SCCM-Standorthierarchie und mehrere, nicht vertrauenden Active Directory Forests
Hallo zusammen,
hier der Artikel zum Thema: "SCCM 2007 and Multiple, non trusting Active Directory Forests". Heute war ich bei einem Kunden um eine SCCM2007 Site in einem IntranetDC mit dem InternetDC zu verbinden. Im IntranetDC befindet sich die Central Site und im InternetDC befindet sich die Primary Site. Alle Pakete der Central Site sollen im InternetDC für die einzelnen Serversysteme zum Einsatz kommen. Desweiteren bestehen zwischen den Active Directory Forests des IntranetDC und dem InternetDC keine Trusts (keine Vertrauensstellungen). Gerade der letzte Punkt macht die Sache schon sehr interessant.
Hier meine Tipps für eine schnelle Umsetzung:
Schritte
Beschreibung
Nr.:1
Prüfen Sie, den Service Pack Level. Der Service Pack Level muss gleich sein, aber das Release kann ein anderes sein (man könnte R2 haben und die anderen können ohne R2 ausgestattet sein.)“ Im meinem Fall waren beide SCCM Sites auf dem gleichen Service Pack / Patch Level und auch auf dem gleichen Releaseversion R2.
Nr.:2
Stellen Sie sicher, dass die AD Schema Erweiterung in jedem Active Directory Forests vollzogen wurde.
Nr.:3
Überprüfen Sie ob die folgenden Einstellungen aktiviert sind (von Registerkarte "Erweitert (Advanced)" in den Site-Eigenschaften):
- Publish this site in Active Directory Domain Services
- Require secure key exchange between sites
Nr.:4
Wenn diese Optionen nicht konfiguriert sind, dann sollten Sie den manuellen Austausch der öffentlichen Schlüssel vollziehen. Aber in einem nicht vertrauten Active Directory Forests benötigen Sie auf jeden Fall den manuellen Austausch der öffentlichen Schlüssel. Sonst kann die Primary Site im InternetDC nicht an die Central Site im IntranetDC angebunden werden.
Nr.:5
Zusätzliche muss im jedem Active Directory für den Standard Sender Address ein Benutzer angelegt werden. Dieser Benutzer wird im Bereich „Site address account“ hinterlegt um die Kommunikation der SCCM Sites untereinander erfolgreich zu vollziehen. Zusätzlich wird im Bereich Destination site code die jeweils anderen SCCM-Site Code benötigt und unter Desination access der Site server name in unserem Fall natürlich die IP-Adresse.
Nr.:6
Auf den Serversystemen der Central Site und Primary Site hinterlegen Sie in der jeweiligen lokalen Gruppe mit dem Namen SMS_SiteToSiteConnection_XYZ den Benutzer für Standard Sender Address. In einem vertrauten Active Directory Forests würde hier kein Benutzer hinterlegt sondern das jeweilige Computerobjekt der SCCM Site (Central Site to Primary Site und Primary Site to Central Site).
Hier die Ablaufbeschreibung:
Nr.:1
- SC0 - Central Site IntranetDC
Schritte
Beschreibung
Nr.:1
Für das Reporting müssen Accounts Mitglied der Gruppe SMS_SiteToSiteConnection_SC0 werden. Für die SC0 muss dies der Account intranetdc\sccm-SC0-ssapsvc sein.
Nr.:2
Damit die SC0 mit der SC1 kommunizieren kann, muss ein neuer Standard Sender auf der SC0 konfiguriert werden. Dies erfolgt im "Configuration Manager Console" unter Site Management "sXY" > Site Settings > Senders klick auf "new" .
Nr.:3
Als Ziel-Site wird die SC1 definiert.
- Destination site code: SC1-SCCM Site
- Destination access Site server name: <IP-Adresse von der "SC1 - Primary Site InternetDC" >
- Site address account: <Hier muss der Benutzer der InternetDC-Domain " internetdc\sccm-SC1-ssapsvc " hinterlegt werden.>
Nr.:4
Der Sender soll immer zur Verfügung stehen. Den gesamten Zeitplan auswählen. Availabity: Open for all priorities
Nr.:5
Es findet keine Limitierung der Bandbreite statt. Unlimited when sending to this address
Nr.: 2
- SC1 - Primary Site InternetDC
Schritte
Beschreibung
Nr.:1
Für das Reporting müssen Accounts Mitglied der Gruppe SMS_SiteToSiteConnection_SC1 werden. Für die SC1 muss dies der Account internetdc\sccm-SC1-ssapsvc sein.
Nr.:2
Damit die SC1 an die SC0 reporten kann, muss ein neuer Standard Sender auf der SC1 konfiguriert werden. Dies erfolgt im "Configuration Manager Console" unter Site Management "sXY" > Site Settings > Senders klick auf "new" .
Nr.:3
Als Ziel-Site wird die SC0 definiert.
- Destination site code: SC0-SCCM Central Site
- Destination access Site server name: <IP-Adresse von der "SC0 - Central Site IntranetDC" >
- Site address account: <Hier muss der Benutzer der IntranetDC-Domain " intranetdc\sccm-SC0-ssapsvc " hinterlegt werden.>
Nr.:4
Der Sender soll immer zur Verfügung stehen. Den gesamten Zeitplan auswählen. Availabity: Open for all priorities
Nr.:5
Es findet keine Limitierung der Bandbreite statt. Unlimited when sending to this address
Nr.: 3
- Manuellen Austausch der öffentlichen Schlüssel
Schritte
Beschreibung
Nr.:1
In einem nicht vertrauten Active Directory Forests benötigen Sie auf jeden Fall den manuellen Austausch der öffentlichen Schlüssel. Sonst kann die Primary Site im InternetDC nicht an die Central Site im IntranetDC angebunden werden. Mit dem Befehl preinst.exe /KEYFORCHILD wird der öffentliche Schlüssel auf der SC0 erstellt.
Nr.:2
Der öffentliche Schlüssel befindet sich in der Datei <Driveletter>:\SC0.CT5.
Nr.:3
Mit dem Befehl preinst.exe /KEYFORPARENT wird der öffentliche Schlüssel auf der SC1 erstellt.
Nr.:4
Der öffentliche Schlüssel befindet sich in der Datei <Driveletter>:\SC1.CT4.
Nr.:5
Der öffentliche Schlüssel der Child-Site muss auf der Parent-Site importiert werden. Dazu die Datei SC1.CT4 in den Ordner \inboxes\hman.box auf dem kopieren.
Nr.:6
Der öffentliche Schlüssel der Parent-Site muss auf der Child-Site importiert werden. Dazu die Datei SC0.CT5 in den Ordner \inboxes\hman.box auf dem kopieren.
Nr.: 4
- Set Parent Site from SC1 to SC0
Schritte
Beschreibung
Nr.:1
Die Eigenschaften der "SC1" können im "Configuration Manager Console" unter Site Management "sXY" (rechts klick) "Properties" angezeigt werden. Es ist bisher keine Parent-Site definiert. Um die übergeordnete Site zu definieren klickt man auf "Set Parent-Site" .
Nr.:2
Im folgendem Dialog wird die Parent-Site definiert. Report to parent site: SC0
Nr.:3
Die SC0 ist nun als Parent-Site definiert.
Viele Grüße
Christian Hilber