Никто уже не спорит, что мобильные устройства меняют облик предприятий. В наше время практически у каждого есть смартфон, а планшетные компьютеры в этом году сделали фурор на выставке Consumer Electronics Show. Хотя мобильные устройства практически полностью стали мейнстримом, в корпоративных сетях сохранилось определенное отставание, которое все еще надо наверстывать. Одна из самых сложных задач — эффективное управление большим количеством разнообразных мобильных устройств в сети.
Некоторые организации развернули Microsoft Exchange Server единственно из-за наличия приложения ActiveSync, которое нужно для управления мобильными устройствами. Это вполне разумный выход, но Microsoft предлагает решение, более приспособленное для управления мобильными устройствами в корпоративной среде — System Center Mobile Device Manager (MDM) 2008.
Основная задача MDM 2008 заключается в управлении мобильными устройствами так же, как это делается с настольными компьютерами и ноутбуками. Конечно же с учетом того, что мобильные устройства не обладают всеми возможностями настольных компьютеров и ноутбуков. Поэтому MDM 2008 ориентирован на несколько ключевых областей. В частности, он помогает выполнять следующие функции:
- Развертывание приложения
- Управление групповыми политиками
- учет устройств
- удаленная очистка данных при потере или краже устройства.
Архитектура MDM
В MDM 2008 SP1 существуют три роли сервера: Gateway Server, Enrollment Server и Management Server. Ниже приведен краткий обзор этих ролей.
Gateway Server: Эта роль связывает мобильные устройства с внутренней сетью. Он располагается в сети периметра и служит «шлюзом» между мобильными устройствами и внутренней сетью. Поскольку этот се��вер подключен Интернету, Microsoft не рекомендует включать его в домен. Не являясь членом домена, он также не может использовать протоколы NTLM и Kerberos, а также службы Active Directory Domain Services для проверки подлинности мобильных устройств. По этой причине проверка подлинности основана на использовании сертификатов, что требует создать корпоративный центр сертификации.
Management Server Эта роль служит «переводчиком» уже используемых в сети протоколов в протокол OMA DM (Open Mobile Alliance Device Management). Это по существу означает, что Management Server позволяет управлять мобильными устройствами так же, как сейчас управляются компьютеры сети.
Enrollment Server Чтобы управлять компьютерами в корпоративной среде, они должны быть членами домена. Мобильные устройства не могут быть членами домена Windows, как компьютеры, но их можно зарегистрировать в домене. Именно это и делает Enrollment Server.
Развертывание
В первом выпуске MDM 2008 процесс установки был предельно прост. Как только домен подготовлен, все, что нужно было сделать, это запустить мастер установки. Мастером установки по-прежнему удобно пользоваться, но многое изменилось с 2008 года.Соблюдение некоторых из требований для установки может оказаться проблематичным.
Во время недавнего развертывания было несколько проблем, связанных с тем, что мастер установки MDM 2008 не распознал определенные параметры сервера. Далее я расскажу о некоторых проблемах, с которыми вы можете столкнуться при развертывании, и что можно предпринять для их устранения.
MDM 2008 не совместим с Windows Server 2008. Необходимо устанавливать MDM 2008 на Windows Server 2003 или Windows Server 2003 R2. Он поддерживает архитектуры как x86, так и x64, но развертывать средства администрирования легче в 32-разрядной архитектуре.
Если для установки на физические или виртуальные аппаратные средства выбран Windows Server 2003 R2, то при установке могут возникнуть проблемы. Иногда при попытке установить Windows Server 2008 R2 на новые серверы, программа установки терпит сбой с «синим экраном смерти», если в BIOS сервера не отключена поддержка виртуализации сервера и поддержка функции «No Execute». Были также ситуации, в которых возникала аналогичная ошибка, пока BIOS сервера не была настроена для работы контроллера SATA в режим IDE.
Использование виртуального сервера также может вызывать проблемы. На некоторых серверах Hyper-V перезагрузка виртуальной машины (VM) под управлением любой разновидности Windows Server 2003 или Windows Server 2003 R2 всегда приводит к повреждению корневой ветви реестра программного обеспечения. Однако эта ошибка происходит не на всех серверах Hyper-V.
В требованиях указана версия SQL Server 2005 SP2 или выше. Необходимо также использовать полную версию SQL Server (Express Edition не поддерживается). Стоит также отметить, что SQL Server 2008 не поддерживается.
Одним из требований для MDM Device Management Server является установка Windows Server Update Services (WSUS) SP1 (похоже, что WSUS 3.0 SP2 не поддерживается). При попытке развертывания с помощью WSUS 3.0 SP2 установщик отказывается обнаруживать установленный WSUS-сервер.
Пакет утилит Administrative Tools требует запуска на сервере оболочки Windows PowerShell 1.0. Будьте очень осторожны с обновлением сервера MDM 2008. Windows PowerShell 2.0 автоматически устанавливается как часть Windows Management Framework Core Package.
Если этот пакет уже установлен, его можно удалить с помощью апплета «Установка и удаление программ» (Add/Remove Programs) в панели управления. При выполнении этой операции вы получите сообщение о том, что удаление пакета нарушит работу нескольких приложений, в том числе WSUS и IIS. Однако, похоже, что его можно без особых последствий удалить, несмотря на предупреждение.
Наконец, если требуется управлять мобильными устройствами с помощью параметров групповой политики, то придется развернуть Group Policy Extensions как часть компонента Administrative Tools. Это немного сложнее. Потребуется установка консоли Group Policy Management Console (GPMC). К сожалению, консоль не будет работать на 64-разрядных версиях Windows Server 2003.
Существует обходной путь, который позволяет установить консоль GPMC на 64-разрядном сервере, но даже после этого мастер установки MDM 2008 отказывается признать наличие консоли. Таким образом, единственный вариант — создать машину, на которой работает 32-разрядная ОС, и установить консоль на нее.
Для MDM 2008 требуется развернуть в организации корпоративный корневой центр сертификации. Он может располагаться на машине под управлением Windows 2003 или Windows 2008.
Регистрация устройства
После того как MDM 2008 запущен и работает, начать регистрацию мобильных устройств относительно несложно. Чтобы начать процесс предварительной регистрации устройства, откройте консоль System Center Mobile Device Manager и в дереве консоли выберите Mobile Device Manager/(ваш экземпляр MDM 2008)/Device Management/All Managed Devices. Щелкните кнопку Create Pre-Enrollment. Откроется окно Мастера предварительной регистрации (Pre-Enrollment Wizard).
На странице приветствия щелкните кнопку Next. На следующей странице укажите имя устройства, которое нужно зарегистрировать. Можно использовать любое понятное имя, но оно не должно состоять из более чем 15 символов и не может содержать пробелы. В этом окне также можно изменить подразделение, в котором создано устройство, хотя значение по умолчанию обычно вполне подходит.
Щелкните Next (Далее) выберите пользователя Active Directory, которому будет назначено устройство и снова щелкните Next. Откроется страница со сводкой параметров предварительной регистрации. После проверки правильности ввода всех данных щелкните кнопку Create. По окончании процесса откроется окно с соответствующим сообщением (рис. 1).
Рис. 1. После завершения процесса предварительной регистрации можно приступать к добавлению мобильных устройств
В этом окне содержится электронный адрес и пароль регистрации, с помощью которых пользователь должен зарегистрировать свое устройство. Обратите внимание, что электронный адрес и пароль были указаны в сводке параметров для предварительной регистрации.
Процедура регистрации устройства отличается в разных версиях Windows Mobile. Описанный здесь процесс предполагает, что используется Windows Mobile 6.5. Стоит отметить, что в Windows Phone 7 не предусмотрена функция регистрации устройства.
Для регистрации устройства с Windows Mobile 6.5, нажмите на экране кнопку Start. Выберите Settings/Connections. Далее выберите значок Domain Enroll. На экране устройства должна отобразиться сводная информация о регистрации. Щелкните кнопку Enroll и откроется окно для ввода электронного адреса и пароля, созданных мастером предварительной регистрации рис. 2.
Рис. 2. Windows Mobile запрашивает учетные данные для регистрации
Введите эти данные, и устройство попытается найти сервер регистрации. Если ему это не удастся, оно предложит ввести имя сервера на следующей странице. По завершении процесса вы должны увидеть на устройстве сообщение об успешной регистрации (рис. 3).
Рис. 3. Подтверждение успешной регистрации устройства в Windows Mobile
Устройство также должно появиться в окне All Managed Devices консоли System Center Mobile Device Manager (рис. 4), если его там еще нет, возможно, надо обновить окно.
Рис. 4. Новое зарегистрированное устройство в окне All Managed Devices консоли System Center Mobile Device Manager
Развертывание приложения
Консоль Software Distribution в приложении System Center Mobile Device Manager (рис.5) позволяет переносить приложения на мобильные устройства. Для того чтобы сделать это, мобильное приложение должно быть инкапсулировано в пакет. Чтобы создать пакет, последовательно выберите в дереве консоли Software Distribution/MDM/Packages/Software Packages и щелкните кнопку Create. Откроется окно мастера создания пакета (Create Package Wizard).
Рис. 5. Консоль Software Distribution в приложении System Center Mobile Device Manager позволяет упаковывать и развертывать мобильные приложения
Мастер проведет вас через несколько простых шагов, которые позволят упаковать ваше приложение. После этого консоль можно использовать для развертывания пакетов. В консоли даже предусмотрен механизм отслеживания развертывания пакетов.
Управление групповыми политиками
После регистрации устройство в домене Windows им можно управлять с помощью групповых политик. Когда вы установите расширения групповых политик, редактор групповых политик (Group Policy Editor) позволит управлять многочисленными параметрами групповой политики, относящимися к мобильным устройствам. Эти параметры позволяют задавать пароли на устройствах, а также включать и отключать различные функции устройств.
Эти пользовательские параметры групповой политики находятся в разделе User Configuration/Administrative Templates/Windows Mobile Settings. Параметры настройки мобильных устройств вы найдете в разделе Computer Configuration/Administrative Templates/Windows Mobile «Settings».
В случае утери мобильного устройства, зарегистрированного в домене вашей сети, MDM 2008 позволяет выполнить удаленное уничтожение данных. Для этого просто откройте окно All Managed Devices в приложении System Center Mobile Device Manager, щелкните правой кнопкой значок устройства и выберите Wipe Now. Портал самообслуживания позволяет пользователям самостоятельно уничтожать данные на мобильных устройствах.
С ростом количества и постоянно растущим разнообразием мобильных устройств, управление ими может показаться неподъемной задачей. Но, как и в любом другом деле, просто нужно выбрать правильные инструменты для работы.
Дополнительные материалы