être préparé pour le composant de gestion hors bande.

2.2. Pour préparer le certificat de configuration AMT pour le composant de gestion hors bande

1. Sur l’un des serveurs (SCCM) membre du groupe Out of Band Service Point dans la console MMC Certificates (Local Computer), cliquer-droit sur le certificat Configuration AMT ConfigMgr obtenu à l’étape précédente puis cliquez sur All tasks, puis sur Export…

image 
2. Dans l’Assistant Exportation de certificat, cliquez sur Next . Dans la page Export Private Key, sélectionnez Yes, export the private key, puis cliquez sur Next. Sur la page Export File Format, vérifier que Personal Information Exchange – PKCS #12 (.PFX) est sélectionné, puis choisir Include all certificates in the certification path if possible

image 
3. Dans la page Password, spécifiez et confirmer un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Next. Dans la page File to Export, spécifiez le chemin d’accès où sera stocké le certificat et son nom que vous voulez exporter, puis cliquez sur Next (par ex. D:\Export-CA-PFX.pfx)

image

4. Cliquez sur Finish sur la page Completing the Certificate Export Wizard, puis sur OK dans la boîte de dialogue Certificate Export Wizard

NOTE : Stocker le fichier en toute sécurité et assurez-vous que vous pouvez y accéder à partir de la console Configuration Manager


2.3. Préparation des certificats de serveur Web pour les ordinateurs AMT

1. Sur le contrôleur de domaine qui exécute l’autorité de certification, cliquer avec le bouton droit sur Certificate Templates, puis cliquez sur Manage pour charger la console Certificate Templates Console

2. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Web Server dans la colonne Template Display Name, puis cliquez sur Duplicate Template.

3. Dans la boîte de dialogue Duplicate Template, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK. Sous l’onglet General de la boîte de dialogue Properties of New Template, entrer un nom de modèle pour générer les certificats Web à utiliser pour la gestion hors bande sur les ordinateurs AMT, par exemple, Certificat Server Web AMT ConfigMgr. Cocher la case Publish certificate in Active Directory.

4. Sous l’onglet Security, supprimer l’autorisation Enroll pour les groupes Domain Admins et Enterprise Admins

5. Cliquez sur Add, puis ajouter le groupe GG-SMS-SERVERS possédant tous vos serveurs SCCM qui auront le rôle OOB Service Point, puis cliquez sur OK. Sélectionner les autorisations suivantes : Enroll et Autoenroll, en plus de Read

image 
6. Cliquez sur OK, puis fermer la console Certificate Templates

7. Dans la console Certification Authority, cliquez avec le bouton droit sur Certificate Templates, cliquez sur New, puis cliquez sur Certificate Templates to Issue.

8. Dans la boîte de dialogue Enable Certificate Template, sélectionnez le modèle que vous venez de créer (Certificat Server Web AMT ConfigMgr), puis cliquez sur OK

Le modèle de serveur Web AMT est maintenant prêt pour la configuration d’ordinateurs AMT avec des certificats de serveur Web.

2.4. Préparation des certificats d’authentification du client pour les ordinateurs AMT 802.1x (Facultatif)

1. Pour Configuration Manager 2007 SP2 uniquement : Si vous utilisez des certificats client pour des réseaux sans fil ou câblés authentifiés 802.1X, suivez la procédure ci-après pour préparer les certificats d’authentification client pour les ordinateurs AMT.

2. Pour créer et émettre le modèle de certificat d’authentification client sur l’autorité de certification

3. Dans la console de gestion Certification Authority, cliquez avec le bouton droit sur Certificate Templates, puis cliquez sur Manage pour charger la console de gestion des modèles de certificats.

4. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Workstation Authentication dans la colonne Template Display Name, puis cliquez sur Duplicate Template

5. Dans la boîte de dialogue Duplicate Template, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK.

6. Sous l’onglet General de la boîte de dialogue Properties of New Template, entrer un nom de modèle pour générer les certificats client à utiliser pour la gestion hors bande sur les ordinateurs AMT. Par exemple, Certificat d’authentification client 802.1X AMT ConfigMgr. Cocher la case Publish certificate in Active Directory

image 
7. Sous l’onglet Subject Name, cliquez sur Supply the Request Cliquez sur OK dans la boîte de dialogue d’avertissement pour ce paramètre

image 

8. Sous l’onglet Security, supprimer l’autorisation Enroll pour les groupes Domain Admins et Enterprise Admins. Cliquez sur Ajouter, et ajouter le groupe GG-SMS-SERVERS dans la zone de texte, puis cliquez sur OK. Sélectionnez l’autorisation suivante pour ce groupe : Enroll en plus de Read

image 

9. Cliquez sur OK, puis refermer la console Certificate Template Console

10. Dans la console de gestion Certification Authority, cliquez avec le bouton droit sur Certificate Template, cliquez sur New, puis cliquez sur Certificate Template to Issue. Dans la boîte de dialogue Enable Certificate Templates, sélectionnez le modèle que vous venez de créer (Certificat d’authentification client 802.1X AMT ConfigMgr), puis cliquez sur OK. Fermer la console Certification Authority.

Le modèle de certificat d’authentification client est maintenant prêt à émettre des certificats d’ordinateurs AMT utilisables pour l’authentification client 802.1X

A ce stade les 3 certificats sont maintenant créés et configurés :

image

Step 3 – Comment configurer la gestion hors bande de la configuration AMT dans SCCM ?

1. Dans la console Configuration Manager, accéder à System Center Configuration Manager / Site Database / Site Management / <code du site> – <nom du site> / Site Settings / Component Configuration, cliquez avec le bouton droit sur Out of Band Management, puis cliquez sur Properties

image 
2. Sous l’onglet General, cliquer sur Browse… et pointer sur l’unité d’organisation Out Of Band Management dans le champ Active Directory Container – Se traduisant dans le champ par la requête LDAP :

LDAP://OU=Out Of Band Management,DC=Contoso,D=local

3. Cliquez sur Définir pour spécifier un mot de passe fort pour le compte MEBx que Configuration Manager va configurer dans AMT lors de la première configuration de l’ordinateur. Si le fabricant vous a fourni un mot de passe personnalisé (autre que admin) ou si vous avez modifié le mot de passe du compte MEBx dans AMT, spécifiez ce mot de passe en créant ou en configurant un compte de configuration ou de découverte AMT.

4. Pour Configuration Manager 2007 SP2 uniquement : Si vous devez utiliser la configuration hors bande plutôt que la configuration intrabande, sélectionnez Allow out of band provisioning. Dans la boîte de dialogue de l’avertissement de sécurité, cliquez sur Yes si vous maîtrisez et acceptez les implications de sécurité de ce paramètre.

5. Utilisez la valeur par défaut 9971 pour le port de configuration AMT, à moins que le fabricant de votre ordinateur ne vous en ait fourni une autre

6. Si vous utilisez une configuration AMT hors bande (le client Configuration Manager 2007 SP1 ou versions ultérieures n’est pas installé) et si vous souhaitez que Configuration Manager enregistre automatiquement le nom ProvisionServer dans DNS, activez l’option Register ProvisionServer as an alias in DNS

7. Cliquez sur Browse… pour l’option Provisioning certificate et sélectionnez le fichier de certificat PFX (Etape 2.2.6) qui contient le certificat de configuration AMT exporté avec la clé privée. Entrez le mot de passe créé lors de l’exportation du certificat, puis cliquez sur OK.

8. Cliquez sur Select en regard de l’option Certificate template, puis dans la boîte de dialogue AMT Certificate Configuration, spécifiez les éléments suivants :

A. Issuing CA : Cliquez sur le menu déroulant pour afficher la liste des autorités de certification d’entreprise issues des services de domaine Active Directory et affichées par le nom de domaine complet (FQDN). Sélectionnez l’autorité de certification qui émettra les certificats pour les ordinateurs AMT. Le nom de l’autorité de certification s’affiche automatiquement dans le champ Nom de l’autorité de certification.

B. AMT certificate template : Cliquez sur le menu déroulant pour afficher la liste des modèles disponibles pour le serveur de site et issus de l’autorité de certification sélectionnée. Sélectionnez le modèle de certificat à utiliser pour les demandes de certificats relatifs aux ordinateurs AMT : Configuration AMT ConfigMgr (Etape 2.1.6)

C. Cliquez sur OK pour fermer la boîte de dialogue AMT Certificate Configuration. Ce qui donne pour cette 1ère étape :

image

D. Cliquez sur l’onglet Provisioning Settings. Dans la section AMT Provisioning and Discovery Accounts, cliquez sur l’icône New.

E. Dans la boîte de dialogue AMT Provisioning and Discovery Accounts, spécifiez les éléments suivants :

Name : Entrez le nom du compte de configuration configuré dans les extensions BIOS. Password : Entrez le mot de passe configuré dans les extensions BIOS pour le compte de configuration.
Confirm Password : Entrez de nouveau le mot de passe pour le confirmer. Description : Vous pouvez éventuellement entrer une description vous permettant d’identifier le compte. Si vous devez configurer plusieurs comptes, cette description peut s’avérer particulièrement utile pour vous aider à déterminer quel compte est associé à quel ordinateur

image

F. Cliquez sur OK pour fermer la boîte de dialogue AMT Provisioning and Discovery Accounts.

G. Pour Configuration Manager 2007 SP2 uniquement : Cliquez sur l’onglet Provisioning Schedule si vous désirez configurer les ordinateurs AMT en intrabande, puis acceptez le calendrier par défaut de 1 jour, ou spécifiez le calendrier de votre choix

H. Cliquez sur 802.1x and Wireless, cocher la case Enable 802.1x authentication for wired network, puis Cliquez sur Set…

I. Dans la fenêtre 802.1x and Wireless Network Access Control, dans la section 802.1x authentication –> Server authentication, cliquez sur Select… et sélectionner votre autorité de certificats entreprise (CA) et cliquez sur OK pour valider

J. Dans section Client Authentication pour la section Client certificate template, cliquez sur Select… puis dans la fenêtre RADIUS Client Certificate Configuration, pour le champ: Radius client certificate template, sélectionner le modèle de certificat que vous avez créé à l’étape 2.2 de ce Tutorial (A savoir : Certificat d’authentification client 802.1x AMT ConfigMgr). Cliquez sur OK pour valider

image 

K. Cliquez sur OK pour fermer la fenêtre 802.1x and Wireless Network Access Control
image 

L. Cliquer sur l’onglet Audit Settings puis activer comme suit les options :

image 
M. Cliquez sur AMT Settings et paramétrer comme suit :

image 

Cliquez sur OK pour fermer la boîte de dialogue Out Of Band Management Properties

NOTE : Dans l’onglet 802.1x and Wireless, pour la section Wireless Profiles de la boîte de dialogue Out Of Band Management Properties, vous pourriez définir le profile Wireless à autoriser

image

Cf. le lien suivant pour prendre la meilleure décision :
Meilleures pratiques pour la sécurité de la gestion hors bande et informations de confidentialité

Step 4 – Comment configurer les ordinateurs pour AMT ?

4.1. Pour configurer des ordinateurs pour AMT à l’aide de la configuration intrabande automatique avec le client de Configuration Manager 2007 SP1 (ou version ultérieure)

Vous pouvez découvrir les ordinateurs équipés de contrôleurs de gestion (AMT) et créer un regroupement dédié à ces ordinateurs… Créer un regroupement à l’aide de la requête suivante :

Select SMS_R_System.* from SMS_R_System inner join
SMS_CM_RES_COLL_SMS00001 on SMS_CM_RES_COLL_SMS00001.ResourceId =
SMS_R_System.ResourceId where (AMTStatus = 1 or AMTStatus = 2) 
and SMS_CM_RES_COLL_SMS00001.IsApproved = 1 and
SMS_CM_RES_COLL_SMS00001.IsBlocked = 0

L’adhésion à ce regroupement comportera des ordinateurs dont l’état AMT est Détecté ou Non configuré s’ils sont également approuvés et non bloqués. L’état AMT Détecté signifie que vous devez spécifier un compte de configuration et de découverte AMT avant que la configuration ne se déroule correctement.

1. Cliquez avec le bouton droit sur le regroupement à configurer en intrabande, puis cliquez sur Modifier les paramètres du regroupement et sélectionnez Hors bande.

2. Sélectionnez Activer la configuration automatique de contrôleur de gestion hors bande, puis cliquez sur OK.

3. Surveiller l’avancement de la configuration.

4.2. Pour configurer des ordinateurs pour AMT à l’aide de la configuration hors bande automatique

Vérifier que les ordinateurs peuvent localiser un serveur de configuration. Vous disposez pour cela de plusieurs méthodes :

1. Spécifiez l’adresse IP du point de service hors bande comme serveur de configuration dans les extensions BIOS de l’ordinateur.

2. Configurez les ordinateurs pour qu’ils utilisent DNS lorsqu’ils peuvent résoudre le nom ServeurConfiguration à l’adresse IP du point de service hors bande

Pour Configuration Manager 2007 SP2 uniquement : À partir de Configuration des composants, veillez à ce que l’option Autoriser la préparation hors bande soit sélectionnée sous l’onglet Général de la boîte de dialogue Propriétés de gestion hors bande.

1. Cliquer avec le bouton droit sur Regroupements, puis cliquez sur Importer les ordinateurs hors bande

Pour Configuration Manager 2007 SP2 uniquement : À partir de Configuration des composants, veillez à ce que l’option Autoriser la préparation hors bande soit sélectionnée sous l’onglet Général de la boîte de dialogue Propriétés de gestion hors bande.

1. Cliquer avec le bouton droit sur Regroupements, puis cliquez sur Importer les ordinateurs hors bande. Suivre les instructions de l’Assistant.

2. Cliquer avec le bouton droit sur le regroupement sélectionné dans l’Assistant, cliquez sur Mise à jour de l’adhésion à un regroupement et sur OK, puis appuyez sur F5 pour afficher les ordinateurs importés.

3. Vérifier que le câble d’alimentation et la carte réseau sont connectés à l’ordinateur. Surveiller l’avancement de la configuration.

Step 5 – Comment découvrir les ordinateurs avec des contrôleurs de gestion ?

Pour configurer la découverte du réseau pour les contrôleurs de gestion
 

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de site /<nom du site>/ Paramètres du site / Méthodes de découverte.

2. Cliquez avec le bouton droit sur Découverte du réseau, puis cliquez sur Propriétés.

3. Dans l’onglet Général, sélectionnez Activer la découverte des contrôleurs de gestion hors bande.

4. Cliquez sur OK

Pour initier la découverte des ordinateurs équipés de contrôleurs de gestion pour un regroupement

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de l’ordinateur / Regroupements.

2. Cliquez avec le bouton droit sur le regroupement pour lequel vous voulez initier la découverte des contrôleurs de gestion, cliquez sur Gestion hors bande, puis sur Découvrir les contrôleurs de gestion.

3. Cliquez sur OK dans la boîte de dialogue de confirmation.

Pour initier la découverte d’ordinateurs sélectionnés équipés de contrôleurs de gestion

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de l’ordinateur / Regroupements.

2. À partir d’un des regroupements, sélectionnez une ou plusieurs ressources pour lesquelles vous voulez initier la découverte des contrôleurs de gestion. Cliquez ensuite avec le bouton droit et sélectionnez Gestion hors bande, puis cliquez sur Découvrir les contrôleurs de gestion.

3. Cliquez sur OK dans la boîte de dialogue de confirmation.

Step 6 – Exploitation – Comment configurer les paramètres du BIOS d’un ordinateur à l’aide de la gestion hors bande ?

6.1. Pour configurer les paramètres du BIOS d’un ordinateur à l’aide de la gestion hors bande

1. Connectez-vous à la ressource à l’aide de la console de gestion hors bande. Si besoin, vous pouvez remplacer le type d’émulation de terminal par défaut PC ANSI par VT-100 afin qu’il corresponde aux paramètres d’émulation de terminal du BIOS de l’ordinateur cible. Pour cela, cliquez sur Outils, Options, sélectionnez VT-100 puis cliquez sur OK.

2. Cliquez sur Connexion série. Pour Configuration Manager 2007 SP2 uniquement, cliquez sur le bouton Ouvrir une connexion série sur réseau local, puis sur Oui pour accuser réception de l’avertissement de déconnexion d’une connexion sans fil. Attendez que le menu de configuration du BIOS s’affiche.

3. Cliquez sur Contrôle de l’alimentation, puis sélectionnez l’option de configuration du BIOS dans la liste Option de démarrage.

4. Cliquez sur Mise sous tension si l’ordinateur est éteint ou sur Redémarrer l’ordinateur s’il est sous tension.

5. Cliquez dans la fenêtre vierge pour activer la session d’affichage à distance.

6. Consultez ou modifiez les paramètres du BIOS, puis enregistrez. Une fois la configuration du BIOS terminée, le fait de sélectionner l’option d’enregistrement des paramètres redémarre automatiquement l’ordinateur.

A. Une fois la gestion de l’ordinateur terminée, sélectionnez l’une des options suivantes :

B. Pour vous déconnecter de l’ordinateur et fermer la console de gestion hors bande, cliquez sur Fichier puis sur Quitter.

C. Pour vous déconnecter de l’ordinateur sans fermer la console de gestion hors bande, afin de pouvoir vous y reconnecter plus tard, cliquez sur Fichier, puis sur Se déconnecter.

Option – Comment enregistrer un alias dans DNS pour le point de service hors bande ?

N’activez pas cette option si le rôle du point de service hors bande n’est pas encore installé – Pour utiliser cette fonctionnalité, vous devez enregistrer dans DNS un enregistrement hôte (enregistrement A) pour le serveur de système de site du point de service hors bande.

Option.1. Pour enregistrer manuellement un alias dans DNS Microsoft

1. Dans la console DNS, développez le dossier des zones de recherche directe du serveur avec lequel vous souhaitez travailler.

2. Cliquez avec le bouton droit sur le domaine contenant le point de service hors bande, puis cliquez sur Nouvel alias (CNAME) .

3. Saisissez ProvisionServer ou l’autre nom dans le champ Nom de l’alias.

4. Dans le champ Nom de domaine complet (FQDN) pour l’hôte cible, saisissez le nom de domaine complet du système de site hébergeant le point de service hors bande ou accédez-y.

5. Cliquez sur OK

NOTE : Je vous conseille de déployer sur vos postes de travail, l’agent AMT disponible depuis le site d’Intel ou du contructeur “la Clé Bleue” (Blue Key) qui est ni plus ni moins que l’agent AMT qui sera piloté par l’agent SCCM

Enjoy !

Michel PICOLLET | EXAKIS Paris

Consultant Senior Microsoft [System Center]

mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , , , , , ,
%d blogueurs aiment cette page :