Oubliez DCM : Desired Configuration Management joliment traduit gestion des configurations désirées et faites place au Settings Management/Settings Compliance Management (SCM). Derrière ce changement de nom qui peut paraître du Marketing, il y a une nouveauté : La remédiation. La gestion des configurations désirées n’est pas nouvelle puisqu’elle a été introduite dans SMS 2.0. La remédiation va permettre de résoudre les paramétrages non conformes détectés lors de l’évaluation par la fonctionnalité. Auparavant l’administrateur qui souhaitait mettre en conformité ses postes au travers des résultats remontés par la fonctionnalité, devait créer des collections dynamiques et créer des scripts de remédiation déployés par la fonctionnalité de distribution logiciels. Aujourd’hui, la gestion de la conformité des paramétrages intègre un système d’auto-remédiation pour les scénarios suivants :
Pour chacun de ces types de paramétrage, vous devez activer la remédiation en cochant « Remediate noncompliant rules when supported ». Ceci laisse la place à une granularité plus forte dans votre stratégie de conformité.
Enfin, vous devez aussi activer la remédiation au niveau du Déploiement (=Déployments) anciennement Assignement.
La conformité apporte une nouvelle notion de Service Level Agreement (SLA) au travers d’alertes intégrée au produit. Vous pouvez ainsi générer une alerte lorsque le pourcentage de machine conforme est au-dessous d’un seuil.
Côté mise en œuvre, vous devez aborder la stratégie suivante :
Les DeploymentGuys nous réservent encore un nouveau script permettant d’afficher un message au travers d’un Message Box durant la séquence de tâches. Cette opération permet de bloquer le déploiement tant que l’utilisateur n’a pas fermé la fenêtre. Pour cela, Michael Murgolo a créé un script MDT totalement personnalisable et réutilisable selon vos besoins.
Je vous laisse lire son billet pour en apprendre plus : http://blogs.technet.com/b/deploymentguys/archive/2011/07/01/message-box-script-for-lite-touch-task-sequences.aspx
What's New in the Configuration Manager 2007 Documentation Library for June 2011
- Nouveau sujet qui liste tous les changements sur la documentation depuis septembre 2010
Configuration Manager Client Assignment Issues
- Mise à jour pour clarifier “The Discover Button in the Configuration Manager Client Properties: Advanced Tab Does Not Work or Is Unavailable“.
About Standard and Branch Distribution Points
- Mise à jour pour clarifier que le nombre de connexions simultanées qu’un point de distribution de branche peut supporter sur un système client dépend de la version du système d’exploitation. Pour Windows XP et Windows Vista, le nombre est 10 ; pour Windows 7, il est de 20. La clarification a été ajouté au sujet Choose Between a Standard and Branch Distribution Point.
Out of Band Management Console Issues
- Mise à jour pour la nouvelle section “Out of Band Management No Longer Works After a Client is Reassigned to a New Site“, qui fournit des instructions pour supprimer les informations provisionnées sur un site originel avant de réassigner l’ordinateur AMT à un autre site SCCM et ensuite provisionner le client sur le nouveau site. Cette information est aussi ajouté à About AMT Provisioning for Out of Band Management et How to Assign Configuration Manager Clients to a Site.
Pour SCCM 2012, les sujets suivants ont été mis à jour :
Planning for the Migration of Configuration Manager 2007 Objects to Configuration Manager 2012
- Mise à jour de la nouvelle section "Planning to Migrate AMT-Based Computers that are Provisioned for Out of Band Management"
About Client Settings in Configuration Manager 2012
- Mise à jour des paramétrages de Network Access Protection et des stratégies d’exécution PowerShell.
Install and Configure Site System Roles for Configuration Manager 2012
- Un nouveau sujet sur comment installer un rôle de système de site et les informations nécessaires sur le paramétrage des rôles :
Operating System Deployment in Configuration Management 2012
- Cette section est mise à jour avec les sujets suivants :
Hardware Inventory in Configuration Manager 2012
- Cette section est mise à jour avec les sujets suivants:
Remote Control in Configuration Manager 2012
- Cette section est mise à jour avec les sujets suivants:
Introduction to Out of Band Management in Configuration Manager 2012
- Mise à jour de la section “What’s New in Configuration Manager 2012” avec les informations sur les nouveaux comptes. Le compte AMT Provisioning Removal, qui dans la Beta 2 est associé à un compte Windows.
How to Manage AMT Provisioning Information in Configuration Manager 2012
- Mise à jour de la nouvelle section “Reassigning AMT-Based Computers to Another Configuration Manager Site”
Frequently Asked Questions for Configuration Manager 2012
- Mise à jour pour inclure les informations suivantes:
Microsoft a publié un nouveau correctif concernant de mauvaises performances impactant les clients SCCM 2007 SP2
· Vous déployez plusieurs mises à jour à un client SCCM 2007 SP2
· Vous exécutez une opération qui génère un message WM_TIMECHANGE à partir du client par le biais du:
o démarrage après la mise en veille de l’ordinateur
o démarrage après la mise en veille prolongée de l’ordinateur
o changement de l’heure système
Dans ce cas, l’ordinateur est lent pendant un petit temps. Le CPU est très sollicité et génère des I/O disque importants.
Pour plus d’information, je vous renvoie vers la KB2309968- Slow performance after you change the system time or resume the computer from sleep or hibernation on a System Center Configuration Manager 2007 SP2 client
Microsoft a publié un nouveau correctif concernant un problème de distribution de packages dans le scénario suivant :
· Vous avez une hiérarchie SCCM 2007 de trois niveaux
· Cette hiérarchie comporte un nombre important de points de distribution (plus de 5000)
· Vous créez un package au niveau du site central et vous le distribuez sur tous les points de distribution
Dans ce cas, le Sender envoi le package à tous les points de distribution après un délai de plusieurs heures.
Pour plus d’information, je vous renvoie vers la KB2559225 - Long delay when you distribute a package to a three-tier hierarchy in System Center Configuration Manager 2007 if the hierarchy has many distribution points
L’équipe App-V a publié un nouvel article dans la base de connaissances sur les applications (par exemple mmc.exe, la console d’administration SCCM) nécessitant une élévation automatique des privilèges et les Run As. L’équipe décrit deux solutions de contournement permettant de gérer ces scénarios : KB2559075 - Elevation and Run-As Considerations in Microsoft App-V Environments
L’équipe App-V a publié un article détaillant la procédure à adopter pour appliquer un patch sur une application virtuelle séquencée avec Application Virtualization (App-V) 4.6 Service Pack 1. Il utilise les capacités de cette dernière version pour mettre à jour votre package avec toutes les mises à jour futures.
Pour en apprendre plus, vous pouvez lire : http://blogs.technet.com/b/appv/archive/2011/06/30/how-to-patch-virtualized-office-2010-sequenced-with-microsoft-app-v-4-6-sp1.aspx
Je rencontre de plus en plus fréquemment une erreur qui survient après l’application de mises à jour de sécurité. Celle-ci met en erreur le composant Server Manager et tout ce qui y touche (WMI…).
Pour résoudre ce problème, prenez d’abord le contrôle du dossier packages :
takeown /F c:\Windows\Servicing\Packages /D y /R
Donnez-vous ensuite les droits de contrôle total sur le dossier :
cacls c:\Windows\Servicing\Packages /E /T /C /G "UserName":F
Téléchargez et installez la KB947821 : Description of the System Update Readiness Tool for Windows Vista, for Windows Server 2008, for Windows 7, and for Windows Server 2008 R2
Cet outil génère un fichier de journalisation (%SYSTEMROOT%\Logs\CBS\CheckSUR.log) permettant d’identifier les mises à jour qui posent problème.
Vous devez avoir un ou plusieurs : « Unavailable repair file : Servicing\packages\Package_for_KB<KBNumber>… »
Téléchargez la mise à jour correspondante et procédez à la décompression de la mise à jour à l’aide de la commande suivante :
Expand –F:* Windows6.1-<KBNumber>.msu C :\<DossierDeDestinationTemporaire>
Décompressez ensuite le fichier cab correspondant :
Expand -F:* Windows6.1-<KBNumber>.CAB C :\<DossierDeDestinationTemporaire>
Récupérez ensuite les fichiers Update.mum et Update.cab.
Renommez les deux fichiers sous la forme du fichier spécifié dans le fichier CheckSUR. Exemple : Package_for_KB978601~31bf3856ad364e35~amd64~~6.0.1.0.mum et .cab.
Copiez ensuite ces fichiers dans c:\Windows\Servicing\Packages.
La modification est instantanée et vous pouvez à nouveau accéder aux fonctionnalités précédemment impactées.
Microsoft a publié le correctif cumulatif 1 (Rollup 1) de Forefront EndPoint Protection (FEP) 2010 apportant son lot de correction et nouveautés (Voir http://microsofttouch.fr/blogs/js/archive/2011/06/28/forefront-endpoint-protection-fep-2010-correctif-cumulatif-1.aspx). Je souhaite aujourd’hui aborder l’utilisation du nouvel outil permettant de télécharger les mises à jour de définitions FEP automatiquement. Cet outil est Officiellement supporté par Microsoft.
Notez que vous devez disposer des prérequis suivants :
Vous devez aussi configurer le Software Update Point ; créer un package contenant les mises à jour de définitions et publier les mises à jour à vos clients. Pour cela, je vous invite à consulter la partie 4.2.1 Gestion manuelle des mises à jour par SCCM de mon article sur FEP 2010. Retenez le nom du package et du Deployment Management (=Publication) que vous donnez.
Commencez par télécharger l’outil : « fepsuasetup.cab » sur Microsoft Forefront Endpoint Protection (FEP) 2010 Update Rollup 1 Tools.
Ouvrez le package « fepsuasetup.cab » et copiez l’outil « SoftwareUpdateAutomation.exe » dans c:\Program Files\Microsoft Configuration Manager\AdminUI\bin.
Deux solutions s’offrent ensuite à vous :
Notez que l'outil propose les paramétres suivants :
Certaines options (siteservername) peuvent être nécessaires dans votre infrastructure en fonction de vos contraintes (topologie, langue...). Ces considérations ne seront pas détaillées dans l'article suivant.
Cet article détaillera les deux solutions.
Méthode 1 : La tâche planifiée Windows
Commençons par la tâche planifiée Windows, ouvrez l’outil correspondant et cliquez sur Create Task. Donnez un nom à la tâche et vérifiez que l’option « Run whether user is logged on or not » est cochée afin que la tâche s’exécute dans chacun des cas.
Ouvrez l’onglet Actions et ajoutez-en une nouvelle. Choisissez l’action « Start a program ». Spécifiez le chemin vers l’outil de mise à jour automatique en utilisant les variables d’environnement :
Dans la partie arguments, spécifiez « /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package> ». J’entends par nom ; le nom qui s’affiche dans la console d’administration SCCM et que vous avez entrez dans l’assistant lors de la création de chacune des entitées.
Ouvrez ensuite l’onglet Triggers, et cliquez sur New. Vous pouvez déclencher cette tâche dans deux modes de fonctionnement :
Nous allons détailler les deux méthodes. Commençons par la programmation récurrente, sélectionnez Daily (journalier). Vérifiez que la récurrence a lieu tous les jours et répétez l’opération toutes les heures pour une durée indéterminée.
Passons au déclenchement à la suite de l’événement de synchronisation avec succès de WSUS. Pour cela, il faut identifier le numéro d’événement qui peut être remonté au travers des journaux d’événements du serveur :
Choisissez le type de déclenchement sur un événement. Entrez ensuite les informations suivantes :
Vérifiez ensuite que la tâche est activée.
Méthode 2 : Les règles de filtre d’état
Nous allons maintenant décrire la deuxième option qui s’offre à vous : Créer une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :
Sur la page Action, cochez Run a program et entrez l’adresse du programme et les arguments nécessaires :
Terminez l’assistant pour procéder à la création.
Après exécution d’une synchronisation l’outil de Microsoft procède aux opérations suivantes :
Le fichier de journalisation est stocké dans %ProgramData%\SoftwareUpdateAutomation.log
Lire mon article sur Forefront EndPoint Protection (FEP) 2010 : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx
L’équipe MDT vient de publier un article dans la base de connaissances concernant un problème survenant entre MDT 2010 Update 1 et les packs de langue Windows 7 SP1. En effet, dans ce cas les packs de langue ne sont pas visibles dans l’assistant lors de l’exécution de la séquence de tâches.
Pour cela, il existe une solution de contournement que vous pouvez consulter à cette adresse : http://support.microsoft.com/kb/2547191
Microsoft vient de sortir un package de correctifs 2561430 pour System Center Service Manager (SCSM) 2010 Service Pack 1 (SP1). Pour rappel, ce produit comble un manque dans la gamme de produit d’administration de Microsoft jusqu’alors dépourvue d’un produit dédié au Help Desk. Ce produit permet de gérer les scénarios suivants : Gestion des incidents, Gestion du cycle de vie des ressources, Portail en self-service pour les utilisateurs, Gestion du changement, Gestion des immobilisations, Base de connaissances pour le support, Base de gestion de configuration.
Elle inclut les correctifs suivants :
· Lorsqu'une classe ou une extension de la classe qui possède un type de données décimal est définie et remplie, l'échelle du séparateur décimal est ignorée. Le résultat est que les décimales sont toujours stockées comme arrondi au nombre entier le plus proche.
· Lorsqu'une relation avec une propriété de type de données décimal est définie, le fait de relation qui cible cette relation ne déploie pas en raison de la précision décimale. La précision décimale récupère 256 indépendamment de celle définie pour la longueur maximale de cette propriété.
· Lorsqu'une classe qui utilise qu'une clé numérique est définie, la propriété « insertion » et « mise à jour » pour les instances de cette classe peuvent échouer en raison d'une violation de contrainte d'unicité.
· Mise à jour des propriétés sur une relation dans la même transaction dans laquelle la relation est supprimée, les mises à jour de la propriété ne sont pas répercutées dans le data warehouse.
Pour procéder à l’installation, déroulez les étapes suivantes :
· Sauvegardez les bases de données
· Sauvegardez les clés de chiffrement
· Fermez toutes les consoles d’administration
· Exécutez le correctif sur les serveurs suivants :
o Service Manager Management Server (SM server)
o Service Manager Data Warehouse Management Server (DW server)
o Service Manager Consoles
· Après installation, vous devez démarrer le service sur le Data Warehouse
Voir la KB2561430 : http://support.microsoft.com/kb/2561430
System Center Configuration Manager 2012 apporte son lot de nouveautés et le nouveau modèle d’applications en fait partie. Celui-ci apporte notamment plusieurs fonctionnalités allant de la détection d’installation, à l’évaluation de règles de prérequis…
Certaines fonctions plutôt simples peuvent néanmoins se retrouver difficiles à opérer. Aujourd’hui c’est la simple suppression d’une application qui peut vous faire perdre du temps. Notez que cet article se base sur la bêta 2 du produit et qu’un changement peut encore avoir lieu pour faciliter cette opération.
Si vous ouvrez la partie Software Library puis le nœud Application Management => Applications et que vous sélectionnez une application. Vous pourrez observer qu’il n’y a pas de fonction de suppression. Pour pouvoir supprimer une application, vous devez dérouler les opérations suivantes :
Supprimer tous les déploiements associés à l'application.
Utiliser la fonction Retire sur l’application cible : Cette opération initie une désinstallation de l’application sur les machines cibles
Supprimer tous les historiques de révision. Cliquez sur chacune des révisions et sélectionnez Delete.
Si la dernière révision n’est pas supprimable, c’est que vous n’avez pas « retiré » l’application.
Après coup, l’application n’est plus dans la liste.
Note : Cette opération ne supprime pas les sources de l’application. Le comportement reste identique à SCCM 2007.
La communauté System Center Orchestrator (SCO) 2012 (anciennement Opalis) est en plein émoi avec la sortie de nouvelles ressources : Des Integration Packs et le Quick Integration Kit (QIK).
Voici la liste des ressources :
· System Center Orchestrator 2012 Integration Pack for IBM Tivoli Netcool/OMNIbus Beta
· System Center Orchestrator 2012 Integration Pack for VMware vSphere Beta
· System Center Orchestrator 2012 Integration Pack for System Center 2007/2008/2010 Beta
· System Center Orchestrator 2012 Quick Integration Kit
Pour plus d’informations, vous pouvez lire l’article : http://blogs.technet.com/b/scorch/archive/2011/06/28/announcing-the-availability-of-the-vmware-and-ibm-netcool-ips-for-orchestrator.aspx
Si vous utilisez System Center Data Protection Manager (DPM) vous avez déjà du rencontrer le problème ! Il est particulièrement compliquer de configurer le firewall car par défaut DPM utilise les ports RPC dynamiques qui s’étalent sur une plage de 16000 ports.
L’équipe DPM vient de publier un billet donnant la procédure permettant de limiter les ports RPC dynamiques : http://blogs.technet.com/b/dpm/archive/2011/06/28/how-to-limit-dynamic-rpc-ports-used-by-dpm-and-protected-servers.aspx
L’équipe Windows Intune recherche des entreprises souhaitant influencer le produit dans ses versions futures. Vous managez au moins 5000 PCs ? Vous avez des besoins dans la distribution d’applications, l’application de mises à jour, la gestion des périphériques mobiles, la supervision de l’état de santé des PCs. Cette collaboration est périodique et se fait au travers de sondages/questionnaires, des échanges téléphoniques et groupes de discussions. Un accord de non divulgation sera nécessaire.
Si vous êtes intéressé, vous pouvez postuler à l’adresse suivante : https://connect.microsoft.com/site310/InvitationUse.aspx?ProgramID=2418&InvitationID=WINF-T3B9-YKYM
Aujourd’hui, j’ai rencontré le code d’erreur suivant : Error Code 30059 lors du déploiement en mode silencieux d’Office 2010 (notez que l’erreur est valable pour Office 2007). Ce code d’erreur survient lorsque la clé produit n’est pas correcte dans le fichier de personnalisation MSP ou de configuration (Config.xml). La clé peut être correcte mais ne pas correspondre aux sources d’Office que vous utilisez ;
La Bêta 2 de System Center Configuration Manager 2012 est sortie voilà quelques semaines et les posts et articles de Microsoft commencent à arriver pour détailler les nouvelles fonctionnalités proposées par cette version.
Voici une liste de billet que je vous conseille de consulter :
Arrêtez-vous plus particulièrement sur la gestion du contenu qui a radicalement changé dans cette nouvelle version.
Microsoft vient d’annoncer le support officiel de la protection de 3000 ordinateurs clients pour System Center Data Protection Manager 2010. Pour cela, vous devez appliquer le correctif cumulatif suivant : http://support.microsoft.com/kb/2465832
Pour plus d’information, je vous renvoie vers le blog de l’équipe DPM : http://blogs.technet.com/b/dpm/archive/2011/06/29/system-center-data-protection-manager-2010-now-supports-protecting-up-to-3000-client-computers.aspx
Microsoft vient de publier le correctif cumulatif 1 de Forefront Endpoint Protection (FEP) 2010.
Liste des modifications côté serveur
Liste des modifications côté client
A noter que Microsoft a publié des outils allant facilitant la gestion des clients FEP par stratégie de groupe ou donnant les bonnes pratiques (BPA).
Note : vous devez mettre à jour les clients FEP.
Télécharger :
Update Rollup 1 for Forefront Endpoint Protection 2010 (KB2551095)
Microsoft Forefront Endpoint Protection (FEP) 2010 Update Rollup 1 Tools
Microsoft vient de publier la Bêta de la version 2 de l’accélérateur de solution : Microsoft Security Compliance Manager (SCM). Cet outil permet de planifier, créer, et monitorer des baselines de sécurité pour vos postes clients. Ceci est un bon complément de System Center Configuration Manager 2007 (SCCM) et de sa fonctionnalité de gestion des configurations désirées.
Vous pouvez créer vos baselines et les transformer aux formats de pack DCM, SCAP, XLS, ou GPOs.
Cet outil offre :
Cette nouvelle version apporte les fonctionnalités suivantes :
Les baselines disponibles sont les suivantes :
Pour télécharger et obtenir plus d’informations : Security Compliance Manager v2 Bêta
Microsoft vient d’annoncer la mise en ligne du Service Pack 1 (SP1) d’Office 2010. Pour plus d’information sur les nouveautés, rendez-vous sur : http://support.microsoft.com/kb/2460049
La mise à jour devrait faire son arrivée sur WSUS dans les prochains jours.
Il inclut tous les patchs et correctifs suivants :
Télécharger :
· Office 2010 SP1 x86
o Download Center: http://www.microsoft.com/downloads/details.aspx?FamilyID=9d2e1282-8b69-418b-afa0-9f61239ec8be
o Direct Download: http://download.microsoft.com/download/4/0/A/40AA58F5-7CC5-4E74-AB51-5D51C7ED5283/officesuite2010sp1-kb2460049-x86-fullfile-en-us.exe
· Office 2010 SP1 x64
o Download Center: http://www.microsoft.com/downloads/details.aspx?FamilyID=e9f3c2d0-c321-4910-a4ce-b2f294b42d65
o Direct Download: http://download.microsoft.com/download/1/A/8/1A879A5A-EE48-49E7-8831-449A71582173/officesuite2010sp1-kb2460049-x64-fullfile-en-us.exe
Cette erreur est aussi valable sous ConfigMgr 2007 mais le comportement et les options par défaut ayant changé, vous pourriez passer pas mal de temps à chercher d’où vient le problème.
En premier lieu, validez les prérequis suivants :
Lorsque vous démarrez sur le réseau, la machine ne reçoit pas d’adresse IP. Côté serveur dans le fichier de journalisation smspxe.log, vous observez le message suivant : « Warning : Matching Processor Architecture Boot Image (0) not found » :
Pour résoudre le problème, ouvrez les propriétés de l’image de boot et l’onglet Data Source. Dans SCCM 2012, une nouvelle option est disponible « Deploy this boot image from the PXE Service Point ». En effet le service PXE étant toujours associé à un point de distribution, par défaut, l’image n’est disponible qu’au travers du point de distribution. Pour activer la disponible de l’image de démarrage sur les PXE Service Point, cochez cette case.
SCCM 2012 est en chemin et les premiers changements d’habitude se font ressentir notamment au travers de la nouvelle console d’administration. Parmi ceux-ci, on retrouve la fonction d’import d’un ordinateur (Nom, Adresse Mac) permettant de créer l’enregistrement nécessaire pour provisionner une nouvelle machine dans un scénario de déploiement de système d’exploitation.
Si vous essayez d’obtenir cette même fonctionnalité au niveau du nœud User State Migration comme c’était le cas sous System Center Configuration Manager 2007 ; celle-ci n’est plus disponible.
Pour l’obtenir, cliquez sur le panneau Assets And Compliance. Sélectionnez le nœud Devices puis dans le ruban cliquez sur « Import Computer Information ». C’est le seul endroit permettant cette fonction.
L’équipe SCSM vient de publier un correctif concernant un problème survenant avec le connecteur Active Directory. En effet, celui-ci peut arrêter de synchroniser les nouvelles mises à jour lorsque vous changer de contrôleur de domaine ou lorsque vous restaurez un contrôleur de domaine à partir d’une sauvegarde.
Pour plus d’infomations, rendez-vous sur : KB2561415 - Active Directory Connector does not synchronize new updates after you switch domain controllers
