系统管理的快速通道 – ConfigMgr 2012 SP1中的“客户端通知”功能

概述 ConfigMgr已经发布的产品线采用的是从客户端主动获取策略的通讯机制。当管理员在一个很大的企业内部部署任务,客户端可能要过几分钟甚至几个小时才能接收到这个任务,然后才执行它,最后再向服务器发送结果。这对一般的任务是适当的,但是对于那些重要的、时间敏感的的任务就会成为一个大问题(例如:杀毒操作)。这对数据中心里的那些只有有限时间预留给管理任务的服务器来说,延时就会表现的非常明显。因此, 如果可以把IT管理任务更快的递送给客户端会非常有帮助。在ConfigMgr 2012 SP1中,我们在客户端和服务器之间引入“客户端通知”渠道。 “客户端通知”是什么? “客户端通知”是应广大客户需求,在ConfigMgr 2012 SP1中引入的一个全新的、令人兴奋的基础设施组件,它提供了一种能够让ConfigMgr客户端实时执行管理任务的机制。这种通讯渠道是从服务器主动发送到客户端,它不依赖于客户端的主动索取。通过“客户端通知”组件,客户端和ConfigMgr的管理点可以建立起持久的连接;这样服务器就能够通过这个连接渠道通知客户端去实时获取并执行紧急的任务。在ConfigMgr 2012 SP1中,所有System Center Endpoint Protection的操作和“下载计算机策略”的客户端操作都是通过这个渠道进行的。 如何使用“客户端通知” 1. 设置客户端通知端口 默认情况下,客户端通知采用TCP 协议端口10123进行通讯。在ConfigMgr的主管理界面上,点击“管理”,展开“站点配置”,点击“站点”,选择一个“站点”,打开“属性”对话框,在这个属性对话框的“端口”页上,用户可以设置TCP协议端口。用户可能还需要设置管理点、客户端、和任何中间计算机的防火墙,允许通讯通过这个新的端口。反之,客户端通知也能够采用HTTP和HTTPS模式。 2. 通知Endpoint Protection Agent尽可能快地执行相应的操作 在Endpoint Protection的操作中,完全扫描和快速扫描是一次性的操作,它完全只依赖客户端通知渠道传送;其他的操作既可以通过客户端通知渠道,也可以通过一般的传统的策略渠道传送。从客户端通知这个视角,任务的有效期是1小时。举例说明:如果客户端在任务激发时处于离线状态,这个最初的任务是会失败的;如果该客户端在任务发送后1小时内连接上来,那么通知管理器会再次发送这个任务到客户端;如果客户端在1小时后连接上来,任务会被视做过期,不会再被发送。 3. 通知客户端立刻下载计算机策略 下载计算机策略是ConfigMgr 2012 SP1中新加的一种客户端操作。它能够不受客户端策略轮询时间间隔的限制,尽可能快地让客户端或者集合去下载计算机策略。在ConfigMgr主管理界面中,点击“资产和符合性”,再点击“设备集合组”,选择设备集合中需要的计算机去下载,右键点击计算机,然后点击“客户端通知”下的“下载计算机策略”。当在集合上执行这个操作时,所有属于这个集合的在线的客户端都会被通知到。当然也可以同时选择多台计算机来完成下载,从而不需要对这整个集合进行下载操作。 客户端将迅速地向管理点请求计算机策略,如下图所示: 4. 监视客户端的操作状态 在ConfigMgr主操作界面中,点击“监视”,再点击“客户端操作”来监视客户端的操作状态。如果任务成功被执行,结果会计算到“成功“列。 “客户端通知”是如何工作? “客户端通知”是一个端到端的基础组件,由在站点服务器上的“通知管理器”, 管理点上的“通知服务器”,以及在客户端上“通知代理”三部分构成。 1) 通知管理器 通知管理器是站点服务器的一个组件,它的主要功能是对客户端通知的有效操作产生主动发送消息,并更新客户端的在线状态和更新站点数据库中客户端通知发送结果。 2) 通知服务器 通知服务器是在管理点上的服务器组件,它被自动部署和安装到管理点上(包括辅助站点)。通知服务器主要有以下功能: l 支持TCP和HTTP中任何一种通讯协议来做客户通讯; l 对站点数据库上的通知服务代理队列进行监听,监测“主动发送消息”产生的时间; l 通过这个通讯渠道发送消息给在线的客户端,并周期性的把推送结果生成文件,最终存到站点数据库里。可以在ConfigMgr主管理界面中“客户端操作”中,查看这些结果。 l 维护在线客户端列表信息,周期性的将这些在线信息生成文件并发送给站点服务器。 3) 通知代理 通知代理是一个客户端组件,它被装载在CCMEXEC.exe中。在客户端初始化阶段,它与通知服务器建立持久连接。对于通过辅助站点进行通讯的客户端,它会在辅助站点管理点上和通知代理之间建立起连接。它会先尝试用TCP模式,如果连接建立失败,再用备选的HTTP模式(如:防火墙或者互联网代理服务器不允许TCP通讯)。如果连接中断,通知代理会尝试再连接。 “客户端通知”支持TCP和HTTP两种通讯协议。多数情况下“客户端通知”采用TCP协议模式,这需要在防火墙上设置允许通讯的端口;HTTP协议模式是备选方案,采用该协议模式,不需要额外的设置。这两种协议模式的工作流程类似,下面以TCP协议模式为例阐述其工作流程:…

0

为System Center Update Publisher 2011部署数字证书示例

英文原文http://blogs.technet.com/b/jasonlewis/archive/2011/07/12/system-center-updates-publisher-signing-certificate-requirements-amp-step-by-step-guide.aspx System Center Update Publisher 2011是一个可以通过System Center Configuration Manager 部署第三方软件补丁的程序: http://technet.microsoft.com/en-us/systemcenter/bb741049 。 为了发布软件补丁到WSUS服务器并部署软件补丁到客户端,你需要为System Center Update Publisher 2011生成一个数字证书。您可以通过System Center Update Publisher 2011界面生成一个self-signed(自签署)的数字证书,或用你已有的公钥基础设施生成数字证书。 System Center Update Publisher 2011要求数字证书满足以下要求: 1.    允许私钥被倒出 2.    有数字签名功能 3.    密钥长度为2048或更长 本文将一步一步演示如何使用Windows Server 2008 R2 certification authority (CA) 和Group Policy(组策略)为System Center Update Publisher 2011生成并部署数字证书 第一步: 在Certification Authority上创建和签发签名证书模板 在运行Certification Authority的机器上, 点击 开始, 管理工具, Certification Authority。…

2

Configuration Manager 2012 Beta 2 中的Active Directory Forest Discovery and Publishing

背景 在很多大型的组织中,网络配置,活动目录域服务以及Configuration Manager 通常都进行独立管理。网络拓扑或活动目录结构的更改必须在团队之间保持及时的沟通,以确保Configuration Manager边界设定的精确性。正确的边界信息可以保证应用程序和软件更新有效的部署到所有被管理的客户端。在客户端漫游的情况下,保持可用并且最新的边界设置显得尤为重要。现在在Configuration Manager 2012 Beta2中,活动目录林发现功能的引入和站点发布功能的改进将使企业能够集中管理跨林站点系统角色,而无需像SCCM 2007那样要在远端目录林中部署多余的站点。 域林发现和站点发布概述 为了提高不断变化的网络环境的可管理性,Configuration Manager 2012 Beta 2引入了活动目录域林发现。有了这个功能,站点可以发现与企业相关的活动目录森林及其中的域,站点和IP子网。因为域用户或者域成员计算机账号都有权限查询目录林的信任关系,活动目录林模块可以返回其他目录林及其信任方向的信息。系统可以连接到所有的森林并构建一个完整的企业环境映射。通过使用特定的凭据,它还可以跨林边界发现,从而无需关心域林之间的信任关系,实现按需发现。通过AD林发现获得的信息,还可以直接作为边界或边界组输出。AD发现所获得的数据是动态更新的,对于已经不在AD域服务中的数据将从站点数据库中移除。当客户端请求MP或DP的时候,这些被发现的信息也会被用来确保它们拿到的是最佳站点系统。    对每个目录林指定的凭据即可用于森林发现也可用于站点发布。有了凭据,站点就能发布站点配置信息到远程受信任或不受信任的域林,发布的信息包括站点系统位置和功能,边界,客户端计算机需要的认证站点系统的安全信息,MP的通信模式(HTTPS/HTTP),以及用于寻找最合适的MP或DP进行通信的网络信息。这使得客户端计算机更易于在受信任的林的服务器中查找到针对用户组或者用户账号部署的程序。   如何使用AD域林发现 1)      启用域林发现 AD域林发现是位于Configuration Manager 控制台的管理工作区中的一种新的发现方法。它可以在中心站点(CAS,central Administrator Site)和主站点(Primary Site)启用。辅助站点(secondary Site )不支持AD林发现。 要启用AD域林发现,需要打开活动目录林发现方法属性的对话框,并通过选中”启用活动目录林发现”的复选框启用发现方法。AD林发现的范围涵盖域林中的AD站点和IP子网 ,用户有两个更灵活的选择来配置是否想创建基于自动发现结果的AD站点类型边界或子网类型边界。林发现可以以周/小时/天来定义运行时间。林发现方法会自动创建边界,但仍需手动将边界添加到边界组,并关联到一个站点以确保提供给客户端有效的内容或边界被用于站点分配。 AD域林发现方法可以通过从功能区或用鼠标右击菜单中选择”立即运行完整发现”按需运行。 2)      监控域林发现的运行状态 AD 域林发现的运行进度可以通过查看域林发现日志(SCCM安装目录)\Logs\ADForestDisc.log或查看AD域林发现组件状态信息来查看。在Comfiguration Manager控制台点击Monitoring,展开System Status,单击Component Status,选择SMS_AD_Forest_Discovery_Manager, 然后单击右键选择Show Messages 来查看组件的状态信息。 3)      检查森林发现结果,并利用它们来创建边界组 AD域林发现完成后,可以通过在管理工作区选择AD域林查看发现的信息,每个发现的域林的信息和状态都被一一列出。默认情况下,域选项卡列出在此AD域林中发现的所有域。如果您右键单击其中一个可用的列标题,您可以通过选择Functional Level 来添加显示信息。AD 站点选项卡列出在此目录林中所有已发现的AD站点。IP子网选项卡列出所有发现的 IP 子网。IP子网与每个 AD 站点相关联,并被保留在数据库中。发现状态包括发现及发布的状态。 在Active Directory 站点选项卡中,可以从详细信息列表中选择一个或多个AD站点和IP子网,用鼠标右键单击,或使用功能区将其添加到新的或已存在的边界组中。…


System Center Updates Publisher 2011正式发布了!

我们很高兴地宣布, System Center Updates Publisher 2011已经正式发布。该版本的主要发布动力来自客户在过去几年中对于System Center Updates Publisher的喜爱以及建议。尤其在去年MMS2010,我们得到了对于System Center Updates Publisher 4.5 版本的很多很好的意见和反馈。基于这些反馈, 为了向客户和合作伙伴的产品提供更好的产品,我们才开始了System Center Updates Publisher 2011的研发。System Center Updates Publisher 2011有非常多的新功能, 下面列出了其中的一些: System Center Updates Publisher 2011的新功能 •更简单的安装,不需要数据库 •改进的用户界面,可以更好地控制管理软件更新 •改进的适用规则创作体验 •极大地提高了批量导入补丁的速度和管理软件的性能 •新增了创建软件更新包(Software Update Bundle)的功能 •新增了可以在定义软件更新时定义先决条件 (prerequisite)以及取代其他软件更新(superseded) 的功能 •新增了“自动”发布类型: System Center Updates Publisher 2011可以查询Configuration Manager来确定是否选定的软件更新应该发布软件包内容或只需要发布元数据到WSUS数据库. •新增了软件更新清理向导,你可以使用软件更新清理向导清除WSUS服务器上存在,但不存在于System Center Updates Publisher数据库中的软件更新 要下载System Center Updates Publisher 2011和学习更多关于System…


Configuration Manager R3中增量发现的传输站点设置

增量发现 在R3中我们引入了新的增量发现方法,因此我们在传输站点设置中也加入了相应的设置:启用Active Directory增量发现和增量发现间隔。这个全新的设置可应用于以下发现方法。 Active Directory 系统发现 Active Directory 安全组 Active Directory 系统组发现 Active Directory 用户发现 R3中增量发现的站点间传输的最佳实践是在传输设置时同时勾选 这样能够保证增量发现设置和增量发现间隔同时从源站点被传输到目标站点,但是由于R3中增量发现功能的特性,不同情况下增量发现设置传输的设置会产生不同的结果。以下就是对增量发现设置传输的实现的详细说明。 当增量发现被开启后,以下发现方法组件的属性会被做相应的设置。 PROPERTY <Startup Schedule><0001170000500008><><0> PROPERTY <Enable Incremental Sync><><><1> PROPERTY <Full Sync Schedule><0001170000500008><><0> 上述增量发现被开启的情况下,Startup Schedule中的值代表的是增量发现间隔而Full Sync Schedule中的值代表的是完全发现间隔。 而当增量发现被关闭后,在SP2中的默认设置,上述属性有另外一个含义。Startup Schedule中的值代表的是完全发现间隔,而Full Sync Schedule中的值会被忽略。如下表所示 属性 增量发现开启 增量发现关闭 Startup Schedule 增量发现间隔 完全发现间隔 Enable Incremental Sync 1 0 Full Sync Schedule 完全发现间隔 N/A 因此,在传输站点设置的过程中,我们需要处理上述属性意义的变化。也就导致了我们在做“启用Active…

0

ConfigMgr Inventory (软硬件清单)介绍

概述 清单(Inventory)是SMS和SCCM客户使用最多的一个功能之一,包括硬件清单,软件清单。硬件清单主要提供每台计算机的系统信息,如可用磁盘空间、处理器类型和操作系统等。软件清单主要收集文件类型、版本等文件的详细信息,还可以在相应的客户端系统收集文件。 清单基础 – Windows 管理规范和sms_def.mof文件 硬件清单功能主要通过查询客户端计算机上的多个数据存储,如注册表和 Windows 管理规范 (WMI) 命名空间类来从客户端计算机收集数据。其中,WMI是Windows的一项核心管理技术,管理员可以通过WMI管理本地和远程计算机。几乎Windows中所有默认提供的软硬件组件都会通过WMI来暴露其内部信息,如硬盘的大小等硬件信息;还包括已经安装了的软件、操作系统等非硬件信息。清单也是通过WMI来实现的。想进一步了解WMI,可以访问(http://technet.microsoft.com/zh-cn/library/ee692772.aspx )。 默认情况下硬件清单客户端代理(hardware Inventory Agent)能够报告100多 种不同 WMI 类的大约 1,500 种常用的硬件属性。这些设置是在主站点服务器上的 SMS_def.mof 文件中指定。在主站点服务器计算机上,导航到 <ConfigMgr安装目录>\inboxes\clifiles.src\hinv 目录,即可打开该站点的sms_def.mof文件。下面摘录其中的一小段(为了可读性,略有精简) [ SMS_Report     (TRUE),   SMS_Group_Name (“CD-ROM”),   SMS_Class_ID   (“MICROSOFT|CDROM|1.0”) ] class Win32_CDROMDrive : SMS_Class_Template {     [SMS_Report (TRUE)     ]         uint16     Availability;     [SMS_Report (TRUE)     ]         string     Caption;     [SMS_Report…

2

ConfigMgr 2012 Beta 2 Program

ConfigMgr 2012 Beta 2 将于明年3月份发布。如果您想在正式发布前体验,学习ConfigMgr 2012 ,或者向产品组提出建议或者反馈,那这将是一个很好的机会。 现在我们提供了各种方式以方便各位体验ConfigMgr 2012: (注意,在访问以下链接前,请先在connect上加入ConfigMgr的Beta 计划:http://go.microsoft.com/fwlink/?LinkId=193914) · 方式一: 可以加入我们的Beta 2 TAP (技术先行体验计划) TAP是微软产品组提供给客户的体验计划, 您可以在这个计划中试用我们尚未发布的Beta产品,在此过程中,您可以获得来自产品部门的直接支持,我们会协助您安装,部署,试用ConfigMgr 2012。 如果您有兴趣加入Beta 2 TAP,可以先从这里开始: 第一步: 访问这个调研,并提交用户信息:https://www.surveymonkey.com/s/vNext_Beta2_nomination 第二步:如果您的信息满足我们的要求,我们会直接与您进行联系。 第三步:我们会提供更多的信息以支持您在企业中部署我们的Beta系统。 为了方便中国客户加入TAP,您可以直接发邮件给 msdchina@microsoft.com,我们会协助您完成相关流程。 · 方式二:可以加入我们的Open Beta 计划 关于Open Beta 和TAP的区别可以参见这个网站: https://connect.microsoft.com/ConfigurationManagervnext/content/content.aspx?ContentID=22474 大致上Open Beta没有任何条件限制,任何人都可以加入,只要自行下载安装程序,自行部署试用即可。如有问题可以在Newsgroup(https://connect.microsoft.com/ConfigurationManagervnext/community/discussion/richui/default.aspx)中提问,我们会尽力帮助解答这些问题。 · 方式三:下载VHD文件试用 如果觉得自行部署安装ConfigMgr 仍然比较复杂,更简单的方式是下载我们的VHD试用。 可以在这里下载Beta 1 的VHD: http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=1b23c540-9b9f-4d41-a05d-d4b216061957&utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed:+MicrosoftDownloadCenter+%28Microsoft+Download+Center%29 当Beta 2 发布之后,相应的VHD也会发布在http://connect.microsoft.com 上供下载。 其他资源: ConfigMgr 2012 overview:…

4

有关CM 2007 Active Directory Domain的常见问题

我已经看客户询问有关活动目录域服务适用于配置管理器中的问题的数目不断增加。 美国科技教育不是例外促使我写了一些常问的问题。 产品文档中此信息虽然我能理解为什么它有时很难找到一种特定的情况下确切的答案只是因为有太多可能出现的变动。 一个包含此信息的大量的文档主题是 多源目录林的配置管理器。 有关于配置管理器中的一个活动目录相关问题请参阅是否它解决此博客张贴内容中。 如果看不到列出的问题通过电子邮件与您的问题或建议的 SMSDocs@Microsoft.com。 问: 在他们在不同的域,站点系统服务器时,配置管理器可以管理客户端? 答案: 是的。 在这里的唯一潜在知是在混合模式下站点时,您必须配置管理点与 FQDN 自动审批工作。 提示: 请检查名称解析 (NetBIOS 和 FQDN) 正在两个域之间。 我的网站系统中的所有服务器的站点是否都有问题: 要在相同的域中吗? 答: 没有,在同一站点中的站点系统可以从不同的域在同一林中,以下的除外: SMS 提供程序 报告点 站点数据库服务器: 我的网站系统中的所有服务器的站点是否都有问题: 为来自同一个林中吗? 答: 大多数情况下,是的。 有几个例外情况: 系统健康验证程序点 基于网络的站点系统 服务器定位点 (最安全的做法是在同一林中安装此) PXE 服务点 (最安全的做法是在同一林中安装此) 问: 在他们在不同的目录林中,从站点服务器时,配置管理器可以管理客户端? 答: 是,与此配置不需要任何的 PKI 证书或安装任何站点系统服务器到这另一个林中。 最重要的事情来记住这是这些客户端不能访问发布的活动目录域服务-站点服务器的站点信息,即使有这两个林之间的信任。 这意味着在安装这些客户端时,他们需要完成站点分配一个服务器定位点。 请确保已安装服务器定位点和这些客户端可以访问它,这样做的最简单方法是使用 SMSSLP 属性,当您安装客户端。 更多的信息请参阅 如何创建服务器定位点在配置管理器 与指定的配置管理器在客户端计算机的服务器定位点。…

1

公告: 客户端安装和配置 SuperFlow 发布

配置管理器IX队兴奋地宣布的新的客户端安装和分配 SuperFlow 版本。 此 SuperFlow 提供了有关如何规划、 安装、 管理和监视配置管理器 2007年客户端的详细的步骤。 它还包括故障排除信息和进一步,您可以使用更多地了解客户端安装和工作分配的资源。 你会发现这和所有其他在 http://go.microsoft.com/fwlink/?LinkId=183297的 SuperFlows。 一个 SuperFlow 是什么? SuperFlow 交互式内容模型提供用于查看文档的结构化和互动界面。 每个 SuperFlow 包含有关一个特定的配置管理器 2007年数据流、 工作流或过程的全面信息。 根据在 SuperFlow 的重点会发现概述的信息包括详细的信息、 程序、 示例日志条目、 最佳做法、 现实世界的情况、 故障排除信息、 安全信息、 动画或其他信息的步骤。 每个 SuperFlow 还包括如 Web 站点或本地文件复制到您的计算机安装了 SuperFlow 时的相关资源的链接。 您的反馈,SuperFlows 是非常重要,我们,为我们改善和扩展可用 SuperFlows 的范围。 请使用中,SuperFlow 包含的链接,让我们知道您的想法和给我们的任何新的 SuperFlows 建议您想看看。 –Rob Stack 本文由机器自动翻译,微软不对翻译内容负责,您可以从这里获得原文和翻译信息:查看信息

1

管理ConfigMgr客户端补丁

管理ConfigMgr客户端补丁 在ConfigMgr升级过程中,一些Service Pack或者hotfix要求在客户端安装补丁程序而不仅仅是在服务器端。这篇文章主要讨论客户端补丁部署的一些技巧:如何在客户端请求安装方式安装ConfigMgr客户端的同时安装一个ConfigMgr客户端补丁;如何卸载一个ConfigMgr客户端补丁以及如何在手动创建一个部署ConfigMgr客户端补丁的包/程序时得到正确的报告。 如何通过客户端请求安装的方式安装CONFIGMGR客户端补丁 http://support.microsoft.com/kb/907423/zh-cn介绍了一个适用于SMS2003客户端安转的方法,它依然适用于ConfigMgr客户端。具体步骤如下: 1. 打开SMS站点服务器上的SMS管理控制台 2. 导航到客户端安装方法,并双击客户端请求安装 3. 打开客户端请求安装的属性对话框,点击客户端标签 4. 在安装属性框中输入适当的参数: SMSSITECODE=AUTO PATCH=\\SERVER\SMSCLIENT\i386\patches\update1.msp 点击确定。 使用该设置后,所有新安装的客户端将会在CCM客户端安装后安装在参数中指定的客户端补丁。 注意:只有一个更新(.msp文件)可在安装客户端的同时安装。如果您尝试安装多个更新时,可能会导致客户端安装失败。 如何卸载一个ConfigMgr客户端补丁 ConfigMgr客户端补丁不会出现在添加/删除程序中。您需要使用命令行来卸载客户端补丁。下面一步一步演示如何通过CONFIGMGR软件分发模块来卸载一个ConfigMgr客户端补丁。 1. 找出你的客户端产品代码。 你可以在客户端的注册表里面找到产品代码信息:HKLM\Software\Microsoft\SMS\Mobile\ProductCode。 2. 找出补丁代码 你可以在注册表中找到:HKLM\SOFTWARE\Microsoft\Updates\Configuration Manager Client\4.00.6221.1000\CONFIGMGR2007AC-SP1-KBxxxxxx-x86.msp\ (补丁ID) 3. 创建一个包和一个程序包含以下设置: 在常规选项中做如下设置 命令行: msiexec /package {产品代码} /uninstall {补丁代码} /q  REINSTALL=ALL REINSTALLMODE=maus 运行之后:程序重新启动计算机 在环境选项卡进行如下设置: 程序可以运行:无论用户是否登陆 · “程序重新启动计算机”设置并不意味着卸载之后计算机会被重新启动。卸载一个ConfigMgr客户端补丁会重新启动“SMS Agent Host”服务。如果你不使用这个设置,ConfigMgr客户端会认为重新启动“SMS Agent Host”服务是非正常的,就会报告该程序运行失败。如果您选择“程序重新启动计算机”选项,则ConfigMgr客户端会认为“SMS Agent Host”服务被重新启动是预期的,这样您就能得到这个播发的正确的状态报告。 4. 分发这个程序给客户端 如何手动创建CONFIGMGR客户端补丁安装包/程序…

2