Windows Deployment Services cz.1

Sun 03 January 2010 by admin

Instalacja systemu na wielu komputerach w danej korporacji oznacza z reguły powtarzalność. Ową powtarzalność na dodatek w zautomatyzowany sposób zapewnia usługa WDS, wprowadzona po raz pierwszy do systemu Windows 2003 R2 zastępując wysłużony system RIS. Korzystając wcześniej z usługi Kickstart w RedHat'cie, z ciekawością podszedłem do usługi WDS zastanawiając się jak to się robi w Windows'ie ;) Z góry zakładam, że ten wpis nie będzie stanowić przewodnika, który krok po kroku wyjaśni instalację i konfigurację, będzie to raczej zbiór praktycznych uwag, sugestii na temat podstaw WDS.

Zanim jednak przejdę do samej usługi warto zaznajomić sie z kilkoma pojęciami:
WinPE (Windows Pre Environment) - środowisko zaprojektowane pod kątem instalacji systemu Windows, w pełni graficzne, wykorzystujące standardowe sterowniki (nie ma potrzeby korzystania ze sterowników NDIS) na czas instalacji środowisko chronione jest firewall'em.

WIF (Windows Imaging Format) - wraz z wprowadzeniem Windows Vista pojawia się nowy format zapisu obrazu instalowanych systemów. Przede wszystkim umożliwia zapisanie wielu systemów w pojedynczym pliku z rozszerzeniem WIM. Dodatkowo z pliku WIM możemy wyekstraktować wybrany system i np. przy pomocy Eksploratora Windows dodać interesujące nas programy.

Usługa WDS składa się z dwóch elementów: serwera wdrażania oraz serwera transportu. Pierwszy zawiera wszystkie składniki i funkcję WDS, drugi zaś odpowiada za przesyłania obrazów instalacji. Podobnie jak w rozwiązaniu Kickstart, maszyna przeznaczona do instalacji nowego systemu boot'uje z PXE specjalny obraz rozruchowy (wysyłany przez serwer TFTP), tym obrazem rozruchowym jest środowisko WinPE. W przypadku gdy nie posiadamy odpowiedniej karty sieciowej zgodniej z PXE możemy skorzystać z tzw. obrazów odnajdywania. Następnie uwierzytelniamy się w Active Directory oraz odpowiednio personalizujemy nową instalację odpowiadając na kilka std. pytań bądź korzystamy z pełni automatycznej - instalacji nienadzorowanej. Niestety punkt, w którym uwierzytelniamy się w AD jest na tyle ,,póżno'', że jesteśmy już w środowisku WinPE a tym wystarczy SHIFT+F10 i mamy konsolę, z której mamy dostęp do danych zawartych na dyskach. Tak więc niefortunne uruchomienie WDS daje nam nieuprawniony dostęp do systemu.

Usługa WDS jest ściśle powiązana z Active Directory, zatem do jej instalacji wymagane jest dołącznie serwera do domeny. Instalacja usługi WDS standardowo poprzez dodanie nowej roli chociażby z poziomu Server Manager'a. Dodatkowo wymagane jest istnienie w sieci serwera DNS, DHCP a pliki służące do instalacji muszą znaleźć się na partycji NTFS. Podczas dodawania usługi odpowiadamy na pytania kreatora m.in. o miejsce lokalizacji obrazów instalacji (miejsce to zostanie automatycznie udostępnione z odpowiednimi prawami) oraz zachownie się serwera PXE. Serwer PXE może wysyłać obrazy rozruchowe wszystkim klientom, znanym klientom badź też wszystkim, ale administrator musi wrazić zgodne na instalację. Następnie dodajemy dwa obrazy znajdujące się m.in. na płycie instalacyjnej wybranego systemu (katalog source\) pierwszy z nich to obraz rozruchowy(boot.wim), drugi z nich to obraz instalacyjny(install.wim). Dodając obraz rozruchowy dostosowujemy go do instalowanych systemów tj. wybieramy z pliku install.wim żadane wersje systemu. Obrazy instalacyjne dodajemy/modyfikujemy już z poziomu konsoli MMC WDS oraz poleceniem WDSUTIL (posiada większe możliwość konfiguracji) możemy pojedynczo wyłącząć oraz grupować, na grupę możemy nałożyć indywidualne uprawnienia i tak część użytkowników może zainstalować tylko wybrane systemy, narzędzie WDSUTIL w zakresie Image,ImageGroup oferuje też filtrowanie dostępu przy pomocy języka SDDL (http://www.activedirsec.com/sddl.html). W domenie AD może istnieć wiele serwerów WDS, rodzajów reakcji poszczególnych serwerów na żądania klientów jest kilka. Pierwszy z nich to ustalenie czasu po jakim serwer PXE odpowie i tak mając dwa serwery pierwszy z nich możemy skonfigurować jako główny tj. odpowiada natychmiast natomiast drugi jako zapasowy odpowie np. dopiero po 10 s:

WDSUTIL /Set-Server /ResponseDelay:<czas_odpowiedzi>

Drugi ze sposobów to podzielenie komputerów w korporacji przeznaczonych do instalacji np. na dwie grupy oraz przyznanie jednemu serwerowi WDS pierwszej grupy a drugiemu drugiej grupy. Wymagane jest też ustawienie serwera PXE, aby odpowiadał tylko zaufanym komputerom klientom, stworzenie zaufanego komputera klienta wymaga stworzenia obiektu komputer przeznaczonego do zdalnej instalacji. Można to wykonać w odpowiednich konsolach MMC dla WDS oraz Active Directory Users and Computers bądź też z poziomu WDSUTIL:

WDSUTIL /Set-Server /AnswerClients:Known

WDSUTIL /Add-Device /Device:cmp01 /id:00000000000000000000<adres_MAC>

WDSUTIL /Set-Device /Device:cmp01 /ReferralServer:<nazwa_serwera_WDS>

Mając do dyspozycji tylko jeden serwer WDS a wiele maszyn do zainstalowania w krótkim czasie, warto skorzystać z transmisji multicast'owej. Instalacja masowa systemu może mocno spowolonić sieć warto skorzystać z profili sieci limitując pasmo potrzebne do instalacji.

Instalację nowego systemu możemy zaproponować wszystkim komputerom, które zbootują się przy pomocy PXE, jednak ostateczna akceptacja instalacji leży po stronie administratora. Jest to proste zabezpieczenie przed nieuprawnionym zbootowaniem systemu i załadowaniem środowiska PXE w momencie, gdy zostawiliśmy włączoną usługę WDS  lub gdy chcemy większą kontrolę nad instalacjami systemu.

WDSUTIL /Set-Server /Authorize:Yes /AnswerClients:All

akceptować najprościej jest z poziomu konsoli MMC WDS.
Jako ciekawostkę podaje fakt, że aby ustawić komunikat w czasie oczekiwania komputera klienckiego na reakcję administratora należy ręcznie ustawić klucz w rejestrze lub skorzystać z polecenia:

WDSUTIL /Set-Server /AutoAddPolicy /Message:<komunikat>

Dodatkowe opcje narzędzia WDSUTIL w tym m.in. przygotowanie komputera klienckiego do dodania do domeny znajdziecie pod adresem:

http://technet.microsoft.com/pl-pl/library/cc754289%28WS.10%29.aspx

W celu większego zautomatyzowania możemy wyeliminować potrzebę naciskania klawisza F12, więcej informacji:

http://technet.microsoft.com/en-us/library/cc771788%28WS.10%29.aspx

Nowo tworzonym komputerom możemy nadawać określone nazwy i umieszczać je w wybranych jednostkach organizacyjnych. Więcej informacji w pomocy do WDS.

W pierwszej części zaprezentowałem samą usługę plus kilka interesujących opcji, w drugiej części postaram się przybliżyć sposoby jeszcze lepszej automatyzacji instalacji.