Archive for the ‘Без рубрики’ Category.

аудит редактирования последовательности задач

Возникла ситуация, когда кто-то из команды администраторов ConfigMgr отредактировал Task Sequence, и нам нужно было найти человека, который внёс изменения. Сделать это можно через статусные сообщения Packages Created, Modified, or Deleted:

Выбираем период времени:

Нам нужно статусное сообщение ID 30001:

Список всех статусных сообщений можно найти здесь.

Поиск неподдерживаемых моделей компьютеров

Работаю над проектом по миграции с Windows 7 на Windows 10. Заказчик для оформления закупок новых ноутбуков попросил найти компьютеры старых неподдерживаемых моделей и контакты пользователей, которые «связаны» через User Device Affinity.

SELECT        TOP (100) PERCENT v_GS_COMPUTER_SYSTEM.Name0 AS [Computer name], dbo.v_R_User.Full_User_Name0 AS [User name], v_UserMachineRelationship.UniqueUserName AS [User account], 
                         dbo.v_GS_COMPUTER_SYSTEM.Model0 AS Model, dbo.v_UserMachineIntelligence.ConsoleMinutes AS [Console usage, minutes], dbo.v_R_User.Mail0 AS [Email account], 
                         dbo.v_UserMachineIntelligence.LastLoginTime AS [Last login time]
FROM            dbo.v_GS_COMPUTER_SYSTEM INNER JOIN
                         dbo.v_UserMachineRelationship ON v_GS_COMPUTER_SYSTEM.ResourceID = v_UserMachineRelationship.MachineResourceID INNER JOIN
                         dbo.v_UserMachineIntelligence ON v_UserMachineRelationship.MachineResourceID = v_UserMachineIntelligence.MachineResourceID INNER JOIN
                         dbo.v_R_User ON dbo.v_UserMachineRelationship.UniqueUserName = dbo.v_R_User.Unique_User_Name0
WHERE        (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Latitude E6330%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Latitude E6320%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Latitude E6230%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Latitude E6420%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Latitude E65250%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Latitude E6430U%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Precision M3800%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%OptiPlex 960%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%OptiPlex 790%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%OptiPlex 780%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Latitude E6220%') OR
                         (dbo.v_GS_COMPUTER_SYSTEM.Model0 LIKE N'%Precision T3600%')
ORDER BY [Computer name], [Console usage, minutes] DESC

записи докладов с Microsoft Ignite 2017, посвящённых ConfigMgr, Windows 10 и Microsoft EMS

Windows Defender Advanced Threat Protection:

Windows 10:

Microsoft Intune:

ConfigMgr:

Azure Active Directory:

Microsoft Cloud App Security:

Microsoft Advanced Threat Analytics:

Azure Information Protection:

Microsoft Enterprise Mobility + Security:

Запись докладов с конференции AzureDay 2017

На прошлой неделе я выступал с докладами на конференции AzureDay 2017 в Киеве. Спасибо всем пришедшим!


Несколько раз звучал вопрос: «А можно ли это бесплатно попробовать?». Есть несколько вариантов потренироваться с Azure Intune перед реальным внедрением:

Всё, что вам нужно для последнего варианта — это четыре часа свободного времени и браузер с интернетом. В августе я прошёл эти лабораторные работы и имею только положительные впечатления.


После теоретической части вы получаете логин/пароль для доступа к лабораторной среде и вместе с инструктором пошагово выполняете большое количество лабораторных работ, среди которых:

— управление enterprise applications, подключение их с разными типами аутентификации к своим облачным приложениям;
— Azure AD Conditional Access и MFA;
— конфигурирование self-service-доступа к приложениям;
— Azure AD join и MFA;
— сброс пароля через портал самообслуживания;
— конфигурирование динамической группы Azure AD;
— конфигурирование Azure AD Identity Protection MFA и пользовательских политик риска
— обзор возможностей Cloud App Security и Microsoft ATA;
— и многое другое.

Нам не хватило времени пройти лабораторные работы по Azure Intune и Azure Information Protection, но у вас остаются учётные данные доступа к лабораторной среде и вы можете поработать с этими сервисами в другое удобное для вас время. В общем, я всячески рекомендую тем, кому лень регистрировать свою временную подписку и читать много документации.

Для европейских часовых поясов ближайшие регистрации доступны на 18 сентября и 9 октября:

AzureDAY 2017 в Киеве

Коллеги, я прилечу на конференцию AzureDAY 2017, которая пройдёт в Киеве 9 сентября. Расскажу про управление мобильными устройствами и Windows 10, а также доступом к ресурсам через облако: Azure AD Conditional Access, Azure Intune и Azure Information Protection.

Присоединяйтесь!

новый видеоурок

Выдались свободные выходные, чтобы обкатать новую гарнитуру. Постарался рассказать все основы установки обновлений: от инсталляции WSUS до отчётов и дашбордов.

релиз новых версий — 1706 и TP 1707

Сегодня вышло сразу два обновления — 1706 для Current Branch и 1707 для Technical Preview.

Основные новые возможности в 1706:

  • инвентаризация SecureBoot и TPM;
  • интеграция с Azure AD для аутентификации клиентов и устройств в облаке;
  • возможность обновить версию Windows PE в визарде Update Distribution Points;
  • утилита Configuration Manager Update Reset Tool, помогающая перезапустить процесс скачивания новых обновлений для ConfigMgr;
  • группы в последовательности задач теперь могут раскрываться и сворачиваться;
  • удобное создание и назначение скриптов PowerShell на коллекции.

Больше можно узнать в блоге разработчиков и официальной документации.

Основные новый возможности в Technical Preview 1707:

  • поддержка Client Peer Cache файлов экспресс-установки обновлений для Windows 10 и Office 365;
  • создание параметров для скриптов PowerShell;
  • дашборд для Surface-устройств.

Больше можно узнать в блоге разработчиков и официальной документации.

ошибка регистрации клиента на точке управления

Столкнулись с ситуацией, когда клиенты массово не могут зарегистрироваться на точке управления, что видно из апплета в Панели управления, который не показывает информацию о самоподписанном сертификате.

CcmMessaging.log:

Successfully queued event on HTTP/HTTPS failure for server ‘FR-Server.grp’.

Post to http://FR-Server.grp/ccm_system_windowsauth/request failed with 0x87d00231.

[CCMHTTP] ERROR: URL=http://FR-Server.grp/ccm_system_windowsauth/request, Port=80, Options=224, Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE

Raising event:Raising event:instance of CCM_CcmHttp_Status{ DateTime = «20170421111806.430000+000»; HostName = «FR-Server.grp»; HRESULT = «0x87d0027e»; ProcessID = 4064; StatusCode = 403; ThreadID = 884;};

ClientIDManagerStartup.log:

[RegTask] — Client is not registered. Sending registration request for GUID:DE58A634-DCC5-443A-A3CF-78B8699B5EDF …

RegTask: Failed to send registration request message. Error: 0x87d00231

RegTask: Failed to send registration request. Error: 0x87d00231

LocationServices.log:

1 assigned MP errors in the last 10 minutes, threshold is 5.

2 assigned MP errors in the last 10 minutes, threshold is 5.

3 assigned MP errors in the last 10 minutes, threshold is 5.

4 assigned MP errors in the last 10 minutes, threshold is 5.

Assigned MP error threshold reached, moving to next MP.

И никакой подробной информации в ClientLocation.log:

Current AD forest name is MEGAdomain.grp, domain name is MEGAdomain.grp

Domain joined client is in Intranet

Current assigned management point is the only assigned management point.

Источник проблемы нашёлся в логах IIS, который отбрасывал запросы клиентов с кодом 403:

10.160.52.36 GET /SMS_MP/.sms_aut MPLIST1&CM1 80 — 10.160.18.104 SMS+CCM+5.0 — 200 0 0 433 42

10.160.52.36 CCM_POST /ccm_system_windowsauth/request — 80 — 10.160.48.72 ccmhttp — 403 18 0 1393 50

10.160.52.36 CCM_POST /ccm_system/request — 80 — 10.160.68.234 ccmhttp — 200 0 0 8583 118

10.160.52.36 CCM_POST /ccm_system_windowsauth/request — 80 — 10.160.68.234 ccmhttp — 403 18 0 1393 39

10.160.52.36 POST /SMS_FSP/.sms_fsp — 80 — 10.160.68.234 ccmhttp — 200 0 0 149 36

10.160.52.36 POST /SMS_FSP/.sms_fsp — 80 — 10.160.68.234 ccmhttp — 200 0 0 149 36

10.160.52.36 CCM_POST /ccm_system_windowsauth/request — 80 — 10.160.4.244 ccmhttp — 403 18 0 1393 52

10.160.52.36 CCM_POST /ccm_system_windowsauth/request — 80 — 10.160.159.46 ccmhttp — 403 18 0 1393 85

Что и подтвердилось попыткой зайти напрямую на IIS:

Поскольку в продуктивной среде у нас была только одна точка управления, я решил её не трогать и установить на временный сервер вторую точку, которая сразу же начала корректно принимать запросы:

10.160.52.202 CCM_POST /ccm_system/request — 80 — 10.160.154.4 ccmhttp — 200 0 0 124

10.160.52.202 CCM_POST /ccm_system/request — 80 — 10.160.154.4 ccmhttp — 200 0 0 125

10.160.52.202 CCM_POST /ccm_system/request — 80 — 10.160.154.4 ccmhttp — 200 0 0 125

10.160.52.202 CCM_POST /ccm_system_windowsauth/request — 80 — 10.160.52.154 ccmhttp — 401 2 5 0

10.160.52.202 CCM_POST /ccm_system/request — 80 — 10.160.154.4 ccmhttp — 200 0 0 141

10.160.52.202 CCM_POST /ccm_system_windowsauth/request — 80 MEGAdomain\pc-ext 10.160.52.154 ccmhttp — 200 0 0 46

10.160.52.202 GET /SMS_MP/.sms_aut MPLIST 80 — 10.160.154.4 SMS+CCM+5.0 — 200 0 0 31

новое в обучении

Вчера появилась информация о новых официальных курсах Microsoft:

И хотя статус курсов — «в разработке», первый курс уже доступен на тренерском портале. Все желающие прослушать данный курс могут спрашивать в местных учебных центрах.

Как видно из названия, первый курс затрагивает аспекты администрирования ConfigMgr Current Branch (без рассмотрения архитектуры сайтов и инсталляции сайт-сервера), а второй — управление мобильными устройствами и интеграцию с облачными сервисами.

Оба курса будут готовить к экзамену 70-703: «Administering System Center Configuration Manager and Cloud Services Integration», о котором пока нет информации. Вероятнее всего, экзамен будет доступен осенью, когда будет выпущен второй курс.

System Center Updates Publisher Preview

Позавчера появился новый SCUP. Теперь — с блекджеком поддержкой Windows 10, Windows Server 2016 и SCCM Current Branch.

Скачать можно здесь, а найти документацию по продукту здесь.