SCCM Clientinstallation: Computerabbilder und manuelle Installation

Es gibt unterschiedliche Methoden um System Center Configuration Manager Clients bereitzustellen. Eine dieser Methoden ist die Bereitstellung über Computerabbilder. Dabei wird die Clientsoftware auf einem Masterabbildcomputer vorinstalliert und bei Verwendung des Abbilds, ist der Client der Maschine zugeordnet. Zum installieren des Clients wird kein Standortcode verwendet. Nachdem das Abbild verwendet wird, durchläuft die Maschine die Clientinstallation und eine Standortzuweisung erfolgt. Danach kann der Client verwendet werden.

Computerabbild bereitstellen

  1. Zunächst erstellen wir ein Computerabbild

  2. Dann installieren wir manuell den Configuration Manager Client. Näheres hierzu im weiteren Verlauf des Artikels.

  3. Der Standortcode wird dabei nicht angegeben.

  4. Als nächstes stellen wir sicher, dass der Dienst „SMS-Agent-Host“ auf dem Masterabbild nicht ausgeführt wird. Dafür geben wir folgenden Befehl ein

net stop ccmexec

  1. Nun entfernen wir alle auf dem Masterabbild gespeicherten computerspezifischen Zertifikate, indem wir im privaten Speicher des Zertifikatmanagers die Zertifikate für Computer und Benutzer entfernen.

  2. Sofern der Active Directory Domänendienst nicht verfügbar ist, muss mit sogenannten Stammschlüsseln gearbeitet werden. Dazu später mehr.

  3. Erfasse das Mastercomputerabbild mit einer Imaging Software

  4. Abbild auf Zielcomputer bereitstellen

Manuelle Clientinstallation

Über die Datei CCMSetup.exe kann die SCCM-Clientsoftware installiert werden. Diese befindet sich im Installationsordner von System Center 2012 R2 Configuration Manager unter Client. Sollte über das Netzwerk auf die Datei zugegriffen werden

\\Servername\SMS-Standortcode\Client

werden Administratorrechte benötigt.

Bei Ausführung der Datei werden keine zusätzlichen Eigenschaften installiert. Der Client wird mit den Eigenschaften, die im Active Directory Domänendienst hinterlegt sind, konfiguriert. Voraussetzung hierfür ist der Zugriff auf den Active Directory Domänendienst. Sollte dies nicht der Fall sein, müssen die Stammschlüssel angepasst werden, dazu später mehr.

Die Installation kann auch über die PowerShell ausgeführt werden. Dafür wechseln wir in das Verzeichnis der Installationsdatei und führen die Datei mit dem Befehl

CCMSetup.exe

aus. Es können weitere Einstellungen angegeben werden, die Notwendig sind, wenn eine Konfiguration ohne Zugriff auf den Active Directory Domänendienst erfolgen soll.

Bei der Clientinstallation werden folgende Eigenschaften in Active Directory Domänendienst veröffentlicht:

-        Standortcode des Configuration Manager

-        Signaturzertifikat des Standortservers

-        vertrauenswürdige Stammschlüssel

-        Clientkommunikationsports über HTTP und HTTPS

-        Fallbackstatuspunkt

-        Angabe ob die Kommunikation ausschließlich über HTTPS erfolgt

-        PKI-Zertifikatseinstellungen

-        Clientinstallationseigenschaften für client.msi

Hierzu ein Beispiel:

CCMSetup.exe /MP:mpserver.testlab.com

Der Netzwerkort wird abgeändert und muss sich nicht in einer Boundary Group befinden.

Stammschlüssel

Durch vertrauenswürdige Stammschlüssel des Configuration Manager können Clients überprüfen, ob das Standortsystem der selben Hierarchie angehört. Ein Stammschlüssel ähnelt der Funktionsweise eines Stammzertifikats in einer Public Key-Infrastruktur. Die öffentliche Kopie des vertrauenswürdigen Stammschlüssels kann abgerufen werden indem Clients per Push installiert werden oder der Active Directory Domänendienst hat die benötigten Informationen veröffentlicht, so dass die Clients die Informationen abrufen können.

Wurde eine der beiden Schritte nicht durchgeführt oder ist nicht verfügbar, verwenden die Clients daraufhin den vertrauenswürdigen Stammschlüssel des ersten Verwaltungspunktes mit dem eine Kommunikation hergestellt werden kann. Dies kann Sicherheitsrisiken darstellen, weswegen den Clients vorab ein vertrauenswürdiger Stammschlüssel bereitgestellt werden sollte. Dies ist nicht notwendig, wenn eine Kommunikation zum Verwaltungspunkt über HTTPS erfolgt.

Der Stammschlüssel kann vorab auf dem Masterabbild bereitgestellt werden. Wenn die Clients in derselben Hierarchie bereitgestellt werden, kann dieser unverändert bleiben. Sollten die Clients sich in unterschiedlichen Hierarchien befinden, müssen die bestehenden Stammschlüssel entfernt und neu ausgestellt werden.

Eine genaue Anleitung zum vorab Bereitstellen von vertrauenswürdigen Stammschlüsseln sowie allgemeine Informationen zum Stammschlüssel finden Sie hier.