Главная System Center, Новое Развертывание клиентов SCCM 2007 в Native Mode
  • Развертывание клиентов SCCM 2007 в Native Mode

    .2009

    Редакция: 2

    Развертывание клиентов SCCM 2007 в Native Mode

    Опубликовано: Август 2010

    Владислав Артюков

    Vladislav@Artukov.com


    В данной статье описано развертывание клиентов и активация режима Native Mode для MS System Center Configuration Manager 2007 на платформе MS Windows Server 2008. Развертывание клиентов выполняется двумя способами:

    · Ручной.

    · Client Push Installation (Принудительная установка клиента)

    1 Документ опубликован на itcommunity.ru
    2 ConfigMgr на платформе MS Windows Server 2008 R2


    Введение. 2

    История. 2

    Содержание. 3

    Функциональность в режимах Intranet и Internet. 5

    Источники. 5

    Общая информация. 6

    Сайт ConfigMgr в режиме Native Mode. 8

    Корневой сертификат. 8

    Проверка ConfigMgr-сайта в Mixed Mode. 8

    Запрос и установка сертификата клиента. 10

    Создание шаблона сертификата для подписи политики. 13

    Создание шаблона сертификата для веб-сервера. 19

    Запрос и установка сертификата для подписи политики. 21

    Запрос и установка сертификата для веб-сервера. 25

    Связывание сертификата с веб-сервером... 27

    Активация Native mode. 29

    Проверка активации Native mode. 30

    Активация поддержки Internet и Intranet клиентов ConfigMgr. 33

    Активация автоматического запроса сертификата клиента. 35

    Фильтрация для групповой политики Autoenroll Certificates. 36

    Ручная установка клиента ConfigMgr в Native mode. 37

    Развертывание клиента методом Client Push Installation в Native Mode. 41

    Подготовьте ConfigMgr. 41

    Подготовьте групповую политику для Client Push Installation. 41

    Подготовьте управляемую рабочую станцию... 43

    Запустите развертывание в консоли ConfigMgr. 43

    Подключите управляемый компьютер к Internet. 47

    Более безопасные процедуры... 49

    Создание шаблона сертификата для подписи политики. 49

    Запрос и установка сертификата для подписи политики. 52

    Устранение неисправностей. 57

    В сертификате ошибка в поле CN... 57

    Неизвестный сертификат в консоли ConfigMgr. 58

    Сайт не выходит на режим Native. 60

    Типовые процедуры... 62

    Сконфигурируйте публикации сайта. 62

    Сконфигурируйте границы сайта Configuration Manager. 62

    Создайте учетную запись CMClientPush. 62

    Сконфигурируйте учетную запись для Client Push Installation. 63

    Активируйте Active Directory System Discovery. 64

    Запустите консоль Certificates (Local computer). 64

    Выберите сертификат для веб-сервера. 65


    ConfigMgr позволяет (хотя и не полностью) сохранять контроль над компьютерами даже в том случае, если они находятся где-то в Internet – дома или в командировке.

    Преимущества:

    · Клиент ConfigMgr самостоятельно переключается из режима Intranet в режим Internet, и обратно.

    · Клиент общается с сервером по защищенному протоколу HTTPS (роли Management Point, Distribution Point и Software Update Point). Лишь для обмена с ролью Fallback Status Point используется HTTP.

    · Не требуется VPN-соединение с сетью предприятия.

    · Политика для клиента подписывается сертификатом сервера ConfigMgr, что исключает подделку политики.

    · Дополнительная информация в TechNet по ссылке (En)
    http://technet.microsoft.com/en-us/library/bb632573.aspx

    Недостатки

    · Для режима Native необходима PKI-инфраструктура, построенная Enterprise-редакции MS Windows Server 2008.

    · Функционал клиента в режиме Internet ограничен. Для получения дополнительной информации пройдите по ссылке (En)
    http://technet.microsoft.com/en-us/library/bb693755.aspx

    · How to Migrate the Site Mode from Mixed Mode to Native Mode
    http://technet.microsoft.com/en-us/library/bb633152.aspx


    Представленные в статье компьютеры являются виртуальными (на платформе MS Hyper-V). Описанные в статье процедуры можно выполнять (полностью или частично) как на другой платформе виртуализации, так и на физических компьютерах.

    · Windows-домен находится в инфраструктуре «один лес, один домен».

    · Удостоверяющий центр работает на контроллере домена (развертывание УЦ описано в моей статье Развертывание удостоверяющего центра на Windows 2008). В редакции Windows Server 2008 Standard недоступна опция Duplicate Template, именно поэтому для УЦ используется редакция Enterprise.

    · Схема Active Directory расширена для нужд ConfigMgr.

    · Единственный ConfigMgr-cайт работает в режиме Mixed благодаря одному серверу ConfigMgr.

    Сайт ConfigMgr и сайт Active Directory – разные сайты. Во избежание путаницы в статье употребляется термин ConfigMgr-сайт.

    Несколько странно, что в меню Start консоль называется ConfigMgr Console, а в заголовке окна Configuration Manager Console. Во избежание путаницы в статье используется термин консоль ConfigMgr.

    Контроллер домена DC01

    Компьютер DC01.systemcenter.com на базе Windows Server 2008 Enterprise.

    Функции и компоненты:

    • Контроллер домена SystemCenter.com. Функциональный уровень леса ‑ Windows 2008
    • Удостоверяющий Центр.

    · ОС: MS Windows Server 2008 Enterprise English.
    Язык: Английский

    Сервер ConfigMgr

    Компьюте ConfigMgr01.systemcenter.com на базе Windows Server 2008 Enterprise.

    Функции и компоненты:

    • Сервер ConfigMgr: MS System Center Configuration Manager 2007 SP2 или R2 SP2.
      Можно использовать trial-версию, свободно доступную для загрузки на сайте MS.
    • SQL-сервер: MS SQL Server 2005 Standard или Enterprise.
      К сожалению, trial-версия уже недоступна для загрузки на сайте MS, но вполне доступна из других источников.

    · ОС: MS Windows Server 2008 Enterprise English.
    Язык: Английский

    Рабочая станция w7-01

    Компьютер w7-01.systemcenter.com на базе MS Windows 7 Корпоративная.
    Язык: Русский


    В режиме Native mode на серверах ConfigMgr используются три вида сертификатов:

    · Сертификат для подписи политики

    · Сертификат веб-сервера

    · Сертификат клиента

    На управляемых компьютерах используется сертификат клиента.

    До запроса сертификатов для ConfigMgr следует убедиться в наличии корневого сертификата УЦ в локальном хранилище сертификатов на сервере ConfigMgr. Запустите MMC-консоль и просмотрите папку Trusted Root Certificate Authorities / Certificates.

    Ожидаемый результат

    На сервере ConfigMgr01.sc01.org установлен корневой сертификат Центра Сертификатов.

    clip_image002

    ConfigMgr-сайта в Mixed Mode

    До перевода из режима Mixed Mode в Native необходимо убедиться в работоспособности ConfigMgr-сайта.

    Запустите консоль ConfigMgr и убедитесь в том, что объект Site Status (и подчиненные объекты) помечены зелеными индикаторами.

    clip_image004

    Затем проверьте функционирование роли Management Point.

    Процедура выполняется на одном из компьютеров домена.
    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    1) Запустите Internet Explorer и перейдите на веб-страницу
    http://ConfigMgr01.systemcenter.com/sms_mp/.sms_aut?mplist

    Ожидаемый результат

    clip_image006

    2) Перейдите на веб-страницу
    http://ConfigMgr01.systemcenter.com/sms_mp/.sms_aut?mpcert

    Ожидаемый результат
    clip_image008

    Установку сертификата клиента нужно выполнить до активации режима Native.

    Процедура выполняется на сервере ConfigMgr.
    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    1) Зарегистрируйтесь на компьютере под учетной записью администратора домена.

    2) Запустите консоль Certificates (Local Computer) и выберите объект … Personal / Certificates.
    В контекстном меню объекта выберите All Tasks / Request New Certificate.
    Запускается мастер Certificate Enrollment.

    3) Выполните в мастере шаги, используя информацию из таблицы.

    Таблица 1.

    На странице Выполнить
    Before You Begin Нажмите Next.
    Select Certificate Enrollment Policy (Этот шаг выполняется только в Windows Server 2008 R2) По умолчание выбрано Active Directory Enrollement Policy.Нажмите Next.

    clip_image010

    Request Certificates В списке всего один шаблон Computer, выберите его.Нажмите Enroll.

    clip_image012

    Обработка запроса занимает некоторое время, об успешном завершении говорит сообщение STATUS:Succeeded.

    clip_image014

    Certificate Installation Results Нажмите Finish.

    Ожидаемый результат

    1) Запустите консоль Certificates (Local Computer). Проверьте наличие сертификата в папке Personal / Certificates.

    clip_image016

    2) Откройте сертификат.

    clip_image018

    Процедура выполняется на контроллере домена (он же Удостоверяющий Центр).

    На данном стенде сервер DC01.systemcenter.com.

    1) Запустите консоль Certification Authority.

    2) Перейдите к объекту Certificate Templates, в контекстном меню объекта выберите Manage.
    Открывается консоль Certificates Templates Console.

    3) В панели выберите шаблон Computer, в контекстном меню выберите Duplicate Template.
    В редакции Windows Server 2008 Standard недоступна опция Duplicate Template.

    clip_image020

    4) Убедитесь, что в диалоговом окне выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    clip_image022

    5) В диалоговом окне Properties of New Template.

    a) На вкладке General введите «показываемое» имя шаблона
    ConfigMgr Site Server Signing Certificate

    clip_image024

    b) На вкладке Subject Name выберите Supply in the request.
    Появляется информационный диалог Certificate Template, его можно проигнорировать, щелкните OK.

    Замечание

    clip_image026

    (Текущие настройки шаблона сертификата позволяют клиенту выполнить запрос сертификата с любым значением поля Subject Name и не требуют одобрения администратора сертификатов. Сочетание этих опций не рекомендуется, поскольку может создать риск безопасности.)

    Сертификат для подписи политики ConfigMgr-сайта должен иметь вполне определенное значение в поле CN. Например, для сайта S01 необходимо запросить сертификат со значением The site code of this site server is S01. По умолчанию в шаблоне отключена опция CA certificate manager approval (менеджер ЦС вручную подтверждает выдачу сертификата) и выдача сертификата производится автоматически. Если предоставить пользователям право получать сертификат с любым значением в поле CN, это создает риск появления поддельного сервера ConfigMgr. Чтобы устранить риск, следует поступать так, как описано в разделе Более безопасные процедуры.

    c) На вкладке Extensions выберите Application Policies, затем щелкните Edit.
    Появляется диалог Edit Application Policies Extension.

    6) В диалоговом окне Edit Application Policies Extension.

    a) Выберите Client Authentication, затем щелкните Remove.

    b) Выберите Server Authentication, затем щелкните Remove.

    c) Щелкните Add, в появившемся диалоге выберите Document Signing, затем щелкните OK.

    clip_image028

    d) В списке есть только Document Signing. Щелкните OK.

    clip_image030

    7) В диалоговом окне Properties of New Template щелкните OK.

    8) В консоли Certification Authority перейдите к объекту Certificate Templates, в контекстном меню объекта выберите New / Certificate Template to Issue.

    clip_image032

    9) В диалоге Enable Certificate Templates выберите шаблон ConfigMgr Site Server Signing Certificate, затем щелкните OK.

    clip_image034

    Ожидаемый результат

    В консоли Certification Authority.

    clip_image036

    Можно было бы обойтись типовым шаблоном сертификата Web Server, но я следую процедуре из TechNet.

    Процедура выполняется на контроллере домена (он же Удостоверяющий Центр).

    На данном стенде сервер DC01.systemcenter.com.

    1) Запустите консоль Certification Authority.

    2) Перейдите к объекту Certificate Templates, в контекстном меню объекта выберите Manage.
    Открывается консоль Certificates Templates Console.
    В панели выберите шаблон Web Server, в контекстном меню выберите Duplicate Template.
    В редакции Windows Server 2008 Standard недоступна опция Duplicate Template.

    3) Убедитесь, что в диалоговом окне выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    4) В диалоговом окне Properties of New Template.

    a) На вкладке General введите «показываемое» имя шаблона
    ConfigMgr Web Server Certificate

    a) На вкладке Security добавьте учетную запись компьютера ConfigMgr01 и дайте ей разрешения Read и Enroll.

    clip_image038

    10) В диалоговом окне Properties of New Template щелкните OK.

    11) В консоли Certification Authority перейдите к объекту Certificate Templates, в контекстном меню объекта выберите New / Certificate Template to Issue.

    12) В диалоге Enable Certificate Templates выберите шаблон ConfigMgr Web Server Certificate, затем щелкните OK.

    Ожидаемый результат

    В консоли Certification Authority.

    clip_image040


    Установку сертификата для подписи политики нужно выполнить до активации режима Native.

    Процедура выполняется на сервере ConfigMgr.
    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    1) Зарегистрируйтесь на компьютере под учетной записью администратора домена.

    2) Запустите консоль Certificates (Local Computer) и выберите объект … Personal / Certificates.
    В контекстном меню объекта выберите All Tasks / Request New Certificate.
    Запускается мастер Certificate Enrollment.

    3) Выполните в мастере шаги, используя информацию из таблицы.

    Таблица 2.

    На странице Выполнить
    Before You Begin Нажмите Next.
    Request Certificates В списке шаблонов сертификатов выберите
    ConfigMgr Site Server Signing Certificate.Нажмите кнопку Details.

    clip_image042

    Нажмите Properties.Появляется диалог Certificate Properties.

    clip_image044

    В диалоге Certificate Properties. в ниспадающем списке области Subject name выберите Common name, в поле Value введите подстроку (в нашем примере имя ConfigMgr-сайта ‑ S01)The site code of this site server is S01

    Нажмите Add.

    clip_image046

    В диалоге Certificate properties. Нажмите OK.
    Нажмите Enroll.

    clip_image048

    Нажмите Finish.

    Ожидаемый результат

    1) Запустите консоль Certificates (Local Computer). Проверьте наличие сертификата в папке Personal / Certificates.

    clip_image050

    2) Откройте сертификат.

    clip_image052


    Установку сертификата для веб-сервера нужно выполнить до активации режима Native.

    Процедура выполняется на сервере ConfigMgr.
    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    clip_image054

    clip_image056

    Ожидаемый результат

    1) Запустите консоль Certificates (Local Computer). Проверьте наличие сертификата в папке Personal / Certificates.

    clip_image058

    2) Откройте сертификат.

    clip_image060


    Привязку сертификата к веб-серверу нужно выполнить до активации режима Native.

    Процедура выполняется на сервере ConfigMgr.

    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    1) Запустите консоль Internet Information Services (IIS) Manager.

    2) В консоли перейдите к ... Sites / Default Web Site.

    3) В контекстном меню объекта выберите Edit Bindings.

    clip_image062

    4) В диалоге выберите строку https, затем нажмите Edit.

    Вид диалога в Windows Server 2008.

    clip_image064

    Вид диалога в Windows Server 2008 R2.

    clip_image066

    Появляется диалог Edit Site Binding.

    5) В диалоге Edit Site Binding, в ниспадающем списке SSL certificate есть два сертификата с одинаковыми названиями.

    clip_image068

    Выберите сертификат на основе шаблона ConfigMgr Web Server Certificate.
    Особенность выбора сертификата описана в процедуре Выберите сертификат для веб-сервера.
    Нажмите Ok.

    6) В диалоге Site Bindings нажмите Close.

    7) В консоли перейдите к ... Sites / Default Web Site.
    Появляется панель Default Web Site Home. По умолчанию режим отображения панели Features View (см. низ панели).

    Ожидаемый результат

    Проверьте поддержку протокола HTTPS, для этого запустите Internet Explorer и введите адрес
    https://ConfigMgr01.systemcenter.com
    Если Internet Explorer успешно подключается к веб-серверу по защищенному каналу, он показывает страницу приветствия.

    clip_image070


    В отличие от режима домена, ConfigMgr-сайт легко переключить в консоли ConfigMgr из режима Mixed в Native, и обратно. Но легкость переключения обманчива, поскольку реальное переключение приходится контролировать в журнале mpcontrol.log.

    Процедура выполняется на сервере ConfigMgr.
    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    1) Запустите консоль ConfigMgr.

    2) Перейдите к объекту S01 – Site01, в контекстном меню выберите Properties.

    3) В диалоге S01 – Site01 Properties выберите вкладку Site Mode.

    4) На вкладке Site mode выберите Native в ниспадающем списке Site mode.

    5) В области Site server signing certificate щелкните Browse.
    Появляется диалог Available Certificates для выбора сертификата.

    6) В диалоге Available Certificates выберите сертификат, у которого в колонке Issued to
    The site code of this server is S01
    Щелкните OK.

    clip_image072

    7) В диалоге S01 – Site01 Properties щелкните OK.

    Ожидаемый результат

    Начат переход сайта в режим Native. В поле Thumbprint отображается уникальная подпись сертификата.

    clip_image074

    Процедура выполняется на сервере ConfigMgr.

    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    1) В консоли ConfigMgr перейдите к объекту … System Status / Site Status / S01 – Site01 / Component Status.
    В панели Component Status найдите компонент SMS_MP_CONTROL_MANAGER и в контекстном меню выберите Show Messages / All.
    Открывается окно просмотра сообщений.

    clip_image076

    В расшифровке перечислены главные сообщения в хронологическом порядке.

    · 1017
    SMS Site Component Manager detected that this component should be reinstalled on this system. …
    (Менеджер компонентов обнаружил, что необходима переустановка компонента SMS_MP_CONTROL_MANAGER на сервере.)

    · 1018
    SMS Site Component Manager is reinstalling this component on this site system.
    (Менеджер компонентов переустанавливает компонент SMS_MP_CONTROL_MANAGER на сервере.)

    · 5421
    The SMS Management Point repaired.
    (Роль SMS Manamgement Point восстановлена.)

    · 1019
    SMS Site Component Manager successfully reinstalled this component on this site system.
    (Менеджер компонентов успешно переустановил компонент SMS_MP_CONTROL_MANAGER на сервере.)

    · 500
    This component started.
    (Компонент SMS Management Point стартовал.)

    2) В журнале mpcontrol.log убедитесь в наличии подстроки Initialization successfully completed within the allowed interval.

    clip_image078


    Процедура выполняется на сервере ConfigMgr.
    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    1) Запустите консоль ConfigMgr.

    2) Перейдите к объекту S01 – Site01 / Sites Settings / Site Systems / \\CONFIGMGR01

    3) Выберите роль ConfigMgr site system, в контекстном меню выберите Properties.

    4) В диалоге ConfigMgr site system Properties.
    Включите Specify an internet-based fully qualified domain name for this site system.
    В поле Internet FQDN введите ConfigMgr01.systemcenter.com
    Нажмите OK.

    clip_image080

    5) Выберите роль ConfigMgr management point, в контекстном меню выберите Properties.
    В диалоге ConfigMgr management point Properties
    выберите Allow both intranet and Internet client connections в ниспадающем списке.
    Нажмите OK.

    clip_image082

    6) Выберите роль ConfigMgr distribution point, в контекстном меню выберите Properties.

    7) В диалоге ConfigMgr distribution point Properties
    включите Allow client to transfer content… и
    выберите Allow both intranet and Internet client connections в ниспадающем списке.
    Нажмите OK.

    clip_image084

    а

    Процедура выполняется на контроллере домена (он же Удостоверяющий Центр).

    На данном стенде сервер DC01.systemcenter.com.

    1) Запустите консоль Group Policy Management.

    2) Выберите домен, в контекстном меню выберите Create a GPO in this domain, and Link it here.

    3) В диалоге New GPO введите имя политики Autoenroll Certificates, затем щелкните OK.

    4) В контекстном меню объекта Autoenroll Certificates выберите Edit.
    Появляется консоль Group Policy Management Editor.

    5) В консоли Group Policy Management Editor перейдите к Computer Configuration / Policies / Windows Settings / Security Settings / Public Key Policies.
    Выберите объект Certificate Services Client – Auto-Enrollment, в контекстном меню объекта выберите Properties.
    Открывается диалог Certificate Services Client – Auto-Enrollment Properties.

    6) В диалоге Certificate Services Client – Auto-enrollment Properties:

    a) В поле Configuration Model выберите Enabled.

    b) Включите Renew expired certificates...

    c) Включите Update certificates that use certificate templates

    d) Щелкните OK.

    7) Закройте консоль Group Policy Management Editor.

    Процедура выполняется на контроллере домена (он же Удостоверяющий Центр).

    На данном стенде сервер DC01.systemcenter.com.

    1) Запустите консоль Group Policy Management.

    2) Выберите политику Autoenroll Certificates

    3) В панели Autoenroll Certificates, в области Security Filtering:

    a) Удалите Authenticated Users.

    b) Добавьте компьютеры, которые должны автоматически получить сертификаты клиентов:
    w7-01

    4) Закройте консоль Group Policy Management.


    Процедура выполняется на управляемой рабочей станции.

    Сконфигурируйте публикации сайта так, как это описано в типовой процедуре Сконфигурируйте публикации сайта.

    Проверьте корневой сертификат УЦ и сертификат клиента в локальном хранилище сертификатов на управляемой рабочей станции.

    clip_image086

    В нашем примере сервер ConfigMgr01 обслуживает сайт с кодом S01. В этом случае источник находится в сетевой папке \\configmgr01\SMS_S01\Client. Зарегистрируйтесь на управляемой рабочей станции с учетной записью администратора домена, затем выполните команду
    \\configmgr01\SMS_S01\Client\ccmsetup.exe

    Через несколько минут клиент ConfigMgr установлен, но еще не полностью готов к работе. Обратившись к Active Directory, он получает код ConfigMgr-сайта S01 и запрашивает политики сайта. Обычно клиент запрашивает политики раз в час, но первый запрос делает сразу после установки. Получив и обработав политики, клиент включается в работу.

    clip_image088

    В апплете Configuration Manager на вкладке General видно, что клиент работает исключительно в режиме Intranet. Если управляемый компьютер окажется за пределами сети предприятия, тип подключения останется неизменным – Always intranet.

    clip_image090

    Причина такого поведения – клиент не знает полного имени сервера ConfigMgr.

    clip_image092

    Необходимо нажать Configure Settings и вручную ввести полное имя ConfigMgr01.systemcenter.com в поле Internet-based management point (FDQN).

    clip_image094

    Затем перезагрузите управляемую станцию и снова обратитесь к апплету Configuration Manager. Клиент обнаруживает подключение к сети предприятия и в поле ConfigMgr Connection Type появляется Currently intranet.

    clip_image096

    Теперь клиент готов к работе как в режиме Intranet, так и в режиме Internet.


    Метод Client Push Installation используется как для ручной установки клиента на компьютеры и коллекции компьютеров, так и для автоматической установки на компьютеры, которые обнаружил ConfigMgr. Сертификат УЦ и сертификат клиента должны быть установлены на компьютере перед развертыванием клиента в режиме Native mode.

    В тестовой процедуре выполняется ручная установка клиента ConfigMgr на компьютер w7-01, являющийся является членом домена.

    В режиме Internet клиент может обращаться только к одной, жестко заданной точке управления. В нашем примере точка управления ConfigMgr01.systemcenter.com обслуживает сайт с кодом S01.

    На данном стенде сервер ConfigMgr01.systemcenter.com в ConfigMgr-сайте S01.

    1) Сконфигурируйте публикации сайта так, как это описано в процедуре Сконфигурируйте публикации сайта.

    2) Сконфигурируйте границы сайта так, как это описано в процедуре Сконфигурируйте границы сайта Configuration Manager.

    3) Создайте специальную учетную запись так, как это описано в процедуре Создайте учетную запись CMClientPush.
    На контроллере домена, в консоли Active Directory Users and Computers, введите учетную запись в группу безопасности Domain Admins.
    Выполните процедуру Сконфигурируйте учетную запись для Client Push Installation.
    После конфигурирования – учетную запись можно наблюдать в объекте Site Settings / Accounts.

    4) Выполните обнаружение компьютеров так, как это описано в процедуре Активируйте Active Directory System Discovery.

    5) В дереве консоли Configuration Manager, перейдите к Site Database / Site Management / S01 – Site01 / Site Settings / Client Installation Methods.

    6) В панели Client Installation Methods, сделайте щелчок правой кнопкой на Client Push Installation, и затем щелкните Properties.

    7) В диалоге Client Push Installation Properties щелкните вкладку Client. В область Installation properties введите
    SMSSITECODE=S01 CCMHOSTNAME=”ConfigMgr01.sc01.org”
    Щелкните OK.

    для Client Push Installation

    Процедура выполняется на контроллере домена (он же Удостоверяющий Центр).

    1) Щелкните Start, укажите на All Programs, и затем щелкните Administrative Tools.

    2) Запустите консоль Group Policy Management. В дереве перейдите к Group Policy Management / Forest: SystemCenter.com / Domains / SystemCenter.com / Group Policy Objects / Default Domain Policy. В контекстном меню объекта выберите Edit. Откроется консоль Group Policy Management Editor.

    3) В консоли перейдите к Default Domain Policy […] / Computer Configuration / Policies / Administrative Templates / Network / Network Connections / Windows Firewall / Domain Profile. Сделайте двойной щелчок по Windows Firewall: Allow inbound remote administration exception, откроется диалог Windows Firewall…

    4) В диалоге выберите Enabled, введите * в поле Options, затем нажмите OK.
    Внешний вид диалога в Windows Server 2008 несколько отличается.

    clip_image098

    5) В консоли перейдите к Default Domain Policy […] / Computer Configuration / Policies / Administrative Templates / Network / Network Connections / Windows Firewall / Domain Profile. Сделайте двойной щелчок по Windows Firewall: Allow inbound file and printer sharing exception, откроется диалог Windows Firewall…

    6) В диалоге выберите Enabled, введите * в поле Options,
    затем нажмите OK.

    7) Закройте консоль Group Policy Management Editor.

    8) Результирующий вид в консоли Group Policy Management.

    clip_image100

    9) Закройте консоль.

    Следует помнить, что изменения в групповой политике вступают в силу немедленно только при перезагрузке управляемого компьютера или выполнении команды gpupdate /force. Поэтому необходимо проверить получение сертификата клиента. Также проверьте корневой сертификат УЦ.

    Ожидаемый результат

    clip_image102

    На данном стенде сервер управляемая рабочая станция w7-01.sc01.org.

    1) Запустите консоль ConfigMgr.

    2) В дереве консоли Configuration Manager, перейдите к Site Database / Site Management / S01 — SystemCenter / Computer Management / Collections. В коллекции All Systems выберите компьютер w7-01.
    (Если компьютера нет в коллекции, в контекстном меню объекта All Systems выберите Update Collection Membership, а затем Refresh для обновления списка.)
    В контекстном меню выберите Install Client. Запускается мастер Client Push Installation Wizard.

    3) Выполните шаги в мастере Client Push Installation Wizard, используя информацию из таблицы. Используйте значения по умолчанию, если не оговорено иное.

    3.

    На странице Выполните
    Welcome Щелкните Next.
    Installation option По умолчанию включено Include only clients in this sites boundaries (Включая только те компьютеры, которые находятся в границах ConfigMgr-сайта).Щелкните Next.

    clip_image104

    Finish Щелкните Finish.

    clip_image106

    Через несколько минут клиент ConfigMgr установлен, но еще не полностью готов к работе. Обратившись к Active Directory, он получает код ConfigMgr-сайта S01 и запрашивает политику сайта. Обычно клиент запрашивает политику раз в час, но первый запрос делает сразу после установки. Получив и обработав политику, клиент включается в работу.

    Если обратиться к апплету Configuration Manager и посмотреть на вкладку General, видно, что управляемый компьютер подключен к сети предприятия, текущий тип подключения Currently intranet.

    clip_image108

    А на вкладке Internet установлено полное имя Management Point, в результате использования ключа CCMHOSTNAME=”ConfigMgr01.systemcenter.com”

    clip_image110

    В нашем примере управляемый компьютер w7-01 находится (условно) в internet и общается с сетью предприятия через NAT-прокси. Прокси-сервер туннелирует SSL-трафик, поэтому не требуется терминация SSL-туннеля и установка сертификата на прокси-сервер. В сети предприятия компьютер получает параметры сетевого интерфейса от DHCP-сервера, а в Internet задействуется альтернативная статическая конфигурация.

    clip_image112

    clip_image114

    Обратите внимание, что брандмауэр Windows 7 переключен в режим Общественные сети.

    clip_image116

    Клиент ConfigMgr автоматически переключается в режим Internet, перезагрузка компьютера не требуется.

    clip_image118


    Процедура выполняется на контроллере домена (он же Удостоверяющий Центр).

    На данном стенде сервер DC01.systemcenter.com.

    1) Запустите консоль Certification Authority.

    2) Перейдите к объекту Certificate Templates, в контекстном меню объекта выберите Manage.
    Открывается консоль Certificates Templates Console.

    3) В панели выберите шаблон Computer, в контекстном меню выберите Duplicate Template.
    Замечание. В редакции Windows Server 2008 Standard недоступна опция Duplicate Template.

    clip_image119

    4) Убедитесь, что в диалоговом окне выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    clip_image120

    5) В диалоговом окне Properties of New Template.

    a) На вкладке General введите «показываемое» имя шаблона
    ConfigMgr Site Server Signing Certificate

    Замечание.
    Обратите внимание, что на основе «отображаемого» имени
    ConfigMgr Site Server Signing Certificate
    автоматически формируется имя шаблона
    ConfigMgrSiteServerSigningCertificate
    clip_image121

    b) На вкладке Issuance Requirements включите CA certificate manager approval и нажмите Apply.

    c) На вкладке Subject Name выберите Supply in the request.

    d) На вкладке Extensions выберите Application Policies, затем щелкните Edit.
    Появляется диалог Edit Application Policies Extension.

    6) В диалоговом окне Edit Application Policies Extension.

    a) Выберите Client Authentication, затем щелкните Remove.

    b) Выберите Server Authentication, затем щелкните Remove.

    c) Щелкните Add, в появившемся диалоге выберите Document Signing, затем щелкните OK.

    clip_image028[1]

    d) В списке есть только Document Signing. Щелкните OK.

    clip_image030[1]

    7) В диалоговом окне Properties of New Template щелкните OK.

    8) В консоли Certification Authority перейдите к объекту Certificate Templates, в контекстном меню объекта выберите New / Certificate Template to Issue.

    9) В диалоге Enable Certificate Templates выберите шаблон ConfigMgr Site Server Signing Certificate, затем щелкните OK.

    clip_image122

    Ожидаемый результат

    clip_image036[1]

    Процедура выполняется на сервере ConfigMgr.
    В данном примере сервер ConfigMgr01.systemcenter.com в сайте S01.

    Подстрока CN=The site code of this site server is, имя сайта S01 и имя шаблона ConfigMgrSiteServerSigningCertificate – регистрозависимы.

    1) Запустите Notepad и введите текст:

    [NewRequest]

    Subject = «CN=The site code of this site server is S01»

    MachineKeySet = True

    KeyLength = 2048

    [RequestAttributes]

    CertificateTemplate = ConfigMgrSiteServerSigningCertificate

    2) Сохраните файл с именем sitesigning.inf

    3) В командной консоли выполните

    certreq –new sitesigning.inf sitesigning.req

    Вид в Windows Server 2008

    clip_image124

    Вид в Windows Server 2008 R2

    clip_image126

    На основе файла спецификации sitesigning.inf сформирован файл запроса sitesigning.req. Теперь можно запрашивать сертификат.

    4) В командной консоли выполните

    certreq –submit sitesigning.req sitesigning.cer

    5) Появляется диалог Select Certification Authority. Поскольку в нашем примере всего один Удостверяющий Центр, в диалоговом окне Select Certification Authority выбран единственный УЦ.
    Щелкните OK.

    clip_image128

    6) Запишите номер RequestID.
    В примерах 10 и 21. По этому номеру администратор УЦ узнает запрос на сертификат для подписи политики.

    Вид в Windows Server 2008

    clip_image130

    Вид в Windows Server 2008 R2

    clip_image132

    Процедура выполняется на контроллере домена (он же Удостоверяющий Центр).

    Администратор домена выступает в роли Администратора УЦ.

    1) В консоли Certification Authority перейдите к объекту Pending Requests.

    2) В колонке Request ID, перейдите к запросу под номером 10, в контекстном меню объекта выберите All Tasks / Issue.

    clip_image134

    После успешной выдачи сертификат перемещается в папку Issued Certificates.

    Процедура выполняется на сервере ConfigMgr.

    1) В командной консоли выполните

    certreq –retrieve 10 sitesigning.cer

    2) Появляется диалог Select Certification Authority. Поскольку в нашем примере всего один Удостоверяющий Центр, в диалоговом окне Select Certification Authority выбран единственный УЦ, поэтому просто щелкните OK.

    clip_image136

    clip_image138

    3) В командной консоли выполните

    certreq –accept sitesigning.cer

    clip_image140

    Ожидаемый результат

    1) Запустите консоль Certificates (Local Computer). Проверьте наличие сертификата в папке Personal / Certificates.

    clip_image142

    2) Откройте сертификат.

    clip_image144


    Если ошибиться в значении поля Common name хотя бы в одном символе, консоль ConfigMgr сообщит об ошибке и не разрешит использовать сертификат.

    clip_image146

    В данном примере ошибочно использовано “i” вместо “is”.

    clip_image148

    В консоли ConfigMgr, на вкладке Site Mode, в поле Certificate значение <Unknown> (Неизвестный). Рядом с полем Thumbprint – восклицательный знак. Если навести курсор на знак, отображается сообщение ConfigMgr failed to locate a certificate with this thumbprint in the site server’s certificate store (ConfigMgr не смог найти сертификат с такой подписью в хранилище сертификатов сервера).

    clip_image150

    Если запустить MMC-консоль и просмотреть локальное хранилище сертификатов сервера, то обнаруживается отсутствие сертификата на основе шаблона ConfigMgr Site Server Signing Certificate. Возможно, администратор ошибочно удалил сертификат из хранилища.

    clip_image152

    Решение

    Получите и установите сертификат на основе шаблона ConfigMgr Site Server Signing Certificate.

    Обратитесь к журналу mpcontrol.log. В журнале должен присутствовать отчет об успешной проверке – строка Successfully performed Management Point availability check against local computer (На локальном компьютере успешно выполнен тест доступности роли Management Point).

    clip_image154

    После переключения сайта в режим Native – сайт не выходит на режим, поскольку «отвязался» сертификат для веб-сервера. Странно, что это может случится «самопроизвольно» именно при попытке переключения сайта в режим Native.

    Вид в консоли Internet Information Services (IIS) Manager. Привязка сертификата «исчезла».

    clip_image156

    Вид в консоли ConfigMgr.

    clip_image158
    (Менеджер компонентов не смог установить компонент SMS_MP_CONTROL_MANAGER, поскольку SSL не сконфигурирован должным образом на веб-сервере.)

    Решение

    Снова привяжите сертификат к веб-серверу и проконтролируйте с помощью журнала mpcontrol.log успешный переход сайта к режиму Native.

    clip_image160

    (Инициализация успешно выполнена в течении допустимого интервала времени.)


    Клиент ConfigMgr находит «свой» сервер, запрашивая информацию в Active Directory. Необходимо опубликовать ConfgiMgr-сайт в AD.

    Для публикации сайта в AD DS

    1. Запустите консоль ConfigMgr.

    2. В дереве консоли перейдите к Site Database / Site Management / S01 – Site01. Сделайте щелчок правой кнопкой на объекте, затем щелкните Properties в контекстном меню.

    3. На вкладке Advanced в диалоге S01 – Site01 Properties, установите флажок Publish this site in Active Directory Domain Services (Опубликовать этот ConfigMgr-сайт в Active Directory). Щелкните OK.

    Сервер ConfigMgr может управлять только теми компьютерами, которые находятся в границах ConfigMgr-сайта. Необходимо определить хотя бы одну границу.

    Для конфигурирования границ сайта System Center Configuration Manager

    1. Запустите консоль ConfigMgr.

    2. В дереве консоли перейдите к Site Database / Site Management / S01 – Site01 / Site Settings / Boundaries.

    3. Сделайте щелчок правой кнопкой на Boundaries, и затем щелкните New Boundary в контекстном меню.

    4. Заполните диалог New Site Boundary, используя информацию из таблицы, и затем щелкните OK.

    Таблица 4. Информация, требуемая для заполнения диалога New Site Boundary

    Для Выполните
    Description Введите AD Site Boundary.
    Type Выберите Active Directory Site.
    Site Рядом с полем Site name нажмите Browse.В диалоге Browse Active Directory sites, выберите AD-сайт Default-First-Site-Name, затем нажмите OK.

    В диалоге New Site Boundary нажмите OK.

    Сервер ConfigMgr нуждается в учетной записи для получения удаленного доступа к управляемым компьютерам с полномочиями локального администратора. В консоли ConfigMgr эта учетная запись называется Client Push Installation, она используется при развертывании клиентов методом Client Push Installation.
    Во избежание блокировки сервисной учетной записи, необходимо включить опции Password never expires и User cannot change password.

    Для создания учетной записи

    1. (Если консоль не открыта) Щелкните Start, укажите на Programs, и затем щелкните Administrative Tools. Щелкните Active Directory Users and Computers.

    2. В дереве консоли перейдите к Active Directory … / SystemCenter.com / Users.

    3. Сделайте щелчок правой кнопкой на объекте, затем перейдите к New / User в контекстном меню.

    4. Заполните диалог New Object — User, используя информацию из таблицы.

    Таблица 5. Информация для создания учетной записи

    Параметры
    В First name, введите CM 2007.В Last name, введите Client Push Installation.

    В User logon name, введите
    CMClientPush

    В Description, введите Service account used as the push client installation account for Configuration Manager 2007.

    Щелкните Next.

    В Password and Confirm password, введите
    pass@word2
    Отключите User must change password at next logon.

    Включите Password never expires.

    Включите User cannot change password.

    Щелкните Next и затем Finish.

    Push Installation

    Для конфигурирования учетной записи Client Push Installation

    1. Запустите консоль ConfigMgr.

    2. В дереве консоли Configuration Manager, перейдите к Site Database / Site Management / S01 — SystemCenter / Site Settings / Client Installation Methods.

    3. В панели Client Installation Methods, сделайте щелчок правой кнопкой на Client Push Installation, и затем щелкните Properties.

    4. В диалоге Client Push Installation Properties щелкните вкладку Accounts. В этом же диалоге нажмите на кнопку с изображением желтой звездочки. Появляется диалог Windows User Account.

    5. Заполните диалог Windows User Account, используя информацию из таблицы, и затем щелкните OK.

    Таблица 6. Информация, требуемая для заполнения диалога Windows User Account

    Для Выполните
    User name Введите
    SC01\CMClientPush Будьте внимательны, учетная запись не проверяется в Active Directory!
    Password Введите pass@word2Будьте внимательны, пароль не проверяется в Active Directory!
    Confirm password Введите pass@word2Проверятся только совпадение со значением в предыдущем поле Password.

    6. В диалоге Client Push Installation Properties щелкните OK.

    Активируйте метод обнаружения Active Directory System Discovery для обнаружения компьютеров, являющихся членами AD.

    Для настройки и немедленного начала работы метода обнаружения

    1. Запустите консоль ConfigMgr.

    2. В дереве консоли перейдите к Site Database / Site Management / S01 – Site01 / Site Settings / Discovery Methods.

    3. В панели Discovery Methods выберите Active Directory System Discovery, в контекстном меню объекта выберите Properties. Появляется диалог Active Directory System Discovery Properties.

    4. В диалоге включите Enable Active Directory System Discovery. Затем нажмите Apply (Применить), чтобы изменения немедленно вступили в силу.

    5. В этом же диалоге нажмите на кнопку с изображением желтой звездочки. Появляется диалог New Active Directory Container. В диалоге нажмите OK для подтверждения значений по умолчанию.
    Появляется еще один диалог Select New Container, в нем по умолчанию выбран объект sc01, поэтому просто нажмите OK.
    Имя sc01 не является именем типа pre-Windows 2000, это часть полного имени домена sc01.org. Это важно в том случае, если по каким-то причинам домен имее имя типа pre-Windows 2000 sc, а полное имя домена sc01.org.

    6. В диалоге Active Directory System Discovery Properties нажмите Apply, затем перейдите на вкладку Polling Schedule, включите Run discovery as soon as possible (Выполнить обнаружение как можно ранее) и нажмите OK.

    )

    1. Щелкните Start, затем Run. В диалоге Run введите mmc и щелкните OK.
    Появляется консоль Console1 – [Console Root].

    2. В меню консоли перейдите к File / Add/Remove Snapin.
    Появляется диалог Add or Remove Snap-ins.

    3. В диалоге, в панели Available snap-ins выберите по Certificates, затем щелкните Add.
    Появляется мастер Certificates snap-in.

    4. В мастере Certificates snap-in.
    Выберите Computer account, затем щелкните Next.
    Выберите Local computer, затем щелкните Finish.

    5. В диалоге Add/Remove Snap-in щелкните OK.

    6. (Опционально) В меню консоли перейдите к File / Save.
    Появляется диалог Save As.
    Введите имя файла Certificates (Local computer) и нажмите Save.

    1. В диалоге Edit Site Binding, в ниспадающем списке SSL certificate есть сертификаты с совпадающими именами.

    clip_image068[1]

    2. Чтобы выбрать нужный сертификат, выберите первый и нажмите View. Перейдите на вкладку Details и выберите Certificate Template Information.

    clip_image162

    3. Если в выбранном поле Template=ConfigMgr Web Server Certificate – это тот самый сертификат, который связывается с веб-сервером. Нажмите OK.


    См. раздел Типовые процедуры.

    См. раздел Типовые процедуры.

    См. (En) Step-by-Step Example Deployment of the PKI Certificates Required for Configuration Manager Native Mode: Windows Server 2008 Certification Authority
    http://technet.microsoft.com/en-us/library/cc872789.aspx

    См. раздел Типовые процедуры.

    • Рубрика: System Center,Новое
    • Автор: Vladislav Artukov
    • Дата: Понедельник 13 Сен 2010

Комментарии

  1. Это моя первая попытка публикации из MS Live Writer на движок WordPress, поэтому выявленные недочеты публикации — исправлю. PDF-версия есть, опубликую после исправления онлайновой.

  2. Я думаю надо лого картинку добавить. Мануал то ценный, пусть еще и красиво будет) Я просто публиковал не имея райтера под рукой, а то сам бы поставил. Ну это можно в любой момент сделать.

  3. Хотелось бы пдф с полноразмерными картинками.

  4. PDF-файл сделать несложно, но нужно определиться, «заливать» файл сюда или на SkyDrive?

  5. Думаю неважно.

  6. Владислав, так пдф ждать?

  7. Ссылка на «зипованный» PDF-документ.

    cid-3e23e4a30782398d.offi...ows%202008^6.zip

    tinyurl.com/2ujz7mc

    Этот документ будет изменяться. Мажорные изменения будут публиковаться и на ITBand.ru.

  8. Длинная ссылка визуально «скушалась», но работает. Файл назвал несколько неудачно — SkyDrive «скушал» скобки.

Опубликовать

Я не робот.