概览:
安装和升级
配置 Essentials 2007
故障排除步骤
System Center Essentials 2007 是一种新的 IT 管理解决方案,专为具有 50 到 500 台 PC 和 5 到 30 台服务器的中型企业设计。IT 专业人员针对自己对于统一管理解决方案的特定需求做出了大量反馈,因此 Essentials 2007 应而生。Essentials 2007 满足了这些需求,并使您能够通过单一安装和简单配置就可以快速启动和运行。
具体来讲,Essentials 2007 提供了监控、故障排除以及资产跟踪功能来帮助保持您的 IT 环境处于安全和最新的状态。Essentials 2007 还提供了一个统一管理控制台,您可在其中管理服务器、客户端、硬件、软件和 IT 服务(请参见图 1)。另外,Essentials 可执行复杂的管理任务,例如,解决最终用户问题、进行监控以及更简单、更有效地部署服务器和客户端软件。
图 1 Essentials 2007 管理控制台 (单击该图像获得较小视图)
图 1 Essentials 2007 管理控制台 (单击该图像获得较大视图)
Essentials 2007 要求
开始安装和配置 Essentials 2007 之前,请检查您的系统是否满足对软件和硬件的最低要求。服务器操作系统应使用 Windows Server® 2003 SP1 或 R2,或者使用 Windows® Small Business Server 2003 SP1 或更高版本。还需要 Active Directory®、IIS 6.0、Microsoft® .NET Framework 2.0 和 3.0 或更高版本以及 SQL Server™ 2005 SP1。服务器本身要求至少有 1GB RAM、12GB 的可用磁盘空间和 1.8 GHz 的处理器。建议使用具有 2GB RAM、20GB 的可用磁盘空间和 2.8 GHz 或更快的处理器。
托管客户端计算机需要使用 Windows 2000 Professional SP4、Windows XP SP2 或 Windows Vista®。x86 和 x64 操作系统均受支持。
托管服务器计算机需要使用 Windows 2000 Professional SP4 或更新的操作系统。x86 和 x64 操作系统均受支持。由于许多用户可能都希望从自己的台式机或笔记本电脑监控和管理其 IT 环境,因此,这些用户希望在自己的机器上运行仅 Essentials 2007 控制台安装。开始之前,请确保计算机运行的是 Windows XP SP2、Windows Vista 或 Windows Server 2003 SP1。
另外,规划 Essentials 2007 服务器配置时,请留出足够的磁盘空间以容纳更新下载和报告数据库。在更新方面,更新数据库可增长至 2GB 以上,更新内容可增长至 6GB 以上。Essentials 操作和报告数据库可增长至 4GB。请据此进行规划,以避免出现用尽存储空间的情形。
安装 Essentials 2007
因为 Essentials 2007 有效利用了向导,能够快速引导用户完成安装和配置、计算机发现及更新配置等关键任务,因此安装 Essentials 2007 很简单。运行安装向导时,Essentials 2007 会自动检查是否满足上述先决条件,如果发现缺少某些内容,将向您发出通知(请参见图 2)。
图 2 检查安装先决条件 (单击该图像获得较小视图)
图 2 检查安装先决条件 (单击该图像获得较大视图)
如果 Essentials 2007 磁盘上不具备所需项目,安装屏幕上会显示指向缺少的待安装软件的链接。在完成安装向导的过程中,需要输入 Essentials 2007 安装位置的路径和具有管理权限的帐户的信息。如果此帐户在管理服务器及所有托管计算机上都具有管理员权限,则使用 Essentials 2007 管理计算机会是一项更为简单的任务。Essentials 支持使用一个帐户执行任务,例如,在托管计算机上安装代理。
如果当前未安装 SQL Server 2005,无法从本地或远程与 Essentials 2007 配合使用,则您可以在安装过程中选择使 Essentials 2007 从本地安装具有高级服务的 SQL Server 2005 Express。Essentials 2007 光盘中附带了此版本的 SQL Server。您还可以购买带有专为与 Essentials 2007 一起使用而授权的 SQL Server 2005 Standard 的 Essentials 2007 版本。
在安装过程中,需要您做出的主要决定只剩 Essentials 2007 用于存储更新的位置。您可以本地存储更新,这样,更新将从您的 Essentials 2007 服务器通过网络发送到托管计算机。这可能是最好的选择,在 Internet 访问成为您所在网络的瓶颈时,尤其如此。也可以在需要更新计算机时直接从 Microsoft Update 下载更新。选择这种方式意味着:当需要某一个更新时,如果有 50 台计算机,就要下载 50 次,每台计算机下载一次。这种方式可能有点麻烦,但也有其优点,就是在管理服务器上占用的磁盘空间会相对较少。
Essentials 2007 支持的基本部署拓扑是在一个服务器上安装所有管理组件(请参见图 3)。但是,您也可以选择将 Essentials 2007 管理控制台安装在办公室的台式机或笔记本电脑上,从而远程控制管理服务器。安装远程控制台前,必须先在 Essentials 2007 服务器上运行功能配置向导。此过程决定了是使用域组策略还是本地组策略配置远程控制台。如果选择使用域组策略,请确保在安装远程控制台的计算机上进行更新前已经历了足够长的时间。如有必要,可以安装多个远程控制台。
图 3 基本 Essentials 2007 配置
如果您管理的 IT 环境中包含 200 台以上的计算机,则您需要在远程服务器(而非 Essentials 2007 管理服务器)上安装 SQL Server 2005,并将此远程实例用作您的 Essentials 2007 数据库(请参见图 4)。这样,在扩展环境规模时,性能可得到增强。请切记,此远程服务器必须与 Essentials 2007 管理服务器位于相同的域中。
图 4 使用远程 SQL Server 数据库
如果您在安装 Essentials 2007 的过程中选择使用现有的 SQL 数据库实例,则必须确保 Essentials 2007 管理服务器上安装并配置了 SQL Server 2005 SP1 Reporting Services。
升级到 Essentials 2007
很可能您目前正运行着 Windows Server Update Services (WSUS) 2.0 或 3.0 来处理 Microsoft 更新。如果是这种情况,您可能希望升级到 Essentials 2007 以获得更全面的管理解决方案,Essentials 允许您在安装过程中进行升级。这种就地升级保留包括二进制文件、组和批准在内的现有更新信息。
如果您正在使用 Microsoft Operations Manager (MOM) 2005 或 MOM 2005 Workgroup Edition 监控关键服务器,但希望将新增的 Essentials 2007 功能用于资产库存、软件分发以及更新,则您可以通过将管理包导出后进行转换,再将其直接导入 Essentials 2007 中来轻松迁移管理包。就像 MOM 2005 一样,Essentials 2007 利用管理包来监控计算机和设备。管理包中还包含成功诊断和解决 IT 问题所需的信息。如果您不希望完全迁移到 Essentials 2007,则可以维持并行操作以保留关键任务监控,并在方便时执行迁移。
事先需要注意,升级到 Essentials 2007 的过程中,某些 WSUS 设置不再予以保留。您将丢失有关计算机、自动批准和设置,以及对名为 All Clients 或 All Servers 的组的所有现有批准的信息。因此,请在升级前从 WSUS 中删除 All Clients 和 All Servers 组。接下来,您必须在 Essentials 2007 安装完成后重新创建这些批准。
请注意,如果现有服务器具有活动的下游服务器,则无法从 WSUS 执行此升级。Essentials 2007 不支持 WSUS Upstream Server (USS) 模式。由于无法对此进行可靠的检测,因此,如果 WSUS 服务器具有下游服务器,将对您发出警告。另外,如果您正在使用 WSUS 2.0 或 2.0 SP1,并且使用未运行 SQL Server 2005 SP1 的远程数据库来存储 WSUS 数据,则不要继续进行升级。
升级过程中,将自动创建当前数据库的备份副本。如果升级未成功,则可以使用备份副本恢复以前的环境。检查当前的数据库文件大小并确认有足够的空间来创建副本,以确保有充足的空间备份当前的 WSUS 数据库。
#p#
配置 Essentials 2007
Essentials 2007 提供了许多向导来帮助您执行配置和管理任务。对于某些手动执行起来困难重重的配置步骤(如配置组策略),功能配置向导可引导您快速完成这些步骤。图 5 显示了该向导的第一页。
图 5 启动功能配置向导 (单击该图像获得较小视图)
图 5 启动功能配置向导 (单击该图像获得较大视图)
如果您希望通过代理服务器连接到 Internet,则首先要执行的一个步骤是输入服务器名称和端口号。接下来,您可以选择配置托管计算机所用的组策略类型 — 可以是本地组策略,也可以是域组策略。如果选择了使用域组策略来配置托管计算机,则您还可以创建 Windows 防火墙例外。
接下来的一步是启用计算机的远程协助,该步骤是可选的。如果选择使用域组策略配置客户端,则需执行该步骤。请注意,这会在所有托管计算机上创建防火墙例外在 TCP 端口 135 上允许 DCOM。
您可以选择是否从托管计算机收集无代理错误监控。如果选择“是”并为存储错误选择了一个位置,则托管计算机将错误报告发送到 Essentials 2007 服务器,您可以查看报告来了解哪些应用程序有问题。
用户可以选择指定是否将错误报告转发给 Microsoft 以及是否配置并发送每日运行情况报告,后者包含有关警报、更新、软件和库存的信息。如果将每日运行情况报告配置为通过电子邮件发送,您就可以在工作日开始之际快速了解自己的 IT 环境目前的状况。
最后,您可以选择设置每日定时查找新计算机。建议您选择此选项,因为这可以告知 Essentials 2007 每日对 Active Directory 进行扫描来查找新计算机,并自动将新计算机配置为托管计算机。
如果运行为自动计算机查找配置的计算机和设备管理向导,会提示 Essentials 2007 服务器查询 Active Directory 并查找域中待托管的所有列出的计算机(请参见图 6)。如果您选择“高级”查找选项,则可以按类型(如仅客户端或网络设备)筛选找到的设备、在某一个 IP 地址范围内进行搜索或创建高级查询。建议您首先选择“自动”计算机查找,并运行它以查找所有客户端和所有服务器。由于 Essentials 2007 也会监控启用了简单网络管理协议 (SNMP) 的网络设备,因此您可以随后在高级模式下再次运行该向导来查找网络设备。
图 6 启动计算机和设备管理向导 (单击该图像获得较小视图)
图 6 启动计算机和设备管理向导 (单击该图像获得较大视图)
如果您的网络中包含大约 300 台计算机,则您可能应选择“高级”查找并提供更具体的条件来查找计算机。指定管理员帐户时,请确保该帐户在要查找的计算机和要安装代理的计算机上拥有管理权限。查找结束后,请选择要管理的计算机并单击“完成”。
如果您使用过 WSUS,则更新管理配置向导中的某些设置对您来说并不陌生。将服务器连接到 Internet 时,如果要求使用代理服务器,请输入代理服务器设置。选择要为其下载并部署更新的产品,然后选择更新所需的语言(服务器所用的语言是默认的)。选择要下载并部署的更新的类别(默认为关键更新、安全更新和 Service Pack)。选择要自动批准的更新的类别(如果有),并选择更新所属的组。(默认设置是 All Computers 组的关键更新和安全更新)。最后,设置同步更新的计划(默认设置为每日更新)。
配置 Essentials 2007 时,如果您可以使用域管理员或组策略管理员凭据登录,您应选择域组策略来配置托管计算机,这样可使配置更为轻松。如果您选择域组策略,则可以自动在所有托管计算机上配置 Windows 防火墙和远程协助设置。此选项可使 Essentials 2007 为您创建策略配置。如果您选择本地策略,则必须手动执行相当多的配置。
Essentials 故障排除
对计算机查找、代理部署以及通信问题进行故障排除时,有几个需要注意的事项。首先,让我们快速了解一下计算机查找过程的工作原理。Essentials 2007 接受用户的搜索输入参数,创建一个轻型目录访问协议 (LDAP) 查询(LDAP 是在 Active Directory 中搜索对象所用的查询语言),该 LDAP 查询随后被传递到本地域控制器,提交搜索任务,然后 Active Directory 将结果返回给管理服务器。管理服务器随即尝试连接到列表中返回的每台计算机,确保它可以与找到的这些计算机进行通信,以便能安装管理代理。一旦某台计算机通过验证,则被添加到找到的计算机列表中以便用户进行管理。
不过,请注意,如果 Active Directory、网络和 DNS 或者验证方面存在问题,Essentials 2007 服务器则可能无法查找计算机。
打开 Active Directory 用户和计算机管理控制台,查看该计算机是否已列出。Windows Server 2003 中会默认安装此工具,也可以从 Windows Server 2003 管理包将该工具安装到 Windows XP Professional 中。选择“已保存的查询”文件夹,右键单击,指向“新建”,然后单击“查询”。输入查询的名称,然后单击“定义查询”按钮。单击标记为“查找”的下拉列表,选择“计算机”。输入要查找的计算机名称或搜索前缀,单击“确定”几次,则会生成查询。
现在,检查该计算机是否出现在结果列表中。如果未出现,则将该计算机添加到 Active Directory 中。请确保该计算机的 DNSHostname 属性设置正确,该属性位于 Active Directory 用户和计算机管理控制台中“计算机属性”对话框的“常规”选项卡上。
如果需要通过网络联系某台计算机,可利用 ping 命令尝试使用为查找向导提供的同一名称联系该计算机。如果该计算机响应 ping 命令,请使用 -a 开关和 IP 地址运行 ping:
ping -a
以下命令将显示该计算机的 DNS;它应与原始 ping 命令中使用的名称相符。使用此命令查看该计算机的已注册的 NetBIOS 名称和域:
nbtstat -a
这将利用计算机的 IP 地址完成相同的任务。
nbtstat -A
命令开关 –a 区分大小写。注意,使用 IP 地址时请使用 –A。如果计算机不响应 ping 请求或远程代理安装失败并显示消息“RPC 服务不可用”,则表明开启了 Windows 防火墙。如果在 Essentials 2007 部署环境中启用了防火墙,则必须创建例外,以使 Essentials 2007 管理服务器可以在托管计算机上成功安装代理,并使托管计算机能够与管理服务器通信。(使用托管计算机时,如果使用的是域组策略而不是本地组策略,则无需手动创建任何防火墙例外。)
如果代理安装失败,请导航到“管理”空间(主 Essentials 2007 管理控制台左下角与“报告”导航按钮相邻的金色嵌齿),然后单击“挂起管理”。此视图将提供故障排除步骤,还使您可以将代理重新推送回首次尝试安装失败的计算机。
请确保您能接受花费数小时的时间来将防火墙策略应用到要管理的所有计算机上。如果您试图依次快速执行运行功能配置向导、选择域组策略、运行计算机和设备管理向导这一系列操作,则防火墙策略可能还没有机会应用到正在查找的计算机上,因此,如果防火墙仍然处于启用状态,将导致查找失败。
要查看某代理是否可以成功推送到某台计算机,一种方法是尝试从管理服务器建立到该计算机的 telnet 连接。如果可以从管理服务器通过端口 135 建立到该计算机的 telnet 连接,则表明您可以开始下一步了。如果不能建立连接,则表明该计算机上的防火墙可能阻止了 TCP 端口 135。要运行 telnet,只需打开一个命令窗口并键入以下内容:
telnet 135
这会将您连接到通过端口 135 使用 telnet 指定的计算机名称。端口 135 的重要性在于,远程安装代理时要使用此端口。
如果上述操作不起作用,请确保创建了正确的 Windows 防火墙例外,以允许部署代理和与管理服务器通信。如果尚未创建,则您需要创建端口例外,如图 7 中所示。对于所有这些例外,请使用“自定义列表”选项限制 Essentials 2007 管理服务器的 IP 地址范围。
如果您的计算机使用的是第三方制造商的防火墙软件,则应参考适用于产品的文档了解如何创建例外。不过,图 7 中所列的端口例外仍然适用。
如果 NetBIOS 名称和完全限定的域名 (FQDN) 不匹配,则必须改正计算机的 DNS 记录。如果代理已安装,但与管理服务器的联系失败,请通过终端服务或远程桌面连接到代理计算机,使用 ping 和 nbtstat 命令验证代理是否可以解析管理服务器的 NetBIOS 和 FQDN 名称。
如果 Essentials 2007 管理服务器的 IP 地址是动态分配的,则在 IP 地址变更时,您必须更新托管计算机上的防火墙策略。要为新的管理服务器 IP 地址更新防火墙例外,请在组策略对象编辑器中启用以下两个策略设置,并按我下面的描述对其进行配置。对于“Windows 防火墙: 允许远程管理例外”,设置“允许”来自管理服务器的新 IP 地址的未经请求的传入消息。对于“Windows 防火墙: 允许文件和打印机共享例外”,设置“允许”来自管理服务器的新 IP 地址的未经请求的传入消息。
总结
希望本文中的信息对您初步了解 System Center Essentials 2007 能够有所帮助。
请牢记,在部署之前务必仔细规划。现在的情况是,您要部署一个全新的解决方案来管理 IT 环境,因此需要花一些时间来考虑您当前的网络配置、用户的工作方式以及您管理 IT 资源要使用的方式。首先考虑这些事项有助于您按自己的需要成功配置 Essentials 2007。