System Center
SMS 改进:用于管理系统的功能强大的新解决方案
John Orefice
概览:
- 操作系统部署
- 软件更新管理
- 所需配置管理
Systems Management Server (SMS) 2003 已成为面向全球管理员的重要配置管理和软件交付工具。现在 Microsoft 正在准备
引入新版的企业管理解决方案,该新版本采用了新功能和新名称:System Center Configuration Manager 2007。
System Center 是一系列 Microsoft 产品,旨在相互协作使复杂 IT 基础结构的日常管理变得更加容易、更加经济高效。System Center 解决方案基于从 Microsoft® Operations Framework (MOF) 和信息技术基础结构库 (ITIL) 派生的自动化和最佳实践,并可用于组织的所有级别。
Configuration Manager 2007 只是 System Center 系列的一部分。System Center Data Protection Manager 提供企业系统备份和恢复。System Center Operations Manager 为您提供前瞻性的系统监视和自动化。System Center Capacity Planner 可用于容量规划和基础结构部署的假设性分析。此外还有很多相关信息(有关更多信息,请查看 www.microsoft.com/systemcenter)。
在本文中,我将基于最近的试用版本向您逐步介绍 Configuration Manager 2007 规划的若干新增功能和增强功能。我将大致介绍这个令人兴奋的版本将为您提供的功能,并且我希望您考虑一下 Configuration Manager 是如何实现节省您的组织的时间和资金的。
新的管理用户界面
自 SMS 1.0 以来,SMS 中请求最频繁的新功能之一是新增和改进的用户界面。Microsoft 通过对 System Center Configuration Manager 2007 管理用户界面进行几处改进回应了该请求。为了启用这些新增功能,Configuration Manager 2007 中的新控制台要使用 C# 和 Microsoft .NET Framework 构建,并在 Microsoft 管理控制台 (MMC) 3.0 技术的基础上运行。此外,与 SMS 2003 相同,该用户界面可以通过 SDK 进行扩展,因此控制台的用户可以创建自己的加载项以满足其个人需求。
图1 显示的是展开了“计算机管理”节点的新控制台,该图描述了所有可用的新管理功能。此外,请注意“SMS 站点配置”部分的新外观,该部分简要介绍了安装 Configuration Manager 后为了使其能够正常运行需要完成的常见任务。“链接和资源”部分包含相关的任务,用于缩短通过该控制台导航到常见功能所需的时间。
图 1** Configuration Manager 管理界面 **(单击该图像获得较大视图)
新控制台提供的一些好处和功能包括:多项选择和拖放(非常适用于集合管理);搜索文件夹,用于在控制台中虚拟而不是实际组织项目;“操作”窗格,用于执行适合当前部分的任务;“预览”窗格,用于查看特定项目(例如操作系统映像)的摘要信息;主页,用于概述有关特定主题(如软件部署)的摘要信息;以及改进的组织结构,用于极大地简化导航。
如前面所述,“操作”窗格是新改进的控制台中的主要增强功能之一。它提供了一种查看操作的方法,这些操作与您当前正在使用的控制台部分上下文相关。例如,如果您正在查看“所有系统”集合,“操作”窗格将显示“更新集合成员”和“安装代理”等操作(请参见图 2)。
图 2** 可用操作特定于当前的视图 **(单击该图像获得较大视图)
此外,Configuration Manager 2007 还引入了一个名为主页的新概念,它可使您非常快速地查看特定功能(如软件更新、软件分发或所需配置管理)的状态。您可以在控制台中进行查看,而无需运行报告或从其他地方查找数据。在本文中还提供了主页的更多示例,我在介绍该产品的其他功能时会涉及到这些示例。
服务器角色和分发点
Configuration Manager 2007 引入了几个新的服务器角色,它们实现了几项新功能,我将在此进行介绍。新增的服务器角色包括备用状态点 (FSP)、PXE 服务点 (PSP)、分支机构分发点 (DP)、状态迁移点 (SMP)、软件更新点 (SUP) 以及系统健康验证器 (SHV)。与所有 SMS 和 Configuration Manager 服务器角色一样,只要执行适当的容量规划操作,就可以在同一服务器上承载这些角色。
分支机构分发点非常重要且与传统的分发点不同,这表现在两个方面。第一,它无需安装在服务器操作系统上 — 可以安装在 Windows Vista® 或 Windows® XP 上。它是唯一可安装在客户端操作系统上的 Configuration Manager 角色。这非常适合不具备本地服务器的分支机构或 IT 部门希望从较小的分支机构中删除服务器以节省资金并减少管理开销的情况。在只具有运行 Windows XP 或 Windows Vista 的计算机的情况下,可以使用分支机构分发点,通过确保在程序包可以从本地获得时客户端不会通过 WAN 提取程序包来减少 WAN 通信量。
分支机构分发点区别于标准分发点的第二个方面是它与其他分发点的连接。传统的分发点复制数据没有任何限制,也不按计划进行,除非是从主站点进入辅助站点。因此,许多组织只在夜间将程序包复制到分支机构,从而延迟了软件分发,直到这些程序包在本地可用。
分支机构分发点使用后台智能传输服务 (BITS) 从其他分发点下载信息。这对于限制分支机构和中心数据中心中分发点之间的 WAN 链路带宽很有效,尤其是分支机构不存在 Configuration Manager 辅助站点时。图 3 显示了新的分发点属性对话框,用于将标准分发点转换为分支机构分发点。
图 3** 配置 分支机构分发点 **(单击该图像获得较大视图)
SMS 2003 引入了一种复制技术,允许进行从站点服务器到分发点的程序包的文件增量复制。此技术对包含几个较小文件的 SMS 程序包非常有效。例如,如果 SMS 管理员需要只对一个文件或较大 SMS 程序包中几个小文件进行更改,则只有程序包中那些已更改的文件被复制而不是整个程序包。
随着操作系统部署在 Configuration Manager 2007 中重要性的增强,用户希望确保能够以尽可能有效的方式通过 WAN 链路在整个基础结构中复制操作系统映像包和其他较大的程序包。为达到该目标,Configuration Manager 2007 引入了站点服务器到站点服务器、站点服务器到分发点以及分发点到分支机构分发点的二进制增量复制。
例如,从预安装了几个应用程序的 Windows Vista 部署映像开始。此程序包的大小可能是 6GB,因为它是 Windows 映像格式 (WIM) 映像,它还是一个单独的 6GB 文件。如以前所述,在 SMS 2003 中,如果 WIM 映像被打开以更改设置或添加发布的 2MB 大小的新修补程序,由于该映像是一个单独的 WIM 文件,因此必须将整个 6GB SMS 程序包复制到该分发点。相反,使用 Configuration Manager 2007 中的二进制增量复制,如果更改了设置或向 WIM 映像包添加了单个修补程序,则只会在整个基础结构范围内复制 2MB 修补程序或设置而不是复制整个 6GB 的程序包。
移动设备的常见过程
发布 SMS 2003 后不久,Microsoft 就发布了设备管理功能包 (DMFP),用于管理 Windows CE 和 Pocket PC 移动设备。随着移动设备在企业组织中的普遍深入,对其进行管理的需要变得更加紧迫。根据此趋势,Configuration Manager 2007 改进了 SMS 2003 DMFP 并提供了强大的新集成解决方案来管理移动设备(包括 Windows Mobile® Smartphone 和 Pocket PC 电话),这与管理服务器、笔记本电脑以及台式计算机大致相同。
移动设备的基本管理包括硬件和软件清点、文件收集功能、软件分发、密码设置以及安全策略管理。使用 Configuration Manager 2007 基于 Internet 的客户端管理,现在所有设备都可以在您的 Intranet 上或通过 Internet 进行管理。这非常适用于 Smartphone 或企业 LAN 上极少使用的其他设备。
部署代理的过程也进行了增强。现在,支持无线客户端升级并且通过 Configuration Manager 控制台可以自动实现客户端分发。
维护窗口
我所接触的许多企业客户在服务器和特定的关键任务桌面上都预定义了维护窗口。此外,他们经常会询问如何对设备部署较大的应用程序(如 2007 Microsoft Office system),而且在典型的正常工作时间不会影响最终用户。
Configuration Manager 2007 引入了名为维护窗口的新功能。通过此功能,您可以定义安装特定集合的时间窗口。这使您可以强制执行播发,而无需担心在正常工作时间或给用户带来不便的时间安装程序包的负面影响。
例如,请考虑 2007 Office system 程序包部署。您希望尽快为最终用户推出此应用程序,但是您不希望应用程序的推出影响正常工作。您可以设置维护窗口来显示希望系统执行安装的时段 — 可以是 8:00 P.M. 到 6:00 A.M。无论什么原因,如果在某一特定日期的此维护窗口期间系统不可用,Configuration Manager 将等待至维护窗口中定义的下次时间,以确保不会意外干扰正常工作。您还可以选择在某个播发级别忽略维护窗口,使您能够尽快部署关键更新,不管存在什么限制。
操作系统部署
操作系统部署功能是 Configuration Manager 2007 唯一最大的重点领域。Microsoft 已将 Configuration Manager 设计为部署服务器和工作站平台操作系统的主要方式。Configuration Manager 2007 集成了 SMS 2003 操作系统部署 (OSD) 功能包中的最佳功能,以便从根本上更改管理操作系统部署的方法。
如您所知,Windows Vista 为操作系统部署引入了新的 Windows 映像 (WIM) 格式。使用此格式有不少好处,首要的一个好处是 Configuration Manager 2007 本机导入了 WIM 映像格式,这样管理员就可以直接从控制台使用这些映像并对其进行部署。
Configuration Manager 中另一个重要的新功能是集成的任务排序器。如果您熟悉 Microsoft 商用台式机部署 (BDD) 解决方案加速器,您将发现它与 Configuration Manager 中可用的功能和选项有很多相似之处,但有一个主要的不同点:您不再需要编写脚本来部署或捕获操作系统映像。通过利用任务排序器,操作系统部署过程完全不需要任何干预。
任务排序器可以帮助安排部署操作系统需要执行的所有步骤,包括进行部署前要在较旧的操作系统中执行的步骤(用户状态迁移和应用程序设置转移),部署新操作系统的步骤(设置格式、磁盘分区、产品密钥、用户名、公司、许可证设置、驱动程序安装),以及部署完新系统后要求执行的步骤(其他应用程序安装、更新安装、用户状态迁移)。作为此功能的一个示例,图 4 显示了任务序列编辑器,突出显示了在 Windows Vista 部署中您可以利用的一些功能。
图 4** 编辑操作系统部署的步骤 **(单击该图像获得较大视图)
除了任务排序器,Configuration Manager 2007 中还有若干用于操作系统部署的其他增强功能,如图 5 所述。例如,Configuration Manager 支持通过设备驱动程序管理对 x86 和 x64 平台的预引导执行环境 (PXE) 进行裸机部署。通过此设备驱动程序管理选项,您的组织可以显著减少需要为各类硬件维护的映像数。通过与 Windows Vista WIM 映像格式引入的单一映像支持结合,在执行操作系统部署时您无疑会节省时间和资金。
Figure 5 操作系统部署功能
| 方案 | SMS 2003 | Configuration Manager 2007 |
| 端到端部署 | 是 | 是 |
| 完全自动化 | 是 | 是 |
| 擦除并加载法升级 | 是 | 是 |
| PXE 裸机部署 | 与远程安装服务 (RIS) 松散集成 | 与 Windows 部署服务 (WDS) 内置集成 |
| 并行 | BDD 脚本 | 是,通过内置状态迁移点 |
| 完全脱机部署 | 否 | 是 |
| Windows Vista 升级规划 | 否 | 是 |
| 完整服务器部署 | 否 | 是 |
| 设备驱动程序管理 | 否 | 是 |
软件更新管理
如同 Configuration Manager 2007 中的其他功能,软件更新管理已得到显著改进。通过为所有软件更新和所需配置管理信息创建一个新的基于状态的高优先级通道,Configuration Manager 将向托管代理推出更新和定期程序包的方法分离出来。推出其他软件包不会防碍推出软件更新或从托管的工作站、笔记本电脑或服务器接收修补程序状态。
软件更新管理的基于状态的方法还意味着修补程序和更新状态不再与硬件清单扫描相关,因此不再需要当前的 Inventory Tool for Microsoft Updates (ITMU) 和扫描目录。相反,Configuration Manager 将使用运行 Windows Server Update Services (WSUS) 的新软件更新点 (SUP) 服务器角色在后端作为软件更新引擎和数据库。
在 Configuration Manager 中,WSUS 使您能够在一个集中位置进行所有更新管理。这使您可以下载 Microsoft Update 上所有可用的内容,包括非关键更新、驱动程序和 Microsoft 平台的其他软件包。此外,Microsoft 还会鼓励其合作伙伴通过此方法发布软件更新。很多公司当前为 SMS 2003 R2 中的自定义更新清单工具 (ITCU) 发布了清单,并计划对接下来的 Configuration Manager 也采取同样的行动,Adobe 和 Citrix 就是其中的两家。
此新的软件更新引擎还提供接近实时的更新状态以启用更好的报告和增强的主页视图。通过这些自定义的视图,您可以快速了解整个 IT 基础结构或特定计算机集合的修补程序状态。图 6 显示了通过为软件更新管理自定义的某个新主页视图查看特定公告的修补程序符合性数据的过程有多简单。
图 6** 查看软件更新状态 **(单击该图像获得较大视图)
最后,软件更新部署模板显著减少了向系统或集合推出新的更新所需的步骤数。通过使用软件更新部署模板存储常见的配置信息(如是否强制重新启动或客户端是否应在执行安装前从分发点本地下载修补程序),此功能将 SMS 2003 中 ITMU 需要的步骤从 18 步减少到 Configuration Manager 2007 中的 6 步。
所需配置管理
配置管理是 Configuration Manager 2007 中另一个非常显著的改进功能。SMS 2003 所需配置监视在 2006 年秋季发布,并提供了 Configuration Manager 2007 所需配置管理中包含的许多关键功能。有关所需配置监视的背景信息,请参见 TechNet 杂志文章,网址为 microsoft.com/technet/technetmag/issues/ 2006/09/HighStandards。图 7 描述了显示两个特定配置基线符合性的“所需配置管理”主页。
图 7** 报告所需配置基线符合性 **(单击该图像获得较大视图)
Configuration Manager 中所需配置管理的关键驱动程序来自对 Microsoft 客户的大量研究,显示大部分服务停用是由关键任务服务器和桌面上的操作系统或应用程序配置错误导致。使用 Configuration Manager 中的所需配置管理功能,管理员可以通过对系统运行定期基线扫描快速捕获配置偏差。这些基线使用配置项 (CI) 创建,并提供组织中计算机集合的符合性信息。
除了捕获配置偏差,所需配置管理还可以帮助实现法规符合性报告和更改验证。在大部分组织中,都有可能需要法规符合性报告,如萨班斯·奥克斯利法案 (SOX)、支付卡行业数据安全标准 (PCI DSS) 和健康保险可携性与责任法案 (HIPAA)。Configuration Manager 2007 可通过所需配置管理帮助您获得所需的报告。
下面是所需配置管理的工作原理。管理员将定义配置项 — 可以在计算机中检测、应用和删除的配置单位。定义这些配置项后,即可创建由一个或多个配置项组成的配置基线。随后,这些基线将被分配到 Configuration Manager 集合进行符合性监视和法规报告。
配置项可以查看计算机的几个不同方面以收集信息,包括 Active Directory®、文件元数据、脚本结果、存储在 SQL Server™ 中的数据、软件更新数据、WMI、XML、注册表值、IIS 元数据以及 Microsoft Installer 显示和配置。从不同位置收集的信息将存储在 Configuration Manager 数据库中,并用于验证系统是否符合要求。
有趣的是,现在所需配置管理过程和通过 Configuration Manager 2007 发布新更新的过程已完全集成。与新的软件更新引擎相同,所有所需配置管理数据将使用基于状态的高优先级通道。这两种关键任务功能的集成使管理员可以定义新的所需配置管理基线或通过新更新来更新现有基线(作为更新部署过程的一部分)。
基于 Internet 的客户端管理
您将计算机与网络断开连接时间是否过长,使得 SMS 中的计算机对象过时?根据我与客户的交流,这种情况经常发生。幸运的是,Configuration Manager 2007 引入了新的基于 Internet 的客户端管理功能。此功能的工作方法与 Microsoft Office Outlook® 通过 HTTPS 与 Exchange Server 进行通信,而无需使用虚拟专用网络 (VPN) 非常相似。如果您不很了解此方案,只要知道您与客户端计算机的通信会更安全而且不需要复杂的 VPN 连接就可以了。
基于 Internet 的客户端管理使您可以管理 Internet 上的计算机,这与管理 Intranet 上计算机具有相同的控制级别。实际上,本文中介绍的所有功能都可与基于 Internet 的客户端管理一起使用,但是操作系统部署、网络唤醒和远程工具除外,因为它们使用不同的通信端口且不能通过 SSL 或 TLS 以隧道方式运作。一些可以运用基于 Internet 的客户端管理情况的最佳示例包括:餐馆、零售商店和加油站的销售点设备;员工的家庭计算机;需要长期在外奔波的工作者(如销团队或顾问团)。
在 Configuration Manager 2007 基础结构中启用基于 Internet 的客户端管理之前,您需要满足一些要求。首先,您需要一个公共密钥基础结构 (PKI) 将数字证书分配给 Configuration Manager 托管的所有代理。这将使您能够使用 Configuration Manager 服务器和所有管理代理之间的相互身份验证,确保您接收的数据已加密并来自受信任的源。您还需要一个 SSL 终止器作为 Configuration Manager 服务器和所有基于 Internet 的客户端之间的连接点。Microsoft Internet Security and Acceleration (ISA) Server 2006 是符合这些要求的基于软件的解决方案。
新的备用状态点 (FSP) 服务器角色将使用基于 Internet 的客户端管理。如果基于 Internet 的代理无法正确通信或证书过期,该代理会将问题报告给组织的外围网络中可用的备用状态点。这将确保用户从不与其托管的 Internet 系统失去联系。此外,客户端可以在基于 Internet 的管理和基于 Intranet 的管理之间自动切换,从而在适当的时间最好地利用适当的资源。
其他新增功能
尽管网络唤醒并不被认为是关键任务功能,但它仍是管理员的工具集中极为重要的一项功能,它用于快速而安静地获得软件分发、软件更新或完成操作系统部署。Configuration Manager 2007 为拥有兼容网卡的所有基于 Intranet 的托管代理启用了网络唤醒功能。图 8 显示了您如何在新设计的新建播发向导中将网络唤醒用于播发。在该示例中,我将为一组计算机部署新的程序包。如果网络唤醒兼容设备已关闭,通过在向导中启用的此设置,Configuration Manager 将启动系统以部署播发定义的程序包。
图 8** 软件分发播发中的网络唤醒 **(单击该图像获得较大视图)
在 Configuration Manager 中完全对远程控制进行了重新编写,以提供更安全可靠的解决方案,从而显著提高性能。Configuration Manager 并非使用 SMS 1.0 中附带的旧工具,现在它使用在远程桌面协议 (RDP) 基础上构建的 Windows Vista 本机协作技术。基本功能与 SMS 2003 相同,最终用户都不需要接受新会话。但是,引入了三种新的访问级别:完全控制、仅查看和无。除了此新技术,当需要远程协助时,Configuration Manager 2007 还可与之集成。
总结
我已经向您逐步介绍了 System Center Configuration Manager 2007 中的几个新增功能和增强功能。这些功能旨在帮助减少管理工作量、启用新的工作负载并降低 IT 环境的成本。通过 Configuration Manager 2007 和 System Center 系列中的其他产品,您可以处理具有最高要求的 IT 基础结构,从而使您的企业具备竞争优势。
除了在本文中概述的功能,该产品还包含许多其他增强功能,如 Windows Server® 2008 Network Access Protection (NAP) 集成和基于 SMS 2003 SP3 中附带的同一资产智能技术的软件资产管理 (SAM) 增强功能。我鼓励您下载 Configuration Manager 2007 预发布版本或 RTM 试用版以便在基础结构中工作时查看这些功能。
有关更多信息以及 System Center 系列中所有产品的概述,请访问 microsoft.com/systemcenter。在此,您可以导航到 System Center 系列中的任何解决方案,包括 Configuration Manager。
John Orefice是 Microsoft 在中大西洋地区的技术解决方案专业人员。首先他曾经在 Microsoft Consulting Services (MCS) 多年担任 Microsoft 管理解决方案咨询师,现在他是 Microsoft 的技术解决方案专业人员。您可以通过 john.orefice@microsoft.com 与他联系。
© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.