In SCCM 2012 ist der Forefront Endpoint Protection (FEP) Client noch stärker im Configuration Manager (SCCM) integriert worden. Daher kümmert sich auch der SCCM Client um das Einspielen der FEP Policy, die als XML File vorliegt.

In einigen Fällen scheitert dies aber und die Clients erhalten in der SCCM Konsole im Bereich FEP den Status fehlerhaft.

Bei der ersten Analyse hilft das Log EndpointProtectionAgent.log auf dem Client (%systemroot%\ccm\logs). In diesem Fall war folgende Fehlermeldung zu lesen:

SCCM lädt beim Client Push bzw. beim Rollout über WSUS und auch bei der Installation über OSD zusätzliche Komponenten nach. Die heruntergeladenen Dateien werden anhand der Zertifikate überprüft. Am 10.01.2013 ist das Zertifikat vom Microsoft Policy Platform Setup ausgelaufen. Im ccmsetup.log Log sieht man folgende Meldung:

Couldn’t verify ‘C:\Windows\ccmsetup\MicrosoftPolicyPlatformSetup.msi’ authenticode signature. Return code 0x800b0101

Heute wurde das passende Hotfix bereitgestellt:

http://support.microsoft.com/kb/2801987

Es tauscht den Microsoftpolicyplatformsetup.msi durch eine neu signierte Datei aus und aktualisiert auch die Setupinformationen, dass diese die neue Datei anhand des Hash Wertes akzeptiert.

Seit Mitte dieser Woche steht das Kumulative Update 2 für System Center Configuration Manager 2012 zum direkten Download als Hotfixe zur Verfügung.

Knowledge Base Artikel 2780664 beschreibt die enthaltenen Hotfixes. Wie bei CU üblich beinhaltet es alle Änderungen aus CU1.

Folgende Verbesserungen sind aus meiner Sicht erwähnenswert:

• OUs in DDRs dürfen jetzt auch länger als 220 Zeichen ein
• Applikationsvoraussetzungen wie “Service Pack 1” werden jetzt korrekt ausgewertet
• Beinhaltet Update 2744420
• Windows 8 und Office 2013 werden jetzt korrekt in Asset Intelligence Reports angezeigt

ACHTUNG: Auch wenn der Asset Intelligence Report jetzt Windows 8 erkennt, ist der SCCM Client erst ab 2012 SP1 auf Windows 8 und Windows Server 2012 lauffähig, da das WMI Datenbank Schema um Attribute ergänz worden, die den SCCM Agent fälschlicherweise annehmen lassen, dass die Datenbank korrupt ist.

Die Anpassungen an der Microsoft WSUS Infrastruktur aufgrund des unsicheren WSUS Zertifikats haben viele Verwirrungen und Auswirkungen nach sich gezogen. Gerade auch auf SCCM Seite konnte nicht direkt das notwendige WSUS Hotfix eingespielt werden.

Auch jetzt noch kommt es bei SCCM 2007 zu einem hohen Downloadaufwand. Das liegt daran, dass durch die Anpassungen die Metadaten vieler Updates aktualisiert werden mussten. Aktuell bedeutet dass für den SCCM, dass dieser das komplette Update erneut herunterladen muss.

In den meisten Fällen läuft das User State Restore automatisch ab. Im nachfolgenden Fall musste manuell eingegriffen werden und die Daten aus dem Container gesichert werden.

Der ScanState von USMT wird von SCCM mit einem zufällig generierten Passwort geschützt. Der erste Schritt ist somit dieses Passwort zu ermitteln.

In der Konsole findet man diese Informationen unter “Assets and Compliance\Overview\User StateMigration”. Die Recovery Informationen eines Objekts sehen wie in nachfolgender Abbildung aus:

Ich bin mal wieder spät. Aber eventuell gibt es ein paar Leser, für die das öffentliche Beta von SCCM 2012 SP1 neu ist

Die Hauptneuerungen sind:

• Unterstützung von Windows 8 und Windows Server 2012
• Verteilpunkte in der Cloud (Azure)
• Powershell Kommandos
• Verwalten von Mac OS X, Linux und UNIX Systemen

Gerade den letzten Punkt finde ich bemerkenswert. Microsoft öffnet seine Managementsysteme immer weiter in Richtung anderen Plattformen.

Es gibt Situationen, in dem man die in SCCM 2012 vorhandene Remotesteuerung nutzen möchte, ohne dass die komplette CM Konsole installiert ist.

Normalerweise wird Remote Control innerhalb der CM Konsole über das Kontextmenü bei einem Client und Start->Remote Control gestartet.

Möchte man das Remote Control außerhalb der Konsole verwenden (z.B. da man die Konsole nicht auf viele Clients installieren möchte), so reicht es den Unterordner i386 unter „C:\Program Files (x86)\Microsoft Configuration Manager\AdminConsole\bin“ zu kopieren und z.B. in RemoteControl umzubenennen. Darin enthalten ist der CmRcViewer.exe. Nach dem Start kann über File->Connect die Verbindung zu einem PC aufgenommen werden.

Wie bereits in einem vorherigen Post beschrieben, erscheinen Updates im SC Umfeld nicht mehr als einzelne Hotfixe (außer bei kritischen Problemen), sondern gesammelt als Cumulative Updates. Für die anderen SC Produkte sind bereits die Sammelupdate CU1 und CU2 erschienen. Jetzt gibt es das erste CU1 für den SCCM (der etwas anderes behandelt wird als die anderen SCs ).

Besonders erwähnenswert finde ich folgenden Fix:

Manchmal kann der Wizard zum Aktualisieren des Boot Images neue Treiber nicht zum Image hinzufügen. Es kommt eine Fehlermeldung wie im folgendem Bild:

Zum Ermitteln der Fehlerursache hilft ausnahmsweise kein Log im CM Verzeichnis, da das Hinzufügen von Treibern mittels des WAIK erfolgt bzw. genauer mit dism.exe. Dieser Tool legt seine Logfile unter Windows\Logs\Dism\dism.log ab. In diesem Fall sieht man dort folgendes:

Die 180 Tage Testzeitraum nähern sich seit dem Releasetermin am 1. April 2012 langsam dem Ende zu. Es stellt sich daher die Frage, wie (oder ob) man aus dem Evaluationsmodus in den lizenzierten Modus wechseln kann. Obwohl die einzelnen Produkte immer stärker zusammenwachsen, unterscheiden sie sich doch in dieser Frage:

System Center 2012 Configuration Manager (SCCM)

Beim SCCM funktioniert der Wechsel über das Configuration Manager Setup  im Startmenü. Dort wählt man den Punkt Site “maintenance or reset site” und nachfolgend “Convert from Evaluation to Full Product Version…”.

Eine bebilderte Anleitung (in englisch) kann bei meinem MVP Kollegen Ronni Pedersen gefunden werden: http://www.ronnipedersen.com/2012/05/convert-system-center-2012-from-evaluation-to-full-product-version/

System Center 2012 Operations Manager (SCOM)

Beim SCOM schein Microsoft die Key-Eingabe in der Oberfläche vergessen zu haben. Daher erfolgt die Aktivierung über die Powershell. Ein passende Beschreibung ist im Knowledge Base Artikel 2699998 zu finden: http://support.microsoft.com/kb/2699998/en-us

System Center 2012 Service Manager (SCSM)