Differences

This shows you the differences between two versions of the page.

--- microsoft_endpoint_configuration_manager [2022/08/12 16:19] – jp
+++ microsoft_endpoint_configuration_manager [2022/11/25 16:00] (current) – jp
@@ Line 1: / Line 1: @@
 ===== Microsoft Endpoint Configuration Manager =====
-==== 2203, предварительные требования ====
+;#;
+{{::mecm-768x415-1.jpg?direct&600|}}
+;#;
-**Часть 1. Добавление системного контейнера**
-. Через ADSI edit создать объект //"System Management"// типа "контейнер" внутри **CN System**. \\
+[[Предварительные требования и установка]]\\
+[[Microsoft Deployment Toolkit]]\\
-. Добавить в security созданного объекта - учетную запись компьютера, где будет установлен MECM. Дать ей full control. \\
+[[Деплой образов]]\\
+[[Деплой MS Office]]\\
-. В advanced найти добавленную учетку, кликнуть edit и в apply onto отметить: //"This object and all descendant objects"//. \\
+[[Решение проблем и отслеживание ошибок]]\\
+[[Сертификаты MECM]]\\
-**Часть 2. Расширение схемы домена**
-:!: //Действия необходимо выполнять от имени пользователя, обладающего привилегиями Schema Admin.//
-. В дистрибутиве MECM зайти в папку: \SMSSETUP\BIN\X64. \\
-. От админа выполнить: extadsch.exe. Если возникнут проблемы, лог процесса в файле: extadsch.log.
-** Часть 3. Групповые политики**
-. Разрешить RDP для управляемых устройств:
-   Computer Configuration -> Admin Templates -> Windows Components -> Remote Desktop Services ->
-   Remote Desktop Session Host -> Connections -> Allow users to connect remotely using Remote Desktop Services
-   = Enabled
-. Разрешить RDP в firewall:
-   Computer Configuration ->  Windows Settings -> Security Settings -> Windows Defender Firewall… ->
-   Inbound Rules: Right Click New Rule -> Predefined: Remote Desktop
-. Разрешить ICMP по аналогии в firewall.
-. Также, после установки нужно создать правило, разрешающее подключение MECM к клиентским компьютерам. Для простоты можно резрешить любые входящие подключения. Материал, описывающий основные порты:
-https://www.prajwaldesai.com/troubleshooting-sccm-client-push-error-0x800706ba/
-. Добавить группы, которые будет использовать MECM в локальные админы раб. станций и серверов.
-{{:gpo_add_user_admin.jpg?400|}}
-**Часть 4. Установка дополнительных фич, компонентов, программ**
-. На котроллере домена установить из дистрибутива MECM: \SMSSETUP\BIN\X64\vcredist_x64.exe (вроде бы нужен для расширения схемы, но это не точно).\\
-. В некоторых статьях разворачивают CA. В моей тестовой инсталляции он уже был развернут с автоматическим энроллом сертификатов для компьютеров AD.\\
-. Нужно установить .NET Framework 4.8. В Windows Server 2022 он уже установлен.\\
-. Нужно установить .NET Framework 3.5. По умолчанию - не установлен.\\
-. Установить роль сервера **IIS**. Перечень фич, установленных на сервер в текстовом файле.\\
-{{ :mecm-iis.txt |}}\\
-. Установить BITS и его компонент для IIS: \\
-   [X] Background Intelligent Transfer Service (BITS)      BITS                           Installed
-   [X] IIS Server Extension                                BITS-IIS-Ext                   Installed
-. Установить Remote Differential Compression. \\
-   [X] Remote Differential Compression                     RDC                            Installed
-. Для создания шар - установить файловые службы и диспетчер ресурсов файлового менеджера.\\
-   [X] File and Storage Services                           FileAndStorage-Services        Installed
-   [X] File and iSCSI Services                             File-Services                  Installed
-   [X] File Server                                         FS-FileServer                  Installed
-   [X] File Server Resource Manager                        FS-Resource-Manager            Installed
-   [X] Storage Services                                    Storage-Services               Installed
-. Полный список ролей и компонентов из тестовой лабы: {{ ::installed_roles.txt |}} \\
-. Установить ADK (для 2022-го сервера нужна была последняя версия, в остальных случаях нужно свериться с требованиями MS).\\
-Требования MS: https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/configs/support-for-windows-adk
-При установке ADK нужны только два компонента, которые отмечены на скрине: {{::update-windows-adk-on-sccm-server-snap12.jpg?400|}}
-:!: //Так же обязательно нужно установить Windows PE add-on for ADK, иначе получим ошибку при установке MECM.//
-. Для работы MECM в качестве primary site - нужен полноценный SQL-сервер (SQL Express подерживается только для secondary site). Из других требований к SQL: нужен компонент database engine и replication. Должен быть включен режим "Windows Authentication". Сервер нужно устанавливать с дефолтным collation: //SQL_Latin1_General_CP1_CI_AS//
-:!: //Службы SQL должны быть запущены либо от доменной учётки, либо от "Local System", иначе при установке будет ошибка.//
-. Для управления обновлениями - нужен поднятый WSUS-сервер.
-:!: //При этом, WSUS-сервер стоит только установить, настройку и выбор компонентов с категориями для обновлений придётся снова проходить при настройке роли "Software Update Point" уже в самом MECM. Во время этой настройки - установки WSUS-сервера будут перезаписаны настройками из Configuration Manager.//
-:!: // Если для управления патчами будет использоваться MECM, указание и настройки WSUS в GPO использовать не нужно (а существующие нужно удалить).//
-. Для подключения к клиентам с использованием Windows Remote Assistance - надо установить соответствующую фичу на сервере MECM.
-. Для работы с развертыванием образа нужно установить Windows Deployment Services. Впрочем, при включении этой опции в свойствах distribution point, данная роль установится автоматически. Конфигурировать в этой роли ничего за пределами MECM не нужно.
-**Часть 5. Другие настройки**
-. На всех дисках сервера MECM, где не надо создавать библиотеку, требуется в корне диска создать специальный пустой файл, чтобы диски не выделялись под это. Имя файла:
-   NO_SMS_ON_DRIVE.SMS
-. В настройках IIS нужно прописать разрешения для расширения *.msi. Открываем IIS Manager, находим раздел "request filtering", нажимаем в правой панели "Allow File Name Extension", печатаем .msi.\\
-**Полезная информация**
-Гайд на 2103 под 2022 Server: https://petri.com/how-to-install-system-center-configuration-manager-2022/ \\
-Более старый тестовый деплой: https://www.recastsoftware.com/resources/building-a-configmgr-lab-from-scratch/ \\
-Утилита, автоматизирующая выполнение требований для SCCM (не проверена):
-https://msendpointmgr.com/configmgr-prerequisites-tool/
-==== Возможные проблемы ====
-**Програмное обеспечение, которое задеплоили - не появляется в списке в Software Center**
-. Проверить права на папку, из которой происходит деплой приложения. \\
-. Проверить таймзону на компьютере, куда деплоится программа. Сверить время с тем, которое укаазано в деплое.
-**Проблемы с PXE**
-Обязательно нужно настроить в свойствах в разделе boot image его разрядность и язык. Без этих настроек он не привязывался к distribution point (фигурировал только в общем разделе).
-{{::boot_pxe.jpg?400|}}
-:!: Некоторые legacy bios не грузятся, если на distribution point не настроено два образа (x86 и x64). Но к гипервизору HYPER-V это не относится.
-:!: Если MECM и DHCP находятся на разных серверах - никакие опции DHCP (60, 66, 67) настраивать НЕ НУЖНО.
-:!: HYPER-V Generation 2 виртуалка замечательно грузится с параметрами Secure boot с PXE, если SCCM настроен правильно.
-Документ по решению проблем с PXE от MS:
-https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/troubleshoot-pxe-boot-issues
-Более сложных проблем:
-https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/advanced-troubleshooting-pxe-boot
-**Траблшутинг проблем с клиентской установкой**
-Смотреть в лог-файл, находящийся в следующем месте:
-   C:\Program Files\Microsoft Configuration Manager\Logs\ccm.log