1

1. DC Install AD, DNS, DHCP

2. SQL Install IIS, sqlncli_x64.msi (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=d09c1d60-a13c-4479-9b91-9e8b9d835cdc) then SQL Server 2005 SP3 x64 with all components (default instance) using SQL service account (SQLSvc)

Add ConfigMgr service account (ConfigMgrSvc) to local SQL groups and ConfigMgr computer account (CONFIGMGR$) to local Administrators group

Use sqlprov.exe (c:\Program Files (x86)\Microsoft SQL Server\90\Shared\) to provision SQL and Configmgr service accounts

3. DC Extend AD Schema

Add permissions to ConfigMgr computer account on System container in AD

4. ConfigMgr Install IIS, BITS, WebDAV, Report Viewer Redistributable 2008 SP1, WSUS 3.0 SP2, WDS, using ConfigMgr service account.

Create group policy settings for Windows Updates (use FQDN for server name)

Install hotfix http://support.microsoft.com/kb/942841

Install hotfix http://support.microsoft.com/kb/940848

Install ConfigMgr 2007 SP2 (default roles) using ConfigMgr service account

Install hotfix http://support.microsoft.com/kb/977384 and create the hotfix package

Install hotfix http://support.microsoft.com/kb/2271736

Install ConfigMgr 2007 R3

Install sqlncli.msi or sqlncli_x64.msi and SQLServer2005_XMO.msi or SQLServer2005_XMO_x64.msi

Install FEP 2010

Create desktop and server policy

Assign policy to collection

Apropo, daca nu puteti sa treceti de pasul cu restartul de la prerechizite, dati un ochi aici.

Install SQL Server on a 64 bit Window Server missing SQLncli_x64.msiInstalling Forefront Endpoint Protection 2010 RC prerequisite errorWhile installing the latest Forefront Client Security product named Forefront Endpoint Protection 2010 (RC version), the prerequisites verification step displayed an error at the Verifying restart is not required step. And the error details: An earlier software installation still has outstanding file rename operations pending. Before Setup can continue, you must restart the computer.

INCLUDEPICTURE "http://systemmanagement.ro/blog/wp-content/uploads/2010/11/fep_error1.png" \* MERGEFORMATINET

The more stranger thing happens after you restart your computer and start the Setup again. The same is displayed. Why? Well, maybe because on the FEP 2010 requirement is to have a working Configuration Manager 2007 infrastructure and almost always ConfigMgr will have open files and read/write operations on the computer youre trying to install FEP 2010.

So, to workaround this problem you have to modify your registry (do it on your own as I did). Open PendingFileRenameOperations key from HKLM\SYSTEM\CurrentControlSet\Control\Session Manager and delete or copy its content to a notepad. Save the key and start Setup now, it should work, at least it for me.

am un DC si un server cu ConfigMgr 2007 SP2 R3 instalat, ambele pe Windows Server 2008 R2.

Rulam serversetup.exe din directorul x64.

Parcurgem wizard-ul.

Daca baza de date a ConfigMgr-ului este un server remote, alegem a doua optiune (Basic topology with remote reporting database). Eu voi folosi prima optiune pentru ca am SQLul instalat pe acelasi server.

Introducem service account-ul de SQL sau userul persoanei care ruleaza setup-ul. Nu este obligatoriu ca acest cont sa fie domain admin. Mai mutl, primiti o avertizare in cazul in care wizardul vede contul ca domain admin si va trebuie sa dati un OK ca sa continuati.

Implicit, pe serverul unde este instalat ConfigMgr si FEPul, se va instala si clientul de antivirus. Politica implicita pe care o va avea o gasiti mai jos marcata.

Consola FEPului dupa instalare.

In primul rand, cream politice necesare (pentru servere, statii de lucru sau chiar servere cu roluri bine definite: DC, Exchange, SQL, DHCP etc. Astea sunt ok pentru ca au setate deja exceptiile pentru fiecare rol in parte).

Daca pe o colectie sunt asignate mai multe politici, se aplica politica cu prioritate mai mare (coloana Precedence).

Asignezi politica pentru servere pe colecia cu calculatoarele de tip server pe care va fi instalat cu succes FEPul. Aceasta colectie se creaza la instalare, o sa vedeti mai jos o parte din coleciile create implicit.

(Toate subcolectiile din colectia FEP Collections au fost create la instalare).

Aplicam politica pe colectia Deployed Servers. Server cu FEP se vor pune automat in aceasta colectie, fara sa mai facem noi ceva manual.

Daca avem politici pentru servere cu roluri specifice (DC, Exchange etc.), va trebui sa cream o alta colectie, sa punem serverul in acea colectie si sa asignam politica pe ea. Inca nu am gasit o alta metoda de a face asta, in cazul in care exista o alta metoda

La Advertisements FEP Policies vedem toate politice, inclusiv cele doua default care se aplica cand se instaleaza clientul de antivirus pe statie.

Mai jos vedem toate pachetele create la instalare.

Pachetul Deployment contine programul de instalare si dezinstalare al antivirusului.

Vedeti la comentariu ca zice ceva de dezinstalarea antivirusului existent. Da, FEPul poate dezinstala pana acum urmatoarele programe antivirus: Symantec Endpoint Protection 11, Symantec Corporate Edition 10, McAfee VirusScan Enterprise 8.5 si 8.7, Trend Micro OfficeScan 8.0 si 10.0, Forefront Client Security inclusiv Operations Manager agent.

Copiem pachetul pe un Distribution Point.

Verificam daca s-a copiat cu succes.

Cream o colectie noua in care vom pune calculatoarele pe care vrem sa instalam FEPul. Putem sa punem si servere si desktopuri aici, stie FEP sa faca distinctia intre ele si sa le puna in colectia necesara peste care se va aplica politica.

Cream si advertisementul

Dupa instalare, e nevoie de repornirea statie pentru ca inainte de instalarea clientului antivirus propriu-zis, se instaleaza un hotfix care necesita restart.

In scurt timp, vom vedea statiile in colectie. Nu mai ramane mult timp pana la aplicarea politicii.

Apasand pe sageata in jos de langa Help si selectand About Forefront Endpoint Protection, vedem starea definitiilor si politica aplicata pe statia respectiva.

1