none
Установка клиента SCCM 2012 на компьютеры рабочей группы + PKI RRS feed

  • Общие обсуждения

  • Добрый день!

    У меня есть компьютеры в рабочей группе, которые по определенным причинам не могут быть добавлены в домен. Мне необходимо установить на них SCCM клиент. SCCM 2012 установлен и работает с PKI. 

    Я сделал шаблон сертификата для рабочей группы:

    1. Right-click “Certificate Templates” and select “Manage”;
    2. Right-click “ConfigMgr Client Certificate” and select “Duplicate Template”;
    3. Select “Windows Server 2003 Enterprise”;
    4. In the General tab, change the certificate Template Display Name to “ConfigMgr Workgroup Client Certificate”;
    5. In the Request Handling tab, tick “Allow private key to be exported”;
    6. In the Subject Name tab, select “Supply in the request”;
    7. In the Security tab, select “Domain Computers” and untick the “Autoenroll” permission;
    8. Select OK.

    Этот сертификат с закрытым ключом экспортирован в формате pfx и залит на компьютер в рабочей группы.

    С какими ключами я должен запустить ccmsetup.exe, чтобы он при установке подцепил сертификат?

    Спасибо.

    10 августа 2012 г. 10:07

Все ответы

  • Например, так:

    ccmsetup.exe /native SMSSITECODE=SEC CCMALWAYSINF=1 CCMHOSTNAME=yourccmserver SMSMP=yourserver SMSSIGNCERT=C:\nameofthecert.cert . И подключаться как "'Always Internet Client"


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


    16 августа 2012 г. 19:38
    Модератор
  • Скорее так:

    ccmsetup.exe /native:FALLBACK SMSSITECODE=123 CCMFIRSTCERT=1 SMSSLP=yourslpserver FSP=yourfspserver

    CCMALWAYSINF=1 используется для клиентов, которые находятся вне периметра внутренней сети и никогда в нее не попадут. Это существенно ограничит функционал SCCM. На клиенте должны быть установлены открытые Root и Intermediate ключи сертификатов.

    20 августа 2012 г. 6:15
    Отвечающий
  • Спасибо, попробую.
    21 августа 2012 г. 14:23
  • Оба способа мне не помогли. Есть еще варианты?
    22 августа 2012 г. 14:20
  • А что именно не работает? Логи запакуйте с проблемного клиента, выложите куда нибудь на skydrive. Вы роль Service Locator Point установили?
    23 августа 2012 г. 6:57
    Отвечающий
  • SLP в 2012 отсутствует.:)

    http://sccm.com.ua/

    23 августа 2012 г. 7:17
    Отвечающий
  • SLP в 2012 отсутствует.:)

    http://sccm.com.ua/


    А, ну да. Который раз забываю :) Значит SMSSLP=имя сервера не нужно в параметрах. В любом случае должно завестись. Шлите логи. Если для вас логи конфиденциальны, присылайте на bobgreen(at)mail(dot)ru.
    23 августа 2012 г. 7:19
    Отвечающий
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    30 августа 2012 г. 11:00
    Модератор
  • Тема переведена в разряд обсуждений по причине отсутствия активности


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    5 сентября 2012 г. 10:07
    Модератор
  • Добрый день!

    Не было времени ответить. Итак, логи ccmsetup:

    https://skydrive.live.com/redir?resid=84850FC9E09E568C!188&authkey=!AOLlY7uzFA8Pg20

    ключи, с которыми устанавливался клиент:

    ccmsetup.exe /usePKICert /NOCRLCHeck /mp:sccm.domain.com SMSSITECODE=SMS CCMHOSTNAME=sccm.domain.com FSP=sccm.domain.com CCMHTTPSSTATE=31 DNSSUFFIX=domain.com CCMFIRSTCERT=1

    12 сентября 2012 г. 17:04
  • Как выглядит клиент:

    12 сентября 2012 г. 17:12
  • Клиент у вас развернулся нормально, интересуют логи непосредственно в папке CCM.
    12 сентября 2012 г. 18:26
    Отвечающий
  • Логи все выложу завтра. Но вот, что интересного нашел:

    CertificateMaintenance.log полностью забит только этими сообщениями:

    MP sccm.domain.com does not allow client connections matching the client connection type

    В свойствах MP:

    HTTPS и единственный вариант в выпадающем меню - Allo intranet-only connections.

    и есть галка - публиковать MP в DNS.

    да, в файле hosts клиента из рабочей группы я добавил ip адрес и dns имя sccm.domain.com
    • Изменено Dmitry Ivanov 12 сентября 2012 г. 20:40
    12 сентября 2012 г. 20:35
  • Обязательно поставьте галку "опубликовать Management Point в DNS".

    13 сентября 2012 г. 5:20
    Отвечающий
  • Есть галка - в смысле, она стоит. В DNS проверил - есть SRV запись о Management Point, указывающая на sccm.domain.com
    13 сентября 2012 г. 6:27
  • Логи подготовили?
    13 сентября 2012 г. 10:08
    Отвечающий
  • Конечно :)

    Все логи из CCM\Logs клиента

    https://skydrive.live.com/redir?resid=84850FC9E09E568C!189&authkey=!AOnwzIiZN77x_lk

    13 сентября 2012 г. 10:28
  • У вас в логе FSP неверно указан, пишите полное имя. Попробуйте не указывать DNS суффикс.

    ccmsetup.exe /usePKICert /NOCRLCheck /mp:https://sccm.domain.loc SMSSITECODE=SMS CCMHOSTNAME=sccm.domain.com  CCMFIRSTCERT=1 FSP=sccm.domain.loc

    CCMHOSTNAME нужен только в том случае, если у вас ConfigMgr опубликован в интернете.

    13 сентября 2012 г. 11:22
    Отвечающий
  • Сейчас запустил:

    ccmsetup.exe /usePKICert /NOCRLCheck /mp:https://sccm.domain.com SMSSITECODE=SMS CCMFIRSTCERT=1 FSP=sccm.domain.com

    Все тоже самое.

    ccmsetup.log:

    https://skydrive.live.com/redir?resid=84850FC9E09E568C!190&authkey=!AOEtaH1QrOPIC1o

    Если нужны логи из \CCM\Logs готов их также предоставить.

    Спасибо.

    13 сентября 2012 г. 12:47
  • А у вас разрешено HTTPS подключение к точке управления? Запись <![LOG[MP sccm.domain.com does not allow client connections matching the client connection type]LOG]!><time="20:07:47.292-240" date="09-12-2012" component="CertificateMaintenance" context="" type="3" thread="3328" file="hookimpl.cpp:196"> говорит о том, что ваша точка управления не может работать по HTTPS.
    13 сентября 2012 г. 13:54
    Отвечающий
  • И еще меня смущает запись <![LOG[LSGetLookupMP: Client is on Internet - Using INF MP as lookup MP.]LOG]!><time="14:13:23.238-240" date="09-13-2012" component="LocationServices" context="" type="1" thread="2100" file="lsad.cpp:1906">
    13 сентября 2012 г. 13:55
    Отвечающий
  • Я об этом уже писал.

    Где это проверить и как?

    13 сентября 2012 г. 13:59
  • проверьте во первых сертификат на сервере, бинды в IIS, проверьте также вкладку, как указана на скрине http://www.apajove.com/index.php/blog/item/26-sccm-2012-internet-based-client-deployment, галочка PKI должна быть установлена и должна быть указана копия открытого ключа корневого центра сертификации.
    13 сентября 2012 г. 14:13
    Отвечающий
  • Мои настройки:

    Сейчас попробую поменять на HTTP or HTTPS и снять галочку Clients check the certificate revocation list (CRL) for site systems.

    13 сентября 2012 г. 14:24
  • Не помогло.
    13 сентября 2012 г. 14:37
  • Путем метода научного тыка подобрал ключи, при которых ставится клиент и подцепляется сертификат:

    ccmsetup /usePKICert /NOCRLCheck SMSMP=https://SCCM SMSSITECODE=SMS DNSSUFFIX=domain.com

    Осталось малость - софт и апдейты не ставятся через Software Center:

    Application Catalog также не работает. Он вообще должен работать с рабочими группами?

    13 сентября 2012 г. 16:29
  • Нашел тему с моей ошибкой, но не понял, как с этим бороться:

    http://social.technet.microsoft.com/Forums/en-US/configmgrswdist/thread/1d460734-779c-4b80-aed6-4ba60fef0129/

    Вот логи CAS.log и LocationServices.log

    https://skydrive.live.com/redir?resid=84850FC9E09E568C!191&authkey=!AN2CK1cg7SDl7Wg

    Такая проблема только с клиентами рабочих групп. С доменными клиентами все ок.


    • Изменено Dmitry Ivanov 13 сентября 2012 г. 17:24
    13 сентября 2012 г. 17:20
  • Да, работает, но только с приложениями и пакетами, назначенными на компьютер. Вы сайт WSUS настроили по инструкции? http://technet.microsoft.com/ru-ru/library/bb633246.aspx

    13 сентября 2012 г. 18:19
    Отвечающий
  • The number of discovered DPs(including Branch DP and Multicast) is 0

    Ваш клиент входит в границы сайта?

    Старайтесь задавать в параметрах полные доменные имена, т.е. не configmgr2012, а configmgr2012.domain.loc. Вы планируете использовать интернет-клиенты?

    13 сентября 2012 г. 18:23
    Отвечающий
  • Добрый день!

    WSUS у меня настроен верно.

    В boundary group у меня входит только граница domain.com/default-first-site-name. Как туда добавить IP подсеть? Или в этом нет необходимости?

    Интернет клиенты пока не планируем использовать.
    • Изменено Dmitry Ivanov 14 сентября 2012 г. 10:39
    14 сентября 2012 г. 10:37
  • Так, установку софта нарулил добавлением опции Download content from distribution point and run locally в Deployment Types. Тоже самое и с апдейтами.

    Решил еще на паре клиентов в рабочей группе потестить установку клиента. Поставил голую виндоус 7, импортнул сертификат куда надо + цепочку корневых, скачал клиент и запустил с этими ключами:

    ccmsetup /usePKICert /NOCRLCheck SMSMP=https://SCCM SMSSITECODE=SMS DNSSUFFIX=domain.com

    Клиент установился без ошибок, но опять ничего не работает. Если зайти в свойства клиента через панель управления и открыть вкладку Site, то, во-первых там не указан Sitecode, а только DNS Suffix и при попытке указать Site code тут же появляется ошибка: configuration manager did not find a site to manage this client. На установленных вчера клиентах хоть все и работает, но также появляется ошибка при попытке найти сайт по коду.

    Таким образом, проблема не решена.


    • Изменено Dmitry Ivanov 14 сентября 2012 г. 17:31
    14 сентября 2012 г. 17:27
  • В boundary group у меня входит только граница domain.com/default-first-site-name. Как туда добавить IP подсеть? Или в этом нет необходимости?


    Смотря какие подсети у вас прописаны в настройках сайта AD, если компьютеры рабочей группы вне диапазона этих адресов, то, конечно, нужно их добавить.

    Vladimir Zelenov | http://systemcenter4all.wordpress.com

    17 сентября 2012 г. 5:34
    Отвечающий
  • Ага, понял. В настройках сайта AD никаких подсетей не было прописано вообще. Добавил необходимые подсети, в SCCM пока тишина. Не цепляет он настройки.

    P.S. SCCM обновил данные. Подсеть появилась.

    • Изменено Dmitry Ivanov 17 сентября 2012 г. 9:35
    17 сентября 2012 г. 8:53
  • Что еще посоветуете?
    17 сентября 2012 г. 10:30
  • Ждите. Процесс не быстрый.


    Vladimir Zelenov | http://systemcenter4all.wordpress.com

    17 сентября 2012 г. 10:34
    Отвечающий
  • Понимаю :)
    17 сентября 2012 г. 10:43
  • Попробуйте создать границу на базе IP - IP Boundary и прописать в нее подсеть, в которой находится ваш клиент.


    Vladimir Zelenov | http://systemcenter4all.wordpress.com

    17 сентября 2012 г. 10:50
    Отвечающий
  • Можете создать границу из пула ip-адресов и добавить её в группу границ. В свойствах границы указано, что к ней могут привязываться клиенты? Добавлены точки распространения?

    Попробуйте на клиенте перезагрузить службу SMS Agent Host и смотрите логи ClientLocation и LocationServices.


    http://sccm.com.ua/

    17 сентября 2012 г. 10:57
    Отвечающий
  • Граница создана и добавлена в группу границ. Но пока ничего не изменилось. А где в свойствах границы указывается, что к ней могут привязаться клиенты? и Где добавляются точки распространения?

    P.S. Также не могу, понять почему при попытке указать Site code тут же появляется ошибка: configuration manager did not find a site to manage this client. На установленных вчера клиентах хоть все и работает, но также появляется ошибка при попытке найти сайт по коду. ?

    17 сентября 2012 г. 12:34
  • Еще нашел интересный момент, если открыть список Devices->All Systems, то среди прочего можно увидеть следующее:


    workgroup-PC был мной руками пресоздан в SCCM по MAC-адресу. WORKGROUP-PC - появился после успешной установки клиента (я об этом писал выше). workgroup-PC2 я не пресоздавал, он найден с помощью Network Discovery. Странно то, что workgroup-PC и WORKGROUP-PC - это одна виртуальная машина, но в списке 2 компа. И SCCM никак не может их смёрджить (т.е. понять, что это один и тот же девайс и вместо двух компов сделать один). Пытался удалять ради эксперимента workgroup-PC, WORKGROUP-PC и workgroup-PC2 - все равно все 3 появляются в списке заново.

    17 сентября 2012 г. 13:37
  • Граница создана и добавлена в группу границ. Но пока ничего не изменилось. А где в свойствах границы указывается, что к ней могут привязаться клиенты? и Где добавляются точки распространения?


    В свойствах группы границ на вкладке References.

    http://sccm.com.ua/

    17 сентября 2012 г. 13:42
    Отвечающий
  • Да, там все стоит:

    Use this boundary group for site assignment

    Assigned site: XXX domain management site

    site system servers:

    \\sccm.domain.com

    17 сентября 2012 г. 13:58
  • Мне кажется, что это проблема клиента, а не самого SCCM. Site code мне никак не изменить на нужный, хотя он указан в установочных ключах, но он не сохраняется.
    17 сентября 2012 г. 14:05
  • Это говорит о том, что клиент не может достучаться до точки управления, узнать свои границы и начать обмен с сервером.

    Vladimir Zelenov | http://systemcenter4all.wordpress.com

    18 сентября 2012 г. 7:52
    Отвечающий
  • А с чем это может быть связано? и куда копать? Тем более странно, что пара клиентов у меня установилась на прошлой неделе и до сих пор работает (с доменными, естественно, все ок)
    18 сентября 2012 г. 8:31
  • Нашел еще кой-чего в логах:

    https://skydrive.live.com/redir?resid=84850FC9E09E568C!192&authkey=!ADgh3VqOPs8yl0s

    Skipping DNS record of sccm.domain.com port 443 as it is not compatible with Client

    В чем может быть проблема несовместимости клиента с DNS записью об SCCM Managament Point?

    18 сентября 2012 г. 9:43
  • Привет!

    Есть еще какие-нибудь идеи?

    25 сентября 2012 г. 14:04