Es befinden sich keine Produkte im Warenkorb.

Es befinden sich keine Produkte im Warenkorb.

CM101 – MECM Grundlagen

Schulung und Training fÞr Microsoft Configuration Manager Current Branch (SCCM und MECM)

CM102 – MECM Aufbaukurs

Wir mÃķchten euch in diesem Beitrag einige Highlights aus der Schulung “Microsoft Endpoint Configuration Manager Aufbaukurs” vorstellen.

Jedes unserer Kapitel hat den gleichen Aufbau. Am Anfang wird die Funktion der jeweiligen Technologie ausfÞhrlich erklÃĪrt. Im zweiten Teil schauen wir uns die Installation und Konfiguration der Funktion an. Im dritten Abschnitt wird es dann spannend, hier werfen wir einen tiefen Blick auf die technischen AblÃĪufe, Schnittstellen und interne Kommunikation. Die dadurch gewonnenen Erkenntnisse, werden wir im letzten Abschnitt anwenden. Dazu werden Fehler wie z.B. korrupter Policy Header oder fehlende Delta Informationen provoziert und wir Þben wie solche Fehler erkannt und gelÃķst werden kÃķnnen.

Als Beispiel haben wir uns das Kapitel 8 herausgesucht, hier geht es um die Software Update Integration in den Configuration Manager. Das Thema wirkt auf den ersten Blick trivial und einfach zu konfigurieren, aber wir werden euch in diesem Kapitel das Gegenteil beweisen 😉 

Die Installation eines SUP ist in der Tat mit wenige Klicks abgeschlossen, doch leider kann man hier bereits einiges falsch machen und wird diese Fehler erst nach einiger Zeit durch schlechte Performance oder fehlerhaften Verteilungen feststellen.

Kapitel 8 – Abschnitt 1 – Überblick

Im ersten Teil werden allgemeine Informationen besprochen:

  • Welche Vorteile hat die Integration
  • Welche Voraussetzungen gibt es
  • Empfehlungen WID/SQL, shared/dedicated, usw.
  • Was muss ich beim Design berÞcksichtigen z.B. Anzahl SUP, an welchen Standorten benÃķtige ich einen SUP, wie erfolgt die Lastverteilung, usw.
  • Welche zusÃĪtzlichen Funktionen gibt es z.B. SCUP, 3rd Party Patch Management, usw.

Kapitel 8 – Abschnitt 2 – Installation

Nachdem wir mit den grundlegenden Informationen gerÞstet sind, geht es an die Installation und Konfiguration. Wir werden gemeinsam die Voraussetzungen z.B. WSUS Server, Zertifikate, usw. installieren und im Anschluss die Software Update Point Rolle auf einem dedizierten Server bereitstellen und konfigurieren. Danach erfolgt die Kontrolle. Wir zeigen die relevanten Logs und welche Meldung unproblematisch sind und bei welchen man Korrekturen vornehmen muss.

In den Demos wird z.B. folgendes Vorgehen erlÃĪutert. 

In dieser Übung werden, fÞr eine sichere SSL-Verbindung mit dem Software Update Point, folgenden Konfigurationen durchgefÞhrt:

  1. Der WSUS-Webseite wird ein Webserver Zertifikat zugeordnet
  2. Die virtuellen IIS Webseiten werden auf „SSL erforderlich“ konfiguriert
  3. Der WSUS Server wird fÞr die SSL Nutzung aktiviert, dazu ist folgender Befehl nÃķtig WSUSUtil.exe configuressl <VollstÃĪndiger DomÃĪnen Name des SUP>
  4. Die Clients mÞssen dem IIS Webserver Zertifikat vertrauen (Bereitstellung Root CA)
  5. Konfiguration der SUP Rolle „Require SSL communications to the WSUS Server“
  6. Alle Software Update Point in untergeordneten Sites mÞssen ebenfalls auf SSL umgestellt werden

NatÞrlich werden immer alle Optionen und Konfigurationen ausfÞhrlich erklÃĪrt. Hier zwei Beispiele:

  • Disable deadline randomization
    Der Zeitpunkt fÞr die Installation wir zu einem zufÃĪlligen Zeitpunkt in einem zwei Stunden Zeitfenster nach der Deadline ausgefÞhrt. Wird die Option aktiviert fÞhrt Configuration Manager keine Streuung innerhalb des Zeitfensters durch und alle zugewiesenen Clients installieren die Updates zum gleichen Zeitpunkt (keine Lastverteilung). Standard ist No
  • Grace period for enforcement after deployment deadline (hours)
    Beim Erreichen einer Deadline, kann dem Computer ein Aufschub von 0 bis 120 Stunden gewÃĪhrt werden (Soft-Deadline). Dies ermÃķglicht dem Anwender einen gÞnstigen Zeitpunkt fÞr die Installation zu wÃĪhlen. Diese Option ist besonders hilfreich, wenn keine Wartungsfenster genutzt werden oder der Computer lange Zeit offline war. Diese Einstellung kann auch mit “Delay enforcement of this deployment according to user preferences” kombiniert werden. Standard ist 0

Zu allen Optionen und Konfiguration geben wir natÞrlich unsere Best-Practice Empfehlung z.B. Das automatische Windows Update sollte bei Computer, die mit Configuration Manager verwaltet werden, deaktiviert werden. Dies kann durch die folgenden Gruppenrichtlinie erfolgen:
Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Update/ Configure Automatic Updates = Disabled

Diese Einstellung verhindert, dass der Windows Update Agent erforderliche Neustarts erkennt und dem Anwender zusÃĪtzliche Benachrichtigungen anzeigt oder den Computer neu startet. ZusÃĪtzlich wird der Windows Update Agent daran gehindert, selbst nach Updates zu suchen. Andere Windows Update Funktionen wie z.B. Windows Update Agent deaktivieren, usw. dÞrfen nicht konfiguriert werden, da sie die Configuration Manager Integration verhindern.

Kapitel 8 – Abschnitt 3 – Prozess

Im vorletzten Abschnitt beschÃĪftigen wir uns mit den internen ConfigMgr Prozessen (behind the scenes) also genau dass, was man auf den ersten Blick nicht sehen kann, aber unbedingt bei der Fehlersuche wissen muss. 

ConfigMgr_SCCM

Als Beispiel haben wir hier die Aktion “Software Update Deployment Evaluation Cycle”. Wir erklÃĪren warum es einen großen Unterschied macht, ob der Client nach seinem Zeitplan scannt oder ein Anwender/Admin den Scan manuell triggert. Warum die Time to Live, TTL wichtig ist und welche Konsequenz eine SUP Fallback auf Ihre Netzwerkperformance hat.

Kapitel 8 – Abschnitt 4 – Troubleshooting

Im letzten Abschnitt schauen wir, was man als Admin machen muss, wenn mal etwas nicht so funktioniert wie es soll. Neben einfachen Hinweisen wie:

    • Die ADR wird nach dem definierten Zeitplan ausgefÞhrt, kann aber auch manuell Þber rechts Klick „Run Now“ gestartet werden. Information zur AusfÞhrung oder Fehlern kÃķnnen in folgender Logdatei gefunden werden „rulengine.log“.
    • Ab der Version 2002 wurden Server Groups durch Orchestrierungsgruppen ersetzt. Beim Update auf 2002 werden die Server Groups automatisch in Orchestrierungsgruppen geÃĪndert.
    • Jedes Software Updates wird nur einmal pro Deployment Package gespeichert. Ist das Update bereits im Deployment Package vorhanden, wird es nicht erneut heruntergeladen.

Zeigen wir Fehler und LÃķsungen, die wir in MECM-Umgebungen gelÃķst haben.

Wir wollten hier nur einen kleinen Ausschnitt aus dem Kapitel 8 (Im original 43 Seiten) zeigen, damit Sie sich ein Bild Þber den Aufbau unserer Schulungen machen kÃķnnen.

CM103 – MECM Cloud

Wir mÃķchten euch in diesem Beitrag einige Highlights aus der Schulung “Microsoft Endpoint Configuration Manager fÞr Experten” vorstellen.

MECM Version 2010

In diesem Betrag mÃķchte ich euch die neuen Configuration Manager 2010 Features kurz vorstellen. Die Version 2010 ist nur als in-console Update verfÞgbar und setzt mindestens 1906 oder aktueller voraus. Wird eine neue MECM Umgebung installiert, muss mit der letzten Vollversion 2002 begonnen werden.

Aktuell wird die Installation der Version 2010 von Microsoft nicht empfohlen, da es einen Fehler bei den Client Benachrichtigungen gibt. Durch den Fehler wird die Client Aktion nicht nur auf einem GerÃĪt ausgefÞhrt, sondern auf der gesamten Sammlung weitere Informationen.