Ce este nou în System Center Configuration Manager 2007
Așteptat cu nerăbdare în vara anului trecut, System Center Configuration Manager 2007 a fost lansat în luna noiembrie 2007. Asta nu înseamnă că funcționalitățile acestui produs erau necunoscute în momentul lansării, SCCM 2007 fiind urmașul Systems Management Server 2003.
Multe din funcționalitățile SMS 2003 se regăsesc și în System Center Configuration Manger 2007. Este vorba de funcționalitățile de bază cum ar fi Hardware și Software Inventory, Reporting, Software Distribution și Remote Management.
Altele au dispărut fiind înlocuite de mecanisme noi, cum e cazul lui Inventory Tool for Microsoft Updates (ITMU), acesta fiind înlocuit cu Software Update Point, bazat pe Windows Server Update Services 3.0 (WSUS).
Și bineînțeles au fost introduse funcționalități noi cum sunt: Operating System Deployment, Desired Configuration Management, Device Management și Asset Intelligence. Despre acestea din urmă vom discuta în acest articol.
Managementul Sistemelor vs Managementul Configurației
Deoarece am observat schimbarea de nume, de la Systems Management Server la System Center Configuration Manager, să încercăm să explicăm puțin terminologia:
Managementul sistemelor – este disciplina care se ocupă cu administrarea la nivel enterprise a sistemelor distribuite de calculatoare. Definiția este destul de largă putând include categorii diverse de sisteme (stații de lucru, servere sau chiar dispozitive de rețea) și multe tipuri de activități.
Managementul sistemelor poate include mai multe dintre următoarele activități:
| • | Inventariere hardware și software; |
| • | Monitorizarea sistemelor și metrici de performanță; |
| • | Instalare automatizată de software; |
| • | Managementul patch-urilor; |
| • | Managementul soluțiilor de antivirus și anti-malware; |
| • | Monitorizarea capacității; |
| • | Managementul securității sistemelor; |
| • | Managementul stocării; |
| • | Monitorizarea rețelei și comunicațiilor; |
Managementul configurației – se referă la controlul configurației sistemelor și a schimbărilor aduse acesteia.
Managementul configurației include:
| • | Inventariere hardware și software; |
| • | Evaluare conformitate vizavi de configurațiile standard; |
| • | Introducerea de măsuri corective (i.e. instalare de software, aplicare de patch-uri sau politici de securitate); |
| • | Provisioning pentru sisteme de operare și aplicații; |
| • | Managementul pachetelor de instalare de software; |
| • | Managementul patch-urilor; |
Managementul configurației este văzut ca proces distinct de către ITIL, la versiunea 2 făcând parte din Service Support iar la versiunea 3 din Service Transition.
În cadrul Microsoft Operations Framework versiunea 3, managementul configurației face parte din cadranul Changing. În MOF versiunea 4, managementul configurației este considerat împreună cu managementul schimbărilor (Change and Configuration Management). Aceasta este și zona în care operează majoritatea funcționalităților SCCM 2007.
Din acest punct de vedere managementul configurației poate fi văzut ca un subset din managementul de sistem, iar schimbarea de nume a produsului un regres de funcționalități.
Nu este însă așa, System Center Configuration Manager 2007 are evident mai multe funcționalități decât predecesorul său, care îl poziționează mult mai bine în zona de Change and Configuration Management.
De asemenea este vorba de repoziționarea produsului în cadrul familiei System Center. Întreaga familie adresează managementul sistemelor și al serviciilor IT, fiecare dintre soluțiile individuale rezolvând o anumită categorie de probleme.
În concluzie schimbarea de nume reflectă mult mai bine setul de funcționalități ale produsului și rolul acestuia în cadrul strategiei mai largi a familiei System Center.
Arhitectura soluției
System Center Configuration Manager 2007 are o arhitectură client-server find compus dintr-o serie de roluri de tip server – Site System Roles și agenți instalați pe sistemele aflate sub managementul SCCM.
Rolurile de tip server asigură comunicația cu clienții și o serie de funcționalități specifice fiecărei activități de management. Arhitectura este deschisă și se pot adăuga roluri suplimentare. Mai jos este o descriere a fiecarui rol:
| • | SCCM Database – deține baza de date operațională ce conține informații despre sistemele gestionate și informații de configurare. Baza de date poate fi instalată pe același server cu celelate roluri sau poate fi situată separat, inclusiv în cluster. Serverul de baze de date este SQL Server 2005 cu SP2; |
| • | Management Point (MP) – asigură canalul de comunicație cu agenții prin care aceștia primesc instrucțiuni și raportează rezultate către server. Comunicația se face pe HTTP și este optimizată cu BITS. Clienții sunt autentificați cu Kerberos (integrat Active Directory) sau cu certificate (în modul Nativ SCCM); |
| • | Distribution Point (DP) – este folosit pentru publicarea pachetelor pentru Software Distribution și imaginilor pentru OS Deployment. Pot fi configurate mai multe DP-uri în cadrul unui site, pentru a optimiza traficul în rețea. SCCM 2007 oferă și posibilitatea de a configura Branch Distribution Points inclusiv pe stații de lucru Windows XP. Spre deosebire de SMS 2003 comunicația se face prin HTTP și optimizată cu BITS; |
| • | Reporting Point (RP) – este un site de web ASP ce conține o mulțime de rapoarte cu informații preluate din baza de date operațională. Începând de la SCCM 2007 SP1 a fost introdus un nou sistem de raportare bazat pe Reporting Services din SQL server 2005; |
| • | Fallback Status Point (FSP) – este folosit de către agenți pentru a raporta mesaje de eroare către server dacă din diverse motive nu pot contacta Management Point; |
| • | Software Updates Point (SUP) – este de fapt Windows Server Update Services (WSUS) 3.0 a cărui funcționalitate a fost integrată în SCCM; |
| • | System Health Validator (SHV) – este o componentă a arhitecturii Network Access Protection (NAP) din Windows Server 2008; |
| • | Server Locator Point (SLP) – este folosit de către clienți pentru a localiza rolurile Site Systems atunci când nu este folosită integrarea cu Active Directory; |
| • | State Migration Point – este folosit pentru salvarea datelor din profilurile utilizatorilor, în cadrul funcționalității de OS Deployment și restaurarea acestora după instalarea noului sistem de operare; |
| • | PXE Service Point – permite stațiilor ce nu dețin un sistem de operare să booteze din rețea folosind PXE și imagini de boot oferite de acest rol; |
| • | Device Management Point – este folosit pentru comunicația și managementul device-urilor mobile de tip SmartPhone și Pocket PC ce rulează Windows Mobile; |
| • | Asset Intelligence Syncronization Point – este un rol nou introdus în SCCM SP1 legat de funcționalitatea de Asset Intelligence care include un catalog de asset-uri (hardware și software) și rapoarte detaliate ce agregă informațiile colectate de agenți; |
| • | Out Of Band Service Point – este folosit pentru managementul sistemelor independent dacă pe acestea rulează un sistem de operare sau au un agent SCCM instalat. Funcționalitățile pornesc de la Wake-on-LAN până la hardware inventory, Remote Diagnostics, OS Provisioning folosind tehnologii de management third-party cum ar fi Intel VPro. |
Figura – Arhitectura unui site SCCM
Clientul SCCM instalat pe fiecare sistem gestionat este de fapt o colecție de agenți, fiecare avînd un rol bine definit. Clientul este de asemenea extensibil, putând fi adăugați cu ușurință agenți adiționali.
Majoritatea comunicației între client și server se realizează pe HTTP permițând traversarea firewall-urilor sau chiar managementul clienților de pe Internet. Câteva roluri folosesc și alte protocoale specifice.
Instalare și configurare
Pentru a avea o infrastructură SCCM funcțională trebuie instalate câteva roluri de tip server, inclusiv SCCM Database, Management Point și Distribution Point și instalarea clienților pe sistemele gestionate. Alte funcționalități cum ar fi Software Distribution, Software Updates și OS Deployment necesită o analiză și planificare detaliată a rolurilor și a amplasării acestora.
Este recomandată extinderea schemei Active Directory pentru a permite Site Serverelor să publice informații în Active Directory astfel încât clienții să le poată localiza.
Ca și cerințe preliminare pentru instalarea SCCM 2007 trebuie instalat Windows Server 2003 SP2 cu IIS, ASP.NET și WebDAV, .NET Framework 2.0, WSUS 3.0 și o serie de hotfix-uri.
SCCM 2007 SP1 oferă suport pentru instalare pe servere Windows Server 2008.
O atenție deosebită trebuie acordată configurării Site Boundaries, adică a definiției subnet-urilor în care se află clienții ce vor fi gestionați, și Discovery Methods. Metoda recomandată pentru descoperirea clienților este Active Directory System Discovery. Pentru a asigura rate de descoperire și instalare a clienților cât mai mari trebuie să nu avem înregistrări vechi în Active Directory și DNS care ar putea cauza crearea de Discovery Records false pentru sisteme care nu mai există în rețea și bineînțeles eșuarea instalării clienților.
SCCM are două moduri de funcționare:
| • | Modul Mixt – compatibil cu SMS 2003 în care autentificarea clienților se face cu Kerberos și Active Directory; |
| • | Modul Nativ – în care autentificarea se face cu certificate, putând gestiona inclusiv clienți pe Internet, și care necesită existența unei infrastructuri de certificate PKI și enrollmentul clienților și serverelor. |
Modul nativ implică faze de analize și planificare detaliate pentru a avea o implementare de succes.
Instalarea clienților pe stații se poate face prin mai multe metode, inclusiv Client Push, login script sau GPO, cu WSUS sau prin upgrade (pentru migrarea de la SMS 2003). Metoda recomandată în majoritatea cazurilor este Client Push în care instalarea clienților este realizată de către Site Server pe toate sistemele descoperite.
În continuare vom discuta câteva dintre funcționalitățile noi din SCCM 2007.
Managementul patch-urilor
Față de SMS 2003 care folosea un Feature Pack numit Inventory Tool for Microsoft Updates (ITMU) pentru managementul patch-urilor, adică o infrastructură distinctă și diferită de modul de lucru al Microsoft Update și WSUS, în SCCM 2007 a fost integrată funcționalitatea WSUS 3.0 pentru inventarierea patch-urilor instalate cu funcționalitatea de Software Distribution pentru deploymentul patch-urilor.
Trebuie menționat de la bun început că funcționalitatea de patch management din SCCM 2007 este adresată organizațiilor IT care doresc să controleze cu precizie patch-urile care sunt aplicate și procesul de deployment al acestora. Acest lucru va implica un efort suplimentar din partea personalului IT în comparație cu WSUS 3.0, dar permite definirea și controlul detaliat al proceselor de patch management.
Procesul de patch management la SCCM conține trei faze:
1. | Sincronizarea listei de patch-uri cu furnizorii, în cazul lui de față cu Microsoft Update. Din consola de administrare va fi configurat WSUS să se conecteze și să downloadeze lista de patch-uri disponibile de pe Microsoft Update. Informațiile asociate patch-urilor vor fi salvate în baza de date WSUS și sincronizate ulterior și în baza de date SCCM. |
2. | Inventarierea sistemelor gestionate și generarea de rapoarte privind patch-urile instalate și starea de conformitate (compliance) cu liste de patch-uri definite de administrator. Administratorul va configura liste de patch-uri și va iniția scanarea sistemelor. Clienții SCCM vor primi instrucțiunile, vor iniția scanarea folosind ca referință lista de patch-uri de pe WSUS și vor raporta rezultatul la SCCM prin intermediul Management Point. |
3. | Aplicarea patch-urilor pe sistemele care au nevoie de ele (non-compliant). Implementarea patch-urilor se va face cu mecanismele specifice de Software Distribution ale SCCM. Administratorul va downloada și va crea un pachet cu patch-urile dorite, îl va copia pe Distribution Points și va avertiza pachetul către colecția de sisteme dorită. WSUS nu este implicat în această fază. |
Figura – Cele trei faze ale procesului de patch management
Operating System Deployment
Funcționalitatea de Operating System Deployment este bazată pe framework-ul oferit de Microsoft Deployment (cunoscut anterior ca Business Desktop Deployment). Acesta integrează o serie de tehnologii existente anterior cum ar fi Sysprep, Windows PE, PXE Boot și formatul de imagini folosit de Windows Vista (WIM) cu infrastructura de deployment oferită de SCCM 2007.
Acest lucru permite automatizarea instalării sistemelor de operare pe stațiile de lucru și servere mergând până la scenarii de tip Zero-Touch, în care intervenția administrativă este minimală.
Pentru a atinge acest obiectiv, funcționalitatea de Operating System Deployment folosește o serie de componente:
| • | Boot images – acestea conțin sistemul de operare Windows Preinstallation Environment (WinPE) bazat pe Vista și vor fi folosite ca mediu de execuție pentru pașii de instalare; |
| • | Capture Media – sunt DVD-uri ce conțin o imagine de boot bazată pe WinPE și instrucțiuni pentru captura și salvarea imaginilor pe server; |
| • | Operating System Images – reprezintă arhivele în format Windows Image (WIM) ale imaginilor capturate; |
| • | Task Sequences – sunt scripturi cu instrucțiuni (în format XML) cu privire la pașii care trebuie executați în cadrul procesului de instalare; |
| • | Driver catalog – aici vor fi încarcate driverele necesare pentru diversele configurații. SCCM folosește conceptul de imagine unică ce conține un minimde drivere, acestea fiind adăugate după restaurarea imaginii din Driver catalog; |
Procesul de captură al unei imagini se realizează în felul următor:
| • | Mai întâi va fi instalată o stație de lucru referință (Standard PC). Acesta va conține sistemul de operare cu Service Pack-urile și fix-urile dorite precum și o serie de aplicații care vor fi folosite de toți utilizatorii; |
| • | Aplicațiile vor fi lansate și inițializate, vor fi configurate toate setările și opțiunile necesare; |
| • | Stația trebuie să fie configurată în workgroup și recomandat cu DHCP. Nu trebuie să conțină clientul de SCCM; |
| • | Pe serverul SCCM va fi creată Capture Media care va conține imaginea de boot cu WinPE, clientul de SCCM și un Task Sequence specific pentru captură; |
| • | Se va copia utilitarul sysprep în directorul C:\sysprep al stației de lucru; |
| • | Se va boota stația de lucru folosind Capture Media. Va porni Task Sequence-ul care va rula sysprep și apoi va captura imaginea și o va salva pe serverul SCCM în format WIM. |
Din momentul în care avem imaginea sistemului de operare pe server putem iniția procesul de deployment folosind infrastructura SCCM. Sunt suportate mai multe scenarii de implementare, inclusiv instalare de la zero, upgrade al unei stații existente cu migrarea setărilor, instalare offline de pe DVD sau USB stick.
Un proces tipic de deployment este următorul:
| • | Administratorul copiază imaginea de boot și imaginea sistemului de operare pe Distribution Point; |
| • | Apoi va crea un Task Sequence care va conține la minim partiționarea și formatarea hard-disk-ului și restaurarea unei imagini de sistem de operare. Pot fi create oricâte partiții și restaurate imagini multiple în cadrul aceleiași secvențe. Un Task Sequence mai poate include instalarea de drivere, instalarea clientului de SCCM și a unor pachete de software; |
| • | Cea mai simplă metodă de deployment este cea offline. În acest caz administratorul va crea un Task Sequence media ce va conține imaginea de boot, imaginea sistemului de operare, pachete de software și drivere precum și Task Sequence-ul creat anterior. Media poate fi DVD sau USB stick și va fi folosită pentru instalarea automatizată a calculatoarelor ce nu sunt conectate la rețea; |
| • | O altă metodă de instalare este bootarea din rețea. În acest caz se va configura PXE Service Point pentru a oferi imaginile de boot dorite. Stațiile cu suport pentru PXE vor boota din rețea WinPE și vor primi Task Sequence-ul asociat lor. În continuare vor fi executate acțiunile incluse în acesta, adică partiționare și formatare, download-ul și restaurarea imaginilor, instalarea de drivere și software. |
Procesul de deployment va fi optimizat până la atingerea obiectivului de Zero Touch, adică instalare fără intervenția administratorului.
Figura – Task Sequence pentru instalarea Windows XP
Desired Configuration Management
O funcționalitate nouă în SCCM 2007 este cea de Desired Configuration Management. Cu ajutorul acesteia administratorul poate defini standarde (baselines) privind configurația sistemelor și poate analiza conformitatea (compliance) sistemelor în comparație cu acestea.
Un baseline poate conține mai multe Configuration Items adică elemente individuale de configurație. Acestea pot fi orice setări sau atribute ale configurației a căror stare poate fi evaluată. De exemplu se pot crea Configuration Items pentru:
| • | Starea unor atribute ale obiectelor din Active Directory; |
| • | Existența anumitor fișiere pe sisteme ( de exemplu fișiere cu semnături pentru antivirus); |
| • | Rularea unor scripturi și evaluarea rezultatelor acestora; |
| • | Interogarea unor surse SQL și evaluarea rezultatelor; |
| • | Existența unor patch-uri; |
| • | Interogarea unor setări prin WMI; |
| • | Starea unor chei de registry; |
| • | Verificarea configurației IIS. |
Toate aceste elemente pot fi folosite pentru a crea un Baseline. Acesta va fi avertizat către o colecție de sisteme. Clientul SCCM va folosi baseline-ul pentru a interoga starea elementelor de configurație specificate și va întoarce rezultatele către server. Aici rezultatele vor fi agregate și prezentate în rapoarte.
Figura – Desired Configuration Management
Trebuie menționat că DCM realizează doar analiza conformității configurației sistemelor cu un baseline predefinit. Eventualele neconformități trebuie remediate prin alte metode, de exemplu aplicarea de patch-uri sau cu Group Policy.
Ce schimbări sunt în Service Pack 1 și SCCM 2007 R2
Service Pack 1 pentru SCCM 2007 conține o serie de îmbunătățiri ale funcționalităților acestuia. În primul rând este suportată instalarea pe Windows Server 2008 ca sistem de operare. În acest fel poate fi activată funcționalitatea de Network Access Protection. SCCM va juca rolul de Health Validator.
Funcționalitatea de Asset Intelligence a fost îmbunătățită fiind activată implicit și adugate obiecte de configurare în consolă precum și rapoarte suplimentare.
O altă funcționalitate nouă este cea de Out Of Band Management care permite operații de management simple chiar și în cazul inexistenței unui sistem de operare și a clientului SCCM pe stații, pornind de la remote power on și terminînd cu harware inventory și remote management folosind tehnologii cum ar fi Intel VPro.
Recent a apărut SCCM 2007 R2 care este un feature pack care se instalează peste SCCM 2007 SP1 și adaugă suportul pentru instalarea de software folosind pachete Application Virtualization (SoftGrid), suport pentru instalarea și managementul Forefron Client Security pe stații și rapoarte bazate pe SQL Server Reporting Services.
Pentru informații suplimentare
Adrian Stoian, MCT, MCSE, CISSP, este Trainer și Consultant IT la firma TechReady. Îl puteți contacta pe adresa astoian@techready.ro.