Приложению configuration manager не удается подключиться к сайту

Обновлено: 22.01.2025

Расширения схемы Active Directory Configuration Manager не обязательны для установки сервера сайта, но рекомендуются для полной поддержки всех возможностей Configuration Manager. Дополнительные сведения о преимуществах использования расширений схемы см. в документации по Configuration Manager.

Расширяем схему AD. Для этого нам необходимо файл EXTADSCH.exe, находящийся в дистрибутиве по адресу D:\SMSSETUP\BIN\X64\EXTADSCH.exe. Запустить его нужно на контроллере верхнего домена (на контроллере схемы) и от имени администратора схемы. Если администратор домена, под учетной записью которого мы работаем, является администратором схемы, выполнить этот шаг можно и на сервере с SC 2012.

Установить роль Windows Server Updating Service

Установить компонент Удаленное разностное сжатие

Учетная запись для входа службы SQL Server не может быть учетной записью локального пользователя , NT SERVICE\<имя_службы sql> или LOCAL SERVICE. Службу SQL Server необходимо настроить для использования допустимой учетной записи домена, NETWORK SERVICE или LOCAL SYSTEM.

Зайти в службы и сделать чтобы экземпляр mssql стартовал как network service (сетевая служба)

http://go.microsoft.com/fwlink/?LinkId=301570 скачать софт по этой ссылке и установить выбрав 3 "средние" галочки.

Программе установки Configuration Manager требуется, чтобы учетная запись компьютера сервера сайта имела права администратора на сервере SQL Server и точке управления.

Если SQL установлен на другом сервере, то учетную запись компьютера, на котором планируем установку SCCM, необходимо включить в группу локальных администраторов SQL сервера.
Указанное имя SQL Server настроено для режима проверки подлинности SQL. Прежде чем продолжить установку Configuration Manager, рекомендуется настроить SQL Server для работы только в режиме проверки подлинности Windows.
1. В обозревателе объектов среды Среда SQL Server Management Studio щелкните правой кнопкой мыши сервер и выберите пункт Свойства.
2. На странице Безопасность, в разделе Серверная проверка подлинности выберите новый режим проверки подлинности сервера, а затем нажмите кнопку ОК.
3. В диалоговом окне среды Среда SQL Server Management Studio нажмите кнопку ОК, чтобы подтвердить необходимость перезапуска SQL Server.
4. В обозревателе объектов щелкните правой кнопкой мыши сервер и выберите пункт Перезапустить. Если работает агент SQL Server, он тоже должен быть перезапущен.

В SQL Server Management Studio, нажать на экземпляр сервера. Зайти в раздел памяти и указать минимальный объем памяти на сервере равным 8 ггб. Соответственно максимальный больше.

Службы IIS требуются для некоторых ролей системы сайта . Для установки выбрана роль системы сайта, требующая IIS. Чтобы продолжить установку, установите IIS на компьютере системы сайта.

Установить компонент Фоновая интеллектуальная служба передачи
Установить компонент совместимости с WMI IIS 6

Фоновая интеллектуальная служба передачи (BITS) требуется для таких ролей системы сайта, как точка управления и точка распространения. Служба BITS не установлена или не установлен компонент совместимости с WMI IIS 6 для IIS7 на этом компьютере или удаленном узле IIS, или программе установки не удалось проверить параметры удаленных служб IIS, так как общие компоненты служб IIS не установлены на компьютере сервера сайта. Кроме того, следует убедиться в правильной работе служб IIS и BITS. Для продолжения установки необходимо установить и включить службу BITS в службах IIS.
Установить компонент Фоновая интеллектуальная служба передачи

Часто приходится выяснять причины, почему не разворачивается то или иное приложение через SCCM, хотя ПК находится в соответствующей коллекции и прошло достаточное количество времени.

Принудительное же развертывание (Application Deployment Evaluation Cycle) и обновление групповых политик на ПК (Machine Policy Retrieval and Evaluation Cycle) через консоль SCCM ни к чему не приводят:

Разберем на примере установки новой версии клиента 1С. Видим, что развертывание должно было произойти, но при этом на ПК данной версии 1С (8.3.18.1289) еще нет:

Скорее всего, проблема связана с разрушением базы WMI на ПК и необходимостью переустановить полностью клиент SCCM. Проверить это можно из вкладки Мониторинг / Состояние клиентов консоли SCCM:

Если данный ПК присутствует в списке, то необходимо перейти на вкладку Активы и соответствие / Устройства консоли и найти через поиск данный ПК. Ошибка также будет видна на вкладке Данные о проверке клиента данного ПК.

Для устранения ошибки необходимо восстановить базу WMI на ПК, для чего мы запускаем проводник данного ПК:

и переходим в папку C:\Windows\System32\wbem\Repository:

Также правой кнопкой из консоли SCCM открываем Управление компьютером (Manage Computer) данного ПК и переходим к вкладке Службы:

Прежде всего, нам надо остановить, если запущены, службы ccmsetup и Configuration Manager Remote Control (cmrcservice), на некоторых ПК может называться по-русски - Удаленное управление Configuration Manager:

После этого останавливаем службу Инструментарий управления Windows (Winmgmt) и все зависящие от неё службы, как правило это Вспомогательная служба IP (iphlpsvc) и служба агента SCCM – SMS Agent Host (ccmexec), но могут присутствовать и другие службы, например Центр обеспечения безопасности (wscsvc) и / или службы производителя, например Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) либо другие – надо остановить все зависимые и Winmgmt:

После остановки необходимо быстро удалить все содержимое из папки C:\Windows\System32\wbem\Repository (переключившись в проводник удаленного ПК) и затем включить снова службу Инструментарий управления Windows (Winmgmt) для создания чистой базы репозитория WMI (создается автоматически при запуске службы). Также можно включить все остановленные зависимые службы, кроме агента SCCM (SMS Agent Host).

После этого запускаем из консоли SCCM командную строку на удаленном ПК:

и проверяем, что службы, связанные с SCCM (ccmsetup, ccmexec, cmrcservice) остановлены, либо отсутствуют:

Если они все в состоянии STOPPED – удаляем их:

Если какая-то из служб находится в состоянии RUNNING (работает), то перед удалением останавливаем её с помощью команды: sc stop cmrcservice (например).

Теперь можно удалить (очистить) папки, связанные с SCCM из C:\Windows (ccmsetup, ccmcache, CCM). При этом в папке C:\Windows\CCM не удалится одна системная папка – ScriptStore – это нормально.

После этого мы можем установить клиента SCCM заново из консоли:

Отследить установку можно по файлу логов (появится при запуске установки): C:\Windows\ccmsetup\ccmsetup.log:

Можно открыть его с помощью утилиты CmTrace.exe и наблюдать в реальном режиме времени процесс установки клиента:

Дожидаемся окончания установки клиента - 5-10 минут (появления кода возврата 0):

Если установщик вернет код 7, то ПК необходимо будет перезагрузить для продолжения установки.

По окончании установки, начнется распространение и установка приложений, назначенных и ещё не установленных на ПК, которое можно отследить по появляющимся папкам в кэше по пути C:\Windows\ccmcache в проводнике удаленного ПК. Нас интересует папка с установщиком 1С. Находим её и запоминаем имя. В этой папке будет файл log.log, показывающий процесс установки, который мы также можем просмотреть через CmTrace.exe:

Видим, что процесс установки завершился ошибкой (не нулевой код):

Это значит, что скорее всего запущен еще какой-то процесс msiexec (другая установка, обновление, например). Можно перегрузить ПК либо удалить данный процесс из командной строки с помощью команды taskkill /PID XXXXX /F, где XXXXX номер процесса:

Далее, запускаем установку 1С вручную из папки кэша (в данном случае – C:\Windows\ccmcache\3):

И проверяем, что нужная нам версия установилась по появлению соответствующей папки в C:\Program Files\1cv8 :

На этом процесс восстановления работоспособности клиента SCCM можно считать завершенным.

P.S.

Как правило, WMI разрушается на ПК с Windows 10, на Windows 7 такой ошибки не наблюдается. Причины могут быть самыми разными. Возможность автоматизировать данный процесс, например с помощью скриптов PowerShell есть, но с оговорками:

- удаление служб с ожиданием их остановки (Remove-Service) доступно только начиная с версии 6.0 (по умолчанию, на Windows 10 установлена версия 5.1) – остальное делается штатными командами PS.

- чтобы развернуть новую версию PowerShell и запустить скрипт нужно, чтобы служба WMI и клиент SCCM работали, т.е. восстановить на уже сбойных ПК не удастся, либо устанавливать PS 6.0, например, через групповые политики.

Все действия производились на версии SCCM 2010:

Дополнительно, установлено расширение консоли ConfigMgr Console Extensions от Dan Ireland для удобного доступа к дополнительным функциям по правой кнопке мыши (подходит версия 1.7.3a для SCCM 2012).

В заметке рассматриваем настройку методов обнаружения клиентов (пользователей/компьютеров) и настройку границ, в пределах которых будет работать ваша инфраструктура configuration manager 2012.

Всего в system center 2012 configuration manger есть несколько видов обнаружения:

Active Directory Forest Discovery
Active Directory System Discovery
Active Directory User Discovery
Active Directory Group Discovery
Heartbeat Discovery
Network Discovery

Active Directory Forest Discovery

Этот метод обнаружения можно настроить как на CAS сервера, так и на ваших Primary сайтах. Нужно понимать, что Active Directory Forest Discovery не обнаруживает ресурсы, которыми вы будете управлять, этот метод определяет сетевой расположение Active Directory и на основе этого может создавать границы. Как это вообще понимать? ) Основные моменты: обнаружение IP подсетей и Active Directory сайтов в вашем лесе AD, так же очень важный момент добавление ip подсетей и сайтов AD в границы обнаружения в configuration manager 2012.

Выбираем Properties в Active Directory Forest Discovery.

В открывшемся окне выбираем Enable Active Directory Forest Discovery, Automatically create active directory site boundaries when they are discovered и Automatically create IP address range boundaries for IP subnets when they are discovered.

Ко второй опции, Automatically create IP address range boundaries for IP subnets when they are discovered, относитесь внимательно. При сложной архитектуре вашей инфраструктуры, может получиться так, что часть ресурсов окажутся вне границ ваших сайтов configuration manager’a 2012.

Active Directory Group Discovery

Тут все понятно, обнаружение на уровне ваших групп в вашем лесе AD. Заходим в свойства.

Выбираем Add и Locations

Задаем имя, нажимаем Browse и выбираем контейнер в котором будем проводить обнаружение

На следующей вкладке, определяем с какой частотой проводить обнаружение

Active Directory System Discovery

Обнаружение компьютеров, для последующего создания коллекций. После обнаружения компьютеров, вы сможете установить на них клиентов. Собирает имя компьютера, ОС и ее версию, имя контейнера в AD, IP адрес, сайт AD, время последнего входа.

Ставим галку Enable Active Directory System Discovery и после нажимаем на желтую звездочку.

Нажимаем Browse и выбираем ваш контейнер с компьютерами. Если контейнеров несколько, то процедуру со звездочкой повторяем несколько раз.

Со второй вкладкой все понятно. Самое интересное в Active Directory Attributes, здесь вы можете задать дополнительные атрибуты. Атрибутов много, на любой вкус и цвет. На вопрос full discovery as soon as possible, отвечаем Да.

Active Directory User Discovery – процедуру аналогичная Active Directory Group Discovery. Заходим в свойства, выбираем контейнер с пользователями, настраиваем расписание.

Настройка границ и групп границ (Boundaries и Boundary Groups)

Каждая граница в sccm 2012 представляет собой сетевое расположение, которая доступна любому сайту в вашей иерархии. Сама по себе граница не управляет вашими клиентами, чтобы это произошло, каждая граница должна быть включена в группу границ. Ничего не понятно? Просто: граница в configuration manager’e – это например, ваш сайт AD или подсеть ip-адресов или диапазон адресов. Таких границ может быть много. Например, главный офис – одна подсеть, второй офис – другая подсеть. Так вот, создание границ в sccm не даст вам возможность управлять клиентами, они должны быть включены в группы границ. Одна из причин, когда не могут понять, почему софт не может доехать до клиента.

Эта граница создана автоматически с помощью Active Directory Forest Discovery, менять ничего не нужно.

Создадим группу границ в Boundary Groups – Create Boundary Group, чтобы включить в нее нашу границу.

Дадим ей название и нажмем Add, выбираем нашу границу, а точнее наш сайт Active Directory.

На вкладке Reference, ставим Use this boundary group for site assignment, обязательно выбирает наш сайт SCCM 2012 и нажимаем Add.

Ассоциируем вашу группу границ с вашим сайтом sccm.

Ну вот и всё. Через какое то время в консоли SCCM 2012 на вкладке Assets and Compliance появятся ваши пользователи и компьютеры.

Fisher Захожу иногда

автор Fisher Пт Сен 07 2018, 16:13

Ошибки при удалении бывают всегда. При установке - нужно смотреть, что за ошибки.
В домене должен устанавливаться сам.
Была проблема - ссм работал, но не работала удаленка из УФПС, а с почтамта - работала. Лазили туда через почтамт. Проблема оказалась в маршрутизации у провайдера.
А КСПД там нормально работает? По рдп получается подключиться? Доступ к жестким дискам этого компа (например к С по \\имя компа\С$\ c правами есть?(на запрос пользователя пароля выходит?)

anykey Эксперт

автор anykey Пт Сен 07 2018, 16:36

РДП нормально проходит, по с$ пароль не спрашивает..и что это значит?

Fisher Захожу иногда

автор Fisher Пт Сен 07 2018, 18:15

Похоже проблемы с виндой (криво подтянулись политики и/или проблемы с фреймворком) и придется перезаливать. Если ссм автоматом не подтягивается доменом после удаления - дурной знак, из личного опыта быстрее перезалить, чем разобраться, в чем дело. Заставить нормально работать ссм на доменных машинах (где он сам не подтянулся доменом) получалось на одной из 20.
Впрочем практически все можно сделать по рдп, только вот пользователь ничего видеть не будет.

anykey Эксперт

автор anykey Пт Сен 07 2018, 21:19

Собственно а зачем пользователю, среднестатистической тетке из деревни, видеть порно из повершела и тому подобных смущающих мозг юзверей набора окон на экране. На что обратить внимание всё-таки, чтоб избежать сомнительного удовольствия выезда в дальние ебени и заставить этот ссм работать?

Fisher Захожу иногда

автор Fisher Пт Сен 07 2018, 23:09

Если честно, даже не знаю, на что обратить внимание. Много проблем было при внедрении ссм, в конечном итоге практически все решались переустановкой. Ссм не работал на ломаной, кривой и битой винде, на винде с кривыми или не всеми учётками, с битым фреймверком (он на фреймверке работает, инсталлятор лежит в комплекте).
Сейчас проблем нет от слова совсем, если где появляется - решается удалением и домен сам подтягивает. Либо просто перезагрузкой.
Кстати - иногда не получается подключиться, если комп в домене, но пользователь работает в винде под учеткой локального администратора, а не доменного пользователя. Когда подключился - можно идти в учетку локального админа. Но если выкинуло - нужно, чтоб пользователь вернулся обратно в доменную учетку, иначе не подключишься. Это часом не этот случай?

POST_SHUTDOWN?? Эксперт

автор POST_SHUTDOWN?? Сб Сен 08 2018, 03:27

" Суть проблемы, в том что в ОПС не работает удаленный доступ через SCCM"

замечал. Работает, потом перестал. Мне кажется это ещё с тем связано, что постоянно что то льётся сверху. Как не посмотришь, что то там заливается. Вот и крашит на фиг всё до чего доберется. То КС не запускается, то ещё чего. С разрешениями на папки учеткам вообще мешанина такая создается, что капец. На одну есть на вторую нет. Тот же RDP перестает работать. Через PsExec в реестре включишь, зашевелится. Но бывает и шары слетают, РЕ хрен подключишься.
Действительно, перезалить проще. В домен, и через пару дней сам заработает, пока опять обнову какую не словит.
Кстати, коль про удаленный доступ речь зашла. А не создали ли у вас в МРЦ конторку под громким названием "отдел обращений пользователей(ООП)". У нас таки создали, и теперь все проблемы, что ОПС пишут в наумене, уходят сразу к ним и они их через удаленный доступ и решают. Ни к нам, ни в сервионику инциденты не попадают.

komrad Активист

автор komrad Сб Сен 08 2018, 12:04

Fisher пишет: Похоже проблемы с виндой (криво подтянулись политики и/или проблемы с фреймворком) и придется перезаливать. Если ссм автоматом не подтягивается доменом после удаления - дурной знак, из личного опыта быстрее перезалить, чем разобраться, в чем дело. Заставить нормально работать ссм на доменных машинах (где он сам не подтянулся доменом) получалось на одной из 20.
Впрочем практически все можно сделать по рдп, только вот пользователь ничего видеть не будет.

Fisher Захожу иногда

автор Fisher Сб Сен 08 2018, 13:11

Раскажи поподробнее,как это сделать через RDP ?

anykey Эксперт

автор anykey Сб Сен 08 2018, 13:18

Fisher пишет: Если честно, даже не знаю, на что обратить внимание. Много проблем было при внедрении ссм, в конечном итоге практически все решались переустановкой. Ссм не работал на ломаной, кривой и битой винде, на винде с кривыми или не всеми учётками, с битым фреймверком (он на фреймверке работает, инсталлятор лежит в комплекте).
Сейчас проблем нет от слова совсем, если где появляется - решается удалением и домен сам подтягивает. Либо просто перезагрузкой.
Кстати - иногда не получается подключиться, если комп в домене, но пользователь работает в винде под учеткой локального администратора, а не доменного пользователя. Когда подключился - можно идти в учетку локального админа. Но если выкинуло - нужно, чтоб пользователь вернулся обратно в доменную учетку, иначе не подключишься. Это часом не этот случай? Нет, не такой случай, но с виндой да, что-то не то, есть несколько лишних принтеров в устройствах печати, удалить не получается, хотя пользователь в группе администраторы.

Fisher Захожу иногда

автор Fisher Сб Сен 08 2018, 13:59

Нет, не такой случай, но с виндой да, что-то не то, есть несколько лишних принтеров в устройствах печати, удалить не получается, хотя пользователь в группе администраторы.

Однако, что то у вас с перемещением информации сверху вниз совсем плохо . нас месяца три-четыре назад уведомляли, что средствами домена и ссм доменный пользователь (под которым работают в ОПС) будет понижен в правах с админа до юзера, при этом он будет видеться в группе администраторы. Применить эти политики москве удалось на 90% ПКТ.
С тех пор элементарные действия, вроде проверки настроек сети, или расшаривания/установки/удаления принтера занимают уйму времени - приходится всю эту работу делать сменив пользователя на локального админа этого компа или пользователя автообновления (srvceasopsupdate).
Где то помогает - шифт+пкм - запуск от имени другого пользователя - имя компа\имя локального администратора (или srvceasopsupdate - он везде одинаковый и с правами) + пароль локального администратора или от srvc
Вероятно у вас из за этого ссм и не встал. нужно его из под админа удалять и пихать

kolyan111 Новичок

автор kolyan111 Сб Сен 08 2018, 15:51

Скажите мне какой в отделениях роутер и я скажу куда идти

POST_SHUTDOWN?? Эксперт

автор POST_SHUTDOWN?? Сб Сен 08 2018, 16:15

блин, опять я прав оказался
"нас месяца три-четыре назад уведомляли, что средствами домена и ссм доменный пользователь (под которым работают в ОПС) будет понижен в правах с админа до юзера"

и,"Мне кажется это ещё с тем связано, что постоянно что то льётся сверху."

насчет 90% некоторые сомнения терзают. Если понизить до юзера на кассе, то проблем не будет. Но если сделать это на голове, проблемы появятся. Однооконных ОПС полно.

И попутно вопрос. К уважаемому нашему админу Anykey. " видеть порно из повершела". Собственно про повершел. По умолчании WRM на удаленных ПК отключена.Большой проблемой это не является.Включаем другими средствами, пользуемся, выключаем.Коль уж повершел пользуете.Не возникало проблем со стороны безопасности. что служба включена.Так то наворотить там можно. ….

anykey Эксперт

автор anykey Сб Сен 08 2018, 19:48

POST_SHUTDOWN?? пишет: блин, опять я прав оказался
"нас месяца три-четыре назад уведомляли, что средствами домена и ссм доменный пользователь (под которым работают в ОПС) будет понижен в правах с админа до юзера"

и,"Мне кажется это ещё с тем связано, что постоянно что то льётся сверху."

Имелось ввиду запуск скриптов ps коих в изобилии приходит по sccm и как результат черные окна с непонятными символами, которые приводят в ступор женщин, которые компов-то до работы на Почте не видели. А про какие-то ограничения по службам повершела и т.п., до нас с этим просто не добрались. Ну или это чисто ваша местная особенность какая-то.

komrad Активист

автор komrad Пт Окт 12 2018, 18:23

всем привет,подскажите как микрот настроить,так чтоб sccm работал,или есть у кого конфиг готовый с микрота может быть,поделитесь плиз,заколебался уже я его крутить вертеть настраивать мануалы все скурил,нихрена не хочет запрос пропускать чтоб подключиться к компам,в опс 3 компа,кспд-настройки подвели с 30й маской а не могу никак заставить микрот чтоб он к компам пропускал

POST_SHUTDOWN?? Эксперт

автор POST_SHUTDOWN?? Сб Окт 13 2018, 04:14

в настройках микротика:
в ip -> firewall -> NAT убрать все правила.SCCM через нат не работает,только напрямую
проверить чтобы в Connections - Tracking стояло auto
вроде так,давно микротики не попадались,мог подзабыть
В двух словах,нужно сделать чтоб удаленный ПК пиноваться начал.К примеру с почтамта в ОПС.
Тогда и СЦЦМ заработает(может не сразу,день два,как прокачается).Ната на СЕ в ОПС быть не должно

komrad Активист

автор komrad Пт Окт 26 2018, 17:16

"Ната на СЕ в ОПС быть не должно"-а если он поднят имено на самом канале? то заявка в kspd -с приказом убрать NAT так?
и еще вопрос-CE ЭТО это когда в опс инет приходит по 30й маске,правиьно?
А если подать заявку чтобы перевели на сквозную маршрутизацию? тогда ведь и не надо будет никаких роутеров sccm и так должен заработать

POST_SHUTDOWN?? Эксперт

автор POST_SHUTDOWN?? Пт Окт 26 2018, 18:05

""Ната на СЕ в ОПС быть не должно"-а если он поднят имено на самом канале?"

КСПД не предполагает наличие NAT там всё насквозь. Нам РТК на своей аппаратуре випиэны поднимает. Грубо говоря, посредством аппаратных ресурсов кучу разных сетей соединяют в одну(виртуальную).К примеру,в почтамте стоит маршрутизатор и от него до отделений кинуты туннели до отделений.Вот то же самое, только в масштабах более крупных.Хрен знает где сейчас установлено такое оборудование(в уфпс,мрц)но принцип тот же.

"и еще вопрос-CE ЭТО это когда в опс инет приходит по 30й маске,правиьно?"

да. СЕ это наш маршрутизатор(роутер) в ОПС. И вот на нем и возникают проблемы с натом как раз. Как правило канал до ОПС проброшен правильно, а именно роутер мешает.
не все бюджетные(а у нас в основном такие) роутеры позволяют нат выключать.
Самая жопа это dir-300 и 100 на них ни как. Если dir-615 или dsr-150 то на них в настройках нат выключается. На 150 нужно ещё два правила добавить в фэрвол.

"А если подать заявку чтобы перевели на сквозную маршрутизацию? тогда ведь и не надо будет никаких роутеров sccm и так должен заработать"

она и должна быть сквозная. Заявку можно шурнуть, но, по правилам, у нас в ОПС должен быть СЕ. И заявку вряд ли выполнят, особо зная ай теко, дак там ПЦ. Но можно поговорить с админами провайдера, кто по вашему региону рулит КСПД. По крайней мере у нас, там мужики вполне адекватные. Не раз с ними общался. Та проблема,что через ай теко решается за несколько дней, тут за пол часа. Они настройки с 30-й маской сделают на своем оборудовании, а в опс будут приходить адреса локальной сети и достаточно будет хаб поставить.По такой схеме роутер не нужен и работает всё(сццм и пр.).

Читайте также: