none
Исключить установку агентов на сервера RRS feed

  • Вопрос

  • Доброго дня, коллеги,

    Имеется тестовая лаба, в ней:

    DC.site.local - контроллер (DNS);
    SCCM.site.local - SCCM 2016 (1606);
    Server1.site.local - Сервер 1;
    Server4.site.local - Сервер 4;

    Все хосты в одной подсети 10.10.10.0/24. Всё друг друга видит, всё работает. Задача в следующем: исключить push-установку агента на Server4, не исключая Server1 и не выключая discovery и прочие фичи System Center.

    Нашёл вот такую статью - не помогла. Либо описанный функционал действительно не работает на x64-системах, либо после добавления списка серверов требуются какие-то дополнительные действия (ребут?).

    Есть идеи, коллеги? Я понимаю, что вариантов полно - можно закрыть разделы реестра и каталоги, политиками зарезать выполнение ccmsetup.exe и т.д., но хотелось бы какого-то цивилизованного решения, вроде того, что по ссылке. Неужели нет такой возможности?


    • Изменено webDancer 21 ноября 2017 г. 5:29
    21 ноября 2017 г. 5:28

Ответы

  • Этот метод я пробовал самым первым, наряду с галочкой Серверы в push. К сожалению, он не работает.

    Сделал политику, отключил push, перетащил сервера в отдельную подсеть. Да, костыль, да, криво, но всё-таки как-то работает.

    Agent-based система мониторинга должна иметь списки исключений. Приходится признать, что BMCшные аналоги в этом смысле гораздо круче и гибче.


    • Помечено в качестве ответа webDancer 25 ноября 2017 г. 17:44
    • Изменено webDancer 25 ноября 2017 г. 17:44
    25 ноября 2017 г. 17:28

Все ответы

  • Проблема в том, что Server1 и Server4 не входят ни в коллекции, ни в primary сайт. Т.е. они есть только в дефолтной общей группе All Systems - SCCM их сам туда добавляет при обнаружении.

    Я уже и удалял всё руками - агентов с хостов, любые упоминания об этих хостах в консоли, перепроверял членство, запускал rediscovery и... сервера обнаруживаются либо дефолтным heartbeat'ом, либо SMS_NETWORK_DISCOVERY (подсеть-то одна) и накатывается агент.
    21 ноября 2017 г. 7:28
  • Проблема в том, что Server1 и Server4 не входят ни в коллекции, ни в primary сайт. Т.е. они есть только в дефолтной общей группе All Systems - SCCM их сам туда добавляет при обнаружении.

    Я уже и удалял всё руками - агентов с хостов, любые упоминания об этих хостах в консоли, перепроверял членство, запускал rediscovery и... сервера обнаруживаются либо дефолтным heartbeat'ом, либо SMS_NETWORK_DISCOVERY (подсеть-то одна) и накатывается агент.

    Добрый День.

    Все системы

    Содержит коллекции "Все клиенты — настольные компьютеры и серверы", "Все мобильные устройства" и "Все неизвестные компьютеры. В Configuration Manager 1 (SP1), эта коллекция также включает мобильных устройств, которые зарегистрированы с помощью Microsoft Intune.Эта коллекция не может быть изменена и содержит самый широкий спектр ресурсов устройств.

    Не пробовали  Установка клиента SCCM на основании групповой политики 

    Либо Блокировку Клиента


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.



    21 ноября 2017 г. 7:51
    Модератор
  • Поправьте, если ошибаюсь, но блокировка клиента не подразумевает автоматического удаления агента. Т.е. даже заблокированный в консоли сервер считается managed с точки зрения лицензирования, т.к. на нём развёрнут экземпляр ПО и в любой момент администратор может снять блокировку. Поэтому такой вариант не подходит. Или его можно как-то заблокировать ДО установки агента?

    Развёртывание на основе GPO - основной вариант, который сейчас рассматриваем. Но, опять же, не хотелось бы отключать push-установку. SCCM предназначен для автоматизации ИТ и сервисов, а отключение push это, имхо, ровно обратный процесс.
    21 ноября 2017 г. 8:28
  • может это вам поможет

    https://harrylowton.wordpress.com/2014/06/25/configmgr-bulk-exclude-systems-from-automatic-site-wide-client-installation-with-powershell/

    24 ноября 2017 г. 13:05
  • Этот метод я пробовал самым первым, наряду с галочкой Серверы в push. К сожалению, он не работает.

    Сделал политику, отключил push, перетащил сервера в отдельную подсеть. Да, костыль, да, криво, но всё-таки как-то работает.

    Agent-based система мониторинга должна иметь списки исключений. Приходится признать, что BMCшные аналоги в этом смысле гораздо круче и гибче.


    • Помечено в качестве ответа webDancer 25 ноября 2017 г. 17:44
    • Изменено webDancer 25 ноября 2017 г. 17:44
    25 ноября 2017 г. 17:28