- SMS 2003部署与操作深入指南
- 欧阳 刘晖编著
- 1057字
- 2020-08-26 17:36:25
第1章 SMS 2003概述
1.1 概述
Microsoft Systems Management Server是微软公司推出的基于ITIL(IT Infrastructure Library,IT基础架构库)的变更和配置管理解决方案。Systems Management Server(下文统一简称为SMS)从最初的雏形到现在的第四版,已经发布了六个版本。从最初的SMS 1.0版到现在的SCCM 2007,可以说无论是功能还是报表,无论是用户体验还是系统稳定性,都有了相当大的飞跃,尤其是在融合了ITIL的变更和配置管理方面的功能后更是如此。
SMS为企业提供了软硬件资产管理、软件分发、补丁管理、远程诊断和排错、操作系统部署等主要功能。所以很多IT管理人员一直用SMS对企业内基于Windows操作系统的桌面计算机和服务器进行有效的管理。近几年,随着这些企业中基于Windows系统平台的计算机部署数量的大幅增长,SMS在帮助IT管理人员在支持PC和应用部署规模持续扩张的同时,还能有效控制分布程度非常高的系统的管理成本,并将总体拥有成本保持在较低水平。
当然,随着新技术不断得到采用,以及PC应用配置的日趋复杂化,基于Windows操作系统的PC设备部署环境也处在持续变化之中。Systems Management Server 2003(下文统一简称为SMS 2003或SMS)可以用来对这些发生在PC系统中的相关变更进行跟踪,并提供支持。现在越来越多的企业开始在网络系统内部署Windows 20003 Server的Active Directory服务,Active Directory可以用于管理企业内部的桌面计算机,因此桌面计算机的安全管理也显得尤为重要。SMS 2003可对这种技术手段加以充分利用,从而进一步简化客户端与用户管理程序的管理操作。许多Active Directory特性都与SMS的目标概念相对应,这样就可以让IT管理人员借助Active Directory结构和容器对软件和目录任务进行定位。
企业IT环境中的软硬件资产管理与应用程序部署,以及补丁更新管理等相关工作一直都是IT管理人员最头疼的问题。许多在中大型企业工作的IT管理人员都希望能够有一套完整的管理解决方案,来帮助他们减少日常的繁重工作,并提高工作效率。如果要靠传统管理的方式进行资产盘点、系统补丁更新、软件安装,以及手动来制作相关报表等工作,这样即使有再多的IT管理人员也忙不过来。
到目前为止,IT领域已经有相当多的厂商开发出各式各样的资产管理与软件分发功能的产品,主要是为了在解决许多企业实现信息化的同时,不断添购新的软硬件设备时所投入的人力资源与管理成本的问题。
那么相比其他同类产品,微软的SMS又有什么优势?
SMS 2003可以提供如下优势:
智能的软硬件资产管理,以及相关的分析报告。
客户端计算机与服务器弱点管理,以及相关的分析报告。
一般软件与微软补丁程序的分发管理、非微软产品的更新管理。
对企业使用的软件计量和评估分析。
对企业中移动设备的集中管理。
软件部署以及相关的分析报告。
桌面计算机远程协助支持
网络流量的监控、对指定计算机之间的文件包传输监测。
操作系统部署
与Active Directory紧密结合、用户和用户组,以及计算机资源的收集。
1.2 SMS 2003基本功能演示
如图1-1所示的是SMS 2003管理控制台,通过这个单一的接口,管理员将可以管理分布在各地区的SMS 2003服务器,并且可以借助网络和Active Directory发现功能,将所有被管理的客户端计算机集中分类在各自所属的类别清单之中,随后还可以进行后续的代理程序安装、应用程序的部署,以及系统补丁更新项目的分发等工作。对于分发的结果、软件数据包的状态、站点的状态。
图1-1 SMS 2003的管理控制台
SMS管理员或企业的管理者可以通过SMS的报表功能,根据实际查询的需求,选择适当的类别进行条件的设置,然后进行查询(如图1-2所示)。例如,可以查询的内容包括:软硬件资产统计信息、软件分发与补丁分发的状态报告等。
图1-2 报表站点提供的范例
虽然SMS系统已经内置了190多种报表,但这仍然不能满足企业的实际需求,好在管理员还可以通过SMS管理控制台中的“报表”节点设置一些相关的筛选条件,自己定义出符合需求的报表。同时SMS也支持通过SMS管理控制台中的“报表”节点,依照需求新增所要查看的各种报告类别的仪表板功能,如图1-3所示。
在实现了应用程序部署后,SMS更关注应用程序的部署能力。凡是被安装了SMS代理程序的计算机,只要目前在正常连接的状态下,随时都有可能接收到管理端依照向导设置分发下来的应用程序。而管理者只需要预先将这些安装程序,例如Office、Acrobat、Service Pack,以及各类应用程序置放在任何可存取的网络共享文件夹中,便可以轻松地将这些程序自动安装在客户端计算机上。
图1-3 根据硬盘容量统计的资产信息
另外,管理人员还可以通过SMS提供的Installer程序将现有的应用程序重新安装,让客户端的用户完全不需要手动设置每一个安装步骤的页面,就能自动完成安装。对于后续的应用程序部署状态查询,除了可以通过SMS控制台来进行查看之外,还可以进一步通过SMS提供的报表服务来进行高级的统计分析。
在系统补丁更新管理部分,SMS有别于免费的WSUS。首先,SMS 2003可以轻松地将任何客户端所需的补丁更新(如图1-4所示),并通过向导模式分发到Active Directory中或工作组中的计算机上,而且SMS可以支持Windows 98以上的所有操作系统。
图1-4 被管理的操作系统更新
1.3 SMS 2003 SP3简介
目前SMS 2003的最新Service Pack版本为Service Pack 3,本节会介绍SMS 2003 SP3的一些新特性。
1.3.1 应用程序部署
在安装SP3之后,SMS 2003在应用程序部署方面将包含下列增强的功能:
更详细的软件清单:SP3提供了详细的应用程序部署信息,以及相关的群组信息、硬件信息、已存在的用程序、版本信息、补丁更新状态与Service Pack信息。
更灵活多样的分发策略:通过软件的分发及管理工作,SMS管理员可以针对特定的计算机和用户,以及它们各自多样的属性内容进行分发。例如:活动目录组织单位、群组成员、硬件型号、IP地址段等。
站点和分发点服务器间的差异性更新:对于SMS 2003站点服务器与分发点服务器间的应用程序部署的更新,如果源文件发生改变,系统会将改变的部分自动更新到分发点服务器。
提高权限的Windows Installer服务:由于SMS 2003本身支持了Windows Installer(.msi)的安装方法,因此它可以让该程序在安装的过程中切换执行用户凭据。
添加删除程序的支持:SMS除了支持传统的直接分发到客户端上安装方式外,还可以发布到客户端的控制台中的“添加删除程序”中,让用户自行选择需要的软件安装。
1.3.2 软硬件资产管理
随着大多数企业机构所部署的软件产品与服务范围年复一年地扩大,企业的IT管理人员针对此类应用的整个生命周期实施管理的重要性也在不断提高。根据当前许可授权等级的要求,对软件实际使用情况进行跟踪的做法可确保年度许可授权成本与软件使用状况保持同步,从而成为最简单却最直接的节约成本的手段。管理人员不仅对安装在每台计算机上的应用实施监控,而且还要对已安装应用软件的使用频率进行跟踪,以便为企业提供较为准确的软件使用情况需求预测。此外,只有了解使用范围最广的应用软件,测试情境和升级项目才能更加准确地反映出真实的部署环境,从而降低在整个企业范围内进行调整的成本。
管理人员可以通过SMS中的软件分发的报表功能,对客户端计算机的应用程序的安装情况实施跟踪,并将其与实际应用状况相结合,从而提供适当的解决方案。SMS在2.0版本中采用的软件计数方法已经适合大型组织机构规模了,而SMS 2003对软件计数方法作了较大的调整,来帮助大型企业实现这些功能:哪些应用程序正在使用,这些应用程序的使用频率有多高,这些应用程序的最大并发有多少等实际用户需求。如此一来,管理员就可以更准确地掌握企业的软件需求情况,并可对本企业实际所需软件许可证进行更加准确地评估。SMS 2003中的软件计数功能可以实现:
应用程序使用监控:管理者可以很轻易地知道哪些用户或计算机曾经使用过哪些应用程序,以及同一时间应用程序的使用情况比较。
更新微软件列表的文件层级的发现:管理者可以自定义所要从客户端清查的文件信息。
更详尽的软硬件信息清单:通过使用功能强大Windows管理规范(简称WMI),提高了对客户端资产收集效率,同时也支持通过WMI对于客户端计算机BIOS信息的收集。
内容丰富的Web报表:SMS内置包括软件资产信息,硬件资产信息,软件计数,软件分发状态等各类报表,内置报表超过190种。
1.3.3 安全补丁更新管理
在安全补丁管理方面,SMS 2003可以实现下列功能。
系统漏洞扫描:基于微软标准的安全分析工具,功能类似于MBSA与Office更新清单工具,可以用于自动完成客户端系统漏洞的自动发现和收集工作。
补丁更新部署向导:通过补丁更新部署向导,可以帮助管理员快速地部署更新程序到指定的客户端。
弱点评估与评估报告:对于已经完成弱点识别后的更新遗失,这些相关的报告与更新目标信息将会储存在数据库中,管理者依旧可以选择性的立即更新遗漏的更新项目。
1.3.4 移动设备管理
现代化的企业中,除了传统的台式机、笔记本外,还有越来越多的员工在使用移动设备,例如智能手机、PDA、POS机等。为了对这些新设备提供支持,SMS 2003增强了对移动设备的管理。并且根据移动设备的一些特性进行了充分的优化。基本上,SMS 2003在管理移动设备方面可以实现下列功能。
客户端带宽感知:在SMS 2003高级客户端的功能中,支持了结合服务器端BITS服务的文件传送机制,让客户端可以自动检测目前网络带宽情况,并实现最佳文件传输效率。
断点续传:许多软件的分发可能会因为文件数量较多或较大,因而在自动化部署的过程中,会因为移动用户的断线而需要重新下载安装。如今SMS 2003中已经支持续传下载更新。
向导执行下载程序:对于应用程序的部署,在预先下载到客户端后可以处于缓存模式,直到所设置的向导安装时间到时再开始进行安装。
漫游位置感知:对于移动用户来说,可能需要经常性的变更临时的办公位置,因此SMS 2003的客户端代理程序能够自动检测到最佳的应用程序安装来源。
1.3.5 Windows管理服务整合
Active Directory支持与SMS 2003之间的高度集成可以让管理人员根据组织单元的成员、用户组、计算机组甚至与Microsoft Exchange分配列表等非安全对象为对象进行软件部署定位。
这种Active Directory支持的实现方法为:发现Active Directory中的所有用户和计算机相对应的对象成员资格,并将这些成员资格作为属性添加到由SMS 2003数据库存储的目录数据当中。管理人员可以通过与硬件或软件目录属性使用方法完全相同的方法借助这些Active Directory属性创建目标集合。
管理人员还可以对Active Directory搜索过程进行自定义配置,例如选择不同的时间计划,并将所需执行搜索的Active Directory层级组成部分纳入定位范围。这种力度控制将确保Active Directory整体性能不会受到搜索进程的重大影响。
SMS 2003还可借助Active Directory向网络上的客户端发布特定SMS服务与服务器所处位置。SMS 2003能够将Active Directory用作定位服务,并在此基础上简化客户端操作,并尽可能地降低客户端服务搜索时产生的网络流量。
此外,SMS 2003站点边界可以在逻辑上与Active Directory站点定义相对应。Active Directory站点定义特性可以让管理人员使用子网通配符定义站点边界,这样可以将覆盖面较大的IP地址轻松集成到SMS站点界限集合当中。
在这方面,SMS 2003的功能主要表现在:
Active Directory收集支持:目前SMS 2003已经可以用于收集保存在Active Directory中的用户与系统的属性信息,包含组织单位容器、组成员。而软件数据包的分发目标则可以同样按照这一些属性来部署。
结合Active Directory站点的边界管理:有关边界的设置目前已经可以依照Active Directory站点的部署来规划,而非只是按照IP子域的方式完成。
高级安全模式支持:本机计算机账户和本机系统账户的使用,可以有助于所有服务器间的运作(例如,数据库的读写),并且可以大幅简化许多账户与密码的管理,节省管理者对于各类系统账户权限配置的安全性问题。
改善了状态监控工具:状态数据提供了有关SMS 2003系统实时的操作处理过程,并且包含了服务器端和客户端。
Windows XP远程协助支持:通过SMS 2003的控制台结合Windows XP远程协助功能,管理员可以快速地协助远程使用者计算机问题的故障排除。
SMS 2003的更新中除了包含以上介绍的所有新增加和完善的功能外,还添加了许多最新公告的修补程序,而且也同时新增一些管理上的功能以及操作性能上的改善。
SMS管理控制台使用上的改变:
● 采用FQDN查询方式联系SMS的管理站点以及分发站点,而不是NetBIOS。
● SMS各站点服务器的命名可以使用FQDN输入方式,取代了以前必须要求15个字符的NetBIOS计算机名称。
● 增加了Active Directory安全组发现这一方法。
● 在软件更新节点上的操作,支持管理员自行建立文件夹来作为群组分类的管理。
● SMS高级客户端可以支持三种架构的平台,分别是IA64、x64、x86。
● 增加传送客户端删除记录到SMS父站点,以及传送这些通知到整个层次式架构的SMS服务器上的功能。
SMS提供了基于Microsoft Update引擎的更新管理工具ITMU(Inventory Tool for Microsoft Updates),只要安装ITMU就可以实现Windows系统、Office,以及其他微软产品的补丁更新管理。
多线程的软件资产清单处理。
SMS负责软件清单处理的核心服务SMS Executive组件采用了多线程的处理机制,可以让资产管理过程中的大量数据处理更有效率。
1.3.6 WBEM和WMI
WBEM是一种统一了企业计算环境的第一个公开标准,WBEM提供了一系列标准的管理工具,这些工具都是基于XML的。使用这类工具的意义在于桌面管理任务使得企业需要一系列标准的工具,以便支持数据模型以及通用信息模型(CIM)。
那么到底什么是WBEM?其实WBEM是一个开放的标准,可以让供应商和制造商以一个统一的标准配合,提供有关软硬件的通用数据。这些信息可以保存在类似“容器”的数据库中。
那么WMI是否满足这一标准呢?WMI是一种实用技术,可以让脚本通过网络,以及WBEM容器监控和管理资源。这些资源可能是硬件,不过有些则可能是事件日志,或者基于事件类型的数据。WMI可以用于Windows 2000以上的操作系统中,并且可以安装到任何32位Windows客户端中。
SMS 2003可以利用这些资源实现自己的操作和清单功能。我们可以借助脚本通过WMI触发SMS事件,而可以使用SMS从客户端系统的WBEM容器中借助WMI查询清单信息。这些功能以及互相之间的紧密结合出现在至少两个SMS 2003的功能中。
1.3.7 资产智能
“资产智能”功能扩展了SMS 2003的软硬件清单功能,可以方便地跟踪微软软件应用程序许可证,而且可以向管理员提供合规性跟踪报告,并有助于企业控制盗版软件的使用。“资产智能”以易于理解的格式提供准确的软件安装和使用数据,从而可以更好地评估组织中的许可需求和使用情况。
新功能包括增强的软件标识、硬件升级跟踪,以及带有钻取功能的多种新报告。钻取报告使管理员可以轻松了解组织的硬件或软件概况,并且钻取到后续报告直到获得所需的详细信息,甚至可以钻取到单台计算机的完整信息(包括硬件、软件和许可证状态)。
新的微软许可证功能能够保持和微软许可报表的一致,可以更好地促进许可证管理。这些报告中呈现的信息可指示多项参数,例如特定产品的安装数目、每台计算机和每个软件项的许可证状态,以及软件许可证的销售渠道。
为运行Windows Vista的计算机新增的支持功能包括用于监视作为密钥管理服务器(KMS)的计算机和即将过期许可证的报告。此外,SMS 2003还可以提供标准报告,可指示升级到Windows Vista的准备情况,并标识每台计算机需要在磁盘、内存和处理器方面做出哪些改进。
1.3.8 Windows Vista支持
SMS 2003 SP3提供了对Windows Vista的支持,其中可以支持安装:Windows Vista Business Edition、Windows Vista Enterprise Edition和Windows Vista Ultimate Edition版本的操作系统,不过无法支持安装Windows Vista Home Basic和Windows Vista Home Premium版本的操作系统。
1.3.9 64位支持
SMS 2003还提供了对在64位处理器上,以32位模式运行的客户端的支持。SMS 2003通过添加一个新类“Add Remove Programs(64)”以便从使用64位处理器的计算机中收集64位软件库存清单信息,从而扩展了上述支持。
1.3.10 文件大小库存清单的改进
虚拟机和其他高级计算功能越来越依赖于大型文件。在SMS 2003 SP3之前,库存文件大小为32Bit整数。因此,如果文件大小超过2GB,则报告的文件大小信息会出错。SMS 2003 SP3已将此限制增大为64Bit,从而增加了对2GB以上文件库存清单的支持。
1.4 SMS 2003 R2新功能介绍
SMS 2003 R2需要部署在SMS SP2以上版本中,R2可以提供针对微软平台下功能更强大的变更与状态管理,在这个版本中同时也赋予管理人员可以同时进行企业中所有非微软所发行的应用程序进行软件更新,例如企业中的ERP系统程序补丁,或者第三方所发行的应用程序,这样可以进一步降低企业的IT运营成本。
SMS在企业的IT管理中扮演着极为重要的变更管理与安全管理的角色,国内外有许多大中型企业选择使用它来帮助企业解决在IT管理上所遭遇到的难题与瓶颈,例如,无法有效地盘点企业的软硬件资产、难以落实所拟定的信息化使用条例、各种应用程序的大量部署费时又费力、难以准确地掌握各类合法版权软件的使用情形,以及补丁更新的管理无法达到全面自动化部署等。
1.4.1 系统弱点扫描工具
客户端许多软件安装上的错误或各种系统配置设置上的不当,可能会造成系统安全上与稳定上的问题,如此一来将会导致IT部门在支持成本上的逐渐攀升。在SMS 2003 R2中,我们可以通过Scan Tool for Vulnerability Assessment工具(简称STVA)帮助IT管理人员在客户端计算机的集中管理过程中避免这些可能的错误。而在该工具成功执行后,IT人员可以获得一份完整的客户端系统弱点评估报告,该功能使用的扫描引擎是Microsoft Baseline Security Analyzer 2.0(简称MSBA),该引擎可以检测的项目主要包括:
是否有系统不需要的服务被安装或正在执行当中。
客户端计算机上所设置的文件共享是否有设置适当的权限配置。
Windows XP或Windows Vista中内置的防火墙功能是否已启用。
客户端计算机上的自动更新功能是否已启用。
用户的密码配置原则是否有强制采用符合密码复杂度原则。
操作系统默认中未启用的Guest账户是否有被启用。
本机计算机中是否有太多用户属于Administrators组成员。
软件安装错误和错误的配置会危及安全性和稳定性,导致支持成本不断增多。用于弱点评估的扫描工具有助于防止错误,从而增加了企业的正常运行时间,并帮助我们构建更加安全的基础架构。该工具使用MBSA 2.0引擎针对普通软件错误配置,提供弱点评估报告。
该工具可以扫描下列问题:
扫描企业因配置错误而产生的安全漏洞。
STVA检测实例。
是否安装并运行不必要的服务?
文件共享是否需要适当的许可?
系统是否启动Windows防火墙?
系统是否启动自动更新?
系统是否强制要求复杂的用户口令?
系统是否存在不安全的用户账户?
客户端计算机上是否有多个本地管理员?
1.4.2 自定义更新清单工具
在SMS 2003 R2中提供了可以让管理员管理所有非微软应用程序更新的工具:Inventory Tool for Custom Updates(简称为ITCU),ITCU主要包括下列两个部分:
扫描工具:扫描工具用来针对客户端情况进行扫描和评估应用程序状况。
发布工具:管理员可以通过发布工具将定义好的应用程序补丁导入到SMS中,通过原有的软件更新管理来自动为客户端的应用程序进行修补工作。
1.4.3 操作系统部署
SMS 2003在R2分发中提供了操作系统部署功能包。如今我们也可以通过它来部署企业客户端的操作系统,只是这些功能默认并没有安装在具有SMS代理程序的计算机上。那么到底要如何使用SMS部署全新的操作系统?如何进行现有Windows XP自动升级至Windows Vista?
事实上这部分功能是在SMS 2003服务器上安装OS组件部署功能包(OSD)之后提供的功能。通过使用SMS 2003的OS部署功能包,我们可以结合RIS服务来进行操作系统的大量部署,另外还可以将它所产生的WIM(Windows Imaging Format)格式的镜像文件刻录成可引导的光盘,然后用这样的引导光盘直接进行安装。
该功能可以部署的操作系统版本包含了大部分主流客户端与服务器端操作系统。而对于要部署的目标计算机来说,我们还可以选择采用升级或全新安装的部署方式。本书中会同时介绍如何通过OS部署功能包进行Windows Vista的大量部署,以及如何将现有的Windows XP全面自动化大量升级为Windows Vista。
以下让我们了解一下采用OSD部署方式从客户端到服务器端的系统的一些要求。
OSD部署方式对于环境有一些要求,具体的要求如下:
1.DHCP与RIS服务器
无论是进行Windows XP或Windows Vista部署,对于新的部署安装来说,都需要预先在网络上确认DHCP服务是在正常工作状态下。如果目前网络中尚未有DHCP服务,则需要额外从“Windows添加/删除”组件程序中安装。而安装RIS组件,则是目前使用OSD组件进行大量网络部署Windows系统的重要条件。
2.SMS 2003站点服务器
部署SMS 2003站点服务器所需要的最低硬盘空间为175MB,并且必须确认已经启用了管理点,并正确设置了高级客户端的网络访问账户。如果想要部署Windows NT 4.0 SP6的操作系统,则必须确认正确配置了旧版客户端网络访问账户设置。
整个OS部署功能包安装如图1-5所示,只要单击SMS 2003 R2安装菜单中的“OS部署功能包”选项,即可立即自动连接到微软公司的网站上,下载最新版本的OS部署功能包。这个过程中没有什么需要特别注意的设置,不过如果在安装过程中遇到问题,则可以参考SMS\Logs目录下的两个日志文件,这两个文件分别是OSDeploymentsetup.log和OSDeploymentmsi.log。
3.模板计算机
安装了Windows 2000以上版本的操作系统,需要安装SMS 2003高级客户端,但不需要分配到SMS站点中,无须加入域工作组状态即可。
4.磁盘与IP地址分配
使用DHCP方式获得IP地址分配。
系统引导分区为“C:”,并且必须使用NTFS文件系统。
在C:\中创建Sysprep,并且将对应模板系统版本的Deploy.cab中的文件复制到Sysprep文件夹中。
图1-5 SMS 2003 R2安装菜单
5.目标计算机
如果要部署的目标计算机是全新的,则对于操作系统版本,以及SMS客户端代理程序的安装没有什么要求。如果是要进行升级部署安装,则这些计算机必须至少安装了Windows NT 4.0 SP6以上的系统,并且已经安装了SMS 2003 SP1以上的客户端代理程序,“C:”盘为引导盘,使用NTFS文件系统。