SCCM 2012 ile ilgili sıkça sorulan sorulardan biri de WorkGroup, non trust domain ortamlarında bulunan computer objelerinin yönetimiyle ilgili. Bir çok Enterprise yapı için artık aralarında trust ilişkisi olmayan domainler zorunlu hale geldi. Özellikle Perimeter/DMZ networkünde bulunan sunucuların yönetim karmaşasının önüne geçmek adına sırf bu network için bir domain kurulur oldu. iş bu durumdayken buradaki sunucuların envanteri, patch management işlemleri, software deployment gibi işlemlerinin de otomatikleştirilmesi adına SCCM 2012 ürünü bu ortamlara da kurulur oldu. Burada her ne kadar mantık hatası olsa da bu networkler için yapıda kullanılan SCCM 2012 ürünü, bir kaç ek işlemden sonra bu domainleri de yönetebilir. işte bu makale serisi esasen bu ve benzeri senaryolar için oluşturulmuştur.
Öncelikle yapılması gereken işlemlerin başında DNS erişim işlemleri gelir. tüm makinelerin host dosyalarına SCCM ile ilgili kayıtlar yazılabileceği gibi DNS üzerinden de yönlendirme yapılabilir. Untrust domain üzerinde bulunan DNS server üzerinde bir zone oluşturularak SCCM site server sunucusunun dahil olduğu domainin ismi verilir ve SCCM site sunucusu ile ilgili gerekli kayıtlar oluşturulur. bu işlemi SCCM site server üzerindeki host file üzerinden de untrust domain için gerçekleştirmek gereklidir. Her iki taraf ip-netbios name olarak birbirini tandıktan sonra artık gerisi yapıda kullanılan SCCM sunucu üzerindeki hangi özelliklerin eklnemesini belirlemeye kaldı. SCCM üzerinde büyük bir kolaylık olan Automatic Push installation, AD Computer Discovery, Forest Discovery, IPSubnet Discovery gibi özellikleri untrust domain için de kullanmak isteniyorsa öncelikle untrust domain üzerinde ki System Management OU su üzerinde untrust domainde kullanılmak üzere oluşturulan hesabın full control hakkının olması gerekmektedir. Publish Forest zone kısmında Boundary tanımlarını otomatik olarak bu OU üzerine oluşturması için bu hesabın full control olması zorunludur.
Bu işlemden sonra SCCM’in bulunduğu sunucu ile untrust domain arasında ldap portunun açılması gerekmektedir. Bu sayede SCCM sunucusu, untrust domaine ldap sorgusu atıp Computer Discover objelerini çekebilecek hale gelecektir.
burada dikkat edilmesi gereken bir husus ldap sorgusunu hazırlarken sadece ilgili OU’nun DN i değil untrust DC’nin FQDN’i de gerekmektedir. Bu adımda hata alırsanız eğer firewall kurallarını kontrol ettiriniz.
Bir sonraki kısım ise eğer Forest Discovery metotu enable değilse enable etmek gerekir.
Add Forest kısmından da bahsetmek gerekirse
untrust domaini boundary publishing gibi işlemleri gerçekleştirebilmek için SCCM üzerine fostest olarak eklemek gerekir.
Bu işlemin akabinde untrust domainde System Management OU su içerisine kayıtların düştüğü görülebilir.
Bir sonraki makalede System Discover ile gelen untrust domaine dahil olan sistemlere agent kurulumdan bahsedilecektir