Jauramine SCCM Compliance Settings’itega (vol. 2)

Vahepeal lisandus eelmisele tegutsemisele veel informatsiooni.

Kui sealtoodud fiksid üldiselt lahendavad probleemid, siis hetkeks on välja koorunud üks konkreetne OS – kus ei aita ei ussi-ega-püssirohi.

Nimelt, Windows Server 2008 64-bit SP2.  Visalt tuleb evaluaatori vastus “Non-Compliant”. Sul võib olla WinRM 2 või 3, SCCM kliendi versioon misiganes, kuid tulemust pole.

Hetkelise (näiva) lahenduse annab WMI komponentide uuesti registreerimine , repositooriumi repair ja teised sarnased tegevused, kuid peale lühikest olukorra settimist on tulemus vana.

 

Tundub, et TÄPSELT sama viga on teadvustatud Windows Serve 2003/XP korral ja isegi vastav KB üllitatud (http://support.microsoft.com/kb/923850) kuid samasugust Windows 2008 / Vista põlvkonnale pole minul õnnestunud leida. Kuigi selle artiklis toodud dll’i versioonist midagi ei sõltu.

Nii et siin ka üks põhjus selle põlvkonna OS’idest loobumiseks.

Advertisements

Jauramine SCCM Compliance Settings’itega

Compliance settings (vana nimetusega Desired Configuration Management ehk DCM selelst ka palju viiteid “DC”le ) on suurepärane vahend auditeerimaks, et igasugused süsteemi häälestused, installatsioonid ja parameetrid on täpselt nii, nagu IT turva-, haldus- või auditi meeskond soovib. Mõningal määral saab seda teha ka Group Policy objektidega, kuid sel juhul jääb puudu võimas raportikeskkond. SCCM reportserverist võid kasvõi iga päev vastvad raportid automaatselt teele panna.

Ehk jah, CS on tööriist, mis on mõttekas endale selgeks teha ja kasutada.

Hiljuti komistasin naljaka kõrvalefekti otsa – mõningad Configuration Item’id annavad teatud juhtudel vigu. Tegemist ei olnud mingi keerulise päringu või skriptiga – lihtsalt võeti registryst teatud võtmeid ja kontrolliti nende olemasolu või vastavust etteantud väärtustele. Hmmm. uurimise käigus selgus, et Complianciga pole valesti midagi, ehk – reaallselt on vastvad registry võtmed täiesti olemas ja päritavad. REG utiliidiga käsurealt käitus päring täpselt nii nagu oodatud, kuid – SCCM klient andis visalt tulemuseks “Non-Compliant”.

Egas midagi – SCCM klient logib ohjeldamatult ( no õnneks siiski mitte ketast täitvalt) ja täpselt. Compliance Setting’u  kontrollimise sammud salvestuvad järgmistes logifaildes:

DcmWmiProvider.log , DCMReporting.log, StateMessageProvider.Log. Tegelikult on CS’iga seotud veel mõned logifailid kuid need ei paku hetkel huvi.

DCMReportingust loeme välja et Registry väärtuste lugemisel kasutatakse WMI instrumentaariumi. OK. WMI on selline asi, mis tikub omama 1001 bugi ja pidevalt katki olema. Samas eventLogis starditakse WMI ja käivitatakse päring probleemideta.

Ehk siis – proovime uuemat WMI – http://www.microsoft.com/en-us/download/details.aspx?id=34595

Selle peale teeb SCCM klient repairi ja SC Baseline muutub hetkeks ( tegelikult siis seniks kuniks pole toimunud uus kontroll)  kompatiibliks. Hmm..

Ehk siis võiks arvata et kliendis on mingi bugi – vahepeal on valja tulnud ka SCCM 2012 R2 Sp1 CU 4 -  mis küll serveritel peal, kuid kliendid pole veel kõikjal uuendatud.

Pane uuema kliendi paiga ka peale ja voilaa – Compliance jääb samuti rahule.

 

CS CI’d  isenesest laetakse  XML failidena C:\Windows\CCM\CIDownloader\DigestStore kausta.  Nende kohalejõudmise kiirendamiseks tee “Machine Policy Rretrieval and evalution” tegevusel käivitus. Sealt saab vaadata kas masinas ikka on sama sisuga CI kui serveris tehtud.

 

 

Keywords: DCM , non-compliant, registry, value.

Häda SCCM Hierarchy manager’iga.

Ühel hetkel hakkas SCCM 2012 hierarhia vigasid peksma ja nimelt Hierarchy manager. SCCM’i enda logid oli ebameeldivalt punased ja loomulikult tõstis SCOM ka kisa.

Egas midagi vaatme, kus pahalased peidavad.

Avame Component Status> SMS_HIERARHY_MANAGER komponenid logi.

image

Tjah,

Microsoft SQL Server reported SQL message 15410, severity 11: [42000][15410][Microsoft][SQL Server Native Client 11.0][SQL Server]User or role 'DOMAIN\user' does not exist in this database. : sp_addrolemember
Microsoft SQL Server reported SQL message 266, severity 16: [25000][266][Microsoft][SQL Server Native Client 11.0][SQL Server]Transaction count after EXECUTE indicates a mismatching number of BEGIN and COMMIT statements. Previous count = 1, current count = 0. : sp_addrolemember

 

selge.

Antud konto omanik oli inimene, kes kunagi SCCM 2012 hierarhi installis. Erinevatel põhjustel tuli tema  konto nimi (sAMAccountname) ümber nimetada ja õigused igal pool ümber mängida. Ja nüüd ei suudetud uue nimega kontoga vajalikke toimingud sooritada.

SCCM isseneset sai suurepäraselt hakkama, välja arvatud siis hädaldamine hierarhia halduris.

SCCMi konfiguratsioonis ringi tuhlates kusagil vana nimega kontot näha polnud, sestap sai hakatud kahtlustama SQL poolset pidurdust.

Ja tõsi – SQL serveris oli olemas veel vana kontonimega Login, mida mingi trikiga kustutada ei õnnestunud. Küll olid selle Loginil küljes baasid, rollid ja õigused (millede täpsemaid kohti ei viidatud). Baasid ja roolid saab eemaldada lihtsalt, kuid kustutamisblokk jääb ikka. Hmm.

Veel portsuke päringuid SQl suunas ja ilmneb, et vastaval login on SQL’i loodud  “ConfigMgrEndpoint”  omanik ja autoriseerija. Nojah, kuigi SQL dokumentatsioon ütleb et endpointi autoriseerimist ei saa muuta (muuta saab vaid kustutades ja uuesti luues) õnnestus.

select * from sys.endpoints

alter authorization
on endpoint::ConfigMgrEndpoint
to [sa]
Pärast seda saab vale logini kustutada.
Kui nüüd SCCM HIERARCHY komponenti restartida on viga kadunud.
 
Halbu järelmõjusid pole täheldatud.
 
Keywords: HIERARHY MANAGER, error, SQL,
 

Deploying .NET 4 = NOT Deploying .NET 4

image

Kurvastusega tuleb mainida, et MS on teinud liiga palju “traagilisi” muudatusi ja hetkel mina ei tea mehhanismi, kuidas levitad .NET 4 frameworki ei AD GPO ega SCCM Application Deploymenti abil.

Tuleb kasutada vanamoodsaid Login Script installe või Pakage Installi.

Võrgus on leitavad küll mõned trikitamised, kuid lõpptulemusena on tegemist väga suure tõenäosusega KATKISE .NET deploymendiga.

Jah, vanemate .NET versioonide deploy saab käima, kui kasutada exe lahtipakkimist ja MSI’dele transformide ettesöötmist (vältimaks hoiatust, et sa ikka setup’I kasutaksid). Versioon 4 on paraku väga pirtsakas.

Tundub, et teatud firmas teatud osakonnad ei räägi omavahel või siis on neil mingi kana (millest allakirjutanu ei tea) kitkuda. Igatahes kaasaegseks seda lähenemist nimetada ei saa.

Ühe variandina võib välja pakkuda levitamist WSUS / SCCM Software Updates kaudu.

image

Keywords: deploy, .NET 4 , MSI, SCCM.