On continue la série d’article avec un autre pilier de System Center 2012 Configuration Manager : Les limites de site (aka Boundary). Les limites de site existent depuis les débuts du produit et permettent de définir  la portée du site ou l’appartenance d’une machine à un site ConfigMgr. En outre les limites permettent au client d’identifier les points de distribution ou points de migration de l’état utilisateur qui lui sont associés. On peut aisément faire la comparaison avec les frontières des pays. Le but est de répondre à une question simple : « Quels sont les clients qui sont gérés par ce site et par quel moyen les identifier ? ». Les limites de site son un élément essentiel du fonctionnement de System Center Configuration Manager ; elles définissent entre autre le principe d’itinérance. Ce concept était valable jusqu’à ConfigMgr 2007 où Microsoft a identifié les problématiques suivantes :

• La création et la maintenance des limites est consommatrice en temps
• Gérer la liste des limites à travers le temps est compliqué
• Il est difficile d’éviter les problèmes de chevauchement de limites

Avec System Center 2012 Configuration Manager, Microsoft a voulu facilité la gestion des limites de site en introduisant :

• Les groupes de limites
• La création automatique des limites
• La séparation des limites pour l’accès au contenu et l’assignement au site.

Comme vous l’avez lu précédemment, Microsoft a introduit un mécanisme de création automatique des limites basée sur la découverte de forêt Active Directory (voir : ???). Le but est de découvrir toutes les forêts environnantes ainsi que les informations associées (domaines, sites active directory, sous réseaux…). Cette méthode permet à l’administrateur de procéder à la création automatique de limites en fonction des sites Active Directory ou des sous réseaux IP découverts par ce processus.

Ainsi, Microsoft a introduit les groupes de limites pour pouvoir déporter les notions d’assignement au site ConfigMgr et d’accès au contenu. Les limites ne sont ainsi pas utilisées tant qu’elles n’ont pas été attribuées à un groupe de limites.
On retrouve 4 types de limites :

• Sous-réseaux IP : Utiliser les sous-réseaux IP permet de définir clairement quels sont les clients qui seront attribués à un site SCCM. L’avantage est qu’un ensemble de sous-réseaux appartenant à un même site Active Directory peuvent être attribués à des sites SCCM différents.
• Site Active Directory : L’utilisation des sites Active Directory permet de calquer l’association clients/ serveurs de site à la configuration de site Active Directory que vous avez mis en place au sein de votre organisation. En général, la configuration des associations sous-réseaux/sites Active Directory correspondent plus ou moins à la topographie physique de votre infrastructure. Ainsi vous adaptez vos sites SCCM aux contraintes physiques de votre réseau. Le principal avantage est que si l’organisation des sous réseaux au sein de votre entreprise est amené à être modifié. La mise à jour sera directement impactée si vous appliquez les changements à votre configuration Active Directory. Vous devez cependant faire attention d’être toujours à jour côté Active Directory sous peine d’avoir des clients non gérés ou mal gérés.
• Préfix IPv6 : L’utilisation du préfix IPv6 permet de parer aux problèmes de pénuries d’adresses IPv4 et d’attribuer un grand nombre d’adresses. Néanmoins les clients IPv4 ne sont pas compatibles avec ce type de configuration.
• Plage d’adresse IP : L’utilisation de plages d’adresses IP permet de personnaliser et n’ajouter que certaines adresses IPs d’une plage à un site SCCM. Ce mode de fonctionnement permet une configuration plus fine que les autres  options abordées précédemment.

Il est important de comprendre que la configuration des limites et des groupes de limites est commune à toute la hiérarchie et ainsi répliquée globalement. 

La gestion des limites a lieu dans la partie Administration > Overview > Hierarchy Configuration. Vous pouvez toujours choisir de créer ces limites manuellement et ne pas vous baser sur la découverte de forêts Active Directory. Vous devez ainsi choisir entre les quatre types précédemment cités.

En outre, vous pouvez/ « devez » spécifier l’appartenance à un groupe de limite :

La nouvelle console offre différents raccourci dans le ruban permettant d’ajouter facilement un ensemble de limites à un nouveau groupe de limites (ou existant).

Concernant les groupes de limites (Boundary Groups), il existe un nœud spécifique. Lors de la création, vous devez lui donner un nom et la liste des limites que vous souhaitez associer au groupe.

L’onglet Reference permet de configuré la portée du groupe. On retrouve ainsi les règles d’assignement à un site. En cochant l’option « Use this boundary group for site assignment » les clients qui appartiendront à ce groupe se verront attribués au site spécifié dans l’option « Assigned site ».

Le cadre Content Location permet de spécifier l’accès au contenu ou la notion de systèmes de site protégés (Protected Site Systems) que certains pouvaient connaître dans System Center Configuration Manager 2007. Il faut comprendre que la stratégie a radicalement changée et qu’il est aujourd’hui nécessaire d’attribuer des systèmes de site aux groupes de limites de site pour que les clients puissent accéder au contenu. Cette limitation a été introduite par Microsoft pour mieux contrôler l’accès aux données via les points de distribution lors du déploiement d ‘applications ou lors de la migration d’une machine et de la sauvegarde des données utilisateurs sur les points de migration de l’état (State Migration Point).  La configuration de la connexion entre les clients et les systèmes de site se fait maintenant pour chaque système de site pour chacun des groupes de limites.

Un groupe de limites de site ne doit pas obligatoire servir à l’assignement à un site et/ou l’accès au contenu (Protected Site Systems).

Microsoft a aussi concentré ses efforts sur le chevauchement de limites. Celui-ci intervient quand un client appartient à plusieurs limites et de se fait peut se voir attribuer à plusieurs sites ou systèmes de site. Concernant le chevauchement des limites, les règles ont changé :

• Un client ne doit pas se voir assigné deux sites différents. En gros, un client ne peut appartenir à deux groupes de limites qui sont utilisées pour assigner des clients à un site
• Le chevauchement de limites est maintenant supporté pour l’accès au contenu.

Les groupes de limites de site permettent ainsi de gérer indépendamment l’assignement à un site et l’accès au contenu.

Le groupe utilisateur des technologies System Center vous donne rendez-vous le mercredi 23 novembre, de 14h à 18h30, au campus Microsoft à Issy Les moulineaux.
 
L'année 2012 verra un renouvellement sans précédent des technologies System Center, et ce sera l'occasion de vous présenter au travers de nombreuses démonstrations les fabuleuses technologies qui nous attendent.
Nous aurons le plaisir d'avoir parmi nous pour animer cette demi-journée :

·        Jean-Philippe Dupuich, nouveau chef de produit Mirosoft de la gamme System Center, qui lancera les réjouissances

·        Fabrice Meillon, notre fameux architecte Microsoft que l'on ne présente plus, qui nous accompagnera une fois de plus

·        Des MVP (Most Valuable Professionnal) sur SCCM, SCOM, DPM, ...

 
Nous vous invitons également à rester quelques minutes avec nous suite aux sessions pour partager en toute amitié une coupe de champagne, offerte par notre sponsor 1E.
1E est pionnier et leader mondial dans l’édition de solutions d’efficience IT, notamment autour de System Center. Les solutions 1E permettent de réduire le nombre de serveurs, les contraintes de bande passante réseau, les coûts de licences logicielles, la consommation énergétique et de nombreuses taches informatiques très chronophages.
Pour plus d'informations : http://www.1e.com/fr/
 
Le planning des sessions est le suivant :

·        14h-14h10       Introduction

·        14h10-14h30    Nouveau site

·        14h30–15h15    ConfigMgr 2012 – portail libre-service, modèle application, …

·        15h15–16h       OpsMgr2012 – Supervision applicative (.Net, Java, …)

·        16h–16h15       PAUSE

·        16h15–16h45    Intune

·        16h45–17h15    Orchestrator 2012 : portail, …

·        17h15–17h45    Vue d’ensemble de DPM 2012

·        17h45–18h        Session partenaire 1E

·        18h–18h30       Pot de l’amitié offert par notre sponsor 1E

 
Procédure d'inscription : Si vous souhaitez nous rejoindre le 23, merci d’envoyer un email à systemcenter.fr@hotmail.fr en indiquant :

•                 Nom, prénom

•                 Société, Fonction

•                 Numéro de téléphone (facultatif)

J’espère vous retrouver le 23 pour rencontrer toute la communauté System Center. Nous comptons sur vous !

Je vous parlais dans un article précédent de la nouvelle découverte de forêts Active Directory. Aujourd’hui, je reviens sur les autres découvertes pour aborder les changements et leurs configurations dans System Center 2012 Configuration Manager. Le but des méthodes de découverte est de « provisionner » la base de données du produit et obtenir une vision du parc informatique. On distingue deux types de méthodes de découverte : La méthode de découverte réseau et les méthodes de découverte Active Directory. Nous allons étudier celles qui permettent de scanner Active Directory pour remonter des ressources comme des groupes, des utilisateurs ou des ordinateurs.

Les méthodes de découverte sont associées à chaque site d’une hiérarchie et peuvent être ainsi activées à plusieurs niveaux. Les données sont ensuite répliquées de manière globale. Il faut ainsi bien étudier sa stratégie de découverte.

System Center 2012 Configuration Manager introduit un changement sur cette dernière stratégie. Les découvertes Active Directory ne sont plus disponibles au niveau des sites secondaires. Seule la découverte réseau est encore offerte pour pouvoir être initiée localement.

Les méthodes de découverte Active Directory sont au nombre de quatre:

• Active Directory System Discovery : La découverte de systèmes Active Directory cherche l’ensemble des enregistrements de type systèmes (Ordinateurs, serveurs, Contrôleurs de domaine …). La recherche peut renvoyer des informations supplémentaires comme le système d’exploitation, le domaine, la classe ou encore, le nom DNS de l’objet.
• Active Directory User Discovery : La découverte des utilisateurs Active Directory cherche l’ensemble des utilisateurs. La recherche peut renvoyer des informations comme le nom d’utilisateur, le nom d’hôte DNS, la classe d’objet, le domaine, le nom du conteneur Active Directory.
• Active Directory Group Discovery : La méthode de découverte de groupes Active Directory cherche l’ensemble des groupes de sécurité des ressources (utilisateurs ou systèmes) découverts par les autres méthodes en interrogeant le contrôleur de domaine le plus proche.  La méthode renvoi des informations sur les unités d’organisation, les groupes globaux, universels, imbriqués, ou les groupes de distribution. Cette méthode est issue de la fusion des méthodes Active Directory System Group Discovery et Active Directory Security Group Discovery de System Center Configuration Manager 2007
• Active Directory Forest Discovery : Cette nouvelle méthode permet de découvrir des informations cruciales comme les domaines et les sites Active Directory associés de toutes les forêts de confiance ou forêts que vous auriez pu ajouter à la liste des forêts connues.
  Pour plus d’information, vous pouvez lire mon article : http://microsofttouch.fr/blogs/js/archive/2011/11/02/sccm-2012-la-d-233-couverte-de-for-234-t-active-directory.aspx
  

Pour chacune de ces méthodes de découverte, vous pouvez configurer :

• L’activation de la découverte (désactivée par défaut),

• Les conteneurs Active Directory que vous ciblez dans la découverte,
• La programmation de la découverte complète (par défaut tous les 7 jours à minuit),

• L’activation de la découverte incrémentale – Delta Discovery(par défaut activée) pour un intervalle donné (5 minutes par défaut), Cette méthode spécifique a été introduite dans System Center Configuration Manager 2007 R3 pour parer aux problèmes de rafraichissement des informations provenant d’Active Directory. En effet, le processus de découverte est très consommateur en ressources à la fois pour le serveur ConfigMgr mais aussi pour l’infrastructure Active Directory. Lorsque les entreprises souhaitaient avoir des informations les plus à jour possibles (notamment sur les appartenances aux groupes), ils devaient planifier des découvertes de manière très agressive. Avec cette nouvelle fonctionnalité, le produit ne procède à la découverte que des nouvelles ressources ou les ressources ayant changées. Pour cela, le produit regarde la valeur de la propriété USNChanged  de l’objet (pour le contrôleur de domaine cible) et la compare avec la valeur stockée dans la base de données. C’est ainsi que le produit détermine si un changement a eu lieu.

Plus en détail, on retrouve quelques particularités :

La découverte Active Directory des systèmes :

Cette méthode propose plusieurs options lors de l’ajout d’un conteneur :

• « Recursively search Active Directory child containers”  permet de rechercher les ressources dans les sous conteneurs.
• « Discover objects within Active Directory groups” permet de découvrir les objets appartenant aux groupes découverts durant le cycle.

Enfin petite nouveauté, vous pouvez spécifier un compte de service utilisé par la méthode de découverte pour lire les informations dans le conteneur spécifié. Par défaut, la méthode utilisera le compte ordinateur du serveur de site.

L’onglet Active Directory Attributes permet de choisir les attributs Active Directory que vous souhaitez récupérer sur les objets que vous importez. Les attributs disponibles par défaut sont les suivants : objectGUID, name, sAMAccountName, operatingSystem, objectSID, primarygroupID, dNSHostName, userAccountControl, operatingSystemVersion, lastloginTimestamp.

Vous pouvez aussi ajouter tous les attributs référencés ou des attributs personnalisés.

Enfin cette découverte propose de nouvelles options permet d’améliorer le processus de découverte en excluant les ordinateurs qui ont eu une activité récente avec votre infrastructure Active Directory. Ces options offrent la possibilité aux entreprises qui n’ont pas de politique de « nettoyage » de leur annuaire d’assurer un premier tri. On retrouve deux options (désactivée par défaut) :

• « Only discover computers that have logged on to a domain in a given period of time” : Vous pouvez ainsi spécifier un intervalle (90 jours par défaut) pour ne remonter que les ordinateurs ayant procédé à une connexion sur le domaine.  Cette méthode est à configuré avec prudence si vous avez des profils externes (consultants, commerciaux…) qui n’ont pas l’occasion de se ré authentifier fréquemment. La méthode de découverte va alors regarder la valeur de l’attribut « lastlogontimestamp ».

Note :  Cette option requière un niveau fonctionnel de domaine équivalent à Windows Server 2003 ou plus.

Information : Cet attribut n’est pas toujours mis à jour lors d’une connexion.  Pour plus d’information, vous pouvez consulter cet article : http://blogs.technet.com/b/askds/archive/2009/04/15/the-lastlogontimestamp-attribute-what-it-was-designed-for-and-how-it-works.aspx

• « Only discover computers that have updated their computer account password in a given period of time” Cette méthode permet de ne procéder à la découverte de la machine uniquement si elle a mis à jour le mot de passe (par défaut elle doit le faire tous les 30 jours) de son compte Active Directory dans un intervalle donné (90 jours par défaut). La découverte va donc explorer l’attribut « lastpwdset » pour définir ce comportement.

Passons à la méthode de découverte Active Directory des utilisateurs :

On retrouve les mêmes options que pour la méthode de découverte de systèmes.
Les attributs Active Directory découverts par défaut sont les suivants : objectGUID, name, userAccountControl, sAMAccountName, objectSID, primaryGroupID, dNSHostName, mail.

En outre, cette méthode de découverte ne propose pas d’option permettant de filtrer les comptes utilisateurs périmés. Il appartient à l’entreprise d’assurer une stratégie de gestion du cycle de vie des comptes.

Enfin, nous allons aborder la méthode de découverte Active Directory des groupes.

L’onglet général varie des deux précédentes avec la notion « d’étendue ». Vous pouvez choisir de découvrir des groupes de façon précise et des emplacements (Location).

Pour ce qui est des groupes, on retrouve les options suivantes :

• Le nom permet de donner une indication à l’étendue (par exemple RH).
• Vous pouvez ensuite spécifier quel est le domaine utilisé pour effectuer la découverte. Vous pouvez préciser un contrôleur de domaine ou un domaine spécifique.
• Le cadre Groups permet d’indiquer les groupes qui seront découverts. La fenêtre vous propose de rechercher les groupes dans l’arborescence Active Directory ou d’ajouter le distinguished name.
• Enfin, vous pouvez aussi renseigner le compte utilisé pour opérer cette découverte (par défaut le compte ordinateur du serveur de site).
  

Pour l’assistant d’ajout d’emplacements, il regroupe les informations suivantes :

• Le nom permet de donner une indication à l’étendue (par exemple Lyon).
• Vous devez ensuite spécifier le chemin de l’emplacement (unité d’organisation ou conteneur) découverts.
• L’option « Recursively search Active Directory child containers”  permet de rechercher les ressources dans les sous conteneurs.
• Enfin, vous pouvez aussi renseigner le compte utilisé pour opérer cette découverte (par défaut le compte ordinateur du serveur de site).
  

De la même manière que pour la découverte des systèmes, on retrouve des options permettant d’exclure des machines. De plus, on retrouve l’option « Discover the membership of distribution groups” (désactivée par défaut) qui permet d’assurer la découverte des groupes de distribution.

C’est tout pour les méthodes de découverte Active Directory.

Microsoft vient de publier le Patch Tuesday pour le mois de Novembre 2011. Il comporte 4 bulletins de sécurité, dont un seulement qualifié de critique. Il corrige des vulnérabilités sur Windows et Active Directory LDS. 

Légende :

 : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

Ces correctifs sont disponibles par Microsoft Update ou par le Centre de téléchargement Microsoft.

Retrouvez l'ensemble des informations relatives à ce bulletin de sécurité : Ici

L’équipe des accélérateurs de solution de Microsoft vient de publier un composant additionnel en bêta pour System Center 2012 Service Manager (SCSM) appelé System Center Cloud Services Process Pack. Il permet d’assurer une interconnexion avec System Center Orchestrator, Operations Manager et Virtual Machine Manager pour couvrir les scénarios de gestion du cloud-computing privé. Ce pack permet la définition de projets, de pools et de machines virtuelles. En outre, il gère les demandes, l’approbation et la notification pour assurer un suivie de l’attribution de ressources dans la cloud.

Télécharger System Center Cloud Services Process Pack Beta

Je vous en parlais en mai dernier, Maik Koster proposait un outil qui répondait à un problème simplement : comment superviser les changements effectués par les administrateurs sur les séquences de tâches. Il n’existe pas de système de supervision ou audit de ces changements et il arrive parfois qu’une séquence de tâches qui fonctionnait à un instant t se mette à ne plus marcher le lendemain car quelqu’un a fait une modification sans avertir du changement ! Aujourd’hui, c’est une nouvelle version (0.6) proposée par Maik afin d’apporter le support de System Center 2012 Configuration Manager.

Son script monitor les changements et export la séquence de tâches avant modification au format xml pour garder une version de la précédente séquence de tâches.

Télécharger SCCM Task Sequence Monitor (v0.6)

Pour plus d’informations, je vous laisse consulter le billet de Maik : http://myitforum.com/cs2/blogs/maikkoster/archive/2011/05/12/versioning-monitoring-sccm-task-sequences.aspx

Quatre mois après la bêta et quelques jours après la sortie massive des versions préliminaires de la gamme System Center 2012, c’est au tour de System Center Operations Manager (SCOM) 2012 d’apporter sa pierre à l’édifice avec une Release Candidate. Pour rappel, SCOM propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

La bêta 2 apporte les nouveautés suivantes :

·         Amélioration de l’installeur

·         Un panneau pour l’agent SCOM dans le panneau de configuration de la machine. Pour en apprendre plus : http://blogs.technet.com/b/kevinholman/archive/2011/11/10/opsmgr-2012-new-feature-the-agent-control-panel-applet.aspx

·         Nouvelle Web Console

·         Utilisation de PowerShell pour gérer les ordinateurs UNIX/Linux

Voici les fonctionnalités présentées lors de la Bêta 1 :

• Supervision unifiée des ressources de l’entreprise et du nuage (cloud) permettant la mise en place de scénarii de déploiement hybride de nuage avec une surveillance « single pane of glass” (c’est à dire sur un seul panneau)
• Suivi de l’expérience utilisateur pour les services géo distribués dans les nuages (basé sur les transactions synthétiques)
• Service orienté réseau et sur le suivi de stockage (par exemple, suivre et résoudre les problèmes réseau et des pools de ressources de stockage affectés à des services)
• La notion de Root Management Server (RMS) disparait. Ainsi tous les Management Servers pourront jouer ce rôle et feront partie d’un pool de serveurs d’administration. Ceci assure un véritable système de haute disponibilité et de répartition de charge.
• De nouvelles fonctionnalités de découverte et de supervision des réseaux. Il y a une carte topologique permettant de visualiser votre réseau. Microsoft supportera jusqu’à 90 vendeurs assurant ainsi une compatibilité maximale avec les équipements réseaux.
• Le Default Management Pack n'est plus l'emplacement de sauvegarde par défaut lors de la création d'un override
• De nouvelles cmdlets PowerShell sont disponibles
• Supervision complète des applications (http://blogs.technet.com/b/server-cloud/archive/2011/11/11/application-performance-monitoring-with-operations-manager-2012.aspx)
  • AviCode est pleinement intégré au produit et devient APM
  • Supervision des applications J2EE
• Un nouveau tableau de port intégrable à un WebPart Sharepoint fait son apparition
• Les services System Center sont sur l'ensemble des Management Servers.

Télécharger System Center Operations Manager 2012 Release Candidate

Il n’aura pas fallu attendre longtemps après la sortie en Release Candidate de System Center 2012 Configuration Manager pour voir arriver la bêta 2 de Microsoft Deployment Toolkit (MDT) 2012. Le but de cette version est d’apporter la supportabilité complète avec ConfigMgr 2012 et de résoudre de nouvelles problématiques apportées par UEFI…

Voici les changements depuis la bêta 1 :

·         Nouvelle version d’User Driven Installation (UDI) :

o   Assistant modifiable

o   Nouveau Designer :

§  De nouvelles pages

§  S’intègre mieux avec ConfigMgr

o   Support de nouveaux scénarios

o   Aperçu visuel qui vous permet d’arranger les écrans de vos scénarios de déploiement

o   Support du modèle d’application ConfigMgr 2012

o   Un fichier de configuration qui contient plusieurs scénarios

·         Support de DaRT (Microsoft Diagnostics and Recovery Toolset)

·         Intégration de Security Compliance Manager (SCM) pour appliquer des GPOs dans la séquence de tâches

·         Cette version inclut un dynamique de mise jour des séquences de tâches SCCM 2007 vers 2012.

·         Possibilité de superviser la progression d’un déploiement

·         Un mécanisme permettant d’exécuter des scripts PowerShell durant le déploiement avec une fonction de logging des actions.

On retrouve ainsi les nouveautés suivantes :

·         Support complet de SCCM 2012 :

o    Support du modèle d’application

o    Support du modèle User-Centric (UDA…)

o    …

·         Côté LTI :

o    Amélioration de l’expérience utilisateur avec un nouvel assistant

o    Amélioration du partitionnement

o    Support d’UEFI

o    Amélioration de la migration de l’état utilisateur

o    Nouveau scénario de déploiement de fichier VHD

·         Correction de bugs comme :

o    La variable %SMSDP%

Télécharger et Tester Microsoft Deployment Toolkit (MDT) 2012 Bêta 2

Microsoft vient de lancer de nouvelles versions Bêta ou Release Candidate (RC) pour les produits de la gamme System Center. La grande nouvelle, c’est que Microsoft rationalise le lancement de la gamme System Center par vague. On parle aujourd’hui de System Center 2012 qui sera le renouveau de la gamme entière.

Ainsi on retrouve aujourd’hui :

• System Center App Controller 2012 Beta
• System Center Service Manager 2012 Beta
• System Center 2012 Orchestrator Release Candidate
• System Center 2012 Configuration Manager incluant System Center 2012 Endpoint Protection (anciennement Forefront EndPoint Protection (FEP)) Release Candidate
• System Center Data Protection Manager 2012 Beta
• System Center Virtual Machine Manager 2012 RC
• System Center Operations Manager 2012 Release Candidate

Pour en apprendre plus sur chacun des produits, vous pouvez cliquer sur chacun des liens.

Comme je l’expliquais précédemment, Microsoft a souhaité faciliter la vie des administrateurs et ceci passe par une nouvelle console d’administration. On retrouve en autre la notion d’objets liés (Related Objects) qui facilitent la navigation au sein de la console. Les administrateurs qui utilisaient ConfigMgr 2007, SMS 2003 (ou des versions antérieures…), il fallait être un gymnaste de la souris pour passer d’une publication (Advertisement) à la collection associée et au package déployé. L’introduction de ce concept permet d’afficher des liens facilement accessibles redirigeant vers les différents objets associés à la ressource.

Cette amélioration vous redirige sur la ressource en ouvrant un « Dynamic Sticky Node » associé au nom de l’objet source (en l’occurrence un package ici) :

Je vous propose un autre exemple pour illustré ceci : les points de distribution. Vous pouvez à partir de la vue d’un point de distribution, être redirigé vers les applications, packages, images, groupes de points de distributions…

Les DeploymentGuys nous apportent encore un nouveau script permettant de vérifier l’état de protection de BitLocker sur une machine en cours de déploiement. Ce besoin provient d’un problème rencontré lors du rafraichissement d’une machine. En effet durant le déploiement, le processus suspend la protection BitLocker. Or dans certains cas, la protection n’était pas désactivée des partitions de données.

On retrouve trois états :

·        Protection Status 0 : Protection OFF

·        Protection Status 1 : Protection ON (Unlocked)

·        Protection Status 2 : Protection ON (Locked)

Pour en apprendre plus, rendez-vous sur : http://blogs.technet.com/b/deploymentguys/archive/2011/11/04/bitlocker-protection-status.aspx

Daniel Oxley avait publié il y a plusieurs mois un outil appelé MDT Debugger. Combien de temps avez-vous perdu à essayer des scripts personnalisés lors d’un déploiement ZTI ? En effet, si vous souhaitez utiliser le processus standard, vous devez exécuter l’ensemble du déploiement pour arriver à tester le script. MDT Debugger permet d’exécuter et tester un script en spécifiant différents codes de retour. Aujourd’hui, ils publient une version qui fonctionne pour le déploiement de systèmes d’exploitation (ZTI) via System Center Configuration Manager. Le principal challenge était d’afficher la fenêtre graphique permettant d’utiliser l’outil. En effet, ConfigMgr n’autorise pas l’ouverture d’une interface graphique pendant un déploiement. De ce fait, Daniel a donc changé sa stratégie. La séquence de tâches met toujours en pause le système mais vous utilisez maintenant un exécutable pour y accéder à distance (à partir d’une deuxième machine).

Pour plus d’informations, je vous invite à consulter l’article : http://blogs.technet.com/b/deploymentguys/archive/2011/11/04/zti-mdt-debugger-1-0.aspx

Comme chaque mois la documentation de System Center Configuration Manager est mise à jour. Ces derniers mois, l’équipe se focalise sur la mise à jour de la documentation dédiée à ConfigMgr 2012. Il n’y a donc aucun changement sur la documentation pour ConfigMgr 2007.

The following information lists the topics that contain significant changes since the September 2011 update.

Supported Configurations for Configuration Manager

– Mise à jour des informations de supportabilité qui ont été publiées sur Microsoft Connect.

What’s New in Configuration Manager

– La section Client Deployment and Operations est mise à jour pour Remote Control et Endpoint Protection.

Introduction to Site Administration in Configuration Manager

– Nouveau sujet pour l’aperçu sur comment planifier, déployer, configurer et maintenir un hiérarchie Configuration Manager.

Planning for Discovery in Configuration Manager

– Mise à jour avec les nouvelles informations concernant la découverte de forêt Active Directory.

Planning for Site Systems in Configuration Manager

– Mise à jour pour les considérations à adopter pour la planification et le placement des rôles de système de site.

Planning for Security in Configuration Manager

– Mise à jour de la section Planning a Transition Strategy for PKI Certificates and Internet-Based Client Management.

Planning for Site Operations in Configuration Manager

– Mise à jour des informations de sauvegarde et recouverte.

Prepare the Windows Environment for Configuration Manager

– Mise à jour à propos de l’extension de schéma Active Directory pour Configuration Manager et les permissions de sécurité nécessaires pour qu’un site puisse publier sur un domaine Active Directory. En outre, le sujet a été mis à jour pour expliquer comment configure IIS pour les rôles de système de site.

Install Sites and Create a Hierarchy for Configuration Manager

– Mise à jour des informations d’installation.

Configuring Discovery in Configuration Manager

– Mise à jour pour expliquer comment configurer la méthode de découverte des forêts Active Directory.

Configuring Settings for Client Management in Configuration Manager

– Mise à jour de l’article sur les fenêtres de maintenance pour expliquer la configuration, la dynamique lorsque plusieurs fenêtres sont créées, et comment cela fonctionne avec le Software Center.

Backup and Recovery in Configuration Manager

– Mise à jour des informations de sauvegarde et recouverte d’un site.

Reporting in Configuration Manager

– Mise à jour des informations pour le Reporting.

Security and Privacy for Site Administration in Configuration Manager

– Mise à jour pour les bonnes pratiques de sécurité en matière d’administration des sites et des informations de la vie privée pour la découverte.

Technical Reference for Log Files in Configuration Manager

– Mise à jour du listing des fichiers de log qui sont créés par  Configuration Manager.

Security and Privacy for Migration to System Center 2012 Configuration Manager

– Nouveau sujet qui liste les problèmes, bonnes pratiques de sécurité et information de la vie privée lorsque vous migrez de Configuration Manager 2007 vers System Center 2012 Configuration Manager.

Prerequisites for Client Deployment in Configuration Manager

– Mise à jour pour Prerequisites for Mobile Device Clients.

Security and Privacy for Clients in Configuration Manager

– Mise à jour pour la sécurité et les informations de la vie privée pour les clients et les périphériques mobiles qui sont gérés par le connecteur Exchange Server.

About Client Settings in Configuration Manager

– Mise à jour pour refléter les dernières options de paramétrage des clients.

Introduction to Application Management in Configuration Manager

– Mise à jour des informations additionnelles pour y inclure les déploiements simulés et le remplacement d’application.

How to Simulate an Application Deployment in Configuration Manager

– New topic that provides information about how to use the new simulated deployment option.

How to Use Application Supersedence in Configuration Manager

– Nouveau sujet qui fournit les informations nécessaires aux options de remplacement d’application.

How to Create Applications in Configuration Manager

- Mise à jour des procédures.

How to Create Deployment Types in Configuration Manager

- Mise à jour des procédures.

How to Deploy Applications in Configuration Manager

- Mise à jour des procédures.

Security and Privacy for Application Management in Configuration Manager

– Mise à jour pour la sécurité et les informations de vie privée de la gestion d’applications et du catalogue d’application.

How to Enable CRL Checking for Software Updates

– Nouveau sujet qui fournit des informations sur comment activer la vérification de la révocation des certificats dans la console  Configuration Manager lorsque vous téléchargez les mises à jour logicielles.

Security and Privacy for Software Updates in Configuration Manager

– Mise à jour pour la sécurité et les informations de vie privée de la gestion des mises à jour logicielles.

Security and Privacy for Deploying Operating Systems in Configuration Manager

– Mise à jour pour la sécurité et les informations de vie privée de la pour le déploiement de systèmes d’exploitation.

How to Create Collections in Configuration Manager

– Mise à jour des procédures.

How to Use Maintenance Windows in Configuration Manager

– Mise à jour des procédures.

Security and Privacy for Collections in Configuration Manager

– Mise à jour pour la sécurité et les informations de vie privée pour les collections.

Security and Privacy for Queries in Configuration Manager

– Mise à jour pour la sécurité et les informations de vie privée pour les requêtes.

How to Configure Software Inventory in Configuration Manager

– Mise à jour sur comment configurer l’inventaire logiciel.

How to Use Resource Explorer to View Software Inventory in Configuration Manager

– Mise à jour sur l’utilisation du Resource Explorer.

Power Management in Configuration Manager

– Mise à jour complète du sujet.

Best Practices for Out of Band Management in Configuration Manager

– Nouveau sujet qui liste les bonnes pratiques opérationnelles pour la gestion des ordinateurs AMT hors bande.

Endpoint Protection in Configuration Manager

– Nouvelle section qui introduit Endpoint Protection sur la planification, la configuration et l’utilistion.

What’s New in the Documentation for Configuration Manager

– Mise à jour du nouveau guide Security and Privacy guide.

Frequently Asked Questions for Configuration Manager

– Mise à jour avec de nouvelles questions:

• Comment éviter la redistribution du contenu que j’ai migré vers System Center 2012 Configuration Manager?
• Puis-je combiner plus d’une Configuration Manager 2007 dans une seule hiérarchie System Center 2012 Configuration Manager?
• Les publications vont-elles se ré-exécuter après migration ?
• Quelles améliorations avez-vous fait à la gestion des clients Internet?
• Est-ce que je dois commencer à utiliser le modèle d’application System Center 2012 Configuration Manager immédiatement après avoir migré de Configuration Manager 2007?
• Quel est le guide pour installer le catalogue d’applications ?
• Puis-je utiliser les listes de mises à jour dans System Center 2012 Configuration Manager?
• Est-ce que System Center 2012 Configuration Manager a des règles d’approbation automatique comment Windows Server Update Services (WSUS)?
• Qu’est-ce qu’une collection limitée et pourquoi dois-je l’utiliser?
• Puis-je inclure ou exclure des membres d’une autre collection à ma nouvelle collection?

Configuration Manager Package Conversion Manager (Prerelease)

– Nouvelle section qui fournit des informations à propos de ce nouveau pack de fonctionnalité qui permet la conversion des Configuration Manager 2007 en modèle d’application de System Center 2012 Configuration Manager.

Microsoft vient de publier un pack d’administration ou Management Pack (MP) pour Microsoft Data Warehouse Appliance en version 1.0.10.0. Pour rappel, System Center Operations Manager (SCOM) 2007 fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack apporte les fonctionnalités suivantes :

·        Découverte des appliances MDW

·        Des vues de tableau de bord

·        Supervision :

o   Du niveau d’augmentation de Tempdb

o   De l’augmentation automatique de Tempdb

o   Du modèle de recouverte de Tempdb

o   De la fragmentation de la base de données

o   Des Lock Pages

o   Des options de démarrage de SQL Server

·        Profile Run-AS pour assurer la sécurisation de la connexion à l’appliance.

Note : Avant d’installer ce Management Pack, vous devez télécharger et Installer le pack d’administration pour SQL Server Appliance Base.

Télécharger System Center Monitoring Pack for Microsoft Data Warehouse Appliance

En juin dernier, Microsoft publiait un premier correctif cumulatif pour Forefront EndPoint Protection (FEP) 2010. Celui-ci répondait avant tout aux attentes des administrateurs afin de pouvoir mettre à jour automatiquement les clients FEP 2010 au travers du système de mise à jour de System Center Configuration Manager 2007. Aujourd’hui c’est une mise à jour (v2.1.1116.0) qui fait son apparition afin de résoudre quelques bugs sur l’outil softwareupdateautomation.exe. Parmi les changements, on retrouve :

·        Suppression du commutateur de ligne de commande : /refreshDP. L’outil met maintenant à jour automatiquement les points de distribution et propose un commutateur /DisableRefreshDP

·        Amélioration de l’algorithme pour passer la mise à jour du package de déploiement si aucun changement de contenu n’a été détecté.

·        Correction du filtre de mise à jour par défaut afin qu’il ne récupère plus les mises à jour remplacées et n’interfère pas avec les mises à jour publiées via System Center Updates Publisher.

Lire mon article sur la mise en œuvre de cet outil : http://microsofttouch.fr/blogs/js/archive/2011/06/30/sccm-2007-fep-2010-syst-232-me-officiel-de-mise-224-jour-automatique-des-d-233-finitions-gr-226-ce-au-rollup-1.aspx

Télécharger Microsoft Forefront Endpoint Protection (FEP) 2010 Update Rollup 1 Tools

Vous l’avez vu précédemment avec les nouveautés sur les comptes de service, l’équipe produit ConfigMgr s’est penchée sur le confort des administrateurs. Aujourd’hui, je vous présente une nouveauté introduite pour décharger la console d’administration de System Center 2012 Configuration Manager.

Avec System Center Configuration Manager 2007, on pouvait retrouver des consoles d’administration avec un cadre de navigation sans fin (ascenseur de la mort !) dû au trop grand nombre d’objets listés :

Microsoft a donc voulu épuré la console en travaillant l’ergonomie et ne laisser que les informations pertinentes pour les opérations en cours. Ainsi, on retrouve l’introduction d’une nouvelle notion appelée « Dynamic Sticky Nodes ». Le but est de jongler entre le menu de navigation des objets et le panneau de visualisation du contenu.

Ainsi si on prend la partie Assets and Compliance, on retrouve un nœud Device Collections qui liste toutes les collections regroupant des périphériques. Ainsi le panneau de navigation n’affiche plus directement la liste de toutes les collections en dessous de la collection racine.

Si vous double cliquez sur une des collections, il ouvre ainsi un sous élément en dessous du nœud Device Collections/User Collections pour y afficher la collection sélectionnée. La console met en suite à jour le cadre central avec le contenu de cette collection.

Ce mécanisme n’est pas uniquement disponible pour les collections mais pour objets qui pourraient contenir une liste d’élément comme :

·        Les Collections

·        Les Baselines de configuration

·        Les packages de déploiement

·        Les packages de drivers

·        Les requêtes

·        Les rapports

·        Les déploiements

·        Les groupes de limites

·        …

Microsoft fournit aussi au travers du ruban ou du clic droit la possibilité de :

·        Fermer le nœud

·        Fermer tous les nœuds excepté celui sélectionné

·        Fermez tous les nœuds de l’entité sélectionnée (collections…)

Enfin, l’ouverture de ces nœuds n’est pas prolongée après la fermeture de la console d’administration.

Je continue la série de petit d’article avec une nouveauté qui va surement ravir plus d’un administrateur et éviter bien des problèmes (demandes sur les forums etc…). Il aura fallu attendre System Center 2012 Configuration Manager pour que Microsoft introduise une boite de dialogue permettant de rechercher un compte utilisateur dans Active Directory lors qu’il est nécessaire de renseigner un compte de service.  Microsoft a aussi introduit un système permettant de valider que le couple identifiant/mot de passe fonctionne. Combien de fois avez-vous retenté des déploiements de systèmes d’exploitation car vous aviez mal spécifié le compte d’accès réseau ?

Prenons ce cas bien précis pour illustrer cette fonctionnalité.  Aujourd’hui le compte d’accès réseau n’est plus disponible au travers des propriétés du site mais dans le composant de site => Software Distribution.

Pour rappel le compte d’accès réseau est utilisé lorsque la machine (qui n’est pas intégrée dans le domaine ou dans un domaine non approuvé par le domaine source) essaye d’accéder à une ressource réseau comme un point de distribution. Ce scénario est rencontré lors d’un déploiement de système d’exploitation ou dans un scénario de gestion de clients en mode Workgroup. Par défaut, le compte d’accès réseau utilise le compte ordinateur du client ConfigMgr.

Aujourd’hui si vous paramétrez un compte spécifique, vous avez la possibilité d’utiliser un compte existant (si vous l’avez déjà utilisé dans le produit) ou un nouveau compte.

La boite de dialogue pour l’utilisation d’un compte existant va vous lister tous les comptes utilisés en précisant dans quel but (installation poussée…) et sur quel site.

La boite de dialogue pour un nouveau compte offre maintenant une option Browse qui donne accès à une autre boite de dialogue que l’on retrouve au travers des produits Windows afin de rechercher des ressources dans un domaine (ou localement).

Une fois le mot de passe spécifié, vous pouvez cliquer sur une nouvelle option « Verify » qui permet de tester le compte de service et son mot de passe sur une source de donnée (par exemple un partage réseau) et testez la connexion.

Aujourd’hui, nous avons vu une nouveauté assez banale mais qui va avoir le mérite d’éviter bien des problèmes.

Je vous propose de commencer une nouvelle série de billets présentant les nouveautés de System Center 2012 Configuration Manager (ConfigMgr). Je ne promets pas une nouveauté par jour mais je vais essayer de garder un rythme de croisière.

Aujourd’hui, je vais parler d’une nouvelle méthode de découverte appelée « Active Directory Forest Discovery ». On retrouve les méthodes de découverte dans le panneau Administration > Overview > Hierarchy Configuration > Discovery Methods.

Cette méthode permet de découvrir les différentes forêts des serveurs de site ainsi que toutes les forêts approuvées. De plus, elle découvre les forêts qui contiennent des systèmes de site (Points de distribution…) même si celles-ci ne sont pas approuvées par la forêt d’origine.

La découverte de forêt est configurable au niveau du site primaire et du site central d’administration (CAS). Elle retourne les domaines de chaque forêt, les sous réseaux IP, et les sites Active Directory configurés.

Une fois les informations retournées, la découverte peut générer automatiquement les limites de site en fonction des sites actifs directory et/ou sous réseaux IP découverts.

Ainsi, elle résout plusieurs problèmes :

·         La création et la maintenance des limites (boundaries) requièrent de nombreux efforts

·         Gérer la liste des limites à travers le temps est aussi consommateur en temps.

·         Il est difficile de gérer le chevauchement de limites

Cette nouvelle méthode répond aussi

L’option “Specify a domain or server” permet de renseigner le nom d’un domaine ou d’un contrôleur de domaine qui servira à la publication des objets.

Hormis le mécanisme de détection automatique, il est en outre possible d’ajouter manuellement des forêts qui ne sont pas approuvées.

Vous pouvez soit choisir d’utiliser le compte ordinateur du serveur de site pour opérer la découverte ou un compte spécifique disposant des droits nécessaires sur la forêt cible.

Vous utilisez Forefront EndPoint Protection (FEP) 2010 dans une hiérarchie de sites System Center Configuration Manager (SCCM) 2007. FEP 2010 repose sur un système de packages utilisant la distribution logicielle pour se mettre à jour.
Vous avez remarqué que la version des sources du package « Microsoft Corporation FEP – Deployment 1.0 » s’incrémente continuellement bien qu’il n’y ait pas de changements sur le package.

Le problème vient d’une règle de filtre d’état appelée « FEP policy modification from parent status filter ». Pour le résoudre, vous devez procéder à la modification de la règle en ajoutant les informations suivantes :

·         Propriété : « ID du package »

·         Valeur de la propriété : « <ID_DU_PACKAGE_FEP_DEPLOYMENT> »

Ce billet permet de détecter les redémarrages non planifié sur des machines disposant de la fonctionnalité « Shutdown Event Tracker ». Celle-ci est disponible nativement sur les environnements Windows Server, Windows Vista et Windows 7.

Pour cela, vous pouvez créer une règle de génération d’alerte basée sur un événement : « NT Event Log (Alert) »

Choisissez le Log name : « System »

Dans la partie Expression, entrez l’event ID : 6008 et l’Event Source : EventLog.

Vous cherchez à connaître à quel domaine Active Directory appartient une machine lorsqu’elle est en pleine phase de déploiement ou si vous n’avez d’interface graphique ?

Vous pouvez utiliser la commande « systeminfo | findstr /B /C:”Domain” »

Cette petite commande bien que simple est très utile pour vérifier qu’une machine en cours de déploiement a joint le domaine.

Microsoft vient de réagir aux différents commentaires concernant le comportement du processus ccmexec.exe qui peut entrer en conflit avec les règles de protection d’accès de McAfee. McAfee a d’ailleurs publié un article dans sa base de connaissance pour expliquer comment exclure le processus des règles puisque celui-ci n’a aucun impact sur le programme McAfee.

En réalité, ce comportement provient de l’agent de contrôle logiciel (Software metering agent) qui essaye de superviser l’usage des applications. Par défaut, SCCM créé automatiquement des règles de contrôle d’usage en fonction des applications les plus couramment recensées. De ce fait, McAfee se trouve dans la liste et le client ConfigMgr tente des accès sur ses exécutables.

Pour résoudre le problème, vous pouvez consulter la KB71970.

Source : http://blogs.technet.com/b/configurationmgr/archive/2011/10/31/information-regarding-mcafee-access-protection-rule-and-configmgr-2007-ccmexec-exe-behavior.aspx

L’équipe SCCM a publié un article dans la base de connaissance concernant un problème sur les clients ConfigMgr 2007 et App-V. Dans certains cas de figure, le composant VAppCollector de SCCM 2007 s’exécute sur un client même si l’intégration avec App-V n’a pas été activée. Ceci peut générer des erreurs multiples dans les journaux d’événements avec des Event IDs 2012, 3008, 3210 et 5009.

Ce problème peut survenir si le composant Asset Intelligence est activé sur l’infrastructure System Center Configuration Manager 2007. Dans ce cas de figure, il peut provoquer le lancement du composant VAppCollector. Ce comportement est « by design »

Le seul moyen de prévenir ce problème est de désactiver Asset Intelligence. Si vous ne souhaitez pas désactiver AI (ce qui peut se comprendre), il existe une solution de comportement proposé par l’article.

Voir la KB2590590: VAppCollector launches even if System Center Configuration Manager/App-V integration is not enabled

L’équipe App-V a publié un article dans la base de connaissance concernant une erreur 268480357 survenant sur les serveurs d’administration App-V 4.5 lorsque SQL est configuré pour utiliser des ports dynamiques. Dans ce cas de figure, le service peut ne pas démarrer avec l’erreur suivante :

Windows could not start the Application Virtualization Management Server on Local Computer. For more information, review the System Event Log. If this is a non-Microsoft service, contact the service vendor, and refer to service-specific error code 268480357.

En outre, on retrouve cet enregistrement dans les journaux d’évènement système :

Log Name: System
Source: Service Control Manager
Event ID: 7024
Task Category: None
Level: Error
Keywords: Classic
Description:
The Application Virtualization Management Server service terminated with service-specific error %%268480357.

Le fichier SFT-server.log renvoie les alertes suivantes :

[2011-10-18 14:48:33.578] APPVSRV 3020 1512 SW_SQLDataConnection::Open - - - - 2 41494 "Failed to establish a connection to the data source: (Server: sql01\appvirt, Database: APPVIRT).
"
[2011-10-18 14:48:33.578] APPVSRV 3020 1512 SW_SystemDispatcher::init - - - - 1 44901 "System dispatcher initialization error [-1]. System dispatcher startup will stop.
"
[2011-10-18 14:48:33.578] APPVSRV 3020 1512 SW_SystemDispatcher::fini - - - - 0 44952 "Successfully shut down Microsoft System Center Application Virtualization Management Server Version 4.5.2.17140 (3020)
"

Ce problème est dû à l’utilisation d’une instance nommée SQL configurée pour utiliser des ports dynamiques. Ce problème peut survenir si le port a été inscrit en dur durant l’installation du serveur et que celui-ci a changé par la suite. Dans un autre cas de figure, ceci peut apparaître si le SPN n’est pas correctement enregistré pour le service.

Il existe deux valeurs de registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\SoftGrid\4.5\Server appelées SQLServerName et SQLServerPort. Si la propriété SQLServerPort est configurée à 0, App-V interroge le SPN de l’instance SQL pour déterminer le port sur lequel se connecter.

Il existe deux méthodes de résolution que vous pouvez retrouver sur la KB2633835: Error 268480357 starting an App-V Management Server with dynamic SQL ports

Source : http://blogs.technet.com/b/appv/archive/2011/10/26/error-268480357-starting-an-app-v-management-server-with-dynamic-sql-ports.aspx

Vous arrivez vendredi matin au travail et vous recevez un appel du support niveau 1 de votre entreprise. Celui-ci vous annonce que certaines machines de votre parc informatique reçoivent des publications de systèmes d’exploitation non prévues. Dans ce cas de figure, vous avez un problème avec vos séquences de tâches. Il existe plusieurs scénarii qui engendrent le déploiement de système d’exploitation sur une machine :

·         Une séquence de tâche qui cible une collection par erreur

·         Des ordinateurs ajoutés à une collection où une publication de séquence de tâches est attachée

·         Une collection est une sous collection d’une autre entité ; elle-même cible d’une séquence de tâches.

Dans tous ces scénarii, il existe une méthodologie à appliquer pour ne pas ruiner vos chances de remédiation.

Franck Rojas (Ingénieur au support Microsoft) nous propose un article très complet sur la méthodologie à appliquer pour bloquer un déploiement de système d’exploitation non souhaité.

Pour plus d’information, je vous invite à consulter son article : http://blogs.technet.com/b/system_center_configuration_manager_operating_system_deployment_support_blog/archive/2011/10/27/how-to-remediate-an-incorrectly-deployed-osd-task-sequence-in-system-center-configuration-manager-2007.aspx