System Center Configuration Manager 2007

System Center Configuration Manager 2007

Lepenye Tamás

RendszermérnökMicrosoft Magyarország

NapirendSCCM 2007 fejlesztések - áttekintésSzoftverterítés és SoftGridLeltár támogatás (Asset Intelligence)Szoftverfrissítés dióhéjbanElvárt konfiguráció felügyelet

SCCM 2007 FejlesztésekEgyszerűsített felület Integrált funkciókSzinergiák kihasználásaEgyszerűség

Üzleti eszközkezelésElvárt konfiguráció menedzsmentService Manager Integráció

Konfiguráció

NAP, PKI, State Migration Point

Sérülékenység-vizsgálatBiztonság

Mindent: OS-t, alkalmazást, frissítést, virtualizált alkalmazást, eszközmeghajtókatMindenre: szerverre, kliensre, okos telefonra, beágyazott OS-reBárhová: LAN, WAN, Internet, Branch Office, GSMTelepítés

Configuration Manager szerver szerepek

SQL Server SQL Server

SCCM Primary Site Server

SCCM MP

SCCM SLP

SCCM RP

SCCM DP

SCCM SMP

SCCM PSP

SCCM SUP/WSUS

SCCM FSP

SCCM SHV

Primary Site

Secondary Site

MP - Management Point

SLP - Server Locator Point

RP - Reporting Point

DP - Distribution Point

Branch DP

SMP - State Migration Point

Branch DP - Branch Office DP

SUP - Software Update Point

FSP - Fallback Status Point

SHV - System Health Validator

PSP - PXE Service Point


SoftGrid - SCCM 2007 integrációMSI Utility for Microsoft Application

Virtualization

Egy megoldásgyorsító (Solution Accelerator) amely MSI infrastruktúrába foglalja a virtuális alkalmazásokatA SoftGrid SMS konnektor kiváltójaSMS 2003 R2-vel és SCCM 2007-tel működikA System Center Virtual Application Server nem követelményA virtuális alkalmazások az „Add/Remove Program” listázásával leltározhatókHarmadik gyártótól származó menedzsment rendszerekkel is felügyelhetők a virtuális alkalmazásokA virtuális alkalmazások telepíthetők hordozható médiáról vagy fájlmegosztásról


Feladat: Az eszköz-kezelési folyamatok automatizálása

System Center Service Manager könnyen integrálható legyen a beszerzési rendszerekkel

Munkafolyamat (workflow) megoldásokkal feladatautomatizálás a teljes eszköz életciklus során

Asset Intelligence fejlesztések: integrált MSFT licensz-jelentések, többféle eszköz az IT eszköz-életciklus kezeléshez (kategorizálás, áthelyezés, selejtezés stb.).

Feladat: Az eszköz láthatóságának javítása

AssetMetrix akvizíció a System Center termékcsalád “Asset Intelligence” képességeinek bővítéséhez

Továbbfejlesztett eszköz azonosítás és kategorizálás az SMS 2003-ban (AI 1.0) és az SCCM 2007-ben (AI 1.1)

Kapcsolat létrehozása a helyi SCCM katalógus és a webes katalógus között (AIS hosted catalog). Katalógus és license mgmt az SCCM SP1-ben. (AI 1.5).

1. fázis 2006-2008

2. fázis 2008-2009

3. fázis2010+

Feladat: Integrált eszközkezelés

Platform biztosítása szolgáltatásokkal és eszközökkel, amely lehetővé teszi a fejlesztők számára, hogy a termékeiket és az azokhoz tartozó licence jogokat konzisztens módon írják le és tárolják

System Center harmadik gen.: Licence tárolás és

menedzselés a teljes vállalatban;

Teljes körű és hiteles eszköz- és licence használat jelentések

Asset Management fejlesztési tervek

Első fázis: Az eszközkezelési képességek megteremtése

AI 1.0: AMx adatbázis és új jelentések a meglévő SMS 2003 ügyfeleknek (SMS 2003 SP3 , megjelent :2007. 04. 27.)

• Az SMS leltár kiterjesztése• Új SMS jelentések• Frissítés félévenként

AI 1.1: További AI funkciók (pl.: CAL nyomkövetés Windows és Exchange esetén (SCCM 2007: RTM!)

AI 1.5: Kapcsolat a System Center Online szolgáltatáshoz a legfrissebb hivatalos és közösségi katalógusért (SCCM 2007 SP1: kb. 2008 második negyedév)

SCCM 2007: Eszközkezelési funkciók (Asset Intelligence)

Minden SMS 2003 SP3 képesség, továbbá:‘Mostanában használt alkalmazások’ leltára (Recent Usage Inventory)

Az SCCM metering agent will leltárba szed bármely futtatható állományt, amelyet egy felhasználó kontextusában futtattakA ‘Mikor használták „ezt meg ezt”? Kérdésre lehet válaszolni beépített jelentéssel

Automatikusan létrejövő mérési szabályokEszközváltozás összegzése

A summary of changes to computer assets is stored in a central tableManaging deltas help reduce the complexity of asset managementAdditional reports help you answer the “What has changed recently in my environment?” question

Windows és Exchange CAL nyomkövetésUser és Device CALA Security audit log-okon alapulKik használják a CAL-okat? Mikor használják a CAL-okat?

SCCM 2007 SP1 (Asset Intelligence 1.5)Az SCCM 2007 a “System Center Online” szolgáltatáshoz

kapcsolódhatIntegráció a hostolt „Asset Inventory Service” -szel

Időzített és kézi katalógus letöltés

A licenceszerződések mennyiségi részének felviteli lehetősége (MLS statements és 3rd party)

ÚJ katalógus menedzsment eszközök (szoftver-felvitel, kategorizálás, kategória-felülbírálat)

A nem kategorizált szoftvereszközök adatait az SC Online szolgáltatásba „be lehet küldeni”

+ +Eszköz és Licence jelentések

• SW konszolidáció• Frissítés tervezés• License jelentések

Asset Inventory Service

SCCM leltár

AMx KB

Valós idejű alkalmazásés eszközkezelés

SCCM 2007 SP1 (Asset Intelligence 1.5)Connected to SC Online for catalog updates and to request categorization for unknowns.

New SCCM UI for local catalog and license entry / edit.

demó

EszközkezelésBekapcsolásJelentésekSzoftverkategóriákLefúrások


A szoftverfrissítés legfontosabb újításai

• Egy kereső ügynök (WUA) és egy frissítési forrás• A kliensek csak az alkalmazható csomagok

telepítését vizsgálják• Telje Microsoft Update és 3rd-party csomagok

WSUS Integráció

• Pontos,közel valósidejű kliens-állapot• Új megfelelési és üzemeltetési jelentések• A frissítési csomagok szelektív letöltése

Házirend alapú infrastruktúra

• Telepítési sablonok (deployment templates)• Frissítési listák és keresési mappák• EULA kezelés

Könnyebb kezelés

• Karbantartási ablak• Internetes kliensek kiszolgálása• Jobb teljesítmény• Határidő előtti ütemezett telepítés

Javított kliens működés

A szoftverfrissítés (SUM) menete

SUM Admin UI

4. Scan results are stored in

WMI

8. Admin UI is used to deploy

updates

13. Updates are automatically installed on schedule or directly

by end user

Client UI

1. WSUS gets Update

Metadata Catalog from MU

2. WSUS syncs Metadata

Catalog with Site Server

3. WUA scans client for missing updates against WSUS server

7. Compliance reports show aggregated scan results

16. Deployment reports show aggregated enforcement

results

9. Binaries are downloaded

from MU

10. Updates are placed in a Deployment Package on Distribution

Point

11. Client gets policy for

deployment

14. Enforcement State messages are sent to MP

5. Compliance State messages are sent to MP

12. Client gets update binaries

from deployment package and

stores them in cache on client

15. Enforcement State messages are sent to DB

6. Compliance State messages are sent to DB

demó

SzoftverfrissítésBekapcsolásMegfelelésFolyamatJelentése

Szoftverfrissítés jelentések 200734 új Szoftverfrissítés jelentés

• A SUM kategóriák segítségével könnyen megtalálhatók a megfelelő jelentések• Megfelelés, Terítés-felügyelet, Állapotjelentések stb.

Megfelelés (Compliance)

• Per-gép megfelelés, Per-frissítés megfelelés, frissítéslisták gyűjtemények• Frissítés, Gép, Telepítés

Telepítés (Deployment)

• Állapotok: kényszerített állapot (enforcement state), kiértékelő állapot (evaluation state)

• Beavatkozás: Alkalmazható frissítése még nem települtek

Hibaelhárítás (Troubleshooting)

• Keresési hibák; Telepítési hibák – Hány gépnél fordul elő egy adott hibakód

Ügyfél Ügyfél követelmények Lehetséges megoldás

Nagy szervezetek

Fejlett frissítés-kezelés vagy integrált menedzsment eszköz

Configuration Manager

Egyszerű frissítés-kezelés: csak Microsoft frissítések

WSUS

Közepes szervezetek

Fejlett frissítés-kezelés vagy integrált menedzsment eszköz SCE

Egyszerű frissítés-kezelés: csak Microsoft frissítések WSUS

KisvállalatokEgyszerű, központosított felügyelet SBS

Minden más esetben Microsoft Update

Otthoni felh. Bármilyen eset Microsoft Update

A megfelelő megoldás kiválasztása

WSUS vagy SCCM 2007Funkció WSUS 3.0 SCCM 2007

Microsoft Update kapcsolat Igen Igen

Hierarchia kialakítása Igen Igen

BITS letöltés Igen Igen

Csomag-kategóriák Igen Igen

Időzített telepítés Igen Igen

MMC 3.0 Igen Igen

Harmadik gyártó csomagjai Nem Igen

Telepítési sablonok Nem Igen

Frissítési listák Nem Igen

Karbantartási ablak Nem Igen

Wake On Lan Nem Igen

Jelentések Néhány Sok

Hibafeltáró jelentések Nem Igen

Elvárt konfiguráció Nem Igen

NAP integráció Nem Igen


Mi a DCM?

Egy SMS 2003-hoz kiadott megoldás gyorsító (Solution Accelerator)

Az SCCM2007 egyik alapfunkciója

Egy rendelhető Microsoft Services projekt.

Felhasználási területek -1

A változáskezelési folyamaton át nem esett konfigurációs

beállítások azonosítása.

Belső MS tapasztalatok szerint a nem tervezett leállások fel

konfigurációs problémákra vezethető vissza!

A számítógép konfigurációk összevetése a Microsoft és

más gyártók által deklarált „legjobb gyakorlattal” szemben.

Gépellenőrzés kihelyezés előtt. Mindent beállítottunk a

gépen, amit be szoktunk (be kell) állítani?

Felhasználási területek - 2

Külső / belső szabályozó szervezetek számára

megfelelőség jelentése

Sérülékenységek felfedezése

Helpdesk támogatás. (A telefonáló gépe olyan,

amilyennek lennie kell?)

A nem megfelelő beállítások megszüntetéseSzoftverdisztribúcióval

Windows eseményeket figyelő menedzsment rendszerekkel

Áttekintés: DCM Terminológia & koncepció

Configuration Item (CI)A konfiguráció egysége, amely detektálható, alkalmazható, eltávolítható a SCCM2007 által kezelt gépeken/gépekről

Alkalmazás CIOperációs rendszer CIGeneral CISzoftver frissítés CI

Konfiguráció alapszintEgy CI alapszint komplex típusa más CI-kből áll össze, amelyek lehetnek:

KötelezőekOpcionálisakTiltottak

Az alapszintek gyűjteményekhez rendelhetők a megfelelőség vizsgálat érdekében

demó

Konfigurációs elemekKonfigurációs alapszintek

DCM adatáramlás

DCM Digests

ConfigMgrAdmin Konzol

ConfigMgr Szerver

WindowsServer2003 CI

CI401K Alkalmazás Antivirus

Software CI

SCCM 2007 adatbázis

401(k) AlkalmazásSzerver alapszint

ConfigMgr Ügyfél

Felügyelt rendszer WMI

XML

Registry

IIS

MSI

1CI-k létrehozásaérvényes CI dokumentumokimportálásával

2 Új CI létrehozásaszerkesztéssel

3 A konfigurációsAlapszint létreHozása CI-kkel

A konfigurációs alapszintet kliensGépekhez rendeljük

4

A DCM felfedeziA CI-ket és ellenőrziaz adatokat a szabályokkalszemben

5A megfelelőségiRiportot a Config.Manager. Server.visszakapja

6

Script

SQL

SoftwareUpdates

File

ActiveDirectory

Megfelelőségállapottábla

Rendszerüzemeltetői feladatokKonfigurációs tudásbázis fejlesztése

Új CI-k és alapszintek létrehozása

Konfigurációs csomagok kialakítása

A legjobb gyakorlatot hordozó „Configuration Pack” csomagok importálása

Alapszintek hozzárendelése

A megfelelőség kiértékelésének ütemezése

A megfelelőségi jelentések figyelése

Lekérdezés alapú gyűjtemények létrehozása a DCM állapotüzenetek alapján

Tudásbázis építéseAdatforrások

Microsoft és más gyártókhttp://go.microsoft.com/fwlink/?LinkId=71837

MegoldásszállítókKonzultációs cégekLOB fejlesztőkIT közösség

http://go.microsoft.com/fwlink/?LinkId=71837

Tudásbázis építéseSCCM 2007 fejlesztőkörnyezet

LétrehozásOperating System CIApplication CIGeneral CIConfiguration Baseline

Gyermek CI létrehozásÖröklésÚj szabályok az örökölt objektumokhoz és beállításokhozÚj beállítások és objektumok

Duplikálás

Tudás építése – Gyermek/szülő CI-k

MicrosoftSQL Server 2005

Szülő CI• A Microsofttól importálva• Alapbeállítások, objektumok

definiálása

Woodgrove Bank’sConfiguration forSQL Server 2005

Best Practices forMicrosoft

SQL Server 2005

Gyermek CI• A definíció öröklése• A szülői beállításokhoz és

objektumokhoz további szabályok

• Új beállítások és objektumok

SQL ServerHR IT

SQL ServerSales IT

További öröklődés

SQL ServerSales Reporting

Application

Duplikált CI• Az eredetivel nincs

kapcsolata• Teljes egészében

szerkeszthető.

MásolatMicrosoft

SQL Server 2005

Duplikált CI• Az eredetivel nincs

kapcsolata• Ugyanazokat örökli

A megfelelőség értékeléseA megfelelőség eredmény az állapotüzenetek XLM mellékleteAz állapotjelentés súlyosságát a legsúlyosabb szabálysértése határozza megDCM Home PageJelentésekA DCM jelentéseket használó lekérdezés alapú gyűjtemények definiálása szoftverterítéshez, scriptek futtatásához stb.

Példák a nem megfelelőségre

/3GB Switch hiányzik a Public Folder kiszolgálókonIP Security and Relay lista nem szabványosA hálózati kártya meghajtója régiA hálózati kártya sebessége és az elnevezése nem konzisztensA Diagnostic logging részletes (verbose) üzemmódban megy több kiszolgálón isNincs MAPI kliens korlátozásWindows 2000 biztonsági frissítések telepítése elmaradt

DCM Tudás – a termék megjelenésekor

Microsoft IT “Best Practices”Exchange 2003 & 2007SQL 2000 & 2005Windows Server 2003 AD/DNS/WINS/DHCPSharepoint 2003 & 2007

Product group “Best Practices”ConfigMgr server rolesSérülékenység vizsgálatSCOM 2007SCVMM 2007MOSS 2007SQL 2005

A Brabeion szerződésA „Megfelelőség” (Compliance) a biztonsági és

rendszermenedzsment feladatok között a legfontosabb

2007-ben

A Brabeion licenceli a Microsoft számára az általa fejlesztett

alapkonfigurációs szinteket

Ezek az alapszintek segítségével kontrollált és elszámolható

módon lehet biztonsági szabványoknak megfeleli:

COBIT

ISO 17799

Szabályozók (GLBA, HIPAA, SOX, EUDPD, FISMA)

A Microsoft Consulting DCM projekt és az ITIL

A DCM megoldások elősegítik az ITIL/MOF folyamatok implementálását

Change ManagementConfiguration Change Audit a DCM segítségévelMicrosoft IT Change and Release Calendar

Configuration ManagementKonfigurációs alapszintek az MSIT konfigurációk alapjánSzolgáltatások dokumentálása a szolgáltatás-térkép segítségével

Release ManagementÜgyfére szabott Release Policies and PlansSzerepkörök meghatározása (Role Guidance)

Tudás a MicrosofttólAz ügyfél hozzájut

Az MSIT által használt konfigurációs elemekhezKonfigurációs beállítások, leírások, prioritások

Microsoft IT Change and Release CalendarChange, Release and Configuration ScorecardMicrosoft IT Release Policy and Plan TemplatesMicrosoft IT DCM jelentések

Rendszeres CI frissítés:A Microsoft IT-tőlCritsit (Critical Situation)Más ügyfelek visszajelzése alapján

Microsoft IT DCM Konfigurációs elem sablonok

AD File Print WINS DNS

AV

OS

Hardware

DL

380

G3

DL

380

G3

DL5

80 G

2

DL5

80 G

2

DL5

80 G

2

MBX PF FE BH SMTPExchange 2003

Windows 2003 Core

Alap DCM CI sablonok

Change, Release és Configuration Scorecard

Teljesítmény mérésTrendanalízisCél: állandó javulás; teljes ellenőrzés a változások felett

App-Windows 2003, 123,74%

App-Exchange 2003, 31,18%

Hardware-Server,1, 1%

DCM konfigurációs sablon, 4, 2%

App-Veritas, 2, 1%

Settings-WINS, 3, 2%

App-Etrust, 4, 2%

Jelentés: A Windows 2003 74%-ban indukált Exchange változásokat az adott időszakban

RFC források

Forrás: Microsoft IT Change and Release Calendar

DCM összefoglalásA szabványos konfiguráció kiszámíthatóságot eredményez

Definiált konfigurációs alapállapotok jönnek létreHardver, OS, alkalmazások, szerver beállítások szerep szerint

A jelenlegi konfiguráció és komplexitás feltárása

Megszűnnek az „elárvult” szerverek

Reaktív helyett proaktív üzemeltetés

Egészséges konfiguráció kialakítása és megtartása

Documents

System Center Configuration Manager 2007