Monday, May 31, 2010

Configuration Manager V.Next beta 1

Uuest versioonist Configuration Managerist on väljas beta. Kui te soovite seda testida, siis saate seda allalaadida siit: https://connect.microsoft.com/ConfigurationManagervnext . Sain ise selle testkeskkonnas tööle ja serveri konfiguratsioon kus selle tööle sain on järgnev:

• Windows Server 2008 R2 Enterprise
• WSUS 3.0 SP2 Console
• DotNet 4.0 täisversioon
• SQL Server 2008 koos kõigi viimaste uuendustega SP1 ja oluline on just HotFIX 977443. Seda saab allalaadida http://go.microsoft.com/fwlink/?LinkID=185162
• Server Manageri alt lisada juurde BITS ja Remote Differential Compression

Proovisin ka seda asja tööle saada SQL Server 2008 R2 aga ei õnnestunud. Kasutage SQL 2008. Mõned pildid ka:



Thursday, May 27, 2010

MCTS: Windows Server 2008 Active Directory, Configuring

Sooritasin täna edukalt 83-640 eksami :). Mulle tuli see nädal uudisena, et teatud eksamid on muutunud ja eksami aeg antakse sulle virtuaalne server kus pead ise asju seadistama. Eksami ettevalmistamiseks kasutasin MCTS 70-640 Windows Server 2008 Active Directory, Configuring Self-Paced Training KITi. Kui sa soovid seda eksamit tegema minna, siis ma soovitan just seda raamatut.

Edu teile,

Kaido

Tuesday, May 25, 2010

SCCM Out Of Band Management osa 3

Olen jõudnud nüüd kolmanda postituseni seoses SCCM Out Of Band Management juurutamisega. Oma esimeses postituses kirjutasin mida on võimalik läbi OOBi teha ja teises postituses loetlesin ülese OOBi juurutamise eeldused/nõuded. Selles postituses kirjutan, et millised võimalused on kaugkonfiguratsiooni sertifikaadi ostmiseks nt Comodolt, kuidas valmistada ette CSRi kaugkonfiguratsiooni sertifikaadi taotlemise jaoks nt Comodolt ja natuke üldisemalt OOBiga seotud sertifikaatidest

Vaikimisi on Intel AMT kiibi sees nelja erineva tootja juur sertifikaadi HASHi. Need on VeriSign, Comodo, StarField ja GoDaddy. Kui te ostate ühelt neist selle kaugkonfigratsiooni sertifikaadi, siis te ei pea Intel AMT kiipi enda PKI juur sertifikaadi HASHi lisama. See tähendab seda, et te peaksite kõik arvutid kas käsitsi seadistama või tellima arvuti tootjalt spetsiaalse firmware kus on teie juur sertifikaadi HASH juba lisatud. Selleks, et AMT seadmega arvutit seadistada peab kaugkonfiguratsiooni sertifikaadile lisatud olema AMT objekt ID (Object identifier) 2.16.840.1.113741.1.2.3 või kui nt GoDaddy ei toeta seda AMT objekt ID-d, siis tuleb kasutada sertifikaadi taotlemisel OU e Organizational Unit väljal Intel(R) Client Setup Certificate.

Kui te ostate omale selle kaugkonfiguratsiooni sertifikaadi, siis te ei pea oma sisemises sertifikaadi serveris seda seadistama, ainult veebi serveri sertifikaat on vajalik. Kõige olulisem mida tuleb silmas pidada sisemise sertifikaadi serveri puhul on see, et juur sertifikaadi võtme suurus ei tohi olla suurem kui 2048. Kui juur sertifikaadi serveri võti on suurem kui 2048, siis tuleb vajalik sertifikaat osta.


Nagu pildilt näha, siis esimene variant töötab ja teine mitte. Pidada seda kindlalt meeles!!

Kõigelt pealt, siis teen ülevaate kaugkonfiguratsiooni sertifikaadi taotlemisest Comodolt. Miks Comodost? Kuna ise ma tellisin Comodo käest kaugkonfiguratsiooni sertifikaadi. Esialgu ma tahtsin seda sertifikaati osta GoDaddylt aga nad ültesid mulle, et nad enam ei müü seda sertifikaati. Kui võrrelda hindasid, siis VeriSigni sertifikaat on kõige kallim üle 1000$. Mis tundus minu jaoks täiesti arusaamatu. Sama sertifikaadi saab osta Comodolt 170$. Comodo teenendusega võib täiesti rahule jääda. Probleemide korral vastati alati 1-2 tunni jooksul. Enne kui sertifikaati tellida tuleb ennem kindlaks teha kas nad toetavad seda AMT objekt ID-d või tuleb sertifikaadi taotlusse panna OU väljale Intel(R) Client Setup Certificate. Kui te sellega eksite, siis te oma lahendust tööle ei saa. Selleks, et CSRi genereerida tuleb teha nii:

1. Logige sisse oma SCCM serverisse. Avage administraatori tööriistade seast IIS Manager
2. Valige paremalt poolelt ühenduste alt serveri nimi







3. Otsige ülese Server Certificates ikoon
4. Avage Serveri sertifikaadid.
5. Valige paremalt menüüst Create Certificate Request
6. Teile avaneb järgnev aken

Sisestage järgev info:
Common name: SCCM serveri nimi (FQDN)
Organization: Teie ettevõtte nimi
Organizational unit: kui sertifikaadi müüja toetab AMT objekt ID-d, siis ei tule sinna panna Intel(R) Client Setup Certificate.
City/locality: linn
State: siia võite maakonna panna
Country/region: valige riik

Need andmed, mida te sertifikaadi taotlusse sisestate, peavad klappima, mis on registreeritud teie domeeni andmete juures. Kui te nende andmetega eksite, siis teil tekib probleeme sertifikaadi taotlemisega.

7. Selles aknas valige võtme suurus 2048
8. Salvestage see faili ja selle faili sisu tuleb edastada sertifikaadi müüjale.

Selle faili sisu on selline:
Kui te soovite näiteks seda sertifikaati osta Comodolt, siis minge siia lehele ja järgige juhiseid http://www.comodo.com/intel/ .

Kui te olete tellimuse ära teinud tuleb teile emaili peale zip fail mille sees on kaks sertifikaati. Üks on Comodo juur sertifikaat ja teine SCCM serveri sertifikaat.
Importige omale sisse see Comodo juur sertifikaat AAACertificateServices.crt. Selleks, et lõpetada sertifikaadi installeerimine ja et oleks võimalik sellest sertifikaadist privaat võtit välja importida, tuleb teha järgnevalt:
1. Avada uusti IIS Manager ja sealt serveri sertifikaadid.
2. Ava Complete Certificate Request...
3. Näita ette kaust kus asub Comodolt saadud SCCM serveri sertifikaat ja vajuta OK. Kui peale OK vajutamist mingeid veateateid ei tule peaks import olema edukas.

Tulemust saate kontrollida kui avate MMC, lisate sinna Certificates ja sealt Computer certificates. Avate kataloogi

Paremal poolel peaksid sa nägema serveri sertifikaati ja avades sertifikaadi näete te umbes taolist pilti.
Järgmises osas kirjutan kuidas sellest sertifikaadist privaat võtit välja importida ja kuidas seda SCCM OOB Managementiga siduda. Sealt edasi räägin veel ka CA seadistamisest. Kui on küsimusi, siis andke teada.

Sunday, May 16, 2010

SCCM OOB Management osa 2

Esimeses osas kirjeldasin mida on võimalik läbi OOBi teha ja oma selles postituses kirjutan, et mida oleks vaja, et seda lahendust juurutada. Ma eeldan, et teil on juba SCCM 2007 R2 SP2 juurutatud. Teil oleks vaja:
• Arvuti peaks toetama Intel VPRO tehnoloogiat ja AMT firmware peaks olema 3.2.1 või uuem
• Vajalikud driverid peaksid arvutil olema installeeriud HECI (Intel Active Client Manager Host Embedded Controller Interface, AMT SOL
• ConfigMgr klient installeeritud tööjaama
Enteprise Certificate Authority peaks olema teie keskkonnas juurutatud, et välja anda arvutitele veebi serveri sertifikaate automaatselt. Enterprise CA on see, et mis on integreeritud koos Active Directoryga, ei piisa eraldi seisvast sertifikaadi serverist (Standalone CA)
Active Directory on vaja teha OU(Organizational Unit) nt „ConfigMgr AMT Provisioning“ ja SCCM serveri jaoks on vaja anda täisõigused selle OU jaoks. ConfigMgr hakkab sinna lisama AMT objekte. Objekti nimi koosneb arvuti nimest + $iME
• Tuleb sisse lülitada ConfigMgr konsoolis kollektsiooni seadistustes „Enable automatic out of band management controller provisioning
Kui te kollektsiooni seadistustes seda sisse ei lülita, logitakse oobmgmt.log faili teile: CAMTProvisionEndpoint::GetProvisionSettings: GetObject() failed: 80041002
!! AutoProvision policy disabled.
• Arvutid peaksid olema liidetud domeeni
• Kaugkonfiguratsiooniks on vajalik eraldi spetsiaalset sertifikaati. Selleks võib osta seda VeriSignilt, Comodolt või Starfieldilt. Intel AMT kiibis on juba vaikimisi nende tootjate sertifikaadid olemas. Enne oli võimalik seda spetsiaalset sertifikaati ka osta GoDaddylt aga nad lõpetasid selle sertifikaadi müümise. Kui te internetist leiate sellise lingi http://help.godaddy.com/article/5260 , siis tegelikult on nad unustanud selle maha võtmast. Kaugkonfiguratsiooni sertifikaati on võimalik ka enda sisemisest PKI serveris ettevalmistada ja Intel AMT seadmeid sellega seadistada. Sellega on ainult üks aga nimelt see, et te peaksite igasse arvutisse sisestama oma PKI root sertifikaadi HASHi. Sellest spetsiaalsest sertifikaadist räägin ma pikemalt oma järgmistes postitustes.
DHCP-s peaksid skoobil olema seadistatud 006 ja 015 valikud
TCP pordid 9971, 16992, 16993, 16995 – need peaksid OOB Management teenuse ja arvuti vahel lahti olema.
Ma loodan, et sain kõik vajalikud asjad siia nimekirja. Järgmises postituses räägin lähemalt kaugkonfiguratsiooni sertifikaatidest.

Thursday, May 13, 2010

Citrix ja SCCM 2007

System Centri meeskond ja Citrix on hakanud koostööd tegema, et välja töödata connector mis lubab Citrixi virtuaalseid tarkvarasid seadmetele edastada. White paperist leiate rohkem infot.

Thursday, May 6, 2010

SCCM OOB Management osa 1

Mul on hea meel tõdeda, et mul õnnestus ConfigMgris ära seadistada Out Of Band Management. Ma proovin kirja panna selle, et mida oleks vaja, et asi tööle saada. Oma esimese postituse sel teemal tegin ma esmaspäev, August 24, 2009 SCCM OOB Managementist ja võite seda ka hiljem lugeda. Oma kunagises postituses ei kirjutanud ma mis asi see OOB on. Osa 1 kirjeldan, et mida on võimalik läbi OOB lahenduse teha. OOB võimaldab teil:


1. Arvutit üle võrgu sisse ja välja lülitada


2. Teha kaughaldust – see tähendab seda, et kui arvutil on näiteks operatsioonisüsteem katki või arvutil pole üldse operatsioonisüsteemi, on teil võimalus ikka arvutil pilt üle võtta. See vähendab käimisi kasutaja arvuti juures ja muudab halduse odavamaks. Nt kui teil on kontorid Tallinnas ja Tartus. Tartus kasutajal operatsioonisüsteem ei lähe käima enam ja Tartu kontoris ei ole teil kohapeal IT-spetsialisti. Kasutaja pöördub see peale helpdeski ja helpdesk avab ConfigMgr konsooli, otsib problemaatilise arvuti ja avab OOB konsooli. Kui OOB konsool avada, siis näete sellist pilti:





Nt soovib kontrollida helpdeski töötaja Tartu kasutaja arvuti BIOSi seadistusi. Selleks tuleb valida OOB menüüst Power Control.



Kui Power Control seadistused on ees tuleb valida Boot option BIOS ja vajutada restart.





Peale seda kui on tehtud restart ja avate Serial Connection menüü, saate te näha ülevõrgu Tartu kasutaja arvuti BIOS seadistusi. Kui BIOS seadistused on kontrollitud ja on teada, et BIOS on korras võib helpdeski spetsialist proovida näiteks laadida arvutisse diagnostika vahendid. Selleks tuleb Power Control menüüst valida IDER ja valida Boot From File. Valida välja võrgu lokatsioon kust saaks allalaadida vastav meedia mille peal asuvad diagnostika vahendid.

3. Täpsem varahaldus - see tähendab seda, et teil on võimalus System Information menüü alt näha täpset arvuti konfiguratsioon. Nt palju arvutil mälu on ja erinevaid mälu klotse.



Selleks korraks hetkel kõik ja järgmises postituses kirjutan, et mis on eelnõuded selle lahenduse jaoks ja erinevatest sertifikaadi pakkujatest. Kui teil on küsimusi, siis andke teada :)

Tuesday, May 4, 2010

SCCM 2007 Toolkit versioon 2

Avastasin täna just, et alates 30.04.2010 on võimalik allalaadida ConfigMgr toolkit versioon 2-te. Mul on hea meel, et Microsoft tõi teatud vanad tööriistad tagasi mis olid SMS 2003 tööriistade seas olemas nt Send Schedule, Management Point Troubleshooter jne. Uus tööriista komplekt sisaldab:

• Client Spy - A tool that helps you troubleshoot issues related to software distribution, inventory, and software metering on Configuration Manager 2007 clients.
• Delete Group Class Tool - A tool used to remove inventory group definitions along with history data, tables, views and stored procedures for the group.
• Desired Configuration Management Migration Tool - A tool used to migrate from the DCM Solution for SMS 2003 to DCM in ConfigMgr 2007.
• Desired Configuration Management Model Verification Tool - A tool used by desired configuration management content administrators for the validation and testing of configuration items and baselines authored externally from the Configuration Manager console.
• Desired Configuration Management Substitution Variable Tool - A tool used by desired configuration management content administrators for authoring desired configuration management configuration items that use chained setting and object discovery.
• Management Point Troubleshooter Tool - A tool that checks a computer system before and after a management point installation to ensure that the installation meets the requirements for management points. MP Troubleshooter tuvastab ka WEBDAV reegleid ja vajadusel pakub automaatset parandust.
• Policy Spy - A policy viewer that helps you review and troubleshoot the policy system on Configuration Manager 2007 clients.
• Preload Package Tool - A tool used to manually install compressed copies of package source files on Configuration Manager 2007 sites.
• Security Configuration Wizard Template for Configuration Manager 2007 - The Security Configuration Wizard (SCW) is an attack-surface reduction tool for the Microsoft Windows Server 2008 R2 operating system. Security Configuration Wizard determines the minimum functionality required for a server's role or roles, and disables functionality that is not required. The Configuration Manager 2007 Service Pack 2 Security Configuration Wizard template supports new site system definitions and enables the required services and ports.
• Send Schedule Tool - A tool used to trigger a schedule on a Client or trigger the evaluation of a specified DCM Baseline. You can trigger a schedule either locally or remotely.
• Trace32 - A log viewer that provides a way to easily view and monitor log files created and updated by Configuration Manager 2007 clients and servers.
Alla saab laadida siit:

Arvutite nimekiri Intel VPRO(AMT) toega

Leiate siit, lehelt erinevate tootjate arvutid mis toetavad Intel VPRO tehnoloogiat.
http://communities.intel.com/docs/DOC-2033

Intel AMT - Known Issues, Best Practices, and Workarounds

Kui te tegelete SCCM OOB Managementiga, siis vaadake kindlalt seda lehte. Leiate sealt kindlalt väga head materiali:
http://communities.intel.com/docs/DOC-1247#Changing_Terminal_Emulation_Type