Thursday, August 27, 2009

Raamatud

Hei,

Siin siis on kirjandus mida ma lugenud olen. Proovin ka teha viimati loetud raamatutest kokkuvõtteid.

• Crhis Mosby, Ron Crumbaker, Christopher W.Urban. 2009. MASTERING: Microsoft System Center Configuration Manager. Sybex, 624 lk.
• Mitch Tulloch, Tony Northrup and Jerry Honeycutt with the Microsoft Windows Vista Team. 2008. Windows Vista Resource Kit. Microsoft Press, 1712 lk.
• Tony Northrup and J.C Mackin. 2007. MCITP: Supporting and Troubleshooting Applications on a Windows Vista Client for Enterprise Support Technicians – Self-Paced Training Kit . Microsoft Press, 624 lk.
• Ed Wilson. 2005. Microsoft Windows Scripting with WMI – Self-Paced Learning Guide . Microsoft Press, 400 lk.
• Steven D.Kaczmarek. 2004. Microsoft Systems Management Server 2003. Microsoft Press, 864 lk.
• Jerry Honeycutt. 2005. Microsoft Windows Registry Guide . Microsoft Press, 608 lk.
• Ian McLean and Orin Thomas. 2007. MCTS: Configuring Windows Vista Client – Self-Paced Training Kit. Microsoft Press, 848 lk.
• Don Jones, Jeffery Hicks. 2006. Advanced VBScript for Microsoft Windows Administrator. Microsoft Press, 560 lk.
• Ed Wilson. 2004. Microsoft Windows Scripting – Self Paced Learning Guide. Microsoft Press, 416 lk.
• Steven D Kaczmarek with the Microsoft System Center Confiuration Manager Team. 2008. Microsoft System Center Configuration Manager 2007 Administrator Companion. Microsoft Press, 850 lk.
• Dan Holmes. 2008. Windows Administration Productivity Solutions for IT – Professionals . Microsoft Press, 700 lk.
• Don Jones. 2005. Microsoft Windows Administrators Automation Toolkit. Microsoft Press, 480 lk.
• William R. Stanek. 2006. Windows Vista Administrators Pocket Consultant. Microsoft Press, 576 lk.
• Charlie Russel, Sharon Crawford, Jason Gerend. 2006. Microsoft Windows Server 2003 Administrators Companion. Microsoft Press, 1502 lk.
• The Microsoft Windows Team with Charlie Russel and Sharon Crawford. 2005. Windows XP Professional Resource Kit. Microsoft Press, 1568 lk.

Monday, August 24, 2009

SCCM: Out of Band Management (Intel AMT)

Viimasel ajal olen tegelnud OOBE seadistamisega CM-is (Configuration Manager) ja toon välja kõige olulisema erinevatest artiklitest, mida on vaja teada OOBE seadistamisest. Minu enda keskkond on Windows Server 2008 platvormil.

Enne kui alustada OOBE seadistamisega CM-is on vaja kindel olla, et kõik vajalikud eeldused on täidetud ja materjalidega on põhjalikult tutvutud. Eeldusi saate kontrollida siit lehelt: http://technet.microsoft.com/et-ee/library/cc161785(en-us).aspx

CA sertifikaatide nõuded OOBE-le

Kõige olulisem sellelt lehelt on CA (Certificate Authority) olemasolu (link : http://technet.microsoft.com/et-ee/library/cc161874(en-us).aspx ), ilma selleta te OOBE-t seadistada ei saa. Kui teil on CA olemas, siis on vaja kontrollida kas CA ROOT sertifikaadi võtme suurus on 2048 või väiksem. Kui võtme suurus on suurem kui 2048, siis peate enne CA ROOT sertifikaadi võtme väiksemaks tegema. Õnneks on Microsoftil lahendus, kuidas sertifikaadi võtit saab väiksemaks teha ilma, et peaks CA-d ümber installima.

Mis juhtub peale CA sertifikaadi võtme uuendamist (info on pärit Microsoftilt):

„After you renew a CA, the CA continues to issue certificates by using the new CA certificate, and the cycle starts over. The prerenewal CA certificate remains trusted, so nonexpired certificates that were issued by the prerenewal CA continue to be trusted until they expire or are revoked. For more information about CA renewing, please refer: Renewing Certification Authorities http://technet.microsoft.com/en-us/library/cc962077.aspx “


Siin on tegevused mida tuleb teha CA serveris, et sertifikaadi võtit väiksemaks saada:
a. Create a file with the name CAPolicy.inf in the C:\Windows folder.
b. Copy the content between "===" to CAPolicy.inf:
=================
[Version]
Signature="$Windows NT$"
[AuthorityInformationAccess]
Empty = true
[CRLDIstributionPoint]
Empty = true
[certsrv_server]
renewalkeylength=2048
=================

c. Open the CA console, then right click the server node and select "All Tasks"->"Renew CA Certificate" and confirm the action.

„After this, all new certificates will be signed with the new root CA certificate (2048-bit key). What we need is to reissue the AMT certificate to the OOB point and also make sure the web server certificates will be issued to the site server for AMT clients“.


Kui on kindlaks tehtud ROOT CA sertifikaadi võtme suurus, siis on vajalik teha kaks sertifikaati CA-s. Mõlemad sertifikaadid tuleb teha „Web Serveri“ mallist. Malli tegemisel tuleb silmas pidada, et tuleb teha Windows server 2003 mall. Mina enda keskkonnas panin neile samad nimed mis Microsofti artiklis kirjas olid: „ConfigMgr AMT Provisioning“ ja „ConfigMgr AMT Web Server Certificate“.


ConfigMgr AMT Provisioning“- sertifikaadil tuleb seadistada „Application policy“ ja sellele poliitikale tuleb panna kindel „Object identifier: 2.16.840.1.113741.1.2.3“. Kui seda poliitikat ei seadista, siis arvutil AMT seadistamine ebaõnnestub. Tuleb muuta ka Subject Name: „Build from this Active Directory information“ ja subject name valida: „Common name“. Domeeni ja Enterprise administraatorite grupilt eemaldada: Enroll õigused. Server, kuhu on installeeritud OOBE roll, tuleb anda arvuti kontole: Read ja Enroll õigused. Techneti artikli näite puhul on õiguste andmine läbi turva grupi kaudu juhul, kui teil on rohkem servereid. Sellel sertifikaadil tuleb ka lubada priivaatvõtme eksport.
ConfigMgr AMT Web Server Certificate“ –sellele sertifikaadile tuleb anda SCCM site serverile: Read, Enroll ja AutoEnroll õigused. Domeeni ja Enterprise administraatorite grupilt tuleb ära võtta Enroll õigused.


Kerberosi pileti suurus

Internetis ringi vaadates leidsin ühe väga olulise artikli Kerberosi pileti suuruse kohta. Kui pileti suurus ületab teatud piiri, siis võib AMT süsteemiga arvutile ühenduse tegemine ebaõnnestuda. Sellelt lehelt leiate te täpsed juhised, kuidas arvutada kerberosi pileti suurust. Link artiklile:
http://communities.intel.com/community/openportit/vproexpert/blog/2009/03/23/kerberos-ticket-size-can-stop-you-from-connecting-to-vpro-systems-and-using-idersol

Active Directory

AD-se on vaja teha eraldi OU nt „ConfigMgr AMT Provisioning“ ja sellele OU-le on vaja anda SCCM site serverile täis õigused.

Kasutades WMI-d, et sundida SCCM klienti arvutis AMT poliitikat kontrollima

Vaikimisi kontrollib SCCM klient iga 24 tunni tagant „AMT auto Provisioning“ poliitikat serverist ja testkeskkonnas ei ole see eriti mõeldav. Selleks on kaks varianti: kas käsitsi käima lasta või kasutada skripti. Juhendi leiate te sellest artiklist. Link:
http://communities.intel.com/community/openportit/vproexpert/microsoft-vpro/blog/2008/09/30/using-wmi-to-force-the-sccm-agent-to-check-for-its-amt-auto-provisioning-policy

DHCP ja DNS nõuded

DHCP-s peab olema seadistatud skoobile DNS serverid (006) ja domeeni nimi (015). DNSis peab olema kliendi A ja PTR kirjed.

Vajalikud hotfixid

Windows Server 2003-le vajalik hotfix. Link: http://support.microsoft.com/kb/942841/en-us
Hotfix rollup SCCM-le. Selle hotfixi peale panek nõuab site reseti. Link: http://support.microsoft.com/kb/960804 .


CM-is vajalikud muudatused ja natukene infot MEBx logimisest

Selleks, et OOBE funktsionaalsust kasutada, on vaja serverisse lisada „Out of Band Service point“ roll. Peale rolli lisamist tuleb OOBE roll ära seadistada. Et CM leiaks AMT seadmeid, on vaja sisse lülitada Network Discovery alt „Enable discovery of out of band management controllers“. Peale selle on vaja kollektsiooni muudatustes sisse lülitada „Enable automatic out of band management controller provisioning“. Vastasel korral ei saa klient serverist poliitikat kätte.

Enne kui arvutil AMTi seadistada, oleks soovitav uuendada AMT firmware ja BIOS. Kui esimest korda MEBx sisse logida (arvuti käivitamisel vajutada CTRL+P) on vaikeparool „admin“ ja peale seda nõutakse koheselt parooli muutmist. Kui teete parooli muudatuse, siis see peab klappima selle parooliga mis te CM-is seadistasite, vastasel korral ei saa enam CM arvutile ligi.

Arvutis olevad ROOT CA Hashid

Vaikimisi on arvutis need ROOT CA hashid:



Internetis ringi vaadates sain teada, et on võimalik ka tellida riistvara tootjalt ka enda poolt esitatud CA ROOT hashidega. Teil on võimalik oma enda ROOT CA hash sinna lisada. Sisemise CA ROOT hashi sisestamine võib olla vajalik, et CM suudaks arvuti ära seadistada.

Vajalikud pordid

• From the AMT management controllers to the out of band service point site system server for provisioning: TCP 9971.
• From the out of band service point site system server to AMT managed controllers for discovery: TCP 16992.
• From the out of band service point site system server to AMT management controllers for power control initiated from the Configuration Manager console and scheduled activities, provisioning, and discovery: TCP 16993.
• From computers running the out of band management console to AMT management controllers for all management tasks initiated from the out of band management console (including power on commands): TCP 16993.
• From computers running the out of band management console to AMT management controllers for serial over LAN and IDE redirection: TCP 16995.

Logi failid

Kliendipoolsed logi failid asuvad: c:\windows\system32\ccm\logs\ ja see on oobmgmt.log
Serveripoolsed logi failid asuvad: \\SCCMSite server\c\Program Files\Microsoft Configuration Manager\Logs ja need on amtopmgr.log ja amtproxymgr.log
OOBE konsooli logid asuvad C:\Program Files\Microsoft Configuration Manager Console\AdminUI\AdminUILog ja see on OOBConsole.log. Selleks, et rohkem infot saada oleks, hea kui oobconsole.exe.config failis teha väike muudatus. Tuleb muuta switchValue=“Verbose“ peale :


Erinevad tööriistad AMT versiooni kontrollimiseks

Inteli lehelt saab tõmmata sellise utiliidi, millega saab kontrollida AMT versiooni ja DHCP option 015. Link: (http://communities.intel.com/docs/DOC-2266). Lenovo lehelt saab tõmmata AMT toega arvuti mudeli alt Firmware uuendusega koos MEInfoWin tööriista, millega saab näha erinevat infot AMT firmware kohta.

Kasulikud lingid

http://support.dell.com/support/edocs/systems/xlob/iAMT/en/
http://communities.intel.com/docs/DOC-2577
http://communities.intel.com/community/openportit/vproexpert/microsoft-vpro/blog/2008/10/24/microsoft-sccm-2007-sp1-intel-vpro-training-videos-now-available

Tuesday, August 11, 2009

Tere!

Selles blogis katan erinevaid teemasid millega ma ise olen kokku puutunud, testinud ja juurutanud.

· Microsoft System Center Configuration Manager 2007

· Installatsioonide paketeerimine / automatiseerimine

· Microsoft Deployment Toolkit

· VBS / Windows Management Instrumentation

· Active Directory / Group Policy

· Kirjandus mida ma ise lugenud olen


Olen sertifitseeritud MCITP ja MCTS.