SCCM 2012 Parte 1 Instalação

Configuration Manager 2012 introduz o site da Administração Central e algumas alterações em sites primários e secundários. As tabelas a seguir resume esses sites e como eles se comparam aos sites do Configuration Manager 2007.
Site da Administração Central O site da Administração Central coordena a replicação de dados entre sites em toda a hierarquia usando a replicação do banco de dados do Configuration Manager. Ele também permite a administração de configurações de todo o hierarquia para agentes de cliente, descoberta, e outras operações. . Utilize este site para toda a administração e elaboração de relatórios para a hierarquia Embora este é o site no topo da hierarquia no Configuration Manager 2012, tem as seguintes diferenças de um site central em Configuration Manager 2007:

  • Não processa os dados do cliente.
  • Não aceita atribuições cliente.
  • Não suporta todas as funções do sistema local.
  • Participa de replicação de banco de dados

O sítio primário Gerencia clientes em redes bem relacionados sítios primários em Configuration Manager 2012 tem as seguintes diferenças de sítios primários em Configuration Manager 2007.:

  • Sítios primários adicionais permitem a hierarquia para suportar mais clientes.
  • Não pode ser em camadas abaixo de outros sítios primários.
  • Deixou de ser utilizado como um limite para as definições do agente cliente ou segurança.
  • Participa de replicação de banco de dados.

Secundária no site Controles de distribuição de conteúdo para clientes em locais remotos através de links que têm limitado a largura de banda Sites secundários em Configuration Manager 2012 tem as seguintes diferenças em relação a sites secundários em Configuration Manager 2007.:

  • SQL Server é necessário e SQL Server Express será instalado durante a instalação local, se necessário.
  • Um ponto de gerenciamento proxy e ponto de distribuição são automaticamente implantado durante a instalação do site.
  • Sites secundários podem ser escalonados para apoiar a distribuição de conteúdo para locais remotos.
  • Participa de replicação de banco de dados.

Requisitos de Hardware Nota: A seguinte página no Technet descreve os requisitos de hardware recomendados para um servidor principal autônomo.
Stand-alone site principal (SQL Server instalado localmente)

  • Até 100.000 clientes
  • SQL Server está instalado no computador servidor do site

Os seguintes requisitos de hardware são recomendadas para um servidor principal autônomo.

  • 8 núcleos (Intel Xeon E5504 ou CPU comparável)
  • 32 GB de RAM
  • 550 GB de espaço em disco para o sistema operacional, SQL Server, e todos os arquivos de banco de dados

Passo 1: Criar o Laboratório de Ambiente
Vamos criar um site primário autônomo em nosso laboratório (criação de um CAS e depois outro primária é um pouco mais de trabalho, eu posso escrever esse processo no futuro), então vamos começar, e começar com eu re- Usado / reciclados meu laboratório da Beta 2, aplicando os dias 1 instantâneos efetivamente me dando um AD ativado em branco e em branco servidor SCCM 2012 com o sistema operacional pronto e ativado.
Esta é uma grande vantagem de fazer laboratórios em um ambiente virtual.
O servidor SCCM 2012 RC para este laboratório tem uma partição C: (OS) e 150GB partição D: (DATA). O controlador de domínio (AD1) está em execução Server 2008 R2, e está hospedando as funções de servidor DHCP e DNS.
Eu escolhi para instalar o Windows Server 2008 R2 Standard como o sistema operacional do servidor para SCCM 2012 RC. Uma vez feito isso me juntei ao meu domínio (SERVER2008R2), DNS verificado estava funcionando corretamente via nslookup e estava pronto para começar os passos abaixo.
Criar usuários do AD: Nota: Execute o seguinte no servidor de diretório do controlador de domínio do Active como Administrador Local
Além disso, eu criei algumas contas no AD, a saber:
* SMSADMIN, um usuário de domínio * Testuser, um usuário de domínio * testuser2, um usuário de domínio * Testuser3, um usuário de domínio * DomJoin, um usuário de domínio, (para unir computadores ao domínio) * ReportsUser, um usuário de domínio para serviços de relatório. * ClientInstall, um usuário de domínio usado na instalação do cliente Configuration Manager para emissão de cliente. Esse usuário deve ser um administrador local em computadores que você deseja instalar o cliente Configuration Manager. * SCCMNAA, um usuário de domínio, (Conta de Acesso à Rede) utilizados durante OSD
Criar contas de administrador local:
Nota: Execute o seguinte no servidor SCCM 2012 como Administrador Local
No servidor SCCM adicionar o usuário SMSADMIN ao grupo de administradores locais (você pode adicionar a conta ClientInstall também).
admin.png locais
Passo 2: Baixe SCCM 2012 Release Candidate
Você pode baixá-lo a partir da Microsoft aqui . Requisitos do sistema
Sistemas Operacionais com Suporte: Windows Server 2003 R2 edições x64, Windows Server 2008, Windows Server 2008 R2
Requisitos de Sistema do Site

  • Servidores de site e funções do site requer sistema operacional de 64 bits (pontos de distribuição são uma exceção)

Filial pontos de distribuição

  • Pontos de distribuição ramo foram reprovados e substituídos por pontos de distribuição padrão que podem ser hospedados em Configuration Manager 2012 plataformas de sistema operacional cliente, com exceção do Windows XP Professional Service Pack 3 e Windows XP Tablet PC SP3
  • PD padrão pode ser executado em Windows Server 32-bit, mas não vai suportar a funcionalidade avançada

Requisitos do Servidor do Sistema Operacional

  • Windows Server 2008 (64-bit) e Windows Server 2008 R2
  • Os pontos de distribuição pode ser executado no Windows Server 2003

Requisitos do sistema operacional cliente

  • Windows XP Professional SP3 – x86 e Windows XP SP2 Pro para sistemas de 64 bits
  • Windows Vista SP2 (x86, x64)
  • Windows Server 2003 R2 SP2 (x86, x64)
  • Windows Server 2008 (x86, x64)
  • Windows Server 2008 R2 (x86, x64)
  • Windows 7 (x86, x64)

Requisitos de banco de dados

  • SQL Server 2008 SP2 com CU 7
  • SQL Server 2008 R2 com SP1 e Atualização Cumulativa 4
  • SQL Server Express 2008 R2 com SP1 e CU 3 é suportado apenas em sites secundários
  • SQL Reporting Services é uma solução somente relatório

Para obter informações configurações suportadas, visite http://technet.microsoft.com/en-us/library/gg682077.aspx .

Passo 3: Criar a gestão Container Sistema
Nota: Execute o seguinte no controlador de domínio Active Directory como um administrador de domínio
Abra o ADSI Edit, clique em Ação, conecte-se e clique em Ok, clique duas vezes em Contexto de nomeação padrão eo = DC que aparece abaixo dela. Clique no + e desça até CN = System.
Clique direito sobre CN = System e escolha Novo, Object
novo object.png
Escolha Container entre as opções, clique em Avançar e digite System Management como o valor. Clique em Avançar e em Concluir. Pressione F5 para atualizar ADSI Editar e você deve ver agora o novo Recipiente de gestão do sistema. Feche o ADSI Edit.
Passo 4 delegar permissões para o recipiente System Management.
Nota: Execute o seguinte no controlador de domínio Active Directory como um administrador de domínio
Abra Usuários e Computadores do Active Directory. Clique na vista, selecione Recursos avançados.
Selecione o recipiente System Management, e clique o botão direito, escolha Todas as Tarefas e Delegar controle.
delegado control.png
Quando o Bem-vindo ao Assistente para Delegação de Controle aparecer, clique em seguinte, clique em Adicionar. clique em Tipos de Objeto, selecione Computadores. Digite o nome do servidor SCCM e clique em Verificar nomes, ele deve resolver.
sccm.png
Clique em OK e em Avançar. Escolha Criar uma tarefa personalizada para delegar, clique em seguinte, certifique-se Esta pasta, objetos existentes nesta pasta e criação de novos objetos nesta pasta existente é selecionado.
delegação de controle wizard.png
clique em Avançar, selecione as três permissões Geral,-propriedade específica e de criação de exclusão de objetos filho específicos são selecionados em seguida, coloque uma marca de seleção no controle total e clique em Avançar e em Concluir.
control.png completo
Se não o fizer o acima significa que o Container System Management no AD não preencherá com site de informações ConfigMgr necessários pelos clientes e você vai ver muitos erros no seu status do site avisando do mesmo.
Nota: Repita os passos acima para cada servidor do site que você instale em uma hierarquia.
Passo 5: Estender o esquema do Active Directory para o Configuration Manager
Nota: Execute o seguinte no controlador de domínio Active Directory como um administrador de domínio
Nota: –
As extensões de esquema do Active Directory para o Configuration Manager 2012 estáinalterado desde as usadas pelo Configuration Manager 2007 . Se você estendeu o esquema para o Configuration Manager 2007, você não precisa estender o esquema novamente para o Configuration Manager 2012.
Execute o seguinte em seu servidor Active Directory, basta navegar pela rede para o servidor SCCM \\ SCCM \ d $ e localize a pasta onde você descompactado SCCM 2012 e encontrar \ SMSSetup \ Bin \ x64 \ ExtADSch.exe, clique com botão direito e escolha Executar Como Administrador.
Uma janela de prompt de comando será exibida brevemente como o esquema é estendido, o check-in c: \ para um arquivo de log chamado ExtADSch.log deve ser semelhante a este

Citação

<10-27-2011 07:31:43> Modificar o esquema do Active Directory – com extensões de SMS.<10-27-2011 07:31:43> DS Root: CN = Schema, CN = Configuration, DC = server2008r2, DC = lab, DC = local <10-27-2011 07:31:45> atributo definido cn = MS-SMS-Site-Code. <10-27-2011 07:31:45> atributo definido cn = MS-SMS-Atribuição-Site-Code. <2011/10/27 07:31:45> atributo definido cn = MS-SMS-Site-limites. <10-27-2011 07:31:45> atributo definido cn = MS-SMS em roaming-Boundaries-. <10-27-2011 07:31:45> atributo definido cn = MS-SMS-Default-MP. <10-27-2011 07:31:46> atributo definido cn = MS-SMS-Device-Management-Point. <10-27-2011 07:31:46> atributo definido cn = MS-SMS-MP-Name. <10-27-2011 07:31:46> atributo definido cn = MS-SMS-MP-Address. <10-27-2011 07:31:46> atributo definido cn = MS-SMS-Saúde-Estado. <10-27-2011 07:31:46> atributo definido cn = MS-SMS-Source-Forest. <10-27-2011 07:31:46> atributo definido cn = MS-SMS Variado-IP-Low. <10-27-2011 07:31:46> atributo definido cn = MS-SMS Variado-IP-alta. <10-27-2011 07:31:46> atributo definido cn = MS-SMS-Version. <2011/10/27 07:31:46> atributo definido cn = MS-SMS-capacidades. <10-27-2011 07:31:47> Definido cn class = MS-SMS-Management-Point.<10-27-2011 07:31:48> Definido cn class = MS-SMS-Server-Localizador-Point. <10-27-2011 07:31:48> Definido cn class = MS-SMS-Site. <10-27-2011 07:31:48> Definido cn class = MS-SMS-roaming-Boundary-Range. <10-27-2011 07:31:48> conseguiram alargar o esquema do Active Directory.
<10-27-2011 07:31:48> Por favor, consulte a documentação do ConfigMgr para obter instruções sobre o manual <10-27-2011 07:31:48> Configuração de direitos de acesso no diretório ativo que pode ainda <10-27- 07:31:48 2011> devem ser realizadas. (Embora o esquema AD agora ser estendido, <10-27-2011 07:31:48> AD deve ser configurado para permitir que cada direitos de segurança ConfigMgr site para <10-27-2011 07:31:48> publicar em cada um dos seus domínios.)

Passo 6 Abra a porta TCP 1433 e 4022 para replicação SQL
Nota: Execute o seguinte no controlador de domínio Active Directory como um administrador de domínio
Se você estiver configurando uma hierarquia (CAS / Primary / etc), então no seu servidor AD fazer o seguinte, comece a ferramenta Group Policy Management e criar um novo GPO,
Selecione Configuração do Computador, Diretivas, Configurações do Windows, o Firewall do Windows com Segurança Avançada e escolher as regras de entrada, escolha Novo e siga o assistente para a abertura da porta TCP 1433 de acordo com este guia sobre Technet . Uma vez feito isso, repita os passos acima para Porto 4022.
Passo 7 NET 3.5.1 e WCF Ativação Instalar
Nota: Execute o seguinte no servidor SCCM 2012 como SMSADMIN
No Server Manager selecione Recursos Adicionar Recursos, selecione NET Framework 3.5.1, selecione também WCF Ativação e, quando solicitado resposta Adicionar Serviços de Função Necessários Clique em Next e Next novamente
adicionar funções e features.png
Verifique os seguintes componentes do IIS são instalados, além de os pré-selecionados pelo assistente.

Citação

HTTP comum recursos padrão Estático Documento Diretório Browsing erros HTTP HTTP Redirecionamento
Desenvolvimento de aplicativos ASP.NET NET extensibilidade ASP extensões ISAPI Filtros ISAPI
Saúde e Diagnóstico de HTTP log ferramentas de log de ​​solicitações de Monitor de rastreamento
Restrições de autenticação do Windows Segurança básica Authentication URL Pedido de Autorização de filtragem de IP e Domínio
Desempenho de compressão de conteúdo estático
Ferramentas de Gestão de Scripts Ferramentas de Gestão e Serviço de Gerenciamento de Console de Gerenciamento IIS IIS IIS 6 Gestão Compatibilty IIS 6 Metabase Compatibility IIS 6 WMI Compatibility IIS 6 Scripting Tools IIS 6 Management Console

responder sim a quaisquer solicitações adicionais, clique em Avançar e em Instalar e fechar quando terminar.
Passo 8 Faça o download e instalar NET 4
Nota: Execute o seguinte no servidor SCCM 2012 como SMSADMIN
Baixe NET 4 de aqui (webinstall) ou aqui (Standalone). Dê um duplo clique no arquivo, Depois de um tempo ele vai concluir, clique em Concluir quando terminar
NET finished.png
reinicie quando solicitado
Nota : Em algumas situações, como quando o IIS é instalado ou reconfigurado após a NET Framework versão 4.0 estiver instalado, você deve explicitamente habilitar o ASP.NET versão 4.0. Por exemplo, em um computador de 64 bits que executa o Framework versão 4.0.30319, execute o seguinte comando:% windir% \ Microsoft.NET \ Framework64 \ v4.0.30319 \ aspnet_regiis.exe -i -enable
Passo 9 Adicione os bits e compactação diferencial remota
Nota: Execute o seguinte no servidor SCCM 2012 como SMSADMIN
Finalmente, no Gerenciador do Servidor, clique em Adicionar Recursos, coloque uma marca de seleção em BITS e RDC.
bits e rdc.png
Passo 10: Download da Microsoft SQL Server 2008 SP2 CU7 (se você planeja usar o SQL Server 2008 R2 ver 10.b abaixo)
Nota: Execute o seguinte no servidor SCCM 2012 como SMSADMIN O versões do SQL Server 2008 e SQL Server 2008 R2 suportadas estão listadas aqui no Technet: – http: //technet.micro…nfigSQLDBconfig
No momento em que escrevo este guia eu escolhi para usar o SQL Server 2008 SP2, CU6com o hotfix mencionado abaixo, que é bom para o Release Candidate 1 Se você estiver usando RC2, em seguida, usar CU7 vez de CU6 ea correcção, ou usa SQL Server 2008 R2 SP1 CU4 conforme descrito no 10.b abaixo). Esteja ciente de que se você usar o SQL Server Standard, o CAS só vai ser capaz de suportar 50 mil clientes.
Baixar SQL Server 2008 Standard (x86, x64) – DVD (Inglês) de seu provedor (MSDN ou Technet) a que eu usei foi
Nome do arquivo: en_sql_server_2008_standard_x86_x64_dvd_x14-89155.iso
Nota: Você pode baixar a versão Trial (180 dias) a partir de aqui .
Enquanto você está nisso baixar o SQL Server 2008 SP2 a partir daqui – Nome do arquivo:SQLServer2008SP2-KB2285068-x64-ENU.exe
Em seguida o download CU7, você pode baixar a partir CU7 aqui .
Em seguida o download do CU6 de aqui
Finalmente, você também precisa baixar 2603910
Passo 10.b
Esta etapa se você decidir usar o SQL Server 2008 R2. Se você quiser usar esta versão, em seguida, a versão suportada é o SQL Server 2008 R2 SP1 CU4.
Baixe o seguinte a partir Technet: – Nome do arquivo:en_sql_server_2008_r2_standard_x86_x64_ia64_dvd_521546.iso (4177 MB)

Baixar Microsoft ® SQL Server 2008 R2 Service Pack 1
Baixe Cumu pacote de atualização lativo 4 para o SQL Server 2008 R2 Service Pack 1
Passo 11 Instale o SQL Server 2008
Nota: Execute o seguinte no servidor SCCM 2012 como SMSADMIN
Por nota agrupamento SQL que você deve usar (É necessário se você tem uma hierarquia de sites ou um único site e independentemente das línguas OS.): –SQL_Latin1_General_CP1_CI_AS
Para instalar o servidor SQL, você pode seguir este guia , mas por favor instale SQL em D: \ Arquivos de programas … e ao executar setup.exe mouse e escolha Executar como Administrador direita. Depois de instalar o SQL Server 2008, você deve instalar o SP2 e depois CU6 e finalmente instalar KB2603910.
Então instale-o na seguinte ordem:
SQL Server 2008 SQL Server SP2 >> >> SQL 2008 Server 2008 atualização cumulativa 6 >> KB2603910
Nota: CU7 está disponível e que deveria conter o hotfix acima, no entanto eu não testei ainda.
Passo 12 Instale Configuration Manager 2012 Release Candidate.
Nota: Execute o seguinte no servidor SCCM 2012 como SMSADMIN
Dica: Você pode abrir C: \ ConfigMgrSetup.log com o Configuration Manager rastreamento ferramenta disponível no media extraídos e rever o conteúdo do arquivo, ele irá informá-lo de quaisquer problemas durante a instalação.
cmtrace.png
Descompacte o EXE, executando-o, em seguida, procure o local onde você descompactou o e clique em Splash.hta
splash.png
quando o assistente for exibido, clique em Instalar, clique em seguinte, o aviso e, em seguida, selecione Instalar um site primário Configuration Manager
instalar um gerenciador de configuração principal site.png
no EULA, clique aceitar
eula.png
Crie uma pasta em D: \ chamados RC_Updates e, em seguida, especifique o caminho para baixar as atualizações
Dica:
Se você não tem internet em seu servidor SCCM então você pode baixar as atualizações necessárias em outro computador, fazendo assim: –

  • Abra um prompt de comando com permissões administrativas
  • Navegue até. \ Configuration Manager 2012 Instalar fonte \ smssetup \ bin \ X64
  • Run SetupDL.exe dir-alvo (no meu exemplo SetupDL.exe D: \ RC_Updates)

rc_updates.png

Clique em Avançar na tela do Servidor Idioma
language.png
e na tela de idioma do cliente
language.png cliente
entrar em seu local de instalação e configurações, instalar o site em D: \ como por abaixo screenshots
local e instalação settings.png
selecione Standalone como o tipo de local
instalar standalone.png
tomar nota do aviso (ou seja: se não será capaz de juntar-se a uma hierarquia site existente depois)
standalone.png
Revise as informações do banco de dados
db info.png
rever as configurações do provedor de SMS
sms provider.png
reveja as configurações de comunicação do computador cliente, selecione o método de comunicação em cada função de sistema de site Configure
Computer.png cliente
rever as funções do sistema local
roles.png sistema de site
Clique em Avançar na tela do CEIP em seguida, reveja o resumo
summary.png
tomar nota de todos os avisos, se como o meu (WSUS e memória SQL, podemos corrigi-los mais tarde, não há problema)
warnings.png
clique em Iniciar Instale
agora é um bom momento para olhar para o C: \ ConfigMgrSetup.log com CMtrace, vê-lo por erros
cmtrace em log.png
depois de um longo instalar você deverá ver a conclusão do instalador, clique em Fechar
done.png instalação
reiniciar o servidor SCCM e depois login novamente como SMSADMIN
iniciar o console ConfigMgr
Parabéns, você instalou Candidate System Center Configuration Manager 2012 Lançamento
sccm20120 rc done.png
Nota: Esta é a Parte 1 de uma série de guias passo-a-passo para o Configuration Manager de 2012 Para ver a lista inteira, consulte este índice . Este guia e todos os guias aqui são © janelas noob.com, não permitiu a reprodução sem autorização por escrito anterior.

Usando SCCM 2012 RC em um laboratório – Parte 2 Adicionar SUP e WDS.

Passo 1: Adicione a função WSUS Update Services 3.0 SP2
Faça o seguinte no servidor SCCM como SMSADMIN
Antes de iniciar esta etapa criar uma pasta em D: \ chamadas fontes e compartilhá-lo como fontes, dar a todos acesso de leitura.
fontes share.png
Vamos precisar o papel WSUS instalado como parte do software de instalação da funçãoponto de atualização na próxima etapa, assim que começar o Server Manager e clique em Roles, em Adicionar funções. Selecione Windows Server Update Services e uma janela pop-up pedindo para adicionar serviços de função necessários para o Windows Server Update Services (IIS compactação de conteúdo dinâmico), clique em Adicionar Serviços de Função Necessários
adicionar wsus role.png
clique em Avançar através do assistente, você verá a janela Selecionar Serviços de Função aparecer, clique em Avançar novamente, na confirmação clique em Instalar, o papel do WSUS será baixado (assim você vai precisar de uma conexão de rede para a Internet).

depois de um tempo você verá o Bem-vindo ao assistente de instalação do Windows Server Update Services 3.0 SP2 aparecer clique em Next (que provavelmente está escondido atrás da janela ativa, por isso, na bandeja do sistema encontrá-lo e clicar sobre ele para mostrar o assistente caso contrário você vai ser girando seus polegares por um longo tempo se perguntando o que está acontecendo)
wsus setup.png
Aceitar o EULA e clique em Avançar
eula.png
para Selecionar fonte de atualização, escolher onde armazenar as atualizações localmente, selecione D: \ sources \ WSUS
d wsus.png
para as opções de banco de dados escolher usar um servidor de banco de dados existente neste computador, clique em Avançar
db em server.png existente
ele irá se conectar à instância do servidor SQL SCCM, clique em Avançar
sql db.png
aceitar a preferência site, use um site padrão existente
iis website.png
no pronto para instalar o WSUS, clique em Avançar
ler a install.png
clique em Concluir quando terminar.
finish.png
seguido por cancelar o Assistente de configuração do WSUS.
cancel.png
e fechar as Funções do Assistente
wsus done.png
Passo 2: Adicionar o Windows Deployment Services.
Faça o seguinte no servidor SCCM como SMSADMIN
Update: – Você não precisa instalar a função de Windows Deployment Services, porque quando você ativar o suporte PXE no Ponto de Distribuição, o serviço WDS será instalado (e configurado) por ConfigMgr, então por favor, pule esta etapa. Você pode rever esta via o Distrmgr.log.
No Gerenciador do Servidor, clique em Adicionar funções selecione Windows Deployment Services e clique em Avançar
janelas serviços de implantação role.png
clique em Next, Next, e instalar e clique em Fechar quando terminar. Fechar Server Manager.
Passo 3: Adicione a função de SUP
Faça o seguinte no servidor SCCM como SMSADMIN
Nota: Em uma configuração de hierarquia múltipla (CAS + primárias + …) é necessário instalar um nível superior SUP em seu CAS, e suas primárias e, opcionalmente, em seus servidores de site secundário. Em uma configuração autônoma (como temos aqui) nós precisamos instalar o SUP em nosso Standalone Primária. Em um multi Hierarquia do CAS SUP é o único SUP para sincronizar diretamente com o Microsoft Update para obter o catálogo de atualização, todos os SUPs na sincronização primárias com a CAS SUP. Os sítios primários SUP é o único SUP que os clientes usam para procurar actualizações Compliance.
Inicie o console ConfigMgr, clique em Administração no Wunderbar, clique em Configuração do site, e selecionar servidores e funções do sistema do site, clique com o botão direito no servidor e selecione Add Site System Role
add site role.png
click next at the Add Site System Roles Wizard
add site systems role wizard.png
Select Software Update Point and click Next
software update point role selected.png
if you need to input proxy information , do it here
proxy info.png
next select Use this server as the Active Software Update Point and the wizard screen will expand as a result, leave the ports as they are (we didn’t change them from the Default when we installed WSUS)
use this server as the active software update point.png
to Specify Synchronization Settings , select Synchronize from Microsoft Update
synchronise from microsoft update.png
next we configure the Schedule and Alert settings, please enable both.
enable sync on a schedule and alert when sync fails on any site in the heirarchy.png
leave the supersedence rules as they are, note the note about Service packs and Endpoint Protection updates.
Supersedence rules.png
As we will be configuring System Center Endpoint Protection (SCEP) later in this series, let’s add Definition Updates in the Classifications choice
definition updates.png
Remove the checkmarks from Office and Windows in the Products list, we will revisit this list after our first Sync.
remove office and windows products.png
On the Languages screen, remove all checkmarks in all languages except English (well if you want other languages add them, but for me it’s just English)
english selected.png
click next at the summary and progress, review the completion message and click Close.
sup done.png

Using SCCM 2012 RC in a LAB – Part 3. Configuring Discovery and Boundaries.

Configuring Discovery Methods.
Active Directory Discovery Methods Configuration Manager 2012 Active Directory discovery methods can discover Active Directory sites, subnets, users, and computers that are stored in Active Directory Domain Services. To discover information from Active Directory, Configuration Manager requires access to the Active Directory locations that you specify and will use the computer account of the site server that runs the Active Directory discovery method. Or, you can specify a Windows account to run any Active Directory discovery method.
For information on Planning Discovery methods for SCCM 2012, please refer to these pages on Technet:-

Decide Which Discovery Methods to Use

Para descobrir possível computadores cliente Configuration Manager ou recursos de usuário, você deve ativar os métodos de descoberta apropriadas. Você pode usar diferentes combinações de métodos de descoberta para localizar recursos diferentes e descobrir mais informações sobre esses recursos. Os métodos de descoberta que você usa determinam o tipo de recursos que são descobertos e que os serviços Configuration Manager e agentes são utilizados no processo de descoberta. Eles também determinar o tipo de informações sobre os recursos que você pode descobrir.
Descubra Computadores Quando você quer descobrir computadores, você pode usar o Active Directory Sistema de Descoberta ou Descoberta de rede. Como exemplo, se você quiser descobrir recursos que podem instalar o cliente Configuration Manager antes de usar instalação forçada de cliente, você pode executar o Active Directory System Discovery. Como alternativa, você pode executar a descoberta de rede e usar as opções para descobrir o sistema operacional de recursos (necessários para instalação posterior cliente uso push). No entanto, usando Discovery System Active Directory, você não só descobrir o recurso, mas descobrir informações básicas e pode descobrir informações estendidas sobre ela a partir dos Serviços de Domínio Active Directory. Esta informação pode ser útil na construção de consultas complexas e coleções de usar para a atribuição de configurações do cliente ou de implantação de conteúdo.Descoberta de rede, por outro lado, fornece-lhe informações sobre a topologia da rede que você não é capaz de adquirir com outros métodos de descoberta, mas não a descoberta de rede não lhe fornecer qualquer informação sobre o seu ambiente Active Directory. Também é possível utilizar apenas o Heartbeat Discovery para forçar a descoberta de clientes que foram instalados por pessoas que não Client Push Installation métodos. No entanto, ao contrário de outros métodos de descoberta, descoberta de pulsação não pode descobrir computadores que não têm um cliente ativo Configuration Manager, e retorna um conjunto limitado de informações.Pretende-se manter um registro de banco de dados existente e não para ser a base desse registro. Informações apresentadas pelo pulsação descoberta pode não ser suficiente para construir consultas complexas ou coleções. Se você usar descoberta do grupo de Active Directory para descobrir os membros de um grupo específico, você pode descobrir sistema limitado ou informações do computador. Isso não substitui uma descoberta cheia de computadores, mas pode fornecer informações básicas. Esta informação básica é insuficiente para a instalação de envio do cliente.
Descubra Usuários Quando você quer descobrir informações sobre os usuários, você pode usar a Descoberta usuário do Active Directory. Semelhante ao Active Directory System Discovery, este método descobre os usuários do Active Directory e inclui informações básicas, além de informações do Active Directory estendido. Você pode usar esta informação para construir consultas complexas e coleções semelhantes aos de computadores.
Descubra Information Group Quando você quer descobrir informações sobre os grupos e associações de grupo, utilize Descoberta de Grupo do Active Directory. Este método de descoberta cria registros de recursos para grupos de segurança. Você pode usar esse método para procurar um grupo do Active Directory específico para identificar os membros desse grupo, além de quaisquer grupos aninhados dentro desse grupo. Você também pode usar esse método para procurar um local Active Directory para grupos, e de forma recursiva procurar cada contêiner filho desse local nos Serviços de Domínio Active Directory. Este método de descoberta também pode procurar a associação de grupos de distribuição. Isso pode identificar as relações do grupo de usuários e computadores. Quando você descobre um grupo, você também pode descobrir informações limitadas sobre seus membros. Isso não substitui sistema Active Directory ou descoberta de usuário e normalmente é insuficiente para construir consultas complexas e coleções ou servir como as bases de uma instalação de envio do cliente.
Descubra Infrastructure Existem dois métodos que você pode usar para descobrir infra-estrutura, o Active Directory Floresta Descoberta e descoberta de rede. Você pode usar o Active Directory Descoberta floresta para procurar uma floresta do Active Directory para obter informações sobre as sub-redes e configurações de site do Active Directory. Essas configurações podem ser automaticamente inseridos Configuration Manager como locais de fronteira. Quando você quer descobrir a topologia da rede, use a descoberta de rede. Enquanto outros métodos de descoberta retornar informações relacionadas com os Serviços de Domínio Active Directory e pode identificar o local de rede atual de um cliente, eles não fornecem informações de infra-estrutura com base no sub-redes e router topologia de sua rede.
Passo 1: Habilitar métodos de descoberta
Faça o seguinte no servidor SCCM como SMSADMIN
Nota: – a hierarquia de sites e operações do site foram renomeados de Beta 2 a hierarquia de configuração e configuração do site.
Clique no espaço de trabalho Administração, expanda Visão geral, configuração de hierarquia e selecionar métodos de descoberta, você pode ver que descoberta de pulsação é o único método ativado por padrão.
Descoberta Methods.png
Queremos que o nosso laboratório para descoberta de todos os computadores e usuários para que permitirá os seguintes métodos de descoberta

  • Descoberta floresta Active Directory
  • Descoberta de grupo do Active Directory
  • Discovery System Active Directory
  • Active Directory Descoberta Usuário

Clique com o botão direito no Discovery Floresta Active Directory e escolha Propriedades,

Active Directory descoberta floresta properties.png
colocar uma marca nas três opções disponíveis
permitir discovery.png floresta
Clique em Aplicar e responder sim à pergunta Descoberta completa
Você deseja executar uma descoberta cheia assim que possible.png
Agora vamos ativar descoberta do grupo Active Directory, assim como antes, clique direito sobre ele, escolha Propriedades
adgd.png
quando a tela de propriedades aparece, coloque uma marca de seleção para ativar o método de descoberta,
permitir adgd.png
Clique em Adicionar, selecione Localização
adicionar location.png
clique em Browse
location.png grupo browse
Escolha o seu recipiente do Active Directory e clique em ok
selecionar container.png active directory
Clique em OK, dê o nome de um nome descritivo como todos os meus grupos ad
todo o meu anúncio groups.png
Clique em OK, e agora irá aparecer na lista da Discovery Scopes
todos os meus grupos de anúncios enabled.png
Clique no Polling Guia Schedule, note que Delta Descoberta já está habilitado, clique na guia Opção (isto é novo desde a versão Beta 2)
polling schedule.png
Nota: – Há três novas opções disponíveis na guia Opção interessante chamado, selecioná-los se quiser, basicamente nos permitem NÃO descoberta objetos sem movimento na AD (sem DDR será criado quando eles são detectados), isso é bom, não todas as pessoas AD remover contas obsoletos e isso vai ajudar a melhorar os nossos SLA com informações mais precisas sobre o que os sistemas estão vivos ou não em nossa organização.
opção tab.png
Em seguida, vamos configurar o Active Directory System Discovery, então clique o botão direito e selecione Propriedades, na página de propriedades irá mostrar, coloque uma marca de seleção para habilitar a descoberta do sistema Active Directory

clique no StarBurst Amarelo, em seguida, clique em Procurar e selecione o seu padrãoContainer Active Directory
discovery.png sistema de anúncios
para que ele apareça como tão
Active Directory descoberta sistema containers.png
você pode rever as outras guias, incluindo o novo guia Opções, selecione as opções lá dentro também.
sistema de diretório ativo opção descoberta tab.png
e, finalmente, vamos habilitar a descoberta de usuário do Active Directory, clique direito sobre ele, escolha Propriedades, e habilitá-lo como abaixo
permitir ativo discovery.png usuário diretório
adicionar a descoberta contêiner do Active Directory clicando no starburst amarelo e adicionando o recipiente padrão
container.png Adud
Uma vez feito você pode clicar em Ativos e Compliance para verificar se os usuários, grupos e sistemas estão sendo descobertos (na imagem abaixo estou mostrando os usuários e grupos de usuários).
ativos e compliance.png
Etapa 2. Configurar Limites
Faça o seguinte no servidor SCCM como SMSADMIN
No Configuration Manager 2012, a fronteira é um local de rede que pode conter um ou mais dispositivos que você deseja gerenciar. Os limites podem ser uma sub-rede IP, nome do site do Active Directory, Prefixo IPv6, ou uma faixa de endereços IP, e pode incluir qualquer combinação desses elementos. Para utilizar um limite você deve adicionar o limite a um ou mais grupos de contorno. Grupos de Fronteira são coleções de fronteiras e permitem que os clientes a encontrar um local designado e para localizar o conteúdo, quando necessário instalar o software, tais como aplicações, atualizações de software e imagens do sistema operacional.
Os limites não são mais específicas do site. Em vez disso, você defini-los apenas uma vez para a hierarquia e estão disponíveis para todos os sites na hierarquia. Cada limite deve ser um membro de um grupo de limite antes de um dispositivo em que limite pode identificar um local designado ou localizar conteúdo em um ponto de distribuição. Cada limite representa um local de rede no Configuration Manager 2012 e está disponível a partir de todos os sites na sua hierarquia. A fronteira não permite que você gerencie os clientes no local da rede. Para gerenciar um cliente, o limite deve ser um membro de um grupo de limite.
Conteúdo Local
Você pode associar um ou mais pontos de distribuição com cada grupo de limite. Você também pode associar um ponto de distribuição com vários grupos de contorno. Quando um cliente solicita o conteúdo para uma implantação, Configuration Manager envia ao cliente uma lista de pontos de distribuição que têm o conteúdo e que estão associados a um grupo de limite, que inclui o local de rede atual do cliente.
Configuration Manager 2012 oferece suporte a configurações de limite de sobreposição de conteúdo local. Quando um cliente solicita o conteúdo eo local da rede cliente pertence a vários grupos de fronteira, Configuration Manager envia ao cliente uma lista de todos os pontos de distribuição que têm o conteúdo. Esse comportamento permite que o cliente escolha o servidor mais próximo de onde fazer o download do conteúdo.
Você pode configurar a velocidade de conexão de rede de cada ponto de distribuição em um grupo de limite. Os clientes usam este valor quando eles se conectam ao ponto de distribuição.Por padrão, a velocidade de conexão de rede é configurado como rápido, mas também pode ser configurada como lenta. A velocidade de conexão de rede ea configuração de implantação determinar se um cliente pode fazer download de conteúdo a partir de um ponto de distribuição quando o cliente está em um limite associado.
Na seção Administração, selecione limites, a nossa descoberta previosly Active Directory O site está listado.
padrão primeiro Name.png local
clique direito em Grupos de Fronteira e escolha Criar Limite Grupo
criar group.png fronteira
dar o Grupo Limite um nome (e uma descrição, se quiser), clique em Add
adicionar group.png fronteira
Na janela Adicionar Boundaries, coloque uma marca na nossa Default-First-Site-Name Boundary.
adicionar boundaries.png
clique OK, agora aparece na nossa lista de limites que são um membro deste grupo de limite, clique em Referências
references.png
colocar uma marca em usar esse grupo de limite para a atribuição de site, em seguida, clique em Adicionar
adicionar location.png conteúdo
selecionar o nosso sistema de site e clique em OK
adicionar local system.png
clique em Aplicar
atribuição de site grupo de limite e location.png conteúdo
Agora que definimos em qual site os nossos clientes podem obter atribuído a via Grupo Divisa, e definimos sua localização conteúdo
meu groups.png fronteira
Na próxima parte, vamos configurar mais algumas funções do site e configurar as definições do cliente.

Parte 4 Configurando Configurações do cliente e papéis adicionando

Step 1. Add the Application Catalog Web Site Roles
Perform the following on the Configuration Manager server as SMSadmin
In Administration, click on Servers and Site System Roles and right click on our Site Server, choose Add Site System Roles .
Note: If you are using a multi-site hierarchy setup (CAS + Primaries), you need to perform the following on your Primary site(s) as the roles listed below won’t be available for CAS. For a Standalone setup perform the following on your standalone primary.
add site system roles.png
click next at the wizard general screen
general.png
Select both of the Application Catalog roles
application catalog roles.png
confirm your Application Catalog Web service point selections
application catalog web service point.png
and the Application Catalog Website Point settings
application catalog website point.png
enter your Organisation name and pick a Color scheme for the Application Catalog ! (New since Beta 2) !
application catalog customizations.png
click next through the summary and progress screens, verify everything at the completion screen.
summary screen.png
Step 2. Configure Client Agent Settings
Perform the following on the SCCM server as SMSadmin
Note: You can configure custom client settings applicable for each site in your hierarchy by creating custom client settings on that Primary site, or if you want settings applied to all your computers in your hierarchy you can edit the Default Client Settings (on your CAS site).
In the Administration section click on Client Settings in the left pane, and select the Default Client Settings listed, right click choose Properties
client settings properties.png
Click on Client Policy and we’ll set this to every 15 minutes as it’s a LAB (the Default setting is 60 minutes), this means that once every 15 minutes the Client will contact it’s Management Point for any new policy.
client policy.png
now choose Computer Agent and configure it as follows:-
Click on Set Website for Default Application Catalog Website and set it to select the FQDN one that is listed
fqdn.png
Set Add default Application Catalog website to Internet Explorer trusted zone to True
Set the Organization Name Displayed in Software Center to My Organization (change that to suit your organization)
so your Computer Agent settings should look like this
computer agent settigns.png
Set the Software updates schedule from 7 days to 1 day, this will be because we want to synchronize Endpoint Protection definition updates on a daily basis.
1 day.png
Select User and Device Affinity and change Allow users to define their primary device toTrue .
define uda.png
click Ok to save the Client Agent Settings.
Step 3. Deploying the Client Agent
Perform the following on the SCCM server as SMSadmin
Note: In a Multi-site Hierarchy (CAS+Primaries) you will need to configure client installation settings on the primaries as CAS does not manage clients and the options will therefore be greyed out on the CAS.
Now that we have made changes to the Default Client settings , we want to deploy the ConfigMgr Client to our computers in the LAB. Before doing so we need to decide what method is appropriate for installing the client on our computers.
The following methods are available
Client Installation Method Description

  • Client push installation – Automatically installs the client to assigned resources and manually installs the client to resources that are not assigned.
  • Software update point installation – Installs the client by using the Configuration Manager 2012 software updates feature.
  • Group Policy installation – Installs the client by using Windows Group Policy.
  • Logon script installation – Installs the client by using a logon script.
  • Manual installation – Manually installs the client software.
  • Upgrade installation – Upgrades clients to a newer version by using Configuration Manager 2012 application management. You can also use Configuration Manager 2007 software distribution to upgrade clients to Configuration Manager 2012.
  • Client Imaging – Prestages the client installation in an operating system image.

Please refer to Technet to Determine the Client Installation Method to Use in Configuration Manager 2012 .
For the purposes of this LAB we will select Client Push Installation . Make sure to review theClient deployment Prerequisites on Technet, in particular pay attention to the Firewall Portsused during client push installation.
firewall ports.png
Note: we will use the ClientInstall account to install the configmgr client on our computers, make sure that this account is a local administrator on your target computers.
In Administration, click on Site Configuration , Sites, select our site, in the ribbon above click on Settings , it will open a new menu, from that menu select Client Installation Settingsand from there select Client Push Installation .
client push installation.png
On the general screen, place a checkmark in Enable Automatic site-wide client push installation
general tab client push.png
Click on the Accounts tab, and select the yellow star, choose New Account
accounts.png
type in (or browse to select the AD user) the Client Push account, use our ClientInstallaccount which we created in Active Directory in Part 1.
verify.png
Note the Verify button, this is new since Beta 2 and allows you to verify that the credentials can connect to your network resources, if you get your password wrong it will tell you !
Click on Verify and type in a Unc path to check.
successfully verified.png
Clique em OK.
Click on Assets and Compliance and expand Devices, All Systems , you should see that our SCCM server has a client installed but our Domain Controller does not.
Note: If the site server cannot contact the client computer or start the setup process, it automatically repeats the installation attempt every hour for up to 7 days until it succeeds.
You can wait until Client push installs the client or manually install it right now by Right clicking on the Domain Controller and choose Install Client .
install client.png
set the Installation Options
installation options.png
click next through the wizard, close. Meanwhile, on the DC (AD1-Domain Controller) check task manager , and you’ll see ccmsetup starting…success
ccmsetup.png
after some minutes the client is installed and you can refresh the view, you’ll notice is says Client=Yes on both our systems in the Lab and there are new tabs to look at since beta 2 on the bottom of the screen. We’ll get to them in a later post.
ad has client.png
On your AD computer you can start Software Center
software center.png
click on Find applications from the application catalog
fine.png
and your Application Catalog will pop up in Green !
application catalog green.png

Part 5. Enable the Endpoint Protection Role and configure Endpoint Protection settings.

When you use Endpoint Protection with Configuration Manager, you benefit from the following:

  • You can configure antimalware policies and Windows Firewall settings to selected groups of computers, by using custom antimalware policies and client settings.
  • You can use Configuration Manager software updates to download the latest antimalware definition files to keep client computers up-to-date.
  • You can send email notifications, use in-console monitoring, and view reports to keep administrative users informed when malware is detected on client computers.

Endpoint Protection installs its own client, which is in addition to the Configuration Manager client. The Endpoint Protection client has the following capabilities:

  • Malware and Spyware detection and remediation.
  • Rootkit detection and remediation.
  • Critical vulnerability assessment and automatic definition and engine updates.
  • Integrated Windows Firewall management.
  • Network vulnerability detection via Network Inspection System.

Recommended Reading:-

Prerequisites for Endpoint Protection in Configuration Manager – http://technet.micro…y/hh508780.aspx Best Practices for Endpoint Protection in Configuration Manager –http://technet.micro…y/hh508771.aspx Administrator Workflow for Endpoint Protection in Configuration Manager – http://technet.micro…y/hh526775.aspx
Step 1. Configure the Endpoint Protection Role
Perform the following on the SCCM server as SMSadmin
Note: The Endpoint Protection point site system role must be installed before you can use Endpoint Protection or before you can set EndPoint Protection client settings. It must be installed on one site system server only and it must be installed at the top of the hierarchyon a central administration site or a standalone primary site.
In the configmgr console, click on Administration , expand Overview and expand Site Configuration , select Servers and Site System Roles and click on Home in the Ribbon and click on Add Site System Roles .
home in the ribbon.png
when the wizard appears click next
wizard next.png
Select the Endpoint Protection Point role and click next
select endpoint protection role.png
Read and then accept the License Agreement terms
eula for endpoint.png
Next you get some choices about Microsoft Active Protection service , you can opt in, or opt out, let’s select Basic Membership .
microsoft active protection service.png
click next at the summary and review the status on the completion screen.
ep role added.png
within a few minutes you’ll see the Endpoint Protection client appear in the System Tray of your ConfigMgr Server (this is normal behaviour and is expected, you must have the SCEP client installed on your ConfigMgr Server hosting the Endpoint Protection role).
ep client in systray.png
Note: you can review the EPSetup.log on the server to monitor role installation progress.

Step 2. Configure alerts for Endpoint Protection
Perform the following on the SCCM server as SMSadmin
Note: Alerts inform the administrator when specific events have occurred, such as a malware infection. Alerts can be displayed in the Configuration Manager console, through reports, or optionally can be emailed to specified users. You can configure Endpoint Protection alerts in System Center 2012 Configuration Manager to notify administrative users when specific security events occur in your hierarchy. Notifications display in the Endpoint Protection dashboard in the Configuration Manager console, in reports, and you can configure them to beemailed to specified recipients .
Configure Email Notification (Optional)
If you have access to an SMTP server then you can optionally configure Email NotificationAlerts. In the configmgr console, click on Administration , expand Overview and expand Site Configuration , select Sites and click on Settings in the ribbon and click on Configure Site Components and select Email Notification .
email notification.png
enter your desired settings for SMTP and click Apply . Note that you can test your SMTP settings also.
test smtp connection.png
Configure Alerts for Collections
Next let’s configure Alerts for a Collection , but first let’s create a collection called All Windows 7 Computers (in a LAB this is fine for what we want to do, in Production you should create EndPoint Protection specific Collections).
Note :- You cannot configure alerts for User Collections .Click on Assets and Complicance in the console,click on Device Collections and in the ribbon click on Create Device Collection.
create device collection.png
Call the collection All Windows 7 Computers and limit it to All Systems
create device collection wizard.png
click next, choose Query Rule from the drop down menu and fill in a Query like so (edit query statement, criteria, show query language and replace the code with the below)

 select * from SMS_R_System where SMS_R_System.OperatingSystemNameandVersion like "%Workstation 6.1%"

query rule properties.png
set the schedule as follows (it’s a LAB)
custom schedule.png
click next through the wizard, the collection is now created.
collection created.png
In Assets and Compliance
select Devices and choose Device Collections , select the All Windows 7 Computers collection (we have no computers in this collection yet but we will have soon), choose properties
properties of collection.png
Click on the Alerts tab and place a checkmark in View this collection in the Endpoint Protection Dashboard
alerts tab.png
click on Add and select all the options
alerts options.png
click ok and leave the other Alert settings as they are
alerts tab configured.png

Step 3. Configure the SUP Products to Sync and Perform a Sync
Perform the following on the SCCM server as SMSadmin
Click on Administration , expand Overview and expand Site Configuration , select Sitesand click on Settings in the ribbon and click on Configure Site Components and selectSoftware Update Point .
software update point components.png
In the Products tab ensure that the product Forefront Endpoint Protection 2010 check box is selected.
forefront endpoint protection.png
change the Sync Schedule to 1 days
1 day sync.png
Click on Software Library , Software Updates , right click on All Software Updates and choose Synchronize Software Updates
sync now.png
answer Yes to the Sync
yes to sync.png
at this point you can review the Wsyncmgr.log in CMtrace
done syncing.png

Step 4. Configure SUP to deliver Definition Updates using an Automatic Deployment Rule
Perform the following on the SCCM server as SMSadmin
In the Configuration Manager console, click Software Library , expand Software Updatesand click on Automatic Deployment Rules
Automatic Deployment Rules.png
in the Ribbon click on Create Automatic Deployment Rule and the wizard appears, give the rule a suitable name like Automatic Deployment Rule for Endpoint Protection and point it to our previously created All Windows 7 Computers collection, select add to an exisiting software update group
add to an existing software update group.png
On the Deployment Settings page of the wizard select Minimal from the Detail level drop-down list and then click Next this reduces State Messages returned and thus reduces Configuration Manager server load
detail level minimum.png
on the Software Updates page select Date Released or Revised
value to find.png
in the Search Criteria pane, click on Value to find and select Last 1 day
last 1 day.png
In the Products tab ensure that the product Forefront Endpoint Protection 2010 check box is selected. product = forefront endpoint protection 2010.png
for Evaluation Schedule , click on Customize and set it to run every 1 days ,
Tip: notice that the Synchronization Schedule is listed below, make sure that this occurs at least 2 hours before you evaluate for Forefront Endpoint Protection definition updates, there is no point checking for updates if we haven’t synchronized yet.
every 1 days.png
for Deployment Schedule set Time based on: UTC (if you want all clients in the hierarchy to install the latest definitions at the same time. This setting is a recommended best practice.), forsoftware available select 2 hours to allow sufficient time for the Deployment to reach allDistribution Points and select As soon as possible for the installation Deadline.
adr deployment schedule.png
for the User Visual Experience select Hide from the drop down menu
hide user visual experience.png
for Alerts enable the option to generate an alert
generate an alert.png
for download settings as the definition updates are important let’s download them even if on slow networks
download settings.png
For Deployment Package we are creating a new one so give it a suitable name like Endpoint Protection Definition Updates and point it to a previously created folder
Note: Make sure that \\sccm\sources\updates\Endpoint (or whatever path you choose) exists otherwise the wizard will fail below when it tries to Download as the Network Path won’t exist. In addition Everytime this ADR runs it will want to create a new deployment package as specified above, we do not want this to happen so after running the ADR once, retire it and create a new ADR except this time point the deployment package to the packaged which is now created called Endpoint Protection Definition Updates.
create a new deployment package.png
click your way through the rest of the Wizard till completion
adr done.png
if you scroll to the right you’ll see nothing has been downloaded , yet…(because our Automatic Deployment Rule hasn’t run yet since the sync)
not downloaded.png
so let’s force the Automatic Deployment Rule to run now, right click on our ADR and chooseRun Now
automatic deployment rules run now.png
and after a few minutes look at our Definition Updates again, notice the difference ?
downloaded yes.png
Step 5. Configure Custom Client Settings for Endpoint Protection
Perform the following on the SCCM server as SMSadmin
Note: Do not configure the default Endpoint Protection client settings unless you are sure that you want these applied to all computers in your hierarchy.
Below is an explanation of the EndPoint Protection settings available:-

Citação

Manage Endpoint Protection client on client computers

  • Select True if you want to manage existing Endpoint Protection clients on computers in your hierarchy.
  • Select this option if you have already installed the Endpoint Protection client and want to manage it with Configuration Manager.
  • You should also select this option if you want to create a script to uninstall an existing antimalware solution, install the Endpoint Protection client and deploy this script using a Configuration Manager application or package and program.

Install Endpoint Protection client on client computers

  • Select True to install and enable the Endpoint Protection client on client computers where it is not already installed.

Automatically remove previously installed antimalware software before Endpoint Protection is installed

  • Select True to uninstall existing antimalware software.

Imagem Postada Note Endpoint Protection uninstalls the following antimalware software only:

All current Microsoft antimalware products except for Windows InTune and Microsoft Security Essentials Symantec AntiVirus Corporate Edition version 10 Symantec Endpoint Protection version 11 Symantec Endpoint Protection Small Business Edition version 12 Mcafee VirusScan Enterprise version 8 Trend Micro OfficeScan
Suppress any required computer restart after the Endpoint Protection client installed

  • Select True to suppress a computer restart if it is required after the Endpoint Protection client installs.

Allowed period of time users can postpone a required restart to complete the Endpoint Protection installation (hours)

  • Specify the number of hours that users can postpone a computer restart if this is required after the Endpoint Protection client installs.

Disable alternate sources (such as Windows Update, Microsoft Windows Server Update Services or UNC shares) for the initial definition update on client computers

  • Select True if you want to allow only Configuration Manager to install the initial definition update on client computers. This setting can be helpful to avoid unnecessary network connections and reduce network bandwidth during the initial installation of the definition update.

In the Configuration Manager console, click Administration , click Client Settings and on the Home tab in the Create group, click Create Custom Client Device Settings .
create customclient device settings.png
Select Endpoint Protection and call it Custom Client Device Endpoint Protection Settings
custom client device endpoint protection settings.png
click on Endpoint Protection and review the settings, change them to as follows:-

  • Manage Endpoint Protection Client on Client Computers = True
  • Install Endpoint Protection Client on Client Computers = True
  • Automatically remove previously installed antimalware software before Endpoint Protection is installed = True
  • Suppress any required computer restart after the Endpoint Protection client installed = False
  • Allowed period of time users can postpone a required restart to complete the Endpoint Protection installation (hours) = 1
  • Disable alternate sources (such as Windows Update, Microsoft Windows Server Update Services or UNC shares) for the initial definition update on client computers = True

endpoint protection manage clients.png
click ok when done, right click on the new custom settings
and choose Deploy
deploy custom client settings.png
select our All Windows 7 Computers collection and choose Ok.
deploy to all windows 7 computers.png

Step 6. Configure Custom AntiMalware Policies
Perform the following on the SCCM server as SMSadmin
Note: Do not configure the default client Malware Policy unless you are sure that you want these applied to all computers in your hierarchy.
There are several pre-created AntiMalware Policies available, to review/use them click on Import. (Ver imagem abaixo)
import antimalware policies.png
We will create our own policy in this LAB so in the Configuration Manager console, click Assets and Compliance , click Endpoint Protection , select Antimalware Policies . In the ribbon select Create Antimalware Policy
create antimalware policy.png
give the policy a name like Custom Endpoint Protection Antimalware Policy
custom endpoint protection antimalware policy.png
for Scheduled scans change to Daily at 12 pm (default was Saturday, 2am) and set it to check for latest definition updates before the scan and to randomize the scan start time
scheduled scans.png
for Definition Updates set the check to 2 hours and click on set source , only select Updates distributed from Configuration Manager (deselet the other options)
Note: if your SCCM server has no internet access you can configure it to check for updates from UNC file shares
updates distributed from Configuration Manager.png
Click Ok, Ok.
Right click our Custom Endpoint Protection Antimalware Policy and select Deploy , choose our All Windows 7 Computers Collection as we did for the Device settings above.
deploy custom antimalware policy.png
that’s it we are done !
we have now created custom Client Device settings and a Custom Antimalware Policy for our All Windows 7 Computers collection, in further posts we will add some computers to that collection and verify our Endpoint Protection settings.
Note: If you are having issues with the client installing or getting the Endpoint Protection role installed please refer to the following Endpoint Protection Log files .

  • EndpointProtectionAgent.log – Records details about the installation of the Endpoint Protection client and the application of antimalware policy to that client.
  • EPCtrlMgr.log – Records details about the synchronization of malware threat information from the Endpoint Protection role server into the Configuration Manager database.
  • EPMgr.log – Monitors the status of the Endpoint Protection site system role.
  • EPSetup.log – Provides information about the installation of the Endpoint Protection site system role

Part 6. Deploying Software Updates.

Step 1. Configure the SUP Products to Sync and Perform a Sync
Perform the following on the SCCM server as SMSadmin
Click on Administration , expand Overview and expand Site Configuration , select Sitesand click on Settings in the ribbon and click on Configure Site Components and selectSoftware Update Point .
configure sup.png
In the Products tab ensure that the product Windows 7 check box is selected.
windows 7 product in products.png
Click on Software Library , Software Updates , right click on All Software Updates and choose Synchronize Software Updates , answer Yes when prompted.
sync software updates.png
Monitor the Sync process using the Wsyncmgr.log file in CMTrace.
As we started the sync manually you should search for the following string “ Performing Sync on local request “, followed by the status of the sync and you know it’s complete when you can see the following line “ Sync Succeeded. Setting Sync alert to cancelled on Site P01.
sync succeeded.png

Step 2. Specify Search Criteria for Software Updates
Perform the following on the SCCM server as SMSadmin
In the console, click Software Library , expand it and select All Software Updates then click on Add Criteria in the top right of the search field. In the scrollable Add Criteria menu, select the following options

  • Bulletin ID
  • Expirado
  • Substituído
  • Produtos

add criteria.png

then define the criteria using the drop down menus beside each option
windows 7 product.png
so that they look as follows:-

  • Product = Windows 7
  • Bulletin ID =MS
  • Expired = No
  • Superseded = No

then click on Search , you’ll get a list of results like so

153 items shown.png
let’s save our Search criteria and call it Windows 7 Updates search criteria , you can return to this search later by clicking on saved searches and selecting your search from the list.
windows 7 updates search criteria.png
Step 3. Create a Software Update Group that Contains the Software Updates
Perform the following on the SCCM server as SMSadmin
Note: Normally you’d want to look through all these updates and filter out (delete) the ones that are not applicable to you, such as Beta or Service Packs, Delete these from your list before continuing.
After we’ve trimmed down out updates we’ll select the remaining updates by selecting allthe updates found in our search criteria above by clicking on one update and then pressingCTRL + A , it should say 153 (or similar) items selected in the bottom left corner, make sure you are still in the Search Criteria as in the picture below
153 items selected.png
In the ribbon, click on Home and then in the Update click on Create Software Update Group , call it Windows 7 Updates and click on Create
create software update group.png
Now you can click on Software Update Groups in the console and you’ll see your newly created Software Update Group, right click on it and choose Show Members to see the updates in this group.
show members.png
this lists the Sotware Updates contained in the Software Update Group
members.png

Step 4. Deploy the Software Update Group
Perform the following on the SCCM server as SMSadmin
Poderíamos Imagem Postada download the Content for the Software Update Group to verify that it’s available before distributing it to our Distribution Points, but we’ll skip that step and go ahead and deploy our Updates to our previously created All Windows 7 Computers collection. Select the Windows 7 Updates Software Update Group and in the Ribbon click on Deploy .
deploy windows 7 updates.png
give it a name and point it to our All Windows 7 Computers collection.
deploy to windows 7 collection.png
Note: if you click on Select deployment Template , it will appear empty as you have no created any templates yet.
for Deployment Settings set the type of deployment to Required (mandatory) and State message level to Minimal (to reduce Configuration Manager server load via state messages)
minimal state messages.png
For scheduling set the Time Based on to UTC
utc.png
for User Experience we want the user to see they are being updated,
user experience.png
set Alerts client compliance is below the following to 80%,
Set the Download Settings to download if a slow or unreliable connection detected, click next
download settings for bac deployment.png
when you get to Deployment Package , choose create a new deployment package,
Note: Make sure that \\sccm\sources\updates\windows7 (or whatever path you choose) exists otherwise the wizard will fail below when it tries to Download as the Network Path won’t exist
create a new deployment package windows 7 updates.png
select your Distribution Point and click next, then for Download Location select Download Software Updates from the Internet , select the English language and at the summaryscreen click on Save As Template , call the template Windows 7 updates Template
save as template.png
TIP: To review the progress of this task, while you are waiting for the wizard to complete you can browse the UNC on your server of your Deployment Package to see that it’s actually filling up with updates, you should see something like this
unc working.png
And that’s it, after you complete the wizard the software updates in the software update group are deployed to computers in the target collection
deploy software updates wizard completed.png
Finally, create a new collection called Build and Capture Windows 7 X64 and repeat the above Deployment for our Windows 7 Updates and target it to the Build and Capture Windows 7 X64 Collection as follows

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: