Inventarios muy grandes en SCCM

Hola Mundo!
¿Qué tal la vida? ¿Las vacaciones? ¿El tiempo de verano? Se apareció marzo, pues. Nada que hacer.
El día de hoy, les compartiré un error habitual en SCCM a la hora de recolectar inventarios.
Una de las principales funciones de SCCM es mantener inventarios actualizados de las estaciones de trabajo que administra. Es bien completo y se puede manejar, con precisión, qué es lo que se va a inventariar. 
El problema se presenta cuando el inventario es muy grande y el archivo que llega al servidor excede los 5 MB. Ese es el tamaño máximo permitido por la plataforma.
El error que nos podemos encontrar es el siguiente:
Inventory Data Loader failed to process the file C:Program FilesMicrosoft Configuration Managerinboxesauthdataldr.boxProcessXXXXXX.MIF because it is larger than the defined maximum allowable size of 5000000.

Solution: Increase the maximum allowable size, which is defined in the registry key HKLMSoftwareMicrosoftSMSComponentsSMS_INVENTORY_DATA_LOADERMax MIF Size (the default is 5 MB), and wait for Inventory Data Loader to retry the operation.
 El mismo mensaje de error nos sugiere qué hacer. Modificar el Registro de Windows. Navegar hacia la clave HKLMSoftwareMicrosoftSMSComponentsSMS_INVENTORY_DATA_LOADERMax  MIF Size y aumentar el valor.
Eso es todo.
Simple, ¿no?

SCCM OSD, UEFI y Secure Boot: Conviviendo con los tres

Hola Mundo:

Hace algunos años atrás apareció UEFI con la promesa de modernizar el proceso de arranque de los sistemas operativos y ser una mejor interfaz entre el usuario y el firmware del equipo. 
Uno de los componentes importantes que incluye UEFI es Secure Boot.

Secure Boot protege a la máquina de arranques de sistemas operativos infectados. Básicamente valida que todo lo que se vaya arrancar y a escribir sea legítimo. No olvidar que existe software malicioso que infecta el arranque del sistema operativo, para que cuando inicie la interfaz del usuario ya esté infectado y sea más invisible al antivirus del equipo.
El esquema, explica claramente que luego de iniciar el arranque del sistema operativo, se hace una revisión con software antimalware. En el caso que exista algún problema, intenta repararse solo.
¿Cómo afecta esto a la distribución de sistemas operativos con SCCM? Junto con la aparición de UEFI, SCCM también se subió al carro y comenzó a soportar la distribución de sistemas operativos a máquinas que soportan UEFI. 
La misma herramienta es capaz de creas las particiones necesarias para el funcionamiento (recordar que no usa MBR y que no necesita de una partición reservada de sistema).
El problema se puede presentar al momento de instalar la imagen que se descarga desde el servidor. Al momento de comenzar a aplicarla, dará error. 
Si revisan con calma el log, verán que no puede escribir el registro de arranque.
¿Por qué? Porque Secure Boot lo impide.
Entonces, cuando vayan a distribuir algún sistema de esta forma, lo más seguro es que tengan que deshabilitar Secure Boot.
Otra opción es deshabilitar UEFI y usar BIOS.

Espero que les sirva.

Ventanas de mantenimiento con System Center Configuration Manager

Hola Mundo:

Es tarea del departamento de TI y soporte hacer mantenimiento en las estaciones de trabajo. El mantenimiento implica la ejecución de las revisiones de los antivirus, limpieza de los equipos, distribución de configuración, distribución de aplicaciones y, la más temida, distribución de actualizaciones.


Es muy habitual que se implemente una mala política de distribución de actualizaciones a nivel corporativo. Esta política es, sencillamente, no distribuir actualizaciones. 
Los motivos para no distribuir actualizaciones  he visto que, principalmente, son 3:

  1. Porque no son necesarias
  2. Porque son una molestia para los administradores y para los usuarios
  3. Porque no cuentan con una herramienta que permita optimizar el proceso
No entraremos en discusión sobe las buenas prácticas al respecto, pero si me quiero centrar en el punto 2. 
El punto 2 está condicionado a que no se dan las ventanas de trabajo para que se realice esta importante tarea y es ahí donde quiero llegar.
Las ventanas de mantenimiento son espacios de tiempo en los que los usuarios no se encuentran trabajando. Es un espacio donde el horario hábil ya acabó y se pueden ejecutar las tareas automatizadas, como la de distribución de actualizaciones.
Con System Center Configuration Manager se puede configurar las ventanas de mantenimiento a nivel de colección y configurar la distribución de paquetes para que se realice la instalación dentro de esa ventana.
Generando una ventana de mantenimiento por colección, puede darse el caso que a una máquina tenga asignada dos o más ventanas de mantenimiento. 
  • Si las ventanas de mantenimiento no tienen tiempo en común, serán tratadas como ventanas de mantenimiento aparte.
  • Si las ventanas de mantenimiento tienen tiempo en común, se considerará la extensión total de las ventanas. Por ejemplo: Si dos ventanas de mantenimiento de una hora de extensión cada una, sobre un equipo, tienen un tiempo en compartido de 30 minutos, la ventana será de 90 minutos.

La configuración de una ventana de mantenimiento para colección, se tiene que hacer en las propiedades:

Vista de las ventanas de mantenimiento creadas.

Configuración de la agenda de la ventana de mantenimiento

Al momento de la distribución de una aplicación se puede configurar cual es la acción que se puede tomar una vez que la fecha límite de instalación ha sido alcanzada:
Los invito a configurar las ventanas de mantenimiento para que no veamos a usuarios haciendo:
Al ver que se están instalando actualizaciones cuando está haciendo su trabajo.
Adelante estudios.

Introducir licencia en SCCM 2012 R2

Hola Mundo:
Llegué un poco tarde a iniciar el 2016 en el blog, de todas formas nunca es tarde para compartir una útil anotación sobre SCCM.
El día de hoy mostraré los pasos para introducir la licencia de SCCM 2012 y 2012 R2.   Afortunadamente, en SCCM podemos introducir la licencia cuando el producto ya instalado. Esto no es posible con otros productos de System Center.
Paso 1: Abrir programas y características
No es que vayamos a desinstalarlo, solo vamos a hacer un cambio en él.
Mostrará una advertencia que hay otros usuarios conectados a la aplicación. Le damos a Continuar.

Paso 2: Iniciar el asistente y seguirlo

Paso 3: Seleccionar la opción de  realizar mantenimiento en el sitio

Paso 4: Seleccionar la opción de actualizar la edición de evaluación

Paso 5: Aceptar los términos y condiciones

Paso 6: Ejecución y OK!

El proceso completo no debiera tomar más de 10 minutos. Tienes 180 días para introducir la licencia. 
Espero que les sirva.
Chau!

Instalación de roles requeridos para SCCM

Hola Mundo:

Hoy les quiero compartir una herramienta que, en lo personal, me apoya bastante en la instalación de SCCM 2012 y 2012 R2.

Es un script construido en Powershell y tiene interfaz gráfica (¡Si! y no bromeo). Requiere de permisos de administador para ejecutar.

Más información sobre las características y descargas pueden encontrarlas en el link de la herramienta:https://gallery.technet.microsoft.com/ConfigMgr-2012-R2-e52919cd

Antes de ejecutar, hay que quitar la protección de ejecución de scripts de Powershell:

Una vez que el sistema está permisivo, se ejecuta la herramienta y muestra su ventana principal:

De inmediato la herramienta acusa que le falta un reinicio al servidor y que no está siendo ejecutada con permisos de administrador.
Ofrece instalar los roles requeridos para cada uno de los tipos de sitio y además permite hacer la descarga de los paquetes requeridos.
También permite hacer otras operaciones como la extensión de esquema de Active Directory, instalación de WSUS, instalación de Windows ADK, creación del contenedor System Management, entre otros.
Si quieres instalar SCCM esta herramienta ayudará a ahorrar mucho trabajo y disminuye el riesgo de la falta de algún rol o configuración.
Espero que les sirva.
¡Chau!

System Center Endpoint Protection y Windows 10

Hola Mundo

Windows 10 llegó para quedarse. Ya hay muchos usuarios de hogar que han actualizado desde la
opción de Windows Update y empresas que ya han comenzado lentamente a adoptar esta nueva versión de Windows.

Siempre en ambientes corporativos es más compleja y lenta la adopción de las nuevas versiones de Windows por la compatibilidad con las aplicaciones de la línea de negocio y herramientas de administración. Sin dejar de lado la estabilidad y compatibilidad de hardware.

System Center Configuration Manager (SCCM) es una herramienta muy potente para la administración de equipos. Dentro de los módulos incluidos está el antivirus System Center Endpoint Protection (SCEP).

El antivirus tiene una consola de administración y se instala junto con el agente de SCCM. Esta forma funciona hasta Windows 8.1. Ya en Windows 10 es otra la forma de trabajo.

Cito textual la referencia desde el sitio de Technet:

If you manage endpoint protection for Windows 10 computers, then you must configure System Center 2012 Configuration Manager to update and distribute malware definitions for Windows Defender. Because Windows Defender is included in Windows 10, an endpoint protection agent does not need to be deployed to client computers.

Esto quiere decir que el antivirus incluido en Windows 10 es Windows Defender. Este antivirus/antimalware no es nuevo. Aparece, creo, en Windows Vista y ha estado saliendo de su escondite con cada release nuevo de Windows.
Desde SCCM se debe distribuir los Definition Updates para Windows Defender. Tal cual como se realizaba para SCEP. Incluso se puede generar una Automatic Deployment Rule para que la actualización sea periódica.

Para que esto funcione, se debe tener instalado el Service Pack 1 para SCCM 2012 R2 o el Service Pack 2 para SCCM 2012.

Dar la bienvenida a Windows 10 no solo implica la actualización de los escritorios, sino llevar a las últimas versiones las herramientas de administración y verificar la compatibilidad con las aplicaciones de negocio.

Desinstalar actualización de Microsoft con SCCM 2012 R2

Hola Mundo:

SCCM tiene numerosos roles que se instalan según la funcionalidad que se necesite de la implementación.
Uno de ellos es el rol de Software Update Point que se encarga de la distribución de actualizaciones de Windows. Funciona sobre el rol de Windows Server Update Services (WSUS).
A través del asistente se pueden implementar actualizaciones hacia una colección de dispositivos.

Entonces ¿cómo quitar un update? 
La gram mayoría de las actualizaciones de Microsoft se instalan con la herramienta wusa.exe ubicada en C:WindowsSystem32  o C:WindowsSysWoW64
Esta herramienta tiene parámetros que se encargan de la desinstalación pasiva y silenciosa de actualizaciones. Los parámetros son /uninstall /quiet /norestart
Por ejemplo:
Si se necesita desinstalar un update que su código corresponde al KB1234567 se debe ejecutar la línea:
wusa.exe /uninstall /kb:1234567 /quiet /norestart

Conociendo esto se puede pensar en distribuir un script a través de un paquete o la línea de comandos a través de un paquete para hacer la desinstalación.
Sorpresa causará cuando vean que el update no se desinstalará y arrojará error.

El procedimiento adecuado es usar un Task Sequence.
Habitualmente los Task Sequence se utilizan para desplegar imágenes de sistemas operativos, pero ahora se usará para ejecutar una línea de comandos.

Creación de un Task Sequence personalizado. Ya conté más arriba que no se usará para desplegar una imagen de Sistema Operativo.

Información descriptiva del Task Sequence. No es necesario una imagen de booteo, porque no se desplegará una imagen de sistema operativo.

Resumen de la creación del Task Sequence.

Creación Exitosa.

Una vez creado el Task Sequence, no tiene ningún paso. En este paso es cuando se agrega una tarea de ejecución de línea de comandos.

Configuración de la tarea. En la caja de línea de comandos, se especifica qué update se quiere quitar usando la herramienta wusa.exe. Guardar y aplicar los cambios.
Una vez creado el Task Sequence hay que implementar en la colección que se necesite.

Ubicación de registros de los Tasks Sequences SCCM 2012

Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting Troubleshooting   

Lo pongo varias veces, porque es una actividad recurrente y muy importante. Consiste en la
resolución de problemas.
En casi todas las herramientas para TI existen archivos de registros (log)  que ayudarán bastante, pero en otras, encontrarás registros que solo ayudarán a estar más perdido.

En el caso de SCCM 2012, los registros son bien elocuentes y los errores están, por lo general, bien docuementados.
Al momento de desplegar sistemas operativos y necesitamos registros, tenemos las siguientes opciones:

Windows PE Antes de formatear el disco duro
x:windowstempsmstslogsmsts.log 
Windows PE después de formatear el disco duro
x:smstslogsmsts.log y luego copiado a c:_SMSTaskSequenceLogsSmstslogsmsts.log 
Despues del despliegue de sistema operativo y antes de la instalación del cliente c:_SMSTaskSequenceLogsSmstslogsmsts.log 
Ambos Instalados, (Windows (x86) y agente)
 c:windowsccmlogsSmstslogsmsts.log 
Ambos Instalados, (Windows (x64) y agente)
 c:windowsccmlogsSmstslogsmsts.log
Después de la ejecución del Task Sequence
 c:windowsccmlogssmsts.log
Después de la ejecución del Task Sequence (x64)
c:windowsccmlogssmsts.log

El resto ya es analizar e investigar.

Migrando de Windows XP a Windows 7 Error 0x800700C1

Hola Mundo:

Desde que Microsoft eliminó el soporte para Windows XP, muchas empresas han optado por irse a
versiones más nuevas de Windows. Hay algunas que dieron el salto a Windows 8.1, otras son más recatadas y se quedaron en Windows 8 y las más conservadoras migraron a Windows 7.

El proceso en si no es complicado. Los problemas están cuando se está usando la versión 2012 R2 de System Center Configuration Manager.

La migración desde Windows XP a versiones superiores no está soportada por SCCM 2012 R2, pero con la ayuda de actualizaciones y otros componentes podemos lograr el objetivo.

Estos pasos me sirvieron para lograr el objetivo. Sin duda, en internet también hay mucho material y formas de solucionar el problema. La idea es que las experiencias se vayan compartiendo.

Pasos a seguir:

  1. Instalar el CU1 para 2012 R2 si es que no está instalado. Este CU incluye actualizaciones que impedirán que el arranque de Windows XP se destruya, entre otras cosas. Más información sobre esta actualización se puede encontrar en: http://support2.microsoft.com/kb/2938441
  2. Instalar en una máquina cualquiera, que no tenga que ver con la instalación de SCCM 2012 R2, la herramienta Windows Automated Installation Kit (WAIK). Se puede descargar desde: http://www.microsoft.com/en-us/download/details.aspx?id=5753
  3. Generar una imagen de Windows PE 3.1 en la máquina que tiene WAIK instalado y luego agregarle los componentes winpe-Scripting.cab, winpe-WMI.cab y winpe-WDS.cab. Después importarlo a SCCM 2012 R2. Para completar esta tarea, sugiero leer el siguiente enlace: http://omgtechstuff.wordpress.com/2014/08/14/how-to-create-a-winpe-3-1-boot-image-import-it-to-sccm-2012r2/
  4. Crear un paquete USMT 5 desde WAIK. Esto es para realizar la captura de los datos de usuario y configuración de Windows. Sugiero leer el siguiente enlace: http://www.windows-noob.com/forums/index.php?/topic/4512-using-sccm-2012-rc-in-a-lab-part-8-deploying-windows-7-x64/
  5. Realizar la captura de Windows 7 instalado en una partición. Por defecto, Windows 7 crea 2 particiones: Una de arranque y otra de sistema operativo. El problema está que Windows XP solo usa una partición y dará error al momento de plasmar la imagen. Para instalar Windows 7 en una partición sugiero seguir el siguiente link: http://blogs.msdn.com/b/matthew_van_eerde/archive/2009/08/21/forcing-windows-to-install-on-a-single-partition.aspx Para hacer la captura leer el siguiente link: http://prajwaldesai.com/capture-windows-7-using-sccm-2012-r2/
  6. Crear un task sequence que utilice la imagen de booteo recién creada y que aplique la imagen recién capturada. Además, que para capturar los datos de usuario use el paquete de USMT recién creado y que utilice hardlinks para respaldar los datos.


¿Por qué?

Ni SCCM 2012 R2 ni Windows ADK en la última versión son compatibles con el proceso de migración desde Windows XP a Windows 7 o versiones superiores. Es por eso que hay que utilizar mezclas de versiones en los distintos componentes y herramientas utilizadas para éstos propósitos. Lamentablemente, no existe mucha documentación al respecto y si hay está media confusa. 
Si se intenta hacer la actualización sin hacer los pasos que describí antes arrojará error 0x800700C1 y en Google aparecerá el link: https://social.technet.microsoft.com/Forums/en-US/6e934990-999a-4367-860a-3ce4e5eda956/sccm-2012-r2-error-0x800700c1?forum=configmanagerosd y algunas luces dará frente al problema.

Espero que en algo los pueda ayudar.