System Center Configuration Manager (SCCM) 2007 в корпорации Microsoft именуют новым воплощением System Management Server (SMS). Префикс System Center свидетельствует о принадлежности продукта к семейству средств управления компании Microsoft. Наряду с Configuration Manager в список решений System Center сегодня входят Operations Manager, Data Protection Manager, Reporting Manager, Essentials, Virtual Machine Manager и Capacity Planner. Кроме того, компания недавно объявила о выпуске нового продукта для службы поддержки, именуемого System Center Service Desk (SCSD). Но SCCM, флагман серии System Center, безусловно, является ее ключевым компонентом.
В этой статье мы рассмотрим архитектуру SCCM и входящий в комплект поставки данного средства добротный набор инструментов для управления всей инфраструктурой Windows. При этом основное внимание будет уделено некоторым новым функциям SCCM 2007. Затем мне бы хотелось остановиться на том, что необходимо знать о развертывании в сети предлагаемых Microsoft программных средств управления системами нового поколения.
Четыре столпа
В SCCM технологии и функциональные возможности, реализованные в прежних версиях SMS, подверглись значительной переработке. В своем руководстве к новому продукту команда разработчиков Microsoft использует образ четырех колонн, или столпов, на которых покоится новая система. Эти столпы — простота, развертывание, безопасность и управление.
Простота. Для продукта, реализующего столь широкий спектр функциональных возможностей, простота является весьма достойным краеугольным камнем. Чтобы администраторам не приходилось искать и загружать инструментальные средства, а затем по одному встраивать их в систему, специалисты Microsoft включили в основной продукт пакеты функций и дополнительные модули. Новая процедура установки отслеживает и отображает задачи установки по мере их появления, а также формирует точку управления, management point, чтобы непосредственно по завершении операции установки система SCCM могла приступить к развертыванию клиентов. Кроме того, специалисты Microsoft ввели понятие окон обслуживания и интегрированные функции Wake on LAN (WOL). Благодаря этим нововведениям администраторам SCCM становится проще управлять проведением операций по обслуживанию на контролируемых системах. В показанном на экране 1 пользовательском интерфейсе на базе консоли Microsoft Management Console (MMC) 3.0 реализовано несколько замечательных нововведений, в том числе функции буксировки и поиска в папках. Разработчики Microsoft включили в продукт динамические мастера, которые снижают сложность операций и упрощают выполнение многих административных задач. Еще одна новая функция — Volume Shadow Copy Service (VSS) — обеспечивает резервное копирование содержимого систем узлов SCCM и тем самым дополнительно облегчает жизнь администраторов.
Безопасность. Краеугольный камень безопасности — это прежде всего две инициативы в области защиты данных, которые расширяют функциональность SCCM в том, что касается управления обновлением системы безопасности для предприятия, и повышают уровень защиты инфраструктуры SCCM по сравнению с предыдущими версиями SMS. Первая инициатива связана с реализацией усовершенствованной технологии оценки уязвимости и восстановления, а вторая предполагает «бесшовную» комплексную взаимную аутентификацию между системами SCCM и управляемыми клиентами вне зависимости от способа подключения — по каналам Internet, через локальную сеть или с использованием механизма роуминга, сочетающего оба метода.
Настройка. Краеугольный камень настройки обеспечивает предоставление ИТ-организациям возможности моделировать желаемую конфигурацию для данного типа систем, а также управлять такой конфигурацией. Администраторы SCCM могут создавать политики управления с целью определения базовых значений для элементов системной конфигурации, включая конфигурацию аппаратных средств, установленных программных средств, нагрузку на систему, а также конкретные настройки. Система может генерировать отчеты о соответствии настроек значениям базовой конфигурации и корректировать те или иные не соответствующие базовой конфигурации параметры с использованием базы знаний.
Основные средства SCCM
Было время, когда такой показатель, как общая стоимость владения (total cost of ownership, TCO), считался одним из главных факторов, способствующих внедрению более современных средств управления ИТ-системами. Похоже, что в наши дни термин TCO несколько утратил свое значение, однако мы ни в коем случае не должны недооценивать важность такого фактора, как контроль стоимости управления настольными и серверными системами. ИТ-подразделения компаний должны следить за тем, чтобы общая стоимость владения системами не выходила за разумные рамки.
Вот здесь-то администраторам и приходит на помощь менеджер SCCM. Этот продукт предназначен для повышения общей эффективности ИТ-подразделений, для облегчения процедур инициализации и управления вычислительными ресурсами с одновременным снижением до минимума соответствующих накладных расходов. Свой вклад в достижение этих высоких целей вносят все перечисленные ниже базовые средства SCCM: доставка программного обеспечения, средства учета и подготовки отчетов, функции управления устройствами, развертывания операционных систем, управления обновлениями программ, дистанционные инструменты, управление конфигурацией, защита сетевого доступа и средства управления клиентами в среде Internet.
Средства дистрибуции и обновления программного обеспечения
Функции дистрибуции программных средств обеспечиваются львиной долей средств SCCM, и так было всегда, начиная еще с первой версии SMS. Дистрибуция программного обеспечения — это способность системы дистанционно развертывать программные средства (как правило, речь идет о приложениях) на одной или нескольких клиентских системах. Может показаться, что это достаточно простая задача, но следует иметь в виду, что развертывание программных средств в условиях современных предприятий — нечто большее, нежели процедура установки данного программного пакета на группе настольных компьютеров. Необходимо принимать во внимание тип подключения целевой системы, тип самой системы, схему использования ресурса, а также общую полосу пропускания сети, используемой для доставки программного средства. Более того, установкой программного пакета дело не ограничивается. На протяжении срока эксплуатации его, по всей вероятности, придется обновлять. Можно воспользоваться переменными коллекциями систем — это поможет распределить компьютеры по категориям на базе определенных параметров (таких, как операционная система, объем памяти, тип диска), с тем чтобы менеджер SCCM устанавливал те или иные программные продукты только на выделенных для этого системах. Служба Background Intelligent Transfer Service (BITS) и окна обслуживания позволяют исключить вероятность снижения производительности труда пользователей в связи с установкой программных средств. Если не склонный к сотрудничеству с администраторами пользователь настаивает на том, чтобы его система каждую ночь отключалась от источника питания, можно включать ее с помощью WOL для выполнения операций по обслуживанию программного обеспечения. Чтобы минимизировать отрицательное воздействие операций по обновлению приложений на полосу пропускания узлов, SCCM использует двоичные дельты — с хешированием репликации DFS (DFSR). Двоичная дельта осуществляет копирование лишь содержащих изменения фрагментов модуля обновления приложения. Так, если у вас установлен пакет Microsoft Office объемом в 700 Мбайт и вам необходимо изменить один файл, по сети придется передавать не весь пакет объемом 700 Мбайт, а только фрагмент файла, содержащий отличия от предыдущей версии.
Средства учета и подготовки отчетов. Даже сотрудникам небольших ИТ-предприятий порой бывает непросто получить представление о совокупности аппаратных и программных ресурсов, имеющихся в компании. Реализованные в SCCM средства учета и подготовки отчетов помогают решить эту проблему. Администратор может настроить модуль отчета таким образом, чтобы информация о наличии аппаратных и программных компонентов поступала от клиентских систем через указанные промежутки времени. Затем модуль отчетов будет собирать соответствующие фрагменты полученных данных и составлять из них осмысленные отчеты. Эти отчеты могут быть совсем простыми (скажем, перечисление компонентов платформы настольного компьютера) или весьма сложными (например, список проходящих по финансовому отделу ноутбуков HP с указанными версиями BIOS и видеодрайверов, на которых установлены браузеры Microsoft Internet Explorer-IE-7.0 в среде Windows XP SP2). Кроме того, отчеты с информацией по учету программного обеспечения и с данными измерений программных средств могут послужить основой для организации управления лицензиями.
Управление устройствами. Средства управления устройствами — которые специалистам Microsoft следовало бы назвать средствами управления мобильными устройствами — были впервые реализованы в виде дополнительного функционального модуля SMS 2003. Разработчики усовершенствовали эти средства и включили их в комплект поставки SCCM. Средства управления устройствами позволяют выполнять на мобильных устройствах функции, подобные тем, что реализованы в традиционных клиентах. К примеру, можно осуществлять учет аппаратных и программных средств, собирать файлы, доставлять программное обеспечение, а также контролировать настройки и управлять паролями. К числу устройств, которыми сегодня можно управлять с помощью SCCM, относятся устройства, на которых выполняются программы Windows Mobile на платформе Pocket PC, а также смартфоны и устройства, функционирующие под Windows CE. Полный список этих изделий приводится в документации к SCCM.Развертывание операционной системы. Реализованные в SCCM средства для развертывания операционных систем представляют собой радикально усовершенствованную версию дополнительного пакета функций SMS 2003 и набор программных компонентов ускорителя приложений. В основе этих новых базовых функций лежат технологии развертывания операционных систем, реализованные в системах Windows Server 2008 и Windows Vista. С помощью средств развертывания операционных систем администратор может создать эталонную систему и получить единый образ ее развертывания для всего предприятия. SCCM поддерживает такие сценарии развертывания, как установка на новый компьютер, модернизация на месте и миграция «от системы к системе».
Средства управления обновлениями программ. В SCCM служба Windows Server Update Services (WSUS) играет роль базовой технологии для выполнения обновлений и установки модулей коррекции. Однако администраторы используют интерфейс SCCM для обеспечения более полного контроля применения модулей обновления. Наряду с этим средства управления обновлениями менеджера SCCM позволяют развертывать обновления, созданные независимыми поставщиками и внутренними разработчиками, а также обеспечивают возможность отслеживания и составления отчетов относительно обновлений, развернутых по всему предприятию.
Дистанционные инструменты. Реализованные в SMS средства дистанционного контроля управляемых систем давно уже с успехом применяются при проведении диагностики, а также для оказания поддержки конечным пользователям. Microsoft модернизировала дистанционные инструменты SCCM таким образом, что теперь они позволяют с помощью протокола RDP операционной системы Vista пользоваться всеми преимуществами повышенной производительности, безопасности и современных технологий сотрудничества. Кроме того, SCCM по-прежнему совместим со средствами Remote Desktop и Remote Assistance.
Управление желательной конфигурацией. Сотрудники любой ИТ-организации понимают, что стандартизация систем и конфигураций дает неоспоримые преимущества. Компонент SCCM, ответственный за управление конфигурацией (он входил в состав SMS 2003 под именем ускорителя приложений, ныне усовершенствован и интегрирован в SCCM), позволяет определять модель для настройки систем. Далее SCCM осуществляет мониторинг управляемых систем на предмет соответствия данному определению.
Защита сетевого доступа. Разработанное специалистами Microsoft средство Network Access Protection (NAP) является абсолютно новым компонентом SCCM. В целом NAP можно определить как инструмент для мониторинга сети с целью выявления не соответствующих заданному определению и потому потенциально уязвимых систем, а также для упреждающего разрешения потенциальных проблем несоответствия еще до того, как таким системам будет предоставлен доступ к сети. Однако для реализации NAP необходимо, чтобы на сервере Windows Server 2008 работала система Network Policy Server. Соответствие настроек систем заданным требованиям определяют политики NPS, а необходимые изменения настроек выполняет компонент SCCM NAP.
Средства управления клиентами в среде Internet. Хотя продукт SMS традиционно применяется для управления многими типами клиентов, включая настольные системы, ноутбуки и серверы, он не дает возможности управлять теми клиентами, которые подключены к сети по каналам Internet. В менеджере SCCM средства безопасного управления клиентами в среде Internet включены в базовый набор функций. С помощью инфраструктуры открытых ключей (PKI) клиенты могут в защищенном режиме участвовать в традиционных операциях по развертыванию программных средств, по плановому учету, а также выполнять другие функции SCCM, будучи подключенными к сети только по каналам Internet.
Что необходимо знать
Тем, кто готовится вплотную приступить к работе с менеджером SCCM, следует знать — установить его с чистого листа или модернизировать существующую систему SMS. Если речь идет о развертывании нового продукта, нужно прежде всего учитывать следующие обстоятельства: размер и уровень сложности сети, требуются ли вам широкие возможности управления, реализованные в SCCM, и сможете ли вы ими воспользоваться. Читатели, ознакомившиеся с моей рецензией на бета-версию изделия System Center Essentials, возможно, помнят, что пределом для этого инструментального средства являются 30 серверов и 500 клиентских систем. Этот показатель ныне служит отправной точкой для выяснения, в сетях какого масштаба целесообразно приступать к реализации SCCM. В компании, где имеется менее 500 систем, едва ли удастся оценить достоинства такого мощного и сложного продукта, как SCCM. Если же вы имеете дело с существующей системой SMS, имеет смысл рассматривать вопрос о модернизации до уровня SCCM сразу же после выпуска продукта. Когда будет принято решение о переходе на SCCM, потребуется выделить некоторое время на осуществление подготовительных мероприятий, связанных с PKI и ролями систем узла.
PKI. Если в организации не реализована инфраструктура открытых ключей, первоочередная задача администратора — разобраться в этой технологии и развернуть PKI для поддержки реализованных в SCCM современных средств защиты данных. Без PKI невозможно развертывание в однородном режиме (т. е. полное развертывание клиентов SCCM и необходимых серверов, поскольку для подписи всех политик SCCM система использует сертификат подписи сервера узла). С помощью этой инфраструктуры системы узла и управляемые клиенты устанавливают отношения взаимного доверия.
Системные роли узла. Далее следует изучить область системных ролей. В менеджере SCCM реализовано множество новых ролей, а некоторые старые роли отменены либо переименованы. И хотя может показаться, что идея добавления новых ролей противоречит требованию простоты, на котором зиждется SCCM, на самом деле роли, разработанные специалистами Microsoft, помогают администраторам более эффективно управлять и обслуживать инфраструктуру, а также управляемые системы.
Как показано на рисунке, к системным ролям SCCM 2007 относятся сервер основного узла, сервер базы данных узла, консоль Configuration Manager, точка доставки для филиалов, резервная точка для хранения данных о состоянии, точка управления, точка обслуживания среды PXE, точка создания отчетов, точка обнаружения серверов, точка обновления программных средств, точка миграции состояний систем и сервер проверки состояния систем. Отметим, что не все роли являются обязательными и что нет нужды выделять для каждой роли специальный сервер. Более того, в небольших сетях можно — хотя и не рекомендуется — размещать все необходимые роли на одном сервере. Ответ на вопрос о том, какие роли целесообразно выбирать в каждом конкретном случае и какие аппаратные средства следует применять для их реализации, зависит, помимо прочего, от сетевой нагрузки и от требований, предъявляемых к защите данных. Множество советов по вопросам планирования развертывания менеджера SCCM можно найти в подготовленной специалистами Microsoft библиотеке Configuration Manager Documentation Library; на основе этих рекомендаций несложно подобрать оптимальное сочетание ролей и аппаратных средств.
Рекомендации по установке
Администратору полезно познакомиться с различными параметрами установки, которые доступны в тех или иных ситуациях. Если создается новый узел SCCM 2007, требуется сделать выбор между простой установкой и настраиваемой установкой (отметим, кстати, что прибегать к простой установке вряд ли целесообразно, разве что в чисто испытательных целях). Мастер установки SCCM Setup Wizard (см. экран 2) проверяет, выполнены ли все необходимые для установки предварительные условия, помогает восполнять недостающие программные компоненты и далее помогает администратору проходить все этапы процесса указания параметров узла, а также управляемой системы. Если вы уже знаете точно, каким образом следует разворачивать SCCM, можете упростить этот процесс, воспользовавшись методом установки с помощью сценария.
Для организаций, не вложивших больших средств в текущие версии SMS, вполне приемлемой будет стратегия модернизации side-by-side. Этот метод сводится к созданию нового узла SCCM с последующим переназначением и модернизацией существующих управляемых систем до уровня нового узла. Впрочем, скорее всего, вам больше подойдет стратегия in-place. В этом случае все существующие данные перемещаются в новую схему баз данных, и на протяжении того времени, пока осуществляется модернизация до уровня SCCM 2007, вы получаете возможность работать в совместимом режиме. Здесь стоит сделать важное замечание: в процессе модернизации удаляются все неподдерживаемые пакеты функций — в первую очередь те, что применяются для развертывания операционных систем и управления устройствами. Однако, хотя в ходе модернизации удаляются устаревшие пакеты функций, их возможности замещаются собственными функциями SCCM 2007, причем новые, «родные» для SCCM функции будут использовать настройки, ранее выбранные для удаленных пакетов функций.
В процессе модернизации следует двигаться от верхних уровней иерархии к нижним. Рекомендую рассмотреть возможность размещения центрального узла SCCM 2007 над существующим первичным узлом SMS 2007, и пусть данные направляются снизу вверх. При использовании этого сценария вы сможете ознакомиться с новой консолью SCCM, используя собственные данные. Из консоли SCCM 2007 можно просматривать — но не редактировать — настройки узла SMS 2003. Вспомогательные узлы SMS 2003 можно модернизировать до уровня SCCM 2007 вручную, «загружая» их через SMS или устанавливая с помощью средств дистанционного управления. Можно назначать клиентов SMS узлам SCCM 2007, а клиенты SCCM 2007 могут — в смешанном режиме — осуществлять роуминг на узлы SMS для достижения совместимости.
Рекомендации по развертыванию клиентов
Клиентов SCCM можно назначать в соответствии с принадлежностью к той или иной организационной единице AD; в этом случае стратегия назначения будет больше соответствовать структуре бизнеса компании, нежели структура узла SMS. Наряду со стандартными методами установки загрузки на клиента и методами доставки программных средств имеется новый способ выполнения установки на клиентских системах. С помощью точки обновления программных средств Software Update Point можно использовать службу WSUS в качестве своеобразного контейнера для перемещения данных в обход препятствий на пути установки клиентов, таких как разрешения на получение учетной записи и неоткрытые порты. Когда Microsoft начнет официальные поставки SCCM, она включит в комплект поставки шаблон .adm для доставки клиентских настроек SCCM посредством групповых политик.
Помимо прочего, специалисты Microsoft внесли заметные усовершенствования в исполняемый модуль по установке клиента. Данный инструмент предусматривает использование одного двоичного файла — ccmsetup.exe — для установки всех клиентов. Этот новый исполняемый модуль посредством службы BITS согласует свои действия с шириной полосы пропускания. Прежде всего, он загружает простой манифест XML, чтобы определить, какие компоненты применимы к данному клиенту, а затем загружает и устанавливает только то, что необходимо.
Другие соображения
Собственный режим SCCM, а также инфраструктура PKI, которая требуется для функционирования этого изделия, относятся к числу требований к средствам управления клиентами по каналам Internet. Кроме того, для того чтобы использовать NAP, придется модифицировать схему AD, однако эта перспектива не столь ужасна, как может показаться. Если вы готовы к такому испытанию, можете запускать файл ExtADSch.exe с установочного диска SCCM 2007 (он хранится в каталоге SMSSETUPBINI386); в качестве альтернативы можно воспользоваться предоставляемым Microsoft файлом LDF. В файле LDF документируются классы и атрибуты, добавленные в процессе модификации схемы, а также функции SCCM, с которыми эти классы и атрибуты ассоциируются. Одной из таких функций является NAP; эта функция требует обновления схемы AD.
Вложения окупятся
Усилия, вложенные корпорацией Microsoft в разработку стратегии четырех столпов — простоты, развертывания, безопасности и конфигурации, принесут дивиденды ИТ-организациям разных масштабов, от средних до самых крупных. Пользователи существующих систем SMS получат значительную выгоду от модернизации до уровня новейшего и непревзойденного по эффективности средства управления конфигурацией от Microsoft, а новые возможности и удобство эксплуатации SCCM станут дополнительным аргументом в пользу развертывания этого решения во многих ИТ-организациях, где прежние версии SMS, возможно, не смогли укорениться.
Эд Рот (eroth@winnetmag.com) — редактор журнала Windows IT Pro