Annoncé il y a quelques mois, le Service Pack 3 d’Exchange Server 2010 est mis en ligne par Microsoft. Il apporte un nombre important de nouveautés dont le support d’Exchange Server 2013.

Voici les nouveautés apportées par celui-ci

• Support de la coexistence avec Exchange 2013 (vous devez installer le CU1)
• Support de Windows Server 2012
• Support d’Internet Explorer 10
• Correction de plusieurs bugs

 2552121 You cannot synchronize a mailbox by using an Exchange ActiveSync device in an Exchange Server 2010 environment

2729444 Mailboxes are quarantined after you install the Exchange Server 2010 SP2 version of the Exchange Server 2010 Management Pack

2778100 Long delay in receiving email messages by using Outlook in an Exchange Server 2010 environment

2779351 SCOM alert when the Test-PowerShellConnectivity cmdlet is executed in an Exchange Server 2010 organization

2784569 Slow performance when you search a GAL by using an EAS device in an Exchange Server 2010 environment

2796950 Microsoft.Exchange.Monitoring.exe process consumes excessive CPU resources when a SCOM server monitors Exchange Server 2010 Client Access servers

2800133 W3wp.exe process consumes excessive CPU and memory resources on an Exchange Client Access server after you apply Update Rollup 5 version 2 for Exchange Server 2010 SP2

2800346 Outlook freezes and high network load occurs when you apply retention policies to a mailbox in a mixed Exchange Server 2010 SP2 environment

2810617 Can’t install Exchange Server 2010 SP3 when you define a Windows PowerShell script execution policy in Group Policy

2787500 Declined meeting request is added back to your calendar after a delegate opens the request by using Outlook 2010

2797529 Email message delivery is delayed on a Blackberry mobile device after you install Update Rollup 4 for Exchange Server 2010 SP2

2800080 ErrorServerBusy response code when you synchronize an EWS-based application to a mailbox in an Exchange Server 2010 environment

Plus d’infos sur : http://blogs.technet.com/b/exchange/archive/2013/02/12/released-exchange-server-2010-sp3.aspx

Télécharger le Service Pack 3 d’Exchange Server 2010

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Dépannage du client ConfigMgr pour Mac

Lorsqu’on utilise System Center Configuration Manager, il est important de comprendre comment dépanner les différents composants. On connait le produit comme l’un des plus verbeux, cette partie détaillera quels sont les outils à votre disposition pour dépanner le client ConfigMgr pour Mac. Le client comprend une tâche d’auto remédiation et s’intègre au processus de gestion de l’état d’activité et de santé du client ConfigMgr. De ce fait, indépendamment pour chaque machine vous pouvez observer son état de santé par la vue Asset and Compliance. Vous disposerez d’une vision plus globale en utilisant les vues de la partie Monitoring – Overview – Client Status.

Côté serveur, vous pourrez valider l’état des composants en utilisant la console d’administration et la vue System Status dans Monitoring. En outre, voici les fichiers de journalisation que l’on retrouve côté serveur :

• SMS_DM.log : Ce log enregistre les communications entre les ordinateurs Mac et le Management Point disposant du sous composant Device Management Point.
• DMPRP.log enregistre les communications entre les Device Management Point et les Management Point.
• Dmpmsi.log regroupe les données relatives à la configuration des Management Point qui supporte les ordinateurs Mac
• DMPSetup.log est le fichier de journalisation permettant de suivre l’installation du composant Device Management Point.
• enrollsrvMSI.log permet de suivre l’installation du rôle Enrollment Point.
• enrollmentweb.log donne un détail des communications entre les ordinateurs Mac et le rôle Enrollment Proxy Point
• enrollwebMSI.log donne un état de l’installation du rôle Enrollment Proxy Point.
• enrollmentservice.log enregistre les communications entre le rôle Enrollment Proxy Point et Enrollment Point.

Côté client, on retrouve les fichiers de journalisation suivants :

• CCMClient-<date>.log permet le suivi des opérations exécutées par le client ConfigMgr (inventaire, déploiement d’applications). Ce dernier est présent dans /Library/Application Support/Microsoft/CCM/Logs
• CCMAgent-<date>.log enregistre des informations sur les opérations et activités qui ont lieu sur la machine (connexion, déconnexion…). Le log est localisé dans /Library/Logs.
• CCMNotifications-<date>.log donne le détail des notifications affichées sur l’ordinateur Mac. Le fichier est situé dans le dossier /Library/Logs.
• CCMPrefPane-<date>.log regroupe les activités générées à partir de la fenêtre de préférence du client ConfigMgr. Le fichier est situé dans le dossier /Library/Logs

Les sources (.DMG) du client incluent un outil appelé CMDiagnostics permettant de générer une archive pouvant servir au dépannage du client. Elle inclut :

• Les fichiers de journalisation
• Le cache du client
• Les préférences/configurations du client ConfigMgr
• Les informations du système d’exploitation
• Les informations du processus
• Les éventuels crashs système ou utilisateur

Avec l’arrivée de System Center 2012 Configuration Manager, Microsoft a misé sur l’utilisateur. C’est ainsi que des systèmes ont été mis en place pour déployer des applications, des lignes de base de conformité sur l’utilisateur et non plus en ciblant la machine. Ce choix stratégique est à l’origine d’un changement dans les habitudes des usagers des systèmes d’information. L’entreprise s’emploie à donner tous les outils nécessaires pour que l’utilisateur final puisse travailler. Il n’est ainsi pas rare de voir des utilisateurs avec deux ou trois périphériques (ordinateur portable, smartphone, tablette…). Le but est ainsi d’offrir le même service à travers tous ces périphériques. En outre, certains profils peuvent se connecter sur plusieurs machines même si celles-ci ne sont pas leur périphérique principal. On peut notamment penser aux administrateurs ou aux équipes du support informatique. Avec System Center Configuration Manager 2007, il était déjà possible de créer des publications ciblant les utilisateurs mais le produit n’intégrait pas de mécanismes permettant de limiter le déploiement à se machine principale. Ainsi tant que l’utilisateur se connectait à un seul périphérique tout allait bien par contre dès lors qu’il se connectait sur une autre machine, l’ensemble des publications le suivaient sans aucun mécanisme intégré permettant d’éviter ce scénario. C’est ainsi que Microsoft a introduit l’affinité périphérique utilisateur ou User Device Affinity (UDA). Le système peut donc prendre en compte l’association d’un périphérique et d’une machine pour déployer une application.

Concernant les caractéristiques, les scénarios suivants sont possibles :

• Un utilisateur peut avoir plusieurs périphériques principaux
• Un périphérique peut être le périphérique principal de plusieurs utilisateurs

L’affinité périphérique utilisateur peut être créée de différentes façons :

• Manuellement par l’utilisateur au travers du portail d’applications. Cette option est disponible dans l’onglet My Systems L’utilisateur peut cocher la case I regularly use this computer to do my work si l’administrateur a créé une stratégie utilisateur lui laissant définir ses périphériques utilisateurs.
• Défini par l’administrateur : L’administrateur peut éditer les périphériques principaux d’un utilisateur par le biais de la console d’administration. Il peut aussi faire de l’import en masse avec l’option Import User Device Affinity où il pourra charger un fichier CSV pour créer toutes les associations
• Automatiquement par le système : Cette option permet de laisser Configuration Manager 2012 déterminer le périphérique principal d’un utilisateur. Pour cela, l’administrateur doit avoir configuré l’option et ses conditions par le biais d’une stratégie User and Device Affinity.
  Vous devez y spécifier les options suivantes :
  • User device affinity threshold (minutes) : définit le nombre de minutes d’utilisation pour un utilisateur pendant l’intervalle de jour ci-dessous.
  • User device affinity threshold (days) : donne l’intervalle Durant lequel le nombre de minutes d’utilisation est determiné pour créer l’affinité.

Note : Vous devez spécifier une valeur supérieure à 7 jours pour éviter la suppression des affinités périphériques utilisateurs lorsque l’utilisateur ne se connecte pas pendant une semaine. La valeur par défaut demande 48 heures de travail continu de la part de l’utilisateur sur 30 jours d’utilisation.

• • Automatically configure user device affinity from usage data pour créer automatiquement les associations.

Note : Cette option ajoute des associations mais peut aussi les retirer lorsqu’elles ne sont plus d’actualité.

Une fois la stratégie reçue par le client ConfigMgr, celui-ci va utiliser les stratégies locales de sécurité et notamment :

• Les événements d’audit de connexion des comptes
• Les évènements d’audit de connexion

Attention : Ces deux options doivent être activées indépendamment de l’infrastructure ConfigMgr sur chacun des clients pour pouvoir créer les affinités automatiquement. Le système d’exploitation Windows XP ne dispose pas de ces stratégies activées par défaut. Vous pouvez pour cela utiliser des stratégies de groupe (GPO).

Une fois l’affinité créé, celle-ci peut être utilisée au travers du nouveau modèle d’Application (il n’est pas possible d’utiliser les packages). Ce nouveau modèle intègre des mécanismes comme :

• Les méthodes de détection permettant notamment de détecter si l’application est déjà présente sur le système. Ceci évite de lancer le déploiement d’une application déjà installée. Avec ConfigMgr 2007, les administrateurs utilisaient des collections avec règles d’appartenance dynamiques basées sur l’inventaire machine. Certaines publications pouvaient s’exécuter bien que l’application soit présente et ce parce que l’inventaire n’avait pas encore été relancé sur la machine en question.
• Les prérequis permettant d’associer un type de déploiement à un scénario spécifique. Vous pouvez par exemple valider que la machine cible dispose bien d’un niveau de mémoire vive suffisant ou bien d’une langue de système d’exploitation compatible avec l’application déployée. Vous pouvez aussi valider que l’utilisateur cible du déploiement est bien le périphérique principal de la machine. En outre, vous pouvez personnaliser ces prérequis par le biais de conditions globales.
• Les dépendances permettent de créer d’associer une autre application pour qu’elle devienne une dépendance de l’application déployée.

L’équipe du support ConfigMgr a publié un article concernant le support de SQL Server 2012 pour les produits qui gravitent autour de System Center Configuration Manager. Le premier point est que seul SQL Server 2012 Service Pack 1 n’est supporté. La version sans Service Pack ne fait pas partie du support.

Voici un résumé du support :

• ConfigMgr 2007 SP2 supporte SQL Server 2012 SP1 pour la base de données de site
• ConfigMgr 2007 R3 supporte SQL Server 2012 SP1 pour la base de données de site, le rôle Reporting Services Point, et Client Status Reporting

Note : Vous devez appliquer le correctif de la KB2676776

• Pour ConfigMgr 2012 SP1, vous pouvez utiliser SQL Server 2012 SP1 pour la base de données de site (CAS, primaire, ou secondaire)

• FEP 2010 supporte le support de SQL Server 2012 SP1 dans un scénario de mise à jour de la base de données FEP et de la base de données de rapports depuis SQL Server 2008, SQL Server 2008 R2 ou SQL Server 2012. Il n’est pas supporté l’installation du produit sur une nouvelle instance SQL Server 2012 SP1.

Note : Vous devez appliquer le correctif de la KB2683558 Forefront Endpoint Protection data warehouse and reports fail to get new data on SQL Server 2012

• WSUS sur Windows Server 2012 supporte l’utilisation d’une base de données SQL Server 2012

Plus d’informations sur : http://blogs.technet.com/b/configmgrteam/archive/2013/02/11/support-announcements-for-february-2013.aspx

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Aperçu des fonctionnalités

Dans cette partie, je vous propose un aperçu des capacités offertes par cette version du client ConfigMgr pour les ordinateurs Mac. Ceux-ci s’intègrent parfaitement à l’administration des ressources en proposant :

• L’inventaire matériel et logiciels
• Le déploiement d’applications avec le nouveau modèle
• La gestion de conformité

Inventaire matériel et logiciels

Lorsque le client se connecte pour récupérer ses stratégies, il procède à l’évaluation de l’inventaire de la machine. Le but est de remonter des informations similaires à celle que l’on peut trouver avec le client Windows. Vous pouvez exploiter l’inventaire individuellement via l’explorateur de ressources ou les rapports.

• Ouvrez la console d’administration et naviguez dans Assets and Compliance – Overview – Devices

• Sélectionnez l’ordinateur Mac puis faites Start – Resource Explorer
• L’explorateur de ressource s’ouvre et vous permet de naviguez dans les différentes classes. Voici les classes inventoriées sur le Mac à ma disposition : CDROM Drive, Computer System, Desktop Monitor, Device Information, Disk Drives, Disk Partitions, Installed Applications, Mobile Device Computer System, Network Adapter, Operating System, Physical Memory, Processor, Services, System, USB Controller, USB Device, Video Controller, Workstation Status.

Déploiement d’applications

Les ordinateurs Mac s’intègre pleinement au modèle d’applications apporté par System Center 2012 Configuration Manager. Il est ainsi possible de créer une application qui propose des types de déploiement pour les clients Windows via le client lourd ou une bulle App-V, pour les ordinateurs Mac, etc… Cette implémentation a néanmoins quelques limitations :

• Le déploiement d’applications Mac sur des utilisateurs n’est pas supporté. Vous devez donc cibler les périphériques.
• Il n’est pas possible de déployer les applications en les rendant « disponibles » (Available).
• L’utilisation du Wake-On-Lan via l’envoie de paquets de réveil n’est pas supporté.
• Les ordinateurs Mac ne supportent pas l’utilisation de Background Intelligent Transfer Service (BITS) pour télécharger le contenu. Ainsi lorsque le téléchargement échoue, celui-ci recommence à zéro.
• Les conditions globales ne sont pas supportées lorsque vous utilisez un type de déploiement pour des applications Mac.

Voici le processus global :

• Microsoft ne supporte pas le déploiement de fichiers DMG, APP, PKG, ou MPKG, vous devez donc créer un package CMMac (format propriétaire Microsoft) à partir d’une machine de référence. Ceci permettra de créer le package avec les méthodes de détection et les lignes de commande nécessaires.
• Vous pouvez ensuite déployer l’application sur les machines concernées.

Préparation du package CMAPP

Commencez par vous procurer les sources d’installation de l’application que vous souhaitez déployer. J’ai choisi de déployer Office 2011 for Mac SP2 et l’utilitaire VLC. Récupérez ensuite l’outil CMAppUtil présent dans le dossier Tools des sources du client ConfigMgr pour Mac. Ouvrez ensuite un Terminal et naviguez vers l’outil CMAppUtil. Voici les paramètres disponibles avec l’outil :

• -h : donne accès à l’aide
• -r : Crée un fichier detection.xml à partir du fichier CMMac donnant les paramètres de détection inclus dans le package.
• -c <fichier source> : permet la conversion du fichier d’installation (App, pkg, mpkg, dmg)
• -o <fichier en sortie> : doit être utilisé avec le paramètre –c pour spécifier un fichier CMMac de sortie
• -a doit être utilisé avec l’option –c et les fichiers .DMG pour créer les fichiers CMMac pour toutes les applications et packages trouvés dans le fichier DMG
• -s passe la génération du fichier detection.xml si aucun paramètre de détection est créé et permet de forcer la génération du fichier CMMac sans la partie méthode de détection. En temps normal si aucune méthode de détection n’est trouvée, la génération échoue.
• -v active le mode verbeux de l’outil

Vous devez utiliser l’outil avec la forme suivante : ./CMAppUtil –c <fichier dmg> -o <répertoire de sortie> -a
Par exemple, voici les lignes de commande utilisées :

• ./CMAppUtil –c vlc-2.0.5.dmg –o ./ -a
• ./CMAppUtil –c ./en_office_for_mac_2011_home_and_business_2011_with_service_pack_2_838477.dmg –o ./ -a

Création de l’application

Une fois vos fichiers crées, déposez-les dans votre répertoire de sources :

Ouvrez la console d’administration de Configuration Manager 2012. Naviguez dans l’arborescence Software Library – Overview – Application Management – Applications. Cliquez sur Create Application. Une fois l’assistant ouvert, vérifiez que la case Automatically detect information about this application from installation files est cochée. Sélectionnez le type Mac OS X et renseignez l’emplacement du package CMMac :

Validez les informations d’import et passez à l’écran General Information. Validez et complétez les informations à propos de l’application puis cliquez sur Next.

Une fois l’import terminé, cliquez sur Close.

En éditant les propriétés du type de déploiement, on peut observer la ligne de commande et les méthodes de détection utilisées :

Distribution de l’application sur les points de distribution

Une fois l’application créée dans Configuration Manager, vous devez la distribution sur les points de distribution afin que les clients puissent la récupérer lorsqu’ils recevront l’application. Sélectionnez l’application précédemment créée, et cliquez sur Distribute Content.

Vérifiez les informations de l’écran Content.
Sur l’écran Content Destination, ajoutez le groupe de points de distribution ou le point de distribution souhaité.

Note : Vous devez déployer le contenu sur un point de distribution servant des clients Internet.

Passez l’écran Summary et Completion pour lancer l’opération. Après quelques minutes, vérifiez l’état de distribution du contenu dans la partie Monitoring.

Déploiement de l’application sur les ordinateurs Mac

Commencez par créer une collection de périphériques avec les ordinateurs Mac souhaités.

Rappel : Il n’est pas possible d’utiliser un déploiement tourné utilisateur pour les ordinateurs Mac.

Je vous conseille de préfixer vos collections par un code spécifiant ce pour quoi elles sont utilisées (Exemple : SWD Devices Office 2011 for Mac) Vous pouvez utiliser des règles d’appartenance ou des requêtes selon vos critères. Voici une requête qui vous permettra de sélectionner les ordinateurs Mac uniquement :

Select SMS_R_System.ClientEdition from SMS_R_System where SMS_R_System.ClientEdition = 5

Une fois la collection créée et correctement peuplée, retournez dans la partie Software Library – Overview – Application Management – Applications. Sélectionnez votre application et cliquez sur Deploy. L’assistant de déploiement s’ouvre. Spécifiez la collection de périphériques cibles :

A l’étape Content, Validez que l’application a bien été distribuée aux points de distribution servant des clients Internet et des périphériques mobiles.

Sur le groupe Deployment Settings, sélectionnez les options suivantes

• Action : Install
• Purpose : Required
  L’option Available ne peut être utilisée sur des ordinateurs Mac
• Les trois options pour le wake-up packets, le pré déploiement sur les périphériques principaux des utilisateurs et sur les connexions taxées ne sont pas applicables aux ordinateurs Mac.

Sur la page Scheduling, configurez la planification du déploiement. Ces options régissent à partir de quand vous rendez l’application disponible et à quelle date l’application devient obligatoire et s’installera automatiquement.

Sur l’écran User Experience, choisissez si l’utilisateur doit voir des notifications de ce déploiement.

A l’étape suivante, spécifiez les options de création d’alerte vis-à-vis d’un seuil de déploiement. Les options liées à System Center Operations Manager ne s’appliquent pas aux ordinateurs Mac.

Enfin, validez l’écran de résumé et fermez l’assistant.

Sur le client, une fois que celui-ci exécutera une synchronisation avec son Device Management Point et si le déploiement est dans l’intervalle de disponibilité adéquat, vous pouvez voir afficher une fenêtre comme celle-ci :

L’installation d’Office 2011 se lance :

Une fois terminé, les applications sont disponibles dans la partie Applications de vos ordinateurs Mac.

Gestion de la conformité

Outre les fonctionnalités d’inventaire et de déploiement d’applications, le client ConfigMgr pour Mac permet la vérification de la conformité. Cette partie s’attachera à détailler comment vérifier des paramètres sur un ordinateur Mac. Mac OS X stocke les paramètres dans des fichiers appelé Property List (plist). On trouve ces fichiers dans /System/Library ou /Library. Vous pouvez ensuite les éditer avec un outil comme plist Editor for Windows.

Au sens System Center Configuration Manager, la gestion de conformité est constituée des éléments suivants :

• Des objets de configuration (Configuration Items) : Ceux-ci représentent les paramètres que vous allez vérifier. On y retrouve la méthode utilisée (script, registre, pslist…) et les informations nécessaires à son évaluation (clé de registre…). Il inclut aussi des règles de conformité qui permettront de retourner le résultat de l’évaluation.
• Des lignes de base (Baselines) qui équivalent à un contrat de conformité. Celles-ci rassemblent des objets de configuration. Le résultat donnera l’état de conformité global du client vis-à-vis du contrat.

Il existe tout de même certaines limitations :

• Vous ne pouvez pas déployer une baseline sur des utilisateurs
• Vous ne pouvez pas vérifier des paramètres touchant les utilisateurs
• Vous ne pouvez pas vérifier des valeurs contenues dans un tableau de dictionnaire (balise <array>)

Création des objets de configuration

Nous allons commencer par créer plusieurs objets de configuration dans le but de vérifier :

• AlertsUseMainDevice pour valider que les sons système n’utilisent pas le périphérique audio principal
• ActivePowerProfiles pour vérifier que le profil AC Power est utilisé sur le système d’exploitation
• Dirigez-vous dans la console d’administration à travers l’arborescence Asset and Compliance – Compliance Settings – Configuration Items.
• Procédez à la création d’un objet de configuration que vous nommerez comme souhaité. Sélectionnez le type Mac OS.
• Sur l’écran suivant, choisissez les plateformes Mac OS sur lesquels vous souhaitez appliquer l’objet de configuration.
• Sur la page Settings, ajoutez un objet de configuration :
  • Nommez-le
  • Choisissez le Setting type souhaité parmi Script etMac OS X Preferences.
  • Choisissez le type de donnée vérifié (Integer)
  • Si vous avez choisi de valider un paramètre de préférence, sélectionnez l’Application ID et la clé concernée (Exemple : com.apple.soundpref et AlertsUseMainDevice)

• Ouvrez l’onglet Compliance Ruleset ajoutez une règle supplémentaire :
  • Nommez-la
  • Choisissez le type de règle parmi : Existencial et Value.
  • En fonction du type de règle, spécifiez la condition
  • Décidez si la condition doit rapporter un état de nom conformité lorsque l’instance du paramétrage n’est pas présente.
  • Finalement, sélectionnez le niveau de sévérité (Critical, Error, Warning ou Information) renvoyé en cas de non-conformité.

Note : Il n’est pas possible de remédier les paramétrages.

• Ajoutez autant de condition que nécessaire

• Sur l’assistant, passez l’état Compliance Rules si vous les avez déjà renseignées préalablement.

• Passez l’écran de résumé et fermez l’assistant

Ajoutez autant d’objets de configuration que nécessaire. Voici des exemples de configuration :

Création d’une ligne de base de configuration

Une fois les objets de configuration créés, vous devez créer une baseline.

• Toujours dans la console d’administration, naviguez dans Asset and Compliance – Compliance Settings – Configuration Baselines.
• Sélectionnez Create Configuration Baseline.
• Nommez votre baseline et ajoute les objets de configurations ou d’éventuelles lignes de base à évaluer :

• Cliquez sur OK pour valider sa création

Déployer la ligne de base

Commencez par créer une collection de périphériques avec les ordinateurs Mac souhaités. Je vous conseille de préfixer vos collections par un code spécifiant ce pour quoi elles sont utilisées (Exemple : DCM Devices WindowsTouch Compliancy) Vous pouvez utiliser des règles d’appartenance ou des requêtes selon vos critères. Voici une requête qui vous permettra de sélectionner les ordinateurs Mac uniquement :

Select SMS_R_System.ClientEdition from SMS_R_System where SMS_R_System.ClientEdition = 5

Une fois la collection créée et correctement peuplée, retournez dans la partie Asset and Compliance – Compliance Settings – Configuration Baselines. Sélectionnez votre baseline et cliquez sur Deploy. L’assistant de déploiement s’ouvre Vous devez spécifier :

• La collection de périphériques cibles.
• La programmation à laquelle les postes vont évaluer la baseline
• Si vous souhaitez générer une alerte lorsque le niveau de conformité est en dessous d’un seuil.

Une fois déployée et lorsque les clients l’ont évalué, vous pouvez observer l’état de conformité au travers des rapports et par la console d’administration. Pour cela, naviguez dans Monitoring – Overview – Deployments. Puis sélectionnez le déploiement concerné.

Vous pouvez obtenir plus de détails en cliquant sur View Status. Cette vue vous donnera notamment les objets de configuration en échec pour les machines non conformes.

Les rapports sont quant à eux disponibles dans Monitoring – Overview – Reporting – Reports – Compliance and Setting Management.

Microsoft vient de mettre à jour la liste des périphériques réseaux supportées par les nouvelles fonctionnalités de supervision étendues de System Center 2012 Operations Manager SP1. Cette nouveauté permet par exemple de superviser les routeurs et switches afin de déterminer leur statut (Online/Offline) ainsi que les ports et interfaces des périphériques ou encore des informations détaillées sur la mémoire et le processeur. Globalement Microsoft couvre les périphériques supportant SNMP et supervise les ports des périphériques implémentant les standards MIB (RFC 2863) et MIB-II (RFC 1213).

Pour télécharger la liste, rendez-vous sur : http://www.microsoft.com/download/en/details.aspx?id=26831

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Préparation des prérequis clients

Une fois les prérequis côté systèmes de site et infrastructure validés, nous pouvons passer à la préparation des prérequis clients.

Prérequis matériel et logiciels

Pour les facteurs processeur et mémoire, Microsoft recommande de suivre les préconisations liées au système d'exploitation sur lequel vous installez le client.  Par exemple, Mac OS X 10.7 requière la configuration suivante :

• Un processeur Intel Core 2 Duo, Core i3, Core i5, Core i7 ou Xeon

Note : Le client MAC n'est pas supporté sur d'autres plateformes qu'Intel 64-bit.

• 2 Go de mémoire vive (RAM)

Concernant l'espace disque nécessaire, le client une fois installé consomme jusqu'à 500 MB. Ajoutez à cela, l'espace nécessaire pour le cache (5 Giga-octets par défaut) servant à stocker temporairement les sources d'installation des applications, mises à jour etc…

System Center 2012 Configuration Manager Service Pack 1 supporte les systèmes d'exploitation suivants :

• Mac OS X 10.6 (Snow Leopard)
• Mac OS X 10.7 (Lion)

Pare-feu

Le client communique avec son serveur de site pour différentes opérations et ceci nécessite que vous ouvriez certains ports dédiés pour la communication avec les systèmes de site : Port TCP 443 en sortie pour la communication HTTPS,

Certificats

Vous devez créer et déployer des certificats sur les serveurs hébergeant les rôles : Management Point, Distribution Point, Enrollment Point, Enrollment Proxy Point. Ces certificats servent à l'authentification serveur et doivent servir pour le serveur Web. Nous aborderons ceci plus loin dans ce chapitre.

Plus précisément, le client Mac nécessite un certificat répondant aux exigences suivantes :

• La valeur d'Enhanced Key Usage doit être 1.3.6.1.5.5.7.3.2 pour spécifier une authentification cliente
• Une valeur unique doit être spécifiée dans le champ Subject Name. Le champ Subject Alternative Name n'est pas supporté
• L'algorithme de hachage supporté est SHA-1
• ConfigMgr supporte des clés de chiffrement jusqu'à 2048 bits.
• Le certificat doit être au format X.509 binary.

Sinon vous devez vous référer à la page de prérequis des certificats : http://technet.microsoft.com/en-us/library/gg699362.aspx

Création du modèle de certificat

Le client ConfigMgr Mac utilise un certificat pour communiquer avec ses systèmes de site. Commençons par déléguer les droits de demande de certificats sur l’autorité au groupe qui sera autorisé. Ouvrez la console Certificate Authority et ouvrez les propriétés de votre autorité de certification. Editez l’onglet Security pour ajouter le droit Request Certificates aux utilisateurs habilités.

Nous allons procéder à la création du modèle nécessaire. Retournez sur l’autorité de certification et ouvrez la console Certificate Authority et dirigez-vous sur le nœud Certificate Templates. Cliquez droit sur le nœud Certificate Templates et sélectionnez Manage.

Utilisez le modèle Authenticated Session comme base. Cliquez droit dessus et sélectionnez Duplicate Template. Une fenêtre s’ouvre vous permettant d’éditer les propriétés du modèle. Validez l’utilisation d’un modèle de type Windows Server 2003. Ouvrez l’onglet général, commencez par donner un nom au modèle. Vous pouvez aussi jouer sur les paramétrages de validité et de renouvellement. Une augmentation de ces paramétrages facilitera la maintenance générée par les certificats mais augmentera les risques de sécurité.

Naviguez dans l’onglet Subject Name et cochez l’option Build from this Active Directory Information. Dans le format du nom, choisissez  Common name et décochez la case User principal name (UPN).

Nous allons ensuite éditer les permissions de sécurité via l’onglet Security. Commencez par retirer les permissions d’enregistrement pour les groupes Domain Admins, Enterprise Admins et Authenticated Users si nécessaire. Vous pouvez ensuite créer un groupe qui contiendra les comptes des personnes (du support par exemple) qui procéderont à l’enregistrement des ordinateurs Mac.  Déléguez-leur les droits Read et Enroll nécessaires à la demande de certificat.

Fermez la console de gestion des modèles et retournez sur la console dédiée à l’autorité de certification. Cliquez droit sur le nœud de l’autorité de certification et éditez ses propriétés. Dans la partie Security, ajoutez le groupe que nous avons créé précédemment et déléguez-lui les droits nécessaires pour procéder à une demande de certificats. Fermez la fenêtre des propriétés

Enfin, cliquez droit dans la partie Certificate Templates, et sélectionnez New – Certificate Template to issue. Une fenêtre s’ouvre afin de vous permettre la sélection du modèle que nous venons de créer.

Une fois le modèle activé, vous le retrouvez dans la liste des modèles disponibles.

Modification de la stratégie pour l’enregistrement

Cette partie ne constitue pas une étape obligatoire, elle permet la configuration de la stratégie par défaut pour permettre l’enregistrement de l’ordinateur Mac et le déploiement automatique du certificat d’entreprise. Si vous choisissez de ne pas utiliser les rôles Enrollment Point et Enrollment Proxy Point et d’installer le client en déployant le certificat à la main, vous pouvez passer cette étape.

Ouvrez la console d’administration et naviguez dans l’arborescence Administration – Overview - Client Settings. Ouvrez la stratégie par défaut (Default Client Settings).

Note : L’ordinateur n’étant pas encore rattaché à l’infrastructure, ces changements doivent être appliqués à la stratégie par défaut.

Une fois la stratégie ouverte, choisissez Enrollment. Passez la valeur Allow users to enroll mobile devices and Mac Computers à Yes.

Cliquez ensuite Set Profile… pour définir un profil d’enregistrement. Une fenêtre s’ouvre, cliquez sur Create… pour créer le profil dédié aux ordinateurs Mac. La fenêtre de création s’ouvre, cliquez sur Add pour ajouter l’autorité de certification  utilisée pour délivrer le certificat. Vous devez ensuite sélectionner le modèle de certificat dédié aux ordinateurs Mac précédemment créé. Il vous sera aussi nécessaire de spécifier le code de site utilisé pour gérer ces clients.

Cliquez sur Ok pour créer le profil et Ok pour sélectionner le profil que nous créé :

Installation du client ConfigMgr pour Mac

Commencez par vous procurer les sources du client ConfigMgr pour MAC à l’adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=36212

Note : La version que vous récupérez doit correspondre à celui de l’infrastructure ConfigMgr.

Installez le MSI sur une machine pour récupérer le fichier DMG dans C:\Program Files (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client\

Il existe deux méthodes d’installation du client Mac :

• La première consiste à utiliser l’auto enregistrement du client et le déploiement automatique du certificat via l’autorité de certification Active Directory Certificate Services
• La seconde revient à déployer le certificat manuellement et à déléguer les droits nécessaires au client.

Méthode 1

Ouvrez un terminal et procédez à l'installation du client en utilisant sudo ./ccmsetup. Une fois l'installation terminée, ne redémarrez pas !

Naviguez dans le dossier Tools et exécutez la commande suivante : sudo ./CMEnroll -s <FQDN du serveur Enrollment Proxy Point> -ignorecertchainvalidation -u '<Domain\Utilisateur ayant les droits d'enregistrement sur le modèle de certificat>'. Entrez le mode de passe du compte utilisateur renseigné.

Note : Les apostrophes autour du nom d’utilisateur sont OBLIGATOIRES.

Redémarrez le client Mac. Ouvrez ensuite System Preferences et Configuration Manager. Vous devez voir la configuration du client. Enfin le client a pu apparaître dans le nœud Devices de la console d'administration.

Méthode 2

La seconde méthode vous demande de pré-déployer le certificat tout en l'enregistrant manuellement dans le magasin du client puis d'exécuter l'installation du client.

• Procédez à la demande et à l'installation du certificat sur le client Mac
• Ouvrez un terminal et exécutez la commande suivante : sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
• Une fenêtre s'ouvre, sélectionnez System dans la section Keychains et Keys dans la section Category
• Identifiez le certificat que vous avez installé et double-cliquez dessus. Sur l'onglet Access Control, et sélectionnez Confirm before allowing access.
• Naviguez dans le répertoire d'installation du client (/Library/Application Support/Microsoft/CCM) et sélectionnez l'exécutable CCMClient puis cliquez sur Add.
• Cliquez sur Save.
• Les sources d'installation des clients Mac ne sont pas livrées avec le produit. Récupérez-les sur le centre de téléchargement Microsoft. Décompressez le fichier dmg.
• Exécutez la commande suivante : sudo ./ccmsetup -MP <FQDN du Management Point> -SubjectName <Valeur de la propriété SubjectName du certificat>
• Une fois l'installation terminée, redémarrez le client Mac pour terminer la procédure.

Note : Lorsque le client est installé, vous pouvez initier la récupération d’une stratégie manuellement en cliquant sur le bouton Connect Now. Vous pouvez aussi retrouver l’heure de dernière connexion.

L’équipe documentation de System Center Configuration Manager a publié la documentation offline de System Center 2012 Configuration Manager (SCCM). Ces fichiers d’aide sont remis à jour en moyenne tous les 6 mois pour couvrir les nouveaux sujets ou les modifications. Cette version correspond aux dernières mises à jour appliquées au 1 février 2013. On retrouve plusieurs modes :

• Un fichier CHM qui met à jour sur le serveur SCCM ou installe sur une autre machine les fichiers d’aide.
• La documentation complète au format Docx
• La documentation complète au format PDF (recherche plus aisée)

Pour voir les avantages et inconvénients de chacun des supports, je vous invite à lire le blog post de l’équipe : http://blogs.technet.com/b/configmgrteam/archive/2012/05/25/announcing-downloadable-documentation-for-configuration-manager.aspx

Télécharger The Technical Documentation Download for System Center 2012 Configuration Manager

Microsoft a publié les outils de déploiement pour la version Click-to-Run d’Office 2013. Ces outils permettent la personnalisation et l’administration d’Office 2013 dans ce mode de déploiement. Vous pouvez :

• Télécharger les sources d’installation sur un emplacement réseau
• Configurer l’installation pour utiliser le partage réseau comme source au lieu d’Internet
• Configurer l’installation pour supprimer toute l’interface graphique
• Configurer la journalisation pour l’installation
• Configurer si Office doit être automatiquement mis à jour ou non
• Configurer quels produits et langues doivent être installés
• Supprimer des produits de la partie Click-to-Run

Télécharger Office Deployment Tool for Click-to-Run

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Préparation des prérequis d’infrastructure

L’infrastructure doit être préparée pour permettre l’accueil des ordinateurs Mac. Cette partie s’attachera à détailler le processus.

Prérequis des systèmes de site

Voici les prérequis nécessaires à l’installation des différents rôles de System Center 2012 Configuration Manager Service Pack 1 :

• Management Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • Application Development
    • ISAPI Extensions
  • Security
    • Windows Authentication
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • .NET Framework 4.0
    • BITS Server Extensions

• Device Management Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • ASP.NET (avec la nécessité de réenregistrer l’ASP.NET après l’installation du .NET 4 avec %windir%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe –i –enable)
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • .NET Framework 4.0
    • BITS Server Extensions

Concernant les certificats, le rôle Management Point et son sous rôle Device Management Point requièrent :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
• Le certificat utilisé pour la supervision du rôle :
  • Modèle Microsoft : Workstation Authentication
  • But : Client authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.2)
  • Subjet Name ou Subject Alternative Name : doit contenir une valeur unique correspondant au FQDN de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
  • Longueur de clé maximum : 2048 bits

Note : Un Management Point ne peut pas servir des clients à la fois via le protocole HTTP et HTTPS, vous devrez installer deux instances de ce rôle si certains clients ne peuvent pas utiliser le protocole HTTPS.

• Le Distribution Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • Application Development :
    • ISAPI Extensions
  • Security :
    • Windows Authentication
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • Remote Differential Compression

Note : Un Distribution Point ne peut pas servir des clients à la fois via le protocole HTTP et HTTPS, vous devrez installer deux instances de ce rôle si certains clients ne peuvent pas utiliser le protocole HTTPS.

Pour les certificats, le rôle Distribution Point requiert :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
• Le certificat utilisé pour authentifier le point de distribution auprès d’un Management Point utilisant les communications HTTPS et pour authentifier les clients lors du processus de déploiement de système d’exploitation :
  • Modèle Microsoft : Workstation Authentication
  • But : Client authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.2)
  • Subjet Name ou Subject Alternative Name : Pas de prérequis spécifique
  • Support des algorithmes de hachage : SHA-1, SHA-2
  • Longueur de clé maximum : 2048 bits

• L’Enrollment Point requiert
  • les fonctionnalités suivantes :
    • .NET Framework 3.5.1
    • .NET Framework 4.0
    • Toutes les versions : WCF Activation :
      • HTTP Activation
      • Non-HTTP Activation
  • Il requiert aussi le rôle Web Server (IIS) avec les services suivants :
    • Les services activés par défaut par le rôle
    • ASP.NET et les composants qui en dépendent
    • IIS 6 Management Compatibility
      • IIS 6 Metabase Compatibility

• L’Enrollment Proxy Point requiert :
  • Les fonctionnalités suivantes :
    • .NET Framework 3.5.1
    • .NET Framework 4.0
    • Toutes les versions : WCF Activation :
      • HTTP Activation
      • Non-HTTP Activation
  • Il requiert aussi le rôle Web Server (IIS) avec les services suivants :
    • Les services activés par défaut par le rôle
    • ASP.NET et les composants qui en dépendent
    • IIS 6 Management Compatibility
      • IIS 6 Metabase Compatibility

Concernant les certificats, les rôles Enrollment Point et Enrollment Proxy Point requièrent :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2

Vous trouverez plus d’information sur les prérequis logiciels sur la documentation Technet : http://technet.microsoft.com/en-us/library/gg682077.aspx#BKMK_Win2k12SiteSystemPrereqs

Vous trouverez plus de détails sur les certificats requis sur la documentation Technet : http://technet.microsoft.com/en-us/library/gg699362.aspx

Nous ne détaillerons pas leur installation et vous devez au préalable effectuer cette opération pour continuer la lecture de l’article.

Création des certificats pour les systèmes de site

Commencez par installer une autorité de certification (PKI) d’entreprise visant à délivrer les certificats nécessaires. Nous utiliserons la PKI Active Directory Certificate Services (AD CS) afin de bénéficier des fonctionnalités d’enregistrement des périphériques via les rôles Enrollment Point et Enrollment Proxy Point. Une fois installée, ouvrez la console Certificate Authority et dirigez-vous sur le nœud Certificate Templates. Vous pouvez commencer par retirer tous les modèles que vous n’utiliserez pas. Ceci constitue une bonne pratique visant à augmenter le niveau de sécurité de l’autorité.
Ensuite, cliquez droit sur le nœud Certificate Templates et sélectionnez Manage. Une deuxième console s’ouvre. Nous allons commencer par créer le modèle qui sera utilisé pour délivrer des certificats pour les systèmes de site utilisant le serveur web (IIS).

Nous utiliserons le modèle Web Server comme base. Cliquez droit dessus et sélectionnez Duplicate Template. Une fenêtre s’ouvre vous permettant d’éditer les propriétés du modèle. Si vous utilisez une autorité de certification sous Windows Server 2008 ou Windows Server 2008 R2, vous devez utiliser un modèle de type Windows Server 2003. System Center Configuration Manager ne supporte pas les modèles de certificat au nouveau format.

Ouvrez l’onglet général, commencez par donner un nom au modèle. Celui-ci permettra une identification plus aisée lors de la demande de certificat. Vous pouvez aussi jouer sur les paramétrages de validité et de renouvellement. Une augmentation de ces paramétrages facilitera la maintenance générée par les certificats mais augmentera les risques de sécurité.

Naviguez dans l’onglet Subject Name et validez sur l’option Supply in the request est sélectionnée.

Nous allons ensuite éditer les permissions de sécurité via l’onglet Security. Commencez par retirer les droits d’enregistrement pour les groupes Domain Admins, Enterprise Admins et Authenticated Users si nécessaire. Vous pouvez ensuite créer un groupe qui contiendra les comptes ordinateurs des systèmes de site concernés et déléguer les droits Read et Enroll nécessaires à la demande de certificat.

Fermez la console de gestion des modèles et retournez sur la console dédiée à l’autorité de certification. Cliquez droit sur le nœud de l’autorité de certification et éditez ses propriétés. Dans la partie Security, ajoutez le groupe que nous avons créé précédemment et déléguez-lui les droits nécessaires pour procéder à une demande de certificats. Fermez la fenêtre des propriétés

Enfin, cliquez droit dans la partie Certificate Templates, et sélectionnez New – Certificate Template to issue. Une fenêtre s’ouvre afin de vous permettre la sélection du modèle que nous venons de créer.

Une fois le modèle activé, vous le retrouvez dans la liste des modèles disponibles.

Nous pouvons passer à la demande de certificats sur le ou les systèmes de site qui hébergeront les rôles Management Point, Distribution Point, Enrollment Proxy Point et Enrollment Point. Sur le serveur, ouvrez la console MMC et ajoutez le composant Certificates pour la machine. Par la suite, cliquez droit sur le nœud Personal et sélectionnez All Tasks – Request a new certificate. Une fenêtre s’ouvre afin de procéder à la demande d’un certificat. Le modèle doit apparaître si le compte ordinateur de la machine est dans le groupe disposant des droits nécessaires. Notez qu’un redémarrage du serveur peut être nécessaire afin de renouveler son ticket Kerberos. Sélectionnez le modèle ConfigMgr Web Server Certificate. Des informations complémentaires sont nécessaires, cliquez sur l’avertissement pour les renseigner.

Dans l’onglet Subject, ajoutez un nom alternatif de type DNS comprenant le nom de domaine pleinement qualifié (FQDN) du système de site.

Cliquez ensuite sur Ok pour valider l’information. Une fois revenu sur la fenêtre d’enregistrement, cliquez sur Enroll. La demande doit être effectuée avec succès.

Le certificat apparaît ensuite dans le magasin Personal. Nous allons pouvoir l’associer au site Web IIS. Pour cela, ouvrez la console IIS Manager. Cliquez droit sur le site web qui sera utilisé (en général Default Web Site) et sélectionnez Edit Bindings… :

Ajoutez ou éditez le type https. Sélectionnez le certificat SSL que vous venez de délivrer. Le bouton View vous permettra de valider le certificat que vous avez choisi si le common name n’est pas explicite.

Cliquez sur Ok puis fermez la console IIS Manager.

Installation des systèmes de site

Nous pouvons maintenant procéder à l’installation du système de site et du rôle concerné. Ouvrez la console d’administration de System Center 2012 Configuration Manager. Dirigez-vous dans Administration – Servers and Site Systems Roles. Trois scénarios se présentent à vous :

• Vous installez un ou plusieurs systèmes de site accompagnés des rôles nécessaires.
• Vous ajoutez les rôles à un système de site existant. Pour celle méthode, vous devrez au préalable renseigner le nom de domaine internet sur le système de site existant.
• Vous éditez le rôle de système de site déjà installé pour activer la fonctionnalité HTTPS.

Nous détaillerons le premier scénario. Cliquez sur Create Site System Server. Cliquez sur Browse pour renseigner le serveur que vous utiliserez. Sélectionnez ensuite le site auquel vous souhaitez attacher le système. Cochez la case Specify an FQDN for this site system for use on the internet et entrez FQDN souhaité. Vous pouvez ensuite choisir si vous souhaitez utiliser le compte machine du serveur de site pour installer les composants nécessaires ou un compte dédié. Dans les deux cas, les comptes doivent être administrateurs locaux de la machine.

Cliquez sur Next.

A l’étape System Role Selection, choisissez les rôles que vous souhaitez installer : Enrollment Point, Enrollment proxy Point, Distribution Point, et Management Point. Pour simplifier l’article, j’ai choisi de regrouper les 4 rôles sur la même machine. Cela ne sera surement pas le cas dans votre environnement de production.

L’assistant commence par la configuration du point de distribution. La case Install and configure IIS if required by Configuration Manager permet l’installation automatique des prérequis nécessaires pour les systèmes d’exploitation supérieurs à Windows Server 2008 SP2.  Cochez ensuite HTTPS pour spécifier que les clients qui dialogueront avec ce Distribution Point le feront via ce protocole. Vous devez aussi autoriser à la fois les connexions qui proviennent Intranet ou d’Internet.
Enfin puisque votre Distribution Point sera dans un mode de connexion sécurisé, vous devez importer le certificat utilisé pour authentifier les clients lors du processus de déploiement de système d’exploitation.

Note : Les clients Mac communiquent en mode Internet only mais l’option vous permettra aussi de gérer les clients Windows compatibles pour communiquer en HTTPS.

Nous ne détaillerons pas les écrans de configuration du point de distribution qui suivent. Nous vous rappelons tout de même d’associer le point de distribution à un groupe de limites afin que l’ordinateur Mac puisse accéder au contenu nécessaire. 

A l’étape Management Point, cochez la case HTTPS pour spécifier le type de communication du système de site. Sélectionnez ensuite Allow intranet and internet connections et cochez la case Allow mobile devices and Mac computers to use this management point. Ces deux options permettront d’assurer le support des ordinateurs Mac par le rôle Management Point.

Note : Les clients Mac communiquent en mode Internet only mais l’option vous permettra aussi de gérer les clients Windows compatibles pour communiquer en HTTPS.

Passez le groupement Management Point Database si vous ne souhaitez pas configurer un réplica de base de données.

Sur l’écran Enrollment Point, Vous pouvez personnaliser le nom du site web (IIS) utilisé (celui-ci doit être créé manuellement au préalable), le port utilisé, et le nom de l’application virtuelle. Validez sur le protocole HTTPS est sélectionné. Choisissez ensuite d’utiliser le compte ordinateur du système de site ou un compte de service pour lire les informations dans la base de données.

Cliquez sur Next pour passer au groupement Enrollment Proxy Point. Sélectionnez le rôle Enrollment Point avec lequel le proxy dialoguera. Vous pouvez ensuite personnaliser le nom du site web (celui-ci doit être créé manuellement au préalable) et le port par défaut. Validez sur le protocole HTTPS est sélectionné.

Validez l’écran de résumé pour lancer l’installation. Fermez ensuite l’assistant.

Vous pouvez valider l’installation des rôles via les fichiers de journalisation suivants :

• Management Point : MPSetup.log
• Device Management Point : DMPSetup.log
• Enrollment Point : SMSENROLLSRVSetup.log et enrollsrvMSI.log
• Enrollment Proxy Point : SMSENROLLWEBSetup.log et enrollwebMSI.log

La partie Monitoring – System Status – Component Status vous permettra de valider l’état de chacun des composants.

Modification des communications clientes

Cette partie ne constitue pas un élément obligatoire pour la gestion des ordinateurs Mac. Néanmoins, nous avons choisi de l’inclure car elle permettra la gestion des clients Windows via le protocole HTTPS.

Ouvrez la console d’administration, naviguez dans Administration – Overview – Site Configuration – Sites. Ouvrez les propriétés du site et l’onglet Client Computer Communication. L’option HTTPS Only force le site à n’accepter que les communications HTTPs. Cette option est à activer avec délicatesse pour ne pas isoler des clients qui ne seraient pas compatibles. La case Use PKI client certificate (client authentication capability) when availability permet d’autoriser le client à utiliser un certificat d’entreprise s’il a été déployé. Le bouton Modify permet de modifier les options de sélection du certificat client. Le paramètre Clients check the certificate revocation list (CRL) for site systems permet de forcer le client à vérifier la liste de révocation des certificats pour éviter de dialoguer avec des certificats qui auraient été volés. La partie Trusted Root Certificiation Authorities permet la sélectionne de l’autorité de certification racine utilisée par System Center Configuration Manager.

Note : Cet imprime écran est donné à titre indicatif.

Les administrateurs ConfigMgr 2012 vont être comblés. Microsoft adopte une stratégie complétement différentes pour la supervision de ConfigMgr que celle qui avait été mise en place avec SCCM 2007. La précédente version était une version convertie qui n’a jamais été revue. L’équipe ConfigMgr propose une mise à jour (5.00.7804.1) du pack de supervision ou Monitoring Pack pour System Center 2012 Configuration Manager SP1. Cette version supporte à la fois System Center Operations Manager 2007 R2 ou System Center 2012 Operations Manager.

Il dispose des fonctionnalités suivantes :

• La supervision de la disponibilité des rôles de serveur
• La supervision de l’état de santé des services clés
• La supervision de l’état santé de la réplication SQL intersites
• La collection et la supervision des compteurs de performances des serveurs ConfigMgr
• Un diagramme topologique de la hiérarchie de site ConfigMgr
• Des rapports montrant l’état de disponibilité et les performances des serveurs ConfigMgr
• Supervision de l’état des alertes dans ConfigMgr

Voici le détail :

En outre, vous devez activer le mode proxy sur les agents des machines ConfigMgr 2012 supervisées. Pour plus d'information sur les classes, règles et moniteurs par rôle, vous pouvez lire la documentation et l'appendix.

Télécharger System Center Monitoring Pack for System Center 2012 SP1– Configuration Manager

Microsoft vient de publier un Management Pack (7.0.8560.0) pour superviser le rôle WSUS sur Microsoft Message Queuing Services (MSMQ) 2012. Ce Management Pack n’est supporté que sur System Center 2012 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center 2012 Monitoring Pack for Message Queuing

Microsoft vient de publier un Management Pack (7.0.8560.0) pour superviser le rôle WSUS  sur Windows Server 2012. Ce Management Pack est supporté sur System Center Operations Manager 2007 R2 et System Center 2012 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Le Management Pack apporte la supervision des éléments suivants :

• L’état de santé du client inclut l’installation des mises à jour, l’agent Windows Update, l’inventaire des clients, la mise à jour automatique des clients, les clients qui ne se rapportent pas
• L’état de santé du produit avec les permissions sur le répertoire de contenu, l’espace disque, la synchronisation du catalogue, la synchronisation du contenu, le service WSUS, et la notification d’e-mail
• L’état de santé de la base de données SQL
• L’état de santé des Web Services

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center Management Pack for WSUS on Windows Server 2012

Microsoft vient de publier le Patch Tuesday pour le mois de février 2013. Il comporte 12 bulletins de sécurité, dont cinq qualifiés de critique. Il corrige des vulnérabilités sur Windows, .NET Framework, Internet Explorer, et FAST Search.

Légende :

 : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

System Center 2012 Configuration Manager se voit octroyer de nouvelles capacités avec l’arrivée du Service Pack 1. Ce produit fait partie de la gamme de gestion de l’infrastructure System Center de Microsoft. Il permet la gestion du cycle de vie des ressources (postes de travail, serveurs, périphériques mobiles…) de l’entreprise. On retrouve notamment la possibilité de déployer des systèmes d’exploitation, des logiciels, des mises à jour logiciels, de prendre le contrôle à distance, d’inventorier le matériel et les logiciels, ou encore de vérifier la conformité de la ressource. Cette nouvelle version ouvre notamment la voie à l’interopérabilité vers des systèmes d’exploitation qui n’étaient jusqu’alors pas couverts. Cette série d’articles visera à présenter et couvrir l’implémentation et les possibilités offertes pour chacun des systèmes. Nous commencerons ainsi par les systèmes Mac OS. L’introduction de ce système était attendue par nombre d’entreprises qui ne possédaient pas de solution d’administration pour ces périphériques. Qui n’a pas rencontré des infographistes ou des VIPs qui ont fait des pieds et des mains pour obtenir cette exception. Ce phénomène va s’accentuer lorsque les entreprises prendront le pas de la consumérisation (BYOD), laissant ainsi aux utilisateurs le choix de son outil de travail.

Cette première version apporte les fonctionnalités suivantes :

• Découverte des périphériques Mac OS joints à l’annuaire Active Directory ou présents sur le réseau
• Inventaire Matériel
• Inventaire des logiciels au travers de l’inventaire matériel et des classes Add/Remove Programs. Il n’existe pour pas d’inventaire logiciel analysant le disque pour rechercher des fichiers (exécutables par exemple) comme celui présent sur les clients Windows.
• Déploiement d’applications via le nouveau modèle introduit avec ConfigMgr 2012
• Gestion de la conformité et des paramétrages
• La protection antivirale avec System Center 2012 Endpoint Protection

Microsoft a pour objectif d’enrichir la liste des fonctionnalités au gré des versions pour atteindre un niveau similaire à celui proposé pour les clients Windows.

System Center 2012 Configuration Manager Service Pack 1 supporte les versions suivantes de Mac OS X :

• Snow Leopard (10.6)
•  Lion (10.7)

La version 10.8 n’est toujours pas supportée mais devrait l’être prochainement.

System Center 2012 EndPoint Protection Service Pack 1 supporte les versions suivantes de Mac OS X :

• Snow Leopard (10.6)
• Lion (10.7)
• Mountain Lion (10.8)

Fonctionnement

La gestion des ordinateurs Mac reprend le concept introduit pour la gestion native des périphériques mobiles. Ainsi, un client spécifique est installé sur l’ordinateur et permet le dialogue avec le Device Management Point, sous composant du rôle de système de site Management Point. Le client l’interroge pour obtenir les stratégies pouvant inclure :

• Les paramètres à appliquer sur le client ConfigMgr
• Les déploiements d’applications qui ciblent la machine
• Les lignes de base que le client doit valider

Le client peut renvoyer des informations à ce rôle pour informer l’infrastructure sur :

• L’état des déploiements exécutés
• Le résultat des lignes de base
• Les messages d’état divers et variés
• Le résultat de l’inventaire matériel

Le Device Management Point est indispensable à la gestion des ordinateurs Mac. En outre, le client peut être amené à dialoguer avec un Distribution Point pour récupérer les sources nécessaires à l’installation des applications qui lui sont déployées.

Toutes les communications entre le client Mac et l’infrastructure sont chiffrées et authentifiées via l’utilisation de certificats et du protocole HTTPS.

Enfin, on retrouve les rôles de système de site Enrollment Point et Enrollment Proxy Point qui servent à l’enregistrement des clients auprès de l’infrastructure ConfigMgr. Il facilite notamment le déploiement des certificats nécessaires à la communication du client avec son Device Management Point. Ces rôles ne sont pas obligatoires à l’administration de ces périphériques. Ils évitent néanmoins des opérations manuelles nécessaires au déploiement du certificat d’entreprise.

Cet article détaillera la mise en œuvre de tous ces rôles.

Microsoft vient de publier une mise à jour 2.0.1000.0 de Package Conversion Manager 2.0 pour System Center 2012 Configuration Manager Service Pack 1 (SP1). Cette mise à jour permet la correction du bug rencontré lorsque la console d’administration n’est pas installée dans le chemin par défaut. Package Conversion Manager est un outil développé par Microsoft afin transformer et migrer automatiquement les packages et programmes de System Center Configuration Manager 2007 vers le nouveau modèle d’applications de System Center 2012 Configuration Manager. Cette version contient un tableau de bord des conversions.

Télécharger System Center 2012 SP1 Configuration Manager Package Conversion Manager 2.0

Comme chaque année, Microsoft organise le Microsoft Management Summit (MMS). Pour l’année 2013, celui-ci aura lieu au Mandalay Bay à Las Vegas du 8 au 12 Avril 2012. Aujourd'hui Microsoft vient d'ouvrir le catalogue de sessions. Pour rappel, le MMS est l’événement de référence en ce qui concerne les produits de la gamme System Center de Microsoft. Au programme de cet événement :

• System Center 2012 Configuration Manager Service Pack 1
• System Center 2012 Data Protection Manager Service Pack 1
• System Center 2012 Operations Manager Service Pack 1
• System Center 2012 Service Manager Service Pack 1
• System Center 2012 Virtual Machine Manager Service Pack 1
• System Center 2012 Orchestrator Service Pack 1
• System Center 2012 Application Controller Service Pack 1
• System Center 2012 Service Provider Foundation
• System Center Advisor
• Windows Intune
• Microsoft Desktop Optimization Pack

Microsoft a étendu la période d’Early Birds pour l’événement et permet d’avoir des tarifs préférentiels.

Je vous laisse consulter le site de l’événement pour obtenir plus d’information et vous inscrire à la newsletter de notification : http://www.2013mms.com/register

Microsoft vient de publier la version 2 de son outil Microsoft Baseline Configuration Analyser (MBCA) pour Windows 8 et Windows Server 2012. Cet outil permet de valider les paramètres de configuration selon les critères définis par Microsoft. Il permet donc de vérifier la configuration système pour éviter d’éventuels dysfonctionnements.

Les prérequis suivants sont nécessaires :

• Systèmes d’exploitation supportés: Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 8, Windows Server 2003, Windows Server 2003 R2 (32-Bit x86), Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate
• Windows PowerShell 2.0
• .NET Framework 2.0

MBCA est disponible en version 32 et 64 bits. Un guide d’utilisation est aussi fourni.

Télécharger Microsoft Baseline Configuration Analyzer 2.0

Microsoft vient de publier une Prerelease de Microsoft Security Essentials 4.2. Cette nouvelle mouture a le noyau commun à System Center 2012 EndPoint Protection, Windows Intune EndPoint Protection et Windows Azure EndPoint Protection.

Télécharger Microsoft Security Essentials  4.2.216.0

Arnab Biswas [MSFT] a publié une procédure détaillant comment séquencer l’application Visual Studio 2012 avec Application Virtualization 4.6 SP2 (App-V).

Plus d’information sur : http://social.technet.microsoft.com/Forums/en-US/prescriptiveguidance/thread/7e93e525-31ed-43fc-8415-88a12766d2c2

L’équipe Service Manager a publié un billet pour annoncer que le connecteur Exchange sera prochainement supporté sur System Center 2012 Service Manager (SCSM) Service Pack 1. Ce support sera natif avec l’application de l’Update Rollup 2 qui devrait arriver début avril.

Source : http://blogs.technet.com/b/servicemanager/archive/2013/02/07/update-on-exchange-connector.aspx

Microsoft a mis à jour les clients System Center 2012 Configuration Manager Service Pack 1 (SCCM) pour les systèmes Unix et Linux. Cette mise à jour fait suite à un problème lorsque le client est ciblé par des stratégies concernant l’inventaire logiciel. Dans ce cas de figure, le client ne procède pas à une demande de stratégie et l’activité du client passe en inactif.

Vous pouvez observer le message d’erreur suivant dans le fichier Scxcm.log :

ATTEMPT TO EXECUTE A FILE SYSTEM INVENTORY CYCLE HAS BEEN TRAPPED

Le client Unix ne supporte pas l’inventaire logiciel et dans sa version précédente engendre cet effet de bord.

Pour résoudre le problème, téléchargez et réinstallez le client Unix/Linux : Microsoft System Center 2012 Service Pack 1 Configuration Manager - Clients for Additional Operating Systems

Source : Error message when the UNIX/Linux client for System Center 2012 Configuration Manager SP1 is targeted with Software Inventory policies

Microsoft a créé un page Technet Wiki pour System Center Service Manager et plus particulièrement les composants Data Warehouse et Reporting.

On retrouve des liens vers des ressources sur :

• L’architecture du Data Warehouse
• L’administration du Data Warehouse
• Etendre le Data Warehouse
• Créer des rapports
• Utiliser les rapports

La page à retenir : http://social.technet.microsoft.com/wiki/contents/articles/15608.system-center-service-manager-data-warehouse-and-reporting.aspx

Avec la toujours plus grande complexité des composants d’architecture, Microsoft a pour habitude de publier des posters récapitulant les différents concepts et leur fonctionnement. Ainsi, on retrouve aujourd’hui une trois de composants pour Hyper-V sur Windows Server 2012.

Pour le télécharger rendez-vous sur : Windows Server 2012 Hyper-V Component Architecture Poster and Companion References

Microsoft vient d’annoncer la résolution de problèmes de synchronisation d’Asset Intelligence sur des sites System Center 2012 Configuration Manager Service Pack 1. Ceci survenait lorsque le site avait été mis à jour depuis la version RTM. Vous pouviez observer l’erreur suivante dans le fichier AIUpdateSvc.log :

Error InternalError during download, watermark returned

Microsoft a identifié la cause et corrigé le problème le 4 février 2013. Aucune action n’est requise de votre part et le problème devrait se résoudre à la prochaine synchronisation.