Maximus Minimus's questions

Minha hierarquia SCCM tem três pontos de distribuição e estou adicionando um quarto.

O novo Ponto de Distribuição foi adicionado com sucesso e, quando verifico o Status do Conteúdo, vejo que todos os meus itens de conteúdo agora estão segmentando corretamente todos os quatro Pontos de Distribuição, com exceção de um pacote:

• Pacote de atualização de piloto de cliente do Configuration Manager da Microsoft Corporation

Este pacote ainda visa apenas os três originais.

Ao navegar pela lista de Pacotes (via Biblioteca de Software | Pacotes) este Pacote não é visível.

Usando o PowerShell, Get-CMPackagecom o ID deste pacote não retorna nada. Da mesma forma Get-CMPackage | ft PackageId, não lista o ID do pacote (lista meus outros pacotes corretamente).

Como faço para alterar este pacote para atingir o novo quarto Ponto de Distribuição?

É hora de substituir o certificado SSL e, embora eu pudesse, para meus servidores Windows, fazer isso da maneira tediosa (certificados mmc, importar manualmente), estou procurando algo que possa automatizar por meio de alguns scripts do PowerShell.

Eu conheço o Import-PfxCertificate e para importar um .pfx eu faria algo como:

$pwd = ConvertTo-SecureString -String "PrivateKeyPasswordGoesHere" -AsPlainText -Force
Import-PfxCertificate -Password $pwd -FilePath "\\path\to\pfxfile\pfxfile.pfx" -CertStoreLocation Cert:\LocalMachine\My -Exportable # optional if i want the private key to be exportable

Isso é tudo muito bom, mas ao contrário da maneira tediosa manual, ele só traz o próprio certificado da entidade; ele não traz nenhum outro certificado na cadeia completa (raiz, intermediários, etc).

Parece que posso fazer algo com Get-PfxData , que " extrai o conteúdo de um arquivo PFX (Personal Information Exchange) em uma estrutura que contém o certificado de entidade final, quaisquer certificados intermediários e raiz ", mas Import- Certificate tem um parâmetro obrigatório FilePath, então não posso canalizar a saída de Get-PfxData para ele.

Eu usei Get-PfxData para verificar se o PFX realmente contém a cadeia completa .

Eu também tentei a seguinte abordagem:

• Importe manualmente para os Certificados mmc.
• Use Export-PfxCertificate para exportar a cadeia completa (que deve ser feita em um formato consumível por Import-PfxCertificate).
• Use Import-PfxCertificate para importar o certificado exportado.

Mas, novamente, Import-PfxCertificate não traz a cadeia completa.

Alguma outra opção para quebrar essa porca?

Dois Exchange Servers e três controladores de domínio no mesmo site AD. Todos os controladores de domínio são GCs.

O Exchange é o Exchange 2016 no Windows Server 2016. Os controladores de domínio são o Windows Server 2019.

No Exchange01 tudo funciona bem - usando o Exchange Management Shell eu posso emitir comandos como com Get-Mailboxsucesso, e Get-DomainControllerretorna uma lista de todos os controladores de domínio.

Exchange02 fornece "Não foi possível encontrar nenhum Catálogo Global disponível na floresta".

No Exchange02, posso usar o PowerShell regular e emitir comandos como o Get-ADUserque confirma que a conectividade do AD está correta para este servidor.

No Exchange02 eu posso fazer Get-ADForest | Select-Object -ExpandProperty GlobalCatalogse lista corretamente todos os Catálogos Globais.

A evidência indica que isso está localizado na conectividade do Exchange com o AD no Exchange02.

Isso só aconteceu no último dia e não houve mudanças no ambiente.

Então - como faço para corrigi-lo?

SCCM 1710 com KB4086143 Hotfix Rollup, executado no Windows Server 2012 R2, configurado com um Software Update Point e WSUS no mesmo servidor.

Nem o SUP nem o WSUS foram configurados para baixar atualizações expressas. A política do cliente está definida para não usar Atualizações Expressas.

Um grupo de atualização de software e um pacote de implantação "baseline" são criados que - corretamente - não contêm atualizações expressas.

Uma regra de implantação automática é criada e esta é a que baixa persistentemente as atualizações expressas; um conjunto completo de atualizações para o mês anterior (apenas!) é de 65 gb. O ajuste fino para incluir apenas atualizações de segurança é de 25 gb.

Descartar e recriar o ADR não faz diferença.

Não estou preparado para descartar e recriar o SUP e o WSUS, a menos que possa ter uma garantia razoável de que isso será resolvido; tempo é dinheiro e eu já desperdicei o suficiente.

Parece que há rumores no TechNet de que este é um bug que deve ser corrigido em 180x; Estou disposto a atualizar para 1802, mas estamos no meio de uma implantação agora e os membros da equipe ficariam irritados. Vou levar isso no nariz se 1802 resolver, mas não consigo encontrar nenhuma indicação nas notas de lançamento ou KBs de que isso aconteça.

Uma ideia maluca é construir e configurar outro WSUS, usá-lo como upstream e bater nele até que ele não baixe as Atualizações Expressas. Não tenho ideia de como isso funcionaria na prática, prefiro uma correção mais limpa, mas estou disposto a experimentá-lo como medida provisória.

Alguma dessas opções é viável, recomendada ou existe outra maneira melhor de domar essa fera?

As respostas prospectivas podem presumir que este ambiente foi construído corretamente e de acordo com a documentação e as melhores práticas recomendadas.