Préparer l'environnement Windows pour Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Utilisez les informations dans les sections suivantes pour vous aider à configurer la prise en charge de System Center 2012 Configuration Manager dans votre environnement Windows.

  • Préparer Active Directory pour Configuration Manager

    • Étendre le schéma Active Directory

    • Créer le conteneur System Management

    • Définir les autorisations de sécurité sur le conteneur System Management

    • Activer la publication Active Directory pour le site Configuration Manager.

  • Configurer des serveurs Windows pour les rôles de système de site Configuration Manager

    • Compression différentielle à distance

    • Internet Information Services (IIS)

    • Filtrage de demande pour IIS

Préparer Active Directory pour Configuration Manager

L'extension du schéma Active Directory est une action qui se déroule à l'échelle de la forêt et qui doit être réalisée une fois par forêt. L'extension du schéma est une action irréversible qui doit être réalisée par un utilisateur membre du groupe Administrateurs du schéma, ou disposant de suffisamment d'autorisations pour modifier le schéma. Si vous décidez d'étendre le schéma Active Directory, vous pouvez le faire avant ou après l'installation. Pour plus d'informations sur la nécessité d'étendre le schéma Active Directory, voir Déterminer s'il convient d'étendre le schéma Active Directory pour Configuration Manager.

System_CAPS_tipConseil

Si le schéma Active Directory a été étendu avec les extensions de schéma Configuration Manager 2007, vous n'êtes pas tenu d'étendre le schéma pour System Center 2012 Configuration Manager. Les extensions de schéma Active Directory sont identiques à celles utilisées par Configuration Manager 2007.

Quatre actions sont requises pour permettre aux clients Configuration Manager d'interroger les services de domaine Active Directory pour localiser les ressources du site :

  • Étendre le schéma Active Directory.

  • Créer le conteneur System Management.

  • Définir les autorisations de sécurité sur le conteneur System Management.

  • Activer la publication Active Directory pour le site Configuration Manager.

Étendre le schéma Active Directory

Configuration Manager prend en deux méthodes d'extension du schéma Active Directory. La première consiste à utiliser l'utilitaire extadsch.exe. La seconde consiste à utiliser l'utilitaire LDIFDE pour importer les informations d'extension de schéma à l'aide du fichier ConfigMgr_ad_schema.ldf.

Notes

Avant d'étendre votre schéma Active Directory, testez les extensions de schéma en cas de conflits avec votre schéma Active Directory. Pour plus d'informations sur le test des extensions de schéma Active Directory, voir Test de conflits d'extension de schéma Active Directory dans la documentation des services de domaine Active Directory.

Étendre le schéma Active Directory avec extadsch.exe

Vous pouvez étendre le schéma Active Directory en exécutant le fichier extadsch.exe situé dans le dossier SMSSETUP\BIN\X64 sur le support d'installation de Configuration Manager. Le fichier extadsch.exe n'affiche aucune sortie lors de l'exécution, mais il fournit des commentaires lorsque vous l'exécutez à partir d'une console de commande en tant que ligne de commande. Lorsque le fichier extadsch.exe est exécuté, il génère un fichier journal à la racine du lecteur du système appelé extadsch.log, qui indique si la mise à jour du schéma a réussi ou si des problèmes sont survenus lors de l'extension du schéma.

System_CAPS_tipConseil

Outre le fait de générer un fichier journal, le programme extadsch.exe affiche les résultats dans la fenêtre de la console lorsqu'il est exécuté à partir de la ligne de commande.

Les limitations suivantes s'appliquent à l'utilisation du fichier extadsch.exe :

  • L'exécution de extadsch.exe n'est pas prise en charge sur les ordinateurs Windows 2000. Pour étendre le schéma Active Directory à partir d'un ordinateur Windows 2000, utilisez le fichier ConfigMgr_ad_schema.ldf.

  • Pour permettre la création du fichier extadsch.log lorsque vous exécutez le programme extadsch.exe sur un ordinateur Windows Vista, vous devez être connecté à l'ordinateur à partir d'un compte qui dispose des autorisations d'administrateur local.

Pour étendre le schéma Active Directory avec extadsch.exe

  1. Créez une sauvegarde de l'état système du contrôleur de domaine principal du schéma.

  2. Vérifiez que vous êtes connecté au contrôleur de domaine principal du schéma via un compte qui appartient au groupe de sécurité Administrateurs du schéma.

    Important

    Pour pouvoir étendre le schéma, vous devez être connecté comme membre du groupe de sécurité Administrateurs du schéma. L'exécution du fichier extadsch.exe à l'aide de la commande Exécuter en tant que pour étendre le schéma en utilisant d'autres informations d'identification échoue.

  3. Exécutez le fichier extadsch.exe, situé dans \SMSSETUP\BIN\X64 sur le support d'installation, pour ajouter les nouvelles classes et les nouveaux attributs au schéma Active Directory.

  4. Pour vérifier que l'extension du schéma a réussi, consultez le fichier extadsch.log situé à la racine du lecteur du système.

  5. En cas d'échec de la procédure d'extension du schéma, restaurez l'état système précédent du schéma principal à partir de la sauvegarde créée à l'étape 1.

    Notes

    Pour restaurer l'état système sur un contrôleur de domaine Windows, le système doit être redémarré en mode restauration des Services d'annuaire. Pour plus d'informations sur le mode de restauration des services d'annuaire, voir la rubrique Restart the Domain Controller in Directory Services Restore Mode Locally (Redémarrer localement le contrôleur de domaine en mode restauration des Services d'annuaire).

Étendre le schéma Active Directory avec un fichier LDIF

Vous pouvez faire appel à l'utilitaire de ligne de commande LDIFDE pour importer des objets de répertoire dans les services de domaine Active Directory à l'aide de fichiers LDIF (LDAP Data Interchange Format).

Pour une visibilité des modifications apportées au schéma Active Directory supérieure à celle que confère l'utilitaire extadsch.exe, vous pouvez faire appel à l'utilitaire LDIFDE pour importer les informations d'extension de schéma à l'aide du fichier ConfigMgr_ad_schema.ldf qui est inclus sur le support d'installation de SMSSETUP\BIN\X64 dans le répertoire Configuration Manager.

Notes

Le fichier ConfigMgr_ad_schema.ldf est identique à la version fournie avec Configuration Manager 2007.

Pour étendre le schéma Active Directory avec le fichier ConfigMgr_ad_schema.ldf

  1. Créez une sauvegarde de l'état système du contrôleur de domaine principal du schéma.

  2. Ouvrez le fichier ConfigMgr_ad_schema.ldf situé dans le répertoire SMSSETUP\BIN\X64 du support d'installation de Configuration Manager, puis modifiez le fichier pour définir le domaine racine Active Directory à étendre. Toutes les instances du texte DC=x dans le fichier doivent être remplacées par le nom complet du domaine à étendre.

    Par exemple, si le nom complet du domaine à étendre est widgets.microsoft.com, toutes les mentions de DC=x dans le fichier doivent être remplacées par DC=widgets, DC=microsoft, DC=com.

  3. Avec l'utilitaire de ligne de commande LDIFDE, importez le contenu du fichier ConfigMgr_ad_schema.ldf dans les services de domaine Active Directory.

    Par exemple, la ligne de commande suivante importe les extensions de schéma dans les services de domaine Active Directory, active la journalisation documentée et crée un fichier journal au cours de l'importation : ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <emplacement_stockage_fichier_journal>

  4. Pour vérifier que l'extension du schéma a réussi, vous pouvez consulter le fichier journal créé par la ligne de commande utilisée à l'étape 3.

  5. En cas d'échec de la procédure d'extension du schéma, restaurez l'état système précédent du schéma principal à partir de la sauvegarde créée à l'étape 1.

    Notes

    Pour restaurer l'état système sur un contrôleur de domaine Windows, le système doit être redémarré en mode restauration des Services d'annuaire. Pour plus d'informations sur le mode de restauration des services d'annuaire, voir la rubrique Restart the Domain Controller in Directory Services Restore Mode Locally (Redémarrer localement le contrôleur de domaine en mode restauration des Services d'annuaire).

Créer le conteneur System Management

Configuration Manager ne crée pas automatiquement le conteneur System Management dans les services de domaine Active Directory lorsque le schéma est étendu. Le conteneur doit être créé une fois pour chaque domaine incluant un serveur de site principal ou un serveur de site secondaire Configuration Manager qui publiera les informations de site dans les services de domaine Active Directory.

System_CAPS_tipConseil

Il est possible d'accorder au compte d'ordinateur des serveurs de site des autorisations de Contrôle intégral sur le conteneur Système dans les services de domaine Active Directory, et de permettre au serveur de site de créer le conteneur System Management lorsqu'ils publient pour la première fois les informations de site dans les services de domaine Active Directory. Toutefois, il est plus sûr de créer manuellement le conteneur System Management.

Utilisez l'Éditeur ADSI pour créer le conteneur System Management dans les services de domaine Active Directory. Pour plus d'informations sur l'installation et l'utilisation de l'Éditeur ADSI, voir ADSI Edit (adsiedit.msc) (Éditeur ADSI (adsiedit.msc)) dans la documentation des services de domaine Active Directory.

Pour créer manuellement le conteneur System Management

  1. Ouvrez une session sous un compte possédant l'autorisation Créer tous les objets enfants sur le conteneur Système dans les services de domaine Active Directory.

  2. Exécutez l'Éditeur ADSI et connectez-vous au domaine dans lequel réside le serveur de site.

  3. Développez Domaine <nom_domaine_complet_ordinateur>, développez <nom_unique>, cliquez avec le bouton droit sur CN=System, cliquez sur Nouveau, puis sur Objet.

  4. Dans la boîte de dialogue Créer un objet, sélectionnez Conteneur et cliquez sur Suivant.

  5. Dans le champ Valeur, tapez System Management, puis cliquez sur Suivant.

  6. Cliquez sur Terminer pour terminer la procédure.

Définir les autorisations de sécurité sur le conteneur System Management

Après avoir créé le conteneur System Management dans les services de domaine Active Directory, vous devez octroyer au compte d'ordinateur du serveur de site les autorisations nécessaires à la publication des informations du site dans le conteneur.

Important

Le compte d'ordinateur du serveur de site principal doit disposer d'autorisations de Contrôle intégral sur le conteneur System Management et tous ses objets enfants. Si vous disposez de sites secondaires, le compte d'ordinateur du serveur de site secondaire doit également disposer d'autorisations de Contrôle intégral sur le conteneur System Management et tous ses objets enfants.

Les autorisations nécessaires peuvent être octroyées via l'outil d'administration Utilisateurs et ordinateurs Active Directory, ou via l'Éditeur ADSI (Active Directory Service Interfaces). Pour plus d'informations sur l'installation et l'utilisation de l'Éditeur ADSI, voir ADSI Edit (Éditeur ADSI) (adsiedit.msc).

Notes

Les procédures ci-dessous fournissent des exemples de configuration des ordinateurs Windows Server 2008 R2. Si vous disposez d'une version différente du système d'exploitation, telle que Windows Server 2012 R2, reportez-vous à la documentation de votre système d'exploitation pour connaître la procédure équivalente.

Pour appliquer des autorisations au conteneur System Management à l'aide de l'outil d'administration Utilisateurs et ordinateurs Active Directory

  1. Cliquez sur Démarrer, sur Exécuter, puis entrez dsa.msc pour ouvrir l'outil d'administration Utilisateurs et ordinateurs Active Directory.

  2. Cliquez sur Affichage, puis sur Fonctionnalités avancées.

  3. Développez le conteneur System, cliquez avec le bouton droit sur System Management, puis cliquez sur Propriétés.

  4. Dans la boîte de dialogue Propriétés de gestion du système, cliquez sur l'onglet Sécurité, puis sur Ajouter pour ajouter le compte d'ordinateur du serveur de site. Accordez au compte les autorisations Contrôle intégral.

  5. Cliquez sur Avancé, sélectionnez le compte d'ordinateur du serveur de site, puis cliquez sur Modifier.

  6. Dans la liste Appliquer à, sélectionnez Cet objet et tous ceux descendants.

  7. Cliquez sur OK, puis fermez l'outil d'administration Utilisateurs et ordinateurs Active Directory et terminez la procédure.

Pour appliquer des autorisations au conteneur System Management à l'aide de la console Éditeur ADSI

  1. Cliquez sur Démarrer, cliquez sur Exécuter, puis entrez adsiedit.msc pour ouvrir la console ADSIEdit.

  2. Si nécessaire, connectez-vous au domaine du serveur de site.

  3. Dans le volet de la console, développez successivement le domaine du serveur de site, DC=<nom_unique_serveur>, puis CN=System. Cliquez avec le bouton droit sur CN=System Management, puis cliquez sur Propriétés.

  4. Dans boîte de dialogue CN=Propriétés de System Management, cliquez dans l'onglet Sécurité, puis cliquez sur Ajouter pour ajouter le compte d'ordinateur du serveur de site. Accordez au compte les autorisations Contrôle intégral.

  5. Cliquez sur Avancé, sélectionnez le compte d'ordinateur du serveur de site, puis cliquez sur Modifier.

  6. Dans la liste Appliquer à, sélectionnez Cet objet et tous ceux descendants.

  7. Cliquez sur OK pour fermer la console ADSIEdit et terminer la procédure.

Activer la publication Active Directory pour le site Configuration Manager.

Non seulement vous devez étendre le schéma Active Directory, créer le conteneur System Management et définir des autorisations pour ce conteneur, mais vous devez également activer Configuration Manager pour publier des données dans les services de domaine Active Directory. Pour plus d'informations sur la publication de données de site, voir Planification de la publication des données de site vers les services de domaine Active Directory.

Configurer des serveurs Windows pour les rôles de système de site Configuration Manager

Avant d'utiliser un serveur Windows avec System Center 2012 Configuration Manager, vous devez vous assurer que l'ordinateur est configuré pour prendre en charge les opérations Configuration Manager. Utilisez les informations dans les sections suivantes pour configurer les serveurs Windows pour Configuration Manager. Pour plus d'informations sur les conditions préalables applicables au rôle de système de site, voir la section Configuration requise pour les rôles de système de site de la rubrique Configurations prises en charge pour Configuration Manager.

Notes

Les procédures décrites dans les sections suivantes sont fournies à titre d'exemple de configuration d'ordinateurs Windows Server 2008 ou Windows Server 2008 R2. Si vous disposez d'une version différente du système d'exploitation, telle que Windows Server 2012 R2, reportez-vous à la documentation de votre système d'exploitation pour connaître la procédure équivalente.

Compression différentielle à distance

Les serveurs de site et les points de distribution requièrent la compression différentielle à distance (RDC) pour générer des signatures de package et effectuer une comparaison de signatures. Si la compression différentielle à distance n'est pas activée, vous devez l'activer sur ces serveurs de système de site.

Utilisez la procédure suivante comme exemple d'activation de la compression différentielle à distance sur les ordinateurs Windows Server 2008 et Windows Server 2008 R2. Si vous disposez d'une version différente du système d'exploitation, reportez-vous à la documentation de votre système d'exploitation pour connaître la procédure équivalente.

Pour configurer la compression différentielle à distance pour Windows Server 2008 ou Windows Server 2008 R2

  1. Sur l'ordinateur Windows Server 2008 ou Windows Server 2008 R2, naviguez vers Démarrer / Tous les programmes / Outils d'administration / Gestionnaire de serveur pour démarrer le Gestionnaire de serveur. Dans le menu Gestionnaire de serveur, sélectionnez le nœud Fonctionnalités et cliquez sur Ajout de fonctionnalités pour démarrer l'Assistant Ajout de fonctionnalités.

  2. Sur la page Sélection des fonctionnalités, sélectionnez Compression différentielle à distance, puis cliquez sur Suivant.

  3. Effectuez toutes les étapes de l'Assistant, puis fermez le Gestionnaire de serveur pour terminer la configuration.

Internet Information Services (IIS)

Plusieurs rôles de système de site requièrent les services Internet (IIS). Si le service IIS n'est pas encore activé, vous devez le faire sur les serveurs de système de site avant d'installer un rôle de système de site requérant IIS. En plus du serveur de système de site, les rôles de systèmes de site suivants requièrent le service IIS :

  • Point de service Web du catalogue des applications

  • Point du site web du catalogue des applications

  • Point de distribution

  • Point d'inscription

  • Point proxy d'inscription

  • Point d'état de secours

  • Point de gestion

  • Point de mise à jour logicielle

La version minimale du service IIS requise par Configuration Manager est la version par défaut fournie avec le système d'exploitation du serveur d'exécution du système de site.

Par exemple, lorsque vous activez le service IIS sur un ordinateur Windows Server 2008 que vous prévoyez d'utiliser comme point de distribution, IIS 7.0 est installé. Vous pouvez également installer IIS 7.5. Si vous activez le service IIS sur un ordinateur Windows 7 pour un point de distribution, IIS 7.5 est installé automatiquement. Vous ne pouvez pas utiliser la version 7.0 de IIS pour un point de distribution exécutant Windows 7.

Utilisez la procédure suivante comme exemple d'installation du service IIS sur un ordinateur Windows Server 2008 ou Windows Server 2008 R2. Si vous disposez d'une version différente du système d'exploitation, reportez-vous à la documentation de votre système d'exploitation pour connaître la procédure équivalente.

Pour installer les services Internet (IIS) sur les ordinateurs Windows Server 2008 et Windows Server 2008 R2

  1. Sur l'ordinateur Windows Server 2008 ou Windows Server 2008 R2, naviguez vers Démarrer / Tous les programmes / Outils d'administration / Gestionnaire de serveur pour démarrer le Gestionnaire de serveur. Dans le menu Gestionnaire de serveur, sélectionnez le nœud Fonctionnalités et cliquez sur Ajout de fonctionnalités pour démarrer l'Assistant Ajout de fonctionnalités.

  2. Sur la page Sélectionner les fonctionnalités de l'Assistant Ajout de fonctionnalités, installez les fonctionnalités supplémentaires requises pour prendre en charge les rôles de système de site que vous installez sur cet ordinateur. Par exemple, pour ajouter Extensions du serveur BITS :

    - Pour Windows Server 2008, activez la case à cocher **Extensions du serveur BITS**. Pour Windows Server 2008 R2, activez la case à cocher **Services de transfert Intelligent en arrière-plan (BITS)**. À l'invite, cliquez sur **Ajouter les services de rôle requis** pour ajouter les composants dépendants, y compris le rôle du serveur Web (IIS), puis cliquez sur **Suivant**.
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427330.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Conseil</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Si vous configurez un ordinateur destiné à être un serveur de site ou un point de distribution, assurez-vous que la case à cocher <strong>Compression différentielle à distance</strong> est activée.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
  3. Sur la page Serveur Web (IIS) de l'Assistant Ajout de fonctionnalités, cliquez sur Suivant.

  4. Sur la page Sélectionner les services de rôle de l'Assistant Ajout de fonctionnalités, installez les services de rôle supplémentaires requis pour prendre en charge les rôles de système de site que vous installez sur cet ordinateur. Par exemple, pour ajouter ASP.NET et Authentification Windows :

    - Pour **Développement d'applications**, activez la case à cocher **ASP.NET** puis, à l'invite, cliquez sur Ajouter les services de rôle requis pour ajouter les composants dépendants.
    
    - Pour **Sécurité**, activez la case à cocher **Authentification Windows**.
    
  5. Dans le nœud Outils de gestion, sous Compatibilité avec la gestion IIS 6, assurez-vous que les deux options Compatibilité avec la métabase de données IIS 6 et Compatibilité IIS 6 WMI sont sélectionnées, puis cliquez sur Suivant.

  6. Sur la page Confirmation, cliquez sur Installer, effectuez toutes les étapes de l'Assistant, puis fermez le Gestionnaire de serveur pour terminer la configuration.

Filtrage de demande pour IIS

Par défaut, le service IIS bloque l'accès via la communication HTTP ou HTTPS à plusieurs extensions de nom de fichier et emplacements de dossier. Si les fichiers sources de votre package contiennent des extensions qui sont bloquées dans IIS, vous devez configurer la section requestFiltering dans le fichier applicationHost.config sur les ordinateurs de point de distribution.

Les extensions de nom de fichier suivantes sont utilisées par Configuration Manager pour les packages et les applications. Autorisez les extensions de nom de fichier suivantes sur les points de distribution :

  • .PCK

  • .PKG

  • .STA

  • .TAR

Par exemple, vous pouvez avoir des fichiers sources pour un déploiement de logiciel qui comprennent un dossier nommé bin ou qui contiennent un fichier avec l'extension .mdb. Par défaut, le filtrage de demande IIS bloque l'accès à ces éléments. Lorsque vous utilisez la configuration IIS par défaut sur un point de distribution, les clients qui utilisent BITS ne parviennent pas à télécharger ce déploiement de logiciel depuis le point de distribution. Dans ce cas, les clients indiquent qu'ils attendent le contenu. Pour permettre aux clients de télécharger ce contenu à l'aide de BITS, sur chaque point de distribution applicable, modifiez la section requestFiltering du fichier applicationHost.config pour permettre l'accès aux fichiers et dossiers du déploiement logiciel.

Important

Les modifications apportées à la section requestFiltering s'appliquent à tous les sites Web de ce serveur. La surface d'attaque de l'ordinateur s'en trouverait augmentée. La meilleure pratique en termes de sécurité consiste à exécuter Configuration Manager sur un serveur Web dédié. Si vous devez exécuter d'autres applications sur le serveur Web, utilisez un site Web personnalisé pour Configuration Manager. Pour plus d'informations sur les sites web personnalisés, voir la section Planification de sites Web personnalisés avec Configuration Manager dans Planification des systèmes de site dans Configuration Manager.

Utilisez la procédure suivante comme exemple de modification de requestFiltering sur un ordinateur Windows Server 2008 ou Windows Server 2008 R2. Si vous disposez d'une version différente du système d'exploitation, reportez-vous à la documentation de votre système d'exploitation pour connaître la procédure équivalente.

Pour configurer le filtrage de demande pour IIS sur des points de distribution

  1. Sur l'ordinateur du point de distribution, ouvrez le fichier applicationHost.config situé dans le répertoire %Windir%\System32\Inetsrv\Config\.

  2. Recherchez la section <requestFiltering>.

  3. Déterminez les extensions de nom de fichier et les noms de dossier qui seront dans les packages sur ce point de distribution. Pour chaque nom d'extension et nom de dossier dont vous avez besoin, effectuez les opérations suivantes :

    - S'il est répertorié comme un élément **fileExtension**, attribuez la valeur **allowed** sur **true**.
    
      Par exemple, si votre contenu contient un fichier avec une extension .mdb, remplacez la ligne **\<add fileExtension=".mdb" allowed="false" /\>** par **\<add fileExtension=".mdb" allowed="true" /\>**.
    
      Autorisez uniquement les extensions de fichier dont vous avez besoin pour votre contenu.
    
    - Si elle est répertoriée comme élément **\<hiddenSegments\>**, supprimez l'entrée qui correspond à l'extension de nom de fichier ou au nom de dossier.
    
      Par exemple, si votre contenu contient un dossier portant l'étiquette **bin**, supprimez la ligne \<**add segment="bin" /\>** du fichier.
    
  4. Enregistrez et fermez le fichier applicationHost.config pour terminer la configuration.