Microsoft Intune ve System Center 2012 R2 Configuration Manager entegrasyonu konusunda en çok soru gelen kısım entegrasyon ile gelen özellikler ya da Intune’un tek başına kullanılıp kullanılamadığı üzerine oluyor.
System Center 2012 R2 Configuration Manager hali hazırda sektörde bilinen ve stand alone çalışabilen bir client management ürünü. Microsoft Intune ise bulut tabanlı mobil cihaz yönetim aracı. Bu iki ürünü birbirinden ayıran en önemli özellik SCCM’in on premise (lokalda kurulan ve altyapı ihtiyacı duyan), Microsoft Intune’ün ise cloud based(hiç bir altyapı ihtiyacı olmadan) bir ürün olmasıdır. Microsoft Intune, SCCM olmadan bağımsız kullanılabilir ya da SCCM ile entegre edilebilir. SCCM ile Microsoft Intune entegrasyonu ile aÅŸağıda göreceÄŸiniz bir çok özellik kullanılabilir oluyor. Bu açıdan baktığımızda hiç çekinmeden bu entegrasyonu devreye almanızda bir çok fayda var diyebiliriz.
Scenario
System Center 2012 R2 Configuration Manager
Microsoft Intune
System Center 2012 R2 Configuration Manager and Microsoft Intune
Platform Support
Â
Â
Â
Microsoft Windows
Yes
Yes
Yes
Microsoft Windows Server
Yes
No
Yes
Windows Phone
No
Yes
Yes
Windows RT
No
Yes
Yes
iOS
No
Yes
Yes
Android
No
Yes
Yes
Mac OS X
Yes
No
Yes
Unix/Linux Servers
Yes
No
Yes
Compliance Settings
Â
Â
Â
Extensible Windows PC Device Configuration Settings (e.g., WMI, Registry)
Yes
No
Yes
Extensible Mac OS X Configuration Settings
Yes
No
Yes
Mobile Device Configuration Settings
No
Yes
Yes
Deployment
Â
Â
Â
Application Deployment
Yes
Yes
Yes
Windows Operating System Deployment
Yes
No
Yes
Security and Privacy
Â
Â
Â
Software Updates
Yes
Yes
Yes
Endpoint Protection
Yes
Yes
Yes
Administration and Reporting
Â
Â
Â
Software Metering
Yes
No
Yes
Hardware and Software Inventory
Yes
Yes
Yes
Custom hardware and software inventory
Yes
No
Yes
Role-based Administration and Reporting
Yes
No
Yes
Unified Reporting for Cloud- and Corporate-connected Devices
Microsoft Intune ekibi geliştirmelere müthiş bir motivasyon ile devam ediyor. Microsoft Intune (SCCM entegrasyonu olmadan kullanılan cloud-only satın alınmış Intune için geçerli-şimdilik) için beklenmedik bir çok özellik aynı anda duyuruldu. 19.11.2014 tarihinde tüm Microsoft Intune ekranlarında aktif olacak bu özelliklere aşağıda göz atabilirsiniz.
Enhanced user interface for Intune administration console
Ability to restrict access to Exchange on-premises email based upon device enrollment
Bulk enrollment of devices using a single service account
Lockdown of Supervised iOS devices and devices using Samsung KNOX with Kiosk mode
Targeting of policies and apps by device groups
Ability to report on and allow or block a specific set of applications
Enforcement of application install or uninstall
Deployment of certificates, email, VPN and WiFi profiles
Ability to push free store apps to iOS devices
More convenient access to internal corporate resources using per-app VPN configurations for iOS devices
Remote pin reset for Windows Phone 8.1 devices
Multi-factor authentication at enrollment for Windows 8.1 and Windows Phone 8.1 devices
Ability to restrict administrator access to a specific set of user and device groups
Updated Company Portal apps to support customizable terms and conditions
Tekrar hatırlatmakta fayda var, bu özellikler şimdilik sadece standalone Microsoft Intune anlaşmaları için geçerli, yani SCCM 2012 ile entegre Microsoft Intune kullanıyorsanız şimdilik bu özellikleri kullanamayacaksınız. Ancak bir kaç ay içinde bu entegrasyon için de yukardaki özelliklerin aktif olacağından emin olabilirsiniz.
Hali hazırda Intune kullanıyorsanız service dashboard’da maintenance uyarıları göreceksiniz. 17.11.2014 ve 19.11.2014 tarihleri arasında yukardaki güncellemeler için bu duyurular yapılıyor.
Artık yeni bir döneme giriyoruz. Yeni dönem yeni çözümler ve bir vizyon ile ortaya çıkıyor. Mobilite artık tüm kurumların öncelikli gündemi ve olmak zorunda. Bundan 10 sene önce henüz tabletler ortaya çıkmamış, internet hızları hala çok düşük seviyelerde ve mobil cihazlar bu kadar ivme kazanmamıştı. Günümüze baktığımızda tüm kurumsal ve sosyal iletiÅŸimin neredeyse %80’i mobil cihazlar üzerinden iletiÅŸim kuruyor. Cihaz çeÅŸitliliÄŸi ve bu çeÅŸitliliÄŸin getirdiÄŸi yönetim zorlukları BT departmanlarını artık People-Centric dediÄŸimiz insan odaklı yönetime doÄŸru itiyor.
Daha önce bu blogda BYOD(Bring Your Own Device) konusuna ve getirdiği faydalara-risklere değinmiştik. Bu yazılara aşağıdaki linklerden erişebilirsiniz;
Her çalışanın kendi cihazı ile kurumsal networke erişebilmesi, dökümanları güvenle yönetebilmesi artık olmazsa olmaz bir ihtiyaç. Bu esneklik ile bir çok kurum zaman ve birlikte çalışma ile verimliliği ve BT yönetimlerini tamamen dönüştürüyorlar. Bu dönüşüm beraberinde yeni alışkanlıklarr ve çözümler gerektiriyor.
Microsoft çarpıcı biçimde bulut, mobil ve cihaz sektöründe yaptığı yatırımlarla bir çok rakibini şimdiden geride bıraktı.
Enterprise Mobility Suite EMS bir ürün adı değil, bir çözümler bütünü. 3 ana bileşenden(servisden) oluşuyor;
Microsoft Azure Active Directory Premium
Microsoft Intune
Microsoft Azure Righst Management
Microsoft 20 yıla yakın bir geçmiÅŸe sahip olan client management ürünü System Center 2012 R2 Configuration Manager ile tüm çalışanların mobil cihaz, pc gibi tüm envanterini, uygulamalarını, desteÄŸini uzaktan kolaylıkla yönetmekle beraber kurum dışında dünyanın neresinde olursa olsun Microsoft Intune ile de aynı desteÄŸi geniÅŸletiyor. Intune entegrasyonu ile beraber gelen bulut alışkanlıkları diÄŸer servislerin de kapısını aralıyor. Tam bu noktada kritik öneme sahip kimlik yönetimi için ise Microsoft Azure Active Directory Premium ile eriÅŸim güvenliÄŸini saÄŸlarken, Microsoft Azure Rights Management ile döküman güvenliÄŸini saÄŸlayarak EMS(Enterprise Mobility Suite)‘i tamamlıyor.
EMS ile artık datacenter tarafındaki yönetimi genişletiyor ve böylece içerde ya da dışarda tüm çalışanlara anlık destek ve erişim imkanı sunabiliyorsunuz.
MDM sektöründeki Air Watch ve Mobile Iron gibi diğer ürünlere baktığımızda BT çalışanlarının alışkanlıklarından farklı bir arayüze ve donanımsal altyapıya ihtiyaç duyduklarını görüyoruz. Oysa Microsoft Intune hiç bir donanım ihtiyacı duymadan ve mevcut client management(System Center 2012 R2 Configuration Manager) ile tamamen entegre olarak daha önce tecrübe edilmiş bir arayüz ile çok daha kolay ve esnek kullanım sunuyor.
Alışkanlıklar hızla değişmeye devam edecek. Bu değişimin en önemli oyuncuları bulut ve mobil. Şimdiden tüm planlarınızı bu iki bileşen üzerinde kurgulamanızda fayda var.
BYOD ile başladığımız bu serinin devamında biraz daha teknik detaylara ve gerçek hayat senaryolarına yer vererek devam edeceğiz.
The following is a list of features and functionalities in System Center Technical Preview that have been removed from the product in the current release. This list is subject to change in subsequent releases and may not include every removed feature or functionality.
The following features and functionalities have been removed from this release of System Center Technical Preview. Applications, code, or usage that depend on these features will not function in this release unless you employ an alternate method.
Status in System Center Technical Preview: Removed.
Replacement: For on-premises deployments, provision IaaS and PaaS solutions using Windows Azure Pack. Additionally, virtual machine and PaaS self-service solutions are available in Windows Azure Pack and Azure.
EÄŸer SCOM 2012’de aÅŸağıdaki event viewer’lardan herhangi bir ile karşılaşıyor ve login failed hatasına bir anlam veremiyorsanız aÅŸağıda bir kaç ipucu bulabilirsiniz;
Failed to store data in the Data Warehouse. The operation will be retried.
Exception ‘SqlException’: Login failed for user ‘*****’.
Hatanın sebebi açıkca “login failed” olarak belirtilmiÅŸ. İlk akla gelen ilgili run as account’un ya da ÅŸifresinin deÄŸiÅŸtirildiÄŸidir.
Çözüm için ilk denemeler;
SCOM için kullanılan servis hesaplarından scomdw olarak adlandırdığımızda data writer account şifresini resetlemek.
Åžifreyi resetledikten sonra run as account’lar üzerinde tekrar tanımlamak.
2115 Event hatalarından kaynaklanmış olabileceÄŸi ihtimali nedeniyle Kevin Holman’ın ÅŸu makalesindeki önerileri yapmak;
Run as account’u tekrar tanımladıktan sonra Data Warehouse profillerine girmek ve management server ya da resource pool’a distribute etmek.
Malesef yukardakilerin hiç biri sorunun çözülmesi için yardımcı olmadı.
Event viewer hatalar vermeye devam ediyor;
Böyle durumlarda genelde geri dönüp hatayı ve neden olduÄŸu problemi tekrar incelerim. İlgili hataları tekrar incelemeye baÅŸladığımda hata alan hesabın domain account’u olmadığını farkettim.
Örneğin kurulum sırasında açtığınız contososcomdw (data writer account) hesabı için hata düşmesi gerekirken sadece scomdw olarak hata geri dönüyordu. Öyle anlaşılıyor ki bu account bir şekilde Data Warehouse ile ilişkili profile ya da run as account için tanımlanmış ve sürekli buradan login için deniyor ve hata alıyor.
Bu profile’ları tekrar tekrar incelemiÅŸ olmamıza raÄŸmen bir detayı atladık;
Data Warehouse SQL Server Authentication Account
Burada Data Warehouse için authentication yapan bir account girilmiş durumda, Data Warehouse Action Account için kullanılan run as account contososcomdw olduğu için hiç şüphelenmiyoruz ancak ilgili profilin detayına bakınca aslında Domain run as account tanımlasanızda SQL Server Authentication yaptığını anlamış olduk!;
Eventlerde karşımıza çıkan ve domain’i olmayan bu account’ın nerden geldiÄŸi anlaşılmış oldu.
EÄŸer bu profile herhangi bir account tanımlarsanız sadece account adı ile giderek database’lere SQL Server Auth ile logon olmaya çalışacak ve hata alacak. EÄŸer varsa bu profildeki account’ı kaldırdıktan sonra sorunun çözüldüğünü göreceksiniz.
NOT:
Yukardaki sorun sebebiyle agent’lar üzerinde biriken batch’leri db’ye insert edemedikleri için bir çok 2115 hatası ile karşılaÅŸabilirsiniz. Agent batch file oluÅŸturduktan sonra DB üzerinde workflow ile bu datayı iÅŸlettirir, bu iÅŸlem baÅŸarılı olursa diÄŸer batch file ile devam eder, ancak baÅŸarısız insert’ler nedeniyle bunlar uzun süre biriktiÄŸi için datanın boyutu büyür ve maximum limiti aÅŸar. Bu nedenle aÅŸağıdaki hataları çokça görebilirsiniz.
Yukardaki sorun çözüldükten sonra 2115 Event’lerin de kesildiÄŸini göreceksiniz.
Silikon Vadisi?nde çalışan, gecesi gündüzü teknoloji üretmek ve dünyaya sunmak olan üst düzey çalışanlar; çocuklarını teknoloji barındırmayan okullara göndermeyi tercih ediyor. Son teknoloji ile donatılmış laptoplar, iPadler ve dijital kitaplarla birebir eğitim veren havalı kurumlar yerine; eğitim materyallerinin eski usul tahta-tebeşir, kâğıt-kalem, örgü ve dikiş iplikleri, renkli boyalar, bazen de çamur olduğu ?Waldorf? okullarını tercih ediyorlar. Bu okullarda öğretmenler, eğitimi geleneksel tebeşir ve karatahta ile yapıyor; öğrenciler de kâğıt ve kalemle yazılanları not ediyor. Yani şu anki trendin tam zıttı.
New York Times gazetesindeki bir araştırmaya göre, Ebay?in teknoloji sorumlusundan tutun da Google ile Apple?ın yöneticilerine kadar, Silikon Vadisinin önemli isimleri çocuklarını içinde bilgisayar bulunmayan okullara göndermeyi tercih ediyor.
Waldorf aslında 100 yıllık bir eğitim sistemi. Çocukların sosyal, duygusal, zihinsel, ruhsal ve fiziksel açılardan çok yönlü olarak gelişebilmesini hedefliyor. Waldorf?ta anaokulu sınıflarında iPad bulunmuyor ve çocuklara teknoloji sunmak yerine bol bol masal anlatılıyor, oyun odaklı eğitimler veriliyor.
Waldorf?ta çalışan yöneticiler teknolojiye karşı olmadıklarını, fakat her şey için uygun bir zamanın ve mekânın olması gerektiğini savunuyorlar. Veliler de bu felsefeye katılıyor. Örneğin; Google?da yönetici olarak çalışan Alan Eagle?ın konu ile ilgili düşünceleri şöyle:
?iPad?de yüklü bir programın çocuklara daha iyi okuma veya aritmetik becerisi katacağı fikri çok komik.?
Beşinci sınıfa giden kızının Google?ı nasıl kullanacağını bilmediğini, ondan biraz daha büyük olan oğlunun ise daha yeni yeni arama motorunu kullanmaya başladığını; ama bunun yerine örgü örmeyi öğrendiklerini, resimler yaptıklarını, kendi çoraplarını dikebildiklerini, makas ya da bıçak kullanmak gibi ufak el becerilerinin geliştiğini de ekliyor. Waldorf sistemine göre, bu önemsiz gibi görünen motor beceriler, bilişsel gelişimi destekleyerek ileride problem çözme ve matematik becerisi gibi daha soyut becerilerin temelini oluşturuyor. Örneğin; örgü dersleri matematiksel düşünce yapısını güçlendirebiliyor.
Anne babalar 3 yaşındaki çocuklarının iPad ve mouse kullanma becerisiyle övünüyor olabilir. Ama Eagle?a göre Google ve diğer arama motorların uygulamaları, zaten zekâsı en düşük insanın bile rahatlıkla kullanabileceği kadar basit halde sunuluyor. Dolayısıyla çocukların büyüdüğünde ?teknoloji kullanma becerilerinden eksik kalması? gibi bir durum söz konusu bile değil. Bununla beraber asıl önemli olan çocuğun edebiyat, matematik, temel bilimler, el becerileri, görsel sanatlar ve performans sanatları gibi alanlarda gelişerek öğrenmeleri. Ve bu öğrenme sanallıkla elde edilebilecek bir deneyim değil.
Waldorf sistemi, teknolojisiz eğitim metotlarıyla ömür boyu süren bir öğrenim isteği, yaratıcılık, kişiler arası daha güçlü iletişim ve eleştirel düşünce gibi becerilerin oluşturulmasını hedefliyor. Bu yaklaşımı savunan yöneticiler eğitim felsefelerinin başarısını öğrencilerinin sınavlarda aldığı standart üstü puanlarla ispatlıyor.
Çocuğunuzu bilgisayarın karşısına oturtmayı ve mouse kullanma becerisiyle övünmeyi bir kenara bırakmak; bunun yerine onu dikiş dikmek, makas kullanmak, renkli hamurlardan figürler yaratmak gibi daha fazla zekâ kullanımı gerektiren etkinlikleri yapması konusunda desteklemek iyi bir fikir olabilir.
En çok merak edilen ve en çok tartışılan bulut biliÅŸim topiclerinden; bulutta güvenlik nasıl saÄŸlanıyor ya da buluttaki güvenlik riskleri nelerdir? Microsoft Azure’daki güvenliÄŸin ofisinizdeki datacenter’dan ya da sunucuları barındırdığınız sıradan bir datacenter’dan çok çok daha ileri seviyede olduÄŸundan emin olabilirsiniz. Microsoft, Azure için fiziksel ve dijital olarak ileri seviyede güvenlik çalışmalarına ve yatırımlarına devam ediyor.
Microsoft Azure’un ataklara ve açıklara karşı nasıl korunduÄŸunu gösteren bir grafik;
Microsoft’da, Azure güvenliÄŸini saÄŸlamak için 2 özel takım bulunuyor. Red ve Blue Team; Red Team tamamen tehditleri keÅŸfetmek ve güvenliÄŸi test etmek adına Microsoft Azure altyapısına gün boyu saldırı gerçekleÅŸtiriyor, gerçek senaryolarla yapılan bu saldırılar ileri seviye güvenlik testlerinden geçilmesini ve varsa açıkların tespit edilmesini saÄŸlıyor. Blue Team ise gün boyu gerçekleÅŸen bu saldırılara karşı savunma saÄŸlıyor ve gerekli önlemleri alıyor. EÄŸer gerekiyorsa önlemleri arttırıyor. Aslında red team ve blue team birlikte çalışan bir ekip ancak spesifik olarak iÅŸlerini yapmaya baÅŸladıklarında iki rakibe dönüşüyorlar. Buradaki önemli ayrıntı ÅŸu; Red Team saldırırken Blue Team bunun farkında olmuyor, yani saldırı geldiÄŸinde Blue Team “ah iÅŸte bizim Red Team geldi” diyemiyor, çünkü saldırılar tamamen isimsiz(anonymous) olarak saÄŸlanıyor, böylece testler daha saÄŸlam gerçekleÅŸtirilmiÅŸ oluyor.
Red Team tamamen internet üzerinden anonymous olarak saldırı gerçekleştiriyor, dolayısıyla bu saldırılar gerçek hayattaki(real-world) senaryolarla birebir örtüşüyor. Böylelikle Microsoft müşteri datasının kendi oluşturduğu ekipleriyle tüm gün boyunca güvenlik testlerine tabi tutuyor. Red ve Blue Team saldırı ve savunma sırasında habersiz olsalar da aslında ortak çalıştıkları zamanlar var, Red Team saldırı sırasında, Blue Team ise savunma sırasında elde ettiği tüm dataları paylaşarak bir knowledge base oluşturuyorlar ve geri bildirimlerle birlikte büyüyen bu datayı analiz ederek güvenliği en üst seviyeye taşıyorlar.
Microsoft Azure bu ekip ile ÅŸirket datacenter’ınızda ya da hizmet aldığınız datacenter’larda bulunmayan alışılmışın dışında bir güvenlik konsepti sunuyor, bütün iÅŸi saldırı ya da savunma olan ekiplerle gün boyu sizin yerinize güvenliÄŸinizi test ediyor ve koruyor. Microsoft Azure üzerinden hizmet alan tüm müşteriler için bu güvenlik testleri ve savunma altyapı hizmeti ücretsiz sunuluyor.
Red Team’in görevleri;
Blue Team’in görevleri;
Microsoft Azure bilindiÄŸi üzere birden çok katmanlı firewall ile güvenliÄŸi saÄŸlanan bir bulut altyapısı, bununla beraber bu katmanları gün boyu test eden ve savunan full-time ekibe sahip. Daha fazlası ve best practice’ler için aÅŸağıdaki linkleri kullanabilirsiniz;
Failed to initialize security context for target MSOMHSvc/scom.demo.local The error returned is 0x80090303(The specified target is unknown or unreachable). This error can apply to either the Kerberos or the SChannel package.
Event ID 20057, bu hatanın sebebi ilk bakışta sanki unutulmuş bir SPN ya da duplicate olan bir SPN varmış gibi gelebilir. Oysa bu hata aslında bir sonuç, yani başka hatalardan kaynaklanan bir hata.
İşte bu hataların sebeblerini araÅŸtırdığımızda bir çok problem çözümüne, özellikle duplicate olmuÅŸ SPN’leri temizleme gibi önerilere rastlayacaksınız, oysa SCOM SPN’lerini kontrol ettiÄŸinizde sorunsuz ve duplicate olmayan SPN listeniz olduÄŸu halde hala bu hatayı almaya devam edebilirsiniz.
O halde biraz daha derinlere inerek farklı 20057, 21001 ve 21016 dışında farklı error’ları kontrol edelim. Bu kararı 1 saatlik çalışma sonucunda verdim ve tam artık sıkılıp proje planı etkileyecek derecede önemli bir hata olmasına raÄŸmen bırakacaktım ki ipucunu yakaladım;
Event Viewer’da biraz daha dikkatlice bakınca baÅŸka bir Error Event’i göreceksiniz, 20052!
Gateway server bulunan ya da gateway server olmadığı halde Workgroup agent kurulumları sırasında agent için sertifika oluÅŸtururken eÄŸer Workgroup makinada fqdn girilmemiÅŸse sadece netbios adını sertifika Subject Name’e yazmanız yeterli olacaktır;
Ancak manual olarak özellikle FQDN tanımlanmışsa ve siz buraya sadece netbios girdiyseniz iÅŸte 20052 hatasını almaya ve dolayısıyla sertifika problemi yaÅŸamaya baÅŸlayacaksınız. Bu sertifika problemi yukardaki Event’lerin(20057, 21001 ve 21016) ortaya çıkmasına neden olacaktır.
Netice, yapmanız gereken tek ÅŸey sertifika request ederken ilgili workgroup makinasının full computer name‘ini dikkate alarak template’e girmek.
Configuration Manager 2007 kullanılan altyapılarda 2012 upgrade sonrasında client’larda kurulu olan 2007 agent’ları kaldırmak ya da upgrade etmek arasında kararsız kalmış olabilirsiniz. Ya da aradaki farkı merak ediyor olabilirsiniz.
Aslında teknik olarak yaptığı iÅŸlem neredeyse aynı, mevcut 2007’yi upgrade etmekle uninstall edip 2012’yi kurmak arasında neredeyse hiç bir fark yok.
EÄŸer var olan client’ı upgrade etmek isterseniz mutlaka “Always install the client software” seçeneÄŸini iÅŸaretlemeniz gerekiyor.
2007 Client’ı tamamen kaldırdıktan sonra 2012 client’ı kurmasını isterseniz hemen altındaki “Uninstall existing Configuration Manager client before the client is installed” seçeneÄŸini seçmeniz gerekiyor.
Evet teknik olarak çok bir fark olmasa da bu seçeneği seçtiğinizde karşınıza şöyle bir uyarı çıkacak;
Bu uyarının ve aradaki en büyük farkın sebebi ise uninstall seçmeden upgrade ile devam ederseniz 1,7 MB ortalamasında bir dosyanın client’lara kopyalanması, uninstall ile devam ederseniz tam 173 MB ortalama boyutunda dosyanın tek tek client’lara kopyalanmasıdır. 500 makinalı bir ortamda oluÅŸturacağı network trafiÄŸini düşünmemek için 2 kere düşünün.