Konfiguracja serwera ConfigMgr I

Konfiguracja serwera Configuration Manager 2007

Po instalacji serwera ConfigMgr musimy go odpowiednio skonfigurować, tak aby mógł wykonywać swoje zadania. W trakcie instalacji serwera zostały wykonane następujące czynności:

  • instalacja serwera Site server,
  • instalacja roli serwera Management Point,
  • instalacja i konfiguracja roli serwerowej SMS Provider,
  • instalacja i konfiguracja roli serwera Database Server. Została również utworzona baza danych na wskazanym serwerze SQL. Domyślnie nazywa się ona SMS_<kod site’u>. nazwę ta możemy zmienić podczas instalacji,
  • instalacja konsoli zarządzającej na serwerze ConfigMgr.

Konfigurację ConfigMgr można podzielić na dwa etapy:

  • Konfiguracji środowiska ConfigMgr – Rozszerzenie schematu Active Directory. Nie jest to czynność konieczna do działania ConfigMgr. Jeśli istnieje możliwość rozszerzenia, warto z tego skorzystać, ponieważ dzięki temu system jest znacznie łatwiejszy
    do zarządzania. Ponadto informacje o ConfigMgr są przechowywane w bazie AD, co znacznie podnosi bezpieczeństwo systemu. Konfiguracja DNS (jeśli nie rozszerzamy schematu) – wpis w DNS pozwala klientom ConfigMgr odszukać informację na temat serwera Management Point.  Konfiguracja zasięgu działania systemu, poprzez ustawienie Boundaries. Instalacja konsoli administracyjnej ConfigMgr na stacji roboczej.
  • Przygotowanie ConfigMgr do pracy z agentami – Instalacja dwóch ról  serwerowych niezbędnnych do komunikacji
    z agentami: Distribution Point oraz Management Point. Włączenie odpowiednich Discovery Methods, w celu wyszukania obiektów, którymi będzie zarządzał ConfigMgr.

Konfiguracja Active Directory

Konfigurację AD zaczynamy od nadania prawa Full Control do kontenera System serwerowi, na którym zainstalowaliśmy ConfigMgr.
Można to zrobić za pomocą przystawki Users and Computers Active Directory. W przypadku struktury składającej się z wielu site’tów, musimy każdemu serwerowi ConfigMgr nadać te same prawa.

Kontener System jest widoczny po włączeniu opcji Advanced Features

Rysunek 1. Kontener System jest widoczny po włączeniu opcji Advanced Features.

Serwery ConfigMgr muszą posiadać prawo Full Control do kontenera System. Bez tego nie będzie on mógł stworzyć kontenera
System Management, w którym będzie zapisywana konfiguracja serwerów ConfigMgr.

Konto komputera serwera ConfigMgr musi mieć Full Control do kontenera System.
Rysunek 2. Konto komputera serwera ConfigMgr musi mieć Full Control do kontenera System.

Informacja o obiektach do których ma zastosowanie prawo Full Control.

Rysunek 3. Informacja o obiektach do których ma zastosowanie prawo Full Control.

Przy nadawania prawo Full Control musimy zadbać o wybranie opcji This object and all descendant objects. Gdy tego nie zrobimy serwera ConfigMgr nie będzie mógł stworzyć kontenera System Management.

Rozszerzenie schematu AD

Schemat rozszerzamy za pomocą programu extadsch.exe znajdującego się w katalogu \smssetup\bin\i386. Aby móc rozszerzyć
schemat ta komenda musi zostać uruchomiona przez użytkownika mającego prawa Schema Administrator. Poprawność działania programu sprawdzimy przeglądając plik ExtADSch.log, który jest zapisany w głównym katalogu dysku C komputera, na którym
został uruchomiony program.

W logu ExtADSch.log sprawdzamy poprawo?ć rozszerzenia schematu.
Rysunek 4. W logu ExtADSch.log sprawdzamy poprawość rozszerzenia schematu.

Poniższa tabelka omawia problemy i ich rozwiązanie wynikające z braku rozszerzenia schematu AD:

Funkcja

Rozszerzenie
schematu

Brak rozszerzenia schematu

Instalacja klientów oraz przydzielenie
do site’ów

Rekomendowane

Problem: Proces ccmsetup.exe, który instaluje agenta, nie jest w stanie odczytać
w AD informacji potrzebnych do automatycznej instalacji oraz przydzielenia klienta do domyślnego site’u.
Rozwiązanie: podczas instalacji agenta musimy zastosować przełączniki linii komend, aby podać brakujące dane.

Problem: Klienci nie mogą zlokalizować serwera Failback Status Point,
do którego raportują np. statusy instalacji.

Rozwiązanie: Podczas instalacji należy skorzystać z opcji ccmsetup /FSP.

Problem: Do pomyślnego przydzielenia klienta do sit’u jest potrzebny serwer Server Locator Point.

Rozwiązanie: Podczas instalacji należy skorzystać z opcji ccmsetup /SLP, oraz opublikować w DNS oraz WINS informacje na temat serwera Server Locator Point.

Ustawienia portów
do komunikacji
z Configuration Managerem

Rekomendowane

Problem: Jeśli po instalacji agenta na serwerze zmienimy domyślne porty na inne, agenci nie będą w stanie odczytać tej zmiany, co spowoduje brak komunikacji agenta z serwerem.

Rozwiązanie: Ponowna instalacja wszystkich agentów nie mogących się skomunikować, lub zmianę ustawień za pomocą skryptów.

Network Access Protection (NAP)

Wymagane

Problem: Serwer System Health Validator Point nie jest w stanie umieszczać
w Active Directory Domains Sercvices informacji dotyczących stanu zdrowia komputerów.

Rozwiązanie: brak

Roaming kleintów pomiędzy site’ami

Wymagane

Problem: Klient nie jest w stanie odszukać serwera Management Point
w siostrzanych site’ach, oraz w site’ach, które są wyżej w hierarchii
niż jego site macierzysty.

Rozwiązanie: brak

Zabezpieczenie komunikacji pomiędzy site’ami

Rekomendowane

Problem: Użycie Secure key Exchange do komunikacji pomiędzy site’ami jest wartością domyślną. Gdy schemat nie jest rozszerzony nie nastąpi automatyczna wymiana Secure key pomiędzy sit’ami.

Rozwiązanie: Użycie preinst.exe do ręcznej wymiany secure keys.

Weryfikacja autentyczności serwera Management Point

Rekomendowane

Problem: Gdy schemat nie jest rozszerzony agent ConfigMgr musi użyć Trusted root key, aby nawiązać bezpieczne połączenie z systemem.

Rozwiązanie: Podczas instalacji agenta należy skorzystać z przełącznika SMSROOTKEYPATH, aby podać ścieżkę do pliku zawierającego Trusted Root Key.

Rozwiązanie: W trybie natywnym klienci weryfikują połączenie
z serwerem Management Point, przy pomocy certyfikatów z PKI.

Odtwarzanie po awarii Primary Site, na którym zainstalowana
została rola serwera Management Point.

Rekomendowane

Problem: Jeśli nie mamy rozszerzonego schematu, to po odtworzeniu serwera primary site, który również był serwerem Management Point, agenci nie maja możliwości ponownego podłączenia się do serwera Management Point.

Rozwiązanie: Na wszystkich agentach należy skasować poprzedni Trusted root key,
a następnie ponownie zainstalować klienta wskazując mu nowy Trusted root key.

Rozszerzenie schematu powoduje zapisanie wszystkich potrzebnych informacji o ConfigMgr w bazie Active Directory. ConfigMgr automatycznie utworzy kontener System Management. Dane konfiguracyjne zostaną tutaj zapisane dopiero po włączeniu
opcji Publish this site in Active Directory Services.

Pulikacja site’u w Active Directory Services.

Rysunek 5. Pulikacja site’u w Active Directory Services.

Informacje o konfiguracji ConfigMgr składają się m.in z:

  • obiektu klasy Container SMS-Site-NWT – który definiuje nam w AD nazwę site’u (trzeci człon tej nazwy to jest trzyliterowy
    kod site’u, który wpisaliśmy podczas instalacji ConfigMgr),
  • obiektu klasy mSSMSManagementPoint SMS-MP-NWT-CONF – określającego, na którym serwerze jest domyślny Management Point.

Co jednak zrobić gdy nie możemy rozszerzyć schematu? Wskazane jest wtedy zainstalowanie dodatkowej roli serwera – Server
Locator Point. Rola ta jest również pomocna, gdy chcemy przy pomocy ConfigMgr obsługiwać komputery nie będące w domenie AD,
lub znajdujących się w innym zaufanym lesie domen. W takim wypadku pojawi się dodatkowy wpis:

  • obiekt klasy mSSMSServerlocatorPoint SMS-SLP-NWT-CONF – określający, na którym serwerze jest zainstalowana rola serwera Server Locator Point.

We wszystkich tych nazwach jest używany trzyliterowy kod site’u, który został wpisany podczas instalacji. Nie ma możliwości zmiany
kodu po zakończeni instalacji. Jedynym sposobem na zmiane kodu jest utworzenia site’u od początku.

Wpisy konfiguracyjne w kontenerze System.
Rysunek 6. Wpisy konfiguracyjne w kontenerze System.

Wpisy te są dynamicznie. Po zmianach konfiguracji np. dodaniu nowej roli serwerowej lub nowego serwera informacje zawarte
w System Management zostaną automatycznie zaktualizowane przez poszczególne serwery ConfigMgr.

Konfiguracja Domain Name System

Konfiguracji DNS możemy dokonać na dwa sposoby:

  • w konsoli DNS ręcznie dodając rekord SRV,
  • w konsoli ConfigMgr włączyć opublikowanie domyślnego serwera pełniącego rolę Management Point.

W konsoli wykorzystamy opcję Propierties.

Opcja Properties służąca do konfiguracji ustawień site’u.
Rysunek 7. Opcja Properties służąca do konfiguracji ustawień site’u.

W okienku Propierties wybieramy zakładkę Advanced i zaznaczmy opcję Publish the default management point in DNS
(intranet only).

Publikacja serwera ConfigMgr w usłudze DNS.
Rysunek 8. Publikacja serwera ConfigMgr w usłudze DNS.

Konfigurację DNS możemy sprawdzić w zakładce  <nazwa domeny>_tcp. Pojawi się tam nowy rekord SRV _mssms_mp_nwt.

Wpis SRV dla serwera ConfigMgr po zakończeniu konfiguracji Active Directory.
Rysunek 9. Wpis SRV dla serwera ConfigMgr po zakończeniu konfiguracji Active Directory.

Konfiguracja Boundaries

Przed rozpoczęciem instalacji klientów należy jeszcze skonfigurować serworowi zakres komputerów i urządzeń jakimi będzie on
zarządzać. Do tego służy opcja Boundaries. Można je wyznaczyć na podstawie zakresu IP, nazwy lokalizacji domeny, prefixu IPv6,
jak również zakresu adresów IP. Dzięki tym ustawieniom w prosty sposób przydzielamy klientów do poszczególnych site’ów ConfigMgr.

Ustawianie granic site’u. ConfigMgr

Rysunek 10. Ustawianie granic site’u ConfigMgr.

Ustawiając granicy należy pamiętać, aby każdy serwer ConfigMgr miał swoje oddzielne granice.

Instalacja konsoli zarządzającej ConfigMgr

ConfigMgr można zarządzać przy pomocy konsoli zarządzającej na dwa sposoby: bezpośrednio z serwera, oraz ze stacji klienckiej.
Muszą na stacji klienckiej być zainstalowane dwie poprawki:

  • program Microsoft Management Console 3.0 dla systemu Windows Server 2003/XP (KB907265)
  • aktualizacja dla systemu Windows Server 2003/XP (KB913538)

Proces instalacji jest prosty. Jedyną informacją potrzebną jest nazwa komputera zarządzającego ConfigMgr. Ważne: z konsoli
mogą skorzystać tylko użytkownicy mający prawo dostępu do bazy danych ConfigMgr poprzez serwer SMS Provider. Nie można zainstalować konsoli na komputerze nie będącym członkiem domey AD.

Aby skonfigurować taki dostęp musimy:

  • do lokalnej grupy SMS Admins dodać użytkowników, którzy mają mieć prawo dostępu do ConfigMgr poprzez konsolę.
  • nadać prawo Remote Activation. W tym celu uruchamiany Component Services, wybieramy Computers
    > My Computer, a potem Properties.

Wła?ciwo?ci Component Service
Rysunek 11. Właściwości Component Services

Na zakładce COM Security wybieramy Edit Limits w opcji Launch and Activation Permissions. Dodajemy grupę SMS Admins
i dajemy jej prawo Remote Activation.

Prawa nadajemy w opcjach Launch and Activation Permissions.
Rysunek 12. Prawa nadajemy w opcjach Launch and Activation Permissions.

Prawo Remote Activation nadajemy użytkownikom, którzy będą zdalnie administrować ConfigMgr

Rysunek 13. Prawo Remote Activation nadajemy użytkownikom, którzy będą zdalnie administrować ConfigMgr z komputerów osobistych.

Ważne: jeśli serwer SMS Provider został zainstalowany na serwerze nie pełniącym roli Site systems, operacje te musimy wykonać
na obydwu serwerach.

Konsola administracyjna ConfigMgr

Dalsze czynności konfiguracyjne będziemy już wykonywać poprzez konsolę zarządzającą. Uruchamiamy Start > All Programs
> Microsoft System Center > Configuration Manager > ConfigMgr Console. Konsola administracyjna serwera składa się
z trzech okien zaczynając od lewej: Console Tree, Detail Pane oraz Action Pane.

Zarządzanie oraz konfiguracja ConfigMgr zostały podzielone na pięć oddzielnych części:

  • Site Management – ustawienia dotyczące site’u i jego podrzędnych site’ów. Tutaj również będziemy włączać/wyłączać poszczególne funkcje ConfigMgr,
  • Computer Management – ustawienia dotyczące konfiguracji agentów ConfigMgr oraz zarządzanie zadaniami wykonywany
    przez ConfigMgr na klientach.
  • System Status – raporty m.in. o: statusie paczek z oprogramowaniem, statusach ogłoszeń tych paczek, statusach
    dotyczących serwera ConfigMgr wraz z statusami jego poszczególnych komponentów,
  • Security Rights – cześć dotycząca nadawania praw użytkownikom do wykonywania operacji na serwerze.
  • Tools – za pomocą ConfigMgr Service Manager obejrzymy statusy poszczególnych serwisów działających na serwerze
    jak również będziemy je mogli włączać/wyłączać.

Poprzez okienko Console Tree mamy dostęp do poszczególnych funkcji serwera.

Console Tree
Rysunek 14. Console Tree.

Detail Pane pokazuje nam już szczegóły dotyczące wybranego węzła w Console Tree.

Detail Pane

Rysunek 15. Detail Pane.

Actions Pane wyświetla konkretne akcje, które są skojarzone z wybranym węzłem w Console Tree.

Actions Pane

Rysunek 16. Actions Pane.

2012 © Jacek Doktór. Wszelkie prawa zastrzeżone.