В мае 2001 г. компания Microsoft выпустила долгожданный пакет исправлений Service Pack 2 (SP2) для Windows 2000. 549 исправленных ошибок распределены по 15 категориям (список приведен в Таблице 1). Хотя между исправленной ошибкой и новой функцией трудно провести четкую границу, представители Microsoft утверждают, что SP2 почти не расширяет функциональные возможности операционной системы. Большинство новшеств предназначено для замены поправок, которые можно было получить через службу Microsoft Product Support Services (PSS) до выпуска SP2. Чтобы читателям не тратить время на чтение всех 549 документов, я выделила самые важные исправления (о том, как приобрести SP2, рассказывается во врезке «Где найти SP2?»). В SP2 появились многочисленные специальные аппаратные исправления для подсистем питания, видео и DVD в портативных и настольных компьютерах компаний Toshiba, Dell, Compaq, Gateway и IBM; обновленный драйвер AGP для набора микросхем RCC HE фирмы ServerWorks; усовершенствованный драйвер SCSI. В новом пакете исправлений реализована поддержка дисков ATA-100 (Mode 5); драйвер OHCI1394, освобождающий память; USB-драйвер, исключающий отсутствующие устройства. В SP2 решены многие проблемы кэша, переноса зоны в DNS и тиражирования Acrive Directory (AD); ошибки резервного копирования и восстановления данных; изъяны процедур аутентификации, использования пароля и блокировки учетной записи; нарушения прав доступа в lsass.exe и services.exe; проблемы назначения и понижения роли контроллеров домена (DC) Windows 2000. Кроме того, усовершенствована служба репликации файлов (File Replication Service, FRS): в частности, повышена надежность связи в сетях, в которых центральный узел соединен с большим числом периферийных узлов через медленные линии (например, каналы 64 Кбит/с), переработаны механизм регистрации событий FRS и утилита для диагностики и устранения неисправностей ntfrsutil.exe.
В области сетевых технологий исправлены многие ошибки, связанные с работой WINS и DHCP; число DHCP-серверов в сети более не ограничивается 850. Устанавливая некоторые заплаты сервера DHCP, необходимо вручную отредактировать реестр, чтобы активизировать обновленные функции. Описание необходимых изменений приведено в статье Microsoft «Dynamic Host Configuration Protocol Server Management Issues In Windows 2000» (http://support.microsoft.com/support/ kb/articles/q297/8/47.asp).
После установки SP2 операционная система перестанет зависать при активизации режима аудита объектов и будет выполнять командные файлы для перенаправления ввода или вывода, не создавая ситуаций с нарушением прав доступа. Кроме того, благодаря мелким исправлениям, операционная система верно вычисляет размер реестра, позволяет загрузчику Windows NT Loader (NTLDR) загрузить фрагментированные базы данных реестра; исключает редкий, но опасный конфликт ntdll.dll и утечку памяти при работе dfssvc.exe. Несколько заплаток для программы NT Backup корректируют процессы архивирования и восстановления баз данных Microsoft Exchange 2000 Server.
И, наконец, пакет исправлений был бы неполным без средств защиты от несанкционированного доступа и появления «голубых экранов смерти». Устранены причины сбоев, вызываемые disk.sys, serial.sys, fastfat.sys, dlc.sys, и известная ошибка, связанная с кодом 0x1e, которая может проявиться в начале процесса репликации на всех серверах Windows 2000 в одном домене.
SP2 и безопасность
В марте 2001 г. разработчики обнаружили, что из-за ошибочной нумерации версий файлов в некоторых модулях коррекции системы безопасности одна из 26 заплат может заменить текущий файл более ранней его версией. Чтобы исправить эту ошибку, специалисты Microsoft создали файл sp2.cat, со списком новых номеров для заплат с неправильными номерами версий файлов. Данный файл входит в состав SP2, поэтому перед модернизацией администратору не придется устанавливать автономный sp2.cat. После инсталляции SP2 можно быть уверенным, что все файлы в выбранной группе заплат представлены последними версиями.
Вместе с SP2 поставляется 30 заплат, опубликованных Microsoft начиная с декабря 2000 г. Из длинного списка исправлений для системы безопасности, выпущенных с января 2001 г., следует выбрать исправления, напрямую влияющие на функционирование сети. Загрузив модули коррекции из сети, те из них, которые предполагается устанавливать, можно разместить в объединенном каталоге инсталляции вместе с SP2. Используя новый комбинированный метод установки Win-dows 2000, можно одновременно установить SP2, избранные заплаты для исправления ошибок и для системы безопасности (подробнее об основных правилах такой комбинированной установки будет рассказано ниже).
Новые средства технической поддержки
Если полная версия пакета загружена из Internet и нет компакт-диска с SP2, придется загрузить еще три дополнительных файла: обновления для Windows 2000 Support Tools, Microsoft Windows 2000 Resource Kit Deployment Tools и файл с Installation and Deployment Guide. Ссылки на эти файлы даны на домашней странице SP2 (http://www.microsoft.com/windows2000/downloads/ servicepacks/sp2/default.asp). Все три файла есть на компакт-диске с SP2.
В файле для Support Tools содержатся исправления для шести утилит: netdom.exe, nltest.exe, dnscmd.exe, netdiag.exe, dcdiag.exe и dfsutil.exe. Их можно найти в каталоге support на компакт-диске Windows 2000. В Deployment Tools появилась новая версия инструмента Sysprep (версия 1.1). В ней исправлено несколько ошибок Sysprep и уменьшено число образов, которые необходимо создать. Installation and Deployment Guide — исчерпывающий документ, описывающий процедуры модернизации и развертывания пакета SP2.
Подготовка к модернизации
Приступая к установке SP2, необходимо учитывать некоторые особенности пакета. Разрядность ключа алгоритма шифрования Windows 2000 повышается до 128, что обеспечивает гораздо более надежную защиту по сравнению с 56-разрядным алгоритмом. Следует обратить внимание, что, согласно руководству Installation and Deployment Guide, SP2 не увеличивает длину ключа шифрования для хранилища Protected Store. Чтобы закрыть эту лазейку, необходимо получить исправление по адресу: http://www.microsoft.com/technet/ security/bulletin/ms00-032.asp.
После удаления SP2 операционная система сохраняет 128-разрядный алгоритм шифрования. При модернизации Windows 2000 все антивирусные программы следует отключить. В противном случае можно получить ошибочное сообщение о вирусе в файле инсталляции, после чего процедура установки будет остановлена. Прежде чем приступать к модернизации системы, которая играет роль брандмауэра, следует обратиться к поставщику брандмауэра и загрузить любые исправления для этой программы, связанные с установкой SP2. Кроме того, перед началом модернизации, возможно, потребуется отключить работу брандмауэра. Не исключено, что для защиты соединения Internet на время модернизации придется разорвать соединение локальной сети с WAN или задействовать другой брандмауэр, пока не будет успешно модернизирована исходная система.
Каждый, кому приходилось устанавливать пакет исправлений, знает, что процедура Setup всегда предлагает создать каталог uninstall. Устанавливая какой-либо пакет исправлений в первый раз, следует ответить Yes на запрос и создать каталог uninstall. Но если SP2 (или любой другой пакет исправлений) придется устанавливать повторно, следует выбрать ответ No. Если вторично создать каталог uninstall, процедура Setup перепишет файлы пакета SP1 в каталоге uninstall файлами SP2, установленными во время предыдущей попытки модернизации. Если впоследствии пакет SP2 будет удален, то в каталоге uninstall будут находиться только файлы SP2, и возврат к прежней версии операционной системы будет невозможен.
Варианты установки
Существует три метода инсталляции SP2: модернизация (традиционное обновление предыдущей версии Windows), интегрированная инсталляция (одновременная установка операционной системы и пакета исправлений на новой машине) и комбинированный метод (построение единого установочного пакета, в котором объединены SP2, загруженные позже модули коррекции и специализированные драйверы для данного компьютера). После завершения модернизации в файле svcpacl.log в корне системного каталога находится список всех файлов, измененных при установке SP2.
Модернизация. Модернизацию можно выполнить с Web-узла Microsoft или с помощью загруженного из Internet файла c локального накопителя или общего сетевого каталога. Если пакет устанавливается лишь на одной или двух машинах, стоит воспользоваться оперативным режимом модернизации (Express). В этом режиме инициируется процесс оперативной модернизации с Web-узла с SP2. При этом обновляются компоненты, специфичные для платформы, на которой работает модернизируемая система. Если обновляются лишь одна-две системы, то можно сэкономить время и дисковое пространство, используя режим Express, вместо того чтобы загружать и инсталлировать 105-мегабайтный файл.
Если SP2 устанавливается из загруженного файла, то начинать следует с запуска файла w2ksp2.exe с локального или общего сетевого диска. Пакет исправлений можно развернуть (w2ksp2.exe /x) в каталог (например, D:sp2) и потом запустить утилиту update.exe из командной строки. Update находится в каталоге i386update. Чтобы увидеть на экране параметры update.exe, нужно ввести в командной строке:
Update /?
Можно также инсталлировать SP2 на удаленных машинах в домене Win-dows 2000, воспользовавшись службой Windows Installer и сопутствующим файлом описания установки update.msi. Если SP2 был установлен этим способом, то пакет исправлений можно будет удалить и вернуться к прежней версии операционной системы.
Интегрированная инсталляция. Термин «интегрированная установка» используется для обозначения каталога, в котором размещены и операционная система и последний пакет исправлений. В данном случае файлы операционной системы и SP2 устанавливаются одновременно, вместо того чтобы сначала инсталлировать операционную систему, а затем модернизировать ее до уровня SP2. Это самый быстрый способ, позволяющий установить последнюю версию системы на новой машине. Естественно, в таком случае удалить SP2 нельзя, так как файлы пакета исправлений интегрированы с операционной системой (процедура создания интегрированного каталога для установки и Windows 2000 и SP2 описана во врезке «Создание каталога для интегрированной установки»). Подготовив интегрированный каталог, можно скопировать структуру каталогов на компакт-диск, дополнить CD-ROM файлами начальной загрузки и с помощью этого диска установить Windows 2000 SP2 на другой машине. Процедура дистанционного развертывания SP2 на сетевых компьютерах с использованием групповой политики подробно описана в документе Installation and Deploy-ment Guide. Необходимые рекомендации содержатся в сценарии 3, Using Windows Installer Service to Install the Service Pack в разделе Creating an Update Installation.
Комбинированная установка. Комбинированная процедура сочетает в себе интегрированную установку с установкой модулей исправления ошибок и заплат для системы безопасности, обновлением драйверов и файлов, специфичных для аппаратной или программной конфигурации данной машины. Начав работать с интегрированным каталогом, администратор вносит изменения по своему усмотрению. К сентябрю 2001 г. опубликовано более 200 исправлений, отсутствующих в SP2.
Если некоторые из этих исправлений и оперативных заплат системы безопасности незаменимы для функционирования предприятия, их можно ввести в базовый образ, используя метод комбинированной установки. Прежде чем приступить к организации комбинированного каталога установки, следует создать интегрированный каталог установки. Затем необходимо дополнить базовый образ нужными компонентами. Благодаря полученному образу администратору не приходится устанавливать каждое исправление отдельно (подробное описание процедуры создания комбинированного каталога приведено в разделе Combination Installation документа Installation and Deployment Guide).
Необходимое дисковое пространство на машине Windows 2000 Professional для SP2 должно быть не менее 340 Мбайт свободного дискового пространства при установке с общего сетевого диска и 710 Мбайт при установке в режиме Express с Web-узла SP2, локальной установке с загруженного ранее файла или с компакт-диска с SP2. Для каталога uninstall необходимо как минимум 250 Мбайт свободного пространства на диске при новой инсталляции и 380 Мбайт при обновлении SP1. Все свободное пространство должно быть на системном разделе.
На компьютерах с Windows 2000 Server и Windows 2000 Advanced Server необходимо не менее 415 Мбайт дискового пространства, чтобы установить SP2 с общего сетевого диска, и 830 Мбайт для Express-установки с Web-узла, при локальной установке с загруженного ранее файла или с компакт-диска с SP2. Для каталога uninstall требуется не меньше 315 Мбайт и 460 Мбайт — для систем с пакетом SP1.
Если запустить утилиту командной строки Update с параметром -n, каталог uninstall можно не создавать. Если в процессе тестирования выяснилось, что SP2 — стабильная платформа, и администратор не намерен возвращаться к SP1, то можно запретить создание каталога uninstall и сэкономить от 250 до 460 Мбайт дискового пространства на каждой машине. Это следует сделать и при недостатке места на системном разделе.
Развертывание SP2 с помощью Windows Installer
Использовать службу Windows Installer для модернизации программного обеспечения очень просто. Политики на базе компьютера применяются для развертывания программ на машинах внутри контейнера AD, который может соответствовать узлу, домену или организационной единице (OU). Для установки с помощью службы Windows Installer необходимо выполнить следующие действия.
- Открыть оснастку Active Directoey Users and Computers консоли управления Microsoft Management Console (MMC).
- Создать новую OU и назвать ее SP2Upgrade, а затем переместить в нее компьютеры, подлежащие модернизации (например, Work1, Work2).
- Определить update.msi как пакет Windows Installer, в котором содержится вся информация, необходимая службе для установки SP2 в контейнере SP2Upgrade без вмешательства пользователя.
При следующей перезагрузке компьютеров Work1 или Work2 (или любого другого компьютера из организационной единицы SP2Upgrade) служба Windows Installer автоматически запустит процедуру установки SP2. Если администратор решит отказаться от обновления какого-то компьютера, такой компьютер следует вывести из состава SP2Upgrade до первой перезагрузки.
Процесс обновления занимает от 10 до 20 мин в зависимости от скорости процессора, емкости памяти и размера свободного пространства на диске. Начиная удаленную установку SP2, следует оповестить пользователей о предстоящей длительной задержке. После завершения работы Windows Installer можно будет регистрироваться как обычно.
Чтобы узнать, успешно ли установлен SP2, следует в контекстном меню My Computer выбрать пункт Properties и проверить версию операционной системы на закладке General. Или можно запустить из командной строки утилиту Winver. Процесс модернизации SP2 может закончиться неудачей, если на машине недостаточно дискового пространства или было выключено питание после начала процесса модернизации. В таком случае администратор может повторить процедуру, но сначала нужно убрать компьютер из состава SP2Upgrade и перезапустить его. Да-лее следует вернуть компьютер в SP2Upgrade и вновь перезагрузить его для начала процесса установки SP2.
Когда требуется повторная установка SP2?
В большинстве случаев функция Windows File Protection (WFP) в составе Windows 2000 исключает необходимость повторного применения пакета исправлений. Как правило, пакет исправлений не приходится переустанавливать после добавления или удаления компонентов или служб операционной системы. SP2 добавляет второй файл .cab, в котором содержатся все драйверы, измененные после выхода SP1. При переходе к SP2 автоматически обновляются все загруженные драйверы. Если впоследствии будет добавлено новое аппаратное устройство, то Windows 2000 отыскивает драйвер в обновленном файле драйверов sp2.cab и устанавливает последнюю версию (если она есть). Если в sp2.cab нет нужного драйвера, то он инсталлируется из первоначального файла .cab.
Важное исключение из этого прави-ла — восстановление системы после сбоя с помощью утилиты Emergency Repair Disk (ERD). Если выполняется восстановление файлов в корневом системном каталоге, а каталог восстановления обновлен не был, программа восстановления может перезаписать файлы SP2 файлами более ранней версии. Чтобы все компоненты операционной системы принадлежали к последней версии, после использования ERD необходимо повторно инсталлировать SP2.
Что дальше?
SP2 — исчерпывающий пакет модернизации, но следует помнить, что после его появления было документировано еще 200 ошибок. Список новых исправлений можно найти по адресу: http://support.microsoft.com/support/servicepacks/ windows/2000/win2000_post_sp2_hotfixes.asp. Если запланировано крупномасштабное развертывание SP2, то модернизацию можно провести после того, как будут выявлены все ошибки и уязвимые места, и устранить все проблемы в процессе комбинированной установки.
Шквал обновлений чрезвычайно затрудняет создание надежного базового образа для рабочих станций, серверов и контроллеров домена. Справиться с непрерывным потоком изменений помогут комбинированный и интегрированный методы модернизации систем.
Паула Шерик - редактор Windows 2000 Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. Ее адрес: paula@win2000mag.com.
Где найти SP2?
Базовая страница Windows 2000 Service Pack 2 (SP2) — http://www.microsoft.com/windows2000/ downloads/servicepacks/sp2/default.asp. Нужную языковую версию можно загрузить по адресу: http://www.microsoft.com/windows2000/ downloads/servicepacks/sp2/sp2lang.asp. Размер английского загружаемого файла велик (101 Мбайт), а в распакованном виде еще больше — 120 Мбайт. В Microsoft можно заказать SP2 на компакт-диске. В четырех документах содержится описание SP2 по категориям:
- List of Bugs Fixed in Windows 2000 Service Pack 2 (1 of 4) по адресу: http://support.microsoft.com/support/ kb/articles/q282/5/22.asp. Содержит описание исправлений, улучшающих совместимость с прикладными программами, базовой операционной системой и службой каталогов;
- List of Bugs Fixed in Windows 2000 Service Pack 2 (2 of 4) по адресу: http://support.microsoft.com/support/ kb/articles/q282/5/24.asp. Содержит информацию о поправках для Microsoft Internet Information Services (IIS) 5.0; почты, утилит управления и администрирования; Microsoft Data Access Components (MDAC) и Microsoft Message Queue Services (MSMQ);
- List of Bugs Fixed in Windows 2000 Service Pack 2 (3 of 4) по адресу: http://support.microsoft.com/support/ kb/articles/q282/5/25.asp. Содержит описание всех исправлений функций печати и организации сетевого обмена;
- List of Bugs Fixed in Windows 2000 Service Pack 2 (4 of 4) по адресу: http://support.microsoft.com/support/ kb/articles/q298/1/93.asp. Содержит список исправлений в системе безопасности, а также изменений для процедуры установки, графической оболочки и Windows 2000 Server Terminal Services.
Создание каталога для интегрированной установки
Процедура построения интегрированного каталога для установки Windows 2000 Service Pack 2 (SP2) на новой машине проста. В данном примере использованы четыре каталога:
- C: emp содержит упакованный загружаемый файл SP2;
- C:sp содержит распакованную версию SP2 (этот каталог можно взять и с компакт-диска с SP2);
- D:i386 — каталог i386 представляет собой компакт-диск с Windows 2000;
- E:w2ksp2 — создаваемый интегрированный каталог.
В командной строке следует ввести:
c: empw2ksp2.exe /x
чтобы распаковать SP2 в каталог C:sp. С помощью команды
md e:w2ksp2
создается интегрированный каталог. Команда
xcopy d:i386 e:w2kSP2i386 /e
позволяет копировать содержимое с компакт-диска с Windows 2000 в каталог SP2. Наконец, следует скопировать SP2 в интегрированный каталог:
c:spupdateupdate.exe -s:e:w2ksp2