系统管理的快速通道 – ConfigMgr 2012 SP1中的“客户端通知”功能

概述 ConfigMgr已经发布的产品线采用的是从客户端主动获取策略的通讯机制。当管理员在一个很大的企业内部部署任务,客户端可能要过几分钟甚至几个小时才能接收到这个任务,然后才执行它,最后再向服务器发送结果。这对一般的任务是适当的,但是对于那些重要的、时间敏感的的任务就会成为一个大问题(例如:杀毒操作)。这对数据中心里的那些只有有限时间预留给管理任务的服务器来说,延时就会表现的非常明显。因此, 如果可以把IT管理任务更快的递送给客户端会非常有帮助。在ConfigMgr 2012 SP1中,我们在客户端和服务器之间引入“客户端通知”渠道。 “客户端通知”是什么? “客户端通知”是应广大客户需求,在ConfigMgr 2012 SP1中引入的一个全新的、令人兴奋的基础设施组件,它提供了一种能够让ConfigMgr客户端实时执行管理任务的机制。这种通讯渠道是从服务器主动发送到客户端,它不依赖于客户端的主动索取。通过“客户端通知”组件,客户端和ConfigMgr的管理点可以建立起持久的连接;这样服务器就能够通过这个连接渠道通知客户端去实时获取并执行紧急的任务。在ConfigMgr 2012 SP1中,所有System Center Endpoint Protection的操作和“下载计算机策略”的客户端操作都是通过这个渠道进行的。 如何使用“客户端通知” 1. 设置客户端通知端口 默认情况下,客户端通知采用TCP 协议端口10123进行通讯。在ConfigMgr的主管理界面上,点击“管理”,展开“站点配置”,点击“站点”,选择一个“站点”,打开“属性”对话框,在这个属性对话框的“端口”页上,用户可以设置TCP协议端口。用户可能还需要设置管理点、客户端、和任何中间计算机的防火墙,允许通讯通过这个新的端口。反之,客户端通知也能够采用HTTP和HTTPS模式。 2. 通知Endpoint Protection Agent尽可能快地执行相应的操作 在Endpoint Protection的操作中,完全扫描和快速扫描是一次性的操作,它完全只依赖客户端通知渠道传送;其他的操作既可以通过客户端通知渠道,也可以通过一般的传统的策略渠道传送。从客户端通知这个视角,任务的有效期是1小时。举例说明:如果客户端在任务激发时处于离线状态,这个最初的任务是会失败的;如果该客户端在任务发送后1小时内连接上来,那么通知管理器会再次发送这个任务到客户端;如果客户端在1小时后连接上来,任务会被视做过期,不会再被发送。 3. 通知客户端立刻下载计算机策略 下载计算机策略是ConfigMgr 2012 SP1中新加的一种客户端操作。它能够不受客户端策略轮询时间间隔的限制,尽可能快地让客户端或者集合去下载计算机策略。在ConfigMgr主管理界面中,点击“资产和符合性”,再点击“设备集合组”,选择设备集合中需要的计算机去下载,右键点击计算机,然后点击“客户端通知”下的“下载计算机策略”。当在集合上执行这个操作时,所有属于这个集合的在线的客户端都会被通知到。当然也可以同时选择多台计算机来完成下载,从而不需要对这整个集合进行下载操作。 客户端将迅速地向管理点请求计算机策略,如下图所示: 4. 监视客户端的操作状态 在ConfigMgr主操作界面中,点击“监视”,再点击“客户端操作”来监视客户端的操作状态。如果任务成功被执行,结果会计算到“成功“列。 “客户端通知”是如何工作? “客户端通知”是一个端到端的基础组件,由在站点服务器上的“通知管理器”, 管理点上的“通知服务器”,以及在客户端上“通知代理”三部分构成。 1) 通知管理器 通知管理器是站点服务器的一个组件,它的主要功能是对客户端通知的有效操作产生主动发送消息,并更新客户端的在线状态和更新站点数据库中客户端通知发送结果。 2) 通知服务器 通知服务器是在管理点上的服务器组件,它被自动部署和安装到管理点上(包括辅助站点)。通知服务器主要有以下功能: l 支持TCP和HTTP中任何一种通讯协议来做客户通讯; l 对站点数据库上的通知服务代理队列进行监听,监测“主动发送消息”产生的时间; l 通过这个通讯渠道发送消息给在线的客户端,并周期性的把推送结果生成文件,最终存到站点数据库里。可以在ConfigMgr主管理界面中“客户端操作”中,查看这些结果。 l 维护在线客户端列表信息,周期性的将这些在线信息生成文件并发送给站点服务器。 3) 通知代理 通知代理是一个客户端组件,它被装载在CCMEXEC.exe中。在客户端初始化阶段,它与通知服务器建立持久连接。对于通过辅助站点进行通讯的客户端,它会在辅助站点管理点上和通知代理之间建立起连接。它会先尝试用TCP模式,如果连接建立失败,再用备选的HTTP模式(如:防火墙或者互联网代理服务器不允许TCP通讯)。如果连接中断,通知代理会尝试再连接。 “客户端通知”支持TCP和HTTP两种通讯协议。多数情况下“客户端通知”采用TCP协议模式,这需要在防火墙上设置允许通讯的端口;HTTP协议模式是备选方案,采用该协议模式,不需要额外的设置。这两种协议模式的工作流程类似,下面以TCP协议模式为例阐述其工作流程:…

0