mgt006 system center configuration manager 2007: análise...
Post on 26-Aug-2020
21 Views
Preview:
TRANSCRIPT
Microsoft Tech·Ed IT Forum 2006
MGT321 1
MGT006
System Center ConfigurationManager 2007: AnáliseTécnica Pormenorizada
Luís Silvaluis.silva@rumos.ptSenior Trainer, Rumos
Patrocinadores Agenda
Calendário do SCCM 2007
Revisão das funcionalidades introduzidasnas versões anteriores
AKA SMS v4 para as duas primeiras releases
Análise técnica das funcionalidades da versão actual do SCCM 2007
Versão Beta 2
Microsoft Tech·Ed IT Forum 2006
MGT321 2
SCCM 07 – Áreas de InvestimentoPronto a funcionar em minutos
Interface simplificado
Advanced Task Sequencing
Custos da infra-estrutura reduzidos com suporte para localizações remotas
Calendarização melhorada, com maior controlo, incluíndo Wake-on-LAN
Processos comuns para Windows Mobile e dispositivos embeddedSimplicity
Gestão de configurações de acordo com o System Definition Model (SDM)
Políticas de configuração predefinidas para os cenários mais comuns
Políticas de TI para a análise de conformidade corporativa e legal
Gestão de recursos e licençasConfiguration
Integração com o Network Access Protection do Longhorn
Distribuição de updates simplificada, com templates para as tarefas mais comuns
Verificação de vulnerabilidades ao longo da organização
Gestão segura de dispositivos sobre a InternetSecurity
Distribuição uniformizada para o SO Windows (cliente e servidor)
Uma única imagem para gerir com o Windows Vista
Construído sobre as tecnologias presentes no Windows Vista, incluindoWindows Imaging
Planeamento eficaz de upgrades Windows Vista e Office 2007
Suporte para offline mediaDeployment
Versões do SCCM 2007
Beta 1
Lançada em Fevereiro, 2006
Continha as funcionalidades do SMS 2003, mais a nova Consola Administrativa, suporte para Branch Distribution Points, ITMU, e com os OSD e Device Management Feature Packs integrados
Beta 1 Refresh
Lançada em Julho, 2006
Todas as funcionalidades da beta 1, mais suporte para instalações doWindows Vista beta 2, integração de NAP com o Longhorn Server, emelhorias na Consola Administrativa
Beta 2
Lançada em Fevereiro, 2007
Todas a funcionalidades da beta 1 refresh, mais as funcionalidadesdescritas em detalhe nesta sessão
RTM – Verão, 2007
Novas funcionalidades do SCCM 2007 Beta 2
Novo SMS setup com verificação de pre-requisitos
Instalação opcional do management point
Instalação opcional do distribution point
Configuração de portos HTTP personalizados
Suporte para:
SQL Server 2005 em cluster (apenas para uma instalação remota do SQL Server)
SQL Server named instances
Site systems 64-bit (para além do IA-64 SQL Server)
Longhorn site systems
SMS Administrator Console
Pastas de pesquisa (Search folders)
Mais homepages
Novas funcionalidades do SCCM 2007 Beta 2 (2)
Distribuição de Software
Janelas de Serviço (Maintenance windows)
Variáveis de Collection/machine
Wake on LAN
Replicação de binarios em delta
Copy Packages wizard
Software Updates
Integração com o WSUS
Listas de Autorização
Gestão de updates 3rd party
Verificação de vulnerabilidades
Microsoft Tech·Ed IT Forum 2006
MGT321 3
Novas funcionalidades do SCCM 2007 Beta 2 (3)
Suporte para a instalação do Vista RTM
Suporte para Offline media
Integração com PXE boot
Catálogo de drivers
Desired Configuration Management
Gestão de Clientes através da Internet
Native security mode
Descoberta personalizada de atributos da Active Directory
AD System Discovery e AD User Discovery
Gestão de Dispositivos móveis
Suporte de dispositivos “Over the air”
Pré-requisitos para a Beta 2
SMS site systems:
Windows 2003 Server SP1 ou Windows Server 2003 R2
Microsoft SQL Server 2005 SP1
IIS 6.0
SMS Administrator Console:
.Net Framework 2.0
MMC 3.0
Cliente:
Apenas Advanced Client (Windows 2000 SP4 ou posterior)
.Net Framework 2.0 para DCM
Interoperability:
SMS 2003 SP2 ou SMS 2003 SP3
Pré-requisitos para a Beta 2 (2)
Modo de segurança nativo:
Necessário PKI (não fornecida com o SCCM)
Certificados digitais necessários para clientes e site systems
Suporte para Clientes através da Internet:
Firewall/DMZ com suporte SSL (SSL termination)
Modo de segurança nativo
Software Updates:
Necessário o WSUS 3.0
Suporte OSD PXE:
Windows Deployment Services instalado em Windows Server Longhorn ou Windows Server 2003 (Windows Automated Installation Kit)
Novidades na Distribuição de Software Collections
Janelas de Serviço (Maintenance windows)
Configuradas per-collection
Podem ser ignoradas por advertisement/deployment
Úteis como “safety net”
Clientes pertencentes a múltiplas collections, aplicam o somatório das Janelas de Serviço definidas
Definições de Segurança individuais
Variáveis
Configuradas como uma collection ou propriedade
Úteis para scripts
Notificações de Restart
Intervalo de avaliação das políticas
Sobrepõe as definições de Site
Microsoft Tech·Ed IT Forum 2006
MGT321 4
Copy Packages Wizard
Permite a clonagem do conteúdo de um DP para outro
Permite a selecção de pacotes a copiar
Suporte para DP remotos (Branch Distribution Points)
Ideal para localizações onde não existam servidores
O conteúdo é dscarregado utilizando os mecanismos de controlo de largura de banda do BITS
Pode ser pré-instalado ou descarregado a pedido
O conteúdo fica disponível para os clientes locais
Suporte de clientes Windows XP SP2+ (pertencentes aodomínio)
Novidades na Distribuição de Software Distribution Points Janelas de Serviço
Wake on LAN com o SCCM 2007
Integrado no produto – Não é extra!
Disponível para suportar a Distribuição de Software, Updates e SOs
Configurado por servidor
Configurado ao nível do site
Processo de configuração composto por duas etapas
Activar a utilização a partir do site
Definir a utilização na calendarização das tarefas (nosAdvertisements)
Não pode ser configurado centralmente na hierarquia
Collection based targeting
Selective processing for SUM deployments
Will only transmit to clients assigned to site
Wake on LAN com o SCCM 2007 Formatos de transmissão de pacotes
Unicast WOL
Método preferencial
Utiliza o último endereço IP do cliente, obtido atravésdos DDR de inventário
Não necessita de configuração de rede adicional
Subnet Directed Broadcasts
Método alternativo
Configuração do porto de origem
Necessita de configuração dos routers (Layer 3)
Pode ser seguro pela configuração de ACLs
Microsoft Tech·Ed IT Forum 2006
MGT321 5
Wake on LAN in SCCM 2007Ambientes suportados
Suporta placas de rede certificadas com o Windows Logo
Windows Vista & Longhorn Server
Windows Server 2003
Windows XP
Windows 2000 Professional and Server
Todas as arquitecturas: 32-bit, x64, IA-64
Todas as plataformas que suporte o formatoWOL standart
ConfiguraçãoWake on LAN
Novidades nos Software Updates:Suporte das novas funcionalidades do SCCM 2007
Suporte de Janelas de Serviço e Wake on LAN
Suporte de clientes da Internet e intranet
Utiliza mensagens de estado em vez do inventário de hardware
Um único agente para todos os tipos de updates (Microsoft, 3rd party, e aplicaçõesdesenvolvidas “in-house”)
Windows Update Agent
Novidades nos Software Updates:Integração com o WSUS
O WSUS 3.0 é um pre-requisito para a instalaçãode software updates em clientes SCCM 2007
Todo o conteúdo do WSUS é disponibilizado ao SCCM
Os clients verificam os updates necessários sobre o WSUS
Os results são transmitidos ao WSUS e ao SCCM
Para o SCCM através de mensagens de estado – semdependência do inventário de hardware
SCCM gere a distribuição de updates
Os updates são descarregados da web
Custom Updates são publicados no WSUS paraintegrar com o SCCM
Microsoft Tech·Ed IT Forum 2006
MGT321 6
3c3c
Software Update Point
Microsoft
Update
Management Point
Distribution Point
Admin ConsoleAdmin Console
Management Point
1b1b 3a3a
3b3b
1a
Site Server
WSUS Server
WSUS Database
Site Database
Sincronização da Metadata do WSUS
Management Point
Reports
Management Point
WSUS Server
Software Update Point
Site Server
Distribution Point
Admin Console
WSUS Database
Site Database
1b1b
6
Verificação de conformidade do
cliente
Microsoft
Update
Management Point
Distribution Point
Admin Console
Site Database
Admin Console
Management Point
Local Source
Distribution Point
Site Server
11
6a6a
Instalação de Software Updates Novidades nos Software Updates:Custom Updates Publishing Tool
Disponível desde o SMS 2003 R2
Permite a criação de catálogos custom/in-house ou a importação de catálogos 3rd party
Os updates são publicados no WSUS parasincronização com o SCCM
Necessita da MMC 3.0
Pode ser instalado em Windows XP SP2, Windows Server 2003 SP1 ou posteriores SOs
Requer SQL Server 2005 e a .Net Framework 2.0
Microsoft Tech·Ed IT Forum 2006
MGT321 7
Verificação de Vulnerabilidades
Implementada e disponibilizada como Configuration
Items para Desired Configuration Management e
Software Update Management
O SMS 2003 R2 (MBSA v2) implementava um total de cerca de
100 verificações individuais
O SCCM 2007 irá implementar essas verficações através de
DCM (a grande maioria) ou SUM (as restantes verificações)
A SMS 2003 R2 Vulnerability Assessment (VA) Tool
não irá ser suportada pelo SCCM 2007
Continuará a funcionar nos clientes de SMS 2003
Os relatórios de VA do SMS 2003 R2 não irão actualizar
automaticamente para os novos relatórios baseados na DCM
Integração com o WSUS
Desired Configuration Management
Visão:
Define baselines de configuração
Configurações necessárias e proibidas
Auditoria de conformidade para sistemas Windows
Cenários Comuns:
Detecção de desvios de configuração em servidores
Apoio no despiste de problemas por parte do Helpdesk e melhoria nos tempos de resolução
Relatórios de conformidade legal
Gestão/verificação de alterações
Desired Configuration Management: Data flow
DCM Digests
ConfigMgr
Admin
Console
ConfigMgr Server
Windows
Server2003
CI
401K
ApplicationCI
Antivirus
SoftwareCI
ConfigMgr Database
401(k) ApplicationServer
Baseline
ConfigMgr Client
Managed
ClientWMI
XML
Registry
IIS
MSI
1CIs criados pela
importação de documentosválidos
2 Novos CIs criados
3 Configuration
Baseline definidaUtilizando osconfiguration items
Configuration baseline
associada ao cliente4
DCM descobre os
CIs e valida a Informação sobreAs regras
5
Relatório de
ConformidadeEnviado para oSite Server
6
Script
SQL
Software
Updates
File
Active
Directory
Compliance
State
Tables
Microsoft Tech·Ed IT Forum 2006
MGT321 8
Desired Configuration Management
Novidades na instalação de SOs: Distribuição de Imagens
Opções de distribuição de imagens
A partir do DP via HTTP no momento da instalação
Pre-carregado do DP na cache do cliente utilizando o BITS (“download-and-execute”)
A partir de media amovível para cenários de reduzidalargura de banda
CD
DVD
USB flash drive
Arquitectura
DPMP
Site Server
Client
Criação das imagens de
Boot e de SO e replicação
para o DP.
Criação da Task Sequence e
publicação da mesma na
collection que contémo cliente
O cliente recebe a
Task Sequence do MP
e executa-a
O cliente descarrega as
imagens de boot e SO
referidas na Task sequence
O client envia a
informação de estado à
medida que a Task
Sequence executa
Novidades na instalação de SOs: Catálogo de Drivers
Catálogo dos drivers para os dispositivo geridos
Utilizado para uniformizar a imagem deinstalação (one worldwide image)
Implementa a imagem genérica do SO
Procura dispositivos de Hardware
Acede aos drivers correspondentes e instala-os na imagem correspondente
Arranca a máquina com o novo SO e os driverscorrectos já presentes
Implementados através de Task SequencesAuto-Apply Drivers
Apply Driver Package
Microsoft Tech·Ed IT Forum 2006
MGT321 9
Novidades na instalação de SOs: Integração com PXE
Integra com o Longhorn WDS PXE server
Gerido como um SCCM 2007 site role (PXE Service Point)
PXE server responde a pedidos de PXE boot
Verifica a BD do SCCM 2007 para saber se o sistema é conhecido
Se desconhecido, o pedido é rejeitado
Se conhecido, descarrega o Windows PE
Integração dos WDS com o SCCM 2007
New Computer
SCCM 2007 Site Server
O SCCM provider no
WDS verifica a existência damáquina na BD do Site
Se a máquina for
encntrada, o WDS
continua. Senão, tentao próximo provider
O WDS Server
descarrega o WinPEpara a nova máquina
SCCM 2007MP
SiteDB
O WDS PXE Server contémmultiplos providers. O ConfigMgr
coloca o seu provider fem primeiro
lugar da lista
WDSServer
O WinPE contacta
o MP de forma a
encontrar a task sequence anunciada
A nova
máquina arrancapor PXE
O Admin anuncia
uma task sequence a uma collection que
contém uma nova máquina
Operating System Deployment
Mixed ModeSMS 2003 advanced security mode
Native ModeAutenticação mútua (HTTPS) entre o cliente e o servidor com certificados digitais emitidos pela PKI
Activado nos níveis superiores da hierarquia (top down, como osupgrades)
Requer uma PKI
Suporta PKIs 3rd party
A estrutura do SCCM 2007 tem que estar publicada na AD
É pre-requisito para gerir internet-based clients
Os modos de segurança são configurados por site
mixed > native / native > mixed
SCCM 2007: Modos de Segurança
Microsoft Tech·Ed IT Forum 2006
MGT321 10
Alterações de Segurança do SCCM 2007
Deixa que apenas clientes autorizados possamcomunicar
Block/Unblock clients
Custom Web SiteO default Web Site continua a ser opção
Alguns Site Roles podem ser definidos paraservir:
Apenas Internet
Apenas Intranet
Internet & Intranet
Site Roles: Management Point, Distribution Point, Fallback Status Point, & Software Update Point
Gestão de Internet Based ClientsInstalação do Cliente
Opções de instalaçãoLigação à rede corporativa (intranet)
Instalação Manual
VPN
CD
Internet Client é gerido pelos Internet Based Management Point & Internet Based Fallback Status Point
Gestão de Internet Based Clients Suporte a Roaming
Quando na InternetNão procura dinamicamente o Management
Comunica com um Internet Based Management Point fixo
Quando noutra rede (Foreign Network)Não procura dinamicamente o Management
Comunica com um Internet Based Management Point fixo
Quando na Intranet (Home network)Equivalente aos restantes clientes
Managed Laptop
ISA 2004
DMZ LAN Corp Net
Management Point
Client Identity (Signature & Data)
Policy
Data
Hash(Data)
(PR) Signature = Encrypt (Hash(Data))
Incoming
Hash(Data)
(PP) Decrypt (Hash(Data))
Computed
Hash(Data)=
Authorize Client
Issue Policy
SMS
Database
Gestão de Internet Based Clients Policy Request/Response
Microsoft Tech·Ed IT Forum 2006
MGT321 11
Gestão de Internet Based ClientsTopologias (1/4)
Managed Laptop
Router
Front End LAN DMZ LAN
Management
Point
Distribution
Point
Fallback Status
Point
ISA 2004
SQL Server
Site Server
Corporate LAN
(IPSec)
Allow
SQL & SMB
Ports
Allow
HTTPS/HTTP
Ports
IPSec
Boundary
Exception
Gestão de Internet Based ClientsTopologias (2/4)
Managed Laptop
Router
Front End LAN DMZ LAN
Management
Point
Distribution
Point
Fallback Status
Point
ISA 2004
SQL Server
Site Server
Corporate LAN
(IPSec)
Allow
SQL & SMB
Ports
Allow
HTTPS/HTTP
Ports
IPSec
Boundary
Exception
Management
Point
Distribution
Point
Fallback Status
Point
Managed
Laptop
`
Managed
Desktop
Managed Laptop
Router
Front End LAN DMZ LAN
Management
Point
Distribution
Point
Fallback Status
Point
ISA 2004
SQL Server
Site Server
Corporate LAN
(IPSec)
Allow
SQL & SMB
Ports
Allow
HTTPS/HTTP
Ports
IPSec
Boundary
Exception
MP serves
Internet & Intranet
Clients
Managed
Laptop
`
Managed
Desktop
Gestão de Internet Based ClientsTopologias (3/4)
Managed Laptop
Router
Front End LAN DMZ LAN
Management
Point
Distribution
Point
Fallback Status
PointISA 2004
SQL Server
Site Server
Corporate LAN
(IPSec)
Allow
HTTPS/HTTP
Ports
Parent Site
Allow
SQL & Sender
Ports
Gestão de Internet Based ClientsTopologias (2/4)
Microsoft Tech·Ed IT Forum 2006
MGT321 12
Resources/Recursos Úteis
SMS Home Pagewww.microsoft.com/sms
System Center Family of productswww.microsoft.com/systemcenter
Community Siteshttp://www.microsoft.com/smserver/community/default.mspx
SMS 2003 Scripting Centerhttp://www.microsoft.com/technet/scriptcenter/default.mspx
SMS Download Centerhttp://www.microsoft.com/smserver/downloads/default.mspx
Partner Resources – SMS Alliancehttp://www.sms-alliance.com/
Webcastshttp://www.microsoft.com/events/webcasts/upcoming.mspx
Related Sessions/ParticipeNoutras Sessões
MGTHOL003 - Introdução ao System
Center Configuration Manager 2007
(SMSv4)
Quarta-feira, 21 de Março, 9:30
Quinta-feira, 22 de Março, 11:15
Outros RecursosPara Profissionais de TI
TechNet Plus2 incidentes de suporte gratuito profissional
software exclusivo: Capacity Planner
software Microsoft para avaliação
actualizações de segurança e service packs
acesso privilegiado à knowledge base
formação gratuita
e muito mais.
www.microsoft.com/technet/subscricoes
Microsoft Tech·Ed IT Forum 2006
MGT321 13
Questionário de AvaliaçãoPassatempo!
Complete o questionário deavaliação e devolva-o no balcão da recepção.
Habilite-se a ganhar uma Xbox 360 por dia!
MGT006
System Center Configuration Manager 2007: Análise Técnica Pormenorizada
© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
top related