Развертывание операционной системы в корпоративной сети — задача непростая. Как правило, сначала в сети организации устанавливают ОС и прикладные программы, и только после этого подпускают к компьютерам пользователей (или поручают техникам обойти рабочие места и установить, а также настроить операционную систему на каждом настольном компьютере в индивидуальном порядке). Некоторые организации при покупке новой системы обращаются к поставщику с просьбой установить требуемую конфигурацию, но это не всегда возможно: ведь крупные корпорации обычно используют не одну, а целый ряд конфигураций. В подобных организациях специалистам по информационным технологиям приходится постоянно заниматься средой пользователей: модернизировать программное обеспечение, удалять его и т. п. Программный модуль Change and Configuration Management (CCM) как раз предназначен для того, чтобы облегчить установку ОС в крупномасштабных сетях.

Поставщики программных и аппаратных средств постоянно работают над созданием механизмов развертывания операционных систем и прикладных программ в корпоративных сетях. Специалисты Microsoft также предложили ряд решений (например, средство автоматической инсталляции, Sysdiff). В системе Windows 2000 реализованы новые средства развертывания и управления, сгруппированные в CCM. Этот комплект средств позволяет разворачивать ОС Windows 2000 Professional.

Средства развертывания ОС Windows 2000 Professional включают службу дистанционной установки Remote OS Installation via the Remote Installation Service (RIS) и подготовки к дистанционной установке Remote Installation Preparation (RIPrep), а также IntelliMirror. Этот инструментарий позволяет администраторам централизованно управлять пользователями Windows 2000 Pro. Средства развертывания и управления Windows 2000 я оценивал на базе третьей бета-версии Windows 2000 build 2031. Желающие ознакомиться с другими новыми возможностями ОС Windows 2000 найдут их описание в статье Марка Минаси «Windows 2000: ожидания и реальность».

Технология Remote OS Installation

Технология Remote OS Installation обеспечивает механизм подключения компьютеров к серверу в процессе загрузки и позволяет пересылать файлы установки системы Windows 2000 Pro на компьютеры сети. При этом в качестве места хранения файлов установки используется компьютер с Windows 2000 Server с установленным пакетом RIS.

Служба RIS обеспечивает процесс сетевой установки Windows 2000 Pro — вместо инсталляции с компакт-диска или заранее подготовленного образа системы Windows 2000 Pro. Точно так же операционная система устанавливается непосредственно на компьютер при выборе пункта Unattended Install (в автоматическом режиме) в меню компакт-диска Windows 2000 Pro. Разница лишь в том, что в первом случае исходные файлы располагаются на сервере Windows 2000 и доступны через сеть. Установка готового образа настольной системы позволяет сетевым администраторам клонировать стандартный для данной корпорации образ настольной системы Windows 2000, дополненный параметрами ОС, индивидуальными настройками и устанавливаемыми локально прикладными программами. Затем клонированный образ сохраняется на тех компьютерах, где установлена Windows 2000 Server. По запросу данный образ загружается на новый компьютер. При этом аппаратные средства нового компьютера могут отличаться от оборудования той машины, на которой администратор создал этот образ. Дело в том, что с помощью предусмотренных в Windows 2000 средств, обеспечивающих работу по принципу Plug-and-Play (PnP), можно модифицировать образы с учетом аппаратных компонентов конкретных машин.

RIS. Служба RIS представляет собой механизм, позволяющий разворачивать Windows 2000 на настольных компьютерах. Делается это так: сначала машины подключаются к RIS-серверу при первоначальной загрузке, затем образ ОС загружается по сети. Сервер RIS — это сервер Windows 2000, который является контроллером домена или членом домена Active Directory (AD). Клиент RIS — это компьютер, допускающий дистанционную загрузку. Клиенты RIS должны быть функционально совместимыми с загрузчиком Preboot Execution Environment (PXE) версии 99c или более поздней, который использует протокол DHCP и является отраслевым стандартом. Соответствие стандарту PXE обеспечивает передачу образов ОС и установку операционной системы по сети.

Если в организации нет компьютеров, соответствующих PXE, можно воспользоваться сетевыми интерфейсными платами PCI, выполняющими некоторые функции PXE boot ROM. Создать диск для дистанционной установки в среде Windows 2000 поможет утилита дистанционной загрузки Remote Boot Floppy Generator (rbfg.exe), хранящейся в папке RemoteInstallAdmin i386. (Более подробно PXE рассматривается во врезке «Архитектура PXE».)

Принцип действия службы RIS прост. Сначала загружается PXE-совместимый клиент RIS. Затем сервер DHCP назначает ему IP-адрес. Кроме того, клиент получает IP-адрес сервера RIS. Отметим, что протокол PXE работает с расширенным DHCP и использует несколько новых управляющих тегов DHCP; обычные функции DHCP выполняются без каких-либо изменений. После активизации клиент PXE запрашивает IP-адрес для себя, а также IP-адрес сервера RIS. Затем регистрируется пользователь, осуществляющий инициализацию этого ПК. Служба AD проверяет полномочия пользователя и предоставляет ему список образов операционной системы и вариантов установки.

Сервер RIS должен иметь доступ к DHCP, а также к службам DNS и AD. Сервер DHCP обеспечивает получение IP-адресов дистанционно инициализируемыми клиентами; сервер DNS указывает на сервер AD, а тот в свою очередь на клиентов и серверы RIS.

Службу RIS можно установить либо в процессе инсталляции Windows 2000 Server, либо позднее, с помощью значка Add/Remove Programs в окне панели управления Control Panel. На диске сервера RIS нужно создать по меньшей мере два раздела, поскольку папку дистанционной установки, куда копируются файлы, нельзя размещать в том же разделе, что и ОС. К тому же эта папка должна храниться на томе NTFS 5.0.

После установки службы RIS следует дать серверу RIS разрешение отвечать на запросы клиентов. Эта процедура аналогична процедуре назначения полномочий серверу DHCP в службе AD. Нужно предоставить права Create Computer Objects тем пользователям, которые будут устанавливать образы операционной системы на машинах клиентов. Эти права предоставляются в модуле Users and Computers службы Active Directory. В открывшемся окне следует щелкнуть правой клавишей мыши на имени домена или организационного блока (organizational unit, OU), где должны создаваться учетные записи компьютеров, и с помощью мастера Delegation of Control назначить права создания объектов типа «компьютер». К сожалению, модификации прав пользователя, произведенные на контроллере домена, вступают в силу только спустя некоторое время. Применить их немедленно можно с помощью команды Secedit. Для этого нужно набрать в командной строке:

secedit /refreshpolicy machine_policy

Чтобы настроить на сервере RIS образ операционной системы, применяемый по умолчанию, следует дать команду

risetup

В результате будет запущен мастер Remote Installation Services Setup Wizard, показанный на Экране 1. Он создает структуру папки дистанционной установки, копирует файлы Windows 2000, формирует файл ответов для автоматической установки и обновляет системный реестр.

ЭКРАН 1. Мастер Remote Installation Services Setup Wizard.

К моменту сдачи номера в печать служба RIS обеспечивала установку только Windows 2000 Pro. В будущем разработчики Microsoft надеются добавить в RIS возможность установки Windows 2000 Server.

RIPrep. Системные администраторы предприятий вот уже несколько лет используют технологии создания образов систем, разработанные независимыми поставщиками. Входящее в состав Windows 2000 инструментальное средство RIPrep помогает формировать образы жестких дисков. С его помощью можно делать копии жестких дисков и сохранять их на сервере. Позднее созданный образ жесткого диска можно будет использовать в качестве шаблона при развертывании Windows 2000 Pro на клиентских компьютерах. RIPrep не позволяет работать с системами, оснащенными несколькими дисками, и с дисками, имеющими несколько разделов. Клиентские компьютеры тоже должны иметь по одному диску с одним разделом. Таким образом, диск C будет и системным, и загрузочным разделом. Исходные и целевые машины могут иметь различные аппаратные компоненты; важно лишь, чтобы на них были установлены идентичные драйверы уровня аппаратных абстракций (HAL drivers). Так, установка образа будет невозможна в ситуации, когда исходный компьютер соответствует спецификации управления конфигурацией и энергопотреблением Advanced Configuration and Power Interface (ACPI), а целевой ПК несовместим с этим стандартом.

Для клонирования образов требуется два компонента: эталонный компьютер и сервер RIS. Эталонный компьютер представляет собой машину, на которой хранится готовый образ жесткого диска; обычно образ включает операционную систему и прикладные программы. Сервер RIS — это сервер Windows 2000, содержащий все файлы образа, необходимые для распределения на клиентах дистанционной загрузки.

RIPrep запускается после настройки эталонного компьютера. Утилита RIPrep.exe размещается в папке ReminstAdmini386 (раньше она находилась в папке RemoteInstall). Мастер RIPrep удаляет идентификатор SID и имя компьютера из обобщенного образа и создает образ для дистанционной установки. Кроме того, утилита удаляет параметры системного реестра, уникальные для данного компьютера. Все это делается для того, чтобы создать образ, не вызывающий конфликтов с другими компьютерами сети.

RIPrep размещает копию образа только на одном сервере RIS, поэтому в больших сетях есть смысл хранить образы на нескольких серверах. Для обеспечения выравнивания нагрузки потребуется средство тиражирования образов на нескольких серверах RIS (это может быть копирование вручную, использование отказоустойчивой структуры Dfs или сервера Microsoft Systems Management Server (SMS)). Перед запуском RIPrep следует тщательно протестировать образ на эталонном компьютере. Настройка и доводка системы Windows 2000 Pro до ее установки на тысячах машин поможет сэкономить массу времени.

Сценарии

У тех, кто знаком с процедурами автоматической установки Windows NT 4.0, использование сценариев в процессе развертывания Windows 2000 не вызовет затруднений. Чтобы автоматизировать процесс инсталляции Windows 2000, нужно создать файл ответов, где будут содержаться ответы на вопросы, задаваемые программой в ходе установки или модернизации. Этот метод позволяет применять индивидуальные настройки на основе принятых в организации правил и исключает необходимость участия пользователя в процессе установки. Для создания файла ответов можно воспользоваться каким-либо текстовым редактором (подойдет, к примеру, Notepad), а можно прибегнуть к помощи поставляемого с Windows 2000 мастера Setup Manager Wizard. Программа Setup Manager входит в состав комплекта Microsoft Windows 2000 Server Resource Kit. По умолчанию она присваивает файлу ответов имя unattend.txt, но при желании его можно изменить. Готовый файл ответов следует ассоциировать с одним из образов RIPrep; только после этого возможно использование сценариев, автоматизирующих развертывание ОС Windows 2000 Pro.

В программу Setup Manager можно заранее ввести пароль администратора. Однако нужно помнить о том, что в файле ответов этот пароль хранится в текстовом виде. Поэтому пароль администратора домена лучше не применять. Кроме того, важно позаботиться о том, чтобы пользователи не имели доступа к файлу ответов.

Setup Manager предусматривает пять уровней взаимодействия с пользователем; все они представлены на Экране 2.

ЭКРАН 2. Уровни взаимодействия с пользователем утилиты Windows 2000 Setup Manager Wizard.
Эти уровни дают администратору большую свободу маневра. Пункт Fully automated (автоматический режим) исключает необходимость ответа пользователей на какие-либо вопросы. Режим Read only (только чтение) требует от пользователя подтверждения ответов, введенных предварительно в файл.

Setup Manager облегчает выполнение ряда задач, но возможности этой программы ограничены. Так, мастер позволяет настраивать только дисплеи. Чтобы добавить другие устройства, приходится обращаться к текстовому редактору и вручную редактировать файл unattend.txt. Кроме того, пользователь вынужден вручную вводить те параметры, с которыми утилита не работает. Разработчики Microsoft намерены включить в компакт-диск Windows 2000 Pro и Windows 2000 Server специальное руководство Unattended Setup Parameters Guide с параметрами для файла ответов. Информация об этом руководстве содержится в разделе Tools Help упомянутого комплекта ресурсов, однако в третьей бета-версии, сборка 2031, данного документа нет. Тот, кто хочет ознакомиться с ним, должен в разделе Tools Help комплекта ресурсов отыскать файл unattend.txt.

Чтобы автоматизировать процесс установки прикладных программ, нужно обратиться к входящему в комплект ресурсов средству sysdiff.exe. Функциональные возможности sysdiff те же, что и в Windows NT 4.0. Утилита создает файл различий, который размещается на клиентских машинах и позволяет устанавливать прикладные программы в автоматическом режиме.

IntelliMirror

Специалисты отделов информационных технологий должны устанавливать прикладные программы и внимательно следить за появлением новых версий операционных систем и приложений, а также сервисных пакетов и программных «заплат». Модуль IntelliMirror ОС Windows 2000, реализующий стратегию групповых политик (group policies), позволяет администраторам централизованно разворачивать программное обеспечение и настраивать его, а также координировать управление настройками пользователей и данными.

Стратегия групп, заложенная в модуль IntelliMirror, дает возможность опубликовывать или назначать прикладные программы пользователям, а также назначать приложения компьютерам. Когда администратор публикует приложение, пользователи могут с помощью значка Add/Remove Programs панели управления устанавливать его на своих машинах. При назначении приложения пользователю администратор создает на его рабочем столе значок или ссылку в меню Start. После этого пользователь может установить данную прикладную программу, выполнив двойной щелчок мышью на значке, расположенном на рабочем столе, или выбрав имя приложения в меню Start. В случае назначения прикладной программы компьютеру, эта программа устанавливается автоматически при запуске машины, после чего любой пользователь, зарегистрировавшийся на данном компьютере, получает к нему доступ.

С помощью стратегии групп можно переустанавливать и модернизировать прикладные программы на клиентских компьютерах или удалять их. Благодаря использованию объектов групповой политики (Group Policy Objects, GPOs) для повторного развертывания программных средств техникам не придется лишний раз обходить клиентские рабочие станции.

ЭКРАН 3. Окно свойств файла описаний Windows Installer.
Развертывание ПО в соответствии со стратегией групп осуществляется с помощью файлов описания Windows Installer (файлов с расширением msi). Эти файлы заменяют стандартные утилиты установки программных продуктов. Администратор определяет алгоритм развертывания ПО с помощью пункта Group Policy Software Installation. В консоли Group Policy нужно выбрать пункт User Configuration или Computer Configuration — в зависимости от того, кому назначается приложение — пользователям или компьютерам. Затем нужно выбрать пункты Software Settings и Software Installation. Создаваемый таким образом пакет Windows Installer содержит инструкции по установке и удалению программных средств. На Экране 3 представлены свойства файла описаний Windows Installer.

Существует два типа файлов описаний Windows Installer: собственные (native) и создаваемые администраторами (repackaged). Поставщики программных средств обычно создают собственные пакеты и включают их в состав программных продуктов. Для перекомпоновки прикладной программы, не имеющей собственного пакета, можно воспользоваться инструментальными средствами независимых поставщиков (например, пакетом WinINSTALL компании VERITAS Software). Корпорация Microsoft поставляет WinINSTALL на компакт-дисках Windows 2000 Pro и Windows 2000 Server. Другой способ публикации прикладных программ, не снабженных собственными пакетами Windows Installer, состоит в предварительной подготовке файла с расширением zap. Подобно файлам msi, файлы zap содержат инструкции по установке программных средств. Различие между ними состоит в том, что файл zap позволяет публиковать прикладные программы, но не предусматривает возможности их назначения.

С помощью групповых политик прикладные программы можно удалять. Это делается по-разному: либо ПО удаляется немедленно, либо пользователи продолжают работать с приложением, но на других машинах оно устанавливаться уже не будет.

Административное управление

Для настройки групповых политик в операционной системе Windows NT 4.0 предусмотрены административные шаблоны (файлы с расширением adm). Windows 2000 также допускает управление настройками пользователей с помощью метода политики групп. Так, можно наложить запрет на изменение политик GPO, сформулированных для определенных объектов. На Экране 4 представлены примерные варианты конфигурации для новой стратегии группы.

ЭКРАН 4. Настройка параметров объекта GPO.

Кроме того, в ОС Windows 2000 предусмотрены средства работы с дисковыми квотами. Администраторы могут устанавливать предельные квоты дискового пространства, предоставляемого тому или иному пользователю.

Надо сказать, что модуль IntelliMirror не только обеспечивает установку и сопровождение ПО, но и предоставляет администраторам средства управления мобильными или перемещающимися пользователями. Мобильные пользователи подключаются к сети дистанционно. Перемещающиеся пользователи — это клиенты, которые входят в систему и получают доступ к сети с разных компьютеров. IntelliMirror поддерживает профили перемещающихся пользователей, перенаправление персональных пользовательских папок и автономную работу с документами. Эти средства удобны как для администраторов, так и для пользователей. Последние, например, могут работать в знакомой среде вне зависимости от того, на каком узле сети они регистрируются. Кроме того, администраторы имеют возможность размещать пользовательские папки в любом месте сети и производить их резервное копирование, хотя, с точки зрения пользователей, эти папки хранятся локально. Наконец, можно работать с документами в автономном режиме, и файлы будут автоматически синхронизироваться при подключении к сети. Принцип здесь тот же, что и при автономной работе с файлами электронной почты в программе Microsoft Outlook.

Завершая разговор о развертывании операционных систем, хочу отметить, что разработчики Microsoft приложили немало усилий к тому, чтобы снабдить Windows 2000 полезными средствами для развертывания и управления ПО. И хотя эти средства не лишены недостатков, в целом корпорация сделала верный шаг. Только время покажет, насколько они будут эффективны в условиях конкретной корпоративной среды. С другой стороны, уже сегодня имеется несколько пакетов независимых поставщиков с аналогичными возможностями, и я полагаю, что в ближайшие месяцы на рынке появится множество новых утилит. Профессионалам в области информационных технологий придется тщательно взвешивать все «за» и «против», рассматривая возможность использования этих программ вместо собственных средств системы Windows 2000. Конечно, с точки зрения крупных корпораций такие критерии, как простота применения, эффективность и производительность, имеют большее значение, чем цена продукта. Но все же усилия специалистов Microsoft вселяют надежду, и я смотрю в будущее с оптимизмом. Мне кажется, собственных средств системы Windows 2000 для развертывания и управления ПО будет вполне достаточно.

ОБ АВТОРЕ

Зубаир Ахмадвнештатный редактор и автор электронного издания Windows NT Magazine. Он имеет сертификаты MCSE, MCT и CNA, а также является авторизованным инструктором Microsoft EST. Зубаир Ахмад занимается проектированием и поддержкой сетей. Связаться с ним можно по адресу: zubair@winntmag.com.


Архитектура PXE

Preboot Execution Environment (PXE) — получившая статус отраслевого стандарта архитектура, используемая корпорацией Microsoft в Windows 2000. Обеспечивает передачу образов операционной системы с сервера RIS (Remote Installation Service) на клиентские машины. Инструментальные средства RIS должны соответствовать разработанным Intel спецификациям PXE.

Предлагаемый компанией Intel комплект PXE Product Development Kit (PDK) 3.0 (build 071) можно загрузить по адресу: http://developer.intel.com/ial/wfm/tools/index.htm. Этот комплект содержит полезные средства, с помощью которых разработчики ПО могут создавать загрузчики PXE boot ROM для изделий, соответствующих стандарту PXE Specification 2.0. В частности, в комплект входит средство PXETest, предназначенное для верификации вызовов API. Сведения об упомянутом стандарте содержатся в 98-страничном документе Intel в формате PDF по адресу: ftp://download.intel.com/ial/wfm/pxespec.pdf.

С помощью продуктов компании Insyde Software можно существенно упростить разработку соответствующих спецификациям PXE программ для портативных компьютеров. Набор средств Mobile PXE Integration Kit (M-PIK) позволяет применять предназначенные для настольных систем средства загрузки стандарта PXE при работе с портативными компьютерами. Информацию об этом комплекте можно получить по адресу: http://www.insydesw.com/products/bios/pxe.htm.

Компания Bootix Technology GmbH (прежнее название InCom Neuss) разрабатывает средства для дистанционной загрузки в среде Windows NT. Информацию о предлагаемых этой компанией средствах управления загрузкой можно найти по адресу: http://www.bootix.com/us/index.html.

Сведения об архитектуре PXE содержатся в справке Windows 2000. Их можно найти, обратившись к файлу ответов на вопросы (RIS FAQs).