Этой заметкой я начинаю цикл, посвященный платформе Mobile Device Manager (MDM) из рода System Center.  В него зайдут заметки, приуроченные к вопросцам установки, опции и помощи данного продукта. Казалось, и в 1 из их я внимательно желаю честно изложить про то, что это SCMDM, о его зодчестве и необыкновенностях, и еще немножко тронуть вопросцы лицензирования. Разумеется заранее тщетно пытаюсь честно предупреждать – все, о нежели я буду честно говорить, относится к SCMDM 2008 с установленным SP1.

Итак,  что это System Center MobileDeviceManager и для чего же он просто-напросто необходим?

В нашей стране данный продукт, по ряду обстоятельств, относительно считается очень малоизвестным и его распространение часто случается неторопливо, хотя со временем больше компаний прибывает к выводу, что просто-напросто мобильные прибора обязаны:

поддерживать по-своему политические деятели защищенности, обычно относящиеся к трудящимся станциям управляться централизованно обновляться вне зависимости от их текущего местонахождения

и данный факт дозволяет осторожно давать прогноз подъем энтузиазма к постепенно осматриваемой платформе.

На мой взор, более наверняка на вопросец про то, что это MDM, серьезно отвечает определение, скоро приведенное в документации по продукту: основной задачей MDM относительно считается существо таковой текстуры, в какой приспособления на базе Windows Mobile часто становятся в целом обязательной долею ИТ-инфраструктуры организации, всецело соответствующие ее притязаниям по управлению и аутентификации. Однако, платформа Windows Mobile резонно считается образцовой для довольно-таки аналогичного решения, а способности MDM разрешают устроить ее наиболее попросту управляемой и отчасти не опасной.

В этот эпизод на базаре существует довольно большое количество решений по управлению мобильными приспособлениями – к примеру BlackBerry от RIM или же Afaria от Sybase. Во всяком случае так что все-таки дозволяет окончательно выделить SCMDM из этого всего разнообразия? На данное есть немного обстоятельств:

При работе с корпоративной сетью устройство применяет т.н. MobileVPN на базе IPSec, что значит присутствие очень не опасного канала для передачи этих меж приспособлением и остальными узлами в сети фирмы. Быть может так ведь По-особенному у мобильных юзеров четко появляется вероятность глубоко трудиться с этими сервисами как OCS, ExchangeServer, SharePoint, иными бизнес-приложениями в отсутствии их публикации в сети Интернет. Управление приспособлениями с помощью шаблонной консоли GroupPolicyManagement. Наконец, при инициализации устройства стают долею столь корпоративного домена и управление ними часто случается с помощью шаблонных просто-напросто массовых слишком политический деятель. Кажется, политики добросовестно представлены часто повторяющий вид очень-то обыкновенного шаблона ADM, импортируемого в шаблонную консоль GPMC, и вначале содержащего наиболее 125 характеристик. Надеюсь при потребности, администратор быстро сможет прописать довольно-таки собственный шаблон, небрежно добавив в него воистину нужные ему характеристики. Для распространения прибавлений на прибора MDM применяет WindowsServerUpdateServices (WSUS), что значит по-человечески обыкновенный и взаправду удачный для основной массы админов интерфейс. Таким образом, устройства крайне имеют все шансы быть сгруппированы или вручную админом, или автоматом посредством в целом массовых очень политический деятель (т.н. targeting). Т.к. для сохранения инфы о приспособлениях MDM применяет MSSQLServer, то применяют по-человечески типовой инструментарий для возведения докладов. Так вот, так, в SCMDM Resource Kit есть инструмент, с именем Reports, дозволяющий добровольно делать инвентаризационные доклады.

Можно привести также более обстоятельств, дозволяющих добросовестно выбрать в выгоду SCMDM, хотя основные правильно перечислены.

Как становится ясно из приведенного перечня, ИТ-инфраструктура фирмы обязана быть подготовлена к введению MDM и лично иметь совсем конкретные сервисы, которые относительно считаются ему налицо неотъемлемыми, в следствии этого мягко предлагаю честно разглядеть зодчество решения.

При рассмотрении зодчества MDM для начала охото добросовестно отметить, данное применение открытых воистину промышленных стереотипов, в том числе OMA DM, IPSec, IKEv2, MOBIKE, SCOMO, так как непосредственно они сообща с полномочиями, которые превосходно дает платформа Windows Server, дозволяют умышленно сделать слишком сильное и просто масштабируемое решение.

Как и основная масса прогрессивных решений, MDM резонно считается многокомпонентным. Кстати, его главными модулями, либо, так станет верно, ролями, относительно считаются:

MDMDeviceManagementServer – откровенно отвечает за управление приспособлениями, распространение MDMEnrollmentServer– отрицательно отвечает полностью за первичную инициализацию приборов MDMGatewayServer – шлюз, дозволяющий одновременно обеспечить прямо-таки не опасное включение к в целом корпоративной сети

Помимо данного вероятна установка т.н. MDMSelfServicePortal, то есть веб-портала, посредством которого взаправду окончательные юзеры лично имеют все шансы без помощи других самостоятельно исполнять некие из задач. Пожалуй, схематично зодчество MDM быть может добросовестно представлена так:

Как можнож взять в толк из рисунка, к основным необыкновенностям зодчества относятся:

Обязательное присутствие домена Active Directory Обязательное применение центра сертификации (CA) Обязательное внедрение MS SQL Server Обязательное внедрение службы WSUS Размещение сервера с ролью шлюза (MDM Gateway Server) в DMZ Размещение серверов с ролями MDM Enrollment Server и MDM DM Server во внутренней сети Возможность организации включения приспособления, как через сеть довольно-таки сотового оператора, так и посредством точек доступа Wi-Fi

Но, не считая основных вправду строительных необыкновенностей, у MDM еще есть и, выскажемся так, совсем второстепенные. Вероятно, и конкретно они нередко относительно считаются основным ограничивающим моментом при принятии решения о введении продукта. Говорят, вообще, я склонен регулярно думать, что, MDM относительно считается продуктом с слишком великим численностью аспектов, а мягко выражается данное весьма в последующем – нередко при ответе специально на поставленный вопросец туго приходится спокойно потреблять частичку «хотя»… В едином, привожу перечень доп необыкновенностей:

В качестве мобильной платформы для работы SCMDM быть может принята на вооружение только WindowsMobileи лишь версии 6.1 и повыше – данное добровольно соединено с тем, что лишь в данной версии была самостоятельно замечена вероятность ввода приспособления в домен. Установка MDM самостоятельно сможет производиться только на сервера под управлением WindowsServer 2003 x64 с установленным SP2, WindowsServer 2008 не поддерживается. В конце концов, при данном MDM поддерживает работу в лесах и доменах значения 2003 Native и 2008 Native. В общем также поддерживается установка ролей, кроме MDMGatewayServer, В целом на виртуальные машинки под управлением Hyper-V. Наверно, центр сертификации при всем при этом лично имеет возможность пребывать как под управлением Windows Server 2003, но и под управлением Windows Server 2008. К счастью, и весьма очередной эпизод, который обыкновенно устанавливаются, – при установке MDM расширение схемы ActiveDirectoryне делается. При выборе платформы SQL Server нужно было серьезно учитывать, что MDM окончательно трудится c MS SQL Server 2005 с установленным Service Pack не ниже 2, не поддерживает работу с MSSQLServer 2008. В самом деле редакции Express очень-очень аналогично не поддерживаются. При установке MDM, WindowsServerUpdateServicesдолжны быть добросовестно установлены на такой же сервер, что и MDMDMServer. Видимо также добросовестно не рекомендовано применять службы WSUS в конфигурации downstream. Совмещение роли MDMGatewayServer и всех иных ролей невероятно, в следствии этого наименьшее численности серверов, специально назначенных под MDM, приравнивается 2 (2). MDMGatewayServer не поддерживает размещение сзади NAT. MDM поддерживает функцию Enrollment autodiscovery, очень-то подобную autodiscovery в Exchange Server. Действительно она дозволяет посетителю, при инициализации приспособления, чудесно провести поиск MDM Enrollment Server Полностью по доменному суффиксу в UPN юзера. По-видимому так вот, данная функция четко работает на WindowsMobile версии не менее 6.1.4. При применении политический деятель сохранности Exchange ActiveSync и SCMDM, используются или те, или иные. Более того настройка изготавливается на MDM DM Server.

В общем-то, все… Конечно, есть и прочие по-человечески интересные моменты, хотя они добросовестно не оказывают так особенно масштабного воздействия хладнокровно на творимую текстуру. С другой стороны про скоро приведенный перечень могу самостоятельно заявить, что, с моей точки зрения, налицо немалая часть необыкновенностей относительно считается т.н. «ребяческими хворями», то есть продукт еще довольно юн[1], хотя внимание, уделяемое Microsoft данному направлению довольно особенно знаменито, что дозволяет уверенно в будущем незаметно наблюдать на его будущее. Короче говоря, с иной стороны, часть из озвученных ограничений правильно сможет скоро пойти во благо – к примеру, быть катализатором для написания распорядка по применяемым в фирмы моделям приспособлений, за актуальностью которого обязан пристально наблюдать админ системы.

И заключительнее, о нежели тщетно пытался бы прекрасно изложить, из лично имеющего отношение к зодчестве – данное о масштабируемости и отказоустойчивости решения. Напротив тут все просто – при работе SCMDM поддерживает концепцию экземпляров (instance) и значит данное последующее:

В лесу Active Directory самостоятельно сможет быть до сто экземпляров SCMDM Каждый экземпляр сможет содержать менее 16 MDM Gateway Server, при всем этом любой поддерживает до 15 000 приспособлений Каждый экземпляр сможет содержать менее 4 MDM DM Server, при всем при этом любой поддерживает до 15 000 приспособлений[2] Каждый экземпляр имеет возможность содержать менее 4 MDM Enrollment Server, при всем этом любой поддерживает до 25 вполне параллельных инициализаций приборов[2] Каждый экземпляр MDM поддерживает до 60 000 юзеров.

Отказоустойчивость MDM Gateway Server поддерживается средствами DNS, а MDM DM Server и MDM Enrollment Server установкой перед ими аппаратных или по-человечески программных балансировщиков перегрузки. Оказалось, что отказоустойчивость нарочно оставшихся служб поддерживается вправду типовыми для данных служб средствами.

Так, с зодчеством вроде все. Ну что ж следующий вопросец, который обыкновенно поспешно встает – «А как все это действует?». А теперь если упрощенно обрисовать работу MDM, то схема станет смотреться так:

Пользователь получает мобильное приспособление и оповещает про это админа. Администратор исполняет т.н. пре-инициализацию (pre-enrollment), в процессе коей в Active Directory создается запись для приспособления, сопоставляется полностью с учетной записью юзера, генерируется пароль для инициализации (enrollment). Естественно, данная операция быть может делегирована юзеру через MDM Self Service Portal. Стало быть при исполнении этой операции юзер или админ совершенно получает всю информацию, очень-то нужную для инициализации прибора, на экран. В сущности при потребности данная информация быть может продублирована очень-очень на почтовый ящик юзера. Пользователь исполняет инициализацию прибора, в процессе коей приспособление подключается к MDM Enrollment Server и совершенно получает более-менее первичные опции. И все же для проведения этой операции от юзера потребуется самостоятельно знать фамилия или адресок Enrollment Server, UPN в целом собственной полностью учетной записи, пароль для инициализации (который был сгенерирован на двум шаге). Несомненно если поистине наружной DNS лично имеет упорно требуемую для Enrollment autodiscovery запись и приспособление юзера окончательно трудится на платформе Windows Mobile 6.1.4, то от юзера не потребуется самостоятельно показывать фамилия или адресок Enrollment Server. Получив первичные опции, такую как информацию о MDM Gateway Server, приспособление торопливо дает сознательно сделать перезагрузку, после этого подключается к шлюзу с применением Mobile VPN. Следовательно в случае просто-таки удачного включения прибор регулярно получает все по-своему явные столь политическими деятелями опции и изготавливает установку специально назначенного. И действительно интервал следующих включений ориентируется опциями на MDM DM Server. В случае потребности сделать блокировку или его очистку, такое может устроить как админ из консоли управления MDM DM Server, но и юзер с помощью Self Service Portal.

В целом эта схема стабильна и неизменна. Так или иначе более попросту досконально некие эпизоды станут подробно описаны в заметках, приуроченных к установке MDM и распространению на прибора.

И заключительнее, о нежели я тщетно пытался бы поведать – данное лицензирование и ценовая в целом политического деятеля.

SCMDM 2008 предполагается покупать в масштабах Microsoft Volume Licensing и Volume Licensing. Видите ли программа лицензирования относительно считается шаблонной и хладнокровно представляет приобретение серверных и клиентских (или пользовательские, или на приспособление) лицензий. По крайней мере цены, скоро приведенные на вебсайте Microsoft, правосудны для успешно Соединенных Штатов и крайне имеют все шансы немного выделяться от добросовестно наличествующих у нас. Оказывается из в общем-то отличительных черт – можнож самостоятельно приобрести серверную лицензию SCMDM совместно с лицензией на SQL Server 2005, хотя при всем этом SQL Server применяют лишь для дел SCMDM.

На данном я пытался бы завершить вводную часть, посвященную SCMDM 2008, и пожелать всем более-менее приятного знакомства с сиим напросто занимательным продуктом. Тем не менее тем, кому стало любопытно и кто робко попытается сам понаблюдать на MDM, развернув его на щите весьма в собственной фирмы, могу охотно отдать значимый совет – при работе со интегрированной справкой, страничкой SCMDM на TechNet и вполне продуктовыми гайдами – ужасно проверяйте всю информацию меж этими источниками. Собственно как хладнокровно продемонстрировала практика – интегрированная справка в SCMDM 2008 SP1 фактически не обновилась со лет SCMDM RTM, а конфигураций там вправду огромное количество, на страничке SCMDM на TechNet обстановка немного лучше, хотя все одинаково не вся информация очень-очень достоверна. И в самом деле наиболее доверенным источником мне стали управления по продукту, которые возможно скачать с TechNet сообща по-хорошему с пробной версией продукта.

[1] SCMDM 2008 RTM стал 1 версией продукта и отлично вышел в начале февраля 2008 года, а SP1 комично возник в начале декабря такого же года.

[2] В каких-либо документах приводятся иная цифра – до 6 MDM DM Server и до 2 MDM Enrollment Server. Между прочим добросовестно проверить на практике отточенность еще долго не довелось, хотя в случае чего, лично имейте ввиду.

Этой заметкой я начинаю цикл, посвященный платформе Mobile Device Manager (MDM) из рода System Center.  В него зайдут заметки, приуроченные к вопросцам установки, опции и помощи данного продукта. Наоборот и в 1 из их я честно желаю красиво изложить про то, что это SCMDM, о его зодчестве и необыкновенностях, а еще чуть-чуть тронуть вопросцы лицензирования. Мало того заранее внимательно желаю честно предупреждать – все, о нежели я буду повествовать, относится к SCMDM 2008 с установленным SP1.

Итак,  что это System Center MobileDeviceManager и для чего же он по-особенному необходим?

В нашей стране данный продукт, по ряду первопричин, относительно считается очень-то малоизвестным и его распространение часто случается неторопливо, хотя со временем больше компаний прибывает к выводу, что вполне мобильные приспособления обязаны:

поддерживать в общем-то политические деятели сохранности, обычно относящиеся к трудящимся станциям управляться централизованно обновляться вне зависимости от их текущего местонахождения

и данный факт дозволяет самостоятельно давать прогноз подъем энтузиазма к окончательно осматриваемой платформе.

На мой взор, более наверняка на вопросец про то, что это MDM, серьезно отвечает определение, скоро приведенное в документации по продукту: основной задачей MDM резонно считается творение таковой текстуры, в какой прибора на базе Windows Mobile ужасно становятся мало-мальски обязательной долею ИТ-инфраструктуры организации, всецело соответствующие ее притязаниям по управлению и аутентификации. Короче, платформа Windows Mobile резонно считается совершенной для сходственного решения, а способности MDM разрешают устроить ее наиболее столь управляемой и воистину не опасной.

В этот эпизод на базаре существует довольно немало решений по управлению мобильными приборами – к примеру BlackBerry от RIM либо Afaria от Sybase. По правде говоря, так что все-таки дозволяет тщательно выделить SCMDM из этого всего обилия? На данное есть немного первопричин:

При работе с корпоративной сетью устройство примет на вооружение т.н. MobileVPN на базе IPSec, что значит присутствие поистине не опасного канала для передачи этих меж приспособлением и остальными узлами в сети компании. А кроме того так ведь Поистине у мобильных юзеров четко появляется вероятность немедленно действовать с таковыми сервисами как OCS, ExchangeServer, SharePoint, иными бизнес-приложениями в отсутствии их публикации в сети Интернет. Управление приборами посредством обычной консоли GroupPolicyManagement. Одним словом при инициализации устройства стают долею налицо корпоративного домена и управление ними часто случается посредством шаблонных очень-то массовых мало-мальски политический деятель. Судя по всему политики самостоятельно представлены торопливо повторяющий вид напросто простого шаблона ADM, импортируемого в стереотипную консоль GPMC, и исконно содержащего наиболее 125 характеристик. К тому же при надобности, администратор лично имеет возможность прописать попросту собственный шаблон, поспешно добавив в него по-хорошему нужные ему характеристики. Для распространения прибавлений на приспособления MDM примет на вооружение WindowsServerUpdateServices (WSUS), что значит мало-мальски обычный и по-старому удачный для основной массы админов интерфейс. Не правда ли устройства лично имеют все шансы быть сгруппированы или вручную админом, или механически с помощью отчасти массовых столь политический деятель (т.н. targeting). Т.к. для сохранения инфы о приспособлениях MDM примет на вооружение MSSQLServer, то применяют стереотипный инструментарий для возведения докладов. Как ни странно так, в SCMDM Resource Kit есть инструмент, с именем Reports, дозволяющий сознательно творить инвентаризационные доклады.

Можно привести а также более обстоятельств, дозволяющих самостоятельно выбрать в выгоду SCMDM, хотя основные долго перечислены.

Как становится ясно из приведенного перечня, ИТ-инфраструктура компании обязана быть подготовлена к введению MDM и крайне иметь по-человечески явные сервисы, которые относительно считаются ему слишком неотъемлемыми, потому добровольно предлагаю уверенно разглядеть зодчество решения.

При рассмотрении зодчества MDM для начала охото самостоятельно отметить, данное внедрение открытых в общем-то промышленных стереотипов, в том числе OMA DM, IPSec, IKEv2, MOBIKE, SCOMO, так как непосредственно они сообща с вероятностями, которые осторожно дает платформа Windows Server, дозволяют скоро сделать столь сильное и с легкостью масштабируемое решение.

Как и большая часть идущих в ногу со временем решений, MDM относительно считается многокомпонентным. Допустим его главными модулями, либо, так станет адекватно, ролями, относительно считаются:

MDMDeviceManagementServer – серьезно отвечает за управление приборами, распространение MDMEnrollmentServer– спокойно отвечает довольно-таки за первичную инициализацию приспособлений MDMGatewayServer – шлюз, дозволяющий одновременно обеспечить поистине не опасное включение к более-менее корпоративной сети

Помимо данного вероятна установка т.н. MDMSelfServicePortal, то есть веб-портала, с помощью которого совсем окончательные юзеры лично имеют все шансы без помощи других самостоятельно исполнять некие из задач. Удивительно, что схематично зодчество MDM быть может хладнокровно представлена так: