Автоматизация, настройка и совершенствование процедур развертывания RIS
В статье "Осваиваем службу Remote Installation Services" (Windows 2000 Magazine/RE, №2, 2001) я рассказывал об основных этапах установки серверов и клиентов Microsoft Remote Installation Services (RIS) и важнейших функциях управления RIS, таких как добавление серверов и образов. Однако чтобы в полной мере использовать возможности RIS, необходимо расширить сферу управления и создать специализированные процедуры развертывания. Разработчиками Microsoft предусмотрено несколько способов подготовки таких процедур.
УПРАВЛЕНИЕ ФАЙЛАМИ ОТВЕТОВ RIS
Каждая технология развертывания Windows 2000 может использоваться самостоятельно, но лучше их объединить. Например, файлы ответов (answer files), применяемые для автоматической установки, могут использоваться для автоматизированных операций RIS. Файлы ответов - это текстовые файлы, связанные с типовыми процедурами установки Windows 2000 (программами установки winnt или winnt32) через параметр /U:answerfile. В файле ответов, который можно создать вручную или с помощью утилиты Windows 2000 Setup Manager (setupmgr.exe в папке \support\tools на компакт-диске с Windows 2000), содержатся ответы на вопросы, задаваемые программой инсталляции Windows 2000 Setup в ходе автоматизированной установки. Файлы ответов можно использовать не только для стандартных процедур установки Windows 2000. С помощью RIS можно автоматически подготовить файл ответов для каждого нового образа операционной системы, размещаемого на сервере.
По умолчанию, Windows 2000 дает файлу ответов для каждого образа RIS название ristndrd.sif, а формат файла ответов RIS похож на формат стандартных файлов ответов автоматизированной установки. Файл ristndrd.sif для образа RIS находится в подпапке \i386\templates главной папки образа. Например, если папка RIS-образа находится на диске D сервера в папке образа win2000.pro, то файл ristndrd.sif для этого образа будет размещен в папке с именем \remoteinstall\setup\english\images\win2000.pro\i386\templates.
Чтобы подготовить специализированную процедуру установки RIS, следует изменить ristndrd.sif или создать дополнительные файлы ответов RIS. Можно также воспользоваться утилитой Windows 2000 Setup Manager для настройки файлов ответов RIS для конкретного случая. В одном из первых диалоговых окон утилиты требуется указать, для установки какого продукта предназначен создаваемый файл ответов. Как показано на Экране 1, в качестве одного из вариантов предлагается Remote Installation Services. Если администратор намерен использовать для настройки файла ответов RIS утилиту Setup Manager, необходимо выбрать этот вариант, так как файл ответов RIS содержит параметры, отсутствующие в файлах ответов других типов. Создавая файл ответов RIS вручную, нужно убедиться, что файл содержит следующие параметры (употребление прописных букв должно точно соответствовать примеру):
[data]
floppyless = "1"
msdosinitiated = "1"
OriSrc = \\%SERVERNAME%\RemInst %INSTALLPATH%\%MACHINETYPE%
OriTyp = "4"
LocalSourceOnCD = 1
[SetupData]
OsLoadOptions = "/noguiboot
/fastdetect"
SetupSourceDevice = "\Device LanmanRedirector\%SERVERNAME% RemInst\%INSTALLPATH%"
Вновь созданный файл ответов необходимо связать с RIS-образом. Для этого требуется выполнить следующие действия:
2. В левой панели щелкните правой кнопкой мыши на RIS-сервере, содержащем образ, связанный с файлом ответов, и выберите пункт Properties.
3. На закладке Remote Install диалогового окна Properties щелкните на кнопке Add, чтобы запустить мастер Add Image Wizard.
4. Выберите пункт Associate a new answer file to an existing image (связать новый файл ответов с существующим), как показано на Экране 2, и щелкните Next.
5. Следующее диалоговое окно служит для выбора месторасположения файла ответов, который может быть эталонным файлом ответов образа Windows, файлом на другом RIS-сервере или где-либо еще. Укажите источник и файл ответов и щелкните Next.
6. Мастер выводит на экран список образов на RIS-сервере. Из списка выберите образ, который следует связать с файлом ответов, и щелкните на кнопке Next.
7. В открывшемся диалоговом окне введите описательное имя для данной комбинации образа и файла ответов, и нажмите Next.
8. В завершающем диалоговом окне можно увидеть и подтвердить параметры, выбранные на предыдущих этапах. Если параметры корректны, щелкните на кнопке Finish.
В результате этих действий в меню RIS-образов на сервере появляется новый образ, а выбранный файл ответов копируется в подпапку образа \i386\templates.
ЗАДАНИЕ КЛЮЧЕЙ КОМПАКТ-ДИСКА
Возможно, для того, чтобы полностью автоматизировать процесс развертывания с помощью RIS, к файлам ответов потребуется добавить ключ установки для компакт-диска, поскольку в стандартном файле ответов ristndrd.sif таких ключей нет. Ключи компакт-диска необходимы при покупке Windows 2000 в розницу и в OEM-инсталляциях. Обладатели Windows 2000 Select CD-ROM могут о ключах установки не беспокоиться.
Ключи компакт-диска указываются в поле ProductID раздела [UserData] файла ответов RIS, как показано в следующем примере (где x - целочисленные значения ключа):
[UserData]
ProductID = "xxxxx-xxxxx-xxxxx-xxxxx-xxxxx"
Данное поле называется ProductID (вместо CDkey), но Windows 2000 использует поле ProductID из раздела [UserData] в качестве инсталляционного ключа для только компакт-диска, а для каждого экземпляра, созданного с помощью RIS-образа, генерирует уникальный идентификатор продукта. Такая информация в файле ответов должна быть, так как в этом случае Windows 2000 не запрашивает у пользователя ключа для компакт-диска.
После того, как файл ответов, предназначенный для использования с RIS-образом, был создан или изменен, необходимо связать дополнительные файлы ответов с образом так, чтобы служба RIS использовала их в процессе развертывания. По умолчанию, с каждым RIS-образом связан файл ответов ristndrd.sif. Мастер Client Installation Wizard предлагает данную комбинацию RIS-образа и файла ответа в качестве варианта пользователям, выполняющим установку с данного RIS-сервера. Комбинация RIS-образа и файла ответов создается в процессе выполнения девяти операций, описанных в предыдущем разделе статьи. Когда с образом связывается еще один (отличный от принимаемого по умолчанию) файл ответов, на сервере появляется дополнительный вариант образа. Данный вариант инсталляции будет внесен в список образов на сервере под закладкой Remote Install оснастки Active Directory Users and Computers и в меню выбора образа, предоставляемого клиенту мастером Client Installation Wizard. Так, если с образами на сервере связано множество различных файлов ответов, то сервер может содержать несколько папок образов, а меню образов будет состоять из многих пунктов.
Файлы ответов можно связать лишь с RIS-образами, генерируемыми на основе компакт-диска или дистрибутива на диске. Файлы ответов не могут использоваться с образами, созданными с помощью утилиты RIPrep. Более подробно о RIPrep рассказано в статье "Осваиваем службу Remote Installation Services".
НАСТРОЙКА CLIENT INSTALLATION WIZARD
С помощью объектов групповых политик (Group Policy Object - GPO) можно назначать политики RIS, которые определяют пользователей и группы, имеющие доступ к тем или иным вариантам меню мастера Client Installation Wizard, предоставляемого пользователям в процессе установки. Для назначения политики RIS можно воспользоваться следующим методом:
2. На закладке Group Policy диалогового окна Group Policy Object Links выберите объект GPO, к которому следует добавить параметры политики RIS, и щелкните Edit. В результате этой операции откроется консоль управления Group Policy Editor в контексте выбранного домена. Принимаемая по умолчанию политика домена называется Default Domain Policy Object, ее можно сохранить на уровне домена, узла или организационной единицы (OU).
3. В левой панели консоли щелкните на пунктах User Configuration, Windows Settings, Remote Installation Services.
4. Дважды щелкните на пиктограмме Choice Options, появляющейся в правой панели.
5. В диалоговом окне Choice Options Properties, показанном на Экране 3, установите политики для каждого настраиваемого режима мастера Client Installation Wizard: Automatic Setup, Custom Setup, Restart Setup и Tools. В каждом случае предоставляются на выбор следующие варианты:
Возможности настройки большинства параметров мастера RIS Custom Installation Wizard весьма разнообразны; однако подробный рассказ о них выходит за рамки данной статьи. RIS-сервер хранит все меню Custom Installation Wizard в файлах с расширением <.osc>; для описания полей ввода и отображения информации на экране в меню используется HTML-подобный язык разметки, называемый OSCML. Редактируя .osc-файлы, можно изменить вид меню на экране или запросить у пользователя специальную информацию через поля ввода, и задействовать собранные данные для управления и настройки автоматизированных процедур RIS-установки.
ПРЕДВАРИТЕЛЬНЫЙ ВЫБОР RIS-СЕРВЕРА
Администратор может заранее выбрать RIS-сервер для обслуживания запросов конкретного клиента. Данная возможность особенно полезна, если необходимо, чтобы на запрос клиента откликнулся определенный сервер, на котором хранится необходимый клиенту образ. Для этого перед установкой клиента с помощью RIS нужно создать для клиента учетную запись компьютера в Active Directory (AD). В этой учетной записи указывается уникальный ID, идентифицирующий клиента и сервер.
Как уникально идентифицировать машину? Большинство PC98- и NetPC-совместимых машин имеют глобальный уникальный ID (GUID), отображаемый на экранах настройки BIOS. Если создать учетную запись компьютера и связать ее с клиентским GUID и RIS-сервером, то при загрузке клиента из сети с использованием BIOS, поддерживающим PXE (Preboot Execution Environment), будет автоматически установлена связь клиента с RIS-сервером.
Для подготовки RIS-клиента и выбора конкретного RIS-сервера для обслуживания данного клиента можно применить следующий метод:
2. На закладке Remote Install диалогового окна Properties клиентского объекта (для доступа к которому следует щелкнуть правой кнопкой мыши на имени клиентского компьютера и выбрать пункт Properties), укажите в текстовом поле Remote Installation server имя RIS-сервера, который должен обслуживать клиента. На Экране 4 приведен пример клиентской закладки Remote Install. Она отличается от закладки на объекте "компьютер", представляющем RIS-сервер.
3. В текстовом поле Computer`s unique ID введите GUID клиента. GUID можно указать в одном из двух форматов: форматированном для печати ("pretty-print format") и последовательности байтов ("raw-byte order"). Выбор формата зависит от представления номера в BIOS клиентского ПК. В более удобном для чтения формате GUID заключен в фигурные скобки (например, {12345678-1234-12341234567890AB}). В формате последовательности байтов текста нет, и используется обратный порядок вывода пары байтов (например, 78563412341234112341234567 890AB).
Большинство проблем с предварительным выбором RIS-сервера возникает в результате ошибок при вводе GUID. Эти числа следует вводить аккуратно, и если не удается установить связь, в первую очередь нужно проверять поле GUID.
ЗАЩИТА RIS-ОБРАЗОВ
В RIS имеется несколько функций защиты, с помощью которых администратор может определить, какие пользователи получают право доступа к тем или иным RIS-серверам сети и тем или иным образам на сервере. Например, в статье "Осваиваем службу Remote Installation Services" рассказано, как настроить RIS-сервер на установку образов на клиентах, не авторизованных в AD. По умолчанию, клиенты должны быть аутентифицированы в процессе установки, выполняемой мастером Client Installation Wizard.
Еще одна возможная мера защиты относится к использованию файлов ответов RIS (ristndrd.sif), которые Windows 2000 создает и использует по умолчанию для всех RIS-образов, кроме образов RIPrep. Списки управления доступом (ACL) можно назначить для индивидуальных файлов ответов в каждой папке образа. Эти параметры определяют, сможет ли пользователь, запустивший Client Installation Wizard, использовать конкретный образ. Чтобы защитить образы таким способом, следует назначить списки ACL для каждого файла ответов, щелкнув правой кнопкой мыши на файле, выбрав пункт Properties и отредактировав ACL файла. Нужно удалить элемент управления доступом (access control entry - ACE) для группы Everyone и ввести разрешение Read для каждой группы или пользователя, имеющего права доступа к образу. Файлы ответов, связанные с каждым образом, хранятся в подпапке \i386\templates каждой папки образов. Обратиться к этим папкам можно с RIS-сервера или через сеть по UNC, указывающему на общий каталог RemInst на RIS-сервере.
РАЗВЕРТЫВАНИЕ СЕРВЕРОВ С ИСПОЛЬЗОВАНИЕМ RIS
Один из самых досадных недостатков технологии RIS - возможность развертывания исключительно образов Windows 2000 Professional. Первоначально разработчики обещали обеспечить развертывание Windows 2000 Server, но впоследствии этим обещанием пренебрегли. К сожалению, так как многие сетевые администраторы могли бы использовать RIS для развертывания серверов.
Однако можно без труда заставить RIS создавать образы и развертывать на удаленных машинах Windows 2000 Server, Windows 2000 Advanced Server и Windows 2000 DataCenter Server. Чтобы обмануть RIS и воспользоваться ее технологией для развертывания Windows 2000 Server (или другого продукта серверного семейства), следует скопировать папку \i386 с установочного компакт-диска на жесткий диск. Рекомендуется заодно установить в папку дистрибутива и новейший пакет исправлений Windows 2000. О том, как это сделать, рассказывается в статье "Осваиваем службу Remote Installation Services". Затем следует отредактировать файл txtsetup.sif, размещенный на жестком диске в папке \i386 вместе с инсталляционными файлами. Для этого нужно воспользоваться текстовым редактором и отыскать ключевое слово ProductType, находящееся в строке вида
ProductType = x
как показано на Экране 5. Необходимо изменить значение данного параметра на 0; такое значение указывает операционной системе, что это инсталляция Windows 2000 Pro. Затем нужно создать следующий образ RIS на основе этой измененной папки дистрибутива на жестком диске. Дав новой папке с образом название и описательное имя, следует отредактировать папку дистрибутива на жестком диске и вернуть параметру ProductType исходное значение. Теперь новый образ сервера готов для запуска на RIS-клиентах.
В документации Microsoft этот прием описан не очень подробно (он упоминается лишь один раз в статье "How to Create a Remote Installation Share for Windows 2000 Server"), и компания официально не рекомендует использовать данную процедуру. Поэтому при работе с компьютерами Windows 2000, созданными таким методом, на помощь службы Microsoft Product Support Services (PSS) Server не рассчитывайте.
Набор инструментов управления RIS далек от совершенства, для него нет даже собственной оснастки MMC. Кроме того, хотя возможности развертывания и настройки на конкретное применение RIS довольно велики, их описание в оперативных документах Windows 2000 Server нельзя назвать удачным. Поэтому не всегда ясно, как наиболее эффективно использовать возможности RIS. Однако приемы, описанные в данной статье, позволят с большей пользой задействовать RIS в сети.
Шон Дейли - один из редакторов журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет сертификат MCSE. Последней из его книг была "Optimizing Windows NT", выпущенная издательством IDG Books. С ним можно связаться по адресу: sean@ntsol.com.