某公司 微软System Center整体方案建议书.doc

xxxx有限公司微软system center整体方案建议书目录1 项目背景 xx公司经过多年的信息化建设，已经取得了较有成效的建设， 包括基本的it基础架构建设，包括基础网络、安全防病毒、基本的补丁管理、数据备份等，以及一系列内部应用系统。但是，随着xx公司的信息化建设成熟度提升，随之而来的系统管理问题已经成为占用天河区信息中心相关的信息人员较大工作量以及花费了大量维护成本的问题了。系统管理的问题包括了，终端桌面的维护和管理以及服务器的维护管理。对于终端管理，信息中心相关人员往往都忙于对于客户端发生的故障进行故障处理，对于终端的安装工作，花费大量的时间，而且对于最终用户的满意度也无法做到最好。对于客户端的故障往往都是用户对于终端的使用行为管理不当引起。此外，终端的安装问题，也困扰着信息中心的工作。对于服务器的维护，目前也基本依靠人为的方式来实现管理，由于目前的服务器数量还不是太多，所以维护人员的工作量还可以有所保障。对于目前的问题，需要全面规划一套系统管理平台来统一考虑解决困扰xx公司日常的系统管理的问题。本文档的目标就是帮助xx公司统一规划系统管理平台解决方案建议书。2 xx公司目前终端管理现状分析xx公司目前在管辖范围内的桌面终端数量在3000台左右。包括了信息中心以及底下的委办局等。大多数的下属机构的网络带宽和信息中心的网络带宽基本上都是10mbps带宽。 除了有个别居委会的带宽为512kbps,但是在这些居委会的客户端数量只有几台。xx公司已经在全区建立了微软活动目录ad域的架构，全区基本上所有的客户端都属于xx公司的域管理范围内，只有2个委办局建立了各自独立的域。目前，xx公司对于终端管理上，只使用了wsus服务来完成终端的补丁管理。其他对于终端没有实现任何管理的功能。对于服务器管理上，没有任何自动管理平台，基本依靠个人手工维护管理。 3 项目阶段目标鉴于目前xx公司目前对于系统管理遇到的问题和挑战，微软认为应该通过整体的规划进行全面考虑。我们认为可以按照微软基础架构优化模型进行规划。所谓基础架构优化模型是指一个企业的it基础架构成熟度状况的分析，分为：基本阶段、标准化阶段、合理化阶段和动态化阶段。基本阶段：主要的标志是在企业的it环境中缺乏集中自动化的基础架构来实现身份和访问管理，设备管理（网络设备，桌面设备，服务器设备等），数据管理，安全和网络管理以及系统管理流程规范。所有的管理都靠手工完成。标准化阶段：主要的标志是企业的it环境中建立起一套标准化的基础架构来实现基础架构需要管理的方面。实现了初步的自动化管理的能力。合理化阶段：主要的标志是企业的it基础架构可以和企业的业务进行关联，自动化程度更高。使it基础架构管理需要配合企业业务发展需要进行灵活调整，以及保障业务对于it管理的必要要求，实现基于服务级别的管理。动态化阶段：主要的标志是企业的it基础架构可以完全自动化自我调整，灵活按照业务需求，灵活调整it系统资源，所有的it管理完全和业务关联和挂钩。根据分析，目前xx公司的it基础架构大多属于基本阶段，只有身份管理和访问管理属于了标准化阶段。所以目前的项目阶段，我们需要将xx公司的it基础架构除了身份管理部分，要从基本阶段上升为标准化阶段。具体需要实现的技术目标：1 建立一套基于微软system center为基础的it基础架构平台，2 建立全面的桌面pc终端管理平台，3 建立全面的服务器运维管理平台。4 整体运维平台的方案建议4.1建立全面的终端管理平台目前xx公司在终端管理上遇到的问题主要来源于终端用户对于终端的配置更改的随意性，以及对于一些强制性的软件，例如：安全补丁、防病毒软件等，没有一些强制性的手段来保证。而引起的安全配置漏洞，从而产生一些异常的故障。信息人员对于此类问题的解决，只能到用户现场，并且发现最终原因的时间较长，有时往往需要重新安装系统等，浪费大量人力，财力。针对xx公司目前的问题和挑战，微软认为最迫切需要实现的终端管理的方面：1 实现全面的终端安全配置管理2 实现自动化的终端远程管理3 实现自动化终端安装部署管理另外，对于终端管理的其他方面，微软也建议xx公司采用，从而可以大大降低今后的终端维护工作量：4 终端补丁管理5 终端资产统计管理6 终端内网安全接入管理7 终端软件分发管理8 终端信息报表管理所以，微软建议建设一套基于微软system center configuration manager 2007为基础的全面终端管理平台。system center configuration manager 2007 (sccm2007) 是微软终端管理解决方案sccm 2007的下一代解决方案。 system center 是一系列微软系统管理解决方案，旨在相互协作使复杂 it 基础结构的日常管理变得更加容易、更加经济高效。system center 解决方案基于从 microsoft operations framework (mof) 和信息技术基础结构库 (itil) 派生的自动化和最佳实践，并可用于组织的所有级别。configuration manager 2007 只是system center 系列的一部分。system center data protection manager 提供企业系统备份和恢复。system center operations manager 为您提供前瞻性的系统监视和自动化。system center capacity planner 可用于容量规划和基础结构部署的假设性分析。此外还有很多相关信息（有关更多信息，请查看 /systemcenter）。4.2终端安全配置管理安全配置管理是sccm2007 中另一个非常显著的功能。图 1 描述了显示两个安全配置基线符合性的“所需配置管理”主页： 通过sccm 2007，微软提供了终端安全配置漏洞的扫描的基准文件，软件安装错误和错误的配置危及安全性和稳定性，导致支持成本不断增多。用于安全配置弱点评估的基准文件爱女有助于防止错误，从而增加了企业的正常运行时间，并帮助您构建更加安全的基础架构。设想场景：扫描企业因配置错误而产生的弱点。检测实例：是否安装并运行没必要的服务？文件共享是否需要适当的许可？是否启动 windows 防火墙？是否启动自动更新？是否强制要求强大的口令？是否启动不安全的客户账户？是否在单一计算机上安排了过多的本地管理员？ configuration manager 中安全配置管理的关键来自对 microsoft 客户的大量研究，大部分服务停用是由关键任务服务器和桌面上的操作系统或应用程序配置错误导致。使用 configuration manager 中安全配置管理功能，管理员可以通过对系统运行定期基线扫描快速捕获配置偏差。这些基线使用配置项 (ci) 创建，并提供组织中计算机集合的符合性信息。除了捕获配置偏差，安全配置管理还可以帮助实现法规符合性报告和更改验证。在大部分组织中，都有可能需要法规符合性报告，如萨班斯奥克斯利法案 (sox)、支付卡行业数据安全标准 (pci dss) 和健康保险可携性与责任法案 (hipaa)。configuration manager 2007 可通过所需配置管理帮助您获得所需的报告。下面是安全配置管理的工作原理。管理员将定义配置项 可以在计算机中检测、应用和删除的配置单位。定义这些配置项后，即可创建由一个或多个配置项组成的配置基线。随后，这些基线将被分配到 sccm集合进行符合性监视和法规报告。配置项可以查看计算机的几个不同方面以收集信息，包括 active directory、文件元数据、脚本结果、存储在 sql server 中的数据、软件更新数据、wmi、xml、注册表值、iis 元数据以及 microsoft installer 显示和配置。从不同位置收集的信息将存储在 configuration manager 数据库中，并用于验证系统是否符合要求。有趣的是，现在安全配置管理过程和通过 configuration manager 2007 发布新更新的过程已完全集成。与新的软件更新引擎相同，所有安全配置管理数据将使用基于状态的高优先级通道。这两种关键任务功能的集成使管理员可以定义新的安全配置管理基线或通过新更新来更新现有基线（作为更新部署过程的一部分）。并且通过定制，可以实现对于终端用户变动了相关设置后的自动还原，这样可以大大降低由于终端用户有意或无意修改了关键设置，例如：ie浏览器设置等，而造成的大量维护工作。4.3终端远程管理sccm2007可以启用远程控制工具，帮助管理员远程登陆终端桌面进行管理配置工作。此外，sccm 2007与远程桌面 (remote desktop)，远程协助（remote assistance）无缝整合，可以更加快捷，方便的实现远程操作。而且sccm 2007可以灵活设置远程控制是否可以由客户端授权或不需要授权等不同的远程管理模式，sccm的远程控制功能可以实现：1 远程控制，通过在sccm管理员控制台上可以远程控制终端用户的桌面。2 远程重启，帮助重新启动远程终端。3 远程聊天，可以和远程终端用户进行聊天，帮助用户解决问题。4 可以实现远程文件传输，可以实现在sccm服务器和终端之间的文件传送。5 远程执行，可以在远程终端上执行命令，脚本等任务。包括执行程序或脚本，启动/停止服务，中断非法进程，修改注册表，修改文件等。6 sccm客户端诊断，可以在终端上进行故障诊断。通用过远程工具，it 管理和故障排除可以在网络任何一个位置进行处理，集中管理的目标得到体现。并且，通过远程处理终端故障和帮助用户，有效降低了it 支持的成本。通过远程终端维护管理，可以让信息中心的相关维护人员降低维护的成本以及提升维护的效率，无需到现场进行故障恢复。4.4终端自动化安装部署管理操作系统部署功能是 sccm 2007 最大的重点领域。microsoft 已将 configuration manager 设计为部署服务器和工作站平台操作系统的主要方式。从根本上更改管理操作系统部署的方法。windows xp, vista 为操作系统部署引入了新的 windows 映像 (wim) 格式。使用此格式有不少好处，首要的一个好处是 configuration manager 2007 本机导入了 wim 映像格式，这样管理员就可以直接从控制台使用这些映像并对其进行部署。configuration manager 中另一个重要的新功能是集成的部署任务排序器。通过利用任务排序器，操作系统部署过程完全不需要任何干预。任务排序器可以帮助安排部署操作系统需要执行的所有步骤，包括进行部署前要在较旧的操作系统中执行的步骤（用户状态迁移和应用程序设置转移），部署新操作系统的步骤（设置格式、磁盘分区、产品密钥、用户名、公司、许可证设置、驱动程序安装），以及部署完新系统后要求执行的步骤（其他应用程序安装、更新安装、用户状态迁移）。作为此功能的一个示例，图 4 显示了任务序列编辑器，突出显示了在 windows xp, vista 部署中您可以利用的一些功能。除了任务排序器，configuration manager 2007 中还有若干用于操作系统部署的其他增强功能，如图 5 所述。例如，configuration manager 支持通过设备驱动程序管理对 x86 和 x64 平台的预引导执行环境 (pxe) 进行裸机部署。通过此设备驱动程序管理选项，您的组织可以显著减少需要为各类硬件维护的映像数。通过与 windows vista wim 映像格式引入的单一映像支持结合，在执行操作系统部署时您无疑会节省时间和资金。整个客户端自动部署实现流程如下：1. 按照企业终端的实际情况，安装需要作镜像的参考对象桌面系统，准备核心镜像2. 按照企业不同的业务需求，配置软件分发包。（在系统部署时动态加载）3. 使用桌面管理系统sccm 2007,4. 通过sccm 2007的镜像打包向导，对参考对象桌面系统进行镜像打包。5. 通过 sccm 2007的软件分发向导，对不同应用程序打包。6. 配置自动部署策略，定制管理信息数据库，将用户名、工作部门（或者需要安装的软件包）、产品密钥、域信息、硬件网卡mac地址信息进行配置。7. 通过sccm 2007的同步功能，将镜像文件同步到在各分支机构的远程安装服务器上，8. 客户端计算机网卡启动，进行网络安装；或者将镜像文件通过制作分发光盘在每个桌面计算机上安装。4.5终端补丁管理如同 configuration manager 2007 中的其他功能，软件更新管理已得到显著改进。软件更新管理的基于状态的方法还意味着修补程序和更新状态不再与硬件清单扫描相关，因此不再需要当前的 inventory tool for microsoft updates (itmu) 和扫描目录。相反，configuration manager 将使用运行 windows server update services (wsus) 的新软件更新点 (sup) 服务器角色在后端作为软件更新引擎和数据库。通过为所有软件更新和安全配置管理信息创建一个新的基于状态的高优先级通道，configuration manager 将向托管代理推出更新和定期程序包的方法分离出来。推出其他软件包不会防碍推出软件更新或从托管的工作站、笔记本电脑或服务器接收修补程序状态。在 configuration manager 中，wsus 使您能够在一个集中位置进行所有更新管理。这使您可以下载 microsoft update 上所有可用的内容，包括非关键更新、驱动程序和 microsoft 平台的其他软件包。此外，microsoft 还会鼓励其合作伙伴通过此方法发布软件更新。很多公司当前为 sccm 2007 r2 中的自定义更新清单工具 (itcu) 发布了清单，并计划对接下来的 configuration manager 也采取同样的行动，adobe 和 citrix 就是其中的两家。此新的软件更新引擎还提供接近实时的更新状态以启用更好的报告和增强的主页视图。通过这些自定义的视图，您可以快速了解整个 it 基础结构或特定计算机集合的修补程序状态。图 6 显示了通过为软件更新管理自定义的某个新主页视图查看特定公告的修补程序符合性数据的过程有多简单。通过sccm 2007的补丁管理的特性，大大增强了目前xx公司仅仅利用wsus来完成补丁管理的功能。首先，sccm2007的补丁管理完全利用了原来的wsus 的基础架构，节省了原来的投资。其次，sccm 2007的补丁管理可以帮助企业加强对补丁管理的控制，例如：可以定制客户端安装补丁的策略，何时安装，何时重启，是否可以延迟重启，是否设置强行重启的最后期限等。并且sccm 2007的补丁管理和ad的紧密整合后，可以灵活地制定针对不同的对象计算机的补丁管理策略。最后通过sccm 2007的补丁管理可以及时查看补丁的最新状况，而且sccm2007的补丁管理，可以结合其他的功能，例如：安全配置管理， sccm 2007可以把某一些关键补丁，作为终端安全配置的基准之一。另外sccm 2007还有客户端内网接入保护功能，可以制定关键补丁作为接入健康条件。4.6终端资产管理sccm 2007的资产管理是基于标准的硬件清单，即通过利用 windows management instrumentation (wmi)，sccm 2007提高了清单扫描过程中客户端的性能并提供了一组更丰富的清单数据，其中包括 bios 和机架外壳数据。目前可以支持超过130种wmi的类型，可以获取丰富和准确地信息。而且sccm 2007可以提供灵活细致的清单。尽管 sccm 2007 使企业能跟踪其系统上几乎全部的软件资产，但通常企业会有特别重要或感兴趣的一组核心应用程序和文件。通过使用通配符、环境变量和文件属性之类的功能来提供实施智能清单搜索的功能，sccm 2007 使企业可以专注于他们所需的信息。通过跳过压缩和加密的文件，还可以减少系统资源的消耗。为确保丰富的清单和使用情况跟踪信息易于访问且与业务相关，sccm 2007 包括一款强大、高度灵活且可完全扩展的 web 报告引擎，其中预置了 120 多种现成的报告。其中包含了图形类的报表和数据类型的报表。也可以自定义或创建报告，还可以使用导入和导出功能将这些报告传输到其他的 sccm 2007 环境中。当然，在没有安装sms客户端软件的终端设备，也可以通过sms的网络进行发现，并且可以让系统管理员能够对其进行跟踪和维护。4.7终端内网接入保护 sccm 2007可以对内网的终端接入到企业内网进行全面的安全健康状态检查能力，例如：可以制定特定的补丁，特定的需要安装的软件等，作为终端接入企业内网的健康指标，如果不符合企业标准，将会把此客户端接入到隔离网络进行修补管理，然后直到客户端符合企业健康要求，才让客户端接入内网。此解决方案叫做网络接入保护network access protection (nap), 在windows vista, xp sp3, windows server 2008中以及在操作系统默认安装中包含了健康策略客户端，sccm 2007就利用了此客户端，在服务器端集中制定规则，通过和网络控制设备（802.1x网络设备，windows server 2008 dhcp, vpn, ipsec等）可以实现对客户端的网络接入进行控制。sccm2007提供了持续的对客户端接入的策略制定，以及对不符合要求的客户端进行修补管理。 微软提供的健康状态检查网络接入保护系统是针对企业终端接入网络而实施的保护系统。根据企业安全策略去限制非安全终端接入内部网，和其他终端安全方案结合将构成完整的终端安全系统。因此将企业网络划分为两个互相隔离的区域：l 安全区域，可以访问企业内部资源；l 控制区域，将不能访问企业内部资源，可以访问internet，可以安装补丁和最新的病毒库；终端接入安全策略 企业安全策略是根据企业安全需求而设定的，包括终端补丁安装情况，终端防病毒软件安装以及版本更新情况，病毒代码库的更新情况。例如和主流防病毒软件symantec联动，可以对其防病毒软件版本和病毒库进行监测。个人防火墙的配置情况，屏幕保护的配置情况，特定服务的运行状况，计算机或者用户所属的组，以及接入时间控制等等。这些安全策略由企业信息化建设的安全部门进行制定，系统支持在线更新策略，终端接入检查开始之前刷新安全策略的机制。终端安全检查和网络控制服务 终端实施接入时进行安全检查，当终端检查结果符合企业安全策略时，允许终端接入到企业网络，可以访问内部资源：文件、应用、内部网站等。否则终端一直处于与企业内部网络隔离的控制区域，接受修补。直到修补完成，具备健康接入的条件后，重新接入。非安全终端管理策略 可以与其他安全方案配合，在网络控制区内部署补丁分发和病毒库更新服务器，使得进入控制区的非安全终端可以在局域网就可以修补系统达到符合安全策略。另外，在特殊情况下，管理员可以手动配置网络端口临时性进入网络安全区域。4.8软件分发sccm 2007的软件分发功能有了较为增强的功能：l 灵活性基于不同对象，例如：在活动目录中定义的组织单位，站点等进行分发可以灵活地根据不同需求给不同的对象群组分发软件。l 准确性基于 sccm guid的分发，即使计算机改名也能准确发布。l 自动性新增的机器，只要满足集合的条件，就能自动安装指定的软件，而无需二次分发。l 可追踪性详尽的状态报表可以跟踪应用程序部署的进展l 节省带宽sccm的软件分发具有智能后台传输技术，可以自动调整软件分发传输的带宽，并且可以设定阀值上限。对于分支机构的软件分发传输，可以利用本地的文件服务器作为本地的代表进行本地对等分发，同时在sccm2007中，还可以让客户端担任本地分发对等下载得角色，大大降低了分支机构的硬件投资。l 软件包本身的更新是增量式的复制。只有更改部分在网络上传输。并且，sccm具有智能带宽传输技术，它可以自动根据业务网络的带宽占用情况作出自动的带宽使用调整，在不影响正常业务在网络的运行下，实现对应用程序的部署。l 可靠性对慢速及不稳定网络的支持，以及断点续传的功能，保证了应用程序部署可以可靠的完成。l sccm 2007还可以设定软件分发的窗口期，可以控制客户端在某个具体时间点才能完成相关的软件分发，补丁分发的维护工作。降低对一些关键客户端，因为日常维护而带来的影响正常工作业务的开展。4.9终端管理数据报表管理sccm 2007中的报表能够有效准确地将sccm管理的结果直观地体现出来，如资产信息，补丁管理信息，应用程序部署状态，整个sccm site的健康状况。在sccm2007安装完后，就已经可以直接使用内置的120以上的报表模版。已有的报表分为以下几类： 硬件信息 软件信息 软件更新信息（补丁管理） 应用程序部署信息 sccm site信息 具体客户端的报表除了以上的基本报表，为了便于领导查询所需的信息，sccm2007还新增了仪表盘 (dashboard)。它的好处是：将常用的几个报表汇总一处并给予权限设置。这样，只需一个统一的界面，可以同时查看多个报表而无需同时打开多个页面。sccm中的报表的查询是基于sql的视图的。用户无需了解整个数据库的详细架构就可以方便地进行二次开发。此外，sccm2007的报表是基于web方式的，只要有浏览器和连接，就可以随时随地查看。也易于与其他web服务整合在一起。所有收集到的数据和信息都集中保存在站点服务器的数据库里，也包括一定时期的历史纪录。一个优秀的操作小组能够根据需要制作报表来帮助管理层进行现状分析，提出改善建议。4.10服务器监控功能实现 目前xx公司没有对服务器实现全面的监控管理，微软建议建立基于system center operation manager 2007 (scom 2007)为基础平台的服务器运维平台。 对于服务器的本身的运行状况，性能状况，应用程序运行状况的监控，是服务器管理方面非常重要的管理项目。 需要实现从硬件底层的监控，操作系统平台的监控，一直到应用程序监控的多层面监控要求。 监控包括健康状态提示，故障自动告警，故障告警后自动的知识库提示，操作人员操作的安全审计管理，运维整体报表管理等多角度。 基于微软system center平台另外一个重要解决方案system center operations manager 2007可以方便实现以上所有服务器运维监控管理的要求。4.10.1服务器状态监控scom 2007面向各种规模的企业单位实现了windows服务器事件与性能监控的集中化目标。为应对这种合并趋势可能引发的潜在的信息“洪流”，mom预先内建了大量“知识”储备，可供应用程序对信息含义进行评估，并就所应做出的响应提供决策。上述知识主要以管理软件包形式出现，不仅有助于在故障发生的第一时间尽快诊断出问题根源并做出适当反应，而且，还可通过就问题隐患向管理人员发出警告，并在其发生前提供解决方案建议的方式来预防故障事件的实际发生。scom 2007主要具备以下特性和优势： 具备可扩展内建知识储备的管理软件包。 集中化服务器事件与性能监控特性。 具备高度可伸缩性的分布式体系结构。 针对基于windows操作系统的服务器性能实施监控的能力。 针对基于windows操作系统的服务器事件实施监控的能力。 根据警告提示执行专项操作的能力。 和第三方管理产品实现事件集成的能力和通过第三方厂商提供的管理软件包实现对包括路由器和非windows系统在内的整体监控能力。4.10.