Erreur :
J'ai décidé de réinstaller le rôle Reporting de MECM.
Dans le log "srsrpsetup.log" je vois ça :
Deleting \\?\L:\SMS_SRSRP, FAILED, Win32 Error = 2
Cannot delete old installation directory L:\SMS_SRSRP. Error Code=2. Installation will continue.
Fatal MSI Error - srsrp.msi could not be installed.
Solution :
- Désinstaller manuellement srsrp en utilisant le srsrp.msi --> faire un clic droit sur le msi et choisir l'option désinstaller
- Redémarrer le composant "MECM SMS_SITE_COMPONENT_MANAGER" qui va essayer une réinstallation de srsrp.msi
Besoin :
Filtrer un EventID spécifique pour un intervalle de temps bien défini sur un regroupement de machines.
Solution :
Cela est possible en utilisant CMPivot de MECM.
CMPivot permet de sortir toutes les occurrences d'un EventID sur une période définie sur le regroupement de machines souhaitée.
Ci-dessous une requête CMPivot pour filtrer l'EventID 1034 de type Application sur une période de 365 jours :
EventLog('Application',365d) | where EventID == 1034
Besoin :
Durant l'OSD, j'ai remarqué quand je fais F8 pour ouvrir l'invite de commande, je peux exporter une liste de variable d'environnement de la TS qui contiennent des valeurs non masquées, y compris des mots de passe. Ces deux variables par exemple ne sont pas masqués :
- "OSDLocalAdminPassword" : contient le mot de passe du compte admin local qui est mis sur la machine en cours d'installation
- "_SMSTSReserved1-000" et "_SMSTSReserved2-000" : contiennent le Username et Password du compte ConfigMgr Nework Access (NAA)
Le besoin est d'éviter de laisser ces deux variables visibles.
Solution :
Arrêter d'utiliser le compte Network Access et le supprimer de la configuration. Depuis ConfigMgr 1902, cela n'est plus nécessaire dans presque tous les scénarios tant que vous activez le enhanced HTTP.
Pour l’administrateur local, une réponse similaire. Les systèmes de production ne doivent pas avoir ce compte activé et vous devez autoriser Windows à configurer un mot de passe aléatoire pour celui-ci.
Scénario :
Nous avons constaté qu'un package est bloqué à 0% en téléchargement dans le centre logiciel.
Depuis la console MECM, nous avons vérifié les boundaries, tout est correctement configuré.
Ensuite nous avons vérifié l'état de distribution du package sur le point de distribution, le package est affiché distribué avec succès.
Pour s'assurer de la bonne distribution du package, nous nous sommes connecté au serveur avec le rôle point de distribution et nous avons constaté qu'il manque le fichier avec le PackageID.ini sous SCCMContentLib\PkgLib.
Nous avons décidé de vérifier l'état de distribution avec l'outil Content Library Explorer :
.png)
--> L'état de notre package est PENDING, c'est à dire sa distribution n'a pas pu aboutir.
--> Ce phénomène peut arriver dans le cas où le package a été supprimé mais n'a pas été correctement nettoyé du WMI du point de distribution, mais dans notre cas le package existe toujours et n'a pas été supprimé.
Après vérification, le chemin des sources du package a été modifié sur le serveur qui les héberge. Cette modification a été la cause de l'état PENDING de notre package.
Résolution :
Lorsqu'on change le chemin des sources d'un package MECM (exemple : de "D:\sources\VLC" à "D:\sources\VLC\v3.1"), il faut aussi mettre à jour le chemin vers le contenu dans l'onglet "Content" (cas d'une application) ou "Data Source" (cas d'un package) du package depuis la console.
Est-ce suffisant ? La réponse est NON !
Il faut également lancer l'action Update Content (depuis l'onglet Deployment Types) si c'est une application :
Ou l'action Update Distribution Points si c'est un package :
MECM utilise plusieurs comptes de service, en suivant les bonnes pratiques, ci-dessous les principaux comptes de service à créer pour être utilisés par ConfigMgr :
- Administration account
- Client Push account
- Network Access account
- SQL Reporting account
- SQL Engine account
- SQL Agent account
- Computer Domain Join account
La réinitialisation du mot de passe de tous ces comptes de service ne pose aucun problème, sauf celui du compte Network Access.
Le changement du mot de passe du compte Network Access, provoque le verrouillage en boucle de ce dernier.
Pour éviter les verrouillages de compte, ne modifiez pas le mot de passe d'un compte Network Access existant. Au lieu de cela, créez un nouveau compte et configurez le dans Configuration Manager.
Lorsque suffisamment de temps s'est écoulé pour que tous les clients aient reçu les détails du nouveau compte, supprimez l'ancien compte des dossiers partagés du réseau et supprimez le.
Pour ajouter un nouveau compte Network Access :
Sources:
Accounts used - Configuration Manager | Microsoft Learn
Contrairement aux versions précédentes de Windows, les Feature Updates de Windows 11 dans MECM Servicing nécessitent de définir toutes les langues nécessaires dans le point de mise à jour logicielle. Sinon, ils seront synchronisés mais pas téléchargés.
Configuration classique pour Windows 10
Prenant un exemple où on souhaite télécharger les Feature updates Windows 10 en Anglais, Français, Italien, Allemand et Espagnol :
--> Uniquement deux langues cochées dans la configuration SUP, mais les Feature Updates Windows 10 peuvent être synchronisés et téléchargés en plusieurs langues.
Configuration pour Windows 11
Le Windows Servicing dans MECM ne télécharge les maj d'upgrade Windows 11 que si les langues sont configurées dans SUP.
Prenant le même exemple ci-dessus (Anglais, Français, Italien, Allemand et Espagnol) :
Si on ne coche que Français et Anglais, les Feature Updates Windows 11 seront synchronisés en plusieurs langues mais ne peuvent être téléchargés que en langue française et anglaise.