[SCCM] Prés-requis à l’installation du client SCCM

Bonjour à tous,

Lors de l’installation d’une solution SCCM, la charge liée au déploiement de l’agent SCCM est certainement l’étape la moins simple à prévoir. Les raisons de cette difficulté peuvent être multiples :

Un parc réparti sur de nombreux sites
Un parc peu homogène
Des prés-requis au déploiement de l’agent SCCM non respectés

Pour ne rien arranger, les prés-requis dépendent des fonctionnalités que vous souhaitez déployer. Par conséquent, il n’existe pas une solution unique, cependant nous pouvons essayer de nous simplifier la vie en passant par exemple par les GPOs 🙂
Dans cet article vous propose de construire une GPO ayant pour objectifs d’appliquer à vos postes ces fameux prés-requis ainsi que quelques éléments supplémentaires qui pourront vous être bien utiles.

1. Création d'une stratégie de groupe de configuration des futurs clients SCCM

Commençons par un créé un objet de stratégie de groupe :

Depuis votre contrôleur de domaine, ouvrez la console de gestion des stratégies de groupes (gpmc.msc)

Naviguez dans l'arborescence jusqu'au nœud "Objets de stratégie de groupe". Cliquez-droit sur ce nœud puis sélectionnez l'action "Nouveau" — Naviguez dans l’arborescence jusqu’au nœud “Objets de stratégie de groupe”. Cliquez-droit sur ce nœud puis sélectionnez l’action “Nouveau”

Nommez cette nouvelle GPO puis cliquez sur OK

Vérifiez que cette GPO est bien créée et vérifiez dans la section "Liaisons" que qu'elle n'est appliquée à aucune unité d'organisation — Vérifiez que cette GPO est bien créée et vérifiez dans la section “Liaisons” que qu’elle n’est appliquée à aucune unité d’organisation

2. Intégration des fonctionnalités CORE

A partir du moment où nous décidons de déployer l’agent SCCM sur les systèmes, certains prés-requis devront dans tous les cas être respectés. C’est le cas par exemple de l’installation poussée du client ou du contrôle à distance qui nécessitent d’ouvrir certains ports du pare-feu du client. D’autre part il peut être intéressant d’ajouter à chaque poste de travail l’utilitaire Cmtrace.exe afin de simplifier la consultation des fichiers de logs SCCM. Enfin de plus en plus d’outils utilisent le PowerShell à distance pour atteindre les postes.

Je vous propose donc d’ajouter à notre nouvel objet de stratégie de groupe ces paramètres, à savoir:

L’ajout du fichier Cmtrace.exe sur les postes de travail
La configuration du service PowerShell à distance
L’ajout des exceptions de pare-feu suivantes
- Partage de fichiers et d’imprimantes (trafic entrant et sortant)
- Windows Management Instrumentation (WMI) (trafic entrant)

Avant de rentrer dans le détails de la configuration de la GPO, nous allons copier l’utilitaire CMtrace.exe dans un emplacement accessible à chaque poste lors de leur démarrage. Copiez donc le fichier CMTrace.exe situé à l’emplacement suivant “\\<SCCMServer>\SMS_<SiteCode>\Tools” dans le dossier “\\<DomainDNSName>\Sysvol\<DomainDNSName>\Scripts\SCCM” en remplaçant :

<SCCMServer> par le nom FQDN de votre serveur SCCM principal
<SITECODE> par le site code de votre site SCCM
<DomainDNSName> par le nom DNS de votre domaine Active Directory.

Dans notre exemple le fichier CMtrace.exe sera copié de “\\SVSCCM01.Mylab.local\SMS_MLB\Tools” vers “\\Mylab.local\Sysvol\Mylab.local\Scripts\SCCM”

Ensuite, nous pouvons configurer notre GPO :

1. Cliquez-Droit sur la GPO que nous venons de créer puis sélectionnez l'action "Modifier" — 1. Cliquez-Droit sur la GPO que nous venons de créer puis sélectionnez l’action “Modifier”

2. Dans l'éditeur d'objet de GPO naviguez dans Ordinateurs, Préférences, Paramètres Windows puis sélectionnez Fichiers. cliquez-droit et sélectionnez Nouveau — 2. Dans l’éditeur d’objet de GPO naviguez dans Ordinateurs, Préférences, Paramètres Windows puis sélectionnez Fichiers. cliquez-droit et sélectionnez Nouveau

3. Spécifiez le chemin d'accès au fichier cmtrace.exe dans "Source File" puis %WINDIR%\cmtrace.exe dans le chemin de destination. Cliquez enfin sur OK — 3. Spécifiez le chemin d’accès au fichier cmtrace.exe dans “Source File” puis %WINDIR%cmtrace.exe dans le chemin de destination. Cliquez enfin sur OK

4. Configurons maintenant le service WinRM. Naviguez dans Ordinateurs, Stratégies, Composants Windows, WinRM et enfin WinRM Service.

5. Sélectionnez "Autoriser l'administration à distance avec WinRM". Activez ce paramètre et spécifiez les adresses à partir desquelles nous pourrons faire du PowerShell à distance — 5. Sélectionnez “Autoriser l’administration à distance avec WinRM”. Activez ce paramètre et spécifiez les adresses à partir desquelles nous pourrons faire du PowerShell à distance

6. Naviguez ensuite dans Paramètres Ordinateurs, stratégies, paramètres Windows puis Services systèmes. Cliquez droit sur (WS-Management)

7. Configurez le service en démarrage Automatique puis cliquez sur OK

8. Enfin, concernant le service WinRM, configurons une règle de pare-feu. Créez une règle d'exception entrante — 8. Enfin, concernant le service WinRM, configurons une règle de pare-feu. Créez une règle d’exception entrante

9. Sélectionnez dans les modèles existants le modèle Windows Remote Management puis cliquez sur Suivant

10. Décochez la case qui activ l'exception sur le profil public puis cliquez sur suivant — 10. Décochez la case qui activ l’exception sur le profil public puis cliquez sur suivant

12. Activons maintenant les exceptions nécessaire au déploiement poussé du client. Toujours dans le règles de pare-feu entrantes, ajoutez une règle basée sur le modèle Partage de fichiers et d'imprimantes — 12. Activons maintenant les exceptions nécessaire au déploiement poussé du client. Toujours dans le règles de pare-feu entrantes, ajoutez une règle basée sur le modèle Partage de fichiers et d’imprimantes

15. Créez une règle de trafic sortant pour le partage de fichiers et d'imprimantes — 15. Créez une règle de trafic sortant pour le partage de fichiers et d’imprimantes

18. Dernière règle de trafic entrant : le WMI à distance.

21. Voici un petit résumé des règles de trafic entrant créées

Vous pouvez également télécharger cet objet de stratégie de groupes ici. Une fois restauré, n’oubliez pas de changer le chemin d’accès au fichier cmtrace.exe.

3. Intégration de fonctionnalités optionnelles

Dépendamment des fonctionnalités que vous allez implémenter sur vos postes de travail, vous pouvez ajouter à cette GPO des exceptions supplémentaires. Voici une liste des fonctionnalités connues nécessitant l’ajout d’exceptions de pare-feu supplémentaires :

Installation du client par GPO :
- (trafic entrant) – Partage de fichiers et d’imprimantes
Notification du client :
- (trafic entrant) – TCP 10123
Contrôle à distance :
- (trafic entrant) – TCP 2701
Assistance à distance et bureau à distance (si connexion initiée depuis le console d’administration SCCM) :
- (trafic entrant) – Helpsvc.exe
- (trafic entrant) – TCP 135
- (trafic entrant) – Assistance à distance
- (trafic entrant) – Bureau à distance
Assistance à distance (si connexion initiée depuis le poste faisant la demande d’assistance) :
- (trafic entrant) – Assistance à distance
- (trafic entrant) – Bureau à distance
Proxy de mise en éveil :
- Sur les systèmes actant comme proxy de mise en éveil :
  - (trafic sortant) – UDP 25536
  - (trafic sortant) – UDP 9

Enjoy ;- )

Laisser un commentaire Annuler la réponse