This is an old revision of the document!
Microsoft Endpoint Configuration Manager
2203, предварительные требования
Часть 1. Добавление системного контейнера
1. Через ADSI edit создать объект “System Management” типа “контейнер” внутри CN System.
2. Добавить в security созданного объекта - учетную запись компьютера, где будет установлен MECM. Дать ей full control.
3. В advanced найти добавленную учетку, кликнуть edit и в apply onto отметить: “This object and all descendant objects”.
Часть 2. Расширение схемы домена
Действия необходимо выполнять от имени пользователя, обладающего привилегиями Schema Admin.
1. В дистрибутиве MECM зайти в папку: \SMSSETUP\BIN\X64.
2. От админа выполнить: extadsch.exe. Если возникнут проблемы, лог процесса в файле: extadsch.log.
Часть 3. Групповые политики
1. Разрешить RDP для управляемых устройств:
Computer Configuration -> Admin Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections -> Allow users to connect remotely using Remote Desktop Services = Enabled
2. Разрешить RDP в firewall:
Computer Configuration -> Windows Settings -> Security Settings -> Windows Defender Firewall… -> Inbound Rules: Right Click New Rule -> Predefined: Remote Desktop
3. Разрешить ICMP по аналогии в firewall.
4. Также, после установки нужно создать правило, разрешающее подключение MECM к клиентским компьютерам. Для простоты можно резрешить любые входящие подключения. Материал, описывающий основные порты:
https://www.prajwaldesai.com/troubleshooting-sccm-client-push-error-0x800706ba/
5. Добавить группы, которые будет использовать MECM в локальные админы раб. станций и серверов.
Часть 4. Установка дополнительных фич, компонентов, программ
1. На котроллере домена установить из дистрибутива MECM: \SMSSETUP\BIN\X64\vcredist_x64.exe (вроде бы нужен для расширения схемы, но это не точно).
2. В некоторых статьях разворачивают CA. В моей тестовой инсталляции он уже был развернут с автоматическим энроллом сертификатов для компьютеров AD.
3. Нужно установить .NET Framework 4.8. В Windows Server 2022 он уже установлен.
4. Нужно установить .NET Framework 3.5. По умолчанию - не установлен.
5. Установить роль сервера IIS. Перечень фич, установленных на сервер в текстовом файле.
mecm-iis.txt
6. Установить BITS и его компонент для IIS:
[X] Background Intelligent Transfer Service (BITS) BITS Installed [X] IIS Server Extension BITS-IIS-Ext Installed
7. Установить Remote Differential Compression.
[X] Remote Differential Compression RDC Installed
8. Для создания шар - установить файловые службы и диспетчер ресурсов файлового менеджера.
[X] File and Storage Services FileAndStorage-Services Installed [X] File and iSCSI Services File-Services Installed [X] File Server FS-FileServer Installed [X] File Server Resource Manager FS-Resource-Manager Installed [X] Storage Services Storage-Services Installed
9. Полный список ролей и компонентов из тестовой лабы: installed_roles.txt
10. Установить ADK (для 2022-го сервера нужна была последняя версия, в остальных случаях нужно свериться с требованиями MS).
Требования MS: https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/configs/support-for-windows-adk
При установке ADK нужны только два компонента, которые отмечены на скрине: 
Так же обязательно нужно установить Windows PE add-on for ADK, иначе получим ошибку при установке MECM.
11. Для работы MECM в качестве primary site - нужен полноценный SQL-сервер (SQL Express подерживается только для secondary site). Из других требований к SQL: нужен компонент database engine и replication. Должен быть включен режим “Windows Authentication”. Сервер нужно устанавливать с дефолтным collation: SQL_Latin1_General_CP1_CI_AS
Службы SQL должны быть запущены либо от доменной учётки, либо от “Local System”, иначе при установке будет ошибка.
12. Для управления обновлениями - нужен поднятый WSUS-сервер.
При этом, WSUS-сервер стоит только установить, настройку и выбор компонентов с категориями для обновлений придётся снова проходить при настройке роли “Software Update Point” уже в самом MECM. Во время этой настройки - установки WSUS-сервера будут перезаписаны настройками из Configuration Manager.
Если для управления патчами будет использоваться MECM, указание и настройки WSUS в GPO использовать не нужно (а существующие нужно удалить).
13. Для подключения к клиентам с использованием Windows Remote Assistance - надо установить соответствующую фичу на сервере MECM.
14. Для работы с развертыванием образа нужно установить Windows Deployment Services. Впрочем, при включении этой опции в свойствах distribution point, данная роль установится автоматически. Конфигурировать в этой роли ничего за пределами MECM не нужно.
Часть 5. Другие настройки
1. На всех дисках сервера MECM, где не надо создавать библиотеку, требуется в корне диска создать специальный пустой файл, чтобы диски не выделялись под это. Имя файла:
NO_SMS_ON_DRIVE.SMS
2. В настройках IIS нужно прописать разрешения для расширения *.msi. Открываем IIS Manager, находим раздел “request filtering”, нажимаем в правой панели “Allow File Name Extension”, печатаем .msi.
Полезная информация
Гайд на 2103 под 2022 Server: https://petri.com/how-to-install-system-center-configuration-manager-2022/
Более старый тестовый деплой: https://www.recastsoftware.com/resources/building-a-configmgr-lab-from-scratch/
Утилита, автоматизирующая выполнение требований для SCCM (не проверена):
Возможные проблемы
Програмное обеспечение, которое задеплоили - не появляется в списке в Software Center
1. Проверить права на папку, из которой происходит деплой приложения.
2. Проверить таймзону на компьютере, куда деплоится программа. Сверить время с тем, которое укаазано в деплое.
Проблемы с PXE
Обязательно нужно настроить в свойствах в разделе boot image его разрядность и язык. Без этих настроек он не привязывался к distribution point (фигурировал только в общем разделе).
Некоторые legacy bios не грузятся, если на distribution point не настроено два образа (x86 и x64). Но к гипервизору HYPER-V это не относится.
Если MECM и DHCP находятся на разных серверах - никакие опции DHCP (60, 66, 67) настраивать НЕ НУЖНО.
HYPER-V Generation 2 виртуалка замечательно грузится с параметрами Secure boot с PXE, если SCCM настроен правильно.
Документ по решению проблем с PXE от MS:
https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/troubleshoot-pxe-boot-issues
Более сложных проблем:
https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/advanced-troubleshooting-pxe-boot
Траблшутинг проблем с клиентской установкой
Смотреть в лог-файл, находящийся в следующем месте:
C:\Program Files\Microsoft Configuration Manager\Logs\ccm.log