在一個龐大的網絡環境中,我們最不喜歡做的事情是什麼:在每台用戶端去安裝軟體。如果,你是一個2000台計算機網絡的系統管理者,你會怎麼辦?我們部署SCCM也面臨這樣的問題,雖然SCCM的強項之一就是軟體分發。我們的SCCM用戶端怎麼辦,沒有用戶端我們何來其他功能呢。當然,微軟和我們一樣,都考慮到了這個問題,是以,微軟提供多種方法給我們去完成大量的SCCM用戶端部署。例如:腳本化安裝,WSUS推送,用戶端請求安裝(或者SCCM推送安裝),手動安裝(這個是個方法,但不可行)。
在實際環境中,我們可能會用一種方法或者以前多種方法的結合。今天,分享我在部署SCCM用戶端中采用的SCCM推送安裝的方法或者用戶端請求安裝(叫法不一樣,都是說的一個東西)。
用戶端的推送安裝,伺服器端的配置并不複雜,伺服器方面我們要注意以下幾點:
1 用戶端請求安裝配置必須正确,尤其安裝賬戶的使用者名密碼。
2 将SCCM伺服器計算機賬戶加入到域管理者組。
4 用戶端的防火牆配置
伺服器端的配置,我在上一篇文章已經交代了,是以,我們這裡主要講用戶端方面的配置,有幾個特别注意的地方,我會用紅字辨別。
我們通過組政策來對用戶端的防火牆進行配置,沒有域的環境這裡就不介紹了。組政策配置如下:
打開組政策編輯器,定位到進階安全windows防火牆,啟用域配置檔案。如下圖
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_13295931631E9D.png"></a>
定位到域配置檔案,按照下圖分别啟用對應的配置。
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593169Yfky.png"></a>
配置允許入站檔案和列印機共享例外,注意如何配置IP範圍,有說明的哈。
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593175x7z6.png"></a>
定義特殊端口例外2701和2702你參照上面連結的端口表,是用作遠端工具用的。
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593180sM7r.png"></a>
特别說明:允許管理例外這個必須有,這個很重要,為什麼有的時候我們在沒有實施組政策的環境下通過打開端口的方式來測試用戶端推送安裝的時候會不成功,因為這個例外在XP下是需要指令來完成了,而不是圖像界面的防火牆配置。指令:netsh firewall set service remoteadmin enable.在有篇推送安裝故障排除文章中有講到。最根本的原因是RPC終結點映射程式的遠端管理除了開放139端口外,還會産生一個動态的端口,這個端口是變化的,是以,手動開放端口會不成功。
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593183DBHi.png"></a>
接下來,我們将政策下發到指定的OU中,檢查用戶端是否生效:
這裡有台名字為XPC1的計算機,剛加入了域:
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593184ozis.png"></a>
重新開機後,檢查防火牆,是否按照我們設想的在運作,沒有問題:
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593187aZ66.png"></a>
再檢查管理共享是否開啟,正常,為什麼有些GHOST版不能使用者企業,現在知道了吧?
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593190bZBZ.png"></a>
檢查WMI指令空間能否連接配接,這個需要在伺服器運作測試工具
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593194276o.png"></a>
然後檢查SCCM的集合,更新集合成員身份,重新整理幾次,我們已經能看到剛才新加入域的計算機了。
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593200fCFE.png"></a>
過一會兒,你不用作任何的操作,就發現,用戶端已經在安裝SCCM的用戶端軟體了。
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593205JBWw.png"></a>
過一陣我們就可以看見用戶端的配置工具,以及站點資訊了。
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593212PcBx.png"></a>
啟用的代理
<a href="http://naima.blog.51cto.com/attachment/201202/18/158983_1329593216D9sW.png"></a>
大家都注意到了,上面我在用戶端加入域後,對用戶端做了很多的檢查,這些檢查都是確定用戶端能請求安裝成功,如果,你的用戶端請求安裝沒有成功,那麼你也可以檢查以上的幾個項目是否都能成功,我相信,大部分的問題都能解決。如果,以上的檢查都不能解決你的問題,請發郵件到我的郵箱,附上ccm.log檔案和錯誤消息。我們一起來解決問題。
本文轉自zhaonaiqiu 51CTO部落格,原文連結:http://blog.51cto.com/naima/783136,如需轉載請自行聯系原作者
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)