Merhaba, bu makalemizde organizasyonlarımızda patch management yapmak, uygulama ve işletim sistemi dağıtmak için kullandığımız eski adı ile SCCM yeni adıyla Microsoft Endpoint Configuration Manager kurulumunu dağıtık olarak gerçekleştireceğiz.
SCCM kurulumu öncesi planlama çok önemlidir. Organizasyonunuzun büyüklüğüne göre doğru hesaplamalı sonrasında ihtiyaçlara göre yapınızı tasarlamalısınız. Detaylı bilgiye buradan ulaşabilirsiniz.
| Desktop clients | Site type/role | Cores Note 1 | Memory (GB) | SQL Server memory allocation Note 2 | IOPS: Inboxes Note 3 | IOPS: SQL Server Note 3 | Storage space required (GB) Note 4 |
|---|---|---|---|---|---|---|---|
| 25k | Primary or CAS with database site role on the same server | 6 | 24 | 65% | 600 | 1700 | 350 |
| 25k | Primary or CAS | 4 | 8 | 600 | 100 | ||
| Remote SQL Server | 4 | 16 | 70% | 1700 | 250 | ||
| 50k | Primary or CAS with database site role on the same server | 8 | 32 | 70% | 1200 | 2800 | 600 |
| 50k | Primary or CAS | 4 | 8 | 1200 | 200 | ||
| Remote SQL Server | 8 | 24 | 70% | 2800 | 400 | ||
| 100k | Primary or CAS with database site role on the same server | 12 | 64 | 70% | 1200 | 5000 | 1100 |
| 100k | Primary or CAS | 6 | 12 | 1200 | 300 | ||
| Remote SQL Server | 12 | 48 | 80% | 5000 | 800 | ||
| 150k | Primary or CAS with database site role on the same server | 16 | 96 | 70% | 1800 | 7400 | 1600 |
| 150k | Primary or CAS | 8 | 16 | 1800 | 400 | ||
| Remote SQL Server | 16 | 72 | 90% | 7400 | 1200 | ||
| 700k | CAS with database site role on the same server | 20+ | 128+ | 80% | 1800+ | 9000+ | 5000+ |
| 700k | CAS | 8+ | 16+ | 1800+ | 500+ | ||
| Remote SQL Server | 16+ | 96+ | 90% | 9000+ | 4500+ | ||
| 5k | Secondary Site | 4 | 8 | 500 | – | 200 | |
| 15k | Secondary Site | 8 | 16 | 500 | – | 300 |
Biz makalemizde dağıtık olarak kurulum yapacağız. Dağıtık kurulumun avantajı yönetmek ve güvenliği sağlamanın daha kolay olması. Bunun nedeni ise rollerin ve kullanıcıların bir birinden ayrılması.
Yapımız aşağıdaki gibi;
- Active Directory
- Primary Site Server – MS Server 2019
- SQL Server – SQL Server 2019 + MS Server 2019
- WSUS Server – MS Server 2019
- Distribution Point Server – MS Server 2019
Topoloji
Genel isterler
Tüm sunucuların dil ve bölgesel ayarları klavye hariç diğer seçeneklerin English (United States) olmalıdır.
SCCM için gerekli kullanıcılar ve gruplar
Kurulum ve yönetim işlemlerinde kullanacağımız kullanıcıları “SCCM-Admins” grubuna dahil ediyoruz.
SCCM kurulumu yapılacak olan server “SCCM-SiteServers” grubuna dahil ediliyor.
Portlar
İzin verilmesi gereken portlara buradan ulaşabilirsiniz.
| From | TO | UDP | TCP | Description | Direction |
|---|---|---|---|---|---|
| Asset Intelligence Synchronization Point | Microsoft | 443 | HTTP | Unidirectional | |
| Asset Intelligence Synchronization Point | SQL Server | 1433 | SQL Over TCP | Unidirectional | |
| App Catalog Web Service Point | SQL Server | 1433 | SQL Over TCP | Unidirectional | |
| App Catalog Website Point | App Catalog Web Service Point | 80/443 | HTTP/HTTPS | Unidirectional | |
| Client | App Catalog Website Point | 80/443 | HTTP/HTTPS | Unidirectional | |
| Client | Client (wol) | 9/25536 | WOL/WUP | Unidirection | |
| Client | NDES | 80/443 | http/https | Unidirection | |
| Client | Cloud DP | 443 | https | Unidirection | |
| Client | DP | 80/443 | http/https | Unidirection | |
| Client | DP with Multi Cast | 63000-64000 | 445 | Multi Cast/SMB | Unidirection |
| Client | DP with PXE | 67/68/69/4011 | DHCP/TFTP/BINL | Unidirection | |
| Client | FSP | 80 | http | Unidirection | |
| Client | Domain | 3268/3269 | LDAP/LDAP SSL | Unidirection | |
| Client | MP | 10123/80/443 | Client Notification/http/https | Unidirection | |
| Client | SUP | 80/8530/443/8531 | http/https | Unidirection | |
| Client | SMP | 80/443/445 | http/https/SMB | Unidirection | |
| Console | Client | 2701/3389 | RC/RDP/RTC | Unidirection | |
| Console | Internet | 80 | http | Unidirection | |
| Console | Reporting Service Point | 80/443 | http/https | Unidirection | |
| Console | Site Server | 135 | RPC Endpoint Mapper | Unidirection | |
| Console | SMS Provider | 135 | RPC Dy/135 | RPC endpoint Mapper/RPC Dynamics | Unidirection |
| NDES Policy Module | Certificate Registration Point | 443 | https | Unidirection | |
| DP | MP | 80/443 | http/https | Unidirection | |
| Endpoint Protection | Internet | 80 | http | Unidirection | |
| Endpoint Protection | SQL Server | 1433 | SQL Over TCP | Unidirection | |
| Enrollment Proxy Point | Enrollment Point | 443 | https | Unidirection | |
| Enrollment Point | SQL Server | 1433 | SQL Over TCP | Unidirection | |
| Exchange Server Connector | Exchange Online | 5986 | WRM with https | Unidirection | |
| Exchange Server Connector | On Prem Exchange Server | 5985 | WRM with http | Unidirection | |
| Mac Computer | Enrollment Proxy Point | 443 | https | Unidirection | |
| MP | DOMAIN | 135/636 | 389/636/3268/3269/135/RPC Dy | LDAP/GC LDAP/RPC EPM/RPC Dynamic | Unidirection |
| MP | Site Server | 135/RPC Dyn/445 | RPC EPM/RPC Dynamic/SMB | Bidirection | |
| MP | SQL Server | 1433 | SQL Over TCP | Unidirection | |
| Mobile Device | Enrollment Proxy Point | 443 | https | Unidirection | |
| Mobile Device | Intune | 443 | https | Unidirection | |
| Reporting point | SQL Server | 1433 | SQL Over TCP | Unidirection | |
| Site Server | App Catalog Web Service point | 135 | 445/135/RPC Dyn | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | App Catalog Website Point | 135 | 445/135/RPC Dyn | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | Asset Intelligence Synchronization Point | 135 | 445/135/RPC Dyn | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | Client (WOL) | 9 | WOL | Unidirection | |
| Site Server | Cloud DP | 443 | https | Unidirection | |
| Site Server | DP | 135 | 445/135/RPC Dyn | RPC EPM/RPC Dynamic/SMB | Unidirection |
| Site Server | DOMAIN | 135/636 | 389/636/3268/3269/135/RPC Dy | LDAP/GC LDAP/RPC EPM/RPC Dynamic | Unidirection |
| Site Server | Certificate Registration Point | 135 | 445/135/Dyn RPC | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | End Point Protection | 135 | 445/135/Dyn RPC | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | Enrollment Point | 135 | 445/135/Dyn RPC | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | Enrollment Proxy Point | 135 | 445/135/Dyn RPC | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | FSP | 135 | 445/135/RPC Dyn | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | Internet | 80 | http | Unidirection | |
| Site Server | Issuing CA | 135 | 135/Dyn RPC | RPC EPM/RPC Dynamic | Bidirection |
| Site Server | Reporting Service Point | 135 | 445/135/RPC Dyn | RPC EPM/RPC Dynamic/SMB | Bidirection |
| Site Server | Site Server | 445 | SMB | Bidirection | |
| Site Server | SQL Server | 1433 | SQL Over TCP | Unidirection | |
| Site Server | SQL Server | 135 | 445/135/RPC Dyn | RPC EPM/RPC Dynamic/SMB | Unidirection |
| Site Server | SMS Provider | 135 | 445/135/RPC Dyn | RPC EPM/RPC Dynamic/SMB | Unidirection |
| Site Server | SUP | 445/80/8530/443/8531 | http/https/SMB | Bidirection | |
| Site Server | SMP | 135 | 445/135 | RPC EPM/SMB | Bidirection |
| SMS Provider | SQL Server | 1433 | SQL Over TCP | Unidirection | |
| SUP | Internet | 80 | http | Unidirection | |
| SUP | Upstream WSUS Server | 80-8530/443-8531 | http/https | Unidirection | |
| SQL Server | SQL Server | 4022/1433 | SQL Over TCP/SQL SSB | Unidirection | |
| SMP | SQL Server | 1433 | SQL Over TCP | Unidirection | |
| Service Connection Point | Intune | 443 | https | Unidirection | |
| Site Server | Site System | 135 | 135/RPC Dyn | RPC EPM/RPC Dynamic | Unidirection |
| Site Server | Domain/DNS | 53/67/68/137/138 | 139/53 | DHCP/DNS/NetBIOS | Unidirection |
Tüm işletim sistemlerinde son güncellemelerin yüklenmesi.
SQL Server Kurulumu
İlk olarak SQL Server kurulumu yapacağımız. SQL Server’ın local administrator grubuna “SCCM-SiteServers” grubunu ekliyoruz. SQL Sever versiyonu olarak SQL 2019 kullanıyoruz. Desteklenen SQL sürümlerine buradan ulaşabilirsiniz.
Not: Prod yapılarda SQL kurulumu yine best practices’lere uygun yapılmalıdır. Kurulum yapılırken SQL kurulumu yapılacak disk ve log diskleri bir birinden ayrılarak tasarlanmalı ve performans kayıplarının önüne geçilmelidir.
Kuruluma başlıyoruz. Sadece “Database Engine“‘i seçiyoruz ve devam ediyoruz.
Burası önemli, oluşturduğumuz kullanıcılardan “SCCM-SQLService” hesabını kullanıyoruz.
“SQL_Latin1_General_CP1_CI_AS” seçiyoruz.
Yine, “SCCM-Admins” grubunu ekliyoruz.
Kurulum tamamlanıyor.
SQL Server Management Studio (SSMS) Kurulumu
İlk olarak bu adresten SSMS’in son sürümünü indiriyoruz ve kuruluma başlıyoruz.
Microsoft SQL Server 2019 Reporting Services Kurulumu
İlk olarak bu adresten Microsoft SQL Server 2019 Reporting Services’i indiriyor ve kuruyoruz.
Close diyerek kapatıyoruz.
Kurulum sıradında SYSYTEM hesabı kullanmadığımız için SPN kaydını manuel yapmamız gerekiyor. Domain Controller üzerinde aşağıdaki komutları kendimize göre düzenleyip giriyoruz.
setspn -A MSSQLSvc/yourservername:1433 yourdomain\SQLSA
setspn -A MSSQLSvc/yourserver.fullfqdn.com:1433 yourdomain\SQLSA
setspn –L yourdomain\SQLSA
Management Studio’u açıp login oluyoruz ve Server ayarlarından memory limitlerini belirliyoruz. MAX değer toplam memory’nin 80%’i kadar olmalı.
NOT : Kurulum sonrası son yayınlanan SQL CU ve SU versiyonlarını yükleyiniz.
Active Directory İşlemleri
İlk olarak AD Schema‘ı genişletmeliyiz bu için işlemi yapacak olan kullanıcının Schema Admins grubuna üye olması gerekiyor. Sonrasında SCCM kurulum ISO veya dosyaları içinde bu “\SMSSETUP\BIN\X64\extadsch.exe“i Administrator izinleri ile çalıştırıyoruz.
Bu işlem sonrası AdsiEdit.msc açarak aşağıdaki işlemleri yapıyoruz.
System Management
Oluşturduğumuz System Management konteyner’ımızın izinlerini atıyoruz.
“SCCM-SiteServers” grubuna aşağıdaki yetkileri tanımlıyoruz.
SCCM Server Kurulumu
İlk olarak SCCM Server üzerindeki lokal admin grubuna “SCCM-Admins” ve “SCCM-SiteServers” grublarını ekliyoruz.
SCCM Server kurulumu yapılacak olan server üzerinde iki adet disk var. Kurulumu “SCCM(E:)” sürücüsüne yapacağız. İlk olarak “C” sürücüsüne aşağıdaki dosyayı oluşturuyoruz “no_sms_on_drive.sms“. Bu dosya “C” sürücüsünde SCCM dosyalarının oluşmasını engelleyecek.
Bu adresten Windows ADK’nın son sürümünü indiriyor ve kuruyoruz.
Sırada “Download the Windows PE add-on for the Windows ADK” bu adresten indirerek kuruyoruz.
.Net 4.8 kurulumu yapıyoruz.
Diğer yüklemeniz gerekenler bileşenler aşağıdaki gibi;
Remote Differential Compression
Microsoft Visual C++ 2015-2019
SQL Server Native Client son sürümü.
- IIS
- Application Development:
- ISAPI Extensions
- Security:
- Windows Authentication
- IIS 6 Management Compatibility:
- IIS 6 Metabase Compatibility
- IIS 6 WMI Compatibility
Son olarak biz yapımızda WSUS’u remote bir server’a kuracağımız için kurulum ve kurulum sonrası hatalar ile kaşılamşmamak için WSUS konsolu kurmalıyız. Aşağıdaki powershell komutu kurulumu yapacaktır. Bu işlemin ardından SCCM Server’ı reboot ediyoruz ve kurulum için hazır hale geliyoruz.
Install-WindowsFeature -Name UpdateServices-Ui
Kurulum
İlk olarak kurulum dosyası içerisinden “Splash.hta“‘i çalıştırıyoruz.
Install’a tıklayarak başlıyoruz.
“Install a Configuration Manager Primary Site” seçiyoruz.
“C” sürücüsü içerisinde “sccm_temp” adında bir klasör oluşturduk ve kurulum dosyalarını buraya indirilmesi için gösteriyoruz.
“Site code” ve “Site name“‘ isimlerini belirliyoruz ve kurulum sürücü harfi olarak “E” diskini gösteriyoruz.
Bu kısımda SQL Server’ın fqdn bilgilerini giriyoruz.
“Client Computer Communication Settings“‘i seçiyoruz.
Yeni deployment ve güncellemeleri almak için “YES” seçeneği ile devam ediyoruz.
Kurulum tamamlandı.
WSUS Server Kurulumu
İlk olarak yine “SCCM-SiteServers” grubunu WSUS Server’da local admin yapıyoruz.
Aşağıda görüldüğü gibi iki adet diskim var ve “WSUS” olan sürücüde update paketlerini depolayacağız.
“Windows Server Update Services ” servisinü yüklüyoruz.
Veritabanı olarak SQL Server’ı kullanacağımız için aşağıdaki gibi seçimlerini yapıyoruz.
WSUS için kullanacağımız path bilgisini giriyoruz.
SQL Server fqdn bilgisini giriyoruz.
Burası önemli, “Cancel“‘a tıklayıp sonladırıyoruz.
ÖNEMLİ NOT: WSUS servisini SCCM yöneteceği için kesinlikle WSUS konsolu üzerinde sync vb. işlemleri yapmıyoruz. Bu tarz işlemlerler WSUS yapılandırmasının bozulmasına neden oluyor.
Bu işlemlerin ardında WSUS Server’ı SCCM konsolu üzerinde ekliyoruz.
Bir update’in ne kadar zaman sonra expire olacağını belirliyoruz.
Eski güncellemelerin otomatik olarak silinmesi için aşağıdaki ayarları yapıyoruz.
Tüm bu işlemlerin ardından updatelerimiz geliyor.
Distribution Point Kurulumu
Yine ilk olarak DP Server’ üzerindeki locla admin grubuna “SCCM-SiteServers” grubunu dahil ediyoruz.
Yine iki adet diskimiz var ve content’lerimizi “DP (E:)” sürücüsünde depolayacağız.
“C” sürücüsünde “no_sms_on_drive.sms” dosyasını oluşturuyoruz.
Yüklemeniz gerekenler bileşenler aşağıdaki gibi;
- Microsoft Visual C++ 2015-2019’ı yüklüyoruz.
- Remote Differential Compression
- IIS WMI Compatibility tool
- IIS Scripting Tool
Açılması gereken portlar:
TCP: 445,135
UDP:135
Bu işlemlerin ardında yeniden SCCM konsola dönüyoruz ve DP Sever’ı ekliyoruz.
Gerekli olması halinde IIS’in kurulmasını seçiyoruz.
“Drive space reserve (MB):” bu değer DP diski üzerinde 500 MB kalana kadar dağıtım yap anlamına geliyor. Altındaki seçenekde ise DP için ayırdığımız diskin sürücü harfini seçiyoruz. Otomatik bırakılması halinde sistem, en büyük alanı olan diski seçer.
Biz bu senaryoda network üzerinde işletim sistemi dağıtımı yapmayacağız bu yüzden PXE ayarlarını yapmadan devam ediyoruz.
Belirleyeceğiniz zaman aralıklarında Content doğrulama işlemlerini yaptırabiliyorsunuz. Hafta da 1 gün olarak ayarlandı.
Distribution Point’in hangi Boundary Group’lara hizmet vereceği seçiliyoruz. Bu çok önemli yeni eklenen Boundary Grouplar DP’e eklenmezse dağıtımlarda sorun yaşarsınız.
Tamamlandı. İlk kurulumda DP rolü SCCM Server üzerindeydi artık ona ihtiyac kalmadı ve kaldırıyoruz.
DP sağlıklı çalışıyor.
Tüm servis ve componentler sağlıklı çalışıyor.
Tüm işlemlerin ardında SCCM kurulumunu tamalamış oluyoruz. Sizde kendi ihiyaçlarınıza göre tasarımlarınızı geliştirebilir ve uygulayabilirsiniz. Sağlıcakla kalın.