Markus Bäker

Ich verwende regelmäßig die Abkürzung SCCM für System Center Configuration Manager. In den MVP Foren wird man dafür regelmäßig gerügt. Ursache hierfür ist, dass Microsoft für seine Produkte nur offizielle Abkürzungen benutzt, die nicht von einer anderen Firma als Trademark eingetragen wurden.

Der Eintrag SCCM ist ein eingetragenes Trademark. Zu finden ist dies z.B. in der entsprechenden Datenbank der USA:

Ähnlich sieht es aus mit dem Operations Manager (SCOM, offiziell OpsMgr):

Wobei hier das Trademark scheinbar abgelaufen ist.

Eine Liste der Abkürzungen der SC Produkte sieht somit so aus:

Ältere Produkte:

Für den System Center 2012 Orchestrator konnte ich auf der Microsoft Seite keine passende Abkürzung finden. Meistens wird auf microsoftfremden Seiten SCO verwendet.

In SCCM 2012 ist der Forefront Endpoint Protection (FEP) Client noch stärker im Configuration Manager (SCCM) integriert worden. Daher kümmert sich auch der SCCM Client um das Einspielen der FEP Policy, die als XML File vorliegt.

In einigen Fällen scheitert dies aber und die Clients erhalten in der SCCM Konsole im Bereich FEP den Status fehlerhaft.

Bei der ersten Analyse hilft das Log EndpointProtectionAgent.log auf dem Client (%systemroot%\ccm\logs). In diesem Fall war folgende Fehlermeldung zu lesen:

<![LOG[Create Process Command line: "c:\Program Files\Microsoft Security Client\\ConfigSecurityPolicy.exe" "C:\WINDOWS\CCM\EPAMPolicy.xml".]LOG]!><time=”09:44:00.851-60″ date=”01-28-2013″ component=”EndpointProtectionAgent” context=”" type=”1″ thread=”4452″ file=”epagentutil.cpp:607″>
<![LOG[Failed to apply the policy C:\WINDOWS\CCM\EPAMPolicy.xml with error (0x80004005).]LOG]!><time=”09:44:00.916-60″ date=”01-28-2013″ component=”EndpointProtectionAgent” context=”" type=”3″ thread=”4452″ file=”epagentimpl.cpp:647″>
<![LOG[Save new policy state 2 to registry SOFTWARE\Microsoft\CCM\EPAgent\PolicyApplicationState]LOG]!><time=”09:44:00.966-60″ date=”01-28-2013″ component=”EndpointProtectionAgent” context=”" type=”1″ thread=”4452″ file=”epagentimpl.cpp:267″>

<![LOG[State 2 and ErrorCode -2147467259 and ErrorMsg Failed to open the local machine Group Policy and PolicyName Antimalware Policy and GroupResolveResultHash A3B029F0133B36CFF682D8CD9BB02D6952B1C9E3 is NOT changed.]LOG]!><time=”09:44:00.967-60″ date=”01-28-2013″ component=”EndpointProtectionAgent” context=”" type=”1″ thread=”4452″ file=”epagentimpl.cpp:339″>

Interessant ist die letzte Zeile: “State 2 and ErrorCode -2147467259 and ErrorMsg Failed to open the local machine Group Policy and PolicyName Antimalware Policy and GroupResolveResultHash”. Eine kurze Recherche im Web ergibt, dass dieser Fehler mit einem Berechtigungsproblem auf die lokalen Gruppenrichtliniendateien zusammenhängen kann, d.h. eine eingerichtete Lokale Gruppenrichtlinieneinstellung hat sich verharkt, so dass das lokale System keinen Schreibzugriff mehr hat. Ein einfaches Löschen dieser Datei (c:\windows\system32\GroupPolicy\Machine\registry.pol) behebt das Problem. Der Ordner GroupPolicy ist im Allgemeinen versteckt.

Möchte man dies remote ausführen, so bietet sich folgende kleine Batchdatei an:

@echo off
call %~dp0findip.cmd %~1
if %ip%.==. goto fehler
echo PC %1 ist erreichbar.
del \\%1\c$\windows\System32\GroupPolicy\Machine\registry.pol

rem remote start gpupdate
psexec \\%1 gpupdate /force

rem update fep policy
SendSchedule.exe {00000000-0000-0000-0000-000000000222} %1

rem update sccm wsus policy
SendSchedule.exe {00000000-0000-0000-0000-000000000108} %1
goto ende

:fehler

echo PC %1 ist nicht erreichbar.

goto ende
:ende

Die Datei benötigt die findip.cmd, die ich bereits in einigen vorhergehenden Batchdateien eingesetzt habe, um zu kontrollieren, ob ein Client online ist. Zusätzlich wird psexec.exe zum Remoteausführen von gpupdate und sendschedule.exe aus dem SCCM Client Toolkit benötigt.

Diese Batchdatei führt folgendes aus:

• Kontrollieren, ob der per Parameter übergebene PC erreichbar ist
• Löschen der lokalen GPO Datei
• Ein Gruppenrichtlinienupdate erzwingen, damit Einstellungen von der Domäne ggfl. korrigiert werden
• Dem SCCM Client mitteilen, dass er die FEP Policy neu einspielen soll
• Dem SCCM Client mitteilen, dass er die WindowsUpdate Einstellungen neu eintragen soll

Hintergrund: Die SCCM Komponenten für das Update Management und FEP benötigen beide Schreibzugriff auf lokale Policies. Dabei werden die Einstellungen in die oben erwähnte registry.pol Datei ablegt. Ist dies nicht möglich so kommt es zu dem oben erwähnten Fehler.

SCCM lädt beim Client Push bzw. beim Rollout über WSUS und auch bei der Installation über OSD zusätzliche Komponenten nach. Die heruntergeladenen Dateien werden anhand der Zertifikate überprüft. Am 10.01.2013 ist das Zertifikat vom Microsoft Policy Platform Setup ausgelaufen. Im ccmsetup.log Log sieht man folgende Meldung:

Couldn’t verify ‘C:\Windows\ccmsetup\MicrosoftPolicyPlatformSetup.msi’ authenticode signature. Return code 0x800b0101

Heute wurde das passende Hotfix bereitgestellt:

http://support.microsoft.com/kb/2801987

Es tauscht den Microsoftpolicyplatformsetup.msi durch eine neu signierte Datei aus und aktualisiert auch die Setupinformationen, dass diese die neue Datei anhand des Hash Wertes akzeptiert.

Seit Mitte dieser Woche steht das Kumulative Update 2 für System Center Configuration Manager 2012 zum direkten Download als Hotfixe zur Verfügung.

Knowledge Base Artikel 2780664 beschreibt die enthaltenen Hotfixes. Wie bei CU üblich beinhaltet es alle Änderungen aus CU1.

Folgende Verbesserungen sind aus meiner Sicht erwähnenswert:

• OUs in DDRs dürfen jetzt auch länger als 220 Zeichen ein
• Applikationsvoraussetzungen wie “Service Pack 1” werden jetzt korrekt ausgewertet
• Beinhaltet Update 2744420
• Windows 8 und Office 2013 werden jetzt korrekt in Asset Intelligence Reports angezeigt

ACHTUNG: Auch wenn der Asset Intelligence Report jetzt Windows 8 erkennt, ist der SCCM Client erst ab 2012 SP1 auf Windows 8 und Windows Server 2012 lauffähig, da das WMI Datenbank Schema um Attribute ergänz worden, die den SCCM Agent fälschlicherweise annehmen lassen, dass die Datenbank korrupt ist.

Quelle: http://blogs.technet.com/b/configmgrteam/archive/2012/12/13/cumulative-update-2-now-available-for-system-center-2012-configuration-manager.aspx

Die Anpassungen an der Microsoft WSUS Infrastruktur aufgrund des unsicheren WSUS Zertifikats haben viele Verwirrungen und Auswirkungen nach sich gezogen. Gerade auch auf SCCM Seite konnte nicht direkt das notwendige WSUS Hotfix eingespielt werden.

Auch jetzt noch kommt es bei SCCM 2007 zu einem hohen Downloadaufwand. Das liegt daran, dass durch die Anpassungen die Metadaten vieler Updates aktualisiert werden mussten. Aktuell bedeutet dass für den SCCM, dass dieser das komplette Update erneut herunterladen muss.

Um diesen unnötigen Aufwand abzustellen hat Microsoft ein (für SCCM) kritisches Hotfix herausgebracht. Wir MVPs wurden gebeten, dieses Update möglichst weiträumig publik zu machen:

Software updates are displayed as invalid in the Administrator Console in System Center Configuration Manager 2007

Das Hotfix behebt für zukünftige Synchronisationen das Problem. Bereits fehlerhaft angezeigt Updates müssen erneut heruntergeladen werden. Eine entsprechende Anleitung kann man im Knowledge Base Artikel nachlesen.

In den meisten Fällen läuft das User State Restore automatisch ab. Im nachfolgenden Fall musste manuell eingegriffen werden und die Daten aus dem Container gesichert werden.

Der ScanState von USMT wird von SCCM mit einem zufällig generierten Passwort geschützt. Der erste Schritt ist somit dieses Passwort zu ermitteln.

In der Konsole findet man diese Informationen unter “Assets and Compliance\Overview\User StateMigration”. Die Recovery Informationen eines Objekts sehen wie in nachfolgender Abbildung aus:

Blau hinterlegt ist hier der Recovery Key. Leider ist dieser so lang und komplex, dass viele Drittprogramme zum Zugriff auf den Container nicht funktionieren. Möchte man die komplette Datei zurücksichern, so ist dies mit loadstate möglich. Dafür sollte man den Key in eine Textdatei speichern (ohne Umbruch am Ende der Zeile) und als Entschlüsselungskey diese Datei eingeben:

Ist der Container nicht beschädigt und auch das Mapping der Benutzer kann durchgeführt werden, dann werden die Dateien auf dem PC auf dem man die Kommandozeile ausführt zurückgesichert.

Wahrscheinlich wird dies aber nicht funktionieren, da sonst das Zurückspielen bereits über den SCCM erfolgreich gewesen wäre.

Das Zurücksichern in diesem speziellen Fall (User Mapping, Error Code 26) beschreibe ich im nächsten Artikel.

Ich bin mal wieder spät. Aber eventuell gibt es ein paar Leser, für die das öffentliche Beta von SCCM 2012 SP1 neu ist

Die Hauptneuerungen sind:

• Unterstützung von Windows 8 und Windows Server 2012
• Verteilpunkte in der Cloud (Azure)
• Powershell Kommandos
• Verwalten von Mac OS X, Linux und UNIX Systemen

Gerade den letzten Punkt finde ich bemerkenswert. Microsoft öffnet seine Managementsysteme immer weiter in Richtung anderen Plattformen.

Details zum Servicepack:

http://blogs.technet.com/b/server-cloud/archive/2012/09/10/system-center-2012-configuration-manager-sp1-beta-and-windows-intune-update.aspx

Details zur Linux Integration:

http://blogs.technet.com/b/server-cloud/archive/2012/06/15/system-center-2012-extends-client-management-and-security-to-mac-and-linux.aspx

“To help manage Mac OS X desktops, Configuration Manager 2012 SP1 CTP enables network discovery, along with hardware and software inventory capabilities.  It also allows to you manage policy settings and distribute software and patches.

For Linux (and Unix) Servers, Configuration Manager 2012 SP1 CTP provides hardware inventory, software inventory, and the ability to deploy and update software.  It also provides secure and authenticated communications to the Linux (and Unix) servers, along with consolidated reporting capabilities. “

Es gibt Situationen, in dem man die in SCCM 2012 vorhandene Remotesteuerung nutzen möchte, ohne dass die komplette CM Konsole installiert ist.

Normalerweise wird Remote Control innerhalb der CM Konsole über das Kontextmenü bei einem Client und Start->Remote Control gestartet.

Möchte man das Remote Control außerhalb der Konsole verwenden (z.B. da man die Konsole nicht auf viele Clients installieren möchte), so reicht es den Unterordner i386 unter „C:\Program Files (x86)\Microsoft Configuration Manager\AdminConsole\bin“ zu kopieren und z.B. in RemoteControl umzubenennen. Darin enthalten ist der CmRcViewer.exe. Nach dem Start kann über File->Connect die Verbindung zu einem PC aufgenommen werden.

Alternativ kann man die Clientadresse direkt als Parameter übergeben:

cmrcviewer.exe <Address> [\\Site Server Name]

“Address“ ist die IP Adresse, Netbios Name oder der FQDN des Clients. Wenn auf dem Quellclient kein SCCM Client installiert ist, dann muss man den Site Server angeben, da diese benötigt wird, um die Berechtigung des Aufrufers zu überprüfen.

Wie bereits in einem vorherigen Post beschrieben, erscheinen Updates im SC Umfeld nicht mehr als einzelne Hotfixe (außer bei kritischen Problemen), sondern gesammelt als Cumulative Updates. Für die anderen SC Produkte sind bereits die Sammelupdate CU1 und CU2 erschienen. Jetzt gibt es das erste CU1 für den SCCM (der etwas anderes behandelt wird als die anderen SCs ).

Besonders erwähnenswert finde ich folgenden Fix:

Read more…

Manchmal kann der Wizard zum Aktualisieren des Boot Images neue Treiber nicht zum Image hinzufügen. Es kommt eine Fehlermeldung wie im folgendem Bild:

Zum Ermitteln der Fehlerursache hilft ausnahmsweise kein Log im CM Verzeichnis, da das Hinzufügen von Treibern mittels des WAIK erfolgt bzw. genauer mit dism.exe. Dieser Tool legt seine Logfile unter Windows\Logs\Dism\dism.log ab. In diesem Fall sieht man dort folgendes:

In diesem Fall fehlten somit in der ursprünglichen Quelle des Treibers bestimmt Dateien. Im Gegensatz zu den meisten anderen Paketen brauchen die Treiber immer noch Zugriff auf die ursprünglichen Verzeichnisse aus denen diese importiert wurden. Daher kann man eine Treiberquelle nur schwierig verschieben und sollte tunlichst nicht aus einem temporären Ordner importieren.

Nach dem Restore der fehlenden Dateien klappte es auch mit dem DP Update der Boot Image.

PS: Grüße an Elvis