Lars Jostein Silihagen » Lars Jostein

SCCM 2007 Hardware Inventory og bruk av Management Object Format

Lars Jostein — Fri, 30 Apr 2010 23:35:17 +0000

Hvorfor utvide Hardware Inventory?

System Center Configuration Manager har to funksjoner for datainnsamling. Dette er Software Inventory og Hardware Inventory. Software Inventory spør etter filer på maskinen, mens Hardware Inventory spør etter Registry nøkler og WMI informasjon fra maskinen. Jeg vil i denne artikkelen fokusere på Hardware Inventory i SCCM 2007, men overlapper også funksjonalitet i SMS 2003 da virkemåte for Hardware Inventory bygger på samme teknologi.

Hardware Inventory er funksjonalitet i SMS og SCCM som gir mulighet for innsamling av maskinvaredata. Oversikt og kontroll av maskinvare i organisasjonen er for enkelte kun en tilleggsfunksjonalitet som kan være nyttig i visse sammenhenger. Andre har krav som forplikter å kunne fremlegge dokumentasjon over hvilke og hvor mye maskinvare som finnes i sin infrastruktur. Spesielt er maskinvarekontroll viktig i miljøer med krav til høy sikkerhet.

MOF står for Management Object Format og definerer i SMS og SCCM hvilke data som skal samles inn av klientene. Management Object Format er et språk (standard) som brukes for å beskrive Common Information Model. Innsamling av data foregår ved spørringer hovedsakelig mot WMI, CLI og registry. For å ta i bruk Hardware Inventory må denne funksjonaliteten aktiveres. Uten å gjøre endringer på MOF konfigurasjonen vil SMS/SCCM gjøre innsamling av en del grunndata fra de maskiner som har klient (SMS agent) installert. Likevel har enkelte behov for innsamling av mer eller mindre data en hva som tilbys i standard konfigurasjon. Typisk vil man for eksempel i forbindelse med populering av data til en CMDB løsninger (Configuration Management Database) ha behov for utvidet innsamling av Hardware Inventory (Configuration Items (CI)), alt etter hvilke krav som foreligger for CMDB. Andre kan for eksempel ha ønske om å gjøre mindre innsamling for å spare båndbredde.

For å endre hvilke og hvor mye data som skal innsamles må man editere MOF filene. Endringer av MOF filene kan sammenlignes med å kunne sykle. Når du tror du er veldig god, gjør du noe dumt og du faller og slår deg. MOF editering er derfor av mange SCCM og SMS eksperter forbundet med frykt for å gjøre feil!

Forhåpentligvis vil denne artikkelen gi hjelp og tips til å unngå de største fallgruvene.

Hva er SMS_def.MOF og Configuration.MOF

Hvilke maskin- og programvaredata som skal innehentes av SCCM 2007 og SMS 2003 bestemmes av regler satt i MOF. SMS 2003 forholder seg kun til en SMS_def.MOF fil. I Configuration Manager 2007 er denne filen splittet og man operer der med to MOF filer, Configuration.MOF og SMS_def.MOF. Oppdelingen av MOF filene er hovedforskjellen i hvordan SMS og SCCM gjennomfører datainnsamling. Både for SMS og SCCM er MOF filene plassert i mappestrukturen \inboxes\clifiles.src\hinv.

Configuration.MOF definerer de dataklasser det er behov for og som skal brukes av Hardware Inventory og WMI. Data klasser kan opprettes for eksisterende eller egendefinerte WMI spørringer eller registry nøkler på klient systemet.

SMS_def.MOF bestemmer hvilke data som skal rapporteres inn til SMS/SCCM av klienten. SMS_Def.MOF blir kompilert til en policy som kopieres ut til klientene og som igjen gjør datainnsamling og lagrer dette med WMI. Alle klasser har et ”SMS_Report flag” som kan settes til True eller False, alt ettersom man ønsker eller ikke ønsker datainnsamling for denne klassen.

SMS_def.MOF i SMS 2003 inneholder både Configuration.MOF og SMS_def.MOF slik de er beskrevet brukt i SCCM 2007.

Eksemplet som benyttes under vises hvordan SMS_def.MOF kan utvides til å innhente serienummer på harddisker på maskiner (ikke Volume SerialNumber):

[ SMS_Report (TRUE),

SMS_Group_Name ("Physical Media"),

SMS_Class_ID ("CUSTOM|PHYSICAL_MEDIA|1.0") ]

class Win32_PhysicalMedia : SMS_Class_Template

{

[SMS_Report (TRUE) ] string SerialNumber;

[SMS_Report (TRUE), key] string Tag;

};

For å vise en rapport over innhentet disk informasjon kan følgende SQL (SMS) spørring benyttes:

select distinct sys.netbios_name0, dsk.Model0,

Phys.Tag0, Phys.SerialNumber0 from v_gs_physical_media0 as Phys

inner join v_r_system as sys on sys.resourceid=phys.resourceid

inner join v_gs_disk as dsk on Phys.resourceid=dsk.resourceid

where

sys.netbios_name0 = @ComputerName

and dsk.deviceid0=Phys.tag0

order by Phys.tag0

Spørringen vil kunne gi følgende rapport:

Oppgradering fra SMS 2003 til SCCM 2007

Eksiterende SMS_def.MOF i SMS 2003 vil bli overskrevet ved oppgradering fra SMS 2003 til SCCM 2007. Eventuelle tilspasninger av SMS_def.MOF vil derfor bli borte. Tilpasninger som skal videreføres må tas vare på og legges inn igjen i SCCM etter fullført oppgradering.

MOF editering

Windows Management Interface (WMI)

WMI spørringer er hovedsakelig den metodikk som benyttes av Hardware Inventory for å gjøre spørringer og innhente ønsket data. Følgende lenker er gode ressurser for å finne frem i ”WMI-jungelen”:

Hva er WMI http://msdn.microsoft.com/en-us/library/aa384642(VS.85).aspx
WMI klasser http://msdn.microsoft.com/en-us/library/aa394084(VS.85).aspx
WEBEMTEST.exe På din Windows maskin (%windir%\system32\wbem)

Hardware Inventory prosessen

SMS/SCCM Advanced Clients laster ned nye Hardware Inventory regler hver gang Advanced Client policy blir oppdatert. Med standard innstillinger blir det gjort en gang i timen. Legacy Clients laster ned nye Hardware Inventory regler når klienten oppdateres. Oppdateringer skjer med standard innstillinger hver 25 time. Når klienten har de nye Hardware Inventory reglene, vil neste kjøring av Hardware Inventory innsamle maskinvaredata i henhold til MOF konfigurasjonen.

Ny MOF konfigurasjonen benyttes kun av klienten dersom alle syntakser i MOF filene er riktige. Hvis ikke blir de gamle MOF reglene brukt.

Editering av MOF filer

For å editere MOF filer anbefales bruk av tekst editor for eksempel Notepad.exe.
I miljøer med flere Primary Sites, må endringer i SMS_def.MOF og Configuration.MOF gjøres på hver Primary site (\inboxes\clifiles.srv\hinv).
I SMS 2003 må SMS_def.MOF kompileres etter modifikasjon. Dette gjøres med kommandoen mofcomp.exe SMS_DEF.MOF.
Det er viktig å huske på at Hardware Inventory ikke kan hente data fra HKCU (HkeyCurrentUser). Årsaken til dette er at Hardware Inventory henter informasjon fra maskinen og ikke fra brukeren.

Monitorer endringer

For å se hvilke endringer som blir gjort etter endringer i MOF filene og om endringene ga ønsket resultat eller ga feil kan følgende fremgangsmåte brukes:

Bruk Trace32 (følger md SMS/SCCM Toolkit) eller annet log-fil verktøy. Se på SMSServer\logs\dataldr.log
Dataldr.log vil først gi meldingen ”SMS_DEF.MOF change deteched” og senere vil den, hvis MOF endringene gikk bra, gi følgende melding ”Enf of cimv2\sms-to-policy conversion; returning 0×0”.
Gå til en maskin som har SMS klienten installert. Start ”Mashine Policy Retrieval” (må ofte gjøres flere ganger). Se på loggen på maskinen med SMS klient: %windir%\system32\ccm\logs\policyevaluator.log. I denne loggen vil man i de fleste tilfeller kunne se den regelen man satte i SMS_def.MOF. Start også ”Hardware Inventory Action” fra SMS klienten. Etter hvert vil reglene som ble satt i SMS_def.MOF også dukke opp i log filen %wubdir%\system32\ccm\logs\inventoryagent.log.
Etter litt tid vil man på SCCM serveren få nye tabeller i databasen som kan gi nye rapporteringsmuligheter for endringene som ble gjort i MOF.

Slå av uønskede rapporteringer

For å finne rapporteringsklasser som kan deaktiveres av bør man gå inn på en gruppe servere og klienter som har SMS/SCCM klient installert og se på inventoryagent.log. Se etter ”..does not exist out”. De klasser som har denne meldingen kan i de fleste tilfeller slås av. Meldingen bør i så fall være et gjennomgående tilfelle for serverne eller klientene.

En annen metode for å finne rapporteringsklasser som kan deaktiveres er å benytte Resource Explorer på klienter og servere. Hensikten er å finne data som klienten eller serveren rapporterer men som det ikke er behov for å rapportere i organisasjonen.

Dersom man finner klasser som kan være kandidater som kan deaktiveres (Disable), gjøres dette ved å endre fra TRUE til FALSE i SMS_DEF.MOF for denne klassen.

Når man har deaktivert en klasse vil det finnes gamle tabeller og ”views” i databasen som ikke lenger behøves. Det er to metoder for å rydde i databasen for ubrukte tabeller. Enten ved bruk av gratisproduktet SiteSweeper som kan lastes ned fra http://www.sccmexpert.com/ eller man kan gjøre jobben manuelt gjennom ”delgrp” som følger med SMS Toolkit.

For manuell bruk av delgrp (husk å stopp SMS Exec Service før bruk av delgrp til sletting):

Delgrp /L lister ut alle ”slettbare” tabeller
Delgrp ”MICROSOFT|TIME_ZONE|1.0” /C Denne kommandoen lister ut hvilke ”Collections” som baserer seg på ”MICROSOFT TIME ZONE”
Delgrp ”MICROSOFT|TIME_ZONE|1.0” sletter klassen fra databasen

Etter bruk av delgrp må ”Views” i MS SQL slettes. Dette gjøres ved å starte SQL Admin Console og velge tabellene som ønskes slettes. Slett så tabellen. Velg Drop All.

Dersom man har flere Primary Sites må prosedyren ved sletting gjennomføres på alle Primary Sites.

Slå på (aktivere) flere klasser med Asset Intelligence

Flere klasser kan aktiveres gjennom Asset Intelligence. Enkelte klasser kan kreve ekstra konfigurasjon. For eksempel vil SMS_SystemConsoleUser i tillegg kreve bruk av en GPO.

Alternativt kan man gå igjennom SMS_DEF.MOF og se etter klasser som er deaktivert (FALSE). Så må man ta avgjørelsen om disse bør aktiveres (TRUE). Når man aktiverer en klasse er det verdt å huske på at denne klassen ofte inneholder flere attributter. Man trenger ikke alltid å sette alle attributtene til True.

Verktøyet WEBEMTEST kan liste ut avhengigheter og muligheter for en klasse.

Beste praksis for MOF utvidelser

Ta sikkerhetskopi av MOF filene før editering
Ta sikkerhetskopi av MOF før oppgradering fra SMS 2003 til SCCM 2007
Nye endringer i MOF filer bør legges inn nederst i filene. Da unngås risiko for at endringer vil forstyrre eksisterende regler for datainnsamling
Hvis mulig, legg MOF filene inn i versjonskontroll, eller husk å kommenter endringer øverst i filene. Husk også å ta med dato og navn på utførende
Utfør test av endringer i MOF i et utviklings eller referanseanlegg før produksjonssetting
For hver klasse som rapporteres inn fra klienten, krever det litt mer båndbredde og ytelse for prosessering av data. Pass derfor på å ikke starte for mye rapportering om gangen. Monitorer prosesser og nettverk samtidig
Klasse navnet for reporting må være det samme som klassenavnet for dataklassen
Klasser må kun defineres en gang

Datainnsamling og sikkerhet

Innsamling av data er sårbart for angrep. Typiske angrep kan for eksempel være:

å sende inn feil data
sende store datamengder inn til server for å gi databasen stor last
aksessere innsamlet data under transport til SMS/SCCM.

Med standard innstillinger i SCCM 2007/SMS 2003 blir Hardware Inventory trafikk fra klienter som benyttes i mixed mode sites ikke kryptert, men det er mulig å slå på kryptering. Kryptering kan slås på med følgende fremgangsmåte:

Fra SCCM konsoll naviger til System Center Configuration Manager > Site Database > Site Management > (SiteCode)-(SiteName), høyreklikk og velg ”Properties”
Velg tabben Site Mode
I ”Client Settings”, slå på ”Encrypt data before sending to management Point”

SCCM 2007 Sites i native mode bruker som standard SSL for kryptering av Inventory trafikk.

MMS 2010 Keynote dag 1 og dag 2

Lars Jostein — Fri, 23 Apr 2010 11:02:59 +0000

Microsoft Management Summit 2010 pågår i Las Vegas. Keynote fra dag 1 og dag 2 er lagt ut med video og de er det verdt å få med seg.

MMS2010 Day 1 – Managin System from the Datacenter to the Cloud (Bob Muglia) http://twurl.nl/eph2im
MMS2010 Day 2 – User-Centric Client Management (Brad Anderson) http://twurl.nl/pdjfxc

Sterkblanding.no

Lars Jostein — Mon, 15 Mar 2010 23:59:19 +0000

Ved siden av blogging på blog.silihagen.net blogger jeg også på sterkblanding.no.

Les min første post på sterkblanding.no:

Smaker sjokolade bedre enn passordet ditt? - http://sterkblanding.no/blog/2010/03/15/smaker-sjokolade-bedre-enn-passordet-ditt/

MTUG – Microsoft Technology User Group og PKI foredrag

Lars Jostein — Wed, 10 Mar 2010 07:56:14 +0000

Tirsdag 16 mars vil brukergruppen Microsoft Technology User Group Oslo bli etablert. Brukergruppen vil være en non-profit brukergruppe med hovedvekt på Microsoft infrastruktur. Oppstart og informasjon om brukergruppen vil foregå hos Microsoft på Lysaker tirsdag 16 mars kl 18:00 og er ett gratis arrangement.

Sammen med oppstart av MTUG vil det bli holdt ett spennende foredrag av Nick Voicu fra Microsoft Redmond med tittelen – Tips and Tricks for making the best PKI deployment. PKI er en viktig del av grunnmuren som må på plass før man kan ta i bruk mye ny teknologi slik som blant annet DirecAccess og NAP, og er en teknologi vi som konsulenter må kunne noe om. Nick Voicu har de siste seks årene jobbet med utvikling av sikkerhetsteknologier i Windows og da spesielt PKI. Han kan med andre ord det han snakker om og er også en svært dyktig foredragsholder.

Påmelding: http://mtug.eventbrite.com/

Agenda for MTUG og PKI foredraget:

1800 – 1805 : Velkommen

1805 – 1820 : Introduksjon til MTUG

1830 – 2030 : Tips and tricks for making the best PKI deployment

2030 – 2100 : Q&A samt sosial mingling utover kvelden

”PowerShell guden” er på Oslo besøk

Om du jobber med Microsoft server produkter møter du Powershell – og hva er vel bedre enn å lære om Powershell fra kilden? Kom og hør Bruce Payette prate om Powershell. Bruce Payette er forfatter av boka “Powershell in action”, og er Principal Developer hos Microsoft i Redmond.

Bruce vil starte med å gi ett innblikk i hva Powershell er per idag, og hva Microsoft mener med Powershell fremover. Han vil fortsette med å gi oss et dypdykk i bruk av Powershell, samt gi oss en innføring i hvordan vi selv kan utnytte avanserte funksjoner i Powershell.

Denne workshopen gir innsikt både til de som er ferske med Powershell, og de som har jobbet med Powershell en god stund.

Arrangementet er gratis og arrangeres av MTUG i samarbeid med Microsoft i auditoriet på Lysaker torsdag 18 mars og begynner kl 12:00.

Påmelding: http://mtug2.eventbrite.com/

VHD nedlastning: Exchange Server 2010 og OCS 2007 R2

Lars Jostein — Thu, 18 Feb 2010 12:50:19 +0000

Microsoft har tilgjengeligjort pre-konfigurerte VHD av Exchange 2010 og Office Communicator Server 2007 R2.

Nedlastning: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=53f7382a-3664-4de3-8303-31e514d69f02

WPA Cracker en tjeneste i skya

Lars Jostein — Fri, 11 Dec 2009 19:28:00 +0000

WPA Cracker – nå kan du bruke en tjeneste i skya til å knekke passordet for WPA-PSK trådløsnettet til naboen. Du må gi fra deg ESSID og laste opp en capture av WPA-PSK handshake (for eksempel med hjelp av WireShark), så vil tjenesten tilby et 400 cpu cluster for å prosessere data for å finne passordet. De lover at clusteret vil bruke ca 20 minutter på jobben og tjenesten koster deg $17.

http://www.wpacracker.com

PowerShell SendKeys

Lars Jostein — Sun, 15 Nov 2009 21:59:37 +0000

# Login script burde inneholde litt god PowerShell kode..:
[void] [System.Reflection.Assembly]::LoadWithPartialName(“‘System.Windows.Forms”)
[System.Windows.Forms.SendKeys]::SendWait(“^%({DOWN})”)
# Gir brukerne en god start på dagen og kanskje support en liten utfordring..

I forbindelse med skripting er det av og til behov for å sende tastetrykk til applikasjoner eller til installasjonsprosedyrer. Eksemplet over viser hvordan ”tastetrykk” kan sendes med PowerShell, her med kombinasjonen ”ctrl + alt + down arrow”. En kombinasjon som vil snu skjermbildet opp ned.

En liste over “kodene” for ”SendKeys”: http://www.microsoft.com/technet/scriptcenter/topics/winpsh/convert/wshsendkeys.mspx

Hyper-V Diaster Recovery

Lars Jostein — Wed, 04 Nov 2009 23:12:48 +0000

Jim Scwartz (Director of Virtualization Solution, Microsoft) publiserte i går ett innlegg på Microsoft Vitualization Blog som omhandler Microsoft Site Recovery Solution basert på Microsoft Hyper-V.

Her er noen nyttige ressurser om Hyper-V og Diaster Recovery:

Ukens blog lesning

Lars Jostein — Sun, 01 Nov 2009 23:39:22 +0000

Etter noen dager med fravær fra jobben pga sykdom og påfølgende innedager i helga, fikk jeg tid til å lese noen interessante blogger. Tok vare på noen linker. Se spesielt de som er merket rødt!

Sikkerhet:
More secure alternative to VPN og VPNs and IPsec
Security Baselines for Windows 7 and Internet Explorer 8
Using ILM for DMZ Account Management
How to convert local and global groups to universal groups
What I Look for When Hiring IT Security Staff
Security Compliance Management Toolkit Series

Backup:
Learn more about system image backup

Exchange:
Automating Exchange 2010 Pre-Requisits on Windows Server 2008
Exchange Server 2010 RTM Upgrade and Installation Notes

System Center:
Renaming the Configuration Manager 2007 Database

Virtualisering:
EMC Whitepaper Powerpath/VE beskriver forskjellene mellom Powerpath/VE og MRU, Fixed og Round Robin (EMC Performance Optimazion for VMware)
So What Exactly is a Nexus 4000
Cisco Nexus 4001I Switch Module for IBM BladeCenter og Cisco
Vmware vSphere 4 the CPU Cheduler
Nyttige Hyper-V PowerShell script
Increasing the Availability of Virtualised Applications and Services

Microsoft Deployment Toolkit 2010
Windows 7 Deployment Tools part 1 – http://technet.microsoft.com/en-us/windows/ee530017.aspx
Windows 7 Deployment Tools part 2 – http://technet.microsoft.com/en-us/windows/ee524789.aspx
Windows 7 Deployment Tools part 3 – http://technet.microsoft.com/en-us/windows/ee529974.aspx
Windows 7 Deployment Tools part 4 – http://technet.microsoft.com/en-us/windows/ee530027.aspx

Litt om lisensnøkler – MAK og KMS

Active Directory Rights Management Service – Service Bulk Protection Tool

Lars Jostein — Sun, 01 Nov 2009 20:25:37 +0000

AD RMS Bulk Protection Tool er et kommandolinjeverktøy for å bulk kryptere eller dekryptere AD RMS beskyttede filer. Kjekt verktøy i forbindelse med tvister eller revisjonsformål. Verktøyet fungerer også bra sammen med funksjonaliteten i File Classification Infrastructure i Windows Server 2008 R2 for å klassifisere og beskytte sensitive bedriftsdata.

AD RMS Bulk Protection Tool: http://www.microsoft.com/downloads/details.aspx?FamilyID=f9fbe58f-c175-41d0-afdc-6f160ab809cd&displayLang=en

For mer om AD RMS: