使用自動化部署服務拓展Windows系統平臺

 

網絡數據中心管理員在拓展基於Microsoft Windows 操作系統（OS）的服務器部署時面臨重大挑戰。憑藉Windows Server 2003，Enterprise Edition 自動化部署服務（ADS）的映像工具，管理員能夠在裸機服務器上有效部署Windows操作系統，以及通過基於腳本程序的遠程運行來管理大量Windows服務器通過提供以下特性，ADS可以幫助IT管理員從容對拓展時面臨的挑戰：

安全、可擴展的遠程部署：
使用集成ADS服務的自動化部署可以促進裸機服務器上安全、可審覈、大規模的操作系統和應用安裝。

自動化工作隊列：
ADS可以自動發佈可重複使用的工作隊列，或一組指令，實現更可靠和統一的操作。

靈活的映像工具：
全新的映像工具可以迅速創建標準系統映像庫，允許更新和編輯各個映像且無需首先向服務器部署。

多用戶界面：
管理員可以使用命令行操作。Microsoft Management Console (MMC）用戶界面(UI)snap-ins或完整的Windows Management Instrumentation（WMI）界面，在他們的部署流程中管理ADS或集成ADS與其它工具。

可靠的遠程運行架構：
利用現有的腳本程序投資，管理員可以遠程管理數百臺服務器。

虛擬軟驅：
通過下載在內存中運行的基於MSDOS的虛擬軟驅映像，管理員可以運行自動化硬件配置工作。集中數據存儲：審覈更可靠，因爲集中數據存儲維持使用ADS基礎架構運行的所有管理工作的完整歷史紀錄。
一、ADS如何增強部署和管理
由於Windows服務器的不斷增長，在大型網絡中管理系統部署和管理顯著增加了總體擁有成本（TCO）。操作系統和應用的自動部署通常依賴於腳本程序或第三方供應商提供的映像和部署工具。傳統上，使用腳本程序來管理大量Windows服務器是一項非常耗時的工作。在UNIX操作系統環境中管理員可以使用像rsh，ssh和rdist這樣的工具來遠程管理服務器羣，而在Windows環境中，管理員必須單獨管理每臺服務器。此外，雖然基於腳本程序的安裝工作非常適用於許多不同的硬件配置，但腳本程序趨向於運行速度非常緩慢 而且通常沒有標準化。雖然映像軟件運行速度非常快 但它非常不靈活，而且更新映像集臺需要執行大量的工作。
藉助於ADS，進一步擴展了Windows Server 2003 平臺，以促進大量Windows服務器的快速、靈活的部署和平滑基於腳本程序的管理。ADS包括一組在控制器上運行的集成服務，包括Controller Service、網絡引導服務（NBS）和Image Dis-tribution Service（IDS）以及卷標映像工具和一組部署和管理代理。這些特性一同顯著提升管理員部署和管理大量Windows服務器的能力。

二、控制器服務協調ADS活動
控制器服務是ADS的心臟，協調所有ADS活動。它向其它ADS服務發送配置信息；爲管理員輸人提供多個接口；以及管理ADS系統知道的每臺設備的主記錄，包括與設備相關的措施等詳細信息。
控制器服務運行以下功能:
工作協調和排隊：控制器服務協調部署和管理工作。例如它爲連接到預引導運行環境（Preboot Execution Environment,PXE）的每臺設備提供適當的引導指令。在部署期間，控制器服務協調在系統上本地配置服務器和安裝映像的工作順序。當最初映像部署後系統重啓時，設備通過控制器服務檢測任何等待的引導指令，從而使管理員能夠在下一次引導中完全重新創建設備，就好象它是裸機服務器一樣。
與設備安全通信：控制器服務可以與安裝在設備上的ADS部署和管理代理安全通信 以及運行工作隊列。設備數據和管理活動的集中記錄：控制器服務使用Microsolt SQL Server 2000 Desktop Engine（MSDE）或Microsoft SQL Server 2000 來存儲所有設備和配置數據，記錄設備上運行的所有工作的相關信息。還可以通過控制器服務獲得設備上運行的每項工作的完整審覈跟蹤記錄。
設備資產邏輯分組：雖然控制器服務可以單獨管理每臺設備，但它通常與組協作，組是一組可管理的可以作爲單個實體進行尋址的設備。例如：爲了在一組設備上部署操作系統，管理員只需要引用一組設備的組名，組還可以包含其它組的引用，創建一個分級體系，從而管理員只需發佈一條指令就可以在所有設備上運行日常管理工作。管理員可以使用較小規模的組來提供對設備更全面的控制。命令行或MMC snap-in發佈的一條指令可以一次向數百臺設備啓動操作。
三、NBS提供引導指令功能
網絡引導服務（NBS）與動態主機配置協議（DHCP）協作爲ADS提供引導指令功能。要開始與ADS建立通信會話，基於PXE的設備使用DHCP來發現PXE服務。NBS包括ADS PXE服務，它向設備發送PXE引導指令。該服務器可以指導目標設備來運行以下功能：
1．下載和引導通過Deployment Agent Builder Service 爲設備創建的ADS部署代理
2．下載和引導虛擬軟驅映像
3．忽略PXE引導請求
4．中斷PXE操作和引導到硬盤
5．NBS還包括ADS Deployment Agent Builder Service，它在引導時創建專門面向設備的代理。在PXE引導發生和選擇了部署代理選項後，Builder Service可以實施以下工作：在設備上運行本地硬盤發現和將數據發送到控制器，根據設備的硬件配置建立定製的部署代理，將定製的部署代理下載到設備，在設備上代理在本地內存中運行。NBS提供下載在內存中運行的基於MS-DOS的虛擬軟驅的方式。通常由服務器供應商提供的實用程序可以在虛擬軟驅環境中運行硬件配置工作（如RAID驅動器配置和BIOS flashing）。
NBS使用Windows Server 2003 Trivial FTP(TFTP) Service來下載部署代理和虛擬軟驅映像．不管是在控制器上還是在網絡中的其它地方，ADS要求DHCP服務器爲可配置的設備提供IP地址。
四、IDS簡化設備映像管理
ADS中的另一項服務是映像分發服務（IDS）,它爲管理設備映像提供存儲和通信功能。映像是一個簡單明瞭的流程，使用戶能夠捕獲和向一臺或多臺設備同時快速部署完整的操作系統和應用包。IDS允許管理員能夠快速，高效的部署ADS映像工具創建的設備操作系統映像。
映像流程包括多個分散的工作：
安裝參考設備：使用與映像部署的設備類似的硬件配置，管理員安裝生產中映像將需要的基本操作系統和任何其它應用和設備驅動程序，以及添加管理代理。
準備參考設備以便映像：管理員使用Microsoft System Preparation（Sysprep）工具來準備系統以便映像．Sysprep刪除獨有的系統信息和準備系統以在下次引導時運行 Windows Mini－Setup。這一程序允許通過本次映像創建的所有設備來生成相對於Windows環境來說獨有的信息。
使用映像工具來捕獲引導磁盤分區：通過運行參考系統上的命令行工具，ADS允許管理員手工捕獲設備映像。系統重啓時管理員還可以使用ADS來遠程捕獲映像。
向新或現有的設備部署映像：ADS向新或現有的設備部署操作系統映像，然後加人到生產環境中。採用可完全再生的方法，可以通過一個映像迅速、輕鬆地部署數百臺設備。
映像被捕獲後添加到IDS映像存儲中，在那，它們被保存到IDS服務器的文件系統中。在將映像下載到設備的同時，系統加密通信渠道以防止映像數據的偷聽。控制器服務協調映像操作，使用安全套接層（SSL）協議，通過安全連接來與設備通信。IDS可以通過單播和組播網絡向多臺設備部署映像。此外，IDS使用戶能夠調整組播映像傳輸中使用的網絡帶寬的數量。
卷標映像工具提供強大的映像處理動能
當與Sysprep一同使用時可以捕獲和部署所有文件分配表（FAT）或NT文件系統(NTFS）卷標，但當與NTFS文件系統協作時管理員可以獲得增強的捕獲和編輯優勢。ADS提供一組強大、靈活的映像工具：imgdeploy、 imgmount和adsp_w_picpath。
Imgdeploy：這一映像捕獲和恢復工具可以實現壓縮，這一功能可以減少存儲需要；映像加密可以保護映像以便傳輸；defragmented恢復可以捕獲文件中的映像，從而當文件恢復到設備時可以自動defragmented。
Imgmount：該工具可以實現imgploy捕獲的映像的真正編輯。Imgmount可以安裝和接人捕獲的映像，與文件系統極其類似。安裝之後 映像可以從任何標準Windows工具或應用該取或編寫。管理時間的節省是巨大的：無需更改捕獲映像的參考系統，然後重新捕獲映像就可以維持映像。
Adsp_w_picpath：該工具可從命令行或MMC UI接人並列出可用於部署的映像。它可以增加、刪除映像或更新映像屬性。
五、工作順序自動化日常工作
在引導時或部署後，控制器服務向設備分配工作。工作包括排序的各項任務；這些順序可以在一臺或多臺設備上運行並作爲XML文件保存到控制器中。用於使用PXE部署新設備的典型。工作順序包括以下步驟：
1．運行虛擬軟驅以更新系統BIOS或配置RAID控制器
2．請求和引導部署代理
3．硬盤分區
4．將操作系統映像下載到硬盤
5．在部署的映像中更改下載的Sysprepjnf文件，爲該設備提供唯一的主機名、產品標識符等
6．在下載的映像中配置管理代理，當操作系統第一次引導時與控制器通信
7．重啓
8．指導設備引導到下一次引導的本地硬盤
當設備第一次從新下載的映像引導時，系統以無人值守模式運行簡短的設置程序來執行最後的操作系統配置。工作順序可以包括以下指令和腳本程序：
PXE引導指令
部署代理內部指令
本地可用於目標設備或網絡上目標設備可共享接入的任何Windows應用或腳本程序
控制器上可用於下載到目標設備和在目標設備上運行的腳本程序
控制器上可用於直接在控制器上運行的腳本程序
當使用ADS工作順序時，控制器服務記錄所有發佈的指令和到服務數據庫的輸出；從而提供完整的審覈日誌以及供調試指令使用的錯誤日誌。
可以使用任何XML授權的工具來創建XML工作順序，但ADS還爲不喜歡直接使用XML的管理員提供簡單的Sequence Editor。

ADS Sequence Editor提供Windows UI來創建ADS順序。它還提供最常見的管理工作模板，包括部署步驟，如磁盤分區、映像下載和映像個性化。爲了創建網絡工作順序或編輯現有的工作順序，管理員簡單的打開Sequence Editor、設置參數和將結果保存爲新的工作順序。

六、管理工具和可編程界面實現定製ADS
ADS提供一系列命令行工具和MMC snap-in來管理服務，尤其有用的是通過WMI界面提供的可編程界面。所有ADS都可以通過這一界面來提供，使內部開發人員能夠爲他們的特殊環境定製和管理ADS。
WMI對象領域（Object areas）是那些使用Microsoft組件對象模式（Component Object Model，COM）通信可用於腳本程序或應用開發的實體。
可用於管理和運行ADS的命令行工具包括：
Adsarchive：從數據庫中刪除以前的工作並把它們保存到XML文件中
Adsdevice：管理設備記錄，允許管理員列出、添加、刪除、控制和更改設備記錄
Adsp_w_picpath：列出可用於作爲工作來運行的模板；安裝和刪除模板

請注意：運行控制器服務的工具直接集成到WMI界面中；其它提供映像或證書管理的命令行工具即不依賴也不需要WMI功能來運行，這些其它的命令行工具例子包括imgmount．exe和dskp_w_picpath.exe，imgmount.exe從映像文件創建卷並進行安裝，dskp_w_picpath.exe從軟驅捕獲扇區,創建硬件配置或BIOS flashing文件。此外，MMC snap-in提供ADS服務的GUI接入。

總之，這三個界面選項允許管理員靈活的使用GUI來完成工作和程序，或直接爲命令行界面提供腳本程序。
七、滿足ADS網絡環境的需要
ADS需要高速連接的網絡環境，在控制器、IDS、NBS和可管理的設備之間10 MB／秒或更高的連接速率。當爲設備分配任務或下載映像時，ADS不進行任何設置就可進行一般的重試。即操作成功完成或失敗使ADS在低速廣域網（WAN）鏈路上的使用變得不切實際。
在子網或虛擬局域網（WLAN）環境中，DHCP和PXE廣播的範圍通常受限於附聯網絡的IP子網或VLAN。在這些環境中，管理員必須在網絡路由點配置DHCP轉發，以向一臺DHCP和NBS服務器返回所有設備。在CISCO網絡環境中，管理員在路由器或第3層交換機配置IP Helper來完成這一工作。在路由器不支持DHCP轉發的環境中，Microsoft在服務器操作系統中提供DHCP轉發服務來運行這一功能。
對於較大規模的設備部署來說ADS提供組播支持,它可以減少部署磁盤映像時使用的總帶寬。在交換或路由環境中，設備必須進行配置並能夠支持組播特性。
八、在ADS中提供安全性
ADS安全性模式分發三個截然不同的領域；
初期部署階段使用DHCP 和PXE：在裸機部署的初期階段DHCP和PXE協議不負責鑑權。因此，建議部署網絡界面安裝在指定的管理網絡中。
ADS服務之間的通信：控制器服務和設備之間的通信：ADS使用公共密鑰基礎設施（PKI）和SSL服務器鑑權來創建私人的外部管理通信渠道。此外，映像捕獲和部署期間IDS和Deployment Agent Builder Service之間轉移的映像缺省爲加密。
ADS的安全性環境：控制能服務在系統服務環境中運行，相當於本地管理員接人級別。這一環境是必要的，因爲配置控制代表ADS控制器服務。但是，在可管理的設備上 使用本地系統的管理員賬戶缺省安裝管理員代理。這一賬戶可以更改爲任何用戶，他們有適當的權限來運行作爲ADS工作使用的應用和腳本程序。同樣，無論選擇哪一類賬戶，如果用戶從網絡共享點運行腳本程序或應用，都需要接人網絡資源。
ADS安全性模式假設數據中心物理上是安全的而且不會遭受網絡人侵。更重要的是，運行ADS的服務器和設備之間的網絡也應是安全的。通常只允許是控制器本地管理員組成員的用戶接人ADS控制器服務。除非使用基於角色的安主功能，由管理員級的賬戶明確授權，否則不是管理員組成員的用戶不得從控制器運行工作。系統管理員應限制數據中心和管理員組的物理接人。
除了控制器服務的安全接入之外，管理員還應保護ADS使用的其它數據。在控制器上；通過工作模板引用的XML工作順序文件和腳本程序文件保存在文件系統中並應受文件系統接入控制清單（ACL）保護，以確保非管理員沒有更改這些文件的權限。準備用於部署的映像由IDS存儲，也由文件系統保護。最後，設備上運行的管理員代理可以引用也應同文件系統保護的腳本程序。
九、簡化大型網絡Windows系統平臺的部署和降低TCO
使用傳統模式向大量服務器擴展Windows操作系統極其複雜、耗時而且成本昂貴、現在，Windows Server 2003平臺包括ADS--實現跨數百臺服務器快速、靈活、自主部署和管理的工具和服務。通過充分利用ADS的優勢，管理員可以幫助自主運行、增強安全性和降低Windows操作系統部署的TCO