Endpoint Configuration Manager installieren: Design-Entscheidungen und Vorarbeiten (AD-Schema, Rollen und Features, Konten und Gruppen, ADK, etc.)

Egal welche Beweggründe Sie treiben, eine Planung für den Einsatz eines derart komplexen Tools ist dringend zu empfehlen. Für eine Cloud-Konfiguration oder eine hybride Infrastruktur gilt das erst recht.

Configuration Manager hat eine hohe Versionsdynamik, dieser Beitrag beruht auf Current Branch 2010.

Planung und Designentscheidungen

Folgende Faktoren sollten für eine Design-Entscheidung berücksichtigt werden:

• Die Größe der Organisation. Ein Unternehmen mit zig Standorten weltweit und mehreren tausend Mitarbeitern hat einen höheren Site-Server-Workload als eine Firma mit 100 Mitarbeitern (ca. 5 bis 10 MB pro User müssen dabei für die Datenbanken vorgesehen werden).
• Die Anzahl der Deployments pro Tag spielt eine Rolle beim Sizing. Auch die Anzahl der verwalteten Collections muss abgefedert werden.
• Netzwerk-Topologie und Bandbreiten müssen klar sein. Distribution Points in geografisch verteilten Lokationen schonen zentrale Ressourcen und verringern die Latenzen.
• Ist eine hybride Infrastruktur des On-prem-MECM zusammen mit Intune (via Endpoint Manager admin center) in der Azure Cloud vorgesehen (mehr dazu in einem eigenen Beitrag)?
• SQL Server und der ConfigMgr-Datenbank: Eine lokale Installation zusammen mit Configuration Manager auf einer Maschine kommt der Leistung zugute und wird unterstützt. Viele Unter­nehmen haben jedoch ihre eigene (hochverfügbare) Datenbank­infrastruktur (zum Beispiel: Always on Availability Groups). Eine Remote-Anbindung ist hier eventuell erforderlich.
• Kommt eine lokale Installation des SQL Server in Betracht, sollten die Datenbanken und Logs auf unter­schiedlichen Volumes abgelegt werden.
• Anzahl und Gewichtung der Rollen der Primary Site: Wird zusätzlich ein Software Update Point (SUP) konfiguriert oder die Rolle des State Migration Point (SMP) etc.?

Interessant in diesem Zusammenhang: Size and scale - Configuration Manager

Konten und Gruppen im Active Directory

Für die spätere Installation und Konfiguration von MECM macht es Sinn, die nötigen Konten und Gruppen (zusammen mit dem Active-Directory Team) vorab anzulegen:

• MECM-CP: Domänen-Benutzerkonto für die Client-Push-Installation
• MECM-DJ: Domänenkonto für den Domänen­beitritt einer Maschine beim Operating System Deployment (OSD)
• MECM-NA: Netzwerk-Zugriffskonto
• MECM-SQLSVC: Dienstkonto für SQL Server
• MECM-SQLR: Domänen-Benutzerkonto für die Reporting-Services
• MECM-DL-Admins: Domänen-Gruppe für alle MECM-Administratoren
• MECM-SISRV: Domänen-Gruppe für alle MECM-Server

Betriebssystem -und Laufwerkskonfiguration

Auf meinem virtuellen Server (MECM-MP-01) für Configuration Manager und SQL Server kommt Windows Server 2019 zum Einsatz. Dieser wird nach der Grund­installation wie üblich mit allen erforderlichen Updates versorgt, erhält eine fixe IP und wird Mitglied der Domäne. Fügen Sie den Site-Server zur Gruppe MECM-SISRV hinzu.

Dabei kommt folgendes großzügiges NTFS-Laufwerks-Design zum Einsatz:

C:\	Windows-Installation	120 GB
D:\	MECM-Installation (Inboxes)	300 GB (8K Cluster-Größe)
E:\	SQL-Datenbank	200 GB (64K Cluster-Größe)
F:\	SQL-TempDB	200 GB (64K Cluster-Größe)
G:\	SQL-Transaction LOGs	200 GB (64K Cluster-Größe)

Planen Sie für die Ablage von nativen Software-Paketen zusätzlichen Speicher ein bzw. ein weiteres Volume. Interessante Informationen bietet auch Microsofts FAQ zu Dimensionierung und Performance von Disks, sie enthält auch IOPS-Empfehlungen: Site size and performance FAQ - Configuration Manager

Erstellen und platzieren von NO_SMS_ON_DRIVE.SMS

Um vorab zu verhindern, dass Configuration Manager später Content Libraries auf einem nicht vorgesehenen Laufwerk ablegt, erstellen wir eine leere Datei mit dem Namen NO_SMS_ON_DRIVE.SMS. Diese kopieren wir auf alle Volumes, welche nicht für diesen Zweck vorgesehen sind.

Konfiguration der Firewall

In meinem Fall habe ich die Domänen-Firewall konfiguriert und sie ist aktiv. Beachten Sie folgende Beiträge zu den erforderlichen Freigaben bei aktiver Firewall:

• Ports used for connections - Configuration Manager
• Configure Windows Firewall - SQL Server

Download MECM/SCCM Baseline-Version

Sie können die Versionen von Configuration Manager im Current Branch hier herunterladen:

• Volume Licensing Service Center (VLSC)
• Visual Studio Subscription
• Eval Center

Erweiterung des AD-Schemas

Wird Configuration Manager neu installiert, muss man das AD-Schema der Active Directory Domain Services erweitern. Ist MECM/SCCM in Ihrer Infrastruktur bereits zum Einsatz gekommen, wurde das Schema sicher in diesem Zuge bereits angepasst.

Mein Admin-Konto ist Mitglied der Schema Admins, somit ist der User berechtigt, den Vorgang auszuführen.

Dazu führen Sie auf dem Installations­medium (ISO) von Endpoint Configuration Manager

.\SMSSETUP\BIN\X64\extadsch.exe

aus.

Zum Rekapitulieren in diesem Zusammenhang interessant: Active Directory Flexible Single Master Operation (FSMO) roles in Windows - Windows Server

Zur Prüfung und Dokumentation der Schema­erweiterung finden Sie anschließend ExtADSch.log im Root-Verzeichnis des System­laufwerks. Man sieht klar die Attribut -und Klassenerweiterungen. AD-Teams wissen, diese Aktion ist irreversible.

Container namens System Management erstellen

Für die Installation von Configuration Manager muss der Container System Management im AD händisch angelegt werden. Er wird in jeder Domäne konfiguriert, die einen Primary- oder Secondary-Site-Server aufnimmt. Dafür starten wir ADSI Edit und erstellen unterhalb des System-Containers ein neues Objekt.

Hierfür wählen wir die Objektklasse Container.

Es erhält dann den Wert System Management.

Anschließend müssen wir die Security Permissions des Containers System Management anpassen. Dafür öffnen wir über dessen Eigenschaften den Security-Tab und fügen (Add) das Site-Server-Computerkonto hinzu. Dieses erhält Vollzugriff.

Über den Button Erweitert (Advanced) wählen wir das Site-Server-Computerkonto und editieren dessen Berechtigungen. Dort wählen wir This object and all descendant objects.

Der Sicherheitsdialog kann jetzt mit OK bestätigt und ADSI Edit geschlossen werden.

Rollen und Features für den Primary-Site Server aktivieren

Für eine erfolgreiche Installation ohne Warnungen oder Hinweise werden folgende Rollen und Features benötigt:

• .NET Framework 3.5
• .NET Framework 4.5 oder höher
• .NET Framework Features - WCF Services
• HTTP Activation
• Message Queuing (MSMQ) Activation
• Name Pipe Activation
• TCP Activation
• Web Server (IIS)
• Remote Differential Compression
• Background Intelligent Transfer Service (BITS)
• IIS Server Extension ("Add Features that are required for IIS Server Extension")

Diese lassen sich über die GUI des Server Managers oder mittels PowerShell hinzufügen:

Import-Module ServerManager

Install-WindowsFeature Web-Windows-Auth

Install-WindowsFeature Web-ISAPI-Ext

Install-WindowsFeature Web-Metabase

Install-WindowsFeature Web-WMI

Install-WindowsFeature BITS

Install-WindowsFeature RDC

Install-WindowsFeature NET-Framework-Features

Install-WindowsFeature Web-Asp-Net

Install-WindowsFeature Web-Asp-Net45

Install-WindowsFeature NET-HTTP-Activation

Install-WindowsFeature NET-Non-HTTP-Activ

ADK für Windows 10 herunterladen und installieren

Das Assessment and Deployment Kit (ADK) für Windows 10 und das mittlerweile separat erhältliche Windows PE sind für eine Installation von Configuration Manager erforderlich. Der Download erfolgt hier von Microsofts Website.

Das Ausführen von adksetup.exe installiert ADK in den vorge­sehenen Ordner oder erlaubt einen kompletten Download für ein portables Setup und eine Offline-Installation.

Meine Auswahl beschränkt sich auf die Deployment Tools und das User State Migration Tool (USMT).

Die separate adkwinpesetup.exe fügt dann das Windows Preinstallation Environment (WinPE) hinzu.

Lokale Administratoren

Bevor wir zur Installation des SQL Server kommen, fügen wir die Gruppen MECM-DL-Admins und MECM-SISRV zur Gruppe der lokalen Administratoren hinzu.

Somit sind alle Vorbereitungen getroffen und als im nächsten Schritt kann SQL Server installiert und konfiguriert werden.