Archive

Posts Tagged ‘SP1’

MDT12U1 – Hydration Automatic Deployment Mode – Part1

Bonjour à tous,

Après une petite absence, j’ouvre à nouveau le bal avec un post concernant Hydration, méthode permettant d’installer toute la solution SCCM 2012 de manière automatique. Me basant sur le post Deployment Research, que j’ai un peu décortiqué, voici quelques points suppl. et mon retour d’expérience.

MIC_059_masthead

Pré requis

Suivre la procédure décrite sur le site Deployment Research

Vidéo

Gestion des disques et partitions

Petite correction à faire sur la Task Sequence de déploiement du contrôler de domaine, ajouter la variable OSDisk sur l’étape “Format and Partition Disk”. En effet, tel quel (Image de gauche), si vous souhaitez ajouter un disque suppl. à votre futur DC, ceci depuis les paramètres de votre VM, une erreur apparaitra, stipulant que “La TS ne peut pas localiser la partition” qu’elle doit utiliser.

image  image 

Attention : N’oubliez pas dans ce cas-là, de faire de votre partition “System” une partition “bootable” en cochant la case, “Make this a boot partition

image

Ensuite …

Gestion de l’environnement & Renommage

Pour modifier votre environnement (Nom de domaine, Nom des serveurs, adresses IP, mot de passe, etc.), ainsi que les chemins d’installation des solutions, tout se passe dans .\HydrationCM2012SP1\ISO\Content\Deploy\Control.

Pour se faire, il vous faudra modifier les fichiers Custom Settings suivants :

– CustomSettings_CM01.ini
– CustomSettings_DC01.ini

    Par exemple :

Serveur SCCM : CustomSettings_CM01.ini

[Settings]
Priority=Default
Properties=HydrationOSDComputerName

[Default]
HydrationOSDComputerName=
SERVER2
JoinDomain=
lab.event-horizon.fr
DomainAdmin=Administrator   
DomainAdminDomain=
LAB
DomainAdminPassword=P@ssw0rd$
MachineObjectOU=ou=Servers,ou=Event-Horizon,dc=lab,dc=event-horizon,dc=fr
OSDAdapterCount=1
OSDAdapter0DNSServerList=
172.17.2.2
OSDAdapter0Gateways=172.17.2.1
OSDAdapter0IPAddressList=172.17.2.3
OSDAdapter0SubnetMask=255.255.255.0
OSDAdapter0TCPIPNetBiosOptions=1
SkipProductKey=YES
TimeZoneName=Romance Standard Time

Serveur DC : CustomSettings_DC01.ini

[Settings]
Priority=Default
Properties=HydrationOSDComputerName

[Default]
HydrationOSDComputerName=
SERVER1
JoinWorkgroup=WORKGROUP
OSDAdapterCount=1
OSDAdapter0DNSServerList=
127.0.0.1
OSDAdapter0Gateways=172.17.2.1
OSDAdapter0IPAddressList=
172.17.2.2
OSDAdapter0SubnetMask=
255.255.255.0
OSDAdapter0TCPIPNetBiosOptions=1
SkipProductKey=YES
TimeZoneName=Romance Standard Time

; Active Directory Configuration
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=
lab.event-horizon.fr
DomainNetBiosName=
LAB
ForestLevel=4
DomainLevel=4
AutoConfigDNS=Yes
ConfirmGC=Yes
CriticalReplicationOnly=No
DatabasePath=D:\NTDS\DATA
ADDSLogPath=
D:\NTDS\LOGS
SysVolPath=D:\NTDS\SysVol
SafeModeAdminPassword=
P@ssw0rd$
SiteName=Central-Site-AD

; DHCP Configuration
DHCPServerOptionRouter=
172.17.2.1
DHCPServerOptionDNSServer=
172.17.2.2
DHCPServerOptionDNSDomainName=lab.event-horizon.fr
DHCPScopes0SubnetMask=
255.255.255.0
DHCPScopes0IP=
172.17.2.0
DHCPScopes0Name=172.17.2.0/24
DHCPScopes0StartIP=
172.17.2.10
DHCPScopes0EndIP=172.17.2.20
DHCPScopes0OptionLease=691200
DHCPScopes=1

ConfigMgr 2012 : ConfigMgr2012Unattend.ini

Si vous modifiez le nom de domaine, ainsi que le mot de passe, vous devez modifier le fichier de réponse (ConfigMgr2012Unattend.ini) de SCCM 2012, se trouvant dans : .\HydrationCM2012SP1\DS\Applications\Install – ConfigMgr 2012

[Identification]
Action=InstallPrimarySite

[Options]
ProductID=EVAL
SiteCode=EH0
SiteName=ConfigMgr Primary Site
SMSInstallDir=
D:\APPS\ConfigMgr
SDKServer=SERVER2.lab.event-horizon.fr
RoleCommunicationProtocol=HTTPorHTTPS
ClientsUsePKICertificate=0
PrerequisiteComp=1
PrerequisitePath=E:\Deploy\Applications\Install – ConfigMgr 2012\PreReqs
MobileDeviceLanguage=0
ManagementPoint=SERVER2.lab.event-horizon.fr
ManagementPointProtocol=HTTP
DistributionPoint=SERVER2.lab.event-horizon.fr
DistributionPointProtocol=HTTP
DistributionPointInstallIIS=0
AdminConsole=1

[SQLConfigOptions]
SQLServerName=SERVER2.lab.event-horizon.fr
DatabaseName=CM_
EH0
SQLSSBPort=4022

[HierarchyExpansionOption]

SQL Server 2012 :ConfigurationFileCM2012.ini

Même chose, vous devez modifier le fichier de réponse (ConfigurationFileCM2012.ini) de SQL 2012, se trouvant dans .\HydrationCM2012SP1\DS\Applications\Install – SQL Server 2012 (J’ai bien sûr, épuré un peu le fichier de réponse de SQL pour une meilleure lecture)

;SQL Server 2012 Configuration File
[OPTIONS]
ACTION="Install"
ENU="True"
QUIET="True"
QUIETSIMPLE="False"
UpdateEnabled="False"
FEATURES=SQLENGINE,RS,SSMS,TOOLS,BIDS,ADV_SSMS,Conn
UpdateSource="MU"
HELP="False"
INDICATEPROGRESS="False"
X86="False"
INSTALLSHAREDDIR="C:\Program Files\Microsoft SQL Server"
INSTALLSHAREDWOWDIR="C:\Program Files (x86)\Microsoft SQL Server"
INSTANCENAME="MSSQLSERVER"
INSTANCEID="MSSQLSERVER"
SQMREPORTING="False"
ERRORREPORTING="False"
INSTANCEDIR="D:\APPS\MSSQL"
AGTSVCACCOUNT="NT AUTHORITY\SYSTEM"
AGTSVCSTARTUPTYPE="Automatic"
COMMFABRICPORT="0"
COMMFABRICNETWORKLEVEL="0"
COMMFABRICENCRYPTION="0"
MATRIXCMBRICKCOMMPORT="0"
SQLSVCSTARTUPTYPE="Automatic"
FILESTREAMLEVEL="0"
ENABLERANU="False"
SQLCOLLATION="SQL_Latin1_General_CP1_CI_AS"
SQLSVCACCOUNT="NT AUTHORITY\SYSTEM"
SQLSYSADMINACCOUNTS="LAB\Administrator" "BUILTIN\Administrators"
ADDCURRENTUSERASSQLADMIN="False"
TCPENABLED="1"
NPENABLED="1"
BROWSERSVCSTARTUPTYPE="Disabled"
IACCEPTSQLSERVERLICENSETERMS="True"

Active Directory : Configure-CreateADStructure.wsf

Autre script d’installation à modifier, Configure-CreateADStructure.wsf ! Celui-ci se trouvant dans .\HydrationCM2012SP1\DS\Applications\Configure – Create AD Structure, est en charge de créer les OU et Sous-OU dans votre environnement Active Directory. Pour ma part, J’ai choisi de garder la même structure d’OU en modifiant le nom de l’OU racine.

image

Dans ce même script, j’ai également modifié le mot de passe de tous les comptes de services créés lors de l’installation. Par exemple :

image

Passe d’installation Service DHCP pour le Contrôler de domaine

Enfin, ne pas oublier, dans la Task Sequence de modifier le compte d’autorisation du service DHCP, comme suit :

image

Mettre le clavier en Français & Regional Settings

Afin de spécifier le clavier Français et le format des Regional Settings, modifier ce qui suit dans les fichiers Unattend.xml pour chaque machine. Ce fichier se trouve dans .\HydrationCM2012SP1\DS\Control\<Machine Virtuelle>\

image

Pour mettre le clavier en Français

Pour les Pass de chaque machine (pour chaque fichier Unattend.xml):

– WindowsPE
– Specialize
– OobeSystem

Modifier comme suit :

<InputLocale>040c:0000040c</InputLocale>
<SystemLocale>en-US</SystemLocale>
<UILanguage>en-US</UILanguage>
<UserLocale>fr-FR</UserLocale>

Pour mettre les Regional Settings en Français

Pour les Pass de chaque machine (pour chaque fichier Unattend.xml):

– Generalize
– OobeSystem

    Modifier comme suit :

    TimeZone>Romance Standard Time</TimeZone>

    De même, modifier le fichier CustomSettings.xml se trouvant dans .\HydrationCM2012SP1\ISO\Content\Deploy\Control comme suit :

    [Settings]
    Priority=Default

    [Default]
    _SMSTSORGNAME=%TaskSequenceID% under construction…
    OSInstall=Y
    TimeZoneName=Romance Standard Time
    UserDataLocation=NONE
    DoCapture=NO
    ApplyGPOPack=NO
    AdminPassword=P@ssw0rd$
    HideShell=YES

    SkipAdminPassword=YES
    SkipApplications=YES
    SkipBitLocker=YES
    SkipCapture=YES
    SkipComputerName=YES
    SkipDomainMembership=YES
    SkipFinalSummary=YES
    SkipLocaleSelection=YES
    SkipProductKey=YES
    SkipSummary=YES
    SkipTaskSequence=NO
    SkipTimeZone=YES
    SkipUserData=YES
    SkipRoles=YES

    Autres points…

    La volonté ici est de déployer System Center 2012 Configuration Manager Service pack 1. Il reste malgré tout, quelques ajustement à faire…

Modification de la phase de configuration du Firewall pour le SP1

Il vous faut ajouter le port 10123 TCP dans le script : Configure-OpenFirewallforSQL2012Communication.wsf se trouvant dans .\HydrationCM2012SP1\DS\Applications\Configure – Open Firewall for SQL Server 2012 Communication

image

Active Directory – Site et Services console

Autre constat, lorsque le contrôleur de domaine est installé, vous pouvez constater que le Subnet n’est pas créé dans la console Sites et Services Active Directory. Pour cela ajouter un script Power Shell afin d’exécuter depuis la TS de déploiement, la commande suivante New-ADReplicationSubnet, par exemple pour moi :

New-ADReplicationSubnet "172.17.2.0/24" -Site "Central-Site-AD"

Puis copier le script Powershell dans .\HydrationCM2012SP1\DS\Scripts (Alias %ScriptRoot%)

image

Site et Services console sous Windows 2008 R2
Pour celles et ceux qui utiliseraient Windows 2008 Server pour le contrôleur de domaine, le site web de Alessandro Cardoso vous permettra de faire la même chose avec le script Create-ADSubnet.ps1

Voici le lien direct : http://virtualisationandmanagement.wordpress.com/2010/09/01/powershell-script-to-create-ad-subnets-and-sites/

Après avoir copié le script dans .\HydrationCM2012SP1\DS\Scripts, il suffira ensuite de l’inclure dans la séquence de tâche, comme suit :

image

Versions de Windows 2012 Server

La seule version de 2012 server utilisée par défaut est la version Data Center ; Il vous faudra donc importer dans MDT un nouveau package OS, ceci afin de choisir une autre version, la standard par exemple, dans vos TS de déploiement.

Si vous importez un nouvel OS (avec un autre Path), n’oubliez pas de modifier le step : Set WindowsSource en y spécifiant le nouveau chemin…

image

Attention : N’oubliez pas de régénérer votre ISO (Media), une fois les modifications effectuées.

image

Résultats

Une fois la procédure de modification effectuée, en voici le résultat…

Côté Serveur :

image

Côté réseau et nom de serveur :

image

Côté service DHCP :

image

Ajout de Microsoft WSUS de Windows 2012 Server

Autre point, cette version d’Hydration n’installe pas WSUS. Pour se faire, créer une application (Script Powershell) suppl. pour l’ajouter ensuite dans la Task Sequence de déploiement comme suit :

image

Voici la commande du script :
Install-WindowsFeature -ConfigurationFilePath .\WSUSDeploymentConfigTemplate.xml
Vous trouverez le fichier de réponse XML sur mon Script PSSkyDrive ->

Enfin si vous désirez changer l’emplacement du store de WSUS, n’oubliez
pas de modifier le chemin “ContentDirectory” comme suit, par exemple :

image

Skipping Product Key

Pour information, il est possible de “by-passer” l’étape qui consiste à renseigner la clé produit lors de l’installation de Windows (toutes versions).

Pour cela, il suffit de spécifier, provisoirement une clé MAK ou KMS dans le fichier unattend.xml, se trouvant dans .\DeploymentShare\Control\<ID>\ de l’OS correspondant. Les sections à renseigner sont les passes : <settings pass="windowsPE"> et <settings pass="specialize">. Par exemple, pour Microsoft Windows 8 :

Pass : Windows PE

image

Pass Specialize

image

Pour obtenir une clé provisoire, dans le but unique de faire du “Zero Touch”, il suffit d’aller sur le Technet à l’adresse suivante, puis de choisir la clé correspondant à votre version de Windows que vous désirez installer. Voici l’adresse : http://technet.microsoft.com/en-us/library/jj612867.aspx

Bien sûr, cela reste une clé provisoire, il vous faudra ensuite renseigner la vraie clé de licence, afin de pouvoir activer Windows par la suite. Le but ici n’est pas montrer une vraie clé, mais de vous montrer où celle-ci doit être renseignée. A vous de mettre celle qui vous correspond, où des fins de tests, de mettre une clé provisoire du Technet.

Version de SQL 2012

Dans la TS de déploiement de Hydration, vous avez une étape qui consiste à installer le cumulative update 3.

Cependant, si comme moi vous téléchargez la version SP1 de SQL 2012, c-à-d déjà inclue dans les sources de SQL, vous pouvez, soit supprimer cette étape, soit utiliser les sources du Cumulatif Update 3 du Service pack 1 : http://support.microsoft.com/kb/2812412 

Mais le service pack 1 de SQL 2012 suffit pour SCCM 2012 SP1 :
http://technet.microsoft.com/en-us/library/gg682077.aspx#BKMK_SupConfigSQLSrvReq

Génération du Média dans MDT 2012

Pour finir, il se peut, lors de la génération du fichier ISO, que MDT 2012 vous dise qu’il a bien généré celui-ci. Mais une fois en route dans votre machine virtuelle, impossible de lancer une TS !

En effet, il se peut que toutes les informations et/ou sources n’y soient pas. Pour en être sûr, vérifier son contenu en utilisant un outil comme DAEMON Tools. Cela vient sans doute de la grande quantité de données qu’il doit y mettre. Donc il peut y avoir des “loupés”.

S’il s’agit de fichiers de configurations tels que CustomSettings, etc., copier manuellement le contenu de .\DS\Control dans le répertoire .\ISO\Control. Idem s’il s’agit de scripts, si vous en avez ajouté d’autres, etc. copiez-les manuellement dans .\DS\Scripts.

Bref ! Vous l’avez compris sans doute, .\HydrationCM2012SP1\ISO\Content\Deploy doit être identique à .\HydrationCM2012SP1\DS. Donc faite la chasse aux différences, puis régénérer votre ISO depuis la console MDT… De même, l’update de votre Deployment Share permet de remettre les choses à plat…

Enjoy !

avatar3 Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , ,

SCCM – Ce qui change côté OSD dans la version SP1 de SCCM 2012

sccm20124 Bonjour à tous,

Bien que la partie Operating Systems Deployment ne soit pas ma spécialité à la base, je vais modestement, vous faire un petit tour d’horizon concernant la fonction OSD et ce qui change de manière visible dans SCCM 2012 SP1. Première chose, avoir installer le service pack 1 de SCCM 2012. Car comme vous le savez maintenant, désormais, cette version (SP1) supporte le déploiement de Windows 8.

Pour mettre en place le Service Pack 1, il vous faut remplacer l’habituel WAIK (Windows Automation Installation Kit) par la solution AIK (Automation Deployment Kit). En gros il vous désinstaller WAIK et installer ADK, disponible ici. Pour savoir comment installer cette nouvelle solution, je vous invite à consulter cet article.

Les modules ADK à installer pour SCCM 2012 SP1 sont :

image 

Une fois la service pack 1 installé, les étapes à suivre au sein de SCCM 2012 SP1, restent les mêmes, à savoir :

1 – Préparer vos images de démarrage (Boot Images – Windows PE)
2 – Construire et capturer votre image de système d’exploitation de référence (facultatif)
3 – Créer votre séquence de tâches pour appliquer l’image de référence
4 – Déployez votre séquence de tâches

Nouveautés concernant Windows PE, nouvelle version
Toujours en 2 versions (x86 et x64), l’une des nouveautés (en plus des fonctionnalités d’origine) concernant Windows PE, nouvelle version, est de pouvoir ajouter des modules supplémentaires dans l’image de démarrage.

image

Autre possibilité dans cette version, est de définir l’espace RAM alloué pour Windows PE.

image

Autre point important à considérer est la prise en charge de drivers supplémentaires. Il est donc indispensable de tester vos images de démarrage, nouvelle version, afin de déterminer si effectivement les drivers que vous aviez intégré à l’époque dans vos anciennes versions sont toujours pertinents. Car pour information, vos anciennes images de démarrage ne sont pas mises à jour lors du processus d’installation du service pack 1 de SCCM 2012.

Une fois les images de démarrage Windows PE version SP1 disponibles dans la console et après les avoir paramétré (F8, drivers éventuels, etc.), n’oubliez pas de les publier sur vos points de distribution (au sens package du terme). Je vous conseille fortement de publier les 2 versions : x86 et x64 ; Et ceci même si vous liez uniquement une seule version à vos séquences de tâches.

Import de des sources de Windows au sein de la console SCCM
Afin déployer Windows, nous avons besoin d’importer les sources de celui-ci dans votre console SCCM 2012 SP1. Ceci afin d’en faire une image de référence par capture SCCM.

Cependant, dés le départ, une fois les sources DVD importées dans SCCM, lorsque vous déroulez ensuite l’assistant de création d’une séquence de tâches, nous n’y nous n’avons pas accès… :/. En effet, seuls les packages OS sont accessibles depuis l’assistant. Donc soit vous faites une séquence de tâches de type custom, soit vous créez directement un package OS en ciblant \\ServeurSource\DVD\…\Install.wimBien sûr, cela implique que nous ne désirez pas modifier l’image WIM de référence.

image

Package “Custom” possible Concernant Client SCCM
Dans l’assistant, il est désormais possible et c’est une des nouveautés, de modifier le package par défaut du client SCCM 2012 qui sera utilisé par SCCM lors de l’installation de Windows.

image

Nouveautés concernant les séquences de tâches SCCM
Ce qui change dans les séquences de tâches, c’est déjà la prise en charge des BIOS de type UEFI. Cette nouvelle version du BIOS  est  version émanant des constructeurs, plus conviviale, plus étoffée et plus enrichie. La 1ère répercussion de cette prise en charge est le partitionnement des disques concernant le déploiement de Windows.  

image

Prise en charge de BitLocker
Avant, on avait MDT (Microsoft Deployment Toolkit), on a désormais SCCM, qui prend en charge BitLocker. En outre, il est possible de désactiver cette fonctionnalité sur les systèmes d’exploitation. Pour finir, l’étape de “Pré-configurer” permet à Win PE de communiquer la manière dont Windows doit chiffrer le disque (l’espace utilisé uniquement) lors du processus de déploiement.

Cela permet d’optimiser le temps de cryptage du disque, ainsi le déploiement.

image

User State Migration (USMT)
La version 4.0 utilisée concernant USMT apporte son lot de nouveautés. Notamment, la fonctions Hard Link. Celle-ci permet de stocker les profils utilisateurs sauvegardés sur le poste de travail, subissant une installation en mode Refresh de Windows.

image

Publication d’une tâche séquence
La nouveauté concernant la publication d’une tâche de séquence, la possibilité de vérifier si le contenu est effectivement disponible sur les points de distribution et de nouvelles options sont apparaissent désormais, concernant le type de publications que vous désirez effectuer.

image

Prestaging d’une image de référence pour OEM
La nouveauté concernant la publication d’une tâche de séquence, est la possibilité d’y adjoindre les applications (Cf. la barre latérale gauche : Sélectionner une application, Package, Drivers, etc.).

image

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , ,

SCCM – Architecture Microsoft System Center Configuration Manager en mode multi-forêts

janvier 23, 2013 2 commentaires

sccm201242Bonjour à tous,

Ce post pour vous faire un point concernant l’architecture Microsoft SCCM 2012. Comme vous le savez les choses changent pas mal dans cette nouvelle version. Après quelques discussions avec Jean-Sébastien DUCHÊNE et pour faire suite au post de Julien TRUCHOT sur son site… Et étant moi-même face à un contexte particulier chez un client, possédant un environnement un peu hostile…

Je vais ici, de manière synthétique et dans les grandes lignes,  expliquer,  ce qui change vraiment côté architecture.

Forêts Active directory
Déjà 1ère chose à retenir, la notion de forêt Active directory n’est plus, dans SCCM 2012, une frontière immuable ! Il n’est pas utile de positionner un serveur primaire SCCM, par forêt. Donc, si vous avez plusieurs un environnement multi-forêts Active directory, vous pouvez désormais les déclarer tout simplement dans votre hiérarchie (Dans votre site primaire) pour les prendre en compte, en y déclarant un compte d’accès valide.

image

Simplicité dans SCCM 2012 !
En dehors de toutes considérations Active directory (multi-forêts, domaines, etc.) – Dans quel cas, doit-on mettre un site primaire supplémentaire, un site secondaire, ou seulement un point de distribution ?

Je dirais que cela dépend déjà de 2 choses, la première, y a t-il une délégation particulière à faire pour une population ou environnement en particulier (délégation que RBAC ne saurait faire :)) ? ; et deuxièmement, combien de clients devez-vous gérer ? La règle générale est de simplifier autant que possible l’architecture, ceci afin d’éviter autant que possible l’installation d’un site primaire supplémentaire, ou de partir “bille en tête” dans un schéma CAS + Primaire.

NOTE : Attention, concernant une configuration CAS + Primaire(s), si votre Serveur CAS tombe, plus aucune modification n’est possible sur le(s) site(s). En effet, les consoles ne sont disponibles qu’en lecture seule. Cependant, tous les rôles et fonctions continuent à fonctionner, le temps pour vous de restaurer du serveur CAS.

Exemple sur l’utilisation d’un site Primaire en mode Stand-Alone

SCCM CAS2

La volonté ou la philosophie dans SCCM 2012 est de simplifier au maximum son architecture dans son ensemble. Avec le Service Pack 1, il devient possible de partir sur l’installation d’un site primaire en mode “Stand Alone”, puis d’envisager ensuite, la mise en place d’un primaire supplémentaire, en cas de nécessité. Mais cela vous obligera AUSSI à mettre en place un serveur CAS, en rattachant, via l’assistant d’installation du CAS, votre primaire actuel; et enfin d’y installer votre 2ème site primaire, à l’origine de changement. Donc réfléchissez bien avant, car cela peut conditionner fortement le dimensionnement Hardware des serveurs impliqués et les services associés, déjà activés…

Primary alone to CAS Server

Exemple sur l’utilisation d’un CAS + Primaires

 SCCM CAS3

Sur le plan technique, lors de votre étude, sur le papier, partez sur la base d’un site primaire en mode “Stand Alone” en positionnant, de manière stratégique des rôles comme le points de distribution, en les répartissant sur l’ensemble de votre infrastructure. Pensez aussi à utiliser les sites secondaires, qui seront enfants de votre primaire stand alone. Ceci concerne les sites distants, hébergeant un nombre assez important de clients – Entre 700 et 1 500 environ, tout en sachant qu’un site secondaire peut gérer jusqu’à 5 000 clients, soit 1 000 clients de plus qu’un point de distribution. Concernant le choix entre les deux modes, je dirais que cela dépendra du débit réseau WAN pratiqué entre les différents sites (physiques), qui face à un grand nombre de PC à gérer, nécessite un contrôle plus poussé concernant les remontés d’inventaires, la récupération des stratégies clientes, etc.

NOTE : Gestion des Réplications de packages dans SCCM 2012
Concernant le rôle de point de distribution, il est désormais possible de gérer la réplication des packages via un pseudo “Sender”. Celui-ci permet via un calendrier de définir la manière ou la stratégie de répliquer un ou plusieurs packages sur un point de distribution distants à travers une liaison WAN, ainsi que l’heure de réplication.

image

Donc une fois les fondamentaux de votre architecture posés, lors de votre étude, monter petit-à-petit en puissance votre structure SCCM, en prenant en compte les aspects réseau (type de liens, débits pratiqués, Flux autorisés, QoS, etc.), l’ensemble des volumétries des ressources (devices) que devra gérer votre site SCCM, les aspects organisationnels de l’entreprise, la séparation des pouvoirs IT (qui politiquement, pourraient aller au-delà de ce que sait désormais faire le nouveau modèle de délégation, etc.).

Puis testez, testez et testez !! Car bien entendu, pas question, à ce stade de passer directement en production !

Gestion des environnements Multi-forêts
De manière générale, il est conseillé d’avoir une relation d’approbation bidirectionnelle entre les différentes forêts. Ceci est même obligatoire si vous voulez implémenter un site primaire dans une forêt distante (en mode CAS + Primaires) ou lorsque vous désirez mettre en place des sites secondaires dans les mêmes conditions. Ceci est dû au nouveau mode de réplication dans SCCM. Autre cas où une telle relation est indispensable, lorsque vous activez le rôle Applications Catalog Point.

Gestion des forêts Active Directory non-approuvées
Microsoft SCCM 2012 est parfaitement capable de gérer des environnements ou des forêts, non approuvés. Par exemple, une DMZ ou des forêts en DMZ, ayant le service cluster activé. Ou encore une forêt de production non approuvée pour des raisons historiques de rachat, etc.

NOTE : Planning for Communications Across Forests in Configuration Manager…
To support domain computers in a forest that is not trusted by your site server’s forest, you can install site system roles in that untrusted forest, with the option to publish site information to the client’s Active Directory forest…
http://technet.microsoft.com/en-us/library/dd8eb74e-3490-446e-b328-e67f3e85c779#Plan_Com_X-Forest)

Exemple de structure SCCM avec un seul primaire Stand alone gérant beaucoup de clients en mode multi-forêts. (Chaque cercle de couleur étant une forêt)

SCCM CAS4

Scénarii et cas concrets
Dans une forêt non-approuvée, il est possible de gérer ses clients en mode Workgroups. Ce choix vous obligera donc à installer l’agents SCCM et de les approuver, manuellement depuis la console. Dans ce cas, oubliez la découverte Active directory, OU, etc. de celle-ci. C’est généralement le choix que l’on fait pour des environnements sensibles comme une DMZ, par exemple, etc. Attention dans ce cas là au sens de la communication : DMZ –> Production :(. Le mode Internet-Based Clients serait fortement conseillé (Proxy Enrollment Point, PKI, SSL, etc.) !

Autre choix, installer un système de site (DP, MP) dans cette forêt distante en la déclarant dans la console de votre site primaire. C’est le choix que l’on peut faire pour une forêt de production “Untrusted”. Cependant, il vous faudra faire l’extension du schéma pour SCCM, créer le conteneur “System Mangement” et publier votre site SCCM dans le DNS de votre nouvelle forêt. Et bien sûr, spécifier un compte d’accès valide, afin de donner les droits appropriés à SCCM pour y installer ses composants, rôles et services.

NOTE : Cette dernière configuration est aussi possible dans un contexte de DMZ. Dans ce cas et afin de respecter le sens de la marche : Production –> DMZ, il est possible de demander au site SCCM d’initier lui-même la connexion vers le system de site (les clients passant par un intermédiaire se trouvant dans la zone DMZ).

image

img-ressources-glass-icone-vista-dlb-232 Pour plus de précisions
http://blogs.technet.com/b/neilp/archive/2012/08/20/cross-forest-support-in-system-center-2012-configuration-manager-part-1.aspx

Microsoft System Center 2012 Configuration Manager Scalability
Distribution Point
Concernant le point de distribution, comme dit plus haut, il est possible de le positionner dans une forêt distante. Cependant, Microsoft n’a pas pu nous offrir l’opportunité de spécifier plusieurs comptes Network Access Account (NAC) ! Pour rappel, ce compte permet aux clients d’accéder au contenu (Packages, OSD, etc.). Ce compte unique est présent uniquement sur le site primaire. Ce qui peut poser problème lorsque votre site SCCM est mode « Cross-forest ».

Pour traiter cette question, vous invites à suivre ce lien :
http://social.technet.microsoft.com/Forums/en-US/configmanagerdeployment/thread/4c6aa99b-d17c-4750-94cb-d3884ad6fd92

 

Une autre possibilité existe toutefois, si votre site primaire en mode “Stand Alone” gère du multi-forêts avec relations d’approbations, vous pouvez positionner tous vos points de distribution dans la forêt Master (Forêt contenant votre site primaire), et associer vos groupes de limites de sites à chaque DP correspondant ; en fonction de l’environnement dont ils ont la charge. Dans ce cas, le compte NAC “Domain\Account” spécifié aux clients des forêts distants, sera toujours valide. Bien sûr, ceci est à mettre en cohérence avec les débits pratiqués face à un site distant physiquement, le calendrier de réplication des packages devient inutile et sans intérêt…

Exemple de structure SCCM avec toujours un seul primaire Stand Alone où tous les points de distribution sont centralisés dans la forêt Master d’administration. (Chaque cercle de couleur étant une forêt)

SCCM CAS4b

Management point
Concernant les points de gestion (Management point – MP) Malheureusement, vous ne pouvez pas dans un même site primaire, positionner et dédier un MP à des clients spécifiques. Pour cela, il vous faudra utiliser un site secondaire. Néanmoins, vous pouvez redonder ce rôle et positionner jusqu’à 10 Management points par site primaire ! Ainsi, les clients choisiront dans la liste des serveurs disponibles, leur MP, et ceci de manière aléatoire. Il est à rappeler que le service cluster NLB n’est plus de ce monde dans la version 2012 de SCCM.

NOTE : Concernant le rôle Management point, dans un contexte multi-forêts, si vous positionnez ce rôle dans une forêt distante, les clients de cette forêt utiliseront, par défaut le management point de leur forêt, avant de songer à contacter le rôle MP d’une autre forêt !

Software Updates Point
Concernant le rôle Software Updates Point, avec le SP1 de SCCM, il est désormais possible d’en mettre plusieurs ! Cependant, sans Service Pack, l’utilisation d’un cluster NLB reste possible. Ce rôle supporte 25 000 clients maximum ou 100 000 clients, si ce rôle est déporté sur une serveur dédié.

Application Catalog
Si vous envisagez de prendre en charge des utilisateurs dans les forêts non fiables, le catalogue d’Application doit être en mesure d’authentifier les utilisateurs qui se connectent à lui. Les deux rôles de l’Application Catalog de souplesse pour prendre en charge ce scénario. Pour soutenir cette configuration :

Installer le rôle Application Catalog Web Service sur un serveur de système de site qui se trouve dans la même forêt que la base de données de site.

Installer le rôle Application Catalog sur un serveur de système de site qui se trouve dans la forêt non fiable (dans la Forêt Distante).

Pour ce faire, spécifiez un compte d’Installation de système de Site qui a des autorisations d’administration locales sur l’ordinateur serveur de site pour installer le rôle et envoyer des messages d’État sur le serveur de site. Après l’installation, le rôle de site du catalogue d’Application communique avec le rôle de service de web Application catalogue au delà des frontières de la sécurité de la forêt à l’aide de certificats (auto-signé ou PKI) (…)

Assurez-vous que vous exécutez la découverte de l’utilisateur ou/et la découverte de groupes d’utilisateurs pour les domaines non approuvés pour prendre en charge les utilisateurs qui appartiennent à ces domaines.

Sources
http://blogs.technet.com/b/configmgrteam/archive/2012/07/05/tips-and-tricks-for-deploying-the-application-catalog-in-system-center-2012-configuration-manager.aspx

Quand mettre un site primaire (Cas particulier)?
Séparation du contenu, où ce que contiendra le site distant doit rester en localité et être géré de manière différente et bien séparée, contexte lié à un pays, par exemple.

Séparation des pouvoirs, où les entités IT, en dépit d’être dans la même société, n’ont pas du tout la même raison d’être. Ayant une organisation IT différente et autonome, bien à eux.

Redondance face aux catastrophes naturelles.

Je vous invite à consulter l’article de Jean-Sébastien, qui détaille bien les différents cas, où un il serait nécessaire de mettre en place un site de type CAS :
http://microsofttouch.fr/default/b/js/archive/2012/05/02/sccm-2012-faites-les-bons-choix-ais-je-vraiment-besoin-d-un-cas.aspx

Le nombre à retenir est 25 !
– 25 primaires supportés par Serveur CAS
– 250 Secondaires supportés par site primaire
– 25 000 clients supportés par Management point (10 000 MAC Apple maximum)

Configurations supportées par SCCM 2012
– 250 points de distribution par site secondaire
– 4 000 clients supportés par rôle, point de distribution
– 5 000 clients supportés, par site secondaire SCCM 2012
– 5 000 points de distribution par site primaire (Les DP des secondaires enfants, compris)
– 10 Management points par site primaire maximum (1 max par site secondaire)
– 100 000 clients maximum par site primaire (50,000 Mac avec le SP1)

img-ressources-glass-icone-vista-dlb-232Pour plus de précisions
http://technet.microsoft.com/en-us/library/gg682077.aspx

Microsoft SQL Server
Il est obligatoire d’utiliser une instance SQL dédiée  par site primaire, avec (nouveauté) le port statique (différent pour chaque site primaire) que vous voulez ! Toutefois, dans ce cas, attention au port SQL Broker, si vous mutualisez vos bases de données de vos différents sites sur le même serveur SQL! La version de SQL doit être 2008 R2 SP1 CU6 minimum ou SQL 2012 CU2. La collation, quant à elle, doit obligatoirement être : SQL_LATIN1_GENERAL_ CP1_CI_AS. L’utilisation de comptes de services dédiés de fonctionnement est préconisée par Microsoft !

NOTE : Attention, en plus de la version de SQL utilisée (Standard, Enterprise ou Datacenter), la notion de SQL installé sur un serveur dédié, ou sur le serveur de site lui-même, peut conditionner la prise en charge du nombre de clients ! Concernant le serveur CAS, dans certains cas, songer à l’utilisation d’un cluster SQL.

A titre d’exemple, une Hiérarchie SCCM (CAS+Primaires) supporte jusqu’à 400 000 clients, si la base de données du CAS a été installée sur une infrastructure SQL Server de type Enterprise (Sinon 50 000 clients maximum).

img-ressources-glass-icone-vista-dlb-232Planification et communication dans Configuration Manager 2012
http://technet.microsoft.com/fr-fr/library/gg712701.aspx

Nouveautés de Microsoft system center 2012 ConfigMgr SP1 RTM
– Prise en charge de Windows Server 2012 et SQL Server 2012,
– Prise en charge des systèmes de type Mac, Linux et UNIX,
– Les cmdlets sont désormais disponibles pour automatiser les opérations de SCCM 2012 avec l’aide de scripts PowerShell :

img-ressources-glass-icone-vista-dlb-232

Cmdlets in System Center 2012 Configuration Manager SP1
http://technet.microsoft.com/en-us/library/jj849987.aspx

Gestion de la hiérarchie plus souple pour basculer un site primaire SCCM en mode Stand-alone vers une structure d’un CAS + site primaire. Migration d’une architecture 2012 side-by-side vers une autre infrastructure SCCM 2012,

Possibilité de mettre plusieurs Software Updates points pour un site, ceci afin de fournir une redondance du rôle pour l’ensemble des clients (à la mode du rôle Management Point),

Possibilité d’initier des opérations de sécurité sur les clients, depuis la console SCCM 2012, incluant le téléchargement de stratégies et le lancement ASAP d’un scan anti-malware,

Prise en charge des environnements virtuels, permettant de spécifier un environnement ou écosystème d’applications virtuelles se partageant le même système de fichiers et base de registre pour un même poste de travail,

Suscription par mail aux alertes pour toutes les fonctions, et non pas uniquement que pour Endpoint Protection.

Sources et articles Microsoft PFE

Blog Technet de Neil Peterson
Cross Forest Support in ConfigMgr 2012 Part 1: Simple Management (part1)
Cross Forest Support in ConfigMgr 2012 Part 2: Forest Discovery, Publishing, and …(part2)
Cross Forest Support in ConfigMgr 2012 Part 3: Site Systems in an Untrusted Forest. (part3)

Merci à Jean-Sébastien DUCHÊNE pour ses éclaircissements et à Julien TRUCHOT pour avoir initié le sujet sur son blog.

Attention dans ce post, tout ceci reste dans le domaine du concept et du possible. Poussé un peu à l’extrême dans certain cas, la volonté ici reste de démontrer des orientations ou des capacités – Il est indispensable donc d’initier une étude poussée pour votre environnement !Enfin ce post est susceptible d’évoluer ou d’être corrigé, en cas d’erreur – Car oui l’erreur est humaine… Ce sujet est complexe et chronophage, ce qui peut provoquer quelques confusions et incompréhensions potentielles.

Donc n’hésitez pas à partager vos retours d’expériences ou tout erreur, car nous faisons tous partis d’une communauté de passionnés, qui n’hésitent pas à partager la moindre information susceptible de nous entre-aider !

Bonne Année 2013 à toutes et à tous !

Enjoy!

avatar Michel PICOLLET | EXAKIS Paris

      Solution Architect Microsoft [System Center]

mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , ,

SCCM – SCCM 2012 Service pack 1 est désormais en version RTM

Bonjour à tous,

Ce message rapide pour vous annoncer qu’à défaut d’une fin du monde annoncée, que le service pack 1, version RTM, depuis le 20 décembre 2012, est désormais disponible pour tous ceux qui possèdent un abonnement TechNet Plus ou MSDN.

Bonnes fêtes de fin d’année à toutes et à tous,

Enjoy !

Catégories :SCCM Étiquettes : , ,
%d blogueurs aiment cette page :