Наконец-то дошли руки до оформления поста по первоначальной настройке. Как и в статье по установке, оговорюсь сразу – я не претендую этой записью на полноту и абсолютную рациональность приведенной информации. Все, о чем я здесь пишу, было неоднократно проверено в тестовой среде. Поэтому сразу кидаться внедрять не стоит, сначала попробуйте. Конфигурация постоена на Windows Server 2008 Enterprise и SQL Server 2008. На других конфигурациях пробовал, но всех подводных камней могу не знать.
Для тех кто считает трафик: осторожно, много скриншотов. Обсуждать предлагаю в соседнем посте, предназначенном именно для этого. Теперь – начнем, пожалуй.
Установили ConfigMgr в соответствии с инструкцией. Теперь надо бы задать границы. Границы сайта задаются для того, чтобы сервер обслуживал только те клиентские компьютеры, которые необходимы администратору (ну, или руководству).
Мне чем-то ближе диапазон IP-адресов, поэтому я задаю именно его. Сразу предвижу возражения. Действительно, это не самый лучший вариант, в условиях реального внедрения скорее всего захочется задать, например, сайт. Это уже вопрос к администратору.
С границами закончили. Теперь настраиваем агенты, которые будут установлены на клиентские компьютеры. По-простому, можно посмотреть свойства всех и настроить под себя. Я покажу на что можно обратить внимание. Software Inventory и Advertised Programs – на ваше усмотрение. Начну с Computer Client Agent.
Задаем учетную запись с достаточными правами.
Во вкладке Customization можно задать название предприятия и текст, который в некоторых ситуациях будет виден пользователям.
Агент Remote Tools. Здесь особенно обращаем внимание на политику безопасности предприятия. Пообщаться с начальством, в более крупных – со службой безопасности. Все это необходимо в связи с тем, что Remote Tools позволяют следить за действиями, которые пользователи производят на своих машинах. Нужно ли это и следует ли оповещать пользователей – вопрос интересный и чаще всего, он не находится в компетенции администратора. В целях эксперимента я делал так.
Просмотр разрешен только одному пользователю. В принципе, можно добавлять и группы.
Индикатор показывать не хочу, звуковое оповещение также выключаю. В реальных условиях что-то (или все сразу) надо бы включить.
Разрешаю себе полный контроль.
Даю разрешения на “Удаленный рабочий стол”. В моем случае они и так будут, в других – полезно.
С агентами определились, теперь надо бы их установить. В качестве требуемого метода я выбираю Client Push. Открываем.
Включаем.
Выводится предупреждение о том, что сначала необходимо применить настройки, затем убедиться, что действует какой-либо метод обнаружения.
Отмечаем те машины, на которые должен устанавливаться агент. Я выбираю все, включая сам сервер ConfigMgr. Без него результаты инвентаризации будут неполными.
Выбираем учетную запись с достаточными правами на установку ПО на клиентские машины. Обратите внимание, что я везде использую одну и ту же запись, однако для безопасности можно создать отдельные.
Перейдем к методам обнаружения. Для целей демонстрации вполне подойдет Active Directory System Discovery.
Включаем ее и нажимаем на звездочку.
Рекурсия включает в поиск содержимое подразделений.
Выбираем, где производить поиск. Я искал по всему домену.
Если все готово, можно поставить галочку, которая запустит обнаружение сразу, либо задать расписание.
Ждем некоторое время. Затем в списке компьютеров появляются обнаруженные.
Теперь, когда мы нашли машины, можно ставить на них агент. Нажимаем правой кнопкой либо на какой-либо один компьютер, либо на всю коллекцию. Пример показываю на отдельном.
Мастер установки.
Теперь обнаружены клиентские компьютеры и серверы, установлены агенты, где требуется. Можно приступать к использованию Configuration Manager.
Хочу еще раз напомнить – предлагаю обсуждать здесь. Спасибо всем за внимание.
http://technet.microsoft.com/en-us/library/bb693897.aspx
Информация по логам, НЕ ЛЕНИТЕСЬ ИСКАТЬ!
Хмм, логи, конечно, это полезно, только к чему это Вы?
Был вопрос в прошлой теме, от коллеги, где найти логи.
ОК, спасибо за ссылку.
Lineupс-пасибо за линк)
Друзья!
Может кто-нибудь поточнее сказать каким образом мне настроить расписание на обмен данными между основным и дочерними сайтами?
Это делается в Site Management -> Status Summary ->Site System Status Summarizer для каждого сайта?
Как говорят – wild guess – посмотрите в сторону site links. Более подробно – сорри, 1 сайт/1 домен вполне достаточно лично мне. Попробую посмотреть, где-то мне встречалась эта инфа.
Что имеется ввиду под Site Links?
Active Directory Sites and Services или настройки SCCM?
И еще вопросы:
1) Если смоделировать ситуацию когда клиент уезжает с основного сайта и попадает в другую сеть, а там получает другой IP-адресс, каким образом он станет себя вести (допустим что информация в AD о наличии сайтов опубликована и доступна этому клиенту).
2) Что случится если вдруг умрет сервер с Management Point (допустим что информация в AD о наличии сайтов опубликована и доступна этому клиенту), станут ли клиенты искать его в других сетях или что-то подобное, как часто будут проходить запросы? Боюсь зафлудить сеть.
Links – см. в настройках SCCM.
1. Если клиент попадает в другую сеть, которая находится за пределами внутренней сети, то управление будет осуществляться только если сайт стоит в основном режиме. Для этого в настройках есть возможность как достучаться до сервера из интернета.
2. Если сервер помрет, то весьма вероятно, что его удастся поднять быстрее, чем клиенты начнут нервничать. Функция восстановления реализована нормально. Клиенты, по-хорошему, сообщают на сервер раз в 7 дней (по умолчанию) данные о себе. Без перерыва они не общаются. Думаю, что где-то на 5й или 6й день запросится информация, потом пойдет таймаут. В других сетях вряд ли будут искать, у них же в настройках все прописано. Флуда не будет.
Ок, так вот собственно созрел еще вопрос, мы недавно говорили, что дочерний сайт необходим для снижения нагрузки на межсайтовые каналы, мне не совсем понятно, получается что клиенты отправляют данные на свой дочерний сервер, файлы с инвентаризацией и прочим? А он уже пересылает их на основной по расписанию и потом клдадет в базу данных? Или я ошибаюсь?
Вступаем на неизвестную территорию…
Попробую высказать мнение MCTS: SQL-база есть только на главном сервере, напрямую на него выходит только дочерний сервер, а не клиенты, значит, Ваше предположение лично мне кажется абсолютно точным.
Хорошо, уточню в документации, спасибо, вот еще что хотел уточнить – для дочернего сайта в свойствах «Client Push Installation» -> SMSSITECODE нужн опрописывать код родительского сайта или дочернего? Ведь база то в SQL все равно будет одна и будет она только под родительский сайт.
И кстати по поводу флуда, то ,что раз в 7 дней снимается инвентаризация это хорошо, а как же обновление политики клиентов которое происходит каждый час?
Чем мне нравится ConfigMgr, так это возможностью настройки. Посмотрите Client Time to Request Policy и выясните когда клиенты обновляют политики. Насчет Client Push – а что там по дефолту? В моем 1 сайт/1 домен я в последнюю вкладку вообще не заглядываю, никаких особых опций для установки мне не надо.
SITECODE – прописывыайте AUTO, если AD настроена нормально, то все будет работать замечательно.
Касаемо трафика между Primary-Secondary. Secondary – это прокси, между клиентами и Primary сайтом. Т.е. запрос дистрибутивов софта, политик с MP идет один раз и от имени Secondary, откуда все это дело потом забирают клиенты. BranchDP это прокси только для дистрибутивов, т.е. политики уже каждый клиент тянет с Primary сам.
Алексей, приветствую. Спасибо за четко сформулированный ответ.
Ну насколько я понял у нас всего два типа сайтов Primary (он же Parent) и Secondary (oн же Child и Branch) как они устанавливаются с диска или я ошибаюсь? Так вот тогда не совсем понятно зачем тянуть политики с Primary? И к тому же как я прочитал документацию Microsoft код указывается один для всех клиентов а вот Boundaries уже для каждого из Secondary или Primary сайтов раздается отдельно, по которым они и выбирают в рамках какого сайта им брать ближайший DP.
И кстати еще вопрос, какой компьютер публикует данные о сайтах (основных и дочерних) MP или компьютер на котором стоит Secondary Site?
Я немного запутался. Да, информацию Вы привели верную. Что значит «какой компьютер публикует»? Вы про отчеты?
1. Сайты устанавливаются достаточно гибко. Если нужно с диска – будет с диска. Можно даже «без рук», т.е. «unattended» Через сеть – тоже не проблема.
2. Неясен сам вопрос. Политики должны быть ТОЛЬКО на главном сайте, т.к. на второстепенном админов может не быть вообще. Сравните с такой сущностью, как read-only domain controller. Почему он берет все с «главного»? Чтоб не напортачили.
P.S. Обсуждение здесь, если Вы не против.
Здравствуйте. Подскажите плиз, какие действия надо предпринять для корректной работы ConfigMgr, если нет возможности расширить схему AD. Установлен Windows Server 2008 R2 x64, SQL Server 2008, Configuration Manager 2007 R2. Использую принудительную установку клиентов, в свойствах установки прописаны параметры:
SMSSITECODE=XYZ SMSSLP=name.domainname CCMHOSTNAME=»name.domainname» /mp:name
Клиенты установились на все машины, но сервер видит только 10 процентов всех машин. В логах часто повторяется ошибка «Systems Management Server cannot create the object «cn=SMS-SLP-ECO-PUNCHER» in Active Directory.» Но у сервера есть полные права к контейнеру System Management. Заранее спасибо!
Трудно, на самом деле, просо так ответить… В AD у сервера полные права? На OU и на дочерние объекты?
у сервера есть полные права к контейнеру System Management, в том числе и на создание/удаление дочерних объектов
С этим разобрался вроде бы, но возникла проблема: процесс smsexec занимает 100% процессорного времени, таким образом встает вся работа с SQL сервером. Подскажите пожалуйста, как исправить положение, заранее спасибо!