Microsoft Endpoint Configuration Manager (Parte 1)

Publicado por Leonardo Ojedael

Microsoft Endpoint Configuration Manager (de ahora en adelante será MECM) no siempre se llamó así, está solución data desde 1994. Antiguamente se llamaba SMS (System Management Services), luego pasó a conformar la suite de System Center y se conoció como System Center Configuration Manager (SCCM), pero a partir de la versión 1910 Microsoft decide llamarlo MECM. Esto ocurrió dado que Microsoft unificó lo que fue  SCCM con otros productos como por ejemplo Intune que ahora se llama Microsoft Endpoint Manager, una solución tanto para On premises como para Cloud.

Pero ahora quizás la pregunta que la mayoría se hace es “que nos ofrece MECM?” para los administradores de IT, podemos decir que es la aplicación que mas nos consiente dado que tenemos opciones como:

*Administracion de PCs, Dispositivos y Servidores.

*Inventariado.

*Control sobre el software corporativo y su uso.

*Distribución de software S.O.

*Políticas de configuración y seguridad.

*Centralización de la gestión de actualización de software.

*Supervisión.

*Endpoint Protection.

 

Requisitos de Hardware

Dejaré la nota oficial de Microsoft con respecto a los requisitos de Hardware: Recommended hardware – Configuration Manager | Microsoft Docs

Pero como esto será un laboratorio de demostración, yo utilizaré un equipo con las siguientes características:

SO: Windows Server 2022 Standard.

RAM: 12 GB

Discos:

SO(C:)= 100 GB

MECM(D:)= 300GB

SQL(E:)= 150GB

 

Requisitos de Software

Para poder implementar MECM requeriremos:

*Windows Server 2022/2019/2016/2012 R2, para aquellos que están registrados en el blog, pueden acceder a la descarga de WS 2019 desde AQUI

*Microsoft Endpoint Configuration Manager desde AQUI

*SQL Server 2019 desde AQUI

*Windows ADK desde AQUI

*WinPe desde AQUI

*SQL Server Reporting Services desde AQUI

*SQL Server Management Studio desde AQUI

 

Preparación del Entorno

Para este escenario vamos a requerir contar con un Controlador de Dominio y un DHCP (además del equipo que contendrá MECM que también está unido al dominio).

Las pruebas las estaré realizando sobre un dominio nuevo y utilizaré el mismo equipo DC como DHCP (mas allá de que no sea recomendado, esto es un LAB), no voy a mostrar como realizar la instalación de Active Directory ni el DHCP, dado que las notas ya se encuentran en el blog: Creacion de nuestro primer Controlador de Dominio y Configurando nuestro DHCP Server 

Algo que si voy a sumar es que una vez que tengamos nuestro DHCP Server instalado y configurado, debemos agregar DOS opciones a lo que serian las Scope Options, van a ser las opciones 066 y 067, iremos a las Scope Options->Configure Options:

  • Tildaremos la opción 066 y escribiremos el nombre de nuestro Servidor de MECM:

  • Tildaremos la opción 067 y en el valor le pondremos SMSBoot\x64\wdsnbp.com:

  • Deberíamos ver las dos opciones en nuestro Scope Options:

 

Extensión de esquema

  • En nuestro DC, debemos copiar y descomprimir los archivos de instalación de MECM, una vez realizado esto, iremos a la carpeta donde lo descomprimimos->SMSSETUP>BIN>X64, allí encontraremos un archivo llamada extadsch:

  • Pero, la realidad es que si lo ejecutan, no verán nada, así que para hacerlo mas interesante, abriremos un CMD como Administrador, iremos a la ruta anteriormente mencionada y ejecutaremos el archivo, de esta forma podemos visualizar que el esquema se extendió correctamente:

 

Crear contenedor en Active Directory y delegar permisos

  • Crearemos el contenedor que necesita MECM para poder delegar permisos y tomar control de ese contenedor en AD, para esto, abriremos ADSI Edit:

  • Daremos click derecho sobre Connect to:

  • Nos conectaremos al Default naming context:

  • Desplegaremos el arbol hasta System, daremos click derecho->New>Object:

  • En el tipo de objeto seleccionaremos container y continuaremos:

  • El valor que pondremos es obligatorio por lo cual tiene que estar escrito de forma correcta “System Management“:

  • Por ultimo daremos click en Finish:

  • Teniendo nuestro contenedor creado, cerraremos ADSI Edit y abriremos Active Directory Users and Computers, procederemos a delegar el control, para ello daremos click derecho sobre el nuevo contenedor (recuerden tener la view de Advanced features marcada si no lo visualizan) y seleccionaremos Delegate Control:

  • Una vez que se nos abra el asistente daremos click en Next:

  • Daremos click en Add:

  • Agregaremos nuestro equipo de MECM y luego daremos click en Next:

  • Seleccionaremos la opción de crear una tarea personalizada para delegar y daremos click en Next:

  • Dejaremos marcada la primer opción y daremos click en Next:

  • En permissions tildaremos Full Control, esto hará que todo el resto automáticamente se tilde. Daremos click en Next:

  • Por ultimo daremos click en Finish:

 

Instalación de ADK y WinPe

  • Iremos a nuestro servidor de MECM, y ejecutaremos adksetup, cambiaremos el Path hacia la unidad donde instalaremos MECM (en mi caso la D:) luego daremos click en Next:

  • Tildaremos No y daremos click en Next:

  • Aceptamos los términos de licencia:

  • Dejamos marcado de la misma forma las herramientas necesarias y daremos click en Install:

  • Una vez que termina la instalación daremos click en Close:

  • Ejecutaremos adkwinpesetup, en este caso vemos que ya deja la unidad de instalación por default, daremos click en Next:

  • Solo tiene una característica para instalar, por lo cual la dejaremos tildada y daremos click en Install:

  • Una vez que finaliza con la instalación, daremos click en Close:

 

Reglas de Firewall

Como vamos a proceder a instalar SQL Server y en general MECM, utilizan distintos puertos por lo cual debemos permitirlos en el firewall del servidor de MECM. La primer opción y quizás mas simple es ejecutar un script en el servidor de MECM, que directamente nos permita los puertos, el mismo se los dejaré aqui: Script Firewall

Pero… en el caso de que manejemos el firewall por GPO, no les funcionará, por lo cual para este caso, desde el DC cree una OU en la cual voy a agregar el equipo de MECM:

  • Teniendo nuestra OU creada y nuestro equipo de MECM en ella, procederemos a abrir Group Policy Management y crearemos una GPO (el nombre es a elección de ustedes):

  • Daremos click derecho a la nueva GPO->Edit nos desplazaremos hacia Computer Configuration->Windows Settings->Security Settings->Windows Defender Firewall with Advanced Security. Allí debemos permitir lo que es File and Printer Sharing y los puertos que se describen abajo:

  • Una vez que tenemos lista nuestra GPO la linkearemos a la OU de MECM:

  • Iremos a nuestro servidor de MECM y ejecutaremos un gpupdate /force una vez finalizado de forma correcta ejecutaremos gpresult /r y como podemos observar nuestra nueva GPO ya está impactando:

 

Instalación de Roles y Características en MECM

  • En varios lugares ví que muestran el proceso de instalación de los roles y características de forma grafica, pero considerando que son varios, considero que la mejor forma de realizarlo es por Script, por lo cual les dejo para que lo descarguen desde aquí: Install Roles MECM
  • Una vez que descargaron el script, lo llevarán hacia el servidor de MECM a la ubicación que prefieran. Abriremos Powershell ISE como Administrador:

  • Las cosas a modificar son el Computer Name (en mi caso es MECM) y la unidad donde tienen montada la imagen de WS (en mi caso la unidad F:), esto es para poder instalar Net Framework:

  • Una vez que tienen todo de forma correcta, ejecutarán el script, el mismo tardará unos minutos así que paciencia 🙂

  • Una vez que finaliza nos mostrará lo siguiente:

Hasta aquí con las partes preliminares sobre MECM, en próximas notas continuaremos con el despliegue dado que tenemos para rato aún.

 

!Saludos!

Deja una respuesta