Microsoft Windows Server 2003. Наиболее полное руководство
         

Active Directory Service Interfaces (ADSI)


Два программных продукта, выпускаемых компанией Microsoft, а именно Active Directory Service Interfaces (ADSI) и Windows Script Host (WSH — сервер сценариев Windows), позволяют реализовать единый подход к управлению различными платформами и программными продуктами. Для администраторов интерфейсы ADSI являются весьма ценным инструментальным средством, поскольку они достаточно просты в изучении и использовании и могут значительно облегчить выполнение объемных или типовых (часто повторяемых) операций. Например, с помощью ADSI вы можете создать программу экспорта/импорта, максимально соответствующую требованиям вашей доменной конфигурации, или специализированную утилиту миграции данных между различными каталогами.

С точки зрения администратора, интерфейсы ADSI имеют два важных достоинства:

ADSI взаимодействуют со множеством платформ и продуктов, включая следующие: LDAP-совместимые серверы, такие как серверы Active Directory (на базе Windows 2000 Server и Windows Server 2003) и Exchange 5.r, основные и вспомогательные контроллеры доменов Windows NT 4.0 (PDC и BDC); службы Интернета (Internet Information Services, IIS); серверы Novell Directory Services (NDS) (версий 4.x и выше); серверы Novell NetWare (версий 3.x);

ADSI позволяют использовать многие языки, поддерживающие автоматизацию (automation), такие как Visual Basic, VBScript, JScript и Perl; также можно применять такие "полноценные" языки, как C/C++, используя при этом ту же самую объектную модель компонентов (СОМ). Языки сценариев не требуют много времени на изучение; вы можете объединять и/или модифицировать существующие сценарии и быстро создавать работоспособные инструменты для выполнения конкретных задач.

Примечание

Интерфейсы ADSI являются стандартным компонентом систем Windows 2000/ХР и Windows Server 2003 и могут также устанавливаться на системах Windows 9х/МЕ и Windows NT 4.0.

При работе с ADSI очень полезно (даже необходимо) иметь под рукой некоторые административные утилиты, такие как Ldp.exe и AdsVw.exe, а также оснастки ADSI Edit и Active Directory Schema. Эти инструменты позволят вам проверять результаты выполнения создаваемых сценариев или приложений, следить за состоянием Active Directory и значениями атрибутов объектов каталога, а также выполнять еще множество операций, нужных для эффективного программирования.

На веб-сайте Microsoft имеется множество примеров административных сценариев, которые легко можно адаптировать к своим условиям и задачам. Эти примеры могут быть основой для "быстрого старта" при изучении интерфейсов ADSI и способов их применения. При этом на начальных этапах не требуется предварительное изучение программистской документации и обширных спецификаций интерфейсов и классов ADSI.



Архитектура службы удаленной установки


Функционирование службы удаленной установки напрямую связано с работой ряда других служб Windows Server 2003.

 Служба каталога Active Directory. Служба каталога играет важнейшую роль в функционировании службы удаленной установки. Прежде всего, каталог используется для размещения информации о серверах службы удаленной установки (или, как их еще называют, RIS-серверах). Кроме того, в каталоге же размещается информация об учетных записях клиентов службы удаленной установки. Возможна ситуация, когда процедура удаленной установки инициируется только для тех клиентов, для которых предварительно в каталоге были созданы соответствующие объекты.

 Служба доменных имен (Domain Name Service, DNS). Служба доменных имен используется клиентами для обнаружения ближайшего контроллера домена. Контроллеры домена используются впоследствии для взаимодействия со службой каталога.

 Служба DHCP-сервера. Протокол DHCP используется в качестве средства организации взаимодействия между RIS-сервером и клиентами. Чтобы иметь возможность взаимодействия с сетевыми устройствами, клиент должен иметь действительный IP-адрес. Выделение клиенту этого адреса осуществляется DHCP-сервером. Наличие IP-адреса является обязательным условием инициации процедуры удаленной установки операционной системы.

Для функционирования службы удаленной установки совершенно необязательно использование DNS- и DHCP-серверов, реализованных на базе Windows Server 2003. Может быть использована любая реализация этих серверов, удовлетворяющих требованиям службы Active Directory.



Инсталляция и сопровождение программ


Средства Инсталляции и сопровождения программ обеспечивают надежную, быструю установку программных продуктов и их автоматическое восстановление для групп пользователей и компьютеров. С помощью этих средств администраторы могут обновлять развернутые приложения, удалять устаревшие программы и устанавливать сервисные пакеты и обновления операционной системы.



Для этих целей используются групповые политики, которые могут описываться в Active Directory для сайтов, доменов и подразделений (организационных единиц). При каждом включении компьютера запрашивается соответствующая политика инсталляции программ, с помощью которой конфигурируется компьютер. Для каждого зарегистрированного в системе клиента запрашивается пользовательская политика инсталляции программ, и система обновляется, делая доступными нужные приложения.

Ключевым инструментом для оперативной инсталляции программ является служба Windows Installer. Для того чтобы программный продукт смог воспользоваться средствами Windows Installer, он должен быть авторизован и записан в дистрибутивный пакет (файл с расширением msi). Служба Windows Installer полностью автоматизирует процесс инсталляции и конфигурирования программ.

Используя групповую политику и средства Инсталляции и сопровождения программ, администраторы могут публиковать (publish) или назначать (assign) приложения для групп пользователей и компьютеров.

Опубликованные приложения становятся доступными для пользователей по запросу (по мере необходимости). Администраторы могут определить, какие приложения нужны пользователям, учитывая практические, технические и географические требования каждой группы. Пользователи могут при желании инсталлировать опубликованные для них приложения с помощью значка Add or Remove Programs (Установка и удаление программ) на панели управления, выбирая приложения из списка. Пользователи могут также открыть файл или документ, требующий опубликованного приложения, после чего требуемое приложение автоматически инсталлируется и запустится, а файл будет открыт в нем.


Когда администраторы назначают приложения пользователям и компьютерам, они явно указывают, какие программы должны быть установлены. Программы, назначенные компьютеру, обычно инсталлируются при следующей перезагрузке компьютера. Такая возможность полезна для развертывания сервисных пакетов, обновлений драйверов и т. п. Когда администратор назначает некоторое приложение конечному пользователю, соответствующий значок появляется на рабочем столе этого пользователя (например, в меню Start (Пуск), в виде ярлыка рабочего стола и т. д.; при этом значок "следует" за пользователем, даже если тот перемещается на другой компьютер в сети) при его следующей регистрации в системе. Инсталлируется это приложение при первом обращении к нему со стороны пользователя или при попытке открытия документа, связанного с назначенным приложением.

Приложения, инсталлированные с помощью Windows Installer, защищены от случайного удаления файлов приложения или необходимых для него ресурсов. При каждом запуске такого приложения служба Windows Installer проверяет наличие необходимых файлов и компонентов. При их отсутствии служба копирует и инсталлирует недостающие компоненты из указанного узла дистрибуции на локальный компьютер, либо на сетевой ресурс, например в каталог распределенной файловой системы DFS.


Инструментальные средства управления Windows (WMI)


Начиная с Windows NT, в системах этой линейки — Windows 2000, Windows ХР и Windows Server 2003 — широко используется технология Windows Management Instrumentation (WMI, Инструментальные средства управления Windows), которая обеспечивает унификацию средств администрирования аппаратных и программных средств. Компания Microsoft разработала WMI на основе требований, входящих в спецификацию Web-based Enterprise Management (WBEM).

Web-based Enterprise Management (WBEM) (можно перевести как веб-ориентированное управление предприятием) — это инициатива, поддержанная многими ведущими производителями программного и аппаратного обеспечения (Microsoft, Compaq, BMC, Cisco и Intel) и направленная на решение проблемы сбора и использования диагностической и управляющей информации в корпоративных сетях, включающих оборудование от различных поставщиков и использующих многочисленные разнообразные протоколы, операционные системы и распределенные прикладные системы.

Традиционно в управлении сложными сетями используются различные протоколы и интерфейсы: например, протокол Simple Network Management Protocol (SNMP) применяется для управления сетевыми ресурсами (концентраторами, маршрутизаторами и т. д.), а для управления настольными системами может использоваться Desktop Management Interface (DMI). Технология WBEM предполагает создание открытой среды для средств администрирования, позволяющей им свободно взаимодействовать друг с другом и со всеми объектами управления, а также максимальное использование уже существующих технологий и стандартов. Поставленная цель сравнима с задачей, решаемой сетью World Wide Web: связать воедино поставщиков и потребителей информации, ничего не "знающих" о том, как работают конкретные системы на другом конце цепочки передачи этой информации. Перспектива использования веб-технологий для более традиционных инструментов администрирования и определила появление в названии новой инициативы слов Web-based.

Компания Microsoft разрабатывает технологии Windows Management Instrumentation (WMI), начиная с 1996 г. WMI — это ключевой компонент для административных служб Windows, к числу которых относятся, например, службы поиска и политик Active Directory, службы визуализации, входящие в Microsoft Management Console (MMC), и средства автоматизации (automation) сервера сценариев Microsoft Script Host (WSH).


Можно перечислить следующие особенности и возможности WMI:

  функционально полная модель для конфигурирования операционной системы и отображения ее состояния;

 интерфейс программирования COM API, обеспечивающий единый доступ ко всей информации, касающейся администрирования;

 возможность взаимодействия с административными службами операционной системы, что позволяет разработчикам создавать интегрированные приложения для управления системами;

 гибкая информационная модель, которую можно расширять для поддержки новых устройств и приложений, создавать соответствующие программные модули (WMI-провайдеры);

 развитая событийная архитектура, обеспечивающая распознавание и обработку изменений в состоянии объектов управления и передачу этой информации локальным или удаленным административным программам;

 сложный язык запросов для получения данных из информационной модели;

 API сценариев, позволяющий разработчикам управляющих приложений использовать Visual Basic или Windows Script Host (WSH).

Методы WMI можно использовать в сценариях и приложениях (поскольку, помимо интерфейсов COM, WMI поддерживает автоматизацию, automation). Имеется поддержка для следующих языков:

 Visual Basic

 Visual Basic for Applications

 Visual Basic, Scripting Edition

 Microsoft JScript

 Perl

 


Использование WMI в LDAP-запросах


Windows Management Instrumentation (WMI) содержит специальный, интерфейс — WMIExtension, который позволяет использовать методы WMI для управления компьютерами, имена которых получаются из каталога Active Directory при помощи LDAP-запросов. Администратор получает возможность сочетать в своих сценариях гибкие и развитые возможности поиска в каталоге (с использованием интерфейсов ADSI) и методы WMI, которые позволяют обращаться ко многим системным параметрам и компонентам (например, выполняющимся сервисам, файловой системе, журналам событий, характеристикам операционной системы и т. д.).

Чтобы проиллюстрировать богатые возможности сценариев, использующих WMI и, в частности, интерфейс WMI ADSI Extension, расширяющий базовые функции ADSI, давайте, следуя хорошей поговорке "Лучше один раз увидеть, чем сто раз услышать.", рассмотрим демонстрационную программу на Basic, которая состоит из отдельных фрагментов кода, позволяющих получить ту или иную информацию о компьютерах домена. Эта программа также иллюстрирует использование интерфейсов ADSI для обращения к объектам Active Directory.

Листинг 11.1. Использование программного интерфейса WMI ADSI Extension

Option Explicit

Sub Main ()

Dim objAD As lADsContainer

Dim obj As IADs

Dim ADSObject As WMIExtension

Dim WMIServices As SWbemServices

Dim WMIObject As SWbemObject

Dim recSet As SWbemObjectSet

Dim LogFile As SWbemObject

Dim i As Integer

'Получить список компьютеров и опросить каждый:

Set objAD = GetObject("LDAP://CN=Computers,DC=net,DC=dom")

objAD.Filter = Array("computer")

i = 1

For Each obj In objAD

Debug.Print "#"; i;obj.Name; " ("; obj.ADsPath;")"

'Получение ссылки на объект типа computer из пространства имен LDAP:

Set ADSObject = GetObject(obj.ADsPath)

Debug.Print "WMI Object Path: " + ADSObject.WMIObjectPath

Set WMIObject = ADSObject.GetWMIQbject

Debug.Print vbCrLf

'Теперь можно использовать любые свойства или методы объекта WMI.


'Перечень свойств содержится в описании WMI-класса

'Win32_ComputerSystem.

'Вывод некоторой информации о выбранном компьютере:

Debug.Print "Состояние = " + WMIObject.Status

Debug.Print "Статус загрузки = " + WMIObject.BootUpState

Debug.Print "Имя компьютера = " + WMIObj ect.Caption

Debug.Print "Роль в домене = " + CStr(WMIObject.DomainRole)

Debug.Print "Всего памяти (байт) = " + WMIObject.TotalPhysicalMemory

Debug.Print "Зарегистрированный пользователь = " + WMIObject.UserNaroe

Debug.Print vbCrLf

' Получить объект служб WMI из пространства имен "root\cimv2":

Set WMIServices = ADSObject.GetWMIServices

'Определение установленной системы:

Set recSet = WMIServices.ExecQuery_

("select * from Win32_OperatingSystem")

'Использование интерфейса GetWMIObject для выбора WMI-объекта:

For Each WMIObject In recSet

Debug.Print WMIObject.Name

Next

Debug.Print vbCrLf

'Список всех работающих служб:

Set recSet = WMIServices.ExecQuery _

("select * from Win32_Service where Stateo'Stopped'")

' Следующий оператор перечисляет службы, которые не смогли

' запуститься на выбранном компьютере:

' Set recSet = WMIServices.ExecQuery("select * from Win32_Service

' -> where State='Stopped1 and StartMode='Auto'")

Debug.Print "Службы (ВСЕГО)"; recSet.Count

For Each WMIObject In recSet

Debug.Print WMIObject.Name

Next

Debug.Print vbCrLf

' Список всех процессов, выполняющихся на целевом компьютере:

Set recSet = WMIServices.ExecQuery("select*from Win32_Process")

Debug.Print "Процессы (ВСЕГО)"; recSet.Count

For Each WMIObject In recSet

Debug.Print WMIObject.Name

Next

Debug.Print vbCrLf

'Список журналов системных событий:

Set recSet = WMIServices.ExecQuery_

("select * from Win32_NTEventLogFile")

Debug.Print "Журналов событий (ВСЕГО)";

recSet.Count For Each LogFile In recSet

Debug.Print LogFile.Name

'Следующий оператор сохраняет журнал в файле



'на целевом компьютере;

' необходимо лишь сформировать уникальное имя файла:

'LogFile.BackupEventlog ("C:\net.evt")

Next

Debug.Print vbCrLf

' Отображение всех событий в указанном журнале (Application, ' Security, System и т. д.): Set recSet =• WMIServices.ExecQuery_ ("select * from Win32_NTLogEvent WHERE LogFile='Security'") Debug.Print "Событий (ВСЕГО)"; recSet.Count For Each LogFile In recSet ' Последнее по времени событие выводится первым. ' Список свойств содержится в описании WMI-класса Win32_NTEventlog ' Эту информацию можно направить в файл, расположенный на локальном ' компьютере (где выполняется программа): Debug.Print LogFile.Category-String, LogFile.SourceName, _ LogFile.EventCode, LogFile.LogFile, LogFile.TimeGenerated Next Debug.Print vbCrLf ' Go to the next computer i = i + 1 Next Set objAD = Nothing Set obj = Nothing Set ADSObject = Nothing Set WMIServices = Nothing Set WMIObject = Nothing Set recSet = Nothing Set LogFile = Nothing End Sub

Примечание

Для формирования запросов с целью получения сведений о WMI-объектах используется язык WMI Query Language (WQL). WMI-фильтры, написанные на WQL, применяются также для фильтрации объектов групповых политик (Group Policy Objects, GPO). Для получения дополнительной информации в окне Help and Support Center выполните поиск строки "WQL".


Конфигурирование RIS-сервера


По окончании процесса перезагрузки администратору необходимо выполнить конфигурирование RIS-сервера. Для этого в режиме командной строки следует выполнить команду Risetup.exe. Это приведет к запуску мастера Remote Installation Services Setup Wizard.

Администратор должен определить местоположение папки, которая будет использоваться хранилищем образов инсталляции. Затем нужно указать, должен ли сервер обрабатывать запросы клиентов сразу по окончании работы мастера или администратор должен будет разрешить обработку запросов клиентов позднее. Если установить флажок Respond to client computers requesting service, RIS-сервер будет отвечать на запросы клиентов сразу по окончании работы мастера. Если требуется, чтобы RIS-сервер отвечал на запросы только тех клиентов, для которых предварительно в каталоге были созданы объекты, ассоциированные с учетными записями компьютеров, необходимо установить флажок Do not respond to unknown client computers (He отвечать на запросы неизвестных клиентов).

На следующем этапе следует указать место расположения дистрибутивных файлов операционной системы, которые будут использованы для создания образа инсталляции. Перейдя к следующему окну, администратору необходимо определить имя папки, в которой будет размещен созданный мастером образ инсталляции.

На заключительном этапе в поле Friendly Descriptions (Дружественное описание) надо дать описание создаваемому образу инсталляции. Это описание будет предлагаться пользователям мастером Client Installation Wizard в процессе инициации удаленной установки операционной системы. Кроме того, администратор может указать в поле Help text (Текст справки) дополнительную справочную информацию, позволяющую клиенту получить более подробные сведения о конкретном образе инсталляции.



Конфигурирование служб RIS


Установленный RIS-сервер зачастую нуждается в дополнительном конфигурировании. Если на этапе развертывания служб удаленной установки не была определена схема обработки пользовательских запросов, администратор должен решить: будет ли RIS-сервер отвечать на запросы всех клиентов или только на запросы тех клиентов, с которыми в каталоге ассоциированы соответствующие объекты. Кроме того, используя механизм групповой политики, администратор должен определить для различных групп пользователей параметры удаленной установки. Фактически речь идет о том, чтобы разрешить пользователям выполнять процедуру удаленной установки и определить ее параметры.



с пакетом обновлений Service Pack


Microsoft Systems Management Server (текущая версия 2.0 с пакетом обновлений Service Pack 5) представляет собой интегрированный набор инструментов, позволяющих выполнять инвентаризацию аппаратных и программных средств, инсталлировать и распространять приложения, профилировать приложения, диагностировать и находить неисправности. SMS 2.0 можно использовать как дополнение и расширение встроенных средств систем Windows 2000 Server и Windows Server 2003. Он позволяет работать и с предыдущими версиями Windows: всеми 16- и 32-разрядными настольными системами, начиная с Windows 3.1 и заканчивая Windows 2000. При этом SMS 2.0 может функционировать в сетях Windows NT, NetWare 3.1 или NetWare NDS.

Основные возможности Systems Management Server 2.0 перечислены ниже.

Инвентаризация аппаратных и программных средств. SMS использует спецификацию Windows Management Instrumentation (WMI) и новые программные сканеры ресурсов, с помощью которых подробная информация об аппаратных и программных средствах загружается в хранилище на базе SQL Server. Администраторы получают оперативную и исчерпывающую информацию обо всех приложениях и обо всех компьютерах. Кроме того, имеется средство для анализа собранных данных.

 Инсталляция и распространение приложений. С помощью- SMS 2.0 можно размещать приложения для указанных компьютеров, пользователей и групп. Теперь при распространении приложений можно задавать критерии, по которым автоматически оценивается получатель приложений. Сервер сначала обращается к каталогу программных продуктов, к получателям приложений, а затем "раздает" приложения получателям в соответствии с установленными администратором правилами.

Например, если в группе появляется новый пользователь, в соответствии с групповой политикой ему автоматически пересылается программное обеспечение. С помощью SMS 2.0 администраторы могут распространить приложение сразу же, как только возникла необходимость в нем, и "забрать" его назад, т. е. автоматически удалить приложение, когда пользователь перешел в другую группу.



  Профилирование приложений. Зачастую администраторам нужны средства, позволяющие оценить использование программных продуктов пользователями, группами и клиентскими компьютерами, задать квоты времени или установить лицензии. SMS 2.0 может отображать, анализировать и, при необходимости, контролировать процесс использования приложений на серверах и рабочих станциях. Администраторы могут задавать различные реакции в критических ситуациях — от простых предупредительных сообщений до блокировки приложений.

 Диагностика и поиск неисправностей. Помимо мониторинга рабочих станций и серверов и удаленного управления, SMS 2.0 имеет многочисленные средства диагностики: например, сетевой монитор с возможностью работы в реальном времени и анализа перехваченных данных для оценки работоспособности и производительности сети, или серверное средство HealthMon, позволяющее определять критические моменты (узкие места) в работе серверных системах Windows и приложений семейства BackOffice.

 


Определение параметров групповой политики


Механизм групповой политики позволяет администратору определять для различных категорий пользователей возможности участия в процедуре удаленной установки операционной системы.

Для этого, открыв в оснастке Group Policy Object Editor для редактирования нужный объект групповой политики (например, привязанный к домену или к некоторому подразделению), администратор должен выбрать узел User Configuration | Windows Settings | Remote Installation Services. В панели результатов для данного узла будет находиться объект Choice options (Выбор параметров). Откройте окно свойств этого объекта, выбрав в его контекстном меню пункт Properties (Свойства). В окне Choice Options Properties необходимо определить доступные определенным категориям пользователей режимы установки.

Automatic Setup (Автоматическая установка). В данном режиме выполнение установки операционной системы выполняется в полностью автоматическом режиме. От пользователя требуется минимальное участие. В ситуации, когда удаленная установка должна выполняться неквалифицированными пользователями, использование данного режима установки является самым оптимальным вариантом.

 Custom Setup (Пользовательская установка). Данный режим предоставляет пользователю возможность определять некоторые параметры установки (прежде всего имя учетной записи компьютера). Благодаря этому один пользователь может выполнить установку операционной системы на нескольких компьютерах. Возможность работы с данным режимом можно предоставить опытным пользователям (например, администраторам организационных единиц).

 Restart Setup (Возобновление предыдущей неудачной установки). Данный режим позволяет продолжить операцию удаленной установки операционной системы в ситуации, когда предыдущая попытка закончилась неудачно еще на начальном этапе. В случае выбора рассматриваемого режима система будет использовать информацию, собранную ранее, в ходе первой попытки установки.

 Tools (Инструментарий). В данном режиме пользователю разрешается использовать специализированный инструментарий, позволяющий выполнить диагностику проблем, связанных с установкой операционной системы.


Каждый из перечисленных параметров может быть установлен администратором в одно из трех значений:

 Enabled (Активизировать). Выбор данного значения активизирует выбранный параметр групповой политики. Применительно к рассматриваемому параметру значение явно разрешает использование выбранного режима установки пользователям, подпадающим под действие конфигурируемого объекта групповой политики;

 Disabled (Отключить), Выбор данного значения отключает указанный параметр групповой политики. Применительно к рассматриваемому параметру значение явно запрещает использование выбранного режима установки пользователям, подпадающим под действие конфигурируемого объекта групповой политики;

 Not Configured (He определено). Данное значение оставляет неопределенным возможность использования пользователем выбранного режима в рамках рассматриваемого объекта групповой политики. Фактически доступность выбранного режима удаленной установки ставится в зависимость от значения аналогичного параметра групповой политики, определенного на вышестоящем уровне.

 


Определение схемы обработки запросов клиентов


Если на этапе установки не было определено, какие категории клиентов будут обслуживаться RIS-сервером, администратор может это сделать позже, используя оснастку Active Directory Users and Computers. Открыв окно свойств объекта, ассоциированного с учетной записью компьютера, на котором установлен RIS-сервер, необходимо перейти на вкладку Remote Install (Удаленная установка). Установите флажки Respond to client computers requesting service (Сервер отвечает на все поступающие запросы) и Do not respond unknown client computers (He отвечать на запросы неизвестных компьютеров) в соответствии с имеющимися требованиями.



Применение мастера Remote Installation Preparation Wizard для создания образов инсталляции


Другой способ создания образов инсталляции заключается в применении мастера Remote Installation Preparation Wizard (RIPrep.exe). Этот мастер позволяет создать образ инсталляции, используя который, администратор может установить на рабочей станции не только операционную систему, но и весь необходимый набор стандартных приложений. Особенность архитектуры службы установки позволяет установить на рабочих станциях включенные в образ инсталляции приложения непосредственно в ходе установки операционной системы.

Внимание

Мастер Remote Installation Preparation Wizard (RIPrep.exe) располагается в подкаталоге \Admin\i386 общей папки REMINST на любом RIS-сервере.

Мастер Remote Installation Preparation Wizard создает образ инсталляции на основе уже существующей инсталляции. При этом администратор выбирает некоторую рабочую станцию в качестве эталона для создания образа. На этой рабочей станции операционная система должна быть сконфигурирована в соответствии с предъявляемыми требованиями. При необходимости на рабочую станцию администратор может также установить интересующий набор приложений.

После этого на эталонной рабочей станции администратор запускает мастер Remote Installation Preparation Wizard, который, в свою очередь, создает образ инсталляции и помещает его в хранилище образов на RIS-сервере. По окончании работа мастера созданный образ инсталляции готов для использования клиентами.

Образ инсталляции может быть создан только для загрузочного раздела эталонной рабочей станции. Необходимо учитывать этот факт в процессе установки приложений (на этапе подготовки эталонной станции). При этом рабочие станции, на которые будет устанавливаться операционная система с использованием создаваемого образа инсталляции, должны обладать дисковым разделом аналогичного или большего объема, нежели загрузочный раздел жесткого диска эталонной рабочей станции.



Принцип функционирования


Идея службы удаленной установки сводится к следующему. Приступая к развертыванию службы удаленной установки, администратор создает несколько образов инсталляции (installation image). Образ инсталляции включает в себя всю необходимую для установки операционной системы информацию: дистрибутивные файлы операционной системы, сведения о ее конфигурации, а также дистрибутивные файлы устанавливаемых приложений. Более подробно образы инсталляции, а также методика их создания будут рассмотрены позднее в этой главе. Пока же заметим, что все созданные образы инсталляции размещаются в специальном хранилище службы удаленной установки.

Внимание

Перед выполнением установки в каталоге должен быть создан объект, ассоциированный с учетной записью компьютера.

Когда необходимо, пользователь может запустить процедуру удаленной установки операционной системы, используя доступные образы инсталляции. При этом от пользователя и администратора требуется минимальное участие. От пользователя требуется инициировать процесс установки, а от администратора — сконфигурировать сервер удаленной установки и создать образы инсталляции.



Развертывание службы удаленной установки


Приступая к развертыванию службы удаленной установки, администратор должен убедиться в том, что в сети уже установлены и сконфигурированы службы DHCP- и DNS-серверов. Служба DHCP-сервера рассматривается клиентами как средство получения IP-адреса, необходимого для активизации сетевых компонентов, а также как точка подключения к RIS-серверу. При этом все используемые DHCP-серверы должны быть авторизованы администратором.

Внимание

Получение IP-адреса и подключение к RIS-серверу осуществляются клиентом в рамках одной операции. Однако подключение к RIS-серверу и инициация процедуры удаленной установки, происходит только после того, как клиент получил IP-адрес.

К серверу, на котором планируется развертывание службы удаленной установки, предъявляются следующие требования:

 на сервере должна быть установлена операционная система Windows Server 2003 (Соответственно, аппаратная конфигурация сервера должна удовлетворять минимальным требованиям для установки данной операционной системы.);

 сервер должен иметь минимум 4 Гбайт свободного дискового пространства, которое будет использоваться для создания хранилища образов инсталляции. Запрещается размещать хранилище образов инсталляции в системном или загрузочном разделах. Рекомендуется использовать для этих целей, отдельный диск. Диск, предназначенный для размещения хранилища образов инсталляции, должен быть отформатирован с использованием файловой системы NTFS. При этом выбранный диск не должен являться частью распределенной файловой системы (Distributed File System, DPS) либо быть защищен при помощи шифрующей файловой системы (Encrypted File System, EPS).

Операция развертывания сервера удаленной установки выполняется администратором в два этапа:

 установка RIS-сервера;

 конфигурирование RIS-сервера.

Установка RIS-сервера подразумевает копирование необходимых системных файлов. Для этого, запустив на панели управления утилиту Add or Remove Programs, администратор должен нажать кнопку Add/Remove Windows Components. В списке предлагаемых для установки компонентов необходимо выбрать пункт Remote Installation Services. По окончании процесса установки требуется перезагрузить компьютер.



Службы удаленной установки (RIS)


Службы удаленной установки (Remote Installation Service, RIS) представляют собой механизм централизованного управления процессом установки операционной системы на клиентах. Автоматизация процесса установки предполагает сведение к минимуму участие пользователя и администратора. Службы RIS в сочетании с механизмом групповых политик предоставляют администратору возможность создания стандартного окружения пользователей на всех вновь подключаемых к сети рабочих станциях. На каждой подключаемой рабочей станции будет устанавливаться стандартный набор компонентов и приложений.

Службы RIS на базе Windows Server 2003 позволяют выполнять установку следующих операционных систем:

Windows 2000 (Professional, Server и Advanced Server);

 Windows XP;

 Windows Server 2003 (Standard Edition и Enterprise Edition).

 



Создание CD-образа инсталляции


Процесс создания CD-образа фактически представляет собой создание копии дистрибутива компакт-диска в хранилище образов инсталляции. При этом для создания образа инсталляции не требуется наличия эталонной рабочей станции. При этом автоматизация процесса установки операционной системы достигается за счет использования специальных настроечных файлов (answer file). В настроечном файле содержатся значения параметров, необходимых для выполнения установки и конфигурирования операционной системы. Процедура установки операционной системы автоматически использует эти значения, что избавляет от необходимости участия пользователя. Для одного CD-образа администратор может определить несколько настроечных файлов, каждый из которых будет использоваться в соответствующей ситуации.

В качестве недостатка архитектуры CD-образов можно отметить невозможность развертывания необходимого набора приложений непосредственно в процессе установки операционной системы.



Структура службы удаленной установки


В структуре службы удаленной установки выделяются компоненты, перечисленные ниже.

Уровень обмена загрузочной информацией (Boot Information Negotiation Layer, BINL) — механизм, функционирующий на RIS-сервере, выполняющий обработку запросов от РХЕ-клиентов. Получив от клиента запрос, механизм выполняет аутентификацию пользователя, в контексте которого выполняется установка. В случае отсутствия у пользователя полномочий, необходимых для выполнения удаленной установки операционной системы, запрос отклоняется. В случае успешной авторизации механизм санкционирует процесс передачи клиенту необходимых для удаленной установки системы файлов.

 Демон протокола тривиальной передачи файлов (Trivial File Transfer Protocol Daemon, TFTPD). Протокол тривиальной передаии файлов используется службой RIS как транспортный механизм, посредством которого клиенту передаются необходимые для инициации процесса удаленной установки файлы. В рассматриваемом случае демон TFTP активизируется на RIS-сервере.

 Хранилище файлов в единственном экземпляре (Single Instance Store, SIS) — механизм хранения образов инсталляции. Образ инсталляции представляет собой дистрибутивные файлы, необходимые для установки операционной системы. Вследствие этого образы инсталляции отличаются друг от друга незначительно (как правило, различия сводятся к составу устанавливаемых приложений и конфигурации системы). Предотвращение дублирования файлов в различных образах инсталляции позволяет уменьшить объем дискового пространства, необходимого для размещения образов инсталляции.

 Мастер установки клиента (Client Installation Wizard — OSChooser) — программа, скачиваемая РХЕ-клиентом с RIS-сервера на этапе инициализации процесса удаленной установки. Данный мастер позволяет пользователю на стороне клиента выбрать требуемый образ инсталляции.

Отдельно следует сказать о мастере Remote Installation Preparation Wizard. Этот мастер используется для создания образов инсталляции, которые впоследствии могут быть задействованы в процедуре удаленной установки.



Технологии IntelliMirror


Компания Microsoft объединяет все технологии управления, появившиеся в системах Windows 2000 и нашедшие свое развитие в Windows XP и Windows Server 2003, под общим маркетинговым названием — IntelliMirror. В табл. 11.1 перечислены стандартные средства систем Windows 2000/XP и Windows Server 2003, обеспечивающие централизованное решение задач по управлению распределенной вычислительной средой. В зависимости от конкретных условий и потребностей администраторы могут использовать все указанные средства или некоторые из них. Далее решаемые задачи будут рассмотрены подробнее.

Таблица 11.1. Технологии управления ресурсами, реализованные в серверных версиях систем Windows 2000 и Windows Server 2003

Решаемая задача

 Краткое описание возможностей

 Используемые технологии (средства)
Управление пользовательскими данными

 Зеркальное дублирование по сети пользовательских данных и локальное кэширование выбранных данных из сети. Лозунг— "Мои данные следуют за мной!"

 Active Directory; групповые политики (Group Policy); автономные папки (Offline Folders); Диспетчер синхронизации (Synchronization Manager); дисковые квоты и перемещаемые профили пользователей (Roaming Profiles)
Инсталляция и сопровождение программ

 Централизованная, надежная и оперативная инсталляция программных средств (приложений, сервисных пакетов и обновлений операционной системы), восстановление, обновление и удаление. Лозунг — "Мои приложения следуют за мной!"

 Active Directory; групповые политики; Windows Installer
Управление установками пользователей и компьютеров

 Централизованное управление установками рабочей среды для пользователей и компьютеров. Зеркальное отображение пользовательских настроек в сети. Лозунг — "Мои настройки следуют за мной!"

 Active Directory; групповые политики; перемещаемые профили пользователей
Удаленная инсталляция систем

 Инсталляция операционной системы с сетевых серверов, конфигурирование новых или замененных компьютеров

 Active Directory; групповые политики; службы удаленной установки (Remote Installation Services)
<


Технологии IntelliMirror позволяют администраторам настольных систем снизить общую стоимость владения (Total Costs of Ownership, TCO) при решении следующих типовых задач.

Управление настольной (клиентской) системой. Можно описать стандартную рабочую среду для каждой из групп пользователей и обеспечивать ее автоматическое сопровождение при помощи политик безопасности.

 Развертывание приложений. Технология позволяет избежать конфликта версий (например, несовместимости DLL-библиотек) при обновлении программных продуктов.

 Поддержка мобильных пользователей. Пользователям, перемещающимся с одного компьютера на другой или из одной географической точки в другую, обеспечивается доступ к их данным, приложениям и привычной конфигурации рабочего стола независимо от местоположения пользователя.

 Замена компьютеров. Для уменьшения времени простоя компьютеров (в случае отказа или замены) администраторы могут быстро восстановить его конфигурацию, включая инсталлированные приложения и пользовательские данные.

 


Технологии, лежащие в основе службы удаленной установки


Служба удаленной установки базируется на использовании ряда технологий. Одной из таких технологий является технология Remote OS Installation (Удаленная установка операционной системы), представляющая собой технологию массового развертывания в корпоративной среде операционных систем Windows 2000/XP Professional, а также представителей семейства Windows Server 2003. Данная технология позволяет выполнять на рабочих станциях удаленную установку операционной системы.

Технология Remote OS Installation напрямую связана с технологией Preboot Execution Environment (РХЕ). Благодаря указанной технологии в процессе включения компьютера начальный загрузчик будет передавать управление программе, размещенной в специальной микросхеме памяти (ПЗУ). Подобная микросхема может входить в состав различных аппаратных компонентов: сетевого адаптера или непосредственно материнской платы. Основное назначение программы, зашитой в микросхеме, заключается в инициализации сетевого соединения с DHCP-сервером (например, с целью получения IP-адреса). Дальнейшее развитие событий зависит от конфигурации DHCP-сервера. Для решения обсуждаемой задачи DHCP-сервер снабжает РХЕ-клиента адресом ближайшего RIS-сервера. При этом клиент запрашивает у RIS-сервера некоторый образ установки. Начинается процесс установки операционной системы. Другим допустимым вариантом может быть загрузка операционной системы через сеть. Этот вариант особенно распространен для бездисковых рабочих станций.

Любое взаимодействие РХЕ-клиента с различными серверами является открытым (не защищенным посредством каких-либо механизмов шифрования или контроля целостности). Учитывая, что в ходе взаимодействия по сети передаются преимущественно файлы, необходимые для установки операционной системы (т. е. не являющиеся конфиденциальными), опасность их перехвата не представляется существенной. Более важным является тот факт, что организация взаимодействия не предусматривает каких-либо механизмов, гарантирующих подлинность и целостность данных, получаемых клиентом от сервера.

В случае, если рабочая станция не имеет поддержки РХЕ-технологии, удаленная установка операционной системы все равно может быть выполнена. Для инициации процедуры удаленной установки используются специальные загрузочные дискеты. Загрузочная дискета эмулирует РХЕ-клиента. При этом требуется, чтобы на рабочей станции был установлен сетевой адаптер с PCI-интерфейсом, поддерживаемый службой удаленной установки.

Для создания дискеты необходимо использовать утилиту Microsoft -Windows Remote Boot Disk Generator (Rbfg.exe). Утилита Rbfg.exe располагается на каждом RIS-сервере в общей папке REMINST в подкаталоге \Admin\i386. Эта утилита входит в состав пакета утилит администрирования Windows Server 2003 Administrative Pack.

Примечание

Запустив утилиту Rbfg и щелкнув по кнопке Adapter List (Список адаптеров), можно получить информацию о сетевых адаптерах, поддерживаемых службой удаленной установки.



Управление образами инсталляции


В заключение разговора о службе удаленной установки надо рассказать о методике создания образов инсталляции. Образ инсталляции (installation image) представляет собой набор файлов, необходимых для выполнения удаленной установки операционной системы. В образ инсталляции включается также информация, нужная для конфигурирования устанавливаемой системы. Кроме того, в определенных ситуациях образ инсталляции может также содержать дистрибутивные и конфигурационные файлы для установки приложений.

Образ инсталляции, размещенный в хранилище, может быть использован для установки операционной системы на неограниченном количестве рабочих станций. Единственным ограничивающим фактором в данной ситуации является наличие у предприятия соответствующего числа лицензий на устанавливаемую операционную систему. При необходимости можно создать множество образов инсталляций с различными настройками и предустановленными приложениями.

Служба удаленной установки на базе Windows Server 2003 позволяет создавать образы инсталляции двух типов:

образы инсталляции, представляющие собой слепки с компакт-диска (CD-образ);

 образы инсталляции, подготовленные при помощи мастера Remote Installation Preparation Wizard.

 



Управление пользовательскими данными


Средства Управления пользовательскими данными гарантируют доступность пользовательских данных (личных файлов и документов) и их защиту — независимо от режима (автономного или online) и компьютера сети, на котором работает клиент. Это обеспечивается путем отображения личных данных в сети (на надежных серверах, где выполняется резервное копирование) и локального кэширования выбранных сетевых данных. Например, пользователи могут переопределять путь к некоторой папке и задавать ее новое местоположение на локальном компьютере или на общем сетевом ресурсе. Таким образом, пользователи могут работать с общими документами, хранящимися на защищенном сервере, с сохранением видимости того, что эти документы находятся на локальном диске.

В случае отказа сети работу пользователей с общими документами обеспечивают автономные папки (offline folders). Если пользователь разрешает автономную работу с некоторым файлом или папкой, то копия этого общего файла или папки хранится на локальном компьютере. Если этот компьютер не может обращаться к сети, пользователь может редактировать локальную версию кэшированного документа. После восстановления доступа к сети модифицированный документ копируется обратно на общий сетевой ресурс.

Нужно отметить, что данные "следуют" за пользователем только тогда, когда они расположены в соответствующей папке (например, My Documents), настроенной для такого режима работы.



Управление системами Windows в корпоративной среде


Эффективное управление рабочей средой настольных систем — главная и наиболее трудоемкая задача администратора сети или специалиста по информационным технологиям. Средства администрирования призваны помочь техническому персоналу планировать, размещать, эффективно поддерживать и централизованно управлять распределенной вычислительной средой.

В этой главе рассматриваются некоторые общие соображения, без понимания которых не всегда можно разобраться в механизмах функционирования и взаимодействия модулей, утилит, служб и т. п., имеющихся в Windows Server 2003, а также рационально использовать средства управления и конфигурирования систем и сетевой среды. При решении тех или иных административных задач (таких как настройка рабочего стола пользовательского компьютера, ограничение доступа к файлам и папкам, обеспечение отказоустойчивости и т. п.) важно знать, какие инструменты и приемы нужно использовать — т. е. понимать общую стратегию управления системой (сетевой средой); при этом недостаточно формального знакомства с интерфейсом административных оснасток и умения выполнять с их помощью элементарные задачи (например, создать учетную запись пользователя или инсталлировать приложение на сервере).

Мы рассмотрим в целом технологии и программные решения, применяемые для управления корпоративными сетями, а также возможности спецификации Windows Management Instrumentation (WMI) и программных интерфейсов Active Directory Service Interfaces (ADSI), которые администраторы систем могут использовать для создания административных сценариев и приложений, максимально адаптированных к конкретным конфигурациям и выполняемым задачам.



Управление установками пользователей и компьютеров


Достоинством средств Управления установками пользователей и компьютеров является то, что администраторы могут централизованно управлять рабочей средой для групп пользователей и компьютеров, и эти пользователи и компьютеры автоматически получат правильно сконфигурированную среду. Администраторы могут добавлять новых пользователей и компьютеры, описывать установки для различных групп и распространять изменения конфигураций. Более того, с помощью средств IntelliMirror можно восстановить установки пользователя при отказе его компьютера и гарантировать, что установки рабочей среды будут "следовать" за пользователем при его перемещении на другой компьютер.

Установки пользователей могут, к примеру, храниться в "перемещаемых" профилях (roaming profile), которые позволяют им перемещаться в пределах корпоративной сети и работать на различных компьютерах. При наличии такого профиля пользователь может поработать на одном компьютере — войти в систему, запускать приложения, редактировать документы и выйти из системы. После этого профиль пользователя будет скопирован на сервер.

Если пользователь захочет поработать на другом компьютере, то вся информация о профиле, включая настройки меню Start и содержимое папки My Documents, будет скопирована на второй компьютер.

При описании установок для групп пользователей и компьютеров используется групповая политика. Эти установки включают: значения ключей реестра клиентского компьютера (для компонентов операционной системы и приложений), сценарии (выполняемые при включении/выключении компьютера или при регистрации пользователя), опции инсталлированных приложений (доступных для пользователей и тех, которые появляются на рабочем столе) и установки безопасности (локальной, доменной или сетевой).