SCCM Clientinstallation: Computerabbilder und manuelle Installation
Es gibt unterschiedliche Methoden um System Center Configuration Manager Clients bereitzustellen. Eine dieser Methoden ist die Bereitstellung über Computerabbilder. Dabei wird die Clientsoftware auf einem Masterabbildcomputer vorinstalliert und bei Verwendung des Abbilds, ist der Client der Maschine zugeordnet. Zum installieren des Clients wird kein Standortcode verwendet. Nachdem das Abbild verwendet wird, durchläuft die Maschine die Clientinstallation und eine Standortzuweisung erfolgt. Danach kann der Client verwendet werden.
Computerabbild bereitstellen
Zunächst erstellen wir ein Computerabbild
Dann installieren wir manuell den Configuration Manager Client. Näheres hierzu im weiteren Verlauf des Artikels.
Der Standortcode wird dabei nicht angegeben.
Als nächstes stellen wir sicher, dass der Dienst „SMS-Agent-Host“ auf dem Masterabbild nicht ausgeführt wird. Dafür geben wir folgenden Befehl ein
net stop ccmexec
Nun entfernen wir alle auf dem Masterabbild gespeicherten computerspezifischen Zertifikate, indem wir im privaten Speicher des Zertifikatmanagers die Zertifikate für Computer und Benutzer entfernen.
Sofern der Active Directory Domänendienst nicht verfügbar ist, muss mit sogenannten Stammschlüsseln gearbeitet werden. Dazu später mehr.
Erfasse das Mastercomputerabbild mit einer Imaging Software
Abbild auf Zielcomputer bereitstellen
Manuelle Clientinstallation
Über die Datei CCMSetup.exe kann die SCCM-Clientsoftware installiert werden. Diese befindet sich im Installationsordner von System Center 2012 R2 Configuration Manager unter Client. Sollte über das Netzwerk auf die Datei zugegriffen werden
\\Servername\SMS-Standortcode\Client
werden Administratorrechte benötigt.
Bei Ausführung der Datei werden keine zusätzlichen Eigenschaften installiert. Der Client wird mit den Eigenschaften, die im Active Directory Domänendienst hinterlegt sind, konfiguriert. Voraussetzung hierfür ist der Zugriff auf den Active Directory Domänendienst. Sollte dies nicht der Fall sein, müssen die Stammschlüssel angepasst werden, dazu später mehr.
Die Installation kann auch über die PowerShell ausgeführt werden. Dafür wechseln wir in das Verzeichnis der Installationsdatei und führen die Datei mit dem Befehl
CCMSetup.exe
aus. Es können weitere Einstellungen angegeben werden, die Notwendig sind, wenn eine Konfiguration ohne Zugriff auf den Active Directory Domänendienst erfolgen soll.
Bei der Clientinstallation werden folgende Eigenschaften in Active Directory Domänendienst veröffentlicht:
- Standortcode des Configuration Manager
- Signaturzertifikat des Standortservers
- vertrauenswürdige Stammschlüssel
- Clientkommunikationsports über HTTP und HTTPS
- Fallbackstatuspunkt
- Angabe ob die Kommunikation ausschließlich über HTTPS erfolgt
- PKI-Zertifikatseinstellungen
- Clientinstallationseigenschaften für client.msi
Hierzu ein Beispiel:
CCMSetup.exe /MP:mpserver.testlab.com
Der Netzwerkort wird abgeändert und muss sich nicht in einer Boundary Group befinden.
Stammschlüssel
Durch vertrauenswürdige Stammschlüssel des Configuration Manager können Clients überprüfen, ob das Standortsystem der selben Hierarchie angehört. Ein Stammschlüssel ähnelt der Funktionsweise eines Stammzertifikats in einer Public Key-Infrastruktur. Die öffentliche Kopie des vertrauenswürdigen Stammschlüssels kann abgerufen werden indem Clients per Push installiert werden oder der Active Directory Domänendienst hat die benötigten Informationen veröffentlicht, so dass die Clients die Informationen abrufen können.
Wurde eine der beiden Schritte nicht durchgeführt oder ist nicht verfügbar, verwenden die Clients daraufhin den vertrauenswürdigen Stammschlüssel des ersten Verwaltungspunktes mit dem eine Kommunikation hergestellt werden kann. Dies kann Sicherheitsrisiken darstellen, weswegen den Clients vorab ein vertrauenswürdiger Stammschlüssel bereitgestellt werden sollte. Dies ist nicht notwendig, wenn eine Kommunikation zum Verwaltungspunkt über HTTPS erfolgt.
Der Stammschlüssel kann vorab auf dem Masterabbild bereitgestellt werden. Wenn die Clients in derselben Hierarchie bereitgestellt werden, kann dieser unverändert bleiben. Sollten die Clients sich in unterschiedlichen Hierarchien befinden, müssen die bestehenden Stammschlüssel entfernt und neu ausgestellt werden.
Eine genaue Anleitung zum vorab Bereitstellen von vertrauenswürdigen Stammschlüsseln sowie allgemeine Informationen zum Stammschlüssel finden Sie hier.
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 4