System Management Server 2003 部署操作指南

System Management Server 2003 部署操作指南

Microsoft在2003年底推出了System Management Server 2003产品（后简称SMS2003），并于2004年发布了SMS2003 SP1。它有以下几点关键功能：
1 软件/补丁发布。SMS能够向任何用户、用户组、网段和计算机的组合分发各类软件、补丁。发布对象非常灵活，例如，可以向开发部门的所有没有安装VS.Net的员工发布VS.Net。
2 资产管理。SMS可以发现并跟踪所有分布的基于Windows的软件和硬件资产--笔记本电脑、台式机和服务器等。服务器会按照需求定期的收集客户端的软硬件信息以及网络状况，管理员可以监控软硬件变化。由于软件搜集的机制是基于所有文件文件头的扫描，因此即使是绿色软件，也逃不过SMS的法眼。
3 远程桌面监控及问题解决。拥有特定权限的管理员可以远程监控用户的桌面，并能够发现并解决基于Windows系统的常见问题，从而提高Helpdesk的工作效率。

[

基于以上几点关键功能，提出了SMS最适合企业的几点应用，供读者参考：
1 软件/补丁发布，企业所有需要部署的软件都可以通过SMS来发布，SMS的补丁管理功能也明显优于SUS。
2 软件监控，防止用户使用非法的或企业内部禁止的软件。
3 软件测量，计算每种软件产品在全公司范围内，同一时间的使用情况，这样可以帮助公司计算需要购买license的数量，节约成本
4 文件收集，可以收集客户端特定文件，例如boot.ini，并可以在特定情况下恢复这些文件
5 客户端桌面监控，可以实时地监控可疑客户端的桌面情况
6 服务器性能/健康监视，远程观察服务器的健康状况

和先前版本相比，SMS2003主要在以下方面做了加强：
稳定性
安全性
性能优化，部分功能提高了5-7倍
针对移动客户设计了新的客户端，充分考虑到移动办公的需求
更好的与活动目录集成
集成了软件更新服务包(SUS)
重写了软件计量部分的代码
舍弃了Crystal Reports，使用增强了的Web Reports
...

本文将介绍SMS的基本概念，及如何安装和配置第一个SMS站点，部署客户端。在后面几讲，会介绍多站点条件下的SMS部署，补丁管理与系统管理心得，以及SMS企业架构的设计。
一相关术语
开始之前，首先介绍一些SMS相关的概念和术语。

1服务器角色
Site Server: SMS的核心服务. 用于处理SMS的数据并反映在SMS管理界面或报表中
Site Boundary: 用于确定SMS Site Server的管理范围
SMS Provider: 用于给site server提供SQL服务
Management Point (MP): 介于SMS Site Server 和SMS高级客户端之间的中间节点.，高级客户端通过他与SMS联系
Client Access Point (CAP):介于SMS Site Server 和SMS标准客户端之间的中间节点.，标准客户端通过他与SMS联系
Distribution Point (DP): 存放软件包的服务器。SMS Site Server将软件包保存到DP,然后通过MP或CAP通知客户端到DP来执行软件包的安装，可以理解成“文件仓库”。
Server Location Point (SLP):用于替SMS客户端查找到合适的CAP或MP
Reporting Point (RP): 用于提供基于WEB的报表服务
Data Discovery Record（DDR）: 数据发现记录
Client Configuration Request(CCR): 客户配置请求
2 客户端类型
SMS 2003客户端有两种类型: 标准客户端（Legacy Client）和高级客户端（Advanced Client）
标准客户端适用于Windows 98，Windows NT SP6， Windows 2000， Windows XP和Windows 2003。
高级客户端适用于Windows 2000， Windows XP，Windows 2003。
SMS标准客户端可以升级到SMS高级客户端
高级客户端具有以下优越性
更好得支持可移动设备
使用断点续传技术
可控制的带宽 (BITS)
下载后安装(使用本地的缓存来存放SMS分发的软件)
客户端漫游
拥有更好的网络行为
SMS 策略驱动
拥有更好的安全
拥有更好的稳定性和可测性
一般来说，在客户端均在Windows2000以上的网络环境中，笔者推荐全部使用高级客户端。

[

3 站点类型
主站点（Primary Site）和次站点（Secondary Site）
由于许多公司分布的分支机构分布在不同的地点，我们有时要把其SMS管理结构划分成不同的站点，有利于管理。primary site是拥有独立SQL Server数据库的站点，而secondary site没有自己的数据库，它的数据保存在其母站点的数据库中。secondary site需要在其母站点进行管理，我们通常建议在用户数量较多，拥有IT管理人员的地理位置部署primary site，而在用户数量较少，没有IT管理人员的地理位置部署secondary site，其管理任务由母站点的管理人员执行。

母站点（Parent Site），子站点（Child Site）和中心站点（Central Site）
parent site接受child site的数据，它的数据库中存储所有更低级别站点的信息，child将软件、硬件收集等信息传递给它的parent site，parent site只能是primary site，而child site既可以是primary site，也可以是secondary site。central site是SMS站点结构中位于最顶端的站点，它不是其他任何站点的child site，可以在central site上查看并管理所有的站点。

primary/secondary site和parent/child site并不是一对矛盾的概念，primary/secondary site是固定的角色，区别于SQL数据库，parent/child site是相对的逻辑实体，站点A可能是站点B的parent site，同时又是站点C的child site。为了方便理解，
4 漫游（Roaming）和漫游边界（Roaming Boundary）
某些SMS高级客户端是可以移动的，可以从一个物理网段移动到另一个网段，我们把这个成为漫游（roaming）。配置为自动分配（auto-assignment）的高级客户端根据站点的roaming boundary配置来选择被分配的SMS站点。也可以不考虑漫游区域而手动地分配一个站点。通过使用漫游区域，一个高级客户端可以从一个区域迁移到另一个区域，并仍能被SMS管理，接收SMS发来的软件包。
regional roaming：在没有AD或者没有扩展Schema的情况下，高级客户端只能漫游到低级别的站点，这叫作regional roaming
global roaming：global roaming允许高级客户端漫游到高级别的站点，它需要扩展Schema
local roaming boundary：通常为本地区域，共享高速连接的区域配置local roaming boundary
remote roaming boundary：通常为远程区域，共享低速连接的区域配置remote roaming boundary
5 站点间通讯（Site Communications ）
在同一站点内，SMS利用局域网来进行站点系统间的通讯，不需要额外的配置。
而站点间（site to site）通讯就不一样了，SMS用Sender提供站点间稳定通讯的通讯方式，Address被用来告诉sender在哪里寻找对方站点的服务器。
Sender类型包括：
Standard Sender、RAS Senders、Courier Sender。
注意，Sender是本方的站点，而Address是对方的站点。
6 集合（Collection）和查询（Query）
每个SMS主站点都包含几个存储SMS数据的数据库，我们可以使用Query来查询这个数据库，在Query中，我们可以给一些特定的约束，例如我们可以查询已安装Win XP SP2的计算机。
Collection是一组具有相同特性的对象的集合，例如我们可以创建一个名为"MKT PC"的集合，里面的计算机对象全都属于MKT这个OU。之后我们可以将这个collection授权给负责MKT部门的IT人员管理。
7 安全模式
高级安全模式（Advanced Security）: 使用Local System账号启动SMS服务，无需维护SMS服务账号，推荐使用。
标准安全模式（Standard Security）: SMS服务需要一个SMS服务账号来启动。这个帐号需拥有domain admin 权限。（如果SMS服务器不是在域控制器上，同时需要扩展AD，需要有AD的更改权限。）
二安装前提
首先来看看安装前的准备。以下是安装的前提：

1 操作系统
Win2000 SP4或 Win2003，建议安装最新的补丁
内存：至少256MB内存，最大可支持4G
硬盘：至少2G空间，取决于实际环境。

2 IIS
需要在承担MP/DP/RP 等角色的服务器上安装IIS，如果该服务器是Win2003 Server，还需要
安装并启用IIS的BITS(后台智能传输协议)
安装并启用ASP扩展
安装并启用WebDav
验证方式是匿名访问
注：IIS6中出于安全考虑，BITS,ASP,WebDav默认安装后都是被禁止的，具体启用位置在IIS管理台—web service extension

另外，建议不要在SMS角色服务器上安装诸如SUS， IIS lockdown，URL scan之类的工具，因为有可能会阻挡SMS客户端与服务器的HTTP数据通信，如果一定要用URLscan，可以用SMS toolkit 2工具包中的urlscan.ini 替代原有的urlscan.ini

3 服务器系统默认共享
SMS的所有角色服务器上必须打开系统默认共享（admin$,IPC$等）。如果默认共享被关闭，请参照以下方法启用：
在下面的注册表项中删除AutoShareWks DWORD 值，并重启计算机。
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters

4 客户端系统默认共享
需要确保域管理员可以从SMS 站点服务器上访问客户端的Admin$共享：//Client/Admin$。如果访问失败，检查名字解析和客户端的Local Administrators组中是否包含Domain Admin。

5 客户端远程注册表服务
确认Domain Admin可以从SMS 站点服务器上访问客户端的注册表。可以用以下方法检查：在SMS站点服务器上，以Domain Admin的身份运行regedit.exe，选择连接到Network Machine，指定远程客户端后，尝试展开下列两个键值。如果没有任何错误，表明该条件已满足。如果失败，则检查以下两点：
客户机上Remote Registry服务在运行并且工作正常
在客户机上，"Local Service" 对以下键值有 Read 的权限：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurePipeServers/winreg

6 客户端的操作系统安装路径
客户端的操作系统如果没有安装在C:盘,自动/手工”推”安装客户端可能会失败

7 客户端的DNS配置
确保客户端能够ping 通域名，如果失败，检查客户端的DNS配置

8 通讯端口
如果有防火墙或代理服务器，需要打开相关的端口。
站点之间的通讯用到
Port 445 Server Message Block (SMB)
Port 389 Lightweight Directory Access Protocol (LDAP)
Port 636 LDAP (Secure Sockets Layer [SSL] connection)
代理MP到父站点数据库之间的通讯用到
Port 1433 TCP (SMS Site Server to SQL Server)
Port 389 LDAP
Port 636 LDAP (SSL Connection)
SMS 高级客户端与MP之间的通讯用到
Port 80 Hypertext Transfer Protocol (HTTP)
Port 389 LDAP
Port 636 LDAP (SSL Connection)
远程控制（SMS Console 和远程客户端之间）用到
Application protocol Protocol Ports
NetBIOS Datagram Service UDP 138
NetBIOS Name Resolution TCP 137
NetBIOS Name Resolution UDP 137
NetBIOS Session Service TCP 139
SMS Remote Chat TCP 2703
SMS Remote Chat UDP 2703
SMS Remote Control (control) TCP 2701
SMS Remote Control (control) UDP 2701
SMS Remote Control (data) TCP 2702
SMS Remote Control (data) UDP 2702
SMS Remote File Transfer TCP 2704
SMS Remote File Transfer UDP 2704

9允许Schema修改
将SMS与AD集成，对于资源定位、信息收集、global roaming都非常有益处，因此笔者建议在有AD的环境下对Schema进行扩展。
在扩展之前，如果不允许Schema修改，在安装SMS时选择扩展Schema，那么安装过程中会遇到错误提示，所以需要首先允许AD更改架构。在Win2003中，Schema默认就是允许被修改的；而在Win2000中，则需要做以下额外操作
1）在域控制器上，开始>运行>键入regsvr32 schmmgmt.dll，注册shema management组件
2）开始>运行>MMC，添加AD架构管理组件，确定
3）展开组件，右键点击”Active Directory Schema”，选择“Operations Master”
4）勾选“The schema may be modified on this Domain Controller”
5）关闭所有窗口。

10 赋予SMS账号AD修改权限
如果SMS服务器不是安装在DC上，并且需要扩展AD时，我们需要赋予SMS账号AD修改权限。
1）安装域控制器上安装win2000/2003 support tools
2）开始>运行>ADSIEdit.msc
3）进入 Domain NC … -> DC=… ->CN=System。右键点击“CN=System”并选择“new -> Object”，选择类“container”。
4）在下一页面，输入容器的名称System Management并完成向导
5）开始>运行>dsa.msc
6）选择“察看>高级功能”
7）展开System容器，下面可以看到”System Management”容器
8）右击“System management”并选择属性，然后选择”安全”并点击”高级”
9）确认需添加的账号：
高级安全模式：添加的是SMS服务器的计算机账号。
标准安全模式：添加的是SMS的服务账号。
这里我们使用高级安全模式，添加服务器的计算机账号。如图：
10）在“system management”的高级安全配置中，为上面的账号(计算机账号或SMS的服务账号)添加full control的权限。
11）关闭所有窗口

11 安装SQL Server
在SMS服务器上安装SQL Server 2005
注：SQL服务建议运行于Local system 账号下

三安装SMS站点
1 运行SMS 2003光盘上的Autorun.exe
2 点击“Next”到“Setup Option”窗口，选择“Install an SMS Primary site”
3 选择“Custom Setup”
4 在后面的页面中同意协议
5 输入CD Key以及组织信息
6 输入Site Code，Site Name以及Site所在的域（Site Code是站点的唯一标识符，由三个字符组成，比如A01，我们这里填写001）
7 在下后面的页面中，勾选扩展AD Schema
8 选择“Advanced Security””。
9 在后面的页面，输入SMS客户端可能的数目。SMS将使用这个数据计算SMS初始数据库大小。这个数目并不影响将来客户端数量的扩展，它只是用来定义数据库初始容量的。
10 选择被安装的组件和安装路径。
11 选择SQL数据库位置以及验证方式。
12 选择自动创建数据库。
13 使用默认数据库名称。
14 选择数据库文件的存放路径。
15 输入可能的SMS Console 的数目，一般20条足够了。
16 SMS将显示所有配置信息，确认后SMS开始安装。
注：SMS 安装一般会在根目录下产生一个SMSSETUP.log文件，如果安装失败，可以查看这个日志。

另外，SMS 会自动添加一些新用户和组，详细情况可参见http://support.microsoft.com/?id=826843

四配置服务器
安装完毕后，就进入服务器的配置了。

1 配置站点边界
1）在SMS管理控制台中，打开“Site Database>Site Hierarchy>001”。右击选择“properties”。
2）选择“Site Boundaries”，默认情况下SMS服务器已经自动把自己的子网地址加入到站点范围内。我们要添加额外的子网范围或者AD站点范围。建议增加AD站点范围。

2 确认SMS向AD发布信息
1）在SMS管理控制台中，打开“site database > site hierarchy > 001”
2）右键点击站点并选择”properties”
3）点击“Advanced”，确认勾选“publish identity data to Active Directory”

3 配置客户端代理
在SMS管理控制台中，选择 “Site Hierarchy >001>Site Settings>Client Agents”。可以在这里配置SMS客户端组件。
硬件信息收集
双击“Hardware Inventory Client Agent”并激活该组件。可以在这里配置收集间隔，一般使用默认的配置即可。
硬件信息收集同时也可以提取一些软件信息，比如“添加/删除程序”列表等，这里读者比较容易误会。

软件信息收集
双击“Software Inventory Client Agent”并激活该组件。
该组件默认只收集.exe文件，也可以添加所需的其他文件类型，如BAT，DOC，不过考虑到网络和服务器的负载，一般很少这么做。软件信息收集功能还提供了收集客户端文件的功能，比如，可以在服务器上收集保存客户机上的boot.ini 文件，如果客户的这个文件被损坏，甚至可以还原回去。软件信息收集的机理是扫描所有文件的文件头，因此绿色软件一样无所遁形。
远程工具组件
1）双击“Remote Tools Client Agent”并激活该组件。
2）点击“Security”，在这里可以指定有远程控制权限的组。默认情况下，域管理员有权限远程控制客户端。
3）点击“Policy”来订制远程控制的策略。
当勾选”display a message to ask for permission”时，每次管理员试图远程控制终端用户的计算机时，终端用户会得到一个提示，并可以选择允许或拒绝被控制。而当勾选”Do not ask for permission”时，管理员则可直接控制远程的计算机而无须有人在终端允许。

软件分发客户端组件
1）双击“Advertised Program Client Agent”并激活该组件。
SMS的客户端会定期连接SMS服务器查询是否有新的软件要分发给自己。默认间隔是一个小时。此间隔的设置取决于网络带宽和你对软件分发实时性的要求。一般用默认值即可。如果选中 “New program notification icon opens Add or Remove Programs”。这样当有新的软件下发到客户端时，客户端将打开添加/删除程序列表。
2）点击”Notification”。可以在这里配置软件下发时终端用户看到的通知。默认安装下终端用户将看到一个5分钟的倒计时窗口。

4 配置客户端连接账号
1）在SMS管理控制台中，选择 “Site Hierarchy >001>Site Settings>Connection Accounts>Client”，右击空白处，选择“new -> Windows User Account”
2）添加此账号。客户端连接账号是SMS客户端用来连接SMS服务器CAP的账号。该账号需要先在AD中创建好，一般只要是一个Domain User即可。

5 配置客户端网络访问账号
1）在SMS管理控制台中，选择 “Site Hierarchy >001>Site Settings>Component Configurations”，双击打开“Software Distribution”
2）配置”Legacy Client Software Installation Account”和”Advanced Client Network Access Account”。这2个帐号是客户端访问的账号，需要先在AD中创建好，只要是一般域成员即可，使用同一账号也可

6 配置站点系统
1）在SMS管理控制台中，选择 “Site Hierarchy >001>Site Settings>Site System”，在右边双击服务器
2）点击“Reporting Point”，并激活此组件。
3）点击“Server Locator Point”，并激活此组件。
注：SLP 会自动在AD 中注册，但如果不用AD ,则需要手工在WINS 中添加1A记录，方法如下
a) 在命令行模式输入netsh
b) 输入wins
c) 输入server
d) 输入 //server 或者XXX.XXX.XXX.XXX
e) add name Name=SMS_SLP endchar=1Arectype=0 ip={static IP of your SLP} 确认SLP记录是否被正确添加
a) 在命令行模式输入netsh
b) 输入wins
c) 输入server
d) 输入 //server 或者XXX.XXX.XXX.XXX
e) show Name name=SMS_SLP endchar=1A
也可以通过添加客户端的Lmhosts文件的方法
172.16.0.1 "SMS_SLP /0x1a" #PRE （172.16.0.1是SLP角色务器的IP）
4）点击“Management Point” ，并激活此组件。
5）点击“Distribution Point”。该组件默认已被激活，建议勾选“Enable Background Intelligent transfer Service(BITS)”。
6）点击“Client Access Point”，该组件默认已被激活。
7）关闭窗口。

7 配置客户端发现方法
在SMS管理控制台中，选择 “Site Hierarchy >001>Site Settings>Discovery Methods”，会看到7种发现方法。默认情况下，只有”Heartbeat Discovery”是激活的。
1） Heartbeat 发现法：用于定期更新客户记录。
2）网络发现法：使用各种不同技术从网络上提取信息，如SNMP，DHCP。不建议启用。
3） Windows 用户发现/Windows用户组发现方法：扫描域用户和组，一般用于没有AD 的环境。
4） Active Directory System Discovery发现法，用于发现AD中的计算机名，计算机容器名，IP 地址，计算机所属的AD站点。
5） Active Directory User Discovery发现法，用于发现AD中的用户名，全称，域名，用户或用户组所属的容器名，安全组或非安全组名，用户所属的用户组名。
6） AD System Group Discovery发现法，通过搜索DC来得到以前所发现的计算机(数据库中所有的记录)所属的System Group。可以发现OU，全局组，嵌套组及非安全组。

一般情况下，在有AD的环境中推荐只用Active Directory Discovery 和Heartbeat Discovery。
要启用任何一个发现方法，只需要：
1）双击发现方法，如“Active Directory System Discovery”。激活这种发现方法，然后点击星键添加AD Container。
2）选择AD中的容器。
3）点击“Polling Schedule”，选中“Run discovery as soon as possible”。SMS将会立即查找AD发现客户端。也可以在这里配置这种发现方法运行的计划。默认配置是每天运行一次。

8 检查
1）在SMS管理控制台中“ Site Hierarchy >System Status > Site Status > 001 > Site System Status”，检查所有组件的状态。应当看到状态都显示”OK”
2）检查IIS，在Default Website下面会出现SMS_SLP，SMS_MP等虚拟目录
3）验证AD扩展信息
a) 开始>运行>dsa.msc
b) 察看>高级功能
c) 展开“system > System management”
d) 如果看到关于MP，SLP以及SMS 站点的信息，意味着AD扩展成功了

9 配置好客户端推客户端安装账号
进入“Site Hierarchy >001>Site Settings>Client Installation Methods”，双击打开“Client Push Installation” >点击“Accounts”，再点击星号添加客户端远程安装账号。此账号必须在远程客户端上具有本地管理员权限，一般使用一个Domain Admin的账号。

五部署客户端

]

服务器配置完成后，就要开始部署客户端了，有许多种可选的安装方法。
1 服务器端自动推SMS客户端安装
1）在SMS管理控制台中，选择 “Site Hierarchy >001>Site Settings>Installation Methods”，双击打开“Client Push Installation”。
2）勾选“ Enable Client Push Installation to assigned resources”。这样SMS服务器将为任何符合条件的客户端时，自动远程安装SMS客户端。
System Types：定义客户端的系统类型要求。
Enable Client Push Installation to site systems：如果想在SMS的组件服务器上自动安装SMS客户端，请勾选此项。
Client Types: 选择安装的客户端的类型。一般选择“Platform Dependent”，SMS会自动判断客户端系统，如支持高级客户端就安装高级客户端，否则安装Legacy客户端。
TIPS：
1）如果你希望将一些特定的计算机排除在自动远程安装客户端外，可以将这些客户端的名字依次输入到下面的这个注册表键值中，每个名字占一行。HKLM/Software/SMS/Components/SMS_DATA_DISCOVERY_DATA_MANAGER/ExcludeServers
2）建议在测试无误，站点运转正常后再激活“ Enable Client Push Installation to assigned resources”。
2 服务器端手工推SMS客户端安装
1）右击Collection或者特定的机器，点击“All Tasks > Install Client”
2）点击”Next“，选择”Install the SMS client”，并选择“Platform dependent”。这样SMS会根据客户端操作系统自动安装相应的客户端。
3）在后面的页面中，配置相关参数。
Include domain controllers: 是否往域控制器上安装SMS客户端
Include only clients assigned to this site: 只往本站点管理范围内的计算机上安装客户端
Include subcollections: 包含当前collection的子collection内的计算机
Always Install:不管远程计算机上是否已经安装客户端，总是再次安装客户端。
4）点击“Finish”。
3 客户端手工安装
高级客户端
在SMS客户端上，连接到SMS服务器的共享目录//SMSServer/SMSClient/i386，运行client.msi。

Legacy客户端
在SMS客户端上，连接到SMS服务器的共享目录//SMSServer/SMSClient/i386，运行smsman.exe。

登陆脚本安装
1 将//SMSServer/SMSClient/i386 下的文件复制到//DC/Netlogon目录下
2 配置capinst.exe并且加上相关的参数作为用户登陆脚本。