SCCM / MECM Client Configurations Tabı görünmüyorsa çözümü.

Merhaba,  SCCM veya yeni adıyla Microsoft Endpoint Configuration Manager  ürünü ile Security baseline'lar veya dilediğiniz tür de baseline'lar oluşturup dağıtabilir ve sistemlerinizi yönetebilirsiniz. geçen gün iletilen bir vaka'da  SCCM Client üzerinde Configurations sekmesinin olmadığı yönündeydi. 

sağlıklı çalışan SCCM / MECM Client üzerinde Control Panel veya denetim masası üzerinden baktığınızda aşağıdaki Configurations tabını görüyor olmanız gerekli.

iletilen vakadaki SCCM Client da ise üstteki Configurations tabı mevcut değildi.

sorun çözerken Tüm Altyapı ürünlerinde kişisel tercihim En basit Varyasyon'dan en zora doğru adım adım ilerlemek yönünde. ürünlere olan uzmanlığınız ileri düzeyde ise şayet uygulamanız gereken yani kontrol etmeniz gereken öncelikli en basit adımları zaten biliyor olursunuz.

benim yaptığım ilk kontrol sonrasında sorun çözüldü. fazla uğraşmam gerekmedi. 

SCCM > Administration > Client Settings üzerinde > Compliance Settings ayarını aşağıdaki şekilde değiştirdim. 

bu ayar ben kontrol ettiğimde "No" olarak ayarlıydı ben "Yes" olarak değiştirdim.

devamında,  Client Policy evaluation Cycle Tetikleyerek durumun düzeldiğini gördüm.

Peki,  yaptığınız ayar ya işe yaramazsa O zaman edindiğim saha tecrübesi karşılığında öncelikle MP ile ilgili logları kontrol etmenizi öneririm.

SCCM / Microsoft Endpoint Configuration Manager ile Firewall On/ Off Takibi.

Merhaba,  büyük yapılarda ve  çok sunuculu şirketler de  yönetilen sunucu sayısı çok oldukça Windows tabanlı sunucular için politikalar tanımlayabilirsiniz. Tanımladığınız kriterlere uyan sunucuları işletmeye / yönetmeye devam eder uymayanları ise ilgili ekiplere geri iade edebilir veya Kapalı duruma getirebilirsiniz  Güvenlik politikaları gereği. Bugünkü makale konumuzda ise Yönetmiş olduğumuz Windows tabanlı sunucuların ( dilersek Clientları da izleyebiliriz.)  Windows Firewall / Defender hizmetini takip edeceğiz ve buna göre Compliance yani uygunluk uyumluluk raporu alacağız.

Hızlıca işlemlere başlayabiliriz. Takibini sağlayacağımız durum  Windows Firewall’u kapalı olan  Serverları inceleyeceğiz. İlgili işlemleri Registry Key’ler üzerinden takip edeceğimiz için aşağıda paylaşacağım Registry değerleri işimize yarayacak ve neredeyse Tüm Windows tabanlı Client ve Server sistemler de değerler aynıdır.  Registry üzerinden aşağıdaki alana gidelim.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ 

Örnek bir Sunucu sistemde Domain Firewall açık olduğunda durum aşağıdaki gibi olacak.

Aynı registry alanında yer alan Public Profile > Public Network Firewall ayarını   Standart Profile ise  Private Network Firewall ayarının değerini temsil eder.  EnableFirewall Değeri 0 olduğu zaman  ilgili Firewall profili kapalı durumdadır. Örneği aşağıda paylaşıyorum.

Evet, takibini yapacağımız Registry değeri ile ilgili açıklayıcı bilgi ve örnekleri sunduktan sonra SCCM / MECM tarafındaki operasyona başlayabiliriz.

SCCM console >  Assets and Compliance > Overview> Compliance Settings> Configuration Items > Create Configuration Item  seçimini yapalım.

Aşağıdaki ekranda isim, opsiyonel açıklama ve Windows tabanlı istemci ve sunucu seçimi yaparak ilerleyelim.

Supported Platforms ekranında ise işletim sistemi bazında değişiklik yapmamıza gerek yok. Ne zaman gerek olur derseniz, dağıttığınız registry key veya başka bir değerin  işletim sistemi bazında değişkenlik gösterdiği durumlarda kullanabilirsiniz.

Settings ekranında New Seçimi ile ilerleyeceğiz. Bu ekranda gerekli Registry değeri tanımlarını yapacağız.

Create setting ekranında Browse seçimi ile  Tam Registry path’i belirteceğiz. Ayarlar aşağıdaki gibi kalabilir. Browse seçimi yapıyoruz.

Ayarımız yani  Registry key değeri aşağıdaki gibi olmalıdır.

Apply ve  OK ile ilerleyebiliriz.

Next ile devam edelim.

Compliance Rules ekranında  EnableFirewall Equals 1 değerini seçip Edit tercihini yapalım.

NonCompliance Severity for reports penceresinde Critical seçimini yapalım.

Ok ve devamında Next, Finish ile Configuration Item oluşturma ekranını kapatabiliriz.

Şimdi bir de Configuration Baseline oluşturup bunu sistemlerimize deploy edeceğiz.

Configuration Baseline Sekmesinde  Create Configuration Baseline seçimi ile ilerleyelim.

Add > Configuration Items seçimi yapalım ve oluşturmuş olduğumuz CI  ekleyelim.

OK ile pencereyi kapatalım.

Oluşturmuş olduğumuz Configuration Baseline üzerinde Sağ click > Deploy seçimi ile istediğimiz  cihazlara dağıtımını yapabiliriz. Deploy seçimi  ile ilerleyelim.

All Servers  collection’ı seçerek deploy işlemini belirttiğim zaman aralığında  sistemleri check edecek  şekilde başlattım.

SCCM tarafındaki işlemlerimiz bu kadar. Dilersek Right Click tools ile süreci tetikleyebiliriz veya dilersek  Compliance policy zaman aralığını bekleyerek sistemlerimizin bu baseline’ı çekmelerini ve denetlemelerini bekleyebiliriz.  Ben 1 tane Firewall’u açık  1 tane ise Firewall’u kapalı Server’da  kontrol sağlayacağım.

Firewall’u açık olan sunucumdaki durum aşağıdaki gibi.

Firewall’umuz Domain Profile olarak açık. Hatırlayacağınız üzere biz ayarları Domain Profile olarak yapmıştık. Configuratiıon Baseline’ımız ise  çalıştırıldığında Compliant. Yani  CB’miz çalışıyor ve doğru veri çekiyor.  Şimdi bir de  Firewall’u kapalı bir sunucuda durumu kontrol edelim.

Gördüğünüz üzere Firewall kapalı olan sunucu da  Non-Compliant sonucu veriyor.

Yani veriler belirttiğimiz kriterlere uygun.

Dilerseniz,  Aynı Configuration Baseline’ı  Client sistemlerinize de Deploy ederek onların da Windows Firewall durumlarını inceleyebilirsiniz.  Ki  ben test amaçlı aynı baseline’ı  windows 10 sistemlere de deploy ettim.

Özellikle DMZ gibi kritik sunucularınız da  SCCM ile yönetim sağlıyorsanız bu gibi kritik baseline'lar oluşturarak compliance raporlar çekebilir ve  power on / power off süreçleri oluşturabilirsiniz.

 

SCCM /MECM Recovery işlemi .

Merhaba,   SCCM sunucusunda Recovery işlemleri yapmanız gereken nadir durumlar ve zamanlar olabilir.  Bizim senaryomuzda süreç şöyle gelişti. SCCM sunucusunun Computer Accountu  Domain Controlller üzerinden silindi. Domain Controller sunucusunda ise Default olarak açık gelmeyen Recycle Bin Özelliği de açılmayı unutulduğu için J dolayısıyla Computer Account’u geri getirmek için  biraz uğraşmak gerekiyordu. Ben kendi izlediğim ve kısa çözüm olan pratik yolu aşağıda resimlerle ve açıklamalı olarak paylaşacağım. Her zaman için silme işlemlerinden önce yedek almayı veya DC üzerinde obje silecekseniz  Active Directory Recycle Bin özelliğinin açık olduğunu teyit etmenizde yarar var.

İşlemlerimize başlayalım.

Aşağıdaki resimde göreceğiniz üzere SCCM sunucusunun çalıştığı Server’ın  Computer objesi silindiğine yönelik  SCCM açılamayacağına dair uyarı veriyor.  İlgili Sunucuya Cached Credentials ile logon olsanız dahi SCCM yazılımını çalıştıramayacaksınız.

Hızlıca işlemlere devam edelim,  Active Directory Users and Computers üzerinde  SCCM sunucunun silinen computer accountuyla aynı isimde yeni bir Computer Account oluşturalım.

Biz bu işleme Prestage diyoruz.

Computer Accountu oluşturduktan sonra  ADSIEdit aracıyla işlemlerimize devam edeceğiz.

ADSIEDIT toolu açalım.

Connection kuralım. Ardından,  System >  System Management Container’ının olduğu alana kadar gelelim. Bildiğiniz üzere SCCM / MECM kurulumunda System Management konteynerını oluşturuyoruz.

System management Properties tabına eriştiğimizde üstte göreceğiniz üzere  SID’si görünen ama ismi Unknown olan Account mevcut. İşte bu account bizim SCCM sunucumuzun silinen computer accountu. Seçip Remove edelim.

Silinen Computer Accountu remove ettikten sonra  Add seçimi ile ilerleyelim ve yeni oluşturmuş olduğumuz Aynı isimdeki SCCM computer accountumuzu DC üzerinden bularak ekleyelim.

Ekledikten sonra Advanced tabını tıklayalım.

Edit seçimi ilerleyelim. Ayarlarımızı aşağıdaki şekilde tamamlayalım. Yani SCCM sunucumuzun  Computer objesine  Full kontrol vermiş bulunuyoruz. 

Geriye kalan tek işlemimiz mevcut. Oda  Domain ile bağlantısı kopmuş SCCM sunucuyu Workgroup ortamına alıp tekrar  Domaine joıin etmek.

Devamında SCCM konsolun sorunsuz açıldığını göreceksiniz.

SCCM sunucu ve konsolu açıldıktan sonra Discovery’leri tekrar çalıştırmanızı öneririm. Özellikle System Discovery kısmını. Çünkü  SCCM sunucunun ismi aynı kaldı fakat silinen Computer objesini aynı isimle tekrar oluşturduğumuz için yeni bir GUID atandı. Bunu keşfetmesi gerekiyor.