Сегодня системным администраторам приходится обеспечивать более высокий уровень защиты данных, более жесткий контроль действий клиентов и функционирование более сложных средств генерации отчетов в среде Web, обходясь при этом меньшими ресурсами, чем когда-либо прежде. Но можно извлечь из этих ресурсов максимум возможного, если усовершенствовать инфраструктуру Microsoft Systems Management Server (SMS) 2.0.
В середине ноября 2002 г. Microsoft выпустила первые два пакета из серии функциональных средств для SMS 2.0 (SMS 2.0 Feature Packs), а именно SMS Software Update Services (SUS) Feature Pack и SMS Administration Feature Pack. Оба они содержат средства административного управления SMS, но в Administration Feature Pack собраны особенно эффективные средства, позволяющие применять SMS 2.0 в распределенных сетях, состоящих из множества узлов.
Перед тем как подробно рассказать о пакете Administration Feature Pack, имеет смысл кратко остановиться на наборе функциональных возможностей, реализованных в нынешней версии SMS. Для того чтобы оценить все достоинства новых Web-отчетов, генерируемых пакетом Administration Feature Pack, полезно рассмотреть средства подготовки Web-отчетов, заложенные в SMS. Чтобы иметь возможность пользоваться потенциалом новых средств во всей их полноте, следует знать, как с помощью установленных на клиенте SMS инструментов управления Windows Management Instrumentation (WMI) редактировать стандартные файлы узлов SMS. Это позволит собрать дополнительные данные об аппаратных и программных средствах и, следовательно, составлять более содержательные отчеты. Более подробные сведения о WMI можно найти в статье Extend Sms_def.mod by Using WMI Registry Providers, опубликованной по адресу: http://www.microsoft.com/smserver/techinfo/ administration/20/using/extenddefmof.asp. Кроме того, не мешало бы знать, как считывать информацию, которую предоставляет реализованная в клиенте SMS функция Add/Remove Programs; на ее основе можно использовать реестр Windows для создания отчетов с высокой степенью детализации. В базу данных SMS, поставляемую с пакетом Administration Feature Pack, специалисты Microsoft добавили массу новых сведений, обеспечивающих дополнительные возможности и повышенную степень детализации специализированных отчетов SMS.
Настройка тестового узла
При написании данной статьи я использовал тестовую инфраструктуру SMS 2.0, с помощью которой добавлял генерирование Web-отчетов, редактировал файлы SMS, а также устанавливал пакет Administration Feature Pack. Применяемые мною приемы можно использовать в сетях SMS как малых, так и больших предприятий. Представленная на Рисунке 1 конфигурация SMS показывает, как движутся по предприятию информационные потоки; она включает новый сервер-репозитарий, в котором хранятся модули коррекции для системы безопасности. AA1, первичный узел SMS, ведает всей SMS-информацией — о конфигурации узла, о развертывании пакетов и об отчетах клиентов. Клиенты вторичных узлов SMS — BB1 и BB2 — получают поступающую от клиентских узлов доступа информацию на точках дистрибуции SMS.
Рисунок 1. Типичная схема развертывания системы SMS 2.0. |
Данная конфигурация обеспечивает дополнительный уровень защиты, поскольку сервер загрузки выступает в роли хранилища модулей коррекции и располагается за корпоративным брандмауэром. Если этот сервер построен на базе надежного и мощного оборудования, позднее на нем можно будет установить пакет SUS Feature Pack с тем, чтобы продолжать модернизацию клиентов SMS с помощью стандартных модулей коррекции для системы безопасности. Сервер загрузки может также публиковать Web-отчеты SMS для компаний-партнеров так, чтобы информация оставалась при этом под защитой брандмауэра.
Задачи, связанные с управлением узлами SMS, большинство системных администраторов решают в средах Windows XP Workstation или Windows 2000 Workstation. Тестовый узел SMS, которым я пользовался при подготовке этой статьи, моделирует производственную среду. В стандартный корпоративный набор входит SMS 2.0 Service Pack 4 (SP4); кроме того, на всех серверах и клиентах должны быть установлены необходимые модули коррекции. Тестовые узлы SMS помогают понять, как использовать новые инструментальные средства, как оценивать и выявлять возможные конфликты и составлять план переноса инструментов в производственную среду, после того как администратор убедится в их функциональности.
Загрузка пакетов Feature Packs
Пакеты SMS 2.0 Feature Packs можно загрузить на Web-узле Microsoft по адресу: http://www.microsoft.com/smserver. Несколько инструментов, которыми предстоит пользоваться, можно установить на рабочей станции, где имеется консоль SMS Administration Console. Для достижения согласованности конфигураций я рекомендую по завершении установки и тестирования пакетов функциональных средств на всех административных рабочих станциях SMS развернуть расширение SMS Administration Console на всех серверах. Пакет Administration Feature Pack включает в себя четыре набора инструментов: средства Transfer Site Settings, Elevated Rights Deployment, Manage Site Accounts и SMS Web Reporting.
Средство Transfer Site Settings
Средство Transfer Site Settings по умолчанию устанавливается на первичном сервере узла SMS. Для его установки вручную можно также воспользоваться консолью SMS Console административной рабочей станции. Программа Transfer Site Settings содержит утилиту командной строки replstcfg.exe, которая позволяет задавать график копирования параметров узла SMS или данных конфигурации пакетов и наборов в файл XML. Регулярно прибегая к помощи этого средства, можно сохранить установки узла SMS в качестве справочного материала для использования в будущем или для организации процесса восстановления данных после сбоя. Чтобы воспользоваться графическим интерфейсом, которым оснащен данный инструмент, нужно запустить программу Transfer Site Settings Wizard, выбрать пункт меню Transfer Site Settings и проигнорировать предложение перенести параметры пакетов и наборов. Процесс переноса параметров позволяет с высокой степенью избирательности указывать те установки, которые требуется перенести из одного узла в другой. Процесс миграции дает возможность принимать во внимание большое число деталей, что позволяет добиваться согласованности в функционировании узлов.
Кроме того, мастер Transfer Site Settings Wizard обеспечивает возможность переноса с одного узла на другой всех установок пакетов и коллекций или их индивидуальных установок. Например, администратор SMS может создать коллекцию SMS для узла клиентской группы BB1 и затем назначить (т. е. установить те же программы на каждом клиенте в этой коллекции SMS) необходимый пакет SMS для данной коллекции. Затем администратор может с помощью мастера Transfer Site Settings Wizard перенести критерии данной коллекции и пакета на первичный узел BB2. Этот процесс позволяет администратору SMS определять, какие данные (например, Preferred Sender, RefreshSchedule, Sending Priority, Disconnect Users) он хочет передать с одного вторичного узла на другой. Тогда конфигурации обоих узлов станут идентичными.
Средство Elevated-Rights Deployment
Для того чтобы средство Elevated-Rights Deployment можно было использовать с пакетом Administration Feature Pack, необходимо, чтобы оно было установлено и выполнялось с главного узла SMS. С помощью данного инструмента администраторы могут развертывать приложения, которые требуют предоставления выполняющему эту процедуру лицу прав администратора на локальной системе. Во многих сетях Windows клиентские машины ограничены в правах, потому что обычному пользователю административные привилегии не нужны.
Средство Elevated-Rights Deployment позволяет с легкостью устанавливать прикладные пакеты в средах Windows XP, Windows 2000 и Windows NT. Этот инструмент обеспечивает распределение пакета SMS для дальнейшего развертывания с помощью метода инкапсуляции. Процесс инкапсуляции пакета с помощью средства Elevated-Rights Deployment разделяется на два этапа.
Сначала для подготовки приложения используются исполняемые модули со всеми ключами, которые требуются для развертывания. Например, если речь идет об установке программы коррекции для системы безопасности, командная строка может выглядеть следующим образом:
q300845_w2k_sp3_x86_en.exe -m -z
Далее при использовании средства Elevated-Rights Deployment следует ввести имя совместно используемого сетевого ресурса, чтобы развертываемый пакет мог создать новый установочный файл. Это средство предоставляет новый пакет SMS и указание на развертывание с расширенными правами на клиентских машинах SMS. Средство Elevated-Rights Deployment создает пакет SMS, который инкапсулирует данную программу со всеми ключами командной строки. С новым пакетом, который можно назначать коллекциям SMS, следует работать, как с любым другим пакетом SMS.
Средство Manage Site Accounts
Данный инструмент позволяет с легкостью управлять учетными записями всех узлов SMS по всей инфраструктуре SMS. Учетная запись узла SMS — это член группы Domain Administrators Group, и, если она будет раскрыта, возникнет реальная угроза безопасности данных. Многие администраторы изменяют используемые SMS учетные записи с помощью специально созданных для этой цели сценариев. Manage Site Accounts дает возможность управлять учетными записями и паролями, которые SMS 2.0 требует в данной иерархии, не прибегая к столь сложным процедурам. Те, кого давно уже не вдохновляет перспектива изобретать для SMS все новые и новые трудно раскрываемые пароли, по достоинству оценят дополнительные функции программы, такие, как интерфейсы командной строки и сценариев, позволяющие создавать произвольные пароли.
Рассматриваемое средство можно установить на любой рабочей станции, на которой имеется пакет обновлений SMS SP4 и все последующие модули коррекции. Программа Manage Site Accounts устанавливает исполняемый файл командной строки msac.exe, с помощью которого администратор может добавлять, редактировать, удалять и проверять учетные записи SMS. Учетные записи и новые пароли можно создавать для одного узла или для нескольких узлов; эти операции выполняются одной командой с ключами.
Средство SMS Web Reporting
Инструмент SMS Web Reporting был выпущен более года тому назад. Он входит в состав обоих пакетов функциональных средств. Эту программу можно устанавливать с первичных серверов SMS или с других поддерживающих SMS серверов, таких, как сервер Microsoft IIS. Кстати, те, кто располагает поддержкой от Premier Online Support, возможно, уже получили оба пакета функциональных средств еще в то время, когда они проходили бета-тестирование. Тогда перед установкой выпущенных версий SMS Web Reporting, возможно, потребуется сделать резервную копию базы данных SMS SQL Server.
Как показано на Рисунке 1, сервер SMS Web Reporting для узла AA1 представляет собой обычный Web-сервер с установленным на нем Internet Information Services (IIS) 5.0; новейшие модули коррекции для системы безопасности установлены, и на сервере выполняется устаревшая версия SMS Web Reporting, так что ее необходимо модернизировать. Давайте с помощью нового мастера установки SMS Web Reporting пройдем по всем этапам обновления данного узла и проверим полученный результат.
Сначала нужно установить SMS Additional Web Reports из пакета SMS SUS Feature Pack (в пакете Administration Feature Pack средство Additional Web Reports не представлено). После обновления узла мы сможем редактировать файлы данного узла SMS с тем, чтобы создавать специализированные Web-отчеты и с помощью нового средства Web Reports представлять подробные данные о клиентах SMS. При редактировании файла sms_def.mof следует помнить о том, что в ходе этого процесса в базу данных Microsoft SQL Server добавляется новая информация; запросы к базе данных можно направлять с помощью консоли SMS Administration Console или средства SMS Web Reporting.
В моем примере средство SMS Web Reporting устанавливается с Web-сервера Windows 2000 SMS, DENWEB01. Пакет SMS SUS Feature Pack разархивирован на локальном жестком диске, поэтому я выполнил двойной щелчок на файле smswebreporting_enu.exe и затем в соответствии с указаниями мастера установки ввел имя сервера Windows 2000, на котором размещается база данных SMS, и имя базы данных SMS.
В некоторых случаях база данных SMS SQL Server может размещаться на том же сервере, что и первичный узел SMS. Но на ряде крупных предприятий для этой базы данных может быть выделен специальный кластерный сервер; в таких случаях для обслуживания оборудования и программы SQL Server создается специальная группа администраторов базы данных. Устанавливая конфигурацию SMS, представленную на Рисунке 1, мы выбрали настраиваемый пользователем вариант установки. Мы установили дополнительные компоненты SMS и сконфигурировали базу данных на первичном узле DENSMS01, присвоив ей имя SMS_AA1. В ходе этого процесса была создана новая учетная запись SMS_Web_Read, предоставляющая возможность безопасного считывания данных SMS, и обеспечен доступ к новой учетной записи, предусматривающий только чтение данных. Процесс генерации отчетов SMS использует подобную учетную запись для предоставления доступа к базе данных SQL Server с сервера IIS.
Наряду с учетной записью, средство SMS Web Reporting устанавливает программу SQL Views, которую использует сервер Web-отчетов SMS IIS. Система создает представления SQL Views из стандартных таблиц базы данных SMS SQL Server. Эти стандартные представления содержат примеры настраиваемых Web-отчетов, отражающих потребности конкретной компании.
Расширенные возможности инвентаризации
Рассмотрим теперь вопрос о том, как расширить функциональные возможности SMS 2.0 с помощью информации, считываемой из реестра клиентов SMS. Возможности инвентаризации аппаратных и программных средств SMS можно расширить путем редактирования некоторых файлов первичного узла. Рассмотрим два примера. В одном речь идет о данных, хранящихся в разделе реестра Add/Remove Programs, а в другом — об информации раздела Custom Registry Key Software Update. В обоих случаях данные считываются из разделов реестра и передаются в базу данных SMS.
В панели управления Windows имеется приложение Add/Remove Programs; оно напрямую связано с разделом реестра, который содержит информацию, записанную во время установки компьютерной программы, модуля коррекции для системы безопасности, пакета обновлений или любой программы для Windows. Программы, разработанные для Windows собственными специалистами компании, при выполнении процедуры установки тоже должны в соответствии с теми же правилами записывать данные в системный реестр. Если при выполнении подготовленных программистами компании .exe-файлов содержимое реестра обновляется, SMS сообщает о данном факте от каждого из клиентов.
Перед тем как приступить к процессу расширения стандартного процесса инвентаризации SMS, было бы полезно рассмотреть некоторые дополнительные сведения об учете аппаратных средств. Клиенты SMS передают данные соответствующим серверам узлов. В свою очередь, серверы узлов направляют эти данные на первичный узел, где размещается база данных SQL Server. Управление установками узлов SMS для каждого узла в иерархии возлагается на базу данных SQL Server, содержащую все данные клиентов SMS или их клиентские объекты. Все хранимые в базе данных SQL Server клиентские объекты SMS записываются в нее в рамках процедуры инвентаризации аппаратного обеспечения SMS. Собранные данные именуются управляемыми объектами или объектами, допускающими возможность управления. Просматривать эти объекты позволяют простые запросы SQL, направляемые с консоли SMS Administration Console; можно также создавать для той же цели новые представления SQL Views, подобные тем, что используются Web Reporting. Средствами SMS управляется примерно 600 аппаратных объектов; по умолчанию же учитывается и настраивается лишь порядка 200 объектов. Если оставшиеся (и не включенные в систему инвентаризации) 400 объектов не в состоянии регистрировать конкретные сведения, которые вам нужны, придется расширить зону действия SMS на клиентских системах. Рассмотрим, каким образом можно расширить возможности учета аппаратных и программных средств SMS на клиентских системах.
Расширить систему аппаратного учета SMS можно путем добавления новых объектов в стандартном формате Managed Object Format (MOF). В процессе установки средств SMS на рабочей станции или сервере файл sms_def.mof копируется из каталога siteserversitesharesmsinboxescliefiles.srchinv узла SMS на клиентскую систему. Для редактирования файла sms_def.mof специалисты Microsoft разработали специальную программу MOF Manager, mofman.exe. Данный файл имеется на компакт-диске SMS 2.0 в каталоге support eskitinx86. Однако некоторые опытные инженеры SMS предпочитают редактировать этот файл MOF в программе Notepad. Я рекомендовал бы снять резервную копию с файла sms_def.mof во время тестирования и проверить его на наличие синтаксических ошибок в процессе компилирования с помощью интерфейса GUI 2.0.21 (он тоже имеется на компакт-диске SMS 2.0).
В Листинге 1 указано, какие изменения необходимо внести для получения отчета о программах Add/Remove Programs, установленных на клиентской системе SMS, и для передачи этих сведений в серверную базу данных на узле SMS. Достаточно перенести данный листинг в файл MOF тестового узла SMS. Затем это добавление обновляет комплект SMS Client, после чего каждый клиент будет сообщать информацию из раздела реестра Add/Remove Programs серверу соответствующего узла SMS. Можно испытать данный сценарий, присоединив его к файлу sms_def.mof. Для удобства чтения в сценарий включены пробелы; при компиляции они не учитываются.
Листинг 1. Код для получения отчета об установленных прикладных программах. |
Содержащиеся в специальном разделе реестра сведения об обновлении программных средств в ходе установки сценариев SMS поступают в клиентскую систему, потому что мы отредактировали файл .mof. Программа установки SMS позволяет инкапсулировать исполняемый файл в сценарий SMS. Администратор может установить программу SMS Installer в ходе процедуры настраиваемой установки программных средств SMS 2.0. SMS Installer может перекомпоновать уже установленную программу таким образом, чтобы система могла назначать ее для коллекции SMS.
В тестовой лаборатории SMS нашей компании представлена конфигурация, реализуемая на наших клиентах в производственной среде. Эта конфигурация известна как стандартный набор; каждому набору компания присваивает номер версии (скажем, 2.00.2). Программа-установщик SMS выполняется на одной из этих клиентских систем; она делает «моментальный снимок» конфигурации, и выполнение программы установки SMS приостанавливается. Во время паузы мы разворачиваем на клиентской системе новое приложение (например, Visio). На финальном этапе установки мы даем возможность программе SMS Installer завершить работу — создать файл, в котором отражены все изменения, внесенные в клиентскую систему, после того как мы установили данное приложение. Формат получившегося файла позволяет нам загружать его на клиенты SMS и предоставляет более подробную информацию о программных средствах, установленных на каждом из них. Программа установки SMS дает возможность добавить в файл строки программного кода или сценарий.
Чтобы облегчить идентификацию специализированных приложений или стандартной информации о наборе клиента, мы добавляем в реестр клиента небольшие объемы данных, касающихся каждого установленного сценария SMS. Затем запускаем эту новую программу установки на клиентских компьютерах, чтобы выяснить, совместима ли она с другими программами. Убедившись, что программа функционирует нормально, мы можем добавлять ее к новым пакетам SMS, которые, возможно, будем устанавливать на коллекции клиентских систем. Кроме того, мы увеличиваем присваиваемый нашей компанией стандартный номер версии набора (например, 2.00.3) и регистрируем изменения, внесенные в производственные системы.
Представление данных из клиентского реестра
Мы проследили за всеми этапами обновления реестра по каждому пакету SMS, который был установлен на наших клиентских компьютерах. А может быть, есть смысл еще раз отредактировать файл sms_def.mof так, чтобы средства SMS могли включать эти сведения в свои отчеты? Данная процедура напоминает процесс редактирования файла управляемых объектов для включения в отчеты данных из раздела реестра Add/Remove Programs. В Листинге 2 указаны изменения, которые необходимо внести для того, чтобы в отчеты включались данные об установленных пакетах SMS. Желающие могут добавить этот сценарий в файл sms_def.mof в своей тестовой лаборатории.
Листинг 2. Код для получения отчета о номере набора специализированного клиента. |
По умолчанию система известит базу данных SMS о внесенных в файл sms_def.mof изменениях во время следующего цикла инвентаризации в течение семи дней или при последующей перезагрузке клиента. А пока можно открыть консоль SMS Administration Console и создать SMS-запрос, который и известит базу данных о внесенных изменениях. В Листинге 3 представлен образец запроса SMS, где указаны все программы, перечисленные в таблицах Add/Remove Program базы данных SQL Server. Запрос, приведенный в Листинге 3, составлен с учетом специфики нашей компании; однако данные по конкретным разделам реестра одинаковы для всех случаев.
Мощные инструменты
SMS 2.0 — масштабируемая платформа, позволяющая администраторам управлять инфраструктурой Windows. С помощью новых инструментов, которые пользователям программы предоставляются бесплатно в пакете Administration Feature Pack, администраторы SMS могут обеспечивать более высокую эффективность работы системы, выявлять угрозы безопасности данных, распределять новые версии клиентов и расширять возможности генерирования отчетов в корпоративных сетях. И администраторы SMS, которые стремятся упростить использование и расширить возможности инфраструктуры SMS, и менеджеры, анализирующие функциональные возможности SMS, перед тем как развернуть систему на предприятии, сочтут эти инструменты хорошим дополнением к инфраструктуре SMS.
Маршалл Коупланд — ведущий инженер и консультант из Денвера. Имеет сертификаты MCSE и MCT. С ним можно связаться по адресу: mcopeland@isoperations.com.