第3章：寻找内部配置管理器

• 设计概念

• 活动目录集成

• 配置管理器和WMI

• 组件和通信

• 在ConfigMgr数据库中

• 状态消息和日志

微软的System Center Configuration Manager (ConfigMgr) 2007通过灵活的分布式体系结构提供了各种配置管理和系统支持服务。ConfigMgr 2007利用基于标准的网络协议和安全性来实现内部工作和与客户端系统的交互。配置管理器组件在站点数据库中存储和使用关于ConfigMgr基础设施和活动、环境和托管站点系统的数据。Microsoft提供了一组基于此数据的广泛查询和报告，以及为您自己的查询和报告提取数据的工具。

本章将介绍配置管理器的内部工作原理。它描述了ConfigMgr 2007的设计概念和工作原理，以及ConfigMgr利用核心Windows技术的方式，特别是Active Directory (AD)和Windows管理工具(WMI)。还讨论了Configuration Manager的各个组件，它们之间如何通信，以及如何协同工作来实现ConfigMgr特性。本章将深入站点数据库，这是Configuration Manager的核心。它向您展示了如何通过ConfigMgr的状态消息和日志以及用于查看数据库和流程活动的其他工具来查看ConfigMgr的内部工作方式。这一章的重点是深度而不是广度。作者选择了一些最重要的特性集和数据结构作为贯穿本章的示例，而不是试图全面介绍ConfigMgr的所有功能。

对于那些只想启动并运行Configuration Manager的读者来说，本章中的一些内容可能不是必需的。这些读者可能还会发现模式的扩展部分有助于规划目的。他们可能还会发现状态消息和日志”一节疑难解答。“WMI总经理部分提供了一些关于WMI问题的故障排除的附加指导。对于那些希望更深入地了解ConfigMgr的幕后情况的人来说，本章的内容将帮助您掌握产品的体系结构原则，并指导您探索Configuration Manager的内部工作方式。

设计概念

微软设计的Configuration Manager 2007对各种各样的基于Windows的系统中提供增强的管理服务。它的前身，系统管理服务器（SMS），EASES管理台式机和笔记本电脑在企业网络环境。（关于不同版本的SMS信息，请参见第2章“Configuration Manager 2007的概述。”）配置管理器建立在SMS的核心功能，并增加了一个增强特性集，包括先进的操作系统（OS）部署能力和资产管理功能，以及新的带外（OOB）管理技术的支持。的ConfigMgr还扩展管理功能，可通过互联网访问管理的计算机。

在它的系统管理软件的这个最新版本，微软强调了安全性和遵从性，可扩展性和操作简易性。为了帮助客户满足安全与合规目标，Configuration Manager 2007中实现了以下功能：

• 补丁管理的2007年的ConfigMgr的SMS 2003的前身的最重要的特点 - 酮，它的功能部署补丁的Windows客户端和系统补丁合规性状态报告。配置管理改进，并通过与微软的Windows软件更新服务（WSUS）整合和实施网络访问保护（NAP），以防止不合规系统从加入网络扩展这一功能。第15章，“补丁管理”，讨论的补丁部署和NAP。

• 配置管理configmgr的理想配置管理(DCM)允许您确保符合定义的标准，以防止错误配置和减少系统的攻击面。您将在第16章“所需的配置管理”中找到关于DCM的讨论。

• 活动目录集成configuration Manager 2007与Active Directory的集成提供了身份验证和访问控制。“活动目录集成本章将讨论这些特性。

• 安全-Configuration Manager使用基于证书的身份验证、加密和数据完整性控制来保护站点系统和客户端之间的通信。配置管理器提供了一种新的安全模式，称为本机模式，这对于某些但不是所有基于证书的功能是必需的。第六章，“建筑设计规划”，讨论证书和本地模式。

微软也取得了2007年的ConfigMgr更具可扩展性。一些可扩展性增强包括以下内容：

• 分布式处理-SMS 2003包括将功能角色分配到环境中的其他系统的能力。ConfigMgr 2007引入了可以分布的其他角色，帮助平衡任何单个服务器所需的处理负载。

• 向外扩展网络负载平衡(NLB)集群支持扩展某些角色。

• 灵活的层次结构configmgr的灵活层次结构模型允许将其服务部署到网络连接有限的远程位置。这包括配置管理器2007新增的分支分发点功能。

• 可管理性-Configuration Manager使用Internet标准协议将管理功能扩展到可通过Internet访问的Windows mobile设备和管理系统。

第六章讨论了如何配置站点系统角色、层次结构设计以及移动设备和互联网客户端的管理。

Configuration Manager的功能可以帮助您简化以下方面的操作:

• 规划- 库存和发现数据提供您可以在智能规划您的操作使用一个中央信息存储。“在ConfigMgr数据库中本章的部分介绍了数据库及其一些潜在的用途。

• 部署-用于捕获、管理和分发系统映像以及迁移用户状态信息的特性使提供新系统和升级现有系统变得更加容易。第19章“操作系统部署”介绍了ConfigMgr的操作系统部署(OSD)功能。

• 加强-Configuration Manager提供了在大量客户端系统上轻松部署和维护软件应用程序的功能。第十四章，“发行软件包”，详细讨论了ConfigMgr软件发行。

• 生命周期管理-ConfigMgr 2007年的改进资产智能功能可帮助您跟踪和整个生命周期管理硬件和软件资产。第18章，“报告”，讨论了使用资产智能的。

为了实现这些功能，Configuration Manager利用了Windows平台的关键元素。两个最重要的Windows组件是AD和WMI。接下来的几节将深入介绍ConfigMgr如何使用这些技术。

活动目录集成

Active Directory是在Windows Server用来维护实体和关系数据在网络环境中的各种物体的中央信息存储。AD提供了一组核心服务，包括认证，授权和目录服务。配置管理需要Active Directory环境，并采取AD的优势，以支持它的许多功能。有关在Windows Server 2003和Windows Server 2008 Active Directory的详细信息，请参阅以下参考：

• http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx有关Windows Server 2003和活动目录的信息

• http://www.microsoft.com/windowsserver2008/en/us/active-directory.aspx有关Windows Server 2008中的活动目录的详细信息

在Active Directory环境中，所有进程都在用户的安全上下文中运行，或者在操作系统提供的安全上下文中运行。系统帐户是包括在每个Windows系统上的特殊帐户，用于在操作系统提供的上下文中运行进程。在AD之前，惟一的内置系统帐户上下文是本地系统帐户。Windows NT本地系统帐户提供对系统资源的无限访问，但您不能将其用于网络请求。

使用Active Directory，每个系统都有一个计算机帐户，您可以将其添加到用户组并授予对网络上任何地方的资源的访问权。Windows Server 2003及以后的操作系统增加了两个内置帐户，但访问权限有限:

• 的本地服务帐户在本地系统上具有与非特权用户基本相同的权限，并且不能访问网络。

• 的网路服务帐户具有类似于非特权用户帐户的权限和网络访问权。

2007年的ConfigMgr广泛使用的系统和计算机帐户来运行的进程。使用系统占显着简化管理，从而无需创建和管理大量服务的帐户使用SMS的早期版本需要。

除了身份验证和访问控制服务之外，Configuration Manager 2007还可以使用AD发布关于其站点和服务的信息，使activedirectory客户端可以轻松访问ConfigMgr。要利用此功能，您必须扩展AD模式，以创建特定于Configuration Manager的对象类。虽然ConfigMgr工作并不需要扩展模式，但是对于某些配置管理器特性来说，它是必需的。扩展模式还极大地简化了ConfigMgr部署和操作。“模式的扩展”延伸的AD模式本章讨论的部分，而“扩展活动目录的好处小节介绍模式扩展提供的特性依赖关系和管理优势。

配置管理器还可以利用Active Directory中的优势在以下几个方面：

• 发现有关环境的信息，包括潜在的客户端系统的存在。第12章，“客户管理”，讨论的发现过程。

• 通过组策略分配和安装客户端，也在第12章中描述。此外，您可以使用组策略来配置ConfigMgr使用的基本服务。

• 使用通过AD部署的证书和证书设置来增强其自身的安全性，如第6章所述。

模式的扩展

Active Directory中的所有对象都是AD模式中定义的类的实例。模式为用户、计算机和打印机等常见对象提供定义。每个对象类都有一组描述类成员的属性。例如，computer类的对象有名称、操作系统等等。有关AD模式的其他信息，请访问http://msdn.microsoft.com/en-us/library/ms675085 (VS.85) . aspx。

模式是可扩展的，允许管理员和应用程序定义新的对象类和修改现有类。使用Configuration Manager提供的模式扩展可以简化ConfigMgr环境的管理。ConfigMgr模式扩展的风险相对较低，只涉及一组不太可能导致冲突的特定类。扩展模式是配置管理器推荐的最佳实践，因为它允许您避免额外的配置任务并实现更强的安全性。不过，在将模式修改应用到生产环境之前，您需要测试它们。

用于扩展模式的工具

您可以通过以下两种方式扩展模式:

• 从ConfigMgr安装介质运行ExtADSch.exe实用程序

• 使用LDIFDE(轻量级数据交换格式数据交换)实用程序导入ConfigMgr_ad_schema。ldf LDIF文件

如果要在Windows 2000域控制器上扩展模式，则必须使用LDIF文件。

使用ExtADSch

使用ExtADSch.exe是扩展架构的最简单的方法，并在2003年的短信，这是扩展架构的唯一途径。ExtADSch.exe创建日志文件extadsch.log，位于系统驱动器（％SYSTEMDRIVE％），其中列出它的所有架构修改和操作状态的根源。已创建的属性和类的列表后，日志中应包含的条目“成功地扩展了Active Directory架构。”

使用LDIFDE

LDIFDE是提取和更新Active Directory服务器目录服务数据，与Windows 2000 LDIFDE提供命令行开关开始，让你指定若干选项，包括一些你可能要更新时使用一个功能强大的命令行实用程序该架构的ConfigMgr。表3.1包括选项，你是最有可能使用。

表3.1 LDIFDE命令行开关和描述