Transfer Files... 과정 중에 Critical 오류가 발생하며 아래 파일 복사 오류가 발생한다.
무슨 이유인지 모르겠으나... Evaluation Version에는 있으나 MSDN 버전의 ISO 이미지에는 없다.
<Source Directory>\SMSSETUP\ADMINUI\XMLSTORAGE\FORMS에 붙혀 넣고 재설치한다.
1. 대상 버전이 설치된 시스템에 대한 쿼리 작성
- CM 콘솔에서 쿼리로 이동
(여기서는 Product Name과 Version을 이용하나 수집된 파일의 Version 정보를 통한 쿼리 작성도 가능하겠다.)
- 새 쿼리 생성 > Name 입력 > Object Type은 System Rource > Edit Query Statement 클릭
- General 탭에서 'Omit duplicate rows' 체크
- Result > 추가 > Attribute > Select > Attribute class : System Reource, Attribute : Name
응용프로그램의 이름에 대한 Creteria
- Creteria 탭에서 추가 > Creteria Type : Simple values > Select > Attribute class : Software Products, Attribute : Product Name
- Operator : is equal to, Value : <Product Name>
응용프로그램의 버젼에 대한 Creteria
- 추가 > Creteria Type : Simple values > Select > Attribute class : Software Products, Attribute : Product Version
- Operator : is equal to, Value : <Product Version>
- Query 생성 완료 후 CM 콘솔에서 해당 Query에 리스트가 되는지 확인
2. 설치는 되어 있으나 위 쿼리에서 리스트되지 않은 시스템에 대한 쿼리 작성
- 새 쿼리 생성 > Name 입력 > Object Type은 System Rource > Edit Query Statement
- General 탭에서 'Omit duplicate rows' 체크
- Result > 추가 > Attribute > Select > Attribute class : System Reource, Attribute : Name
- Creteria 탭에서 추가 > Creteria Type : Simple values > Select > Attribute class : Software Products, Attribute : Product Name
- Operator : is equal to, Value : <Product Name>
- 추가 > Creteria Type : SubSelected values > Select > Attribute class : System, Attribute : Name
- Operator : is not in > Browse 클릭 > 과정 1에서 생성한 쿼리 선택
3. 과정 2에서 작성한 쿼리를 이용해 Collection 생성
- 쿼리의 설정에 따라 대상 버전이 시스템에 설치되면 자동으로 Collection에서 제거된다.
4. 배포할 응용프로그램의 패키지 생성
- 소스 폴더 위치, 배포 지점, 실행 형태 등 설정
- exe 파일의 경우 해당 설치 파일의 파라미터를 확인해 설치
- msi 파일의 경우 다음과 같은 파라미터를 이용해 설치
msiexec.exe /i <Install.MSI> REINSTALLMODE=vomus REINSTALL=ALL REBOOT=ReallySuppress /q
REINSTALLMODE Property
REINSTALL Property
REBOOT Property
5. 강제 설치를 하기 위한 설정
Assign Program 페이지에서 'Yes, assign the program' 선택
참고: 설치된(수집된) 응용프로그램의 정보 확인
쿼리 작성 시 Creteria 값을 주기 위한 Attribute를 확인하기 위한 SQL 쿼리
SSMS를 열어 Configuration Manager 데이터베이스에 대해 다음 쿼리 실행
SELECT ProductId, CompanyName, ProductName, ProductVersion, ProductLanguage FROM SoftwareProduct WHERE (ProductName LIKE '%<Application>%')
| Client -> Software Update Point | ||
| Description | UDP | TCP |
| Hypertext Transfer Protocol (HTTP) | 80 or 8530 | |
| Secure Hypertext Transfer Protocol (HTTPS) | 443 or 8531 | |
| Client -> State Migration Point | ||
| Description | UDP | TCP |
| Hypertext Transfer Protocol (HTTP) | 80 | |
| Secure Hypertext Transfer Protocol (HTTPS) | 443 | |
| Server Message Block (SMB) | 445 | |
| Client -> PXE Service Point | ||
| Description | UDP | TCP |
| Dynamic Host Configuration Protocol (DHCP) | 67 and 68 | |
| Trivial File Transfer Protocol (TFTP) | 69 | |
| Boot Information Negotiation Layer (BINL) | 4011 | |
| Client -> System Health Validator | ||
| NAP 적용 클라이언트에 따라 다름. 예를 들어 DHCP는 UDP 67과 68, IPSec은 HRA로 TCP 80 또는 443, IPSec 협상을 위한 UDP 500(Filter 설정에 따라 변함) | ||
| Client -> Fallback Status Point | ||
| Description | UDP | TCP |
| Hypertext Transfer Protocol (HTTP) | 80 | |
| Client -> Distribution Point | ||
| Description | UDP | TCP |
| Hypertext Transfer Protocol (HTTP) | 80 | |
| Secure Hypertext Transfer Protocol (HTTPS) | 443 | |
| Server Message Block (SMB) | 445 | |
| Multicast Protocol | 63000-64000 | |
| Client -> Branch Distribution Point | ||
| Description | UDP | TCP |
| Server Message Block (SMB) | 445 | |
| Client -> Management Point | ||
| Description | UDP | TCP |
| Hypertext Transfer Protocol (HTTP) | 80 | |
| Secure Hypertext Transfer Protocol (HTTPS) | 443 | |
| Client -> Server Locator Point | ||
| Description | UDP | TCP |
| Hypertext Transfer Protocol (HTTP) | 80 | |
| Configuration Manager Console -> Client | ||
| Description | UDP | TCP |
| Remote Control (control) | 2701 | 2701 |
| Remote Control (data) | 2702 | 2702 |
| Remote Control (RPC Endpoint Mapper) | 135 | |
| Remote Assistance (RDP and RTC) | 3389 | |
| Site Server -> Client | ||
| Description | UDP | TCP |
| Wake on LAN | 9 | |
| Configuration Manager client -> Global Catalog Domain Controller |
| Description | UDP | TCP |
| Global Catalog LDAP | 3268 | |
| Global Catalog LDAP SSL | 3269 |
System Management 컨테이너 생성
1. 도메인 관리자 권한으로 로그인
2. Support Tools 설치
3. ADSIEDIT 실행
4. Domain > Domain Name > CN=System
5. CN=System에 우클릭 -> New > Object
6. Class는 Container > Value는 System Management -> 생성
| 기능 | 스키마 확장 | 요구 사항 상세 |
| 클라이언트 설치와 사이트 할당 | 권장 | Requirement: AD 스키마의 확장이 되지 않으면 Ccmsetup.exe을 이용한 클라이언트 설치 시 AD Domain Service로부터 파라미터 값을 자동으로 받을 수 없다. |
| Workaround: Ccmsetup.exe를 이용한 클라이언트 설치 시 SMSSLP=<Server locator point>를 이용해 Server locator point 값에 대한 파라미터를 준다. | ||
| Workaround: SMS 2003의 스키마 확장으로 AD Server locator point가 AD Domain Service에 게시되어 있다면 동일 도메인 내에 있는 Configiration Manager 2007 클라이언트는 자동으로 할당되어 진다. | ||
| Workaround: 클라이언트는 DNS 또는 WINS 서버를 이용해 할당될 수 있다. | ||
| 사이트 모드 설정, 클라이언트 인증서 선택과 CRL 체크와 관련된 설정 | 권장 | Requirement: AD 스키마 확장이 되어 있지 않다면 사이트 모드 정보(Native/Mixed)와 Native Mode에 관련된 클라이언트 설정이 AD Domain Service에 게시될 수 없다. |
| Workaround: CCMSetup.exe 클라이언트 설치 시 파라미터 값을 주거나 Push Installation을 사용한다. | ||
| 클라이언트와 서버 간 통신 포트 설정 | 권장 | Requirement: AD 스키마 확장이 되어 있지 않은 상태에서 클라이언트 설치 이후에 기본 통신 포트가 변경되면 클라이언트는 사이트 시스템과 통신할 수 없다. |
| Workaround: 적용되는 모든 클라이언트를 재설치하거나 스크립트를 배포해 수동으로 클라이언트가 사이트 서버와 통신하는 포트 정보를 변경해야 한다. | ||
| 글로벌 로밍 | 필요 | Requirement: AD 스키마가 확장되어 있지 않다면 로밍 클라이언트는 Resident management point로부터 S/W 업데이트나 배포된 콘텐츠를 요청할 수 없다. 이 경우 클라이언트는 Default management point로 요청을 보내기 때문에 추가적인 네트웍 트레픽이 발생한다. 또한 클라이언트가 Assign된 사이트의 상위 사이트나 계층 구조 상의 동일 계층 사이트로부터 콘텐츠를 받을 수 없다. |
| Workaround: 없음 | ||
| Configuration Manager의 NAP 기능 | 필요 | Requirement: AD 스키마가 확장되지 않는다면 AD Domain Service의 NAP에 Health State 정보(HRA)를 게시할 수 없기 때문에 클라이언트의 Health State를 확인할 수 없다. |
| Workaround: 없음 | ||
| 사이트 간 Secure key exchange | 권장 | Requirement: AD 스키마가 확장되지 않는다면 사이트 간 통신을 하기 위해 보안키 교환을 하도록 설정된 사이트의 자동으로 교환하는 공용키를 사용할 수 없다. |
| (사이트 간 보안키 교환은 기본적으로 활성화된다.) | ||
| Workaround: 하위 사이트를 계층 구조에 추가하기 전에 상/하위 사이트의 공용키를 수동으로 교환해야 한다. | ||
| Hierarchy mainternance Tool 사용 (Preinst.exe) | ||
| 신뢰할 수 있는 Management point 확인 | 권장 | Requirement: AD 스키마가 확장되지 않는다면 클라이언트는 사이트와 트러스트를 맺기 위해 신뢰할 수 있는 루트키를 사용해야 한다. 클라이언트가 신뢰할 수 있는 루트키가 미리 제공되어 있지 않다면 클라이언트는 첫번째로 통신하는 Managemenr point를 신뢰하게 된다. |
| Workaround: 신뢰할 수 있는 루트키를 클라이언트에 미리 제공해야 한다. | ||
| How to Pre-provision the Trusted Root Key on Clients | ||
| Workaround: Native Mode를 사용한다. Native Mode에서 Management point의 인증서는 반드시 신뢰할 수 있는 루트 인증 기관에서 서명되고 PKI에서 발행한 인증서를 사용해야 한다. 클라이언트는 유효한 서버 인증서를 가지고 있고 첫번째로 접속하는 Management point를 신뢰한다. | ||
| Management point를 호스팅하는 중앙 사이트 서버의 장애 복구 | 권장 | Requirement: AD 스키마가 확장되지 않고 만약 클라이언트가 통신하는 중앙 사이트 서버가 Management point로 동작한다면, 클라이언트는 새로운 사이트 서버와 Management point가 복구된 이후에 자동으로 사이트와 트러스트를 맺을 방법이 없다. |
| Workaround: 사이트의 모든 클라이언트에서 신뢰하는 루트키를 제거하고 다시 제공해야 한다. | ||
| Workaround: Management point 역할을 다른 서버로 이동한다. 중앙 사이트에 속한 클라이언트가 Management point를 잃게 되면 클라이언트는 다시 신뢰 관계를 맺을 수 있다. |
기본적으로, Configuration Manager의 Primary site는 하위 사이트의 공용키를 Parent site가 알고 있거나 AD Domain Service에 게시되어 있지 않은 이상 연결을 수락하지 않는다. 그러나, 업그레이드의 경우에는 Configuration Manager의 설치 중에 사이트의 원본 보안키 교환 설정을 변경하지 않는다.
하위 사이트의 연결을 수락하기 위해 스키마 확장을 하지 않는 다른 방법으로는 사이트 간 보안키 교환을 요구하지 않는 것인데 이는 보안 상 매우 위험하다.
Proxy management point는 Parent primary site의 Default management point로의 Proxy 역할을 수행하는 Secondary site에 설치된 Management point다.
일반적으로 Proxy management point는 Secondary site의 Boundary에 속하는 클라이언트가 Parent(Primary site)의 Default management point를 Management point로 할 때 느린 네트웍 구간을 통한 과도한 트레픽을 막기위해 사용된다.
Secondary site의 Boundary에 속하는 클라이언트수가 증가할 수록 Primary site의 Default management point와 통신하기 위한 네트웍 트레픽이 증가하게 된다. Proxy management point가 없는 경우 이러한 느린 네트웍 구간의 트레픽 증가는 네트웍 용량 초과를 발생시킬 수 있다.
Secondary site에 Proxy management point를 설치하면 Secondary site의 Boundary에 속하는 클라이언트는 Proxy management point로 데이터(S/W 배포 패키지, 콘텐츠 위치, 인벤토리 데이터, Discovery 데이터, 상태 메시지)를 보내게 된다.
Proxy management point는 클라이언트의 정보를 Secondary site 서버의 inbox로 전달하고 클라이언트의 데이터는 압축되서 일반적인 site간 통신을 통해 Primary site로 보내진다.
만약 Secondary site에 Proxy management point가 설치되어 있지 않은 경우 클라이언트의 정보는 압축되지 않은 상태로 직접 Primary site의 Default management point로 전송되게 된다.
Proxy management point는 클라이언트의 정책 요청에 대해 직접 응답하지 않고 모든 클라이언트의 요청은 Primary site의 Default management point로 보내진다. 그러나, Proxy management point는 클라이언트의 정책 내용을 Cache한다. 만약 클라이언트가 요청한 정책 내용이 Secondary site의 클라이언트에서 다운로드 받았던 것이라면 Proxy management point는 Secondary site의 클라이언트로 정책 내용을 보낸다.
즉, 클라이언트는 정책에 대한 내용을 Primary site의 Default management point에서 다운로드 받고 Proxy management point는 이후의 클라이언트 요청에 응답하기 위해 Cache하게 된다.
About Client Roaming in Configuration Manager
http://technet.microsoft.com/en-us/library/bb632476.aspx
Example Roaming Scenarios for Configuration Manager: Simple
http://technet.microsoft.com/en-us/library/bb633252.aspx
Example Roaming Scenarios for Configuration Manager: Complex
http://technet.microsoft.com/en-us/library/bb694028.aspx
사이트 정보
AD Domain Service 이용
다음의 경우 클라이언트는 AD Domain Service를 이용해 사이트 정보를 얻는다.
- Configuration Manager 2007을 위한 AD 스키마가 확장되고
- 모든 사이트 계층에 AD Domain Service를 Publish하였으며
- 클라이언트와 사이트 서버가 동일한 AD 포리스트에 속하는 경우
만약 AD Domain Service에서 사이트 정보를 얻지 못하게 되면 대체 방법을 찾게 되는데,
사이트 정보를 얻기 위한 대체 방법은 Server Locator Point 뿐이며 Management Point에 대해서는 DNS, Server Locator Point, WINS가 있다.
Server Locator Point 이용
Server Locator Point는 AD Domain Service를 사용할 수 없을 때 다음 두 가지 목적을 위해 사용된다.
- 클라이언트에 대한 사이트 Assignment
- 클라이언트에 대한 Default management point 위치 지정
WORKGROUP 머신의 경우 AD 정보를 쿼리할 수 없으므로 클라이언트 설치 시 SMSSLP=<Server Locator Point> 옵션을 지정해야 한다.
Server Locator Point를 지정하지 않는 경우는 WINS를 통해 쿼리한다. (Name=SMS_SLP endchar=1A)
WINS 구성
Native 모드의 클라이언트 설치 시에는 반드시 Roaming과 사이트 Assignment에 대한 HTTP 연결을 설정해야 한다.
Configure HTTP Communication for Roaming and Site Assignment
Management Point
클라이언트는 사이트 정보를 얻고 사이트에 Assign이 되면 Default management point를 찾게 된다.
Management point에 Assign이 된 후에도 클라이언트는 Management point의 변경이 있는지 지속적으로 확인한다.
다음의 경우 Default management point에 대한 Service location request가 일어난다.
- 클라이언트가 재시작하거나 SMS Agent가 재시작된 경우
- 클라이언트의 네트워크 변경이 발생한 경우
- 제어판 -> Configuration Manager의 Discovery를 실행하는 경우
AD Domain Service 이용
모든 사이트에 대한 AD 스키마 확장과 Publish를 설정한 경우 AD에 Default management point가 게시된다.
클라이언트가 동일 포리스트에 속하는 경우 GC에 LDAP쿼리를 통해 Default management point를 찾는다.
클라이언트가 WORKGROUP 머신이거나 신뢰된 도메인이 아니라면 다른 Mechanism을 시도한다.
순서는 DNS -> SLP -> WINS의 순서로 시도한다.
DNS의 SRV 레코드 이용
DNS Zone의 SRV 레코드를 통해 Default management point를 찾는다.
SRV 레코드는 자동으로 게시될 수도 있으며 수동으로 등록할 수도 있다.
DNR 쿼리가 정상적으로 동작하기 위해서 클라이언트는 DNS suffix가 설정되어 있어야 한다.
Server Locator Point 이용
AD Domain Service와 DNS의 SRV 쿼리도 실패한다면 클라이언트 설치 시 지정한 Server Locator Point에서 찾는다.
WINS 사용
Management Point Role을 가지고 있는 사이트 시스템이 WINS를 사용하게끔 TCP/IP 구성에 설정되어 있다면 자동으로 WINS에 게시된다.
그러나, 사이트가 Native Mode인 경우 클라이언트는 Management Point 위치 지정을 위해 WINS를 사용하지 않는다.
[[예외]]
NLB Management Point인 경우
AD Domain Service와 Server Locator Point에는 자동으로 게시되나
WINS와 DNS에는 자동으로 게시되지 않으므로 수동으로 등록해야만 한다.
| Configuration Manager 동작 | Mixed Mode | Native Mode |
| 인증서의 사용 | Configuration Manager에 의해 생성 및 관리되는Self-signed 인증서 사용 (Configuration Manager 내부에서만 사용된다.) | 업계 표준의 PKI 인증서 사용 (별도의 인증 기관 필요) |
| 클라이언트와 사이트 시스템과의 상호 인증 (Mutual authentication) | 클라이언트와 Management point, State Migration point는 별도의 내부 인증을 사용하며 다른 사이트 시스템은 클라이언트와 상호 인증을 하지 않는다. | 클라이언트와 다음의 사이트 시스템은 SSL 통신을 한다. - Management point - Standard Distribution point (Not 서버 공유/Branch Distribution point) - Software update point - State migration point |
| 사이트 시스템 간 인증과 트레픽의 암호화 | 예 | 예 |
| 서비스 위치를 위한 WINS 사용 가능 여부 | 예 | Native Mode에서는 WINS를 사용할 수 없다. Default management points는 AD, DNS, server locator point에 위치한다. 그러나, NLB된 management points는 AD 또는 server locator point에 위치할 수 있다. |
| 정책 서명 | 예(Management point) | 예(Site server와 Management point) |
| 정책 암호화 (over SSL) | 아니오 | 예 |
| 콘텐츠 서명 | 예(배포 옵션이 "Download content from distribution point and run locally" 인 경우), 아니오(배포 옵션이 "Run program from distribution point" 인 경우) | 예(배포 옵션이 "Download content from distribution point and run locally" 인 경우), 아니오(배포 옵션이 "Run program from distribution point" 인 경우 – 인터넷 기반 클라이언트는 이 옵션을 사용할 수 없다.) |
| 콘텐츠 암호화 | 아니오 | 예(배포 옵션이 "Download content from distribution point and run locally"인 경우 SSL을 통해 암호화되나 HTTPS 연결이 실패할 경우 SMB로 통신하며 암호화되지 않는다.), 아니오(배포 옵션이 "Run program from distribution point" 인 경우 – 인터넷 기반 클라이언트를 이 옵션을 사용할 수 없다.) |
| Inventory data와 상태 메시지의 서명 | 예(SHA1 사용 – 클라이언트가 최소 SMS 2003 SP1인 경우) | 예(fallback status point로 전달되는 상태 메시지는 서명되지 않음) |
| Inventory data와 상태 메시지 암호화 여부 | 옵션 사항(3DES 사용) | 예(fallback status point로 전달되는 상태 메시지는 암호화 되지 않음) |
| 클라이언트의 상태 메시지 암호화 여부 | 아니오 | 예 |
| 클라이언트의 Metering data 암호화 여부 | 아니오 | 예 |
| 클라이언트 승인 방법 | 다음 옵션 중에서 선택 - 각 클라이언트 수동 승인 - 신뢰 도메인에 대해 자동 승인 - 모든 클라이언트에 대해 자동 승인 |
클라이언트 자동 승인 (PKI를 통해 인증되므로) |
| OSD를 사용하는 경우 State migration data의 서명 및 암호화 여부 | 예 | 예 |
XML_Files.zip