网络数据中心管理员在拓展基于Microsoft Windows 操作系统(OS)的服务器部署时面临重大挑战。凭借Windows Server 2003,Enterprise Edition 自动化部署服务(ADS)的映像工具,管理员能够在裸机服务器上有效部署Windows操作系统,以及通过基于脚本程序的远程运行来管理大量Windows服务器通过提供以下特性,ADS可以帮助IT管理员从容对拓展时面临的挑战:
安全、可扩展的远程部署:
使用集成ADS服务的自动化部署可以促进裸机服务器上安全、可审核、大规模的操作系统和应用安装。
自动化工作队列:
ADS可以自动发布可重复使用的工作队列,或一组指令,实现更可靠和统一的操作。
灵活的映像工具:
全新的映像工具可以迅速创建标准系统映像库,允许更新和编辑各个映像且无需首先向服务器部署。
多用户界面:
管理员可以使用命令行操作。Microsoft Management Console (MMC)用户界面(UI)snap-ins或完整的Windows Management Instrumentation(WMI)界面,在他们的部署流程中管理ADS或集成ADS与其它工具。
可靠的远程运行架构:
利用现有的脚本程序投资,管理员可以远程管理数百台服务器。
虚拟软驱:
通过下载在内存中运行的基于MSDOS的虚拟软驱映像,管理员可以运行自动化硬件配置工作。集中数据存储:审核更可靠,因为集中数据存储维持使用ADS基础架构运行的所有管理工作的完整历史纪录。
一、ADS如何增强部署和管理
由于Windows服务器的不断增长,在大型网络中管理系统部署和管理显著增加了总体拥有成本(TCO)。操作系统和应用的自动部署通常依赖于脚本程序或第三方供应商提供的映像和部署工具。传统上,使用脚本程序来管理大量Windows服务器是一项非常耗时的工作。在UNIX操作系统环境中管理员可以使用像rsh,ssh和rdist这样的工具来远程管理服务器群,而在Windows环境中,管理员必须单独管理每台服务器。此外,虽然基于脚本程序的安装工作非常适用于许多不同的硬件配置,但脚本程序趋向于运行速度非常缓慢 而且通常没有标准化。虽然映像软件运行速度非常快 但它非常不灵活,而且更新映像集台需要执行大量的工作。
借助于ADS,进一步扩展了Windows Server 2003 平台,以促进大量Windows服务器的快速、灵活的部署和平滑基于脚本程序的管理。ADS包括一组在控制器上运行的集成服务,包括Controller Service、网络引导服务(NBS)和Image Dis-tribution Service(IDS)以及卷标映像工具和一组部署和管理代理。这些特性一同显著提升管理员部署和管理大量Windows服务器的能力。
二、控制器服务协调ADS活动
控制器服务是ADS的心脏,协调所有ADS活动。它向其它ADS服务发送配置信息;为管理员输人提供多个接口;以及管理ADS系统知道的每台设备的主记录,包括与设备相关的措施等详细信息。
控制器服务运行以下功能:
工作协调和排队:控制器服务协调部署和管理工作。例如它为连接到预引导运行环境(Preboot Execution Environment,PXE)的每台设备提供适当的引导指令。在部署期间,控制器服务协调在系统上本地配置服务器和安装映像的工作顺序。当最初映像部署后系统重启时,设备通过控制器服务检测任何等待的引导指令,从而使管理员能够在下一次引导中完全重新创建设备,就好象它是裸机服务器一样。
与设备安全通信:控制器服务可以与安装在设备上的ADS部署和管理代理安全通信 以及运行工作队列。设备数据和管理活动的集中记录:控制器服务使用Microsolt SQL Server 2000 Desktop Engine(MSDE)或Microsoft SQL Server 2000 来存储所有设备和配置数据,记录设备上运行的所有工作的相关信息。还可以通过控制器服务获得设备上运行的每项工作的完整审核跟踪记录。
设备资产逻辑分组:虽然控制器服务可以单独管理每台设备,但它通常与组协作,组是一组可管理的可以作为单个实体进行寻址的设备。例如:为了在一组设备上部署操作系统,管理员只需要引用一组设备的组名,组还可以包含其它组的引用,创建一个分级体系,从而管理员只需发布一条指令就可以在所有设备上运行日常管理工作。管理员可以使用较小规模的组来提供对设备更全面的控制。命令行或MMC snap-in发布的一条指令可以一次向数百台设备启动操作。
三、NBS提供引导指令功能
网络引导服务(NBS)与动态主机配置协议(DHCP)协作为ADS提供引导指令功能。要开始与ADS建立通信会话,基于PXE的设备使用DHCP来发现PXE服务。NBS包括ADS PXE服务,它向设备发送PXE引导指令。该服务器可以指导目标设备来运行以下功能:
1.下载和引导通过Deployment Agent Builder Service 为设备创建的ADS部署代理
2.下载和引导虚拟软驱映像
3.忽略PXE引导请求
4.中断PXE操作和引导到硬盘
5.NBS还包括ADS Deployment Agent Builder Service,它在引导时创建专门面向设备的代理。在PXE引导发生和选择了部署代理选项后,Builder Service可以实施以下工作:在设备上运行本地硬盘发现和将数据发送到控制器,根据设备的硬件配置建立定制的部署代理,将定制的部署代理下载到设备,在设备上代理在本地内存中运行。NBS提供下载在内存中运行的基于MS-DOS的虚拟软驱的方式。通常由服务器供应商提供的实用程序可以在虚拟软驱环境中运行硬件配置工作(如RAID驱动器配置和BIOS flashing)。
NBS使用Windows Server 2003 Trivial FTP(TFTP) Service来下载部署代理和虚拟软驱映像.不管是在控制器上还是在网络中的其它地方,ADS要求DHCP服务器为可配置的设备提供IP地址。
四、IDS简化设备映像管理
ADS中的另一项服务是映像分发服务(IDS),它为管理设备映像提供存储和通信功能。映像是一个简单明了的流程,使用户能够捕获和向一台或多台设备同时快速部署完整的操作系统和应用包。IDS允许管理员能够快速,高效的部署ADS映像工具创建的设备操作系统映像。
映像流程包括多个分散的工作:
安装参考设备:使用与映像部署的设备类似的硬件配置,管理员安装生产中映像将需要的基本操作系统和任何其它应用和设备驱动程序,以及添加管理代理。
准备参考设备以便映像:管理员使用Microsoft System Preparation(Sysprep)工具来准备系统以便映像.Sysprep删除独有的系统信息和准备系统以在下次引导时运行 Windows Mini-Setup。这一程序允许通过本次映像创建的所有设备来生成相对于Windows环境来说独有的信息。
使用映像工具来捕获引导磁盘分区:通过运行参考系统上的命令行工具,ADS允许管理员手工捕获设备映像。系统重启时管理员还可以使用ADS来远程捕获映像。
向新或现有的设备部署映像:ADS向新或现有的设备部署操作系统映像,然后加人到生产环境中。采用可完全再生的方法,可以通过一个映像迅速、轻松地部署数百台设备。
映像被捕获后添加到IDS映像存储中,在那,它们被保存到IDS服务器的文件系统中。在将映像下载到设备的同时,系统加密通信渠道以防止映像数据的偷听。控制器服务协调映像操作,使用安全套接层(SSL)协议,通过安全连接来与设备通信。IDS可以通过单播和组播网络向多台设备部署映像。此外,IDS使用户能够调整组播映像传输中使用的网络带宽的数量。
卷标映像工具提供强大的映像处理动能
当与Sysprep一同使用时可以捕获和部署所有文件分配表(FAT)或NT文件系统(NTFS)卷标,但当与NTFS文件系统协作时管理员可以获得增强的捕获和编辑优势。ADS提供一组强大、灵活的映像工具:imgdeploy、 imgmount和adsp_w_picpath。
Imgdeploy:这一映像捕获和恢复工具可以实现压缩,这一功能可以减少存储需要;映像加密可以保护映像以便传输;defragmented恢复可以捕获文件中的映像,从而当文件恢复到设备时可以自动defragmented。
Imgmount:该工具可以实现imgploy捕获的映像的真正编辑。Imgmount可以安装和接人捕获的映像,与文件系统极其类似。安装之后 映像可以从任何标准Windows工具或应用该取或编写。管理时间的节省是巨大的:无需更改捕获映像的参考系统,然后重新捕获映像就可以维持映像。
Adsp_w_picpath:该工具可从命令行或MMC UI接人并列出可用于部署的映像。它可以增加、删除映像或更新映像属性。
五、工作顺序自动化日常工作
在引导时或部署后,控制器服务向设备分配工作。工作包括排序的各项任务;这些顺序可以在一台或多台设备上运行并作为XML文件保存到控制器中。用于使用PXE部署新设备的典型。工作顺序包括以下步骤:
1.运行虚拟软驱以更新系统BIOS或配置RAID控制器
2.请求和引导部署代理
3.硬盘分区
4.将操作系统映像下载到硬盘
5.在部署的映像中更改下载的Sysprepjnf文件,为该设备提供唯一的主机名、产品标识符等
6.在下载的映像中配置管理代理,当操作系统第一次引导时与控制器通信
7.重启
8.指导设备引导到下一次引导的本地硬盘
当设备第一次从新下载的映像引导时,系统以无人值守模式运行简短的设置程序来执行最后的操作系统配置。工作顺序可以包括以下指令和脚本程序:
PXE引导指令
部署代理内部指令
本地可用于目标设备或网络上目标设备可共享接入的任何Windows应用或脚本程序
控制器上可用于下载到目标设备和在目标设备上运行的脚本程序
控制器上可用于直接在控制器上运行的脚本程序
当使用ADS工作顺序时,控制器服务记录所有发布的指令和到服务数据库的输出;从而提供完整的审核日志以及供调试指令使用的错误日志。
可以使用任何XML授权的工具来创建XML工作顺序,但ADS还为不喜欢直接使用XML的管理员提供简单的Sequence Editor。
ADS Sequence Editor提供Windows UI来创建ADS顺序。它还提供最常见的管理工作模板,包括部署步骤,如磁盘分区、映像下载和映像个性化。为了创建网络工作顺序或编辑现有的工作顺序,管理员简单的打开Sequence Editor、设置参数和将结果保存为新的工作顺序。
六、管理工具和可编程界面实现定制ADS
ADS提供一系列命令行工具和MMC snap-in来管理服务,尤其有用的是通过WMI界面提供的可编程界面。所有ADS都可以通过这一界面来提供,使内部开发人员能够为他们的特殊环境定制和管理ADS。
WMI对象领域(Object areas)是那些使用Microsoft组件对象模式(Component Object Model,COM)通信可用于脚本程序或应用开发的实体。
可用于管理和运行ADS的命令行工具包括:
Adsarchive:从数据库中删除以前的工作并把它们保存到XML文件中
Adsdevice:管理设备记录,允许管理员列出、添加、删除、控制和更改设备记录
Adsp_w_picpath:列出可用于作为工作来运行的模板;安装和删除模板
请注意:运行控制器服务的工具直接集成到WMI界面中;其它提供映像或证书管理的命令行工具即不依赖也不需要WMI功能来运行,这些其它的命令行工具例子包括imgmount.exe和dskp_w_picpath.exe,imgmount.exe从映像文件创建卷并进行安装,dskp_w_picpath.exe从软驱捕获扇区,创建硬件配置或BIOS flashing文件。此外,MMC snap-in提供ADS服务的GUI接入。
总之,这三个界面选项允许管理员灵活的使用GUI来完成工作和程序,或直接为命令行界面提供脚本程序。
七、满足ADS网络环境的需要
ADS需要高速连接的网络环境,在控制器、IDS、NBS和可管理的设备之间10 MB/秒或更高的连接速率。当为设备分配任务或下载映像时,ADS不进行任何设置就可进行一般的重试。即操作成功完成或失败使ADS在低速广域网(WAN)链路上的使用变得不切实际。
在子网或虚拟局域网(WLAN)环境中,DHCP和PXE广播的范围通常受限于附联网络的IP子网或VLAN。在这些环境中,管理员必须在网络路由点配置DHCP转发,以向一台DHCP和NBS服务器返回所有设备。在CISCO网络环境中,管理员在路由器或第3层交换机配置IP Helper来完成这一工作。在路由器不支持DHCP转发的环境中,Microsoft在服务器操作系统中提供DHCP转发服务来运行这一功能。
对于较大规模的设备部署来说ADS提供组播支持,它可以减少部署磁盘映像时使用的总带宽。在交换或路由环境中,设备必须进行配置并能够支持组播特性。
八、在ADS中提供安全性
ADS安全性模式分发三个截然不同的领域;
初期部署阶段使用DHCP 和PXE:在裸机部署的初期阶段DHCP和PXE协议不负责鉴权。因此,建议部署网络界面安装在指定的管理网络中。
ADS服务之间的通信:控制器服务和设备之间的通信:ADS使用公共密钥基础设施(PKI)和SSL服务器鉴权来创建私人的外部管理通信渠道。此外,映像捕获和部署期间IDS和Deployment Agent Builder Service之间转移的映像缺省为加密。
ADS的安全性环境:控制能服务在系统服务环境中运行,相当于本地管理员接人级别。这一环境是必要的,因为配置控制代表ADS控制器服务。但是,在可管理的设备上 使用本地系统的管理员账户缺省安装管理员代理。这一账户可以更改为任何用户,他们有适当的权限来运行作为ADS工作使用的应用和脚本程序。同样,无论选择哪一类账户,如果用户从网络共享点运行脚本程序或应用,都需要接人网络资源。
ADS安全性模式假设数据中心物理上是安全的而且不会遭受网络人侵。更重要的是,运行ADS的服务器和设备之间的网络也应是安全的。通常只允许是控制器本地管理员组成员的用户接人ADS控制器服务。除非使用基于角色的安主功能,由管理员级的账户明确授权,否则不是管理员组成员的用户不得从控制器运行工作。系统管理员应限制数据中心和管理员组的物理接人。
除了控制器服务的安全接入之外,管理员还应保护ADS使用的其它数据。在控制器上;通过工作模板引用的XML工作顺序文件和脚本程序文件保存在文件系统中并应受文件系统接入控制清单(ACL)保护,以确保非管理员没有更改这些文件的权限。准备用于部署的映像由IDS存储,也由文件系统保护。最后,设备上运行的管理员代理可以引用也应同文件系统保护的脚本程序。
九、简化大型网络Windows系统平台的部署和降低TCO
使用传统模式向大量服务器扩展Windows操作系统极其复杂、耗时而且成本昂贵、现在,Windows Server 2003平台包括ADS--实现跨数百台服务器快速、灵活、自主部署和管理的工具和服务。通过充分利用ADS的优势,管理员可以帮助自主运行、增强安全性和降低Windows操作系统部署的TCO