某集团信息技术中心负责全集团范围内信息化设施与项目的规划、建设、管理与维护工作。
集团经过多年的高速发展,规模不断壮大,目前,在集团局域网内仅办公人员所用的联网桌面电脑就达一千五百多台,集团计算机网络通讯机房内安装有各种类型的服务器近百台。信息技术中心为保障一千多台桌面电脑 的正常使用投入了大量精力,我们的服务响应工程师每天要处理大量桌面和笔记本电脑的设置与维护工作,解决用户在使用中遇到的各种类型问题。这些管理工作具有来源广(来自不同地点)、种类杂(不同品牌型号的桌面电脑需要不同的维护)、重复性高(同一个维护工作需要重复很多次)和耗时大(一个工程师花在一个维护事件上的时间较长)等特点。因此,如何高效率地做好桌面电脑的维护服务工作,减低工程师的劳动强度,减少企业维护成本,是信息技术中心经常思考的问题。我们需要寻找一种辅助工具来帮助电脑维护工程师减轻劳动强度,提高维护效率,提升服务品质。
目前市场上多家厂商推出了电脑终端用户管理平台产品,能够帮助企业规划、设计和构建客户端的管理与服务,协助维护工程师为客户电脑安装补丁、分发软件、统一配置和制作报表。我们邀请多家厂商在集团内测试网络中进行了现场安装与测试,考虑到美国微软公司推出的SMS2003R2桌面电脑管理软件,与集团局域网内已经部署的域控机制(活动目录机制)同属微软公司的产品,两种软件产品之间准确集成,同时SMS2003R2具有灵活分发可执行程序和自动下载并推送系统补丁等功能,另外还有形式多样的报表功能方便管理层全面掌控集团联网电脑情况,因此,我们最终选择微软公司的SMS2003R2产品作为集团桌面电脑的管理与服务平台,部署在集团局域网内,协助工程师维护局域网内的桌面电脑。
一、SMS2003核心功能和特点介绍
SMS(System Management Server)2003是微软公司推出的大型系统管理与软件部署工具,可以对企业机构内部基于Windows操作系统的桌面电脑和服务器实施管理,对于软件的管理与部署更加系统、简易和安全。结合集团部署SMS2003的实践,我们体会到SMS2003在报业集团局域网内的应用,具有以下功能和特点。
1、全面收集资源-硬件和软件资产的管理。SMS提供的设备资产管理功能,能够直接发现并跟踪所有基于Windows的笔记本电脑、台式机和服务器,并作为网络等其他系统设备的综合管理平台,对集团内所有IT相关设备提供综合管理。桌面维护工程师利用这个功能可以查看某台特定客户端电脑的硬件配置以制定硬件调整、升级计划和进行资产跟踪;也可以通过 "添加/删除程序"查看某台特定客户端电脑安装了哪些应用程序和补丁以帮助技术中心制定软件升级计划。
2、个性化整合信息-报表系统与软件使用测量。SMS生成的简明和详细报告可以对客户端电脑配置了哪些具体硬件,这些硬件属于哪些不同厂商或型号,哪些应用程序被哪些用户使用,使用多久和基于哪些操作系统等情况加以描述。这些特点有助于响应工程师掌握硬件、软件使用情况和使用频率,并根据目标阅读人群的不同阅读习惯,个性化生成各种形式的报告,如饼状图、柱状图,方便集团领导一目了然的查看报表以掌握情况。
3、统一化部署软件-软件分发与安装。SMS提供的软件发布功能,可以针对基于Windows操作系统的桌面电脑、笔记本电脑和服务器进行强大而灵活的软件部署。工程师将软件包部署到遍布集团内的桌面电脑,对它们执行推荐、分发、安装和跟踪。软件包还可在允许终端用户干预或无需终端用户干预的情况下实现部署,而任何桌面维护工程师都不必亲身前往。无论软件产品是像WindowsXP专业版操作系统、还是像Microsoft Office这样的完整软件应用套件,还是由其它厂商提供的软件或重要的Windows系统更新,SMS均可确保软件处于即时更新状态,以此减低所需付出的工作量。这是集团技术部门最看重的软件功能。 4、智能化分发补丁-安全补丁更新。随着Windows操作系统的安全问题越来越受到大家的关注,每隔一段时间微软都要发布修复系统漏洞的补丁。在以往,桌面维护工程师在单方面分发完补丁后,不能及时有效地得到反馈信息,从而不能保证补丁安装的完整性和有效性。通过结合SMS软件资产管理和软件分发,SMS的安全补丁分发功能能够根据查询条件筛选补丁和更新,显示特定电脑所需要的安全升级,进行有效地分发。最后对每台客户端电脑补丁安装情况做出报告,提示、建议和帮助工程师查遗补缺,更好地部署客户端电脑补丁分发和更新。
5、互动化解决问题-远程管理和控制。对于技术中心来说,对分布空间很大的客户端计算机进行实际操作,较为繁琐而缺乏效率,有了SMS远程诊断工具,可帮助维护工程师及时准确地获得关键的系统信息,工程师在用户同意并授权操作的情况下,与用户协同分析、检查和排除问题,工程师就能花费较少时间诊断故障并以远程方式解决问题,而用户既能观察工程师做了哪些操作又能协同解决问题,保护了他们的知情权,也提高了他们解决问题的能力。
基于以上功能, SMS能够帮助桌面维护工程师收集复杂的系统数据,对集团内软硬件资产的部署和使用情况进行跟踪,制作报表进行信息汇总分析,帮助信息技术部门分发和监控软件安全更新,并且以安全可靠的方式对客户端电脑实施远程管理,有效降低维护工程师的工作量,提高桌面电脑的服务效率,降低集团的维护成本。
二、 日常管理中的问题处理和部署策略
1、SMS站点能够发现客户端电脑,但客户端电脑无法安装SMS客户端程序。这个问题是我们在软件部署阶段经常遇到的问题。我们在设置SMS时,将客户端发现方法设为AD系统发现,将发现范围设定为整个域。将站点边界分别设置为IP子网范围和AD域范围,这里需要注意的是,在填写AD域范围的时候不能直接写上AD域的域名xxx.com,而是需要填写AD域的站点名字,默认情况下AD域的站点名为:DEFAULT-FIRST-SITE-NAME.如图:
2、提高客户端发现速度,缩短计划轮询时间。SMS轮询最近的AD资源以发现指定容器中的系统。由于此进程可产生大量网络流量,所以需要根据情况制订计划来安排发现。如果是小范围的发现客户端的话,可以运行"尽快运行发现",此选项在勾选并应用之后,会取消选择。
3、合理制订补丁分发计划,简化补丁包的建立。第一次安装配置SMS时,我们通常按照客户端请求数的大小建立一个初始的补丁包,这个补丁包可以根据操作系统的不同分别建立,包含了历史时期此操作系统的所有补丁。根据微软在每个月的第二个周三左右会发布全新的补丁和更新,我们在日常补丁和更新管理工作中,只需每月建立一个增量的补丁包即可。且每月的增量补丁包也可作为日后补丁包建立的模板,而不需要从头至尾再完全新建一个补丁包。
4、依据OU的划分,逻辑划分集合。根据我们的部署体会,由于集团下属部门众多,基于域环境管理的策略也不尽相同。在域环境中,域用户组策略管理最小单位为组织单位(OU)。在SMS中,参照OU划分SMS资源将使AD和SMS更紧密的结合,方便日常维护和查找资源。
5、做好站点维护,删除过期信息。由于集团内部人员调整较为频繁,电脑信息也不可避免的变化更新,如何使SMS数据库中大量客户端数据保持最新,提高数据的有效性是我们日常使用中遇到的又一问题。首先为了保持用户账户的有效性,我们必须保证用户账户的源头-A D用户信息的有效性。首先,我们在AD服务器中使用了VB脚本程序,禁用一个月未登陆的用户账号,删除半年未登陆的用户账号,保证AD和SMS用户的更新率。其次,我们在SMS"站点设置"中,设置"删除过期的库存清单历史记录"、"删除过期的软件计数数据"、"删除不活动的客户端发现数据"和"删除过期的客户端发现数据",保证SMS数据的更新率。
6、监控SMS客户端电脑与SMS站点服务器间的通信。SMS客户端与SMS站点服务器正常通信并安装SMS客户端软件后,在客户端计算机的进程内会有CcmExec.exe的进程出现,在客户端电脑的控制面板内会多出"系统管理"、"运行播发程序"、"系统"和"远程控制"四个标签。我们双击"系统管理属性"中的"高级",点击"发现",会弹出"自动站点代码发现成功"的提示框,表明SMS客户端与SMS站点服务器之间建立了持续的通信。
7、对于不加入域的电脑,手工安装SMS客户端软件。对于集团局域网加入域管理的桌面电脑,我们采用自动推送的方法安装客户端软件。对于未加入域控但我们也希望通过SMS管理的网内电脑,则需要手工安装客户端软件。执行SMS安装光盘中的client.msi,根据向导安装完成客户端软件。
8、在非SMS站点服务器上安装管理控制台方便使用SMS。由于日常管理中,系统管理员不便于一直在SMS站点服务器上操作,我们可以在桌面电脑上安装SMS管理控制台,完成对SMS的日常管理。
