ConfigMgr 2007 SP2中Windows 7操作系统部署如何进行用户状态迁移

ConfigMgr 2007 SP2中Windows 7操作系统部署如何进行用户状态迁移 我们刚刚在Windows 7正式发布的同一天发布了System Center Configuration Manager 2007的最新版本,ConfigMgr 2007 SP2。其中Windows 7的操作系统部署是SP中一个重要的特性。伴随着Windows 7的正式发布,很多企业都计划在其内部进行Windows 7的安装和部署。但是企业部署Windows 7所遇到的一大挑战就是如何迁移用户数据,如何能够在不影响员工正常工作的前提下对员工所使用的PC客户端进行操作系统的升级部署是很多企业所面临的课题。而ConfigMgr 2007 SP2不仅提供了一套自动化,灵活的企业部署Windows 7的解决方案,而且还提供了一套完整的操作系统部署中用户状态迁移的管理方案。下面我们就来详细介绍如何利用ConfigMgr 2007 SP2进行操作系统部署中的用户状态迁移。 什么是用户状态(User State) 1.用户目录下的文件,例如My Documents,IE的收藏夹等 2.操作系统设置,例如桌面背景等 3.某些应用程序的设置,例如Microsoft Office的一些设置等 以上所有可被迁移的用户数据我们都将其称为用户状态(User State)。上述三种是默认情况下会被迁移的用户状态,当然也可以通过设置USMT的Config XML文件来进行一些更为复杂的用户状态迁移。 用户状态迁移的分类 1.跨计算机的用户状态迁移 当企业的PC进行更新换代的时候,比如说购置了新的机器,在新的机器上安装完Windows 7操作系统之后,往往需要将现有员工在旧有操作系统上的用户状态迁移到新的机器上。 2.本机的用户状态迁移 当企业管理员对员工现有的计算机进行操作系统重部署时,例如从Windows XP或者Windows Vista升级部署成Windows 7,该计算机上的用户状态也需要随之迁移。 下面就来介绍两种不同的用户状态迁移如何在ConfigMgr 2007 SP2中实现。 如何进行跨计算机的状态迁移 1.首先需要在ConfigMgr2007 SP2站点里面建立一个状态迁移点,State Migration Point,简称SMP。点击站点数据库->站点管理->[Site Code]->站点设置->站点系统->[站点]->新建角色,创建一个状态迁移。 2.在状态迁移点里面可以做以下设置SMP可保存的用户状态的最大数目,SMP正常工作所需要的最低磁盘空间以及SMP的删除策略,即当用户状态被恢复后在SMP上保存的时间。 3.创建计算机关联,在旧有计算机和目标计算机之间创建一个计算机关联。点击站点数据库->计算机管理->操作系统部署->计算机关联,新建一个计算机关联。默认设置下,所有源计算机用户帐户的用户状态都会被迁移,管理员也可以在计算机关联的用户账户选项页中设置需要进行用户状态迁移的用户帐户。 4.创建USMT 4.0的软件分发包 ,在ConfigMgr 2007…

3

Configuration Manager SP1 OOB管理的疑难解答更新

我们最近为SCCM 2007SP2更新了文档库,其中包括对疑难解答文档的修订。这些修订有些也适用于SCCM 2007 SP1,但我们无法在SP1的每月更新中发布它们,因为它们包含SP2的内容.我在这里公布一些有关OOB管理的内容,它们可能对一些已有的SP1用户有用,这样他们不用等到SP2发布才能看到这些信息. SCCM OOB无法在Disjoint Namespace环境下成功provision Disjoint Namcespace是指机器所在的域的后缀同机器的DNS后缀不一致。如一台机器的DNS是computer1.corp.fabrikam.com 而它在Active Directory域的FQDN是na.corp.fabrikam.com。SCCM OOB并不支持Disjoint Namespace环境。 解决方案 对于Disjoint Namespace环境没有一定的解决方案。 机器无法在OOB的模式下provision,因为机器在provision之前已经在SCCM中有客户端记录 如果机器在provision之前已经被SCCM发现并生成客户端记录,那么之后在OOB的模式下provision会失败。因为在这种情况下,使用导入向导导入计算机记录时,会导致Site code信息的丢失。 解决方案 这一问题已经在SCCM 2007 SP2中解决。如果您的环境不能升级到SCCM 2007 SP2,那么您需要在导入计算机记录之前先手动删除服务器中的机器记录。另外一种方法是使用in-band的provision模式。 解决方案 一种方法是在安装操作系统时,使用导入计算机时相同的机器名称。这样操作系统会将该机器名称通过DHCP自动注册到DNS中。当机器没有安装任何操作系统时,管理员需要手动创建DNS记录。注册的FQDN必须和导入到SCCM中的机器记录相符。您可以从机器的ME BIOS中获取机器当前使用的IP。如果您知道机器的MAC地址,您也可以从DHCP中获取机器的IP。 对于新的尚未provision的AMT机器,执行以下步骤: 1. 在DHCP中为该机器保留一个DHCP记录并提供相应的MAC地址。 2. 手动在DNS中注册DNS记录。所注册的FQDN必须和导入到SCCM中的机器记录相符。所注册的IP必须和机器在DHCP中的记录相符。 低权限用户使用OOB console的IDER功能失败。 当用户计算机上使用了UAC时(Windows Vista和Windows Server 2008引入了UAC),OOB console的IDER功能需要用户使用管理员权限启动OOB console。要确定这个问题,用户可以在Oobconsole.log文件中查找以IMR_IDEROpenTCPSession<number> with user =开始的记录项,此日志文件位于文件夹<ConfigMgrInstallationPath> \ AdminUI \ 中。记录项内容为: fail with result:0x2, description:Invalid Parameter 解决方案 把启动OOB…

0

System Center Configuration manager 2007 SP2 发布!

2009年10月22日,在Windows 7公开发布的同一天, System Center Configuration Manager 2007 SP2也正式发布。这是微软在巩固Configuration management市场领导地位的过程中又一个重要里程碑。作为部署Windows 7的重要方式,Configuration Manager 2007 SP2与微软最重要的操作系统一起发布,意味着我们已经为企业大规模升级部署Windows 7铺平了道路,企业客户可以立即得到一套完整的Windows 7 部署解决方案。   令我们非常自豪的是,这次的SP2研发工作完全由中国研发团队负责,我们在规定的期限之前提前完成了所有的任务。我们的软件开发工程师,测试开发工程师及项目经理精诚合作,高效且高质量地完成了包括iAMT, Windows 7 部署等核心功能的开发,测试,发布工作。成功发布此产品,意味着我们中国研发团队的成熟度又上了一个台阶,也是迎接新的挑战的一个起点。   SP2中主要的新功能包括: ·        对Windows 7 和 Windows Server 2008 完全支持,客户可以部署、管理他们的windows 7客户端以及服务器系统。 ·         第二代的Intel AMT 集成,包括对AMT固件升级的支持,以及对无线配置管理、802.1x等重要新功能的支持。 ·         对BranchCache的支持,客户在分公司的时候,可以利用Windows Server 2008 R2中的新技术以大大减少网络流量。 ·         更加完善的64位支持,包括远程控制,App-v以及2007 OpsMgr agent。 详细信息请参考:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3318741a-c038-4ab1-852a-e9c13f8a8140#tm ——吴芳辉

0

ConfigMgr SP1 Out-of-Band的最佳安全实践

最近,我们更新了ConfigMgr  2007 SP2文档中的Out-of-Band部分,着重对最佳安全实践部分进行了修订。这其中的一些修订对SP1也适用,但必须等到SP2发行用户才能看到。为了让用户及时获取信息,这里列举了那些SP1用户同样适用的部分。 在修订最佳安全实践的同时,也更新了推荐使用的带内设置集查询。过去的查询包括了未进行设置的AMT计算机以及由于AMT远程管理账户或MEBx账户改变而不能被带外服务点 (OOBSP) 设置的AMT计算机。后面一种情况通常也表示我们需要对AMT设置和发现账户进行配置。 更新后的查询排除了不受信任的ConfigMgr客户机,这当中包括被阻塞和未被认可的计算机。这正是最佳的安全实践:只对信任的机器进行设置。在sp2中,这一安全实践被强制实施,但sp1中并无此要求,因此修订后的查询自动排除了这些机器。在带内设置时,修订后的查询如下: Select SMS_R_System.* from SMS_R_System inner join SMS_CM_RES_COLL_SMS00001 on SMS_CM_RES_COLL_SMS00001.ResourceId = SMS_R_System.ResourceId where (AMTStatus = 1 or AMTStatus = 2) and SMS_CM_RES_COLL_SMS00001.IsApproved = 1 and SMS_CM_RES_COLL_SMS00001.IsBlocked = 0 ConfigMgr 2007 sp1 Out-of-Band的最佳安全实践   购置AMT计算机之前,请对固件进行自定义。如果一台支持Out-of-Band管理的计算机在网络上,就能够通过BIOS扩展来自定义其固件参数,以大大提高安全性。您可以向您的计算机制造商询问能对哪些BIOS扩展进行设置,然后确定参数。详细步骤请参考决定是否需要从计算机制造商获取自定义固件映像。如果您的AMT计算机没有您需要使用的固件参数,可能可以手动指定。关于如何手动配置BIOS扩展,请参考因特尔的说明书、您的计算机制造商的说明书或者Intel vPro(博锐)专家中心:微软vPro管理技术网站(http://go.microsoft.com/fwlink/?LinkId=132001)。您可以通过自定义以下选项来提高安全性: ·         将所有外部CA的指纹更换成内部CA的指纹。这将可以防止恶意服务器对您的AMT计算机进行设置,而且您也不用再向外部的CA购买证书。关于如何定位内部根CA的证书指纹,请参考如何查找用于 AMT 设置的内部根证书的证书指纹。 ·         不要使用默认的MEBx密码。您可以设置自己的密码,并在ConfigMgr中为其指定设置、发现账户。这将可以防止恶意服务器利用默认密码对您的AMT计算机进行设置。详细信息可参考关于 MEBx 帐户 和如何添加 AMT 设置和发现帐户。 ·         更改默认的设置服务器的参数。恶意计算机可以将自己的名称设置为默认的服务器名,以此冒充设置服务器。对于攻击者来说,计算机名往往容易获知,因此使用IP地址来指定设置服务器要比使用其计算机名来的安全的多。然而在用不同的站点对多个AMT计算机进行设置的时候,无法使用一个IP地址来标识服务器,这时,如果您使用名字解决方案,就必须对DNS进行配置。另外,请注意保护好您的DNS记录,如果记录被篡改,带外服务点将无法正常工作。 ·        …

0

SCCM 2007 SP2带外 (Out-of-Band) 管理

这是AMT系列中的第二篇文章,本文主要介绍了SCCM SP2中的新功能:Audit Log,以及如何使用这项功能。 1. 什么叫Audit Log?它有什么作用? SCCM SP2引入一个新功能——–Audit Log,这项功能建立在Intel®主动管理技术(Intel® AMT) 的4.x、5.x版本上。其目的有二:它能记录重要事件的发生,也能通过跟踪破坏性行为来制止管理员的不当操作。审计人员通过审查日志,可以发现入侵行为和破坏性的操作,也能够追踪到各种问题的根本原因。 SCCM 带外管理在SP2引入了这个功能,用户可以随时方便地为计算机启用或是禁止审计功能,指定需要审计的事件。在以往,如果发生了入侵或者管理员的误操作,我们所看到的只是它导致的后果,却很难找出其根源,这也影响了我们排除问题的速度。而启用Audit Log功能后,所有指定的事件都会被记录。根据这些记录,我们能够方便的找出问题原因,以尽快排查问题。 例如,Audit log 提供了对远程控制事件的记录,任何人远程启动或关闭了该计算机,均会在Audit log中留下一条记录,标明谁,何时,做了怎样的操作。 这样如果出现未授权的远程控制情况,Admin将能容易地定位到责任人。 又如,IDE重定向是一个实用却危险的功能,如果获得IDE重定向的权力,只需要加载一个备用的操作系统,就可以对计算机硬盘上的数据进行远程攻击。但Audit Log能够记录到IDE重定向会话的开、闭。一旦发现攻击,能够根据记录及时找到问题所在。 2. 怎样启用Audit Log? 1) 选择你想要审计的事件 2) 选中将启用Audit Log的计算机,右键点击,选择启用Audit Log。如果管理员修改了选中的审计事件,也可以使用此菜单项来修改后信息更新到选中的计算机。 3. 如何查看/导出SCCM中的Audit Log 打开OOB控制台,查看Audit Log。 选中一条记录后可以看到它的详细信息(事件,发起人,扩展数据)。 也可以查看Audit Log启用/禁止状态和所占用的空间。 点击“导出”,可以将Audit Log保存成csv格式的文件,该格式文件可以用Excel打开。 4. 如何禁止Audit Log 选中目标计算机,右键点击,选择禁止Audit Log即可。可以通过启用Audit Log选项再次启用Audit Log。 5. 如何清除Audit Log 选中目标计算机 (或选中的Collection),右键点击,选择清除日志。 对于4.0、5.0的AMT计算机,如果SCCM Audit Log已满85%,将不会再记录新的日志(AMT…

1

巧用任务序列,让操作系统部署更轻松

操作系统部署(Operating System Deployment)最早是System Center Configuration Manager 在2003版本时的一个插件,因为它强大的功能而被整合进2007作为产品的一部分。操作系统部署可以将操作系统映像部署到Configuration Manager 2007管理的计算机上或者制作可启动光盘,移动硬盘等。操作系统映像以Windows Image Format(WIM)文件格式存储,包含了某个指定版本的Windows操作系统,及其所需的应用如系统补丁,安全更新等。   任务序列(Task Sequence)是操作系统部署中的脚本工具,可以用来定制部署过程。其强大的功能几乎可以支持对任何对操作系统映像的定制需求。如支持一个内建的操作或用户自定义命令,支持自定义变量,触发条件等等。其灵活性让系统管理员有很大的发挥空间以设计巧妙的用法,本文将介绍两种用法示例,可作为用户最佳实践的参考。   1.“周二补丁日”,用任务序列更新操作系统映像   操作系统映像是操作系统部署中的重要资源,如何保持操作系统映像经常更新,及时安装最新的补丁,就是这个“周二补丁日”小技巧的要解决的问题了。管理员可以用构建和捕获操作系统映像任务序列来完成给操作系统映像升级的过程。   准备工作:将需要安装的安全补丁做成软件包。   ·         首先打开新建任务序列向导,选择“构建和捕获操作系统映像任务序列”,如下图所示:     ·         在操任务序列信息页面里,输入任务序列的名字、备注, 并选择启动映像;   ·         在安装Windows操作系统页面,选择要更新的操作系统映像文件,并输入产品密钥、管理员密码。   ·         在配置网络页面上,选择加入域或工作组。   ·         在安装ConfigMgr页面上,选择将用于安装 Configuration Manager 2007 客户端的 Configuration Manager 2007 包。   ·         在“包括映像更新”页面上,选择合适的选项指定安装分配的软件更新。   ·         做完以上步骤,在“安装软件包”页面上,我们就可以选择事先定义的包含补丁的软件包,以将这个软件包添加到操作系统映像中。如下图所示。     ·         在“系统准备”页面上,指定包含…

1

客户端的安装调试简析

ConfigMgr  日常工作中经常碰到的一个问题就是客户端安装完成以后无法正常工作,这里我特指一些site configuration无法通过policy的形式到达客户端.  这往往涉及到很多不同的因素. 在这篇博文里面我将会介绍几类常见的导致这种情况的原因。并且共享给大家一些简单的调试方法。   首先我们来看一下当客户端的安装完成但还没有正常工作的时候,我们会在客户机上看到什么      再让我们看看一个能够正常工作的客户端在客户机上看起来又是怎么样的       我们注意到Actions 这一页里面,一个正常工作的客户端比刚装好的客户端多了许多不同的Action 项目。而在Advanced 这一页里面,Site Code这一项也由空白变为了一个三位数的字母。这些区别意味着一个正常工作的客户端需要从MP(Management Point)获取一些配置信息,也就是我们常说的policy。   为了拿到配置信息,客户端需要完成下面几个主要步骤。  1.  1. 成功获取Site Code 并寻找到正确 MP 2.联系MP并完成客户端机器注册  下面我针对这几个主要步骤做一些常见问题的分析和调试  1.      获取Site Code并寻找到正确MP的常见问题 a.      DNS  配置错误,导致客户端无法正确解析域服务器(Domain AD).  在这种情况下,客户机ping 不到AD server,需要正确设置DNS服务器地址来解决此问题或者求助网络管理员。 b.      MP 安装不正确. 这种情况下,往往需要域管理员 (Domain Administrator)检查AD才能确定。如下图     如果MP安装成功,我们能够在Active Directory Users and Computers 的Domain \System\System Management路径下看到SMS-MP-<SiteCode>-<MP machine>这样的一条记录,如果你没找到这个记录,那就意味着MP安装过程出现了问题。这时候你需要查看ConfigMgr服务器上的MP安装记录。 c.      Site Boundary 没有正确定义,对于自动检测Site Code的客户端来说,Boundary定义是很重要的,因为客户端会通过AD里面的Boundary定义来最终确定需要和哪个Site的MP通讯。上图显示的Domain\System\System…


Asset Intelligence 简介

前言 资产管理是企业IT管理中的必不可少的一环也是繁琐的一环。本文旨在通过介绍Asset Intelligence, 让读者基本了解微软的企业资产管理方案。本文着眼于Asset Intelligence功能和使用的简要介绍,让读者对Asset Intelligence有个整体的了解;后续还会有一系列Asset Intelligence的专题文章对此功能进行更深入介绍。 本文适用于System Center Configuration Manager 2007 SP1. Asset Intelligence是什么? Asset Intelligence是一个从Systems Management Server (SMS) 2003 SP3开始新增加的一个功能,主要是增强SMS的资产管理功能。而后微软在System Center Configuration Manager 2007及Service Pack 1中对这个功能进行了改进后,目前可以提供: – 实现整个Configuration Manager架构中使用软件的资产信息(Inventory)收集及管理 – 协助管理软件许可证(software license) 具体地说,Asset Intelligence的功能可以划分为如下几部分: – 通过扩展硬件资产信息和增加许可证管理的功能,极大地增强了资产管理功能。提高了多个WMI的类(class)对于使用中的硬件软件关键信息的收集, 如USB设备信息。具体的增加类的列表稍后会提及。 – 内置了70余个易于使用的报表。许多报表可以链接到更具体的报表,这样用户可以由浅入深地获得相关的信息,如Client Access License使用情况报表,安装有Browser Helper Object的机器报表。 – Configuration Manager 2007 SP1中,新引入了Asset Intelligence目录信息(catalog)的自定义功能。另外,Microsoft Software Assurance (SA)的客户以通过Asset Intelligence连接到System…


Microsoft Management Summit 2009

上周在拉斯维加斯,一年一度的微软管理峰会(Microsoft Management Summit, MMS) 如期举行。MMS为全世界IT Pro提供了微软IT管理领域的最新进展和深度的技术体验。此次峰会一如既往地吸引了全世界的IT管理领域的专家,共同探讨这一领域的各种主题。本次的MMS中,共有900多场精彩的演讲及用户体验活动,集中展示了微软在此领域的各个产品及解决方案。在MMS的官方站点:https://www.mms-2009.com/default.aspx,大家 可以看到所有主题的列表。   MMS中有多场关于System Center Configuration Manager 产品主题的演示,为用户介绍了即将发布的Configuration Manager Service Pack 2,以及下一代Configuration Manager的各种激动人心的新功能。演讲过程中,我们欣喜地看到,赞叹、掌声 及热烈的会后讨论,告诉了用户对我们设计的新功能的高度认可。   其中,特别值得一提的是管理和服务部总经理Brad Anderson在4月29日所作的演讲。在这个重要的演讲中,他邀请了Jeff Wettlaufer演示了如何使用Configuration Manager 2007 Service Pack 2 配合Intel的vPro技术,高效地部署Windows 7到企业中所有客户端。在这个Demo中,Jeff通过无线网络,现场远程启动了20台配备Intel vPro技术的笔记本,并通过OSD功能,在这些笔记本安装了Windows 7。附:Brad 和Jeff的演示视频   令我们自豪的是,在这次峰会上展示的很多大受欢迎的Configuration Manager 的功能背后,都有我们中国研发团队的辛勤努力:我们承担了Service Pack 2的主要开发工作;使Service Pack 2支持对Windows 7的部署和管理; 下一代Configuration Manager的核心功能”User Centric Manager”凝结着我们团队的汗水; 而Brad演示的使用Intel vPro技术进行Out of Band Management,更是完全由我们中国研发团队所开发的。   由于名额有限,不是所有人都能有机会亲临现场观看这些精彩的演讲,为了弥补不能到场观看的遗憾,微软特地推出了”MMS 2009 Online”活动,您可以通过这个活动下载所有的PPT文件,获取包含演说及Hands-on…


调试客户端部署问题 — 将ccmsetup作为系统服务运行

我在过去一些年中常见的一个客户端部署的问题是将ccmsetup程序用作一个系统服务。绝大多数情况下,我们可以将ccmsetup程序作为系统服务正常使用。然而,也有一些情况中这么做会带来预料不到的结果,随后导致客户端部署的失败。这篇文章介绍了一些这样做带来的后果,同时介绍了这么做如何导致了客户端部署失败。   当ccmsetup运行时,它能运行于两种模式:系统服务模式或者可执行文件模式。在许多情况下,例如客户端推送(client push)安装过程中,ccmsetup默认运行于系统服务模式。当ccmsetup作为系统服务运行时,安装被分为几个不同的阶段。在第一个阶段,ccmsetup将自身拷贝到64位系统的%windir%\ccmsetup目录和32位系统的 %windir%\system32\ccmsetup目录,并且将自己注册为windows的 系统服务。这样做的目的是在客户端部署过程中利用windows系统服务的内置重试机制。如果客户端的安装因为客户机器的重启而失败,ccmsetup会在重启完成后重试。在ccmsetup.log文件中,这个阶段的记录如下:   ==========[ ccmsetup started in process 2348 ]==========      ccmsetup       3/4/2009 11:16:10 AM Version: 4.0.6221.1000   ccmsetup       3/4/2009 11:16:10 AM   …   Downloading c:\myinstalldir\ccmsetup.exe to C:\Windows\ccmsetup\ccmsetup.exe File download 43% complete (262144 of 602112 bytes).   ccmsetup       3/4/2009 11:16:11 AM File download 87% complete (524288 of 602112 bytes).   ccmsetup       3/4/2009 11:16:11 AM…

0