про SCCM и хакиров

В Гугле сегодня проверял позиции блога в рейтинге искал информацию по SCCM и наткнулся на статьи в журнале «Ксакеп»: раз, два и три.

Дальше немного цитат:

Operations Manager — управление оборудованием и программным обеспечением

SCOM — это мониторинг серверов (как железок, так и серверных ОС), сервисов, сетевого оборудования, etc. И это только первый абзац.

Но речь у нас про SCCM.

Вначале – несколько терминов, чтобы легче было понимать, о чем мы будем говорить далее. Под сайтами (Site system) понимается сервер или группа серверов, выполняющих функции SCCM.

И вместо азов нам сразу выдают, мягко говоря, лажу.

Site system — система сайта — сервер, на который установлена какая-то роль SCCM (site system role: RP, DP, MP, AI, FSP, etc).

Site server — сайт-сервер — сервер, на который установлен SCCM.

Site — сайт. Чёткое определение сайта есть в официальной документации (о, Боже, она даже на русском есть, а мужики-то не знают!): «Сайт Microsoft System Center Configuration Manager 2007 определяет область административного управления. Сайт состоит из сервера сайта, ролей системы сайта, клиентов и ресурсов.»

А если сказать простым русским, то сайт (site) — это сервер SCCM (site server), вспомогательные сервера (site system) с установленными ролями (site system role) и клиенты (clients), которыми управляет SCCM в строго обозначенных административных границах (boundaries).

Стоило бы бросить читать «статью», но я упёртый. Продолжаем.

доступны два режима работы сайтов — основной (Primary site, своя база данных) и дополнительный (Secondary site, используют БД с Primary site)

Primary, Secondary — типы сайтов. Central, Child, Parent, — местонахождение в иерархии. А режимы работы сайта — native (основной) и mixed (смешанный).

SCCM поддерживает следующие роли:

  • точка управления (Management point);
  • точка распространения (BITS-enabled distribution point);
  • точка формирования отчетов (Reporting point);
  • точка обновления программного обеспечения (Software Update Point);
  • точка обнаружения серверов (Server locator point);
  • точка проверки работоспособности системы (Fallback status point, только Win2k8).

Забыли ещё восемь ролей, но не суть важно. Хакирам прощаем.

на рабочих станциях устанавливается клиентская часть Client Agent

Устанавливается клиент, а Computer Client Agent — это агент. Кстати, а куда подевались сервера? На них мы не можем устанавливаеть клиента?

Агент может работать в режиме Native (новая версия и зашифрованный канал) или Mixed (клиент SMS).

В режиме Native или Mixed работает сайт и, соответственно, клиенты, которые к нему привязаны. Варианты мигрирующего клиента между сайтами в разных режимах рассматривать не будем.

И почему в Mixed может только SMS-клиент работать? А клиент SCCM?

Для каждого сайта определяются границы, то есть зона действия (диапазон IP, подсеть)

А куда дели Active Directory site и IPv6-префикс?

для WinXP, Vista и Win7 доступно ограниченное количество ролей, в частности Branch distribution point. Поэтому для установки следует выбирать именно серверную ОС

А если мне достаточно только роли BDP, то SCCM можно на Windows XP установить? В хакиры пойду, пусть меня научат.

Подробно вопрос планирования рассмотрен в двух документах: «Планирование и развертывание инфраструктуры сервера для Configuration Manager 2007» и «Планирование и развертывание клиентов для Configuration Manager 2007», которые ты найдешь в TechNet.

Жаль, что афтары хакиры сами не удосужились почитать документацию.

В зависимости от роли сервера, потребуется наличие: IIS не ниже 6.0

IIS потребуется в любом случае, а не «в зависимости от роли», потому что обязательный для инсталляции WebDAV потянет за собой установку некоторых компонентов IIS.

Первым делом установим расширение схемы для AD. Это просто.

Это просто, как и статью написать. «Установим расширение схемы»! Ах, какой слог!

А если не будем расширять схему, то SCCM не установится? Зачем для SCCM расширять схему?

запускаем из консоли или двойным щелчком файл extadsch.exe. Программа берет все данные из файла ConfigMgr_ad_shema.ldf и не выдает в консоль никакой информации по своей работе, но результат можно получить из журнала C:\ExtADSch.log. При необходимости правим ConfigMgr_ad_shema.ldf

Да, взяли так и поправили ConfigMgr_ad_shema.ldf. Ну, добавили пару-тройку атрибутов, если стало скучно или если устали хакирить.

вводим код сайта (любую удобную комбинацию, например, 000 для корневого сайта)

Например, CON или PRN, хы-хы.

расположение провайдера SMS, то есть компонента, который будет взаимодействовать с базой данных

Почему-то не раскрыто, что делает SMS Provider, как он «взаимодействует с базой» и почему SCCM сам не может взаимодействовать.

Сайт SCCM никогда не сможет обнаружить и, тем более, одобрить клиента за пределами site boundary

Хакиры то ли с SCCM не работали, то ли документацию не читали, иначе бы знали, что можно в SCCM можно затянуть все сто тысяч миллионов компьютеров из AD (только бы права на чтение были), а границами может являться диапазон IP из пяти адресов.

Переходим в «Discovery methods», где находим 6 пунктов, соответствующих различным механизмам обнаружения клиента. Из них 4 относятся к Active Directory — системы, пользователи и группы компьютеров, Security

Хакир как-то аккуратно обошёл определения Active Directory System Group Discovery и Active Directory Security Group Discovery, явно не понимая разницы между ними.

Пункт «Network discovery» задействуется в случае, если в сети не используется AD

Как же мы без Active Directory смогли-то SCCM установить?

Остальные вкладки – «Subnets», «Domains», «SNMP», «SNMP Devices» и «DHCP» позволяют уточнить параметры обнаружения клиентов.

Откуда там «Domains», если у нас Active Directory нет? Какие-то хакерские проделки.

Клиенты потихоньку обнаруживаются.

Потихоньку-помаленьку. А если я быстро хочу?

Остальные подпункты «Advanced» позволяют публиковать сайт SCCM в AD и обмениваться ключами.

С кем обмениваться ключами? А нужно ли? А если я не хочу обмениваться?

А зачем публиковать?

Меня не покидает ощущение, что хакир пишет статью, одновременно изучая вкладки SCCM, просто переводя описания во вкладках с английского.

Как будут обнаруживаться клиенты, зависит от настроек поля «Approval settings»

Настройки одобрения не связаны с обнаружением, за которое отвечают Discovery Methods.

Automatically approve all computers (not recommended) — все обнаруженные компьютеры будут утверждены автоматически. Выбирать этот пункт имеет смысл, только в случае, если не используется AD, то есть второй пункт не подходит. Естественно, сеть должна быть должным образом защищена.

И опять SCCM мы смогли без AD установить. Схему же чего предлагалось расширять?

И как сеть должна быть защищена? Firewall, PKI, DNSSEC, HTTPS? Или, может, установить антивирус и строго-настрого приказать секретарше Наташке не открывать вложения в подозрительных письмах? Или в групповых политиках включить сложность паролей? Хотя, какие групповые политики? У нас же Active Directory нет!

Сам клиент пока не установлен. Это можно сделать: вручную (из сетевой папки \\server\site\Client\ccmsetup.exe); с помощью Push-установки; используя групповые политики AD или скрипт Logon, предустановленный в образ

Скрипт Logon, предустановленный в образ. Как звучит-то! На языке перекатывать можно. Скрипт Logon, предустановленный в образ. Ммм.

Какой скрипт? В какой образ? И куда дели публикацию клиента на SUP?

Вы ещё не устали? Как ваши животики?

Это была только первая статья. Поехали дальше.

под коллекцией в SCCM понимается группа объектов (компьютеры, пользователи, ОС), объединенная по некоторому признаку

Я куплю хакиру свитер с оленями и свежий порножурнал пару бутылок самого дешёвого пива, если он покажет, как создать коллекцию из операционных систем.

В агенте аппаратной инвентаризации также присутствует вкладка «Коллекция MIF-файлов», – такие файлы используются для расширения возможностей агента.

Как же они их расширят? Вглубь?

Правда, админы со стажем активировать ее не рекомендуют

«Серёга вчера сказал, что активировать не нужно, значит, не нужно. Серёга же сказал. Он же админ со стажем, у него 50 компьютеров и два сервера.»

Хакир признаётся, что он не является админом со стажем. Просто хакир. Скромно так. Сегодня хакир, а завтра можно пару-тройку статей написать на тему, в которой совершенно не разбираешься. А если что-то непонятно, то можно спросить у Серёги, он же админ со стажем. Скажет, какие функции нужно включать.

И там же:

так как в этом случае SCCM будет получать непроверенные данные, а значит, есть риск нарушения безопасности

Извините, не сдержался:

Благодаря заранее подготовленным пакетам и интуитивным средствам удаленного развертывания SCCM, массовая установка клиентских программ осуществляется в считанные минуты.

Abbyy Lingvo, Microsoft Office 2010 и Adobe Suite ставятся вообще за секунды, хы-хы.

Дополнительные параметры позволяют изменить расписание для точек обновления, разрешить хранить пакет в клиентском кэше, а также задать использование разностной репликации.

Залип на «расписании для точек обновления». Понял, что я не хакир. Или свитер с оленями нужно купить, или Серёге позвонить: он опытный.

Например, для работы одной программы требуется, чтобы в системе была установлена другая программа или библиотека. Вот здесь и отмечаем, что нужно проверить и при необходимости установить.

Dependencies появились только в SCCM 2012, но наш хакир молодец: переносит функционал между версиями просто росчерком пера.

флажок «Disable this program on computers where it is advertised» скроет программу из оснастки «Установка и удаление программ»

«Disable this program on computers where it is advertised» отключает программу, т.е. запрещает выполнение на тех компьютерах, которые уже получили или получат объявление. Но хакир, конечно, документацию не читал.

И на закуску немного об установке операционных систем.

Для установки ОС можно применить установочный диск, захваченный WIM образ эталонной системы, либо использовать свой вариант системы с интегрированными драйверами и приложениями

Здесь я снова залип. Чем второй от третьего отличается?

Функция SCCM под названием «Управление требуемой конфигурацией» (Desired Configuration) позволяет сразу сформировать коллекцию компьютеров, по разным признакам.

Возможность создавать коллекции на основании данных от DCM появилась только в R3, а в статье речь идёт об R2. Наш хакир снова затягивает функционал из будущего.

Например, для одних гарантировано имеются все драйвера, и их конфигурация удовлетворяет всем рекомендациям Microsoft, другие же не подходят для установки новых версий ОС.

Очень интересно было бы посмотреть на это решение, когда DCM будет создавать коллекции на основании наличия или отсутствия в SCCM драйверов.

Миграция же средствами SCCM достаточно проста и может быть выполнена на тот же или другой компьютер.

Я бы предложил хакиру сделать проект по миграции с Windows XP на Windows 7 в компании на пару тысяч хостов, но, увы, хакир не читает документацию по продукту. Хотя, можно попросить контакты Серёги. Уж он-то точно гуру!

Самым удобным является PXE-метод, позволяющий производить полностью автоматизированную установку.

Без PXE Service Point, я так понимаю, автоматизировать процесс нельзя? Какая жалость.

Для функционирования WDS в общем случае достаточно только управляющего сервера, при необходимости доставки образов на удаленные системы, находящиеся в отдельных сегментах сети, используется транспортный сервер WDS.

А в пределах одной подсети транспортные службы WDS не используются? Ах!

Затем хакир рассказывает нам про настройку DHCP:

во вкладке «Общие» активируем параметр «066 Имя узла сервера загрузки» и вводим в появившейся внизу строке имя или IP-адрес сервера SCCM. Аналогично активируем «067 Имя файла загрузки», а в предложенном поле вписываем «\SMSBoot\x86\wdsnbp.com»

Хакир, конечно же, не знает, что в пределах одной подсети всё будет работать и без сконфигурированных опций, а при наличии нескольких подсетей нам на помощь придёт, как опытный админ Серёга, IP helper, сконфигурированный на маршрутизаторах.

При необходимости можно самостоятельно добавить новый PXE-образ

PXE-образ! Во как!

При какой необходимости и почему нельзя довольствоваться двумя стандартными загрузочными опять не сказано.

После установки роли PXE в списке будут две точки распространения: сервер SCCM (например, srv01) и скрытая сетевая папка (\\SRV01\SMSPXEIMAGES$). Нас интересует последняя, отмечаем и заканчиваем работу мастера, нажав несколько раз Next

И снова хакир не читает документацию и не знает, что загрузочные образы нужно и на DP добавлять.

Здесь, кстати, всплывает один интересный момент, на который часто попадаются новички. Дело в том, что SCCM является оболочкой, которая принимает команды и затем последовательно их выполняет.

Я внезапно расплакался от умиления и восторга. Хакир наш всё же не просто хакир, а Автор и Опытный Администратор. Он-то уж точно не новичёк и не попадётся на «интересный момент»!

А SCCM, чтобы вы знали, — это оболочка, которая принимает команды.

OSD предлагает два метода установки: при помощи WIM-образов, используемых в ОС, начиная с Vista, и из сетевой папки (как RIS)

И там же:

Однако из-за возможных проблем с HAL для установки WinXP предпочтительнее использование сетевых папок.

Моё больное воображение пыталось представить OSD из сетевой папки, но не смогло. Пойду документацию почитаю.

Процесс добавления установочного WIM-образа Win7 и Vista также прост. Переходим в «Operating System Images» и, выбрав ссылку «Add Operating System Images», запускаем мастер. Указываем UNC-путь к файлу install.wim, который копируем с установочного диска

Хакир скромно умалчивает о том, что Windows Vista/7 установятся на диск D, если разворачивать из .wim-образа, который находится на инсталляционном диске. А, может, хакир никогда и не занимался OSD?

По умолчанию в SCCM уже имеется несколько коллекций. Предусмотрена такая возможность для того, чтобы в рабочей среде избежать недоразумений. Например, когда на ноутбук гостя будет производиться установка ОС, лучше создать отдельную коллекцию.

Пришли вы, например, на собеседование. Сидите в холле на мягком диванчике, ждёте назначенного времени. Подключились по гостевому Wi-fi, попиваете кофе, кадрите девок Вконтакте. И тут ВНЕЗАПНО вам на ноутбук начинает устанавливаться новая операционная система!

Страшилка? Конечно же! Ведь в SCCM «уже имеется несколько коллекций» и не будет никаких недоразумений. А если и начнёт устанавливаться, то это потому, что была создана отдельная коллекция. Пока проходило собеседование, ваша FreeBSD обновилась на Windows 7, например.

Все готово к старту клиента. Включаем компьютер, в BIOS устанавливаем загрузку по сети, и через некоторое время должен появиться экран загрузки WinPE.

После этого нужно что-то нажать, что-то произойдёт (если, конечно, до этого всё правильно было сделано) и начнёт устанавливаться любимая Убунта новая операционная система. Можно будет открыть холодного пива и откинуться на спинку кресла, полистывая любимый журнал «Ксакеп».

 

Вот такие дела, ребяты.

А всё почему? Потому что наш хакир — это Сергей grinder Яремчук, автор ресурсов http://wpconfig.ru/http://www.tux.in.ua/ и http://linuxprogs.org.ua/.

Вот что сам хакир говорит о себе:

Меня зовут Сергей Яремчук, хотя многие знают как grinder’a. За несколько лет написания статей в журналах Системный Администратор, Xakep, CHIP, CHIP-Linux, Мой Компьютер, Linux Format, Компьютер, К+П и C`t накопилось большое количество материала. Мне уже надоело по 100 раз отвечать на простые вопросы и тем более искать ссылку на свои же статьи в Интернете, чтоб скинуть ее новичку, который нуждается в помощи. Признаться долго не решался на свой сайт, времени и так катастрофически не хватает. Плюс я видел взлеты и падения многих подобных проектов, не хотелось бы повторять чужой путь.

Сергей как бы говорит нам, что он опытный писатель буквами, устал отвечать на всякие глупые вопросы, поэтому пришлось завести несколько технических блогов, а также видел взлёты и падения.

Линуксоидность автора, кстати, выяснилась уже в процессе написания этого поста. Есть ли связь между линуксоидностью, высоким самомнением и полным незнанием продуктов, по которым хакир пишет статьи? Может быть. На эти вопросы лучше ответит небезызвестный Руслан Карманов.

Где встретите линуксоида, там и плюньте ему в лицо.

Не парься, не думай, служи линуху, пей «Клинское». ©

В общем, верьте официальной документации. И мне. Иногда.

22 комментария

  1. Shokhanov:

    Самое веселое заключается в том, что ХАКИРЫ вначале ОБНАРУЖИВАЮТ КЛИЕНТОМ (дискавери), а потом зачем-то их устанавливают…. не могу понять, зачем двойная работа )))))))

  2. Shokhanov:

    На сколько мне известно SCCM обнаруживает рессурсы сети, которые потом можно сделать клиентом.

    • admin:

      Андрей, Вы о чём?

      • Shokhanov:

        «Переходим в «Discovery methods», где находим 6 пунктов, соответствующих различным механизмам обнаружения клиента…..»

        Я о том, что парень даже не находит разницы между РЕСУРСАМИ сети и КЛИЕНТАМИ )))

        • admin:

          Ну, тут двояко, я считаю. Клиентом SCCM можно назвать как программную часть, которая устанавливается на компьютер, так компьютер, на который будет устанавливаться эта самая программная часть. Мы же в речи говорим: «Этот компьютер является клиентом SCCM», а не «Этот компьютер является ресурсом, на который установлена программная часть».

          • Shokhanov:

            НЕТ, тут как раз однозначно… в SCCM после дискаверинга создается DDR запись (ресурсная запись) обнаруженных рессурсов. Поэтому для новичков нужно четко говорить, что обнаруживаем рессурсы сети, после чего некоторые из них или все мы можем сделать клиентами SCCM.

        • admin:

          «Microsoft System Center Configuration Manager 2007 Процесс обнаружения используется для идентификации компьютеров и пользовательских ресурсов, которыми можно управлять при помощи сайта Configuration Manager 2007. Когда ресурс обнаружен, Configuration Manager создает соответствующую запись в базе данных Configuration Manager, содержащую связанные с ресурсом данные. Затем данные обнаружения можно использовать для установки клиента Configuration Manager и создания собственных запросов и коллекций, служащих для логической группировки ресурсов и выполнения связанных задач управления.»

          Ладно, Вы победили.:)

      • Shokhanov:

        Просто с точки зрения ХАЦКЕРА в сети обнаруживаются КЛИЕНТЫ, тогда логично поднимается вопрос… а ДЛЯ ЧЕГО же потом устанавливается клиентская часть, когда КЛИЕНТ (НЕ РЕСУРС) уже установлен.

  3. Shokhanov:

    Что касается ролей, то не все роли требуют IIS (замечание к автору).. пример — STANDARD DP (без BITS), PXE-SP, ну и та же DB… НУ да это уже так, мелочи, просто к сведению

    • admin:

      А я этого и не утверждал. В статье же говорится об установке сайт-сервера, для которого IIS обязателен.

      • Shokhanov:

        Но там же написано…
        «В зависимости от роли сервера, потребуется наличие: IIS не ниже 6.0» … про сайтсервер ни слова. Ну да это уже так, просто буквоедство с моей стороны (не берите в голову).

        • admin:

          Процитирую кусок статьи:
          «Перед установкой также следует выполнить ряд требований, предъявляемых к программному обеспечению. На сервере должен работать SQL Server 2005 SP2 (go.microsoft.com/fwlink/?LinkId=69795), причем только полная версия. Express Edition не поддерживается. В зависимости от роли сервера, потребуется наличие: IIS не ниже 6.0, MMC 3.0, NET Framework 2.0, ASP.NET, BITS (Background Intelligent Transfer Service) и WebDAV.»

  4. Зашел по предложенным линкам.
    Собственно ничего другого я и не ожидал там увидеть т.к. Хакер давно уже пожелтел и ничего кроме «многобукв_типа_в_тему» там найти нельзя.

  5. bobgreen84:

    Да ладно, статья бородатая. Я думаю, что автор подразумевал под «не используется AD» — рабочую группу. Но в целом статья косячная.

    • admin:

      Бородатая, но ярко характеризующая ксакеперов и прочих «мы тут с Серёгой вчера сервак настроили, можно статью написать».

  6. Siniy:

    На самом деле во всем виноват гугл транслэйт)
    Помню те времена, когда у них появился блог на хабре, так вот статьи приблизительно такие-же были, люди так же их разбирали)

Leave a Reply to sergm