Microsoft System Center:使用 System Center 管理移动设备
每天都有越来越多的移动设备接入网络,您可以借助 Microsoft System Center 管理工具来管理这些设备。
Brien Posey
无可置疑,移动设备正在革新企业的面貌。如今,几乎人人都有一部智能手机,而 Tablet(手写平板电脑)则是本年度消费电子展示会上的最热门话题。当移动设备已完全成为主流之际,企业网络尚需完善,以跟上时代。最大的挑战之一就是如何有效管理网络中数量和种类不断增多的移动设备。
许多组织部署了 Microsoft Exchange Server,其唯一目的就是使用 ActiveSync 策略来管理移动设备。尽管这种方案行之有效,但 Microsoft 还是特意开发了一套解决方案 — System Center Mobile Device Manager (MDM) 2008,专门用来管理企业环境中的移动设备。
MDM 2008 的主要目的就是让您像管理台式机和笔记本电脑一样管理移动设备。当然,移动设备无法提供台式机和笔记本电脑的所有功能。因此,MDM 2008 将重心放在一些关键领域。具体而言,它可以帮助您执行下列功能:
- 应用程序部署
- 组策略管理
- 设备清单
- 对遗失或被盗设备进行远程数据擦除
MDM 体系结构
MDM 2008 SP1 提供三种服务器角色:网关服务器、注册服务器和管理服务器。以下是这些角色的简要概述:
**网关服务器:**网关服务器可将移动设备链接到内部网络。该服务器将置于 DMZ 的网络外围,充当移动设备与后端网络之间的“网关”。由于该服务器将会暴露在 Internet 中,Microsoft 建议不要将它加入域中。它不是域成员,这也意味着它不能使用 Windows NT Lan Manager (NTLM)、Kerberos 或 Active Directory 域服务来验证移动设备。身份验证过程其实是基于证书进行的,这就是您为何需要企业证书颁发机构的原因。
**管理服务器:**管理服务器的任务是将网络中使用的协议转换成一种称为开放移动联盟设备管理 (OMA DM) 的协议。事实上也就是说,管理服务器可以让您使用当前管理 PC 的类似方式来管理移动设备。
**注册服务器:**要管理企业环境中的 PC,这些 PC 必须是域成员。移动设备无法像 PC 那样加入 Windows 域,不过,您可以将它们注册到域中。注册服务器可助您实现此目的。
部署注意事项
当 MDM 2008 首次发行时,其安装过程极其简单。准备好域之后,您要做的就是运行安装向导。安装向导的步骤也很简单,不过自 2008 版以后,在安装方面发生了很大的变化。用户有时难以满足一些前提条件。
在最近的一次部署中,就出现了多个与 MDM 2008 安装向导相关的问题,因为该向导无法识别服务器上的各个必备组件。下面是您可能会遇到的一些部署问题,以及为缓解这些问题而采取的措施。
MDM 2008 与 Windows Server 2008 不兼容。必须在 Windows Server 2003 或 Windows Server 2003 R2 上安装 MDM 2008。MDM 2008 支持 x86 和 x64 体系结构,但使用 x86 体系结构可以更方便地部署管理工具。
不管是选择将 Windows Server 2003 R2 安装到物理硬件还是虚拟硬件上,都可能会遇到安装问题。在尝试将 Windows Server 2008 R2 安装到较新的服务器上时,安装程序偶尔会引发蓝屏,除非您进入该服务器的 BIOS 并禁用服务器的虚拟化支持和“No Execute”(禁止执行)功能支持。另外,在某些情况下,除非服务器的 BIOS 已配置为在 IDE 模式下运行 SATA 控制器,否则,安装程序将会出现蓝屏错误。
使用虚拟服务器也可能会导致问题。在某些(但不是所有)Hyper-V 服务器上,重新引导运行 Windows Server 2003 或 Windows Server 2003 R2 的任何版本的虚拟机 (VM) 总是会导致注册表的软件配置单元损坏。但是,并不是所有 Hyper-V 服务器上都会出现此错误。
前提条件指出,您需要使用 SQL Server 2005 SP2 或更高版本。还必须使用完备的 SQL Server 版本(不支持 Express Edition)。另外还应该注意,MDM 2008 不支持 SQL Server 2008。
MDM 设备管理服务器的前提条件之一是必须安装 Windows Server Update Services (WSUS) SP1(WSUS 3.0 SP2 似乎不受支持)。尝试使用 WSUS 3.0 SP2 进行部署时,安装程序甚至无法辨别是否已安装 WSUS。
要使用管理工具,您的服务器必须运行 Windows PowerShell 1.0。执行 MDM 2008 服务器的自动更新时请小心操作。Windows PowerShell 2.0 将作为 Windows Management Framework 核心程序包的一部分自动安装。
如果已安装此程序包,可以使用控制面板小程序“添加/删除程序”来将它删除。执行此操作时,您将会看到一条消息,告诉您删除此程序包将会破坏多个应用程序,包括 WSUS 和 IIS。但是,一般您可以忽略此警告消息,放心删除此程序包。
最后,如果您想要通过“组策略”设置来管理移动设备,则必须部署“管理工具”组件的“组策略扩展”部分。这个问题有点复杂。为此,您需要安装组策略管理控制台 (GPMC)。遗憾的是,该控制台无法在 64 位版本的 Windows Server 2003 上运行。
有一种解决方法可以让您在 64 位服务器上安装 GPMC,不过即使完成了此安装,MDM 2008 安装向导也会拒绝确认控制台的安装。因此,唯一的办法就是设置一台运行 32 位操作系统的计算机,然后在其上安装控制台。
MDM 2008 要求贵组织已事先部署企业根证书颁发机构。该证书颁发机构可以在 Windows 2003 或 Windows 2008 上运行。
注册设备
安装并运行 MDM 2008 后,注册移动设备就会变得相对容易。要开始预注册过程并注册某个设备,请打开 System Center Mobile Device Manager Console。在控制台树中导航到“Mobile Device Manager”|“(您的 MDM 2008 实例)”|“设备管理”|“所有托管设备”。单击“创建预注册”链接。此时将启动“预注册向导”。
在第一个向导屏幕中,单击“下一步”跳过“欢迎”屏幕。随后将会出现一个屏幕,要求您为注册的设备命名。您可以使用任何有助于区分该设备的名称,但其长度必须少于 15 个字符,且不能包含空格。还可以在此屏幕上更改创建该设备的组织单位,不过通常可以保留默认值。
单击“下一步”后,安装程序将要求您选择需向其分配该设备的 Active Directory 用户。做出选择后,单击“下一步”。此时会出现预注册的配置摘要。如果您认为一切无误,请单击“创建”按钮。创建过程完成时,将向您发送通知(参见图 1)。
.jpg)
图 1 完成预注册过程后,可以添加移动设备
该屏幕包含用户注册其设备时必须使用的电子邮件地址和注册密码。请记下预注册摘要中包含的电子邮件地址和密码。
设备注册过程因 Windows Mobile 版本而异。以下概要过程假设使用的是 Windows Mobile 6.5。请注意,Windows Phone 7 不提供设备注册功能。
要注册某个 Windows Mobile 6.5 设备,请单击设备的“开始”按钮。转到“设置”|“连接”。然后点击“域注册”图标。此时设备应显示注册过程的概述。单击“注册”按钮,系统将提示您输入预注册向导生成的电子邮件地址和密码(参见图 2)。
.jpg)
图 2 Windows Mobile 将要求您输入注册凭据
输入这些凭据,随后设备将尝试定位注册服务器。如果设备无法定位注册服务器,可能会在下一个屏幕中要求您输入该服务器的名称。完成注册过程后,设备上将出现一条消息,通知您注册成功(参见图 3)。
.jpg)
图 3 Windows Mobile 将确认设备注册成功
该设备同时会列在 System Center Mobile Device Manager 的“所有托管设备”容器中(参见图 4),不过需要刷新屏幕才能看到。
.jpg)
图 4 新注册的设备将列在 System Center Mobile Device Manager 的“所有托管设备”容器中
应用程序部署
System Center Mobile Device Manager 软件分发控制台(参见图 5)允许您向移动设备分发应用程序。为此,必须将移动应用程序包装到程序包中。您可以创建一个程序包,方法是在控制台树中导航到“软件分发”|“MDM”|“程序包”|“软件包”,然后单击“创建”链接。此时将启动创建程序包向导。
.jpg)
图 5 System Center Mobile Device Manager 软件分发控制台允许您打包和部署移动应用程序
该向导将引导您完成应用程序打包的几个简易步骤。完成此操作后,可以使用控制台部署程序包。控制台甚至还提供了一个机制用于跟踪程序包的部署。
组策略管理
在 Windows 域中注册设备后,您可以通过组策略对其进行管理。安装“组策略扩展”后,组策略编辑器中将会提供特定于移动设备的许多“组策略”设置。通过这些设置,您可以在设备上强制使用密码,以及启用或禁用各项设备功能。
这些用户特定的“组策略”设置位于“用户配置”/“管理模板”/“Windows Mobile 设置”项下。设备特定的设置位于“计算机配置”/“管理模板”/“Windows Mobile 设置”项下。
如果在网络上的某个域中注册的某个移动设备遗失或被盗,可通过 MDM 2008 执行远程数据擦除。为此,只需转到 System Center Mobile Device Manager 的“所有托管设备”容器,右键单击该设备,然后从快捷菜单中选择“立即擦除”命令。另外有一个自助式门户可让用户自行擦除移动设备中的数据。
随着移动设备数量和种类的不断增多,其管理可能会让您感到力不从心。但是,就像处理任何事情一样,选对了工具就意味着成功了一半。
.jpg)
Brien Posey*(MVP) 是一位兼职技术撰稿人,他撰写了成千上万篇文章以及十多本书籍。您可以访问他的网站 brienposey.com。*