В каждой организации процесс поддержки компьютеров различается кардинально. Но можно выделить два подхода: работать ногами или головой. Представителям первой когорты приходиться целыми днями бегать по этажам: создать ярлык на косынку секретарше, поставить новый банк-клиент в бухгалтерии или спешить на помощь к финансовому директору, у которого почему—то не открылись одноклассники. Свободного времени у таких людей почти нет и статью эту они скорее всего не увидят. Я же хочу поговорить со второй, надеюсь большей половиной ИТ сообщества, которая ленива и умна. С людьми, которые предпочитают работать головой, а не ногами. Автоматизировать свою работу можно по-разному, кто-то использует радмин и все делает руками, но уже удаленно, а кто-то использует скрипты и групповые политики. Сегодня я хочу рассказать вам о другом подходе к автоматизации, об использовании Configuration Manager 2007.

Чем же интересен Confguration Manager для ИТ?

Службе технического обеспечения, он будет интересен своими инструментами отчетов и инвентаризации. Больше нет необходимости бегать по этажам с бумажками и отслеживать передвижение планки памяти. Вся история обновления железа будет сохранена в базе. Вы всегда сможете четко сказать, сколько процессоров Pentium IV 3ГЦм установлено на ваших компьютерах.

Рисунок 1 Вид таблицы отчетов

Техподдержка, больше не будет требовать купить себе Radmin. В SCCM входит функционал Remote managmetn, который использует три компонента для обеспечения удаленного управления: Remote Tools (набор драйверов и ПО обеспечивающих возможность удаленной работы наподобие Radmin\VNC), Remote Assistance и Remote Desktop. Кроме того, можно забыть о суматохе при смене ПО – теперь установка ПО на сотни компьютеров, требует трех щелчков мыши. Когда в следующий раз AOL снова сменит протокол, новая версия QIP будет установлена на компьютеры наших горячо любимых менеджеров в течение часа. При этом 10 минут вы будете ее скачивать, 5 интегрировать в SCCM, и оставшиеся 45 посвятите чтению сайта itband.ru, ожидая отчетов об установке.

Даже ваш отдел мотивации труда будет рад – вы можете показать им отчеты, на которых будет видно, что 90% рабочего времени менеджеры играют в косынку.

И это далеко не все возможности Configuration Manager.

Чтобы вам легче было ориентироваться в дальнейшем, определимся с основными терминами, которые используются при работе с Configuration Manager.>

Сайт SCCM (Site system) – группа серверов выполняющих роли SCCM.

Central site – верхний primary-сайт в иерархии сайтов.>

Primary site – группа серверов, которые используют для работы собственную базу данных

Secondaryт site — группа серверов, которые используют для работы базу данных родительского сайта.

Branch distribution> point – хотя это не отдельный сайт, а роль сайта, все же стоит отметить отдельно. Данная роль предназначена для упрощения обслуживания особо маленьких филиалов организации. В таких филиалах сеть может представлять из себя 3 компьютера в рабочей группе. В отличие от primary\secondary сайтов Branch DP может устанавливаться и на рабочие станции. Обладает функционалом только точки распространения программ\обновлений.

Границы сайта — IP подсети, диапазоны IP адресов, сайты AD и IPv6 Prefix определяющие зону управления того или иного сайта.

Коллекция (collection) – группа объектов (пользователи, компьютеры, группы безопасности) объединенная, по какому либо признаку. Именно над коллекциями производится большинство действий, таких как установка программ\ОС\обновлений.

Роль SCCM (role) – компонент SCCM обеспечивающий выполнение определенной функции, например, такой как установка ПО или создание отчетов. Все роли могут быть совмещены на одном сервере, либо разнесены на отдельные сервера.

Client Agent – определенный функционал клиентской части SCCM. Часть агентов может быть отключена.

Функциональность SCCM можно разделить на три больших класса:

Инвентаризация и отчеты

• Инвентаризация аппаратного обеспечения (Hardware inventarization)
  Инвентаризация  программного обеспечения (Software inventarization)
  Слежение за используемым ПО и лицензиями (Asset Intelligence)
  Отчеты (Reporting)

Развертывание приложений и ОС

• Развертывание операционных систем (OS Deploy)
  Распространение ПО (Software distribution)
  Распространение и управление виртуализированным ПО (Application virtualization management)
  Управление обновлениями (Software update)

Управление клиентскими устройствами

• Мониторинг используемых программ (Software metering)
  Удаленное управление клиентами (Remote management)
  Управление мобильными устройства (Modile device management)
  Управление клиентами Intel vPRO (Out  of band management)
  Поддержка заданной конфигурации (Desied configuration manager)
  Защита подключающихся к сети (Network access protection)

Рисунок 2 Роли сайта SCCM R2 2007

Причем структура SCCM такова, что из всего этого многообразия возможностей, вы можете использовать и устанавливать только те компоненты, которые вам необходимы.

SCCM  совместима с большинством ОС Microsoft.

Рисунок 3 Поддержка ОС в Configuration Manager 2007

Рассмотрим по отдельности некоторые основные возможности.

Установка ОС (OS Deploy)

Как часто вам приходится устанавливать ОС на компьютеры? Я думаю, что большинство системных администраторов использует ту или иную технологию (RIS\WDS) для облегчения установки. OSD в SCCM позволяет облегчить весь процесс установки до одного простого действия: подключения в сеть и включения компьютера. Далее запуститься мастер установки SCCM и на компьютер будет последовательно развернуты: ОС из файла wim, все драйвера необходимые для работы компьютера, заданный набор программ и все самые свежие обновления безопасности. Я не могу сказать, что по сравнению с WDS SCCM  совершил революцию, нет, это скорее эволюция. То, что при использовании WDS было ранее невозможно или требовало от системного администратора много времени и сил, теперь стало доступно по двум щелчкам мыши.

Рисунок 4 Приветствие мастера установки ОС в OSD

Установка приложений (Software distribution)

Иногда бывает так, что пользователям приходится менять свои компьютеры. У кого-то эта ситуация ярко выраженная, у кого-то менее. Довольно часто случаются курьезные ситуации в стиле башорга: «А перенесите мне мой старый монитор, там у меня на рабочем столе важная программа осталась!». Можно конечно подойти и поставить все вручную. Но нужно ли? SCCM позволяет назначать установку программ на коллекции. При этом установка будет происходить в фоновом режиме, поэтому пользователь пересевший за новый компьютер, на котором установлено только базовое ПО, в течение часа получит все программы которые ему назначены. Причем в этот момент он будет продолжать работать с почтой, просматривать интернет страницы или раскладывать косынку – т.е. полноценно работать, а не стоять у вас над душой с криком: «У меня отчет! У меня сроки горят!»

Рассмотрим другую ситуацию: в компании жестко определены наборы приложений, которые используют те или иные группы пользователей. Когда пользователь переходит из группы в группу ему необходимо добавлять эти приложения. Конечно, можно было бы воспользоваться групповой политикой, но тогда весь комплект программ будет установлен пользователю сразу. Действительно ли это так необходимо? Или же лучше ставить программы по запросу? SCCM позволяет пользователям с ограниченными привилегиями самостоятельно устанавливать на своих компьютерах необходимые и ободренные администратором программы. Причем только вы решаете – будет это шаблонная установка, или вы позволите продвинутому пользователю пройти весь мастер установки самостоятельно.

Или бывает так: в 17:45 вас вызывает к себе начальство и говорит, завтра в 9:00 утра на всех наших пятистах компьютерах должна быть новая супер программа от наших партнеров. Не правда ли, знакомая ситуация? Раньше в такой ситуации приходилось до ночи засиживаться в офисе. С помощью SCCM можно спокойно уйти домой в 18:00. А SCCM ночью централизованно включит компьютеры (с помощью технологии WakeOnLan) и установит все необходимые программы, после чего снова выключит их. По-моему, это гораздо лучше, чем засиживаться на работе?

Рисунок 5 Выбор ПО доступного для установки

Управление обновлениями (Software Update)

SCCM расширяет возможности хорошо известной службы обновлений WSUS 3.0, позволяя управлять не только обновлениями Windows Update, но и обновлениями сторонних организаций. Вы может обновлять с помощью него даже свой собственный корпоративный софт. Сам процесс управления обновлениями стал гораздо более гибким.

В SCCM, в отличие от WSUS нельзя установить автоматическое одобрение обновлений. Все обновления должны быть предварительно одобрены администратором. Я считаю такой подход оправданным, все изменения в системе должны проходить предварительное тестирование. В моей практике бывали случаи, когда одно исправление способно нарушить работу бизнес приложений. Но это не означает, что управление обновлениями усложнено. Для действий над группами обновлений существуют листы обновлений (update list). Благодаря им, администратор может оперировать не отдельными обновлениями, а целыми списками, к примеру всеми критическими обновлениями выпущенными в последний «вторник».

Для установки обновлений на клиентах применяется довольно гибкий подход. Вы можете:

• позволить пользователям самостоятельно принимать решение об установке того или иного исправления;
• дать время пользователю «подумать», а по истечении определенного срока установить обновление принудительно;
• либо же сразу устанавливать обновление принудительно, в том числе автоматически включая компьютер с помощью WakeOnLan технологии ночью.

Рисунок 6 Возможность выбора применяемых обновлений

Решение для филиалов и удаленных клиентов

В России структура средних и больших компаний такова, что их офисы отделены друг на тысячи километров и несколько часовых поясов. Причем линии связи между филиалами могут быть абсолютно разными. Начиная от выделенных оптических линий от магистральных провайдеров, заканчивая городской Wi-Fi которая имеет «приятное» свойство зависать во время дождя. Некоторые филиалы могут не уступать в размере и качестве подготовки обслуживающих их ИТ специалистов головному предприятию, а в некоторых на большое количество «манагерского» состава, будет всего один эникей, ну а некоторые филиалы будут довольствоваться тремя компьютерами в каком-нибудь промышленном пригороде, куда даже студента старшего курса не заманишь для обслуживания этого хозяйства. Мне пару раз приходилось устанавливать 1С с использованием радмина, через спутник. Я получил просто массу «удовольствия» и убил на это не один час. Если мы используем SCCM, то даже в самых отдаленных и маленьких филиалах сможем использовать его возможности. Где то это будет полноценный сайт, где-то secondary сайт,  ну а в особо маленьких филиалах компьютер секретаря будет использован как Branch distribution point.

Лицензирование и цены

Разумеется, в вводной статье нельзя не затронуть такую тему как лицензирование. Как и для большинства продуктов SystemCenter, для Configuration Server 2007 нам понадобиться покупка нескольких типов лицензий.

Управляющий сервер (Management Server)

Configuration Manager 2007 R2 Server
Лицензия нужна для каждого сервера (site server) запущенного в физической или виртуальной среде. Так же отдельная лицензия нужна, на каждый узел NLB-кластера сервера SCCM.
Вам не требуется дополнительно покупать лицензии Management Server, если любая из перечисленных ролей установлена на сервере, отличном от сервера с ролью Site server:

• Configuration Manager Console
  Configuration Manager Client
  Device Management Point
  Custom Updates Publishing Tool
  Distribution Point
  Fallback Status Point
  Inventory Tool for Microsoft Updates
  PXE Service Point
  Management Point
  Reporting Point
  System Center Update Publisher
  Secondary Site Server
  Server Locator Point
  Software Update Point
  State Migration Point
  System Health Validator Point
  Configuration Pack

Вам так же не требуется лицензия Management Server для сервера SQL (role site database server), на котором будет храниться база данных сайта SCCM.
Хочу обратить особое внимание на Secondary сайты. Для Secondary-сайта не требуется дополнительная лицензия Management Server, поскольку secondary сайт работает с базой главного сайта.
http://technet.microsoft.com/en-us/library/bb632547.aspx

Серверные лицензии на управление (Management Licenses for Managed Servers)

Configuration Manager 2007 R2 Enterprise Server ML
Управление экземплярами серверного программного обеспечения с использованием DCM:
Конфигурации IT Compliance и Governance
Основной нагрузкой операционной системы
Все другие утилиты операционных систем, нагрузки служб, а также любые приложения, работающие в лицензионных операционных средах.
Configuration Manager 2007 R2 Standard Server ML
Управление экземплярами серверного программного обеспечения с использованием Desired Configuration Management (DCM) (Управление заданной конфигурацией) основной нагрузки операционной системы, работающей в лицензированной операционной среде, а также управление любыми приложениями, работающими в этой операционной среде, которые не требуют использования DCM.

«Основные нагрузки операционной системы» включают:
следующие служебные программы операционной системы:  диспетчер системных ресурсов, служба уведомлений о смене пароля, анализатор безопасности Baseline Security Analyzer, службы надежности и доступности;
нагрузки следующих файловых служб и служб печати:  сервер печати, распределенная файловая система (DFS), служба репликации файлов (FRS), сетевая файловая система (NFS), протокол передачи файлов (FTP) и службы Windows Sharepoint Services;
нагрузки следующих сетевых служб:  распределенная служба имен DNS, протокол динамической настройки сети DHCP и служба имен Windows Internet Naming Service (WINS).

Для каждой серверной операционной среды (среда OSE) на одном устройстве, которым необходимо управлять, требуется лицензия на управление серверами (лицензия ML).  Если у вас имеется более одной среды OSE, для такого устройства потребуется эквивалентное количество лицензий ML.  Для управления любым количеством сред OSE на одном сервере можно использовать одну лицензию System Center Server Management Suite Enterprise.  Кроме того, серверные лицензии ML разрешают управление средами OSE на рабочих станциях.
Важно помнить, что любые варианты лицензирования управляемых или обслуживающих устройств — с помощью отдельных ML не влияют на необходимость лицензирования управляющих серверов, и тем более не отменяют эту необходимость.

Клиентские лицензии на управление (Management Licenses for Managed Clients)

Configuration Manager 2007 R2 Client ML
Хотя серверные ML можно использовать для лицензирования не-серверных сред, это вряд ли оправдано экономически. Для лицензирования не-серверных сред, существует клиентская лицензия Client ML. Client ML бывает трех видов:
Client ML — per OSE привязываются аналогично серверным ML — к каждой среде (OSE) в отдельности. Таким образом, отдельная лицензия требуется для каждой запущенной среды с не-серверной ОС. При этом такой тип лицензии позволяет управлять не-серверной средой вне зависимости от того, сколько пользователей использует эту ОС.
Client ML — per user дает возможность лицензировать управление не-серверными ОС по количеству пользователей, которые используют эти среды. Клиентская лицензия на управление такого типа позволяет управлять всеми средами, которые используются лицензированными пользователями.
Client ML лицензия, включенная в наборы Core CAL и Enterprise CAL. В этом случае, она позволяет управлять любым количеством не-сервеных сред для любого количества пользователей, то есть лицензируется на устройство (per device).

Для примера возьмем среднюю организацию, в которой 10 серверов и 150 рабочих станций. При этом у организации два офиса – основной и дополнительный. В основном расположены 100 пользователей, в дополнительном 50. 5 топ-менеджеров  используют в свой работе КПК на базе Windows Mobile. Тогда для внедрения SCCM нам понадобятся следующие типы лицензий:
— клиентские лицензии (Client ML) – 155 = 150+5
— лицензии на управление серверами (Server ML) – 10
— лицензия на SCCM R2 – 1
Если каналы между офисами более-менее стабильны, то вы можете развернуть в дополнительном офисе Secondary сайт. При этом, стоимость лицензий не поменяется.

Рисунок 7 Схема лицензирования

Цены

Configuration Manager Server 2007 R2 ~ 580$
Enterprise ML ~430$
Standard ML ~ 160$
Client ML  ~ 40$

Подробнее о лицензировании:
http://www.microsoftvolumelicensing.com/userights/Downloader.aspx?DocumentId=2084
http://www.microsoft.com/systemcenter/configurationmanager/en/us/pricing-licensing.aspx

Вместо заключения

SCCM это очень мощное и красивое решение для автоматизации управления компьютерами организации. Но за кажущейся простотой и красотой административной консоли не должна дарить вам чувство эйфории. Как подчинить этого «монстра» я расскажу в последующих статьях.

Алексей Тараненко

MCP/MCTS: SCCM 2007

altaranenco@gmail.com