Minh Tran
Ingénieur MECM
INSTALLATION MECM
Table des matières
1. PRESENTATION INFRASTRUCTURE MECM 2
1.4 Fonctionnement du client 4
2. CONTROLEUR DE DOMAINE (DC) 4
2.3 Installation des rôles de serveurs du DC 6
2.6 Création des Unités Organisationnel (OU) 13
2.7 Ajout des machines dans votre domaine 17
2.8 Stratégie de groupe (GPO) 19
2.9 Vérification de l’application de la GPO 21
3.2 Rôles et Fonctionnalités 27
3.2 SQL Studio Management Service 34
3.7 Droits administration SQL 54
4.2 Rôles et Fonctionnalités 58
PRESENTATION INFRASTRUCTURE MECM
Description
MECM est une suite de logiciel pour gérer un groupe d’ordinateurs dans un domaine, il est composé de :
– Contrôleur de domaine (DC)
– Base SQL
– Point de gestion (MP)
– Point de distribution (DP)
– Point de mise à jour de logiciel (SUP)
– Services de mise à jour de Windows
Voici un schéma des différents composants du site primaire :
Prérequis des serveurs
Le tableau suivant vous indique les configurations pour différents serveurs.
Un point de gestion (MP) peut gérer jusqu’à 25 000 machines en condition optimal (80%)
Un point de distribution (DP) gère jusqu’à 4 000 machines.
Un utilisateur consomme au minimum 4 Mo d’espace de disque, ainsi on peut bien prévoir la taille du disque qui stockera toute la base de données SQL en fonction du nombre d’utilisateur possible dans le domaine.
Un Point de mise à jour de logiciel (SUP) gère jusqu’à 150 000 machines, mais nous vous conseillons de mettre autant de DP que de SUP (pour éviter un risque de crash du SUP).
Fonctionnement du MP
MECM permet de gérer via une console utilisant un provider pour :
- Lire la base SQL
- Gérer les déploiements des applications, des masters, des patchs, des mises à jour de sécurité
- Des inventaires logiciels et matériels
- De l’usage applicatif
- La protection antivirale
- Générer des rapports.
Fonctionnement du client
Le client consulte le MP dans son groupe de limite toutes les heures et récupère ces instructions, puis va consulter les DP dans son groupe de limite pour télécharger les packages dont il a besoin.
CONTROLEUR DE DOMAINE (DC)
Description
Le DC aura pour tâche de répondre aux demandes d’authentification et de contrôle des utilisateurs sur le réseau de son domaine.
Il permet de hiérarchiser les utilisateurs et les machines existant sur un même réseau, d’organiser et sécuriser toutes les données via l’active directory (AD).
Il contient les rôles DHCP, DNS, AD DS.
DHCP attribue des adresses IP aux machines via son étendue, le DNS est un service de résolution de noms de mappage, il traduit les noms de domaines en adresse IP.
Le service AD DS est un annuaire contenant toutes les ressources (utilisateurs et machines) du domaine.
Les utilisateurs et machines sont tous référencés dans le DC avec l’unité organisationnel.
Le DC établit une stratégie de groupe pour toutes les machines au sein du domaine.
On ajoute un container System Management pour attribuer des droits car MECM l’utilise pour publier les détails des points de gestion et des limites
On ajoute aussi l’extension de schémas au DC pour que MECM puisse ajouter des attributs dans AD.
Préparation du DC
Nous allons créer un domaine qui aura pour nom DOMNAME.local
Attribuer une IP fixe comme « 15.0.0.2 », une IP choisit pour des tests
Changer son nom de serveur.
Dans le « Gestionnaire de serveur » cliquez sur « Configurer ce serveur local »
Puis modifier le nom de l’ordinateur en « DC01 » et modifier son IP en « 15.0.0.2 »
Installation des rôles de serveurs du DC
Depuis le « Gestionnaire de serveur » cliquez sur « Ajouter des rôles et des fonctionnalités »
Ajoutez les rôles de serveurs :
-Serveur DHCP
-Serveur DNS
-Services AD DS
Cliquez sur « Suivant » jusqu’à cette fenêtre et « Installer »
Création du domaine
Depuis le « Gestionnaire de serveur », cliquez sur la bannière et cliquez sur « Promouvoir ce serveur en contrôleur de domaine »
Saisissez votre nom de domaine comme ceci « DOMNAME.local »
Saisissez votre mot de passe
Cliquez sur suivant jusqu’à cette fenêtre et « Installer »
Configuration DHCP
Depuis le « Gestionnaire de serveur », cliquez sur la bannière et « Terminer la configuration DHCP », vous pouvez voir votre nom de domaine depuis cette fenêtre
Ensuite « Valider » et « Fermer »
Création des Unités Organisationnel (OU)
Depuis le Gestionnaire de « Serveur > Outils > Utilisateurs et ordinateurs Active Directory »
Créez un nouveau Unité Organisation
Nommez le « NOM_DE DOMAINE », dans mon cas « DOMNAME »
Créez 2 autres OU dans le OU créé précédemment :
– SERVERS
– USERS
Dans l’OU SERVERS créez 1 groupe :
-GRP_DOMNAME_SRV
Créez aussi des nouveaux utilisateurs :
-MECMADM (Compte de service)
-MECMSQL (Compte utilisé pour la base SQL)
-MECMPUSH (Compte pour les push clients)
Ajoutez les dans GRP_DOMNAME_SRV
Sélectionner le GRP_DOMNAME_SRV > Propriétés > Membres >Ajouter > entrez mecm > Vérifier les noms > sélectionner les 3 comptes et valider
Dans types d’objets cochez « des ordinateurs »
Dans l’OU USERS créez 1 groupe :
-GRP_DOMNAME_USR
Les nouvelles machines qui entreront dans le domaine, vous devez les déplacer dans l’OU SERVERS et les ajouter
Dans l’OU USER créez 1 groupe :
-GRP_DOMNAME_USR
Ajout des machines dans votre domaine
D’abord vérifier que vous êtes sur le même commutateur Privé.
Sur votre nouvelle machine, fixer une IP fixe comme « 15.0.0.5 », modifier le nom de la machine et saisissez votre domaine
Sur votre DC et dans OU, déplacez votre nouvelle machine de « Computers » à « DOMNAME », « SERVERS » et l’ajoutez dans le groupe « GRP_DOMNAME_SRV »
Stratégie de groupe (GPO)
Nous allons créer une GPO où nous ouvrons tous les pares-feux concernant le Prive et le Domaine. Mais nous bloquerons le pare-feu Public dans un premier temps puis une fois que tout est opérationnel, nous refermerons les pares-feux et ouvrons des ports spécifiques pour une meilleure sécurité.
Depuis le Gestionnaire de Serveur > Outils > Gestion de stratégie de groupe
Développez jusqu’à votre domaine (DOMNAME.LOCAL)
Créez un nouvel objet GPO « GPO_DOMNAME » :
Modifier le :
Dans Configuration ordinateur> Stratégies > Paramètres Windows
>Paramètres de sécurité > Pare-feu Windows > Propriétés du Pare-feu Windows :
Désactiver le pare-feu du profil Privé et de Domaine (remettre les pares-feux en place en activant les ports à la fin de l’infrastucture)
Activer le pare-feu Public
Vérification de l’application de la GPO
Dans la « Gestion de stratégie de groupe », sélectionner votre GPO créée, puis cliquez sur « Paramètres » et vérifier que vos paramètres de pare-feu sont présents.
Dans notre cas dans « configuration ordinateur (Activée) » aucun paramètre de pare-feu n’est présent.
Pour régler notre souci retourner dans la GPO, nous allons activer une petite fonctionnalité pour forcer la mise à jour de la GPO. Pour cela allez dans « Modèles d’administration » et imprimantes et activez l’option « Activer l’impression Internet »
Puis revenez sur la gestion des GPO pour vérifier la mise à jour de la GPO dans « Paramètres » et vérifier que le profil de domaine et du privé affiche bien le pare-feu en « Désactivé ».
Sur votre nouvelle machine vérifier bien que le pare-feu de Windows est bien conforme à vos paramètres.
Groupe Restreint
Toujours dans la GPO rendez-vous sur le « Groupe Restreint » et créez 2 groupes « Administrateurs » et « Administrators »
Ajoutez ensuite les 2 groupes GRP_DOMNAME_USR, GRP_DOMNAME_SRV
Et « Administrateur de domaine » dans les 2 groupes créer
Container
Depuis le Gestionnaire de Serveur > Outils > Modification ADSI
Faites un clic droit sur Modification ADSI et « connexion » et validez
Développez jusqu’au dossier CN=System et créez un nouvel Objet
Selectionner « Container » et saisissez « System Management »
Validez
Retrouvez le Dossier « System Management » et entrez dans ces propriétés puis dans l’onglet « Sécurité » Ajoutez le groupe « GRP_DOMNAME_SRV » et attribuez le « Contrôle total ».
Dans « Avancé », sélectionnez le groupe « GRP_DOMNAME_DRV » puis « Modifier » pour modifier les autorisations à « cet objet et tous ces descendants »
Extension de schémas
Insérer le ISO MECM dans votre lecteur virtuel et allez dans ce chemin « D:\sccm 2103\SMSSETUP\BIN\X64 » puis exécuter le fichier « extadsch.exe »
Puis dans « C:\ » vérifier que l’extension de schéma est bien effectuée via le fichier « ExtADSch.log » et « Succesfully »
SERVEUR SQL
Description
Le serveur SQL est le serveur qui va stocker toute la base de données du site, il est installé de préférence sur un serveur à part par mesure de sécurité.
Pour savoir le matériel recommandé, visitez le site de Microsoft.
En général on choisit un serveur 8 cœur et 16 Go de Ram, pour la taille du disque dure on peut prévoir 4 Mo par utilisateur au minimum et il faut allouer que 80% de l’espace du disque pour le serveur SQL.
Rôles et Fonctionnalités
Depuis le gestionnaire de serveur cliquez sur « Ajouter des rôles et fonctionnalités »
-le rôle Serveur IIS
-les fonctionnalités RDC
-les fonctionnalités de Framework 3.5 et 4.7
-les fonctionnalités BITS
Cochez les services de rôles suivants :
Spécifiez le chemin sources
Prérequis
Installez le ADK
Ouvrez le dossier ADK et exécutez adksetup.exe > Suivant > Suivant
> Accepter > décochez les cases correspondantes et « Installer »
Installez le ADKWinPE
Ouvrez le dossier ADKWinPE et exécutez adkwinpesetup.exe > Next > Accept > Install
SQL Studio Management Service
Installer SQL Studio Management Service via « SSMS-Setup-FRA.exe »
Préparation de disque
Les bonnes pratiques vous conseillent de préparer un disque pour stocker la base de données.
Sur votre Hyper-V ajouter un disque pour SQL
Ensuite cliquez sur Nouveau
Modifier le nom et sélectionner l’emplacement du VHDX.
Sur votre serveur SQL, ouvrez le gestionnaire de disque en faisant un clic droit sur Windows
Mettez le disque en ligne et crée un nouveau volume simple
Puis choisissez une lettre de lecteur de disque
Valider, lors de l’installation de la base SQL vous pouvez créer un dossier SQL pour choisir l’emplacement
SQL Serveur
Les bonnes pratiques préconisent de mettre en place un disque dédié (partition dédié) pour recevoir toute la base de SQL.
Installez le SQL Serveur via « SQLServer2019-x64-FRA.iso »
Cliquez sur « Suivant » jusqu’à « Sélection de fonctionnalités » et cochez Services Moteur de base de données
Créez une nouvelle instance « SQLDOMNAME » et suivant
Choisissez le compte « MECMSQL » et mettre tout en « Automatique »
Dans Classement cliquer sur « Personnaliser » et cochez « Classement SQL … » et choisissez « SQL_Latin1_General_CP1_CI_AS »
Dans Configuration du serveur ajoutez les comptes
-MECMADM (utilisateur actuel)
-MECMSQL
-Administrateur du domaine
Dans « Mémoire » cochez Recommandé et « Cliquer ici pour… »
(Sur un vrai serveur SQL mettez 8Go RAM)
Enfin « Installer », vous avez installé SQL avec une nouvelle instance.
Activation des ports
Ouvrez le « Gestionnaire de configuration SQL » puis dans « Configuration du réseau SQL » et « Protocoles pour SQL… »
Allez dans propriétés du « TCP/IP »
Dans l’onglet « Adresses IP », tout en bas, « IP all » ajouter le port 1433 dans port TCP et vider les ports dynamiques
Reporting Services
Installez Reporting Services avec « SQLServerReportingServices.exe »
Cliquez « Suivants » « Installer » « Configurer le serveur de rapports »
Se connecter au SSRS
Dans « Comptes de service » changer en « Compte de service virtuel »
Puis « Appliquer »
Dans l’URL du Service Web « Appliquer »
Dans « Base de données » > Modifier la base de données > Suivant et valider
Droits administration SQL
Lors de votre vérification des droits de l’installation MECM, il se peut que vous avez ce message d’échec. Cela se produit généralement lorsque vous configurez un nouvel environnement SCCM avec un serveur de base de données SQL distant.
Pour résoudre cette erreur ajoutez le nom du serveur SCCM dans les administrateurs locaux du serveur SQL, pour cela rendez-vous sur votre serveur SQL et faites un clic droit sur Windows et ouvrez « Gestion de l’ordinateur »
Puis allez dans « Propriétés » ensuite « Ajouter » pour ajouter votre compte machine « MP01 »
Puis validez
POINT DE GESTION
Descriptions
Le point de gestion va communiquer avec tous les clients dans son groupe limite de site pour leur donner des instructions comme installer une application ou faire l’inventaire matérielle et logicielle.
Le MP gère jusqu’à 25000 machines en condition optimale par mesure de précaution on prend en compte que 80% de ce chiffre en général.
Rôles et Fonctionnalités
Sur le point de gestion (MP) installez :
-le rôle Serveur IIS
-les fonctionnalités RDC
-les fonctionnalités de Framework 3.5 et 4.7
-les fonctionnalités BITS
-ADK
-ADKWinPE
(Tuto voir la partie sur SQL)
Après ces installations vous pouvez commencer à installer MECM sur le MP
CONSOLE MECM
Description
La console MECM interagit avec le SMS Fournisseur (SMS Provider) pour afficher les données de la base SQL
L’installation de la console est lente et a beaucoup d’étapes importantes.
Installation
Lancer le fichier « splash.rta »
Choisissez la version d’évaluation
Choisissez le dossier « sccm temp »
Vérifier que la version anglaise et française soit cocher
Remplissez le « Code de site » et le « Nom du site »
Choisissez le site autonome 
Saisissez le nom du serveur SQL et l’instance installé précédemment
Puis cliquez sur « Suivant »
Puis cliquez sur « Suivant »
Choisissez la méthode de communication sur chaque rôle de système de site
Puis cliquez sur « Suivant » puis encore « Suivant »
Choisissez « Ignorer pour le moment »
Puis « Suivant »
Enfin « Installer » et PATIENTER 2-4 Heures au moins
Une fois MECM installer et 2-4h d’attente passée, lancez la console MECM
Depuis le Menu Démarrer > Microsoft Endpoint Manager> Console Configuration Manager
Voilà pour l’installation de votre console MECM.
Lors du prochain article, nous vous montrerons les premiers pas sur la console MECM.
Minh Tran
Ingénieur MECM
INSTALLATION MECM
Table des matières
1. PRESENTATION INFRASTRUCTURE MECM 2
1.4 Fonctionnement du client 4
2. CONTROLEUR DE DOMAINE (DC) 4
2.3 Installation des rôles de serveurs du DC 6
2.6 Création des Unités Organisationnel (OU) 13
2.7 Ajout des machines dans votre domaine 17
2.8 Stratégie de groupe (GPO) 19
2.9 Vérification de l’application de la GPO 21
3.2 Rôles et Fonctionnalités 27
3.2 SQL Studio Management Service 34
3.7 Droits administration SQL 54
4.2 Rôles et Fonctionnalités 58
PRESENTATION INFRASTRUCTURE MECM
Description
MECM est une suite de logiciel pour gérer un groupe d’ordinateurs dans un domaine, il est composé de :
– Contrôleur de domaine (DC)
– Base SQL
– Point de gestion (MP)
– Point de distribution (DP)
– Point de mise à jour de logiciel (SUP)
– Services de mise à jour de Windows
Voici un schéma des différents composants du site primaire :
Prérequis des serveurs
Le tableau suivant vous indique les configurations pour différents serveurs.
Un point de gestion (MP) peut gérer jusqu’à 25 000 machines en condition optimal (80%)
Un point de distribution (DP) gère jusqu’à 4 000 machines.
Un utilisateur consomme au minimum 4 Mo d’espace de disque, ainsi on peut bien prévoir la taille du disque qui stockera toute la base de données SQL en fonction du nombre d’utilisateur possible dans le domaine.
Un Point de mise à jour de logiciel (SUP) gère jusqu’à 150 000 machines, mais nous vous conseillons de mettre autant de DP que de SUP (pour éviter un risque de crash du SUP).
Fonctionnement du MP
MECM permet de gérer via une console utilisant un provider pour :
- Lire la base SQL
- Gérer les déploiements des applications, des masters, des patchs, des mises à jour de sécurité
- Des inventaires logiciels et matériels
- De l’usage applicatif
- La protection antivirale
- Générer des rapports.
Fonctionnement du client
Le client consulte le MP dans son groupe de limite toutes les heures et récupère ces instructions, puis va consulter les DP dans son groupe de limite pour télécharger les packages dont il a besoin.
CONTROLEUR DE DOMAINE (DC)
Description
Le DC aura pour tâche de répondre aux demandes d’authentification et de contrôle des utilisateurs sur le réseau de son domaine.
Il permet de hiérarchiser les utilisateurs et les machines existant sur un même réseau, d’organiser et sécuriser toutes les données via l’active directory (AD).
Il contient les rôles DHCP, DNS, AD DS.
DHCP attribue des adresses IP aux machines via son étendue, le DNS est un service de résolution de noms de mappage, il traduit les noms de domaines en adresse IP.
Le service AD DS est un annuaire contenant toutes les ressources (utilisateurs et machines) du domaine.
Les utilisateurs et machines sont tous référencés dans le DC avec l’unité organisationnel.
Le DC établit une stratégie de groupe pour toutes les machines au sein du domaine.
On ajoute un container System Management pour attribuer des droits car MECM l’utilise pour publier les détails des points de gestion et des limites
On ajoute aussi l’extension de schémas au DC pour que MECM puisse ajouter des attributs dans AD.
Préparation du DC
Nous allons créer un domaine qui aura pour nom DOMNAME.local
Attribuer une IP fixe comme « 15.0.0.2 », une IP choisit pour des tests
Changer son nom de serveur.
Dans le « Gestionnaire de serveur » cliquez sur « Configurer ce serveur local »
Puis modifier le nom de l’ordinateur en « DC01 » et modifier son IP en « 15.0.0.2 »
Installation des rôles de serveurs du DC
Depuis le « Gestionnaire de serveur » cliquez sur « Ajouter des rôles et des fonctionnalités »
Ajoutez les rôles de serveurs :
-Serveur DHCP
-Serveur DNS
-Services AD DS
Cliquez sur « Suivant » jusqu’à cette fenêtre et « Installer »
Création du domaine
Depuis le « Gestionnaire de serveur », cliquez sur la bannière et cliquez sur « Promouvoir ce serveur en contrôleur de domaine »
Saisissez votre nom de domaine comme ceci « DOMNAME.local »
Saisissez votre mot de passe
Cliquez sur suivant jusqu’à cette fenêtre et « Installer »
Configuration DHCP
Depuis le « Gestionnaire de serveur », cliquez sur la bannière et « Terminer la configuration DHCP », vous pouvez voir votre nom de domaine depuis cette fenêtre
Ensuite « Valider » et « Fermer »
Création des Unités Organisationnel (OU)
Depuis le Gestionnaire de « Serveur > Outils > Utilisateurs et ordinateurs Active Directory »
Créez un nouveau Unité Organisation
Nommez le « NOM_DE DOMAINE », dans mon cas « DOMNAME »
Créez 2 autres OU dans le OU créé précédemment :
– SERVERS
– USERS
Dans l’OU SERVERS créez 1 groupe :
-GRP_DOMNAME_SRV
Créez aussi des nouveaux utilisateurs :
-MECMADM (Compte de service)
-MECMSQL (Compte utilisé pour la base SQL)
-MECMPUSH (Compte pour les push clients)
Ajoutez les dans GRP_DOMNAME_SRV
Sélectionner le GRP_DOMNAME_SRV > Propriétés > Membres >Ajouter > entrez mecm > Vérifier les noms > sélectionner les 3 comptes et valider
Dans types d’objets cochez « des ordinateurs »
Dans l’OU USERS créez 1 groupe :
-GRP_DOMNAME_USR
Les nouvelles machines qui entreront dans le domaine, vous devez les déplacer dans l’OU SERVERS et les ajouter
Dans l’OU USER créez 1 groupe :
-GRP_DOMNAME_USR
Ajout des machines dans votre domaine
D’abord vérifier que vous êtes sur le même commutateur Privé.
Sur votre nouvelle machine, fixer une IP fixe comme « 15.0.0.5 », modifier le nom de la machine et saisissez votre domaine
Sur votre DC et dans OU, déplacez votre nouvelle machine de « Computers » à « DOMNAME », « SERVERS » et l’ajoutez dans le groupe « GRP_DOMNAME_SRV »
Stratégie de groupe (GPO)
Nous allons créer une GPO où nous ouvrons tous les pares-feux concernant le Prive et le Domaine. Mais nous bloquerons le pare-feu Public dans un premier temps puis une fois que tout est opérationnel, nous refermerons les pares-feux et ouvrons des ports spécifiques pour une meilleure sécurité.
Depuis le Gestionnaire de Serveur > Outils > Gestion de stratégie de groupe
Développez jusqu’à votre domaine (DOMNAME.LOCAL)
Créez un nouvel objet GPO « GPO_DOMNAME » :
Modifier le :
Dans Configuration ordinateur> Stratégies > Paramètres Windows
>Paramètres de sécurité > Pare-feu Windows > Propriétés du Pare-feu Windows :
Désactiver le pare-feu du profil Privé et de Domaine (remettre les pares-feux en place en activant les ports à la fin de l’infrastucture)
Activer le pare-feu Public
Vérification de l’application de la GPO
Dans la « Gestion de stratégie de groupe », sélectionner votre GPO créée, puis cliquez sur « Paramètres » et vérifier que vos paramètres de pare-feu sont présents.
Dans notre cas dans « configuration ordinateur (Activée) » aucun paramètre de pare-feu n’est présent.
Pour régler notre souci retourner dans la GPO, nous allons activer une petite fonctionnalité pour forcer la mise à jour de la GPO. Pour cela allez dans « Modèles d’administration » et imprimantes et activez l’option « Activer l’impression Internet »
Puis revenez sur la gestion des GPO pour vérifier la mise à jour de la GPO dans « Paramètres » et vérifier que le profil de domaine et du privé affiche bien le pare-feu en « Désactivé ».
Sur votre nouvelle machine vérifier bien que le pare-feu de Windows est bien conforme à vos paramètres.
Groupe Restreint
Toujours dans la GPO rendez-vous sur le « Groupe Restreint » et créez 2 groupes « Administrateurs » et « Administrators »
Ajoutez ensuite les 2 groupes GRP_DOMNAME_USR, GRP_DOMNAME_SRV
Et « Administrateur de domaine » dans les 2 groupes créer
Container
Depuis le Gestionnaire de Serveur > Outils > Modification ADSI
Faites un clic droit sur Modification ADSI et « connexion » et validez
Développez jusqu’au dossier CN=System et créez un nouvel Objet
Selectionner « Container » et saisissez « System Management »
Validez
Retrouvez le Dossier « System Management » et entrez dans ces propriétés puis dans l’onglet « Sécurité » Ajoutez le groupe « GRP_DOMNAME_SRV » et attribuez le « Contrôle total ».
Dans « Avancé », sélectionnez le groupe « GRP_DOMNAME_DRV » puis « Modifier » pour modifier les autorisations à « cet objet et tous ces descendants »
Extension de schémas
Insérer le ISO MECM dans votre lecteur virtuel et allez dans ce chemin « D:\sccm 2103\SMSSETUP\BIN\X64 » puis exécuter le fichier « extadsch.exe »
Puis dans « C:\ » vérifier que l’extension de schéma est bien effectuée via le fichier « ExtADSch.log » et « Succesfully »
SERVEUR SQL
Description
Le serveur SQL est le serveur qui va stocker toute la base de données du site, il est installé de préférence sur un serveur à part par mesure de sécurité.
Pour savoir le matériel recommandé, visitez le site de Microsoft.
En général on choisit un serveur 8 cœur et 16 Go de Ram, pour la taille du disque dure on peut prévoir 4 Mo par utilisateur au minimum et il faut allouer que 80% de l’espace du disque pour le serveur SQL.
Rôles et Fonctionnalités
Depuis le gestionnaire de serveur cliquez sur « Ajouter des rôles et fonctionnalités »
-le rôle Serveur IIS
-les fonctionnalités RDC
-les fonctionnalités de Framework 3.5 et 4.7
-les fonctionnalités BITS
Cochez les services de rôles suivants :
Spécifiez le chemin sources
Prérequis
Installez le ADK
Ouvrez le dossier ADK et exécutez adksetup.exe > Suivant > Suivant
> Accepter > décochez les cases correspondantes et « Installer »
Installez le ADKWinPE
Ouvrez le dossier ADKWinPE et exécutez adkwinpesetup.exe > Next > Accept > Install
SQL Studio Management Service
Installer SQL Studio Management Service via « SSMS-Setup-FRA.exe »
Préparation de disque
Les bonnes pratiques vous conseillent de préparer un disque pour stocker la base de données.
Sur votre Hyper-V ajouter un disque pour SQL
Ensuite cliquez sur Nouveau
Modifier le nom et sélectionner l’emplacement du VHDX.
Sur votre serveur SQL, ouvrez le gestionnaire de disque en faisant un clic droit sur Windows
Mettez le disque en ligne et crée un nouveau volume simple
Puis choisissez une lettre de lecteur de disque
Valider, lors de l’installation de la base SQL vous pouvez créer un dossier SQL pour choisir l’emplacement
SQL Serveur
Les bonnes pratiques préconisent de mettre en place un disque dédié (partition dédié) pour recevoir toute la base de SQL.
Installez le SQL Serveur via « SQLServer2019-x64-FRA.iso »
Cliquez sur « Suivant » jusqu’à « Sélection de fonctionnalités » et cochez Services Moteur de base de données
Créez une nouvelle instance « SQLDOMNAME » et suivant
Choisissez le compte « MECMSQL » et mettre tout en « Automatique »
Dans Classement cliquer sur « Personnaliser » et cochez « Classement SQL … » et choisissez « SQL_Latin1_General_CP1_CI_AS »
Dans Configuration du serveur ajoutez les comptes
-MECMADM (utilisateur actuel)
-MECMSQL
-Administrateur du domaine
Dans « Mémoire » cochez Recommandé et « Cliquer ici pour… »
(Sur un vrai serveur SQL mettez 8Go RAM)
Enfin « Installer », vous avez installé SQL avec une nouvelle instance.
Activation des ports
Ouvrez le « Gestionnaire de configuration SQL » puis dans « Configuration du réseau SQL » et « Protocoles pour SQL… »
Allez dans propriétés du « TCP/IP »
Dans l’onglet « Adresses IP », tout en bas, « IP all » ajouter le port 1433 dans port TCP et vider les ports dynamiques
Reporting Services
Installez Reporting Services avec « SQLServerReportingServices.exe »
Cliquez « Suivants » « Installer » « Configurer le serveur de rapports »
Se connecter au SSRS
Dans « Comptes de service » changer en « Compte de service virtuel »
Puis « Appliquer »
Dans l’URL du Service Web « Appliquer »
Dans « Base de données » > Modifier la base de données > Suivant et valider
Droits administration SQL
Lors de votre vérification des droits de l’installation MECM, il se peut que vous avez ce message d’échec. Cela se produit généralement lorsque vous configurez un nouvel environnement SCCM avec un serveur de base de données SQL distant.
Pour résoudre cette erreur ajoutez le nom du serveur SCCM dans les administrateurs locaux du serveur SQL, pour cela rendez-vous sur votre serveur SQL et faites un clic droit sur Windows et ouvrez « Gestion de l’ordinateur »
Puis allez dans « Propriétés » ensuite « Ajouter » pour ajouter votre compte machine « MP01 »
Puis validez
POINT DE GESTION
Descriptions
Le point de gestion va communiquer avec tous les clients dans son groupe limite de site pour leur donner des instructions comme installer une application ou faire l’inventaire matérielle et logicielle.
Le MP gère jusqu’à 25000 machines en condition optimale par mesure de précaution on prend en compte que 80% de ce chiffre en général.
Rôles et Fonctionnalités
Sur le point de gestion (MP) installez :
-le rôle Serveur IIS
-les fonctionnalités RDC
-les fonctionnalités de Framework 3.5 et 4.7
-les fonctionnalités BITS
-ADK
-ADKWinPE
(Tuto voir la partie sur SQL)
Après ces installations vous pouvez commencer à installer MECM sur le MP
CONSOLE MECM
Description
La console MECM interagit avec le SMS Fournisseur (SMS Provider) pour afficher les données de la base SQL
L’installation de la console est lente et a beaucoup d’étapes importantes.
Installation
Lancer le fichier « splash.rta »
Choisissez la version d’évaluation
Choisissez le dossier « sccm temp »
Vérifier que la version anglaise et française soit cocher
Remplissez le « Code de site » et le « Nom du site »
Choisissez le site autonome
Saisissez le nom du serveur SQL et l’instance installé précédemment
Puis cliquez sur « Suivant »
Puis cliquez sur « Suivant »
Choisissez la méthode de communication sur chaque rôle de système de site
Puis cliquez sur « Suivant » puis encore « Suivant »
Choisissez « Ignorer pour le moment »
Puis « Suivant »
Enfin « Installer » et PATIENTER 2-4 Heures au moins
Une fois MECM installer et 2-4h d’attente passée, lancez la console MECM
Depuis le Menu Démarrer > Microsoft Endpoint Manager> Console Configuration Manager
Voilà pour l’installation de votre console MECM.
Lors du prochain article, nous vous montrerons les premiers pas sur la console MECM.
Minh Tran
Ingénieur MECM
INSTALLATION MECM
Table des matières
1. PRESENTATION INFRASTRUCTURE MECM 2
1.4 Fonctionnement du client 4
2. CONTROLEUR DE DOMAINE (DC) 4
2.3 Installation des rôles de serveurs du DC 6
2.6 Création des Unités Organisationnel (OU) 13
2.7 Ajout des machines dans votre domaine 17
2.8 Stratégie de groupe (GPO) 19
2.9 Vérification de l’application de la GPO 21
3.2 Rôles et Fonctionnalités 27
3.2 SQL Studio Management Service 34
3.7 Droits administration SQL 54
4.2 Rôles et Fonctionnalités 58
PRESENTATION INFRASTRUCTURE MECM
Description
MECM est une suite de logiciel pour gérer un groupe d’ordinateurs dans un domaine, il est composé de :
– Contrôleur de domaine (DC)
– Base SQL
– Point de gestion (MP)
– Point de distribution (DP)
– Point de mise à jour de logiciel (SUP)
– Services de mise à jour de Windows
Voici un schéma des différents composants du site primaire :
Prérequis des serveurs
Le tableau suivant vous indique les configurations pour différents serveurs.
Un point de gestion (MP) peut gérer jusqu’à 25 000 machines en condition optimal (80%)
Un point de distribution (DP) gère jusqu’à 4 000 machines.
Un utilisateur consomme au minimum 4 Mo d’espace de disque, ainsi on peut bien prévoir la taille du disque qui stockera toute la base de données SQL en fonction du nombre d’utilisateur possible dans le domaine.
Un Point de mise à jour de logiciel (SUP) gère jusqu’à 150 000 machines, mais nous vous conseillons de mettre autant de DP que de SUP (pour éviter un risque de crash du SUP).
Fonctionnement du MP
MECM permet de gérer via une console utilisant un provider pour :
- Lire la base SQL
- Gérer les déploiements des applications, des masters, des patchs, des mises à jour de sécurité
- Des inventaires logiciels et matériels
- De l’usage applicatif
- La protection antivirale
- Générer des rapports.
Fonctionnement du client
Le client consulte le MP dans son groupe de limite toutes les heures et récupère ces instructions, puis va consulter les DP dans son groupe de limite pour télécharger les packages dont il a besoin.
CONTROLEUR DE DOMAINE (DC)
Description
Le DC aura pour tâche de répondre aux demandes d’authentification et de contrôle des utilisateurs sur le réseau de son domaine.
Il permet de hiérarchiser les utilisateurs et les machines existant sur un même réseau, d’organiser et sécuriser toutes les données via l’active directory (AD).
Il contient les rôles DHCP, DNS, AD DS.
DHCP attribue des adresses IP aux machines via son étendue, le DNS est un service de résolution de noms de mappage, il traduit les noms de domaines en adresse IP.
Le service AD DS est un annuaire contenant toutes les ressources (utilisateurs et machines) du domaine.
Les utilisateurs et machines sont tous référencés dans le DC avec l’unité organisationnel.
Le DC établit une stratégie de groupe pour toutes les machines au sein du domaine.
On ajoute un container System Management pour attribuer des droits car MECM l’utilise pour publier les détails des points de gestion et des limites
On ajoute aussi l’extension de schémas au DC pour que MECM puisse ajouter des attributs dans AD.
Préparation du DC
Nous allons créer un domaine qui aura pour nom DOMNAME.local
Attribuer une IP fixe comme « 15.0.0.2 », une IP choisit pour des tests
Changer son nom de serveur.
Dans le « Gestionnaire de serveur » cliquez sur « Configurer ce serveur local »
Puis modifier le nom de l’ordinateur en « DC01 » et modifier son IP en « 15.0.0.2 »
Installation des rôles de serveurs du DC
Depuis le « Gestionnaire de serveur » cliquez sur « Ajouter des rôles et des fonctionnalités »
Ajoutez les rôles de serveurs :
-Serveur DHCP
-Serveur DNS
-Services AD DS
Cliquez sur « Suivant » jusqu’à cette fenêtre et « Installer »
Création du domaine
Depuis le « Gestionnaire de serveur », cliquez sur la bannière et cliquez sur « Promouvoir ce serveur en contrôleur de domaine »
Saisissez votre nom de domaine comme ceci « DOMNAME.local »
Saisissez votre mot de passe
Cliquez sur suivant jusqu’à cette fenêtre et « Installer »
Configuration DHCP
Depuis le « Gestionnaire de serveur », cliquez sur la bannière et « Terminer la configuration DHCP », vous pouvez voir votre nom de domaine depuis cette fenêtre
Ensuite « Valider » et « Fermer »
Création des Unités Organisationnel (OU)
Depuis le Gestionnaire de « Serveur > Outils > Utilisateurs et ordinateurs Active Directory »
Créez un nouveau Unité Organisation
Nommez le « NOM_DE DOMAINE », dans mon cas « DOMNAME »
Créez 2 autres OU dans le OU créé précédemment :
– SERVERS
– USERS
Dans l’OU SERVERS créez 1 groupe :
-GRP_DOMNAME_SRV
Créez aussi des nouveaux utilisateurs :
-MECMADM (Compte de service)
-MECMSQL (Compte utilisé pour la base SQL)
-MECMPUSH (Compte pour les push clients)
Ajoutez les dans GRP_DOMNAME_SRV
Sélectionner le GRP_DOMNAME_SRV > Propriétés > Membres >Ajouter > entrez mecm > Vérifier les noms > sélectionner les 3 comptes et valider
Dans types d’objets cochez « des ordinateurs »
Dans l’OU USERS créez 1 groupe :
-GRP_DOMNAME_USR
Les nouvelles machines qui entreront dans le domaine, vous devez les déplacer dans l’OU SERVERS et les ajouter
Dans l’OU USER créez 1 groupe :
-GRP_DOMNAME_USR
Ajout des machines dans votre domaine
D’abord vérifier que vous êtes sur le même commutateur Privé.
Sur votre nouvelle machine, fixer une IP fixe comme « 15.0.0.5 », modifier le nom de la machine et saisissez votre domaine
Sur votre DC et dans OU, déplacez votre nouvelle machine de « Computers » à « DOMNAME », « SERVERS » et l’ajoutez dans le groupe « GRP_DOMNAME_SRV »
Stratégie de groupe (GPO)
Nous allons créer une GPO où nous ouvrons tous les pares-feux concernant le Prive et le Domaine. Mais nous bloquerons le pare-feu Public dans un premier temps puis une fois que tout est opérationnel, nous refermerons les pares-feux et ouvrons des ports spécifiques pour une meilleure sécurité.
Depuis le Gestionnaire de Serveur > Outils > Gestion de stratégie de groupe
Développez jusqu’à votre domaine (DOMNAME.LOCAL)
Créez un nouvel objet GPO « GPO_DOMNAME » :
Modifier le :
Dans Configuration ordinateur> Stratégies > Paramètres Windows
>Paramètres de sécurité > Pare-feu Windows > Propriétés du Pare-feu Windows :
Désactiver le pare-feu du profil Privé et de Domaine (remettre les pares-feux en place en activant les ports à la fin de l’infrastucture)
Activer le pare-feu Public
Vérification de l’application de la GPO
Dans la « Gestion de stratégie de groupe », sélectionner votre GPO créée, puis cliquez sur « Paramètres » et vérifier que vos paramètres de pare-feu sont présents.
Dans notre cas dans « configuration ordinateur (Activée) » aucun paramètre de pare-feu n’est présent.
Pour régler notre souci retourner dans la GPO, nous allons activer une petite fonctionnalité pour forcer la mise à jour de la GPO. Pour cela allez dans « Modèles d’administration » et imprimantes et activez l’option « Activer l’impression Internet »
Puis revenez sur la gestion des GPO pour vérifier la mise à jour de la GPO dans « Paramètres » et vérifier que le profil de domaine et du privé affiche bien le pare-feu en « Désactivé ».
Sur votre nouvelle machine vérifier bien que le pare-feu de Windows est bien conforme à vos paramètres.
Groupe Restreint
Toujours dans la GPO rendez-vous sur le « Groupe Restreint » et créez 2 groupes « Administrateurs » et « Administrators »
Ajoutez ensuite les 2 groupes GRP_DOMNAME_USR, GRP_DOMNAME_SRV
Et « Administrateur de domaine » dans les 2 groupes créer
Container
Depuis le Gestionnaire de Serveur > Outils > Modification ADSI
Faites un clic droit sur Modification ADSI et « connexion » et validez
Développez jusqu’au dossier CN=System et créez un nouvel Objet
Selectionner « Container » et saisissez « System Management »
Validez
Retrouvez le Dossier « System Management » et entrez dans ces propriétés puis dans l’onglet « Sécurité » Ajoutez le groupe « GRP_DOMNAME_SRV » et attribuez le « Contrôle total ».
Dans « Avancé », sélectionnez le groupe « GRP_DOMNAME_DRV » puis « Modifier » pour modifier les autorisations à « cet objet et tous ces descendants »
Extension de schémas
Insérer le ISO MECM dans votre lecteur virtuel et allez dans ce chemin « D:\sccm 2103\SMSSETUP\BIN\X64 » puis exécuter le fichier « extadsch.exe »
Puis dans « C:\ » vérifier que l’extension de schéma est bien effectuée via le fichier « ExtADSch.log » et « Succesfully »
SERVEUR SQL
Description
Le serveur SQL est le serveur qui va stocker toute la base de données du site, il est installé de préférence sur un serveur à part par mesure de sécurité.
Pour savoir le matériel recommandé, visitez le site de Microsoft.
En général on choisit un serveur 8 cœur et 16 Go de Ram, pour la taille du disque dure on peut prévoir 4 Mo par utilisateur au minimum et il faut allouer que 80% de l’espace du disque pour le serveur SQL.
Rôles et Fonctionnalités
Depuis le gestionnaire de serveur cliquez sur « Ajouter des rôles et fonctionnalités »
-le rôle Serveur IIS
-les fonctionnalités RDC
-les fonctionnalités de Framework 3.5 et 4.7
-les fonctionnalités BITS
Cochez les services de rôles suivants :
Spécifiez le chemin sources
Prérequis
Installez le ADK
Ouvrez le dossier ADK et exécutez adksetup.exe > Suivant > Suivant
> Accepter > décochez les cases correspondantes et « Installer »
Installez le ADKWinPE
Ouvrez le dossier ADKWinPE et exécutez adkwinpesetup.exe > Next > Accept > Install
SQL Studio Management Service
Installer SQL Studio Management Service via « SSMS-Setup-FRA.exe »
Préparation de disque
Les bonnes pratiques vous conseillent de préparer un disque pour stocker la base de données.
Sur votre Hyper-V ajouter un disque pour SQL
Ensuite cliquez sur Nouveau
Modifier le nom et sélectionner l’emplacement du VHDX.
Sur votre serveur SQL, ouvrez le gestionnaire de disque en faisant un clic droit sur Windows
Mettez le disque en ligne et crée un nouveau volume simple
Puis choisissez une lettre de lecteur de disque
Valider, lors de l’installation de la base SQL vous pouvez créer un dossier SQL pour choisir l’emplacement
SQL Serveur
Les bonnes pratiques préconisent de mettre en place un disque dédié (partition dédié) pour recevoir toute la base de SQL.
Installez le SQL Serveur via « SQLServer2019-x64-FRA.iso »
Cliquez sur « Suivant » jusqu’à « Sélection de fonctionnalités » et cochez Services Moteur de base de données
Créez une nouvelle instance « SQLDOMNAME » et suivant
Choisissez le compte « MECMSQL » et mettre tout en « Automatique »
Dans Classement cliquer sur « Personnaliser » et cochez « Classement SQL … » et choisissez « SQL_Latin1_General_CP1_CI_AS »
Dans Configuration du serveur ajoutez les comptes
-MECMADM (utilisateur actuel)
-MECMSQL
-Administrateur du domaine
Dans « Mémoire » cochez Recommandé et « Cliquer ici pour… »
(Sur un vrai serveur SQL mettez 8Go RAM)
Enfin « Installer », vous avez installé SQL avec une nouvelle instance.
Activation des ports
Ouvrez le « Gestionnaire de configuration SQL » puis dans « Configuration du réseau SQL » et « Protocoles pour SQL… »
Allez dans propriétés du « TCP/IP »
Dans l’onglet « Adresses IP », tout en bas, « IP all » ajouter le port 1433 dans port TCP et vider les ports dynamiques
Reporting Services
Installez Reporting Services avec « SQLServerReportingServices.exe »
Cliquez « Suivants » « Installer » « Configurer le serveur de rapports »
Se connecter au SSRS
Dans « Comptes de service » changer en « Compte de service virtuel »
Puis « Appliquer »
Dans l’URL du Service Web « Appliquer »
Dans « Base de données » > Modifier la base de données > Suivant et valider
Droits administration SQL
Lors de votre vérification des droits de l’installation MECM, il se peut que vous avez ce message d’échec. Cela se produit généralement lorsque vous configurez un nouvel environnement SCCM avec un serveur de base de données SQL distant.
Pour résoudre cette erreur ajoutez le nom du serveur SCCM dans les administrateurs locaux du serveur SQL, pour cela rendez-vous sur votre serveur SQL et faites un clic droit sur Windows et ouvrez « Gestion de l’ordinateur »
Puis allez dans « Propriétés » ensuite « Ajouter » pour ajouter votre compte machine « MP01 »
Puis validez
POINT DE GESTION
Descriptions
Le point de gestion va communiquer avec tous les clients dans son groupe limite de site pour leur donner des instructions comme installer une application ou faire l’inventaire matérielle et logicielle.
Le MP gère jusqu’à 25000 machines en condition optimale par mesure de précaution on prend en compte que 80% de ce chiffre en général.
Rôles et Fonctionnalités
Sur le point de gestion (MP) installez :
-le rôle Serveur IIS
-les fonctionnalités RDC
-les fonctionnalités de Framework 3.5 et 4.7
-les fonctionnalités BITS
-ADK
-ADKWinPE
(Tuto voir la partie sur SQL)
Après ces installations vous pouvez commencer à installer MECM sur le MP
CONSOLE MECM
Description
La console MECM interagit avec le SMS Fournisseur (SMS Provider) pour afficher les données de la base SQL
L’installation de la console est lente et a beaucoup d’étapes importantes.
Installation
Lancer le fichier « splash.rta »
Choisissez la version d’évaluation
Choisissez le dossier « sccm temp »
Vérifier que la version anglaise et française soit cocher
Remplissez le « Code de site » et le « Nom du site »
Choisissez le site autonome
Saisissez le nom du serveur SQL et l’instance installé précédemment
Puis cliquez sur « Suivant »
Puis cliquez sur « Suivant »
Choisissez la méthode de communication sur chaque rôle de système de site
Puis cliquez sur « Suivant » puis encore « Suivant »
Choisissez « Ignorer pour le moment »
Puis « Suivant »
Enfin « Installer » et PATIENTER 2-4 Heures au moins
Une fois MECM installer et 2-4h d’attente passée, lancez la console MECM
Depuis le Menu Démarrer > Microsoft Endpoint Manager> Console Configuration Manager
Voilà pour l’installation de votre console MECM.
Lors du prochain article, nous vous montrerons les premiers pas sur la console MECM.
Commentaires récents