Tags: SCCM, OS Deployment, Active Directory, Windows ADK
Microsofts Endpoint Configuration Manager (MECM) ist ein komplexes Tool. Seine Installation erfordert eine genaue Planung sowie mehrere Vorarbeiten. Dazu zählen die Dimensionierung des Servers und der Laufwerke, die Erweiterung des AD-Schemas, die Einrichtung von Konten und Server-Rollen.
Eine Neuinstallation des Endpoint Configuration Managers (MECM aka SCCM) ist sicherlich keine alltägliche und oft wiederkehrende Aufgabe. Vielleicht muss auch die eine oder andere Installation einmal komplett verworfen werden oder es steht eine Neukonfiguration an.
Egal welche Beweggründe Sie treiben, eine Planung für den Einsatz eines derart komplexen Tools ist dringend zu empfehlen. Für eine Cloud-Konfiguration oder eine hybride Infrastruktur gilt das erst recht.
Configuration Manager hat eine hohe Versionsdynamik, dieser Beitrag beruht auf Current Branch 2010.
Planung und Designentscheidungen
Folgende Faktoren sollten für eine Design-Entscheidung berücksichtigt werden:
- Die Größe der Organisation. Ein Unternehmen mit zig Standorten weltweit und mehreren tausend Mitarbeitern hat einen höheren Site-Server-Workload als eine Firma mit 100 Mitarbeitern (ca. 5 bis 10 MB pro User müssen dabei für die Datenbanken vorgesehen werden).
- Die Anzahl der Deployments pro Tag spielt eine Rolle beim Sizing. Auch die Anzahl der verwalteten Collections muss abgefedert werden.
- Netzwerk-Topologie und Bandbreiten müssen klar sein. Distribution Points in geografisch verteilten Lokationen schonen zentrale Ressourcen und verringern die Latenzen.
- Ist eine hybride Infrastruktur des On-prem-MECM zusammen mit Intune (via Endpoint Manager admin center) in der Azure Cloud vorgesehen (mehr dazu in einem eigenen Beitrag)?
- SQL Server und der ConfigMgr-Datenbank: Eine lokale Installation zusammen mit Configuration Manager auf einer Maschine kommt der Leistung zugute und wird unterstützt. Viele Unternehmen haben jedoch ihre eigene (hochverfügbare) Datenbankinfrastruktur (zum Beispiel: Always on Availability Groups). Eine Remote-Anbindung ist hier eventuell erforderlich.
- Kommt eine lokale Installation des SQL Server in Betracht, sollten die Datenbanken und Logs auf unterschiedlichen Volumes abgelegt werden.
- Anzahl und Gewichtung der Rollen der Primary Site: Wird zusätzlich ein Software Update Point (SUP) konfiguriert oder die Rolle des State Migration Point (SMP) etc.?
Interessant in diesem Zusammenhang: Size and scale - Configuration Manager
Konten und Gruppen im Active Directory
Für die spätere Installation und Konfiguration von MECM macht es Sinn, die nötigen Konten und Gruppen (zusammen mit dem Active-Directory Team) vorab anzulegen:
- MECM-CP: Domänen-Benutzerkonto für die Client-Push-Installation
- MECM-DJ: Domänenkonto für den Domänenbeitritt einer Maschine beim Operating System Deployment (OSD)
- MECM-NA: Netzwerk-Zugriffskonto
- MECM-SQLSVC: Dienstkonto für SQL Server
- MECM-SQLR: Domänen-Benutzerkonto für die Reporting-Services
- MECM-DL-Admins: Domänen-Gruppe für alle MECM-Administratoren
- MECM-SISRV: Domänen-Gruppe für alle MECM-Server
Betriebssystem -und Laufwerkskonfiguration
Auf meinem virtuellen Server (MECM-MP-01) für Configuration Manager und SQL Server kommt Windows Server 2019 zum Einsatz. Dieser wird nach der Grundinstallation wie üblich mit allen erforderlichen Updates versorgt, erhält eine fixe IP und wird Mitglied der Domäne. Fügen Sie den Site-Server zur Gruppe MECM-SISRV hinzu.
Dabei kommt folgendes großzügiges NTFS-Laufwerks-Design zum Einsatz:
C:\ | Windows-Installation | 120 GB |
D:\ | MECM-Installation (Inboxes) | 300 GB (8K Cluster-Größe) |
E:\ | SQL-Datenbank | 200 GB (64K Cluster-Größe) |
F:\ | SQL-TempDB | 200 GB (64K Cluster-Größe) |
G:\ | SQL-Transaction LOGs | 200 GB (64K Cluster-Größe) |
Planen Sie für die Ablage von nativen Software-Paketen zusätzlichen Speicher ein bzw. ein weiteres Volume. Interessante Informationen bietet auch Microsofts FAQ zu Dimensionierung und Performance von Disks, sie enthält auch IOPS-Empfehlungen: Site size and performance FAQ - Configuration Manager
Erstellen und platzieren von NO_SMS_ON_DRIVE.SMS
Um vorab zu verhindern, dass Configuration Manager später Content Libraries auf einem nicht vorgesehenen Laufwerk ablegt, erstellen wir eine leere Datei mit dem Namen NO_SMS_ON_DRIVE.SMS. Diese kopieren wir auf alle Volumes, welche nicht für diesen Zweck vorgesehen sind.
Konfiguration der Firewall
In meinem Fall habe ich die Domänen-Firewall konfiguriert und sie ist aktiv. Beachten Sie folgende Beiträge zu den erforderlichen Freigaben bei aktiver Firewall:
Download MECM/SCCM Baseline-Version
Sie können die Versionen von Configuration Manager im Current Branch hier herunterladen:
Erweiterung des AD-Schemas
Wird Configuration Manager neu installiert, muss man das AD-Schema der Active Directory Domain Services erweitern. Ist MECM/SCCM in Ihrer Infrastruktur bereits zum Einsatz gekommen, wurde das Schema sicher in diesem Zuge bereits angepasst.
Mein Admin-Konto ist Mitglied der Schema Admins, somit ist der User berechtigt, den Vorgang auszuführen.
Dazu führen Sie auf dem Installationsmedium (ISO) von Endpoint Configuration Manager
.\SMSSETUP\BIN\X64\extadsch.exe
aus.
Zum Rekapitulieren in diesem Zusammenhang interessant: Active Directory Flexible Single Master Operation (FSMO) roles in Windows - Windows Server
Zur Prüfung und Dokumentation der Schemaerweiterung finden Sie anschließend ExtADSch.log im Root-Verzeichnis des Systemlaufwerks. Man sieht klar die Attribut -und Klassenerweiterungen. AD-Teams wissen, diese Aktion ist irreversible.
Container namens System Management erstellen
Für die Installation von Configuration Manager muss der Container System Management im AD händisch angelegt werden. Er wird in jeder Domäne konfiguriert, die einen Primary- oder Secondary-Site-Server aufnimmt. Dafür starten wir ADSI Edit und erstellen unterhalb des System-Containers ein neues Objekt.
Hierfür wählen wir die Objektklasse Container.
Es erhält dann den Wert System Management.
Anschließend müssen wir die Security Permissions des Containers System Management anpassen. Dafür öffnen wir über dessen Eigenschaften den Security-Tab und fügen (Add) das Site-Server-Computerkonto hinzu. Dieses erhält Vollzugriff.
Über den Button Erweitert (Advanced) wählen wir das Site-Server-Computerkonto und editieren dessen Berechtigungen. Dort wählen wir This object and all descendant objects.
Der Sicherheitsdialog kann jetzt mit OK bestätigt und ADSI Edit geschlossen werden.
Rollen und Features für den Primary-Site Server aktivieren
Für eine erfolgreiche Installation ohne Warnungen oder Hinweise werden folgende Rollen und Features benötigt:
- .NET Framework 3.5
- .NET Framework 4.5 oder höher
- .NET Framework Features - WCF Services
- HTTP Activation
- Message Queuing (MSMQ) Activation
- Name Pipe Activation
- TCP Activation
- Web Server (IIS)
- Remote Differential Compression
- Background Intelligent Transfer Service (BITS)
- IIS Server Extension ("Add Features that are required for IIS Server Extension")
Diese lassen sich über die GUI des Server Managers oder mittels PowerShell hinzufügen:
Import-Module ServerManager
Install-WindowsFeature Web-Windows-Auth
Install-WindowsFeature Web-ISAPI-Ext
Install-WindowsFeature Web-Metabase
Install-WindowsFeature Web-WMI
Install-WindowsFeature BITS
Install-WindowsFeature RDC
Install-WindowsFeature NET-Framework-Features
Install-WindowsFeature Web-Asp-Net
Install-WindowsFeature Web-Asp-Net45
Install-WindowsFeature NET-HTTP-Activation
Install-WindowsFeature NET-Non-HTTP-Activ
ADK für Windows 10 herunterladen und installieren
Das Assessment and Deployment Kit (ADK) für Windows 10 und das mittlerweile separat erhältliche Windows PE sind für eine Installation von Configuration Manager erforderlich. Der Download erfolgt hier von Microsofts Website.
Das Ausführen von adksetup.exe installiert ADK in den vorgesehenen Ordner oder erlaubt einen kompletten Download für ein portables Setup und eine Offline-Installation.
Meine Auswahl beschränkt sich auf die Deployment Tools und das User State Migration Tool (USMT).
Die separate adkwinpesetup.exe fügt dann das Windows Preinstallation Environment (WinPE) hinzu.
Lokale Administratoren
Bevor wir zur Installation des SQL Server kommen, fügen wir die Gruppen MECM-DL-Admins und MECM-SISRV zur Gruppe der lokalen Administratoren hinzu.
Somit sind alle Vorbereitungen getroffen und als im nächsten Schritt kann SQL Server installiert und konfiguriert werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris. Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions. Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
// Kontakt: E-Mail, Twitter, LinkedIn //
Verwandte Beiträge
- Windows 10 einer Domäne anschließen mit Provisioning Packages (PPKG)
- Configuration Manager 2309: zeitgesteuerte Script-Ausführung, Dashboard für Windows 11, Integration von Azure Logic App
- Domain Join: Mit Windows 11 einer AD-Domäne beitreten
- Windows 11 mit dem Microsoft Deployment Toolkit (MDT) verteilen
- Boot-fähigen Datenträger mit Windows 11 PE (WinPE) erstellen
Weitere Links
3 Kommentare
Ich verstehe nie, warum in jeder Anleitung steht, man soll die Softwarepakete auf dem SCCM/MECM ablegen statt eine vorhandene DFS-Struktur zu nutzen. Das hat nur Nachteile.
Das liegt daran, dass es hier kein Best practices gibt. Wenn DFS für Dich die Lösung ist, OK. Der Content kann auf einem Network share oder im DFS (Namespace) liegen. Diesen Punkt habe ich bewusst beim Laufwerksdesign offen gelassen (siehe Nachsatz).
Deine möglichen Nachteile verstehe ich in:
- Verfügbarkeit oder Disaster recovery (kommt auf das VM Design an)
- Backup Konzept (VM Backup Konzept beachten)
- Dedup
Alles auf einer Netapp und du hast keine Probleme der von dir gelisteten Nachteile hehe.