第3部分 使用遠程安裝服務
1. 遠程安裝服務服務器授權
“遠程安裝服務 (RIS)”服務器授權特性可防止將未經授權的 RIS 服務器添加到使用 Active Directory 的網絡中。
使用 RIS 可確定哪些 RIS 服務器能接受和處理請求,以及哪些 RIS 服務器僅能爲網絡上的客戶端提供服務。必須先授權 RIS 服務器在 Active Directory 中運行,它才能接受請求。若要在 Active Directory 中授權 RIS,您必須首先以 Enterprise Admins 組成員的帳戶登錄到要在其中授權 RIS 服務器的域中。應運行 RISETUP -Check 授權該服務器。
當 RIS 服務器嘗試在網絡上啓動時,將查詢 Active Directory,並且 Internet 協議 (IP) 地址與授權的 RIS 服務器的列表相比較。如果發現匹配項,則 RIS 服務器已得到授權且可以在網絡上啓動。如果沒有匹配項,該服務器未獲得授權。此時,RIS 將沒有應答。
2. 運行遠程安裝服務安裝嚮導
運行“遠程安裝服務安裝嚮導”前,您必須確保在要運行該向導的服務器上的 Administrators 組中有帳戶。也應確保完成清單:安裝遠程安裝服務中所述的全部必要步驟。
完成安裝後,您可選擇“遠程安裝服務 (RIS)”作爲可選組件。爲此,請使用“控制面板”中的“添加或刪除程序”。如果使用無人蔘與應答文件運行安裝,則也可在安裝過程中安裝 RIS。這種情況下,在您選擇 RIS 後,“安裝嚮導”將引導您完成安裝和配置的必要步驟。
該“安裝嚮導”顯示以下選項:
l 響應客戶端計算機的請求服務
選擇此選項能夠使 RIS 服務器開始響應客戶端計算機。取消選中該選項可防止 RIS 服務器進行響應。
選擇此選項能夠使 RIS 服務器開始響應客戶端計算機。取消選中該選項可防止 RIS 服務器進行響應。
l 不響應未知客戶端計算機
如果希望 RIS 服務器僅響應已知(預安排)的客戶端計算機,則選擇該選項。如果希望該 RIS 服務器響應請求遠程安裝的任何客戶端計算機,則取消選中該選項。
如果希望 RIS 服務器僅響應已知(預安排)的客戶端計算機,則選擇該選項。如果希望該 RIS 服務器響應請求遠程安裝的任何客戶端計算機,則取消選中該選項。
l 預安排可以作爲 RIS 的安全策略的一部分。因爲您可使用預安排防止通過 RIS 安裝未知客戶端計算機。對於與 PXE 體系結構和 RIS 有關的安全考慮事項,請參閱 PXE 體系結構、RIS 和安全考慮事項。
l “安裝嚮導”將提示您輸入該安裝文件的位置。這可以是光盤或包含該安裝文件的網絡位置。
l “安裝嚮導”將提示您輸入目錄名稱,以便將 RIS 服務器上的安裝文件複製到該目錄中。您應當將目錄命名爲能表示要複製的操作系統的形式(例如,WindowsXP.pro)。
l “安裝嚮導”將提示您輸入描述此操作系統安裝映像的易懂描述和“幫助”文本。在啓用遠程啓動的客戶端計算機上執行客戶端安裝過程中,系統將向用戶顯示易懂描述和“幫助”文本。輸入操作系統安裝選擇的描述。例如,易懂描述可以是“Windows XP Professional 用於銷售人員”。當用戶在“客戶端安裝嚮導”中選擇易懂描述時,將顯示“幫助”文本。
l 此“安裝嚮導”顯示安裝過程的摘要信息。若要更改其中的任何信息,請單擊“上一步”。
3. 從命令行使用 Risetup
通過 Risetup,您可從命令行管理運行“遠程安裝服務 (RIS)”的服務器。可使用 Risetup 添加新安裝映像或驗證服務器,並確保它正常運行。
若要運行 Risetup,請在命令行鍵入:
risetup
4. 遠程安裝服務管理概述
要管理“遠程安裝服務 (RIS)”,請使用 Active Directory 內指定對象的屬性頁。要訪問屬性頁,請右鍵單擊想要管理的服務器對象,然後單擊“屬性”。在“遠程安裝”屬性頁中可以設置下列選項:
1) 客戶端服務
可以指定服務器響應所有的客戶端請求服務,或只響應已知的(預安排)客戶端。使用以下選項指定 RIS 服務器如何響應來自客戶端計算機的服務請求:
l 響應客戶端請求服務: 如果選擇該選項,RIS 將啓用,並響應客戶端計算機請求服務。
l 不響應未知客戶端計算機:如果選擇該選項,RIS 服務器僅響應 Active Directory 中預安排的客戶端計算機。否則,RIS 服務器將響應請求遠程安裝的任何客戶端計算機。
有關預安排的詳細信息,請參閱預安排客戶端計算機。
2) 驗證服務器
如果服務器似乎出現故障或運行狀況異常,或者需要從備份中還原 RIS 卷,則選擇該選項。該選項將調用一個嚮導,檢查所有的設置、服務和配置選項是否都已正確設置並正常工作。
選擇該選項前,請確保安裝光盤可用。在“驗證服務器”過程中可能會提示您需要光盤。
您只能在 RIS 服務器上本地使用“驗證服務器”,或者通過“管理遠程桌面”連接到該服務器來使用“驗證服務器”。如果正在從遠程服務器執行 RIS 管理任務,就不能使用“驗證服務器”。
注意:如果因爲需要從備份中還原 RIS 卷而驗證服務器配置,則必須在還原該卷之前驗證服務器配置。
3) 顯示客戶端
如果選擇此選項,您就能夠在 Active Directory 中搜索 RIS 客戶端。
選擇該選項將顯示客戶端計算機的列表,這些客戶端計算機按它們的全局唯一標識符 (GUID) 排序。該列表也包括已預安排的客戶端計算機。
4) 高級設置
如果選擇該選項,則可控制如何安裝客戶端計算機。以下爲高級設置選項:
l 自動客戶端計算機帳戶命名格式
l 客戶端計算機帳戶的 Active Directory 位置
l 管理安裝在該 RIS 服務器上的安裝映像和操作系統預維護工具
5. RIPrep 創建安裝映像
使用“遠程安裝準備 (RIPrep) 嚮導”,您可以創建當前安裝的映像,並將該映像複製到網絡上可用的“遠程安裝服務 (RIS)”服務器。若要執行該過程,您必須是客戶端計算機上 Administrators 組的成員,或者必須已被委派了適當的權限。Domain Admins 組的成員也可執行此過程。您還必須具有寫入 RIS 服務器上 RIS 文件夾的權限(包含所有 RIS 文件夾的文件夾的默認名爲 RemoteInstall)。
確保您具有寫入 RIS 服務器上 RIS 文件夾的權限的方法之一是明確地爲您指派此權限。另一種方法是成爲 RIS 服務器上本地 Administrators 組的成員。
l 建議您使用 RIS 安裝爲安裝映像選擇的操作系統。然而,RIPrep 僅能用於爲它所支持的特定操作系統創建映像。不必使用 RIS 安裝操作系統;您可通過光盤進行安裝。
l 安裝操作系統後,您應安裝要使用客戶端進行部署的客戶端計算機應用程序。
注意:如果您想安裝不符合“Windows Installer”技術的應用程序,則應執行本步驟。您也可以安裝符合“Windows Installer”技術的應用程序。
l 安裝適當的客戶端計算機應用程序後,您應將源計算機配置爲符合任何必要的公司桌面標準。例如,您可能希望定義特定的屏幕顏色、設置背景位圖爲公司徽標、刪除由基本操作系統安裝的任何遊戲以及配置 Internet Explorer 代理服務器設置。要保存桌面配置,請將發生配置更改時登錄的用戶的配置文件複製到默認用戶配置文件中。
注意:啓動“遠程安裝準備嚮導”前,確保刪除源客戶端計算機中的所有機密信息。
l 然後,您應關閉所有應用程序並運行“遠程安裝準備嚮導”。
l 此嚮導將源計算機配置成一般狀態,刪除對客戶端安裝特有的任何內容,如計算機的唯一安全標識符 (SID)、計算機名稱以及對客戶端源計算機特有的任何註冊表設置。
l 然後,此嚮導將提示您輸入映像創建過程所必需的安裝信息。這些信息包括客戶端安裝映像複製的位置、應複製到服務器上的目錄的名稱以及向運行“客戶端安裝嚮導”的用戶說明安裝映像的易懂描述及相關“幫助”文本。由於在遠程啓動過程中的內存限制,所以您能爲一組安裝映像選擇提供的完整文本將受到限制。對於相對大量的安裝映像選擇,易懂描述和“幫助”文本必須限制長度;對於較少的選擇,易懂描述和“幫助”文本可較長一些。如果客戶端計算機的安裝映像選擇數量接近 12 到 16,則通常對於完整文本存在這些限制。
l 複製完成之後,安裝映像將自動添加到可用操作系統安裝選項的列表中並且可以被使用遠程啓動技術的客戶端計算機使用。使用 RIPrep 創建新映像時,該映像僅對具有相同類型“硬件抽象層 (HAL)”的客戶端計算機可用。使用 RIPrep 創建的映像對於經授權可以查看它們的所有客戶端都可用。
注意:啓用遠程啓動的客戶端計算機不必具有與用於創建安裝映像的源計算機相同的硬件(HAL 除外)。在映像安裝過程中,“遠程安裝準備嚮導”使用即插即用功能檢測源計算機硬件和目標計算機硬件之間的差異。對於任何即插即用設備,這可確保安裝正確的設備驅動程序。
l 通過在安裝映像 .sif 文件上設置訪問控制權限,您可控制可用於用戶的安裝選項,或者,爲了獲得更大的控制,您可在包括該安裝映像的文件夾上設置權限。
1) 計劃 RIPrep 時要考慮的因素
計劃使用 RIPrep 創建安裝映像時要考慮的因素。它們主要包括:
Ø RIPrep 複製過程的要求
Ø 安裝映像、產品標識號以及授權
Ø 源客戶端計算機和目標計算機上的磁盤特徵
2) RIPrep 複製過程的要求
打算運行 RIPrep 時,瞭解源客戶端計算機、映像和用來複制映像的媒體所要符合的要求,這非常重要。
Ø “遠程安裝準備嚮導”當前支持將安裝的單磁盤和單啓動分區複製到單獨的 RIS 服務器。這意味着,操作系統和組成標準安裝映像的所有應用程序都必須保存在源客戶端計算機的單個分區上。
Ø 源客戶端計算機上的文件一定不要加密。不支持加密文件的複製。
Ø 不支持修改複製的安裝映像。
Ø 此嚮導允許將源映像僅複製到可用的 RIS 服務器上。目前還不支持將源複製到備用驅動器或備用媒體類型上。
3) 安裝映像、產品標識號以及授權
Ø 使用“遠程安裝準備嚮導 (RIPrep)”創建最初使用零售版操作系統安裝的客戶端計算機的安裝映像時,必須修改 RIS 的無人蔘與安裝應答文件 (sif) 以包括該產品的標識號 (PID)。PID 是專用於每個操作系統副本的唯一標識號。如果沒有在 .sif 文件中輸入 PID,那麼在安裝 RIPrep 映像的過程中會停止安裝並且提示用戶輸入產品標識符的信息。在與該安裝映像關聯的 .sif 文件的 [UserData] 部分添加產品標識符,可以避免在安裝過程中提示用戶輸入 PID。例如,在 .sif 文件的 [UserData] 部分鍵入如下內容(包括連字符和引號):
ProductKey = "xxxxx-xxxxx-xxxxx-xxxxx-xxxxx"
Ø 映像複製過程結束之後,源客戶端計算機將關機。重新啓動源計算機時,簡化的安裝程序將自動運行。如果需要使用該客戶端計算機創建另一個安裝映像,則必須完成此安裝過程。如果您使用零售版的 PID,則僅能創建三次附加的安裝映像。但是,卷授權 PID 允許您創建三次以上的安裝映像。
Ø 使用 RIS 製作或安裝的 Microsoft 軟件的所有副本都必須完全得到許可。使用 RIS 製作或安裝的非 Microsoft 軟件的所有副本也都必須獲得許可,而且持有許可證的一方有責任確保非 Microsoft 軟件的任何副本都已得到許可。
4) 源客戶端計算機和目標計算機上的磁盤特徵
打算運行 RIPrep 時,瞭解源客戶端計算機上具有的磁盤配置,然後將它與要安裝映像的客戶端計算機上的磁盤配置進行比較,這很重要。以下要求涉及:
Ø 目標計算機的磁盤容量必須等於或大於源計算機的磁盤容量。
以下示例解釋了這一點,但也說明了並不建議使用的文件分配表 (FAT) 和 FAT32 文件系統的用法。對於 RIS,建議使用 NTFS 文件系統。具體示例,請參閱下面內容:例如,如果使用 2 GB 的 FAT 卷從源計算機創建安裝映像,然後將該映像安裝在 4 GB 驅動器的客戶端計算機上,則生成的安裝會將此驅動器格式化爲使用 FAT32 的 4 GB 卷。目標計算機文件系統類型的更改是由於 FAT 文件系統的限制引起的。如果目標卷大於 32 GB,則不能進行目標計算機文件系統類型的此類更改(從 FAT 更改爲其他文件系統)。對於大於 32 GB 的目標卷,源計算機必須使用 NTFS 文件系統。
目標計算機的磁盤準備容量必須等於源計算機的磁盤容量,除非按照本列表下一項中的指導操作,否則將格式化目標計算機上所有剩餘的磁盤容量。例如,如果源計算機的磁盤容量是 1 GB,而目標計算機的磁盤容量是 2 GB,那麼目標計算機上的整個 2 GB 都將被格式化。
Ø 通過更改與安裝映像相關聯的 .sif 文件中的信息,您可以限制磁盤重新格式化,以便它與用來創建安裝映像的源計算機一樣。例如,打開位於 \\Server_name\REMINST\Setup\Applicable language\Images\Applicable p_w_picpath name\I386\Templates\Riprep.sif 文件夾中的 Riprep.sif 文件,並將 UseWholeDisk 參數修改爲 NO。客戶端計算機安裝該映像時,磁盤將按照與源計算機匹配的容量進行格式化,且不格式化目標計算機剩餘的磁盤容量。
6. RIS 客戶端計算機屬性
“遠程安裝服務 (RIS)”使用屬性頁包括有關 RIS 客戶端計算機的信息。若要查看或更改有關 RIS 客戶端計算機的信息,請右鍵單擊某個客戶端列表,然後單擊“屬性”。
1) 計算機的唯一標識符 (GUID)
屬性頁上顯示的一個重要屬性是計算機的全局唯一標識符 (GUID),也稱作通用唯一標識符 (UUID)。RIS 服務器使用該標識符定位客戶端計算機。以下列表提供有關 GUID 的詳細信息:
GUID 由客戶端計算機的製造商提供。
輸入 GUID 時,您一般以 {dddddddd-dddd-dddd-dddd-dddddddddddd} 的顯示格式輸入它,其中 d 是十六進制的文本數字。在第一個連字符前有 8 個數字,其後的三組數中每組都有 4 個數字,最後一個連字符後又 12 個數字。如以下示例所示:
{67452301-AB89-EFCD-0123-456789ABCDEF}
GUID 僅使用十六進制的文本數字和連字符,即以下列表中的字符(不區分大小寫):
0 1 2 3 4 5 6 7 8 9
a b c d e f - A B C D E F
不要在 GUID 中鍵入空格。
GUID 也可以按電報格式輸入。在電報格式的 GUID 中,將通過與顯示格式的 GUID 進行比較而調換最初的 16 個數字。以下示例將電報格式與顯示格式進行比較:
以電報格式表示的 GUID:0123456789ABCDEF0123456789ABCDEF
以顯示格式表示的相同的 GUID:{67452301-AB89-EFCD-0123-456789ABCDEF}
2) 查找客戶端計算機
每臺客戶端計算機由其 GUID 標識。在 Active Directory 中,您可使用“顯示客戶端”功能顯示按其 GUID 排序的客戶端計算機的列表。該列表包括預安排客戶端計算機。可以在整個 Active Directory 結構或僅限制在特定的域執行該搜索。
“顯示客戶端”搜索過程爲當前 RIS 服務器計算機名附加一個通配符搜索屬性。例如,如果命名 RIS 服務器爲 RISsvr1,那麼“顯示客戶端”功能將使用 RISsvr1* 作爲服務器名稱。
在多個 RIS 服務器環境中使用“顯示客戶端”功能時,搜索結果可能包含從多個服務器獲得的客戶端計算機。例如,如果您有多個 RIS 服務器具有像 RISsvr1、RISsvr10 和 RISsvr100 這樣的計算機名稱,當您搜索 RISsvr1 時,列表將顯示從所有這三個服務器安裝的客戶端計算機。
7. 遠程安裝服務的安全信息
1) PXE 體系結構、RIS 和安全考慮事項
“遠程安裝服務 (RIS)”所使用的“預啓動執行環境 (PXE)”體系結構由於其設計問題使得在 PXE 中存在某些固有的安全風險。PXE 是一種行業標準,所以使用 PXE 的遠程安裝方法都具有同樣的風險。
這些安全風險包括以下方面:
Ø PXE 沒有提供防止未知服務器在啓用 PXE 的客戶端計算機上執行遠程安裝的措施。如果某個服務器可與客戶端建立連接,它即可在這些客戶端上執行遠程安裝。
Ø PXE 並沒有提供完全阻止數據包欺騙的措施。這意味着,客戶端計算機將接收***者發送的數據包,並將該數據包結合到此客戶端計算機的安裝中。
Ø PXE 沒有提供一種措施來防止未知的啓用 PXE 的計算機安裝服務器(如果該啓用 PXE 的計算機能連接到網絡)。但是,RIS 提供了 PXE 所不具有的某些安全性,因爲 RIS 僅在用戶登錄後才執行遠程安裝。沒有有效用戶名和密碼的用戶無法使用 RIS 執行安裝。
Ø 另外,如果您預安排客戶端計算機並配置您的 RIS 服務器僅響應已知(預安排的)客戶端,則可通過 RIS 獲得更高的安全性。這樣,如果***者成功地將未知的、啓用 PXE 的客戶端計算機連接到您的 RIS 服務器,則不會向該客戶端計算機發送任何安裝文件。該***者不會獲得您用於 RIS 客戶端計算機的配置信息。
由於存在這些安全性問題,所以建議您在包括啓用 PXE 的客戶端計算機的網絡周圍實施保護措施。
您可採取如以下列表中所述的那些步驟確保由您組織外的人員控制的計算機不要連接到啓用 PXE 的客戶端:
Ø 使用防火牆,並正確配置它。
Ø 使用適當的審覈和監控方法來監測對網絡的***。
Ø 限制對網絡的物理訪問。
Ø 在整個組織內使用強密碼。
Ø 執行加強網絡安全的其他最佳操作。
2) 爲 RIS 管理員選擇適當的組成員
如果您組織中某些人員的職責包括配置“遠程安裝服務 (RIS)”服務器和創建安裝映像,則使這些人員成爲諸如 Domain Admins 或 Enterprise Admins 等管理組的成員。這能使他們執行所有 RIS 配置任務。對於通過在 Active Directory 中授權 RIS 服務器的方式完成安裝 RIS 服務器的單獨任務,需要在 Enterprise Admins 中具有成員身份。
也應爲您組織的管理員提供未在任何管理組的用戶帳戶。使用這些帳戶,管理員可以作爲用戶以安全性最佳操作進行登錄,然後使用運行方式執行管理任務。
在任何可能的情況下,按照僅提供對域帳戶和資源必要的訪問的方式選擇組成員身份和分配權限。例如,可能您組織中某些人員的職責包括管理帳戶和權限但不包括配置 RIS 服務器或創建客戶端安裝映像。不要授予這些人員在諸如 Domain Admins 或 Enterprise Admins 等組中的成員身份,而授予他們在諸如 Account Operators 組中的成員身份,並授予他們對 RIS 服務器上文件夾的權限。
下表說明組成員身份和僅管理與權限、計算機帳戶和用戶帳戶相關的 RIS 任務的人員所必需的權限:
|
任務 |
執行那些任務的管理員所必需的權限或組成員身份 |
|
管理客戶端安裝映像,包括:
² 將無人蔘與安裝應答文件與安裝映像相關聯。
² 允許或阻止用戶或組安裝 RIS 映像。
² 允許或阻止用戶或組查看和安裝 RIS 映像。 |
對“Images”文件夾,或“Images”文件夾中的一個或多個子文件夾的完全控制。
|
|
管理使用了預安排的域中的帳戶,包括:
|
Account Operators 中的成員身份。 |
3) 在包含 RIS 的網絡上設置“LAN Manager 身份驗證級別”
您可使用“LAN Manager 身份驗證級別”設置指定某些身份驗證協議是否可用於網絡通信的級別。用戶登錄到 RIS 客戶端時,“遠程安裝服務 (RIS)”使用第一版的 NTLM 身份驗證協議,或使用第二版的 NTLM 身份驗證協議(即 NTLMv2)。這兩個協議中,NTLMv2 由於其處理加密密鑰的方法而明顯比第一版的協議更爲安全。
有關在包含 RIS 的網絡上選擇最合適“LAN Manager 身份驗證級別”的信息,請參閱本主題以下內容中所示的表。
設置“LAN Manager 身份驗證級別”時,您應考慮網絡安全的需要以及使用各種操作系統的需要。如果您選擇最高的級別(僅發送 NTLMv2 響應\拒絕 LM & NTLM),則僅使用更爲安全的 NTLMv2 協議;身份驗證中所涉及的所有計算機都必須運行支持 NTLMv2 的軟件。如果您選擇較低級別(僅發送 NTLM 響應),則任何可能的情況下都使用 NTLMv2,僅在要求使用 NTLM 的情況下使用它(即當身份驗證中涉及的一臺或多臺計算機不支持 NTLMv2 的情況下)。
最合適的“LAN Manager 身份驗證級別”取決於在域控制器上安裝哪個操作系統、RIS 服務器以及所要安裝的客戶端。下表提供您可用來確定合適的“LAN Manager 身份驗證級別”的標準。
|
用於“僅發送 NTLM 響應”的標準 |
用於“僅發送 NTLMv2 響應\拒絕 LM & NTLM”的標準 |
|
域控制器:任何域控制器可包括運行 Windows 2000(不帶特定軟件補丁程序)的那些域控制器。它們不必限於本表其他列中所示的內容。 |
域控制器:運行帶特定軟件補丁程序的 Windows 2000 或運行 Windows Server 2003爲了使用該身份驗證級別,域控制器必須運行帶特定軟件補丁程序的 Windows 2000 或必須運行 Windows Server 2003。有關爲使用此身份驗證級別運行 Windows 2000 所需的軟件補丁程序的信息,請搜索 Microsoft 網站 ([url]http://www.microsoft.com[/url]) 上的“Knowledge Base”(知識庫)。
另外,RIS 服務器和客戶端必須符合本表中的要求。 |
|
RIS 服務器:任何RIS 服務器可包括運行 Windows 2000 的那些服務器。它們不必限於運行 Windows Server 2003 的那些服務器。
|
RIS 服務器:僅運行 Windows Server 2003爲了使用該身份驗證級別,所有 RIS 服務器必須運行 Windows Server 2003。另外,域控制器和客戶端必須符合本表中的要求。 |
|
客戶端:任何客戶端可包括運行 Windows 2000 或 Windows XP(不帶 service pack)的那些客戶端。它們不必限於運行 Windows Server 2003 或運行帶有 Service Pack 1 (SP1) 或更高版本 Service Pack 的 Windows XP 那些客戶端。 |
客戶端:運行帶有 SP 1 或更高版本 SP 的 Windows XP,或運行 Windows Server 2003爲了使用該該身份驗證級別,客戶端必須運行帶有 SP 1 或更高版本 SP 的 Windows XP,或運行 Windows Server 2003。另外,域控制器和 RIS 服務器必須符合本表中的要求。 |
|
使用“僅發送 NTLM 響應”的整體效果 安全性並不很強,但可供選擇的操作系統範圍較廣。 |
使用“僅發送 NTLMv2 響應\拒絕 LM & NTLM”的整體效果 安全性更強,但可供選擇的操作系統範圍較小。 |