System Center Configuration manager 2007 R2 (díl 1)

V mé sérii článků bych Vám chtěl poskytnou informace týkající se produktu Microsoft System Center Configuration Manager 2007 R2. Vezmeme to od instalace a konfigurace ConfigMgr, přes deployment (a to i virtuálních balíčků) ke custom reportingu.

V tomto prvním článečku se zaměříme na role systému ConfigMgr, jejichž znalost je zásadní pro následnou implementaci.

SMS Provider
Plní roli zprostředkovatele (jak již název napovídá) mezi konzolou a systémem ConfigMgr. Skládá se z WMI (Wíndows Management Instrumentation) vrstev a je prostředníkem komunikace s databází. Samozřejme tím poskytuje jakousi úroveň zabezpečení přístupu a autentifikace a autorizace operací.

Component Server
Jednoduše řečeno – každý server, který plní některou roli ConfigMgr je zároveň i Component Serverem. Je to server, který provozuje službu SMS Executive. Výjimkou je ale, pozor, role Distribution Point, která není Component Serverem.

Distribution Point
Jedná se o roli, která vlastně existovala už v prapůvodním SMSku. Je zásadni pro distribuci balíčků na klienty. Historicky nebyl ale ničím víc, než jen promyšleným file serverem.Dnes ovšem s IIS je zdrojem instalačních balíčků pro klienty, kteří si je stahují pomocí technologie BITS.
Celkově jsou tři typy distribučních bodů

  • Distribution Point (DP) (výchozí instalace)
  • Protected Distribution Point (PDP)(chráněný – poskytuje balíčky pouze klientům, kteří spadají do nastavené Boundary na site serveru)
  • Branch Distribution Point (pobočkový - je to vlastně odlehčený [např. nezprostředkovává balíčky internet-based klientům] DP, ktery můžete nainstalovat na klientskou stanici na dané pobocce a tím nepotřebujete windows server system)

Fallback Status Point (FSP)
Tato role je nově v ConfigMgr a je prostředníkem mezi správou stavu klientu a systémem ConfigMgr. Pokud pouzivate native mode (klient tedy musí mít certifikát), tak se může stát, že klientský certifikát vyprší nebo se poškodí. Tím klient zjednodušeně řečeno přestává komunikovat se systémem ConfigMgr. A v tuto chvíli přichází na scénu FSP. Přijímá stavové zprávy od takto „nefunkčních klientů“ a vy pak vidíte, kde je problém atd. Samozřejmě, že na FSP jdou i stavové zprávy o úspěšné instalaci klienta, reinstalaci atd.

Management Point (MP)
Je prostřednikem mezi klientem a systémem ConfigMgr z pohledu celkove správy. Klient komunikuje vždy s MP, tudíž v každé hierarchii musí existovat min. jeden MP. Přes MP jde nastavení klienta, posílání Advertisements (nabídek balíčků), informace, na který DP se má klient obrátit; klient posílá na MP výsledky HW a SW inventur, atd.
Pokud nainstalujete MP na secondary site, MP získává status Proxy MP. Proč vůbec instalovat MP na secondary site? Z důvodu snížení provozu na síti. Proxy MP je totiž orientován na snížení zátěže linky směrem k a od rodičovské site. Pokud ale máte na secondary site pouze několik klientu, tak rozdíl pravděpodobně nezaznamenáte (myšleno rozdíl mezi komunikací klienta s proxy MP nebo rovnou s MP).

V některém z následujících článků se pokusím ještě popsat, jak probiha komunikace klienta s MP (příp. s PMP) a jak klient zjistí, na který MP se má podívat.

PXE Service Point
Tato role se týká pouze distribuce operačních systémů (obrazů) na klientské stanice a jejím jediným úkolem je zpracovávat požadavky na PXE boot (Preboot Execution Environment boot)

Reporting Point
Myslím, že o této roli ani není co psát. Setkáte se s ní snad u všech manage softwarů Microsoftu. Ke své funkci potřebuje IIS a ASP.NET a jednoduše vám zprostředkovává reporty ConfigMgr systému.

Server Locator Point (SLP)
Jak opět sám název vypovídá, klient díky SLP získává informace o tom, ke které spadá ConfigMgr site, kde jsou instalační soubory pro ConfigMgr klienta a kde je jeho Management Point.
SLP klient použije ale až jako poslední možnost. Nejdříve se totiž tyto informace pokusí získat z Active Directory (s rozšířeným schématem pro ConfigMgr).
Ovšem samotný SLP klient najde v Active Directory. Tudíž bez AD se opravdu neobejdete.

Software Update Point (SUP)
Je rolí, která poskytuje klientovi Windows záplaty pomocí služby Windows Server Update Services (WSUS), ke které si ConfigMgr nainstaluje pomocnou komponentu pro řízení distribuce záplat. Samotné stahování a instalace záplat probíhá na klientovi pomocí standardního Windows Update Agenta.
Často se mne klienti ptají, zda používat pouze WSUS nebo po implementaci přejít na SUP v ConfigMgr. Osobne si myslím, že pokud máte funkční WSUS, používejte ho dál. Ale samozřejmě SUP vám přinese možnost lepšího řízení patchování a navíc distribuci vlastních záplat a aktualizací (vytvořených např. pomocí System Center Update Publisher).

State Migration Point (SMP)
Pokud víte, co je User State migrace (např. pomocí USMT), tak prakticky již není, co vysvětlovat. SMP je v podstatě takový obrácený Distribution Point. Během distribuce operačního systému se na SMP ukládají user state data (pokud v sekvenci použijete krok migrace dat).

System Health Validator Point (SHVP)
Tuto roli můžete použít pouze v případě, že používáte NPS (Network Policy Service), resp. NAP (Network Access Protection) technologii. SHVP je tedy možné nainstalovat pouze na Windows Server 2008 s NPS. Následně SHVP kontroluje zdraví NAP-podporujících klientů a reportuje výsledky. Protože tyto výstupy jsou dále zasílány do Active Directory Domain Services a replikovány do Systems Management kontejneru, musíte mít pro tuto roli rozšířené Active Directory schéma pro ConfigMgr.
Na základě této role, se pak dá použít automatická karanténa klientů do oddělené site, pokud nesplňují určité požadavky apod.

V dalším článku bych se zaměřil na instalaci samotného ConfigMgr na nějakém umělém scénáři.

- Jan Marek (MCP, MCTS)