none
System Center Configuration Manager & Public Key Infrastructure Konfigürasyonu

    Genel Tartışma

  • System Center ürün ailesinin bir parçası olan Configuration Manager ; işletim sistemi kurulumlarını , sunucu kurulumlarını ve güncelleştirmelerini , istemci bilgisayarlarının kurulumlarını ve güncelleştirmelerini yönetebilen kurumsal bir üründür. Şimdilerde RC2'si olan ve çok yakın bir zamanda da RTM'i çıkaca olan 2012 versiyonu beklemekteyiz. Muhtemelen her IT çalışanı incelemektedir. SCOM ve SCCM on-premises'de sunucu alt yapısı barındıran firmalar için olmazsa olmazdır diye düşünüyorum.



    Bu yazımızda amacımız SCCM 2007 ürününü native mode’da çalıştırmak için gereken altyapının hazırlanmasını ,PKI altyapısının  kurulumunun ve yönetiminin anlatılmasıdır.



    Amaç :

    -          Native Mode yapısı için gereken sertifikaların hazırlanması

    -          Mixed Mode’dan native mode’a geçiş

    -          Client’ların native mode’a yükseltilmesi

    Kullanılanlar : Domain                       : sccmdomain.smsdemo.microsoft.com

    SCCM Server ismi      : SCCMSERVER (Management Point)

    SCCM Site ismi           : MCM  



    Amaca yönelik gereken işlemleri adım adım açıklayalım.

    SCCM site’ını mixed mode’dan native mode’a geçirebilmek için dijital sertifikalara ihtiyacımız olacak. Hazırlayalım.



    1-SCCM için Site Server Signing Sertifikasının oluşturulması ve kurulumu


    Sertifika Otoritesi yönetim konsolundan , ihtiyacımız doğrultusunda bir tane sertifika şablonu hazırlayacağız , bunun için CA yönetim konsolunu açıyoruz.



    Sertifikayı hazırlamak için Certificate Templates klasörüne sağ tıklayıp Manage ile tüm şablonları görebileceğimiz yeni bir pencere açıyoruz. Hazırlayacağımız şablonda Document Signing extension’ı olmalıdır.







    Sertifika şablonlarının arasından ismi Computer olan şablonu dublicate (çoğaltacağız) işlemi ile çoklayıp isteğimize uygun yeni bir şablon oluşturacağız.



    Yeni şablonun ismini görüldüğü gibi yazıyorum. Alt kısımıdaki Publish certificate in …. kutucuğunu da işaretliyoruz. Ardından Subject Name tab’ındaki Supply in the request kutucuğunu işaretliyoruz. Gerekli bilgiler talep sırasında tedarik edilecektir. Ardından Extensions tab’ına geçiyoruz.



    Burada , Application Policies extension’ını edit’leyip Client ve Server authentication extension’ını çıkaracağız , Document Signing extension’ını ekleyeceğiz.



    Yapılandırma sonrasındaki durum üstteki gibidir. Bu şablonun talebini ve alınma faslını bir yöneticinin onayından geçirmek istersek , Issuance Requirements tab’ındaki ilk kutucuğunu işaretleyip onaya zorunlu tutabiliriz. Ardından hazırladığımız şablonu kullanılabilir hale getirmeliyiz.



    Hazırladığımız şablon, son durumda kullanılabilir şablonların arasında yerini aldı. Şimdi bu sertifikayı SCCM Site sunucusuna alalım. Bir browser açıp adres satırına , http://sccmserver/certsrv yazarak sertifika otoritesinin web arayüzüne bağlanalım. Yeni ve spesifik bir sertifika talebinde bulunacağız.(şablonunu az önce hazırlamıştık)



    Normal şartlarda bizim hazırladığımız sertifika şablonu seçili değildir. Certificate Template penceresinden ConfigMgr Site Server Signing Certificate isimli şablonu seçiyoruz ve aşağıdaki bilgileri uygun şekilde dolduruyoruz. Özel olarak Name kutucuğuna The site code of this site server is MCM ismini yazıyoruz. Aslında isim site adını barındırsa yeterlidir. Bizim SCCM site’nın isminin MCM olduğunu hatırlayınız. Store Certificate … kutucuğunu işaretliyoruz. Friendly name kısmı size kalmıştır. Sonrasında Submit ile talebimizi gerçekleştiriyoruz. Eğer bir yöneticinin onayını mecbur tuttuysanız, talebiniz değerlendirilmek üzere sertifika sunucusuna gidecektir. Ben yönetici onayını istemiştim , aşağıda görüldüğü gibi talebim bir Request ID ile otoriteye gitti.





    Sonrasında , CA yönetim konsolunda Pending Requests klasörü altında bekleyen sertifikayı onaylamayı unutmayınız. Onaylama ardından tekrar web arayüzünden onayladığımız sertifikayı yükleyelim. Web arayüzünde View the Status of Pending Certificates link’ine tıklarsak , onayladığımız ve yüklenmek için bekleyen belgemizi görebiliriz.



    Bekleyen sertifikanın üzerine tıklayıp yükledik. Site Server sertifikası tamamlandı. Sıradaki adıma geçelim.

    2- SCCM için Web Server sertifikasının oluşturulması ve kurulumu


    Client’lar, IIS servislerine erişirken IIS tarafından kullanılacak olan Web Server sertifikasını oluşturacağız. IIS bileşenini kullanan SCCM site sistemi için bir grup oluşturup , sertifikayı kullanabilmesi için bu gruba izin vereceğiz.(SCCM site’ında fazlaca sunucu varsa hepsi için tek bir grup, yönetim kolaylığı sağlayacaktır ) IIS tabanlı site sistemi rol’leri için bir security grup oluşturalım.



    Yeni oluşturduğumuz grubun bilgileri üstteki gibidir. Management Point , Distribution Point, Software Update Point ve Storage Point olarak kullanılan sunucuları bu gruba ekleyelim. Benim sanal lab’ımda tamamı SCCMSERVER isimli sunucuda olduğundan sadece onu gruba ekledim. Web Server Signing sertifikasını oluşturmaya başlayalım. Sertifika Otoritesi yönetim konsolunda yine bir duplication işlemi yapacağız. Bu sefer Web Server sertifikasını çoğaltacağız. Şablona dair isim bilgileri aşağıdaki gibidir.



    Subject Name penceresinde yapılması gerekenler aşağıdaki gibidir. Sertifika talebi sırasında gereken bilgiler AD veritabanından tedarik edilecektir.



    Şimdi , AD’de oluşturduğumuz security grubuna bu sertifika şablonu üzerinde enroll ve autoenroll izinlerini verelim.



    AD’de oluşturduğumuz gruba SCCMSERVER’ı üye yapmıştık. Token’ının güncellenmesi için sunucuyu yeniden başlatmalısınız unutmayınız , aksi taktirde grup üyeliği hemen geçerli olmayacağından sertifika talebinde bulunamayacaktır. Sertifikayı aşağıda görüldüğü gibi kullanılabilir hale getirelim.



    Sertifika kullanılabilir hale geldiğine göre , mmc konsolundan talep edebilirim.



    Talebim sonucunda web server sertifikası da local sertifika deposunda yerini aldı.IIS bileşenini yeni yüklediğimiz Web Server Signing sertifikasını kullanacak şekilde yapılandıralım. Production ortamında , hangi web site kullanılıyorsa (SCCM tarafından) , sertifikayı ona alacağız dikkat!!! Lab ortamında Default Web Site kullanılmaktadır.



    Server Certificate butonu ile az önce lokal sertifika deposuna yüklediğimiz sertifikayı IIS’in Default Web Site’ine yüklemiş olduk. Sertifika bilgilerini gözlemek isterseniz , View Certificate butonunu kullanabilirsiniz. Web Server Signing sertifikasını da hazırlamış olduk. Şimdi SCCM için Client sertifikasını oluşturalım ve yükleyelim.

    3-SCCM için Client sertifikasının oluşturulması ve kurulumu


    Native mode’da çalışacak olan Client’ın kullanacağı belgeyi hazırlayacağız. Bir Group Policy objesi ile auto-enrollment yapılandıralım.



    Computer belgesi için üstte görüldüğü gibi bir yapılandırma yaptık. Client yeniden başlatıldığında ihtiyacı olan sertifikayı/sertifikaları alacaktır. Yeniden başlatamıyorsanız daha önce hazırladığımız ve üst kısımlardaki resimden de görebileceğiniz  sertifikayı/sertifikaları export edip client’a yükleyebilirsiniz.(şu an lab ortamında 4 adet sertifikamız mevcut)

    4-Mixed mode’dan Native mode’da yükseltme

    Şimdi SCCM site’ımızı native mode’a yükselteceğiz. Öncelikle uygunluğu doğrulayalım. Yeni bir paket oluşturalım.



    Yeni Paketin ismini aşağıda görüldüğü gibi veriyorum. Lab ortamımda bu paket için gereken kaynak dosyaları



    client bilgisayarına yüklenmiş durumdadır.Dolayısıyla sonraki ekrandaki This Package contains source files kutucuğunu işaretlemeden geçiyorum.



    Distribution Point üzerindeki varsayılan paylaşım noktasını kullanacağımdan üstteki gibi devam ediyorum. Sonraki Distribution Settings penceresinde de varsayılan ayarlarla devam ediyorum. Sonraki menüde management information format dosyası raporlaması için bir yapılandırma seçeneği gelmekte. Varsayılan ile devam ediyorum. Sonraki ekranda Security seçimleri gelmekte. İlgili objelerin paket üzerindeki güvenlik hakları bilgilerini aşağıda görmekteyiz.



    Varsayılan güvenlik izinleri ile devam ediyorum. Summary sayfasındaki yapılandırmada istediklerinizin doğru biçimde seçildiğini gözledikten sonra paketi hazırlayabiliriz.



    Paket hazırlama işlemini bitirmiş olduk.



    Hali hazırda paket içinde herhangi bir program yoktur. Yeni program ekleyelim.



    Bunun için yeni program ekleme sihirbazını kullanabiliriz.Bendeki program system32 altında olduğundan yapılandırmayı aşağıdaki gibi yapıyorum.



    Requirements penceresinde , maximum Allowed run time dakikasını 5 yapıyorum , varsayılanı 120 idi. Environment kısmında , programın çalışabilme durumunu aşağıdaki gibi



    belirliyorum.  Ardından next şeklinde devam edip paketi tamamlayabiliriz.



    Özeti üstteki gibidir. Sonrasında Software Distribution’ın alt kısmından Advertisement belirleyelim. Site sunucusunda ConfManager Client yüklü olmadığından şimdi belirlediğimiz advertised program’ı sccmserver isimli site server’a dağıtmayacağız (system32\Ccm dizininde) manuel olarak çalıştırağız.(kurmak istersek)



    Advertisement’ın özeti üstteki gibidir. Burada , kurulacak paketi programı ve hangi sistemlere kurulacağını belirlemiş olduk. Daha önce hazırladığım paketleri/programları kullandık. Şimdi de sccm client’a yani Windows XP tarafına geçip yazılımı alalım. Windows XP’de denetim masasından Configuration Manager’ı çalıştırıyoruz.



    Actions panelinden yeni belirlediğimiz adversitement’ı alması için tetikliyoruz.



    Böylece XP client , içinde yeni advertisement bulunan policy’i talep edecektir. Talebin sonucunu görmek birkaç dakika sürebilir. Sonucunda system tray’de New Program Available icon’u görülür. Eğer beklenen zamanda sonuç alamazsak ,



    üstteki menüde görülen paneli kontrol edebilirsiniz. Yeni programın kurulumunu (New Program Available icon’u görüldükten sonra) yaptığınızı varsayıyorum. Sonrasında ,



    raporlamaya bakarsak native mode ile sorun yaşayan client olmadığını görebiliriz. Ortam native mode’a hazır görünüyor. Native Mode’a yükseltelim.



    SCCM yönetim konsolunda , site özelliklerinde üstte görüldüğü gibi site modunu Native’e değiştiriyoruz. Hemen altında bizden gerekli sertifikayı isteyecek. Daha önce hazırladığımız ve içinde document signing extension’ını barındıran sertifikayı seçiyoruz. Sertifikanın parmak izi numarasıda alt kısmında görünecektir.



    Native mode’a geçiş tamamlanmıştır. Client tarafını da Native Mode’a geçirelim. SCCM site server’da SMS Agent Host servisini yeniden başlatarak başlayalım. Denetim masasındaki Configuration Manager’ı çalıştırırsak native mode’a geçtiğini görebiliriz. Aynı servisi client tarafında yeniden başlatırsak aşağıdaki gibi



    mode’un native’e döndüğünü ve connection type’ın Always Inranet’e değiştiğini gözleriz. IP Address’te 0.0.0.0 göründüğünü önemsemeyiniz , sanal pc’nin network kablosu unplugged halde kalmıştı screenshot aldığımda.

    Ne yaptığımızı özetleyecek olursak :

    -          Native Mode için gereken sertifikaları hazırladık , kurulması gereken yerlere kurduk

    -          Native Mode’a uygunluğu gözleyip , raporladık ve Native Mode’a hazır olmayan istemci olmadığını rapordan görmüş olduk.





    herkese neşeli günler



    Kaynak : TechNet VirtualLabs

    07 Mart 2012 Çarşamba 18:36