投稿
  1. PANGSHARE首页
  2. 微软技术
  3. System Center

SCCM 2509 客户端部署指南

PANGSHARE System Center 阅读 9

在现代企业 IT 管理中,Microsoft Configuration Manager 2509SCCM / MECM 2509)依然是实现终端设备统一管理的基石。尤其是在单站点、单 AD 站点、单子网的典型中小型企业环境中,SCCM 客户端的部署看似简单,实则对基础配置的准确性极为敏感。本文将围绕 SCCM 2509 当前分支,系统性地讲解如何从零完成 SCCM 客户端的规划、配置、推送安装与验证,确保部署链路端到端可靠。

一、SCCM 2509 客户端部署整体流程说明

在 SCCM 中,客户端部署并不是一个“单一步骤”,而是一条完整链路,任何一个环节配置不正确,都会导致客户端安装失败。

一个完整、可靠的客户端部署流程应包含以下阶段:

  1. 设备对象被发现并写入 SCCM 数据库
  2. 客户端能够正确匹配边界与边界组
  3. 站点系统角色可被客户端访问
  4. 客户端安装方式被正确触发
  5. 安装结果与客户端健康状态被验证

本文将严格按照这一逻辑顺序展开,确保每一步都夯实基础,不遗漏任何关键配置。

二、客户端部署前的基础前置条件检查

在开始任何配置之前,建议首先确认以下前置条件,否则客户端推送安装大概率失败。

1. 账号与权限要求

  • SCCM 站点服务器计算机账户

    • 必须是域成员

  • 客户端推送安装账户(Client Push Account):

    • 目标客户端本地管理员权限
    • 建议使用专用域账号

不建议直接使用 Domain Admin 账号进行客户端推送。

2. 网络与防火墙要求

3. 客户端操作系统要求

  • 支持的 Windows 客户端版本
  • 时间同步正常(Kerberos 认证依赖)

三、客户端部署所需的发现方法配置

客户端部署的前提是:目标设备必须已存在于 SCCM 控制台中

1. Active Directory 系统发现(必选)

AD 系统发现用于将域内计算机对象同步到 SCCM 数据库,是客户端推送安装的基础。

建议配置要点:

  • 明确指定 OU 范围,避免扫描整个域
  • 启用定期发现计划

打开 SCCM 管理控制台,依次导航至 管理 → 发现方法 → Active Directory 系统发现

配置 SCCM 客户端部署所需的 Active Directory 系统发现

勾选 启用 Active Directory 系统发现,然后点击 添加 按钮以指定要同步的组织单位(OU)。

启用 SCCM Active Directory 系统发现并添加目标 OU

在弹出的窗口中,选择目标 OU(例如 server),以避免对整个域控制器进行全量扫描,提升发现效率并减少资源开销。

选择 server OU 以限制 SCCM 客户端发现范围

接下来,根据实际运维需求设置轮询计划。建议将轮询间隔设为数小时或更长,以降低对域控制器的持续负载压力。

配置 SCCM AD 系统发现的轮询计划

在“自定义”选项卡中,可根据场景启用以下过滤策略:

  • 仅发现登录到域一段给定时间内(如 90 天)的计算机

    • 核心逻辑:基于 AD 中计算机对象的 <code>lastLogonTimeStamp</code> 属性,仅同步近期活跃设备;超出时限的设备将被排除。
    • 作用场景:有效过滤长期关机、离线或已弃用的终端,避免 SCCM 数据库中堆积无效记录,减少不必要的客户端推送与管理开销。
    • 注意事项:服务器通常无交互式用户登录,仅依靠后台服务运行,启用此选项可能导致正常服务器被误过滤;需确保域功能级别 ≥ Windows Server 2003,且 <code>lastLogonTimeStamp</code> 属性能在域控制器间正常复制。

  • 仅发现计算机账户密码在指定时间段内(如 180 天)更新过的设备

    • 核心逻辑:依据 AD 计算机账户的 <code>pwdLastSet</code> 属性进行筛选,未在期限内更新密码的账户(通常为废弃或离线设备)将被排除。
    • 作用场景:清理 AD 中已失效或长期未维护的计算机账户,防止 SCCM 对无效目标执行管理操作,降低潜在安全风险。
    • 注意事项:Windows 客户端默认每 30 天自动更新一次计算机账户密码,因此正常在线设备通常满足此条件;需注意域控制器间的属性复制延迟,避免因短暂不同步导致有效设备被误过滤。

配置 SCCM 客户端发现的高级过滤选项

完成上述配置后,保存设置以使 AD 系统发现生效。

2. 检测信号发现(Heartbeat Discovery)

检测信号发现虽不负责设备的首次发现,但对维持客户端“在线状态”和后续策略刷新至关重要,建议务必启用。

在 SCCM 控制台中,导航至 管理 → 发现方法 → 检测信号发现

配置 SCCM 检测信号发现方法

勾选 启用检测信号发现,并根据环境规模设置合理的轮询周期(例如每 7 天一次),最后点击 确定 保存。

启用 SCCM 检测信号发现以维持客户端状态

3. 不建议在客户端部署阶段使用的发现方法

  • 网络发现:已不推荐使用,可靠性低且维护成本高
  • 用户发现 / 组发现:主要用于用户策略和权限分配,与客户端安装无直接关联
  • 林发现:仅在多林架构或跨林站点自动分配场景下具有价值

四、配置边界与边界组(单站点 / 单子网场景)

即使环境非常简单,边界与边界组依然不可省略。它们是客户端定位 Management Point 和 Distribution Point 的关键机制。

1. 边界类型选择

在单 AD 站点、单子网环境中,推荐使用 IP SubnetAD Site 类型。本文以 IP 子网为例。

在 SCCM 控制台中,依次点击 管理 → 边界 → 创建边界

创建 SCCM 边界以支持客户端部署

在边界类型中选择 IP 子网,并填写以下信息:

  • 网络:10.228.22.0
  • 子网掩码:255.255.255.0
  • 子网 ID:10.228.22.0(系统通常自动填充)

配置 SCCM IP 子网边界参数

2. 边界组配置要点

  • 确保已创建的边界已加入边界组
  • 边界组必须正确关联以下站点系统角色:
    • Management Point(MP)
    • Distribution Point(DP)

创建边界组:点击 管理 → 边界组 → 创建边界组

创建 SCCM 边界组用于客户端资源定位

输入边界组名称(例如 <code>PANGSHARE-Subnet-BG</code>),点击 添加 按钮。

为 SCCM 边界组添加 IP 子网边界

在弹出的窗口中,勾选刚刚创建的 IP 子网边界,点击 确定 完成关联。

确认 SCCM 边界组包含目标子网

切换至 引用 选项卡,勾选 将此边界组用于站点分配,然后点击 添加,选择承载 Management Point 和 Distribution Point 的站点系统服务器,最后点击 确定

配置 SCCM 边界组引用站点系统角色

此步骤确保客户端能通过边界组自动发现并连接到正确的站点系统角色。

五、客户端部署所需的站点系统角色

SCCM 客户端部署的核心站点系统角色为 管理点(MP)分发点(DP)回退状态点(FSP) 虽为可选,但对故障排查极具价值。

1. Management Point(必需)

  • 客户端获取策略、站点信息、管理指令的核心角色
  • 必须与边界组正确关联,否则客户端无法注册

2. Distribution Point(必需)

  • 存储客户端安装文件(<code>ccmsetup.exe</code> 及相关组件)
  • 客户端推送安装过程强依赖 DP 提供安装源

3. Fallback Status Point(可选但强烈推荐)

  • 用于收集安装失败或注册异常的客户端状态消息
  • 在排错阶段提供关键日志线索,显著提升问题定位效率

在 SCCM 控制台中,导航至 管理 → 站点配置 → 服务器和站点系统角色,右键目标服务器,选择 添加站点系统角色

启动 SCCM 站点系统角色添加向导

确认服务器的 FQDN。如需支持 Internet 客户端,可配置 Internet FQDN;否则保持默认,点击 下一步

配置 SCCM 站点系统服务器 FQDN

若无特殊网络要求,代理设置可跳过,直接点击 下一步

跳过 SCCM 代理配置

勾选以下关键角色:Reporting Services 点、回退状态点、软件更新点、状态迁移点,然后点击 下一步

选择 SCCM 站点系统角色组件

为状态迁移点指定存储文件夹路径,用于保存用户状态迁移数据。

配置 SCCM 状态迁移点存储路径

在“边界组”页面,选择此前创建的边界组(例如 <code>PANGSHARE-Subnet-BG</code>),确保该角色可通过边界组被客户端发现。

为 SCCM 站点系统角色分配边界组

软件更新点配置(可选但推荐):

  • 同步源:选择 从 Microsoft Update 同步
  • 同步计划:根据带宽和维护窗口合理设置
  • 取代规则:勾选 使被取代的软件更新立即过期使被取代的功能更新立即过期,以保持补丁库精简
  • WSUS 维护:建议启用所有默认维护任务
  • 更新文件:选择 下载用于所有已批准更新的完整文件,确保离线设备也能获取补丁
  • 分类:根据安全策略选择(如 Security Updates、Critical Updates)
  • 产品:勾选环境中实际使用的产品(如 Windows、Office)
  • 语言:选择 中文(简体) 以匹配本地化需求

配置 SCCM 软件更新点基本设置

保持 SCCM 软件更新点代理和账户默认设置

配置 SCCM 软件更新点同步源为 Microsoft Update

配置 SCCM 软件更新点同步计划

配置 SCCM 软件更新点取代规则

启用 SCCM 软件更新点 WSUS 维护任务

保留 SCCM 软件更新点最大运行时间默认值

配置 SCCM 软件更新点下载完整更新文件

选择 SCCM 软件更新点更新分类

选择 SCCM 软件更新点目标产品

配置 SCCM 软件更新点语言为中文

回退状态点:保留默认配置即可,点击 下一步

保留 SCCM 回退状态点默认配置

Reporting Services 点:点击 验证 按钮,确保能成功连接到 SQL Reporting Services 实例,并指定连接账户,然后点击 下一步

验证 SCCM Reporting Services 点连接

查看配置摘要,确认无误后点击 下一步 开始部署。

查看 SCCM 站点系统角色部署摘要

等待向导完成。

完成 SCCM 站点系统角色添加向导

部署完成后,在 服务器和站点系统角色 列表中应能看到新添加的角色。

确认 SCCM 站点系统角色已成功部署

六、配置 SCCM 客户端推送安装(重点)

客户端推送安装是最常用、也是企业环境中最推荐的客户端部署方式,因其自动化程度高、集中管理性强。

1. 启用客户端推送安装

在 SCCM 控制台中,导航至 管理 → 站点 → 客户端请求安装

打开 SCCM 客户端请求安装设置界面

在“常规”选项卡中,进行如下配置:

  • 启用自动站点范围客户端请求安装
  • 允许连接回退到 NTLM(提升与旧版 Windows 的兼容性)
  • 服务器工作站(根据管理需求勾选)
  • 决不在域控制器上安装客户端(安全最佳实践)

配置 SCCM 客户端推送安装策略

切换至“帐户”选项卡,点击 添加,输入此前创建的专用客户端推送安装账户。

配置 SCCM 客户端推送安装账户

2. 常用客户端安装参数说明

  • <code>/mp:<FQDN></code>:强制指定 Management Point 地址
  • <code>/logon</code>:允许在用户已登录的会话中执行安装
  • <code>/forceinstall</code>:强制重新安装客户端(用于修复场景)

3. 常见客户端推送失败原因

  • 客户端推送账户缺少目标设备的本地管理员权限
  • 防火墙阻止 SMB(TCP 445)或 RPC(TCP 135 + 动态端口)通信
  • 边界组未正确关联 Management Point 或 Distribution Point
  • 目标设备未被任何发现方法同步至 SCCM 数据库

七、SCCM 客户端安装方式概览(对比说明)

除客户端推送安装外,SCCM 还支持多种客户端部署方式:

  • 手动安装(<code>ccmsetup.exe</code>):适用于测试或特殊设备
  • 组策略启动脚本:适合无权限推送但可执行脚本的场景
  • 操作系统部署(OSD):在部署新系统时自动集成客户端

其中,客户端推送安装仍然是最直观、最易统一管理的方式。

如需手动触发安装,可在 资产和符合性 → 设备 中右键目标主机,选择 安装客户端

在 SCCM 控制台中手动触发客户端安装

在安装客户端向导中,点击 下一步

启动 SCCM 客户端安装向导

勾选以下选项:

  • 始终安装客户端软件(覆盖现有安装)
  • 从指定站点安装客户端软件(确保使用正确站点)

配置 SCCM 客户端手动安装选项

确认设置无误后,点击 下一步

确认 SCCM 客户端安装设置

向导完成后,SCCM 将开始向目标设备推送客户端。稍等片刻即可在控制台中看到客户端上线。

SCCM 客户端安装向导完成

八、客户端安装状态与结果验证

客户端部署完成后,必须进行双向验证,确保安装成功且功能正常。

1. SCCM 服务器端验证

设备 列表中,目标设备的“客户端”状态应显示为 ,且“客户端版本”匹配 5.00.9058.1000(SCCM 2509 版本号)。

验证 SCCM 客户端在服务器端的状态

2. 客户端本地验证

  • 打开 控制面板,应能看到 Configuration Manager 小程序,点击可查看客户端属性
  • 软件中心 应能正常打开,并显示可用的应用程序或更新

Windows 控制面板中的 Configuration Manager 小程序

SCCM 软件中心正常运行界面

九、常见问题与部署建议总结

  • 不要忽略边界组与站点系统角色的关联——这是客户端定位资源的关键
  • 客户端推送失败时,优先检查权限与防火墙——90% 的问题源于此
  • 日志分析永远比界面提示更可靠——重点关注 <code>ccm.log</code>、<code>clientidstartup.log</code>
  • 建议先在小范围集合中测试客户端部署——验证全流程后再推广

结语

SCCM 2509 客户端部署并不复杂,但它对“基础配置正确性”要求极高。只要严格遵循 发现 → 边界 → 角色 → 安装 → 验证 的顺序,大多数客户端部署问题都可以在配置阶段提前避免。

在完成客户端稳定部署后,才能真正发挥 SCCM 在补丁管理、软件分发与合规性管理方面的价值。

SCCM 客户端部署常见问题 FAQ

如何排查 SCCM 客户端推送安装失败?

答:首先检查客户端本地的 <code>%windir%\CCM\Logs\ccm.log</code>,常见错误包括“Access Denied”(权限不足)或“RPC 服务器不可用”(网络/防火墙阻断)。同时确认设备是否已被 AD 系统发现,并验证边界组是否正确关联了 Management Point 和 Distribution Point。

为什么客户端安装后控制面板没有 Configuration Manager 图标?

答:这通常表明客户端未完成注册或安装中断。请检查 <code>%windir%\CCM\Logs\client.msi.log</code> 和 <code>clientidstartup.log</code>,确认是否成功向 Management Point 注册。此外,确保 Windows Installer 服务处于运行状态。

单子网环境中是否可以不配置边界组?

答:不可以。SCCM 客户端依赖边界组来发现 Management Point 和 Distribution Point。即使在单子网环境,若未配置边界组,客户端将无法定位所需站点系统角色,导致“客户端未安装”状态持续存在。

客户端推送安装账户是否需要 Domain Admin 权限?

答:不需要。最佳实践是创建专用域账户,并将其加入目标客户端的本地 Administrators 组。使用 Domain Admin 不仅违反最小权限原则,还可能因账户锁定策略导致大规模部署中断。

如何验证 SCCM 客户端是否成功注册到管理点?

答:在客户端以管理员身份运行命令:
<code>WMIC /namespace:\\root\ccm path sms_client get ClientId</code>
若返回一串有效的 GUID,则表示注册成功。同时,在 SCCM 控制台的设备属性中应显示“客户端:是”及正确的客户端版本号。

相关链接

© 版权信息:
作者:PANGSHARE
发布平台:PANGSHARE | 文章链接:https://www.pangshare.com/sccm-2509-client-deployment/
本文内容仅限非商业性使用,如需商用(包括但不限于广告投放、付费专栏、企业宣传等),请邮件联系原作者获得独家授权,违者将依法追究法律责任。

(0)
打赏 微信扫一扫 微信扫一扫
0 0

关于作者

PANGSHARE的头像

PANGSHARE

251 文章
21 评论
1 问题
3 粉丝
聚焦 IT 运维、服务器管理、系统架构、自动化部署和技术教程,致力于输出清晰、实用、可复现的技术内容。我们希望帮助工程师解决问题、提升效率、减少试错,并构建长期可持续的基础设施。
上一篇 1天前
下一篇 2025年12月11日 下午5:01

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

技术交流

有任何问题都能在评论区留言呀~ 小编看到会第一时间回复!

工作时间:周一至周五,9:30-18:30,节假日休息

移动端阅读更便捷,关注公众号提升阅读体验