Es befinden sich keine Produkte im Warenkorb.

Es befinden sich keine Produkte im Warenkorb.

CM101 – MECM Grundlagen

Schulung und Training für Microsoft Configuration Manager Current Branch (SCCM und MECM)

CM102 – MECM Aufbaukurs

Wir möchten euch in diesem Beitrag einige Highlights aus der Schulung “Microsoft Endpoint Configuration Manager Aufbaukurs” vorstellen.

Jedes unserer Kapitel hat den gleichen Aufbau. Am Anfang wird die Funktion der jeweiligen Technologie ausführlich erklärt. Im zweiten Teil schauen wir uns die Installation und Konfiguration der Funktion an. Im dritten Abschnitt wird es dann spannend, hier werfen wir einen tiefen Blick auf die technischen Abläufe, Schnittstellen und interne Kommunikation. Die dadurch gewonnenen Erkenntnisse, werden wir im letzten Abschnitt anwenden. Dazu werden Fehler wie z.B. korrupter Policy Header oder fehlende Delta Informationen provoziert und wir üben wie solche Fehler erkannt und gelöst werden können.

Als Beispiel haben wir uns das Kapitel 8 herausgesucht, hier geht es um die Software Update Integration in den Configuration Manager. Das Thema wirkt auf den ersten Blick trivial und einfach zu konfigurieren, aber wir werden euch in diesem Kapitel das Gegenteil beweisen 😉 

Die Installation eines SUP ist in der Tat mit wenige Klicks abgeschlossen, doch leider kann man hier bereits einiges falsch machen und wird diese Fehler erst nach einiger Zeit durch schlechte Performance oder fehlerhaften Verteilungen feststellen.

Kapitel 8 – Abschnitt 1 – Überblick

Im ersten Teil werden allgemeine Informationen besprochen:

  • Welche Vorteile hat die Integration
  • Welche Voraussetzungen gibt es
  • Empfehlungen WID/SQL, shared/dedicated, usw.
  • Was muss ich beim Design berücksichtigen z.B. Anzahl SUP, an welchen Standorten benötige ich einen SUP, wie erfolgt die Lastverteilung, usw.
  • Welche zusätzlichen Funktionen gibt es z.B. SCUP, 3rd Party Patch Management, usw.

Kapitel 8 – Abschnitt 2 – Installation

Nachdem wir mit den grundlegenden Informationen gerüstet sind, geht es an die Installation und Konfiguration. Wir werden gemeinsam die Voraussetzungen z.B. WSUS Server, Zertifikate, usw. installieren und im Anschluss die Software Update Point Rolle auf einem dedizierten Server bereitstellen und konfigurieren. Danach erfolgt die Kontrolle. Wir zeigen die relevanten Logs und welche Meldung unproblematisch sind und bei welchen man Korrekturen vornehmen muss.

In den Demos wird z.B. folgendes Vorgehen erläutert. 

In dieser Übung werden, für eine sichere SSL-Verbindung mit dem Software Update Point, folgenden Konfigurationen durchgeführt:

  1. Der WSUS-Webseite wird ein Webserver Zertifikat zugeordnet
  2. Die virtuellen IIS Webseiten werden auf „SSL erforderlich“ konfiguriert
  3. Der WSUS Server wird für die SSL Nutzung aktiviert, dazu ist folgender Befehl nötig WSUSUtil.exe configuressl <Vollständiger Domänen Name des SUP>
  4. Die Clients müssen dem IIS Webserver Zertifikat vertrauen (Bereitstellung Root CA)
  5. Konfiguration der SUP Rolle „Require SSL communications to the WSUS Server
  6. Alle Software Update Point in untergeordneten Sites müssen ebenfalls auf SSL umgestellt werden

Natürlich werden immer alle Optionen und Konfigurationen ausführlich erklärt. Hier zwei Beispiele:

  • Disable deadline randomization
    Der Zeitpunkt für die Installation wir zu einem zufälligen Zeitpunkt in einem zwei Stunden Zeitfenster nach der Deadline ausgeführt. Wird die Option aktiviert führt Configuration Manager keine Streuung innerhalb des Zeitfensters durch und alle zugewiesenen Clients installieren die Updates zum gleichen Zeitpunkt (keine Lastverteilung). Standard ist No
  • Grace period for enforcement after deployment deadline (hours)
    Beim Erreichen einer Deadline, kann dem Computer ein Aufschub von 0 bis 120 Stunden gewährt werden (Soft-Deadline). Dies ermöglicht dem Anwender einen günstigen Zeitpunkt für die Installation zu wählen. Diese Option ist besonders hilfreich, wenn keine Wartungsfenster genutzt werden oder der Computer lange Zeit offline war. Diese Einstellung kann auch mit “Delay enforcement of this deployment according to user preferences” kombiniert werden. Standard ist 0

Zu allen Optionen und Konfiguration geben wir natürlich unsere Best-Practice Empfehlung z.B. Das automatische Windows Update sollte bei Computer, die mit Configuration Manager verwaltet werden, deaktiviert werden. Dies kann durch die folgenden Gruppenrichtlinie erfolgen:
Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Update/ Configure Automatic Updates = Disabled

Diese Einstellung verhindert, dass der Windows Update Agent erforderliche Neustarts erkennt und dem Anwender zusätzliche Benachrichtigungen anzeigt oder den Computer neu startet. Zusätzlich wird der Windows Update Agent daran gehindert, selbst nach Updates zu suchen. Andere Windows Update Funktionen wie z.B. Windows Update Agent deaktivieren, usw. dürfen nicht konfiguriert werden, da sie die Configuration Manager Integration verhindern.

Kapitel 8 – Abschnitt 3 – Prozess

Im vorletzten Abschnitt beschäftigen wir uns mit den internen ConfigMgr Prozessen (behind the scenes) also genau dass, was man auf den ersten Blick nicht sehen kann, aber unbedingt bei der Fehlersuche wissen muss. 

ConfigMgr_SCCM

Als Beispiel haben wir hier die Aktion “Software Update Deployment Evaluation Cycle”. Wir erklären warum es einen großen Unterschied macht, ob der Client nach seinem Zeitplan scannt oder ein Anwender/Admin den Scan manuell triggert. Warum die Time to Live, TTL wichtig ist und welche Konsequenz eine SUP Fallback auf Ihre Netzwerkperformance hat.

Kapitel 8 – Abschnitt 4 – Troubleshooting

Im letzten Abschnitt schauen wir, was man als Admin machen muss, wenn mal etwas nicht so funktioniert wie es soll. Neben einfachen Hinweisen wie:

    • Die ADR wird nach dem definierten Zeitplan ausgeführt, kann aber auch manuell über rechts Klick „Run Now“ gestartet werden. Information zur Ausführung oder Fehlern können in folgender Logdatei gefunden werden „rulengine.log“.
    • Ab der Version 2002 wurden Server Groups durch Orchestrierungsgruppen ersetzt. Beim Update auf 2002 werden die Server Groups automatisch in Orchestrierungsgruppen geändert.
    • Jedes Software Updates wird nur einmal pro Deployment Package gespeichert. Ist das Update bereits im Deployment Package vorhanden, wird es nicht erneut heruntergeladen.

Zeigen wir Fehler und Lösungen, die wir in MECM-Umgebungen gelöst haben.

Wir wollten hier nur einen kleinen Ausschnitt aus dem Kapitel 8 (Im original 43 Seiten) zeigen, damit Sie sich ein Bild über den Aufbau unserer Schulungen machen können.

CM103 – MECM Cloud

Wir möchten euch in diesem Beitrag einige Highlights aus der Schulung “Microsoft Endpoint Configuration Manager für Experten” vorstellen.

MECM Version 2010

In diesem Betrag möchte ich euch die neuen Configuration Manager 2010 Features kurz vorstellen. Die Version 2010 ist nur als in-console Update verfügbar und setzt mindestens 1906 oder aktueller voraus. Wird eine neue MECM Umgebung installiert, muss mit der letzten Vollversion 2002 begonnen werden.

Aktuell wird die Installation der Version 2010 von Microsoft nicht empfohlen, da es einen Fehler bei den Client Benachrichtigungen gibt. Durch den Fehler wird die Client Aktion nicht nur auf einem Gerät ausgeführt, sondern auf der gesamten Sammlung weitere Informationen.