[SCCM] Prés-requis à l’installation du client SCCM

Bonjour à tous,

Lors de l’installation d’une solution SCCM, la charge liée au déploiement de l’agent SCCM est certainement l’étape la moins simple à prévoir. Les raisons de cette difficulté peuvent être multiples :

  • Un parc réparti sur de nombreux sites
  • Un parc peu homogène
  • Des prés-requis au déploiement de l’agent SCCM non respectés

Pour ne rien arranger, les prés-requis dépendent des fonctionnalités que vous souhaitez déployer. Par conséquent, il n’existe pas une solution unique, cependant nous pouvons essayer de nous simplifier la vie en passant par exemple par les GPOs 🙂
Dans cet article vous propose de construire une GPO ayant pour objectifs d’appliquer à vos postes ces fameux prés-requis ainsi que quelques éléments supplémentaires qui pourront vous être bien utiles.

1. Création d'une stratégie de groupe de configuration des futurs clients SCCM

Commençons par un créé un objet de stratégie de groupe :

Ce diaporama nécessite JavaScript.

2. Intégration des fonctionnalités CORE
A partir du moment où nous décidons de déployer l’agent SCCM sur les systèmes, certains prés-requis devront dans tous les cas être respectés. C’est le cas par exemple de l’installation poussée du client ou du contrôle à distance qui nécessitent d’ouvrir certains ports du pare-feu du client. D’autre part il peut être intéressant d’ajouter à chaque poste de travail l’utilitaire Cmtrace.exe afin de simplifier la consultation des fichiers de logs SCCM. Enfin de plus en plus d’outils utilisent le PowerShell à distance pour atteindre les postes.

Je vous propose donc d’ajouter à notre nouvel objet de stratégie de groupe ces paramètres, à savoir:

  • L’ajout du fichier Cmtrace.exe sur les postes de travail
  • La configuration du service PowerShell à distance
  • L’ajout des exceptions de pare-feu suivantes
    • Partage de fichiers et d’imprimantes (trafic entrant et sortant)
    • Windows Management Instrumentation (WMI) (trafic entrant)

Avant de rentrer dans le détails de la configuration de la GPO, nous allons copier l’utilitaire CMtrace.exe dans un emplacement accessible à chaque poste lors de leur démarrage. Copiez donc le fichier CMTrace.exe situé à l’emplacement suivant « \\<SCCMServer>\SMS_<SiteCode>\Tools » dans le dossier « \\<DomainDNSName>\Sysvol\<DomainDNSName>\Scripts\SCCM » en remplaçant :

  • <SCCMServer> par le nom FQDN de votre serveur SCCM principal
  • <SITECODE> par le site code de votre site SCCM
  • <DomainDNSName> par le nom DNS de votre domaine Active Directory.

Dans notre exemple le fichier CMtrace.exe sera copié de « \\SVSCCM01.Mylab.local\SMS_MLB\Tools » vers « \\Mylab.local\Sysvol\Mylab.local\Scripts\SCCM »

Ensuite, nous pouvons configurer notre GPO :

Ce diaporama nécessite JavaScript.

Vous pouvez également télécharger cet objet de stratégie de groupes ici. Une fois restauré, n’oubliez pas de changer le chemin d’accès au fichier cmtrace.exe.

3. Intégration de fonctionnalités optionnelles

Dépendamment des fonctionnalités que vous allez implémenter sur vos postes de travail, vous pouvez ajouter à cette GPO des exceptions supplémentaires. Voici une liste des fonctionnalités connues nécessitant l’ajout d’exceptions de pare-feu supplémentaires :

  • Installation du client par GPO :
    • (trafic entrant) – Partage de fichiers et d’imprimantes
  • Notification du client :
    • (trafic entrant) – TCP 10123
  • Contrôle à distance :
    • (trafic entrant) – TCP 2701
  • Assistance à distance et bureau à distance (si connexion initiée depuis le console d’administration SCCM) :
    • (trafic entrant) – Helpsvc.exe
    • (trafic entrant) – TCP 135
    • (trafic entrant) – Assistance à distance
    • (trafic entrant) – Bureau à distance
  • Assistance à distance (si connexion initiée depuis le poste faisant la demande d’assistance) :
    • (trafic entrant) – Assistance à distance
    • (trafic entrant) – Bureau à distance
  • Proxy de mise en éveil :
    • Sur les systèmes actant comme proxy de mise en éveil :
      • (trafic sortant) – UDP 25536
      • (trafic sortant) – UDP 9

Enjoy ;- )

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.