jpolisher's IT-wiki

Часть 1. Добавление системного контейнера

1. Через ADSI edit создать объект “System Management” типа “контейнер” внутри CN System.

2. Добавить в security созданного объекта - учетную запись компьютера, где будет установлен MECM. Дать ей full control.

3. В advanced найти добавленную учетку, кликнуть edit и в apply onto отметить: “This object and all descendant objects”.

Часть 2. Расширение схемы домена

Действия необходимо выполнять от имени пользователя, обладающего привилегиями Schema Admin.

1. В дистрибутиве MECM зайти в папку: \SMSSETUP\BIN\X64.
2. От админа выполнить: extadsch.exe. Если возникнут проблемы, лог процесса в файле: extadsch.log.

Часть 3. Групповые политики

1. Разрешить RDP для управляемых устройств:

 Computer Configuration -> Admin Templates -> Windows Components -> Remote Desktop Services -> 
 Remote Desktop Session Host -> Connections -> Allow users to connect remotely using Remote Desktop Services
 = Enabled  

2. Разрешить RDP в firewall:

 Computer Configuration ->  Windows Settings -> Security Settings -> Windows Defender Firewall… -> 
 Inbound Rules: Right Click New Rule -> Predefined: Remote Desktop  

3. Разрешить ICMP по аналогии в firewall.

4. Также, после установки нужно создать правило, разрешающее подключение MECM к клиентским компьютерам. Для простоты можно резрешить любые входящие подключения. Материал, описывающий основные порты:

https://www.prajwaldesai.com/troubleshooting-sccm-client-push-error-0x800706ba/

5. Добавить группы, которые будет использовать MECM в локальные админы раб. станций и серверов.

Часть 4. Установка дополнительных фич, компонентов, программ

1. На котроллере домена установить из дистрибутива MECM: \SMSSETUP\BIN\X64\vcredist_x64.exe (вроде бы нужен для расширения схемы, но это не точно).

2. В некоторых статьях разворачивают CA. В моей тестовой инсталляции он уже был развернут с автоматическим энроллом сертификатов для компьютеров AD.

3. Нужно установить .NET Framework 4.8. В Windows Server 2022 он уже установлен.

4. Нужно установить .NET Framework 3.5. По умолчанию - не установлен.

5. Установить роль сервера IIS. Перечень фич, установленных на сервер в текстовом файле.
mecm-iis.txt

6. Установить BITS и его компонент для IIS:

 [X] Background Intelligent Transfer Service (BITS)      BITS                           Installed
 [X] IIS Server Extension                                BITS-IIS-Ext                   Installed

7. Установить Remote Differential Compression.

 [X] Remote Differential Compression                     RDC                            Installed   

8. Для создания шар - установить файловые службы и диспетчер ресурсов файлового менеджера.

 [X] File and Storage Services                           FileAndStorage-Services        Installed
 [X] File and iSCSI Services                             File-Services                  Installed
 [X] File Server                                         FS-FileServer                  Installed
 [X] File Server Resource Manager                        FS-Resource-Manager            Installed
 [X] Storage Services                                    Storage-Services               Installed

9. Полный список ролей и компонентов из тестовой лабы: installed_roles.txt

10. Установить ADK (для 2022-го сервера нужна была последняя версия, в остальных случаях нужно свериться с требованиями MS).

Требования MS: https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/configs/support-for-windows-adk

При установке ADK нужны только два компонента, которые отмечены на скрине:

Также обязательно нужно установить Windows PE add-on for ADK, иначе получим ошибку при установке MECM.

ADK и Windows PE add-on ОБЯЗАТЕЛЬНО должны быть одной и той же версии, иначе есть шанс, что будет ошибка при развёртывании образа - перезагрузка после начала установки системы из образа.

11. Для работы MECM в качестве primary site - нужен полноценный SQL-сервер (SQL Express подерживается только для secondary site). Из других требований к SQL: нужен компонент database engine и replication. Должен быть включен режим “Windows Authentication”. Сервер нужно устанавливать с дефолтным collation: SQL_Latin1_General_CP1_CI_AS

Службы SQL должны быть запущены либо от доменной учётки, либо от “Local System”, иначе при установке будет ошибка.

12. Для управления обновлениями - нужен поднятый WSUS-сервер.

При этом, WSUS-сервер стоит только установить, настройку и выбор компонентов с категориями для обновлений придётся снова проходить при настройке роли “Software Update Point” уже в самом MECM. Во время этой настройки - установки WSUS-сервера будут перезаписаны настройками из Configuration Manager.

При выборе базы данных, если полноценный (не WID) SQL-сервер установлен локально - надо указать его имя без указания инстанса, иначе будет ошибка подключения.

Если для управления патчами будет использоваться MECM, указание и настройки WSUS в GPO использовать не нужно (а существующие нужно удалить).

13. Для подключения к клиентам с использованием Windows Remote Assistance - надо установить соответствующую фичу на сервере MECM.

14. Для работы с развертыванием образа нужно установить Windows Deployment Services. Впрочем, при включении этой опции в свойствах distribution point, данная роль установится автоматически. Конфигурировать в этой роли ничего за пределами MECM не нужно.

Часть 5. Другие настройки

1. На всех дисках сервера MECM, где не надо создавать библиотеку, требуется в корне диска создать специальный пустой файл, чтобы диски не выделялись под это. Имя файла:

 NO_SMS_ON_DRIVE.SMS

2. В настройках IIS нужно прописать разрешения для расширения *.msi. Открываем IIS Manager, находим раздел “request filtering”, нажимаем в правой панели “Allow File Name Extension”, печатаем .msi.

Полезная информация

Гайд на 2103 под 2022 Server: https://petri.com/how-to-install-system-center-configuration-manager-2022/
Более старый тестовый деплой: https://www.recastsoftware.com/resources/building-a-configmgr-lab-from-scratch/

Утилита, автоматизирующая выполнение требований для SCCM (не проверена):

https://msendpointmgr.com/configmgr-prerequisites-tool/

Програмное обеспечение, которое задеплоили - не появляется в списке в Software Center

1. Проверить права на папку, из которой происходит деплой приложения.
2. Проверить таймзону на компьютере, куда деплоится программа. Сверить время с тем, которое укаазано в деплое.

Проблемы с PXE

Обязательно нужно настроить в свойствах в разделе boot image его разрядность и язык. Без этих настроек он не привязывался к distribution point (фигурировал только в общем разделе).

Некоторые legacy bios не грузятся, если на distribution point не настроено два образа (x86 и x64). Но к гипервизору HYPER-V это не относится.

Если MECM и DHCP находятся на разных серверах - никакие опции DHCP (60, 66, 67) настраивать НЕ НУЖНО.

HYPER-V Generation 2 виртуалка замечательно грузится с параметрами Secure boot с PXE, если SCCM настроен правильно.

Документ по решению проблем с PXE от MS:

https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/troubleshoot-pxe-boot-issues

Более сложных проблем:

https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/advanced-troubleshooting-pxe-boot

Траблшутинг проблем с клиентской установкой

Смотреть в лог-файл, находящийся в следующем месте:

 C:\Program Files\Microsoft Configuration Manager\Logs\ccm.log