• Флоучарт развертывания SCCM Secondary Site

    Введение

    Когда в процессе развертывания Secondary Site возникли проблемы, пришлось разбираться во «внутренней кухне». Для лучшего понимания процесса развертывания Secondary Site я обратился к документу из пакета Systems Management Server 2003 Troubleshooting Flowcharts. Пакет флоучартов появился на сайте Microsoft несколько лет тому назад, но этот набор документов полезен для работы с MS SCCM 2007. Развертыванию Secondary Site из консоли администратора посвящена схема SecSiteSetupUpgrdParSite.pdf, но в схеме явно не хватало пояснений. Взяв схему за основу, я создал локализованный и несколько измененный вариант. Там, где нужно, снимки экранов сопровождает перевод с исправлениями и дополнениями. Заголовок Page-1 относится к первому флоучарту, Page-2 – ко второму, и так далее.

    В схеме встречается вот такой значок
    clip_image002

    Его расшифровка очень проста. ЗДБР – Здесь Должно Быть Решение. Документы не являются «застывшими» и будут исправляться/дополняться.

    Информацию о развертывании Secondary Site можно почерпнуть на данном сайте в статье Алексея Тараненко “ConfigMgr – идем в регионы!” или на сайте MS TechNet.


    Page-1

    clip_image004

    Помощник проверяет уникальность кода сайта, если сайт уже существует, выдается предупреждение «Сайт с кодом XX уже существует в базе данных ConfigMgr. Пожалуйста, выберите другой код сайта.».

    clip_image006

    Для имени сервера сайта можно использовать только «короткие» имена, в стиле NetBIOS. Для единообразия можно скопировать путь, по которому располагается «родительский» ConfigMgr:
    C:\Program Files\Microsoft Configuration Manager

    clip_image008

    clip_image010

    В консоли ConfigMgr, при вводе учетной записи для Standard Sender Address ‑ не проверяется существование учетной записи в AD и правильность пароля. Проверяется лишь совпадение паролей, введенных в двух полях. Поэтому имя и особенно пароль следует вводить внимательно. Почему-то недопустимо использование учетной записи в формате user@domain.

    Если пароль учетной записи по какой-то причине поменяется в ADDS (Active Directory), нужно будет изменить пароль и в Standard Sender Address, поскольку пароли не синхронизируется в автоматическом режиме.

    clip_image012

    Для Standard Sender Address можно использовать как «короткие» имена серверов, так и «длинные» (FQDN).

    clip_image014

    clip_image016
    Для ConfigMgr типично поведение «мастер завершил работу, но на самом деле работа продолжается». Поэтому завершение работы мастера Secondary Site Creation Wizard – одна из ступеней к успешному развертыванию Secondary Site.

    Проблемы и решения

    Во время развертывания Secondary Site, на диске целевого сервера (в нашем случае на диске C:) создается файл ConfigMgrPrereq.log и можно предположить, что выполняется полноценная проверка готовности сервера к развертыванию Secondary Site.

    clip_image018

    На самом деле проверка не выполняется. Чтобы не искать причины странных ошибок, рекомендую выполнить проверку самостоятельно, до развертывания Secondary Site. При необходимости установите дополнения и обновления.


    Page-2

    clip_image020

    Компонент SMS_LAN_SENDER передает на целевой сервер файлы SMS_BOOTSTRAP.PKG (165-175 Мбайт) и небольшой файл SMS_BOOTSTRAP.INI.

    Пример файла SMS_BOOTSTRAP.INI.

    clip_image022

    Пересылку файлов можно отследить в журнале Sender.log.

    На снимке ‑ компонент SMS_LAN_SENDER проверяет возможность пересылки файлов, а затем начинает копировать файл SMS_BOOTSTRAP.PKG в папку C$ на компьютере S04.systemcenter.com.

    clip_image024

    Затем компонент SMS_LAN_SENDER создает на целевом сервере и запускает сервис SMS_BOOTSTRAP на базе файла SMS_BOOTSTRAP.EXE.

    clip_image026

    Проблемы и решения

    Если учетная запись для адреса Secondary Site не указана, при вводе имени и пароля учетной записи допущена ошибка или учетная запись не имеет прав локального администратора на целевом сервере – компонент SMS_LAN_SENDER не может подключиться к сетевой папке
    \\<имя_целевого_сервера>\C$. Это событие фиксируется в журнале Sender.log на сервере в Primary Site.

    clip_image028
    Ошибка при подключении к \\s1-06.systemcenter.com\C$.

    А через несколько минут сообщение появляется и в окне ConfigMgr Message Viewer для компонента SMS_LAN_SENDER.

    clip_image030
    Компонент SMS_LAN_SENDER не может подключиться по локальной сети к отдаленному сайту S06. Операционная система сообщила об ошибке 1326: …

    Для исправления ситуации, администратору необходимо ввести валидную учетную запись для адреса Secondary Site. На сервере в Primary Site выберите объект … Site Settings / Addresses, откройте свойства адреса S06 – Site 06 и введите валидную учетную запись. Напомню, что полное имя домена и “короткое” имя домена могут различаться. В данном случае у домена systemcenter.com – “короткое” имя systemcenter99, нужно использовать “короткое” имя.

    clip_image032

    После исправления учетной записи не нужно перезапускать мастер Secondary Site Creation Wizard, поскольку компонент SMS_LAN_SENDER повторяет попытки подключения к целевому серверу. Если введена валидная учетная запись, после проверки возможности пересылки файлов – продолжится процесс развертывания Secondary Site.

    clip_image034

    Passed the xmit file test…

    Проверка возможности пересылки файлов успешно пройдена.


    Page-3

    На целевом сервере для Secondary Site.

    clip_image020[1]

    Сервис SMS_BOOTSTRAP распаковывает файл SMS_BOOTSTRAP.pkg во временную папку со случайным именем и расширением .tmp, а затем запускает программу установки из временной папки. Программа установки получает параметры из файла SMS_BOOTSTRAP.ini.

    Setup.exe /script C:\SMS_BOOTSTRAP.ini /nouserinput

    clip_image036

    clip_image038

    Программа Setup.exe фиксирует процесс установки в журнале ConfigMgrSetup.log.

    clip_image040
    Установка сервиса SMS_SITE_COMPONENT_MANAGER.

    clip_image042

    Сервис SMS_BOOTSTRAP детектирует завершение работы Setup.exe, очищает журнал SMS_BOOTSTRAP.log, оставляет в нем только одно сообщение SMS_BOOTSTRAP stopped… и самоудаляется.

    Во время развертывания Secondary Site журнал SMS_BOOTSTRAP.log выглядит так:

    clip_image044

    Журнал после очистки:

    clip_image045

    На сервере сайта в Primary Site.

    Если взаимодействие Primary Site и Secondary Site сложится успешно, минут через 15 в окне ConfigMgr Status Message Viewer можно будет наблюдать краткий пересказ процесса установки сервера в Secondary Site.

    1) Message ID: 3514
    Компонент SMS_LAN_SENDER установил сервис SMS_BOOTSTRAP
    на сервере s1-05.systemcenter.com. …

    clip_image047

    Сообщение содержит неточности в оригинале. Например, программа Setup использует журнал ConfigMgrSetup.log, но не smssetup.log.

    clip_image049
    Компонент SMS_LAN_SENDER установил сервис SMS_BOOTSTRAP на сервере s1-05.systemcenter.com. Для установки secondary site S05, сервис SMS_BOOTSTRAP запустит программу Setup с параметрами для сайта S05. Вы можете проследить прогресс в работе SMS_BOOTSTRAP с помощью журнала sms_bootstrap.log на сервере s1-05.systemcenter.com, и прогресс в работе программы Setup с помощью журнала ConfigMgrSetup.log на сервере s1-05.systemcenter.com

    2) Message ID: 3527
    Cервис SMS_BOOTSTRAP на сервере s1-05.systemcenter.com начал распаковку пакета.

    clip_image051

    3) Message ID: 3523
    Cервис SMS_BOOTSTRAP на сервере s1-05.systemcenter.com успешно запустил программу Setup.

    clip_image053

    4) Message ID: 3525
    Программа Setup на сервере s1-05.systemcenter.com успешно завершила работу.

    clip_image055

    5) Message ID: 3528
    Cервис SMS_BOOTSTRAP на сервере s1-05.systemcenter.com успешно завершил работу.

    clip_image057


    Page-4

    clip_image059

    На примере сайта S10.

    Hierarchy Manager

    · Создает публичный ключ для secondary site S10, записывает в файл S10.CT4 и перемещает в папку
    ..\Inboxes\hman.box\pubkey

    В журнале hman.log появляется запись Successfully created the file C:\Program Manager\Microsoft Configuration Manager\inboxes\hman.box\pubkey\S10.CT4

    clip_image061

    Scheduler

    • * Создает инструкцию *.I* в папке ..\schedule.box\tosend
      Пример: 0000000A.Ijo.
    • * Создает пакет *.P* в папке ..\schedule.box\tosend
      Пример: 0000000A.Pub.
    • * Создает send request в папке ..\schedule.box\requests
      Пример: 2000AS04.SRQ

    clip_image063

    На примере сервера configmgr01.systemcenter.com в Primary Site, имен 2005FS10 и 000000С3:

    Sender

    • * Получает send request.
    • * Проверяет возможность подключения к сетевой папке
      \\ configmgr01.systemcenter.com\Sms_site
    • * Во избежание конфликта проверяет существование файлов в сетевой папке Sms_site:
      2005FS10.PCK
      2005FS10.SNI
      2005FS10.TMP
    • * Перемещает пакет ..\schedule.box\tosend00000C3.Pv7 в сетевую папку на сервер в primary site. В новом расположении файлу переименовывается в 2005FS10.PCK.
    • * Перемещает инструкцию ..\schedule.box\tosend00000C3.Ipg в сетевую папку на сервер в primary site. В новом расположении файлу переименовывается в 2005FS10.TMP.
    • * Переименовывает 2005FS10.TMP в 2005FS10.SNI.


    Page-5

    Все время, пока выполняется инициализация Secondary Site, сайт виден в консоли ConfigMgr в режиме Pending (с песочными часиками).

    В этом примере Secondary Site с кодом S09 еще не вошел в эксплуатацию и находится в состоянии Pending.

    clip_image065

    После успешной инициализации сайт переходит в активный режим.

    clip_image067

    clip_image069

    Проблемы и решения

    Если Secondary Site долгое время находится в режиме Pending, в консоли ConfigMgr следует посмотреть на статус компонента SMS_DESPOOLER. Наличие сообщений ID4405 и 4404 говорит о том, что Secondary Site не смог предоставить публичный ключ.

    Консоль ConfigMgr Status Message Viewer на сервере в Primary Site. Компонент SMS_DESPOOLER.

    clip_image071
    Компонент SMS_DESPOOLER принял инструкцию (файл) и пакет (тоже файл) от сайта S10. Пакет содержит информацию для распространения ПО или межсайтового обмена. У компонента SMS_DESPOOLER нет публичного ключа для верификации цифровой подписи к пакету. Инструкция не будет выполнена и будет удалена.

    clip_image073
    Компонент SMS_DESPOOLER принял инструкцию (файл) и пакет (тоже файл) от сайта S10. Пакет содержит публичный ключ сайта S10. Инструкция не будет выполнена и будет удалена, поскольку в Parent Site запрещен обмен публичными ключами без цифровой подписи.

    Решение:

    • * Расширьте схему AD, чтобы SCCM-сайты могли публиковать публичные ключи в AD.
    • * Выполните ручной обмен публичными ключами с помощью инструмента preinst.exe.
    • * Отключите опцию Require secure key exchange between sites в консоли ConfigMgr.

    Сообщения для объекта Component Status поступают с задержкой около 15 мин (тем не менее, временнЫе метки в сообщениях правильные).

    Вследствие того, что компонент SMS_DESPOOLER не может обработать файлы, они скапливаются в каталоге ..\inboxes\despoolr.box\receive (он же \\ConfigMgrR2\SMS_SITE в данном примере):
    clip_image075

    Решение 1

    (+) Самое простое решение.

    (-) Обмен информацией между сайтами – незащищенный.

    Решение можно использовать как до, так и после развертывания сайта с помощью Secondary Site Creation Wizard. Если решение применить после развертывания сайта – инструкции и пакеты обрабатываются в течение часа.

    Выполняется на сервере в Parent Site.

    1) В консоли ConfigMgr отключите Secure key exchange between sites для Parent Site.

    clip_image077

    2) Подождите около часа.

    3) Проконтролируйте взаимодействие сайтов.

    4) Если взаимодействие сайтов выполняется успешно – можно снова включить Require secure key exchange between sites.

    Даже в Mixed mode обмена информацией между сайтами можно защитить с помощью публичных и приватных ключей. В SCCM опция Secure key exchange between sites по умолчанию включена, в то время как в SMS 2003 она была выключена для обеспечения совместимость с предыдущими версиями SMS.

    Решение 2

    Решение коллеги Alipka
    http://blogs.technet.com/b/alipka/archive/2008/01/12/sccm-2007-couple-of-deployment-tips.aspx

    (+) Если схема AD не расширена, придется использовать этот метод.

    Re: http://itband.ru/2010/07/secondary-site-configmgr-2007/

    Выполняется на сервере в Parent Site.

    1) На сервере в Primary site выполните
    Preinst /keyforchild

    2) Полученный файл *.CT5 скопируйте в папку ..\inboxes\hman.box на целевом сервере в
    Secondary site.

    Выполняется на целевом сервере в Secondary Site.

    3) На целевом сервере в Secondary site выполните
    Preinst /keyforparent

    4) Полученный файл *.CT4 скопируйте в папку ..\inboxes\hman.box на целевом сервере в Primary site.

    5) Проконтролируйте взаимодействие сайтов.

    Решение 3

    (-)

    • * Нужен доступ к Active Directory в консоли adsiedit.msc.
    • * Схема AD должна быть расширена.

    Выполняется на контроллере домена.

    На примере домена systemcenter.com и целевого сервера S1-08 в Secondary Site.

    1) Запустите консоль adsiedit.msc.

    2) В консоли перейдите к объекту DC=systemcenter,DC=COM | CN=System | CN=System Management.

    3) В свойствах объекта выберите вкладку Security.

    4) Добавьте учетную запись компьютера S1-08, дайте ей полный доступ для объекта и всех дочерних объектов.

    5) Проконтролируйте взаимодействие сайтов.

    Флоучарт

    clip_image079

    clip_image081

    clip_image083

    clip_image085

    clip_image087

    • SCCM SUP. Журнал WUAHandler.log

      TroubleОписание журнала WUAHandler.log в TechNet весьма краткое «Содержит информацию о том, когда Windows Update Agent ищет обновления программного обеспечения на клиентах».

      Предлагаю вам более полное описание.

      • Развертывание приложений с помощью Kaspersky Administration Kit

        12В состав корпоративных продуктов Лаборатории Касперского входит центр управления, представленный консолью Kaspersky Administration Kit. С ее помощью можно развертывать и обслуживать антивирусы на рабочих станциях. Антивирусы развертываются из MSI-пакетов, и вполне логично, что можно развертывать любое программное обеспечение, упакованное в MSI-пакеты. Развертывание с помощью консоли имеет существенное преимущество перед развертыванием MSI-пакетов с помощью групповых политик – администратор визуально контролирует процесс развертывания.

        В данной статье рассмотрено развертывание приложений с помощью Kaspersky Administration Kit на примере обновления базы данных 2GIS.

        • Жизненный цикл Office 2010 под присмотром SCCM 2007

          Microsoft Office 2010 LogoРуководство описывает ручной, полуавтоматический и автоматический сценарии развертывания/свертывания MS Office 2010 (32-битная редакция) в инфраструктуре «один лес, один домен» под управлением MS System Center Configuration Manager 2007 R2.

          Замечание Описанная инфраструктура предназначена для испытательных целей, а не для производственной системы.

          • Развертывание клиентов SCCM 2007 в Native Mode

            .2009

            Редакция: 2

            Развертывание клиентов SCCM 2007 в Native Mode

            Опубликовано: Август 2010

            Владислав Артюков

            Vladislav@Artukov.com

            • Развертывание клиентов SCCM 2007

              hp-thinclient2_1000x600 В данной статье описаны несколько методов установки и обновления клиентов System Center Configuration Manager 2007 (далее просто ConfigMgr):

              • Ручной.
              • Client Push Installation (Принудительная установка клиента)
              • SUP Client Installation (Установка клиента из точки обновления ПО)
              • Software Distribution (Распространение программного обеспечения)

              Другие методы развертывания клиентов остались за пределами статьи, как несимпатичные или специфичные.

            • Главная Exchange/UC, Новое Exchange 2007, Microsoft.next
              • Настройка тестового стенда Exchange ActiveSync

                ActiveSync Exchange ActiveSync это протокол, позволяющий синхронизировать почтовый ящик Exchange с мобильным устройством, который с развитием Windows Mobile успел обрести определенную популярность. Получение практического опыта работы и тестовые испытания Exchange ActiveSync сопряжены с определенными трудностями, вызванными требованиями к  наличию необходимого оборудования. В данном документе Владислав Артюков рассказывает как, используя доступные средства виртуализации, построить стенд для тестирования данной технологии.Тестовый стенд ActiveSync предназначен для испытания технологии Exchange ActiveSync (EAS) на виртуальной серверной платформе MS Exchange Server 2007 SP1 и виртуальной клиентской платформе MS Windows Mobile 6.

                Замечание: Описанная в данном руководстве инфраструктура предназначена для испытательных целей, но с некоторыми оговорками применима и для производственной системы.

              • Главная System Center, Новое Microsoft.next, SCCM
                • Жизненный цикл Office 2007 под присмотром SCCM 2007 (Часть 1)

                  Office2808  Первая часть руководства описывает ручной, полуавтоматический и автоматический сценарии развертывания/свертывания MS Office 2007 в инфраструктуре «один лес, один домен» под управлением MS System Center Configuration Manager 2007 R2.

                  Вторая часть руководства посвящена сценариям:
                  •    Несколько преднастроенных конфигураций Office из одного источника.
                  •    Несколько редакций Office из одного источника.
                  •    Русский и английский интерфейсы Office из одного источника.

                  Замечание   Описанная здесь инфраструктура предназначена для испытательных целей, а не для производственной системы.

                • Главная Windows, Новое Microsoft.next, Windows Server 2008