第2章 站点结构

如图2-1所示，这是一个标准的SMS基础架构部署，服务器端部分可以大致分为前端SMS应用系统，以及负责储存所有状态设置值与各项软硬件资产、应用程序部署、补丁更新等信息的数据库服务器，而受管理的客户端计算机需要安装SMS代理程序，这样该客户端便可以根据服务器的策略设置向服务器报送软硬件的资产信息，接受IT管理人员的远程连接排错，并可以接受管理人员分发的应用程序，以及软件补丁更新等。

在图2-1中的SMS部分，我们还可以按照不同的功能需求，将整个架构细分为不同的服务器角色，以便让管理员方便地使用。

2.1 SMS站点服务器

SMS站点服务器是指在Windows 2000 Server（SP2或更高版本）或Windows Server 2003系统中成功安装了SMS 2003，并且启用了相关的组件和服务。该站点的服务器至少是Windows NT 4.0域或者是Windows 2000域，以及更高版本的Active Directory的域成员服务器。如果SMS站点服务器是主站点，那么该服务器必须可以访问运行Microsoft SQL Server 7.0 Service Pack 3或更高版本的数据库。我们可以将SMS站点服务器安装在域的成员服务器上，但不能安装在处于工作组状态的服务器上。

注意：在企业的生产环境中不建议将SMS 2003的服务器部署在域控制器上。

2.2 SMS站点层次结构

SMS的站点层次结构类似于一个组织流程图，只要存在两个以上SMS站点，并且站点之间定义有父子关系，那么就有相应的层次结构。SMS的站点层次结构提供了一种扩展和缩放不同的组织结构的SMS的方法。

父站点和子站点都是由SMS站点层次结构中的相对关系定义的。父站点下至少应该定义有一个子站点，并且父站点可以管理SMS站点层次结构中下层的任何子站点。子站点则必须定义至少一个父站点。子站点会将系统发现、软硬件清单和状态等信息发送给自己的父站点。任何SMS主要或辅助站点都可以作为一个父站点服务器的子站点，SMS主站点可以接收其子站点的报告，但SMS辅助站点则不可以。

SMS主站点是指具有SQL Server数据库访问权限的SMS站点。SMS主站点可以直接通过SMS管理控制台，以及任何SMS站点层次结构中的上层SMS站点进行管理，而SMS主站点也可以管理站点层次结构中下级的任何子站点。SMS主站点可以是其他主站点的子级，但也可以有自己的子站点。只有SMS主站点可以支持站点系统分配管理点、服务器定位点，以及报告点角色。

SMS辅助站点是指没有SQL Server数据库访问权限的SMS站点。SMS辅助站点始终是主站点的子站点，并且只能通过其父站点，或通过SMS站点层次结构中其他上级站点进行管理。辅助站点不能有自己的子站点，但可以支持站点系统分配管理点、服务器定位点，以及报告点角色，而且可以被分配代理管理点。

SMS中心站点是指位于SMS站点层次结构最顶部的SMS主站点。清单数据、状态消息，以及站点控件的数据和发现数据会从子向父传递，最终被收集到中心站点的SMS数据库中。SMS中心站点可以管理其SMS站点层次结构中下级的任何站点。

如图2-2所示的是一个简单的SMS层次结构模型，这个模型中同时包括了主站点和辅助站点，同时这些站点都是中心站点的子站点。

2.3 SMS管理控制台

SMS管理员是SMS站点或特定对象的实施、维护和技术支持人员，而如图2-3所示的SMS管理控制台则是SMS管理员维护SMS站点的主要工具。

SMS 2003管理控制台对于操作系统平台的要求如下：

Windows 2000 Professional SP2以上

Windows 2000 Server SP2以上

Windows 2000 Advanced Server SP2以上

Windows 2000 Datacenter Server SP2以上

Windows XP Professional SP2以上

Windows Server 2003 Standard Edition以上

Windows Server 2003 Enterprise Edition以上

Windows Server 2003 Datacenter Edition以上

Windows Vista Enterprise以上

Windows Vista Ultimate以上

Windows Vista Business以上

SMS管理控制台实际上是建立在MMC管理控制台上的SMS管理单元。SMS管理控制台中包含了12个可以通过SMS站点数据库执行的管理节点，每个管理节点又包含了其他的管理对象，如表2-1所示。正是因为SMS管理控制台是基于微软MMC的，因此我们也可以很轻松地通过SMS SDK等方式自定义我们自己的SMS管理控制台。

2.4 SMS站点类型

SMS站点定义了计算机、用户、组和SMS将管理的其他资源，以便SMS站点能远程地控制客户端，播发数据包，查看所有IP设备、库存系统资源、跟踪软件使用情况和相关报表。SMS 2003站点是由活动目录站点或IP子网地址定义的，这意味着我们在企业内部对于SMS客户端资源管理的定义上有了很大的灵活性。SMS站点包括：SMS站点服务器、SMS站点系统和SMS客户端和资源。

2.4.1 主站点

某些主站点或子主站点可能会连接到别的父主站点，或连接到下级的其他辅助站点。在这种树形的架构中，我们应该尽可能地保持整个树形结构的简单，否则可能会导致SMS 2003组织结构中存在较高的延迟。通常建议企业会尝试限制主站点的数量，因为每个主站点都需要各自的SMS 2003服务器授权，以及SQL Server授权，这样可能会导致较高的预算，并导致混乱的组织结构，因此在实施之前就要做好规划。

主站点储存了自身与旗下所有站点的数据，这些数据会保存在主站点所连接的数据库站点中，而一个主站点可以包含多个辅助站点，以分别承担不同的站点系统角色，这些辅助站点将会把所获得的客户端相关信息报送给主站点。

2.4.2 辅助站点

辅助站点没有自己的SQL Server数据库，同时辅助站点对硬件的要求也没有主站点高，因此我们可以在企业中不加限制地使用这样的站点。当然，是在有这个需要的时候。

如果分公司或分支机构有低带宽或者高延迟的网络，我们可能会需要安装辅助站点。通过在这样的位置放置辅助站点，我们可以配置发送程序控制将SMS 2003的数据传输给这些位置，这样可以实现更好地控制网络吞吐量，以规划及网络使用。如果在这些位置放置有分发点（DP），那么情况会不太一样，尤其是如果有一个较小的位置，或者拥挤的位置，或者在远程位置有大量客户端的情况下，这时候就必须使用分发点。

这里的问题在于，我们并不总是需要让所有SMS数据包都以最快的速度传递给远程的分发点，尤其是在每天业务最繁忙的时候。我们可能还会选择使用辅助站点，借助代理管理点（PMP）减少客户端和主站点之间的网络通信，关于代理管理点的相关内容会在后面的内容中作介绍。

辅助站点没有SMS站点数据库，但可以向主站点报告信息。辅助站点可以由运行被连接到主站点的SMS管理控制台的SMS管理员管理。

辅助站点会将所收集的客户端信息直接报送给主站点，所以辅助站点本身并不直接连接到数据库服务器，并且整个管理过程都是由SMS管理员在管理控制台中进行统一的管理。辅助站点适合部署在跨广域网的网路环境中，例如在分支机构需要部署SMS服务器，但分支机构没有专职的IT管理人员时，这时候最适合部署辅助站点，这样可以由总公司的SMS管理员进行统一的管理了。图2-4演示了SMS的主站点与辅助站点之间的架构关系。

2.5 站点关系和层次结构

在安装第一台SMS主站点后，我们就可以在该站点的下层或上层添加站点。当我们添加了额外的站点后，可以在这些站点之间创建父子关系，主站点和辅助站点都会向上一级主站点报告。

注意：一般来说，中心站点往往是我们管理整个组织的逻辑中心。

2.5.1 中心站点

中心站点是指SMS网络架构中最上层的中央管理站点，在整个SMS层次结构中，所有获得的信息都将发布给该站点，例如软硬件资产数据、软件计数信息、软件打包与分发信息等，此外中心站点还可以统筹管理所有旗下的SMS站点。

2.5.2 父站点

父站点也是主站点，同时在树形结构中，这样的站点下级必须附加有至少一个站点。父站点中会包含其下级站点的相关信息，例如计算机清单数据，以及SMS系统状态信息，同时还可以控制子站点的很多操作。

父站点可以是主站点或者辅助站点，一个父站点可以有多个子站点，但如果某个父站点恰好也是辅助站点时，那么此父站点就只能有一个子站点。父站点不仅存储本站点的客户端数据信息，同时也会存储它的所有子站点的客户端数据信息。

2.5.3 子站点

子站点是指附加到树形结构中的上级站点的站点（如图2-5所示），同时这些站点会向自己的父站点发送信息。SMS会将由子站点收集的所有信息复制到对应的父站点，子站点可以是主站点或者辅助站点，不过辅助站点只能是子站点。

子站点同样可以由SMS主站点或辅助站点来承担，不过子站点的主要工作是收集自己所管理的客户端数据信息，并将收集的信息报告给自己的父站点。

2.6 SMS站点系统角色

SMS站点系统是指基于Windows 2000 Server（SP2或更高版本）或Windows Server 2003服务器执行一个或多个SMS角色的SMS站点。这些SMS角色包括：客户端访问点、分发点、管理点、服务器定位点，以及报告点。默认情况下，客户端访问点和分发点角色会被安装到同一台SMS站点服务器上。我们可以在SMS站点上启用其他的SMS站点系统角色。

2.6.1 管理点

SMS管理点（MP）是指SMS站点系统与其分配的SMS站点通信时使用的高级客户端，它提供了类似客户端访问点的功能。管理点只支持一个SMS主站点，因为它需要访问SMS站点数据库。支持高级客户端的漫游功能时，管理点可以在辅助站点中部署代理管理点。

2.6.2 分发点

SMS分发点（DP）是指存储SMS客户端计算机上执行所需的程序包文件、程序和脚本的SMS站点系统。在默认情况下，SMS将给具有最大可用空间的硬盘分区根目录下创建一个隐藏的共享充当分发点。分发点的一项新功能是能够启用后台智能传输服务（BITS），高级客户端可以使用BITS控制数据包文件从分发点使用空闲带宽下载。如果下载被中断，无论出于什么原因，BITS都将保持下载停止时的位置，并在下次可以下载的时候继续从中断的地方下载该文件。例如，一个使用笔记本电脑的用户，只连接了很短的时间，然后断开连接，并离开了办公室，在这之后，被启动的程序包下载将会被中断。当用户再次登录到这台笔记本电脑之后，下载将继续从中断的地方下载。

2.6.3 客户端访问点

SMS客户端访问点（CAP）是指SMS站点系统和作为交换SMS旧客户端和SMS站点服务器之间的点。它能够在SMS层次结构中的客户端和服务器之间提供主通信点。当将某个客户端分配给一个或多个站点时，该客户端将接收到一个关于每个站点的客户端访问点的列表。旧客户端向某个客户端访问点发送了清单数据和状态消息，并且从某个客户端访问点接收到播发。当某个程序在某个客户端上启动时，播发程序客户端代理将检查客户端访问点以查找该特定程序的可用分发点。

2.6.4 服务器定位点

服务器定位点（SLP）是SMS站点系统在客户端安装时的文件来源。它可以为旧客户端提供站点工作分配信息，并为高级客户端提供管理点信息，这些信息可以用于定位客户端访问点，以及指导客户端完成安装。服务器定位点要求在服务器上安装有Microsoft Internet信息服务（IIS）。

2.6.5 报告点

报告点（RP）是指SMS站点系统集成的基于Web的报表查看器组件。因为报告点可以与本地站点数据库通信，因此最好安装在主站点上。和服务器定位点类似，报告点也需要安装IIS。

2.6.6 代理管理点

代理管理点（PMP）是指辅助站点上的管理点，代理管理点可以为在其内部漫游边界中，并被指定到其父主站点的高级客户端提供服务（如图2-6所示）。

通过在辅助站点上放置代理管理点，我们可以限制或控制从客户端到主站点的数据通信。代理管理点通常位于SMS 2003层次结构的顶部。代理管理点可以从客户端和队列中收集信息，并对其进行压缩，以准备传输到主站点服务器。

注意：SMS高级客户端可能只分配给对应的主站点，同时也将保留该站点的站点代码，即使所在的辅助站点上有一个代理管理点。

代理管理点可以从客户端收集清单数据，并将其转换为XML格式。一旦数据被成功转换，最新的数据就会被压缩传输到辅助站点，然后由辅助站点传送给父站点。代理管理点会使用为发送程序配置的特定的周期和速度执行这些传输。辅助站点可以将这些信息发送给自己的父主站点，而大量客户端则可以用同样的时间间隔报告清单。

代理管理点对于软件分发请求也有一定的好处。虽然代理管理点无法为用户或计算机缓存策略请求，不过代理管理点可以缓存实际的策略内容中包含的有关特定播发的详细信息。但定位用于数据包播发的请求不会被缓存，因为这些请求对于每个客户端都是唯一的。

另外，如果不在性能规划分析过程中尝试不同的配置组合，我们可能并不能理解在远程站点放置代理管理点可以带来的成本节约或其他好处。如果我们的某个位置只有少量的客户端系统，通过代理管理点传输数据可能要比不在这个位置放置代理管理点耗费较多的成本，而如果客户端的数量较多，在降低网络流量方面的好处才会逐渐显现出来。

如果确实需要使用辅助站点和代理管理点减少跨越广域网连接的网络流量，我们还可以尝试另一种技术，使用SQL Server复制。在为辅助站点执行SQL Server复制时，代理管理点可以将请求直接导向复制的数据库。当然，这时候我们通过广域网连接复制的是SQL Server表，以及操作的命令。在这种情况下，我们依然需要审核成本和收益。如果在网络饱和或者低带宽的广域连接后有大量的客户端，这时候收益才会比较明显。为了实现这样的配置，我们必须熟悉SQL Server的复制操作，另外还需要使用SMS管理控制台配置代理管理点使用被复制的SQL数据库。只要对SMS 2003有一个良好的规划，那么我们可以收到事半功倍的效果。

2.7 站点边界

SMS站点管理客户端的范围由站点边界（如图2-7 所示）决定。站点边界可以由IP子网或Active Directory站点名称定义，客户端被分配到SMS站点限定范围内之后，会根据他们的IP地址或Active Directory站点名字进行配置。

注意：与网络发现或Active Directory系统发现类似，SMS发现功能可以发现没有安装SMS客户端软件的计算机。如果检测到这样的计算机，而且计算机运行了不被支持的操作系统，那么这样的客户端计算机发现功能也会被启用，但客户端安装方法不会被启用。

2.8 SMS站点通信

为了让SMS 2003站点之间可以互相通信，我们需要定义用于进行通信的机制，以及通信的工作参数。在为站点定义通信参数的时候需要考虑两个问题：发送程序和地址。

发送程序决定了将要使用的网络连接或介质，而地址定义了数据将要被发送到的位置或目标。我们可以将地址想象成通信的“听众”，而将发送程序看做是数据的传输方式。

2.8.1 发送程序

在设计SMS 2003结构时，我们可能会需要多个站点。为了促进多个SMS站点之间的通信，我们可以通过发送程序定义SMS站点用来通信的网络介质和带宽的使用情况。如果只有一个单一的SMS站点，那么就不用考虑发送程序的配置问题，因为没有其他可以接收数据的“收件人”。

在同一个树形结构中的所有站点都需要使用发送程序传输数据。这些数据可能是发往父站点服务器或子站点服务器的，而被传输的数据则可能包括配置、集合、数据包，以及播发信息。通过使用发送程序发送数据，我们可以优化信息的传输，并在尽可能短的时间里利用尽可能少的网络带宽完成通信工作。如果要实施的SMS 2003环境包含多个站点，那么就更有必要考虑对带宽进行限制和计划。

在SMS 2003中，我们可以配置下列类型的发送程序：

标准发送程序：用于所有的局域网通信，如果路由器被配置为使用LAN段连接，标准发送程序也可以被用于广域网通信。

异步RAS：用于通过异步线路进行的远程访问服务（RAS）通信。

ISDN RAS：用于通过ISDN线路进行的RAS通信。

SNA RAS：用于通过RAS线路进行的系统网络架构（SNA）通信。

X25 RAS：用于通过X.25线路进行的RAS通信。

媒体发送程序：用于通过光盘、软盘或磁带发送和接收SMS数据包。媒体发送程序主要用于发送过于多，可能通过网络无法有效传输的数据。

标准发送程序可能是最常用的。当我们使用其他类型的发送程序时，确保使用的发送程序已经正确配置。

注意：并非所有类型的站点通信都需要使用发送程序或配置的计划。例如，如果我们使用SMS管理控制台或使用远程工具连接到树形结构中的其他SMS站点上，或者由客户端进行的SLP，以及MP通信，都不需要使用发送工具。

2.8.2 地址

为了让我们定义的发送程序可以正常工作，我们还必须定义通信位置的路由或地址。这个地址需要被定义为特定的父或子站点，有时候，可能还需要定义到毗邻当前站点的其他站点。

对于每个通信的双方，都需要定义一个有效的地址。地址是和特定发送程序相关的，这意味着对于每个通信目标，我们必须为要在站点通信中使用的每个发送程序配置不同的地址。当然，我们也可以配置多个地址，每个地址对应一个不同的发送程序，这样可以提供一定程度的冗余。如果站点之间的通信丢失了，而且所有发送程序都无法提供连接，站点依然会收集数据，并等待连接还原后统一发布。

然而我们并不需要为一个通信的双方都配置发送程序和地址，只需要从一端进行配置即可，只要能让数据发送到正确的位置，就可以实现通信。

注意：在某些特定配置的站点中，这个特性可能会很有用，然而如果配置错误则可能导致很多问题。

2.9 SMS客户端

SMS客户端是指可以被SMS 2003管理的计算机。SMS客户端可以是用户的台式机、笔记本电脑、工作站或者是Windows服务器，这可以包括SMS站点服务器或站点系统。SMS客户端可以分为高级客户端和旧客户端两类。这两个客户端类型之间的差异在本书下文会有比较详细的介绍。

SMS 2003可以利用Active Directory管理高级客户端。高级客户端可以通过管理点、服务器定位器点、报告点和Active Directory与站点进行通信。

注意：SMS 2003不支持所有非企业版的Windows客户端操作系统，包括Windows ME、Windows XP Home Edition、Windows Vista Home Basic。以及Windows Vista Home Premium，同时也不支持Macintosh、Novell NetWare或者所有版本的Microsoft Small Business Server系统。

2.10 远程漫游和漫游边界

某些SMS高级客户端可能是便携式计算机。例如，笔记本电脑，经常会从一个网段移动到另一个网段。例如，当我们在办公室中把笔记本电脑从网络连接中断开，然后带到家中或其他地方重新接入拨号连接（或其他Internet服务提供商连接）时，这一过程被称为“漫游”。当我们在办公室中把笔记本电脑从网络连接中断开，然后沿着走廊来到会议室，使用无线网卡把该机器连接到企业的无线网络时，这个过程也称为漫游。

漫游是指把运行SMS高级客户端的计算机从一个IP子网或Active Directory站点移动到另一个位置的能力。漫游始终会涉及客户端上的IP地址变化。

基于SMS站点的漫游边界配置（如图2-8所示），设置为SMS高级客户端自动指派SMS站点。我们还可以将高级客户端手工指定给某个SMS站点，而不用考虑边界问题。

通过使用“漫游边界”，安装了SMS高级客户端的计算机可以从企业中的一个位置移动到另一个位置，并仍然被SMS所管理。即使在客户端计算机漫游时，这台计算机可能仍然需要接收来自SMS的软件包。漫游边界使SMS能够向正在漫游的高级客户端提供软件发布服务。漫游边界还可以用于配置受保护的分发点。访问受保护的分发点时会受到限制，只有在SMS管理员配置的特定边界集合中的高级客户端才能访问。

漫游边界可以由IP子网、IP地址范围或Active Directory站点名称指定。SMS站点的漫游边界配置能够控制高级客户端访问其分发点。SMS站点边界也被默认配置为本地漫游边界。

注意：不要将漫游边界设置为彼此重叠。如果高级客户端在多个SMS站点的漫游边界之内，则可能无法与正确的站点进行通信。如果客户端漫游到未定义漫游边界的位置，那么客户端将返回其指定站点的管理点和分发点。在这种情况下，客户端将把分发点视为远程分发点。

2.10.1 管理点和正在漫游的高级客户端

要了解高级客户端在漫游时如何与管理点进行交互，我们需要熟悉以下相关术语。

指定管理点：对高级客户端指定的站点的默认管理点。客户端数据（包括状态、硬件清单和软件清单）始终会被发送到该指定管理点，除非存在代理管理点。

驻留管理点：高级客户端（无论是否漫游）目前所在站点的漫游边界的默认管理点。当客户端在其指定站点中时，站点默认管理点就是站点的驻留管理点；当客户端漫游时，作为客户端驻留管理点的管理点取决于客户端所在的漫游边界。

代理管理点：高级客户端向其驻留管理点发送软件包源位置请求。如果存在代理管理点，那么所有其他请求和数据（包括高级客户端策略请求、清单数据和状态消息）均会被发送到该代理管理点；如果不存在代理管理点，那么这些请求和数据将被发送到指定管理点。除高级客户端策略之外，所有在管理点和高级客户端之间传送的消息都经过压缩。

代理管理点把清单数据和状态消息传送到辅助站点服务器，辅助站点服务器随后把数据复制到主站点。因为发送减少了站点对站点的通信，这种代理方法可以提高带宽使用率。对于高级客户端策略和软件包源位置请求来说，代理管理点可以绕过辅助站点发送方，直接访问SMS站点数据库或已复制的SQL Server数据库。

注意：为了减少到SMS站点数据库服务器的网络流量，我们应实施SQL Server数据库复制功能。

2.10.2 使用受保护的分发点

如果SMS站点服务器之间有广域网连接，则SMS管理员必须了解并谨慎考虑带宽的使用情况。高级客户端默认会在产生软件包源文件请求时从驻留管理点提供的可用分发点列表中随机选择一个分发点。为了限制通过低速网络或不可靠的网络链接对分发点的访问，我们可以将其作为一个受保护的分发点使用。这样，在受保护分发点特别配置的边界之外的高级客户端将不会尝试从受保护分发点下载或运行软件包。这在远程位置（有少数SMS客户端和分发点通过WAN连接到主站点）中，这是非常有用的。

为了下载或运行软件包程序，客户端通常会向其驻留管理点发送软件包源文件请求。如果客户端是在为受保护分发点配置的边界之中，管理点将为客户端提供分发点位置列表，其中包含了所请求的软件包源文件的路径。如果客户端不在为受保护分发点配置的边界之中，则管理点不把受保护分发点作为源文件位置提供给客户端。

受保护分发点不允许在其特别配置的边界之外的高级客户端从它那里下载或运行公开的软件包。如果配置正确，受保护分发点能够确保与SMS站点建立良好连接的高级客户端无法从位于广域网链路上的分发点下载软件包。

例如，我们可能在主要办公地点拥有一个主站点，在远程办公地点拥有一个辅助站点。辅助站点边界被当做本地漫游边界。我们指定了在远程办公地点的受保护分发点，并在受保护分发点配置中指定了站点边界。这样只有在受保护分发点边界内的高级客户端能够使用受保护分发点来下载或运行数据包程序。这些客户端可以避免使用父主站点分发点，除非播发的软件包在受保护分发点上是不可用的。如果我们在把软件包源文件复制到受保护分发点之前，不小心向在受保护分发点边界中的客户端发出通告，就会出现这种情况。同样，主站点中的高级客户端不能从远程办公地点的受保护分发点下载或运行软件包程序。

受保护分发点提供了带宽保护，可使带宽完全用于软件包运行或软件包下载。在没有代理管理点来处理清单数据、状态消息和高级客户端策略请求的时候，受保护分发点不阻止高级客户端与其指定管理点进行通信。

2.10.3 局部漫游和全局漫游

如果Active Directory是不可用的，或者如果支持SMS的Active Directory架构未经扩展，那么高级客户端只能漫游到其指定站点的低级站点，这叫做“局部漫游”。在局部漫游情况下，高级客户端可以漫游到较低级的站点，同时仍然从分发点接收软件包。

当向高级客户端发送通告时，客户端从其指定管理点接收与公开的软件包位置有关的信息。或者，如果客户端已经漫游到辅助站点，并且代理管理点可用，则客户端将从代理管理点接收有关公开软件包的位置的信息。客户端随后使用其指定站点的低级站点之一的分发点。其使用哪个分发点取决于客户端在哪个漫游边界中，以及公开的软件包在分发点上是否可用。

全局漫游允许高级客户端漫游到更高级站点、同级站点以及SMS分层结构中其他分支的站点，同时仍然从分发点接收软件包。全局漫游需要Active Directory和为SMS扩展Active Directory架构。全局漫游不能跨Active Directory森林进行漫游。