[HELP] SCCM - Client installation Foret AD Untrusted

SCCM - Client installation Foret AD Untrusted [HELP] - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 07-04-2016 à 15:48:12    

Bonjour,  
 
Je vous explique le contexte :
 
Je possède un  Primary dans une foret AD
Je possède un  MP/DP dans une foret AD non trustée
 
les discovery sont fonctionnelles, les bundaries sont bien configurer, un bundaries group est crée pour chaque AD découvert.
les bundaries sont respectivement affecté aux serveurs (un sur le Primary dans la foret principale, un sur le MP/DP de la foret non trustée)
 
La réplication des packages est OK entre le primaire et le MP/DP
 
Client push installation n'est pas coché (volontairement), en revanche, un compte de service de chaque foret est renseigné pour l'installation.
 
Les flux réseaux sont ouverts entre :
Le Primary et ses vlans
Le Primary et le MP/DP
Le MP/DP et ses vlans
 
L'installation du client sur une machine dans un scope IP du primary fonctionne par le Wizard de la console.
Lorsque je lance l'installation wizard sur une machine du domaine non trusté, l'installation ne s’exécute pas.
le Firewall drop les paquets de cette installation (port 445 et 139) depuis le Primary, comportement normal car les flux primary <--> vlan foret non trustée, ne sont pas ouvert
 
Ma question est la suivante : lors d'une installation client via le wizard de la console, comment indiquez que cette installation doit être faite a la demande du MPP/DP (dont les flux sont ouverts)
 
Par avance merci de votre retour d'experience.
 
Jay


Message édité par dj-zoltan le 11-05-2016 à 10:10:26
Reply

Marsh Posté le 07-04-2016 à 15:48:12   

Reply

Marsh Posté le 07-04-2016 à 20:04:45    

C'est pourtant assez clair sur la doc :
https://technet.microsoft.com/en-us [...] ClientPush

Citation :

If the site server cannot contact the client computer or start the setup process, it automatically repeats the installation attempt every hour for up to 7 days until it succeeds.

Reply

Marsh Posté le 08-04-2016 à 09:01:50    

Mon MP/DP est un Site server.  
 
La doc ne précise pas qu'il faut que ce soit le PRIMARY qui doit pouvoir contacter le client.
 
Hors le MP/DP de la foret non trustée possède les flux ouverts vers les machines clientes de cette même foret. Ce qui n'est pas le cas du Primary.  
 
Si l'on doit tout ouvrir également du primary, la présence du MP/DP perd grandement de son intérêt. Le but était de zoné les 2 réseaux et les 2 domaines (ce pourquoi nous n'avons pas mis en place le trust des 2 AD)
 
N'y a t'il donc pas la possibilité d'indiqué que l'installation par le wizard doit passer par le MP/DP pour les machines appartenant a certaines Bundaries ?
 
L'installation manuelle est elle la seule option dans ce cas de figure ?

Reply

Marsh Posté le 08-04-2016 à 11:36:25    

non ton mp/dp est un site system, pas un site server.

Reply

Marsh Posté le 08-04-2016 à 11:52:35    

Ok merci
 
je viens de saisir la difference  
 
Merci pour ton retour

Reply

Marsh Posté le 11-04-2016 à 09:09:39    

Salut
 
Du coup j'ai un autre problème désormais. Je me suis donc décider a procéder a l'installation des clients a la mais sur les machines de la foret non trustée.
 
Informations complémentaires :
- La foret non trustée possède un Domaine Parent, ainsi qu'un domaine enfant.
- Le MP/DP est installer dans le Domaine parent
- Le discovery AD de cette foret remonte bien les machines des 2 domaines de cette foret.
- Le MP/DP est également client CCM, sont MP de rattachement est lui même, le certificat est  Self-signed
- L’extension du Schéma AD a bien été fait.
 
Quand je lance l'install du client sur une machine du domaine parent, il ne s'install pas, dans les log il cherche absolument a contacter le Primaire au lieu du MP qui se trouve dans le même Vlan
 
 
Quand je lance l'install du client sur une machine du domaine enfant, l'install s'effectue mais celui ci ne parvient pas a faire l'assignation au Site. Dans les log il découvre les 2 MPs.
 
 
Pire encore, lors de ces installations, il se produit un fait inattendue : dans l'ADSI (foret non trustée) le CN de mon MP se supprime, et un CN de mon primaire se recréé.
 
D'avance merci de votre aide, car la je tourne en rond


Message édité par dj-zoltan le 11-04-2016 à 09:42:25
Reply

Marsh Posté le 11-04-2016 à 10:35:24    

Apres avoir republier les domaines dans la console,  
 
- Les 2 CN  MP sont bien recrée dans l'AD
- l'installation du client sur la machine du domaine parent passe, se met s'assigne d'abord MP du Primaire, puis passe ensuite automatiquement sur le MP de sa propre foret.
 
En revanche sur le domaine enfant, l'assignation ne fonctionne toujours pas :
 
LocationServices.log :
 
Attempting to retrieve lookup MP(s) from AD LocationServices 4/11/2016 10:20:02 AM 11308 (0x2C2C)
Current AD forest name is doi-company.local, domain name is prod.doi-company.local LocationServices 4/11/2016 10:20:02 AM 11308 (0x2C2C)
Domain joined client is in Intranet LocationServices 4/11/2016 10:20:02 AM 11308 (0x2C2C)
Unexpected row count (0) retrieved from AD. LocationServices 4/11/2016 10:21:41 AM 11308 (0x2C2C)
No lookup MP(s) from AD LocationServices 4/11/2016 10:21:41 AM 11308 (0x2C2C)
Attempting to retrieve lookup MP(s) from DNS LocationServices 4/11/2016 10:21:41 AM 11308 (0x2C2C)
Attempting to retrieve default management points from DNS LocationServices 4/11/2016 10:21:41 AM 11308 (0x2C2C)
Failed to retrieve DNS service record using _mssms_mp_ct1._tcp.doi.company.local lookup. DNS returned error 9852 LocationServices 4/11/2016 10:21:41 AM 11308 (0x2C2C)
No lookup MP(s) from DNS LocationServices 4/11/2016 10:21:41 AM 11308 (0x2C2C)
Won't send client assignment fallback status point message because last assignment message was sent too recently. LocationServices 4/11/2016 10:21:53 AM 24732 (0x609C)
Attempting to get assigned site from lookup MP(s) via HTTPS LocationServices 4/11/2016 10:21:53 AM 24732 (0x609C)
Attempting to retrieve lookup MP(s) from AD LocationServices 4/11/2016 10:21:53 AM 24732 (0x609C)
Failed to resolve 'SMS_SLP' from WINS LocationServices 4/11/2016 10:21:55 AM 11308 (0x2C2C)
No lookup MP(s) from WINS LocationServices 4/11/2016 10:21:55 AM 11308 (0x2C2C)
Unable to find lookup MP(s) in Registry, AD, DNS and WINS LocationServices 4/11/2016 10:21:55 AM 11308 (0x2C2C)
Current AD forest name is doi-company.local, domain name is prod.doi-company.local LocationServices 4/11/2016 10:21:55 AM 11308 (0x2C2C)
Domain joined client is in Intranet LocationServices 4/11/2016 10:21:55 AM 11308 (0x2C2C)
Unexpected row count (0) retrieved from AD. LocationServices 4/11/2016 10:23:31 AM 24732 (0x609C)
No lookup MP(s) from AD LocationServices 4/11/2016 10:23:31 AM 24732 (0x609C)
Unexpected row count (0) retrieved from AD. LocationServices 4/11/2016 10:23:34 AM 11308 (0x2C2C)
Attempting to retrieve lookup MP(s) from AD LocationServices 4/11/2016 10:23:34 AM 11308 (0x2C2C)
Current AD forest name is doi-company.local, domain name is prod.doi-company.local LocationServices 4/11/2016 10:23:34 AM 11308 (0x2C2C)
Domain joined client is in Intranet LocationServices 4/11/2016 10:23:34 AM 11308 (0x2C2C)
Failed to resolve 'SMS_SLP' from WINS LocationServices 4/11/2016 10:23:45 AM 24732 (0x609C)
No lookup MP(s) from WINS LocationServices 4/11/2016 10:23:45 AM 24732 (0x609C)
Unable to find lookup MP(s) in Registry, AD, DNS and WINS LocationServices 4/11/2016 10:23:45 AM 24732 (0x609C)
Unable to retrieve AD site membership LocationServices 4/11/2016 10:23:45 AM 24732 (0x609C)
Unexpected row count (0) retrieved from AD. LocationServices 4/11/2016 10:25:12 AM 11308 (0x2C2C)
No lookup MP(s) from AD LocationServices 4/11/2016 10:25:12 AM 11308 (0x2C2C)
Attempting to retrieve lookup MP(s) from DNS LocationServices 4/11/2016 10:25:12 AM 11308 (0x2C2C)
Attempting to retrieve default management points from DNS LocationServices 4/11/2016 10:25:12 AM 11308 (0x2C2C)
Failed to retrieve DNS service record using _mssms_mp_ct1._tcp.doi.company.local lookup. DNS returned error 9852 LocationServices 4/11/2016 10:25:12 AM 11308 (0x2C2C)
No lookup MP(s) from DNS LocationServices 4/11/2016 10:25:12 AM 11308 (0x2C2C)
Unexpected row count (0) retrieved from AD. LocationServices 4/11/2016 10:25:24 AM 24732 (0x609C)
Attempting to get assigned site from lookup MP(s) via HTTP LocationServices 4/11/2016 10:25:24 AM 24732 (0x609C)
Attempting to retrieve lookup MP(s) from AD LocationServices 4/11/2016 10:25:24 AM 24732 (0x609C)
Failed to resolve 'SMS_SLP' from WINS LocationServices 4/11/2016 10:25:26 AM 11308 (0x2C2C)
No lookup MP(s) from WINS LocationServices 4/11/2016 10:25:26 AM 11308 (0x2C2C)
Unable to find lookup MP(s) in Registry, AD, DNS and WINS LocationServices 4/11/2016 10:25:26 AM 11308 (0x2C2C)
LSGetAssignmentSiteCodeForSite: Failed to get assigned site code from AD and MP LocationServices 4/11/2016 10:25:26 AM 11308 (0x2C2C)

Reply

Marsh Posté le 11-04-2016 à 21:30:40    

il trouve surtout rien dans ton ad

Reply

Marsh Posté le 29-04-2016 à 12:24:21    

Merci Je@nb
Ta remarque m'a orienté et j'ai finalement regler ce problème de découverte
 
Désormais mon MP est opérationnel et les clients untrust sont installés.
 
J'ai également déployé le Role SUP et installer un WSUS en mode réplica. J'en ai bien chié pour les sources de synchro ;D
 
Par contre j'ai un effet de bords indésirable, tous les clients untrust sont bien synchronisé sur le MP untrust, par contre, certains clients de la foret d'origine sont passés sur le MP untrust, ce qui engendre des problèmes de déploiement de KB... (flux non ouvert)
 
pourtant j'ai bien assigné toutes les bundaries dans des groupes, et assigné les Bundaries Groups a leur MP respectif.
 
Avez vous une idée sur l'origine de ce phénomène et comment le résoudre ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed