On continue la série d’article avec un autre pilier de System Center 2012 Configuration Manager : Les limites de site (aka Boundary). Les limites de site existent depuis les débuts du produit et permettent de définir la portée du site ou l’appartenance d’une machine à un site ConfigMgr. En outre les limites permettent au client d’identifier les points de distribution ou points de migration de l’état utilisateur qui lui sont associés. On peut aisément faire la comparaison avec les frontières des pays. Le but est de répondre à une question simple : « Quels sont les clients qui sont gérés par ce site et par quel moyen les identifier ? ». Les limites de site son un élément essentiel du fonctionnement de System Center Configuration Manager ; elles définissent entre autre le principe d’itinérance. Ce concept était valable jusqu’à ConfigMgr 2007 où Microsoft a identifié les problématiques suivantes :
-
La création et la maintenance des limites est consommatrice en temps
-
Gérer la liste des limites à travers le temps est compliqué
-
Il est difficile d’éviter les problèmes de chevauchement de limites
Avec System Center 2012 Configuration Manager, Microsoft a voulu facilité la gestion des limites de site en introduisant :
-
Les groupes de limites
-
La création automatique des limites
-
La séparation des limites pour l’accès au contenu et l’assignement au site.
Comme vous l’avez lu précédemment, Microsoft a introduit un mécanisme de création automatique des limites basée sur la découverte de forêt Active Directory (voir : ???). Le but est de découvrir toutes les forêts environnantes ainsi que les informations associées (domaines, sites active directory, sous réseaux…). Cette méthode permet à l’administrateur de procéder à la création automatique de limites en fonction des sites Active Directory ou des sous réseaux IP découverts par ce processus.
Ainsi, Microsoft a introduit les groupes de limites pour pouvoir déporter les notions d’assignement au site ConfigMgr et d’accès au contenu. Les limites ne sont ainsi pas utilisées tant qu’elles n’ont pas été attribuées à un groupe de limites.
On retrouve 4 types de limites :
-
Sous-réseaux IP : Utiliser les sous-réseaux IP permet de définir clairement quels sont les clients qui seront attribués à un site SCCM. L’avantage est qu’un ensemble de sous-réseaux appartenant à un même site Active Directory peuvent être attribués à des sites SCCM différents.
-
Site Active Directory : L’utilisation des sites Active Directory permet de calquer l’association clients/ serveurs de site à la configuration de site Active Directory que vous avez mis en place au sein de votre organisation. En général, la configuration des associations sous-réseaux/sites Active Directory correspondent plus ou moins à la topographie physique de votre infrastructure. Ainsi vous adaptez vos sites SCCM aux contraintes physiques de votre réseau. Le principal avantage est que si l’organisation des sous réseaux au sein de votre entreprise est amené à être modifié. La mise à jour sera directement impactée si vous appliquez les changements à votre configuration Active Directory. Vous devez cependant faire attention d’être toujours à jour côté Active Directory sous peine d’avoir des clients non gérés ou mal gérés.
-
Préfix IPv6 : L’utilisation du préfix IPv6 permet de parer aux problèmes de pénuries d’adresses IPv4 et d’attribuer un grand nombre d’adresses. Néanmoins les clients IPv4 ne sont pas compatibles avec ce type de configuration.
-
Plage d’adresse IP : L’utilisation de plages d’adresses IP permet de personnaliser et n’ajouter que certaines adresses IPs d’une plage à un site SCCM. Ce mode de fonctionnement permet une configuration plus fine que les autres options abordées précédemment.
Il est important de comprendre que la configuration des limites et des groupes de limites est commune à toute la hiérarchie et ainsi répliquée globalement.
La gestion des limites a lieu dans la partie Administration > Overview > Hierarchy Configuration. Vous pouvez toujours choisir de créer ces limites manuellement et ne pas vous baser sur la découverte de forêts Active Directory. Vous devez ainsi choisir entre les quatre types précédemment cités.
En outre, vous pouvez/ « devez » spécifier l’appartenance à un groupe de limite :
La nouvelle console offre différents raccourci dans le ruban permettant d’ajouter facilement un ensemble de limites à un nouveau groupe de limites (ou existant).
Concernant les groupes de limites (Boundary Groups), il existe un nœud spécifique. Lors de la création, vous devez lui donner un nom et la liste des limites que vous souhaitez associer au groupe.
L’onglet Reference permet de configuré la portée du groupe. On retrouve ainsi les règles d’assignement à un site. En cochant l’option « Use this boundary group for site assignment » les clients qui appartiendront à ce groupe se verront attribués au site spécifié dans l’option « Assigned site ».
Le cadre Content Location permet de spécifier l’accès au contenu ou la notion de systèmes de site protégés (Protected Site Systems) que certains pouvaient connaître dans System Center Configuration Manager 2007. Il faut comprendre que la stratégie a radicalement changée et qu’il est aujourd’hui nécessaire d’attribuer des systèmes de site aux groupes de limites de site pour que les clients puissent accéder au contenu. Cette limitation a été introduite par Microsoft pour mieux contrôler l’accès aux données via les points de distribution lors du déploiement d ‘applications ou lors de la migration d’une machine et de la sauvegarde des données utilisateurs sur les points de migration de l’état (State Migration Point). La configuration de la connexion entre les clients et les systèmes de site se fait maintenant pour chaque système de site pour chacun des groupes de limites.
Un groupe de limites de site ne doit pas obligatoire servir à l’assignement à un site et/ou l’accès au contenu (Protected Site Systems).
Microsoft a aussi concentré ses efforts sur le chevauchement de limites. Celui-ci intervient quand un client appartient à plusieurs limites et de se fait peut se voir attribuer à plusieurs sites ou systèmes de site. Concernant le chevauchement des limites, les règles ont changé :
-
Un client ne doit pas se voir assigné deux sites différents. En gros, un client ne peut appartenir à deux groupes de limites qui sont utilisées pour assigner des clients à un site
-
Le chevauchement de limites est maintenant supporté pour l’accès au contenu.
Les groupes de limites de site permettent ainsi de gérer indépendamment l’assignement à un site et l’accès au contenu.