torstai 27. marraskuuta 2014

MDT lokitietojen hankkimisesta


Keith Gartner on julkaissut pätevän videon MDT asennuksiin liittyvien lokitietojen löytämisestä. Linkki videoon TÄSSÄ

keskiviikko 19. marraskuuta 2014

Microsoft Bitlocker Administration and Management (MBAM) palvelutunnukset


Olen pyrkinyt pitämään tämän blogin puhtaasti Windows asennuksiin liittyvänä mutta testaillessani Microsoft Bitlocker Administration and Management järjestelmään huomasin että ko. järjestelmään liittyvien palvelutunnusten dokumentoinnissa on epäselvyyttä ja suoranaisia virheitä. Tämän takia dokumentoin tässä lyhyesti mbam käyttäjätunnukset ja ryhmät. Liitän mukaan myös Powershell skriptin joka luo tarvittavat palvelutunnukset ja ryhmät sekä liittää palvelutunnukset tarvittaviin ryhmiin.

Ennen MBAM:n asentamista ja määrittämistä:

  • Varmista että olet luonut tarvittavat MBAM palvelukäyttäjätunnukset ja ryhmät (käytä vaikka tätä Powershell skriptiä)

    HUOM: Muuta Powershell skripti vastaamaan omaa ad-ympäristöäsi

  • Asenna SQL palvelin ( älä luo tietokantoja tai muuta käyttöoikeuksia). Muista määrittää kollaatio (Microsoft SQL Server with SQL_Latin1_General_CP1_CI_AS collation) sekä ottaa käyttöön SQL Server Database Engine Services muista ottaa käyttöön myös Reporting Services rooli (native mode ei sharepoint)


  • Lisää mbam palvelimen tietokonetili käyttäjäryhmään (mbam-cadb-rw) jolla on tulee olemaan luku- ja kirjoitusoikeudet SQL tietokantaan (mbam asennusohjelma asettaa oikeudet mabam:n asennuksen aikana)


  • Asenna .Net 3.5 (dism /online /enable-feature /featurename:netfx3 /all /source:*polkuDVDasemaan*:\sources\sxs /limitaccess)

  • Rekisteröi SPN käyttäjätunnukselle mbam-appool-user antamalla järjestelmänvalvojan komentokehotteesta komento: Setspn –s http/mbam-srv toimialueennimi\mbam-appool-user

  • Ota SPN rekisteröinti käyttöön mbam-appool-user käyttäjätilin ominaisuudet ikkunasta Delegation välilehdeltä asettamalla valinta kohtaan Trust this user for delegation to specified services only.

  • Varmista IIS palvelimen paikallisista suojausasetuksista (Local Security Policy) että mbam-appool-user käyttäjällä tai IIS_IUSRS ryhmällä on IIS palvelimella oikeudet Impersonate a client after authentication ja Log on as a batch job asetettuna (Local Policies - User Right Assignments).

Tämän jälkeen voidaan ryhtyä asentamaan ja määrittämään MBAM:a.

Mbam binäärien asentamisen jälkeen suorita mbamin määrittäminen:

MBAM Roolit (Stand-alone topologia):

















Tietokannan tunnukset ja ryhmät:

Käyttäjät:
mbam-cadb-rw-user
mbam-cadb-r-user


Ryhmät ja ryhmäjäsenyydet:
mbam-cadb-rw (mbam-cadb-rw-user,mbam-appool-user,mbam-palvelin )
mbam-cadb-r (mbam-cadb-r-user,mbam-db-connect)





















Raportoinnin tunnukset ja ryhmät:

Tunnukset:
mbam-report-user
mbam-db-connect


Ryhmät ja ryhmäjäsenyydet:
mbam-report (mbam-report-user)





















MBAM Web-ohjelmien tunnukset ja ryhmät:

Käyttäjät:
mbam-appool-user


Ryhmät ja ryhmäjäsenyydet:
mbam-helpdesk (mbam-hpdesk-user)
mbam-adv-helpdesk (mbam-adv-hpdesk-user)






































MBAM:n asentamisen jälkeen

  • Ota suojattavissa työasemissa käyttöön TPM piiri. Virtuaalikoneissa ei TPM piiriä ole mutta MBAM:a voi silti kokeilla esim. data levyn suojauksessa.

     
  • MBAM asennuksen jälkeen lataa ja ota käyttöön MBAM:n vaatimat ryhmäkäytännöt

  • Asenna MBAM asiakasohjelmisto Bitlockerilla suojattaviin työasemiin käsin tai esim. ryhmäkäytönnön avulla.

  • Työasemapäässä MBAM:n käyttöönottoa voi nopeuttaa muuttamalla rekisterin asetuksia.


  • Tarkasta toiminta menemällä selaimella osoitteeseen http://mbampalvelimennimi/helpdesk


HUOM:

HYPER-V virtuaalikoneissa MBAM asiakasohjelmiston aloittama salaus aiheuttaa virheen. Tämä on Hyper-V ohjelmistossa oleva "bugi". Voit salata levyn käsin esim. ohjauspaneelin tai komentokehotteesta manage-bde komennon avulla.

HUOM:

Tapahtumienvalvonnassa tulee aluksi näkymään varoituksia ja virheitä mutta ajan mittaan järjestelmän lähtee toimimaan.

Powershell skripti joka luo tunnukset, ryhmät sekä asettaa ryhmäjäsenyydet
TÄSSÄ


HUOM: Muuta Powershell skripti vastaamaan omaa ad-ympäristöäsi

tiistai 18. marraskuuta 2014

Ongelma: MDT ei näytä listaa asennettavista ohjelmista vaikka SkipApplications=No on määritettynä?



Kysymys jota kysytään kohtuullisen usein liittyy asennuksen aikana MDT ympäristöstä asennettaviin ohjelmiin. Varsinainen ongelma on se että vaikka CustomSettings.ini tiedostoon on määritettynä asetus SkipApplications=No, ei asennusprosessi silti suostu näyttämää listaa asennettavista ohjelmista kts. alla



















Ongelman ydin piilee yleensä asennukseen liittyvässä tehtäväsarjassa. Tehtäväsarjasta puuttuu alkuperäinen sovelluksia asentava määritys (Install Applications - Install multiple applications) kts.alle.  Tämä johtuu yleensä siitä että tehtäväsarjaan on määritetty asennettaviksi muita ohjelmia ja alkiperäinen Install Applications vaihe on määritetty uudelleen jonkin toisen ohjelman asentamista varten.














maanantai 17. marraskuuta 2014

Lista tunnetuista ongelmista joita voi esiintyä MDT pohjaisissa asennuksissa


Hiukan vanha mutta edelleen käyttökelpoinen lista TÄSSÄ