Флоучарт развертывания SCCM Secondary Site

Владислав Артюков

Vladislav@Artukov.com

 

Введение

Несколько лет тому назад на сайте Microsoft появился пакет схем Systems Management Server 2003 Troubleshooting Flowcharts. Несмотря на возраст, этот набор документов полезен и для работы с MS SCCM 2007.

Для понимания схем не хватало пояснений, и поэтому я взял за основу схему SecSiteSetupUpgrdParSite.pdf, локализовал и дополнил. В результате получилось два документа – схема (Ru) SecSiteSetup и этот документ, который вы читаете. Там, где я посчитал нужным, снимки экранов сопровождает перевод с исправлениями и дополнениями.

В схеме встречается вот такой значок
clip_image002

Его расшифровка очень проста. ЗДБР – Здесь Должно Быть Решение. Документы не являются «застывшими» и будут исправляться/дополняться.

Пятистраничный флоучарт размещается в конце статьи.


Page-1

clip_image004

Помощник проверяет уникальность кода сайта, если сайт уже существует, выдается предупреждение «Сайт с кодом XX уже существует в базе данных ConfigMgr. Пожалуйста, выберите другой код сайта.».

clip_image006

Для имени сервера сайта можно использовать только «короткие» имена, в стиле NetBIOS. Для единообразия можно скопировать путь, по которому располагается «родительский» ConfigMgr:
C:\Program Files\Microsoft Configuration Manager

clip_image008

clip_image010

В консоли ConfigMgr, при вводе учетной записи для Standard Sender Address ‑ не проверяется существование учетной записи в AD и правильность пароля. Проверяется лишь совпадение паролей, введенных в двух полях. Поэтому имя и особенно пароль следует вводить внимательно. Почему-то недопустимо использование учетной записи в формате user@domain.

Если пароль учетной записи по какой-то причине поменяется в ADDS (Active Directory), нужно будет изменить пароль и в Standard Sender Address, поскольку пароли не синхронизируется в автоматическом режиме.

clip_image012

Для Standard Sender Address можно использовать как «короткие» имена серверов, так и «длинные» (FQDN).

clip_image014

clip_image016
Для ConfigMgr типично поведение «мастер завершил работу, но на самом деле работа продолжается». Поэтому завершение работы мастера Secondary Site Creation Wizard – одна из ступеней к успешному развертыванию Secondary Site.

Проблемы и решения

Во время развертывания Secondary Site, на диске целевого сервера (в нашем случае на диске C:) создается файл ConfigMgrPrereq.log и можно предположить, что выполняется полноценная проверка готовности сервера к развертыванию Secondary Site.

clip_image018

На самом деле проверка не выполняется. Чтобы не искать причины странных ошибок, рекомендую выполнить проверку самостоятельно, до развертывания Secondary Site. При необходимости установите дополнения и обновления.


Page-2

clip_image020

Компонент SMS_LAN_SENDER передает на целевой сервер файлы SMS_BOOTSTRAP.PKG (165-175 Мбайт) и небольшой файл SMS_BOOTSTRAP.INI.

Пример файла SMS_BOOTSTRAP.INI.

clip_image022

Пересылку файлов можно отследить в журнале Sender.log.

На снимке ‑ компонент SMS_LAN_SENDER проверяет возможность пересылки файлов, а затем начинает копировать файл SMS_BOOTSTRAP.PKG в папку C$ на компьютере S04.systemcenter.com.

clip_image024

Затем компонент SMS_LAN_SENDER создает на целевом сервере и запускает сервис SMS_BOOTSTRAP на базе файла SMS_BOOTSTRAP.EXE.

clip_image026

Проблемы и решения

Если учетная запись для адреса Secondary Site не указана, при вводе имени и пароля учетной записи допущена ошибка или учетная запись не имеет прав локального администратора на целевом сервере – компонент SMS_LAN_SENDER не может подключиться к сетевой папке
\\<имя_целевого_сервера>\C$. Это событие фиксируется в журнале Sender.log на сервере в Primary Site.

clip_image028
Ошибка при подключении к \\s1-06.systemcenter.com\C$.

А через несколько минут сообщение появляется и в окне ConfigMgr Message Viewer для компонента SMS_LAN_SENDER.

clip_image030
Компонент SMS_LAN_SENDER не может подключиться по локальной сети к отдаленному сайту S06. Операционная система сообщила об ошибке 1326: …

Для исправления ситуации, администратору необходимо ввести валидную учетную запись для адреса Secondary Site. На сервере в Primary Site выберите объект … Site Settings / Addresses, откройте свойства адреса S06 – Site 06 и введите валидную учетную запись. Напомню, что полное имя домена и “короткое” имя домена могут различаться. В данном случае у домена systemcenter.com – “короткое” имя systemcenter99, нужно использовать “короткое” имя.

clip_image032

После исправления учетной записи не нужно перезапускать мастер Secondary Site Creation Wizard, поскольку компонент SMS_LAN_SENDER повторяет попытки подключения к целевому серверу. Если введена валидная учетная запись, после проверки возможности пересылки файлов – продолжится процесс развертывания Secondary Site.

clip_image034

Passed the xmit file test…

Проверка возможности пересылки файлов успешно пройдена.


Page-3

На целевом сервере для Secondary Site.

clip_image020[1]

Сервис SMS_BOOTSTRAP распаковывает файл SMS_BOOTSTRAP.pkg во временную папку со случайным именем и расширением .tmp, а затем запускает программу установки из временной папки. Программа установки получает параметры из файла SMS_BOOTSTRAP.ini.

Setup.exe /script C:\SMS_BOOTSTRAP.ini /nouserinput

clip_image036

clip_image038

Программа Setup.exe фиксирует процесс установки в журнале ConfigMgrSetup.log.

clip_image040
Установка сервиса SMS_SITE_COMPONENT_MANAGER.

clip_image042

Сервис SMS_BOOTSTRAP детектирует завершение работы Setup.exe, очищает журнал SMS_BOOTSTRAP.log, оставляет в нем только одно сообщение SMS_BOOTSTRAP stopped… и самоудаляется.

Во время развертывания Secondary Site журнал SMS_BOOTSTRAP.log выглядит так:

clip_image044

Журнал после очистки:

clip_image045

На сервере сайта в Primary Site.

Если взаимодействие Primary Site и Secondary Site сложится успешно, минут через 15 в окне ConfigMgr Status Message Viewer можно будет наблюдать краткий пересказ процесса установки сервера в Secondary Site.

1) Message ID: 3514
Компонент SMS_LAN_SENDER установил сервис SMS_BOOTSTRAP
на сервере s1-05.systemcenter.com. …

clip_image047

Сообщение содержит неточности в оригинале. Например, программа Setup использует журнал ConfigMgrSetup.log, но не smssetup.log.

clip_image049
Компонент SMS_LAN_SENDER установил сервис SMS_BOOTSTRAP на сервере s1-05.systemcenter.com. Для установки secondary site S05, сервис SMS_BOOTSTRAP запустит программу Setup с параметрами для сайта S05. Вы можете проследить прогресс в работе SMS_BOOTSTRAP с помощью журнала sms_bootstrap.log на сервере s1-05.systemcenter.com, и прогресс в работе программы Setup с помощью журнала ConfigMgrSetup.log на сервере s1-05.systemcenter.com

2) Message ID: 3527
Cервис SMS_BOOTSTRAP на сервере s1-05.systemcenter.com начал распаковку пакета.

clip_image051

3) Message ID: 3523
Cервис SMS_BOOTSTRAP на сервере s1-05.systemcenter.com успешно запустил программу Setup.

clip_image053

4) Message ID: 3525
Программа Setup на сервере s1-05.systemcenter.com успешно завершила работу.

clip_image055

5) Message ID: 3528
Cервис SMS_BOOTSTRAP на сервере s1-05.systemcenter.com успешно завершил работу.

clip_image057


Page-4

clip_image059

На примере сайта S10.

Hierarchy Manager

· Создает публичный ключ для secondary site S10, записывает в файл S10.CT4 и перемещает в папку
..\Inboxes\hman.box\pubkey

В журнале hman.log появляется запись Successfully created the file C:\Program Manager\Microsoft Configuration Manager\inboxes\hman.box\pubkey\S10.CT4

clip_image061

Scheduler

  • Создает инструкцию *.I* в папке ..\schedule.box\tosend
    Пример: 0000000A.Ijo.
  • Создает пакет *.P* в папке ..\schedule.box\tosend
    Пример: 0000000A.Pub.
  • Создает send request в папке ..\schedule.box\requests
    Пример: 2000AS04.SRQ

clip_image063

На примере сервера configmgr01.systemcenter.com в Primary Site, имен 2005FS10 и 000000С3:

Sender

  • Получает send request.
  • Проверяет возможность подключения к сетевой папке
    \\ configmgr01.systemcenter.com\Sms_site
  • Во избежание конфликта проверяет существование файлов в сетевой папке Sms_site:
    2005FS10.PCK
    2005FS10.SNI
    2005FS10.TMP
  • Перемещает пакет ..\schedule.box\tosend00000C3.Pv7 в сетевую папку на сервер в primary site. В новом расположении файлу переименовывается в 2005FS10.PCK.
  • Перемещает инструкцию ..\schedule.box\tosend00000C3.Ipg в сетевую папку на сервер в primary site. В новом расположении файлу переименовывается в 2005FS10.TMP.
  • Переименовывает 2005FS10.TMP в 2005FS10.SNI.


Page-5

Все время, пока выполняется инициализация Secondary Site, сайт виден в консоли ConfigMgr в режиме Pending (с песочными часиками).

В этом примере Secondary Site с кодом S09 еще не вошел в эксплуатацию и находится в состоянии Pending.

clip_image065

После успешной инициализации сайт переходит в активный режим.

clip_image067

clip_image069

Проблемы и решения

Если Secondary Site долгое время находится в режиме Pending, в консоли ConfigMgr следует посмотреть на статус компонента SMS_DESPOOLER. Наличие сообщений ID4405 и 4404 говорит о том, что Secondary Site не смог предоставить публичный ключ.

Консоль ConfigMgr Status Message Viewer на сервере в Primary Site. Компонент SMS_DESPOOLER.

clip_image071
Компонент SMS_DESPOOLER принял инструкцию (файл) и пакет (тоже файл) от сайта S10. Пакет содержит информацию для распространения ПО или межсайтового обмена. У компонента SMS_DESPOOLER нет публичного ключа для верификации цифровой подписи к пакету. Инструкция не будет выполнена и будет удалена.

clip_image073
Компонент SMS_DESPOOLER принял инструкцию (файл) и пакет (тоже файл) от сайта S10. Пакет содержит публичный ключ сайта S10. Инструкция не будет выполнена и будет удалена, поскольку в Parent Site запрещен обмен публичными ключами без цифровой подписи.

Решение:

  • Расширьте схему AD, чтобы SCCM-сайты могли публиковать публичные ключи в AD.
  • Выполните ручной обмен публичными ключами с помощью инструмента preinst.exe.
  • Отключите опцию Require secure key exchange between sites в консоли ConfigMgr.

Сообщения для объекта Component Status поступают с задержкой около 15 мин (тем не менее, временнЫе метки в сообщениях правильные).

Вследствие того, что компонент SMS_DESPOOLER не может обработать файлы, они скапливаются в каталоге ..\inboxes\despoolr.box\receive (он же \\ConfigMgrR2\SMS_SITE в данном примере):
clip_image075

Решение 1

(+) Самое простое решение.

(-) Обмен информацией между сайтами – незащищенный.

Решение можно использовать как до, так и после развертывания сайта с помощью Secondary Site Creation Wizard. Если решение применить после развертывания сайта – инструкции и пакеты обрабатываются в течение часа.

Выполняется на сервере в Parent Site.

1) В консоли ConfigMgr отключите Secure key exchange between sites для Parent Site.

clip_image077

2) Подождите около часа.

3) Проконтролируйте взаимодействие сайтов.

4) Если взаимодействие сайтов выполняется успешно – можно снова включить Require secure key exchange between sites.

Даже в Mixed mode обмена информацией между сайтами можно защитить с помощью публичных и приватных ключей. В SCCM опция Secure key exchange between sites по умолчанию включена, в то время как в SMS 2003 она была выключена для обеспечения совместимость с предыдущими версиями SMS.

Решение 2

Решение коллеги Alipka
http://blogs.technet.com/b/alipka/archive/2008/01/12/sccm-2007-couple-of-deployment-tips.aspx

(+) Если схема AD не расширена, придется использовать этот метод.

Re: http://itband.ru/2010/07/secondary-site-configmgr-2007/

Выполняется на сервере в Parent Site.

1) На сервере в Primary site выполните
Preinst /keyforchild

2) Полученный файл *.CT5 скопируйте в папку ..\inboxes\hman.box на целевом сервере в
Secondary site.

Выполняется на целевом сервере в Secondary Site.

3) На целевом сервере в Secondary site выполните
Preinst /keyforparent

4) Полученный файл *.CT4 скопируйте в папку ..\inboxes\hman.box на целевом сервере в Primary site.

5) Проконтролируйте взаимодействие сайтов.

Решение 3

(-)

  • Нужен доступ к Active Directory в консоли adsiedit.msc.
  • Схема AD должна быть расширена.

Выполняется на контроллере домена.

На примере домена systemcenter.com и целевого сервера S1-08 в Secondary Site.

1) Запустите консоль adsiedit.msc.

2) В консоли перейдите к объекту DC=systemcenter,DC=COM | CN=System | CN=System Management.

3) В свойствах объекта выберите вкладку Security.

4) Добавьте учетную запись компьютера S1-08, дайте ей полный доступ для объекта и всех дочерних объектов.

5) Проконтролируйте взаимодействие сайтов.

Флоучарт

clip_image079

clip_image081

clip_image083

clip_image085

clip_image087

Реклама
Запись опубликована в рубрике Uncategorized. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s