Главная

Monday, 4 October 2021

Шпаргалка по SCCM.


Всем привет.

Моя шпаргалка по подключению к sccm03.forza.com - моему серверу SCCM.

Необходимо иметь доступ на сетевом уровне с сервера  sccm03.forza.com в сторону контроллеров домена компании по портам tcp\udp 49152-65535,135,445,3268,3269.

Сервера, которые мы можем предоставить, необходимо исключить из групповой политики, которая назначает корпоративный сервер обновления WSUS.

В ветке реестра 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

параметры WUServer и WUStatusServer не должны назначаться вручную и не затираться политиками домена.

Выполняем запрос 

REG QUERY "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -v WUServer

REG QUERY "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -v WUStatusServer

Например у меня оба значения ключей: http://sccm03.forza.com:8530

Сводка по портам для работоспособности SCCM:

SCCM Management Point:

Client -> sccm03.forza.com 

tcp 80,443,10123

SCCM Distribution Point:

Client -> sccm03.forza.com 

tcp 80,443,445 udp:63000-64000

SCCM SUP (Software Update Point):

Client ->  sccm03.forza.com 

tcp 80, 443, 8530, 8531

SCCM сlient push:

sccm03.forza.com -> Client 

tcp 135, 445

ICMP:

sccm03.forza.com -> Client

Доступ к центрам сертификации (функционал PKI + доступ CRL):

Client -> pki01.forza.com 

tcp 80,443, 135, 49152-65535 udp 135, 49152-65535

Удаленный помошник SCCM (SCCM Remote Control):

Console SCCM -> Client 

tcp 2701,3389 udp 3389


1 comment:

  1. PXE через SCCM:
    - проверить не выдаются ли DHCP сервером опции pxe boot (60, 66, 67);
    - проверить есть ли сетевой доступ к серверу. Должны быть доступны порты UDP 67 и 4011 в сторону сервера и UDP 68 и диапазон 49152-65535; Так же можно проверить загрузку установив tftp client на пк в той же подсети и попытаться скачать загрузчик;
    - настройки BIOS пк. На G2 є один нюанс! Якщо не відбувається завантаження образу, перевірте в BIOSi чи в Boot Options стоять галочки на Network (PXE) Boot, UEFI Boot Order, також в Secure Boot Configuration вибираємо Legacy Support Disable and Secure Boot Enable!;
    - Ip helper прописан на нескольких коммутаторах, что создавало несколько шлюзов клиента при броадкаст запросах. Оставить только на одном устройстве ip helper.

    ReplyDelete

А что вы думаете по этому поводу?