Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 2. Установка необходимых компонентов

от

В этой статье я покажу установку всех необходимых компонентов для  Stand-Alone Primary site сервера Microsoft Configuration Manager (MECM/SCCM).

Напомню, что моя тестовая среда состоит из следующих серверов:

  1. SRV-DC01: котроллер домена;
  2. SRV-SQL: сервер с БД для MECM/SCCM на базе MS SQL Server;
  3. SRV-SCCM: сервер, на который мы и будем устанавливать Stand-Alone Primary site.

На всех серверах установлена операционная система MS Windows Server 2022 Standard, на контроллере домена и сервере БД операционная система в редакции Core.

  1. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Обзор продукта.
  2. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 1. Подготовка инфраструктуры.
  3. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 2. Установка необходимых компонентов.
  4. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 3. Установка Stand-Alone Primary site сервера.

Перед началом установки сервера сайта необходимо выполнить установку дополнительных ролей и функций на сервере, а также обновить все нужные компоненты.

Расширение схемы Active Directory

Одним из пунктов будет расширение схемы Active Directory, если вы впервые устанавливаете Configuration Manager в вашем домене. Залогиньтесь на сервер под учетной записью с правами администратора схемы (Schema Admins), откройте Powershell с повышенными правами администратора,  и запустите из установочного каталога или диска файл следующей командой:

.\SMSSETUP\BIN\X64\extadsch.exe

Если команда для расширения схемы выполнилась без каких либо ошибок, то вы получите соответствующее сообщение об этом.

ad schema extend successfully

Чтобы просмотреть подробнее результаты расширения схемы откройте файл Extadsch.log, который расположен в корне системного диска.

<10-17-2023 00:20:00> Modifying Active Directory Schema - with SMS extensions.
<10-17-2023 00:20:00> DS Root:CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Site-Code already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Assignment-Site-Code already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Site-Boundaries already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Roaming-Boundaries already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Default-MP already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Device-Management-Point already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-MP-Name already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-MP-Address already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Health-State already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Source-Forest already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Ranged-IP-Low already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Ranged-IP-High already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Version already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Capabilities already exists.
<10-17-2023 00:20:00> Class cn=MS-SMS-Management-Point already exists.
<10-17-2023 00:20:00> Located LDAP://cn=MS-SMS-Management-Point,CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:01> Successfully updated class LDAP://cn=MS-SMS-Management-Point,CN=Schema,CN=Configuration,DC=proitclub,DC=ru.
<10-17-2023 00:20:01> Class cn=MS-SMS-Server-Locator-Point already exists.
<10-17-2023 00:20:01> Located LDAP://cn=MS-SMS-Server-Locator-Point,CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:01> Successfully updated class CN=Schema,CN=Configuration,DC=proitclub,DC=ru.
<10-17-2023 00:20:01> Class cn=MS-SMS-Site already exists.
<10-17-2023 00:20:01> Located LDAP://cn=MS-SMS-Site,CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:01> Successfully updated class LDAP://cn=MS-SMS-Site,CN=Schema,CN=Configuration,DC=proitclub,DC=ru.
<10-17-2023 00:20:01> Class cn=MS-SMS-Roaming-Boundary-Range already exists.
<10-17-2023 00:20:01> Located LDAP://cn=MS-SMS-Roaming-Boundary-Range,CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:01> Successfully updated class LDAP://cn=MS-SMS-Roaming-Boundary-Range,CN=Schema,CN=Configuration,DC=proitclub,DC=ru.
<10-17-2023 00:20:01> Successfully extended the Active Directory schema.

<10-17-2023 00:20:01> Please refer to the ConfigMgr documentation for instructions on the manual 
<10-17-2023 00:20:01> configuration of access rights in active directory which may still 
<10-17-2023 00:20:01> need to be performed.  (Although the AD schema has now be extended, 
<10-17-2023 00:20:01> AD must be configured to allow each ConfigMgr Site security rights to 
<10-17-2023 00:20:01> publish in each of their domains.)

В некоторых случаях вы можете получить ошибку выполнения команды расширения схемы AD. Например, ошибка «Error code = 8224», которая указывает на проблему с репликацией между вашими контроллерами домена. Проверьте, что между всеми контроллерами репликация проходит без ошибок, а затем повторно запустите команду для расширения схемы AD.

Modifying Active Directory Schema - with SMS extensions.
DS Root:CN=Schema,CN=Configuration,DC=proitclub,DC=ru
Failed to create attribute cn=MS-SMS-Site-Code.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Assignment-Site-Code.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Site-Boundaries.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Roaming-Boundaries.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Default-MP.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Device-Management-Point.  Error code = 8224.
Failed to create attribute cn=MS-SMS-MP-Name.  Error code = 8224.
Failed to create attribute cn=MS-SMS-MP-Address.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Health-State.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Source-Forest.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Ranged-IP-Low.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Ranged-IP-High.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Version.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Capabilities.  Error code = 8224.
Failed to create class cn=MS-SMS-Management-Point.  Error code = 8224.
Failed to create class cn=MS-SMS-Server-Locator-Point.  Error code = 8224.
Failed to create class cn=MS-SMS-Site.  Error code = 8224.
Failed to create class cn=MS-SMS-Roaming-Boundary-Range.  Error code = 8224.
Failed to extend the Active Directory schema, please find details in "C:\ExtADSch.log".

Создание контейнера System Management для MECM/SCCM

При расширении схемы Configuration Manager не создает автоматически контейнер System Management в доменных службах Active Directory . Контейнер публикует информацию о сайте в доменных службах Active Directory, и его необходимо создать один раз для каждого домена, в котором у вас есть сервер с Primary site.

Давайте создадим такой контейнер вручную. Для этого откройте редактор ADSI Edit, нажмите в меню пункт «Action» (Действия) и выберите «Connect to» (Подключиться). Выберите «Default naming context» (Контент наименования по умолчанию) как показано ниже.

Учтите, чтобы выполнить создание контейнера, ваша учетная запись должна иметь права Schema Admins (Администратор схемы).

adsi edit SCCM/MECM

Раскройте дерево элементов, как показано ниже,  нажмите правой кнопкой мыши на контейнере System и выберите создание нового объекта.

adsi create object SCCM/MECM

Выберите Container.

adsi create container

Введите имя контейнера System Management.

adsi create container-2

После создания контейнера необходимо настроить права доступа для учетной записи сервера сайта — SRV-SCCM. Для этого откроем свойства контейнера System Management, созданного на предыдущем шаге, на вкладке Security добавим аккаунт сервера и предоставим ему полные права.

scm grant full permissions for container

Также необходимо отредактировать дополнительные права доступа. Нажмите на кнопку «Advanced» (Дополнительно), выберите учетную запись сервера сайта и нажмите «Edit» (Редактировать).

advanced permissions SCCM/MECM

Выберите «This object and all descendant objects» (Этот объект и все вложенные объекты), сохраните все изменения и закройте консоль «ADSI Edit».

advanced permissions-1

Создание необходимых учетных записей

В процессе установки нам понадобятся дополнительно несколько учетных записей, давайте их создадим заранее. Вы можете использовать свои названия или уже созданные учетные записи.

  • SCCM-ServiceSQL — учетная запись для служб SQL Server;
  • SCCM-PushInstall — учетная запись для удаленной установки агента и программного обеспечения;
  • SCCM-ReportService — учетная запись для роли службы отчетов;
  • SCCM-JoinDomain — учетная запись для ввода компьютеров в домен.

Обязательно добавьте учетную запись сервера сайта (Site Server) в группу локальных администраторов не тех серверах, на которых вы будете устанавливать какие-либо роли (Site Server, Distribution point, Management Point и т.д.).

local admin

Настройка правил в Windows Firewall

На сервере с SQL необходимо настроить правила в Windows Firewall для входящих подключений на порт 1433 и  для SQL Server Service Brokerпорт 4022. Это можно сделать либо через графический режим, либо через командную строку. Так как у меня SQL сервер без графического режима, то я воспользуюсь командной строкой.

netsh advfirewall firewall add rule name = "SQL Server Port" dir = in protocol = tcp action = allow localport = 1433

netsh advfirewall firewall add rule name = "SQL Server Broker" dir = in protocol = tcp action = allow localport = 4022

Установка ролей и функций Windows Server

1.  Для Site Server (Сервера сайта) нам будут нужны следующие компоненты:

  • Начнем с того, что по-прежнему необходимо включить  .NET Framework 3.5. Также установим последнюю доступную на данный момент версию Microsoft .NET Framework 4.8;
  • Remote Differential Compression (Удаленное разностное сжатие);
  • SQL ODBC driver. Начиная с версии 2309, Configuration Manager требует установки драйвера ODBC для SQL-сервера. Он требуется при создании нового сайта или обновлении существующего, так что убедитесь, что этот компонент обновлен.

2.  Для Distribution Point (Точка распространения):

  • .NET Framework 3.5;
  • Remote Differential Compression (Удаленное разностное сжатие);
  • IIS Server:  ISAPI Extensions, Windows Authentication, IIS 6 Metabase Compatibility, IIS 6 WMI Compatibility.

3. Для Management Point (Точка управления):

  • .NET Framework 3.5;
  • BITS Server Extensions и все автоматически выбранные опции;
  • Background Intelligent Transfer Services (BITS) и все автоматически выбранные опции;
  • IIS Server:  ISAPI Extensions, Windows Authentication, IIS 6 Metabase Compatibility, IIS 6 WMI Compatibility.

4. Для Reporting services point (Точка отчетов):

  • SQL Server Reporting Services. Установите SRS на сервер, на котором вы планируете развернуть точку отчетов. Это может быть сервер с сайтом MEMC как в моем случае. Скачать можно с Microsoft Download Center.

5. Для Software update point (Точка обновления программного обеспечения):

  • .NET Framework 3.5 и установленная последняя версия .NET Framework;
  • IIS Server: настройки по умолчанию;
  • Windows Server Update Services (WSUS). Установка роли WSUS. При установке этой роли я выбрал SQL Server Connectivity, потому что я буду использовать имеющийся SQL сервер для базы данных WSUS вместо Windows Internal Database (WID).

Не буду подробно останавливаться на том, как поставить все компоненты через графический интерфейс. Покажу лишь как будет выглядеть настройка WSUS для работы с внешним SQL сервером.

wsus role settings SCCM/MECM

Установку ролей и функций также можно выполнить с помощью команд Powershell. Для этого запустите на сервере консоль Powershell с правами администратора и выполните следующие команды:

Install-WindowsFeature Web-Windows-Auth

Install-WindowsFeature Web-ISAPI-Ext

Install-WindowsFeature Web-Metabase

Install-WindowsFeature Web-WMI

Install-WindowsFeature BITS

Install-WindowsFeature RDC

Install-WindowsFeature NET-Framework-Features -source "D:\sources\sxs"

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

Start-Process -PSPath "C:\Program Files\Update Services\Tools\wsusutil.exe" -ArgumentList "postinstall CONTENT_DIR=E:\WSUS_Content" SQL_INSTANCE_NAME="SQLSERVER\SQLINSTANCE"

После установки всех нужных компонентов я рекомендую перезагрузить сервер и еще раз выполнить поиск обновлений.

Установка ADK for Windows

Качаем последнюю версию: на момент установки это ADK for Windows 11. Также нужно установить среду Windows PE для ADK for Windows, которую можно найти по той же ссылке.

Учтите, что 32-х разрядная версия Windows PE больше не доступна. Последняя версия, которая содержала 32-х разрядную версию, это Windows PE add-on for Windows 10, version 2004.

Запускаем установку ADK for Windows, выбираем установку на этот компьютер и путь по умолчанию.

adk for windows

Не разрешаем компании Microsoft собирать информацию.

adk for windows-1На следующем шаге читаем и принимаем лицензионное соглашение. После него нужно выбрать компоненты для установки. Выбираем Deployments Tools и User state Migration tool.

adk for windows-2

Затем аналогично устанавливаем Windows PE for ADK for Windows. В начале установки выбираем установки на это компьютер, не разрешаем компании Microsoft собирать информацию, принимаем лицензионное соглашение и завершаем установку.

adk windows pe 2

Установка SQL Reporting Services

SQL Reporting Services нужны для установки роли служб отчетов в MECM. Если вы не планируете использовать эту роль, то можете пропустить этот шаг. Впоследствии, вы всегда сможете установить эти службы.

Скачать установщик вы можете с сайта Microsoft. Запускаем его и выбираем Install Reporting Services. 

install reporting service

Далее указываем ключ продукта, принимаем лицензионное соглашение и указываем папку для установки. После установки будет предложено сконфигурировать сервер отчетов. Настроить можно и позже, когда вам понадобится роль отчетов, поэтому просто закрываем установщик.

install reporting service-1

 

Оставьте комментарий