System Center
Introduzione a System Center Essentials 2007
David Mills
Panoramica:
- Installazione e aggiornamento
- Configurazione di Essentials 2007
- Procedura per la risoluzione dei problemi
System Center Essentials 2007 è una nuova soluzione di gestione IT progettata specificatamente per le aziende di medie dimensioni che utilizzano dai 50 ai 500 PC e dai 5 ai 30 server. Essentials 2007 rappresenta la risposta alle esigenze dei professionisti di IT di poter disporre di una
soluzione di gestione unificata. Essentials 2007 soddisfa al meglio tali esigenze e consente di diventare operativi in modo estremamente rapido grazie a una singola installazione e a una semplice configurazione.
Più specificatamente, Essentials 2007 fornisce le funzionalità di monitoraggio, risoluzione dei problemi e analisi dei beni materiali per mantenere l'ambiente IT protetto e aggiornato. Essentials 2007 offre anche una console di gestione unificata, che consente di gestire server, client, hardware, software e servizi IT (vedere la figura 1). Inoltre, Essentials si rivela prezioso per semplificare e rendere efficienti le attività di gestione più complesse, quali la risoluzione dei problemi dell'utente finale, il monitoraggio e la distribuzione del software di server e client.
Figura 1** Console di gestione di Essentials 2007 **(Fare clic sull'immagine per ingrandirla)
Requisiti per Essentials 2007
Prima di avviare il processo di installazione e configurazione di Essentials 2007, è necessario verificare che i sistemi siano conformi ai requisiti minimi per software e hardware. Il sistema operativo server dovrebbe essere Windows Server® 2003 SP1 o R2 oppure Windows® Small Business Server 2003 SP1 o versione successiva. Sarà anche necessario Active Directory®, IIS 6.0, Microsoft® .NET Framework 2.0 e 3.0 o versione successiva e SQL Server™ 2005 SP1. Il server richiede almeno 1 GB di RAM, 12 di GB di spazio libero su disco e un processore a 1,8 GHz. Sono consigliati 2 GB di RAM, 20 GB di spazio libero su disco e un processore a 2,8 GHz o più veloce.
È necessario che sui computer client gestiti sia in esecuzione Windows 2000 Professional SP4, Windows XP SP2 o Windows Vista®. Sono supportati sistemi operativi x86 e x64.
È necessario che sui computer server gestiti sia in esecuzione Windows 2000 Professional SP4, o un sistema operativo più recente. Sono supportati sistemi operativi x86 e x64. Poiché è probabile che si desideri monitorare e gestire l'ambiente IT dal proprio computer desktop o portatile, sarà necessario eseguire l'installazione della console di Essentials 2007 sul computer. Prima di iniziare, verificare che sul computer sia in esecuzione Windows XP SP2, Windows Vista o Windows Server 2003 SP1.
Inoltre, quando si pianifica la configurazione del server di Essentials 2007, è necessario predisporre uno spazio su disco sufficiente per la gestione dei download degli aggiornamenti e del database di report. Il database degli aggiornamenti può crescere oltre i 2 GB ed il contenuto degli aggiornamenti può crescere oltre i 6 GB. I database operativi e di report di Essentials possono crescere fino a 4 GB. Eseguire la pianificazione in base a queste informazioni in modo da non esaurire lo spazio di archiviazione.
Installazione di Essentials 2007
L'installazione di Essentials 2007 si rivela piuttosto semplice grazie alle efficienti procedure guidate a disposizione, che offrono una guida rapida per le attività più critiche quali l'installazione e la configurazione, l'individuazione dei computer e la configurazione degli aggiornamenti. Quando si esegue l'installazione guidata, Essentials 2007 verifica automaticamente tali prerequisiti e informa l'utente nel caso in cui vi siano prerequisiti mancanti (vedere la figura 2).
Figura 2** Verifica dei prerequisiti di installazione **(Fare clic sull'immagine per ingrandirla)
Se uno degli elementi richiesti non è incluso sul disco di Essentials 2007, dalla schermata di installazione è disponibile un collegamento al software mancante per poterlo installare. Man mano che si procede nell'installazione guidata, sarà necessario specificare un percorso di installazione di Essentials 2007 e le informazioni per un account con privilegi amministrativi. La gestione dei computer tramite Essentials 2007 può risultare molto più semplice se questo account dispone dei diritti di amministratore sul server di gestione e su tutti i computer gestiti. Essentials supporta l'utilizzo di un unico account per svolgere attività quale l'installazione degli agenti sui computer gestiti.
Se al momento SQL Server 2005 non è installato e disponibile per essere utilizzato con Essentials 2007, in locale o in remoto, è possibile scegliere di utilizzare Essentials 2007 per installare SQL Server 2005 Express with Advanced Services in modalità locale durante l'installazione. Questa versione di SQL Server è inclusa sul disco di Essentials 2007. È inoltre possibile acquistare una versione di Essentials 2007 con SQL Server 2005 Standard, concesso in licenza specificatamente per l'uso con Essentials 2007.
L'altra importante decisione da prendere in fase di installazione è scegliere la posizione in cui Essentials 2007 dovrà archiviare gli aggiornamenti. È possibile archiviarli in locale affinché il server di Essentials 2007 possa trasmetterli ai computer gestiti sulla rete. Probabilmente questa è la scelta migliore, soprattutto se l'accesso a Internet tende a essere un collo di bottiglia per la rete. Gli aggiornamenti possono anche essere scaricati direttamente da Microsoft Update ogni volta che è necessario aggiornare un computer. Optare per quest'opzione comporta che un aggiornamento per 50 computer viene scaricato 50 volte, ovvero una volta per ogni computer. Ciò può rivelarsi poco pratico, ma il vantaggio è che si utilizzerà meno lo spazio su disco sul server di gestione.
La topologia di distribuzione di base supportata da Essentials 2007 prevede l'installazione di tutti i componenti di gestione su un unico server (vedere la figura 3). Tuttavia, è possibile scegliere di installare la console di gestione di Essentials 2007 sul computer desktop o portatile in ufficio e decidere di controllare in remoto il server di gestione. Prima di installare la console remota, è necessario eseguire la configurazione guidata della funzionalità sul server di Essentials 2007. Questo processo stabilisce se vengono utilizzati i Criteri di gruppo del dominio o i Criteri di gruppo locali per configurare la console remota. Se si selezionano i Criteri di gruppo del dominio, accertarsi che sia trascorso tempo sufficiente per consentirne l'aggiornamento sul computer sul quale viene installata la console remota. È possibile installare più console remote se necessario.
Figura 3** Configurazione di Essentials 2007 di base **
Se si gestisce un ambiente IT con più di 200 computer, sarà necessario installare SQL Server 2005 su un server remoto (non sul server di gestione di Essentials 2007) e utilizzare tale istanza remota come database di Essentials 2007 (vedere la figura 4). Questo garantirà prestazioni migliori quando si aumentano le dimensioni. Non dimenticare che questo server remoto deve trovarsi nello stesso dominio del server di gestione di Essentials 2007.
Figura 4** Utilizzo di un database di SQL Server remoto **
Se si sceglie di utilizzare un'istanza di database di SQL esistente durante l'installazione di Essentials 2007, è necessario assicurarsi che SQL Server 2005 SP1 Reporting Services sia installato e configurato sul server di gestione di Essentials 2007.
Aggiornamento a Essentials 2007
È probabile che sia già in esecuzione Windows Server Update Services (WSUS) 2.0 o 3.0 per gestire gli aggiornamenti Microsoft. In questo caso, se si desidera l'aggiornamento a Essentials 2007 per ottenere una soluzione di gestione più completa, Essentials consente di eseguirlo durante il processo di installazione. Questo aggiornamento sul posto mantiene le informazioni di aggiornamento esistenti, inclusi i valori binari, i gruppi e le approvazioni.
Se si utilizza Microsoft Operations Manager (MOM) 2005 o MOM 2005 Workgroup Edition per monitorare i server critici, ma si desiderano le funzioni di Essentials per l'inventario dei beni materiali, la distribuzione del software e l'aggiornamento, è possibile eseguire la migrazione dei Management Pack senza alcuna difficoltà esportandoli, convertendoli e quindi reimportandoli direttamente in Essentials 2007. Analogamente a MOM 2005, Essentials 2007 utilizza i Management Pack per il monitoraggio di computer e dispositivi. I Management Pack contengono anche le informazioni necessarie per diagnosticare e risolvere i problemi IT nel modo corretto. Se non si desidera eseguire la migrazione completa a Essentials 2007, è possibile ricorrere al funzionamento affiancato per preservare il monitoraggio di importanza critica ed eseguire la migrazione quando desiderato.
È necessario tenere presente che alcune impostazioni di WSUS non vengono mantenute durante l'aggiornamento a Essentials 2007. Verranno perse le informazioni relative a computer, impostazioni e approvazioni automatiche, nonché tutte le approvazioni esistenti per i gruppi relativi a tutti i client o a tutti i server. Pertanto, eliminare tali gruppi da WSUS prima di eseguire l'aggiornamento. Quindi, sarà necessario ricreare tali approvazioni al completamento dell'installazione di Essentials 2007.
Ricordare che non è possibile eseguire l'aggiornamento da WSUS se al server esistente sono associati server figlio attivi. Essentials 2007 non supporta la modalità WSUS Upstream Server (USS). Dato che questa situazione non può essere rilevata in modo affidabile, si verrà avvisati se al server WSUS sono associati server figlio. Inoltre, non si deve procedere con un aggiornamento nel caso in cui si utilizzi WSUS 2.0 o 2.0 SP1 con un server di database remoto che non esegue lo SQL Server 2005 SP1 per l'archiviazione dei dati di WSUS.
Una copia di backup del database corrente viene automaticamente creata durante il processo di aggiornamento. Se l'aggiornamento non riesce, è possibile ripristinare l'ambiente precedente utilizzando la copia di backup. Verificare che sia disponibile spazio sufficiente per eseguire il backup del database corrente di WSUS controllando le dimensioni del file di database corrente e appurando che vi sia abbastanza spazio per creare una copia.
Configurazione di Essentials 2007
Essentials 2007 fornisce numerose procedure guidate che offrono assistenza per svolgere le attività di configurazione e gestione. La configurazione guidata della funzionalità fornisce una rapida panoramica di alcuni passaggi di configurazione che sarebbe piuttosto complicato eseguire manualmente, ad esempio la configurazione dei Criteri di gruppo. La figura 5 mostra la prima pagina della procedura guidata.
Figura 5** Avvio della configurazione guidata della funzionalità **(Fare clic sull'immagine per ingrandirla)
Se si desidera utilizzare un server proxy al momento della connessione a Internet, uno dei primi passaggi consiste nell'immissione del nome del server e del numero di porta. Quindi, è possibile scegliere un tipo di Criteri di gruppo per configurare i computer gestiti, ovvero i Criteri di gruppo del dominio o i Criteri di gruppo locali. È inoltre possibile creare un'eccezione di Windows Firewall se si è scelto di utilizzare i Criteri di gruppo del dominio per configurare i computer gestiti.
A questo punto, è possibile eseguire il passaggio opzionale per abilitare l'assistenza remota dei computer. Ciò è consentito se si sceglie di utilizzare i Criteri di gruppo del dominio per configurare i client. Ricordare che in questo modo viene creata un'eccezione firewall su tutti i computer gestiti per abilitare DCOM sulla porta TCP 135.
È possibile scegliere se si desidera raccogliere i dati del monitoraggio errori senza agente dai computer gestiti. Se si seleziona Sì scegliendo una posizione in cui archiviare gli errori, i computer gestiti invieranno segnalazioni errori al server di Essentials 2007, che sarà possibile visualizzare per identificare le applicazioni in cui si verificano problemi.
Sono disponibili delle opzioni che specificano se inoltrare la segnalazione errori a Microsoft e se configurare e inviare un report di stato giornaliero, contenente informazioni su avvisi, aggiornamenti, software e inventario. Se si specifica che si desidera ricevere il report di stato giornaliero tramite posta elettronica, è possibile avere velocemente un'idea della situazione dell'ambiente IT all'inizio della giornata lavorativa.
Infine, è possibile scegliere di impostare l'individuazione pianificata giornaliera dei nuovi computer. Si consiglia di optare per questa opzione in quanto specifica a Essentials 2007 di eseguire un'analisi giornaliera di Active Directory per individuare nuovi computer e configurarli per essere gestiti in modo automatico.
L'esecuzione della procedura guidata di gestione di computer e dispositivi configurata per l'individuazione automatica dei computer richiede al server di Essentials 2007 di inviare query ad Active Directory e di individuare tutti i computer nel dominio da gestire (vedere la figura 6). Se si seleziona l'opzione di individuazione Avanzata, è possibile filtrare i dispositivi individuati per tipo, ad esempio solo client o dispositivi di rete, eseguire la ricerca in uno specifico intervallo di indirizzi IP o creare query avanzate. Si consiglia di selezionare l'individuazione dei computer Automatica e di eseguirla inizialmente per individuare tutti i client e tutti i server. Dato che Essentials 2007 monitora anche i dispositivi di rete abilitati per SNMP (Simple Network Management Protocol), è possibile eseguire nuovamente la procedura guidata in modalità avanzata e individuare i dispositivi di rete.
Figura 6** Avvio della procedura guidata di gestione di computer e dispositivi **(Fare clic sull'immagine per ingrandirla)
Se la rete utilizzata è più grande di circa 300 computer, sarebbe consigliabile scegliere l'individuazione Avanzata e fornire criteri più specifici per individuare i computer. Quando si specifica un account Administrator, verificare che disponga dei privilegi amministrativi sui computer da individuare e su quelli sui quali si desidera installare gli agenti. Al completamento dell'individuazione, scegliere i computer da gestire e fare clic su Fine.
Se è stato utilizzato WSUS, si avrà già familiarità con alcune delle impostazioni della configurazione guidata di gestione dell'aggiornamento. Se al momento della connessione del server a Internet è richiesto un server proxy, immettere le impostazioni per il server proxy. Selezionare i prodotti per i quali si desidera scaricare e distribuire gli aggiornamenti, quindi scegliere le lingue necessarie per gli aggiornamenti (la lingua predefinita è quella del server). Selezionare le categorie di aggiornamenti da scaricare e distribuire (aggiornamenti critici, aggiornamenti della protezione e Service Pack, che è l'impostazione predefinita). Selezionare le eventuali categorie di aggiornamenti da approvare automaticamente e per quali gruppi. (Gli aggiornamenti critici e della protezione per il gruppo Tutti i computer sono le impostazioni predefinite.) Infine, impostare la pianificazione per sincronizzare gli aggiornamenti (la pianificazione giornaliera è l'impostazione predefinita).
Se è possibile accedere con credenziali di amministratore di dominio o dei Criteri di gruppo durante la configurazione di Essentials 2007, è necessario selezionare i Criteri di gruppo del dominio per configurare i computer gestiti; in questo modo, la configurazione risulterà notevolmente semplificata. Se si seleziono i Criteri di Gruppo del dominio, è possibile automatizzare la configurazione delle impostazioni di Windows Firewall e dell'assistenza remota. Questa opzione specifica a Essentials 2007 di creare automaticamente le configurazioni dei criteri. Se si selezionano i Criteri locali, sarà necessario eseguire una parte considerevole di configurazione manuale.
Risoluzione dei problemi di Essentials
Esistono diversi fattori da prendere in considerazione quando si risolvono problemi relativi all'individuazione dei computer, alla distribuzione degli agenti e alla comunicazione. In primo luogo, viene data una rapida occhiata al funzionamento del processo di individuazione dei computer. Essentials 2007 utilizza i parametri di input per la ricerca e crea una query LDAP (Lightweight Directory Access Protocol) (LDAP è il linguaggio di query utilizzato per ricercare gli oggetti in Active Directory). La query LDAP viene quindi passata al controller di dominio locale e viene inoltrata un'attività di ricerca; a questo punto, Active Directory restituisce i risultati al server di gestione. Il server di gestione tenta poi la connessione a ogni computer restituito nell'elenco per verificare che possa comunicare con i computer individuati affinché sia possibile procedere all'installazione degli agenti di gestione. Dopo tale verifica, ciascun computer viene aggiunto all'elenco dei computer individuati da gestire.
Tuttavia, ricordare che il server di Essentials 2007 potrebbe non individuare i computer in caso di problemi con Active Directory, la rete ed il DNS o la verifica.
Aprire la console di gestione Utenti e computer di Active Directory per verificare che il computer sia incluso nell'elenco. Questo strumento viene installato per impostazione predefinita su Windows Server 2003 e può essere installato su Windows XP Professional da Windows Server 2003 Administration Pack. Selezionare la cartella Query salvate, fare clic con il pulsante destro del mouse su tale cartella, scegliere Nuovo, quindi Query. Immettere un nome per la query, quindi fare clic sul pulsante Definizione query. Fare clic sull'elenco a discesa Trova e selezionare Computer. Immettere il nome o il prefisso di ricerca e fare clic alcune volte su OK finché non viene generata la query.
A questo punto, verificare che il computer sia incluso nell'elenco dei risultati. Se non è presente, aggiungere il computer ad Active Directory. Verificare che la proprietà DNSHostname sia impostata correttamente per il computer; questa proprietà è disponibile nella scheda Generale della finestra dialogo delle proprietà del computer nella console di gestione Utenti e computer di Active Directory.
Per contattare un computer sulla rete, utilizzare il comando ping per tentare di raggiungerlo utilizzando lo stesso nome fornito per la procedura guidata di individuazione. Se il computer risponde a un comando ping, eseguire tale comando con il parametro -a e l'indirizzo IP:
ping -a <IP address>
Il seguente comando visualizzerà il DNS del computer; dovrebbe corrispondere a quello utilizzato nel comando ping originale. Utilizzare questo comando per visualizzare il dominio e il nome NetBIOS per il computer:
nbtstat -a <computer name>
Tale comando consentirà di eseguire la stessa attività con l'indirizzo IP del computer.
nbtstat -A <IP address>
Il parametro del comando, –a, è sensibile alla distinzione tra minuscole e maiuscole. Ricordare che viene utilizzato il parametro –A quando si utilizza l'indirizzo IP. Se il computer non risponde a una richiesta ping o non riesce a eseguire l'installazione di un agente remoto e viene visualizzato il messaggio "RPC non disponibile", si otterrà l'attivazione di Windows Firewall. Se un firewall è abilitato nell'ambiente di distribuzione di Essentials 2007, è necessario creare eccezioni affinché il server di gestione di Essentials 2007 possa installare correttamente gli agenti sui computer gestiti e quest'ultimi possano comunicare con il server di gestione. (Quando si utilizza un computer gestito, non è necessario creare manualmente eccezioni firewall se si utilizzano i Criteri di gruppo anziché i Criteri di gruppo locali.)
Se l'installazione dell'agente non riesce, passare allo spazio di amministrazione (la ruota dentata dorata nell'angolo inferiore sinistro della console di gestione principale di Essentials 2007 accanto al pulsante di esplorazione dei report), quindi fare clic sull'opzione relativa alla gestione in sospeso. Questa vista illustrerà la procedura per la risoluzione dei problemi e consentirà di passare nuovamente l'agente ai computer che non sono riusciti a installarlo al primo tentativo.
Verificare di aver impostato un numero sufficiente di ore per consentire l'applicazione dei criteri firewall su tutti i computer da gestire. Se si tenta di eseguire la configurazione guidata della funzionalità, nonché di selezionare i Criteri di gruppo del dominio e la procedura guidata di gestione di computer e dispositivi, in rapida successione, è possibile che i criteri firewall non siano stati applicati sui computer che vengono individuati, provocando l'esito negativo dell'individuazione se il firewall è ancora abilitato.
Un modo per verificare se è possibile passare un agente a un computer consiste nel tentare una connessione telnet al computer dal server di gestione. Se è possibile eseguire la connessione tramite la porta 135 dal server di gestione al computer, si può procedere. Altrimenti, è possibile che il firewall su tale computer stia bloccando la porta TCP 135. Per eseguire telnet, avviare una finestra di comando e digitare:
telnet <computer_name> 135
In questo modo, si stabilirà la connessione al nome del computer specificato con telnet tramite la porta 135. Questa porta è importante in quanto corrisponde alla porta utilizzata per l'installazione dell'agente in remoto.
Se il processo ha esito negativo, verificare che siano state create le eccezioni di Windows Firewall appropriate per consentire la distribuzione dell'agente e la comunicazione con il server di gestione. In caso contrario, è necessario creare le eccezioni porte mostrate nella figura 7. Per tutte queste eccezioni, limitare l'ambito all'indirizzo IP del server di gestione di Essentials 2007 utilizzando l'opzione Elenco personalizzato.
Figure 7 Eccezioni porte
| Protocollo | Nome | Porta |
| TCP | Porta 6270 | 6270 |
| TCP | Porta 135 | 135 |
| TCP | Porta 445 | 445 |
Se i computer utilizzano il software firewall da un produttore di terze parti, è necessario fare riferimento alla documentazione relativa a tale prodotto che illustra come creare le eccezioni. Tuttavia, le eccezioni porte elencate nella figura 7 sono ancora valide.
Se il nome NetBIOS e il nome di dominio completo (FQDN) non corrispondono, sarà necessario correggere i record DNS per il computer. Se l'agente viene installato, ma non riesce a contattare il server di gestione, è necessario connettersi al computer agente tramite Servizi terminal o Desktop remoto e utilizzare i comandi ping e nbtstat per verificare che l'agente possa risolvere i nomi NetBIOS e FQDN del server di gestione.
Se l'indirizzo IP del server di gestione di Essentials 2007 viene assegnato dinamicamente, è necessario aggiornare i criteri firewall sui computer gestiti quando si apportano modifiche all'indirizzo IP. Per aggiornare le eccezioni firewall per un nuovo indirizzo IP del server di gestione, abilitare le due impostazioni dei criteri riportate di seguito in Editor oggetti Criteri di gruppo e configurarle come descritto. Per "Windows Firewall: consenti eccezione per amministrazione remota", impostare Consenti messaggi in ingresso non richiesti da sul nuovo indirizzo IP del server di gestione. Per "Windows Firewall: consenti eccezione condivisione file e stampanti", impostare Consenti messaggi in ingresso non richiesti da sul nuovo indirizzo IP del server di gestione.
Riepilogo
Ci auguriamo che le informazioni fornite in questo articolo possano rivelarsi come introduzione a System Center Essentials 2007. Per ulteriori informazioni su questo nuovo prodotto di System Center, è possibile fare riferimento a microsoft.com/sce.
È sufficiente ricordare che una pianificazione attenta prima della distribuzione è di importanza fondamentale. In questo caso, verrà distribuita una soluzione nuova di zecca per gestire l'ambiente IT e, pertanto, si dovrà riflettere sulla configurazione di rete corrente, sul metodo di lavoro dei propri utenti e su come si intende gestire le proprie risorse IT. Prendere in considerazione questi fattori consentirà di configurare Essentials 2007 con successo in base alle proprie esigenze.
David Mills lavora in Microsoft da sette anni ricoprendo il ruolo di Senior Technical Product Manager per System Center Essentials 2007. Prima di entrare a far parte del team dell'assistenza in linea, David ha guidato la divisione Windows Server fornendo la documentazione tecnica professionale IT per le tecnologie relative alle funzionalità di base per la gestione e la rete.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.