Главная System Center, Без рубрики, Новое ConfigMgr 2012, ConfigMgt, SCCM, SCSM 2012
  • Обновляем ConfigMgr 2012 до ConfigMgr 2012 SP1

    updateПозади предновогодняя суматоха и сами новогодние праздники. Самое время начать заниматься созидательным трудом и установить Service Pack 1 для System Center 2012 Configuration Manager. Тем более что совсем скоро он будет публично анонсирован и станет доступен для загрузки на http://download.microsoft.com, однако уже сейчас он доступен для загрузки подписчикам TechNet и MSDN.

    SCCM 2012 SP1 это конечно не новая версия продукта, но и далеко не пакет «багфиксов».

  • Главная System Center, Без рубрики ConfigMgt, ConfigMgt 2012, vNext
    • ConfigMgr 2012 Beta 2 – галопом по европам… (Part 01)

      betaТо, что ждали революционные массы – свершилось. Для публичного тестирования стала доступна Beta 2 новой версии System Center Configuration Manager 2012 (vNext).

      Загрузить дистрибутив ConfigMgr 2012 Beta 2 можно по ссылке: http://technet.microsoft.com/en-us/evalcenter/ff657840.aspx. Поскольку это всего-лишь бета-версия продукта, то на нее наложены довольно существенные ограничения по настройкам и поддерживаемому окружению. В частности установка поддерживается только для Windows Server 2008 SP2 x64 и на SQL 2008 SP1 + CU10\11. Стоит особо отметить, что SQL 2008 SP2 или SQL 2008 R2 не поддерживаются. Естественно, что выход RTM снимет эти ограничения. ConfigMgr 2012 будет первой версией SMS\SCCM которая работает в 64х битном режиме. И если предыдущую версию ConfigMgr 2007 можно было установить на 64х битную ОС, но работала она в все равно 32х битном режиме. Сейчас же ConfigMgr 2012 поддерживается 32х битные серверные ОС только как серверы точек распространяя (Distribution Point). Кроме этого поддерживается установка ConfigMgr 2012 Beta 2 только на системы с английским региональным окружением. Пока не поддерживается NAP (хотя к слову сказать мне еще не приходилось сталкиваться с работой NAP через ConfigMgr в реальной, продуктовой среде).

      В цикле этих статей я постараюсь осветить часть нововведений в ConfigMgr 2012 Beta 2 и поговорить об особо интересных вопросах. Эта и все последующие статьи из цикла, выражают только мое субъективное мнение, более того я впервые не особо сверялся с документацией (в большинстве случаев ее пока просто нет J ). Часть нововведение ConfigMgr 2012 мне очень интересна, но по разным причинам я не смогу их описать. Например, из-за ограничений своей тестовой среды, я не буду касаться вопросов управления мобильными устройствами. Помните – это пока всего лишь Beta, пусть и под номером 2 и все еще может поменяться. 😉

      Установка

      Как я уже говорил, установка ConfigMgr 2012 Beta 2 поддерживается только на Windows Server 2008 SP2. Из ролей (role) и возможностей (features) нам понадобятся:

      • .net Framework 3.5 и .net Framework 4
      • BITS
      • Remote Differential Compression
      • WSUS (если мы будем использовать Software Update)

      Устанавливаем данные роли и так же все зависимости от них. Устанавливаем SQL 2008 (Database, а так же в будущем сам ConfigMgr, я по старой привычке устанавливаю на отдельный от системы раздел). При установке SQL необходимо все службы (engine, agent, etc) запускать от имени Local System. Кроме того, необходимо будет явным образом указать в настройках фаервола разрешение для портов TCP: 1433 и 4022. Коллейшен (collation) сервера и баз по прежнему должен быть регистронезависимым , поддерживается только: SQL_Latin1_General_CP1_CI_AS.

      После установки SQL 2008 его необходимо последовательно обновить, вначале до SP1, а затем до CU 10 (или старше).

      Перед установкой ConfigMgr 2012 расширяем схему Active Directory. Не берусь утверждать, что ее нужно обновлять, если она уже была расширена для ConfigMgr 2007. Сравнение файлов CONFIGMGR_AD_SCHEMA.LDF для версии SCCM 2012 B2 и SCCM 2007 показали, что они одинаковы. Я устанавливал ConfigMgr 2012 в новом, чистом окружении и поэтому расширил схему с помощью утилиты extadsch, а так же создал служебный контейнер System\System Management и выдал полные права на него и все дочерние объекты для учетной записи Local System.

      <03-25-2011 05:50:05> Modifying Active Directory Schema – with SMS extensions.

      <03-25-2011 05:50:05> DS Root:CN=Schema,CN=Configuration,DC=itband,DC=local

      <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Site-Code.

      <03-25-2011 05:50:06> Defined attribute cn=mS-SMS-Assignment-Site-Code.

      <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Site-Boundaries.

      <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Roaming-Boundaries.

      <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Default-MP.

      <03-25-2011 05:50:06> Defined attribute cn=mS-SMS-Device-Management-Point.

      <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-MP-Name.

      <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-MP-Address.

      <03-25-2011 05:50:06> Defined attribute cn=mS-SMS-Health-State.

      <03-25-2011 05:50:06> Defined attribute cn=mS-SMS-Source-Forest.

      <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Ranged-IP-Low.

      <03-25-2011 05:50:06> Defined attribute cn=MS-SMS-Ranged-IP-High.

      <03-25-2011 05:50:07> Defined attribute cn=mS-SMS-Version.

      <03-25-2011 05:50:07> Defined attribute cn=mS-SMS-Capabilities.

      <03-25-2011 05:50:08> Defined class cn=MS-SMS-Management-Point.

      <03-25-2011 05:50:08> Defined class cn=MS-SMS-Server-Locator-Point.

      <03-25-2011 05:50:08> Defined class cn=MS-SMS-Site.

      <03-25-2011 05:50:08> Defined class cn=MS-SMS-Roaming-Boundary-Range.

      <03-25-2011 05:50:08> Successfully extended the Active Directory schema.

      <03-25-2011 05:50:08> Please refer to the ConfigMgr documentation for instructions on the manual

      <03-25-2011 05:50:08> configuration of access rights in active directory which may still

      <03-25-2011 05:50:08> need to be performed. (Although the AD schema has now be extended,

      <03-25-2011 05:50:08> AD must be configured to allow each ConfigMgr Site security rights to

      <03-25-2011 05:50:08> publish in each of their domains.)

      Переходим непосредственно к самой установке. Запускаем мастер splash.hta

      Большая часть пунктов меню в нем еще не работоспособна и отображает такое сообщение:

      Выбираем вариант: Install. Мастер отображает нам список того, что мы должны сделать.

      Я выбрал установку отдельного Primary сайта с базовым функционалом.

      По старой доброй традиции, нам необходимо скачать набор обновлений. Если раньше для их загрузки с отдельного компьютера мы использовали утилиту setup.exe с ключом download. Теперь существует отдельная утилита, которая загружает обновления: setupdl.exe

      Обновления занимают порядка 192Мб и включают в себя:

      • Microsoft Remote Differential Compression Library
      • Windows Update Agent 3.0
      • WMI Redistributable Components version 1.0
      • Silverlight
      • .NET Framework Client Profile 4.0 RTM
      • SQL Server 2008 Express
      • MSXML 6.0 Service Pack 1
      • SQL Server 2008 Native Client
      • SQL Server 2008 System CLR Types
      • SQL Server 2008 Management Objects
      • SQL Server 2008 Replication Management Objects

      Код сайта и его имя, а так же каталог установки. Из нового – возможность не ставить консоль администрирования при установке сайт сервера.

      Вот так выглядело бы окно проверки, если бы я не выполнил все требования перед установкой.

      Первый запуск

      Во-первых, новый вид, хотя если вы работали с OpsMgr 2007 – то он вас не сильно удивит. Во-вторых, ленты (ribbon) как например в Office 2007\2010, по итогам тестовой эксплуатации показались очень удобными, но пришлось отключить для экономии места на экране. В-третьих, скорость работы и отображения изменений. Первые 10 минут я по привычке жал F5 после каждого своего действия. Но теперь это больше не нужно. Все изменения происходят и отображаются мгновенно.

      Рабочие задачи в консоли разбиты на 4 группы:

      • Administration
      • Software library
      • Monitoring
      • Asset and Compliance

      Administration

      Раздел Administration содержит несколько узлов, содержимое которых понятно я думаю без слов.

      Раздел Site Hierarchy

      Новый Discovery Method – Active Directory Forest Discovery. Будет позволять автоматически отслеживать изменения на уровне леса AD, при этом создавая границы AD Site\IP subnet на основании результатов обнаружения. Я думаю, что это позволит снять часть рутинной и часто забываемой работы по созданию границ.

      Можно заметить, что из раздела Schedule исчезла галочка Run as soon as possible. Теперь мы можем запустить полное обнаружение через контекстное меню в консоли. Естественно, что я запустил обнаружение.

      Из интересного в других Discovery – возможность задавать учетную запись для каждого отдельного метода обнаружения. Атрибуты AD в том же методе AD System стало задавать гораздо удобнее.

      Как раньше задавались дополнительные атрибуты AD.

      Тем временем успешно автоматически создалась новая граница:

      Появились группы границ (boundary groups). Именно для групп теперь задаются все привычные действия – задание сайта, который входит в эти границы и тип его подключения (fast\slow). Вполне логичный шаг, поскольку раньше в больших окружениях один сайт мог иметь несколько границ. Теперь настраивать и администрировать стало намного проще.

      Два последующих подраздела: Exchange Server Connectors и Addresses, я пока пропускаю, поскольку моя тестовая среда их не поддерживает.

      Последний подраздел: AD Forest содержит сводную информацию по лесу AD: домены, сайты, подсети, статусы обнаружения.

      Раздел Site Operations

      Просто огромное количество изменений о них мы будем говорить в следующих статьях. Один скриншот который мне понравился больше всего

      Раздел Client Settings

      Теперь политики клиента можно создавать. Естественно тема отдельной статьи, но этот момент я не мог не показать. Кто знает, тот поймет J

      Разделы Security, Migration Distribution Point и DP Groups – даже не буду показывать скриншоты, слишком много там всего – ждите отдельных статей J

      На этом на сегодня все. На десерт еще несколько снимков консоли.

      Alexey

    • Главная System Center, Без рубрики, Новое ConfigMgt, Remote Assistance, Remote Desktop, Remote Tools, SCCM
      • Remote Tools и Windows 7

        pc-remote-supportПервоначально я хотел в этой статье рассказать только о Remote Tools, но по мере написания статьи я понял, что нужно осветить и остальные способы удаленного управления клиентом в ConfigMgr 2007.

        В рамках статьи я буду придерживаться следующей терминологии:

        · Администратор – сотрудник, который подключается удаленно для выполнения каких-либо действий на компьютере пользователя, например сотрудник техподдержки. Не обязательно, чтобы этот человек обладал административными полномочиями на удаленной станции.

        · Пользователь – любой человек, который работает в локальном сеансе за компьютером и которому требуется оказать помощь.

        И так, в SCCM 2007 существует три варианта предоставления удаленного доступа к клиентской системе:

        · Remote Desktop

        · Remote Assistance

        · Remote Tools

        Первые два – штатные способы предоставления удаленного доступа в Windows. Механизм Remote Assistance рекомендуется использовать для оказания помощи пользователю. Например, необходимо понаблюдать за действиями пользователя, которые приводят к ошибке или наоборот показать пользователю что-то. Remote Desktop целесообразно использовать когда необходимо выполнить какие-либо административные задачи, не требующие участия пользователя. Например: установить приложение, обновление безопасности, изменить системные настройки Windows. Поскольку клиентские системы Windows могут быть использованы одновременно только одним пользователем, то подключение с помощью Remote Desktop вызовет отключение текущего пользователя. Рассмотрим, что же происходит при попытке подключения по RDP к машине, на которую выполнен локальный вход.

        В тот момент, когда администратор инициирует подключение к рабочей станции с помощью Remote Desktop, ему отображается уведомление о том, что обнаружен активный пользователь.

        clip_image001

        Если администратор выбирает вариант «Да», то на рабочей станции текущему пользователю отображает сообщение о попытке подключения к удаленному рабочему столу.

        clip_image002

        Скажу сразу, пользователь может отклонить подключение, выбрав вариант «Отмена» и тогда администратор увидит следующее сообщение:

        clip_image003

        Обойти данный механизм нельзя, и в таком случае правильнее всего будет прибегнуть к административно-организационным мерам.

        Если пользователь выбрал вариант «Да» или в течение 30 секунд не выбрал ни один из вариантов, происходит подключение удаленного сеанса, при этом сеанс текущего пользователя отходит в фон и пользователь видит экран приветствия Ctrl-Alt-Delete.

        clip_image004

        Пользователь может попробовать войти в свой сеанс, при этом он будет уведомлен о том, что с компьютером работает удаленный пользователь

        clip_image005

        Администратору в сеансе RDP отобразится запрос о подключении

        clip_image006

        Администратор, точно так же как и пользователь, может отклонить запрос.

        Еще раз хочу акцентировать внимание на том, что сеанс пользователя не завершается, а отходит в фон. Таким образом, все запущенные пользователем приложения будут продолжать работать.

        Remote Tools это механизм предоставления удаленного доступа в ConfigMgr 2007. Для работы Remote Tools могут использовать свой собственный видеодрайвер ConfigMgr. При использовании Windows 7 больше не требуется, чтобы служба Remote Desktop на клиентском компьютере была запущена. Кроме того, Remote Tools накладывает некоторые ограничения при своей работе. Во-первых, вы можете использовать Remote Tools только для подключения к активной сессии. Если вам нужно подключиться к рабочему столу, в тот момент, когда пользователь вышел из системы – используйте механизм Remote Desktop. Во-вторых, на клиентском компьютере сеанс работы Remote Tools запускается в контексте и с правами текущего пользователя, таким образом, пользователь может по своему желанию прервать сеанс Remote Tools. Сделать он это может двумя способами: штатным, если вы в настройках Remote Agent указали отображение клиента Remote Tools, либо завершив процесс RT.exe с помощью диспетчера задач. Рекомендую оставить значения по умолчанию и на клиенте отображать значок уведомления об использовании Remote Tools.

        clip_image007

        clip_image008

        По консоли в каждый дом!

        Подключение к клиентскому компьютеру с помощью всех трех методов (Remote Tools, Remote Assistance, Remote Desktop) возможно при использовании консоли администрирования ConfigMgr Management Console. Помимо доступа к удаленному управлению, при использовании консоли специалисты службы поддержки могут получать так же информацию инвентаризации через Resource Explorer. Конечно, если служба поддержки насчитывает большое количество сотрудников, которым необходим только функционал удаленного доступа, установка консоли администрирования SCCM в таком сценарии может показаться не совсем удобным решением. Есть несколько способ решения этой проблемы.

        Remote Desktop
        Я думаю, не секрет, что доступ к Remote Desktop вы можете получить, запустив штатное средство: Remote Desktop Connection или выполнив команду: mstsc. Подробнее о параметрах RDC можно узнать из статьи: Use command line parameters with Remote Desktop Connection.

        clip_image009

        Remote Assistance

        Доступ к Remote Assistance возможен при запуске мастера: Windows Remote Assistance (%windir%\system32\msra.exe)

        clip_image010

        Если перейти в режим расширенных настроек (Advance connection option for help desk), то будет запущен мастер выбора компьютера по IP адресу или имени компьютера.

        clip_image011

        Этот же мастер можно запустить, выполнив команду: %windir%\system32\msra.exe /offerra

        clip_image012

        Remote Tools

        Использование консоли администрирования ConfigMgr Management Console является единственным рекомендованным и поддерживаемым способом получения доступа через Remote Tools. Однако, если вы не хотите устанавливать консоль SCCM только для того, чтобы позволить сотрудникам поддержки подключаться к клиентам, вы можете вручную перенести файлы, необходимые для работы. Для запуска Remote Tools необходимы файлы: rdpencom.dll и rc.exe расположенные в папке %Console_Path%\AdminUI\bin\i386.

        clip_image013

        Права

        Для того чтобы средства удаленной помощи работали необходимо на межсетевом экране открыть определенных набор портов. Для простоты изложения, в таблице ниже, под сервером понимается любой компьютер, на котором администратор запускает средство удаленной помощи, а под клиентом – компьютер, к которому подключаются.

        Средство

        Порт

        Remote Desktop

        TCP port 135

        TCP port 3389

        Remote Assistance

        TCP port 135

        TCP port 3389

        Remote Tools

        TCP port 135

        TCP port 2701

        TCP port 2702

        Для того чтобы сотрудник поддержки мог подключиться к клиентскому компьютеру, его учетная запись должна быть членом одной из локальных групп на этом компьютере.

        Средство

        Локальная группа

        Remote Desktop

        «Remote Desktop Users»

        Remote Assistance

        «Offer Remote Assistance Helpers»

        Remote Tools

        «Remote Desktop Users»

        Если определенные сотрудники поддержки отвечают за поддержку клиентов только в определенных подразделениях или филиалах целесообразно добавлять учетные записи этих сотрудников в группы безопасности только на тех компьютерах, на которых это действительно необходимо. Для этого можно использовать групповые политики и в частности, механизм Restricted Groups.

        User Account Control (UAC)

        UAC впервые появился в Windows Vista, а затем был доработан в Windows 7. В идеале, UAC должен быть настроен таким образом, чтобы не позволять пользователю повышать свои права. К сожалению, реальность далека от идеала. Меньшим злом (по сравнению с отключением UAC) будет настройка UAC на запрос учетных данных. При этом желательно использовать Secure Desktop – это как раз то затенение, которое появляется при всплытии окна UAC с запросом учетных данных. Использование Security Desktop позволяет успешно защищаться от некоторого набора спуфинг-атак, поскольку сам вывод окна UAC при использовании Secure Desktop происходит с правами системы и в отдельном пространстве от программ пользователя.

        В групповой политике существует несколько параметров, которые задают поведение UAC (подробнее):

        · User Account Control: Admin Approval Mode for the built-in Administrator account

        · User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop

        · User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

        · User Account Control: Behavior of the elevation prompt for standard users

        · User Account Control: Detect application installations and prompt for elevation

        · User Account Control: Only elevate executables that are signed and validated

        · User Account Control: Only elevate UIAccess applications that are installed in secure locations

        · User Account Control: Run all administrators in Admin Approval Mode

        · User Account Control: Switch to the secure desktop when prompting for elevation

        · User Account Control: Virtualize file and registry write failures to per-user locations

        Выделены параметры, которые вам, возможно, придется изменить. Дело в том, что Remote Assistance и Remote Tools, в силу своих особенностей, не могут отобразить окно запроса UAC, если используется Secure Desktop.

        Если сотрудник поддержки попытается выполнить действия, которые требуют повышения прав и отображения UAC (в режиме Secure Desktop), то он увидит черный экран в случае с Remote Assistance и предложение, воспользоваться Remote Desktop, в случае использования Remote Tools.

        Правильным и безопасным способом решения этой проблемы будет использование Remote Desktop, для всех случаев, когда необходимы повышенные привилегии. Remote Desktop полностью поддерживает работу UAC во всех режимах. Кроме того, использование Remote Desktop является безопасным способом работы с повышением права на клиенте, с той точки зрения, что конечный пользователь не может отключить удаленный сеанс и таким образом, не сможет даже временно получить повышенные привилегии на компьютере. В случае использования Remote Assistance или Remote Tools пользователь в любой момент времени может отключить администратора от системы, и остаться один на один, например с запущенной с административными правами командной строкой. Поэтому старайтесь использовать Remote Desktop всегда, когда это возможно.

        Если вам все же необходимо использовать Remote Assistance\Remote Tools для работы с UAC существует два способа сделать это.

        Для Remote Tools

        Необходимо настроить следующие параметры

        Параметр

        Значение

        Описание

        Behavior of the elevation prompt for standard users

        Prompt for credentials

        Настраивает UAC на запрос учетных данных, при попытке повышения прав

        Switch to the secure desktop when prompting for elevation

        Enabled

        Указывает UAC, что необходимо переходить в режим Secure Desktop, перед запросом о повышении прав

        ConfigMgr Agent, при подключении по Remote Tools, самостоятельно временно отключает Secure Desktop. Таким образом, во время сеанса работы сотрудник технической поддержки может повышать права. После того, как сеанс Remote Tools завершен, ConfigMgr Agent снова включает Secure Desktop. Минус данного подхода состоит в том, что при нештатном завершении (пользователь завершил процесс через диспетчер задач) Secure Desktop останется выключенным до следующего применения политики.

        Для Remote Assistance

        В групповой политике есть параметр «Allow UIAccess applications to prompt for elevation without using the secure desktop», который в случае включения позволяет Remote Assistance временно отключать Secure Desktop. Плюс данного подхода в том, что даже если пользователь завершит процесс remote assistance на своем компьютере, система автоматически включит Secure Desktop.

        Собственно на этом все. Надеюсь, что эта статья поможет вам лучше понимать те способы оказания удаленной помощи, которые вы можете использовать.

        Alexey