Archive

Posts Tagged ‘Tips’

SCCM – Comment importer et insérer dans les bonnes collections, de nouvelles machines en même temps ?

octobre 13, 2012 4 commentaires

Bonsoir à tous,

sccm20124

Pour faire suite à mon précédent post, et parce qu’il est toujours long et fastidieux d’importer plusieurs machines inconnues dans ConfigMgr (même s’il est possible de les importer via un fichier Excel, de base), je vous propose ici un script Powershell, qui non seulement vous permettra d’importer autant de machines que nécessaire, mais aussi de les dispatcher dans plusieurs collections de déploiement (scénarios), dans le même temps.

Machine Manual Entry
En effet, nous utilisons tous plusieurs collections, afin de segmenter les scénarios de déploiement. Une fois l’import des machines effectué, il nous faut ensuite les dispatcher dans les bonnes collections (Replace / New Computer / etc.).

image

Le Script
Celui-ci s’appui sur un fichier CSV, modifiable depuis Excel. Cette méthode vous permet d’organiser vos déploiement avec plus de sérénité. Ce fichier CSV est organisé comme suit :

image

Exécution du script

image

Après l’exécution du script, celui-ci a importé 4 nouvelles machines, puis les a dispatché dans les collections … New Computer et … Replace Computer.

image

Bien sûr, tout ceci n’est qu’un exemple…

image

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , , ,

SCCM – Comment faire apparaitre une nouvelle machine (Machine Entry) dans une collection de déploiement à la vitesse de l’éclair ?

octobre 11, 2012 4 commentaires

sccm20124Bonjour à toutes et à tous,

Dans ma recherche d’automatiser, par script Powershell, l’insertion d’une nouvelle machine dans SCCM (Import Computer Information), je parcours et étudie les scripts disponibles et diffusés actuellement sur la toile.

L’importation de nouvelle ressource machine dans SCCM ne pose pas de problème. Beaucoup de scripts de tous poils sont disponibles et adaptables facilement.

En passant, spéciale dédicace à toutes ces personnes pour leur travail et leur partage. Notamment celui de Kaido Järvemets : http://cm12sdk.net/?page_id=10, (Good Job), et bien autres encore …

clip_image001

Pour en revenir à mon cas, mon problème, c’est qu’une fois importée, ma machine met un temps infini pour apparaitre enfin dans ma collection de déploiement OSD. Il faut, au mieux attendre, 10 minutes, avant que celle-ci daigne bien apparaitre enfin, dans la dite collection… 😦

Là encore, une recherche sur internet et hop ! Un script permet aussi de faire cela ! Cool ! Intégration immédiate dans mon script d’importation et test ! Je passe de 10 à 5 minutes… Oui… C’est mieux ! Mais ce n’est pas non plus le Nirvana…

Alors comment passer de 5 minutes à moins d’une second ?
Simple ! Beaucoup de scripts font un Refresh de la collection finale, dans mon cas, ma collection de déploiement OSD. En fait, ce n’est pas celle-ci qu’il faut rafraichir, mais la collection : All Systems !! Et oui, car désormais dans SCCM 2012, on passe par la collection ”Devices”, pour entrer une nouvelle machine, puis celle-ci va dans All Systems, et enfin dans la collection finale que l’on veut utiliser. Tant que All Systems, n’est pas rafraichie, rien n’arrivera dans votre collection finale de déploiement !

Démonstration
Observez-bien l’horloge de la machine

Cas 1 : Importation de la machine (WKSNAMENTRY01) dans la collection finale, puis  rafraichissement de celle-ci
Modification de la fin de mon script en conséquence

clip_image003

5h50 – Création de la machine, puis rafraichissement :

clip_image005

5h52 – Malgré la présence de la machine dans la collection All Systems…

clip_image007

… Toujours rien dans ma collection finale (ou seulement après 4 minutes) 5h54 😦

clip_image009

Temps de réaction : 4-5 minutes (5h54)

Colleval.log

clip_image011

Cas 2 : Importation de la machine (WKSNAMENTRY03) dans la même collection, mais cette fois rafraichissement de la collection « All Systems »
Modification de la fin de mon script en conséquence

clip_image013

6h06 – Création de la machine, puis rafraichissement :

clip_image015

6h07 – Elle apparait déjà dans ma collection finale… 🙂

clip_image017

Temps de réaction : 30 secondes, c’est le temps qu’il m’a fallu pour faire les screenshots…

Temps réel de rafraichissement : 1 seconde ! (6h06)

Colleval.log

clip_image019

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , , ,

Windows Diagnostics and Recovery Toolkit (DaRT)

Ce Post  “Pense-bête”

Dans MDT (Microsoft Deployment Toolkit 2012), comment intégrer Microsoft Windows DaRT ?

1. Utiliser Microsoft Desktop Optimization Pack 2011 R2
2. Installation de DaRT selon votre plateforme Windows (x86 ou x64)
3. Copier le fichier Tools.cab se trouvant dans C:\Program Files\Microsoft DaRT 7\v7 dans le répertoire [x:]\VotreDeploymentShare\Tools\x86 ou x64 selon votre cas.

Astuce : Afin de récupérer la version manquante de Windows DaRT (x86 ou x64) selon votre cas, exécuter seulement la commande suivante : msiexec.exe /a MSDart70.MSI, afin de décompresser les fichiers, et notamment le fichier Tools.cab manquant de la version (Plateforme) correspondante… Dans mon cas x86 (Sachant que je suis sur une plateforme Windows 2008 R2 Server (x64)).

image_thumb30

Une fois la commande passée, je n’aurais plus qu’à suivre les étapes suivantes pour les 2 versions (Plateformes).

4. Démarrer votre console “Deployment Workbench” MDT
5. RDV dans les propriétés de celui-ci, puis cliquer sur l’onglet
Windows PE
6. Sélectionner votre plateforme (x86/x64), et enfin l’onglet
Features
7. Dans le champ Feature Packs, cocher la case Windows Diagnostics and Recovery toolkit (DaRT), puis valider par OK

image_thumb17

8. Mettre ensuite à jour vos images de boot depuis votre console MDT, comme suit : Deployment Share –> Update Deployment Share. Celui aura pour effet de recréer vos images de boot, afin d’y inclure Windows DaRT

image_thumb16

9. Choisir l’option “Optimize the boot image updating process” et cliquer 2 fois sur Next pour valider

image_thumb20

NOTE : Bien sûr, pour que cela puisse fonctionner, ne pas oublier dans les propriétés des votre Deployment Share, de cocher la case Enable monitoring for this deployment share (Onglet Monitoring)

image_thumb28

Comment remplacer l’image de récupération par défaut et intégrer DaRT dans l’image OSD de Microsoft SC12 Configuration Manager ?

Suivre les étapes suivantes :
http://fritschetom.blogspot.fr/2012/03/replace-default-recovery-image-and_08.html

Prérequis
– Télécharger le SDK de Windows 7 (Installez-le !) 
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=8279

– .Net Framework 4.0 (idem)
http://www.microsoft.com/download/en/details.aspx?id=17718

Script intégration (Afin de remplacer WinRE sur tous les PC sous W7 via SCCM 2012)
http://dl.dropbox.com/u/42679011/DART%20Integration.vbs

‘Script made by Tom Fritsche
Set WSHShell = WScript.CreateObject ("WScript.shell")   
Set oenvir = wshShell.Environment("PROCESS")
Set fso = CreateObject("Scripting.FileSystemObject")

strDestFolder = oenvir("windir") & "\DART\"
CommandLine1 = "cmd /c " & oenvir("windir") & "\System32\ReAgentc.exe /disable"
CommandLine2 = "cmd /c " & oenvir("windir") & "\System32\ReAgentc.exe /setreimage /path " & oenvir("windir") & "\DART /target " & oenvir("windir")
CommandLine3 = "cmd /c " & oenvir("windir") & "\System32\ReAgentc.exe /enable"

‘ Check to see if DestinationFolder exists
If FSO.folderexists(strDestFolder) = False Then
 » Create Recovery WinRE Directory
    FSO.CreateFolder(strDestFolder)
    FSO.CopyFile "WinRe.WIM", strDestFolder
Else
    FSO.CopyFile "WinRe.WIM", strDestFolder
End If
‘ Set directory as a WinRe Recovery directory
    WSHShell.run CommandLine1, 1, true
    WSHShell.run CommandLine2, 1, true
    WSHShell.run CommandLine3, 1, true

1. Une fois la nouvelle image de boot générée (WinRE.wim), Importer-la dans la console SC2012 Configuration Manager RTM.
2. Une fois importée, ouvrir les propriétés, activer la touche F8, puis publier-la sur le rôle PXE et sur le point de distribution de votre infrastructure.
3. Déployer une Séquence de tâches OSD en la liant à cette nouvelle image de boot
4. Démarrer un client (poste) de test puis faite F8, une WinPE chargé.

image_thumb37

5. Depuis la console de commande DOS, taper la commande : x:\sources\recovery\tools\MSDarTools.exe, puis cliquer sur Remote connection

image_thumb40

Ou taper directement la commande : RemoteRecovery.exe

6. Côté Serveur DaRT, lancer DaRTRemoteViewer.exe, puis entrer les champs spécifiés sur le client en attente, ayant lancé l’assistant Remote Control de DaRT

image_thumb46

7. Vous avez maintenant le contrôle du client WinPE !! 🙂

image_thumb49

Ce qui est appréciable, c’est la langue du clavier qui change en fonction de l’OS qui fait la prise de contrôle, dans mon cas, le français ! (Je n’ai pas eu le temps de changer la langue pour mon image de boot).

Il ne reste plus qu’à intégrer ce mécanisme dans SC 2012 Configuration Manger. Et hop ! une consolidation de plus pour la console. Peut-être dans le futur SP1 de SCCM 2012, qui sait !

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM, Windows Étiquettes : , , ,

SCCM – Comment implémenter Microsoft System Center ConfigMgr 2007 ou toute autre solution dans un environnement virtuel, mobile ?

imagesCAJPRH6L

Introduction

Aujourd’hui, de plus en plus d’ingénieurs expriment le besoin d’avoir un environnement de type (Kit de DEV) ou « bac à sable » transportable pour tester, démontrer (PoC / Avant-vente) ou / et exposer les technologies Microsoft ou autres. Ce tutorial, découpé en plusieurs parties, vous propose une solution pérenne et adaptable aux contextes. Cette partie consiste à préparer l’environnement de maquettage sous Hyper-V. Bien sûr, ceci est transposable dans un environnement de type VMware ou autres. Mais je pars sur le principe d’utiliser la solution Microsoft Hyper-V, je vous laisse la traduction dans le produit de votre choix…

122 (2)Note : Cet environnement de maquette est valable pour n’importe quel sujet à traité… Simplement, il se trouve que nous, nous traitons un sujet SCCM…

1. Préparation du serveur Hôte

L’environnement me permettant de faire ce tutorial est un portable “évolué”, ayant comme système d’exploitation Microsoft Windows 2008 server R2 Entreprise English. Celui-ci est doté d de 8 Go de Ram et d’un processeur Corei5 de Intel. La liaison Internet se fait par le biais d’une connexion WIFI (DHCP) n’ayant aucune interaction avec une infrastructure de production ou données sensibles.

1.1. Prérequis pour cette étape

– Microsoft Windows 2008 Server x64
– Module Hyper-V d’installé
– Ethernet Wireless WIFI activé

122 (2)Note : Dans la section Command-Lines, vous trouverez les lignes de commandes afin de chainer ou d’automatiser les modes et les services dont vous aurez besoin.

1.2. Configurer la partie réseau dans Microsoft Hyper-V

1. Lancer la commande suivante :
%windir%\system32\mmc.exe "%ProgramFiles%\Hyper-V\virtmgmt.msc"

2. Dans le panneau Action, cliquer sur Virtual Network Manager…

Puis créer 3 VLAN virtuels (par exemple le nommage suivant) :
– Ethernet Virtual Network 1
– Ethernet Virtual Network 2
– Ethernet Virtual Network 3

122 (2)Note : Mettre un nom bien explicite dans les champs Nom afin de bien les identifier facilement par la suite dans la console RRAS (Cela évite des erreurs par la suite)

3. Pour chaque réseau virtuel, spécifier bien l’option “Internal Only”.
4. Dans les propriétés réseau de votre serveur hôte Hyper-V
5. Liste des VLANs virtuels créés par le biais de “Virtual Network Manager” à ce stade :

Une fois les VLANs créés, spécifier une adresse IP, un masque de sous-réseau et une adresse DNS. Pour ma part, je décide de prendre une classe B privée : 172.17.x.x avec un masque de 255.255.255.0

Important : Ne spécifier aucune passerelle (Gateway) pour les VLAN Virtuels que vous venez de créer dans Hyper-V

Ce qui donne pour mon environnement (IP, Mask, DNS) :
– Ethernet VLAN 1 : 172.17.1.1 / 24 – DNS : 172.17.1.1 (Gateway : none)
– Ethernet VLAN 2 : 172.17.2.1 / 24 – DNS : 172.17.2.1 (Gateway : none)
– Ethernet VLAN 3 : 172.17.3.1 / 24 – DNS : 172.17.3.1 (Gateway : none)

2. Activation des services réseaux suppl.

Une fois l’aspect réseau réglé, vous devez installer les rôles suivants sur votre hôte Hyper-V :

– Service de “Routage Accès distant” (NAT),
– Service “DNS” cache,
– Service “DHCP” (Facultatif, mais recommandé).

Une fois les rôles et services installés et après un redémarrage de la machine hôte, il est nécessaire de configurer le service “Routage Accès distant”.

2.1. Configurer le rôle « Routage, et Accès distant »

1. Dans l’assistant de configuration, choisir l’option NAT – Network Address Translation (NAT). Cliquer sur Next
2. Il faut ensuite spécifier le réseau VLAN Interne (Virtuel) qui aura accès à Internet : Choisir votre carte Wi-Fi ou câble Ethernet ayant un accès Internet

122 (2)Note : Pour ma part, je choisis la carte
WIFI – Wireless Network Connexion

3. Cliquer sur Next

122 (2)Note : Il n’est pas possible d’ajouter plusieurs VLANs à ce stade, les VLANs Ethernet Virtual Network 2 et 3 seront ajoutés par la suite (Etape 5).

4. Spécifier Ethernet Virtual Network 1. Cliquer sur Next et Finish pour valider la configuration et terminer l’assistant.
5. Naviguer dans la console RRAS : IPv4—> NAT. Cliquer droit sur New Interface… Puis ajouter l’interface : Ethernet Virtual Network 2. Cliquer sur OK pour valider
6. Laisser l’option : Private interface connected to Private network par défaut. Cliquer sur OK pour valider.

Répéter les étapes pour l’interface : Ethernet Virtual Network 3

7. Naviguer dans la console RRAS : IPv4 –> IGMP. Cliquer droit sur New Interface… Puis ajouter l’interface : Ethernet Virtual Network 2. Cliquer sur OK pour valider
8. Laisser les options par défaut : Enable IGMP et IGMP Router. Cliquer sur OK pour valider.

Répéter les étapes pour l’interface : Ethernet Virtual Network 3.
Vous pouvez fermer la console
RRAS

9. Vous devriez avoir les interfaces ajoutées dans la section IGMP
10. Vous devriez avoir les interfaces ajoutées dans la section NAT
11. Accessoirement vous pouvez désactiver l’IPV6 dans les propriétés du serveur RRAS
12. Une fois le service NAT dans RRAS configuré, les machines virtuelles ont désormais accès à Internet …

2.2. Service DNS

Gestion du service DNS sur votre Hôte Hyper-V – Le principe est simple : Le rôle DNS installé sur l’hôte permettra aux machines virtuelles de s’adresser directement au service pour résoudre les requêtes DNS sur internet. Lorsque le contrôleur de domaine virtuel sur le VLAN1 sera présent, les machines virtuelles faisant parties du domaine virtuel, feront leurs demandes à celui-ci, qui relayera les requêtes DNS au serveur hôte afin d’obtenir une réponse pour ses clients. De plus, il sera nécessaire de créer une zone DNS et une sous zone correspondante à la zone votre domaine Active Directory.

Par ex. Si vous désirez créer le domaine Active Directory : lab.contoso.com, créer la zone contoso.com sur l’hôte. Une fois que votre domaine LAB et le 1er contrôleur de domaine (DNS) seront montés, faites une délégation de zone pour la zone LAB sur votre serveur DNS de votre hôte…

2.3. Service DHCP

Spécifier le service DHCP et de définir un scope par VLAN (Facultatif) L’intérêt de mettre en place le service DHCP est dans le fait qu’une fois les machines virtuelles positionnées sur chaque VLAN, celles-ci seront en mesure de “sortir” sur Internet et de se mettre à jour et de s’activer. En outre, le service DHCP contribuera à servir les Postes clients virtuels dans le cadre de l’utilisation de la fonction OSD / WDS (Fonction de ConfigMgr), etc.

Spécifier dans un 1ére temps, l’hôte comme serveur DNS… Vous changerez cette donnée une fois le 1er DC installé sur le VLAN 1 (Idem pour le VLAN 2). Afin d’éviter de polluer le réseau de l’entreprise auquel je pourrais par la suite me connecter (Câble Ethernet, WIFI, etc.)

122 (2)Note : Le fait de spécifier uniquement les VLAN Virtuels comme scopes (Bindings) répond à cette exigence.

Autre fait, En installant le rôle RRAS sur votre hôte Hyper-V, crée un “barrage” naturel, empêchant ainsi le service DHCP de “polluer” le réseau d’entreprise. Donc au regard de la configuration des VLAN virtuels dans Hyper-V / Hôtes, faire 3 scopes DHCP comme suit :

– Scope 1 : 172.17.1.1 à 100 / 24 – DNS : 172.17.1.1 (Gateway : 172.17.1.1) – 0x8 WINS
– Scope 2 : 172.17.2.1 à 100 / 24 – DNS : 172.17.2.1 (Gateway : 172.17.2.1) – 0x8 WINS
– Scope 3 : 172.17.3.1 à 100 / 24 – DNS : 172.17.3.1 (Gateway : 172.17.3.1) – 0x8 WINS

Vous voici donc avec un environnement socle (hôte) près à l’emploi…

Vous pouvez associer un VLAN à un site AD, etc. Vous êtes en condition de semi-prod (La vôtre), vous permettant ainsi de vous projeter dans une semi-réalité des contraintes, des fonctions et des rôles, etc. Cet environnement est parfaitement ré-utilisable pour maquetter d’autres solutions en vase clôt … Ou les faire fonctionner ensemble plusieurs technologies

3. Annexe : Command – Lines

Faire un « Copier/Coller » des commandes ci-dessous dans un fichier « .cmd » (ou *.bat). Puis exécuter-le avec les droits de « Local Administrators » sur votre serveur Hôte Microsoft Windows 2008 R2

—————- Copier/Coller—————–

ServerManagerCMD -Install DHCP
ServerManagerCMD -Install DNS
ServerManagerCMD -Install RSAT-Hyper-V
ServerManagerCMD -Install Hyper-V
ServerManagerCMD -Install NPAS-RRAS-Services
ServerManagerCMD -Install NPAS-RRAS
ServerManagerCMD -Install NPAS-Routing
ServerManagerCMD -Install RSAT
ServerManagerCMD -Install RSAT-Role-Tools
ServerManagerCMD -Install RSAT-DHCP
ServerManagerCMD -Install RSAT-DNS-Server
ServerManagerCMD -Install Wireless-Networking

—————- Copier/Coller—————–

3.1. Explication des modules

Installation du service DHCP [DHCP]
Installation du service DNS [DNS]
Installation du kit d’administration Hyper-V [RSAT-Hyper-V]
Installation du service Hyper (Reboot obligatoire) [Hyper-V]
Installation du service de routage RRAS [NPAS-RRAS-Services]
Installation du service de routage [RRAS NPAS-RRAS]
Installation du service du routage [RRAS NPAS-Routing]
Installation du kit d’administration [RSAT]
Installation du serveur d’administration [RSAT-Role-Tools]
Installation du kit d’administration DHCP [RSAT-DHCP]
Installation du kit d’administration DNS [RSAT-DNS-Server]
Installation du service Wireless Networking (WIFI) [Wireless-Networking]

4. Solution d’hébergement virtualisé

v6_pageicon_company

Aujourd’hui un certain nombre de site hébergeur vous propose de donner accès à un environnement virtuel dans lequel il vous est possible d’installer votre maquette pour un sujet donné. C’est le cas de CloudShare.com. Cet hébergeur m’a été révélé par mon collègue et ami Benoit Sautière.

La particularité de cet hébergeur est qui vous offre 14 jours d’essai. Il vous en coutera seulement une inscription via mail sur le site. Vous pourrez ensuite choisir de y vous abonner  pour seulement 58$ par mois.

Autre particularité, les templates d’installations. Grâce à ces modèles, il vous sera possible d’installer en 45 minutes un serveur SharePoint 2010, un domaine active directory et même un Serveur Exchange 2010. Et bien d’autres …

c21

4.1. Approches

L’intérêt de cette approche dépasse le simple maquettage d’environnement Microsoft ou autres. En effet, il est possible d’envisager même de construire facilement une vitrine technologie, de faire de l’auto-formation sur une technologie particulière, et même de donner accès à vos clients à l’environnement pour valider techniquement certains points de la solution envisagée. Car dans la version Enterprise de CloudShare, l’environnement est exportable. Il vous sera possible aussi d’importer votre environnement.

Bien sûr, si SCCM ne fait pas parti des templates disponibles, rien ne vous empêches d’utiliser vos proche sources, ISO ou autres pour installer vos propres solutions.

Pour avoir fait le test, le changement d’un ISO de 3 Go de SCCM 2012 BETA 2 depuis Microsoft Connect sur mon Serveur CloudShare m’a demandé 30 minutes… Vous pouvez donc imaginer facilement le débit du transfert 🙂 …

Merci donc  à Benoit pour cette trouvaille !!

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :Hyper-V Étiquettes : , , , , , , , ,

SCCM – Comment activer et utiliser la fonction de Branch Cache de Microsoft Windows 2008 R2 avec Microsoft SCCM 2007 ?

logo-sccm-20072

La fonctionnalité de Branch Cache est introduite par Microsoft Windows 2008 R2 et Microsoft Windows 7.

Principe et généralité

Cette fonctionnalité permet de rendre disponible aux clients d’un site distant du contenu déjà télécharger sur un autre système du même site (faisant parti du même réseau). Pour chaque client d’un même site distant désirant obtenir un contenu depuis le serveur du siège, séparé par une bande passante faible, un client peut “demander” si ce même contenu est déjà présent sur son site et détenu par un système, faisant parti du même sous-réseau que lui.

Branch Cache 2008R2

 

Peer-to-Peer mode
Si tel est le cas, le client “demandeur” récupère ainsi ce contenu depuis celui qui le détient, épargnant ainsi un transfert depuis le serveur du siège et à travers la liaison WAN.

Dans le cas contraire, le client “demandeur” récupère le contenu depuis le serveur du siège et à travers la liaison WAN. C’est ce qu’on appelle “la douloureuse”. Mais une fois le contenu téléchargé et installé sur le client “demandeur”, celui-ci mettra à disposition ce contenu aux clients de son site et de son sous-réseau auquel il appartient. Ainsi si une demande similaire est faite par un autre client, celui-ci récupèrera le dit contenu sur le 1er client.

clip_image001

Hosted Cache mode
Si tel est le cas, le client “demandeur” récupère ainsi ce contenu depuis le serveur 2008 R2 qui détient le contenu, épargnant ainsi un transfert depuis le serveur du siège et à travers la liaison WAN.

Dans le cas contraire, le client “demandeur” récupère le contenu depuis le serveur du siège et à travers la liaison WAN, toujours appellée “la douloureuse”. Mais une fois le contenu téléchargé et installé sur le client “demandeur”, celui-ci mettra à disposition ce contenu en cache sur le serveur 2008 R2 ayant la fonction de Branch Cache d’activé. Ainsi si une demande similaire est faite par un autre client, celui-ci récupèrera le dit contenu sur le Serveur 2008 R2 du même site.

clip_image001[5]

Microsoft System Center Configuration Manager 2007 (alias SCCM ou ConfigMgr)
Le seul scénario supporté ou envisagé par SCCM est le mode Peer-to-Peer (1)

Prérequis

– Microsoft Windows 2008 R2
– Microsoft Windows 7 Enterprise ou Ultimate (not Professional Version)
– Domaine Active Directory 2008
– Microsoft SCCM 2007 SP2 (uniquement dans le cadre de ce post)

Installations

Sur le serveur SCCM avec les droits Local Administrator, installer la fonction Branch Cache avec les commandes suivantes (Protocols BITS & SMB):

– C:\> ServerManagerCMD.exe –Install BranchCache
– C:\>
ServerManagerCMD.exe –Install FS-BranchCache

Stratégie GPO

1 – A l’aide de la console Active Directory Users, groups and computers, créer une OU puis insérer le serveur SCCM dans celle-ci
2 – A l’aide de la console GPMC.msc, créer une nouvelle GPO et activer (Enabled) l’option Hash Publication for BranchCache dans <New-GPO> –> Computer Configuration –> Policies –> Administrative Templates –> Network –> Lanman Server, puis choisir l’option
Allow Hash Publication only for shared folder on which BranchCache is enabled (recommandée)
3- Valider la GPO et appliquer-la sur l’OU que vous avez créé
(Où se trouve le serveur SCCM)
4- Redémarrer votre serveur SCCM afin que la GPO puisse s’appliquer

Paramètres des partages SCCM

1- Après le redémarrage du serveur SCCM, à l’aide de la console Share and Storage Management, dans les propriétés, dans l’onglet Caching, vérifier que l’option Only the files and programs that users specify are available offline soit activée pour le partage SCCM SMSPKG[x]$. Puis cocher la case Enable BranchCache.

image

Côté client Windows 7

Pour tester, passer la commande suivante :
– C:\> Netsh BranchCache set service DISTRIBUTED

La valeur des clés de registre suivantes doit être à (0) zéro :
– HKLM\Software\Microsoft\Windows\Current Version\BITS\DisableBranchCache
– HKLM\Software\Policies\Microsoft\Windows\BITS\DisableBranchCache

Par GPO:
A l’aide de la console GPMC.msc, créer une nouvelle GPO et activer les options suivantes dans <New-GPO> –> Computer Configuration –> Policies –> Administrative Templates –> Network –> BranchCache, puis choisir l’option Allow Hash Publication only for shared folder on which BranchCache is enabled :

– Turn on BranchCache
– Set BranchCache Distributed Cache Mode
Configure BranchCache for network files –> X (ms)

X représente le temps de latence entre les fichiers stockés et les clients

Toujours pour la même GPO, naviguer vers <New-GPO> –> Computer Configuration –> Policies –> Administrative Templates –> Network –> Background Intelligent Transfer Service (BITS) désactiver l’option Do not Allow the BITS client to use Windows Branch Cache et activer l’option Allow BITS Peercaching

Valider la GPO et appliquer-la sur l’OU qui possède vos clients Windows 7

Sources

Jean Sébastien Duchêne blog [MVP]
Steve Rachui Blog [PFE]

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

SCCM – Gestion (installation) du client SCCM en DMZ (ou en Workgroup)

logo-sccm-2007

image_2Bonjour à tous,
Suite à une mission en cours chez un client, voici mon retour d’expérience sur le sujet : Comment gérer des clients en DMZ sans WINS ou DNS ?

 

Modification des fichiers HOST et LMHOST

En s’appuyant sur le post de la support Team ConfigMgr 2007, il est donc nécessaire d’ajouter dans le fichier LMHost.sam, les éléments suivants :

  • <IP Address> ServerNameSCCM       #PRE
  • <IP Address> "SMS_SLP        x1A" #PRE
  • <IP Address> "SMS_MP         x1A" #PRE

Pour un site SCCM en NLB pour le rôle Management Point et à la place “SMS_MP…”

  • <IP Address> "SMS_NLB        x1A" #PRE

… et dans le fichier Host les éléments suivants :

  • <IP Address> ServerNameSCCM
  • <IP Address> ServerNameSCCM.fqdn

Attention toutefois, pour les inscriptions ajoutés des éléments dans le fichier LMHOST, il faut précisement avoir QUE 20 caractères entre les “…” [guillemets] qui englobent vos ajouts. Ni plus, ni moins !

Une fois les fichiers modifiés, passer la commande suivante : nbtstat -R

Installation du client en DMZ

Pour l’installation d’un client en DMZ, il n’est possible de la faire qu’en mode manuel et en ligne de commande avec les arguments suivants :

CCMSetup.exe SMSMP=SERVERNAMESCCM.FQDN CCMHTTPPORT=80 SMSSITECODE=SITECODE SMSSLP=SERVERNAMESCCM FSP=SERVERNAMESCCM

Ce qui implique la copie des sources d’installation du client SCCM localement sur les clients en DMZ. Une fois l’installation du client SCCM faite, la synchronisation entre celui-ci et le serveur SCCM pour mettre un peu de temps.

Ah oui, n’oubliez pas d’approuver le client dans la console SCCM, au besoin 😉

Sources utilisées

http://technet.microsoft.com/en-us/library/bb680962.aspx
http://social.technet.microsoft.com/wiki/contents/articles/managing-system-center-configuration-manager-clients-in-a-workgroup.aspx

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , , , ,

SCCM – Comment préparer et activer AMT dans SCCM ?

logo-sccm-20072

Je vous mets ici les différentes étapes (7) pour mettre en oeuvre la fonction AMT avec SCCM. L’idée n’est pas de refaire les étapes qui existent déjà dans le TechNet Microsoft d’ailleurs c’est “presque” un copier/coller du TechNet (Je mets le lien plus bas), mais de réunir ces étapes avec cohérence dans une seule page (Post) ceci afin de ne pas se perdre dans cette mise en place, déjà bien assez compliquée… :

image 

NOTE : Pour l’activation et l’utilisation de la partie 802.x1, une extension du schéma de Active directory est conseillé.

Voir le lien suivant : Extensions de schéma Active Directory pour les améliorations des stratégies de groupe sans fil et filaires dans Windows Vista

Présentation de AMT

Présentation de la gestion hors bande

Prérequis et Lien Microsoft qui ont servis à ce post

Configuration requise pour la gestion hors bande
Configurations prises en charge pour Configuration Manager 2007 SP1
Configurations prises en charge dans Configuration Manager 2007 SP2
Configuration de la gestion hors bande

    NOTE : Il vous faudra aussi installer le rôle Out of Band Service Point dans SCCM

    Step 1 – Préparer les services et groupes de domaine Active Directory pour AMT

    Pour créer des groupes de sécurité Windows pour les serveurs de système de site

    1. Sur le contrôleur de domaine, cliquez sur Start, cliquez sur Administrative Tools –> Active Directory Users and Computers.

2. Cliquez avec le bouton droit sur l’OU : Users, cliquez sur New, puis sur Group.

3. Dans la boîte de dialogue New object – Group, entrer par ex. GG-SMS-SERVERS comme Group Name, puis cliquez sur OK.

4. Sous Active Directory Users and Computers, cliquez avec le bouton droit sur le groupe que vous venez de créer, puis cliquez sur Properties.

5. Sous l’onglet Members, cliquez sur Add pour sélectionner le serveur membre.

6. Cliquer sur OK, puis cliquez de nouveau sur OK pour fermer la boîte de dialogue Propriétés du groupe.

Répétez les étapes 2 à 6, en nommant cette fois le groupe Out of Band Service Point

7. Redémarrer le(s) serveur(s) SCCM (s’il est en cours de fonctionnement) pour qu’il détecte l’appartenance au nouveau groupe (Token)

Créer et configurer une unité d’organisation dans les services de domaine Active Directory

1. Sur un contrôleur de domaine, connectez-vous sous un compte administrateur autorisé à créer des unités d’organisation dans le domaine sélectionné.

2. Cliquez sur Start –> Administrative Tools –> Active Directory Users and Computers.

image 
3. Cliquez sur View, puis sur Advanced Features.

image

4. Cliquez avec le bouton droit sur l’objet Domaine ou une autre unité d’organisation dans lequel vous souhaitez créer l’unité d’organisation, puis cliquez sur New –> Organization Unit.

image 
5. Dans la boîte de dialogue New object –> Organization Unit, tapez le nom de votre choix (par exemple, Out Of Band Management), puis cliquez sur OK.

image 
6. Cliquez avec le bouton droit sur l’unité d’organisation que venez de créer, puis cliquez sur Properties.

image

7. Cliquez sur l’onglet Sécurité.

8. Cliquez sur Add pour ajouter le groupe GG-SMS-SERVERS (Groupe qui contient vos Serveurs SCCM qui auront le rôle Out of Band Service Point), puis accorder-lui le niveau d’autorisation : Full Control.

image 

9. Cliquez sur Advanced, sélectionnez le compte du serveur de site principal, puis cliquez sur Edit …

image 

10. Dans la liste Apply to: , sélectionnez This Object and all descendant objects.
Cliquez sur OK

 image

11. Cliquer sur OK pour valider et fermer la fenêtre Advanced Security Settings for <Votre OU> Cliquer sur OK pour fermer la fenêtre <Votre OU> Properties

NOTE : Pour un seul site (serveur) SCCM, on pourrait très bien spécifier le compte machine de celui-ci seulement (à la place du groupe), mais l’idée est plutôt d’utiliser un groupe qui regroupe l’ensemble des serveurs SCCM “futurs” qui endoseront plus tard le rôle Out Of Band Service Point et de lui attribuer les droits que nous venons de spécifier plus haut. Dans ce cas là, il suffira alors de les insérer dans le groupe GG-SMS-SERVERS en question… Aussi vous pouvez recycler un groupe existant. Toutefois, le groupe pour le “Out of Band Service Point” est à créer ! (Etape 7 – Partie 1.1.) A ce stade vous devez avoir deux groupes possédant vos serveurs SCCM :

image 

Step 2 – Déploiement des certificats PKI requis pour AMT et la gestion hors bande : Autorité de certification Windows Server 2008

Procéder comme suit pour créer des groupes de sécurité Windows pour les serveurs de système de site. Ces groupes de sécurité permettront de garantir que seuls les serveurs appropriés peuvent utiliser les deux modèles de certificats requis pour la configuration AMT.

2.1. Demande, installation et préparation du certificat de configuration AMT


1. Demande de certificat pour AMT auprès d’une autorité de certification interne et l’installer

2. Sur le contrôleur de domaine exécutant la console Windows Server 2008, cliquez sur Start –> Administrative Tools, puis cliquez sur Certification Authority

image 

3. Développer le nom de votre autorité de certification, puis cliquez sur Certificats Templates 

4. Cliquez avec le bouton droit sur Certificats Templates, puis cliquez sur Manage pour charger la console Certificats Templates.

image 

5. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Web Server dans la colonne Template Display Name, puis cliquez sur Duplicate Template.

image 

6. Dans la boîte de dialogue Dupliquer le modèle, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK.

image 

7. Sous l’onglet Général de la boîte de dialogue Properties of New Template, entrer un nom pour le modèle de certificat de configuration AMT dans le champ Template display name (par exemple, Configuration AMT ConfigMgr). Cocher la case Publish certificat in Active Directory

image 

8. Cliquez sur l’onglet Request Handling et sélectionnez Allow private key to be exported

image 

9. Cliquez sur l’onglet Subject Name et sélectionnez Build from this Active directory information, puis sélectionner Common name dans la liste déroulante Subject Name format

image 

10. Sous l’onglet Extensions, sélectionner Application Policies, puis cliquez sur Edit …

image 

11. Dans la boîte de dialogue Edit Application Policies Extension, cliquez sur Add

image 

12. Dans la boîte de dialogue Add Application Policy, cliquez sur New

image 

13. Dans la boîte de dialogue New Application Policy, entrer Configuration AMT dans le champ Name, puis le numéro suivant dans le champ Object identifier : 2.16.840.1.113741.1.2.3

image 

14. Cliquez sur OK pour valider, puis cliquez une nouvelle fois sur OK pour fermer la boîte de dialogue Add Application Policy

image 

15. Cliquez sur OK pour fermer la boîte de dialogue Edit Application Policies Extension. Dans la boîte de dialogue Properties of New Template, le champ Description of Application Policies doit maintenant indiquer : Server Authentication et Configuration AMT

image 

16. Sous l’onglet Security, supprimer le droit Enroll pour les groupes Domain Admins et Enterprise Admins. Cliquez sur Add, puis ajouter le groupe Out Of Band Service Point, puis cliquez sur OK pour valider. Donner à ce groupe le droit Enroll en plus de Read

image 

17. Cliquez sur OK pour valider, puis fermer la console Certificate Template. Sous Certification Authority, cliquer-droit sur Certificate Template, cliquez sur New, puis cliquez sur Certificate template to Issue.

image 

18. Dans la boîte de dialogue Enable Certificate Template, sélectionnez le modèle que vous venez de créer (Configuration AMT ConfigMgr), puis cliquez sur OK

image 

19. Ne pas fermer la console Certification Authority

A faire sur le(s) serveur(s) SCCM

20. Après avoir redémarrer le(s) serveur(s) faisant parti(s) de ce groupe (Out Of Band Service Point), sur chaque serveur (SCCM) membre de ce groupe, cliquez sur Start, puis sur Run et tapez mmc.exe. Dans la console vide, cliquez sur File, puis sur Add/Remove snap-ins

21. Dans la boîte de dialogue Add/Remove snap-ins, sélectionnez Certificates dans la liste Available snap-ins, puis cliquez sur Add.

22. Dans la boîte de dialogue Certificates snap-in, cliquez sur Computer Account, puis sur Next

23. Dans la boîte de dialogue Select the computer you want this snap-in to manage, vérifier que l’option Local computer : (The computer this console is running on) est sélectionnée, puis cliquez sur Finish.

24. Dans la boîte de dialogue Add/Remove snap-ins, cliquez sur OK.

25. Dans la console, développer Certificates (Local Computer), puis cliquez sur Personal. Cliquez avec le bouton droit sur Certificates, cliquez sur All Tasks, puis cliquez sur Request New Certificate…

image 

26. Dans la page Before You Begin, cliquez sur Next. Dans la page Select Certificate Enrollement Policy, cliquez sur Next. Puis dans la page Demander des certificats, sélectionnez Configuration AMT ConfigMgr dans la liste des certificats affichés, puis cliquez sur Enroll

image 

27. Dans la page suivante, attendre que le certificat soit installé, puis cliquez sur Finish. Le certificat de configuration doit maintenant s’afficher.

image 

image 

28. Ne pas fermer la fenêtre Certificats (Ordinateur local).

Le certificat de configuration AMT de votre autorité de certification interne est maintenant installé et peut être préparé pour le composant de gestion hors bande.

2.2. Pour préparer le certificat de configuration AMT pour le composant de gestion hors bande

1. Sur l’un des serveurs (SCCM) membre du groupe Out of Band Service Point dans la console MMC Certificates (Local Computer), cliquer-droit sur le certificat Configuration AMT ConfigMgr obtenu à l’étape précédente puis cliquez sur All tasks, puis sur Export…

image 
2. Dans l’Assistant Exportation de certificat, cliquez sur Next . Dans la page Export Private Key, sélectionnez Yes, export the private key, puis cliquez sur Next. Sur la page Export File Format, vérifier que Personal Information Exchange – PKCS #12 (.PFX) est sélectionné, puis choisir Include all certificates in the certification path if possible

image 
3. Dans la page Password, spécifiez et confirmer un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Next. Dans la page File to Export, spécifiez le chemin d’accès où sera stocké le certificat et son nom que vous voulez exporter, puis cliquez sur Next (par ex. D:\Export-CA-PFX.pfx)

image

4. Cliquez sur Finish sur la page Completing the Certificate Export Wizard, puis sur OK dans la boîte de dialogue Certificate Export Wizard

NOTE : Stocker le fichier en toute sécurité et assurez-vous que vous pouvez y accéder à partir de la console Configuration Manager


2.3. Préparation des certificats de serveur Web pour les ordinateurs AMT

1. Sur le contrôleur de domaine qui exécute l’autorité de certification, cliquer avec le bouton droit sur Certificate Templates, puis cliquez sur Manage pour charger la console Certificate Templates Console

2. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Web Server dans la colonne Template Display Name, puis cliquez sur Duplicate Template.

3. Dans la boîte de dialogue Duplicate Template, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK. Sous l’onglet General de la boîte de dialogue Properties of New Template, entrer un nom de modèle pour générer les certificats Web à utiliser pour la gestion hors bande sur les ordinateurs AMT, par exemple, Certificat Server Web AMT ConfigMgr. Cocher la case Publish certificate in Active Directory.

4. Sous l’onglet Security, supprimer l’autorisation Enroll pour les groupes Domain Admins et Enterprise Admins

5. Cliquez sur Add, puis ajouter le groupe GG-SMS-SERVERS possédant tous vos serveurs SCCM qui auront le rôle OOB Service Point, puis cliquez sur OK. Sélectionner les autorisations suivantes : Enroll et Autoenroll, en plus de Read

image 
6. Cliquez sur OK, puis fermer la console Certificate Templates

7. Dans la console Certification Authority, cliquez avec le bouton droit sur Certificate Templates, cliquez sur New, puis cliquez sur Certificate Templates to Issue.

8. Dans la boîte de dialogue Enable Certificate Template, sélectionnez le modèle que vous venez de créer (Certificat Server Web AMT ConfigMgr), puis cliquez sur OK

Le modèle de serveur Web AMT est maintenant prêt pour la configuration d’ordinateurs AMT avec des certificats de serveur Web.

2.4. Préparation des certificats d’authentification du client pour les ordinateurs AMT 802.1x (Facultatif)

1. Pour Configuration Manager 2007 SP2 uniquement : Si vous utilisez des certificats client pour des réseaux sans fil ou câblés authentifiés 802.1X, suivez la procédure ci-après pour préparer les certificats d’authentification client pour les ordinateurs AMT.

2. Pour créer et émettre le modèle de certificat d’authentification client sur l’autorité de certification

3. Dans la console de gestion Certification Authority, cliquez avec le bouton droit sur Certificate Templates, puis cliquez sur Manage pour charger la console de gestion des modèles de certificats.

4. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Workstation Authentication dans la colonne Template Display Name, puis cliquez sur Duplicate Template

5. Dans la boîte de dialogue Duplicate Template, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK.

6. Sous l’onglet General de la boîte de dialogue Properties of New Template, entrer un nom de modèle pour générer les certificats client à utiliser pour la gestion hors bande sur les ordinateurs AMT. Par exemple, Certificat d’authentification client 802.1X AMT ConfigMgr. Cocher la case Publish certificate in Active Directory

image 
7. Sous l’onglet Subject Name, cliquez sur Supply the Request Cliquez sur OK dans la boîte de dialogue d’avertissement pour ce paramètre

image 

8. Sous l’onglet Security, supprimer l’autorisation Enroll pour les groupes Domain Admins et Enterprise Admins. Cliquez sur Ajouter, et ajouter le groupe GG-SMS-SERVERS dans la zone de texte, puis cliquez sur OK. Sélectionnez l’autorisation suivante pour ce groupe : Enroll en plus de Read

image 

9. Cliquez sur OK, puis refermer la console Certificate Template Console

10. Dans la console de gestion Certification Authority, cliquez avec le bouton droit sur Certificate Template, cliquez sur New, puis cliquez sur Certificate Template to Issue. Dans la boîte de dialogue Enable Certificate Templates, sélectionnez le modèle que vous venez de créer (Certificat d’authentification client 802.1X AMT ConfigMgr), puis cliquez sur OK. Fermer la console Certification Authority.

Le modèle de certificat d’authentification client est maintenant prêt à émettre des certificats d’ordinateurs AMT utilisables pour l’authentification client 802.1X

A ce stade les 3 certificats sont maintenant créés et configurés :

image

Step 3 – Comment configurer la gestion hors bande de la configuration AMT dans SCCM ?

1. Dans la console Configuration Manager, accéder à System Center Configuration Manager / Site Database / Site Management / <code du site> – <nom du site> / Site Settings / Component Configuration, cliquez avec le bouton droit sur Out of Band Management, puis cliquez sur Properties

image 
2. Sous l’onglet General, cliquer sur Browse… et pointer sur l’unité d’organisation Out Of Band Management dans le champ Active Directory Container – Se traduisant dans le champ par la requête LDAP :

LDAP://OU=Out Of Band Management,DC=Contoso,D=local

3. Cliquez sur Définir pour spécifier un mot de passe fort pour le compte MEBx que Configuration Manager va configurer dans AMT lors de la première configuration de l’ordinateur. Si le fabricant vous a fourni un mot de passe personnalisé (autre que admin) ou si vous avez modifié le mot de passe du compte MEBx dans AMT, spécifiez ce mot de passe en créant ou en configurant un compte de configuration ou de découverte AMT.

4. Pour Configuration Manager 2007 SP2 uniquement : Si vous devez utiliser la configuration hors bande plutôt que la configuration intrabande, sélectionnez Allow out of band provisioning. Dans la boîte de dialogue de l’avertissement de sécurité, cliquez sur Yes si vous maîtrisez et acceptez les implications de sécurité de ce paramètre.

5. Utilisez la valeur par défaut 9971 pour le port de configuration AMT, à moins que le fabricant de votre ordinateur ne vous en ait fourni une autre

6. Si vous utilisez une configuration AMT hors bande (le client Configuration Manager 2007 SP1 ou versions ultérieures n’est pas installé) et si vous souhaitez que Configuration Manager enregistre automatiquement le nom ProvisionServer dans DNS, activez l’option Register ProvisionServer as an alias in DNS

7. Cliquez sur Browse… pour l’option Provisioning certificate et sélectionnez le fichier de certificat PFX (Etape 2.2.6) qui contient le certificat de configuration AMT exporté avec la clé privée. Entrez le mot de passe créé lors de l’exportation du certificat, puis cliquez sur OK.

8. Cliquez sur Select en regard de l’option Certificate template, puis dans la boîte de dialogue AMT Certificate Configuration, spécifiez les éléments suivants :

A. Issuing CA : Cliquez sur le menu déroulant pour afficher la liste des autorités de certification d’entreprise issues des services de domaine Active Directory et affichées par le nom de domaine complet (FQDN). Sélectionnez l’autorité de certification qui émettra les certificats pour les ordinateurs AMT. Le nom de l’autorité de certification s’affiche automatiquement dans le champ Nom de l’autorité de certification.

B. AMT certificate template : Cliquez sur le menu déroulant pour afficher la liste des modèles disponibles pour le serveur de site et issus de l’autorité de certification sélectionnée. Sélectionnez le modèle de certificat à utiliser pour les demandes de certificats relatifs aux ordinateurs AMT : Configuration AMT ConfigMgr (Etape 2.1.6)

C. Cliquez sur OK pour fermer la boîte de dialogue AMT Certificate Configuration. Ce qui donne pour cette 1ère étape :

image

D. Cliquez sur l’onglet Provisioning Settings. Dans la section AMT Provisioning and Discovery Accounts, cliquez sur l’icône New.

E. Dans la boîte de dialogue AMT Provisioning and Discovery Accounts, spécifiez les éléments suivants :

Name : Entrez le nom du compte de configuration configuré dans les extensions BIOS. Password : Entrez le mot de passe configuré dans les extensions BIOS pour le compte de configuration.
Confirm Password : Entrez de nouveau le mot de passe pour le confirmer. Description : Vous pouvez éventuellement entrer une description vous permettant d’identifier le compte. Si vous devez configurer plusieurs comptes, cette description peut s’avérer particulièrement utile pour vous aider à déterminer quel compte est associé à quel ordinateur

image

F. Cliquez sur OK pour fermer la boîte de dialogue AMT Provisioning and Discovery Accounts.

G. Pour Configuration Manager 2007 SP2 uniquement : Cliquez sur l’onglet Provisioning Schedule si vous désirez configurer les ordinateurs AMT en intrabande, puis acceptez le calendrier par défaut de 1 jour, ou spécifiez le calendrier de votre choix

H. Cliquez sur 802.1x and Wireless, cocher la case Enable 802.1x authentication for wired network, puis Cliquez sur Set…

I. Dans la fenêtre 802.1x and Wireless Network Access Control, dans la section 802.1x authentication –> Server authentication, cliquez sur Select… et sélectionner votre autorité de certificats entreprise (CA) et cliquez sur OK pour valider

J. Dans section Client Authentication pour la section Client certificate template, cliquez sur Select… puis dans la fenêtre RADIUS Client Certificate Configuration, pour le champ: Radius client certificate template, sélectionner le modèle de certificat que vous avez créé à l’étape 2.2 de ce Tutorial (A savoir : Certificat d’authentification client 802.1x AMT ConfigMgr). Cliquez sur OK pour valider

image 

K. Cliquez sur OK pour fermer la fenêtre 802.1x and Wireless Network Access Control
image 

L. Cliquer sur l’onglet Audit Settings puis activer comme suit les options :

image 
M. Cliquez sur AMT Settings et paramétrer comme suit :

image 

Cliquez sur OK pour fermer la boîte de dialogue Out Of Band Management Properties

NOTE : Dans l’onglet 802.1x and Wireless, pour la section Wireless Profiles de la boîte de dialogue Out Of Band Management Properties, vous pourriez définir le profile Wireless à autoriser

image

Cf. le lien suivant pour prendre la meilleure décision :
Meilleures pratiques pour la sécurité de la gestion hors bande et informations de confidentialité

Step 4 – Comment configurer les ordinateurs pour AMT ?

4.1. Pour configurer des ordinateurs pour AMT à l’aide de la configuration intrabande automatique avec le client de Configuration Manager 2007 SP1 (ou version ultérieure)

Vous pouvez découvrir les ordinateurs équipés de contrôleurs de gestion (AMT) et créer un regroupement dédié à ces ordinateurs… Créer un regroupement à l’aide de la requête suivante :

Select SMS_R_System.* from SMS_R_System inner join
SMS_CM_RES_COLL_SMS00001 on SMS_CM_RES_COLL_SMS00001.ResourceId =
SMS_R_System.ResourceId where (AMTStatus = 1 or AMTStatus = 2) 
and SMS_CM_RES_COLL_SMS00001.IsApproved = 1 and
SMS_CM_RES_COLL_SMS00001.IsBlocked = 0

L’adhésion à ce regroupement comportera des ordinateurs dont l’état AMT est Détecté ou Non configuré s’ils sont également approuvés et non bloqués. L’état AMT Détecté signifie que vous devez spécifier un compte de configuration et de découverte AMT avant que la configuration ne se déroule correctement.

1. Cliquez avec le bouton droit sur le regroupement à configurer en intrabande, puis cliquez sur Modifier les paramètres du regroupement et sélectionnez Hors bande.

2. Sélectionnez Activer la configuration automatique de contrôleur de gestion hors bande, puis cliquez sur OK.

3. Surveiller l’avancement de la configuration.

4.2. Pour configurer des ordinateurs pour AMT à l’aide de la configuration hors bande automatique

Vérifier que les ordinateurs peuvent localiser un serveur de configuration. Vous disposez pour cela de plusieurs méthodes :

1. Spécifiez l’adresse IP du point de service hors bande comme serveur de configuration dans les extensions BIOS de l’ordinateur.

2. Configurez les ordinateurs pour qu’ils utilisent DNS lorsqu’ils peuvent résoudre le nom ServeurConfiguration à l’adresse IP du point de service hors bande

Pour Configuration Manager 2007 SP2 uniquement : À partir de Configuration des composants, veillez à ce que l’option Autoriser la préparation hors bande soit sélectionnée sous l’onglet Général de la boîte de dialogue Propriétés de gestion hors bande.

1. Cliquer avec le bouton droit sur Regroupements, puis cliquez sur Importer les ordinateurs hors bande

Pour Configuration Manager 2007 SP2 uniquement : À partir de Configuration des composants, veillez à ce que l’option Autoriser la préparation hors bande soit sélectionnée sous l’onglet Général de la boîte de dialogue Propriétés de gestion hors bande.

1. Cliquer avec le bouton droit sur Regroupements, puis cliquez sur Importer les ordinateurs hors bande. Suivre les instructions de l’Assistant.

2. Cliquer avec le bouton droit sur le regroupement sélectionné dans l’Assistant, cliquez sur Mise à jour de l’adhésion à un regroupement et sur OK, puis appuyez sur F5 pour afficher les ordinateurs importés.

3. Vérifier que le câble d’alimentation et la carte réseau sont connectés à l’ordinateur. Surveiller l’avancement de la configuration.

Step 5 – Comment découvrir les ordinateurs avec des contrôleurs de gestion ?

Pour configurer la découverte du réseau pour les contrôleurs de gestion
 

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de site /<nom du site>/ Paramètres du site / Méthodes de découverte.

2. Cliquez avec le bouton droit sur Découverte du réseau, puis cliquez sur Propriétés.

3. Dans l’onglet Général, sélectionnez Activer la découverte des contrôleurs de gestion hors bande.

4. Cliquez sur OK

Pour initier la découverte des ordinateurs équipés de contrôleurs de gestion pour un regroupement

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de l’ordinateur / Regroupements.

2. Cliquez avec le bouton droit sur le regroupement pour lequel vous voulez initier la découverte des contrôleurs de gestion, cliquez sur Gestion hors bande, puis sur Découvrir les contrôleurs de gestion.

3. Cliquez sur OK dans la boîte de dialogue de confirmation.

Pour initier la découverte d’ordinateurs sélectionnés équipés de contrôleurs de gestion

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de l’ordinateur / Regroupements.

2. À partir d’un des regroupements, sélectionnez une ou plusieurs ressources pour lesquelles vous voulez initier la découverte des contrôleurs de gestion. Cliquez ensuite avec le bouton droit et sélectionnez Gestion hors bande, puis cliquez sur Découvrir les contrôleurs de gestion.

3. Cliquez sur OK dans la boîte de dialogue de confirmation.

Step 6 – Exploitation – Comment configurer les paramètres du BIOS d’un ordinateur à l’aide de la gestion hors bande ?

6.1. Pour configurer les paramètres du BIOS d’un ordinateur à l’aide de la gestion hors bande

1. Connectez-vous à la ressource à l’aide de la console de gestion hors bande. Si besoin, vous pouvez remplacer le type d’émulation de terminal par défaut PC ANSI par VT-100 afin qu’il corresponde aux paramètres d’émulation de terminal du BIOS de l’ordinateur cible. Pour cela, cliquez sur Outils, Options, sélectionnez VT-100 puis cliquez sur OK.

2. Cliquez sur Connexion série. Pour Configuration Manager 2007 SP2 uniquement, cliquez sur le bouton Ouvrir une connexion série sur réseau local, puis sur Oui pour accuser réception de l’avertissement de déconnexion d’une connexion sans fil. Attendez que le menu de configuration du BIOS s’affiche.

3. Cliquez sur Contrôle de l’alimentation, puis sélectionnez l’option de configuration du BIOS dans la liste Option de démarrage.

4. Cliquez sur Mise sous tension si l’ordinateur est éteint ou sur Redémarrer l’ordinateur s’il est sous tension.

5. Cliquez dans la fenêtre vierge pour activer la session d’affichage à distance.

6. Consultez ou modifiez les paramètres du BIOS, puis enregistrez. Une fois la configuration du BIOS terminée, le fait de sélectionner l’option d’enregistrement des paramètres redémarre automatiquement l’ordinateur.

A. Une fois la gestion de l’ordinateur terminée, sélectionnez l’une des options suivantes :

B. Pour vous déconnecter de l’ordinateur et fermer la console de gestion hors bande, cliquez sur Fichier puis sur Quitter.

C. Pour vous déconnecter de l’ordinateur sans fermer la console de gestion hors bande, afin de pouvoir vous y reconnecter plus tard, cliquez sur Fichier, puis sur Se déconnecter.

Option – Comment enregistrer un alias dans DNS pour le point de service hors bande ?

N’activez pas cette option si le rôle du point de service hors bande n’est pas encore installé – Pour utiliser cette fonctionnalité, vous devez enregistrer dans DNS un enregistrement hôte (enregistrement A) pour le serveur de système de site du point de service hors bande.

Option.1. Pour enregistrer manuellement un alias dans DNS Microsoft

1. Dans la console DNS, développez le dossier des zones de recherche directe du serveur avec lequel vous souhaitez travailler.

2. Cliquez avec le bouton droit sur le domaine contenant le point de service hors bande, puis cliquez sur Nouvel alias (CNAME) .

3. Saisissez ProvisionServer ou l’autre nom dans le champ Nom de l’alias.

4. Dans le champ Nom de domaine complet (FQDN) pour l’hôte cible, saisissez le nom de domaine complet du système de site hébergeant le point de service hors bande ou accédez-y.

5. Cliquez sur OK

NOTE : Je vous conseille de déployer sur vos postes de travail, l’agent AMT disponible depuis le site d’Intel ou du contructeur “la Clé Bleue” (Blue Key) qui est ni plus ni moins que l’agent AMT qui sera piloté par l’agent SCCM

Enjoy !

Michel PICOLLET | EXAKIS Paris

Consultant Senior Microsoft [System Center]

mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , , , , , ,
%d blogueurs aiment cette page :