Instalação de Clientes via Push - Revista Infra Magazine 3

O artigo descreve como é o processo de instalação de um software cliente via método push. No artigo veremos também como habilitar o método, configurar o cliente, fazer troubleshooting e muito mais.

Do que se trata o artigo:

O artigo descreve como é o processo de instalação de um software cliente via método push. No artigo veremos também como habilitar o método, configurar o cliente, fazer troubleshooting e muito mais.

Para que serve:

O método push, se configurado de forma correta, é uma poderosa funcionalidade que facilita a vida do administrador SCCM na tarefa de instalação e atualização automática de clientes.

Em que situação o tema é útil:

Push é o método de instalação de clientes mais conhecido e, portanto, utilizado com muita frequência. Saber como ele funciona e como resolver os problemas mais comuns de instalação de clientes é uma das tarefas do dia-a-dia de um administrador do SCCM.

O System Center Configuration Manager 2007 (antes conhecido como Microsoft System Management Server ou SMS e aqui chamado de SCCM) é uma solução completa de inventário, implementação e atualização de servidores, clientes e dispositivos – em ambientes físicos, virtuais, distribuídos e móveis. Ele tende a levar a TI a um patamar mais produtivo e efetivo, reduzindo tarefas manuais e habilitando o foco para projetos de maior valor, maximizando investimentos em hardware e softwares, além de aumentar a produtividade do usuário final com o software correto no momento correto.

Para isso, o SCCM trabalha com o conceito de cliente. Um cliente do SCCM é qualquer computador que o SCCM possa gerenciar. Pode ser um computador desktop ou laptop do usuário, uma Workstation, um dispositivo móvel ou um servidor, incluindo os servidores SCCM.

Nesse contexto, este artigo irá apresentar como é o processo de instalação de um software cliente via método push de forma que possamos gerenciar o computador onde será feita a instalação. Além disso, veremos também como habilitar o método, configurar o cliente, fazer troubleshooting e muito mais.

O método Push

Para que o SCCM possa gerenciar um cliente, um software deve ser instalado. Para instalar o software, podemos instalar:

· Via GPO (Group Policy objects);

· Manualmente;

· Via Windows Update utilizando o WSUS (Windows Server Update Services);

· Via Método Push.

A instalação via push é utilizada pelo SCCM para instalar o software cliente automaticamente quando um novo recurso for descoberto, isto é, adicionado ao banco de dados do SCCM. Diferente dos outros, esse é o único método em que o servidor SCCM inicia a instalação. Nas próximas seções veremos o processo, como fazer a configuração necessária, tanto do lado do servidor quanto do lado do cliente, de forma centralizada e, também, como resolver alguns dos problemas mais comuns.

Desmistificando

Existe uma certa confusão em relação ao funcionamento da instalação de clientes pelo método push. O ponto principal está em entender a diferença entre habilitar a instalação do método push ou utilizar o Wizard.

Ao habilitar a opção do método push, o servidor SCCM tentará instalar o cliente para todos os computadores que ainda não possuem o cliente instalado e que pertencem ao site, isto é, o endereço IP do computador pertence aos cadastrados na boundary do SCCM. Já o Wizard é um processo “manual” onde o administrador do SCCM pode também escolher por instalar o cliente para computadores não pertencentes ao site.

Quando o processo de descobrir novos clientes ocorre, um arquivo com extensão DDR (Discovery Data Record) é criado para cada novo computador descoberto. Esse arquivo é sempre criado, independente das configurações do método push.

Em seguida, caso a instalação automática esteja selecionada, ou quando o Wizard de instalação for concluído, um arquivo com extensão CCR (Client Configuration Request) é gerado pelo servidor para cada computador.

Isso somente é verdade se: 1) os recursos identificados fazem parte da boundary do site e, 2) o recurso descoberto está em conformidade com os selecionados.

Após a criação do arquivo CCR, ele é processado pelo componente CCM (Client Configuration Manager) e a instalação começa. Caso a instalação do cliente falhe, novas tentativas ocorrerão uma vez por hora, durante 168 horas (1 semana) antes da desistência.

Boundary/Boundaries: O SCCM usa boundaries para determinar quando um cliente está dentro ou fora do site. Uma boundary pode ser definida através de sub-redes IP, ranges IP, prefixos IPv6 e sites do AD.

Habilitando a instalação via Push

Quando se instala um cliente usando o método push, o SCCM utiliza uma conta de usuário do windows ou a própria conta de computador do SCCM caso uma conta de usuário não seja especificada. Esta informação também é válida quando a conta especificada não possui direitos administrativos no computador cliente.

Para configurar essa conta no SCCM, siga os passos:

1. Na console do SCCM expanda Site Database, Site Management, <Código do Site>, Site Settings, e então clique em Client Installation Methods;

2. Dê um duplo-clique em Client Push Installation para abrir a janela de propriedades. Nesta janela pode-se habilitar a instalação para todos os novos computadores descobertos (ver Figura 1);

Figura 1. Client Push Installation Properties – Aba General.

3. Selecione a aba Accounts e clique no botão New (Ícone amarelo que parece um sol);

4. Em User name, digite o nome de usuário que será utilizado para a instalação de clientes, em Password e Confirm password, digite o password e então clique OK (ver Figura 2).

Figura 2. Widnows User Account.

5. Quando a janela de Windows User Account for fechada, verifique se o usuário digitado aparece na lista de usuários configurados para fazer a instalação via push;

6. Na aba Client e em Installation properties pode-se adicionar parâmetros à instalação. O parâmetro mais comum é a utilização do FSP (Fallback Status Point) (ver Figura 3);

FSP (Fallback Status Point): Quando utilizado o parâmetro FSP, mensagens de status dos clientes que não foram instalados corretamente, não puderam ser designadas a um site específico ou não puderam se comunicar de forma segura com o management point serão enviadas ao servidor SCCM.

Figura 3. Client Push Installation Properties – Aba Client.

7. Clique OK duas vezes.

Agora que já habilitamos o método push, temos que configurar as opções de segurança para que a instalação seja feita com sucesso. Na próxima seção veremos como configurar essas informações via GPO (Group Policy Object). A GPO é capaz de mudar configurações, restringir ações ou até mesmo distribuir aplicações em seu ambiente de rede. As vantagens são muitas, e podem ser aplicadas em sites, domínios e organizational units (OUs).

GPO (Group Policy Object): GPO é um conjunto de configurações relacionadas à segurança e configurações de restrição para ambientes corporativos.

Configurando as opções de segurança via GPO

Quando ocorre a instalação via método push, alguns computadores podem não receber o software devido às configurações de segurança. Isso pode ser verificado no arquivo de log ccm.log onde pode-se encontrar as seguintes situações:

· O usuário que está sendo utilizado para instalar o cliente ou o servidor SCCM não pertence ao grupo de administradores locais da estação;

· A estação possui o firewall do Windows habilitado e sem as devidas configurações, isto é, permitindo o compartilhamento de arquivos e acesso remoto ao WMI (Windows Management Instrumentation).

Para corrigirmos os problemas acima citados, de forma centralizada, devemos:

· Configurar a conta usada para instalar o cliente como Administrador Local;

· Desabilitar ou criar exceções no firewall.

Configurando a conta usada para instalar o cliente como administrador local

A conta de usuário utilizada para instalar o cliente deve pertencer ao grupo Administradores Local da estação. Por padrão, o grupo “Domain Admins” e “Administrador” fazem parte desse grupo, porém, adicionar o usuário ao grupo “Domain Admins” não é uma prática de segurança recomendada, pois o usuário terá mais direitos do que necessita. Uma alternativa é adicionar o usuário manualmente ao grupo de administradores locais, estação por estação, algo trabalhoso quando muitas máquinas estão envolvidas. Nesse caso, podemos utilizar GPO para facilitar a tarefa.

Para configurar uma GPO, siga os passos:

  1. Clique em Start, Run e digite gpmc.msc (ver Figura 4);

Figura 4. Group Policy Management.

  1. Na tela Group Policy Management expanda Forest/Domains/SeuDomínio. Clique com o botão direito do mouse em Default Domain Policy e escolha Edit... (ver Figura 5);

Figura 5. Group Policy Object Editor.

3. Feito isso, expanda Computer Settings, Windows Settings, Security Settings e clique em Restricted Groups (ver Figura 6);

Figura 6. Group Policy Object Editor – Restricted Groups.

4. Selecione Restricted Groups com o botão direito e clique em Add Group (ver Figura 7);

Figura 7. Add Group.

5. Em Add Group digite Administrators;

6. Em Administrators Properties clique em Add;

7. Em Add Members digite Administrator e clique OK. Repita o mesmo processo para Domínio\Domain Admins e para Domínio\Usuário Push (ver resultado na Figura 8);

Figura 8. Janela Administrators Properties.

8. Aguarde os clientes atualizarem as políticas ou atualize manualmente usando o comando gpupdate /force (ver Figura 9);

Figura 9. Utilizando o comando gpupdate.

9. Para confirmar se os usuários foram adicionados à lista de Administradores locais, clique em Start, Settings, Control Panel, Administrative Tools e Computer Management (ver Figura 10);

Figura 10. Computer Management.

10. Em Computer Management, expanda Local Users and Group e clique em Groups. Na lista de grupos, dê um duplo clique em Administrators para abrir suas propriedades (ver Figura 11).

Figura 11. Administrators Properties.

Agora que já adicionamos o usuário que será reponsável pela instalação do software cliente como administrador local das estações, é hora de configurarmos o firewall da estação, conforme veremos na próxima seção.

Configurando o firewall

Caso as políticas da empresa não permitam desabilitar o firewall, basta criarmos duas exceções, uma sendo Compartilhamento de Arquivos e Impressoras e a outra para o acesso remoto ao WMI (Windows Management Instrumentation).

Estas tarefas são simples, porém trabalhosas quando muitas máquinas estão envolvidas. Nesse caso (mais uma vez) podemos utilizar uma GPO para facilitar a tarefa.

Para configurar esta GPO, siga os passos:

  1. Clique em Start, Run e digite gpmc.msc (ver Figura 4);
  2. Na tela Group Policy Management expanda Forest/Domains/SeuDomínio. Clique com o botão direito do mouse em Default Domain Policy e escolha Edit... (ver Figura 12);

Figura 12. Group Policy Object Editor.

3. Expanda Computer Settings, Administrative Templates, Network, Network Connections, Windows Firewall e Domain Profile (ver Figura 13);

Figura 13. Group Policy Object Editor – Windows Firewall.

4. Edite Windows Firewall: Do not allow exceptions e selecione Disabled. Isso faz com que exceções possam ser adicionadas ao firewall (ver Figura 14);

5. Edite Windows Firewall: Allow remote administration exception, selecione Enabled e em Allow unsolicited incomming messages from coloque o endereço IP do servidor SCCM e do Management Point. Isso faz com que apenas os servidores SCCM possam ter acesso ao WMI, mantendo assim um nível de segurança alto (ver Figura 14);

Figura 14. Windows Firewall: Remove Administration.

6. Edite Windows Firewall: Allow file and printer sharing exceptions, selecione Enabled e em Allow unsolicited incomming messages from coloque o endereço IP do servidor SCCM e do Management Point. Isso faz com que apenas os servidores SCCM possam ter acesso às pastas compartilhadas, mantendo assim um nível de segurança alto (ver Figura 15).

Figura 15. Windows Firewall: File and Printer.

7. Aguarde os clientes atualizarem as políticas ou atualize manualmente usando o comando gpupdate /force (ver Figura 16);

Figura 16. Utilizando o comando gpupdate.

8. Para confirmar se as regras do firewall foram habilitadas, clique em Start, Settings, Control Panel e em Security Center (ver Figura 17);

Figura 17. Windows Security Center.

9. E depois clique em Windows Firewall e selecione a aba Exceptions (ver Figura 18).

Figura 18. Windows Firewall.

Agora que já vimos como configurar as opções de segurança necessárias, devemos estar prontos para dar suporte quando algum cliente não for instalado.

Troubleshooting de instalação de clientes

Caso exista algum problema na instalação do cliente, as seguintes informações devem ser analisadas:

1. Verifique se o cliente está no mesmo Site Boundary definido para o site;

2. Verifique se o cliente está utilizando um servidor Wins nas propriedades de rede. Em caso de estar utilizando WINS para prover informações sobre o Server Locator Point:

a. Verifique se a conta utilizada pelo método push não está bloqueada no Active Directory Users and Computers.

b. Verifique se a resolução de nomes (Wins e DNS), tanto do servidor SCCM quanto do cliente, estão funcionando corretamente.

3. Verifique se o cliente possui ao menos 5MB de espaço disponível;

4. Verifique os logs criados em <DIRETÓRIO DE INSTALAÇÃO>\ccmsetup\*.log;

5. Expanda Site Database, System Status, Site Status, <Código do Site> e então clique em Component Status. Clique com o botão direito em SMS_CLIENT_CONFIG_MANAGER, selecione Show Messages e clique em All (ver Figura 19);

Figura 19. ConfigMgr Status Message.

6. Verifique a existência da Message ID 3014. Ela significa erro na instalação do cliente SCCM (ver Figura 20);

Figura 20. Message Details.

7. Caso exista esse ID, as possíveis causas de erro são:

a. O computador não está acessível;

b. O computador está bloqueando a instalação do cliente SCCM. Desabilite o Firewall ou permita acesso do SCCM Server à porta local RPC TCP 135, ao Compartilhamento de Arquivos e WMI Remoto (use o comando netsh firewall set service remoteadmin enable para habilitar o WMI Remoto ou uma GPO, conforme visto anteriormente);

c. A conta de usuário que está sendo utilizada para instalar o cliente SCCM não está no grupo Local Administrators.

8. Se utilizar um Windows 2000 com BITS (Background Intelligent Transfer Service) inferior ao 2.0, o processo irá instalar automaticamente a versão 2.0 e será necessário reiniciar o computador para finalizar a instalação;

9. Verifique se a conta de máquina do computador em que está sendo instalado o cliente possui acesso de leitura à pasta \\NOME DO SERVIDOR\SMS_< Código do Site >\Client. Caso não seja possível dar direitos de leitura a essa conta, instale o cliente manualmente /noservice ao final da linha de comando;

10. Se for necessário, verifique mais informações no arquivo de log gerado em: <Diretório DE INSTALAÇÃO DO SCCM>\Logs\ccm.log.

Quando ocorre algum problema com a instalação do cliente, o SCCM tenta instalá-lo novamente. Veremos os detalhes deste procedimento na próxima seção.

BITS (Background Intelligent Transfer Service): Serviço do sistema operacional que facilita a transferência de arquivos entre computadores usando a largura de banda não utilizada.

CCRRetry

Quando a instalação do cliente iniciada pelo método push falha, o SCCM tenta novamente instalar o cliente, uma vez por hora, durante, no máximo, 168 horas. Depois disso, desiste. Cada vez que o SCCM tenta instalar o cliente e falha, o seguinte processo ocorre:

1. A linha Stored request "<Nome do computador>_<DOMINIO>", machine name "<Nome do computador>", in queue "Retry" será adicionada ao arquivo ccm.log (ver Figura 21);

Figura 21. SMS Trace.

2. Um arquivo <Nome do Computador>_<Nome do Dominio>.ccr será criado em <DIRETORIO DE INSTALACAO>\inboxes\ccrretry.box (ver Figura 22);

Figura 22. Windows Explorer.

3. Ao abrirmos o arquivo no notepad, podemos ver qual a real causa do erro procurando por Last Error Code (ver Figura 23);

Figura 23. Exemplo de arquivo CCR.

4. Usando o comando net helpmsg <Código do Erro> no prompt de comando, podemos ver uma descrição do erro (ver Figura 24).

Figura 24. Net helpmsg.

É interessante o processo de tentativa de instalação em caso de falha, mas como saber se o processo foi concluído com sucesso ou não e qual as possíveis causas de cada problema?

Exemplos de linha log e possíveis causas

Visualizar linhas de log nem sempre é uma terefa fácil, ainda mais se não temos como compará-las com outras. Abaixo, apresentamos algumas das linhas de código que podem ser encontradas quando trabalhando com a instalação de clientes.

No exemplo 01, o usuário utilizado pelo método push não é o administrador local da estação onde será instalado o cliente do SCCM, como podemos ver na linha 14 da Listagem 1.

Listagem 1. Log do exemplo 01.

5. Received request: "LVGBTRAK" for machine name: "XP02" on queue: "Incoming". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:40 2456 (0x0998) 6. Stored request "LVGBTRAK", machine name "XP02", in queue "Processing". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:40 2456 (0x0998) 7. ----- Started a new CCR processing thread. Thread ID is 0x690. There are now 1 processing threads SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 2456 (0x0998) 8. Submitted request successfully SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 2456 (0x0998) 9. Getting a new request from queue "Incoming" after 100 millisecond delay. SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 2456 (0x0998) 10. Waiting for change in directory "C:\Program Files\Microsoft Configuration Manager\inboxes\ccr.box" for queue "Incoming", (30 minute backup timeout). SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 2456 (0x0998) 11. ======>Begin Processing request: "LVGBTRAK", machine name: "XP02" SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 12. ---> Trying each entry in the SMS Client Remote Installation account list SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 13. ---> Attempting to connect to administrative share '\\XP02.dotnetwork.intranet\admin$' using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 14. ---> WNetAddConnection2 failed (LOGON32_LOGON_NEW_CREDENTIALS) using account dotnetwork\sccmpush (00000005) SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 15. ---> Lost local access after ImpersonateLoggedOnUser (LOGON32_LOGON_INTERACTIVE) using account dotnetwork\sccmpush SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 16. ---> Attempting to connect to administrative share '\\XP02.dotnetwork.intranet\admin$' using machine account. SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 17. ---> Failed to connect to \\XP02.dotnetwork.intranet\admin$ using machine account (5) SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 18. ---> ERROR: Failed to connect to the \\XP02.dotnetwork.intranet\admin$ share using account 'Machine Account' SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 19. ---> Trying each entry in the SMS Client Remote Installation account list SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 20. ---> Attempting to connect to administrative share '\\XP02\admin$' using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 21. ---> WNetAddConnection2 failed (LOGON32_LOGON_NEW_CREDENTIALS) using account dotnetwork\sccmpush (00000005) SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 22. ---> Lost local access after ImpersonateLoggedOnUser (LOGON32_LOGON_INTERACTIVE) using account dotnetwork\sccmpush SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 23. ---> Attempting to connect to administrative share '\\XP02\admin$' using machine account. SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 24. ---> Failed to connect to \\XP02\admin$ using machine account (5) SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 25. ---> ERROR: Failed to connect to the \\XP02\admin$ share using account 'Machine Account' SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 26. ---> ERROR: Unable to access target machine for request: "LVGBTRAK", machine name: "XP02", access denied or invalid network path. SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:42 1680 (0x0690) 27. STATMSG: ID=3014 SEV=W LEV=M SOURCE="SMS Server" COMP="SMS_CLIENT_CONFIG_MANAGER" SYS=SCCM01 SITE=001 PID=1948 TID=1680 GMTDATE=Thu Feb 04 16:08:42.997 2010 ISTR0="XP02" ISTR1="" ISTR2="" ISTR3="" ISTR4="" ISTR5="" ISTR6="" ISTR7="" ISTR8="" ISTR9="" NUMATTRS=0 SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:43 1680 (0x0690) 28. Retry request id for "LVGBTRAK" set to "XP02_dotnetwork_intranet" SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:43 1680 (0x0690) 29. Stored request "XP02_dotnetwork_intranet", machine name "XP02", in queue "Retry". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:43 1680 (0x0690) 30. <======End request: "XP02_dotnetwork_intranet", machine name: "XP02". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:08:43 1680 (0x0690)

Para remediar esta situação, basta adicionar o usuário ao grupo de administradores locais. Para mais informações, veja a seção “Configurando a conta usada para instalar o cliente como administrador local”.

No exemplo 02, o firewall do windows está habilitado mas sem nenhuma exceção, como podemos ver na linha 14 da Listagem 2.

Listagem 2. Log do exemplo 02.

1. Received request: "HDMCICYP" for machine name: "XP02" on queue: "Incoming". SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:56 2692 (0x0A84) 2. Stored request "HDMCICYP", machine name "XP02", in queue "Processing". SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:56 2692 (0x0A84) 3. ----- Started a new CCR processing thread. Thread ID is 0xadc. There are now 1 processing threads SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:58 2692 (0x0A84) 4. Submitted request successfully SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:58 2692 (0x0A84) 5. ======>Begin Processing request: "HDMCICYP", machine name: "XP02" SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:58 2780 (0x0ADC) 6. Getting a new request from queue "Incoming" after 100 millisecond delay. SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:58 2692 (0x0A84) 7. Waiting for change in directory "C:\Program Files\Microsoft Configuration Manager\inboxes\ccr.box" for queue "Incoming", (30 minute backup timeout). SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:58 2692 (0x0A84) 8. ---> Trying each entry in the SMS Client Remote Installation account list SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:58 2780 (0x0ADC) 9. ---> Attempting to connect to administrative share '\\XP02.dotnetwork.intranet\admin$' using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:45:58 2780 (0x0ADC) 10. ---> WNetAddConnection2 failed (LOGON32_LOGON_NEW_CREDENTIALS) using account dotnetwork\sccmpush (000004b3) SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:28 2780 (0x0ADC) 11. ---> WNetAddConnection2 failed (LOGON32_LOGON_INTERACTIVE) using account dotnetwork\sccmpush (000004b3) SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:29 2780 (0x0ADC) 12. ---> Attempting to connect to administrative share '\\XP02.dotnetwork.intranet\admin$' using machine account. SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:30 2780 (0x0ADC) 13. ---> Failed to get token for current process (5) SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:30 2780 (0x0ADC) 14. ---> ERROR: Failed to connect to the \\XP02.dotnetwork.intranet\admin$ share using account 'Machine Account' SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:30 2780 (0x0ADC) 15. ---> Trying each entry in the SMS Client Remote Installation account list SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:30 2780 (0x0ADC) 16. ---> Attempting to connect to administrative share '\\XP02\admin$' using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:30 2780 (0x0ADC) 17. ---> WNetAddConnection2 failed (LOGON32_LOGON_NEW_CREDENTIALS) using account dotnetwork\sccmpush (000004b3) SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 18. ---> WNetAddConnection2 failed (LOGON32_LOGON_INTERACTIVE) using account dotnetwork\sccmpush (000004b3) SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 19. ---> Attempting to connect to administrative share '\\XP02\admin$' using machine account. SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 20. ---> Failed to get token for current process (5) SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 21. ---> ERROR: Failed to connect to the \\XP02\admin$ share using account 'Machine Account' SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 22. ---> ERROR: Unable to access target machine for request: "HDMCICYP", machine name: "XP02", access denied or invalid network path. SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 23. STATMSG: ID=3014 SEV=W LEV=M SOURCE="SMS Server" COMP="SMS_CLIENT_CONFIG_MANAGER" SYS=SCCM01 SITE=001 PID=1728 TID=2780 GMTDATE=Thu Apr 09 13:46:55.654 2009 ISTR0="XP02" ISTR1="" ISTR2="" ISTR3="" ISTR4="" ISTR5="" ISTR6="" ISTR7="" ISTR8="" ISTR9="" NUMATTRS=0 SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 24. Retry request id for "HDMCICYP" set to "XP02_dotnetwork_intranet" SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 25. Stored request "XP02_dotnetwork_intranet", machine name "XP02", in queue "Retry". SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 26. <======End request: "XP02_dotnetwork_intranet", machine name: "XP02". SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:46:55 2780 (0x0ADC) 27. Thread has been inactive too long. Closing thread SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:56:55 2780 (0x0ADC) 28. --- This thread is terminating due to inactivity SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:56:55 2780 (0x0ADC) 29. ----- Terminated CCR processing thread. There are now 0 processing threads SMS_CLIENT_CONFIG_MANAGER 09/04/2009 14:56:55 2780 (0x0ADC)

Para remediar esta situação, basta configurar o firewall para aceitar conexões do tipo WMI Remoto e Compartilhamento de arquivos e impressoras oriundas do servidor SCCM e Management Point. Para mais informações, veja a seção “Configurando o firewall”.

No exemplo 03, o firewall do Windows está habilitado, mas apenas com o compartilhamento de arquivos e impressoras como exceções. Neste exemplo, o firewall está bloqueando acesso WMI remoto, como podemos ver na linha 15 da Listagem 3.

Listagem 3. Log do exemplo 03.

1. Waiting for change in directory "C:\Program Files\Microsoft Configuration Manager\inboxes\ccr.box" for queue "Incoming", (30 minute backup timeout). SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:56 2696 (0x0A88) 2. Received request: "IYZNCMWI" for machine name: "XP02" on queue: "Incoming". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:56 2696 (0x0A88) 3. Stored request "IYZNCMWI", machine name "XP02", in queue "Processing". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:56 2696 (0x0A88) 4. ----- Started a new CCR processing thread. Thread ID is 0x47c. There are now 1 processing threads SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:58 2696 (0x0A88) 5. Submitted request successfully SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:58 2696 (0x0A88) 6. Getting a new request from queue "Incoming" after 100 millisecond delay. SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:58 2696 (0x0A88) 7. Waiting for change in directory "C:\Program Files\Microsoft Configuration Manager\inboxes\ccr.box" for queue "Incoming", (30 minute backup timeout). SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:58 2696 (0x0A88) 8. ======>Begin Processing request: "IYZNCMWI", machine name: "XP02" SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:58 1148 (0x047C) 9. ---> Trying each entry in the SMS Client Remote Installation account list SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:58 1148 (0x047C) 10. ---> Attempting to connect to administrative share '\\XP02.dotnetwork.intranet\admin$' using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:58 1148 (0x047C) 11. ---> Connected to administrative share on machine XP02.dotnetwork.intranet using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:59 1148 (0x047C) 12. ---> Attempting to make IPC connection to share <\\XP02.dotnetwork.intranet\IPC$> SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:59 1148 (0x047C) 13. ---> Searching for SMSClientInstall.* under '\\XP02.dotnetwork.intranet\admin$\' SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:39:59 1148 (0x047C) 14. CWmi::Connect(): ConnectServer(Namespace) failed. - 0x800706ba SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:40:00 1148 (0x047C) 15. ---> Unable to connect to WMI on remote machine "XP02", error = 0x800706ba. SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:40:00 1148 (0x047C) 16. ---> Deleting SMS Client Install Lock File '\\XP02.dotnetwork.intranet\admin$\SMSClientInstall.001' SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:40:00 1148 (0x047C) 17. Retry request id for "IYZNCMWI" set to "XP02_dotnetwork_intranet" SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:40:00 1148 (0x047C) 18. Stored request "XP02_dotnetwork_intranet", machine name "XP02", in queue "Retry". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:40:00 1148 (0x047C) 19. <======End request: "XP02_dotnetwork_intranet", machine name: "XP02". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:40:00 1148 (0x047C)

Para remediar esta situação, basta configurar o firewall para aceitar conexões do tipo WMI Remoto oriundas do servidor SCCM e Management Point. Para mais informações, veja a seção “Configurando o firewalll”.

No exemplo 04, o usuário utilizado pelo método push é o administrador local da estação e o firewall do Windows está habilitado e configurado da forma correta, como podemos ver na linha 19 da Listagem 4.

Listagem 4. Log do exemplo 04.

1. Waiting for change in directory "C:\Program Files\Microsoft Configuration Manager\inboxes\ccr.box" for queue "Incoming", (30 minute backup timeout). SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 2696 (0x0A88) 2. Received request: "WOREIJXI" for machine name: "XP02" on queue: "Incoming". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 2696 (0x0A88) 3. Stored request "WOREIJXI", machine name "XP02", in queue "Processing". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 2696 (0x0A88) 4. ======>Begin Processing request: "WOREIJXI", machine name: "XP02" SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 5. ---> Trying the 'best-shot' account which worked for previous CCRs (index = 0x0) SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 6. ---> Attempting to connect to administrative share '\\XP02.dotnetwork.intranet\admin$' using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 7. ---> The 'best-shot' account has now succeeded 1 times and failed 0 times. SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 8. ---> Connected to administrative share on machine XP02.dotnetwork.intranet using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 9. ---> Attempting to make IPC connection to share <\\XP02.dotnetwork.intranet\IPC$> SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 10. ---> Searching for SMSClientInstall.* under '\\XP02.dotnetwork.intranet\admin$\' SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 11. ---> System OS version string "5.1.2600" converted to 5.10 SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 12. ---> Service Pack version from machine "XP02" is 2 SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:43:59 1148 (0x047C) 13. CWmi::Connect(): ConnectServer(Namespace) failed. - 0x8004100e SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:00 1148 (0x047C) 14. ---> Unable to connect to WMI (r) on remote machine "XP02", error = 0x8004100e. SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:00 1148 (0x047C) 15. ---> Creating \ VerifyingCopying exsistance of destination directory \\XP02\admin$\system32\ccmsetup. SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:00 1148 (0x047C) 16. ---> Copying client files to \\XP02\admin$\system32\ccmsetup. SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:00 1148 (0x047C) 17. ---> Copying file "C:\Program Files\Microsoft Configuration Manager\bin\I386\MobileClient.tcf" to "\\XP02\admin$\system32\ccmsetup\MobileClient.tcf" SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:00 1148 (0x047C) 18. ---> Created service "ccmsetup" on machine "XP02". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:00 1148 (0x047C) 19. Submitted request successfully SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:01 2696 (0x0A88) 20. Getting a new request from queue "Incoming" after 100 millisecond delay. SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:01 2696 (0x0A88) 21. Waiting for change in directory "C:\Program Files\Microsoft Configuration Manager\inboxes\ccr.box" for queue "Incoming", (30 minute backup timeout). SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:01 2696 (0x0A88) 22. ---> Started service "ccmsetup" on machine "XP02". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:01 1148 (0x047C) 23. ---> Deleting SMS Client Install Lock File '\\XP02.dotnetwork.intranet\admin$\SMSClientInstall.001' SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:01 1148 (0x047C) 24. ---> Completed request "WOREIJXI", machine name "XP02". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:01 1148 (0x047C) 25. Deleted request "WOREIJXI", machine name "XP02" SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:01 1148 (0x047C) 26. <======End request: "WOREIJXI", machine name: "XP02". SMS_CLIENT_CONFIG_MANAGER 17/04/2009 14:44:01 1148 (0x047C)

Este é o caso onde tudo ocorre de forma correta, a única exceção que vemos no log acontece devido à tentativa de conexão ao WMI Remoto, com o erro sendo 0x8004100e (linha 13). Este é um erro normal, pois o SCCM tenta conectar a uma parte do WMI existente apenas quando um cliente do SCCM já está instalado. Por conta disso, não existe nada para se preocupar.

Por fim, no exemplo 05, o usuário utilizado pelo método push é o administrador local da estação, o firewall do Windows está habilitado e configurado da forma correta e já existe um cliente do SCCM instalado, sendo necessária apenas a atualização para uma nova versão, como podemos ver na linha 12 da Listagem 5.

Listagem 5. Log do exemplo 05.

1. Received request: "LPCTBIOM" for machine name: "XP02" on queue: "Incoming". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:01 2456 (0x0998) 2. Stored request "LPCTBIOM", machine name "XP02", in queue "Processing". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:01 2456 (0x0998) 3. ======>Begin Processing request: "LPCTBIOM", machine name: "XP02" SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:01 1680 (0x0690) 4. ---> Trying the 'best-shot' account which worked for previous CCRs (index = 0x0) SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:01 1680 (0x0690) 5. ---> Attempting to connect to administrative share '\\XP02.dotnetwork.intranet\admin$' using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:01 1680 (0x0690) 6. ---> The 'best-shot' account has now succeeded 1 times and failed 0 times. SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 7. ---> Connected to administrative share on machine XP02.dotnetwork.intranet using account 'dotnetwork\sccmpush' SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 8. ---> Attempting to make IPC connection to share <\\XP02.dotnetwork.intranet\IPC$> SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 9. ---> Searching for SMSClientInstall.* under '\\XP02.dotnetwork.intranet\admin$\' SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 10. ---> System OS version string "5.1.2600" converted to 5.10 SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 11. ---> Service Pack version from machine "XP02" is 2 SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 12. ---> Mobile client on the target machine has the same version, and 'forced' flag is turned on. SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 13. ---> Creating \ VerifyingCopying exsistance of destination directory \\XP02\admin$\system32\ccmsetup. SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 14. ---> Copying client files to \\XP02\admin$\system32\ccmsetup. SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 15. ---> Copying file "C:\Program Files\Microsoft Configuration Manager\bin\I386\MobileClient.tcf" to "\\XP02\admin$\system32\ccmsetup\MobileClient.tcf" SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:02 1680 (0x0690) 16. ---> Created service "ccmsetup" on machine "XP02". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:03 1680 (0x0690) 17. ---> Started service "ccmsetup" on machine "XP02". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:03 1680 (0x0690) 18. ---> Deleting SMS Client Install Lock File '\\XP02.dotnetwork.intranet\admin$\SMSClientInstall.001' SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:03 1680 (0x0690) 19. ---> Completed request "LPCTBIOM", machine name "XP02". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:03 1680 (0x0690) 20. Deleted request "LPCTBIOM", machine name "XP02" SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:03 1680 (0x0690) 21. <======End request: "LPCTBIOM", machine name: "XP02". SMS_CLIENT_CONFIG_MANAGER 04/02/2010 16:19:03 1680 (0x0690)

Conclusão

A utilização do método Push para instalação de clientes é a mais conhecida e utilizada pelos administradores do SCCM. Saber como funciona e como resolver problemas mais comuns é uma das tarefas diárias do administrador SCCM. Neste artigo descrevemos o processo de instalação, como configurar tanto o servidor quanto os clientes e também como resolver alguns dos problemas mais comuns.

Como visto, utilizar o método Push não é muito complexo, mas requer determinados conhecimentos. Esperamos ter lhe ajudado a entendê-lo melhor e como utilizá-lo para facilitar a administração do SCCM.

Links

Configuração de Grupos restritos via GPO
http://technet.microsoft.com/en-us/library/cc756802(WS.10).aspx

Requisitos para Push de clientes
http://technet.microsoft.com/en-us/library/bb632380.aspx

Parâmetros que podem ser utilizados na instalação
http://technet.microsoft.com/en-us/library/bb680980.aspx

Portas utilizadas pelos clientes do SCCM
http://technet.microsoft.com/en-us/library/bb694088.aspx

Artigos relacionados