SMS 2003

现在越来越多的企业希望使用微软的SMS 2003（Systems Management Server 2003）来进行资产管理、补丁分发等系统管理工作。SMS 2003的部署过程中涉及到了很多的技术细节，造成网管人员再部署SMS 2003往往出现很多问题。

部署SMS 2003系统的企业总公司在天津，同时在天津其他地区还有十几个办事处。总公司大概有客户机300余台，服务器20余台；各个办事处只有5到6台客户机，没有服务器。总公司和各办事处之间都是通过128K帧中继相连。企业现有一个默认的AD站点，站点中只有一个Windows 2000 AD域，共有三台域控制器，所有的客户机和服务器均是Windows 2000以上的操作系统平台。企业希望使用SMS 2003来对总公司和办事处的所有客户机进行资产管理，报表分析以及软件更新等工作。

1.软件/补丁发布，企业所有需要部署的软件都可以通过SMS来发布，SMS的补丁管

理功能也明显优于SUS。

2.软件监控，防止用户使用非法的或企业内部禁止的软件。

3.软件测量，计算每种软件产品在全公司范围内，同一时间的使用情况，这样可以帮

助公司计算需要购买license的数量，节约成本

4.文件收集，可以收集客户端特定文件，例如boot.ini，并可以在特定情况下恢复

这些文件

5.客户端桌面监控，可以实时地监控可疑客户端的桌面情况

6.服务器性能/健康监视，远程观察服务器的健康状况

系统规划

1.根据企业的网络结构，推荐使用SMS 2003单站点结构，即只有一个SMS 2003

主站点（Primary Site）。

2.使用一台服务器专门作为SMS 2003服务器，上面同时部署MP（Management

Point），SLP（Server Locator Point），RP（Reporting Point）和启用了

BITS（Background Intelligent Transfer Service）的DP（Distribution Point）等站点角色。

3.由于企业中所有的客户机和服务器都是Windows 2000以上的操作系统，不存在Windows 98或Windows NT，为了充分发挥SMS 2003的功能，应部署SMS 2003的高级客户端，并使用高级安全模式。

安装前的工作

企业在总部新安装了一台Windows 2003服务器，作为SMS 2003服务器。为了能够成功部署SMS 2003，需要提前对服务器进行如下配置：

1.在服务器上安装IIS，BITS，WMIs 和SNMP组件。

（1）启动“添加/删除Windows组件”程序，在“Windows 组件向导”组件列表中，单击“管理和监视工具”，然后单击详细信息。选中安装“WMI SNMP提供程序”，“WMI Windows Installer提供程序”和“简单网络管理协议（SNMP）”组件

（2）在“Windows 组件向导”组件列表中，单击“应用程序服务器”，然后单击详细信息，选中安装“Internet信息服务（IIS）”。单击“Internet信息服务（IIS）”，单击详细信息，选中安装“后台智能传送服务（BITS）服务器扩展”组件

注：IIS6中出于安全考虑，BITS,ASP,WebDav默认安装后都是被禁止的，具体启用位置在IIS管理台—web service extension

2.在服务器上保证“计划任务（Task Scheduler）”和“BITS”系统服务是自动运行的

3.在服务器上安装SQL Server 2000，这里强烈推荐使用Windows验证方式

4.因为SMS站点配置中需要引入AD站点的定义，所以在安装SMS 2003前应该将AD站点更改成合适的名称（这里我们将其改为TianJin），并要保证站点内复制工作正常。

5.SMS的所有角色服务器上必须打开系统默认共享（admin$,IPC$等）。如果默认共享被关闭

6.需要确保域管理员可以从SMS 站点服务器上访问客户端的Admin$共享：\\Client\Admin$。如果访问失败，检查名字解析和客户端的Local Administrators组中是否包含Domain Admin。

7.Schema扩展不会在system容器中建立容器System Management，如果需要在安装SMS 站点过程中由SMS安装程序自动建立此容器，请按以下步骤操作：

a)在DC或SMS服务器上安装support tools 工具

b)打开 ADSI.msc管理工具

c)选择system容器，点属性

d)在安全选项卡中添加SMS服务器的计算机帐号

e)赋予写入和创建子目录的权限并在高级编辑用到所有对象及子对象

安装SMS 2003

SMS 2003的安装向导比较简单，在这里面只列出一些需要特殊配置的安装选项。

1.使用具有域管理员账号登录到服务器上，将SMS 2003光盘插入到该服务器的光驱中，启动SMS2003安装向导。

2.在“安装选项”页面上，选择“安装主站点”、“自定义安装”。在“SMS 站点信息”页面上，输入由三个数字组成的惟一站点代号（例如A01）、站点名称以及站点服务器所在的域。

3.在“SMS Active Directory 模式”页面上，选择“扩展Active Directory 模式”选项。这样才能保证SMS 2003和AD进行整合，以提高SMS 2003的工作效率

4.在“SMS 安全信息”页面选择安全模式为“高级安全模式”，在这种模式下SMS 2003使用系统账号访问其他资源。

5.在“SMS 主站点客户端负载”页面上，输入预计该SMS 主站点管理的客户端的数目。在“设置安装选项”页面上，选择您想要安装的SMS 组件。SMS 和SMS Administrator 控制台组件是必选组件。

6.在“SMS 站点数据库的SQL Server 信息”页面上，指定托管要使用的SQL Server 数据库的服务器名称（本例里用的是本地SQL Server），并且选择使用Windows 身份验证模式访问SQL Server

7.选择创建SMS 站点数据库，输入数据库的名称或者接受默认数据库。在“当前SMS Administrator 控制台”页面上，输入期望在此站点上安装的SMS Administrator 控制台的数目，每一个控制台都会占用一个SQL Server连接。

8.在“完成系统管理服务器安装向导”页面上，检查在整个安装过程中所做的选择。检

查无误后单击“完成”。完成SMS 2003的安装。

验证安装结果

当系统已经显示SMS 2003安装成功后，等待几分钟，发现C:CAP_A01clicomp.box目录已经建立后，单击“开始→程序→System Management Server→SMS Administrator Console”，打开SMS管理控制台。

在控制台树中分别检查在“站点系统状态”和“组件状态”中的报告。如果没有出现错误信息则代表SMS 2003安装成功（如图6）。

后续操作

虽然已经成功安装了SMS 2003，但还需要进行站点边界配置和站点角色配置才可以正常工作。

1.站点边界配置

在SMS 2003控制台树中，选择“站点分层结构”，找到主站点（A01），在站点属性中，使用AD站点TianJin创建新的站点边界

2.分配站点系统角色

在SMS 2003在控制台树中，选择“站点设置”，定位到“站点系统”，在右侧窗口中选择这台服务器。在服务器属性中，依次为该服务器分配Management Point、Server Locator Point、Reporting Point、Distribution Point等站点角色，注意在分配DP系统角色时，需要启用BITS组件

3.验证各个系统角色是否工作正常

等待一段时间后，在控制台树中分别检查在“站点系统状态”和“组件状态”中的报告。如果没有出现错误信息，则代表SMS 2003各系统角色工作基本正常。

SMS 2003主站点配置资源发现方式及客户端的安装

资源发现及客户端的安装，是我们使用SMS 2003进行工作站等资源管理的必要准备条件，在这篇文章中，我将介绍如何选择和配置资源发现方式及客户端的安装。

在开始前，我们依旧需要了解一些本文将会涉及的重要概念。

概念

(1)资源发现(Resource Discovery)&发现数据记录(Discovery Data Record)

在SMS 2003中，"Resource"含义较为广泛，它既可以是诸如PC机、网络打印机等实际存在的设备，也可以是微软活动目录中的用户、组等抽象内容；而资源发现是指检测并获取网络中资源的信息的过程。

当SMS被配置使用某种发现方法发现一个资源是，SMS会为这个资源创建一条记录，并将器保存至SMS数据库中。这条记录被称为发现数据记录(discovery data

record,DDR)。DDR中包含的信息由被发现的资源的类型确定，比如对一台计算机，会包含诸如计算机的NetBIOS名、IP地址、所属IP段、操作系统、Mac地址等，还有一个需要特别说明的是，SMS会为这条数据发现记录(DDR)创建一个GUID,用于区分数据库中其他资源。

我们将在实验部分，具体介绍SMS 2003所提供的资源发现方式。

(2)SMS客户端类型(SMS Client Type)

为了使用SMS管理资源，我们首先需要为这个资源安装一个客户端，这个客户端即称为SMS客户端。SMS 2003提供两种客户端类型，即Advanced Client和Legacy Client，其中Advanced Client是SMS中新引入的一种客户端类型，而Legacy Client则是基于SMS 2.0的一种客户端类型。

微软建议为运行Windows 2000及以上版本操作系统的机器安装Advanced Client；另外，Advanced Client还有一些特征能够对移动及需要远程接入网络的机器提供更好的支持。

由于Legacy Client基于SMS 2.0客户端，其在使用SMS进行诸如软件分发等功能时，需要依赖于域帐号进行，而不像Advanced Client使用系统权限进行。一般情况下，指建议在不支持Advanced Client的客户机上安装Legacy Client，如Windows 98、Windows NT4.0等。

SMS 2003客户端的安装方式，将在实验部分中提及。

(3)几个帐号

在实施SMS管理任务时，需要设置各种帐号以满足不同的需求。在实施资源发现以及客户端安装任务时，一般情况下，我们需要使用以下三个帐号：

a) Client Connection Account：Legacy Client使用此帐号连接CAP。在Standard Security模式下，SMS CAP服务器在建立时自动创建本地帐号做为Client Connection Account，而在Advanced Security模式下，如果站点内将会有机器使用Legacy Client，则需要手动创建一个帐号。一般来说，这个帐号不需要有特殊权限。

b) Advanced Client Network Access Account：当SMS分发的软件源文件不在分发点服务器上而在其他服务器共享文件夹中时，Advanced Client使用此帐号访问这些文件。另外，当使用下面将提及的Client Push Installation方式安装SMS客户端时，也需要此帐号访问服务器上相关文件。此帐号一般是域帐号，且需要有访问这些共享文件夹的权限。特别需要注意的是，当Advanced Client Network Access Account没有被设置时，访问这些文件夹则由目标计算机帐号来完成。

c) Client Push Installation Account：在使用Client Push Installation方式安装SMS 客户端时，以此帐号权限在客户机上安装客户端。因此，要求此帐号在远程客户端上具有本地管理员权限，可以使用一个属于域管理员组的帐号。

实验步骤

(1)配置资源发现方式

SMS 2003提供的资源发现方式如下：

图2

各种资源发现方式所发现的资源简介如下：

在本次实验中，我们选择使用Active Directory System Discovery做为此次实验的发现方式。选择图2详细面板中的"Active Directory System Discovery"，右键属性，打开属性配置窗口

图3

如图3所示，SMS 2003主站点安装指南中，我们选择的安装方式为自定义安装，此时Active Directory System Discovery发现方式模式是没有启用的。点击添加按钮，添加需要进行发现的活动目录容器。

图4

在如图4所示的窗口中，我们可以指定本地域、本地森林或自定义相关查询的方式查找其中的容器。我们点击"Bowser"打开新的选择窗口：

图5

选择其中的Computers容器，我们可以看到，此容器中包含了两个计算机帐号。点击两次OK关闭对话窗口。

此时我们可以看到"Active Directory Containers"中已经包含了computers容器的LDAP路径。选中"Enable Active Directory System Discovery"前的checkbox，启用此发现方式。

图6

点击Apply，再选择标签Polling Schedule，设置发现的计划。

图7

点击Schedule，设置发现时间为每天的12点05分。

图8

点击OK，回到上级对话框。如果你想立刻进行资源发现，则可选中"Run discovery as soon as possible"

图9

点击OK关闭对话框，我们查看SMS站点服务器上的日志：adsysdis.log，我们可以看到此次发现了2个对象。

图10

回到SMS管理控制台，打开Collections下的All Systems，默认情况下，站点服务

器SMS-Centre已经被发现

图11

在All Systems上点击右键，选择All Tasks－Update Collection Membership

图12

此时会弹出一个对话框，询问是否需要刷新子collection的成员信息，由于All Systems 此时没有子collection，我们可以不选择，直接点击OK。

图13

完成后，可以看All Systems上出现一个小漏沙的标志，说明此时此collection正在更新成员信息。

图14

等待一段时间后，我们点击刷新按钮或F5进行刷新操作，此时，可以看到computers容器中的两台机器都已经被发现。

图15

(2)客户端的安装

在安装客户端以前，我们有必要了解以下一些内容：

每个SMS客户端要被SMS站点所管理，则这个客户端必须属于某一个SMS站点，换句话说，就是这个客户端被指派到某个站点。对于Advanced Client来说，可以在SMS客户端安装过程中后安装后指派到某个站点；对于Legacy Client来说，此过程则在安装客户端的过程中完成。

下面我们进行SMS客户端安装前的一些准备工作

a)配置Client Connection Account

在运行中输入dsa.msc，打开活动目录用户与计算机管理控制台

图16 选择新建一个用户

图17 填写用户帐号的相关信息。

图18

需要注意的是，为了免去将来由于帐号密码过期等原因造成帐号锁定，致使客户机无法连接CAP的问题，建议勾选Password never expires。

打开SMS管理控制台，进行如下操作：

图19

在窗口中选择Set，输入刚刚新建的帐号信息