Týden se správou aplikací pomocí SCCM 2012 – díl 1: instalace SCCM klientů

Vítejte u prvního dílu pětidílného seriálu, ve kterém společně se podíváme na možnosti správy aplikací s využitím nástroje System Center Configuration Manager 2012 (SCCM 2012). Dnes začneme instalací agentů na stanice a v dalších dílech se budeme věnovat instalaci, aktualizaci, odinstalaci a monitorování aplikací. Ukážeme si různé možnosti automatizace instalací a nástroje, které můžeme dát k dispozici uživatelům. Nejprve si vysvětlíme potřebné termíny a pak se již budeme věnovat čistě praktickému použití.

Nebudeme si zde vykládat, co to Configuration Manager je ani jaké má výhody jeho využití. Potřebnou výchozí podmínkou je, že musíme mít SCCM 2012 implementovaný, přičemž stačí základní instalace se všemi rolemi na jednom serveru. Pro testování můžeme použít i trial verzi.

V našem seriálu se budeme věnovat správě aplikací. Abychom ji mohli začít provádět, potřebujeme mít na všech spravovaných počítačích nainstalovaného SCCM klienta. Toho můžeme na stanice instalovat několika způsoby, mně se ale jako nejlepší zdá Client Push Instalace, takže na tuto metodu se zde zaměříme. Nejprve si ale shrneme pár pojmů a požadavků, které s klienty souvisí. Pak se podíváme na praktickou konfiguraci a vlastní instalaci.

Pozn.: Celá rodina nástrojů System Center 2012 má sjednocený vzhled a ovládání konzole, kde využívá Ribbon. Pro přístup k jednotlivým funkcím můžeme použít horní nástrojovou lištu, která se proměňuje podle vybraného objektu, ovšem stále je také k dispozici kontextové menu přes pravé tlačítko myši, kde jsou ty samé funkce.

Úvod k instalaci klientů

Podporované operační systémy (OS)

• k dispozici je 32 bitový i 64 bitový klient pro běžné MS OS
• od Windows XP Professional (SP3) a Windows Server 2003 SP2, přes Windows Vista a Windows Server 2008 SP2 po Windows 7 a Windows Server 2008 R2
• dále Windows Embedded (například Windows XP Embedded SP3, Windows Embedded Standard 7 with SP1, Windows Thin PC)
• pro správu jsou podporováni mobilní klienti Windows Mobile 6.1, Windows Mobile  6.5, Nokia Symbian Belle

Oficiální dokumentace Computer Client Requirements.

Metody instalace klientů

• Client push – instalace ze serveru, je možná i automatická instalace na nově objevená zařízení
• Group Policy – standardní instalace pomocí GPO
• Logon script – skript, který se spustí po přihlášení a provede instalaci
• Software Update Point – vypublikujeme instalační balíček klienta do Windows Update a přes něj si jej nainstalují klienti
• Manuální – ručně spustíme instalaci na stanici
• Upgrady – několik možností upgradu ze starého klienta SCCM 2007

Oficiální dokumentace Introduction to Client Deployment in Configuration Manager.

Důležité termíny

• Discovered Systems – počítače, které byly detekovány a přidány do Site DB. Následně se na ně může nainstalovat klient.
• Boundaries – jde o síťové umístění uvnitř lokální sítě, může jít o IP subnet, AD site či rozsah IP adres. Počítače se pomocí nich automaticky zařazují do Site
• Boundary Groups – Boundary musíme zařadit do skupiny (Boundary Groups), aby ji bylo možno využít
• Routed Instalace – pokud je klient v jiné Site než server

Discovery methods

Abychom s nějakou stanicí mohli pracovat v SCCM, tak ji nejprve musí znát (objevit). To potřebujeme například i proto, abychom mohli nainstalovat klienta pomocí Client Push instalace. K tomu můžeme využít jednu nebo více Discovery methods. Pro každý nalezený objekt se vytváří Discovery Data Record (DDR) v databázi SCCM. Výhoda je, že se nejen nalezené počítače přidávají, ale také se při odstranění z AD odstraní z DB SCCM. K dispozici máme následující metody:

• Active Directory Forest Discovery – hledá Site a subnety
• Active Directory System Discovery – počítače z určitého kontejneru v AD
• Active Directory User Discovery – uživatelské účty z určitého kontejneru v AD
• Active Directory Group Discovery – lokální, globální a universální (ne distribuční) skupiny a jejich členství
• Heartbeat Discovery – využívá klient pro aktualizaci údajů o počítači
• Network Discovery – hledá síťová zařízení (tiskárny, switche, apod.) podle IP adresy

Pozn.: SCCM 2012 nově upřednostňuje zaměření na uživatele, místo na zařízení, to se označuje jako User-centric. Takže je docela vhodné načítat uživatele z AD (ale počítače potřebujeme také :-).

Oficiální dokumentace Planning for Discovery in Configuration Manager.

Komunikace klientů

Klienti se k serveru připojují buď přes HTTP nebo HTTPS. Pokud se využije HTTPS, tak se většinou použije mutual authentication, kdy nejen server, ale i klient musí mít certifikát. Mobilní zařízení a klienti z internetu musí použít HTTPS. Nastavení pro komunikaci (tedy HTTP nebo HTTPS) může být různé pro různé systémové role v rámci jedné Site. Abychom mohli využít bezpečnější komunikaci přes HTTPS, tak musíme mít zprovozněno PKI (Public Key Infrastructure). Informace o potřebných certifikátech jsou v dokumentu PKI Certificate Requirements for Configuration Manager.

Pozn.: I v případě HTTP používají klienti certifikát, ale pouze self-signed.

Client Push Instalace

Pro veškerá nastavení a konfiguraci SCCM 2012 budeme využívat Configuration Manager Console, která je k dispozici na SCCM serveru, ten se u nás jmenuje sccm12.firma.local.

Požadavky

• účet, který provádí instalaci, musí mít administrátorská práva na stanici (můžeme vytvořit například účelový účet v AD SMSadmin)
• na stanici musí být povolen Admin$ share
• musíme mít (roli) Management Point
• komunikace nesmí být blokována na FW, DNS musí přeložit jméno stanice

Nastavení Discovery

• Administration – Hierarchy Configuration – Discovery Methods
• asi se hodí většina metod zapnout, i když třeba Forest Discovery nám stačí spustit pouze jednou (pokud neměníme strukturu Site)
• pro Group, System a User musíme nejen zapnout, ale také zadat lokalitu, kde má hledat objekty
• všude zadáváme jak často se má hledání provádět, plus různé další volitelné parametry

Nastavení Client Push instalace

• Administration – Site Configuration – Sites
• pravým tlačítkem klikneme na Site a zvolíme Client Installation Settings – Client Push Installation

• na záložce General můžeme zapnout automatickou instalaci klientů na objevené počítače (ale to je třeba dobře zvážit)

• na záložce Accounts musíme nastavit účet, pod kterým se bude provádět instalace

• klikneme na ikonu hvězdičky, zvolíme New Account a nalezneme účet z AD a zadáme jeho heslo
• na záložce Installation Properties můžeme nastavovat parametry pro client.msi (více About Client Installation Properties in Configuration Manager)

Vytvoření Boundary Group

• Administration – Hierarchy Configuration – Boundary Groups
• Create Boundary Group
• zadáme jméno a přiřadíme alespoň jednu Boundary (vhodná je třeba AD Site, která se nám vytvořila pomocí Discovery, pokud již proběhlo)
• na záložce References zaškrtneme použití této skupiny pro Site Assignment a přiřadíme server pro obsah

Úprava nastavení klientů (Client Settings)

Konfiguraci klientů můžeme provádět pomocí výchozího nastavení (Default Client Settings), které se aplikuje na celou hierarchii. Nebo vlastního nastavení (politik), které můžeme cílit na kolekce. Podle nastavení priorit (politika s nižší hodnotou přepisuje vyšší) se pak přepisují nastavení, pokud máme politik více.

Již před instalací klientů můžeme upravit defaultní nastavení nebo přidat nové vlastní. Pokud vytvoříme nové, tak volíme, zda jde o hodnoty pro zařízení nebo uživatele. Nastavení se provádí v sekci:

• Administration – Client Settings

Důležitá je hodnota Client policy polling interval (minutes) v části Client policy, která říká, jak často si klient aktualizuje počítačovou politiku ze serveru. Hodnota může být 3 až 1440 minut a výchozí je 60 minut. Oproti předchozí verzi se ale nevyužívají politiky pro nabízení aplikací koncovým uživatelům.

Oficiální dokumentace How to Configure Client Settings in Configuration Manager.

Instalace klienta

Instalovat klienta pomocí Push instalace můžeme buď na celou kolekci, nebo na ručně vybrané počítače. Celý proces je velmi jednoduchý a zde je ilustrována instalace na vybraná zařízení:

• Assets and Compliance - Overview – Devices
• vybereme zařízení (jedno nebo více)
• klikneme pravým tlačítkem a zvolíme Install Client
• můžeme vyplnit pár voleb a odsouhlasíme instalaci

Kontrola instalace a hledání chyb

Postupem v minulém bodě se instalace nastartovala a probíhá na pozadí. Pokud z nějakého důvodu selže, tak se to zde nedozvíme. V případě nainstalování klienta se v seznamu zařízení objeví u naší stanice Client Activity stav Active. Abychom se o instalaci dozvěděli více, tak musíme mít nainstalovánu roli Reporting Services Point, která využívá SQL Server Reporting Services. Potom můžeme použít následující report:

• Monitoring – Overview – Reporting – Reports
• (zobrazování seznamu reportů trvá delší dobu)
• zde můžeme vybrat report Client Push Installation Status Details a spustit jej
• ve formuláři zadáme Status All a klikneme na View Report

Pro více informací se můžeme podívat do logu na serveru, který se nachází (defaultně) v C:\Program Files\Microsoft Configuration Manager\Logs\ccm.log. Nebo pokud se instalace klienta zahájila, do logu na stanici v cestě C:\windows\ccmsetup\ soubory ccmsetup.log a client.msi.log.

Pozn.: Na klientovi se do aplikačního logu vloží událost s ID 11707 (Product: Configuration Manager Client -- Installation operation completed successfully.) ve chvíli, kdy se klient nainstaluje.

Odinstalování klienta

Klient se standardně instaluje do složky C:\Windows\CCM. Instalační soubory se ukládají do C:\Windows\ccmsetup. Odinstalování klienta není možné standardně pomocí Programs and Features, ale využije se instalační exe:

C:\Windows\ccmsetup\ccmsetup.exe /uninstall

Odinstalace probíhá na pozadí a nezobrazí žádné informace. Potvrdit korektní provedení můžeme pohledem do aplikačního logu událostí, kde se vloží ID 11724 (Product: Configuration Manager Client -- Removal completed successfully.). Nebo prohlédnutím logu C:\windows\ccmsetup\ccmsetup.log.

I když na stanici odinstalujeme SCCM klienta, tak v konzoli SCCM pořád vidíme, jakoby tam klient byl. Řešením je smazat zdroj (počítač) v seznamu zařízení. Pokud používáme Discovery, tak se nám tam po čase opět objeví a již bez klienta.

Klientské aplikace

Po nainstalování klienta se na stanici (standardně) objeví pod Control Panel položka Configuration Manager.

A ve Start Menu položka Microsoft System Center 2012\Configuration Manager\Software Center.

Závěr aneb co nás čeká příště

Aby bylo jasno, co nás čeká v dalších dílech a na co se můžeme těšit, tak zde jsou témata všech dílů našeho malého seriálu:

• Správa aplikací pomocí SCCM 2012 - díl 1 – instalace SCCM klientů
• Správa aplikací pomocí SCCM 2012 - díl 2 – nutné termíny z oblasti správy aplikací
• Správa aplikací pomocí SCCM 2012 - díl 3 – vytvoření a nasazení (instalace) aplikace
• Správa aplikací pomocí SCCM 2012 - díl 4 – úprava, nahrazení, monitoring a odinstalování aplikace
• Správa aplikací pomocí SCCM 2012 - díl 5 – klientské nástroje a žádost o aplikaci

 

Petr Bouška
www.samuraj-cz.com