• [SCOM 2012 SP1] Mise à jour de la liste de périphériques réseaux supportées pour le SP1

    Microsoft vient de mettre à jour la liste des périphériques réseaux supportées par les nouvelles fonctionnalités de supervision étendues de System Center 2012 Operations Manager SP1. Cette nouveauté permet par exemple de superviser les routeurs et switches afin de déterminer leur statut (Online/Offline) ainsi que les ports et interfaces des périphériques ou encore des informations détaillées sur la mémoire et le processeur. Globalement Microsoft couvre les périphériques supportant SNMP et supervise les ports des périphériques implémentant les standards MIB (RFC 2863) et MIB-II (RFC 1213).

    Pour télécharger la liste, rendez-vous sur : http://www.microsoft.com/download/en/details.aspx?id=26831

     

  • [SCCM 2012 SP1] La gestion des ordinateurs Mac – Partie 3 : Préparation des prérequis clients

    Table des matières

    1. Introduction
    2. Fonctionnement
    3. Préparation des prérequis d’infrastructure
      1. Prérequis des systèmes de site
      2. Création des certificats pour les systèmes de site
      3. Installation des systèmes de site
      4. Modification des communications clientes
    4. Préparation des prérequis clients
      1. Prérequis matériel et logiciels
      2. Création du modèle de certificat
      3. Modification de la stratégie pour l’enregistrement
      4. Installation du client ConfigMgr pour Mac

    5. Aperçu des fonctionnalités
      1. Inventaire matériel et logiciels
      2. Déploiement d’applications
      3. Gestion de la conformité
    6. Dépannage du client ConfigMgr pour Mac
    7. La protection antivirale avec EndPoint Protection 2012
    8. Conclusion

    Télécharger la version PDF (disponible prochainement)

    Préparation des prérequis clients

    Une fois les prérequis côté systèmes de site et infrastructure validés, nous pouvons passer à la préparation des prérequis clients.

    Prérequis matériel et logiciels

    Pour les facteurs processeur et mémoire, Microsoft recommande de suivre les préconisations liées au système d'exploitation sur lequel vous installez le client.  Par exemple, Mac OS X 10.7 requière la configuration suivante :

    • Un processeur Intel Core 2 Duo, Core i3, Core i5, Core i7 ou Xeon

    Note : Le client MAC n'est pas supporté sur d'autres plateformes qu'Intel 64-bit.

    • 2 Go de mémoire vive (RAM)

    Concernant l'espace disque nécessaire, le client une fois installé consomme jusqu'à 500 MB. Ajoutez à cela, l'espace nécessaire pour le cache (5 Giga-octets par défaut) servant à stocker temporairement les sources d'installation des applications, mises à jour etc…

    System Center 2012 Configuration Manager Service Pack 1 supporte les systèmes d'exploitation suivants :

    • Mac OS X 10.6 (Snow Leopard)
    • Mac OS X 10.7 (Lion)

    Pare-feu

    Le client communique avec son serveur de site pour différentes opérations et ceci nécessite que vous ouvriez certains ports dédiés pour la communication avec les systèmes de site : Port TCP 443 en sortie pour la communication HTTPS,

     

    Certificats

    Vous devez créer et déployer des certificats sur les serveurs hébergeant les rôles : Management Point, Distribution Point, Enrollment Point, Enrollment Proxy Point. Ces certificats servent à l'authentification serveur et doivent servir pour le serveur Web. Nous aborderons ceci plus loin dans ce chapitre.

    Plus précisément, le client Mac nécessite un certificat répondant aux exigences suivantes :

    • La valeur d'Enhanced Key Usage doit être 1.3.6.1.5.5.7.3.2 pour spécifier une authentification cliente
    • Une valeur unique doit être spécifiée dans le champ Subject Name. Le champ Subject Alternative Name n'est pas supporté
    • L'algorithme de hachage supporté est SHA-1
    • ConfigMgr supporte des clés de chiffrement jusqu'à 2048 bits.
    • Le certificat doit être au format X.509 binary.

    Sinon vous devez vous référer à la page de prérequis des certificats : http://technet.microsoft.com/en-us/library/gg699362.aspx

    Création du modèle de certificat

    Le client ConfigMgr Mac utilise un certificat pour communiquer avec ses systèmes de site. Commençons par déléguer les droits de demande de certificats sur l’autorité au groupe qui sera autorisé. Ouvrez la console Certificate Authority et ouvrez les propriétés de votre autorité de certification. Editez l’onglet Security pour ajouter le droit Request Certificates aux utilisateurs habilités.

    Nous allons procéder à la création du modèle nécessaire. Retournez sur l’autorité de certification et ouvrez la console Certificate Authority et dirigez-vous sur le nœud Certificate Templates. Cliquez droit sur le nœud Certificate Templates et sélectionnez Manage.

    Utilisez le modèle Authenticated Session comme base. Cliquez droit dessus et sélectionnez Duplicate Template. Une fenêtre s’ouvre vous permettant d’éditer les propriétés du modèle. Validez l’utilisation d’un modèle de type Windows Server 2003. Ouvrez l’onglet général, commencez par donner un nom au modèle. Vous pouvez aussi jouer sur les paramétrages de validité et de renouvellement. Une augmentation de ces paramétrages facilitera la maintenance générée par les certificats mais augmentera les risques de sécurité.

    Naviguez dans l’onglet Subject Name et cochez l’option Build from this Active Directory Information. Dans le format du nom, choisissez  Common name et décochez la case User principal name (UPN).

    Nous allons ensuite éditer les permissions de sécurité via l’onglet Security. Commencez par retirer les permissions d’enregistrement pour les groupes Domain Admins, Enterprise Admins et Authenticated Users si nécessaire. Vous pouvez ensuite créer un groupe qui contiendra les comptes des personnes (du support par exemple) qui procéderont à l’enregistrement des ordinateurs Mac.  Déléguez-leur les droits Read et Enroll nécessaires à la demande de certificat.

    Fermez la console de gestion des modèles et retournez sur la console dédiée à l’autorité de certification. Cliquez droit sur le nœud de l’autorité de certification et éditez ses propriétés. Dans la partie Security, ajoutez le groupe que nous avons créé précédemment et déléguez-lui les droits nécessaires pour procéder à une demande de certificats. Fermez la fenêtre des propriétés

    Enfin, cliquez droit dans la partie Certificate Templates, et sélectionnez New – Certificate Template to issue. Une fenêtre s’ouvre afin de vous permettre la sélection du modèle que nous venons de créer.

    Une fois le modèle activé, vous le retrouvez dans la liste des modèles disponibles.

    Modification de la stratégie pour l’enregistrement

    Cette partie ne constitue pas une étape obligatoire, elle permet la configuration de la stratégie par défaut pour permettre l’enregistrement de l’ordinateur Mac et le déploiement automatique du certificat d’entreprise. Si vous choisissez de ne pas utiliser les rôles Enrollment Point et Enrollment Proxy Point et d’installer le client en déployant le certificat à la main, vous pouvez passer cette étape.

    Ouvrez la console d’administration et naviguez dans l’arborescence Administration – Overview - Client Settings. Ouvrez la stratégie par défaut (Default Client Settings).

    Note : L’ordinateur n’étant pas encore rattaché à l’infrastructure, ces changements doivent être appliqués à la stratégie par défaut.

    Une fois la stratégie ouverte, choisissez Enrollment. Passez la valeur Allow users to enroll mobile devices and Mac Computers à Yes.

    Cliquez ensuite Set Profile… pour définir un profil d’enregistrement. Une fenêtre s’ouvre, cliquez sur Create… pour créer le profil dédié aux ordinateurs Mac. La fenêtre de création s’ouvre, cliquez sur Add pour ajouter l’autorité de certification  utilisée pour délivrer le certificat. Vous devez ensuite sélectionner le modèle de certificat dédié aux ordinateurs Mac précédemment créé. Il vous sera aussi nécessaire de spécifier le code de site utilisé pour gérer ces clients.

    Cliquez sur Ok pour créer le profil et Ok pour sélectionner le profil que nous créé :

    Installation du client ConfigMgr pour Mac

    Commencez par vous procurer les sources du client ConfigMgr pour MAC à l’adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=36212

    Note : La version que vous récupérez doit correspondre à celui de l’infrastructure ConfigMgr.

    Installez le MSI sur une machine pour récupérer le fichier DMG dans C:\Program Files (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client\

    Il existe deux méthodes d’installation du client Mac :

    • La première consiste à utiliser l’auto enregistrement du client et le déploiement automatique du certificat via l’autorité de certification Active Directory Certificate Services
    • La seconde revient à déployer le certificat manuellement et à déléguer les droits nécessaires au client.

    Méthode 1

    Ouvrez un terminal et procédez à l'installation du client en utilisant sudo ./ccmsetup. Une fois l'installation terminée, ne redémarrez pas !

    Naviguez dans le dossier Tools et exécutez la commande suivante : sudo ./CMEnroll -s <FQDN du serveur Enrollment Proxy Point> -ignorecertchainvalidation -u '<Domain\Utilisateur ayant les droits d'enregistrement sur le modèle de certificat>'. Entrez le mode de passe du compte utilisateur renseigné.

    Note : Les apostrophes autour du nom d’utilisateur sont OBLIGATOIRES.

    Redémarrez le client Mac. Ouvrez ensuite System Preferences et Configuration Manager. Vous devez voir la configuration du client. Enfin le client a pu apparaître dans le nœud Devices de la console d'administration.

    Méthode 2

    La seconde méthode vous demande de pré-déployer le certificat tout en l'enregistrant manuellement dans le magasin du client puis d'exécuter l'installation du client.

    • Procédez à la demande et à l'installation du certificat sur le client Mac
    • Ouvrez un terminal et exécutez la commande suivante : sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
    • Une fenêtre s'ouvre, sélectionnez System dans la section Keychains et Keys dans la section Category
    • Identifiez le certificat que vous avez installé et double-cliquez dessus. Sur l'onglet Access Control, et sélectionnez Confirm before allowing access.
    • Naviguez dans le répertoire d'installation du client (/Library/Application Support/Microsoft/CCM) et sélectionnez l'exécutable CCMClient puis cliquez sur Add.
    • Cliquez sur Save.
    • Les sources d'installation des clients Mac ne sont pas livrées avec le produit. Récupérez-les sur le centre de téléchargement Microsoft. Décompressez le fichier dmg.
    • Exécutez la commande suivante : sudo ./ccmsetup -MP <FQDN du Management Point> -SubjectName <Valeur de la propriété SubjectName du certificat>
    • Une fois l'installation terminée, redémarrez le client Mac pour terminer la procédure.

    Note : Lorsque le client est installé, vous pouvez initier la récupération d’une stratégie manuellement en cliquant sur le bouton Connect Now. Vous pouvez aussi retrouver l’heure de dernière connexion.

  • [SCCM 2012 SP1] La documentation offline (Février 2013) de ConfigMgr 2012 est disponible

    L’équipe documentation de System Center Configuration Manager a publié la documentation offline de System Center 2012 Configuration Manager (SCCM). Ces fichiers d’aide sont remis à jour en moyenne tous les 6 mois pour couvrir les nouveaux sujets ou les modifications. Cette version correspond aux dernières mises à jour appliquées au 1 février 2013. On retrouve plusieurs modes :

    • Un fichier CHM qui met à jour sur le serveur SCCM ou installe sur une autre machine les fichiers d’aide.
    • La documentation complète au format Docx
    • La documentation complète au format PDF (recherche plus aisée)

    Pour voir les avantages et inconvénients de chacun des supports, je vous invite à lire le blog post de l’équipe : http://blogs.technet.com/b/configmgrteam/archive/2012/05/25/announcing-downloadable-documentation-for-configuration-manager.aspx

    Télécharger The Technical Documentation Download for System Center 2012 Configuration Manager

  • Les outils de déploiement Office 2013 pour la version Click-to-Run sont disponibles

    Microsoft a publié les outils de déploiement pour la version Click-to-Run d’Office 2013. Ces outils permettent la personnalisation et l’administration d’Office 2013 dans ce mode de déploiement. Vous pouvez :

    • Télécharger les sources d’installation sur un emplacement réseau
    • Configurer l’installation pour utiliser le partage réseau comme source au lieu d’Internet
    • Configurer l’installation pour supprimer toute l’interface graphique
    • Configurer la journalisation pour l’installation
    • Configurer si Office doit être automatiquement mis à jour ou non
    • Configurer quels produits et langues doivent être installés
    • Supprimer des produits de la partie Click-to-Run

    Télécharger Office Deployment Tool for Click-to-Run

  • [SCCM 2012 SP1] La gestion des ordinateurs Mac – Partie 2 : Préparation de l'infrastructure

    Table des matières

    1. Introduction
    2. Fonctionnement
    3. Préparation des prérequis d’infrastructure
      1. Prérequis des systèmes de site
      2. Création des certificats pour les systèmes de site
      3. Installation des systèmes de site
      4. Modification des communications clientes
    4. Préparation des prérequis clients
      1. Prérequis matériel et logiciels
      2. Création du modèle de certificat
      3. Modification de la stratégie pour l’enregistrement
      4. Installation du client ConfigMgr pour Mac

    5. Aperçu des fonctionnalités
      1. Inventaire matériel et logiciels
      2. Déploiement d’applications
      3. Gestion de la conformité
    6. Dépannage du client ConfigMgr pour Mac
    7. La protection antivirale avec EndPoint Protection 2012
    8. Conclusion

    Télécharger la version PDF (disponible prochainement)

    Préparation des prérequis d’infrastructure

    L’infrastructure doit être préparée pour permettre l’accueil des ordinateurs Mac. Cette partie s’attachera à détailler le processus.

    Prérequis des systèmes de site

    Voici les prérequis nécessaires à l’installation des différents rôles de System Center 2012 Configuration Manager Service Pack 1 :

    • Management Point requiert le rôle Web Server (IIS) avec les services suivants :
      • Les services activés par défaut par le rôle
      • Application Development
        • ISAPI Extensions
      • Security
        • Windows Authentication
      • IIS 6 Management Compatibility
        • IIS 6 Metabase Compatibility
        • IIS 6 WMI Compatibility

    Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

      • Les fonctionnalités suivantes doivent être ajoutées :
        • .NET Framework 4.0
        • BITS Server Extensions

     

    • Device Management Point requiert le rôle Web Server (IIS) avec les services suivants :
      • Les services activés par défaut par le rôle
      • ASP.NET (avec la nécessité de réenregistrer l’ASP.NET après l’installation du .NET 4 avec %windir%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe –i –enable)
      • IIS 6 Management Compatibility
        • IIS 6 Metabase Compatibility
        • IIS 6 WMI Compatibility

    Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

      • Les fonctionnalités suivantes doivent être ajoutées :
        • .NET Framework 4.0
        • BITS Server Extensions

     

    Concernant les certificats, le rôle Management Point et son sous rôle Device Management Point requièrent :

    • Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
      • Modèle Microsoft : Web Server
      • But : Server Authentication
      • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
      • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
      • Support des algorithmes de hachage : SHA-1, SHA-2
    • Le certificat utilisé pour la supervision du rôle :
      • Modèle Microsoft : Workstation Authentication
      • But : Client authentication
      • Enhanced Key Usage : (1.3.6.1.5.5.7.3.2)
      • Subjet Name ou Subject Alternative Name : doit contenir une valeur unique correspondant au FQDN de la machine
      • Support des algorithmes de hachage : SHA-1, SHA-2
      • Longueur de clé maximum : 2048 bits

     

    Note : Un Management Point ne peut pas servir des clients à la fois via le protocole HTTP et HTTPS, vous devrez installer deux instances de ce rôle si certains clients ne peuvent pas utiliser le protocole HTTPS.

    • Le Distribution Point requiert le rôle Web Server (IIS) avec les services suivants :
      • Les services activés par défaut par le rôle
      • Application Development :
        • ISAPI Extensions
      • Security :
        • Windows Authentication
      • IIS 6 Management Compatibility
        • IIS 6 Metabase Compatibility
        • IIS 6 WMI Compatibility

    Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

      • Les fonctionnalités suivantes doivent être ajoutées :
        • Remote Differential Compression

    Note : Un Distribution Point ne peut pas servir des clients à la fois via le protocole HTTP et HTTPS, vous devrez installer deux instances de ce rôle si certains clients ne peuvent pas utiliser le protocole HTTPS.

     

    Pour les certificats, le rôle Distribution Point requiert :

    • Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
      • Modèle Microsoft : Web Server
      • But : Server Authentication
      • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
      • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
      • Support des algorithmes de hachage : SHA-1, SHA-2
    • Le certificat utilisé pour authentifier le point de distribution auprès d’un Management Point utilisant les communications HTTPS et pour authentifier les clients lors du processus de déploiement de système d’exploitation :
      • Modèle Microsoft : Workstation Authentication
      • But : Client authentication
      • Enhanced Key Usage : (1.3.6.1.5.5.7.3.2)
      • Subjet Name ou Subject Alternative Name : Pas de prérequis spécifique
      • Support des algorithmes de hachage : SHA-1, SHA-2
      • Longueur de clé maximum : 2048 bits

     

    • L’Enrollment Point requiert
      • les fonctionnalités suivantes :
        • .NET Framework 3.5.1
        • .NET Framework 4.0
        • Toutes les versions : WCF Activation :
          • HTTP Activation
          • Non-HTTP Activation
      • Il requiert aussi le rôle Web Server (IIS) avec les services suivants :
        • Les services activés par défaut par le rôle
        • ASP.NET et les composants qui en dépendent
        • IIS 6 Management Compatibility
          • IIS 6 Metabase Compatibility

     

    • L’Enrollment Proxy Point requiert :
      • Les fonctionnalités suivantes :
        • .NET Framework 3.5.1
        • .NET Framework 4.0
        • Toutes les versions : WCF Activation :
          • HTTP Activation
          • Non-HTTP Activation
      • Il requiert aussi le rôle Web Server (IIS) avec les services suivants :
        • Les services activés par défaut par le rôle
        • ASP.NET et les composants qui en dépendent
        • IIS 6 Management Compatibility
          • IIS 6 Metabase Compatibility

    Concernant les certificats, les rôles Enrollment Point et Enrollment Proxy Point requièrent :

    • Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
      • Modèle Microsoft : Web Server
      • But : Server Authentication
      • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
      • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
      • Support des algorithmes de hachage : SHA-1, SHA-2

     

    Vous trouverez plus d’information sur les prérequis logiciels sur la documentation Technet : http://technet.microsoft.com/en-us/library/gg682077.aspx#BKMK_Win2k12SiteSystemPrereqs

    Vous trouverez plus de détails sur les certificats requis sur la documentation Technet : http://technet.microsoft.com/en-us/library/gg699362.aspx

    Nous ne détaillerons pas leur installation et vous devez au préalable effectuer cette opération pour continuer la lecture de l’article.

    Création des certificats pour les systèmes de site

    Commencez par installer une autorité de certification (PKI) d’entreprise visant à délivrer les certificats nécessaires. Nous utiliserons la PKI Active Directory Certificate Services (AD CS) afin de bénéficier des fonctionnalités d’enregistrement des périphériques via les rôles Enrollment Point et Enrollment Proxy Point. Une fois installée, ouvrez la console Certificate Authority et dirigez-vous sur le nœud Certificate Templates. Vous pouvez commencer par retirer tous les modèles que vous n’utiliserez pas. Ceci constitue une bonne pratique visant à augmenter le niveau de sécurité de l’autorité.
    Ensuite, cliquez droit sur le nœud Certificate Templates et sélectionnez Manage. Une deuxième console s’ouvre. Nous allons commencer par créer le modèle qui sera utilisé pour délivrer des certificats pour les systèmes de site utilisant le serveur web (IIS).

    Nous utiliserons le modèle Web Server comme base. Cliquez droit dessus et sélectionnez Duplicate Template. Une fenêtre s’ouvre vous permettant d’éditer les propriétés du modèle. Si vous utilisez une autorité de certification sous Windows Server 2008 ou Windows Server 2008 R2, vous devez utiliser un modèle de type Windows Server 2003. System Center Configuration Manager ne supporte pas les modèles de certificat au nouveau format.

    Ouvrez l’onglet général, commencez par donner un nom au modèle. Celui-ci permettra une identification plus aisée lors de la demande de certificat. Vous pouvez aussi jouer sur les paramétrages de validité et de renouvellement. Une augmentation de ces paramétrages facilitera la maintenance générée par les certificats mais augmentera les risques de sécurité.

    Naviguez dans l’onglet Subject Name et validez sur l’option Supply in the request est sélectionnée.

    Nous allons ensuite éditer les permissions de sécurité via l’onglet Security. Commencez par retirer les droits d’enregistrement pour les groupes Domain Admins, Enterprise Admins et Authenticated Users si nécessaire. Vous pouvez ensuite créer un groupe qui contiendra les comptes ordinateurs des systèmes de site concernés et déléguer les droits Read et Enroll nécessaires à la demande de certificat.

    Fermez la console de gestion des modèles et retournez sur la console dédiée à l’autorité de certification. Cliquez droit sur le nœud de l’autorité de certification et éditez ses propriétés. Dans la partie Security, ajoutez le groupe que nous avons créé précédemment et déléguez-lui les droits nécessaires pour procéder à une demande de certificats. Fermez la fenêtre des propriétés

    Enfin, cliquez droit dans la partie Certificate Templates, et sélectionnez New – Certificate Template to issue. Une fenêtre s’ouvre afin de vous permettre la sélection du modèle que nous venons de créer.

    Une fois le modèle activé, vous le retrouvez dans la liste des modèles disponibles.

    Nous pouvons passer à la demande de certificats sur le ou les systèmes de site qui hébergeront les rôles Management Point, Distribution Point, Enrollment Proxy Point et Enrollment Point. Sur le serveur, ouvrez la console MMC et ajoutez le composant Certificates pour la machine. Par la suite, cliquez droit sur le nœud Personal et sélectionnez All Tasks – Request a new certificate. Une fenêtre s’ouvre afin de procéder à la demande d’un certificat. Le modèle doit apparaître si le compte ordinateur de la machine est dans le groupe disposant des droits nécessaires. Notez qu’un redémarrage du serveur peut être nécessaire afin de renouveler son ticket Kerberos. Sélectionnez le modèle ConfigMgr Web Server Certificate. Des informations complémentaires sont nécessaires, cliquez sur l’avertissement pour les renseigner.

    Dans l’onglet Subject, ajoutez un nom alternatif de type DNS comprenant le nom de domaine pleinement qualifié (FQDN) du système de site.

    Cliquez ensuite sur Ok pour valider l’information. Une fois revenu sur la fenêtre d’enregistrement, cliquez sur Enroll. La demande doit être effectuée avec succès.

    Le certificat apparaît ensuite dans le magasin Personal. Nous allons pouvoir l’associer au site Web IIS. Pour cela, ouvrez la console IIS Manager. Cliquez droit sur le site web qui sera utilisé (en général Default Web Site) et sélectionnez Edit Bindings… :

    Ajoutez ou éditez le type https. Sélectionnez le certificat SSL que vous venez de délivrer. Le bouton View vous permettra de valider le certificat que vous avez choisi si le common name n’est pas explicite.

    Cliquez sur Ok puis fermez la console IIS Manager.

     

    Installation des systèmes de site

    Nous pouvons maintenant procéder à l’installation du système de site et du rôle concerné. Ouvrez la console d’administration de System Center 2012 Configuration Manager. Dirigez-vous dans Administration – Servers and Site Systems Roles. Trois scénarios se présentent à vous :

    • Vous installez un ou plusieurs systèmes de site accompagnés des rôles nécessaires.
    • Vous ajoutez les rôles à un système de site existant. Pour celle méthode, vous devrez au préalable renseigner le nom de domaine internet sur le système de site existant.
    • Vous éditez le rôle de système de site déjà installé pour activer la fonctionnalité HTTPS.

    Nous détaillerons le premier scénario. Cliquez sur Create Site System Server. Cliquez sur Browse pour renseigner le serveur que vous utiliserez. Sélectionnez ensuite le site auquel vous souhaitez attacher le système. Cochez la case Specify an FQDN for this site system for use on the internet et entrez FQDN souhaité. Vous pouvez ensuite choisir si vous souhaitez utiliser le compte machine du serveur de site pour installer les composants nécessaires ou un compte dédié. Dans les deux cas, les comptes doivent être administrateurs locaux de la machine.

    Cliquez sur Next.

    A l’étape System Role Selection, choisissez les rôles que vous souhaitez installer : Enrollment Point, Enrollment proxy Point, Distribution Point, et Management Point. Pour simplifier l’article, j’ai choisi de regrouper les 4 rôles sur la même machine. Cela ne sera surement pas le cas dans votre environnement de production.

    L’assistant commence par la configuration du point de distribution. La case Install and configure IIS if required by Configuration Manager permet l’installation automatique des prérequis nécessaires pour les systèmes d’exploitation supérieurs à Windows Server 2008 SP2.  Cochez ensuite HTTPS pour spécifier que les clients qui dialogueront avec ce Distribution Point le feront via ce protocole. Vous devez aussi autoriser à la fois les connexions qui proviennent Intranet ou d’Internet.
    Enfin puisque votre Distribution Point sera dans un mode de connexion sécurisé, vous devez importer le certificat utilisé pour authentifier les clients lors du processus de déploiement de système d’exploitation.

    Note : Les clients Mac communiquent en mode Internet only mais l’option vous permettra aussi de gérer les clients Windows compatibles pour communiquer en HTTPS.

     

    Nous ne détaillerons pas les écrans de configuration du point de distribution qui suivent. Nous vous rappelons tout de même d’associer le point de distribution à un groupe de limites afin que l’ordinateur Mac puisse accéder au contenu nécessaire. 

    A l’étape Management Point, cochez la case HTTPS pour spécifier le type de communication du système de site. Sélectionnez ensuite Allow intranet and internet connections et cochez la case Allow mobile devices and Mac computers to use this management point. Ces deux options permettront d’assurer le support des ordinateurs Mac par le rôle Management Point.

    Note : Les clients Mac communiquent en mode Internet only mais l’option vous permettra aussi de gérer les clients Windows compatibles pour communiquer en HTTPS.

    Passez le groupement Management Point Database si vous ne souhaitez pas configurer un réplica de base de données.

    Sur l’écran Enrollment Point, Vous pouvez personnaliser le nom du site web (IIS) utilisé (celui-ci doit être créé manuellement au préalable), le port utilisé, et le nom de l’application virtuelle. Validez sur le protocole HTTPS est sélectionné. Choisissez ensuite d’utiliser le compte ordinateur du système de site ou un compte de service pour lire les informations dans la base de données.

    Cliquez sur Next pour passer au groupement Enrollment Proxy Point. Sélectionnez le rôle Enrollment Point avec lequel le proxy dialoguera. Vous pouvez ensuite personnaliser le nom du site web (celui-ci doit être créé manuellement au préalable) et le port par défaut. Validez sur le protocole HTTPS est sélectionné.

    Validez l’écran de résumé pour lancer l’installation. Fermez ensuite l’assistant.

    Vous pouvez valider l’installation des rôles via les fichiers de journalisation suivants :

    • Management Point : MPSetup.log
    • Device Management Point : DMPSetup.log
    • Enrollment Point : SMSENROLLSRVSetup.log et enrollsrvMSI.log
    • Enrollment Proxy Point : SMSENROLLWEBSetup.log et enrollwebMSI.log

    La partie Monitoring – System Status – Component Status vous permettra de valider l’état de chacun des composants.

    Modification des communications clientes

    Cette partie ne constitue pas un élément obligatoire pour la gestion des ordinateurs Mac. Néanmoins, nous avons choisi de l’inclure car elle permettra la gestion des clients Windows via le protocole HTTPS.

    Ouvrez la console d’administration, naviguez dans Administration – Overview – Site Configuration – Sites. Ouvrez les propriétés du site et l’onglet Client Computer Communication. L’option HTTPS Only force le site à n’accepter que les communications HTTPs. Cette option est à activer avec délicatesse pour ne pas isoler des clients qui ne seraient pas compatibles. La case Use PKI client certificate (client authentication capability) when availability permet d’autoriser le client à utiliser un certificat d’entreprise s’il a été déployé. Le bouton Modify permet de modifier les options de sélection du certificat client. Le paramètre Clients check the certificate revocation list (CRL) for site systems permet de forcer le client à vérifier la liste de révocation des certificats pour éviter de dialoguer avec des certificats qui auraient été volés. La partie Trusted Root Certificiation Authorities permet la sélectionne de l’autorité de certification racine utilisée par System Center Configuration Manager.

     

     

    Note : Cet imprime écran est donné à titre indicatif.

  • [SCOM 2012] Mise à jour du Management Pack pour System Center 2012 Configuration Manager (SCCM) SP1

    Les administrateurs ConfigMgr 2012 vont être comblés. Microsoft adopte une stratégie complétement différentes pour la supervision de ConfigMgr que celle qui avait été mise en place avec SCCM 2007. La précédente version était une version convertie qui n’a jamais été revue. L’équipe ConfigMgr propose une mise à jour (5.00.7804.1) du pack de supervision ou Monitoring Pack pour System Center 2012 Configuration Manager SP1. Cette version supporte à la fois System Center Operations Manager 2007 R2 ou System Center 2012 Operations Manager.

    Il dispose des fonctionnalités suivantes :

    • La supervision de la disponibilité des rôles de serveur
    • La supervision de l’état de santé des services clés
    • La supervision de l’état santé de la réplication SQL intersites
    • La collection et la supervision des compteurs de performances des serveurs ConfigMgr
    • Un diagramme topologique de la hiérarchie de site ConfigMgr
    • Des rapports montrant l’état de disponibilité et les performances des serveurs ConfigMgr
    • Supervision de l’état des alertes dans ConfigMgr

    Voici le détail :

    Monitoring scenario

    Description

    Associated rules and monitors

    Replication Health

    This scenario checks the data replication health status between Configuration Manager sites. It monitors replication between:

    • ·    Primary sites and the central administration site
    • ·    Primary sites and secondary sites
    • ·    Central Site to Primary Site Global Data Receiving Status Monitor
    • ·    Central Site to Primary Site Global Data Sending Status Monitor
    • ·    Central Site to Primary Site Site Data Receiving Status Monitor
    • ·    Primary Site To Central Site Global Data Receiving Status Monitor
    • ·    Primary Site To Central Site Global Data Sending Status Monitor
    • ·    Primary Site To Central Site Site Data Sending Status Monitoring
    • ·    Primary Site To Secondary Site Global Data Receiving Status Monitor
    • ·    Primary Site To Secondary Site Global Data Sending Status Monitor

    Configuration of replication

    Ensures the SQL server is configured correctly.

    • ·    SQL Server Service Broker Certificate Validity Monitor
    • ·    SQL Server Port Monitor
    • ·    SQL Server Service Broker Port Monitor
    • ·    SQL Server Firewall Port Monitor
    • ·    SQL Server Disk Space Monitor
    • ·    Database Certificate Validity Monitor

    Backup and Recovery status monitor

    Monitors Backup status.

    Backup Status Monitor

    Component Availability Monitoring

    Availability is monitored for the following components. These components generate a periodic heartbeat that reports their availability state:

    • ·    Inbox Manager
    • ·    Inbox Monitor
    • ·    Site Component Manager
    • ·    Management Point Control Manager
    • ·    File Dispatch Manager
    • ·    Outbox Monitor
    • ·    WAKEONLAN Manager
    • ·    WSUS Configuration Manager
    • ·    WSUS Synchronization Manager
    • ·    WSUS Control Manager
    • ·    Component Status Summarizer
    • ·    Site System Status Summarizer
    • ·    Component Monitor
    • ·    Deployment Status Summarizer
    • ·    File Dispatch Manager Availability Monitor
    • ·    Management Point Control Manager Availability Monitor
    • ·    Component Monitor Availability Monitor
    • ·    Outbox Monitor Availability Monitor
    • ·    Inbox Monitor Availability Monitor
    • ·    Site Component Manager Availability Monitor
    • ·    Component Status Summarizer Availability Monitor
    • ·    Site System Status Summarizer Availability Monitor
    • ·    Wake on Lan Manager Availability Monitor
    • ·    WSUS Configuration Manager Availability Monitor
    • ·    WSUS Synchronization Manager Availability Monitor
    • ·    Deployment Status Summarizer Availability Monitor
    • ·    WSUS Control Manager Availability Monitor
    • ·    Inbox Manager Availability Monitor

    Service availability

    Monitors the availability of Configuration Manager services by using both the Service Availability feature of System Center Operations Manager 2007 or System Center 2012 Operations Manager; and the Service Control Manager events in the NT Event System Log. Service availability monitoring generates the following:

    • ·    An alert when Configuration Manager-based services stop on Configuration Manager site systems.
    • ·    An alert when a critical Configuration Manager dependent service, such as Windows Management Instrumentation (WMI), stops or fails to start on Configuration Manager site systems.
    • ·    An alert when other Configuration Manager dependent services, such as Microsoft SQL Server, Internet Information Services (IIS), and Background Intelligent Transfer Service (BITS) stop or fail to start on Configuration Manager site systems.
    • ·    An alert when the Configuration Manager Site Backup service is started and stopped, so you can monitor backup durations and correlate stop events from other Configuration Manager services to Configuration Manager Site Backup.

     

    • ·    SQL Write Service Availability Monitor
    • ·    SMS Write Service Availability Monitor
    • ·    SMSExec Service
    • ·    WMI Service Availability Monitor
    • ·    TFTP Service Availability Monitor
    • ·    SQL Reporting Service Availability Monitor
    • ·    SMS Agent Host Service Availability Monitor
    • ·    IIS Service Monitor on Management Point
    • ·    IIS Service Monitor on Application Catalog Web Service Point
    • ·    IIS Service Monitor on Enrollment Point
    • ·    IIS Service Availability Monitor on Application Catalog Web Site Point
    • ·    IIS Service Availability Monitor on Software Update Point
    • ·    WDS Availability Monitor
    • ·    Site SQL Backup Service Monitor
    • ·    WSUS Windows Service Availability Monitor
    • ·    Site Server Component Service Availability Monitor
    • ·    Service Availability Monitor on System Health Validator
    • ·    IIS Service Monitor on Enrollment Proxy Point

    Server Role Availability Monitoring

    Availability is monitored for the following roles:

    • ·    Asset Intelligence Synchronization Point
    • ·    Out of Band Service Point
    • ·    Management Point
    • ·    Enrollment Point
    • ·    Enrollment Proxy Point
    • ·    Fallback Status Point
    • ·    Reporting Service Point
    • ·    System Health Validator
    • ·    State Migration Point
    • ·    Software Update Point
    • ·    Distribution Point
    • ·    Application Catalog Web Service Point
    • ·    Application Catalog Website Point
    • ·    Endpoint Protection Point
    • ·    Client Notification Server

     

    • ·    AI Update Service Point Availability Monitor
    • ·    Out of Band Service Point Availability Monitor
    • ·    Enrollment Point Availability Monitor
    • ·    Enrollment Proxy Point Availability Monitor
    • ·    Fallback Status Point Availability Monitor
    • ·    Management Point Availability Monitor
    • ·    Multicast Service on Distribution Point Availability Monitor
    • ·    Reporting Service Point Availability Monitor
    • ·    State Migration Point Availability Monitor
    • ·    System Health Validator Point Availability Monitor
    • ·    Software Update Point Availability Monitor
    • ·    Application Catalog Web Service Point Availability Monitor
    • ·    Application Catalog Website Point Availability Monitor
    • ·    Mobile Device Management Point Availability Monitor
    • ·    Endpoint Protection Point Availability Monitor
    • ·    Client Notification Server Initialization Monitor

    Compliance Rate of Baseline Deployment monitoring

    The compliance rate of the deployment of baseline deployment checks the rate against the defined threshold.

    Baseline Compliance Rate Monitor

    Discovery Backlog monitoring

    Discovery Backlog monitoring checks the backlog of the inbox on the site server.

    Perf Threshold: Site server auth ddm inbox backlog monitor

    General Health Monitoring

    General health monitoring generates an alert when a health metric on a Configuration Manager server is above a certain threshold over a period of time. General health monitoring checks the following metrics:

    Processor Time at 95% over 3 hours for:

    • ·    Smsexec
    • ·    Ccmexec
    • ·    Total
    • ·    Perf Threshold: SMSExec CPU Usage Monitor
    • ·    Perf Threshold: CCMExec CPU Usage Monitor

    Database Connection Monitoring

    Monitors that the database connections are valid.

    Site Server Connectivity To SQL Database Server

    Inventory Backlog Monitoring

    Monitors backlogs and outbox conditions.

    • ·    Perf Threshold: File Collection Backlog Monitor
    • ·    Perf Threshold: Management Point HINV Outbox file copy failure monitor
    • ·    Perf Threshold: Management point HINV Outbox backlog monitor
    • ·    Perf Threshold: Management Point SINV Outbox file copy failure monitor
    • ·    Perf Threshold: Management Point SINV Outbox file copy failure monitor
    • ·    Perf Threshold: Management point SINV Outbox backlog monitor
    • ·    Perf Threshold: Management point SWM Outbox backlog monitor
    • ·    Perf Threshold: Management point HINV endpoint queue monitor
    • ·    Perf Threshold: Management Point SINV endpoint queue monitor
    • ·    Perf Threshold: Site server SINV auth inbox backlog monitor
    • ·    Perf Threshold: Site server auth dataldr inbox backlog monitor
    • ·    Perf Threshold: Site server HINV process backlog monitor
    • ·    Perf Threshold: Site server SINV process backlog monitor

    Software Metering Backlog Monitoring

    Checks the status of software metering.

    • ·    Perf Threshold: Management point SWM Outbox backlog monitor
    • ·    Perf Threshold: Site server SWM inbox backlog monitor
    • ·    Perf Threshold: Site server SWM backlog monitor
    • ·    Perf Threshold: Management point outbox swm.box copy failures monitor

    Software Update Synchronization Status Monitoring

    Checks whether software update synchronization is occurring.

    WSUS Synchronization failed

    Distribution Point Configuration Monitoring

    Checks whether the Distribution point is properly configured for connections.

    • ·    Content Distribution Event Monitor
    • ·    Distribution Point Installation Monitor
    • ·    Event Collection: Distribution manager fails to access network

    Forward the Configuration Manager in-console alerts

    Checks the status of Configuration Manager in-console alerts, generates Operations Manager alerts when the corresponding Configuration Manager alerts are active. These monitors are disabled by default.

    • ·    Malware Detection Monitor
    • ·    Malware Outbreak Monitor
    • ·    Repeated Malware Detection Monitor
    • ·    Multiple Malware Detection Monitor
    • ·    Windows Azure Storage Monitor
    • ·    Windows Azure Storage Warning Monitor
    • ·    Windows Azure Transfer Monitor
    • ·    Windows Azure Transfer Warning Monitor
    • ·    Application Success Rate Alert Monitor
    • ·    Application Failure Rate Alert Monitor
    • ·    Software Update Deployment Monitor
    • ·    Software Update Group Deployment Monitor
    • ·    Migration Initialization Monitor
    • ·    Migration Synchronization Monitor
    • ·    Migration Job Monitor
    • ·    Exchange Server Connector Monitor
    • ·    Client Status Monitor
    • ·    Client Active Status Monitor
    • ·    Client Status Remediation Monitor
    • ·    Task Sequence Success Rate Monitor
    • ·    Task Sequence Failure Rate Monitor
    • ·    Migration Client Out of Band Setting Monitor
    • ·    Migration Distribution Point Monitor
    • ·    Replication Component Failure Monitor

    En outre, vous devez activer le mode proxy sur les agents des machines ConfigMgr 2012 supervisées. Pour plus d'information sur les classes, règles et moniteurs par rôle, vous pouvez lire la documentation et l'appendix.

    Télécharger System Center Monitoring Pack for System Center 2012 SP1– Configuration Manager

  • [SCOM 2012] Nouveau Management Pack pour Message Queuing 2012

    Microsoft vient de publier un Management Pack (7.0.8560.0) pour superviser le rôle WSUS sur Microsoft Message Queuing Services (MSMQ) 2012. Ce Management Pack n’est supporté que sur System Center 2012 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

    Télécharger System Center 2012 Monitoring Pack for Message Queuing

  • [SCOM 2012] Nouveau Management Pack pour WSUS 2012

    Microsoft vient de publier un Management Pack (7.0.8560.0) pour superviser le rôle WSUS  sur Windows Server 2012. Ce Management Pack est supporté sur System Center Operations Manager 2007 R2 et System Center 2012 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Le Management Pack apporte la supervision des éléments suivants :

    • L’état de santé du client inclut l’installation des mises à jour, l’agent Windows Update, l’inventaire des clients, la mise à jour automatique des clients, les clients qui ne se rapportent pas
    • L’état de santé du produit avec les permissions sur le répertoire de contenu, l’espace disque, la synchronisation du catalogue, la synchronisation du contenu, le service WSUS, et la notification d’e-mail
    • L’état de santé de la base de données SQL
    • L’état de santé des Web Services

    Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

    Télécharger System Center Management Pack for WSUS on Windows Server 2012

  • Le Patch Tuesday de Février 2013 est disponible

    Microsoft vient de publier le Patch Tuesday pour le mois de février 2013. Il comporte 12 bulletins de sécurité, dont cinq qualifiés de critique. Il corrige des vulnérabilités sur Windows, .NET Framework, Internet Explorer, et FAST Search.

    Numéro de Bulletin

    Niveau de sévérité

    Systèmes concernés

    Type (description)

    Redémarrage

    MS13-009

    Internet Explorer 6, 7, 8, 9 et 10

    Cette mise à jour de sécurité corrige treize vulnérabilités signalées confidentiellement dans Internet Explorer. Les vulnérabilités les plus graves pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer.

    Requis

    MS13-010

    Internet Explorer 6, 7, 8, 9 et 10

    Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement liée à l'implémentation Microsoft de VML (Vector Markup Language). Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer.

    Peut Être Requis

    MS13-011

    Windows XP SP3, Windows XP SP2 x64, Windows Server 2003 SP2, et  Windows Vista SP2

    Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans Microsoft Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier multimédia spécialement conçu (tel qu'un fichier. mpg), ouvrait un document Microsoft Office (tel qu'un fichier .ppt) contenant un fichier multimédia intégré spécialement conçu, ou recevait du contenu en continu spécialement conçu.

    Peut Être Requis

    MS13-012

    Exchange Server 2007 SP3 et 2010 SP2

    Cette mise à jour de sécurité corrige des vulnérabilités révélées publiquement dans Microsoft Exchange Server. La vulnérabilité la plus grave concerne WebReady Document Viewing de Microsoft Exchange Server et pourrait permettre l'exécution de code à distance dans le contexte de sécurité du service de transcodage sur le serveur Exchange si un utilisateur prévisualisait un fichier spécialement conçu à l'aide d'Outlook Web App (OWA).

    Peut Être Requis

    MS13-013

    Microsoft FAST Search Server 2010 for SharePoint Service Pack 1

    Cette mise à jour de sécurité corrige des vulnérabilités révélées publiquement dans Microsoft FAST Search Server 2010 for SharePoint. Ces vulnérabilités pourraient permettre l'exécution de code à distance dans le contexte de sécurité d'un compte utilisateur avec un jeton restreint. FAST Search Server for SharePoint est uniquement affecté par ce problème lorsque le Pack de filtrage avancé est activé. Par défaut, le Pack de filtrage avancé est désactivé.

    Peut Être Requis

    MS13-014

    Windows Server 2008 R2 RTM/SP1

    Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant tentait une opération de fichier sur un partage en lecture seule.

    Requis

    MS13-015

    Windows XP SP3, Windows XP SP2 x64, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 RTM/SP1 Windows Server 2008 R2 RTM/SP1, Windows 8, et Windows Server 2012

    Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans .NET Framework. Cette vulnérabilité pourrait permettre une élévation de privilèges si un utilisateur affichait une page Web spécialement conçue à l'aide d'un navigateur Web pouvant exécuter des applications du navigateur XAML (XBAP)

    Peut Être Requis

    MS13-016

    Windows XP SP3, Windows XP SP2 x64, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 RTM/SP1 Windows Server 2008 R2 RTM/SP1, Windows 8, et Windows Server 2012

    Cette mise à jour de sécurité corrige 30 vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant ouvrait une session sur un système et exécutait une application spécialement conçue.

    Requis

    MS13-017

    Windows XP SP3, Windows XP SP2 x64, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 RTM/SP1 Windows Server 2008 R2 RTM/SP1, Windows 8, et Windows Server 2012

    Cette mise à jour de sécurité corrige trois vulnérabilités signalées confidentiellement dans toutes les versions en cours de support de Microsoft Windows. Ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant ouvrait une session sur un système et exécutait une application spécialement conçue.

    Requis

    MS13-018

    Windows Vista SP2, Windows Server 2008 SP2, Windows 7 RTM/SP1 Windows Server 2008 R2 RTM/SP1, Windows 8, et Windows Server 2012

    Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant non authentifié envoyait un paquet d'arrêt de connexion spécialement conçu au serveur.

    Requis

    MS13-019

    Windows 7 RTM/SP1 et Windows Server 2008 R2 RTM/SP1

    Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans Microsoft Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant ouvrait une session sur un système et exécutait une application spécialement conçue.

    Requis

    MS13-020

    Windows XP SP3

    Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows OLE (Object Linking and Embedding) Automation. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier spécialement conçu.

    Requis

    Légende :

      : Bulletin Critique           : Bulletin Important            : Bulletin Modéré

     

    Ces correctifs sont disponibles par Microsoft Update ou par le Centre de téléchargement Microsoft.
    Retrouvez l'ensemble des informations relatives à ce bulletin de sécurité : Ici
     
  • [SCCM 2012 SP1] La gestion des ordinateurs Mac – Partie 1 : Aperçu

     

    Table des matières

    1. Introduction
    2. Fonctionnement
    3. Préparation des prérequis d’infrastructure
      1. Prérequis des systèmes de site
      2. Création des certificats pour les systèmes de site
      3. Installation des systèmes de site
      4. Modification des communications clientes
    4. Préparation des prérequis clients
      1. Prérequis matériel et logiciels
      2. Création du modèle de certificat
      3. Modification de la stratégie pour l’enregistrement
      4. Installation du client ConfigMgr pour Mac

    5. Aperçu des fonctionnalités
      1. Inventaire matériel et logiciels
      2. Déploiement d’applications
      3. Gestion de la conformité
    6. Dépannage du client ConfigMgr pour Mac
    7. La protection antivirale avec EndPoint Protection 2012
    8. Conclusion

    Télécharger la version PDF (disponible prochainement)

    System Center 2012 Configuration Manager se voit octroyer de nouvelles capacités avec l’arrivée du Service Pack 1. Ce produit fait partie de la gamme de gestion de l’infrastructure System Center de Microsoft. Il permet la gestion du cycle de vie des ressources (postes de travail, serveurs, périphériques mobiles…) de l’entreprise. On retrouve notamment la possibilité de déployer des systèmes d’exploitation, des logiciels, des mises à jour logiciels, de prendre le contrôle à distance, d’inventorier le matériel et les logiciels, ou encore de vérifier la conformité de la ressource. Cette nouvelle version ouvre notamment la voie à l’interopérabilité vers des systèmes d’exploitation qui n’étaient jusqu’alors pas couverts. Cette série d’articles visera à présenter et couvrir l’implémentation et les possibilités offertes pour chacun des systèmes. Nous commencerons ainsi par les systèmes Mac OS. L’introduction de ce système était attendue par nombre d’entreprises qui ne possédaient pas de solution d’administration pour ces périphériques. Qui n’a pas rencontré des infographistes ou des VIPs qui ont fait des pieds et des mains pour obtenir cette exception. Ce phénomène va s’accentuer lorsque les entreprises prendront le pas de la consumérisation (BYOD), laissant ainsi aux utilisateurs le choix de son outil de travail.

    Cette première version apporte les fonctionnalités suivantes :

    • Découverte des périphériques Mac OS joints à l’annuaire Active Directory ou présents sur le réseau
    • Inventaire Matériel
    • Inventaire des logiciels au travers de l’inventaire matériel et des classes Add/Remove Programs. Il n’existe pour pas d’inventaire logiciel analysant le disque pour rechercher des fichiers (exécutables par exemple) comme celui présent sur les clients Windows.
    • Déploiement d’applications via le nouveau modèle introduit avec ConfigMgr 2012
    • Gestion de la conformité et des paramétrages
    • La protection antivirale avec System Center 2012 Endpoint Protection

    Microsoft a pour objectif d’enrichir la liste des fonctionnalités au gré des versions pour atteindre un niveau similaire à celui proposé pour les clients Windows.

    System Center 2012 Configuration Manager Service Pack 1 supporte les versions suivantes de Mac OS X :

    • Snow Leopard (10.6)
    •  Lion (10.7)

    La version 10.8 n’est toujours pas supportée mais devrait l’être prochainement.

    System Center 2012 EndPoint Protection Service Pack 1 supporte les versions suivantes de Mac OS X :

    • Snow Leopard (10.6)
    • Lion (10.7)
    • Mountain Lion (10.8)

     

     

    Fonctionnement


    La gestion des ordinateurs Mac reprend le concept introduit pour la gestion native des périphériques mobiles. Ainsi, un client spécifique est installé sur l’ordinateur et permet le dialogue avec le Device Management Point, sous composant du rôle de système de site Management Point. Le client l’interroge pour obtenir les stratégies pouvant inclure :

    • Les paramètres à appliquer sur le client ConfigMgr
    • Les déploiements d’applications qui ciblent la machine
    • Les lignes de base que le client doit valider

    Le client peut renvoyer des informations à ce rôle pour informer l’infrastructure sur :

    • L’état des déploiements exécutés
    • Le résultat des lignes de base
    • Les messages d’état divers et variés
    • Le résultat de l’inventaire matériel

    Le Device Management Point est indispensable à la gestion des ordinateurs Mac. En outre, le client peut être amené à dialoguer avec un Distribution Point pour récupérer les sources nécessaires à l’installation des applications qui lui sont déployées.

    Toutes les communications entre le client Mac et l’infrastructure sont chiffrées et authentifiées via l’utilisation de certificats et du protocole HTTPS.

    Enfin, on retrouve les rôles de système de site Enrollment Point et Enrollment Proxy Point qui servent à l’enregistrement des clients auprès de l’infrastructure ConfigMgr. Il facilite notamment le déploiement des certificats nécessaires à la communication du client avec son Device Management Point. Ces rôles ne sont pas obligatoires à l’administration de ces périphériques. Ils évitent néanmoins des opérations manuelles nécessaires au déploiement du certificat d’entreprise.

    Cet article détaillera la mise en œuvre de tous ces rôles.

  • [SCCM 2012 SP1] Mise à jour de Package Conversion Manager en version 2.0.1000.0

    Microsoft vient de publier une mise à jour 2.0.1000.0 de Package Conversion Manager 2.0 pour System Center 2012 Configuration Manager Service Pack 1 (SP1). Cette mise à jour permet la correction du bug rencontré lorsque la console d’administration n’est pas installée dans le chemin par défaut. Package Conversion Manager est un outil développé par Microsoft afin transformer et migrer automatiquement les packages et programmes de System Center Configuration Manager 2007 vers le nouveau modèle d’applications de System Center 2012 Configuration Manager. Cette version contient un tableau de bord des conversions.

    Télécharger System Center 2012 SP1 Configuration Manager Package Conversion Manager 2.0

  • Le catalogue de sessions du MMS 2013 est disponible

    Comme chaque année, Microsoft organise le Microsoft Management Summit (MMS). Pour l’année 2013, celui-ci aura lieu au Mandalay Bay à Las Vegas du 8 au 12 Avril 2012. Aujourd'hui Microsoft vient d'ouvrir le catalogue de sessions. Pour rappel, le MMS est l’événement de référence en ce qui concerne les produits de la gamme System Center de Microsoft. Au programme de cet événement :

    • System Center 2012 Configuration Manager Service Pack 1
    • System Center 2012 Data Protection Manager Service Pack 1
    • System Center 2012 Operations Manager Service Pack 1
    • System Center 2012 Service Manager Service Pack 1
    • System Center 2012 Virtual Machine Manager Service Pack 1
    • System Center 2012 Orchestrator Service Pack 1
    • System Center 2012 Application Controller Service Pack 1
    • System Center 2012 Service Provider Foundation
    • System Center Advisor
    • Windows Intune
    • Microsoft Desktop Optimization Pack

    Microsoft a étendu la période d’Early Birds pour l’événement et permet d’avoir des tarifs préférentiels.

     

    Je vous laisse consulter le site de l’événement pour obtenir plus d’information et vous inscrire à la newsletter de notification : http://www.2013mms.com/register

     

  • Microsoft Baseline Configuration Analyzer 2.0 disponible pour Windows 8 et Windows Server 2012

     

    Microsoft vient de publier la version 2 de son outil Microsoft Baseline Configuration Analyser (MBCA) pour Windows 8 et Windows Server 2012. Cet outil permet de valider les paramètres de configuration selon les critères définis par Microsoft. Il permet donc de vérifier la configuration système pour éviter d’éventuels dysfonctionnements.

    Les prérequis suivants sont nécessaires :

    • Systèmes d’exploitation supportés: Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 8, Windows Server 2003, Windows Server 2003 R2 (32-Bit x86), Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate
    • Windows PowerShell 2.0
    • .NET Framework 2.0

    MBCA est disponible en version 32 et 64 bits. Un guide d’utilisation est aussi fourni.

    Télécharger Microsoft Baseline Configuration Analyzer 2.0

  • Une PreRelease de Microsoft Security Essentials en version 4.2

    Microsoft vient de publier une Prerelease de Microsoft Security Essentials 4.2. Cette nouvelle mouture a le noyau commun à System Center 2012 EndPoint Protection, Windows Intune EndPoint Protection et Windows Azure EndPoint Protection.

    Télécharger Microsoft Security Essentials  4.2.216.0

  • [App-V] La procédure pour séquencer Visual Studio 2012

    Arnab Biswas [MSFT] a publié une procédure détaillant comment séquencer l’application Visual Studio 2012 avec Application Virtualization 4.6 SP2 (App-V).

    Plus d’information sur : http://social.technet.microsoft.com/Forums/en-US/prescriptiveguidance/thread/7e93e525-31ed-43fc-8415-88a12766d2c2

  • [SCSM 2012] Le connecteur Exchange bientôt supporté

    L’équipe Service Manager a publié un billet pour annoncer que le connecteur Exchange sera prochainement supporté sur System Center 2012 Service Manager (SCSM) Service Pack 1. Ce support sera natif avec l’application de l’Update Rollup 2 qui devrait arriver début avril.

    Source : http://blogs.technet.com/b/servicemanager/archive/2013/02/07/update-on-exchange-connector.aspx

  • [SCCM 2012 SP1] Mise à jour des clients ConfigMgr pour Unix/Linux

     

    Microsoft a mis à jour les clients System Center 2012 Configuration Manager Service Pack 1 (SCCM) pour les systèmes Unix et Linux. Cette mise à jour fait suite à un problème lorsque le client est ciblé par des stratégies concernant l’inventaire logiciel. Dans ce cas de figure, le client ne procède pas à une demande de stratégie et l’activité du client passe en inactif.

    Vous pouvez observer le message d’erreur suivant dans le fichier Scxcm.log :

    ATTEMPT TO EXECUTE A FILE SYSTEM INVENTORY CYCLE HAS BEEN TRAPPED

    Le client Unix ne supporte pas l’inventaire logiciel et dans sa version précédente engendre cet effet de bord.

    Pour résoudre le problème, téléchargez et réinstallez le client Unix/Linux : Microsoft System Center 2012 Service Pack 1 Configuration Manager - Clients for Additional Operating Systems

    Source : Error message when the UNIX/Linux client for System Center 2012 Configuration Manager SP1 is targeted with Software Inventory policies

  • [SCSM] Un wiki pour le Data Warehouse et la partie Reporting

    Microsoft a créé un page Technet Wiki pour System Center Service Manager et plus particulièrement les composants Data Warehouse et Reporting.

    On retrouve des liens vers des ressources sur :

    • L’architecture du Data Warehouse
    • L’administration du Data Warehouse
    • Etendre le Data Warehouse
    • Créer des rapports
    • Utiliser les rapports

     

    La page à retenir : http://social.technet.microsoft.com/wiki/contents/articles/15608.system-center-service-manager-data-warehouse-and-reporting.aspx

  • Mise à jour du poster des composants d’architecture Hyper-V de Windows Server 2012

    Avec la toujours plus grande complexité des composants d’architecture, Microsoft a pour habitude de publier des posters récapitulant les différents concepts et leur fonctionnement. Ainsi, on retrouve aujourd’hui une trois de composants pour Hyper-V sur Windows Server 2012.

    Pour le télécharger rendez-vous sur : Windows Server 2012 Hyper-V Component Architecture Poster and Companion References

  • [SCCM 2012 SP1] Des problèmes de synchronisation du catalogue Asset Intelligence résolus

    Microsoft vient d’annoncer la résolution de problèmes de synchronisation d’Asset Intelligence sur des sites System Center 2012 Configuration Manager Service Pack 1. Ceci survenait lorsque le site avait été mis à jour depuis la version RTM. Vous pouviez observer l’erreur suivante dans le fichier AIUpdateSvc.log :

    Error InternalError during download, watermark returned

    Microsoft a identifié la cause et corrigé le problème le 4 février 2013. Aucune action n’est requise de votre part et le problème devrait se résoudre à la prochaine synchronisation.

  • [SCSM 2012 SP1] Un correctif pour la solution Live Maps de Savision

    Savision vient d’annoncer une solution de Microsoft à un bug rencontré sur Live Maps et son intégration avec System Center 2012 Service Manager Service Pack 1 (SCSM). Le Service Pack 1 du produit provoque un bug dans la synchronisation des cartes et des tableaux de bord en empêchant l’association du contexte métier avec les incidents et les demandes de changement.

    Pour le résoudre, consultez la section PowerShell Tasks Created with the Authoring Tool Do Not Work Properly de la Release Note.

  • Réservez vos dates, le TechEd Europe 2013 est annoncé !

    Microsoft vient d’annoncer le TechEd Europe 2013. Il aura lieu du 25 au 28 juin 2013 à Madrid. Cet événement Micorosft est le plus important en Europe et traite de sujet pour les ITs et les développeurs. On devrait y voir des sessions autour de Windows 8, Windows Server 2012, et System Center 2012 SP1.

    L’inscription commence le 12 février : http://www.msteched.com/   

  • [DPM 2012] Un outil de sérialisation automatique pour les clusters

    Lorsque vous gérez plusieurs clusters par Data Protection Manager 2012, vous devez lancer le script DSConfig.ps1 sur chacun des nœuds du cluster pour enrichir la configuration (DataSources.xml) du serveur DPM.  Cette opération doit être répétée à chaque ajout d’une machine virtuelle au cluster. Microsoft vient de publier un outil permettant de sérialiser/fusionner automatiquement. Le but est de lancer l’outil de manière périodique sur le serveur DPM pour retirer les opérations manuelles.

    Pour plus d’infos, lisez les instructions.

    Télécharger System Center Data Protection Manager CSV Serialization Tool

  • Le support des disques dur à secteur 4K par Microsoft

    Rebelote ! Les fabricants de matériel vont changer la taille des secteurs de disque dans les prochains mois. Les disques vont donc peu à peu passer du format Advanced (512-byte) au 4K native (4 Kbytes). Ceci a un impact certain sur les systèmes d’exploitation qui doivent prendre en compte ce changement pour optimiser l’utilisation du disque. Cela avait été le même scénario il y a plus d’un an lors du passage au format Advanced. Dans l’absolu ceci engendre des performances réduites du système d’exploitation.

    Voici la matrice de compatibilité :

    Type de lecteur

    Support/fonctionnalité

    4K natif (taille de secteur logique de 4K) : La plupart des lecteurs d'une capacité supérieure à 2 téraoctets et disposant d'une connexion USB font partie de ce type de lecteur.

    Prise en charge sur les systèmes d'exploitation suivants :

    • Windows 8
    • Windows Server 2012

    Format avancé ou 512E (secteur d'une taille physique de 4K et logique de 512 octets)

    Prise en charge sur les systèmes d'exploitation suivants :

    • Windows Vista
    • Windows 7
    • Windows Server 2008*
    • Windows Server 2008 R2*
    • Windows Server 2012
    • Windows 8

    *Sauf pour Hyper-V. Voir la section « Conditions requises pour le support des applications pour les lecteurs à grands secteurs ».

    512 octets natif (taille de secteur logique et physique de 512 octets)

    Pris en charge sur toutes les plateformes.

     

    Voici l’article dans la base de connaissances qui parle de ce sujet : http://support.microsoft.com/kb/2510009

  • [SCCM 2012] Précision sur le support de l’outil P2V Migration Toolkit for ConfigMgr

    Microsoft vient de préciser la fin du support de l’outil System Center Configuration Manager P2V Migration Toolkit for ConfigMgr. Celui-ci court jusqu’au 12 juillet 2013. P2V Migration : permet de faire de la migration P2V de serveurs SCCM 2007. Le but est de faciliter la migration des serveurs de site SCCM 2007 sur les sites distants ne disposant pas d’infrastructure pour opérer une migration Side-by-side. Ces sites sont souvent soumis à une limitation de la bande passante restreignant les différentes opérations de migration.

    La méthode est simple :

    • P2V de la machine disposant du serveur de site SCCM
    • Ré-Installation du serveur sous Windows Server 2008 R2
    • Installation du rôle Hyper-V
    • Import de la machine virtuelle SCCM 2007
    • Vous pouvez ensuite créer une machine virtuelle qui recevra le nouveau site SCCM 2012 et opérer la migration

    Les prérequis sont les suivants :

    • Processeur 64 bit
    • BIOS supportant la virtualisation assistée par Matériel et Data Execution Prevention

     

    Télécharger l’outil dans System Center 2012 – Configuration Manager Component Add-ons and Extensions