930 likes | 1.08k Views
SYSTEM MANAGEMENT SERVER 2003. Juan Luis García Rambla Consultor de seguridad y sistemas jlrambla@informatica64.com. Agenda. 9:30 - 9:45 Recepción. 9:45 - 10:00 Introducción a SMS. 10:00 - 10:15 Entorno de trabajo de SMS. 10:15 - 11:00 Agentes y clientes SMS.
E N D
SYSTEM MANAGEMENT SERVER 2003 Juan Luis García Rambla Consultor de seguridad y sistemas jlrambla@informatica64.com
Agenda • 9:30 - 9:45 Recepción. • 9:45 - 10:00 Introducción a SMS. • 10:00 - 10:15 Entorno de trabajo de SMS. • 10:15 - 11:00 Agentes y clientes SMS. • 11:00 – 11:30 Descanso. • 11:30 - 12:00 Los sistemas de movilidad en la empresa. • 12:00 - 12:30 Distribución de Software. • 12:30 - 13:15 OS Deployment Feature Pack. • 13:15 – 13:30 Preguntas, ruegos y despedida
¿Qué es SMS 2003? • Revolución (establece nuevas fronteras) • Fiabilidad: distribución de software con un nivel de precisión de hasta el 99% • Escalabilidad: control desde cientos a cientos de miles de sistemas. • Seguridad: en el diseño, instalación y operación. • Evolución • Construido sobre el éxito de SMS 2.0 • Inversión continuada en distribución de software y descubrimiento de elementos de inventario. • Ampliación y mejora de sus principales características.
Funcionalidades de SMS 2003 Gestión de parches de seguridad Gestión de inventario Soporte para usuarios móviles Distribución de aplicaciones Uso intensivo de Windows Management Services
Roles de los sistemas del Site Punto de ubicación del Servidor (Server Location Point) Punto de Administración SMS SiteDatabase Servidor de Site Punto de distribución Punto de informes Punto de acceso de cliente
Jerarquías de Sites SQL SQL SQL SQL Site Primario (Central) (Parent Site) Site Primario (Child y Parent Site) Site secundario (Child Site) Site Primario o secundario (Child Site)
Infraestructura • Diseño basado en infraestructuras de empresa: • Estructuración de SITES según: • Funciones administrativas. • Diseños geográficos. • Funcionalidades de SMS. • Despliegue de roles como mejora de las funciones de red. • Microsoft Solutions for Management: Management Architecture. Guías de diseño de arquitectura. • www.microsoft.com/downloads
Clientes • Sistema de clientes. • Clientes tradicionales. • Clientes avanzados. • Mejoras en la funcionalidad. • Mejoras en seguridad. • Clientes móviles. • Diseño de la arquitectura en función de los clientes.
Agentes • Controlan la interacción de los clientes con el subsistema de SMS. • Hay agentes por cada una de las funcionalidades que aporta SMS. • Se instalan como componentes independientes
Logs • Tienen como objetivo referenciar el estado de funcionamiento de los componentes de SMS. • La información es consultada por todo aquello que ha sido recogido en la base de datos por mediación del Site Server.
SMS Trace • Es una herramienta avanzada para análisis y consulta de los componentes de SMS. • Presenta un potente sistema de filtros y búsquedas.
Clientes • SMS 2003 basa sus funcionalidades sobre los Clientes. • El despliegue de agentes. • Acciones. • Procedimientos. • Descubrimiento. • Instalación.
Descubrimiento • Procedimiento inicial para determinar que sistemas va a interactuar y ser gestionados mediante SMS. • El descubrimiento se realiza mediante diferentes metodologías: • Por directorio Activo. • Por red. • Mediante Script. • Descubrimiento de usuarios. • Descubrimiento de grupos. • Descubrimiento manual.
Integración con las delimitaciones de Sites del Directorio Activo • SMS 2003 permite la definición de los límites de site SMS a partir de los nombres de site del Directorio Activo. • Las subredes IP solo se definen en un lugar y SMS aprovecha esa definición. • Se pueden emplear subredes IP mezcladas y delimitaciones de sites del AD para definir sites SMS. • Soporta migración progresiva – las delimitaciones existentes basadas en subredes IP todavía están soportadas.
Descubrimiento integrado en Active Directory • El descubrimiento de sistemas integrado en Directorio Activo permite el descubrimiento de nuevos sistemas para su asignación a sites e instalación. • Generalmente más eficiente que el Descubrimiento en la Red. • Reúne información de contenedores del AD • Descubrimiento de usuarios en AD. • Descubrimiento de Grupos de Máquinas en AD. • Obtiene nombres de Sites del Directorio Activo.
Definición de sistemas-objetivousando el Directorio Activo • Recoge información de los siguientes contenedores • Pertenencia a Organizational Unit • Pertenencia a grupos Universal, global, dominio, local, seguridad y distribución • Soporte para anidamiento de grupos • Incluye usuarios y máquinas incorporados (“Built-in” • Definición de objetivos de distribución de software a partir de OUs y grupos • Incluye los grupos de distribución
Instalación de clientes • Tras descubrir los posibles sistemas clientes hay que proceder a su intalación. • SMS 2003 cuenta con dos tipos de clientes: • Tradicionales. • Avanzados.
Metodologías de instalación de clientes • Por procedimiento programado. • Instalación por mandato. • Instalación mediante script. • Instalación manual.
Interacción del Cliente SMS 2003 Cliente Avanzado SMS 2003 Servidor de Site Primario Base de Datos del Site Punto de Administración Punto de Distribución Cliente tradicional CAP Compatibilidad con SMS 2.0
Cliente avanzado: movilidad global Site primario Active Directory Site para usuario móvil Site asignado Ubicación del punto de Administración Política Ubicación de contenidos Contenido Site primario Site primario Site primario
¿Sigue siendo necesario NetBios con SMS 2003? Con SMS 2003 …usando Active Directory …y Seguridad Avanzada …con Clientes Avanzados • No se usa Network Browser de NT! • No se usa WINS para resolución de nombres !!
Descarga y ejecución del Cliente Avanzado Instalación del nuevo programa Punto de Distribución Punto de Administración Site primario SMS 2003 Site Primario SMS 2003 Punto de Distribución Cache local del cliente Cliente Avanzado SMS 2003
Matriz de clientes SMS2003 Funcionalidad Cliente antiguo Cliente Avanzado Inventario (HW/SW) Inventario de dispositivos móviles Distribución básica de SW No requiere permisos de Administrador del Dominio Distribución de SW para dispositivos móviles * * Control remoto Métrica Windows 98, Windows NT 4.0, Windows 2000, Windows XP Windows 2000 y Windows XP Plataformas de cliente Métodos de instalación Descubrimiento, script, manual, pre-instalación Descubrimiento, script, manual, GP, pre-instalación * El Control Remoto se integrará con la Asistencia Remota de los Clientes XP. Control remoto SMS 2.0 disponible para todas las plataformas.
Integración con Windows Management ServicesNecesidades • Rentabilizar las inversiones en TI • Aprovecha las inversiones en Directorio Activo • Usa lógica de negocio incorporada en el directorio corporativo para ayuda a la toma de decisiones de gestión de sistemas • Reducción de costes operativos • Aprovechamiento de la infraestructura existente • Distribución de aplicaciones optimizada • Reduce el tiempo necesario desde la creación de aplicaciones a su distribución • Proporciona información de inventario fiable • Soporta entornos de Windows bloqueados • Asistencia remota a los usuarios
Nuevas funcionalidades a su disposición • Distribución de aplicaciones • Soporte para el ciclo de vida completo: planificación, distribución, instalación, comprobación, informes, actualización y desinstalación. • Uso intensivo de las funcionalidades de Windows Installer V2. • Gestión de Inventario mejorada. • Informes integrados. • Inventario más granular y nueva solución de métrica de utilización. • Gestión de Parches de Seguridad. • Soporte integrado para actualizaciones de seguridad de Windows y para Office. • Ayuda al usuario mediante asistentes. • Movilidad. • Nuevo Cliente Avanzado pensado para usuarios móviles. • Control del consumo de ancho de banda, puntos de restauración, escalable y basado en HTTP. • Integración completa con Windows. • Integración con Active Directory. • Experiencia de cliente nativo Windows.
Herramienta de planificación • La Gestión de Inventarios ayuda a la planificación. • Inventario de Hardware. • ¿Qué hardware necesitan las nuevas aplicaciones? • ¿Cuántas máquinas necesitan actualizaciones de hardware para poder correr las nuevas versiones de aplicaciones de negocio críticas? • Inventario de Software. • Cuántas copias de MS Office Profesional y Office Premium necesito, y cuántas tengo que comprar? • Pruebas de compatibilidad de aplicaciones. • Posiblemente supone el mayor concepto de gasto dentro de la distribución de aplicaciones de línea de negocio. • ¿Cómo montar un entorno de pruebas? • Métrica. • Seguimiento del uso de las aplicaciones. • ¿Quién usa qué y durante cuánto tiempo? • Eliminar aplicaciones no utilizadas.
Herramienta de distribución • El Directorio Activo permite asignar objetivos basados en roles de negocio. • Variedad de estados en la distribución de paquetes. • Facilidad para distribuir aplicaciones grandes. • Arquitectura de envíos site-to-site. • Control avanzado de consumo de ancho de banda. • Reinicio desde punto de revisión (checkpoint). • Chequeo de errores. • Replicación de Deltas. • Reduce el consumo de ancho de banda al enviar únicamente los archivos que han sido modificados.
Replicación de cambios (Deltas) Punto de Distribución Site Central SMS 2003 Punto de Distribución Punto de Distribución Site secundario SMS 2003 Site Primario SMS 2003
Gestión de inventario • Inventario fiable y escalable. • Mejor control. • Menor tráfico de red. • Granularidad en la asignación de sistemas-objetivo. • Métrica de software integrada. • Seguimiento de la utilización. • Recogida y envío de datos (roll-up). • Sistema de informes potente. • Seguimiento de cumplimiento de licencias. • Entornos de informes personalizables.
Capacidades de inventario • Aumento de escala • 100.000+ sistemas en un site primario único • 5-7x más que con SMS 2.0 • Más control sobre el inventario de software • Mejores criterios de selección • Comodines, directorios y variables de entorno • Resaltar diferentes permutaciones de inventario, como *.exe, ^*.exe, etc. • Exclusión de volúmenes comprimidos y cifrados (crítico en servidores) • Capacidad de obtener propiedades de archivos, mejorando el rendimiento del sistema • Mejores informes de aplicaciones instaladas • Proveedor WMI para inventariar los programas añadidos / quitados • Información sacada del registro y la interfaz de usuario • Mejor seguimiento de suites de aplicaciones • Informe válido para Enterprise Agreement • Proveedor WMI para inventariar el estado de Windows Installer • Reducción del tráfico de red debido al inventario • Deltas generados en clientes. Clientes Avanzados utilizan archivos XML
Informes • Informes en formato Web • Basados en vistas SQL de alto rendimiento y actualizadas de forma automática • Esquema basado en SMS Provider • Documentado y soportado • Mejoras sobre la versión Web original • 120 informes preconfigurados • Funcionalidad de escritorio personalizable que facilita el manejo de informes • Múltiples informes en una vista única • Soporte para seguridad integrado • Versiones internacionales • Exportación de informes • Se pueden importar/exportar propiedades de los informes hacia otros entornos SMS
Seguridad • SMS 2003 ofrece un nuevo modo de Seguridad Avanzada. • Menor número de cuentas de servicio. • Menos carga de trabajo administrativo. • Aprovecha la cuenta Local System. • No necesita derechos de Administrador de Dominio. • Se recomienda la plataforma de Cliente Avanzado. • No utiliza cuentas administrativas, a diferencia del cliente tradicional. • SMS 2003 permite la delegación de derechos de seguridad.
MSI y Windows Installer • Utiliza el servicio Windows Installer. - Los paquetes de software se pueden crear a partir de un archivo de Windows Installer (.MSI). - Soporta entornos bloqueados por configuraciones de seguridad mediante el uso de derechos ampliados para la distribución automática de software. • Distribución de aplicaciones optimizada mediante importación de MSI. • Aplicaciones MSI autocontenidas en todo momento y lugar.
Control Remoto • Asistencia remota integrada • Solución estratégica de Microsoft en este área • Incorporada en Windows XP y Windows Server 2003 • Servicios de Terminal integrados • Windows 2000 Server • Herramientas de control remoto existentes para todas las plataformas • Mejora la disponibilidad y rendimiento • La misma funcionalidad para plataformas de cliente tradicionales y avanzadas
WMI • Inventario basado en WMI • Mejor rendimiento en el lado del cliente durante los análisis de inventario • Proporciona un conjunto amplio de datos de inventario, incluyendo información de BIOS y cierres de chasis (control de intrusión) • Basado en el modelo estándar CIM (Common Information Model) • Puede operar con información desde múltiples orígenes
Software Metering • Conocer el uso de las Aplicaciones • Quién, cuándo, dónde… • Acuerdos de Licencia • Aplicaciones No Autorizadas • Generación de informes • Aplicaciones instaladas vs. en uso • ¿Tenemos bastantes licencias? • ¿Tenemos demasiadas licencias?
Software Metering (2003) • Componente rediseñado. • Sólo Auditorías “offline”. • Informe de uso junto con Inventario. • Resúmen periodico de los datos. • Integrado. • Tareas estándar y componentes comunes.
Software Metering (2003) • Monitorización específica. • Definiendo productos. • Sin reglas definidas. • Sesiones Terminal Server.
Software Metering Processor • Crea y Mantiene estructura de carpetas. • Convierte las reglas en ficheros XML. • Replicadas en los CAP’s para el cliente básico. • Convertidas en políticas para el cliente avanzado. • Procesa los datos recibidos desde los clientes.
Software Metering Processor • Escribe en la Base de Datos. • Datos detallados de los clientes. • Datos resumidos en uso periódico y uso de Aplicación. • Borra los datos antiguos. • Uso Periódico basado en usuarios. • Cuantas veces ejecuta un usuario un programa determinado en un intervalo de tiempo. • Uso de Aplicación basado en programas. • Cuantos usuarios (totales y concurrentes) ejecutaron un programa en un intervalo dado. • Utiliza tareas separadas.
Introducción • Los dispositivos móviles están teniendo un profusión importante en la empresa. • Su uso se encuentra cada vez más extendido. • La empresa proporciona los medios y debe proveer un mecanismo de control para los mismos.
Necesidades • Control de hardware. • Gestión de la seguridad. • Despliegue corporativo de aplicaciones. • Actualizaciones controladas.
Device management feature Pack (DMFP) • SMS 2003 incorpora una nueva implementación para gestión de dispositivos que utilicen Pocket PC y Windows CE. • Requiere SMS Service Pack 1 para sus funcionalidades. • Los dispositivos clientes deben poseer Windows CE™3.0 o posterior WindowsMobile™2002 and Windows Mobile™2003 para Pocket PC