===== Microsoft Endpoint Configuration Manager =====

==== 2203, предварительные требования ====

**Часть 1. Добавление системного контейнера**

1. Через ADSI edit создать объект //"System Management"// типа "контейнер" внутри **CN System**. \\

2. Добавить в security созданного объекта - учетную запись компьютера, где будет установлен MECM. Дать ей full control. \\

3. В advanced найти добавленную учетку, кликнуть edit и в apply onto отметить: //"This object and all descendant objects"//. \\

**Часть 2. Расширение схемы домена**

:!: //Действия необходимо выполнять от имени пользователя, обладающего привилегиями Schema Admin.//

1. В дистрибутиве MECM зайти в папку: \SMSSETUP\BIN\X64. \\
2. От админа выполнить: extadsch.exe. Если возникнут проблемы, лог процесса в файле: extadsch.log.

** Часть 3. Групповые политики**

1. Разрешить RDP для управляемых устройств:

   Computer Configuration -> Admin Templates -> Windows Components -> Remote Desktop Services -> 
   Remote Desktop Session Host -> Connections -> Allow users to connect remotely using Remote Desktop Services
   = Enabled  
2. Разрешить RDP в firewall:

   Computer Configuration ->  Windows Settings -> Security Settings -> Windows Defender Firewall… -> 
   Inbound Rules: Right Click New Rule -> Predefined: Remote Desktop  
3. Разрешить ICMP по аналогии в firewall.

4. Также, после установки нужно создать правило, разрешающее подключение MECM к клиентским компьютерам. Для простоты можно резрешить любые входящие подключения. Материал, описывающий основные порты:

https://www.prajwaldesai.com/troubleshooting-sccm-client-push-error-0x800706ba/

5. Добавить группы, которые будет использовать MECM в локальные админы раб. станций и серверов.

;#;
{{:gpo_add_user_admin.jpg?400|}}
;#;

**Часть 4. Установка дополнительных фич, компонентов, программ**

1. На котроллере домена установить из дистрибутива MECM: \SMSSETUP\BIN\X64\vcredist_x64.exe (вроде бы нужен для расширения схемы, но это не точно).\\

2. В некоторых статьях разворачивают CA. В моей тестовой инсталляции он уже был развернут с автоматическим энроллом сертификатов для компьютеров AD.\\

3. Нужно установить .NET Framework 4.8. В Windows Server 2022 он уже установлен.\\

4. Нужно установить .NET Framework 3.5. По умолчанию - не установлен.\\

5. Установить роль сервера **IIS**. Перечень фич, установленных на сервер в текстовом файле.\\
{{ :mecm-iis.txt |}}\\

6. Установить BITS и его компонент для IIS: \\

   [X] Background Intelligent Transfer Service (BITS)      BITS                           Installed
   [X] IIS Server Extension                                BITS-IIS-Ext                   Installed
7. Установить Remote Differential Compression. \\

   [X] Remote Differential Compression                     RDC                            Installed   
8. Для создания шар - установить файловые службы и диспетчер ресурсов файлового менеджера.\\ 

   [X] File and Storage Services                           FileAndStorage-Services        Installed
   [X] File and iSCSI Services                             File-Services                  Installed
   [X] File Server                                         FS-FileServer                  Installed
   [X] File Server Resource Manager                        FS-Resource-Manager            Installed
   [X] Storage Services                                    Storage-Services               Installed

9. Полный список ролей и компонентов из тестовой лабы: {{ ::installed_roles.txt |}} \\

10. Установить ADK (для 2022-го сервера нужна была последняя версия, в остальных случаях нужно свериться с требованиями MS).\\

Требования MS: https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/configs/support-for-windows-adk

При установке ADK нужны только два компонента, которые отмечены на скрине: ;#;
{{::update-windows-adk-on-sccm-server-snap12.jpg?400|}}
;#;


:!: //Также обязательно нужно установить Windows PE add-on for ADK, иначе получим ошибку при установке MECM.//

:!: //ADK и Windows PE add-on ОБЯЗАТЕЛЬНО должны быть одной и той же версии, иначе есть шанс, что будет ошибка при развёртывании образа - перезагрузка после начала установки системы из образа.//

11. Для работы MECM в качестве primary site - нужен полноценный SQL-сервер (SQL Express подерживается только для secondary site). Из других требований к SQL: нужен компонент database engine и replication. Должен быть включен режим "Windows Authentication". Сервер нужно устанавливать с дефолтным collation: //SQL_Latin1_General_CP1_CI_AS//

:!: //Службы SQL должны быть запущены либо от доменной учётки, либо от "Local System", иначе при установке будет ошибка.//

12. Для управления обновлениями - нужен поднятый WSUS-сервер.

:!: //При этом, WSUS-сервер стоит только установить, настройку и выбор компонентов с категориями для обновлений придётся снова проходить при настройке роли "Software Update Point" уже в самом MECM. Во время этой настройки - установки WSUS-сервера будут перезаписаны настройками из Configuration Manager.//

:!: //При выборе базы данных, если полноценный (не WID) SQL-сервер установлен локально - надо указать его имя без указания инстанса, иначе будет ошибка подключения.//

:!: // Если для управления патчами будет использоваться MECM, указание и настройки WSUS в GPO использовать не нужно (а существующие нужно удалить).//

13. Для подключения к клиентам с использованием Windows Remote Assistance - надо установить соответствующую фичу на сервере MECM.

14. Для работы с развертыванием образа нужно установить Windows Deployment Services. Впрочем, при включении этой опции в свойствах distribution point, данная роль установится автоматически. Конфигурировать в этой роли ничего за пределами MECM не нужно.

**Часть 5. Другие настройки**

1. На всех дисках сервера MECM, где не надо создавать библиотеку, требуется в корне диска создать специальный пустой файл, чтобы диски не выделялись под это. Имя файла:

   NO_SMS_ON_DRIVE.SMS
2. В настройках IIS нужно прописать разрешения для расширения *.msi. Открываем IIS Manager, находим раздел "request filtering", нажимаем в правой панели "Allow File Name Extension", печатаем .msi.\\

**Полезная информация**

Гайд на 2103 под 2022 Server: https://petri.com/how-to-install-system-center-configuration-manager-2022/ \\
Более старый тестовый деплой: https://www.recastsoftware.com/resources/building-a-configmgr-lab-from-scratch/ \\

Утилита, автоматизирующая выполнение требований для SCCM (не проверена):

https://msendpointmgr.com/configmgr-prerequisites-tool/

==== Возможные проблемы ====

**Програмное обеспечение, которое задеплоили - не появляется в списке в Software Center**

1. Проверить права на папку, из которой происходит деплой приложения. \\
2. Проверить таймзону на компьютере, куда деплоится программа. Сверить время с тем, которое укаазано в деплое.

**Проблемы с PXE**

Обязательно нужно настроить в свойствах в разделе boot image его разрядность и язык. Без этих настроек он не привязывался к distribution point (фигурировал только в общем разделе).

;#;
{{::boot_pxe.jpg?400|}}
;#;

:!: Некоторые legacy bios не грузятся, если на distribution point не настроено два образа (x86 и x64). Но к гипервизору HYPER-V это не относится.

:!: Если MECM и DHCP находятся на разных серверах - никакие опции DHCP (60, 66, 67) настраивать НЕ НУЖНО.

:!: HYPER-V Generation 2 виртуалка замечательно грузится с параметрами Secure boot с PXE, если SCCM настроен правильно.

Документ по решению проблем с PXE от MS: 

https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/troubleshoot-pxe-boot-issues

Более сложных проблем: 

https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/advanced-troubleshooting-pxe-boot

**Траблшутинг проблем с клиентской установкой**

Смотреть в лог-файл, находящийся в следующем месте:

   C:\Program Files\Microsoft Configuration Manager\Logs\ccm.log   
{{tag>Microsoft MECM WindowsServer PowerShell SCCM WSUS IIS ActiveDirectory}}