SCCM – Client Agent installieren in „out of AD“ oder DMZ

Es ist kein Problem einen Client Agent zu verteilen, wenn das AD Schema erweitert wurde.  Was ist aber, wenn ein ClientAgent auf einen Rechner verteilt werden soll, der in einer anderen Domäne steht (ohne Vertrauensstellung), oder sogar in der DMZ ?

Einschränkung: Die SCCM Umgebung ist im „mixed mode“, somit entfällt die Internet Kommunikation mittels PKI!

Noch ein Hinweiss es ist natürlich sicherer den SCCM im „native mode“ zu betreiben !

Ich habe das folgendermassen gelösst:

1- prüfen, ob der „Computer Client Agent“ in der Registerkarte „General“ über einen Network Access Account verfügt. (SCCM Server Manager -> System Center Configuration Manager -> Site Database ->Site Management ->SITECODE ->Site Settings ->Client Agents)

2- Für die Kommunikation zum Client und vom Client zum SCCM MP ist es nötig, dass ICMP und Port 80 nocht geblockt wird. Zum Überprüfen solltest Du den Link: http://FQDN-NAME/CCM_Client/ ausprobieren, sowie den FQDN des SCCM Server mittels PING versuchen zu erreichen.

3- Die Installation auf dem Client muss „per Hand“ erfolgen. Eine Verteilung über den SCCM ist nicht möglich.

4- Das Skript muss weiterführende Informationen beinhalten um den SP und MP zu finden, weil die Informationen natürlich nicht aus der AD-SchemaErweiterung gefunden werden können. Ich habe dazu folgendes skript erstellt:

@echo off
cls

:: HINWEISS
:: Die HOSTS und LMHOSTS Datei wird angepasst
::
:: v1 – Gunnar Kentzler – 07.03.2012

::change logon /disable
::~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

set SITE=CON
set SCCMSRV=SCCM-CONTOSO.MICROSOFT.COM

set QUELLE=\\IPADRESSE DES SCCM-CONTOSE\Package\CCMsetup-FULL\
set TARGET=c:\windows\system32\ccmsetup\

::Eintragung in den HOSTS und LMHOSTS Datei
echo IPCONTOSO FQDN-NAME # CON SCCM >>%Windir%\System32\drivers\etc\hosts
echo IPCONTOSO FQDN-NAME >>%Windir%\System32\drivers\etc\lmhosts.sam

%~dp0ccmsetup.exe /mp:%SCCMSRV% /logon SMSSITECODE=%SITE% FSP=%SCCMSRV%

::~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
::change logon /enable
exit /B %EXIT_CODE%

5- Die installation kann nun im Logfile betrachtet werden.

Wichtig zu wissen ist hierbei, dass der ClientAgent über Port 80 die entsprechenden Dateien aus der URL: http://FQDN-NAME/CCM_Client/ holt. Solltest Du mit dem Browser diese Seite (vom Client) nicht aufrufen können – musst Du Dir den IIS des SCCM Server nochmal anschauen.

Was auch nicht gehen wird: The client push installation method cannot be used to install the client on workgroup computers. <http://technet.microsoft.com/en-us/library/bb680962.aspx>

Wie es jetzt mit dem Management des ClientAgent ausschaut, darauf gehe ich einem anderen Artikel ein -LINK FOLGT-

Weiterführende Informationen zu diesem Thema:
http://technet.microsoft.com/en-us/library/bb632618.aspx
http://technet.microsoft.com/en-us/library/bb680980.aspx
http://technet.microsoft.com/en-us/library/bb680365.aspx
http://technet.microsoft.com/en-us/library/bb632435.aspx
http://technet.microsoft.com/en-us/library/bb680962.aspx
http://social.technet.microsoft.com/Forums/en-US/configmgrsum/thread/30111dbc-d94b-4e8e-8fe5-128079fabf25