第3章:寻找内部配置管理器

萨姆斯

  • 设计概念

  • 活动目录集成

  • 配置管理器和WMI

  • 组件和通信

  • 在ConfigMgr数据库中

  • 状态消息和日志

微软的系统中心配置管理器(ConfigMgr) 2007通过灵活的分布式体系结构提供了各种配置管理和系统支持服务。ConfigMgr 2007利用了基于标准的网络协议和安全性来进行内部工作以及与客户端系统的交互。配置管理器组件在站点数据库中存储和使用关于ConfigMgr基础设施和活动、环境和托管站点系统的数据。Microsoft提供了基于这些数据的大量查询和报告,以及为您自己的查询和报告提取数据的工具。

本章研究了配置管理器的内部工作原理。它描述了ConfigMgr 2007的设计概念和工作原理,以及ConfigMgr利用核心Windows技术的方式,特别是Active Directory (AD)和Windows管理工具(WMI)。它还讨论了配置管理器的各种组件,它们如何相互通信,以及它们如何一起工作来实现ConfigMgr特性。本章介绍了站点数据库的内部情况,这是配置管理器的核心。它展示了如何通过状态消息和日志查看ConfigMgr的内部工作,以及通过其他工具查看数据库和进程活动。这一章的重点是深度而不是广度。作者选择了一些最重要的特性集和数据结构来作为贯穿本章的示例,而不是试图全面地展示ConfigMgr的所有功能。

对于那些只是想让Configuration Manager启动并运行的读者来说,本章中的一些内容可能不是必需的。这些读者还可以快速浏览一下模式的扩展有助于规划目的的章节。他们可能还会发现一些在"状态消息和日志”一节疑难解答。“WMI总经理部分提供了一些关于WMI问题故障排除的额外指导。对于那些希望更深入地理解ConfigMgr背后的工作原理的人来说,本章的内容将帮助您掌握该产品的架构原则,并引导您探索Configuration Manager的内部工作原理。

设计概念

微软设计的Configuration Manager 2007对各种各样的基于Windows的系统中提供增强的管理服务。它的前身,系统管理服务器(SMS),EASES管理台式机和笔记本电脑在企业网络环境。(关于不同版本的SMS信息,请参见第2章“Configuration Manager 2007的概述。”)配置管理器建立在SMS的核心功能,并增加了一个增强特性集,包括先进的操作系统(OS)部署能力和资产管理功能,以及新的带外(OOB)管理技术的支持。的ConfigMgr还扩展管理功能,可通过互联网访问管理的计算机。

在它的系统管理软件的这个最新版本,微软强调了安全性和遵从性,可扩展性和操作简易性。为了帮助客户满足安全与合规目标,Configuration Manager 2007中实现了以下功能:

  • 补丁管理的2007年的ConfigMgr的SMS 2003的前身的最重要的特点 - 酮,它的功能部署补丁的Windows客户端和系统补丁合规性状态报告。配置管理改进,并通过与微软的Windows软件更新服务(WSUS)整合和实施网络访问保护(NAP),以防止不合规系统从加入网络扩展这一功能。第15章,“补丁管理”,讨论的补丁部署和NAP。

  • 配置管理configmgr 's Desired Configuration Management (DCM)允许您确保符合定义的标准,以防止错误配置和减少系统的攻击表面。您将在第16章“所需的配置管理”中找到关于DCM的讨论。

  • 活动目录集成配置管理2007的集成与活动目录提供身份验证和访问控制。“活动目录集成本章的部分讨论了这些特征。

  • 安全配置管理器使用基于证书的认证、加密和数据完整性控制,以确保网站系统和客户端之间的通信安全。配置管理器提供了一个新的安全模式,称为本机模式,这是一些(但不是所有)基于证书的功能所必需的。第六章“建筑设计规划”讨论了认证和本地模式。

微软也取得了2007年的ConfigMgr更具可扩展性。一些可扩展性增强包括以下内容:

  • 分布式处理-SMS 2003包括将功能角色分配到环境中的其他系统的能力。ConfigMgr 2007引入了其他可以分布的角色,帮助平衡任何一台服务器所需的处理负载。

  • 向外扩展-网络负载平衡(NLB)集群允许向外扩展某些角色。

  • 灵活的层次结构configmgr灵活的层次结构模型允许在有限的网络连接下将其服务部署到远程位置。这包括配置管理器2007新增的分支分布点功能。

  • 可管理性配置管理器使用Internet标准协议来扩展管理能力到Windows移动设备和通过Internet访问的管理系统。

第6章包括对配置站点系统角色、层次结构设计和管理移动设备和Internet客户端的讨论。

配置管理器的能力可以帮助简化您的操作在以下领域:

  • 规划- 库存和发现数据提供您可以在智能规划您的操作使用一个中央信息存储。“在ConfigMgr数据库中本章的部分介绍了数据库及其一些潜在的用途。

  • 部署-捕获、管理和分发系统映像以及迁移用户状态信息的特性使提供新系统和升级现有系统变得更加容易。第19章,“操作系统部署”,介绍了ConfigMgr的操作系统部署(OSD)功能。

  • 加强配置管理器提供能力,轻松部署和维护软件应用程序,在大量的客户端系统。第14章,“分发包”,详细讨论了ConfigMgr软件分发。

  • 生命周期管理-ConfigMgr 2007年的改进资产智能功能可帮助您跟踪和整个生命周期管理硬件和软件资产。第18章,“报告”,讨论了使用资产智能的。

为了实现这些功能,Configuration Manager利用了Windows平台的关键元素。两个最重要的Windows组件是AD和WMI。下面几节将深入研究ConfigMgr是如何使用这些技术的。

活动目录集成

Active Directory是在Windows Server用来维护实体和关系数据在网络环境中的各种物体的中央信息存储。AD提供了一组核心服务,包括认证,授权和目录服务。配置管理需要Active Directory环境,并采取AD的优势,以支持它的许多功能。有关在Windows Server 2003和Windows Server 2008 Active Directory的详细信息,请参阅以下参考:

在Active Directory环境中,所有进程都在用户的安全上下文中或操作系统提供的安全上下文中运行。系统帐户是包含在每个Windows系统上的特殊帐户,用于在操作系统提供的上下文中运行进程。在AD之前,唯一内置的系统帐户上下文是本地系统帐户。Windows NT本地系统帐户提供了对系统资源的无限访问,但是您不能将其用于网络请求。

使用Active Directory,每个系统都有一个计算机帐户,您可以将其添加到用户组并授予对网络上任何地方的资源的访问权。Windows Server 2003和以后的操作系统添加了另外两个有限访问的内置帐户:

  • 本地服务帐户在本地系统上与非特权用户具有本质上相同的权限,并且不能访问网络。

  • 网路服务帐户具有与非特权用户帐户类似的权限和网络访问。

2007年的ConfigMgr广泛使用的系统和计算机帐户来运行的进程。使用系统占显着简化管理,从而无需创建和管理大量服务的帐户使用SMS的早期版本需要。

除了身份验证和访问控制服务外,Configuration Manager 2007还可以使用AD来发布关于其站点和服务的信息,这使得Active Directory客户机可以轻松地访问ConfigMgr。要利用此功能,必须扩展AD模式以创建特定于Configuration Manager的对象类。尽管对于ConfigMgr来说,扩展模式不是必需的,但是对于某些配置管理器特性来说,它是必需的。扩展模式还大大简化了ConfigMgr的部署和操作。“模式的扩展”延伸的AD模式本章讨论的部分,而“扩展Active Directory的好处部分介绍了模式扩展提供的特性依赖关系和管理优势。

配置管理器还可以利用Active Directory中的优势在以下几个方面:

  • 发现有关环境的信息,包括潜在的客户端系统的存在。第12章,“客户管理”,讨论的发现过程。

  • 通过组策略分配和安装客户端,也在第12章中描述。另外,您可以使用组策略来配置ConfigMgr所使用的基本服务。

  • 使用通过AD部署的证书和证书设置来增强自身的安全性,如第6章所述。

模式的扩展

在Active Directory中的所有对象都是在AD架构中定义的类的实例。该模式提供了常见的对象,如用户,计算机和打印机的定义。每一个对象类具有一组属性的描述类的成员。作为一个示例,计算机类的对象有一个名称,操作系统,等等。关于AD模式的附加信息可在http://msdn.microsoft.com/en-us/library/ms675085 (VS.85) . aspx

模式是可扩展的,允许管理员和应用程序定义新的对象类和修改现有的类。使用配置管理器提供的模式扩展可以轻松管理ConfigMgr环境。ConfigMgr模式扩展的风险相对较低,只涉及一组不太可能导致冲突的特定类。扩展模式是Configuration Manager推荐的最佳实践,因为它允许您避免额外的配置任务并实现更强的安全性。不过,在将模式修改应用到生产环境之前,您需要对它们进行测试。

用于扩展模式的工具

您可以通过以下两种方式来扩展模式:

  • 从ConfigMgr安装媒体运行ExtADSch.exe实用程序

  • 使用LDIFDE(轻量级数据交换格式数据交换)实用程序导入ConfigMgr_ad_schema。ldf LDIF文件

如果您要扩展Windows 2000域控制器上的模式,则必须使用LDIF文件。

使用ExtADSch

使用ExtADSch.exe是扩展架构的最简单的方法,并在2003年的短信,这是扩展架构的唯一途径。ExtADSch.exe创建日志文件extadsch.log,位于系统驱动器(%SYSTEMDRIVE%),其中列出它的所有架构修改和操作状态的根源。已创建的属性和类的列表后,日志中应包含的条目“成功地扩展了Active Directory架构。”

使用LDIFDE

LDIFDE是提取和更新Active Directory服务器目录服务数据,与Windows 2000 LDIFDE提供命令行开关开始,让你指定若干选项,包括一些你可能要更新时使用一个功能强大的命令行实用程序该架构的ConfigMgr。表3.1包括选项,你是最有可能使用。

表3.1 LDIFDE命令行开关和描述

开关

描述

-一世

打开导入模式。(需要更新模式。)

-F

文件名。(用于指定ConfigMgr_ad_schema的位置。ldf文件。)

-j

日志文件的位置。

-v

打开详细模式。

-k

忽略约束违反和对象已经存在的错误。(小心使用。如果以前为SMS扩展了模式,则可能有用。)

123.45678910 第1页
第1页共10页
工资调查:结果在