.png "System Center Configuration Manager 2007")
.png "System Center Configuration Manager 2007: Konfiguracja systemu (część 2)"){kind=icon}
System Center Configuration Manager 2007: Konfiguracja systemu (część 1) .png "Udostępnij na: Facebook")
Autor: Jacek Doktór
Opublikowano: 26 marca 2009
Zawartość strony
.gif){kind=icon} |
Konfiguracja Active Directory |
|
Konfiguracja Domain Name System |
|
Zakładka Boundaries |
|
Instalacja konsoli zarządzającej ConfigMgr |
|
Konsola zarządzająca ConfigMgr |
|
Podsumowanie |
Konfiguracja ConfigMgr składa się z dwóch głównych etapów. Etap pierwszy to instalacja systemu. W jej trakcie automatycznie zostaną wykonane m.in. następujące czynności:
- instalacja i konfiguracja roli serwera Management Point,
- instalacja i konfiguracja serwera SMS Provider,
- instalacja i konfiguracja roli serwera Database Server. Zostanie również utworzona baza danych na wskazanym podczas instalacji serwerze SQL.
- instalacja konsoli zarządzającej na serwerze ConfigMgr.
Tą cześć omówiłem w poprzednim artykule.
Drugi etap dzieli się na trzy odrębne części:
- dokończenie konfiguracji ConfigMgr.
Po pierwsze rozszerzenie schematu Active Directory. Nie jest to czynność konieczna do działania ConfigMgr. Jeśli istnieje możliwość rozszerzenia, warto z tego skorzystać, ponieważ dzięki temu system jest znacznie łatwiejszy do zarządzania. Ponadto informacje o ConfigMgr są przechowywane w bazie AD, co znacznie podnosi bezpieczeństwo systemu. Po drugie konfiguracja DNS (jeśli nie rozszerzamy schematu) – wpis w DNS pozwala klientom ConfigMgr odszukać informację na temat site’u oraz serwera Management Point. Po trzecie konfiguracja zasięgu działania systemu, poprzez ustawienie Boundaries. Po czwarte instalacja konsoli zarządzającej ConfigMgr na stacji roboczej. Dobrą praktyką jest administrowanie systemu używając do tego konsoli zainstalowanej na zdalnym komputerze. - przygotowanie ConfigMgr do komunikacji z klientami.
Po pierwsze: włączenie komunikacji z serwerami Distribution Point oraz Management Point. Po drugie: konfiguracja metod akceptacji klientów ConfigMgr. - konfiguracja wyszukiwania zasobów przez ConfigMgr.
Dopóki nie skonfigurujemy i uruchomimy Discovery methods, system nie będzie mógł wykryć żadnych obiektów.
Konfiguracja Active Directory
Konfigurację AD zaczynamy od nadania prawa Full Control do kontenera System serwerowi, na którym zainstalowaliśmy ConfigMgr. Można to zrobić za pomocą przystawki Users and Computers Active Directory. W przypadku struktury składającej się z wielu site’tów, musimy każdemu serwerowi ConfigMgr nadać te same prawa.
.jpg)
Rysunek 1: Kontener System jest widoczny po włączeniu opcji Advanced Features.
Serwery ConfigMgr musza posiadać prawo Full Control do kontenera System oraz do wszystkich obiektów podrzędnych tego kontenera. Bez tego nie będzie możliwe utworzenie w tym kontenerze odpowiednich wpisów konfiguracyjnych dla serwerów ConfigMgr.
.jpg)
Rysunek 2: Prawo Full Control do kontenera System.
Schemat rozszerzamy za pomocą programu extadsch.exe znajdującego się w katalogu \smssetup\bin\i386. Aby móc rozszerzyć schemat ta komenda musi zostać uruchomiona przez użytkownika mającego prawa Schema Administrator.
.jpg)
Rysunek 3: Program ExtAdSch.exe służący do rozszerzenia schematu.
Poprawność działania programu sprawdzimy przeglądając plik ExtADSch.log, który jest zapisany w głównym katalogu dysku C komputera, na którym został uruchomiony program.
.jpg)
Rysunek 4: Wpisy w ExtADSch.log służące do potwierdzenia poprawnego rozszerzenia schematu.
Poniższa tabelka omawia problemy i ich rozwiązanie wynikające z braku rozszerzenia schematu AD:
| Funkcja | Rozszerzenie schmatu | Brak rozszerzenia schematu |
| Instalacja klientów oraz przydzielenie do site’ów | Rekomendowane |
Problem: Proces ccmsetup.exe, który instaluje klienta, nie jest w stanie odczytać w AD informacji potrzebnych do automatycznej instalacji oraz przydzielenia klienta do domyślnego site’u. Rozwiązanie: podczas instalacji klienta musimy zastosować przełączniki linii komend, aby podać brakujące dane. Problem: Klienci nie mogą zlokalizować serwera Failback Status Point, do którego raportują np. statusy instalacji Rozwiązanie: Podczas instalacji należy skorzystać z opcji ccmsetup /FSP Problem: Do pomyślnego przydzielenia klienta do sit’u jest potrzebny serwer Server Locator Point. Rozwiązanie: Podczas instalacji należy skorzystać z opcji ccmsetup /SLP, oraz opublikować w DNS oraz WINS informacje na temat serwera Server Locator Point. |
| Ustawienia portów do komunikacji z Configuration Managerem | Rekomendowane | Problem: Jeśli po instalacji klienta na serwerze zmienimy domyślne porty na inne, klienci nie będą w stanie odczytać tej zmiany, co spowoduje brak komunikacji klienta z serwerem. Rozwiązanie: Ponowna instalacja wszystkich klientów nie mogących się skomunikować, lub zmianę ustawień za pomocą skryptów. |
| Network Access Protection (NAP) | Wymagane |
Problem: Serwer System Health Validator Point nie jest w stanie umieszczać w Active Directory Domains Sercvices informacji dotyczących stanu zdrowia klientów. Rozwiązanie: brak |
| Roaming kleintów pomiędzy site’ami | Wymagane |
Problem: Klient nie jest w stanie odszukać serwera Management Point w siostrzanych site’ach, oraz w site’ach, które są wyżej w hierarchii niż jego site macierzysty. Rozwiązanie: brak |
| Zabezpieczenie komunikacji pomiędzy site’ami | Rekomendowane |
Problem: Użycie Secure key Exchange do komunikacji pomiędzy site’ami jest wartością domyślną. Gdy schemat nie jest rozszerzony nie nastąpi automatyczna wymiana Secure key pomiędzy sit’ami. Rozwiązanie: Użycie preinst.exe do ręcznej wymiany secure keys. |
| Weryfikacja autentyczności serwera Management Point | Rekomendowane |
Problem: Gdy schemat nie jest rozszerzony klient ConfigMgr musi użyć Trusted root key, aby nawiązać bezpieczne połączenie z systemem. Rozwiązanie: Podczas instalacji klienta należy skorzystać z przełącznika SMSROOTKEYPATH, aby podać ścieżkę do pliku zawierającego Trusted Root Key. Rozwiązanie: W trybie natywnym klienci weryfikują połączenie z serwerem Management Point, przy pomocy certyfikatów z PKI. |
| Odtwarzanie po awarii Primary Site, na którym zainstalowana została rola serwera Management Point. | Rekomendowane |
Problem: Jeśli nie mamy rozszerzonego schematu, to po odtworzeniu serwera primary site, który również był serwerem Management Point, klienci nie maja możliwości ponownego podłączenia się do serwera Management Point. Rozwiązanie: Na wszystkich klientach należy skasować poprzedni Trusted root key, a następnie ponownie zainstalować klienta wskazując mu nowy Trusted root key. |
ConfigMgr automatycznie utworzy kontener System Management, a w nim po dwa nowe wpisy dla każdego serwera ConfigMgr w naszej strukturze:
- obiekt klasy Container SMS-Site-NWT – który definiuje nam w AD nazwę site’u (trzeci człon tej nazwy to jest trzyliterowy kod site’u, który wpisaliśmy podczas instalacji ConfigMgr),
- obiekt klasy mSSMSManagementPoint SMS-MP-NWT-CONF – określający, na którym serwerze jest zainstalowana rola serwera Server Management Point.
Rozszerzenie schematu powoduje zapisanie wszystkich potrzebnych informacji o ConfigMgr w bazie Active Directory.
Co jednak zrobić gdy nie możemy rozszerzyć schematu? Wskazane jest wtedy zainstalowanie dodatkowej roli serwera – Server Locator Point. Instalacja tej roli serwera zostanie opisana w artykule dotyczącym instalacji klientów ConfigMgr. W takim wypadku pojawi się dodatkowy wpis:
- obiekt klasy mSSMSServerlocatorPoint SMS-SLP-NWT-CONF – określający, określający, na którym serwerze jest zainstalowana rola serwera Server Locator Point .
We wszystkich tych nazwach jest używany trzyliterowy kod site’u, który został wpisany podczas instalacji. Nie ma możliwości zmiany kodu po zakończeni instalacji. Jedynym sposobem na zimne kodu jest utworzenia site’u od początku.
.jpg)
Rysunek 5: Wpisy ConfigMgr w kontenerze System.
.gif){kind=icon}
Do początku strony
Konfiguracja Domain Name System
ConfigMgr opublikować w usłudze DNS możemy na dwa sposoby: w konsoli DNS ręcznie dodając rekord SRV, lub poprzez konsolę ConfigMgr. W konsoli wykorzystamy zakładkę Propierties
.jpg)
Rysunek 6: Zakładka Properties służąca do konfiguracji opcji dotyczących site’u.
W okienku Propierties wybieramy zakładkę Advanced i zaznaczmy opcję Publish the default management point in DNS (intranet only).
.jpg)
Rysunek 7: Publikacja serwera ConfigMgr w usłudze DNS.
Konfigurację DNS możemy sprawdzić w zakładce <nazwa domeny>_tcp. Pojawi się tam nowy rekord SRV _mssms_mp_nwt. Na tym kończy się konfiguracja Active Directory.
.jpg)
Rysunek 8: Przykładowy wpis SRV dla serwera ConfigMgr.
Do początku strony
Zakładka Boundaries
Opcja ta określa granice naszego site’u. Granice te określają jaką część naszej sieci będzie obejmować swoim działaniem site ConfigMgr. Można je wyznaczyć na podstawie zakresu IP, nazwy lokalizacji domeny, w której zainstalowaliśmy ConfigMgr, prefixu IPv6, jak również zakresu adresów IP. Dzięki tym ustawieniom przy dużych środowiskach w prosty sposób można przydzielać klientów do poszczególnych site’ów.
.jpg)
Rysunek 9: Ustawianie granic site’u.
Do początku strony
Instalacja konsoli zarządzającej ConfigMgr
ConfigMgr można zarządzać przy pomocy konsoli zarządzającej na dwa sposoby: bezpośrednio z serwera, oraz ze stacji klienckiej. Aby móc zainstalować konsolę na komputerze zdalnym muszą być zainstalowane dwie poprawki:
- program Microsoft Management Console 3.0 dla systemu Windows Server 2003/XP (KB907265)
- aktualizacja dla systemu Windows Server 2003/XP (KB913538)
Proces instalacji jest prosty. Jedyną informacją potrzebną jest nazwa komputera zarządzającego ConfigMgr.
Ważne: z konsoli mogą skorzystać tylko użytkownicy mający prawo dostępu do bazy danych ConfigMgr poprzez serwer SMS Provider.
Aby skonfigurować dostęp musimy:
- do lokalnej grupy SMS Admins dodać użytkowników, którzy mają mieć prawo dostępu do ConfigMgr poprzez konsolę.
- nadać prawo Remote Activation. W tym celu uruchamiany Component Services, wybieramy Computers > My Computer, a potem Properties.
.jpg)
Rysunek 10: Właściwości Component Services.
Na zakładce COM Security wybieramy Edit Limits w opcji Launch and Activation Permissions. Dodajemy grupę SMS Admins i dajemy jej prawo Remote Activation.
.jpg)
Rysunek 11: Prawo Remote Activation nadajemy użytkownikom, którzy będą zdalnie administrować ConfigMgr.
Ważne: jeśli serwer SMS Provider został zainstalowany na serwerze nie pełniącym roli Site systems, operacje te musimy wykonać na obydwu serwerach.
Do początku strony
Konsola zarządzająca ConfigMgr
Dalsze czynności konfiguracyjne będziemy już wykonywać poprzez konsolę zarządzającą. Uruchamiamy ConfigMgr: Start -> All Programs -> Microsoft System Center -> Configuration Manager -> ConfigMgr Console.
Konsola administracyjna serwera składa się z trzech okien zaczynając od lewej: Console Tree, Detail Pane oraz Action Pane.
.jpg)
Rysunek 12: Konsola zarządzająca ConfigMgr.
Poprzez okienko Console Tree mamy dostęp do poszczególnych funkcji serwera, Detail Pane pokazuje nam już szczegóły dotyczące wybranej w Console Tree funkcji serwera. Actions Pane wyświetla konkretne akcje, które są skojarzone z funkcją serwera którą wybraliśmy w Detail Pane.
Zarządzanie oraz konfiguracja ConfigMgr zostały podzielone na pięć oddzielnych części:
- Site Management – ustawienia dotyczące site’u i jego podrzędnych site’ów. Tutaj również będziemy włączać/wyłączać poszczególne funkcje ConfigMgr,
- Computer Management – ustawienia dotyczące konfiguracji działających usług na stacjach klienckimi oraz zarządzanie zadaniami wykonywany przez ConfigMgr na klientach.
- System Status – raporty m.in. o: statusie paczek z oprogramowaniem, statusach ogłoszeń tych paczek, statusach dotyczących serwera ConfigMgr wraz z statusami jego poszczególnych komponentów,
- Security Rights – cześć dotycząca nadawania praw użytkownikom do wykonywania operacji na serwerze.
- Tools – za pomocą ConfigMgr Service Manager obejrzymy statusy poszczególnych serwisów działających na serwerze jak również będziemy je mogli włączać/wyłączać.
Do początku strony
Podsumowanie
Proces konfiguracji ConfigMgr nie jest prosty, ani krótki. Zależy w bardzo dużym stopniu od konkretnego środowiska i tego z jakiej funkcjonalności chcemy skorzystać.
Przed rozpoczęciem konfiguracji powinnyśmy:
wiedzieć konkretnie w jakim celu instalujemy ConfigMgr,
wiedzieć ile serwerów będzie mieli do dyspozycji i jakie będą pełnić rolę,
wiedzieć ile sitów chcemy stworzyć, oraz mieć przygotowane nazwy dla poszczególnych site’ów
jakich kont będziemy używać przy korzystaniu z ConfigMgr,
mieć plan wdrożenia poszczególnych funkcjonalności,
Dalsza część konfiguracji zaprezentowana będzie w drugiej części tego artykułu.
Opiszę w niej następujące czynności:
przygotowanie ConfigMgr do komunikacji z klientami,
konfiguracji metod wyszukiwania obiektów przez ConfigMgr.
.png) |
Jacek Doktór (MCSE, MCT, MCITP, MCTS) Autoryzowany trener Microsoft. Prowadzi szkolenia z zakresu System Center, Windows 2003/2008, Active Directory 2003/2008 oraz System Deployment. Jest redaktorem portalu wss.pl, prowadzi bloga - Polski Blog System Center. Posiada certyfikaty: MCSE, MCT, MCITP: Server Administrator, MCTS: Server Virtualization, MCTS: Microsoft Desktop Optimization Pack, MCTS: System Center Virtual Machine Manager. Należy do SEC Clubu. |
| Do początku strony |