System Center Configuration Manager (Current Branch) • Active Directory & Group Policies • VMware Workspace ONE & Airwatch
Wie vor der Sommerpause angekündigt, darf ich Sie herzlich zum 3. Teil unserer Integrationsserie Willkommen heißen und wünsche schon vorab, gutes Gelingen. In diesem Artikel zeigen wir einen kurzen Querschnitt über die Installation & Konfiguration von System Center Configuration Manager (CB) sowie die Optimierung für den laufenden Betrieb. Werfen einen Blick auf Active Directory mit einem Windows 10 Group Policy Standard-Regeleset und versorgen unsere Clients mit Anwendungen über „SCCM“ ODER lässt sich mit „VMware Workspace ONE (+Airwatch)“ Windows 10 – Managen?!
Im Ersten Teil unserer Serie zur Windows 10 Enterprise Integration, haben wir uns mit den Entscheidungsgrundlagen, dem modularen Aufbau, Varianten der Bereitstellung und dem Update Management beschäftigt.
Der Zweite Teil behandelt die Identifikation von Maßnahmen, in Bezug auf Sicherheit, Leistung, Stabilität sowie der Benutzerfreundlichkeit für Windows 10 und deren vollautomatisierten Umsetzung im Bereitstellungsprozess mit einem Querschnitt über verfügbare Möglichkeiten und Funktionen.
System Center Configuration Manager (CB) – Installation & Konfiguration
Der Installation sollte eine sorgfältige Planung vorausgehen. Die Dimensionierung des Servers bildet dabei einen erheblichen Erfolgsfaktor, für den späteren Betrieb. Mit folgendem Beispiel unterstützen wir ein Primary Site (Standalone) System von ca. 1000 – 10.000 Clients.
Dimensionierung
Hardware | Anforderungen |
---|---|
Processor | Empfohlen: 4 Cores (2,4Ghz) (Minimum: AMD Opteron, AMD Athlon 64, Intel Xeon with Intel EM64T support, Intel Pentium IV with EM64T support, Minimum: 1.4 GHz) |
Memory RAM | Empfohlen: 16 GB inkl. SQL Betrieb am Site System (8-12 GB) |
HDD System | 80 GB (C:\System) |
HDD Distribution Point | Aktuell (Packages, Updates,…) 600 GB + 400GB (Wachstumsrate) = 1TB (D:\Daten) |
HDD SQL Database | Empfohlen: Ein eigenständiges Laufwerk oder Partition mit SSD 100GB (E:\SQL). Geplante Sicherungen der DB sollten wenn Möglich dezentral (Netzwerkfreigabe) abgelegt werden. Site System DB Recovery Model ist nun Standardmäßig auf Simple eingestellt. |
Diese Kalkulation betrifft virtuelle Server Systeme der neuesten Generation mit VMware vSphere oder Microsoft Hyper-V und einem aktuellen Storage System. Für Standorte mit einer größeren Client Anzahl empfielt sich eine Hochverfügbare Lösung mit Central-Primary-Secondary Sites und einem SQL Cluster. Die offiziellen Anforderungen liefern dazu einen ersten Überblick.
Selbstverständlich beraten wir Sie gerne bei der Planung und Umsetzung eines Maßgeschneiderten Konzepts und begleiten Sie durch den gesamten Lebenszyklus! Mit unseren speziellen System Management Desktop und Infrastruktur Diensten als Service geniessen Sie alle Vorteile eines Enterprise Management im monatlichen Abo.
Skalierung
Maximale Anzahl von Geräten
Site Server | Windows,Unix,Linux | Mac & CE 7 | Intune Cloud | Intune Hybrid | Max Combined |
CAS | 700.000 | 25.000 | 300.000 | 100.000 | 1.025.000 |
Primary (child) | 150.000 | 25.000 | 150000 | 50000 | 150.000 |
Primary (standalone) | 175.000 | 25.000 | 150.000 | 50.000 | 175.000 |
Secondary | 15.000 | 0 | 0 | 0 | 15.000 |
Management Point | 25.000 | 10.000 | N/A | 10.000 | 25.000 |
Maximale Anzahl von Standorten und Standortsystemrollen
Site Server | Child sites | MP’s | DP’s | Pull DP’s | Max DP’s | SUP | FSP | AppCat | AppSrvPt | Asset Intel | Endpt Prot |
CAS | 25 Primary | N/A | N/A | N/A | N/A | ALL | N/A | N/A | N/A | ALL | ALL |
Primary (child) | 250 Secondary | 15 | 250 | 2000 | 2250 | 25000 | 100000 | 50000 | 50000 | N/A | N/A |
Primary (standalone) | 250 Secondary | 15 | 250 | 2000 | 2250 | 25000 | 100000 | 50000 | 50000 | ALL | ALL |
Secondary | N/A | 1 | 250 | 2000 | 2250 | 25000 | N/A | N/A | N/A | N/A | N/A |
Quelle: Microsoft
Prerequesites
System
Sehr Empfehlenswert ist das ConfigMgr Prerequesites Tool (3.0) aus der Technet Gallery. Damit sollten alle erforderlichen Server Rollen & Features abgedeckt sein.
Services
• Active Directory (SCCM Server Hostname mit vererbten Vollzugriff am System Container)
• WDS
• DHCP
• DNS
• WSUS
Firewall Freigaben (Client-Server) ohne Hirarchy.
• RPC (WMI) – 135 (TCP)
• SQL: TCP 4022, 1433
• WDS, PXE: UDP 60, 66, 67, 68, 69, 4011
• Client: TCP 445, 80, 443
• Remote Access: UDP 2701, 2702 / TCP 2701, 2702, 135, 3389
• UDP,TCP 49152 -65535 (https://support.microsoft.com/en-us/kb/179442)
Dokumentation: https://docs.microsoft.com/de-de/sccm/
Rollen (manuell)
• File Services
• Web Server (IIS)
• Windows Deployment Services
• Windows Server Update Services 4.0 inkl. ESD Hotfix (wie im Ersten Teil beschrieben)
• System Center Update Publisher (Optional)
Features (manuell)
• .NET Framework 3.5.1 Features + SP1
• Background Intelligent Transfer Services (BITS)
• Remote Differential Compression
• Remote Server Administration Tools
• Remote Assistance
• Windows 10 ADK
SQL Server
Supported SQL Server versions for System Center Configuration Manager (Bei einer standalone Primary Site, können Service Accounts im NT AUTHORITY\SYSTEM Kontext laufen)
Setup
Assistent erfolgt in der Regel selbsterklärend und bedarf hier keiner näheren Erklärung.
Erwähnenswert an dieser Stelle ist das Verzeichnis .\Program Files\Microsoft Configuration Manager\cd.latest – wo nach der Installation und Console Servicing Updates, die letzt gültige Version für Site Maintenance (Reset), Recovery oder zum Download für zusätzliche Clients (Linux/Unix) gestartet werden kann.
Dokumentation: https://docs.microsoft.com/de-de/sccm/
SQL Datenbanken
SQL Server | Limits |
Min Memory |
50% des Gesamtspeicher in MB |
Max Memory |
80% des Gesamtspeicher in MB |
Temp DB Files |
4 |
Temp DB Initial Size | 1024MB |
Temp DB Autogrowth /MaxSize | 1024MB/Unlimited |
CM_DB Initial Size |
5120MB |
CM_DB Autogrowth /MaxSize | 1024MB/Unlimited |
CM_DB_Log Initial Size | 1024MB |
CM_DB_Log Autogrowth /MaxSize | 1024MB/Limited (90% SQL HDD Size) |
ReportServer Autogrowth /MaxSize |
By 10 percent, Limited to 10240 MB |
ReportServerTempDB_log | By 10 percent, Limited to 25600 MB |
SCCM Konfiguration
Im Zuge einer von uns durchgeführten Integration, werden folgende Bestandteile einer vorab konzeptionierten Konfiguration unterzogen.
Komponenten
- Software Update Point
- Software Updates (WSUS)
- DHCP Option 66, 67 (Für den Parallelbetrieb mit dem aktuellen Site System kann die PXE Funktion bzw. Task Sequence Deployment über ein eigenes Subnet mit definierten DHCP Scope Optionen oder mit portablen Bootmedien erfolgen. Zur PXE Boot Unterstützung für portable Geräte mit UEFI Bios wie z.B. Microsoft Surface und Legacy Bios Komponenten sind IP Helper Adressen bzw. Relay Agents erforderlich.)
- Distribution Point
- Reporting Service Point
- Maintenance Tasks
- Backup and Restore
- Client Push
- Software Distribution
- Wake on LAN
- Client Settings
- Discovery Methods Configuration
- Boundaries Configuration
- Set of Operational SCCM Collections
- Console Extensions
- Clean Software Update Groups
- Report Viewer
- Quick Fix Engineering (Hardware Inventory Classes)
- PKI – SSL Site System (Optional)
- Application Catalog Web Service Point (Optional)
- Application Catalog Website Point (Optional)
- System Center Endpoint Protection (Optional)
Standard Rollen
Application Catalog web service point
Application Catalog website point
Component Server
Fallback status point
Distribution Point
Management Point
Reporting Services point
Site Database Server
Site Server
Site System
Software Update Point
State migration point
Service Connection point NEU*
Antivirus Ausnahmen
Für den Störungsfreien Betrieb sind folgende Ausnahmen am AV Client, für Server und Desktops zu definieren:
Updated System Center 2012 Configuration Manager Antivirus Exclusions with more details on OSD and Boot Images, etc…
SQL & WSUS Datenbank Optimierung
WSUS
Re-index the WSUS 3.0 Database
Empfohlen als monatlicher T-SQL Job
Scheduled Tasks
- Decline Superseded Updates with Exclusion Period
Program: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Arguments: -Command „& ‚C:\install\WSUS-Maintenance\Decline-SupersededUpdatesWithExclusionPeriod.ps1‘ -UpdateServer SERVERNAME -Port 8530 -ExclusionPeriod 90“ - WsusServerCleanup
Program: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Arguments: -command Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates
Index Optimize
Download und Ausführen der Maintenance Solution: SQL Server Index and Statistics Maintenance
Job Ändern: IndexOptimize – USER_DATABASES – Steps Command (T-SQL)
EXECUTE dbo.IndexOptimize
@Databases = ‚CM_[SITECODE]‘,
@FragmentationLow = NULL,
@FragmentationMedium = ‚INDEX_REORGANIZE,INDEX_REBUILD_ONLINE,INDEX_REBUILD_OFFLINE‘,
@FragmentationHigh = ‚INDEX_REBUILD_ONLINE,INDEX_REBUILD_OFFLINE‘,
@FragmentationLevel1 = 5,
@FragmentationLevel2 = 30,
@UpdateStatistics = ‚ALL‘,
@OnlyModifiedStatistics = ‚Y‘,
@SortInTempdb = ‚Y‘,
@MaxDOP = 0
Active Directory & Group Policies
UNC Hardening
Empfehlung für NETLOGON und SYSVOL Freigaben – die so konfiguriert werden, dass sie sowohl die gegenseitige Authentifizierung als auch die Integrität erfordern, um die Gruppenrichtlinie vor Spoofing und Manipulationsangriffen zu schützen, die genutzt werden können, um eine Remotecodeausführung zu erreichen.
Computer Configuration/Administrative Templates/Network/Network Provider: Hardened UNC Paths
\\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
\\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1
Guidance on Deployment of MS15-011 and MS15-014
Regelset (Windows 10)
Spezifische Werte ergeben sich durch gewünschte Sicherheitsstufen und Active Directory Strukturen. Aus Performencegründen sollte wenn möglich, eine strikte Trennung von Benutzer und Computereinstellungen vorgenommen werden.
GPO Status – User Configuration Settings = disabled für Computer Organisationseinheiten.
GPO Status – Computer Configuration Settings = disabled für User Organisationseinheiten.
Packages & Applications
Für die unbeaufsichtigte Verteilung von Software, die nicht mit herkömmlichen „command lines“, im Zuge einer Task Sequenz oder der Zuweisung von Computersammlung verteilt werden können, sind häufig Visual Basic oder Powershell Scripte im Einsatz. Auch Workspace ONE mit Airwatch bietet hier eine geeignete Schnittstelle…
Nach tausenden von Software Paketen oder Regelwerken und einer Zielerreichung von 100%, lässt sich ruhigen Gewissens behaupten, dass es nichts gibt – was sich nicht automatisiert auf Clients verteilen lässt. Sehr gerne nehmen wir auch Ihren Auftrag entgegen!
Einfach für Anwender – sicher für Unternehmen
VMware Workspace ONE ist eine einfache und sichere Enterprise-Plattform mit integriertem Identitäts-, Anwendungs- und Enterprise Mobility Management, mit der Sie jede Anwendung auf jedem Gerät bereitstellen und verwalten können. Diese Lösung ist als Cloud-Service oder als interne Bereitstellung erhältlich.
Aus Datenschutzrechtlichen Gründen empfielt sich eine Vorort Integration, die auch Federated Identity Management für Office 365 beinhaltet. Federated Identity bedeutet, dass Sie ihre lokalen Benutzerkonten nicht mehr nach Azure Active Directory synchronisieren müssen und die Adresse des lokalen Active Directory Benutzer, über das Identitätsmanagement automatisch für den öffentlichen Zugang übersetzt wird.
VMware bietet mit dem neuen Windows 10 Management eine hochwertige Alternative zur Bereitstellung und Verwaltung aller Endgeräte. Die Kosten sind überschaubar und die Lösung bietet vielfältige Lizenzmodelle für Geräte oder Benutzer(5 Geräte). Als VMware Airwatch Service Provider bietet proBeS Cloud Services unter anderem eine flexible Gestaltung sowie Preisvorteile und professionelle Unterstützung bei der Integration. Gerne informieren wir Sie über die vielfältigen Möglichkeiten, wie z.B. Windows 10 Management.
Produkt | Kommentar | Preis |
VMware Workspace ONE Standard (Includes AirWatch) 1-year Subscription – On Premise for 1 User (Includes Basic Support/Subscription) | Workspace ONE Standard (Includes AirWatch). Minimum initial purchase of 25 users. On premise deployment services recommended. Technical Support, 12 Hours/Day, per published Business Hours, Mon. thru Fri. | € 44,75 |
VMware Workspace ONE Advanced (Includes AirWatch) 1-year Subscription – On Premise for 1 User (Includes Basic Support/Subscription) | Workspace ONE Advanced (Includes AirWatch). Minimum initial purchase of 25 users. On premise deployment services recommended. Technical Support, 12 Hours/Day, per published Business Hours, Mon. thru Fri. | € 89,45 |
* Preisangaben verstehen sich exkl. MwSt. Bei den angegebenen Lizenzpreisen handelt es sich um un-verhandelte Listenpreise des Herstellers.
Wie bieten System Management Lösungen & Services sowohl in unseren Cloud Produkten als auch Vorort (OnPremise) mit gewohnter Professionalität. Neben kostenlosen Beratungsgesprächen entwickeln wir für unsere Kunden maßgeschneiderte Konzepte, implementieren die vollständige Lösung und betreuen Sie im gesamten Lebenszyklus. Darüber hinaus schulen wir ihre Administartoren für den täglichen Umgang und halten Workshops für Best Practice Ergebnisse.
Beispielthemen für einen Windows 10 – SCCM Workshop
- Erhebung der Werte zur Basis Image Anpassungen (User, System, Service, Scheduled Tasks, etc.) sowie Anlage entsprechender Listen und Dokumente zur Bereitstellung und dem Lebenszyklus
- Systembereitstellung
Modifikationen der Betriebssystemquelle lt. Vorgaben: Features, Treiber, Sprachen , Unattend Setup (Dism, Wsim, WDS/SCCM), WICM Provisioning Packages… - Look & Feel (Corporate Design) lt. Vorgaben
Startmenü, Desktop, Taskbar & Anwendungen - Systemeinstellungen lt. Vorgaben
Tweaks (Powershell.- VBScript), Privacy, Powermanagement & Performance Optimierung, Treiber… - Software lt. Vorgaben
Silent Setup (sysnative), Komponenten Integration (.NET, Telnet, Direct Play,…). Universal Apps Side-loading… - Domain Join lt. Vorgaben
Group Policies Best Practize, User Profile Management, etc. - Problembehebung und Wartung von Windows 10
Tools (WinPE, DaRT & 3rd Party), Upgrade OS SMSTS,… - Aufgaben im SCCM Betrieb für Windows 10
Softwarebereitstellung, Auswertungen & Wartungsaufgaben