Configuring Discovery and Boundaries System Center Configuration Manager 2012

В заметке рассматриваем настройку методов обнаружения клиентов (пользователей/компьютеров) и настройку границ, в пределах которых будет работать ваша инфраструктура configuration manager 2012.

Всего в system center 2012 configuration manger есть несколько видов обнаружения:

  • Active Directory Forest Discovery
  • Active Directory System Discovery
  • Active Directory User Discovery
  • Active Directory Group Discovery
  • Heartbeat Discovery
  • Network Discovery

microsoft-00000

Active Directory Forest Discovery

В консоли Configuration Manager, выбираем AdministrationHierarchy Configuration — Discovery Methods.

Этот метод обнаружения можно настроить как на CAS сервера, так и на ваших Primary сайтах. Нужно понимать, что Active Directory Forest Discovery не обнаруживает ресурсы, которыми вы будете управлять, этот метод определяет сетевой расположение Active Directory и на основе этого может создавать границы. Как это вообще понимать? ) Основные моменты: обнаружение IP подсетей и Active Directory сайтов в вашем лесе AD, так же очень важный момент добавление ip подсетей и сайтов AD в границы обнаружения в configuration manager 2012.

Выбираем Properties в Active Directory Forest Discovery.

microsoft-00002

В открывшемся окне выбираем Enable Active Directory Forest Discovery, Automatically create active directory site boundaries when they are discovered и Automatically create IP address range boundaries for IP subnets when they are discovered.

Ко второй опции, Automatically create IP address range boundaries for IP subnets when they are discovered, относитесь внимательно. При сложной архитектуре вашей инфраструктуры, может получиться так, что часть ресурсов окажутся вне границ ваших сайтов configuration manager’a 2012.

microsoft-00004

Active Directory Group Discovery

Тут все понятно, обнаружение на уровне ваших групп в вашем лесе AD. Заходим в свойства.

microsoft-00005

Выбираем Add и Locations

microsoft-00006

Задаем имя, нажимаем Browse и выбираем контейнер в котором будем проводить обнаружение

microsoft-00009

На следующей вкладке, определяем с какой частотой проводить обнаружение

microsoft-00010

И последняя опция, ставим галки на ваше усмотрение: — определять компьютеры, которые входили в домен за прошедшие 90 дней (избавляемся от “трупов”); — обнаруживать только те компьютеры, которые обновляли свой пароль за период 90 дней (если определено вашей политикой); – обнаруживать участие в группах рассылки.

microsoft-00011

Active Directory System Discovery

Обнаружение компьютеров, для последующего создания коллекций. После обнаружения компьютеров, вы сможете установить на них клиентов. Собирает имя компьютера, ОС и ее версию, имя контейнера в AD, IP адрес, сайт AD, время последнего входа.

Выбираем свойства.

microsoft-00012

Ставим галку Enable Active Directory System Discovery и после нажимаем на желтую звездочку.

microsoft-00013

Нажимаем Browse и выбираем ваш контейнер с компьютерами. Если контейнеров несколько, то процедуру со звездочкой повторяем несколько раз.

microsoft-00014

Со второй вкладкой все понятно. Самое интересное в Active Directory Attributes, здесь вы можете задать дополнительные атрибуты. Атрибутов много, на любой вкус и цвет. На вопрос full discovery as soon as possible, отвечаем Да.

microsoft-00016

 

Active Directory User Discovery – процедуру аналогичная Active Directory Group Discovery. Заходим в свойства, выбираем контейнер с пользователями, настраиваем расписание.

Настройка границ и групп границ (Boundaries и Boundary Groups)

Каждая граница в sccm 2012 представляет собой сетевое расположение, которая доступна любому сайту в вашей иерархии. Сама по себе граница не управляет вашими клиентами, чтобы это произошло, каждая граница должна быть включена в группу границ. Ничего не понятно? Просто: граница в configuration manager’e  – это например, ваш сайт AD или подсеть ip-адресов или диапазон адресов. Таких границ может быть много. Например, главный офис – одна подсеть, второй офис – другая подсеть. Так вот, создание границ в sccm не даст вам возможность управлять клиентами, они должны быть включены в группы границ. Одна из причин, когда не могут понять, почему софт не может доехать до клиента.

microsoft-00017

Эта граница создана автоматически с помощью Active Directory Forest Discovery, менять ничего не нужно.

Создадим группу границ в Boundary Groups – Create Boundary Group, чтобы включить в нее нашу границу.

microsoft-00020

Дадим ей название и нажмем Add, выбираем нашу границу, а точнее наш сайт Active Directory.

microsoft-00021

На вкладке Reference, ставим Use this boundary group for site assignment, обязательно выбирает наш сайт SCCM 2012 и нажимаем Add.

microsoft-00022

Ассоциируем вашу группу границ с вашим сайтом sccm.

microsoft-00023

Ну вот и всё. Через какое то время в консоли SCCM 2012 на вкладке Assets and Compliance появятся ваши пользователи и компьютеры.

Примерно так:

microsoft-00024microsoft-00025

109 КОММЕНТАРИИ

  1. Скажите пожалуйста, такая вот ситуация:
    Есть SCCM2007, работает на весь домен, рядышком поставил CM12.
    Есть отдельная сеть, которую я бы хотел подсадить на новую версию.
    1) Я определяю границы с ренджем ип.
    2) Надо ли мне при этом включить какой-то метод обнаружения? Если да, то какой?

    • 1) границы в виде ip адресов не забывайте включить в группу границ
      2) да, надо, границой вы определили в каких рамках/пределах работает ваш новый sccm 2012, а какой метод обнаружения включать решите уже сами
      например, машины лежат в одном контейнере OU в вашем AD, включите обнаружение System Discovery на этот Organizational Unit
      я не в курсе вашей топологии
      и проверьте не входят ли эти клиенты в границы sccm 2007, чтобы не было проблем с агентами.

  2. Добрый день.
    На sccm 2012 настроил метод обнаружения по сети, так же настроил границы по ip. Но в базе устройств не появляется не одного пк. sccm и ПК находятся в одной подсети. Но есть одно но, sccm находится в домене, а пк в рабочей группе. Я установил на машины клиент ручками, но все равно клиенты сайта не видят. Подскажите пожалуйста какие логи на клиенте и на сервере нужно по смотреть что бы понять в чем проблема?
    спасибо

    • агента sccm 2012 можно установить разными способами, например самое просто это прямиком из консоли, так называемая Push Install, второй вариант через групповые политики, ну и естественно ручками.

    • это я понял. только если оставлять значения по умолчанию, то ни принудительно, ни ручками не ставится. в чём проблема — не пойму.
      (брандмауэр отключил для проверки — тоже самое)

    • видимо туплю что-то. но ни в каких интсрукциях по установке не написано как распространить клиент! как будто просто поставил всё и ура! помню, когда ставил 2007 всё тоже самое было. только теперь вспомнить вообще ничего не могу :(

  3. какие клиенты и версия ОС? Запустите push install и покажите лог ccm.log с вашего сайт сервера.
    Кроме этого на клиенте проверьте вот эти службы:
    COM+ Event System
    Remote Access Connection Manager
    Remote Procedure Call (RPC)
    Remote Registry
    Server
    Windows Management Instrumentation
    WMI Performance Adapter
    Workstation

    • Remote Access Connection Manager, Remote Registry, — стоит Вручну. остановлена
      всё остальное работает.

    • эти службы запускайте на клиенте.
      лог лежит на сервере sccm в папке %Program Files%\Microsoft Configuration Manager\Logs

    • лог-то огромный!
      вот нашёл ошибку с установкой на мой комп:

      «ERROR: Failed to connect to the \\comp\admin$ share using account ‘Machine Account’ $$»

  4. В консоли sccm — Administration — Sites, справа вверху Client Installation Settings — Client Push Installation, в открывшемся окне вкладка Accounts. И смотрите имеет ли учетная запись доступ к админской шаре?

    • сейчас кое-что перенастроил. получил лог без ошибок.

      «======>Begin Processing request: «2097152168», machine name: «IPRW113N» $$
      Execute query exec [sp_IsMPAvailable] N’INF’~ $$
      —> Trying the ‘best-shot’ account which worked for previous CCRs (index = 0x0)~ $$
      —> Attempting to connect to administrative share ‘\\IPRW113N\admin$’ using account ‘INFOPRO\a.grechischev’~ $$
      —> The ‘best-shot’ account has now succeeded 7 times and failed 0 times. $$
      —> Connected to administrative share on machine IPRW113N using account ‘INFOPRO\a.grechischev’~ $$
      —> Attempting to make IPC connection to share ~ $$
      —> Searching for SMSClientInstall.* under ‘\\IPRW113N\admin$\’~ $$
      —> System OS version string «6.1.7601» converted to 6,10 $$
      CWmi::Connect(): ConnectServer(Namespace) failed. — 0x8004100e~ $$
      —> Unable to connect to WMI (root\ccm) on remote machine «IPRW113N», error = 0x8004100e. $$
      ~’PushClientEvenIfDC’ flag is set. Skipping DC checks. $$
      —> Creating \ VerifyingCopying exsistance of destination directory \\IPRW113N\admin$\ccmsetup.~ $$
      —> Copying client files to \\IPRW113N\admin$\ccmsetup.~ $$
      —> Copying file «C:\Program Files\Microsoft Configuration Manager\bin\I386\MobileClient.tcf» to «MobileClient.tcf» $$
      —> Copying file «C:\Program Files\Microsoft Configuration Manager\bin\I386\ccmsetup.exe» to «ccmsetup.exe» $$
      —> Updated service «ccmsetup» on machine «IPRW113N». $$
      —> Deleting SMS Client Install Lock File ‘\\IPRW113N\admin$\SMSClientInstall.INF’~ $$
      Execute query exec [sp_CP_SetLastErrorCode] 2097152168, 0~ $$
      —> Completed request «2097152168», machine name «IPRW113N». $$
      Deleted request «2097152168», machine name «IPRW113N» $$
      Execute query exec [sp_CP_SetPushRequestMachineStatus] 2097152168, 4~ $$
      Execute query exec [sp_CP_SetLatest] 2097152168, N’10/26/2012 11:19:20’, 10~ $$
      <======End request: "2097152168", machine name: "IPRW113N". $$
      «

    • кажется, должен установиться нормально, нет? в консоли SCCM пишет, что не поставлен клиент у меня…

    • ошибко (записей с Error) вроде нет… как понять-то, что всё установилось?

  5. кажется, зря панику развёл. всё, поставилось. НО это на моём компе, да с отключенным брандмауэром. думаю, может там корень зла? подскажите, какие порты пооткрывать, пожалуйста!
    второе, я устанавливал клиенты со значением по умолчанию «SMSSITECODE=I**». он там нормально будет информацию собирать?

  6. при успешной установке клиента в логе будет примерно следующее:
    File C:\Windows\ccmsetup\{0BC18F8E-DB68-4B11-A37D-2B7C250461AB}\client.msi installation succeeded. ccmsetup 24.10.2012 07:40:13 2668 (0x0A6C)

    В event log в разделе application:
    Windows Installer installed the product. Product Name: Configuration Manager Client. Product Version: 5.00.7678.0000. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.

    Можно посмотреть в панели управление, появится раздел configuration manager, в консоли на сервере, в коллекциях устройств выбирайте вашего клиента в Push Information будет видно, есть ли ошибки.

    • да. всё, спасибо за помощь. ставится всё. теперь дальше уже разбираться буду сам :)

  7. добрый день, Антон.
    в прошлый раз поставилось всё на некоторые компьютеры. на другие компы сейчас не ставится. может ли это быть связано с тем, что на этих компах уже установлен клиент 2007 sccm?
    и ещё. когда я захожу в панель управления-configuration manager. на закладке «Сайт» я нахожу нормальный свой код сайта. но когда нажимаю «Найти сайт», то происходит ошибка «Приложению Configuration Manager не удалось найти сайт для управления этим клиентом.» А когда захожу на комп, где был уже установлен sccm 2007, вижу там код старого сайта. и поиск сайта проходит нормально… «Automatic site code discovery was successful.
    The discovered site is the same as the currently assigned site.»

  8. по миграции — это просто как рекомендация, если уже развернули 2012, то схема такая:
    1. Разворачиваете sccm 2012 с новым кодом сайта
    2. Удаляете границы в sccm 2007
    3. Создаете границы и группы границ в sccm 2012
    4. Разворачиваете клиентов через Push установку
    Фактически клиент sccm 2007 удаляется и на его место устанавливается 2012, который привязан к новому коду сайта.
    Вот кратко.

    • хм… вот кроме границ в 2007 всё так и делал. границы в 2007 не удалял ибо сервер выключен давно. в этом корень бед?

    • так. т.е. делаю пару шагов назад?
      удаляю границы в 2012, удаляю границы в 2007, добавляю границы в 2012?

    • Ну раз 2007 уже выключен, то пускай. А ваша группа границ ассоциируется с новым сайтом sccm 2012? http://masyan.ru/upload/2012/06/microsoft-00023.jpg
      в dns посмотрите есть ли srv запись _tcp — _mssms_mp_код_сайта с fqdn вашего сайта?
      и еще уточнить, на клиентах, где стоял агент 2007 установился ли новый агент?
      и вы не ответили на вопрос: а коды сайтов 2007 и 2012 разные?

    • так! нашли в чём проблема… не ассоциировались границы вообще ни с чем. надо посмотреть урок, по которому я ставил, такое ощущение, что там не было этого шага вообще. сейчас клиент сайт находит свой.
      в dns сто % была эта запись! похоже, после того, как удалил границы запись исчезла. может это быть? создать её заново? или как-то добиться появления автоматом?

    • на компы, где стоял 2007 клиент новый поставился! с новым сайтом.

    • писал комментарий и отвлекли, посмотрите по поводу ДНС в консоли — Administration — Site Configuration — Sites — справа вверху Configure Site Components — Management Point Components и галочка Publish selected intranet MP in DNS

    • что у меня сейчас:
      я сделал в групповых политиках политику, которая ставит клиент с параметрами «/mp:ipv*** SMSSITECODE=INF SMSMP=iprv****o.ru DNSSUFFIX=inf***.ru»
      клиент на компы встаёт, вроде бы, без особых проблем. встаёт как через политику, так и принудительно.
      НО! в консоли на сервере не отображается, что клиент поставлен хоть на одну машину. так вопрос, сколько ждать? и кто отвечает за инфу по этому поводу и где её изменить? чтоб чаще сообщало?

    • 1. Процесс скачивания файлов, доступы к шаре и т.д. в ccm.log — смотреть на сервере
      2. Процесс установки ccmsetup.log и client.msi.log — на клиенте
      3. Отчет об установке clientidstartupmanager.log, clientlocation.log и locationservices.log — на клиенте
      на клиенте посмотреть процесс ccmexec.exe.
      так а вы вообще методы обнаружения настроили? клиенте сами появляются в устройствах, просто висят как не управляемые и без агента. Эта статья прямо об этом и рассказывает. Смотрите мониторинг компонентов в консоли, все ли работает.

    • методы обнаружения настроены почти как у вас в статье. только в расписаниях я поставил не 1 неделю, а 1 день. пока так. потом, как всё заработает изменю.

    • смущает очень отсутствие в dns » srv запись _tcp — _mssms_mp_код_сайта с fqdn » … может ручками создам?

  9. так. всё наладил. переустановил всё к чертям! использовал информацию по установке с этого блога и с сайта http://www.techdays.ru/videos/4584.html
    установил один только сервер как показано на видео, настройки принудительной установки клиента взял от туда тоже. всё остальное взял отсюда!
    спасибо за помощь.

  10. и кстати, установил 2012 SCCM на 2012 SQL на 2012 винду. проблема была только в сортировке. если ставишь русский сиквел и русскую винду, в сиквеле будет не та сортировка. так что пришлось ставить всё английское. SCCM сам подставляет языки.

  11. Здравствуйте!

    Поставил sccm12 как в вашей инструкции, в пункте Discovery Methods только один пункт AD Forest Discovery, где другие — не найду никак. Что-то неверно установил?

  12. Добрый день.
    Переставил сейчас всё. Сервер работает, клиенты ставятся …
    но вот вопрос. на странице Мониторинг на закладке Репортс у меня пусто! т.е. ни одного отчёта… я понимаю, что я не настроил Репортинг Сервис. Но как его настроить? Что-то потерялся и заблудился в гуглах.

    • кажется допетрил! подскажите тогда, есть ли кнопка, чтоб заставить клиента сразу собрать информацию и прислать на сервер? ну кроме как менять политику.

  13. подскажите, пожалуйста.
    не собирается информация о ПО. т.е. в отчётах про ПО ничего нет.
    в Параметрах клиентов создал новый параметр рядом с Дефолтными, где для устройства назначил «Инвентаризацию ПО» и «Отслеживание использование ПО». И развернул этот параметр на коллекцию. Но вот что-то отчётов как не было, так и нет.
    подскажите, что и где забыл?

  14. Антон здравствуй!

    Спасибо за сайт, реально помогает)

    Такой вопрос, поставил sccm, все ок, девайсы нашел.

    Ставлю агент выдает вот такое:
    —> Warning: no remote client installation account
    —> Failed to connect to \\WSUS\admin$

    почему он подключиться не может не знаю, по этому пути все доступно
    + учетка в локальных админах и на wsus группа локальных добавлена

    грешу на AD, так как раньше в этой конторе, где пытаюсь развернуть, раньше был sccm и его снесли но контейнер System Management в AD остался, я его не удалял, а просто почистил перед установкой sccm, возможно здесь и кроется зло :))

    есть мысли?

    • Дмитрий, установку через client push install делаете из консоли?
      А учетную запись настроили для нее?

  15. Да установка через консоль.
    А учетку я использую ту из под которой sccm устанавливал, у нее все права на AD есть.
    В консоле на сайте все параметры для принудительной установки клиента я указал и учетку опять же указал.

    • если вы уверены, что аккаунты все настроены и этот аккаунт входит в локальные админы на целевой машине, тогда смотрите порты на фаерволле, при пуш инсталл используются dynamic rpc, для разных версий ОС, там разный диапазон портов.

  16. Фаервол проверил, все ок, ради интереса вырубил его вообще, выдает тоже самое(

    ======>Begin Processing request: «2097152090», machine name: «WSUS» $$
    Execute query exec [sp_IsMPAvailable] N’CMA’~ $$
    —> Trying each entry in the SMS Client Remote Installation account list~ $$
    —> Warning: no remote client installation account found $$
    —> Attempting to connect to administrative share ‘\\WSUS\admin$’ using machine account.~ $$
    —> Failed to connect to \\WSUS\admin$ using machine account (5) $$
    —> ERROR: Failed to connect to the \\WSUS\admin$ share using account ‘Machine Account’ $$
    —> Trying each entry in the SMS Client Remote Installation account list~ $$
    —> Warning: no remote client installation account found $$
    —> Attempting to connect to administrative share ‘\\WSUS.domain.local\admin$’ using machine account.~ $$
    —> Failed to connect to \\WSUS.domain.local\admin$ using machine account (5) $$
    —> ERROR: Failed to connect to the \\WSUS.domain.local\admin$ share using account ‘Machine Account’ $$
    —> Trying each entry in the SMS Client Remote Installation account list~ $$
    —> Warning: no remote client installation account found $$
    —> Attempting to connect to administrative share ‘\\WSUS\admin$’ using machine account.~ $$
    —> Failed to connect to \\WSUS\admin$ using machine account (5) $$
    —> ERROR: Failed to connect to the \\WSUS\admin$ share using account ‘Machine Account’ $$
    —> ERROR: Unable to access target machine for request: «2097152090», machine name: «WSUS», access denied or invalid network path. $$
    Execute query exec [sp_CP_SetLastErrorCode] 2097152090, 5~ $$
    Stored request «2097152090», machine name «WSUS», in queue «Retry». $$
    Execute query exec [sp_CP_SetPushRequestMachineStatus] 2097152090, 2~ $$
    Execute query exec [sp_CP_SetLatest] 2097152090, N’07/25/2014 08:50:29′, 9~ $$
    <======End request: "2097152090", machine name: "WSUS". $$
    Submitted request successfully $$
    Getting a new request from queue «Incoming» after 100 millisecond delay. $$
    Waiting for change in directory «C:\Program Files\Microsoft Configuration Manager\inboxes\ccr.box» for queue «Incoming», (30 minute backup timeout). $$
    Execute query exec [sp_CP_GetPushRequestMachine] 2097152001~ $$

  17. Антон здравствуйте!

    Подскажите пожалуйста, sccm 2012 установлен и клиенты на машины встали, но инвентаризация устройств и ПО не происходит, т.е. обозреватель ресурсов пуст. Где копать?) и Какие логи смотреть?

  18. Я во всем разобрался)) инвентаризация проходит, просто нужно было время

    Теперь у меня другая проблема — развернул приложение «Adobe Reader», указал путь до папки где ридер лежит и сам msi файл указал, но на клиенте когда пытаюсь установить пишет моментально ошибку. Какие логи смотреть? Потому что по ошибке не понятно, почему не проходит установка.

    • это все не то. AppEnforce нет, т.к. клиент никакую команду не выполняет. А что за номер ошибки выдает? В «Центре программного обеспечения» можно посмотреть.
      выкладывайте отдельными файлами эти логи:
      ClientLocation.log
      CCMExec.log
      LocationServices.log
      PolicyAgent.log

    • По логам все ок, клиент подключается к точке управления, видит точку распространения, забирает политики для агента. При этом software center выдает 0×80070005, что означает, что доступ запрещен. Что с фаерволом на клиентской машине и сайте sccm?

  19. На клиентской машине открыты порты на входящие подключения:
    445, 443, 80

    А на sccm ничего подобного не открыто, поэтому не ставится?

  20. Не получается с портами, все равно не инсталится.

    При чем я тут решил еще на клиенте поставить консоль sccm, перед этим добавил учетку с частичными правами доступа на sccm и не подключается( что-то с правами походу:

    Консоли Configuration Manager не удалось подключиться к базе данных сайта Configuration Manager. Проверьте следующее:

    • наличие сетевого подключения этого компьютера к компьютеру поставщика SMS;
    • наличие для учетной записи пользователя разрешения на удаленную активацию на сервере сайта Configuration Manager и на компьютере поставщика SMS;
    • поддерживает ли сервер сайта версию консоли Configuration Manager;
    • назначена ли вам хотя бы одна роль безопасности администрирования на основе ролей;
    • наличие следующих разрешений WMI для пространств имен Root\SMS и Root\SMS\site_: «Выполнение методов», «Запись поставщика», «Включение учетной записи» и «Включение удаленного доступа».

    • Хотя сейчас протестировал WMI, все нормально конектится

    • Обнаружил в логах системы что клиент ругается на не совпадение версий)
      получилось у меня после переустановки консоли подключиться к сайту)

  21. Антон короче у меня получилось)

    я правда не знаю совсем ли это плохо или так и нужно:

    в точке распространения на вкладке «Общие» просто поставил галочку «Анонимное подключение»
    и смог ворд на клиенте развернуть :)

  22. Разворачиваю msi с ключиком /quiet, уже сутки на трех клиентах мониторинг пишет что выполняется и «Ожидание состояния
    пользователя».

    Подскажите, какие именно логи смотреть?
    Например файла AppEnforce.log у клиента в c:\windows\ccm\logs нет.

    И как это сделать с консоли SCCM?

    • установка принудительная? На вкладке User Experience не стоит галки «Allow users to view and interact with the program installation»? Или стоит, что устанавливать, когда пользователь залогонен или нет, на той же вкладке «Logon requirement».

  23. Я положил рядом бат-файл и файл vcredist_x86.exe.
    В бате одна строка «vcredist_x86.exe /quiet»
    Почему SCCM не может выполнить запуск из бат-файла?
    В ссmcashe клиента оба файла есть.

  24. Антон, привет!
    При попытке запустить удаленную установку — ccmsetup в процессах на удаленной машине появляется, однако ничего далее не происходит. В логе ccmsetup.log на есть такая ошибка: Failed to get DP locations as the expected version from MP ‘SCCM-001.net.example.ru’. Error 0x87d00215 ccmsetup 21.01.2015 18:35:45 2072 (0x0818)

    В логе ccm.log присутствуют следующие ошибки:
    —> WNetAddConnection2 failed (LOGON32_LOGON_NEW_CREDENTIALS) using account net\star (00000035) SMS_CLIENT_CONFIG_MANAGER 21.01.2015 18:35:29 3552 (0x0DE0)
    —> The ‘best-shot’ account has now succeeded 6 times and failed 3 times. SMS_CLIENT_CONFIG_MANAGER 21.01.2015 18:35:29 3552 (0x0DE0)
    —> Unable to connect to WMI (root\ccm) on remote machine «VE2-PC061», error = 0x8004100e. SMS_CLIENT_CONFIG_MANAGER 21.01.2015 18:35:30 3552 (0x0DE0)
    Execute query exec [sp_CP_SetLastErrorCode] 2097152060, 0 SMS_CLIENT_CONFIG_MANAGER 21.01.2015 18:35:45 3552 (0x0DE0)

    p.s. Права выданы, сетевой доступ есть

    • основные причины: фаерволл между сайтом и клиентом, если вы «пушите» агента надо, чтобы dynamic rpc порты были открыты.
      проверить службу Windows Management Instrumentation
      проверить работу WMI

  25. Антон, приветствую!
    Столкнулся с проблемой: в Консоли — Мониторинг — Отчеты — пусто. В тоже время на сервере, в консоли из под того же пользователя — отчеты есть. Куда копать? Облазил гуглы — не нашел.

  26. в логе присутствуют ошибки:

    [5, PID:7584][01/26/2015 13:19:01] :[ReportProxy] — The error ‘Поставщик SMS сообщил об ошибке.’ occurred while searching for installed Reporting Services Points.

    [5, PID:7584][01/26/2015 13:19:01] :System.Management.ManagementException\r\nInvalid class \r\n at System.Management.ManagementException.ThrowWithExtendedInfo(ManagementStatus errorCode)

    • лучше посмотреть весь лог, т.к. по этим двум строчкам явно что-то не то, а что там дальше не понятно, может проблема с сертификатом от SRS.
      можно в почту anton[at]masyan.ru

    • попробуйте вот это:
      So I logged into the SQL server, exported the self signed certificate with a friendly name of «ConfigMgr SQL Server Identification Certificate», then imported it on my workstation under the Trusted Root Certification Authorities. After doing that, the reports show up no problem.

  27. Антон, добрый день!
    Столкнулся с неожиданной проблемой:
    Есть несколько коллекций с компьютерами, только одна из них добавлена в группу границ (под каждую машину настроена отдельная граница).
    Была инициализирована установка приложения на коллекцию, которая есть в группе границ- всё установилось корректно.
    Но так же ошибочно установка приложения была назначена на коллекцию, для компьютеров которой нет ни границ, ни группы границ.
    Итог: приложение установилось на обе коллекции без каких-либо ошибок.
    Возникает следующий вопрос- если сайт-сервер может управлять только машинами, которые находятся в группе границ, как тогда установилось приложение на вторую, незапланированную коллекцию?
    В методах обнаружения включены Active Directory System Discovery, Active Directory User Discovery и Hearbeat Discovesy. Границы для компьютеров указаны через IP adress range, значение указаны точно и проверялись не один раз.
    ЧЯДНТ?

    • здесь несколько вариантов, прежде всего это misconfiguration, то есть вы настроили что-то не так. ;)
      далее, контент уже был на клиентах в кэше и они не ходили и не забирали с точки распространения.
      далее, у вас настроен fallback для клиентов, вот прочитайте внимательно

      и в deployment types может быть вот так

      тогда то, что сделали клиенты — логично.

  28. В deployment types клиентам не разрешено ходить на fallback-сайт, но в настройках сайта указано, что он имеется. В кэше клиентов контента точно не было.
    Выходит, что если даже в deployment types не указано, что можно использовать fallback, но он настроен- сайт игнорирует отсутствие клиентов в группах границ?

    • Должно работать так, создайте нового клиента, поместите его в сеть, которая никак не описана в границах и не привязана в группах границ, затем поместите в коллекцию на развертывание, клиент получит оповещение, но при установке клиент не будет забирать контент, т.к. не будет знать, а где же его брать. Это работает так, если ничего лишнего не накручено.
      Как бы другого не дано — https://technet.microsoft.com/en-us/library/gg712679.aspx Я еще раз перечитал доку, но мыслей пока нет, почему у вас клиенты развернули по, хотя не входят ни в одну границу.
      зыж еще посмотрите в свойствах токи распространения на вкладке boundary groups — галка Allow fallback source location for content

  29. Антон, в свойствах точки распространения, на вкладке boundary groups — галка Allow fallback source location for content действительно была.
    Очень надеюсь, что дело было именно в ней. Я буду наблюдать за таким поведением сайта и клиентов и если что- напишу здесь.
    Спасибо за помощь! Удачного дня.

  30. Антон, добрый день!
    Подскажите как опубликовать сайт SCCM в AD, если в наличии только Single label domain. В разделе AD Forests лес присутствует, но в его свойствах галку Publish поставить не могу — Enter a valid domain suffix

    • https://technet.microsoft.com/en-us/library/gg682077.aspx?f=255&MSPPError=-2147217396#BKMK_SupConfigSLD
      Single Label Domains
      Except for out of band management, Configuration Manager supports site systems and clients in a single label domain when the following criteria are met:
      — The single label domain in Active Directory Domain Services must be configured with a disjoint DNS namespace that has a valid top level domain.
      For example: The single label domain of Contoso is configured to have a disjoint namespace in DNS of contoso.com. Therefore, when you specify the DNS suffix in Configuration Manager for a computer in the Contoso domain, you specify Contoso.com and not Contoso.
      — DCOM connections between site servers in the system context must be successful by using Kerberos authentication.

  31. Антон, добрый день.

    Спасибо за статью. Но у меня есть простой вопрос (уверен, что это так :-) на который я не могу найти ответ).
    У меня в данный момент границы настроены таким образом, что группа включает в себя два ip-диапазона для МСК и СПБ. Внутри городов сайты, с соответствующим разделением на подсети.

    Сейчас, все работает, но контент прилетает с основного сервера, который обслуживает эту группу. На этом сервере собраны все роли, включая Distribution point. Но у меня встала задача распространять контент на некоторых сайтах, используя Distribution point внутри подсети сайта.

    Правильно ли я понимаю, что мне нужно создать границы для этих сайтов и сделать по группе не каждую границу?
    И будет ли это как-то пересекаться с границами по городам, ведь они имеют более широкий диапазон сетей, включающий все сайты? Другими словами, как клиент узнает к какой границе он принадлежит, если он будет находиться внутри обеих границ (город и сайт)?

    • Главное, что границы не должны пересекаться.
      Если честно, я не совсем до конца понял вопрос, но смысл такой:
      — вы создаете границы по подсетям: 192.168.1.0/24 — это подсети клиентов в МСК, 192.168.2.0/24 — это клиенты СПБ (или по сайтам АД, или по IP диапазону, тут как удобней)
      — в МСК у вас первичный сайт с точкой распространения, в СПБ у вас только одна точка распространения
      — создаете группу границ с границой подсети МСК и назначаете, что клиенты забирают контент с точки распрострения, которая у вас на первичном сайте, а для СПБ создаете еще одну группу границ, в которой указываете подсеть питерских клиентов и точку распространения из Питера. Это все в свойствах группы границ, вкладка references.

  32. Спасибо.
    Поясню суть вопроса. Топология сети гораздо шире. Границы настроены также:
    10.X.0.0/16 — для МСК
    10.Y.0.0/16 — для СПБ
    Эти границы объединены в группу.

    Внутри городов есть сайты с маской 21.
    Как разнести по городам понятно. Мне нужно постепенно делать отдельные точки распространения для крупных сайтов.
    Я думал оставить существующую группу (в качестве группы по умолчанию), чтобы не создавать для каждого сайта свою границу. Далее делать отдельно группу, включающую одну границу, на каждый сайт, где требуется точка распространения.

    Соотв. возник вопрос как эти группы уживутся друг с другом, если одна будет, по сути, включать другую? В некоторых продуктах это возможно путем задания приоритетов.

    Правильно ли я понял из Вашего ответа, что нужно для каждого сайта с маской 21 сделать свои границы. Далее объединить в группу границы, которые будут забирать контент с первичного сайта. И потом уже выносить в отдельные группы те сайты, которым нужна точка распространения?

    Ну и не забывать добавлять новые сети, если они появятся :-)

    • Так не выйдет, придеться пересоздавать границы и назначать им DP. Просто с вашей идей, контроля над тем, откуда будет клиент забирать контент, нет.
      Почитайте этот документ, там общие принципы описаны — https://technet.microsoft.com/en-us/library/gg712321.aspx
      Если у вас в AD с подсетями все ведется нормально, то можно привязаться к ним, но если там бардак, то создавайте в ручную, ну или через пош.
      То, что их может быть много, это нормально, у меня на проектах были и по 500 границ внутри 60+ групп.

  33. Антон, спасибо.
    В AD с подсетями все в порядке, но наш домен не совсем в корне леса, а SCCM развернут только в российском сегменте. Не очень хочется отдавать на откуп зарубежным коллегам (прав не хватает), видимо будем ручками.

    Кстати, вопрос не совсем по теме… Можно ли задавать конфигурации иерархии в кач-ве леса не корень леса, а поддомен? Сейчас указан корень, но идет ругань на нехватку прав для публикации в домене по понятным причинам. Ничего не поломается? ))

    • в любом случае он выбирает ваш лес, но попробуйте указать имя домена в hierarchy configuration — Active Directory Forests — свойство вашего леса, вкладка Publishing. Если честно, я с таким не сталкивался, но например если говорить про вторичные сайты, то sccm публикует данные в system management в том домене, в котором он развернут, то есть у вас есть лес contoso.com и два домена mainoffice и branch. В mainoffice у вас первичный сайт, в branch вторичный, так вот данные по коду сайта и расположению точки управления с токами распространения будут находиться каждая в своем домене в контейнерах system management. Вы можете проверить, что хранится в вашем system management в вашем домене.
      С другой стороны, если даже у вас записей нет, ничего страшного, просто я бы рекомендовал для пуш_инстала дополнительно указать параметры кода сайта и точки управления. И в дальнейшем придерживаться этих правил в установке агента через gpo или в рамках OSD. Так как вы точно будете знать, что клиент найдет свою точку управления.

  34. Здравствуйте! На нескольких машинах при установке клиента одна и та же ошибка: Failed to get client version for sending state messages. Error 0x8004100e ccmsetup 07.04.2016 15:51:36 732 (0x02DC)
    В чем проблема? Спасибо.

  35. в пункте Ассоциируем вашу группу границ с вашим сайтом sccm.
    если sccm и wsus установлены на одном ПК, а sql на другом, то оба нужно добавлять? или только сам сайт?

  36. Добрый день!
    Подскажите, SCCM 2012 не видит обновления для Office 365, сам продукт выбран, WSUS обновления видит, а вот ccm его не подтягивает

Добавить комментарий