Endpoint Configuration Manager installieren: Design-Entscheidungen und Vorarbeiten (AD-Schema, Rollen und Features, Konten und Gruppen, ADK, etc.)

    MECM installierenMicrosofts Endpoint Configuration Manager (MECM) ist ein komplexes Tool. Seine Installation er­fordert eine genaue Planung sowie mehrere Vor­arbeiten. Dazu zählen die Dimen­sionierung des Servers und der Lauf­werke, die Erweiterung des AD-Schemas, die Einrichtung von Konten und Server-Rollen.

    Eine Neuinstallation des Endpoint Configuration Managers (MECM aka SCCM) ist sicherlich keine alltägliche und oft wieder­kehrende Aufgabe. Vielleicht muss auch die eine oder andere Installation einmal komplett verworfen werden oder es steht eine Neukonfiguration an.

    Egal welche Beweggründe Sie treiben, eine Planung für den Einsatz eines derart komplexen Tools ist dringend zu empfehlen. Für eine Cloud-Konfiguration oder eine hybride Infrastruktur gilt das erst recht.

    Configuration Manager hat eine hohe Versionsdynamik, dieser Beitrag beruht auf Current Branch 2010.

    Planung und Designentscheidungen

    Folgende Faktoren sollten für eine Design-Entscheidung berücksichtigt werden:

    • Die Größe der Organisation. Ein Unternehmen mit zig Standorten weltweit und mehreren tausend Mitarbeitern hat einen höheren Site-Server-Workload als eine Firma mit 100 Mitarbeitern (ca. 5 bis 10 MB pro User müssen dabei für die Datenbanken vorgesehen werden).
    • Die Anzahl der Deployments pro Tag spielt eine Rolle beim Sizing. Auch die Anzahl der verwalteten Collections muss abgefedert werden.
    • Netzwerk-Topologie und Bandbreiten müssen klar sein. Distribution Points in geografisch verteilten Lokationen schonen zentrale Ressourcen und verringern die Latenzen.
    • Ist eine hybride Infrastruktur des On-prem-MECM zusammen mit Intune (via Endpoint Manager admin center) in der Azure Cloud vorgesehen (mehr dazu in einem eigenen Beitrag)?
    • SQL Server und der ConfigMgr-Datenbank: Eine lokale Installation zusammen mit Configuration Manager auf einer Maschine kommt der Leistung zugute und wird unterstützt. Viele Unter­nehmen haben jedoch ihre eigene (hochverfügbare) Datenbank­infrastruktur (zum Beispiel: Always on Availability Groups). Eine Remote-Anbindung ist hier eventuell erforderlich.
    • Kommt eine lokale Installation des SQL Server in Betracht, sollten die Datenbanken und Logs auf unter­schiedlichen Volumes abgelegt werden.
    • Anzahl und Gewichtung der Rollen der Primary Site: Wird zusätzlich ein Software Update Point (SUP) konfiguriert oder die Rolle des State Migration Point (SMP) etc.?

    Interessant in diesem Zusammenhang: Size and scale - Configuration Manager

    Konten und Gruppen im Active Directory

    Für die spätere Installation und Konfiguration von MECM macht es Sinn, die nötigen Konten und Gruppen (zusammen mit dem Active-Directory Team) vorab anzulegen:

    • MECM-CP: Domänen-Benutzerkonto für die Client-Push-Installation
    • MECM-DJ: Domänenkonto für den Domänen­beitritt einer Maschine beim Operating System Deployment (OSD)
    • MECM-NA: Netzwerk-Zugriffskonto
    • MECM-SQLSVC: Dienstkonto für SQL Server
    • MECM-SQLR: Domänen-Benutzerkonto für die Reporting-Services
    • MECM-DL-Admins: Domänen-Gruppe für alle MECM-Administratoren
    • MECM-SISRV: Domänen-Gruppe für alle MECM-Server

    MECM-Konten im Active Directory

    Betriebssystem -und Laufwerkskonfiguration

    Auf meinem virtuellen Server (MECM-MP-01) für Configuration Manager und SQL Server kommt Windows Server 2019 zum Einsatz. Dieser wird nach der Grund­installation wie üblich mit allen erforderlichen Updates versorgt, erhält eine fixe IP und wird Mitglied der Domäne. Fügen Sie den Site-Server zur Gruppe MECM-SISRV hinzu.

    Dabei kommt folgendes großzügiges NTFS-Laufwerks-Design zum Einsatz:

    C:\ Windows-Installation 120 GB
    D:\ MECM-Installation (Inboxes)  300 GB (8K Cluster-Größe)
    E:\ SQL-Datenbank 200 GB (64K Cluster-Größe)
    F:\ SQL-TempDB 200 GB (64K Cluster-Größe)
    G:\ SQL-Transaction LOGs 200 GB (64K Cluster-Größe)

    Planen Sie für die Ablage von nativen Software-Paketen zusätzlichen Speicher ein bzw. ein weiteres Volume. Interessante Informationen bietet auch Microsofts FAQ zu Dimensionierung und Performance von Disks, sie enthält auch IOPS-Empfehlungen: Site size and performance FAQ - Configuration Manager

    Disk-Layout für MECM und SQL Server, in meinem Fall durchgehend mit NTFS

    Erstellen und platzieren von NO_SMS_ON_DRIVE.SMS

    Um vorab zu verhindern, dass Configuration Manager später Content Libraries auf einem nicht vorgesehenen Laufwerk ablegt, erstellen wir eine leere Datei mit dem Namen NO_SMS_ON_DRIVE.SMS. Diese kopieren wir auf alle Volumes, welche nicht für diesen Zweck vorgesehen sind.

    Leere Datei mit dem Namen NO_SMS_ON_DRIVE.SMS auf Volumes ablegen, die nicht zum Speichern von Content dienen.

    Konfiguration der Firewall

    In meinem Fall habe ich die Domänen-Firewall konfiguriert und sie ist aktiv. Beachten Sie folgende Beiträge zu den erforderlichen Freigaben bei aktiver Firewall:

    Download MECM/SCCM Baseline-Version

    Sie können die Versionen von Configuration Manager im Current Branch hier herunterladen:

    Erweiterung des AD-Schemas

    Wird Configuration Manager neu installiert, muss man das AD-Schema der Active Directory Domain Services erweitern. Ist MECM/SCCM in Ihrer Infrastruktur bereits zum Einsatz gekommen, wurde das Schema sicher in diesem Zuge bereits angepasst.

    Mein Admin-Konto ist Mitglied der Schema Admins, somit ist der User berechtigt, den Vorgang auszuführen.

    Benutzerkonto für die Schemaerweiterung temporäre Mitgliedschaft in den Schema Admins verleihen

    Dazu führen Sie auf dem Installations­medium (ISO) von Endpoint Configuration Manager

    .\SMSSETUP\BIN\X64\extadsch.exe

    aus.

    Erfolgreicher Abschluss der AD-Schema-Erweiterung

    Zum Rekapitulieren in diesem Zusammenhang interessant: Active Directory Flexible Single Master Operation (FSMO) roles in Windows - Windows Server

    Zur Prüfung und Dokumentation der Schema­erweiterung finden Sie anschließend ExtADSch.log im Root-Verzeichnis des System­laufwerks. Man sieht klar die Attribut -und Klassenerweiterungen. AD-Teams wissen, diese Aktion ist irreversible.

    Prüfung der ExtADSch.log

    Container namens System Management erstellen

    Für die Installation von Configuration Manager muss der Container System Management im AD händisch angelegt werden. Er wird in jeder Domäne konfiguriert, die einen Primary- oder Secondary-Site-Server aufnimmt. Dafür starten wir ADSI Edit und erstellen unterhalb des System-Containers ein neues Objekt.

    Mit ADSI Edit im Active Directory ein neues Objekt im Container 'System' erstellen

    Hierfür wählen wir die Objektklasse Container.

    Das neue Objekt soll vom Typ Container sein

    Es erhält dann den Wert System Management.

    Dem neuen Container den Namen 'System Management' zuweisen

    Anschließend müssen wir die Security Permissions des Containers System Management anpassen. Dafür öffnen wir über dessen Eigenschaften den Security-Tab und fügen (Add) das Site-Server-Computerkonto hinzu. Dieses erhält Vollzugriff.

    Anpassen der Sicherheitsberechtigungen des eben angelegten Containers

    Über den Button Erweitert (Advanced) wählen wir das Site-Server-Computerkonto und editieren dessen Berechtigungen. Dort wählen wir This object and all descendant objects.

    Berechtigungen auf alle abhängigen Objekte des Containers vererben

    Der Sicherheitsdialog kann jetzt mit OK bestätigt und ADSI Edit geschlossen werden.

    Rollen und Features für den Primary-Site Server aktivieren

    Für eine erfolgreiche Installation ohne Warnungen oder Hinweise werden folgende Rollen und Features benötigt:

    • .NET Framework 3.5
    • .NET Framework 4.5 oder höher
    • .NET Framework Features - WCF Services
    • HTTP Activation
    • Message Queuing (MSMQ) Activation
    • Name Pipe Activation
    • TCP Activation
    • Web Server (IIS)
    • Remote Differential Compression
    • Background Intelligent Transfer Service (BITS)
    • IIS Server Extension ("Add Features that are required for IIS Server Extension")

    Diese lassen sich über die GUI des Server Managers oder mittels PowerShell hinzufügen:

    Import-Module ServerManager

    Install-WindowsFeature Web-Windows-Auth

    Install-WindowsFeature Web-ISAPI-Ext

    Install-WindowsFeature Web-Metabase

    Install-WindowsFeature Web-WMI

    Install-WindowsFeature BITS

    Install-WindowsFeature RDC

    Install-WindowsFeature NET-Framework-Features

    Install-WindowsFeature Web-Asp-Net

    Install-WindowsFeature Web-Asp-Net45

    Install-WindowsFeature NET-HTTP-Activation

    Install-WindowsFeature NET-Non-HTTP-Activ

    ADK für Windows 10 herunterladen und installieren

    Das Assessment and Deployment Kit (ADK) für Windows 10 und das mittlerweile separat erhältliche Windows PE sind für eine Installation von Configuration Manager erforderlich. Der Download erfolgt hier von Microsofts Website.

    Das Ausführen von adksetup.exe installiert ADK in den vorge­sehenen Ordner oder erlaubt einen kompletten Download für ein portables Setup und eine Offline-Installation.

    Installations-Ordner für Windows ADK auswählen

    Meine Auswahl beschränkt sich auf die Deployment Tools und das User State Migration Tool (USMT).

    Benötigte ADK-Features auswählen

    Die separate adkwinpesetup.exe fügt dann das Windows Preinstallation Environment (WinPE) hinzu.

    Windows PE separat installieren

    Lokale Administratoren

    Bevor wir zur Installation des SQL Server kommen, fügen wir die Gruppen MECM-DL-Admins und MECM-SISRV zur Gruppe der lokalen Administratoren hinzu.

    MECM-DL-Admins und MECM-SISRV zu den lokalen Admins hinzufügen

    Somit sind alle Vorbereitungen getroffen und als im nächsten Schritt kann SQL Server installiert und konfiguriert werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    3 Kommentare

    chip sagt:
    11. Juni 2021 - 6:50

    Ich verstehe nie, warum in jeder Anleitung steht, man soll die Softwarepakete auf dem SCCM/MECM ablegen statt eine vorhandene DFS-Struktur zu nutzen. Das hat nur Nachteile.

    Bild von Marcel Küppers
    11. Juni 2021 - 12:01

    Das liegt daran, dass es hier kein Best practices gibt. Wenn DFS für Dich die Lösung ist, OK. Der Content kann auf einem Network share oder im DFS (Namespace) liegen. Diesen Punkt habe ich bewusst beim Laufwerksdesign offen gelassen (siehe Nachsatz).

    Deine möglichen Nachteile verstehe ich in:

    - Verfügbarkeit oder Disaster recovery (kommt auf das VM Design an)
    - Backup Konzept (VM Backup Konzept beachten)
    - Dedup

    chip sagt:
    11. Juni 2021 - 16:34

    Alles auf einer Netapp und du hast keine Probleme der von dir gelisteten Nachteile hehe.