System Center Configuration Manager (Current Branch) • Active Directory & Group Policies • VMware Workspace ONE & Airwatch

Wie vor der Sommerpause angekündigt, darf ich Sie herzlich zum 3. Teil unserer Integrationsserie Willkommen heißen und wünsche schon vorab, gutes Gelingen. In diesem Artikel zeigen wir einen kurzen Querschnitt über die Installation & Konfiguration von System Center Configuration Manager (CB) sowie die Optimierung für den laufenden Betrieb. Werfen einen Blick auf Active Directory mit einem Windows 10 Group Policy Standard-Regeleset und versorgen unsere Clients mit Anwendungen über “SCCM” ODER lässt sich mit “VMware Workspace ONE (+Airwatch)” Windows 10 – Managen?!

Im Ersten Teil unserer Serie zur Windows 10 Enterprise Integration, haben wir uns mit den Entscheidungsgrundlagen, dem modularen Aufbau, Varianten der Bereitstellung und dem Update Management beschäftigt.

Der Zweite Teil behandelt die Identifikation von Maßnahmen, in Bezug auf Sicherheit, Leistung, Stabilität sowie der Benutzerfreundlichkeit für Windows 10 und deren vollautomatisierten Umsetzung im Bereitstellungsprozess mit einem Querschnitt über verfügbare Möglichkeiten und Funktionen.

System Center Configuration Manager (CB) – Installation & Konfiguration

Der Installation sollte eine sorgfältige Planung vorausgehen. Die Dimensionierung des Servers bildet dabei einen erheblichen Erfolgsfaktor, für den späteren Betrieb. Mit folgendem Beispiel unterstützen wir ein Primary Site (Standalone) System von ca. 1000 – 10.000 Clients.

Dimensionierung

Hardware Anforderungen
Processor Empfohlen: 4 Cores (2,4Ghz)
(Minimum: AMD Opteron, AMD Athlon 64, Intel Xeon with Intel EM64T support, Intel Pentium IV with EM64T support, Minimum: 1.4 GHz)
Memory RAM Empfohlen: 16 GB inkl. SQL Betrieb am Site System (8-12 GB)
HDD System 80 GB (C:\System)
HDD Distribution Point Aktuell (Packages, Updates,…) 600 GB + 400GB (Wachstumsrate) = 1TB (D:\Daten)
HDD SQL Database Empfohlen: Ein eigenständiges Laufwerk oder Partition mit SSD 100GB (E:\SQL). Geplante Sicherungen der DB sollten wenn Möglich dezentral (Netzwerkfreigabe) abgelegt werden. Site System DB Recovery Model  ist nun Standardmäßig auf Simple eingestellt.

Diese Kalkulation betrifft virtuelle Server Systeme der neuesten Generation mit VMware vSphere oder Microsoft Hyper-V und einem aktuellen Storage System. Für Standorte mit einer größeren Client Anzahl empfielt sich eine Hochverfügbare Lösung mit Central-Primary-Secondary Sites und einem SQL Cluster. Die offiziellen Anforderungen liefern dazu einen ersten Überblick.

Selbstverständlich beraten wir Sie gerne bei der Planung und Umsetzung eines Maßgeschneiderten Konzepts und begleiten Sie durch den gesamten Lebenszyklus! Mit unseren speziellen System Management Desktop und Infrastruktur Diensten als Service geniessen Sie alle Vorteile eines Enterprise Management im monatlichen Abo.

Gerald Langeder, Microsoft Certified Technology Specialist @ proBeS Cloud Services GmbH

Skalierung

Maximale Anzahl von Geräten

Site Server Windows,Unix,Linux Mac & CE 7 Intune Cloud Intune Hybrid Max Combined
CAS 700.000 25.000 300.000 100.000 1.025.000
Primary (child) 150.000 25.000 150000 50000 150.000
Primary (standalone) 175.000 25.000 150.000 50.000 175.000
Secondary 15.000 0 0 0 15.000
Management Point 25.000 10.000 N/A 10.000 25.000

 

Maximale Anzahl von Standorten und Standortsystemrollen

Site Server Child sites MP’s DP’s Pull DP’s Max DP’s SUP FSP AppCat AppSrvPt Asset Intel Endpt Prot
CAS 25 Primary N/A N/A N/A N/A ALL N/A N/A N/A ALL ALL
Primary (child) 250 Secondary 15 250 2000 2250 25000 100000 50000 50000 N/A N/A
Primary (standalone) 250 Secondary 15 250 2000 2250 25000 100000 50000 50000 ALL ALL
Secondary N/A 1 250 2000 2250 25000 N/A N/A N/A N/A N/A

Quelle: Microsoft

Prerequesites

System

Sehr Empfehlenswert ist das ConfigMgr Prerequesites Tool (3.0) aus der Technet Gallery. Damit sollten alle erforderlichen Server Rollen & Features abgedeckt sein.

Services

• Active Directory (SCCM Server Hostname mit vererbten Vollzugriff am System Container)
• WDS
• DHCP
• DNS
• WSUS

Firewall Freigaben (Client-Server) ohne Hirarchy.

• RPC (WMI) – 135 (TCP)
• SQL: TCP 4022, 1433
• WDS, PXE: UDP 60, 66, 67, 68, 69, 4011
• Client: TCP 445, 80, 443
• Remote Access: UDP 2701, 2702 / TCP 2701, 2702, 135, 3389
• UDP,TCP 49152 -65535 (https://support.microsoft.com/en-us/kb/179442)

Dokumentation: https://docs.microsoft.com/de-de/sccm/

Rollen (manuell)

• File Services
• Web Server (IIS)
• Windows Deployment Services
• Windows Server Update Services 4.0 inkl. ESD Hotfix (wie im Ersten Teil beschrieben)
• System Center Update Publisher (Optional)

Features (manuell)

• .NET Framework 3.5.1 Features + SP1
• Background Intelligent Transfer Services (BITS)
• Remote Differential Compression
• Remote Server Administration Tools
• Remote Assistance
Windows 10 ADK

SQL Server

Supported SQL Server versions for System Center Configuration Manager (Bei einer standalone Primary Site, können Service Accounts im NT AUTHORITY\SYSTEM Kontext laufen)

Setup

Assistent erfolgt in der Regel selbsterklärend und bedarf hier keiner näheren Erklärung.

Erwähnenswert an dieser Stelle ist das Verzeichnis .\Program Files\Microsoft Configuration Manager\cd.latest – wo nach der Installation und Console Servicing Updates, die letzt gültige Version für Site Maintenance (Reset), Recovery oder zum Download für zusätzliche Clients (Linux/Unix) gestartet werden kann.
Dokumentation: https://docs.microsoft.com/de-de/sccm/

SQL Datenbanken

SQL Server Limits
Min Memory
50% des Gesamtspeicher in MB
Max Memory
80% des Gesamtspeicher in MB
Temp DB Files
4
Temp DB Initial Size 1024MB
Temp DB Autogrowth /MaxSize 1024MB/Unlimited
CM_DB Initial Size
5120MB
CM_DB Autogrowth /MaxSize 1024MB/Unlimited
CM_DB_Log Initial Size 1024MB
CM_DB_Log Autogrowth /MaxSize 1024MB/Limited (90% SQL HDD Size)
ReportServer Autogrowth /MaxSize
By 10 percent, Limited to 10240 MB
ReportServerTempDB_log By 10 percent, Limited to 25600 MB

SCCM Konfiguration

Im Zuge einer von uns durchgeführten Integration, werden folgende Bestandteile einer vorab konzeptionierten Konfiguration unterzogen.

Komponenten

  • Software Update Point
  • Software Updates (WSUS)
  • DHCP Option 66, 67 (Für den Parallelbetrieb mit dem aktuellen Site System kann die PXE Funktion bzw. Task Sequence Deployment über ein eigenes Subnet mit definierten DHCP Scope Optionen oder mit portablen Bootmedien erfolgen. Zur PXE Boot Unterstützung für portable Geräte mit UEFI Bios wie z.B. Microsoft Surface und Legacy Bios Komponenten sind IP Helper Adressen bzw. Relay Agents erforderlich.)
  • Distribution Point
  • Reporting Service Point
  • Maintenance Tasks
  • Backup and Restore
  • Client Push
  • Software Distribution
  • Wake on LAN
  • Client Settings
  • Discovery Methods Configuration
  • Boundaries Configuration
  • Set of Operational SCCM Collections
  • Console Extensions
  • Clean Software Update Groups
  • Report Viewer
  • Quick Fix Engineering (Hardware Inventory Classes)
  • PKI – SSL Site System (Optional)
  • Application Catalog Web Service Point (Optional)
  • Application Catalog Website Point (Optional)
  • System Center Endpoint Protection (Optional)

Standard Rollen

Application Catalog web service point
Application Catalog website point
Component Server
Fallback status point
Distribution Point
Management Point
Reporting Services point
Site Database Server
Site Server
Site System
Software Update Point
State migration point
Service Connection point NEU*

Antivirus Ausnahmen

Für den Störungsfreien Betrieb sind folgende Ausnahmen am AV Client, für Server und Desktops zu definieren:
Updated System Center 2012 Configuration Manager Antivirus Exclusions with more details on OSD and Boot Images, etc…

Anti-virus scan exclusions for Configuration Manager 2012

SQL & WSUS Datenbank Optimierung

WSUS

Re-index the WSUS 3.0 Database

Empfohlen als monatlicher T-SQL Job

Scheduled Tasks

  1. Decline Superseded Updates with Exclusion Period
    Program: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    Arguments: -Command “& ‘C:\install\WSUS-Maintenance\Decline-SupersededUpdatesWithExclusionPeriod.ps1’ -UpdateServer SERVERNAME -Port 8530 -ExclusionPeriod 90”
  2. WsusServerCleanup
    Program: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    Arguments: -command Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Index Optimize

Download und Ausführen der Maintenance Solution: SQL Server Index and Statistics Maintenance

Job Ändern: IndexOptimize – USER_DATABASES – Steps Command (T-SQL)

EXECUTE dbo.IndexOptimize
@Databases = ‘CM_[SITECODE]’,
@FragmentationLow = NULL,
@FragmentationMedium = ‘INDEX_REORGANIZE,INDEX_REBUILD_ONLINE,INDEX_REBUILD_OFFLINE’,
@FragmentationHigh = ‘INDEX_REBUILD_ONLINE,INDEX_REBUILD_OFFLINE’,
@FragmentationLevel1 = 5,
@FragmentationLevel2 = 30,
@UpdateStatistics = ‘ALL’,
@OnlyModifiedStatistics = ‘Y’,
@SortInTempdb = ‘Y’,
@MaxDOP = 0

Active Directory & Group Policies

UNC Hardening

Empfehlung für NETLOGON und SYSVOL Freigaben – die so konfiguriert werden, dass sie sowohl die gegenseitige Authentifizierung als auch die Integrität erfordern, um die Gruppenrichtlinie vor Spoofing und Manipulationsangriffen zu schützen, die genutzt werden können, um eine Remotecodeausführung zu erreichen.

Computer Configuration/Administrative Templates/Network/Network Provider: Hardened UNC Paths
\\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
\\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1

Guidance on Deployment of MS15-011 and MS15-014

Microsoft Security Bulletin MS15-011 – Critical

Microsoft Security Bulletin MS15-014 – Important

Regelset (Windows 10)

Spezifische Werte ergeben sich durch gewünschte Sicherheitsstufen und Active Directory Strukturen. Aus Performencegründen sollte wenn möglich, eine strikte Trennung von Benutzer und Computereinstellungen vorgenommen werden.

GPO Status – User Configuration Settings = disabled für Computer Organisationseinheiten.
GPO Status – Computer Configuration Settings = disabled für User Organisationseinheiten.

Packages & Applications

Für die unbeaufsichtigte Verteilung von Software, die nicht mit herkömmlichen „command lines“, im Zuge einer Task Sequenz oder der Zuweisung von Computersammlung verteilt werden können, sind häufig Visual Basic oder Powershell Scripte im Einsatz. Auch Workspace ONE mit Airwatch bietet hier eine geeignete  Schnittstelle…

Nach tausenden von Software Paketen oder Regelwerken und einer Zielerreichung von 100%, lässt sich ruhigen Gewissens behaupten, dass es nichts gibt – was sich nicht automatisiert auf Clients verteilen lässt. Sehr gerne nehmen wir auch Ihren Auftrag entgegen!

Gerald Langeder, Developer @ proBeS Cloud Services GmbH

Einfach für Anwender – sicher für Unternehmen

VMware Workspace ONE ist eine einfache und sichere Enterprise-Plattform mit integriertem Identitäts-, Anwendungs- und Enterprise Mobility Management, mit der Sie jede Anwendung auf jedem Gerät bereitstellen und verwalten können. Diese Lösung ist als Cloud-Service oder als interne Bereitstellung erhältlich.

Aus Datenschutzrechtlichen Gründen empfielt sich eine Vorort Integration, die auch Federated Identity Management für Office 365 beinhaltet. Federated Identity bedeutet, dass Sie ihre lokalen Benutzerkonten nicht mehr nach Azure Active Directory synchronisieren müssen und die Adresse des lokalen Active Directory Benutzer, über das Identitätsmanagement automatisch für den öffentlichen Zugang übersetzt wird.

VMware bietet mit dem neuen Windows 10 Management eine hochwertige Alternative zur Bereitstellung und Verwaltung aller Endgeräte. Die Kosten sind überschaubar und die Lösung bietet vielfältige Lizenzmodelle für Geräte oder Benutzer(5 Geräte). Als VMware Airwatch Service Provider bietet proBeS Cloud Services unter anderem eine flexible Gestaltung sowie Preisvorteile und professionelle Unterstützung bei der Integration. Gerne informieren wir Sie über die vielfältigen Möglichkeiten, wie z.B. Windows 10 Management.

Produkt Kommentar Preis
VMware Workspace ONE Standard (Includes AirWatch) 1-year Subscription – On Premise for 1 User (Includes Basic Support/Subscription) Workspace ONE Standard (Includes AirWatch). Minimum initial purchase of 25 users. On premise deployment services recommended. Technical Support, 12 Hours/Day, per published Business Hours, Mon. thru Fri. € 44,75
VMware Workspace ONE Advanced (Includes AirWatch) 1-year Subscription – On Premise for 1 User (Includes Basic Support/Subscription) Workspace ONE Advanced (Includes AirWatch). Minimum initial purchase of 25 users. On premise deployment services recommended. Technical Support, 12 Hours/Day, per published Business Hours, Mon. thru Fri. € 89,45

* Preisangaben verstehen sich exkl. MwSt. Bei den angegebenen Lizenzpreisen handelt es sich um un-verhandelte Listenpreise des Herstellers.

  • One-Touch Single Sign-On für alle Anwendungen

    Mit nur einer Berührung erhalten Mitarbeiter sofortigen Zugriff auf native mobile und virtuelle Anwendungen sowie Web- und Windows-Anwendungen, ohne ein Kennwort eingeben zu müssen.

  • Datensicherheit und Endpunkt-Compliance durch bedingungsbasierten Zugriff

    Setzen Sie Zugriffsentscheidungen basierend auf einer Reihe von Bedingungen durch, einschließlich Authentifizierungsstärke, Netzwerk, Standort und Geräte-Compliance. IT kann dank leistungsstarker Richtlinienkontrollen den Schutz gegen gefährdete Geräte sicherstellen.

  • Freie Wahl des Geräts – mitarbeiter- oder unternehmenseigenes Gerät

    Vereinfachen Sie die Umstellung auf BYOD-Programme, indem Sie Ihre Mitarbeiter selbst entscheiden lassen. Bieten Sie Ihren Mitarbeitern den Grad an Komfort, Zugriff, Sicherheit und Management, den sie für ihre Arbeitsabläufe benötigen.

  • Einfaches Self-Service-Onboarding neuer Mitarbeiter

    Mit der Workspace ONE-Anwendung erhalten neue Mitarbeiter sofort Zugriff auf ihren personalisierten Anwendungskatalog, über den sie mit ihrem eigenen Smartphone, Tablet oder Laptop nahezu jede Anwendung abonnieren können.

  • Bereitstellung und Automatisierung von Anwendungen in Echtzeit

    Workspace ONE nutzt die neuen Windows-Funktionen und ermöglicht Desktop-Administratoren auf diese Weise die Automatisierung von Anwendungsverteilung und Updates im laufenden Betrieb. Diese Automatisierung trägt in Kombination mit der preisgekrönten Virtualisierungstechnologie zur Verbesserung von Sicherheit und Compliance bei.

  • Sichere Produktivitätsanwendungen: E-Mail, Kalender, Dokumente und soziale Netzwerke

    Mitarbeiter können die bereitgestellten Funktionen für E-Mail, Kalender, Kontakte, Dokumente, Chats und soziale Netzwerke für Unternehmen nutzen. Unsichtbare Sicherheitsmaßnahmen schützen das Unternehmen dabei vor Datenlecks, indem die Bearbeitung und Freigabe von Anhängen und Dateien eingeschränkt wird.

Wie bieten System Management Lösungen & Services sowohl in unseren Cloud Produkten als auch Vorort (OnPremise) mit gewohnter Professionalität. Neben kostenlosen Beratungsgesprächen entwickeln wir für unsere Kunden maßgeschneiderte Konzepte, implementieren die vollständige Lösung und betreuen Sie im gesamten Lebenszyklus. Darüber hinaus schulen wir ihre Administartoren für den täglichen Umgang und halten Workshops für Best Practice Ergebnisse.

Beispielthemen für einen Windows 10 – SCCM Workshop

  • Erhebung der Werte zur Basis Image Anpassungen (User, System, Service, Scheduled Tasks, etc.) sowie Anlage entsprechender Listen und Dokumente zur Bereitstellung und dem Lebenszyklus
  • Systembereitstellung
    Modifikationen der Betriebssystemquelle lt. Vorgaben: Features, Treiber, Sprachen , Unattend Setup (Dism, Wsim, WDS/SCCM), WICM Provisioning Packages…
  • Look & Feel (Corporate Design) lt. Vorgaben
    Startmenü, Desktop, Taskbar & Anwendungen
  • Systemeinstellungen lt. Vorgaben
    Tweaks (Powershell.- VBScript), Privacy, Powermanagement & Performance Optimierung, Treiber…
  • Software lt. Vorgaben
    Silent Setup (sysnative), Komponenten Integration (.NET, Telnet, Direct Play,…). Universal Apps Side-loading…
  • Domain Join lt. Vorgaben
    Group Policies Best Practize, User Profile Management, etc.
  • Problembehebung und Wartung von Windows 10
    Tools (WinPE, DaRT & 3rd Party), Upgrade OS SMSTS,…
  • Aufgaben im SCCM Betrieb für Windows 10
    Softwarebereitstellung, Auswertungen & Wartungsaufgaben

NEWSLETTER

Kontaktieren Sie uns für ein kostenloses Beratungsgespräch
2017-09-21T12:03:06+00:00
Datenschutzhinweis
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Mehr Informationen
close-link