.:: dotnetwork.com.br ::.

Instalando o SCCM 2007
Durante a instalação, será necessária conexão com a internet para fazer o download dos componentes necessários. Caso o computador em que esteja sendo instalando o SCCM não possua acesso a internet, poderá ser feito o download em outro computador e depois copiar os arquivos para uma pasta na rede ou para uma pasta local.
Para fazer o download utilize a seguinte linha de comando: setup /download <DIRETÓRIO>

Para instalar o SCCM, siga os passos abaixo:
1. Coloque o DVD no drive e quando aparecer a tela de splash, clique em Configuration Manager 2007 abaixo do texto Install.

2. Clique em Next.

3. Clique Install a Configuration Manager site Server e depois Next.

4. Clique I accept these license terms, e depois clique em Next.

5. Caso não esteja selecionado, selecione Custom settings, e depois clique em Next.

6. Se o Primary site não estiver selecionado, selecione e depois clique em Next.

7. Em Customer Experience, selecione a opção que se desejar. (Como estou em um ambiente virtual, deixei a opção padrão), depois clique em Next.

8. Digite o número serial do produto e depois clique em Next.

9. Se preferir selecione outro diretório ou aceite o default. Clique em Next.

10. Em Site Code, digite o código do site. (Podem ser utilizados 3 caracteres alfanuméricos) e em Site Name, digite o nome do site e depois clique em Next.

11. Clique Configuration Manager Mixed Mode e depois clique em Next.

12. Clique Next para aceitar as configurações default dos agentes habilitados. Pode-se habilitar e/ou desabilitar esses agentes depois, mas, deve-se habilitar a opção Network Access Protection somente após existir uma máquina com Windows Server 2008 habilitada como NAP.

13. Na próxima janela, digite o nome do servidor SQL Server e clique em Next.

14. Clique Next para usar o SCCM site server como SMS Provider.
**Se necessário pode-se utilizar outro servidor para ser o SMS Provider.

15. Clique Next para instalar o management point no SCCM site server.

16. Clique Next para usar a porta HTTP 80 (note que a opção HTTPS não está habilitada, pois selecionamos o tipo de instalação como mixed mode).

17. Clique The latest updates have already been downloaded to em alternate path e depois clique em Next.

18. Clique Browse.

19. Selecione o diretório onde foi feito o download dos pré-requisitos, clique em OK e depois em Next.

20. Clique Next na tela de Sumário.

21. Note que depois da tela de Sumário, o setup faz automaticamente uma checagem dos pré-requisitos e, caso seja encontrado algum erro, a instalação não poderá seguir. (No meu caso, existe um aviso de que o WSUS SDK não foi encontrado. Neste momento eu não preciso do WSUS SDK). Clique Begin Install.

22. A instalação começa.

23. Clique Next ao terminar a instalação.

24. Clique em view log e faça uma análise para saber se existiu algum problema com a instalação

25. Clique Finish.

Decidindo se o schema do AD deve ser estendido
Ao se estender o schema do AD para o SCCM 2007 permite-se que os clientes busquem diversas informações relacionadas ao SCCM de uma fonte segura. Em alguns casos, existem truques que podem ser utilizados se o schema não for estendido. Nesses casos, existe um trabalho extra que deve ser executado e, com isso, existira uma brecha na segurança.
Para mais informações sobre a extensão do schema, consulte a ajuda online do produto em: http://technet.microsoft.com/en-us/library/bb694066(TechNet.10).aspx
Preparando o Active Directory para integração com o SCCM 2007
Antes de começar a implementação de um SCCM 2007, é necessário estender o Active Directory. Esse não é um passo essencial, mas ajudará muito a administrar o SCCM 2007.

Antes de estender o schema do AD, tenha em mente:
1. Toda floresta possui apenas um schema.
2. Não existe nada como o AUTHORITATIVE RESTORE para schema.

Caso ocorra algum problema na extensão do schema e ele já tenha sido replicado para todos os DCs, existem duas opções:
1. Entre em contato com um consultor Microsoft PSS para lhe ajudar a limpar a “sujeira” no schema.
2. Restore um backup do AD em todos os DCs da floresta. Todos os DCs devem ser desconectados da rede durante a restauração

Para fazer a extensão, siga os passos:
1. Descubra qual o servidor que possui o papel de schema master.
a. Digite regsvr32 schmmgmt.dll no prompt de comando.�

b. Entre no MMC e adicione o snap-in Active Directory Schema.
c. Clique com o botão direito em Active Directory Schema e selecione Operations Masters.
d. Anote em algum lugar quem é o Schema master.

e. Feche o console MMC.
f. Digite regsvr32 schmmgmt.dll /u voltando no prompt de commando.

g. Faça backup do Schema Master.
h. Desconecte o schema master da rede. (retire o cabo de rede!)
i. No servidor schema master, Insira o CD do SCCM 2007.
j. Abra um prompt de comando, mude para o drive de CD e depois para \SMSSETUP\BIN\i386 (x64 ou IA64, isso vai depender do seu sistema operacional).
k. Digite extadsch.exe e pressione enter.

l. Uma vez concluído, revise o arquivo de log criado em %SystemDrive%\ExtAdSch.log. Note que foram criados 14 novos atributos e 4 novas classes.

2. Dê direitos ao site Server no AD
1. Clique Start, clique Run, digite adsiedit.msc para abrir o console ADSIEdit.
2. Se necessário, conecte no domínio.
3. No console, expanda o domínio, expanda DC=<…..>.
4. Clique com o botão direito em CN=System e selecione New e depois clique em Object.

5. Na janela de Create Object, selecione Container e depois clique next
6. No campo Value, digite System Management e clique em Next e depois em Finish.

7. Clique com o botão direito em CN=System Management e depois em Properties.
8. Na janela CN=System Management Properties, clique em Security.
9. Clique em Advanced, clique em Add.
10. Clique em object types e selecione Computers e clique em OK

11. Digite o nome do servidor SCCM e clique em Check Names e depois em OK.
**As boas práticas recomendam a criação e utilização de grupos. Crie um, coloque o servidor SCCM como sendo membro desse grupo e atribua os direitos a esse grupo ao invés de atribuir o direito direto ao computador.
12. Na próxima janela, clique em Full control e em Apply onto selecione This object and all child objects.

13. Clique OK 3 vezes.

Configurando o SQL Server 2005
Caso o SQL Server que será utilizado estiver em um computador diferente ou ele esteja em um cluster, deverão ser executados os seguintes passos:
• Configurar o SPN
• Configurar permissões

Configurando o SPN para o SQL Server 2005
Para configurar o SPN, será necessário o executável setspn.exe que faz parte do support tools do Windows 2003 e que pode ser obtido por download através do site: http://go.microsoft.com/fwlink/?LinkId=100114.

Para configurar o spn, siga os seguintes passos:
1. Abra um prompt de comando.
2. Digite setspn.exe –l <Domain\Account> para verificar se já não foi criado. Em caso de não existir nenhum registro, deverão ser criadas as entradas necessárias.

Para criar os spn necessários, siga os seguintes passos:
1. Abra um prompt de comando.
2. Digite setspn.exe –a MSSQLSvc/<SQL Server FQDN>:1433 <Domain\Account>
3. Digite setspn.exe –a MSSQLSvc/<SQL Server Netbios Name>:1433 <Domain\Account>
4. Digite setspn.exe –l <Domain\Account> para confirmar se os registros foram criados.

Configurar permissões
Para fazer a instalação do SCCM, a máquina onde o SCCM está instalado e o usuário devem ser membros do grupo local administrators do computador onde está instalado o SQL Server

Para fazer essa alteração, faça o seguinte:
1. Abra o Computer Management.
2. Navegue até Local users and computers e depois selecione groups.
3. Selecione o grupo Administrators e depois clique em propriedades
4. Na guia general clique em add e adicione o computador e o usuário.
*No meu caso estou instalando o SCCM 2007 como Domain Admin e o computador onde estou instalando o SCCM está no grupo SCCM Servers

Hardware para um Site Server

Caso o Drive onde será instalado o SCCM não possuir o mínimo de espaço em disco requerido, a seguinte mensagem de erro aparecerá:

Site Server/Site System
• Deverá Fazer parte de um domínio AD
• Utilizar Internet Information Services (IIS) 6.0 ou superior para os servidores que irão possuir o papel de site system:
• Distribution point (Caso o distribution point seja bits-enabled)
    o Background Intelligent Transfer Service (BITS)
    o WebDAV
    o **IIS não é requerido se o distribution point não for BITS-enabled.
• Management point
    o Background Intelligent Transfer Service (BITS)
    o WebDAV
• Reporting point
    o Caso se esteja usando Windows 2008, deve habilitar também Windows Authentication
    o O Microsoft Internet Explorer 5.01 SP2 ou superior deve estar instalado no cliente para que o mesmo possa visualizar os relatórios
    o Caso se use gráfico, o Office Web Componentes deve ser instalado. O Office Web Componentes não é suportado em sistemas 64 bits http://www.microsoft.com/downloads/details.aspx?FamilyID=7287252c-402e-4f72-97ª5-e0fd290d4b76&DisplayLang=em
• Software Update Point
    o WSUS 3.0 ou superior
    **Caso seja utilizado outro servidor para o WSUS, o WSUS console deve ser instalado no servidor que ira executar o papel de Software Update Point
• Server locator point.
• Todos os distribution point BITS-enabled requerem BITS 2.0 ou superior.
• NLB é suportado para Management points e server locator points.
• Internet Explorer 5.0 ou superior é necessário para visualizar os relatórios.
• Observe que o Windows Server 2008 é o único sistema operacional suportado para hospedar o papel de System Health Validator point.

Requisitos para um Site Primário
• Microsoft Management Console (MMC) 3.0
http://go.microsoft.com/fwlink/?LinkID=55423.
• .NET Framework 2.0
http://go.microsoft.com/fwlink/?LinkID=56407.
• MS06-030: Vulnerability in Server Message Block could allow elevation of privilege
(http://go.microsoft.com/fwlink/?LinkId=79239).

Requisitos para um Site Secundário
• “A custom program that uses the RegConnectRegistry function can no longer Access the registry of a remote computer in Windows Server 2003 with Service Pack 1 or in em x64-based version of Windows Server 2003”
http://go.microsoft.com/fwlink/?LinkID=60872
• MS06-030: Vulnerability in Server Message Block could allow elevation of privilege
(http://go.microsoft.com/fwlink/?LinkId=79239).

Site database Server
Os sites primários requerem acesso ao Site Database Server, que é um Banco de Dados SQL Server, diferente do SMS 2003, pode ser clusterizado.
• SQL Server 2005, Service Pack 2 é a única versão suportada pelo Configuration Manager 2007.
• SQL Server 2005 Express não é suportado.
• O SQL database service é o único componente requerido.
• Caso o SQL Server esteja em um computador diferente daquele que executa o Site Server (ou em ambiente clusterizado), deve-se verificar o SPN.
• Use o setspn.exe (que é parte do suptools.msi). Importante, faça a publicação tanto do FQDN quanto do NetBios
http://technet.microsoft.com/em-us/library/bb735885.aspx
• Adicione o computador SCCM 2007 Site Server no grupo Local Administrators do SQL Server (ou dos SQL servers caso seja um ambiente clusterizado). Isso é necessário para permitir que o Site Server instale e configure as settings depois.
• Adicione o usuário que esta instalando o SCCM 2007 no grupo Local Administrators do SQL Server (ou dos SQL servers caso seja um ambiente clusterizado).
Console
• Microsoft Management Console (MMC) 3.0
http://go.microsoft.com/fwlink/?LinkID=55423.
• .NET Framework 2.0
http://go.microsoft.com/fwlink/?LinkID=56407.

SMS Provider
O SCCM 2007 permite que se instale o SMS Provider em outro computador que não o site server ou site database server. Deve-se ter certeza de que o computador que irá ser o SMS Provider possui os seguintes requisitos:
• Tem que ser instalado num computador que esteja no mesmo domínio que o site server e o site database Server
• O sistema operacional deve ser do mesmo idioma que o site server
• Não pode ser instalado num computador com o papel de SMS Provider para outro site
• SMS Provider não pode ser instalado em um cluster virtual de SQL Server ou em um computador num nó de um cluster virtual SQL Server.
• SMS06-030: Vulnerability in Server Message Block could allow elevation of privilege
http://go.microsoft.com/fwlink/?LinkId=79239
• Availability of Windows Server 2003 Post-Service Pack 1 COM+ 1.5 Hotfix Rollup Package 6
http://go.microsoft.com/fwlink/?LinkId=79240
PXE service point
• User State Migration Tool (USMT)
http://go.microsoft.com/fwlink/?LinkId=88300
• Windows PE
http://go.microsoft.com/fwlink/?LinkId=88303
• Windows Automated Installation Kit (WAIK)
Cliente do Desired Configuration Manager
• Devem estar executando o cliente SCCM. Clientes SMS 2003 não são suportados.
• .Net framework 2.0
Versão x86: http://www.microsoft.com/downloads/details.aspx?FamilyID=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5&displaylang=em
Versão x64: http://www.microsoft.com/downloads/details.aspx?FamilyID=B44A0000-ACF8-4FA1-AFFB-40E78D788B00&displaylang=em
• O Agente DCM deve estar habilitado.

Descobrindo Recursos
Computadores “clientes” são os recursos mais significantes no dia-a-dia de um administrador SCCM. Antes de gerenciar os clientes, é necessário adicioná-los ao SCCM, isto é, descobri-los. Estes recursos podem ser usuários do AD, grupos do AD, outros site systems, routers, hubs, switches, impressoras, ou qualquer outro equipamento que use endereço IP.
Quando o SCCM descobre um recurso, um registro (chamado de Discovery data Record ou DDR) é criado no banco de dados, e um arquivo com a extensão DDR é gerado. As informações contidas no arquivo DDR dependem do método utilizado para descobrir o recurso. Para isso, existem 6 métodos que são:
• Network Discovery
• Heartbeat Discobery
• Active Directory System Discovery
• Active Directory User Discovery
• Active Directory System Group Discovery
• Active Directory Security Group Discovery

Arquivos DDR
Os arquivos DDR gerados são armazenados temporariamente no diretório <DIRETÓRIO DE INSTALAÇÃO>\inboxex\auth\ddm.box e possuem aproximadamente 1KB. Arquivos corrompidos podem ser gerados por problemas de rede ou por problemas no DDM (Discover Data Manager) e são armazenados no diretório <DIRETÓRIO DE INSTALAÇÃO>\inboxex\auth\ddm.box\BAD_DDRS. Neste diretório, arquivos com mais de 25 horas são automaticamente excluídos. Devem ser examinadas as mensagens de status do componente Discover Data Manager (SMS_DISCOVER_DATA_MANAGER) e o arquivo <DIRETÓRIO DE INSTALAÇÃO>\logs\ddm.log para se obter mais informações sobre possíveis erros.

Network Discovery
Com o Network Discovery um administrador SCCM pode descobrir qualquer recurso que utilize endereço IP, tais como computadores, impressoras de redes, routers, etc. Por padrão, somente a subnet e o domínio do site system são procurados, porém, pode-se utilizar DHCP, SNMP ou outros mecanismos para localizar esses recursos em toda a rede.
Alguns dos atributos de um registro DDR usando Network Discovery:
• Nome NetBIOS
• IP Address
• Dominio
• Nome da comunidade SNMP
• MAP Address

Dependendo do tamanho da rede, o mais aconselhável é fazer a 1ª descoberta apenas da rede local e futuramente de outras redes. Note que existe um aumento do tráfego de rede gerado por esse tipo de descoberta. Deve-se decidir qual será o melhor horário para que isso ocorra.
Existem 3 tipos de descobertas que podem ser utilizadas com o Network Discovery e são:
• Topology
• Topology and client
• Topology, client and client operating system

Selecionando-se Tolopogy fará com que o Network Discovery descubra recursos como subnets e routers usando SNMP. A opção Topology and client descobre computadores e outros recursos como impressoras e gateways usando SNMP, DHCP e o browser do Windows. Usando a opção Topology, client and client operating system também se descobrirá o nome e a versão do sistema operacional usando SNMP, DHCP, browser do Windows e Windows Networking calls.

Heartbeat Discovery
É utilizado para manter o DDR atualizado. É interessante, pois garante que o recurso não vai, de forma acidental, ficar desatualizado no banco de dados. O heartbeat Discovery é instalado automaticamente no cliente para manter as informações do DDR atualizadas ao invés de criar um novo DDR.
Por padrão, é executado uma vez por semana e pode ser configurado. O cliente, por sua vez, possui um ciclo de atualização de 25 horas dessas informações.

Active Directory Discovery
Existem quatro tipos de Active Directory Discovery e são eles:
• Active Directory System Discovery
• Active Directory User Discovery
• Active Directory System Group Discovery
• Active Directory Security Group Discovery

Todos esses métodos utilizam o DC mais próximo para a coleta das informações.

Active Directory User Discovery
Descobre as seguintes informações:
• Nome do usuário
• Nome único do usuário (inclui o domínio)
• Domínio (AD)
• Contaniner

Active Directory System Discovery
Descobre as seguintes informações:
• Nome do computador
• Container do AD
• Site do AD
• Endereço IP
• Endereço MAC
• Site do SMS
• Identificador Único do SMS (GUID)

Active Directory System Group Discovery
Descobre as seguintes informações:
• Unidade Organizacional
• Grupos globais
• Grupos encadeados
• Grupos que não são de segurança

Active Directory Security Group Discovery
Descobre as seguintes informações:
• Nome do grupo
• Domínio (AD)
• Contaniner