Windows Vista Hardware Assessment - technologie inwentaryzacji
Pobierz
|
Zawartość strony
Wymagania ogólne
Przed uruchomieniem kreatora Windows Vista Hardware Assessment Wizard należy zapoznać się ze sposobem wykonywania oceny i używanymi przy tym technologiami.
Technologie używane w ocenie gotowości od instalacji systemu Windows Vista wymagają bezpośredniej łączności sieciowej z inwentaryzowanymi komputerami. Aby upewnić się o możliwości i wydajności inwentaryzacji i oceny, należy wykonać następujące kroki:
| • | Jeśli istnieją znane problemy z siecią lub planowane jest wprowadzenie zmian, należy zająć się tym przed inwentaryzacją. Jeśli planowana jest np. restrukturyzacja schematy adresów IP, należy ją wykonać przed uruchomieniem kreatora. |
| • | Upewnić się, że dostępne są odpowiednie poświadczenia wymagane do działania kreatora. Kreator inwentaryzacji zbiera dane za pomocą WMI i SNMP. WMI wymaga kont z uprawnieniami lokalnego administratora na inwentaryzowanych komputerach. SNMP wymaga ciągu identyfikacyjnego do uwierzytelnienia. |
| • | Upewnić się, że wszystkie komputery i urządzenia, które mają zostać zinwentaryzowane, są włączone i podłączone do sieci. Można wysłać powiadomienie do użytkowników, by nie wyłączali komputerów w czasie inwentaryzacji. Użytkownicy mogą się wylogować, ale nie powinni wyłączać komputerów. |
Protokoły sieciowe Windows
W celu wyszukania komputerów w grupach roboczych i domenach Windows NT® 4.0 należy użyć opcji Windows Networking Protocols w kreatorze. Metoda ta używa usługi Przeglądarka komputera do znajdowania komputerów znajdujących się w sieci.
Usługa Przeglądarka komputera nie może wydajnie działać w różnych segmentach sieci (domenach rozgłoszeniowych). Można jej użyć do znalezienia komputerów w grupach roboczych, podłączając komputer przeprowadzający inwentaryzację do poszczególnych podsieci i ponownie uruchamiając kreator. Używając tej metody do wyszukania komputerów w domenie Windows NT 4.0, nie trzeba ponownie uruchamiać kreatora ani podłączać się do każdej z podsieci.
Usługa przeglądarki funkcjonuje dzięki usłudze Server Message Block (SMB), działającej w oparciu o protokoły udostępniania plików i wydruku. W kartach sieciowych wszystkich komputerów włączone muszą być opcje „Udostępnianie plików i drukarek w sieciach Microsoft Networks” i „Klient sieci Microsoft Networks”.
Po włączeniu komputera, jego zarejestrowanie i rozesłanie informacji do wszystkich nadrzędnych systemów przeglądania (komputerów zarządzających listą komputerów) może zająć do 15 minut. Inwentaryzację należy rozpocząć dopiero, kiedy upłynie co najmniej 15 minut od włączenia wszystkich komputerów.
Uwaga: Informacje o rozwiązywaniu problemów z usługą Przeglądarka komputera można znaleźć na stronie http://support.microsoft.com/kb/188305 (j.ang.). |
Usługi domenowe Active Directory
Jeśli komputery i urządzenia są podłączone do lasu Active Directory® w Windows 2000 Server lub Windows Server® 2003, ich listę można uzyskać za pomocą metody inwentaryzacji Active Directory. Wyłączenie metody inwentaryzacji za pomocą protokołów sieciowych Windows pozwala ograniczyć czas potrzebny do ukończenia inwentaryzacji.
Użycie tej metody powoduje, że kreator podejmuje próbę połączenia się z kontrolerem domeny i wysłania do niego zapytania o listę komputerów w domenie. Karta sieciowa komputera, na którym działa kreator, powinna zostać skonfigurowana w taki sposób, by korzystać z protokołu Dynamic Host Configuration Protocol (DHCP) i być podłączona do sieci z kontrolerem domeny, do którego można wysłać zapytanie. Kreator wyświetla monit o podanie poświadczeń. Domyślnie każde konto użytkownika domeny ma uprawnienia, by połączyć się z kontrolerem i wysłać zapytanie o listę komputerów.
| Uwaga |
Metoda inwentaryzacji za pomocą Active Directory działa przy liczbie do 25 tysięcy komputerów w domenie. Komputery, które nie zalogowały się do domeny przez ponad 90 dni, nie są uwzględnianie w tej liczbie. |
Windows Management Instrumentation (WMI)
Do zbierania szczegółowych informacji o komputerach i innym sprzęcie używana jest technologia WMI. Użycie tej technologii w działaniu kreatora oceny jest wymagane.
Aby połączyć się zdalnie i przeprowadzić inwentaryzację za pomocą WMI, należy udostępnić konta należące do lokalnej grupy administratorów na inwentaryzowanych komputerach. W większości sieci administrator ma konto domeny lub lokalne, należące do grupy lokalnych administratorów na wszystkich komputerach w środowisku. Domyślnie w środowiskach domen Windows grupa zabezpieczeń Administratorzy domeny jest dodawana do lokalnej grupy administratorów po dodaniu danego komputera do domeny.
W poniższej tabeli opisano najważniejsze kwestie związane z WMI, jakie należy wziąć pod uwagę przed uruchomieniem kreatora oceny.
| Tabela 1. Kwestie związane z WMI | |
| Wymagana konfiguracja | Opis |
Włączenie hasła dla kont lokalnych | Jeśli komputer znajduje się w grupie roboczej, a lokalne konto używane do inwentaryzacji nie ma skonfigurowanego hasła, domyślnie logowanie ograniczone zostanie do konsoli. Aby powiodła się inwentaryzacja komputera za pomocą WMI, konto lokalne musi należeć do lokalnej grupy administratorów i mieć skonfigurowane hasło. |
Skonfigurowanie zasad dostępu sieciowego | Jeśli komputer znajduje się w grupie roboczej, należy ręcznie zmienić ustawienie zasady „Dostęp sieciowy: udostępnianie i model zabezpieczeń dla kont lokalnych” z „Tylko goście” na „Klasyczny”. Więcej informacji można znaleźć na stronie Network access: Sharing and security model for local accounts (j.ang.) |
Włączenie udostępniania plików i drukarek | Opcje „Udostępnianie plików i drukarek w sieciach Microsoft Networks” i „Klient sieci Microsoft Networks” muszą być włączone na inwentaryzowanych komputerach. Można je skonfigurować na stronie właściwości karty sieciowej; są one domyślnie włączone podczas instalacji systemu Windows. |
Włączenie wyjątku administracji zdalnej | Wyjątek „Administracja zdalnej” musi być włączony, jeśli włączona jest zapora systemu Windows. Wyjątek ten powoduje otworzenie portu TCP 135. Jeśli włączona jest inna zapora internetowa, konieczne jest otworzenie tego portu. |
Włączenie wyjątku udostępniania plików i drukarek | Wyjątek „Udostępnianie plików i drukarek” musi być włączony, jeśli włączona jest zapora systemu Windows. Wyjątek ten powoduje otworzenie portów TCP 139 i 445 oraz portów UDP 137 i 138. Jeśli włączona jest inna zapora internetowa, konieczne jest otworzenie tych portów. |
Inne informacje o łączności WMI | Wiele zapór internetowych działających na poziomie hosta lub aplikacji blokuje ruch DCOM w kartach sieciowych. Przykładowo, zdalne połączenia WMI z reguły nie udają się przy próbie połączenia z komputerem, na którym uruchomiona jest zapora Microsoft Internet Security and Acceleration (ISA). Aby umożliwić zdalny dostęp WMI, należy się upewnić, że na komputerze z zaporą otwarte są porty TCP/UDP wymienione uprzednio przy wyjątkach „Administracja zdalna” i „Udostępnianie plików i drukarek”. |
| Ważne |
Domyślnie zapora systemu Windows jest skonfigurowana w taki sposób, aby blokować zdalne żądania uwierzytelnienia i połączenia z komputerem za pomocą WMI. Poniżej opisano, w jaki sposób włączyć wymagane wyjątki za pomocą Zasad Grupy i poleceń oraz skryptów. |
Środowisko Active Directory
Za pomocą edytora Zasad Grupy można edytować zasady dotyczące jednostek OU zawierających komputery, które mają zostać poddane ocenie. Informacje o używaniu edytora Zasad Grupy można znaleźć na stronie http://support.microsoft.com/kb/307882/pl.
1. | W edytorze Zasad Grupy kliknij polecenie Konfiguracja komputera, kliknij polecenie Ustawienia systemu Windows, kliknij polecenie Ustawienia zabezpieczeń, kliknij polecenie Zasady lokalne i kliknij polecenie Opcje zabezpieczeń. W sekcji Dostęp sieciowy: Model udostępniania i zabezpieczania kont lokalnych kliknij polecenie Klasyczny – użytkownicy lokalni uwierzytelniają się za pomocą własnych kont. |
2. | W edytorze Zasad Grupy kliknij polecenie Konfiguracja komputera, kliknij polecenie Szablony administracyjne, kliknij polecenie Sieć, kliknij polecenie Połączenia sieciowe, kliknij polecenie Zapora systemu Windows, a następnie kliknij polecenie Profil domeny. |
3. | W sekcji Zapora systemu Windows: Zezwalaj na wyjątek administracji zdalnej kliknij polecenie Włączony. W sekcji Zezwalaj na niechciane wiadomości przychodzące od wpisz adres IP lub podsieć komputera wykonującego inwentaryzację. |
4. | W sekcji Zapora systemu Windows: Zezwalaj na wyjątek udostępniania plików i drukarek kliknij polecenie Włączony. W sekcji Zezwalaj na niechciane wiadomości przychodzące od wpisz adres IP lub podsieć komputera wykonującego inwentaryzację. |
Po zapisaniu tych zmian zasad należy odczekać, aż zostaną one wprowadzone na komputerach klienckich. Może to zająć do dwóch godzin.
Grupy robocze i domeny Windows NT 4.0
Jeśli komputery znajdują się w grupie roboczej, konieczne jest osobne skonfigurowanie każdego z nich. Dla komputerów w domenie Windows NT 4.0 należy użyć skryptów logowania, by skonfigurować wyjątki zapory systemu Windows.
1. | Używając narzędzia Lokalne zasady zabezpieczeń, dostępnego z menu Narzędzia administracyjne komputera, który ma zostać poddany inwentaryzacji, kliknij polecenie Ustawienia zabezpieczeń, kliknij polecenie Zasady lokalne, a następnie kliknij Opcje zabezpieczeń. W sekcji Dostęp sieciowy: Model udostępniania i zabezpieczania kont lokalnych kliknij polecenie Klasyczny – użytkownicy lokalni uwierzytelniają się za pomocą własnych kont. |
2. | Aby włączyć wyjątek administracji zdalnej, uruchom poniższe polecenie na każdym komputerze ręcznie lub za pomocą skryptu logowania: netsh firewall add portopening protocol=tcp port=135 name=DCOM_TCP135 |
3. | Aby włączyć wyjątek udostępniania plików i drukarek, uruchom poniższe polecenie na każdym komputerze ręcznie lub za pomocą skryptu logowania: netsh firewall set service type = fileandprintmode = enableprofile = all |
Simple Network Management Protocol (SNMP)
Opcja korzystania z SNMP umożliwia wyszukiwanie drukarek sieciowych i komputerów z systemem operacyjnym producentów innych niż Microsoft. Ta opcja może posłużyć do wyszukania komputerów, których gotowość do zainstalowania systemu Windows Vista należy ocenić osobno. Umożliwia to również wyszukanie drukarek, dzięki czemu można pobrać odpowiednie sterowniki systemu Windows Vista w celu zaktualizowania serwerów wydruku.
Informacje o inwentaryzacji zebrane za pomocą SNMP raportowane są w skoroszycie programu Excel tworzonym przez kreator. Jeśli dodatkowe informacje tego typu nie są wymagane, należy wyłączyć opcję korzystania z SNMP, ponieważ jej zastosowanie wydłuża czas potrzebny do inwentaryzacji i oceny.