sccm-logo

Развёртывание System Center Configuration Manager 1702. Часть 2 – подготовка инфраструктуры

В данной статье я рассмотрю процесс подготовки окружения для установки System Center Configuration Manager Current Branch 1702. В первой части цикла статей мы ознакомились вкратце с архитектурой Configuration Manager. Далее я буду описывать процесс развёртывания SCCM в варианте Stand-alone Primary сайта. Инфраструктура ConfigMgr будет состоять из 3 серверов: два сервера для обеспечения функционала сайта и сервер баз данных. Все серверы под управлением Windows Server 2016. В качестве сервера баз данных SQL Server 2016.

До начала установки первого сайта Configuration Manager необходимо подготовить для него инфраструктуру. Сначала мы подготовим сервер баз данных, установив на него SQL Server 2016 в нужной конфигурации, затем создадим контейнер System Management и настроим его ACL, далее расширим схему Active Directory.

Установка SQL Server 2016

До начала установки SQL Server создадим необходимые сервисные учётные записи в домене Active Directory. Microsoft рекомендует создавать доменные учётные записи и не использовать локальные системные аккаунты.
Создадим следующие учётные записи:

CM_SQL_DE SQL Server Database Engine
CM_SQL_RS SQL Server Reporting Services
CM_SQL_SA SQL Server Agent

Включаем учётную запись CM_SQL_DE в группу локальных администраторов на SQL сервре. Также в группу локальных администраторов необходимо добавить учётные записи серверов сайта. В моём случае это учётные записи CM01 и CM02:
sccm-install-sql-server-18
На подготовленный сервер Windows Server 2016 установим все доступные обновления, затем запускаем установку SQL Server:
sccm-install-sql-server-1

sccm-install-sql-server-2

Правило проверки брандмауэра выдаёт предупреждение, если брандмауэр запущен:
sccm-install-sql-server-3
Чтобы не возвращаться к этому вопросу сразу настроим его. Для этого необходимо создать правило, разрешающее подключение на порт 1433 и 4022 (нужен для репликации базы данных в рамках сайта):

netsh advfirewall firewall add rule name = "SQL Server 1433" dir = in protocol = tcp action = allow localport = 1433
netsh advfirewall firewall add rule name = "SQL Server 4022" dir = in protocol = tcp action = allow localport = 4022

Также для установки Configuration Manager нам понадобится группа правил «Windows Management Instrumentation (WMI)» и «File and Printer sharing». Включим их все через PowerShell:

Enable-NetFirewallRule -DisplayGroup "Windows Management Instrumentation (WMI)"
Enable-NetFirewallRule -DisplayGroup "File and Printer sharing"

На этапе выбора компонент SQL сервера выбираем Database Engine Services и Reporting Services:
sccm-install-sql-server-4
Оставляем имя экземпляра по умолчанию:
sccm-install-sql-server-5
Далее указываем наши учётные записи, которые мы создали для нашего SQL сервера:
sccm-install-sql-server-6
На вкладке Collation необходимо указать SQL_Latin1_General_CP1_CI_AS
sccm-install-sql-server-9
sccm-install-sql-server-8
Далее указываем режим аутентификации. Я предпочитаю использовать Mixed Mode. Данная настройка не влияет на работу Configuration Manager. Добавляем администраторов (желательно группы Active Directory):
sccm-install-sql-server-7
При необходимости изменяем пути расположения баз данных и журналов транзакций по умолчанию для сервера на вкладке Data Directories.
Вариант установки Reporting Services указываем Install and configure:
sccm-install-sql-server-10
Убеждаемся в успешности завершения установки:
sccm-install-sql-server-11

Регистрируем SPN для учётной записи, от которой запущен SQL Server. В нашем случае для учётной записи CM_SQL_DE. На контроллере домена в командной строке запускаем:

setspn -a MSSQLSvc/cmdb.domain.com:1433 CM_SQL_DE
setspn -a MSSQLSvc/cmdb.domain.com CM_SQL_DE

Проверяем атрибут servicePrincipalName:
sccm-install-sql-server-15

Для установки SQL Server Management Studio скачиваем актуальный дистрибутив по ссылке: https://docs.microsoft.com/ru-ru/sql/ssms/download-sql-server-management-studio-ssms

Подготовка Active Directory

Если мы решили расширять схему AD, то перед этим необходимо создать System Management контейнер. Этот контейнер используется сайтом для хранения данных, таких как границы поиска клиентов, например.

Создать контейнер и расширить схему можно с помощью утилиты ConfigMgr Prerequisites Tool, которая позволяет также проверить и установить весь софт, необходимый для развёртывания следующих типов сайтов:
Central Administration site
Primary site
Secondary site
И для следующих site system roles:
Management Point
Distribution Point
Software Update Point
State Migration Point
Application Catalog
Enrollment Point (и Enrollment Proxy Point)
В описываемом сценарии я буду использовать её для установки необходимых компонент на второй сервер сайта. Расширение схемы и создание контейнера я выполню вручную, чтобы показать как это делается.

Создание контейнера System Management

На любом контроллере домена открываем ADSI Edit:

sccm-install-adds-2
В открывшейся консоли правый клик на корень «ADSI Edit» и выбираем «Connect to…»:
sccm-install-adds-3
В открывшемся окне выбираем Default Naming Context и нажимаем OK:
sccm-install-adds-4
В контейнере System создаём новый объект типа контейнер:
sccm-install-adds-5
sccm-install-adds-6
sccm-install-adds-7
Нажимаем Finish и открываем свойства созданного контейнера:
sccm-install-adds-8
Для учётных записей серверов сайта Configuration Manager необходим полный доступ (full control) к данному контейнеру, чтобы они могли публиковать в нём данные.
На вкладке Security добавляем учётные записи серверов сайта:
sccm-install-adds-9
Выставляем Full Control:
sccm-install-sql-server-16

Далее в этом же окне нажимаем кнопку Advanced и меняем разрешения таким образом, чтобы доступ Full Control был на все дочерние объекты:
sccm-install-sql-server-17

Расширение схемы Active Directory

Для начала убеждаемся, что аккаунт из под которого мы собрались расширять схему входит в группу Schema Admins.

Монтируем к нашему контроллеру домена установочный образ диска SCCM, открываем папку \SMSSetup\Bin\x64\. В папке находим приложение extadsch.exe и запускаем его с повышенными привилегиями:
sccm-install-adds-12
Процесс добавления новых атрибутов проходит довольно быстро. Результат выполнения команды пишется в лог файл C:\ExtADSch.log
В моём случае с первого запуска не все атрибуты были успешно добавлены. Повторный запуск extadsch.exe добавил все атрибуты. Содержимое лог файла:

<07-13-2017 18:21:34> Modifying Active Directory Schema - with SMS extensions.
<07-13-2017 18:21:34> DS Root:CN=Schema,CN=Configuration,DC=domainname,DC=com
<07-13-2017 18:21:35> Defined attribute cn=MS-SMS-Site-Code.
<07-13-2017 18:21:35> Defined attribute cn=mS-SMS-Assignment-Site-Code.
<07-13-2017 18:21:36> Defined attribute cn=MS-SMS-Site-Boundaries.
<07-13-2017 18:21:36> Defined attribute cn=MS-SMS-Roaming-Boundaries.
<07-13-2017 18:21:36> Defined attribute cn=MS-SMS-Default-MP.
<07-13-2017 18:21:36> Defined attribute cn=mS-SMS-Device-Management-Point.
<07-13-2017 18:21:36> Defined attribute cn=MS-SMS-MP-Name.
<07-13-2017 18:21:36> Defined attribute cn=MS-SMS-MP-Address.
<07-13-2017 18:21:36> Defined attribute cn=mS-SMS-Health-State.
<07-13-2017 18:21:36> Defined attribute cn=mS-SMS-Source-Forest.
<07-13-2017 18:21:36> Defined attribute cn=MS-SMS-Ranged-IP-Low.
<07-13-2017 18:21:36> Defined attribute cn=MS-SMS-Ranged-IP-High.
<07-13-2017 18:21:36> Defined attribute cn=mS-SMS-Version.
<07-13-2017 18:21:36> Defined attribute cn=mS-SMS-Capabilities.
<07-13-2017 18:21:36> Failed to create class cn=MS-SMS-Management-Point.  Error code = 8202.
<07-13-2017 18:21:36> Failed to create class cn=MS-SMS-Server-Locator-Point.  Error code = 8202.
<07-13-2017 18:21:36> Failed to create class cn=MS-SMS-Site.  Error code = 8202.
<07-13-2017 18:21:36> Failed to create class cn=MS-SMS-Roaming-Boundary-Range.  Error code = 8202.
<07-13-2017 18:21:36> Failed to extend the Active Directory schema, please find details in "C:\ExtADSch.log".

Повторный запуск ExtADSch:

<07-13-2017 18:37:41> Modifying Active Directory Schema - with SMS extensions.
<07-13-2017 18:37:41> DS Root:CN=Schema,CN=Configuration,DC=domainname,DC=com
<07-13-2017 18:37:41> Attribute cn=MS-SMS-Site-Code already exists.
<07-13-2017 18:37:41> Attribute cn=mS-SMS-Assignment-Site-Code already exists.
<07-13-2017 18:37:41> Attribute cn=MS-SMS-Site-Boundaries already exists.
<07-13-2017 18:37:41> Attribute cn=MS-SMS-Roaming-Boundaries already exists.
<07-13-2017 18:37:41> Attribute cn=MS-SMS-Default-MP already exists.
<07-13-2017 18:37:41> Attribute cn=mS-SMS-Device-Management-Point already exists.
<07-13-2017 18:37:41> Attribute cn=MS-SMS-MP-Name already exists.
<07-13-2017 18:37:41> Attribute cn=MS-SMS-MP-Address already exists.
<07-13-2017 18:37:41> Attribute cn=mS-SMS-Health-State already exists.
<07-13-2017 18:37:41> Attribute cn=mS-SMS-Source-Forest already exists.
<07-13-2017 18:37:41> Attribute cn=MS-SMS-Ranged-IP-Low already exists.
<07-13-2017 18:37:41> Attribute cn=MS-SMS-Ranged-IP-High already exists.
<07-13-2017 18:37:42> Attribute cn=mS-SMS-Version already exists.
<07-13-2017 18:37:42> Attribute cn=mS-SMS-Capabilities already exists.
<07-13-2017 18:37:43> Defined class cn=MS-SMS-Management-Point.
<07-13-2017 18:37:44> Defined class cn=MS-SMS-Server-Locator-Point.
<07-13-2017 18:37:44> Defined class cn=MS-SMS-Site.
<07-13-2017 18:37:44> Defined class cn=MS-SMS-Roaming-Boundary-Range.
<07-13-2017 18:37:45> Successfully extended the Active Directory schema.

<07-13-2017 18:37:45> Please refer to the ConfigMgr documentation for instructions on the manual 
<07-13-2017 18:37:45> configuration of access rights in active directory which may still 
<07-13-2017 18:37:45> need to be performed.  (Although the AD schema has now be extended, 
<07-13-2017 18:37:45> AD must be configured to allow each ConfigMgr Site security rights to 
<07-13-2017 18:37:45> publish in each of their domains.)

В результатах должна быть запись об успешном расширении схемы: Successfully extended the Active Directory schema.

На этом подготовку инфраструктуры можно считать законченной. В следующей части я опишу процесс подготовки первого сервера сайта к установке Configuration Manager, а также сам процесс установки ConfigMgr.

Развёртывание System Center 2016 Configuration Manager. Часть 1 – планирование архитектуры

Развёртывание System Center 2016 Configuration Manager. Часть 3 – Подготовка и установка первого сервера сайта

Развёртывание System Center Configuration Manager 1702. Часть 4 – подготовка и установка второго сервера сайта

Развёртывание System Center Configuration Manager 1702. Часть 5 – установка Software Update Point

Развёртывание System Center Configuration Manager 1702. Часть 6 – установка клиентов

Развёртывание System Center Configuration Manager 1702. Часть 7 – Настройка центра программного обеспечения и каталога приложений

Развёртывание System Center Configuration Manager 1702. Часть 8 – Установка точки служб отчётов

1 комментарий

Спасибо за ваш материал, сейчас разворачиваю данную систему версии 2016. Появилась такая проблема, что открытия портов 1433 и 4022 было недостаточно, пока не открыл 1434 UDP не мог подключаться к SQL серверу. Но я делал поименованный инстанс.

Добавить комментарий