Microsoft Tech·Ed IT Forum 2006

MGT321 1

MGT006

System Center ConfigurationManager 2007: AnáliseTécnica Pormenorizada

Luís Silvaluis.silva@rumos.ptSenior Trainer, Rumos

Patrocinadores Agenda

Calendário do SCCM 2007

Revisão das funcionalidades introduzidasnas versões anteriores

AKA SMS v4 para as duas primeiras releases

Análise técnica das funcionalidades da versão actual do SCCM 2007

Versão Beta 2

Microsoft Tech·Ed IT Forum 2006

MGT321 2

SCCM 07 – Áreas de InvestimentoPronto a funcionar em minutos

Interface simplificado

Advanced Task Sequencing

Custos da infra-estrutura reduzidos com suporte para localizações remotas

Calendarização melhorada, com maior controlo, incluíndo Wake-on-LAN

Processos comuns para Windows Mobile e dispositivos embeddedSimplicity

Gestão de configurações de acordo com o System Definition Model (SDM)

Políticas de configuração predefinidas para os cenários mais comuns

Políticas de TI para a análise de conformidade corporativa e legal

Gestão de recursos e licençasConfiguration

Integração com o Network Access Protection do Longhorn

Distribuição de updates simplificada, com templates para as tarefas mais comuns

Verificação de vulnerabilidades ao longo da organização

Gestão segura de dispositivos sobre a InternetSecurity

Distribuição uniformizada para o SO Windows (cliente e servidor)

Uma única imagem para gerir com o Windows Vista

Construído sobre as tecnologias presentes no Windows Vista, incluindoWindows Imaging

Planeamento eficaz de upgrades Windows Vista e Office 2007

Suporte para offline mediaDeployment

Versões do SCCM 2007

Beta 1

Lançada em Fevereiro, 2006

Continha as funcionalidades do SMS 2003, mais a nova Consola Administrativa, suporte para Branch Distribution Points, ITMU, e com os OSD e Device Management Feature Packs integrados

Beta 1 Refresh

Lançada em Julho, 2006

Todas as funcionalidades da beta 1, mais suporte para instalações doWindows Vista beta 2, integração de NAP com o Longhorn Server, emelhorias na Consola Administrativa

Beta 2

Lançada em Fevereiro, 2007

Todas a funcionalidades da beta 1 refresh, mais as funcionalidadesdescritas em detalhe nesta sessão

RTM – Verão, 2007

Novas funcionalidades do SCCM 2007 Beta 2

Novo SMS setup com verificação de pre-requisitos

Instalação opcional do management point

Instalação opcional do distribution point

Configuração de portos HTTP personalizados

Suporte para:

SQL Server 2005 em cluster (apenas para uma instalação remota do SQL Server)

SQL Server named instances

Site systems 64-bit (para além do IA-64 SQL Server)

Longhorn site systems

SMS Administrator Console

Pastas de pesquisa (Search folders)

Mais homepages

Novas funcionalidades do SCCM 2007 Beta 2 (2)

Distribuição de Software

Janelas de Serviço (Maintenance windows)

Variáveis de Collection/machine

Wake on LAN

Replicação de binarios em delta

Copy Packages wizard

Software Updates

Integração com o WSUS

Listas de Autorização

Gestão de updates 3rd party

Verificação de vulnerabilidades

Microsoft Tech·Ed IT Forum 2006

MGT321 3

Novas funcionalidades do SCCM 2007 Beta 2 (3)

Suporte para a instalação do Vista RTM

Suporte para Offline media

Integração com PXE boot

Catálogo de drivers

Desired Configuration Management

Gestão de Clientes através da Internet

Native security mode

Descoberta personalizada de atributos da Active Directory

AD System Discovery e AD User Discovery

Gestão de Dispositivos móveis

Suporte de dispositivos “Over the air”

Pré-requisitos para a Beta 2

SMS site systems:

Windows 2003 Server SP1 ou Windows Server 2003 R2

Microsoft SQL Server 2005 SP1

IIS 6.0

SMS Administrator Console:

.Net Framework 2.0

MMC 3.0

Cliente:

Apenas Advanced Client (Windows 2000 SP4 ou posterior)

.Net Framework 2.0 para DCM

Interoperability:

SMS 2003 SP2 ou SMS 2003 SP3

Pré-requisitos para a Beta 2 (2)

Modo de segurança nativo:

Necessário PKI (não fornecida com o SCCM)

Certificados digitais necessários para clientes e site systems

Suporte para Clientes através da Internet:

Firewall/DMZ com suporte SSL (SSL termination)

Modo de segurança nativo

Software Updates:

Necessário o WSUS 3.0

Suporte OSD PXE:

Windows Deployment Services instalado em Windows Server Longhorn ou Windows Server 2003 (Windows Automated Installation Kit)

Novidades na Distribuição de Software Collections

Janelas de Serviço (Maintenance windows)

Configuradas per-collection

Podem ser ignoradas por advertisement/deployment

Úteis como “safety net”

Clientes pertencentes a múltiplas collections, aplicam o somatório das Janelas de Serviço definidas

Definições de Segurança individuais

Variáveis

Configuradas como uma collection ou propriedade

Úteis para scripts

Notificações de Restart

Intervalo de avaliação das políticas

Sobrepõe as definições de Site

Microsoft Tech·Ed IT Forum 2006

MGT321 4

Copy Packages Wizard

Permite a clonagem do conteúdo de um DP para outro

Permite a selecção de pacotes a copiar

Suporte para DP remotos (Branch Distribution Points)

Ideal para localizações onde não existam servidores

O conteúdo é dscarregado utilizando os mecanismos de controlo de largura de banda do BITS

Pode ser pré-instalado ou descarregado a pedido

O conteúdo fica disponível para os clientes locais

Suporte de clientes Windows XP SP2+ (pertencentes aodomínio)

Novidades na Distribuição de Software Distribution Points Janelas de Serviço

Wake on LAN com o SCCM 2007

Integrado no produto – Não é extra!

Disponível para suportar a Distribuição de Software, Updates e SOs

Configurado por servidor

Configurado ao nível do site

Processo de configuração composto por duas etapas

Activar a utilização a partir do site

Definir a utilização na calendarização das tarefas (nosAdvertisements)

Não pode ser configurado centralmente na hierarquia

Collection based targeting

Selective processing for SUM deployments

Will only transmit to clients assigned to site

Wake on LAN com o SCCM 2007 Formatos de transmissão de pacotes

Unicast WOL

Método preferencial

Utiliza o último endereço IP do cliente, obtido atravésdos DDR de inventário

Não necessita de configuração de rede adicional

Subnet Directed Broadcasts

Método alternativo

Configuração do porto de origem

Necessita de configuração dos routers (Layer 3)

Pode ser seguro pela configuração de ACLs

Microsoft Tech·Ed IT Forum 2006

MGT321 5

Wake on LAN in SCCM 2007Ambientes suportados

Suporta placas de rede certificadas com o Windows Logo

Windows Vista & Longhorn Server

Windows Server 2003

Windows XP

Windows 2000 Professional and Server

Todas as arquitecturas: 32-bit, x64, IA-64

Todas as plataformas que suporte o formatoWOL standart

ConfiguraçãoWake on LAN

Novidades nos Software Updates:Suporte das novas funcionalidades do SCCM 2007

Suporte de Janelas de Serviço e Wake on LAN

Suporte de clientes da Internet e intranet

Utiliza mensagens de estado em vez do inventário de hardware

Um único agente para todos os tipos de updates (Microsoft, 3rd party, e aplicaçõesdesenvolvidas “in-house”)

Windows Update Agent

Novidades nos Software Updates:Integração com o WSUS

O WSUS 3.0 é um pre-requisito para a instalaçãode software updates em clientes SCCM 2007

Todo o conteúdo do WSUS é disponibilizado ao SCCM

Os clients verificam os updates necessários sobre o WSUS

Os results são transmitidos ao WSUS e ao SCCM

Para o SCCM através de mensagens de estado – semdependência do inventário de hardware

SCCM gere a distribuição de updates

Os updates são descarregados da web

Custom Updates são publicados no WSUS paraintegrar com o SCCM

Microsoft Tech·Ed IT Forum 2006

MGT321 6

3c3c

Software Update Point

Microsoft

Update

Management Point

Distribution Point

Admin ConsoleAdmin Console

Management Point

1b1b 3a3a

3b3b

1a

Site Server

WSUS Server

WSUS Database

Site Database

Sincronização da Metadata do WSUS

Management Point

Reports

Management Point

WSUS Server

Software Update Point

Site Server

Distribution Point

Admin Console

WSUS Database

Site Database

1b1b

6

Verificação de conformidade do

cliente

Microsoft

Update

Management Point

Distribution Point

Admin Console

Site Database

Admin Console

Management Point

Local Source

Distribution Point

Site Server

11

6a6a

Instalação de Software Updates Novidades nos Software Updates:Custom Updates Publishing Tool

Disponível desde o SMS 2003 R2

Permite a criação de catálogos custom/in-house ou a importação de catálogos 3rd party

Os updates são publicados no WSUS parasincronização com o SCCM

Necessita da MMC 3.0

Pode ser instalado em Windows XP SP2, Windows Server 2003 SP1 ou posteriores SOs

Requer SQL Server 2005 e a .Net Framework 2.0

Microsoft Tech·Ed IT Forum 2006

MGT321 7

Verificação de Vulnerabilidades

Implementada e disponibilizada como Configuration

Items para Desired Configuration Management e

Software Update Management

O SMS 2003 R2 (MBSA v2) implementava um total de cerca de

100 verificações individuais

O SCCM 2007 irá implementar essas verficações através de

DCM (a grande maioria) ou SUM (as restantes verificações)

A SMS 2003 R2 Vulnerability Assessment (VA) Tool

não irá ser suportada pelo SCCM 2007

Continuará a funcionar nos clientes de SMS 2003

Os relatórios de VA do SMS 2003 R2 não irão actualizar

automaticamente para os novos relatórios baseados na DCM

Integração com o WSUS

Desired Configuration Management

Visão:

Define baselines de configuração

Configurações necessárias e proibidas

Auditoria de conformidade para sistemas Windows

Cenários Comuns:

Detecção de desvios de configuração em servidores

Apoio no despiste de problemas por parte do Helpdesk e melhoria nos tempos de resolução

Relatórios de conformidade legal

Gestão/verificação de alterações

Desired Configuration Management: Data flow

DCM Digests

ConfigMgr

Admin

Console

ConfigMgr Server

Windows

Server2003

CI

401K

ApplicationCI

Antivirus

SoftwareCI

ConfigMgr Database

401(k) ApplicationServer

Baseline

ConfigMgr Client

Managed

ClientWMI

XML

Registry

IIS

MSI

1CIs criados pela

importação de documentosválidos

2 Novos CIs criados

3 Configuration

Baseline definidaUtilizando osconfiguration items

Configuration baseline

associada ao cliente4

DCM descobre os

CIs e valida a Informação sobreAs regras

5

Relatório de

ConformidadeEnviado para oSite Server

6

Script

SQL

Software

Updates

File

Active

Directory

Compliance

State

Tables

Microsoft Tech·Ed IT Forum 2006

MGT321 8

Desired Configuration Management

Novidades na instalação de SOs: Distribuição de Imagens

Opções de distribuição de imagens

A partir do DP via HTTP no momento da instalação

Pre-carregado do DP na cache do cliente utilizando o BITS (“download-and-execute”)

A partir de media amovível para cenários de reduzidalargura de banda

CD

DVD

USB flash drive

Arquitectura

DPMP

Site Server

Client

Criação das imagens de

Boot e de SO e replicação

para o DP.

Criação da Task Sequence e

publicação da mesma na

collection que contémo cliente

O cliente recebe a

Task Sequence do MP

e executa-a

O cliente descarrega as

imagens de boot e SO

referidas na Task sequence

O client envia a

informação de estado à

medida que a Task

Sequence executa

Novidades na instalação de SOs: Catálogo de Drivers

Catálogo dos drivers para os dispositivo geridos

Utilizado para uniformizar a imagem deinstalação (one worldwide image)

Implementa a imagem genérica do SO

Procura dispositivos de Hardware

Acede aos drivers correspondentes e instala-os na imagem correspondente

Arranca a máquina com o novo SO e os driverscorrectos já presentes

Implementados através de Task SequencesAuto-Apply Drivers

Apply Driver Package

Microsoft Tech·Ed IT Forum 2006

MGT321 9

Novidades na instalação de SOs: Integração com PXE

Integra com o Longhorn WDS PXE server

Gerido como um SCCM 2007 site role (PXE Service Point)

PXE server responde a pedidos de PXE boot

Verifica a BD do SCCM 2007 para saber se o sistema é conhecido

Se desconhecido, o pedido é rejeitado

Se conhecido, descarrega o Windows PE

Integração dos WDS com o SCCM 2007

New Computer

SCCM 2007 Site Server

O SCCM provider no

WDS verifica a existência damáquina na BD do Site

Se a máquina for

encntrada, o WDS

continua. Senão, tentao próximo provider

O WDS Server

descarrega o WinPEpara a nova máquina

SCCM 2007MP

SiteDB

O WDS PXE Server contémmultiplos providers. O ConfigMgr

coloca o seu provider fem primeiro

lugar da lista

WDSServer

O WinPE contacta

o MP de forma a

encontrar a task sequence anunciada

A nova

máquina arrancapor PXE

O Admin anuncia

uma task sequence a uma collection que

contém uma nova máquina

Operating System Deployment

Mixed ModeSMS 2003 advanced security mode

Native ModeAutenticação mútua (HTTPS) entre o cliente e o servidor com certificados digitais emitidos pela PKI

Activado nos níveis superiores da hierarquia (top down, como osupgrades)

Requer uma PKI

Suporta PKIs 3rd party

A estrutura do SCCM 2007 tem que estar publicada na AD

É pre-requisito para gerir internet-based clients

Os modos de segurança são configurados por site

mixed > native / native > mixed

SCCM 2007: Modos de Segurança

Microsoft Tech·Ed IT Forum 2006

MGT321 10

Alterações de Segurança do SCCM 2007

Deixa que apenas clientes autorizados possamcomunicar

Block/Unblock clients

Custom Web SiteO default Web Site continua a ser opção

Alguns Site Roles podem ser definidos paraservir:

Apenas Internet

Apenas Intranet

Internet & Intranet

Site Roles: Management Point, Distribution Point, Fallback Status Point, & Software Update Point

Gestão de Internet Based ClientsInstalação do Cliente

Opções de instalaçãoLigação à rede corporativa (intranet)

Instalação Manual

VPN

CD

Internet Client é gerido pelos Internet Based Management Point & Internet Based Fallback Status Point

Gestão de Internet Based Clients Suporte a Roaming

Quando na InternetNão procura dinamicamente o Management

Comunica com um Internet Based Management Point fixo

Quando noutra rede (Foreign Network)Não procura dinamicamente o Management

Comunica com um Internet Based Management Point fixo

Quando na Intranet (Home network)Equivalente aos restantes clientes

Managed Laptop

ISA 2004

DMZ LAN Corp Net

Management Point

Client Identity (Signature & Data)

Policy

Data

Hash(Data)

(PR) Signature = Encrypt (Hash(Data))

Incoming

Hash(Data)

(PP) Decrypt (Hash(Data))

Computed

Hash(Data)=

Authorize Client

Issue Policy

SMS

Database

Gestão de Internet Based Clients Policy Request/Response

Microsoft Tech·Ed IT Forum 2006

MGT321 11

Gestão de Internet Based ClientsTopologias (1/4)

Managed Laptop

Router

Front End LAN DMZ LAN

Management

Point

Distribution

Point

Fallback Status

Point

ISA 2004

SQL Server

Site Server

Corporate LAN

(IPSec)

Allow

SQL & SMB

Ports

Allow

HTTPS/HTTP

Ports

IPSec

Boundary

Exception

Gestão de Internet Based ClientsTopologias (2/4)

Managed Laptop

Router

Front End LAN DMZ LAN

Management

Point

Distribution

Point

Fallback Status

Point

ISA 2004

SQL Server

Site Server

Corporate LAN

(IPSec)

Allow

SQL & SMB

Ports

Allow

HTTPS/HTTP

Ports

IPSec

Boundary

Exception

Management

Point

Distribution

Point

Fallback Status

Point

Managed

Laptop

`

Managed

Desktop

Managed Laptop

Router

Front End LAN DMZ LAN

Management

Point

Distribution

Point

Fallback Status

Point

ISA 2004

SQL Server

Site Server

Corporate LAN

(IPSec)

Allow

SQL & SMB

Ports

Allow

HTTPS/HTTP

Ports

IPSec

Boundary

Exception

MP serves

Internet & Intranet

Clients

Managed

Laptop

`

Managed

Desktop

Gestão de Internet Based ClientsTopologias (3/4)

Managed Laptop

Router

Front End LAN DMZ LAN

Management

Point

Distribution

Point

Fallback Status

PointISA 2004

SQL Server

Site Server

Corporate LAN

(IPSec)

Allow

HTTPS/HTTP

Ports

Parent Site

Allow

SQL & Sender

Ports

Gestão de Internet Based ClientsTopologias (2/4)

Microsoft Tech·Ed IT Forum 2006

MGT321 12

Resources/Recursos Úteis

SMS Home Pagewww.microsoft.com/sms

System Center Family of productswww.microsoft.com/systemcenter

Community Siteshttp://www.microsoft.com/smserver/community/default.mspx

SMS 2003 Scripting Centerhttp://www.microsoft.com/technet/scriptcenter/default.mspx

SMS Download Centerhttp://www.microsoft.com/smserver/downloads/default.mspx

Partner Resources – SMS Alliancehttp://www.sms-alliance.com/

Webcastshttp://www.microsoft.com/events/webcasts/upcoming.mspx

Related Sessions/ParticipeNoutras Sessões

MGTHOL003 - Introdução ao System

Center Configuration Manager 2007

(SMSv4)

Quarta-feira, 21 de Março, 9:30

Quinta-feira, 22 de Março, 11:15

Outros RecursosPara Profissionais de TI

TechNet Plus2 incidentes de suporte gratuito profissional

software exclusivo: Capacity Planner

software Microsoft para avaliação

actualizações de segurança e service packs

acesso privilegiado à knowledge base

formação gratuita

e muito mais.

www.microsoft.com/technet/subscricoes

Microsoft Tech·Ed IT Forum 2006

MGT321 13

Questionário de AvaliaçãoPassatempo!

Complete o questionário deavaliação e devolva-o no balcão da recepção.

Habilite-se a ganhar uma Xbox 360 por dia!

MGT006

System Center Configuration Manager 2007: Análise Técnica Pormenorizada

© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.