• Немного о планшетах

    imageНе думал я что на ITband.ru сможет появится когда-либо обзор устройства для пользователей. Тем более, не мог представить, что обзор буду писать я.

    Сразу же предупрежу, все что вы прочтете в данной статье, в комментариях к ней, является моим личным мнением и домыслом. Вероятнее всего, некоторые мысли, высказанные мной могут противоречить глобальным концепциям и видению маркетинга производителей. Скорее всего, я в некоторых своих выводах заблуждался, потому что с частью оборудования я работал всего несколько часов, а с некоторыми несколько недель.

  • Главная System Center, Без рубрики, Новое ConfigMgr 2012, ConfigMgt, SCCM, SCSM 2012
    • Обновляем ConfigMgr 2012 до ConfigMgr 2012 SP1

      updateПозади предновогодняя суматоха и сами новогодние праздники. Самое время начать заниматься созидательным трудом и установить Service Pack 1 для System Center 2012 Configuration Manager. Тем более что совсем скоро он будет публично анонсирован и станет доступен для загрузки на http://download.microsoft.com, однако уже сейчас он доступен для загрузки подписчикам TechNet и MSDN.

      SCCM 2012 SP1 это конечно не новая версия продукта, но и далеко не пакет «багфиксов».

      • Загружаем Windows 7 в Windows Azure

        2486455_origКак и у многих ИТ-про у меня есть подписка MSDN. Помимо явных “плюшек” в виде доступа ко всем дистрибутивам Microsoft, подписка, с недавних пор, дает еще один плюс, а в частности возможность использовать Windows Azure бесплатно, в течение всего срока подписки. Лично у меня уровень подписки MSDN – Visual Studio Ultimate, что дает мне 1500 бесплатных часов для Small Computer Instance (1.6 GHz, 1.75 GB RAM) в месяц.

         

         

        msdn-azure

        Долгое время я не обращал внимания на возможности которые мне дает Windows Azure. Свои виртуальные машины я привык держать либо на своем основном ноутбуке, либо на серверах. А бесплатно предоставляемые возможности Windows Azure мне казались не интересными, ввиду низких характеристик. Так было до тех пор, пока я не начал задумываться о покупке планшета на Windows. Планшет, по моим ожиданиям, должен будет заменить на 90% мой ноутбук. К сожалению, планшеты на полноценной Windows 8 не слишком отличаются по весу и времени жизни от ультрабуков, а планшеты на Windows RT не имеют двух важных для меня программ: Visio и Project. Вот тут то и я вспомнил о бесплатной машине в облаке Windows Azure, которая всегда будет мне доступна через RDP.

        Процесс активации подписки MSDN для доступа к Windows Azure прост до безобразия. Привязав свой Microsoft Account к Windows Azure вам становится доступен портал управления.

        manage azure

        Создание машины происходит так же легко: New – Virtual Machine – From Galery. Изначально доступны несколько шаблонов:

        · Windows Server 2008 R2 SP1

        · Windows Server 2012 RTM

        · Microsoft BizTalk Server 2012 R2 CTP

        · Microsoft BizTalk Server 2013 Beta

        · Microsoft SQL Server 2012 Evaluation

        · OpenLogic Cent OS 6.2

        · SUSE Linux Enterprise Server

        · Ubuntu Server 12.04 LTS

        · Ubuntu Server 12.04.1

        · openSUSE 12.1

        Коллекция шаблонов постоянно пополняется, насколько я знаю скоро добавится шаблон для Alt Linux. Меня немного расстроило отсутствие в наборе шаблонов клиентских ОС. Все таки использовать серверную ОС только для Visio и Project мне казалось не очень правильным, пусть они и достаются мне бесплатно, в рамках подписки.

        Стоит отметить, что официально Windows 7 и Windows 8 не поддерживаются в Windows Azure, но поскольку, в них изначально встроены все необходимые компоненты для работы с Hyper-V, то проблем при их использовании быть не должно.

        Зная о том, что Azure поддерживается загрузку VHD я стал искать способ загрузить Windows 7 в облако и очень быстро обнаружил инструкцию http://www.windowsazure.com/en-us/manage/windows/common-tasks/upload-a-vhd/. Инструкция, в принципе, довольно подробная и я не буду ее тут копировать целиком, отмечу только основные моменты и подводные камни, которые я смог обнаружить.

        И так, для загрузки и запуска Windows 7 в Windows Azure нужно выполнить следующие шаги:

        1. Подготовить образ VHD. Планируется что вы будете готовить образ серверной ОС с необходимыми вам приложениями и настройками и затем загружать его в облако. Пока диски формата VHDX не поддерживаются, и вам необходимо создавать образ в формате VHD.

        2. Установить Windows Azure SDK, чтобы получить утилиту управления образами в Windows Azure

        3. Загрузить VHD в хранилище Windows Azure

        4. Создать виртуальную машину на основе VHD

        Думаю что с подготовкой образа проблем не должно возникнуть. Единственная сложность с которой я столкнулся – при развертывании машины в Windows Azure отключается учетная запись Administrator. Поэтому заранее создайте вторую учетную запись с правами администратора системы. После настройки системы, делаем sysprep с указанием выключить машину, после завершения sysprep.

        clip_image004

        Теперь у нас есть виртуальная машина, а точнее ее образ в формате VHD. Для ее загрузки в Windows Azure нам понадобится две вещи: утилита csupload из набора Windows Azure SDK и сертификат, которым будет шифроваться образ при передачи с нашего компьютера в облако. При установке Windows Azure SDK можно выбрать установку только основных компонентов. А вот с сертификатом у меня возникли некоторые проблемы. Использовать свой корпоративный сертификат я не захотел, разворачивать ради этого свой PKI или покупать готовый – тоже. Оставался последний вариант – сгенерировать самоподписанный сертификат. Для этого мы можем воспользоваться утилитой makecert из набора Windows SDK. Или воспользоваться скриптом от Vadims Podans и его помощью Smile

        Правда скрипт призван создавать самоподписанные сертификаты для подписи кода, а нам нужен сертификат для SSL. Поэтому, по совету Вадимса, меняем в теле сертификата параметры:

        $PrivateKey.KeySpec = 0x2 на $PrivateKey.KeySpec = 0x1

        $OID.InitializeFromValue("1.3.6.1.5.5.7.3.3") на $OID.InitializeFromValue("1.3.6.1.5.5.7.3.1")

        Ну и естественно не забываем поменять поле Subject CN=, на то имя которое необходимо нам.

        В теле скрипта описана только функция, но не ее вызов. Поэтому добавляем в конце скрипта строку запуска: New-SigningCert

        ps1

        После этого в локальном хранилище сертификатов находим наш сертификат и делаем для него импорт в cer файл.

        cert4

        В оригинальной инструкции описан процесс экспорта сертификата через старый портал Windows Azure, но и через новый эту операцию вполне можно выполнить.

        На портале переходим к разделу Settings и вкладке Management Certificates. Все что нам нужно, выбрать команду Upload и указать путь к файлу.

        cert3

        Через несколько секунд сертификат будет загружен на портал и установлен в хранилище. Выписываем для сертификата Thumbprint и SubscriptionID. Они нам очень скоро понадобятся.

        Перед тем как загружать VHD образ в облако, необходимо создать контейнер внутри хранилища. Эта процедура подробно описана в оригинальной инструкции, на шаге Step 3: Create a storage account in Windows Azure, поэтому я не буду ее повторять.

        И так, у нас есть подготовленный образ, средство его доставки, сертификат которым мы будем шифровать передачу и даже контейнер в облачном хранилище, осталось загрузить образ VHD в облако.

        Для начала запускаем csupload для создания канала к облаку:

        csupload Set-Connection "SubscriptionID=<you ID>;CertificateThumbprint=<you Thumbprint>;ServiceManagementEndpoint=https://management.core.windows.net"

        ps01

        Загружаем образ в облако:

        csupload Add-PersistentVMImage -Destination "<you blob url>/<you container>/file.vhd" -Label Windows7SP1 -LiteralPath "C:\VM\Virtual Hard Disks\windows7sp1.vhd" -OS Windows

        ps02

        После этого остается только создать новую виртуальную машину используя наш образ VHD.

        vm1

        vm2

        vm3

        vm4

        После развертывания и завершения процесса первичной настройки машину будет доступна нам по RDP.

        • 6 ноября в 10:00 глава Microsoft Стив Баллмер в прямой трансляции со Студенческого Дня

          6 ноября все студенты страны смогут присоединиться к онлайн-трансляции грандиозного мероприятия для российской молодежи – студенческого дня Microsoft, на котором выступит глава корпорации Стив Баллмер. Это год уникальных возможностей для студентов!

          В программе:

          • Рассказ про новые, стартующие в этом году продукты Майкрософт – Windows 8 и Windows Phone и самые современные      устройства.
          • Мы также покажем вам несколько чудес, которые можно сделать с помощью контроллера Kinect и расскажем про новинки и      тренды на рынке игр.
          • Развивающие лекции для всех студентов: Как найти работу мечты? Как выбрать будущую профессию? Как создать свой форум, блог,      магазин? Как заработать, создавая приложения на платформе Microsoft?

          Student Day – это потрясающая смесь всего, что только нужно каждому студенту. Знания о том, как стать успешным? Будут! Развлечения и море позитива? Обязательно! Новейшие технологии – Windows 8, Windows Phone, Xbox? Непременно! Крутые призы за идею? Легко! Расскажи о своей идее здесь.

          Мечтаешь ли ты найти интересную работу или организовать свой стартап – на Student Day ты узнаешь, как сделать мечту реальностью! Лекции, круглые столы, спикеры и много-много вкусного на лучшем студенческом мероприятии года Student Day.

          Подключайся к бесплатной трансляции 6 ноября в 10:00

        • Главная System Center, Без рубрики, Новое ConfigMgr 2007, ConfigMgr 2012, SUP
          • Проблемы при синхронизации SUP ConfigMgr 2007 \ 2012 с серверами Windows Update

            6220_Давно я не брал шашку в руки не писал статьи. Надеюсь что я исправлю это досадное недоразумение. По крайней мере идей для статей у меня очень много и почти все они посвящены грядущему выходу Configuration Manager 2012, ну а сегодня я хотел бы рассказать об одной редкой проблеме с которой я столкнулся несколько раз при подготовке своих виртуальных лаб с SCCM. Собственно сама проблема плавающая и мне не до конца понятны причины ее появления, благо что встречается она очень редко.

            Поэтому все что я напишу ниже будет выглядеть полным шаманством, ну что ж иногда и такие методы работают.

            И так, мои условия возникновения проблемы звучат так (у вас они могут быть абсолютно другими!):

            • используется ConfigMgr 2007 или ConfigMgr 2012
            • сервер с SUP SCCM имеет два сетевых подключения: одно в во внутреннюю сеть стенда, второе в Интернет (вашу основную сеть)
            • вы используете FQDN server name в свойствах сайта SCCM
            • вы используете прокси-сервер для синхронизации SUP\WSUS

            и при этом у вас не работает синхронизация SUP SCCM с серверами Windows Update в Интернете. Синхронизация  отдельного WSUS на этом же сервере при этом проходит без проблем. Дополнительная сложность состоит в том, что я выступаю в роли обычного пользователя для моих корпоративных серверов, поэтому не могу ничего поправить ни на корпоративном прокси-сервере, ни на сервере DNS.

            В логах вы можете наблюдать следующую ошибку:

            Wsyncmgr.log:

            Sync failed: WSUS server not configured. Source: CWSyncMgr::DoSync SMS_WSUS_SYNC_MANAGER Status message 6703: SMS_WSUS_SYNC_MANAGER SMS WSUS Synchronization failed. Message: WSUS server not configured. Source: CWSyncMgr::DoSync. The operating system reported error 2147500037: Unspecified error

            WCM.log:

            System.Net.WebException: The request failed with HTTP status 502: Proxy Error ( The host was not found. ).~~ at Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer(Object[] args)~~ at Microsoft.UpdateServices.Administration.AdminProxy.GetUpdateServer(String serverName, Boolean useSecureConnection, Int32 portNumber)~~ at Microsoft.SystemsManagementServer.WSUS.WSUSServer.ConnectToWSUSServer(String ServerName, Boolean UseSSL, Int32 PortNumber) Remote configuration failed on WSUS Server.

            Естественно что все настройки роли SUP вы производите правильно.

            Кроме того, при попытке обращения по адресу http://FQDN-SUP-Server-SCCM/ApiRemoting30/ (например http://cm12-cas.itband.local/ApiRemoting30/) или просто при попытке обращения к http://FQDN-SUP-Server-SCCM/ вы вместо стандартного приветствия IIS (или ошибки HTTP 403.14 для варианта обращения к ApiRemoting30) получаете сообщение от своего сервера о том что заданный хост не найден:

            Error Code 11001: Host not found
            Background: This error indicates that the gateway could not find the IP address of the website you are trying to access. This is usually due to a DNS-related error.
            Date: 3/20/2012 7:42:36 PM [GMT]
            Server: red-prxy-28.redmond.corp.microsoft.com
            Source: DNS error

            Пока я склонен винить в этой проблеме связку прокси-сервер, SUP SCCM и для моего тестового домена. Но полной уверенность в этом у меня нет, поэтому если вы столкнулись с такой же проблемой попробуйте следующие действия (все они применяются на сервере SUP SCCM):

            1. Добавьте в файл HOSTS строку вида 127.0.0.1 FQDN вашего сервера
            2. Перезагрузите сервер и попробуйте произвести синхронизацию с Windows Update

            Если первый вариант не сработал, то мы можем попробовать изменить настройки Internet Explorer. Маленькая тонкость состоит в том, что эти настройки необходимо проводить для учетной записи SYSTEM, поэтому нам нужен Internet Explorer запущенный из под пользователя SYSTEM. Для этого я использовал утилиту psexec.exe. Запускаем командную строку (cmd.exe или powershell.exe) с повышенными привилегиями и выполняем следующую команду: psexec.exe –s –i cmd.exe –c в появившемся окне с помощью команды whoami убеждаемся что действительно работаем с пользователем SYSTEM и запускаем Interner Explorer: C:\Program Files (x86)\Internet Explorer\iexplore.exe

              1. В первую очередь проверяем доступен ли наш IIS по полному имени. Мы должны получить ту же ошибку Host not found что и раньше. При этом обращение по короткому имени (

            http://cm12-cas/

              ) будет отображать нормальную заставку IIS

            1. Добавляем FQDN-адрес вашего сервера в зону Local Intranet в настройках Internet Explorer и проверяем доступность http://cm12-cas.itband.local/ если заставка IIS отображается, то можем пробовать синхронизацию SUP с серверами в Интернет – все должно работать.
            2. Если шаг 2 нам не помог, тогда пробуем изменять настройки прокси-севера в Internet Explorer, в частности добавляем адрес http://cm12-cas.itband.local/ к исключениям для прокси-сервера, так как это показано на рисунке
            3. После этого пробуем перезагрузить сервер и проверить работ синхронизации.

            SUP SCCM IE Proxy Settings

             

            Надеюсь что вы не столкнетесь с данной проблемой, а если столкнетесь то сможете ее успешно решить воспользовавшись данной инструкцией Улыбка

            Алексей Тараненко

          • Главная Без рубрики, Новое TechEd, Платформа
            • TechEd Russia: 3, 2, 1… эфир!!!

              image

              Всего два дня осталось до открытия крупнейшей конференции Microsoft в России. В этом году поменялось не только привычное название (с Платформы на TechEd Russia), но и наполнение. Стало гораздо больше треков и авторов, в их числе как “приглашенные звезды”: Дэвид Чеппелл (David Chappell), Томас Шиндер (Thomas W. Shinder), Скотт Шноль (Scott Schnoll), Ричард Райли (Richard Riley), Бари Шилмовер (Barry Shilmover), Майкл Нихаус (Michael Niehaus), Константин Леонтьев и многие другие известные личности clip_image001, включая нескольких русских ребят из команд разработки из Редмонда. Полный список ключевых докладчиков можно найти на странице конференции: http://www.microsoft.com/ru-ru/events/teched/KeySpeakers

              От себя лично могу порекомендовать сессию Дэвида Чеппела «ARC204 Обзор технологий частного облака Microsoft» если это будет то, что я думаю, то это однозначный «must see» для всех кто интересуется темой Private Cloud, но пока слабо себе представляет что это и зачем.

              Постарались не остаться в стороне и мы, администраторы и авторы ITband.ru

              Илья Рудь будет 10 ноября рассказывать на сессии OFS312 об «Оптимизации и тюнинге производительности SharePoint 2010»

              Алексей Богомолов будет вести две лабораторные работы: UCC302ILL Контроль и защита от утечки даных в Microsoft Exchange 2010 SP1 и SEC201ILL Использование Forefront Online Protection for Exchange (FOPE) с Office 365.

              Антон Гриценко aka FreemanRU выступит на сессии MGT203 Построение сервисной модели ИТ: новые возможности System Center Service Manager 2012.

              Михаил Комаров расскажет о ENT306 Как сделать гетерогенную инфраструктуру преимуществом: интеграция Linux и Microsoft. Хостинг на платформе Hyper-V, совместное использование файл-серверов, интеграция с Active Directory

              Николай Муравлянников будет вести три трека: OFS102 Совместная работа и обзор Office 2010 Service Pack 1, UCC303 Как настроить гибридную организацию Exchange Online (Office 365) и PBC308 Как управлять Exchange Online в Office 365.

              Василий Гусев aka Xaegr будет рассказывать нам об MGT202 Автоматизация процессов в ЦОД-ах с помощью System Center 2012 Orchestrator и PRC305 Интеграция продуктов System Center: облака без бла-бла-бла . Еще он будет вместе со мной доступен для каверзных вопросов на круглом столе: MGT310CT Практические вопросы внедрения и использования решений на базе System Center.

              Ну а я, помимо круглого стола MGT310CT Практические вопросы внедрения и использования решений на базе System Center расскажу еще о MGT307 Как правильно организовать миграцию с SCCM 2007 на SCCM 2012

              В зоне «Спроси Эксперта» можно будет найти Алексея Ватутина, Александра Косивченко, Станислава Булдакова, Александра Донина и многих других российских (и не только 😉 ) MVP.

              Между прочим, еще не поздно зарегистрироваться для личного участия в конференции! Ну а те, кто по какой-то причине не сможет принять участие в конференции лично, может присоединиться к ней посредством online трансляции, которая будет доступна на сайте конференции: http://www.microsoft.com/ru-ru/events/teched/player

               

              • ConfigMgr 2012 Beta 2 (Part 03) – Operating System Deployment

                PXE-E51Сегодня я хотел бы поговорить о нововведениях в процессе OSD. Сам процесс создания и назначения Task Sequence поменялся не значительно. Пошаговая инструкция по развертыванию базового образа Windows описана в статье Максима Агафонова. В этой статье я постараюсь дополнить Максима, акцентируя внимание на тех моментах, которые изменились кардинально.

                • ConfigMgr 2012 Beta 2 – (Part 02) – Distribution Point

                  2642.KB_2D40C961В ConfigMgr 2012 Beta 2 существенным изменениям подверглась роль Distribution Point. Если в SCCM 2007 для точки распространения у нас было три режима функционирования:

                  • 1. Standard DP
                  • 2. Server Share DP
                  • 3. Branch DP

                  То в ConfigMgr 2012 у нас остается только одна DP, которая включает в себя все три типа.

                • Главная System Center, Без рубрики ConfigMgt, ConfigMgt 2012, vNext
                  • ConfigMgr 2012 Beta 2 – галопом по европам… (Part 01)

                    betaТо, что ждали революционные массы – свершилось. Для публичного тестирования стала доступна Beta 2 новой версии System Center Configuration Manager 2012 (vNext).

                    Загрузить дистрибутив ConfigMgr 2012 Beta 2 можно по ссылке: http://technet.microsoft.com/en-us/evalcenter/ff657840.aspx. Поскольку это всего-лишь бета-версия продукта, то на нее наложены довольно существенные ограничения по настройкам и поддерживаемому окружению. В частности установка поддерживается только для Windows Server 2008 SP2 x64 и на SQL 2008 SP1 + CU10\11. Стоит особо отметить, что SQL 2008 SP2 или SQL 2008 R2 не поддерживаются. Естественно, что выход RTM снимет эти ограничения. ConfigMgr 2012 будет первой версией SMS\SCCM которая работает в 64х битном режиме. И если предыдущую версию ConfigMgr 2007 можно было установить на 64х битную ОС, но работала она в все равно 32х битном режиме. Сейчас же ConfigMgr 2012 поддерживается 32х битные серверные ОС только как серверы точек распространяя (Distribution Point). Кроме этого поддерживается установка ConfigMgr 2012 Beta 2 только на системы с английским региональным окружением. Пока не поддерживается NAP (хотя к слову сказать мне еще не приходилось сталкиваться с работой NAP через ConfigMgr в реальной, продуктовой среде).

                    В цикле этих статей я постараюсь осветить часть нововведений в ConfigMgr 2012 Beta 2 и поговорить об особо интересных вопросах. Эта и все последующие статьи из цикла, выражают только мое субъективное мнение, более того я впервые не особо сверялся с документацией (в большинстве случаев ее пока просто нет J ). Часть нововведение ConfigMgr 2012 мне очень интересна, но по разным причинам я не смогу их описать. Например, из-за ограничений своей тестовой среды, я не буду касаться вопросов управления мобильными устройствами. Помните – это пока всего лишь Beta, пусть и под номером 2 и все еще может поменяться. 😉

                    Установка

                    Как я уже говорил, установка ConfigMgr 2012 Beta 2 поддерживается только на Windows Server 2008 SP2. Из ролей (role) и возможностей (features) нам понадобятся:

                    • .net Framework 3.5 и .net Framework 4
                    • BITS
                    • Remote Differential Compression
                    • WSUS (если мы будем использовать Software Update)

                    Устанавливаем данные роли и так же все зависимости от них. Устанавливаем SQL 2008 (Database, а так же в будущем сам ConfigMgr, я по старой привычке устанавливаю на отдельный от системы раздел). При установке SQL необходимо все службы (engine, agent, etc) запускать от имени Local System. Кроме того, необходимо будет явным образом указать в настройках фаервола разрешение для портов TCP: 1433 и 4022. Коллейшен (collation) сервера и баз по прежнему должен быть регистронезависимым , поддерживается только: SQL_Latin1_General_CP1_CI_AS.

                    После установки SQL 2008 его необходимо последовательно обновить, вначале до SP1, а затем до CU 10 (или старше).

                    Перед установкой ConfigMgr 2012 расширяем схему Active Directory. Не берусь утверждать, что ее нужно обновлять, если она уже была расширена для ConfigMgr 2007. Сравнение файлов CONFIGMGR_AD_SCHEMA.LDF для версии SCCM 2012 B2 и SCCM 2007 показали, что они одинаковы. Я устанавливал ConfigMgr 2012 в новом, чистом окружении и поэтому расширил схему с помощью утилиты extadsch, а так же создал служебный контейнер System\System Management и выдал полные права на него и все дочерние объекты для учетной записи Local System.

                    <03-25-2011 05:50:05> Modifying Active Directory Schema – with SMS extensions.

                    <03-25-2011 05:50:05> DS Root:CN=Schema,CN=Configuration,DC=itband,DC=local

                    <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Site-Code.

                    <03-25-2011 05:50:06> Defined attribute cn=mS-SMS-Assignment-Site-Code.

                    <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Site-Boundaries.

                    <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Roaming-Boundaries.

                    <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Default-MP.

                    <03-25-2011 05:50:06> Defined attribute cn=mS-SMS-Device-Management-Point.

                    <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-MP-Name.

                    <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-MP-Address.

                    <03-25-2011 05:50:06> Defined attribute cn=mS-SMS-Health-State.

                    <03-25-2011 05:50:06> Defined attribute cn=mS-SMS-Source-Forest.

                    <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Ranged-IP-Low.

                    <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Ranged-IP-High.

                    <03-25-2011 05:50:07> Defined attribute cn=mS-SMS-Version.

                    <03-25-2011 05:50:07> Defined attribute cn=mS-SMS-Capabilities.

                    <03-25-2011 05:50:08> Defined class cn=MS-SMS-Management-Point.

                    <03-25-2011 05:50:08> Defined class cn=MS-SMS-Server-Locator-Point.

                    <03-25-2011 05:50:08> Defined class cn=MS-SMS-Site.

                    <03-25-2011 05:50:08> Defined class cn=MS-SMS-Roaming-Boundary-Range.

                    <03-25-2011 05:50:08> Successfully extended the Active Directory schema.

                    <03-25-2011 05:50:08> Please refer to the ConfigMgr documentation for instructions on the manual

                    <03-25-2011 05:50:08> configuration of access rights in active directory which may still

                    <03-25-2011 05:50:08> need to be performed. (Although the AD schema has now be extended,

                    <03-25-2011 05:50:08> AD must be configured to allow each ConfigMgr Site security rights to

                    <03-25-2011 05:50:08> publish in each of their domains.)

                    Переходим непосредственно к самой установке. Запускаем мастер splash.hta

                    Большая часть пунктов меню в нем еще не работоспособна и отображает такое сообщение:

                    Выбираем вариант: Install. Мастер отображает нам список того, что мы должны сделать.

                    Я выбрал установку отдельного Primary сайта с базовым функционалом.

                    По старой доброй традиции, нам необходимо скачать набор обновлений. Если раньше для их загрузки с отдельного компьютера мы использовали утилиту setup.exe с ключом download. Теперь существует отдельная утилита, которая загружает обновления: setupdl.exe

                    Обновления занимают порядка 192Мб и включают в себя:

                    • Microsoft Remote Differential Compression Library
                    • Windows Update Agent 3.0
                    • WMI Redistributable Components version 1.0
                    • Silverlight
                    • .NET Framework Client Profile 4.0 RTM
                    • SQL Server 2008 Express
                    • MSXML 6.0 Service Pack 1
                    • SQL Server 2008 Native Client
                    • SQL Server 2008 System CLR Types
                    • SQL Server 2008 Management Objects
                    • SQL Server 2008 Replication Management Objects

                    Код сайта и его имя, а так же каталог установки. Из нового – возможность не ставить консоль администрирования при установке сайт сервера.

                    Вот так выглядело бы окно проверки, если бы я не выполнил все требования перед установкой.

                    Первый запуск

                    Во-первых, новый вид, хотя если вы работали с OpsMgr 2007 – то он вас не сильно удивит. Во-вторых, ленты (ribbon) как например в Office 2007\2010, по итогам тестовой эксплуатации показались очень удобными, но пришлось отключить для экономии места на экране. В-третьих, скорость работы и отображения изменений. Первые 10 минут я по привычке жал F5 после каждого своего действия. Но теперь это больше не нужно. Все изменения происходят и отображаются мгновенно.

                    Рабочие задачи в консоли разбиты на 4 группы:

                    • Administration
                    • Software library
                    • Monitoring
                    • Asset and Compliance

                    Administration

                    Раздел Administration содержит несколько узлов, содержимое которых понятно я думаю без слов.

                    Раздел Site Hierarchy

                    Новый Discovery Method – Active Directory Forest Discovery. Будет позволять автоматически отслеживать изменения на уровне леса AD, при этом создавая границы AD Site\IP subnet на основании результатов обнаружения. Я думаю, что это позволит снять часть рутинной и часто забываемой работы по созданию границ.

                    Можно заметить, что из раздела Schedule исчезла галочка Run as soon as possible. Теперь мы можем запустить полное обнаружение через контекстное меню в консоли. Естественно, что я запустил обнаружение.

                    Из интересного в других Discovery – возможность задавать учетную запись для каждого отдельного метода обнаружения. Атрибуты AD в том же методе AD System стало задавать гораздо удобнее.

                    Как раньше задавались дополнительные атрибуты AD.

                    Тем временем успешно автоматически создалась новая граница:

                    Появились группы границ (boundary groups). Именно для групп теперь задаются все привычные действия – задание сайта, который входит в эти границы и тип его подключения (fast\slow). Вполне логичный шаг, поскольку раньше в больших окружениях один сайт мог иметь несколько границ. Теперь настраивать и администрировать стало намного проще.

                    Два последующих подраздела: Exchange Server Connectors и Addresses, я пока пропускаю, поскольку моя тестовая среда их не поддерживает.

                    Последний подраздел: AD Forest содержит сводную информацию по лесу AD: домены, сайты, подсети, статусы обнаружения.

                    Раздел Site Operations

                    Просто огромное количество изменений о них мы будем говорить в следующих статьях. Один скриншот который мне понравился больше всего

                    Раздел Client Settings

                    Теперь политики клиента можно создавать. Естественно тема отдельной статьи, но этот момент я не мог не показать. Кто знает, тот поймет J

                    Разделы Security, Migration Distribution Point и DP Groups – даже не буду показывать скриншоты, слишком много там всего – ждите отдельных статей J

                    На этом на сегодня все. На десерт еще несколько снимков консоли.

                    Alexey

                  • Главная System Center, Без рубрики, Новое ConfigMgt, Remote Assistance, Remote Desktop, Remote Tools, SCCM
                    • Remote Tools и Windows 7

                      pc-remote-supportПервоначально я хотел в этой статье рассказать только о Remote Tools, но по мере написания статьи я понял, что нужно осветить и остальные способы удаленного управления клиентом в ConfigMgr 2007.

                      В рамках статьи я буду придерживаться следующей терминологии:

                      · Администратор – сотрудник, который подключается удаленно для выполнения каких-либо действий на компьютере пользователя, например сотрудник техподдержки. Не обязательно, чтобы этот человек обладал административными полномочиями на удаленной станции.

                      · Пользователь – любой человек, который работает в локальном сеансе за компьютером и которому требуется оказать помощь.

                      И так, в SCCM 2007 существует три варианта предоставления удаленного доступа к клиентской системе:

                      · Remote Desktop

                      · Remote Assistance

                      · Remote Tools

                      Первые два – штатные способы предоставления удаленного доступа в Windows. Механизм Remote Assistance рекомендуется использовать для оказания помощи пользователю. Например, необходимо понаблюдать за действиями пользователя, которые приводят к ошибке или наоборот показать пользователю что-то. Remote Desktop целесообразно использовать когда необходимо выполнить какие-либо административные задачи, не требующие участия пользователя. Например: установить приложение, обновление безопасности, изменить системные настройки Windows. Поскольку клиентские системы Windows могут быть использованы одновременно только одним пользователем, то подключение с помощью Remote Desktop вызовет отключение текущего пользователя. Рассмотрим, что же происходит при попытке подключения по RDP к машине, на которую выполнен локальный вход.

                      В тот момент, когда администратор инициирует подключение к рабочей станции с помощью Remote Desktop, ему отображается уведомление о том, что обнаружен активный пользователь.

                      clip_image001

                      Если администратор выбирает вариант «Да», то на рабочей станции текущему пользователю отображает сообщение о попытке подключения к удаленному рабочему столу.

                      clip_image002

                      Скажу сразу, пользователь может отклонить подключение, выбрав вариант «Отмена» и тогда администратор увидит следующее сообщение:

                      clip_image003

                      Обойти данный механизм нельзя, и в таком случае правильнее всего будет прибегнуть к административно-организационным мерам.

                      Если пользователь выбрал вариант «Да» или в течение 30 секунд не выбрал ни один из вариантов, происходит подключение удаленного сеанса, при этом сеанс текущего пользователя отходит в фон и пользователь видит экран приветствия Ctrl-Alt-Delete.

                      clip_image004

                      Пользователь может попробовать войти в свой сеанс, при этом он будет уведомлен о том, что с компьютером работает удаленный пользователь

                      clip_image005

                      Администратору в сеансе RDP отобразится запрос о подключении

                      clip_image006

                      Администратор, точно так же как и пользователь, может отклонить запрос.

                      Еще раз хочу акцентировать внимание на том, что сеанс пользователя не завершается, а отходит в фон. Таким образом, все запущенные пользователем приложения будут продолжать работать.

                      Remote Tools это механизм предоставления удаленного доступа в ConfigMgr 2007. Для работы Remote Tools могут использовать свой собственный видеодрайвер ConfigMgr. При использовании Windows 7 больше не требуется, чтобы служба Remote Desktop на клиентском компьютере была запущена. Кроме того, Remote Tools накладывает некоторые ограничения при своей работе. Во-первых, вы можете использовать Remote Tools только для подключения к активной сессии. Если вам нужно подключиться к рабочему столу, в тот момент, когда пользователь вышел из системы – используйте механизм Remote Desktop. Во-вторых, на клиентском компьютере сеанс работы Remote Tools запускается в контексте и с правами текущего пользователя, таким образом, пользователь может по своему желанию прервать сеанс Remote Tools. Сделать он это может двумя способами: штатным, если вы в настройках Remote Agent указали отображение клиента Remote Tools, либо завершив процесс RT.exe с помощью диспетчера задач. Рекомендую оставить значения по умолчанию и на клиенте отображать значок уведомления об использовании Remote Tools.

                      clip_image007

                      clip_image008

                      По консоли в каждый дом!

                      Подключение к клиентскому компьютеру с помощью всех трех методов (Remote Tools, Remote Assistance, Remote Desktop) возможно при использовании консоли администрирования ConfigMgr Management Console. Помимо доступа к удаленному управлению, при использовании консоли специалисты службы поддержки могут получать так же информацию инвентаризации через Resource Explorer. Конечно, если служба поддержки насчитывает большое количество сотрудников, которым необходим только функционал удаленного доступа, установка консоли администрирования SCCM в таком сценарии может показаться не совсем удобным решением. Есть несколько способ решения этой проблемы.

                      Remote Desktop
                      Я думаю, не секрет, что доступ к Remote Desktop вы можете получить, запустив штатное средство: Remote Desktop Connection или выполнив команду: mstsc. Подробнее о параметрах RDC можно узнать из статьи: Use command line parameters with Remote Desktop Connection.

                      clip_image009

                      Remote Assistance

                      Доступ к Remote Assistance возможен при запуске мастера: Windows Remote Assistance (%windir%\system32\msra.exe)

                      clip_image010

                      Если перейти в режим расширенных настроек (Advance connection option for help desk), то будет запущен мастер выбора компьютера по IP адресу или имени компьютера.

                      clip_image011

                      Этот же мастер можно запустить, выполнив команду: %windir%\system32\msra.exe /offerra

                      clip_image012

                      Remote Tools

                      Использование консоли администрирования ConfigMgr Management Console является единственным рекомендованным и поддерживаемым способом получения доступа через Remote Tools. Однако, если вы не хотите устанавливать консоль SCCM только для того, чтобы позволить сотрудникам поддержки подключаться к клиентам, вы можете вручную перенести файлы, необходимые для работы. Для запуска Remote Tools необходимы файлы: rdpencom.dll и rc.exe расположенные в папке %Console_Path%\AdminUI\bin\i386.

                      clip_image013

                      Права

                      Для того чтобы средства удаленной помощи работали необходимо на межсетевом экране открыть определенных набор портов. Для простоты изложения, в таблице ниже, под сервером понимается любой компьютер, на котором администратор запускает средство удаленной помощи, а под клиентом – компьютер, к которому подключаются.

                      Средство

                      Порт

                      Remote Desktop

                      TCP port 135

                      TCP port 3389

                      Remote Assistance

                      TCP port 135

                      TCP port 3389

                      Remote Tools

                      TCP port 135

                      TCP port 2701

                      TCP port 2702

                      Для того чтобы сотрудник поддержки мог подключиться к клиентскому компьютеру, его учетная запись должна быть членом одной из локальных групп на этом компьютере.

                      Средство

                      Локальная группа

                      Remote Desktop

                      «Remote Desktop Users»

                      Remote Assistance

                      «Offer Remote Assistance Helpers»

                      Remote Tools

                      «Remote Desktop Users»

                      Если определенные сотрудники поддержки отвечают за поддержку клиентов только в определенных подразделениях или филиалах целесообразно добавлять учетные записи этих сотрудников в группы безопасности только на тех компьютерах, на которых это действительно необходимо. Для этого можно использовать групповые политики и в частности, механизм Restricted Groups.

                      User Account Control (UAC)

                      UAC впервые появился в Windows Vista, а затем был доработан в Windows 7. В идеале, UAC должен быть настроен таким образом, чтобы не позволять пользователю повышать свои права. К сожалению, реальность далека от идеала. Меньшим злом (по сравнению с отключением UAC) будет настройка UAC на запрос учетных данных. При этом желательно использовать Secure Desktop – это как раз то затенение, которое появляется при всплытии окна UAC с запросом учетных данных. Использование Security Desktop позволяет успешно защищаться от некоторого набора спуфинг-атак, поскольку сам вывод окна UAC при использовании Secure Desktop происходит с правами системы и в отдельном пространстве от программ пользователя.

                      В групповой политике существует несколько параметров, которые задают поведение UAC (подробнее):

                      · User Account Control: Admin Approval Mode for the built-in Administrator account

                      · User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop

                      · User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

                      · User Account Control: Behavior of the elevation prompt for standard users

                      · User Account Control: Detect application installations and prompt for elevation

                      · User Account Control: Only elevate executables that are signed and validated

                      · User Account Control: Only elevate UIAccess applications that are installed in secure locations

                      · User Account Control: Run all administrators in Admin Approval Mode

                      · User Account Control: Switch to the secure desktop when prompting for elevation

                      · User Account Control: Virtualize file and registry write failures to per-user locations

                      Выделены параметры, которые вам, возможно, придется изменить. Дело в том, что Remote Assistance и Remote Tools, в силу своих особенностей, не могут отобразить окно запроса UAC, если используется Secure Desktop.

                      Если сотрудник поддержки попытается выполнить действия, которые требуют повышения прав и отображения UAC (в режиме Secure Desktop), то он увидит черный экран в случае с Remote Assistance и предложение, воспользоваться Remote Desktop, в случае использования Remote Tools.

                      Правильным и безопасным способом решения этой проблемы будет использование Remote Desktop, для всех случаев, когда необходимы повышенные привилегии. Remote Desktop полностью поддерживает работу UAC во всех режимах. Кроме того, использование Remote Desktop является безопасным способом работы с повышением права на клиенте, с той точки зрения, что конечный пользователь не может отключить удаленный сеанс и таким образом, не сможет даже временно получить повышенные привилегии на компьютере. В случае использования Remote Assistance или Remote Tools пользователь в любой момент времени может отключить администратора от системы, и остаться один на один, например с запущенной с административными правами командной строкой. Поэтому старайтесь использовать Remote Desktop всегда, когда это возможно.

                      Если вам все же необходимо использовать Remote Assistance\Remote Tools для работы с UAC существует два способа сделать это.

                      Для Remote Tools

                      Необходимо настроить следующие параметры

                      Параметр

                      Значение

                      Описание

                      Behavior of the elevation prompt for standard users

                      Prompt for credentials

                      Настраивает UAC на запрос учетных данных, при попытке повышения прав

                      Switch to the secure desktop when prompting for elevation

                      Enabled

                      Указывает UAC, что необходимо переходить в режим Secure Desktop, перед запросом о повышении прав

                      ConfigMgr Agent, при подключении по Remote Tools, самостоятельно временно отключает Secure Desktop. Таким образом, во время сеанса работы сотрудник технической поддержки может повышать права. После того, как сеанс Remote Tools завершен, ConfigMgr Agent снова включает Secure Desktop. Минус данного подхода состоит в том, что при нештатном завершении (пользователь завершил процесс через диспетчер задач) Secure Desktop останется выключенным до следующего применения политики.

                      Для Remote Assistance

                      В групповой политике есть параметр «Allow UIAccess applications to prompt for elevation without using the secure desktop», который в случае включения позволяет Remote Assistance временно отключать Secure Desktop. Плюс данного подхода в том, что даже если пользователь завершит процесс remote assistance на своем компьютере, система автоматически включит Secure Desktop.

                      Собственно на этом все. Надеюсь, что эта статья поможет вам лучше понимать те способы оказания удаленной помощи, которые вы можете использовать.

                      Alexey