Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 128, АВГУСТ 2009 г.

Начальник сети. SCCM: решение для автоматизации управления IT-инфраструктурой

Сергей «grinder» Яремчук (grinder@synack.ru)

Чтобы не бегать по этажам и высвободить время для сетевых баталий, каждый админ, вне зависимости от уровня подготовки, старается оптимизировать процесс управления IT-инфраструктурой компании. В ход идут все доступные средства - от самописных и готовых скриптов до политик GPO и прог а-ля Radmin. В итоге собирается зоопарк из разнородных помощников, что только усложняет администрирование. Microsoft предлагает единое решение - System Center Configuration Manager, обеспечивающее IT-подразделение всем необходимым для автоматизации управления.

Назначение и возможности SCCM

Диспетчер SCCM 2007 R2 (www.microsoft.com/systemcenter/configurationmanager) – это усовершенствованный вариант Systems Management Server (SMS). Он призван обеспечивать в динамично изменяющихся средах возможность по управлению и полному контролю над всей IT-инфраструктурой. Префикс System Center свидетельствует о принадлежности продукта к семейству средств управления, в котором Configuration Manager несомненно является ключевым продуктом. Среди задач, решаемых при помощи SCCM – ввод серверов в эксплуатацию, установка приложений, управление обновлениями, развертывание ОС Microsoft, поддержка желаемой конфигурации (Desired Configuration, контролирует соответствие эталонных конфигураций реальным конфигурациям систем по набору параметров: оборудование, ОС, приложения и их настройки), инвентаризация софта и оборудования и многое другое. В семейство SC (www.microsoft.com/systemcenter) входят несколько продуктов, дополняющих его функционально. В комплексе это позволяет получить наиболее подходящую среду управления для сетей разного размера и назначения:

  • Data Protection Manager - возможность резервного копирования и восстановления данных на файловых серверах Windows;
  • Operations Manager - управление оборудованием и программным обеспечением;
  • Essentials - позволяет производить установку ПО, автоматизировать обновление и отслеживать состояние распределенных систем в небольших организациях, предназначен для малоопытного персонала;
  • Virtual Machine Manager - управление виртуальными серверами;
  • Capacity Planner - планировщик ресурсов, позволяет определить требования к оборудованию, необходимому для запуска приложения, с обеспечением нужного уровня производительности и доступности;
  • Service Desk - управление внештатными ситуациями, в том числе неполадками и изменениями среды;
  • Mobile Device Manager (MDM) – полный набор средств управления устройствами Windows Mobile;
  • Reporting Manager - получение самых разнообразных отчетов.

Разборки с терминами и компонентами

Вначале – несколько терминов, чтобы легче было понимать, о чем мы будем говорить далее. Под сайтами (Site system) понимается сервер или группа серверов, выполняющих функции SCCM. SCCM может быть установлен в варианте single-site или multi-site. Во втором случае есть возможность распределить нагрузку между несколькими серверами SCCM. Здесь доступны два режима работы сайтов - основной (Primary site, своя база данных) и дополнительный (Secondary site, используют БД с Primary site). Один из Primary сайтов в этой иерархии является центральным (Central site). Функции, которые выполняет сайт, зависят от роли (компонентов). SCCM поддерживает следующие роли:

  • точка управления (Management point);
  • точка распространения (BITS-enabled distribution point);
  • точка формирования отчетов (Reporting point);
  • точка обновления программного обеспечения (Software Update Point);
  • точка обнаружения серверов (Server locator point);
  • точка проверки работоспособности системы (Fallback status point, только Win2k8).

Cайт может совмещать несколько ролей, или роли могут быть разнесены на несколько серверов. Одна из специфических ролей - Branch distribution point. Она предназначена для упрощения обслуживания особо маленьких филиалов организации (3-5 компьютеров в рабочей группе) и отвечает лишь за распространение программ и обновлений. Для ее использования можно выбрать клиентскую ОС без SQL-сервера.

Непосредственно на рабочих станциях устанавливается клиентская часть Client Agent, при помощи которой собственно и производится управление. Агент может работать в режиме Native (новая версия и зашифрованный канал) или Mixed (клиент SMS). В режиме Native возможно подключение клиентов через интернет (по HTTPS). Для каждого сайта определяются границы, то есть зона действия (диапазон IP, подсеть). Это нужно, чтобы включить (или наоборот исключить) системы в процесс управления.

Требования к установке SCCM

В настоящее время доступна стабильная версия SCCM R2, которая поддерживает WinXP/2003/VistaSP1/2k8, и бета SCCM SP2, в которую включена поддержка новых ОС Win7/2k8R2/2k8SP2. Список клиентских ОС не должен вводить в заблуждение: для WinXP, Vista и Win7 доступно ограниченное количество ролей, в частности Branch distribution point. Поэтому для установки следует выбирать именно серверную ОС. Версия R2 доступна в двух вариантах: как обновление к предыдущей SP1 или Full. Последнюю скачать пока нельзя, но есть возможность получить готовый к работе VHD-образ с предустановленным SCCM.

Для инсталляции нам понадобится, как минимум, два файла SCCM с SP1 и R2. И хотя процесс установки сайта SCCM, можно сказать, достаточно тривиален, непосредственно перед ее началом следует определиться с рядом вопросов, чтобы упростить себе жизнь в будущем. В первую очередь, со структурой системы SCCM: надо выбрать между single-site и multi-site, продумать именование, режим работы, процесс развертывания агентов и так далее. Вопросов на самом деле много, и после установки изменить некоторые настройки не так-то просто. Подробно вопрос планирования рассмотрен в двух документах: «Планирование и развертывание инфраструктуры сервера для Configuration Manager 2007» и «Планирование и развертывание клиентов для Configuration Manager 2007», которые ты найдешь в TechNet.

Минимальные требования к оборудованию - PIII 733 МГц, 256 Мб ОЗУ, 5 Гб на харде и 10 Мбит сетевуха. В зависимости от роли минимальную планку придется существенно поднимать, например, если сайт будет выполнять развертывание ОС, то для хранения образов понадобится очень много места на харде и, в идеале, гигабитная сетка.

Перед установкой также следует выполнить ряд требований, предъявляемых к программному обеспечению. На сервере должен работать SQL Server 2005 SP2 (go.microsoft.com/fwlink/?LinkId=69795), причем только полная версия. Express Edition не поддерживается. В зависимости от роли сервера, потребуется наличие: IIS не ниже 6.0, MMC 3.0, NET Framework 2.0, ASP.NET, BITS (Background Intelligent Transfer Service) и WebDAV. Также во время установки нужно накатить ряд хотфиксов (если это не сделано до сих пор), для Win2k3 их будет предостаточно. Кстати, возможна установка Primary и Secondary сайтов на RODC (контроллер домена только для чтения). В режиме Primary мастер инсталляции определяет, что он устанавливается на такой КД, и автоматически произведет поиск КД, доступного для записи, чтобы создать группы, необходимые для работы сайта. Для Secondary группы придется создать вручную.

В дальнейшем я покажу установку SCCM на Win2k8 в варианте single-site как Primary site. Для упрощения будем считать, что система уже установлена, сервер подключен к AD, а SQL-сервер функционирует.

Вызываем «Диспетчер сервера», переходим в «Компоненты - Добавить компоненты» и отмечаем «Серверные расширения BITS». Получив запрос на установку зависимых компонентов, в том числе и IIS 7.0, подтверждаем его, нажав «Добавить требуемые службы роли». Отмечаем компонент «Удаленное разностное сжатие», позволяющее передавать по сети только разницу между файлами, минимизируя трафик. Переходим к шагу выбора служб ролей. Для IIS здесь активируем ASP.NET и ASP (нужен для точки формирования отчетов), «Windows - проверка подлинности», «Совместимость метабазы IIS 6» и «Совместимость WMI в IIS 6». Попутно соглашаемся с установкой необходимых компонентов. Все, ставим.
WebDAV не входит в состав компонентов Win2k8! Чтобы добавить поддержку, скачиваем архив под x86 или x64 версию (go.microsoft.com/fwlink/?LinkID=141805, go.microsoft.com/fwlink/?LinkID=141807) и устанавливаем.

После установки следует включить WebDAV и создать авторское правило. Для этого вызываем «Диспетчер служб IIS» (в меню «Администрирование»), переходим в Default Web Site и выбираем «WebDAV Authoring Rules». Нажав ссылку «Enable WebDAV», запускаем WebDAV. Теперь добавляем авторское правило. Нажимаем ссылку «Add Authoring Rule». Появляется мастер. Устанавливаем «All Content», «All users» и в поле Permissions – «Read». Редактируем настройки WebDAV, выбрав ссылку «WebDAV Settings»:

  • Allow anonymous Property Queries (Разрешить анонимные запросы свойств) -> True;
  • Allow Custom Properties (Разрешить пользовательские свойства) -> False;
  • Allow property queries with infinite depth (Разрешить запросы свойств с бесконечной глубиной) -> True;
  • Allow hidden files to be listed (Разрешить перечисление скрытых файлов) -> True.

По окончании настроек нажимаем «Применить» и выходим из «Диспетчера IIS». По умолчанию настройки IIS блокируют некоторые типы файлов, что может помешать работе точек распространения. Если такое происходит, определи разрешенные типы файлов. Для этого открой файл applicationHost.config, который расположен в %windir%System32inetsrvconfig, найди секцию <fileExtensions> раздела <requestFiltering> и для требуемого расширения установи allowed="true". Например:

<add fileExtension=".java" allowed="true" />

Но разрешаем лишь то, что действительно необходимо.

Подготовка к установке SCCM

Скачиваем и распаковываем дистрибутив с SCCM SP1 (ConfigMgr07SP1Eval_RTM_RUS_6221.exe). Перед непосредственной установкой следует выполнить еще ряд подготовительных действий. Первым делом установим расширение схемы для AD. Это просто. Переходим в подкаталог, куда распакован SCCM, затем в SMSETUP - BIN, каталог, соответствующий архитектуре (например x64), и запускаем из консоли или двойным щелчком файл extadsch.exe. Программа берет все данные из файла ConfigMgr_ad_shema.ldf и не выдает в консоль никакой информации по своей работе, но результат можно получить из журнала C:ExtADSch.log. При необходимости правим ConfigMgr_ad_shema.ldf. Чтобы внесенные изменения вступили в силу, запускаем команду «ldifde -i -f ConfigMgr_ad_shema.ldf».

При щелчке по splash.hta (будет доступен после распаковки) появляется окно выбора. Непосредственно перед запуском программы установки нужно выбрать «Run the prerequisite checker» и проверить, насколько готов твой сервер к инсталляции SCCM. В появившемся окне три параметра: требуется выбрать тип сайта (Primary, Secondary и CM Console); для Primary вводим имя машины, на которой находятся SQL-сервер, WSUS и Management Point (сайт, используемый для соединения с агентами). Если сервер WSUS уже установлен, на локальной системе соответствующий пункт «SDK Server» будет пропущен. На первый взгляд непонятно, какое отношение SDK имеет к WSUS, но после чтения доков становится ясно, что комплект средств разработки тут совсем не при чем, просто сходная аббревиатура. SDK-сервер проверяет наличие консоли управления WSUS, поскольку сервер обновлений может находиться на другой системе.

После сканирования будет выдан список недочетов; выбор любого из пунктов предоставит подробную информацию и, возможно, путь к их устранению. Когда чекер выдаст «Success» (все тесты пройдены), можно переходить к установке SCCM.

Установка SCCM

Выбираем в меню «Install Configuration Manager 2007» и следуем за указаниями мастера. Первый шаг рассказывает, что нам нужно для установки, но мы уже все проверили при помощи чекера, и его можно пропустить. Далее визард предложит на выбор несколько пунктов, позволяющих установить SCCM или административную консоль, обновить SMS 2003 и удалить SCCM. Так как ничего из этого пока нет, нас интересует пункт «Install a Configuration Manager site server». Подтверждаем согласие с условиями лицензии и переходим к этапу «Installation Setting», на котором нам предстоит выбрать вариант установки - Simple или Custom. Если ты еще не знаком с SCCM, смело указывай Simple. В дальнейшем все параметры можно переопределить, хотя и придется поискать. Мы же выбираем Custom и проходим следующие шаги:

  • Site type - выбор типа сайта. Primary или Secondary. Так как у нас это первый сайт, отмечаем Primary.
  • Customer Experience Improvement Program Configuration - подключение к программе CEIP, собирающей инфу о настройках систем. Предлагается в целях улучшения SCCM (на твое усмотрение, – я отключаю).
  • Вводим ключ (для демо не требуется), указываем путь для установки или оставляем предложенное по умолчанию значение.
  • Site Settings - вводим код сайта (любую удобную комбинацию, например, 000 для корневого сайта) и его описание.
  • Site Mode - выбор режима Native или Mixed. Для Native понадобится готовый сертификат, то есть развернутая структура PKI.
  • Client Agent Selection - установки по умолчанию для агента, определяющие его возможности - инвентаризация железа и ПО, обновления, NAP (Network Access Protection, технология защиты сетевого доступа) и т.д. Затем их можно перенастроить индивидуально.
  • Database server - расположение SQL-сервера и имя для создаваемой базы данных.
  • SMS Provider Setting - расположение провайдера SMS, то есть компонента, который будет взаимодействовать с базой данных. По умолчанию предлагается локальная система, ее и оставляем.
  • Management Point - установка компонента, отвечающего за сбор данных с агентов. Поступаем, как в предыдущем пункте;
  • Port Setting - установка TCP-порта для подключения. По умолчанию – 80 и 443 (в Native mode).
  • Updated Prerequisite components - загрузка обновлений с узла Microsoft или локальной папки.

Пропустить последний шаг нельзя, поэтому указываем каталог, куда будут загружены обновления (эти файлы можно будет указать во время установки на другой системе). После проверки свободного места (> 5 Гб) на разделе и запуска «Prerequisite Checker» нажимаем «Begin Install» и ставим SCCM. Установка обновлений - последний этап, и он займет некоторое время. После установки SP1 обновляем до R2 обычным способом.

Распространение клиентов

Так как SCCM работает по клиент-серверной схеме, следующим этапом после установки сайта будет развертывание клиентских приложений, которые и выполнят всю основную работу по сбору данных, распространению ПО и пр. Консоль управления CM, вызываемая из меню «Пуск», имеет стандартную структуру, и освоиться в ней будет просто. SCCM способен обеспечить управление не одной тысячи компьютеров, поэтому введены некоторые разграничения. Так, каждый сайт для работы с клиентами имеет границы (site boundary), все ресурсы, входящие в эту область, могут быть обнаружены (Discovery) и одобрены (approval). Важно понимать эту иерархию. Сайт SCCM никогда не сможет обнаружить и, тем более, одобрить клиента за пределами site boundary.

Находим в списках консоли свою Database и переходим в «Site management - название сайта - Site settings». Параметры обнаружения настраиваются в меню «Boundaries». После установки здесь, естественно, пусто, поэтому выбираем ссылку «New Boundary» и в появившемся окне заполняем описание (Description), сайт, к которому будет относиться настройка (он у нас пока один), и тип (Type). Последнее поле определяет метод обнаружения клиентов; возможны четыре варианта: IP-subnet (подсеть), Active Directory site, IPv6 prefix и IP-address range. Выбираем пункт, наиболее удовлетворяющий условиям, и заполняем предложенные поля. Дополнительное поле «Network Connection», расположенное внизу страницы, позволяет указать на скорость сети: Fast (LAN) или Slow. Нажимаем «ОК», – новая запись появляется в окне «Boundaries», впоследствии указанные параметры можно будет уточнить.

Переходим в «Discovery methods», где находим 6 пунктов, соответствующих различным механизмам обнаружения клиента. Из них 4 относятся к Active Directory - системы, пользователи и группы компьютеров, Security; также есть Heartbeat (проверка состояния) и Network (сетевые установки). Пункт «Network discovery» задействуется в случае, если в сети не используется AD. Двойной щелчок по любому пункту вызовет окно свойств, для каждого оно будет различаться. Минимум, что нужно сделать - это активировать выбранный метод обнаружения, установив флажок «Enable ...» (по умолчанию включен только Heartbeat Discovery).

Для методов, использующих AD, необходимо задать средство для поиска объектов (локальный домен, LDAP запрос и т.д.), затем контейнер, содержащий объекты. По умолчанию обнаружение производится раз в день, и обычно этого достаточно. Но на первых порах расписание поиска можно изменить, перейдя во вкладку «Polling Schedule» и указав меньшее время. Чтобы ускорить обнаружение новых объектов, установи флажок «Run discovery as soon as possible». Вкладка «Active Directory attribute» позволяет указать атрибуты, которые будут использованы для обнаружения.
В «Network discovery» несколько больше параметров, позволяющих управлять обнаружением. Например, в поле «Type of discovery» можно указать три варианта: топология, + клиент и + ОС. Остальные вкладки – «Subnets», «Domains», «SNMP», «SNMP Devices» и «DHCP» позволяют уточнить параметры обнаружения клиентов. Например, во вкладке «Subnets» указывается адрес подсети, в которой будут обнаруживаться клиенты, а во вкладке «Schedule» настраивается расписание.

Клиенты потихоньку обнаруживаются. Теперь их необходимо утвердить. Вызываем из контекстного меню свойства сайта. Здесь несколько вкладок. В «Wake On LAN» можно разрешить «пробуждение» удаленной системы, если это необходимо для установки обновлений/приложений. В «Ports» указываются порты для подключения клиентов. Вкладка «Advanced» позволяет определить, что делать при обнаружении двух клиентов, имеющих одинаковый hardware ID. По умолчанию автоматически создается отдельная учетная запись «Automatically create new client records ...». Чтобы разрешать такие конфликты вручную, следует установить переключатель в «Manually resolve conflicting records». Остальные подпункты «Advanced» позволяют публиковать сайт SCCM в AD и обмениваться ключами. В «Security» настраиваются параметры учетных записей для доступа и управления SCCM. И, наконец, в «Site Mode» устанавливается (точнее изменяется) режим работы сайта (Native или Mixed). Как будут обнаруживаться клиенты, зависит от настроек поля «Approval settings»:

  • Manually approve each computer - каждый компьютер подтверждается вручную, его можно использовать только в небольших сетях или после того, как все клиенты установлены, а настройки уже произведены;
  • Automatically approve computers in trusted domains (recommended) - все системы из доверенных доменов в области Discovery будут одобрены автоматически;
  • Automatically approve all computers (not recommended) - все обнаруженные компьютеры будут утверждены автоматически. Выбирать этот пункт имеет смысл, только в случае, если не используется AD, то есть второй пункт не подходит. Естественно, сеть должна быть должным образом защищена.

Взведенный флажок «This site containts only ConfigMgr 2007 clients» предписывает одобрение только SCCM-клиентов (клиенты старого SMS будут отвергнуты).

Для удобства управления компьютеры, пользователи и т.п. объединяются в коллекции (collection) по любому признаку (ОС, сеть и т.п.) И именно над коллекциями производится большинство действий, вроде установки программ и обновлений. После обнаружения клиенты находятся в «Computer management – Collections». Здесь – несколько готовых коллекций (например, по версии ОС). Выбираем «All Systems» и находим здесь наш сервер, на котором установлен SCCM. Если список пуст, вызываем из меню пункт «Update Collection Membership» и ждем некоторое время.
В появившейся таблице несколько пунктов. Так, столбик Client показывает, установлен ли клиент, а Approved/Assigned/Blocked/Active – его состояние. Сам клиент пока не установлен. Это можно сделать: вручную (из сетевой папки \serversiteClientccmsetup.exe); с помощью Push-установки; используя групповые политики AD или скрипт Logon, предустановленный в образ. Все эти и другие методы в том или ином виде уже рассматривались в журнале. Метод «Client Push Install» – родное (встроенное) средство распространения клиентов для SCCM.

Доступные на конкретном сайте методы установки можно найти в пункте «Site settings - Client installation method». Перед запуском «Client Push Install» его следует настроить. Выбираем «Client Push Installations» и вызываем свойства. Чтобы производилась автоматическая установка клиентов, установи флажок «Enable Client Push Installations for assigned resources» и в поле «System type» отметить типы систем, на которые будет установлен клиент - Servers, Workstations и Domain controllers. Отмечаем флажок «Enable Client Push Installations to the site systems», чтобы устанавливать клиенты на системы SCCM. Во вкладке «Accounts» указываем учетную запись пользователя, от имени которой будет производиться установка.

Ручная установка активируется просто. После обнаружения системы достаточно выбрать в ее контекстном меню пункт «Install client» и следовать указаниям появившегося мастера установки. Мастер содержит два шага: один из них информационный, а на втором выбираем параметры установки (устанавливать ли на контроллер домена, обновлять и т.п.) и нажимаем «Next». Процесс установки клиента начат.

Заключение

SCCM представляет собой невероятно мощный инструмент администрирования корпоративной сети, и возможностей у него более чем достаточно. Охватить все настройки и подробно описать работу со всеми компонентами в одной статье невозможно, да такой задачи и не ставилось. В следующий раз рассмотрим порядок установки приложений, обновлений и ОС на клиентские компьютеры, а также познакомимся с системой отчетов.

INFO

Об установке и настройке WSUS 3.0 SP1 на Win2k8 читай в статье «Каждому по заплатке», опубликованной в январском номере ][ за 2009 год.

Непосредственно перед установкой следует запустить «Run the prerequisite checker». Это сэкономит тебе время.

VIDEO

На прилагаемом к журналу диске ты найдешь видеоролик, в котором показано, как установить SCCM 2007 на Win2k8 и настроить распространение клиентов.

WWW

Содержание
ttfb: 8.4538459777832 ms