SCCM помогает в развертывании Vista...

Microsoft утверждает, будто у нее имеется лучший инструмент для развертывания ОС Vista - System Center Configuration Manager 2007 (SCCM 2007). Тесты, проведенные в лаборатории eWeek Labs, показывают, что это действительно мощный, но не единственный инструмент такого рода.

SCCM 2007, выпущенный пока в виде второй бета-версии, является преемником Microsoft Systems Management Server 2003 (SMS 2003). Окончательная редакция должна появиться в конце нынешнего лета.

Большинство компаний, выпускающих конкурирующие с SCCM 2007 продукты, в том числе Symantec (теперь имеющая в своем портфеле инструменты Ghost и Altiris для создания системных образов, развертывания ПО и сбора сведений о клиентских компьютерах) и LANDesk, на протяжении нескольких месяцев предлагали интегрированные средства развертывания Vista. Чтобы сравняться с ними, Microsoft пришлось после выпуска Vista в конце прошлого года дополнить SMS 2003 соответствующими функциями.

Не ошибитесь: SCCM 2007 - в значительной степени обновленный продукт. И ни в одном другом направлении его функции не получили столь мощного развития, как в области создания образов операционной системы, организации развертывания и сбора данных о компьютерах. Признавая данный факт, мы не могли отделаться от впечатления, что Microsoft, выпуская SCCM 2007, а прежде - начиная с конца 1990-х - и различные версии SMS, не уделяет серьезного внимания вопросам ИТ-управления. Корпорация предпринимает шаги, необходимые, чтобы не отстать от конкурентов.

Краткий перечень заслуживающих рассмотрения продуктов

Практически любое приложение для управления настольными ПК, которое можно использовать для развертывания Microsoft Windows XP, уже способно- или будет способно в ближайшее время - работать и с Windows Vista. Ниже перечисляются некоторые платформы, которые можно включить в список продуктов для тестирования, прежде чем принять решение об использовании SCCM 2007.

• BDD (Business Desktop Deployment) Plus корпорации CA. Переработанная версия инструмента Microsoft BDD (www.ca.com).
• Desktop Server производства Citrix Systems. Новый продукт, позволяющий развернуть Vista на настольном ПК или тонком клиенте (www.citrix.com).
• Management Suite компании LANDesk. Эффективно выполняет функции составления перечня компонентов, развертывания операционной системы и приложений, переноса пользовательских настроек. В скором времени должны появиться новые возможности виртуализации (www.landesk.com).
• Vista Management фирмы ManageSoft. В одном пакете объединены три самостоятельных продукта, предназначенных для проверки компьютеров на соответствие предъявляемым требованиям (Compliance Manager), развертывания ПО (Deployment Manager) и ОС (Windows Deployment) (www.managesoft.com).
• Комбинированный пакет корпорации Symantec (ранее - фирмы Altiris). Вошедшие в него продукты обеспечивают развертывание Vista и предоставляют инструменты для так называемой виртуализации приложений, сходные с теми, которые выпускает компания Citrix (www.symantec.com).
• Provisioning Manager for OS Deployment производства IBM. Традиционная система развертывания ОС на основе ее образа, способная использовать информацию об имеющихся компонентах, собранную другими инструментами платформы Tivoli (www-306.ibm.com/software/tivoli/products/prov-mgr).

Например, многие новые функции SCCM 2007 лишь воспроизводят те сервисы, которые уже некоторое время предлагаются конкурентами. К ним относятся имеющиеся в SCCM 2007 инструмент создания цепочки последовательных задач и интегрированный инструмент развертывания операционной системы, а также многие новые серверные функции платформы. Кроме того, усовершенствованные возможности SCCM 2007 по работе с образами больше связаны с имеющимися в Vista нововведениями, чем с принципиальными изменениями в управляющей платформе Microsoft.

Если процесс инсталляции SCCM 2007 - в зависимости от настроек - может занять несколько часов, то подготовка к установке этого продукта потребует, вероятно, нескольких недель. Отдельные пользователи бета-версии на протяжении двух-трех недель получают от Microsoft целенаправленную помощь, чтобы корректно установить и настроить данный инструмент. И это хорошо, потому что объем его программного кода вдвое больше, чем у SMS 2003.

Действительно, помимо функций развертывания операционной системы и управления желаемой конфигурацией пакет SCCM 2007 предоставляет инструменты для установки обновлений и исправлений, распределения приложений по клиентским машинам и управления компонентами ПК. Наши тесты показывают, что Microsoft не намного расширила функции этого пакета по сравнению с теми скромными задачами, которые решали его предшественники. Но пока менеджеры ИТ - да и сама Microsoft - полностью не отработают процесс развертывания операционной системы, с выполнением других задач придется повременить.

Для тех организаций, что не могут ждать выхода SCCM 2007, Microsoft выпустила недавно SMS 2003 SP3 (Service Pack 3). Этот продукт будет содержать множество усовершенствований, касающихся развертывания Vista с использованием образа ОС. Но, опять же, в виде дополнительных модулей.

Основные изменения

 SCCM 2007 требует наличия Microsoft Active Directory (AD), SQL Server (любой версии) и расширений схемы AD.

Первоначально мы столкнулись с некоторыми трудностями при создании пункта управления, поскольку тестировали вторую бета-версию SCCM 2007 на системе под управлением Windows Server 2003 с SP2. Предварительную проверку со стороны SCCM 2007 проходит только SP1 с некоторыми новыми исправлениями. Запустив процесс инсталляции с использованием предпоследней на сегодняшний день версии Windows Server 2003, мы смогли заставить работать пункт управления.

Хотя программный код SCCM 2007 в значительной мере написан заново с целью включения в него множества функций, которые появились в качестве дополнительных для SMS, можно совершить переход от SMS 2003 к SCCM 2007, чтобы сохранить значительную часть информации об имеющихся аппаратных и программных компонентах, которую организации, вероятно, уже накопили с помощью SMS.

Как мы тестировали: SCCM 2007, вторая бета-версия

Лаборатория eWeek Labs тестировала вторую бета-версию Microsoft SCCM 2007 на собственных мощностях в Сан-Франциско и в компании Blade Network Technologies (BNT), где нам был открыт доступ к десяткам компьютеров, с помощью которых мы могли проверить возможности данного пакета. Действительно, в BNT мы получили доступ к гораздо большему числу серверов, чем можно было бы разместить в нашей собственной лаборатории. Эта компания предоставила нам также клиентские системы, необходимые для проверки развертывания Windows Vista с достаточной эффективностью.

Испытания проводились нами с помощью ПО eWeek Labs и ее персонала. Сотрудники BNT не привлекались к установке или тестированию SCCM 2007. Мы инсталлировали бета-версию 2 этого пакета на шасси IBM BladeCenter с четырьмя серверами-лезвиями HS20, каждое из которых имело процессор Intel Xeon с тактовой частотой 2 ГГц и 1-Гб ОЗУ.

В ходе первых испытаний мы установили все компоненты SCCM 2007, включая Microsoft SQL Server 2005, на одном сервере. В процессе тестирования мы перемещали отдельные компоненты SCCM, такие как Management Points и Distribution Points, на другие лезвия.

Все клиентские системы, использовавшиеся нами в BNT, были поставлены корпорацией Dell. Мы задействовали восемь компьютеров OptiPlex GX620, каждый из которых был оснащен процессором Pentium 4 с частотой 2 ГГц и 512-Мб ОЗУ, и двенадцать OptiPlex SX260 в такой же конфигурации.

Эти компьютеры не имели графической карты, которая могла бы полностью поддерживать интерфейс Vista Aero Glass. С другой стороны, они могли работать под управлением Vista и хорошо служили нам в качестве оконечных точек при тестировании развертывания ОС.

В нашей собственной лаборатории мы использовали вторую бета-версию SCCM 2007 для развертывания Vista на нескольких более мощных системах, среди которых были HP Compaq dc7700p на процессорах Intel Core 2 с частотой 2 ГГц, 1-Гб ОЗУ и набором микросхем Intel Q965. Компьютеры HP Compaq набрали 3,6 балла из 5,9 возможных в тесте Windows Experience Index, компьютеры Dell - 1,0 балла.

 Дополнительную информацию можно получить по адресу: www.bladenetwork.net. Камерон Стардевант

Приобретение корпорацией Microsoft в 2006 г. компании AssetMetrix, специализировавшейся на ПО сбора данных об ИТ-активах, позволило значительно расширить возможности идентификации программ по сравнению с прежними версиями SMS. Менеджерам ИТ, которые переходят к использованию SCCM 2007, следует заново запустить большинство задач по обнаружению аппаратных и программных компонентов, чтобы пакет SCCM 2007 мог воспользоваться обилием новых данных, дабы определить, на какие машины может устанавливаться Vista и какие приложения используются в данной организации.

Обновленные возможности SCCM 2007 в области сбора сведений об имеющихся компонентах используются для более жесткого соблюдения условий лицензионных соглашений. Например, в ходе наших испытаний SCCM 2007 сумел отличить OEM-версию Office от MSDN-версии (Microsoft Developer Network) офисного пакета.

Многие задачи, выполнение которых в SMS 2003 было утомительным или сопряжено с возможностью ошибки, теперь автоматизированы либо управляются мастерами (wizard). Особенно это относится к последовательностям задач в интегрированном модуле развертывания операционной системы (Operating System Deployment, OSD). Широко пользуясь советами службы технической поддержки Microsoft, мы применили построитель последовательности задач для инсталляции Vista, настройки сетевого подключения, переноса пользовательских настроек, установки обновлений и приложений.

Если освоить этот метод, создание последовательности задач сэкономит сотрудникам информационной службы массу времени при развертывании систем. Однако чтобы в полной мере воспользоваться такой возможностью, не забудьте учесть значительные затраты времени на первоначальное изучение и отладку данного инструментария.

SCCM 2007 в значительной мере сохранил внешний вид и архитектуру SMS. В том числе в нем остались основная и дополнительная площадки (primary and secondary sites). Но серьезным изменением в этом варианте набора инструментов управления Microsoft стало добавление шести новых серверных ролей, что улучшило масштабируемость продукта. Все эти роли, в которых может выступать сервер (включая обнаружение других серверов, подготовку отчетов, а также роль точки распространения ПО), могут запускаться в качестве служб на одном Windows-сервере. Тем не менее, исходя из соображений производительности и масштабируемости, многие из соответствующих сервисов (в том числе те, что используются для распространения приложений и операционной системы и сбора информации об имеющихся компонентах) следует устанавливать на выделенных серверах.

Мы запускали сервер в некоторых его новых ролях на машинах, помещенных в демилитаризованную зону нашей тестовой сети. Например, System Health Validation - это новая используемая при работе с Интернетом функция, которая проверяет статус оконечных устройств, включая установленное на них ПО и настройки брандмауэра.

Другие серверные роли, такие, например, как "точка отката статуса системы", которыми мы воспользовались при тестировании процесса перехода пользователей, могут быть распределены по различным серверам организации, чтобы повысить эффективность развертывания новой системы. Хотя подобные сервисы можно установить в нескольких точках, все они управляются с сервера основной площадки, что позволяет централизованно готовить необходимые отчеты.

Во время наших испытаний на основном сервере в БД SQL Server хранились сведения о нем самом и обо всех серверах, находящихся по иерархии ниже него. Основной сервер содержит инструменты администрирования, позволяющие непосредственно управлять всеми компьютерами.

В SCCM 2007 особенно значительно расширены возможности установки ОС на "голое железо", которые, вероятно, будут использоваться при настройке всех компьютеров из одного центра. Опираясь на помощь WDS (Windows Deployment Services) и сервера PXE (Preboot Execution Environment), мы смогли добиться развертывания операционной системы практически без вмешательства человека. Поскольку SCCM 2007 существует только в виде бета-версии, неудивительно, что нам не удалось достичь полностью автоматизированного развертывания, которое обещано в окончательной версии продукта.

Но даже после того как начнутся поставки окончательной версии, SCCM 2007 все еще будет требовать внимания со стороны по крайней мере нескольких сотрудников информационной службы. По-прежнему сохранится масса возможностей для возникновения ошибок в процессе "автоматического" развертывания между этапом построения эталонных систем и этапами создания моделей образов и тестирования развернутой системы. Причем как в варианте развертывания с использованием "голого железа", так и при гораздо более сложном переносе настроек со старых машин на новые.

Повышенная безопасность

SCCM 2007 имеет две модели обеспечения безопасности. Одна из них - Native Mode - предназначена для организаций, которым необходим высший уровень безопасности при использовании SCCM 2007. Native Mode требует наличия инфраструктуры открытых ключей (Public-Key Infrastructure, PKI) и собственного сервера для подписания сертификатов. Клиентскими ПК, имеющими доступ в Интернет, можно управлять в SCCM 2007 только в режиме Native Mode.

Чтобы иметь возможность работы с теми площадками в нашей испытательной иерархии, где применяется SMS 2003, мы воспользовались другой, менее строгой моделью обеспечения безопасности SCCM 2007 - Mixed Mode, не требующей наличия PKI. Но не подумайте, будто вам удастся так просто избавиться от PKI. Механизм контроля доступа к сети Microsoft NAP (Network Access Protection), для которого в составе SCCM 2007 имеется программа-агент, все равно потребует использования PKI. Похоже, что по ходу превращения Windows в безопасную среду инфраструктура PKI фактически становится одним из обязательных атрибутов ОС.

Источники перемен

После первоначального конфигурирования SCCM 2007 его программы-агенты уже готовы к работе. При установке этого пакета для клиентских агентов выбираются настройки по умолчанию. В настоящее время агенты могут выполнять ряд функций, в том числе составление перечня аппаратных и программных компонентов, распространение программ, управление доступом в сеть с помощью NAP, установку исправлений и обновлений, слежение за параметрами работы программ, управление желаемой конфигурацией и удаленное управление.

В настоящее время служба NAP по умолчанию отключена, поскольку для ее работы требуются компоненты, которые появятся только в следующей версии Windows-сервера под кодовым названием Longhorn.

Однако наличие агента NAP напрямую связано с такой новой функцией SCCM 2007, как управление желаемой конфигурацией (Desired Configuration Management). Она предоставляет менеджерам ИТ возможность проверить компьютеры на соответствие минимальным требованиям. В ходе тестирования мы настроили агент Desired Configuration Management на проверку версии операционной системы, наличия определенных приложений (например, Microsoft Word) и различных обновлений программ.

Такие проверки хорошо знакомы тем менеджерам ИТ, которые участвуют в проектах по управлению доступом в сети (Network Access Control, NAC). Основное различие между Desired Configuration Management и имеющимися на рынке приложениями категории NAC заключается в том, что в первом случае не осуществляется проверка на присутствие вредоносного кода. Тем не менее мы не удивились бы, если бы программа-агент взяла на себя решение и этой задачи, особенно после выхода Longhorn и более широкого распространения NAP.

Адрес технического директора Камерона Стардеванта - cameron_sturdevant@ziffdavis.com