В данной статье описаны несколько методов установки и обновления клиентов System Center Configuration Manager 2007 (далее просто ConfigMgr):

Ручной.
Client Push Installation (Принудительная установка клиента)
SUP Client Installation (Установка клиента из точки обновления ПО)
Software Distribution (Распространение программного обеспечения)

Другие методы развертывания клиентов остались за пределами статьи, как несимпатичные или специфичные.

Общая информация

Практически все представленные в статье компьютеры являются виртуальными (на платформе MS Virtual Server 2005 R2), за исключением выделенного контроллера домена на базе Windows Server 2008 R2. Контроллер домена разместился на отдельном компьютере, поскольку не было смысла только ради него полностью мигрировать на 64-х битную платформу виртуализации. Описанные в статье процедуры можно выполнять (полностью или частично) как на другой платформе виртуализации, так и на физических компьютерах.

Windows-домен находится в инфраструктуре «один лес, один домен».
Единственный ConfigMgr-cайт работает в режиме Mixed на одном сервере ConfigMgr.
Схема Active Directory расширена для нужд ConfigMgr.

Сайт ConfigMgr и сайт Active Directory – разные сайты. Именно поэтому в статье употребляется термин ConfigMgr-сайт.
Сервер MS System Center Configuration Manager 2003 R2

Виртуальный компьютер ConfigMgrR2.systemcenter.com на базе готовой виртуальной машины «Microsoft System Center Configuration Manager 2007 R2 VHD".
Функции и компоненты:

Контроллер домена SystemCenter.com (при вводе учетных записей надо учитывать, что странным образом имя pre-Windows 2000 не SystemCenter, но SystemCenter99).
ОС: MS Windows Server 2003 R2 с пакетом обновления 2.
Сервер приложений MS System Center Configuration Manager 2003 R2 SP2.

Машина «Microsoft System Center Configuration Manager 2007 R2 VHD" на момент написания статьи была доступна по URL: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=e0fadab7-0620-481d-a8b6-070001727c56
Для обслуживания Windows 7 и Windows Server 2008 R2 используется клиент версии 4.0.6487.2000, поэтому на готовую виртуальную машину нужно установить Service Pack 2.
На момент написания статьи Service Pack 2 был доступен по URL:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3318741a-c038-4ab1-852a-e9c13f8a8140
Для определения версии сервера следует обратиться к свойствам сайта. Продукт Microsoft System Center Configuration Manager 2007 R2 имеет версию 4.00.6221.1000, с установленным Service Pack 2 – 4.00.6487.2000. Интересно, что код SP1 – 1000, a SP2 – 2000.

MS System Center Configuration Manager 2007 SP2 International Client Pack

Пакет обычно упоминается как ICP и содержит локализованные версии клиента ConfgMgr. Вторая часть пакета содержит русскоязычный пакет. Установка пакета на сервер ConfigMgr очень проста, достаточно запустить файл
\bin\i386\icpsetup.exe
и следовать указаниям мастера установки.
Нам нужна вторая часть пакета файл ConfigMgr07SP2Retail_RTM_ICP2_6487.exe. На момент написания статьи пакет был доступен по URL: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4c8fa7d6-1671-4d76-860b-195b16c214a8

Сервер MS Windows Server 2008 R2

Компьютер DC01.systemcenter.com на базе Windows Server 2008 R2 должен быть 64-х битным, поэтому развернут на выделенном сервере.

Функции и компоненты:

Контроллер домена SystemCenter.com.
ОС: MS Windows Server 2008 R2 Standard English.
Язык: Английский

Рабочая станция w01

Виртуальный компьютер w01.systemcenter.com на базе MS Windows XP Professional с пакетом обновления 3.
Язык: Русский.
Рабочая станция wv01

Виртуальный компьютер wv01.systemcenter.com на базе MS Windows Vista Enterprise.
Язык: Английский.
Рабочая станция w7-01

Виртуальный компьютер w7-01.systemcenter.com на базе MS Windows 7 Корпоративная.
Язык: Русский

Ручная установка клиента

Лучший способ понять дело – сделать его руками. Клиент ConfigMgr можно установить и удалить вручную с помощью файла CCMSetup.exe.

За и Против

Преимущества

Удобство тестирования.
Ручная установка клиента ConfigMgr удобна при тестировании.
Обход брандмауэра.
Активный штатный брандмауэр на управляемом компьютере обычно не мешает ручной установке клиента ConfigMgr.
Компьютер не нужно предварительно обнаруживать в консоли ConfigMgr.
При установке клиента нет необходимости в предварительном обнаружении компьютера средствами ConfigMgr.

Недостатки

Необходима пользовательская сессия и администраторские полномочия.
Для установки клиента нужно лично явиться к компьютеру или, в лучшем случае, подключиться к нему с помощью Remote Desktop Protocol или RAdmin.
Для развертывания клиента нужно использовать учетную запись, входящую в локальную группу безопасности Администраторы (Administrators). Но и этого недостаточно, если потребуется доступ к дистрибутивной сетевой папке на ConfigMgr.
Для развертывания клиента на контроллере домена требуется членство в группе Администраторы домена (Domain Admins).
Отсутствие автоматизации.
Отсутствие автоматизации вполне допустимо для тестовой среды, но на производственной площадке может привести к неэффективному расходу рабочего времени.

Тестовая процедура

Сконфигурируйте публикации сайта так, как это описано в типовой процедуре Сконфигурируйте публикации сайта. Наш сервер ConfigMgrR2 обслуживает сайт с кодом 007. В этом случае источник клиента находится в сетевой папке \\configmgrr2\SMS_007\Client. Зарегистрируйтесь на управляемой рабочей станции с учетной записью администратора домена, затем выполните команду
\\configmgrr2\SMS_007\Client\ccmsetup

Через несколько минут клиент ConfigMgr установлен, но еще не полностью готов к работе. Обратившись к Active Directory, он получает код ConfigMgr-сайта 007 и запрашивает политики сайта. Обычно клиент запрашивает политики раз в час, но первый запрос делает сразу после установки. Получив и обработав политики, клиент включается в полноценную работу.

Ручное удаление клиента

Для ручного удаления клиента SMS 2003 применялся инструмент ccmclean из комплекта SMS 2003 Toolkit 2. Поскольку комплект Toolkit по умолчанию не устанавливался вместе с клиентом SMS, перед ручным удалением нужно было каким-то образом обеспечить доступ к инструменту.
В Configuration Manager 2007 удаление клиента упростилось. На управляемом компьютере достаточно запустить CCMSetup.exe с ключом /uninstall. Клиент удаляется тихо и без вопросов. Можно использовать как локальную копию CCMSetup.exe, так и хранящуюся на сервере.
Для удаления клиента с помощью копии CCMSetup.exe, хранящейся на сервере ConfigMgrR2, зарегистрируйтесь на управляемом компьютере под учетной записью администратора ConfigMgr. Затем выполните команду
\\configmgrr2\SMS_007\Client\ccmsetup /uninstall

Для удаления клиента с помощью локальной копии CCMSetup.exe, зарегистрируйтесь на управляемой рабочей станции под учетной записью локального администратора и выполните команду
%windir%\system32\ccmsetup\ccmsetup /uninstall

Последний способ безопаснее, поскольку используется только локальная учетная запись.
Замечание: Если во время удаления клиента была открыта Панель управления, значки, относящиеся к клиенту ConfigMgr, не исчезают даже после успешного удаления клиента. Чтобы они пропали, следует закрыть Панель управления и затем снова открыть ее.

Развертывание клиента методом Client Push Installation

Метод Client Push Installation используется как для ручной установки клиента на компьютеры и коллекции компьютеров, так и для автоматической установки на компьютеры, которые обнаружил ConfigMgr.
Развертыванию клиентов могут «мешать» брандмауэры на управляемых компьютерах. Один из способов решения проблемы – временное отключение брандмауэров с помощью групповой политики. Другой способ – конфигурирование исключений для брандмауэров. В документации утверждается, что в методе Client Push Installation для доступа к файлам требуется исключение Общий доступ к файлам и принтерам, а для удаленного администрирования Инструментарий управления Windows (WMI). Но это не совсем верно.
Доступ к файлам на управляемом компьютере обеспечивается опцией политики Windows Firewall: Allow file and printer sharing exception. Для компьютеров под управлением Windows XP SP3, находящихся в одной подсети с сервером ConfigMgr – опцию можно не активировать.
Удаленное администрирование обеспечивается опциями Windows Firewall: Allow remote administration exception (для Windows XP и Windows Server 2003) и Windows Firewall: Allow inbound remote administration exception (начиная с Vista и Windows 2008).
Следует помнить, что отключению брандмауэров или разрешение удаленного администрирования увеличивает площадь атаки, чем может воспользоваться опасный вирус, такой как Win32.HLLW.Shadow.based.

За и Против

Преимущества

Автоматическая установка.
Возможна автоматическая установка клиентов на компьютеры, обнаруженные в границах ConfigMgr-сайта.
Немедленное развертывание при ручном запуске.
При ручном использовании метода Client Push Installation — установка клиента начинается немедленно.

Недостатки

Компьютер должен быть предварительно обнаружен.
Перед автоматической установкой клиента компьютер должен быть обнаружен сервером ConfigMgr. А перед ручной установкой — обнаружен и помещен в коллекцию.
Нужны администраторские полномочия.
Специальная учетная запись, используемая для развертывания клиента, должна входить в группу локальных администраторов на управляемом компьютере.
В тестовой зоне достаточно ввести специальную учетную запись в группу Domain Admins (Администраторы домена), поскольку группа Domain Admins входит в группу локальных администраторов на управляемом компьютере.
Необходимо конфигурирование брандмауэра.Если на управляемом компьютере активен брандмауэр, скорее всего, потребуется дополнительная конфигурация.

Осторожно

В тестовой зоне можно разрешить удаленное администрирование в используемой по умолчанию групповой политике домена (Default Domain Policy). На производственной площадке следует соблюдать осторожность при модификации Default Domain Policy или вовсе не модифицировать эту политику.

Как это делается

Подготовка ConfigMgr

Подготовка выполняется администратором в консоли ConfigMgr.
Администратор:

Конфигурирует публикации сайта.
Конфигурирует границы сайта.
Выполняет обнаружение компьютеров в границах сайта (например, методом Active Directory System Discovery).
Конфигурирует специальную учетную запись для метода Client Push Installation.
Конфигурирует доменную политику, если на управляемых компьютерах активен брандмауэр.

Развертывание клиента ConfigMgr

Автоматическое развертывание на компьютеры сайта

В консоли ConfigMgr администратор включает опцию Enable Client Push Installation to assigned resources (Включить принудительную установку клиентов на назначенные ресурсы).
Ручное развертывание на один компьютер

Администратор выбирает компьютер в коллекции, из контекстного меню запускает мастер Client Push Installation Wizard, затем проходит в мастере все шаги. Если необходимо переустановить клиента – он использует опцию Always install (repair or upgrade existing client) (Устанавливать всегда (починка или обновление существующего клиента)).
Ручное развертывание на коллекцию компьютеров

Администратор выбирает коллекцию компьютеров, из контекстного меню запускает мастер Client Push Installation Wizard, затем проходит в мастере все шаги. Если необходимо переустановить клиента – он использует опцию Always install (repair or upgrade existing client) (Устанавливать всегда (починка или обновление существующего клиента)).
Когда администратор выполняет последний шаг в мастере Client Push Installation Wizard, установка клиента ConfigMgr только начинается. В консоли ConifgMgr нет оперативной индикации процесса, поэтому единственный оперативный источник информации – журнал CMM.log на сервере управления.
На снимке приведен пример успешного начала развертывания клиента.

На управляемом компьютере

Процесс установки клиента автоматизирован, вмешательство администратора или пользователя не требуется:

Устанавливается и запускается сервис ccmexec.
Сервис устанавливает клиента ConfigMgr и дополнительные компоненты, среди которых могут быть:
- MSXML 6.0 Parser
- WIMGAPI
- Windows Installer 3.1
- Обновление для Windows XP (KB923845) или
  Обновление для Windows Server 2003 (KB923845)
Останавливается и удаляется сервис ccmexec.
Сразу после установки клиент ConfigMgr выполняет действие Machine Policy Retrieval & Evaluation Cycle и получает политику от сервера управления. Далее клиент работает согласно политике.

Вид в апплете Установка и удаление программ после установки клиента ConfigMgr. Сам клиент в списке не фигурирует, разработчики сделали это умышленно.
MS Windows XP Russian

MS Windows Server 2003 R2 Russian
Обновление Windows Installer 3.1 уже входит в состав ОС, поэтому его нет в списке.

MS Windows Vista

В MS Windows 7 компоненты WIMGAPI и Microsoft .NET Framework 3.5 SP1 не устанавливаются, поэтому после установки клиента – список программ пуст.

На управляемой машине для отслеживания процесса установки клиента ведется журнал CCMSetup.log в каталоге %windir%\system32\ccmsetup.
На снимке приведен пример успешного начала развертывания клиента.

Тестовая процедура для клиента с Windows XP

В тестовой процедуре выполняется ручная установка клиента ConfigMgr на компьютер w01, являющийся является членом домена.

Подготовьте ConfigMgr

Сконфигурируйте публикации сайта так, как это описано в типовой процедуре Сконфигурируйте публикации сайта.
Сконфигурируйте границы сайта так, как это описано в типовой процедуре Сконфигурируйте границы сайта Configuration Manager.
Создайте специальную учетную запись так, как это описано в типовой процедуре Создайте учетную запись CMClientPush.
На контроллере домена, в консоли Active Directory Users and Computers, введите учетную запись в группу безопасности Domain Admins.
Выполните типовую процедуру Сконфигурируйте учетную запись для Client Push Installation.
После конфигурирования – учетную запись можно наблюдать в объекте Site Settings / Accounts.
Выполните обнаружение компьютеров так, как это описано в типовой процедуре Активируйте Active Directory System Discovery.

Подготовьте групповую политику

(Если консоль не открыта) Щелкните Start, укажите на Programs, и затем щелкните Administrative Tools.
Запустите консоль Group Policy Management. В дереве перейдите к Group Policy Management / Forest: SystemCenter.com / Domains / SystemCenter.com / Group Policy Objects / Default Domain Policy.

В контекстном меню объекта выберите Edit. Откроется консоль Group Policy Object Editor.
В консоли перейдите к Default Domain Policy […] / Computer Configuration / Administrative Templates / Network / Network Connections / Windows Firewall / Domain Profile. Сделайте двойной щелчок по Windows Firewall: Allow remote administration exception, откроется диалог Windows Firewall…
В диалоге выберите Enabled, введите * в поле Allow unsolicited incoming messages from,
затем нажмите OK.

В консоли перейдите к Default Domain Policy […] / Computer Configuration / Administrative Templates / Network / Network Connections / Windows Firewall / Domain Profile. Сделайте двойной щелчок по Windows Firewall: Allow file and printer sharing exception, откроется диалог Windows Firewall…
В диалоге выберите Enabled, введите * в поле Allow unsolicited incoming messages from,
затем нажмите OK.
Закройте консоль Group Policy Object Editor.

Результирующий вид в консоли Group Policy Management.

Закройте консоль.

Форсируйте применение групповой политики на управляемом компьютере

Зарегистрируйтесь на управляемой рабочей станции под учетной записью администратора домена и выполните команду:
gpupdate /force

Запустите развертывание в консоли ConfigMgr

(Если консоль не открыта) Щелкните Start, укажите на Programs, и затем щелкните Microsoft System Center. Щелкните Configuration Manager 2007, и затем щелкните ConfigMgr Console.
В дереве консоли Configuration Manager, перейдите к Site Database / Site Management / 007 — SystemCenter / Computer Management / Collections. В коллекции All Systems выберите компьютер w01.
(Если компьютера нет в коллекции, в контекстном меню объекта All Systems выберите Update Collection Membership,
а затем Refresh для обновления списка.)
В контекстном меню выберите Install Client. Запускается мастер Client Push Installation Wizard.
Выполните шаги в мастере Client Push Installation Wizard, используя информацию из таблицы. Используйте значения по умолчанию, если не оговорено иное.

Таблица 1.

На странице	Выполните
Welcome	Щелкните Next.
Installation option	По умолчанию включено Include only clients in this site's boundaries (Включая только те компьютеры, которые находятся в границах сайта ConfigMgr). Щелкните Next.

Finish

Щелкните Finish.

Тестовая процедура для клиента с Windows 7

Процедура установки клиента ConfigMgr на компьютер w7-01 процедура похожа на предыдущую, но отличается в шаге Подготовьте групповую политику.

Подготовьте групповую политику

Групповую политику для Windows Vista и Windows 7 нельзя конфигурировать на контроллере домена под Windows Server 2003, поэтому процедура выполняется на контроллере домена под управлением Windows Server 2008 R2.
Эта групповая политика совместима с Windows XP, начиная с SP2. Поэтому в сайте, где сосуществуют Windows XP, Windows Vista и Windows 7 – клиент ConfigMgr можно развернуть на все компьютеры.

Щелкните Start, укажите на All Programs, и затем щелкните Administrative Tools.
Запустите консоль Group Policy Management. В дереве перейдите к Group Policy Management / Forest: SystemCenter.com / Domains / SystemCenter.com / Group Policy Objects / Default Domain Policy. В контекстном меню объекта выберите Edit. Откроется консоль Group Policy Object Editor.

В консоли перейдите к Default Domain Policy […] / Computer Configuration / Policies / Administrative Templates / Network / Network Connections / Windows Firewall / Domain Profile. Сделайте двойной щелчок по Windows Firewall: Allow inbound remote administration exception, откроется диалог Windows Firewall…
1. В диалоге выберите Enabled, введите * в поле Options, затем нажмите OK.

В консоли перейдите к Default Domain Policy […] / Computer Configuration / Policies / Administrative Templates / Network / Network Connections / Windows Firewall / Domain Profile. Сделайте двойной щелчок по Windows Firewall: Allow inbound file and printer sharing exception, откроется диалог Windows Firewall…
В диалоге выберите Enabled, введите * в поле Options,
затем нажмите OK.
Закройте консоль Group Policy Object Editor.

Результирующий вид в консоли Group Policy Management.

Закройте консоль.

Развертывание клиента методом SUP Client Installation

При использовании метода SUP Client Installation сервис Windows Update на управляемом компьютере обращается к серверу обновлений (им является сервер ConfigMgr), скачивает клиента, необходимые дополнительные компоненты, а затем устанавливает их как типичные обновления Windows.
Для использования метода SUP Client Installation на сервере ConfigMgr должен быть установлен компонент Windows Update Services и активирована роль ConfigMgr software update point. Хотя полнофункциональная работа сервера обновлений возможна только после синхронизации со службой Microsoft Update, при развертывании клиента ConfigMgr можно обойтись без синхронизации и скачивания многих мегабайтов из интернет.
Обновление клиента, например, при переходе от SCCM 2007 SP1 к SP2 происходит автоматически. Хотя метод SUP Client Installation можно применять и без обновления схемы AD под нужды ConfigMgr, такая процедура несколько сложнее и не рассматривается в данной статье.