Установка Microsoft Endpoint Configuration Manager (MECM/SCCM)
Microsoft Endpoint Configuration Manager (MECM), ранее известный как System Center Configuration Manager (SCCM), — это программное решение от Microsoft для управления серверами и рабочими станциями в больших средах Active Directory.
MECM обеспечивает инвентаризацию, распределение программного обеспечения, создание образов операционных систем, управление настройками и безопасностью.
Исходные данные:
- Active Directory
- Операционная система —
Windows Server 2022 Standard - Домен —
JAKONDO.LOCAL
- Операционная система —
- MECM
- Операционная система —
Windows Server 2022 Standard - Имя системы —
mecm.jakondo.local - Параметры системы —
8 Core, 16 Gb RAM, 100Gb Disk Space. - Версия Configuration Manager —
2403
- Операционная система —
Рассмотрим вариант развертывания Configuration Manager в роли Primary site как отдельный сайт, где компоненты Management point и Distribution point, а так же экземпляр SQL Server будут находится на одной машине.
Подготовка Active Directory
Самыми первыми шагами, необходимо подготовить Active Directory для развертывания Configuration Manager. Создание необходимых элементов в AD структуре, расширение схемы AD и создание служебных пользователей для дальнейшего функционирования Configuration Manager.
Создание контейнера в AD
Создание контейнера в AD для Configuration Manager (MECM). На контроллере домена откройте консоль ADSI Editor, щёлкните правой кнопкой мыши по узлу ADSI Edit и выберите Connect to.
В появившемся окне Connection Settings в секции Select a well known Naming Context выбираем Default naming context и нажимаем ОК.
Разверните Default naming context, затем доменное имя. Щелкните правой кнопкой мыши на CN=System и выберите New > Object.
В открывшемся мастере Create Object выберите container и нажимаем Далее.
В поле Value введите System Management, нажимаем Далее.
Нажмите Finish, чтобы закрыть мастер.
После создания контейнера, нужно настроить соответствующие разрешения безопасности, чтобы MECM мог публиковать в нём необходимые данные. Щёлкните правой кнопкой мыши по контейнеру System Management и выберите Properties.
На вкладке Security нажмите кнопку Add... и добавьте сервер MECM.
Предоставляем для добавленного сервера MECM полные права на контейнер System Management, установив флажок — Full Control.
Нажмите кнопку Advanced. В открывшемся окне Advanced Security Settings выберите добавленный сервер MECM, затем нажмите Edit.
В раскрывающемся списке Applies to выбираем — This object and all descendant objects. Нажмите ОК во всех окнах свойств, чтобы закрыть их и сохранить изменения.
Расширение схемы AD
Расширение схемы Active Directory, нужно для того чтобы Configuration Manager мог хранить информацию в Active Directory.
Schema AdminsЧтобы расширить схему AD, нам нужно подключить ISO-образ MECM к контроллеру домена, открыть командную строку от имени администратора и перейти в <Drive>:\SMSSETUP\BIN\X64. Запускаем extadsch.exe и через несколько секунд процесс расширения схемы завершится.
ExADSch.log в корневом каталоге диска C. В файле можно посмотреть, какие классы и атрибуты добавляются в схему.Создание учетных записей AD
Создадим следующие учетные записи:
svc.mecm— учётная запись, используемая Configuration Manager.svc.sqlsrv— учётная запись, используемая в качестве учётной записи службы SQL Server.
Учетную запись svc.mecm добавляем в группу безопасности Domain Admins для выполнения задач администрирования, таких как настройка инфраструктуры, управление клиентами, развертывание программного обеспечения, обновлений и операционных систем, а также мониторинг состояния устройств в сети.
svc.mecm не обязательно должна быть с правами доменного администратора, но она должна иметь доступ к нужным ресурсам, например:— разрешения в Active Directory для публикации информации.
— доступ к базе данных SQL для управления данными.
— доступ к файловым ресурсам для хранения контента.
Но если вы уверены что доступ к
svc.mecm будет ограниченный и установлен сложный пароль, будет вестись аудит действий выполняемых этой учётной записью, то проще конечно дать данной учетной записи домен админа, чем гранулярно делегировать права.Далее все действия будут производится на сервере mecm.jakonda.local.
Установка SQL-сервера
В моей конфигурации для версии Configuration Manager 2403 я будут использовать SQL Server 2022 Standard.
По окончании установки Configuration Manager измените режим совместимости базы данных на 150. В противном случае функциональность Configuration Manager будет с ошибками.
Установка полностью тривиальна, подробные шаги описывать не буду, а лишь подсвечу некоторые моменты на которые стоит обратить внимание в процессе установки.
Для Configuration Manager требуется только функция — Database Engine Services
В Service Accounts указываем запуск служб — SQL Server Agent, SQL Server Database Engine от имени учетной записи пользователя домена (которую создавали выше svc.sqlsrv), а не от имени локальной системы или сетевых служб.
Сортировка (Collation) для Configuration Manager должна быть указана — SQL_Latin1_General_CP1_CI_AS.
Если вы не укажете правильную сортировку, при установке Configuration Manager может возникнуть следующая ошибка:
На этапе конфигурации механизма аутентификации выбираю Windows Authentication mode и добавляю учетную запись svc.mecm в качестве администратора SQL Server.
Настроим SQL Server так, чтобы он использовал не более 80% памяти сервера. Если не ограничить этот параметр, SQL Server будет использовать столько памяти, сколько сможет, то есть всю. Для работы системы и Configuration Manager нужно оставить немного памяти, чтобы они могли выполнять свою работу.
Выбираю параметр Recommended и указываю значение 12Gb, от общего объема доступной памяти на сервере в 16Gb.
SQL Server Management Studio
Для удобства дальнейшего управления SQL Server можно установить SQL Server Management Studio (SSMS), скачав его с оф. сайта — https://learn.microsoft.com/en-us/sql/ssms/download-sql-server-management-studio-ssms?view=sql-server-2017
Установка ролей и функции
Далее на сервере установим необходимые роли — веб-сервер (IIS), WSUS и некоторые функции (.NET Framework 3.5, BITS).
Откройте Server Manager и нажмите Manage > Add Roles and Features
В разделе Server Roles установите флажки Web Server (IIS) и Windows Server Update Services, нажмите Next.
В разделе Features выберите .NET Framework 3.5 Features, Background Intelligent Transfer Service (BITS), Remote Differential Compression, нажмите Next.
В разделе Web Server Role (IIS) > Role Services прокрутите вниз, разверните Management Tools > IIS 6 Management Compatibility затем установите флажок IIS 6 WMI Compatibility, нажмите Next.
В разделе WSUS > Role Services снимите флажок с WID Connectivity и установите его на SQL Server Connectivity, нажмите Next.
В разделе WSUS > Content указываем WSUS, где хранить обновления, нажмите Next.
MECM Distribution Point.
В разделе WSUS > DB Instance указываем имя SQL Server для создания базы данных WSUS, нажмите Next.
Нажмите кнопку Install для установки всех выбранных ролей и функций.
После завершения установки, нажмите на Launch post-installations tasks для завершения WSUS после установки.
Установка Windows ADK и WinPE
Windows ADK— это набор инструментов, предназначенный для создания образов загрузки, развёртывания операционных систем, и управления оборудованием.WinPE (Windows Preinstallation Environment)— входит в состав ADK и служит минимальной ОС для выполнения задач подготовки, установки и восстановления Windows.
Windows ADK и WinPE.Скачать последнюю версию Windows ADK — https://learn.microsoft.com/en-us/windows-hardware/get-started/adk-install.
Windows ADK
Установка тривиальная. Запустите adksetup.exe, в разделе Specify Location оставьте значение по умолчанию и нажмите Next.
В разделе Select the features you want to install для Configuration Manager выберем следующее:
| Deployment Tools | Инструменты для автоматизации установки Windows. |
| Imagine And Configuration Designer (ICD) | Средство для быстрого создания образов Windows и настройки устройств. Подходит для применения настроек, приложений и драйверов на этапах подготовки устройств. |
| Configuration Designer | Используется для создания пакетов конфигурации, которые можно применять без необходимости перепаковки образов. |
| User State Migration Tool (USMT) | Набор инструментов для миграции данных пользователей (профили, файлы и настройки) при обновлении или замене устройств. Поддерживает корпоративные сценарии массовой миграции. |
После выбора компонентов для установки нажмите кнопку Установить.
По завершению установки нажмите Close, чтобы завершить установку.
Windows PE
Установка тривиальная. Запустите adkwinpesetup.exe, в разделе Specify Location оставьте значение по умолчанию и нажмите Next.
В разделе Select the features you want to install, только один выбор, среда предустановки Windows (Windows PE). Нажмите Install.
Установка Windows PE завершена. Нажмите Close.
Установка драйвера ODBC для SQL Server
Начиная с версии 2309, для Configuration Manager требуется установка драйвера ODBC для SQL Server. Скачайте — ODBC Driver for SQL Server и установите.
Установка SQL Native client
Так же для Configuration Manager требуется установленный SQL Native client 2012 Native Client. Скачайте — Microsoft SQL Server 2012 Native Client и установите.
Настройка брандмауэра Windows
Ниже основные порты, которые необходимо открыть для взаимодействия с Configuration Manager.
TCP 1433– SQL Server (для взаимодействия между серверами MECM и CAS).TCP 4022– SQL Server Service Broker.TCP 445– SMB (распространение контента).TCP 80/443– HTTP/HTTPS (для управления клиентами, DP, MP).TCP/UDP 135– RPC.TCP 8530/8531– WSUS (HTTP/HTTPS).UDP 67/68– DHCP (PXE-загрузка).UDP 69– TFTP (для PXE).TCP 10123– State Migration Point.TCP 2701– Remote Control (по умолчанию).
Добавить правила в брандмауэр Windows можно PowerShell-командами.
# Открытие портов TCP
New-NetFirewallRule -DisplayName "MECM_TCP_1433" -Direction Inbound -Protocol TCP -LocalPort 1433 -Action Allow
New-NetFirewallRule -DisplayName "MECM_TCP_4022" -Direction Inbound -Protocol TCP -LocalPort 4022 -Action Allow
New-NetFirewallRule -DisplayName "MECM_TCP_445" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Allow
New-NetFirewallRule -DisplayName "MECM_TCP_80" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
New-NetFirewallRule -DisplayName "MECM_TCP_443" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow
New-NetFirewallRule -DisplayName "MECM_TCP_8530" -Direction Inbound -Protocol TCP -LocalPort 8530 -Action Allow
New-NetFirewallRule -DisplayName "MECM_TCP_8531" -Direction Inbound -Protocol TCP -LocalPort 8531 -Action Allow
New-NetFirewallRule -DisplayName "MECM_TCP_10123" -Direction Inbound -Protocol TCP -LocalPort 10123 -Action Allow
New-NetFirewallRule -DisplayName "MECM_TCP_2701" -Direction Inbound -Protocol TCP -LocalPort 2701 -Action Allow
# Открытие портов UDP
New-NetFirewallRule -DisplayName "MECM_UDP_135" -Direction Inbound -Protocol UDP -LocalPort 135 -Action Allow
New-NetFirewallRule -DisplayName "MECM_UDP_67" -Direction Inbound -Protocol UDP -LocalPort 67 -Action Allow
New-NetFirewallRule -DisplayName "MECM_UDP_68" -Direction Inbound -Protocol UDP -LocalPort 68 -Action Allow
New-NetFirewallRule -DisplayName "MECM_UDP_69" -Direction Inbound -Protocol UDP -LocalPort 69 -Action Allow
Проверка необходимых условий
Чтобы запустить средство проверки готовности и выполнить все проверки готовности на сервере, откройте командную строку от имени администратора и перейти в <Drive>:\SMSSETUP\BIN\X64 и выполните следующую команду:
prereqchk.exe /LOCALРезультат успешного прохождения всех тестов и готовности к развертыванию Configuration Manger будет как на картинке ниже.
Установка Configuration Manager
После настройки всех предварительных требований, проделанных выше, можно приступать к установке Configuration Manager.
В корне смонтированного ISO-образа и запустите установщик — splash.hta. После запуска установщика, нажмите Install.
Нажимаем Next.
Выбираем тип установки. Мы разворачиваем Primary Site, поэтому оставляем вариант по умолчанию Install a Configuration Manager primary site. Флажок Use typical installation options for a stand-alone primary site не ставлю. Нажимаем Next.
Указываем тип лицензирования. Нажимаем Next.
Принимаем лицензионные соглашения и нажимаем Next.
Для продолжения установки, необходимо загрузить необходимые файлы, для этого нужно указать путь куда будет выполнена их загрузка. Нажимаем Next.
В разделе Server Language Selection мы можем установить дополнительные языки для сервера Configuration Manager. Нажимаем Next.
В разделе Client Language Selection мы можем установить дополнительные языки для клиентов Configuration Manager. Нажимаем Next.
В разделе Site and Installation Settings введите 3-значный код сайта и название сайта, которое будет отображаться в консоли Configuration Manager.
AUX, CON, NUL, PRN, SMS, ENV, так как они зарезервированы для Configuration Manager.
В нашем случае, мы разворачиваем Primary site как отдельный сайт, поэтому выбираем — Install the primary site as a stand-alone site.
В разделе Database Information, указываем FQDN имя экземпляра SQL Server и желаемое имя базы данных для Configuration Manager.
Далее можно изменить расположение базы данных и файлов журналов Configuration Manager на экземпляре SQL Server. К примеру можно вынести базу данных и файл журнала на отдельный диск.
Я оставляю все по-умолчанию. Нажимаем Next.
Ничего не изменяем. Нажимаем Next.
Выбираем вариант настройки метода связи для каждой роли системы сайта в Configuration Manager — Configure the communication method on each site site role.
В разделе Site System Roles оставляем значения по-умолчанию, установку ролей Management point и Distribution point на данном сервере.
Нажимаем Next.
Можно на этапе установки Configuration Manager, проверить наличие актуальных обновлений и скачивания их при их наличии. Я оставляю выбор по-умолчанию. Нажимаем Next.
В разделе Settings Summary, представлена сводка всех настроек указанных в предыдущих шагах. Нажимаем Next.
В разделе Prerequisite Check, будет выполнена контрольная проверка всех условий для установки Configuration Manager. В случае если никаких проблем не обнаружено, то нажимаем Begin Install.
В зависимости от конфигурации системы установка может занять от 40 до 90 минут, в конце вы должны увидеть сообщение об успешном завершении.
В меню пуск можно найти консоль управления Configuration Manager.
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ
Обсуждение
Нет комментариев.