抚顺石化公司sms培训.ppt

SMS2003,信息管理部广域网项目组系统安全组姓名王晓路电子邮件地址aq-wxl,提纲,系统威胁简介项目简介SMS2003简介SMS2003系统体系结构SMS2003功能概要SMS2003客户端部署SMS2003客户端安装排错Q&A,操作系统常见威胁,病毒（Virus）：能自行执行，它通常将自己的代码置于另一个程序的执行路径中。它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。在没有人员操作的情况下，一般的病毒不会自我传播蠕虫（Worm）：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征不利用文件寄生(有的只存在于内存中)对网络造成拒绝服务黑客技术相结合木马（TrojanHorse）：一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点,威胁如何进入你的系统,用户主动初始化：使用用户的权限进入系统浏览特定网页（ActiveX、BHO）查看特殊邮件（MIME编码漏洞、运行附件）运行被感染的可执行程序查看特定类型的图片（VML）系统存在弱点：利用弱点完成权限提升进入系统使用了弱密码管理员帐户被暴力猜解未保护的共享文件夹存在漏洞的系统（Unpatchedsystems）,对策,反病毒软件（e.g.Symantec）已知病毒/蠕虫/木马恶意软件移除软件（e.g.windows清理助手/360安全卫士）恶意软件网络防火墙（e.g.WindowsFirewall）未知蠕虫补丁管理未知病毒/蠕虫,主动进行安全修补程序管理的重要性,项目简介,中国石油桌面管理系统采用微软SystemManagementServer2003服务器以实现桌面及应用系统的补丁分发和管理，提高Windows、Office以及相关软件的安全性，控制网络病毒的传播。SMS桌面管理系统同时能收集资产信息，统计软件使用情况，分发各类软件，帮助达到企业级的IT资产管理要求。主要目标：补丁管理/安全管理,SMS2003简介,信息管理部广域网项目组系统安全组姓名王晓路电子邮件地址aq-wxl,系统管理的挑战,您知道自己系统中有多少台设备?分别运行在什么平台上?硬件配置如何?安装了什么软件?牺牲过n个周末进行系统升级?为了找出安装有特定软件的机器而一台一台的查,补丁管理的难点,企业内部的微软产品繁多而愁于如何管理各种产品的补丁更新更新速度快计算机数量多管理员数量少工作量大容易出错,修补程序管理解决方案选择标准,核心修补程序管理功能,SMS能帮助企业IT管理员做什么？,报告,2,3,4,软件分发,1,5,远程故障诊断与排错,安全更新,资产管理,SystemsManagementServer2003,MicrosoftWindowsServer2003,MicrosoftSQLServer2005,微软服务器平台管理技术架构,SMS2003体系结构,信息管理部广域网项目组系统安全组姓名王晓路电子邮件地址aq-wxl,SMS站点概念?,站点数据库,站点服务器,SMS管理控制台,SMS层次结构,位于最顶端的站点又被称作为“中心站点”,父站点,子站点,父站点子站点,子站点,SMS站点主要组件,客户端,站点服务器,主站点拥有数据库,每个SMS站点都将包括一个或几个系统角色以完成相应的服务,系统角色的作用,高级客户端,标准客户端,DistributionPoint,主站点,CAP,ManagementPoint,ReportingPoint,ServerLocatorPoint,SMS客户端的关键作用:,客户端的作用,负责接收和处理站点发送来的指令和数据检查本机的信息，例如库存信息、状态信息，并将信息汇报给站点服务器安装软件和更新,站点,客户端,客户端代理,扫描,软件和更新,指令和数据,数据,SMS有两种不同功能的站点:,主站点（Primarysite）,有自己的数据库辅助站点（Secondarysite）,没有数据库,两种不同功能的站点,主站点的作用:,本地的管理功能在数据库中存储客户端和其他信息支持子站点,主站点在层次结构中的作用,主站点(子结点),辅助站点(子结点),主站点(父节点),辅助站点的作用:,辅助站点在层次结构中的作用,支持父节点支持本地的标准客户端支持所属父节点的高级客户端减少站点间的交通,SecondarySite(Child),SecondarySite(Child),PrimarySite(Parent),SMS功能概要,信息管理部广域网项目组系统安全组姓名王晓路电子邮件地址aq-wxl,SMS2003主要功能包括:,SMS主要功能,系统资产管理软件分发软件更新管理统计报表,系统资产管理,软件分发,轻松部署应用软件*.exe,*.bat,*.msi高效的部署工具准确、灵活；轻松、易用；,DistributionServer,Collection,Program,Package,Client,Client,Client,WindowsInstaller用来:,软件分发WindowsInstaller,安装软件修复软件删除软件,软件分发图示,软件分发客户端,安全更新管理,统计报表,SMS2003功能演示：其他,SMS客户端部署,信息管理部广域网项目组系统安全组姓名王晓路电子邮件地址aq-wxl,支持的客户端平台,Windows2000ProfessionalServerAdvancedServerWindowsXPX86/X64/IA64ProfessionalWindowsServer2003allSKUWindowsVistaX86/X64BusinessX86/X64EnterpriseX86/X64Ultimate,不支持的客户端平台,Windows9x(标准客户端平台)WindowsNT4allSKU(标准客户端平台)WindowsMeWindowsXPHomeEditionWindowsXPMCEEditionWindowsVistaStarterEditionWindowsVistaHomeBasicEditionWindowsVistaHomePremiumEdition,客户端安装文件,部署策略：基于批处理脚本的自动化安装，在安装客户端软件的同时为客户端配置WINS服务器借助第三方软件推送：SEP放置于Ftp:/打包的自解压执行程序Client.msiSMS2003高级客户端主安装程序Setup.bat安装参数设置%windir%system32msiexec/iclient.msiDISABLESITEOPT=TRUEDISABLECACHEOPT=TRUESMSCACHESIZE=1024/qrsmssitecode=HGDWins.vbs配置WINS客户端,客户端简介安装方法,安装方法客户端推送手动安装组策略安装不同的安装文件及作用Ccmsetup.exeClient.msiSetup.bat本次项目中使用的安装方法基于批处理脚本的手动安装在安装客户端软件的同时为客户端配置WINS服务器,SMS2003客户端安装,客户端安装的验证（1-2）,验证SMSAgentHost服务验证CcmExec.exe进程,客户端安装的验证（2-2）,确认控制面版中的四个新图标检查客户端日志文件%Windir%system32CCMLogs,客户端于服务器通信的验证-客户端,观察“系统管理”中“组件”页面的变化,连接前,连接后,客户端于服务器通信的验证-客户端（续）,观察“系统管理”中“操作”页面的变化为了加快连接速度，可以手动初始化操作,连接前,连接后,客户端于服务器通信的验证-服务器端,连接成功后，主站点管理员可以在SMS控制台中的“集合”“AllSystem”中看到新添加的客户端信息,SMS客户端按装排错,信息管理部广域网项目组系统安全组姓名王晓路电子邮件地址aq-wxl,常见问题一,客户端安装完成后，无法找到管理点，“系统管理”下系统状态不正确：,解决方案,1.请确认安装了正确的SMS客户端软件，并且客户端已经被指向了正确的SMS站点2.请确认客户端已经配置了正确的WINS服务器3.请确认客户端和WINS服务器之间的UDP137，UDP137通讯没有被防火墙阻拦4.通过抓包结合C:WINDOWSsystem32CCMLogsLocationServices.log确定问题,常见问题二,客户端安装时报错：,解决方案,1.确认当前不处于安全模式，且“WindowsInstaller”服务没有被禁用2.如果“WindowsInstaller”服务无法正常启动，尝试通过在命令行下执行msiexec.exe/unregister&msiexec/regserver修复“WindowsInstaller”，然后重启服务3.如果仍然无法启动，则下载最新版本的WindowsInstaller组件，通过重新安装修复,常见问题三,问题：安装过程中报告8004100e错误解答：客户端WMI相关组件被损坏，尝试通过下列步骤修复：设置如下注册表键值，重启计算机安装测试HKEY_LOCAL_MACHINESOFTWAREMicrosoftWBEMCIMOMEnableEventsDword:1在%windir%system32wbem目录下，执行下列命令for/f%sin(dir/b*.dll)doregsvr32/s%swinmgmt/regserverwmiprvse/regserverfor/f%sin(dir/b*.mof*.mfl)domofcomp%s执行完成后重启WMI相关服务如果仍然无法解决，联系中心站点管理员,常见问题四,客户端安装后，“系统管理”中部分设置无法调整：设计方案不允许最终用户调整相关设置，防止误操作,常见问题五,安装豪杰解霸的客户端，出现安装后始终和服务器无法通讯。解答：豪杰解霸会把*.vbs脚本打开方式关联，导致客户端wins不能被正确配置。需要手动设置wins服务器地址。,常见问题六,安装优化大师等系统优化的客户端，在优化系统后始终和服务器无法通讯，不能获得更新。解答：优化大师等系统优化软件，可能关闭SMS相关服务，重新覆盖安装正确客户端即可。,常见问题七,现象1.客户端开机后SMS客户端服务“SMSAgentHost”或“SMS代理主机”没有按照设置自动启动。,2.进程中没有CCMExec.exe进程,3.手工启动服务，服务可以正常工作,常见问题七,解答：1.“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerEnvironment”下原有“PATH”键值下的内容复制到记事本中，然后将“PATH”键值删除2.“HKEY_LOCAL_MACHINESYSTEMCurrentControlSet