为System Center Update Publisher 2011部署数字证书示例

英文原文http://blogs.technet.com/b/jasonlewis/archive/2011/07/12/system-center-updates-publisher-signing-certificate-requirements-amp-step-by-step-guide.aspx System Center Update Publisher 2011是一个可以通过System Center Configuration Manager 部署第三方软件补丁的程序: http://technet.microsoft.com/en-us/systemcenter/bb741049 。 为了发布软件补丁到WSUS服务器并部署软件补丁到客户端,你需要为System Center Update Publisher 2011生成一个数字证书。您可以通过System Center Update Publisher 2011界面生成一个self-signed(自签署)的数字证书,或用你已有的公钥基础设施生成数字证书。 System Center Update Publisher 2011要求数字证书满足以下要求: 1.    允许私钥被倒出 2.    有数字签名功能 3.    密钥长度为2048或更长 本文将一步一步演示如何使用Windows Server 2008 R2 certification authority (CA) 和Group Policy(组策略)为System Center Update Publisher 2011生成并部署数字证书 第一步: 在Certification Authority上创建和签发签名证书模板 在运行Certification Authority的机器上, 点击 开始, 管理工具, Certification Authority。…

2

Configuration Manager 2012 Beta 2 中的Active Directory Forest Discovery and Publishing

背景 在很多大型的组织中,网络配置,活动目录域服务以及Configuration Manager 通常都进行独立管理。网络拓扑或活动目录结构的更改必须在团队之间保持及时的沟通,以确保Configuration Manager边界设定的精确性。正确的边界信息可以保证应用程序和软件更新有效的部署到所有被管理的客户端。在客户端漫游的情况下,保持可用并且最新的边界设置显得尤为重要。现在在Configuration Manager 2012 Beta2中,活动目录林发现功能的引入和站点发布功能的改进将使企业能够集中管理跨林站点系统角色,而无需像SCCM 2007那样要在远端目录林中部署多余的站点。 域林发现和站点发布概述 为了提高不断变化的网络环境的可管理性,Configuration Manager 2012 Beta 2引入了活动目录域林发现。有了这个功能,站点可以发现与企业相关的活动目录森林及其中的域,站点和IP子网。因为域用户或者域成员计算机账号都有权限查询目录林的信任关系,活动目录林模块可以返回其他目录林及其信任方向的信息。系统可以连接到所有的森林并构建一个完整的企业环境映射。通过使用特定的凭据,它还可以跨林边界发现,从而无需关心域林之间的信任关系,实现按需发现。通过AD林发现获得的信息,还可以直接作为边界或边界组输出。AD发现所获得的数据是动态更新的,对于已经不在AD域服务中的数据将从站点数据库中移除。当客户端请求MP或DP的时候,这些被发现的信息也会被用来确保它们拿到的是最佳站点系统。    对每个目录林指定的凭据即可用于森林发现也可用于站点发布。有了凭据,站点就能发布站点配置信息到远程受信任或不受信任的域林,发布的信息包括站点系统位置和功能,边界,客户端计算机需要的认证站点系统的安全信息,MP的通信模式(HTTPS/HTTP),以及用于寻找最合适的MP或DP进行通信的网络信息。这使得客户端计算机更易于在受信任的林的服务器中查找到针对用户组或者用户账号部署的程序。   如何使用AD域林发现 1)      启用域林发现 AD域林发现是位于Configuration Manager 控制台的管理工作区中的一种新的发现方法。它可以在中心站点(CAS,central Administrator Site)和主站点(Primary Site)启用。辅助站点(secondary Site )不支持AD林发现。 要启用AD域林发现,需要打开活动目录林发现方法属性的对话框,并通过选中”启用活动目录林发现”的复选框启用发现方法。AD林发现的范围涵盖域林中的AD站点和IP子网 ,用户有两个更灵活的选择来配置是否想创建基于自动发现结果的AD站点类型边界或子网类型边界。林发现可以以周/小时/天来定义运行时间。林发现方法会自动创建边界,但仍需手动将边界添加到边界组,并关联到一个站点以确保提供给客户端有效的内容或边界被用于站点分配。 AD域林发现方法可以通过从功能区或用鼠标右击菜单中选择”立即运行完整发现”按需运行。 2)      监控域林发现的运行状态 AD 域林发现的运行进度可以通过查看域林发现日志(SCCM安装目录)\Logs\ADForestDisc.log或查看AD域林发现组件状态信息来查看。在Comfiguration Manager控制台点击Monitoring,展开System Status,单击Component Status,选择SMS_AD_Forest_Discovery_Manager, 然后单击右键选择Show Messages 来查看组件的状态信息。 3)      检查森林发现结果,并利用它们来创建边界组 AD域林发现完成后,可以通过在管理工作区选择AD域林查看发现的信息,每个发现的域林的信息和状态都被一一列出。默认情况下,域选项卡列出在此AD域林中发现的所有域。如果您右键单击其中一个可用的列标题,您可以通过选择Functional Level 来添加显示信息。AD 站点选项卡列出在此目录林中所有已发现的AD站点。IP子网选项卡列出所有发现的 IP 子网。IP子网与每个 AD 站点相关联,并被保留在数据库中。发现状态包括发现及发布的状态。 在Active Directory 站点选项卡中,可以从详细信息列表中选择一个或多个AD站点和IP子网,用鼠标右键单击,或使用功能区将其添加到新的或已存在的边界组中。…


System Center Updates Publisher 2011正式发布了!

我们很高兴地宣布, System Center Updates Publisher 2011已经正式发布。该版本的主要发布动力来自客户在过去几年中对于System Center Updates Publisher的喜爱以及建议。尤其在去年MMS2010,我们得到了对于System Center Updates Publisher 4.5 版本的很多很好的意见和反馈。基于这些反馈, 为了向客户和合作伙伴的产品提供更好的产品,我们才开始了System Center Updates Publisher 2011的研发。System Center Updates Publisher 2011有非常多的新功能, 下面列出了其中的一些: System Center Updates Publisher 2011的新功能 •更简单的安装,不需要数据库 •改进的用户界面,可以更好地控制管理软件更新 •改进的适用规则创作体验 •极大地提高了批量导入补丁的速度和管理软件的性能 •新增了创建软件更新包(Software Update Bundle)的功能 •新增了可以在定义软件更新时定义先决条件 (prerequisite)以及取代其他软件更新(superseded) 的功能 •新增了“自动”发布类型: System Center Updates Publisher 2011可以查询Configuration Manager来确定是否选定的软件更新应该发布软件包内容或只需要发布元数据到WSUS数据库. •新增了软件更新清理向导,你可以使用软件更新清理向导清除WSUS服务器上存在,但不存在于System Center Updates Publisher数据库中的软件更新 要下载System Center Updates Publisher 2011和学习更多关于System…


Configuration Manager R3中增量发现的传输站点设置

增量发现 在R3中我们引入了新的增量发现方法,因此我们在传输站点设置中也加入了相应的设置:启用Active Directory增量发现和增量发现间隔。这个全新的设置可应用于以下发现方法。 Active Directory 系统发现 Active Directory 安全组 Active Directory 系统组发现 Active Directory 用户发现 R3中增量发现的站点间传输的最佳实践是在传输设置时同时勾选 这样能够保证增量发现设置和增量发现间隔同时从源站点被传输到目标站点,但是由于R3中增量发现功能的特性,不同情况下增量发现设置传输的设置会产生不同的结果。以下就是对增量发现设置传输的实现的详细说明。 当增量发现被开启后,以下发现方法组件的属性会被做相应的设置。 PROPERTY <Startup Schedule><0001170000500008><><0> PROPERTY <Enable Incremental Sync><><><1> PROPERTY <Full Sync Schedule><0001170000500008><><0> 上述增量发现被开启的情况下,Startup Schedule中的值代表的是增量发现间隔而Full Sync Schedule中的值代表的是完全发现间隔。 而当增量发现被关闭后,在SP2中的默认设置,上述属性有另外一个含义。Startup Schedule中的值代表的是完全发现间隔,而Full Sync Schedule中的值会被忽略。如下表所示 属性 增量发现开启 增量发现关闭 Startup Schedule 增量发现间隔 完全发现间隔 Enable Incremental Sync 1 0 Full Sync Schedule 完全发现间隔 N/A 因此,在传输站点设置的过程中,我们需要处理上述属性意义的变化。也就导致了我们在做“启用Active…

0

ConfigMgr Inventory (软硬件清单)介绍

概述 清单(Inventory)是SMS和SCCM客户使用最多的一个功能之一,包括硬件清单,软件清单。硬件清单主要提供每台计算机的系统信息,如可用磁盘空间、处理器类型和操作系统等。软件清单主要收集文件类型、版本等文件的详细信息,还可以在相应的客户端系统收集文件。 清单基础 – Windows 管理规范和sms_def.mof文件 硬件清单功能主要通过查询客户端计算机上的多个数据存储,如注册表和 Windows 管理规范 (WMI) 命名空间类来从客户端计算机收集数据。其中,WMI是Windows的一项核心管理技术,管理员可以通过WMI管理本地和远程计算机。几乎Windows中所有默认提供的软硬件组件都会通过WMI来暴露其内部信息,如硬盘的大小等硬件信息;还包括已经安装了的软件、操作系统等非硬件信息。清单也是通过WMI来实现的。想进一步了解WMI,可以访问(http://technet.microsoft.com/zh-cn/library/ee692772.aspx )。 默认情况下硬件清单客户端代理(hardware Inventory Agent)能够报告100多 种不同 WMI 类的大约 1,500 种常用的硬件属性。这些设置是在主站点服务器上的 SMS_def.mof 文件中指定。在主站点服务器计算机上,导航到 <ConfigMgr安装目录>\inboxes\clifiles.src\hinv 目录,即可打开该站点的sms_def.mof文件。下面摘录其中的一小段(为了可读性,略有精简) [ SMS_Report     (TRUE),   SMS_Group_Name (“CD-ROM”),   SMS_Class_ID   (“MICROSOFT|CDROM|1.0”) ] class Win32_CDROMDrive : SMS_Class_Template {     [SMS_Report (TRUE)     ]         uint16     Availability;     [SMS_Report (TRUE)     ]         string     Caption;     [SMS_Report…

2