提升工作效率
MDOP R2工具包 7項IT維運絕活一次搜羅

2009-11-05
在最新的MDOP R2工具中,提供了IT人員平日維運作業中的各種絕佳輔助工具,包括系統診斷修復工具、群組原則進階管理工具、線上資產清點服務、應用程式虛擬化部署工具、桌面錯誤監視工具。本文將說明如何活用這些工具來提升IT人員的工作效率。
在企業IT維運中,龐大的用戶端電腦維護工作對IT管理人員來說,通常是最多又最雜的,雖然比起伺服端系統的維護或網路的管理,並不會有太多的緊急應變事件需要立即排除,但若專責的IT人員沒有一套完善的維護管理工具,那麼其平日的維護工作負擔肯定相當沈重。  

在確認成為Microsoft的SA(Software Assurance)合約客戶之後,若想讓Windows網路用戶端整體的維運工作更加得心應手,建議善用Microsoft最新的Desktop Optimization Pack R2(MDOP R2)工具包來助一臂之力。  

在整個MDOP R2工具包中所包含的工具如右圖所示,從應用程式的部署、清點、作業系統的修復到Active Directory群組原則進階管理工具通通都有,以下介紹這些工具的主要用途,以提供讀者有些基礎的認知,而後將以問答的形式說明如何善用MDOP R2工具包。如果在本文的問答範例中,讀者看完之後仍覺得不過癮,可連結至網址「http://cid-5385729611247916.skydrive.live.com/browse.aspx/MDOP」,這裡有筆者預先錄製好的幾支示範影片可供參考。  

● Asset Inventory Service:這項線上資產清點服務可以協助IT人員輕鬆地製作出各類的軟體資產報表。  

● Advanced Group Policy Management:進階群組原則管理,簡稱AGPM,這是一個針對現有GMPC(群組原則管理組控台)所提供的延伸管理功能,包括以角色為基礎的委派配置、群組原則物件的版本管理、防範誤刪的資源回收筒、群組原則異動管理審核等等功能。

▲MDOP R2工具用途

● Application Virtualization:採用動態資料流軟體技術來作為中央管理服務,可以透過網域使用者群組的配置方式來區分用戶端使用者能夠執行那些應用程式。並且讓用戶端電腦在無須執行安裝的情況之下,同時看見並執行由Application Virtualization所派送下來的應用程式。  

● System Center Desktop Error Monitor:可集中收集用戶端電腦錯誤事件的報告與分析至伺服器上來統一管理。  

● Diagnostics and Recovery Toolset:系統診斷修復工具組,簡稱DaRT,主要提供系統損毀分析精靈(Crash Analyzer Wizard)、可製作修復開機工具組的光碟精靈(ERD Commander)和檔案還原工具(File Restore)。

接下來,就一同來看看幾個常見的精采問答。

Application Virtualization的整體運作架構

可否說明Application Virtualization 4.5整體運作中含括了那些主要元件,並且說明針對這些不同元件的安裝需求?

新版Application Virtualization 4.5(簡稱App-v)虛擬應用程式運作的整體架構,主要是由Application Virtualization管理系統、Application Virtualization用戶端以及Application Virtualization Sequencer、Application Virtualization Streaming Server所組合而成。以下說明這四項項元件的用途。

Application Virtualization Management System Application Virtualization管理系統包括Application Virtualization管理主控台和管理網站服務(Web Service)。系統管理員可以開啟以MMC 3.0為介面的管理主控台,來控管網域中所有System Center的虛擬應用程式伺服器。

透過此管理主控台可以新增或移除所要部署的虛擬應用程式、變更檔案類型的關聯性設定、使用者群組的存取權限等等,而這裡所提到的Application Virtualization管理網站服務用途,則是用來處理Application Virtualization管理主控台與後端Application Virtualization的SQL資料庫之間的通訊。

系統需求:Windows Server 2008(32bit或64-bit)、IIS 7.0、Microsoft .NET Framework 2.0、Microsoft SQL Server 2005 Express Edition(正式環境建議使用標準版SQL Server 2005)。

Application Virtualization Client

Application Virtualization有專屬的用戶端程式安裝在相容的用戶端作業系統上,透過此常駐程式,可以自動把已經在Application Virtualization伺服器上啟用的虛擬應用程式,配置好所需的虛擬作業環境,並將虛擬應用程式發佈到授權使用者的桌面。

此外,Application Virtualization用戶端程式還會儲存針對不同使用者的虛擬應用程式設定,例如他們各自的登錄檔設定以及檔案的變更等等。

系統需求:Windows Vista商用版、企業版以及旗艦版。

Application Virtualization Sequencer

Application Virtualization Sequencer是一個以精靈設定方式為主的管理工具,系統管理員可以透過它來建立Application Virtualization所要發佈的虛擬應用程式,主要用來封裝虛擬應用程式,而整個封裝的內容物包括一個已啟用Application Virtualization的應用程式檔案(.sft)、一個或多個的開放式軟體描述檔(.osd)、一個或多個的應用程式小圖示檔案(.ico)、一個Soft計畫檔(.sprj)。

以上這些檔案都是儲存在Application Virtualization的虛擬應用程式伺服器上,而這些檔案也是決定Application Virtualization用戶端是否正常使用該虛擬應用程式的重要關鍵。

系統需求:與Application Virtualization Client完全一樣。必須預先建立一個實體的Q磁碟機代號的磁碟。

Microsoft System Center Application Virtualization Streaming Server

Streaming Server主要提供虛擬應用程式封裝上的主動式升級管理功能,不需要Active Directory和SQL Server,但是它並沒有一個桌面設定服務、授權或計量功能。這個服務相依在針對虛擬應用程式服務所手動撰寫的Script檔案上。

Application Virtualization Management System上的桌面設定服務可以同樣結合Streaming Server來使用,以便由管理伺服器來設定應用程式,而資料的傳送則是由Streaming Server來完成。

系統需求:Windows Server 2008(32bit或64 bit)、應用程式虛擬管理主控台只能安裝在32bit的作業系統上。

安裝Application Virtualization伺服器

我想要在公司現有的Active Directory網路中安裝Application Virtualization伺服器,可否簡單說明安裝步驟中的重點以及需要注意的事項?

在Application Virtualization管理伺服器的安裝過程中,可以自訂只安裝App-v管理主控台在管理用戶端的電腦上,或是連同App-v的服務一併安裝在伺服端主機上。設定過程中,必須設定連線的SQL Server主機和如下頁圖示建立專屬的資料庫。在連線部分,如果要以加密方式進行通訊,還必須設定指定的本機電腦憑證。

在與用戶端電腦的連線設定上,必須設定連線的通訊埠(預設採用TCP 554)。接著設定安全管理,必須指定用來負責管理以及預設使用的網域使用者群組。最後,則是設定用來儲存部署虛擬應用程式的路徑。

▲安裝管理伺服器資料庫設定。

然後是Streaming Server的安裝設定,過程中除了必須設定安裝路徑、App-v伺服器連接的通訊埠以及存放部署應用程式內容的根路徑之外,在進階設定部分,如下圖所示還可以設定諸如用戶端連線的上限、連線逾時、快取大小的設定等等。

▲安裝Streaming伺服器進階設定。

至於在Sequencer主機的安裝,只要在Microsoft Application Virtualization v4.5的安裝主選單內,點選「Install System Center Virtual Application Sequencer 4.5 Server」連結即可開始安裝,整個安裝過程僅須設定程式的安裝路徑。

如何使用Application Virtualization部署應用程式

Q請問完成Application Virtualization伺服器的部署之後,該如何透過它來部署各式各樣的應用程式到用戶端的電腦上呢?

A針對應用程式部署範例,這裡就以WinZip應用程式來作為部署的講解。先開啟「Microsoft Application Virtualization Sequencer」管理介面,然後在檔案的下拉選單中點選【新增封裝】,接著設定「封裝名稱」,然後在下一個頁面中按下〔開始監視〕按鈕,並且設定安裝程式的存放路徑。

接著,便可以點選執行WinZip安裝程式並且完成安裝。在此必須特別注意的是安裝時的設定路徑,必須指向Q磁碟下預先建立好的資料夾。

安裝好WinZip程式之後,按下〔停止監視〕按鈕並且按下〔下一步〕。接著來到「設定應用程式」頁面中,可以對於所要部署的WinZip各項細部設定與檔案設定進行屬性編輯,或是進行新增刪除動作。

按下〔下一步〕之後進入「啟動應用程式」頁面中,選取WinZip的主程式項目後按下〔啟動〕按鈕。開啟此應用程式之後,可以預先完成所有想完成的一致化「選項」設定,如此一來,之後所部署的WinZip程式,便會以這些設定來當作預設值。

完成以上精靈工具的設定之後,來到擁有多重組態設定的頁面。切換到「部署」頁面中,分別設定連線使用的RSTP通訊協定、主機名稱、連接埠,以及可使用此WinZip虛擬應用程式的作業系統清單。

完成以上這些設定之後進行存檔,並將這個SPRJ檔案與存放安裝程式的路徑暫時存放在相同的資料夾內。儲存設定檔案之後,開啟這個路徑的資料夾,將VFS與SoftGridUserSettings兩個資料夾以外的檔案,複製到App-v預設安裝路徑中的「Content」資料夾,並將這個資料夾設定為共用以及允許使用者來連線讀取。

接著開啟「Application Virtualization Management」管理介面,然後在「應用程式」節點上按下滑鼠右鍵,點選快速選單中的【新增應用程式群組】,為這個WinZip部署設定一個群組名稱。

隨後,點選至所新建立的應用程式群組節點上,按下滑鼠右鍵並點選快速選單中的【匯入應用程式】,然後選擇以瀏覽網路芳鄰的方式開啟位於「Content」共用資料夾內的SPRJ檔案。

執行過程中,可以自行設定當應用程式發佈至使用者桌面的位置,如下圖所示包括桌面、啟動工具列、開始功能表以及自訂的程式集資料夾等等。而在「存取權限」頁面中則可以按下〔新增〕按鈕,來加入能夠存取該虛擬應用程式的使用者群組。

▲匯入應用程式設定。

完成應用程式的匯入設定之後,可能需要開啟個別程式項目的內容頁面,來確認與設定OSD檔案與圖示檔案的路徑指向。因為這部分的設定如果有問題,用戶端使用者肯定無法開啟這個虛擬應用程式。

完成以上發佈設定之後,可以隨時在「Active Directory使用者及電腦」介面中,將使用者加入或移除這個虛擬應用程式在前面設定中所賦予存取權限的群組。只要使用者有權限,那麼在開機登入網域之後,此虛擬應用程式的圖示捷徑便會如右圖所示出現在桌面或是指定的程式集功能表中。

使用者在第一次點選執行時便會在桌面右下角看到載入速度很快的訊息提示,而成功完成載入之後,就可以開始使用此虛擬應用程式。

▲用戶端執行虛擬應用程式。

由於App-v用戶端會每隔一段時間(預設30分鐘,可以在伺服端統一設定)就去檢查發佈給使用者的最新虛擬應用程式,因此即使使用者沒有重新開機登入網域,只要發現該使用者沒有每一項虛擬應用程式的權限,這項虛擬應用程式的圖示捷徑便會自動從它的作業系統中消失,這麼一來讓IT人員管理時變得相當方便。

如何使用Asset Inventory Service

Q請問在MDOP R2工具包中所提供的線上資產清點服務(AIS),主要提供哪些功能,以及我要如何來申請與使用這項服務呢?

A資產清單服務(AIS)主要提供企業電腦軟體清點與產出相關分析報表的功能,它能夠偵測到的應用軟體高達43萬筆以上,若轉入至智慧型的報表內,IT人員將可利用這些分類篩選過的資訊,隨時做好軟體版權的資產清點工作。

▲企業AIS使用流程。

至於在整個AIS從登入到使用的流程部分,如上圖所示必須先有一個Windows Live帳戶,並且確認已購買SA相關合約並且寄出合約編號,才可以登入至System Center線上網站下載必要的MSI格式的代理程式。接著,完成MSI代理程式的大量部署,可以選擇使用Active Directory群組原則中的軟體部署功能,或是其他如System Center Essentials 2007、Systems Management Server 2003、System Center Configuration Manager 2007等的解決方案。

完成部署AIS代理程式之後,這些用戶端電腦的相關資產就會自動回報至System Center線上網站,此刻便可以登入該網站來檢視各式各樣的分析報表了。

當用戶端作業系統無法開機時,如何透過MDOP R2工具診斷與修復

Q在平日的維護工作中,我們經常會面臨用戶端電腦無法正常啟動的問題,然而無法正常啟動作業系統的原因很多,例如開啟程式毀損、修正程式的問題等等。請問MDOP R2工具包是如何進行這方面的診斷與修復呢?

A建議使用MDOP R2工具包中的ERD Commander工具,預先建立兩種不同版本的開機修復光碟:Windows XP∕Windows Server 2003診斷修復開機片(須安裝DaRT 5.0)、Windows Vista∕Windows Server 2008診斷修復開機片(須安裝DaRT 6.0)。負責維護用戶端電腦的IT人員若取得這兩種開機片將會相當受用。

在ERD Commander所建立的修復開機片中含括三種類別的工具:系統管理員工具、網路工具、系統工具。這些工具可以進行多種不同的修復、診斷和資料復原,來解決用戶端與伺服器作業系統上的各種疑難雜症,例如當使用者誤刪硬碟內的重要檔案、IT人員忘記本機管理員的密碼等等。

在「Diagnostics and Recovery Toolset 5.0&6.0」安裝頁面中,可以根據需求點選安裝DaRT 5.0或DaRT 6.0。DaRT 6.0又分成32和64位元兩種版本。安裝時,首先選擇「典型安裝」、「自訂安裝」或「完整安裝」,建議選擇「完整安裝」。完成安裝之後,依序點選【開始】→【所有程式】→【Microsoft Diagnostics and Recovery Toolset程式集】,就可以看到相關的選項。

可以點選「ERD Commander Boot Media Wizard」來建立修復開機片ERD Commander。以DaRT 6.0為例,執行之後進入「Select Boot Image」頁面,會要求放入並指定Windows Vista安裝光碟的路徑。接著是「Tool Selection」頁面,在此決定欲放入此片開機修復光碟的工具程式,建議全部選取。

接著,在「Crash Analyzer Wizard」頁面中會顯示已安裝Microsoft Debugging Tool for Windows的程式路徑(通常未安裝),按下〔瀏覽〕按鈕選取正確的路徑,如果仍未安裝也沒有關係,只要點選此頁面中的超連結,就可以連回官方網站下載安裝。

在「Standalone System Sweeper Definition Download」頁面中,建議選用預先設定來下載最新版的Windows Defender定義檔,後續才可以透過這個開機片來找出可能的惡意程式。接著,在「Additional Drivers」頁面中選擇性加入其他需要的裝置驅動程式。

進入「Create Startup Image」頁面後,點選〔Browse〕來設定所要製作之開機片ISO檔案的儲存位置。最後,在「Burn to a recordable CD」頁面內選擇是否立即燒錄此ISO檔案至支援的本機光碟機中。

製作好ERD Commander修復開機光碟片之後,接下來拿它來嘗試開機。開機過程中,會列出目前本機電腦內所有的作業系統,然後選取所要進行修復的作業系統,之後將出現如下圖所示的頁面。

看到這個開機頁面選單時,很多人可能會認為這很像是Windows Vista的開機系統修復選項,只不過最下方多了一個「Microsoft Diagnostics and Recovery Toolset」項目。點選最後一個項目,即可進入MSDaDT的工具選單,使用裡面的各項修復管理工具,例如移除已安裝的修正程式(HotFix)、修正登錄檔設定等等。

Microsoft系統診斷修復工具組使用講解

Q當我使用ERD Commander所建立的修復開機片完成開機之後,如何使用「MSDaDT Tools」工具選單中的每一項工具呢?可否介紹這些工具的用途,並舉例說明其中幾個使用方法?

A在系統診斷修復工具(MSDaDT Tools)的工具選單中,如下圖所示共有13個可用的系統修復與還原工具(不包含Solution Wizard)。每一個工具的用途說明可參考表1內的說明。

▲MSDaRT開機工具組。

表1 DaRT開機工具組功能一覽

接著介紹其中幾個工具的操作範例。如果是第一次使用此開機片,不知道該選擇哪一個工具項目來解決眼前的問題,可以先點選「Solution Wizard」項目。此時會開啟如下圖所示的「Solution Options」頁面,可以在此選擇目前所要處理的問題類型,例如系統目前無法正常開機或是需要救回誤刪的檔案資料等等。選擇之後,在結果頁面中就會自動開啟符合需求的工具程式。

▲解決方案精靈。

接下來說明如何使用檔案誤刪的還原工具(File Restore)。如右圖所示,可以在「File Restore」頁面中輸入想要救回檔案的關鍵字以及日期範圍、檔案大小等資訊,或是乾脆不設定任何條件,直接搜尋指定磁碟代號內的所有已刪除資料。

▲救回誤刪的檔案。

試想File Restore真的可以幫忙救回所有誤刪的檔案嗎?也就是已經從資源回收筒清理掉的資料。事實上,關鍵在於磁碟區中的資料是否已經異動,換句話說,一發現誤刪檔案,就趕緊透過此工具進行搜尋,通常都可以挽救回來,但如果已經過了好幾天,且磁區中的資料也已經陸續新增和刪除其他資料,那麼就算再使用這項工具同樣也挽救不了。

如果有Windows用戶端電腦或伺服器因為安裝某個更新程式而無法正常開機,則可以在MSDaRT開機工具組頁面中點選「Hotfix Uninstall」工具,然後將會開啟如下圖所示的頁面來選取所要移除的修正程式。

▲移除特定的修正程式。

許多系統管理員經常會犯的問題是,牢記網域系統管理員的密碼,但卻忘記本機系統管理員的密碼,以至於在系統退出網域之後無法以Administrator身分登入本機電腦,這時候便可以透過點選MSDaRT開機工具組頁面內的「Locksmith」工具來開啟如下圖所示的設定頁面,這樣就可以重新設定新的本機系統管理員密碼。

▲變更系統管理員密碼。

進階群組原則管理工具(AGPM)的活用技巧

Q我們公司有多個分公司位於台北、台中、高雄以及兩岸三地,並且有多位負責當地子網域的系統管理人員,因此在Active Directory管理上就顯得格外重要。我希望可以透過MDOP R2中的AGPM工具,讓群組原則的控管更加容易,可否詳細說明這項輔助工具的安裝與使用方法?

AAGPM(進階群組原則管理)是一個針對現有GMPC(群組原則管理組控台)所提供的延伸管理功能,因此連線的用戶端管理端必須先確認已經安裝最新的GPMC管理介面。由於在Windows Server 2008網域控制站(DC)的預設安裝中,已經自動安裝好GPMC管理工具,所以直接將AGPM工具安裝在Windows Server 2008網域控制站即可。

在AGPM的安裝主選單中,除了可以選擇安裝2.5版(for Windows Vista/Windows Server 2003)或3.0版(for Windows Vista SP1/Windows Server 2008)之外,還可以選擇安裝32位元或64位元的版本。

在伺服端程式安裝過程中必須分別設定程式安裝路徑、資料的封存路徑、AGPM服務的啟動帳戶、指定封存擁有者的使用者帳戶、連接的通訊埠號碼(預設4600)以及所要使用的語言。接下來,需要安裝用戶端的AGPM程式。在安裝過程中,同樣必須設定程式安裝路徑、AGPM伺服端的位址,以及如下圖般設定AGPM管理介面所要使用的語言。

▲多國語言的安裝設定。

完成安裝AGPM工具元件之後,在GPMC管理介面中便會出現一個新的「變更控制」功能項目節點。

如下圖所示,如果要編輯現有的群組原則物件,先在該物件上按一下滑鼠右鍵,然後點選快速選單中的【取出】。完成修改之後,再從「未控制」頁面中設定為存回,這樣便會產生一個新的版本紀錄。

▲取出群組原則物件。

在群組原則物件的管理中,如果誤刪某一個物件該怎麼辦呢?很簡單,只要在如下圖所示的「資源回收筒」頁面中針對所要還原的項目按下滑鼠右鍵,然後點選快速選單中的【還原】即可。相反地,若想永久性刪除,則點選快速選單中的【損毀】徹底清除。

▲復原刪除的群組原則物件。

在AGPM的群組原則管理中有一項核准發佈的機制,若要使用此功能,必須預先配置好「網域委派」的使用者權限設定,以及相關的E-mail位址與SMTP主機的連線組態設定。在這個頁面中,如果打算加入新的委派成員,則按下〔新增〕按鈕,賦予所選取的網域使用者完全控制、檢閱者、編輯者或核准者的權限。

完成設定之後,只要任何擁有編輯者權限的使用者,想編輯或發佈新的群組原則物件,指定的系統管理員便會收到如下圖所示的E-mail訊息通知,決定是否核准或拒絕。

▲群組物件異動管理核准。

接著,系統管理員可以到GPMC的「變更控制」頁面中,如下圖所示在〔擱置〕活頁標籤內的群組原則物件項目上按下滑鼠右鍵,並點選快速選單中的【核准】或是【拒絕】。

▲管理擱置中的群組原則物件。

追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!