Windows ServerWindows Server 2012 R2

SCCM 2012 R2 : Configuration des méthodes de découverte, limites et groupes de limites

Récemment, nous avons appris à installer System Center Configuration Manager 2012 R2, nous allons maintenant voir, comment configurer les méthodes de découvertes des ressources et les limites.

La configuration de méthodes de découverte vous permettra de provisionner la base de données SCCM de ressources administrables par le produit. A chaque fois qu’une ressource sera découverte (sur le réseau, dans l’Active Directory..) alors le système va automatiquement créer un DDR (un enregistrement de données de découverte) pour chaque ressource. Cet enregistrement, contiendra déjà quelques informations, et cela, avant même que le client SCCM soit installé, comme le nom Netbios, l’adresse IP, le système d’exploitation installé ou encore, le dernier utilisateur connecté. Cette opération, permettra d’afficher la ressource dans l’onglet « Ressources et Conformité ».

Système Center Configuration Manager 2012 R2 offre différents processus de découverte, cet article a pour but de vous les présenter.

SCCM-Methodes-decouverte

Découverte de forêts Active Directory

Comme son nom l’indique, cette méthode permet de découvrir les sites et sous-réseaux Active Directory. Par défaut, le serveur de site découvre la forêt dans lequel il est installé. Vous pouvez retrouver ces infos dans la partie « Administration > Vue d’ensemble > Configuration de la hiérarchie > Forêts Active Directory »

SCCM-Foret-AD

Dans le cas ou vous avez plusieurs forêts que vous souhaitez les ajouter à votre SCCM, vous pouvez alors configurer la découverte de forêts Active Directory. Ainsi, Configuration Manager va retrouver les forêts et automatiquement créer des limites pour chaque site et sous-réseau à partir des forêts qui ont été découverte. Pratique !

SCCM-Decouverte-Foret-AD

Dans le cadre d’une hiérarchie, il est recommandé de n’activer la découverte de forêt que sur un seul site (sur le CAS par exemple) lorsque vous l’utilisez pour créer des limites.

Découverte de groupes Active Directory

Cette méthode permet la découverte des groupes de sécurité locaux, globaux et universels dans les conteneurs spécifiés lors de la configuration de cette méthode. Elle vous permettra également de récupérer les appartenances aux groupes pour faire l’association entre machines ou utilisateurs et groupes. Par défaut, cette méthode n’est pas activée, vous pouvez l’activer en cochant la case « Activer la découverte des groupes Active Directory« . Vous devrez ensuite sélectionner les conteneurs que vous souhaitez découvrir.

SCCM-Decouverte-groupes-AD

Par défaut, cette méthode est exécutée tous les 7 jours de manière complète et toutes les 5 minutes de façon incrémentale, il est bien évidemment possible de modifier le calendrier d’interrogation.

SCCM-Decouverte-groupes-AD-calendrier

L’onglet Options permet d’exclure les machines appartenant aux groupes Active Directory et répondant aux critères suivants :

  • Qui ne sont pas connectées.
  • Dont le mot de passe n’a pas été changé dans un intervalle donné.

L’option Découvrir l’appartenance aux groupes de distribution permet la découverte des groupes de distribution.

SCCM-Decouverte-groupes-AD-options

Les méthodes de découverte Active Directory sont très consommatrice en ressource processeur. A la fois pour le serveur de site, mais aussi pour le contrôleur de domaine cible.  Elles peuvent aussi impacté le réseau, mais de façon beaucoup plus légère. Pour cette raison, il n’est pas conseillé d’effectuer une programmation agressive pour la découverte complète. Microsoft recommande également de cibler les conteneurs de recherche au plus près, et d’éviter la recherche sur la racine de votre Active Directory. Vous pouvez également effectuer la recherche complète la nuit, le week-end par exemple, de façon à impacter le moins possible vos serveurs et votre réseau.

Découverte de systèmes Active Directory

Cette méthode permet la découverte des ordinateurs dans votre Active Directory. Pour créer l’enregistrement DDR, la méthode doit pouvoir être en mesure de résoudre le nom de domaine pleinement qualifié (FQDN) de la machine.

Par défaut cette méthode n’est pas activée. Il est nécessaire de l’activé en cochant la case prévue à cet effet (Activer la découverte de systèmes Active Directory). Vous devrez ensuite sélectionner les conteneurs que vous souhaitez découvrir avec un chemin LDAP Vous pouvez spécifier des conteneurs dans des domaines différents. Dans ce cas de figure, vous pouvez spécifier un compte utilisateurs disposant des droits de lecteurs pour aller lire les informations.

SCCM-Decouverte-systemes-AD

Les options Rechercher les conteneurs enfants Active Directory de manière récursive et Découvrir des objects dans les groupes Active Directory permettent de faire la découverte d’objets dans les sous-conteneurs et dans les groupes Active Directory.

SCCM-Decouverte-systemes-AD-conteneur

Par défaut, cette méthode est exécutée tous les 7 jours de manière complète et toutes les 5 minutes de façon incrémentale, il est bien évidemment possible de modifier le calendrier d’interrogation.

SCCM-Decouverte-systemes-AD-calendrier

Les méthodes de découverte Active Directory sont très consommatrice en ressource processeur. A la fois pour le serveur de site, mais aussi pour le contrôleur de domaine cible.  Elles peuvent aussi impacté le réseau, mais de façon beaucoup plus légère. Pour cette raison, il n’est pas conseillé d’effectuer une programmation agressive pour la découverte complète. Microsoft recommande également de cibler les conteneurs de recherche au plus près, et d’éviter la recherche sur la racine de votre Active Directory. Vous pouvez également effectuer la recherche complète la nuit, le week-end par exemple, de façon à impacter le moins possible vos serveurs et votre réseau.

Découverte du réseau

La méthode Découverte du réseau permet de découvrir les ressources de votre réseau disposant d’une adresse IP en utilisant les informations provenant du réseau. Cette méthode ne se limite pas aux machines mais peut également remonter des imprimantes ou des équipements réseau. Elle permet alors de découvrir la topologie de votre réseau. Cependant attention, l’ensemble des requêtes partent du serveur de site, ce qui peut alors générer une surcharge.

La méthode de découverte réseau propose trois modes différents :

Topologie

Lorsque vous utilisez cette option de découverte, les sous-réseaux et les routeurs sont les seules ressources découvertes. Nous pourrons obtenir des informations de la part des routeurs en utilisant le protocole SNMP.

Topologie et client

Une fois cette option activer, cela vous permettra de découvrir les sous-réseaux, les routeurs, les imprimantes et les clients (ordinateurs). Nous pourrons obtenir des informations de la part de ces ressources en utilisant les protocoles SNMP, DHCP ou encore le service Explorateur d’ordinateurs.

Topologie, client et système d’exploitations client

Cette option de découverte vous permettra d’acquérir la topologie, les sous-réseaux, les routeurs, les imprimantes, les clients et leurs systèmes d’exploitation. C’est la plus complète.

L’option Réseau lent permet de faire des ajustements en fonction du réseau. Cette option est importante si votre découverte réseau parcourt des réseaux lents (WAN…).

SCCM-Decouverte-reseau

Comme pour les autres méthodes, vous aurez la possibilité de planifier la découverte.

Découverte d’utisateurs Active Directory

Cette méthode permet la découverte des utilisateurs de votre Active Directory. Cette méthode fait partie des méthodes indispensables, en effet, si vous souhaitez déployer des applications en ciblant des utilisateurs, alors vous aurez besoin de votre base utilisateurs AD. Par défaut cette méthode n’est pas activée. Il est nécessaire de l’activé en cochant la case prévue à cet effet (Activer la découverte des utilisateurs Active Directory).

SCCM-Decouverte-utilisateurs-AD

Vous devrez ensuite sélectionner les conteneurs que vous souhaitez découvrir. Par défaut, cette méthode est exécutée tous les 7 jours de manière complète et toutes les 5 minutes de façon incrémentale, il est bien évidemment possible de modifier le calendrier d’interrogation.

SCCM-Decouverte-utilisateurs-AD-Calendrier

Voici les attributs découverts : objectGUID, name, userAccountControl, SAMAccountName, objectSID, primaryGroupID, dNSHostName, mail, distinguishedName et userPrincipalName. Il possible d’ajouter d’autres attributs depuis l’onglet « Attributs Active Directory« .

SCCM-Decouverte-utilisateurs-AD-Attributs

Découverte par pulsation d’inventaire (HeartBeat)

Cette méthode est assez différente des précédentes méthodes, pour commencer, car elle nécessite que le client Configuration Manager soit installé sur la machine. Cette méthode est une solution qui permet de vérifier si le client est toujours « en vie ». Elle vérifie que la machine possède toujours le client et que celui ci a été récemment actualisé. Chaque client envoie alors un DDR (Data Discovery Record) à son point de gestion afin de signaler son activité. L’intervalle peut être défini lors dans les propriétés de la méthode (7 jours par défaut).

SCCM-Decouverte-HeartBeat

Si le serveur SCCM ne reçoit pas d’enregistrement DDR d’un client spécifique dans une durée du temps imparti, alors le statut du client passera en « inactif » pour signaler qu’il n’a plus donné de signe de vie. Par défaut, au bout de 90 jours après le passage du client à l’état inactif, et s’il n’a plus renvoyé de DDR, une tâche de maintenance est exécutée sur le serveur pour supprimer automatiquement l’instance de cette machine dans la base de données.

Cette méthode est activée par défaut.

Quelle méthode de découverte choisir ?

Tout dépend de la topologie physique, mais aussi réseau de votre infrastructure. Dans l’entreprise où je travaille, nous avons six pays à gérer, nous avons préféré utiliser les méthodes de découverte Active Directory. En couplant plusieurs de ces méthodes (Découverte de forêt, de systèmes ou encore d’utilisateurs), nous avons réussi a avoir quelque chose de très correct. Cependant, pour cela il faudra que votre Active Directory soit irréprochable, cela ne peut pas fonctionner si c’est le boxon dans votre AD.

A vous de réfléchir à la méthode la plus adaptée a votre infrastructure. Sachez également que la méthode de découverte par le réseau, est beaucoup plus consommatrice en requête SQL.

Les limites et groupes de limites (Boundaries)

Les Limites (Boundary)

Une limite de site ou plus communément appelée « Boundary » (Dans la langue de Shakespeare) est un emplacement symbolisant une localisation physique pouvant contenir une ou plusieurs ressources dans le réseau de l’entreprise. Les limites créées sont disponibles depuis n’importe quel site de la hiérarchie. Si vous avez activé la découverte de Forêt Active Directory, alors, vous trouverez une limite créée avec le nom de votre site AD par défaut. Dans mon cas ZeroBug-HQ-France.

SCCM-2012-R2-Default-First-Site-Name

Vous pouvez selon la configuration de votre infrastructure, ajouter des limites. Il y a quatre critères qui permettent la configuration de limite :

SCCM-creer-une-limite

Site Active Directory

L’utilisation des sites AD vous permet de vous calquer a ce que vous avez mis en place dans votre organisation. En général, les sites Active Directory correspondent plus ou moins à la topographie physique de votre infrastructure.

Préfixe IPv6

L’utilisation des préfixes IPv6 permet de parer aux problèmes de pénuries d’adresses IPv4 et d’attribuer un grand nombre d’adresses.

Plage d’adresses IP

L’utilisation de plage d’adresses IP permet de personnaliser et de n’ajouter que certaines adresses IP d’une plage. Ce mode de fonctionnement permet une configuration plus fine que les autres options, abordées précédemment.

Sous-Réseau IP

Vous pouvez utiliser les sous réseaux IP pour définir votre emplacement physique. Cette méthode peut être intéressante mais Systeme Center Configuraton Manager gère assez mal la notion de sous réseaux et se base sur l’identifiant réseau.

Les groupes de limites (Boundary Groups)

Les groupes de limites vont pouvoir servir a deux fonctions :

Ils permettent de définir l’attribution d’un client en fonction de sa localisation à un Site SCCM. Cette configuration est indispensable lorsque vous utilisez l’attribution automatique de site pour que le client puisse basculer correctement sur le site auquel vous souhaitez qu’il appartienne.

Ils servent également à la location du contenu nécessaire au déploiement. Vous devez ainsi assigner des limites à un groupe de limites proposant une liste de systèmes de site. Par exemple un ou des points de distributions ou encore un ou des points de migration de l’état utilisateur.

Attention, Microsoft préconise de séparer les groupes de limites dédiés à l’attribution du site SCCM et de ceux qui servent à la localisation du contenu. Vous pouvez par exemple ajouter au début du nom de groupe les mentions « Assignement » pour l’assignation au site et « Content » pour la localisation du contenu.

SCCM-2012-R2-groupe-de-limites-

Pour créer un groupe de limite, dans « Administration > Configuration de la hiérarchie > Groupe de limites » cliquez sur « Créer un groupe de limite« .

Vous allez pouvoir créer un groupe avec plusieurs limites, dans mon cas, je n’ai qu’une limite, la limite de site. Il est néanmois, indispensable de créer au moins un groupe de limite pour que votre client soit au moins assigné à un site.

Le groupe de limite dédié à l’assignation du client à un site

SCCM-2012-R2-groupe-de-limites-referencesAssignement

SCCM-2012-R2-groupe-de-limites-general-Assignement

Le groupe de limite dédié à la localisation du contenu.

SCCM-2012-R2-groupe-de-limites-general-Content

SCCM-2012-R2-groupe-de-limites-References-Content

Nous avons configurer les limites et les groupes de limites, dans un prochain guide, nous verrons la configuration du client SCCM.

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page