SCCM WinADK 8.1 升級到 WinADK 10

目前公司有利用SCCM在灌WIN7電腦，為了未來灌WIN10的電腦，必須做一些升級。
首先目前系統的架構，基本上各角色的服務分散在不同的伺服器上，主要的SCCM主控伺服器上是SCCM2012 R2 SP1，還有含WinADK8.1+MDT2013。
現在要做的就是升級WinADK到10版。至於MDT是否要升級到update1或update2，這一部份我們就沒做了。

升級的步驟:
在SCCM主控伺服器上移除8.1，移完不用關機，接著安裝WinADK10，安裝的過程中有一些功能可以選擇要不要安裝，這一步主要就是勾選Deployments tools/Windows PE/ICD/USMT，當然如果有需要其他的功能也可以
勾選，但主要是這四個，灌完後就重開伺服器，從移除8.1到裝完10，用不到30分鐘。
升級完成後，SCCM內的開機映象檔boot image不會自動更新，此時還是舊的boot image，就要把舊的先刪掉，然後在部署新的boot image，新的boot image檔案會在下列的位置，部署前記得要先對boot image設定支援pxe跟命令模式，設定好後就部署到發佈伺服器(DP server)上。
X86 WinPE: C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\x86\en-us\winpe.wim
X64 WinPE: C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\amd64\en-us\winpe.wim


再來就是把原本舊的那些灌電腦用的OSD，重設裡面指定的boot image，因為舊的boot image已刪掉，所以OSD裡指定使用的boot image欄位會是空的，這時就要指定用新的boot image，就可以開始灌電腦了。
升級的過程中有遇到幾個問題
第一個是如果新舊boot image同時存在會怎麼樣?系統預設還是會先去執行舊的boot image，不會去執行新的boot image，原本的OSD一樣可用，但如果要灌Win10就會失敗，因為WinADK8.1的boot image不支援Win10的作業系統，Win10ADK的boot image才可以同時支援Win7 & 10的系統安裝。

如果灌電腦時，一開始PXE用舊的boot image，OSD裡在指定新的boot image，一樣會失敗，安裝過程會跳錯誤訊息而中止安裝，PXE跟OSD兩個boot image一定要是同一個才行。


另一個問題就是如果有灌電腦的Task Sequence裡面有做BitLock的話，Win7安裝作業程式的過程會失敗，因為做BitLock的演算法改過了，這時就要新增一個步驟在TS裡，要在Pre-provision BitLocker這一步前面加
一個"執行命令列"的動作，執行的命令內容為"reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod  /t REG_DWORD /d 3 /f"，主要的用意就是去改變演算法，加完這一步就可以在灌電腦的
過程做BitLock。


另外在測試安裝作業系統的過程中，最好要有兩台同型號的電腦做測試，因為在測試的過程中，有遇到灌系統時一直會失敗，跳出0x80004005的錯誤代碼，查到最後發現是該台電腦的問題，其他同款的電腦都沒事。


參考資料https://blogs.msdn.microsoft.com/beanexpert/2015/08/04/how-to-switch-to-windows-10-adk-on-configmgr-2012-r2-sp1/
https://blogs.technet.microsoft.com/system_center_configuration_manager_operating_system_deployment_support_blog/2016/03/30/windows-versions-prior-windows-10-build-1511-fail-to-start-
after-setup-windows-and-configuration-manager-step-when-pre-provision-bitlocker-is-used-with-windows-pe-10-0-586-0-1511/

SCCM SMS_WSUS_SYNC_MANAGER 錯誤: 6703 WSUS 同步處理失敗

sccm的元件狀態裡，有幾個跟wsus有關的元件都出現錯誤訊息，其中一個是SMS_WSUS_SYNC_MANAGER 元件的錯誤

因為錯誤訊息有提到WCM.log，所以就到sccm主機裡去看WCM.log。

log裡可以看到的The request failed with HTTP status 503: Service Unavailable.
錯誤。

而且wsus主機裡的iis console裡，會看到WsusPool程序都是stopped，如果把該程序啟動，cpu就會衝到快100%，整台wsus主機就會當掉。
這時就在iis console裡，WsusPool的進階設定中，private memory limit的值調大一點，網路上查到的是建議調到4G.
經過調整後重開機，在啟動WsusPool程序，cpu就不會一直維持在高檔，loading就降上來，SCCM裡的SMS_WSUS_SYNC_MANAGER 元件的錯誤也就會消失了。

對沒權限的使用者隱藏分享資料夾

當在設定分享資料夾給同仁使用時，會希望如果有些資料夾使用者若沒有權限，則不要顯示，只讓使用者看到他有權限的資料夾即可。
在win2012中，可以在伺服器管理員裡分享設定中，針對那些資料夾做"Access Based Enumeration "的設定即可。

列出AD內所有的組識單位(OU)

最近需要整理AD裡的資料，要匯出所有的OU，做個統計。所以去查到了這篇文章，用vbscript來匯出所有OU。
https://gallery.technet.microsoft.com/scriptcenter/List-All-the-OUs-and-Sub-824afaef
有script可以直接下載，如果要把內容匯出，則直接在cmd裡執行 "cscript /nologo script檔 > xxx.txt"就可以把所有OU匯到記事本中

後來有查到一個比較簡單的powershell指令，也是可以列出所有的OU。
Get-ADOrganizationalUnit -Filter 'Name -like "*"' | FT Name, DistinguishedName -A

透過 SCCM 用PXE重灌電腦錯誤: configuration manager is looking for policy

最近透過SCCM在重灌電腦時，同一時間，同一型號，有某台電腦一直無法安裝，會出現"configuration manager is looking for policy"的錯誤，很奇怪。
後來才發現原來是此台電腦當初在SCCM已經重灌過，有紀錄，這次重灌時沒上SCCM把舊紀錄刪掉，所以要再重灌時才會失敗。
可以從SCCM的DP主機上去查到相關LOG，在SMSPXE.log裡，用該台主機的MAC去搜尋，就可以看到有紀錄到MAC已在database裡，所以才會造成無法重灌。
當然也可以直接去SCCM的console裡查。

OUTLOOK啟動錯誤:無法啟動Microsoft Office Outlook 無法開啟Outlook視窗 無效的xml

OUTLOOK開啟時，會出現一個XML無效，INVALID XML的錯誤訊息，然後OUTLOOK無法使用。
這時只要執行一個指令，一般POWER USER的權限就可以執行了
Outlook.exe  /resetnavpane
執行完該指令，OUTLOOK即可啟動。

win7,10 關閉系統還原 指令

為了避免使用者誤用的系統還原的功能，可以透過佈署Batch檔的方式將此功能關閉，
將下列的指令存在Batch檔，並用系統管理者去執行即可。
想要啟用的話，改用Reg remove的指令對移除，或手動到regedit裡去刪除該設定即可。
Reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" /v DisableSR /t REG_DWORD /d 1 /f