Централизованное развертывание Windows 7 при помощи SCCM 2007 SP2

Статья для журнала Хакер

В зависимости от структуры организации и количества подчиненных систем, процесс развертывания новой ОС может быть достаточно сложным и занять значительную часть времени. Использование SCCM 2007 позволяет максимально автоматизировать и упростить этот процесс, произвести переход быстро, практически не прерывая работу компании.


Зачем нам SCCM 2007?

Полная установка или переустановка любой ОС подобна ремонту. Необходимо не только обеспечить сотрудника рабочим местом на время этого мероприятия, но и затем перенести все личные настройки, чтобы пользователь вернулся в «свою» систему. Даже для одного компьютера это целый процесс, а если их десятки или сотни? Без специальных инструментов администратор обречен бегать по этажам и заниматься установками не один месяц, попутно выполняя и штатные обязанности, коих на период обновления как нарочно становится больше. Чтобы обегчить труд админа, корпорация Microsoft предлагает ряд специальных инструментов — WAIK (Windows Automated Installation Kit), WDS (Windows Deployment Services), MDT (Microsoft Deployment Toolkit) и SCCM (System Center Configuration Manager) www.microsoft.com/systemcenter/configurationmanager.
SCCM поддерживает несколько ролей, определяющих его функциональность, в частности, компонент Operating System Deployment (OSD, средства развертывания операционных систем) как раз и отвечает за развертывание ОС, позволяя распространить образ ОС на любое количество систем. Процедура развертывания происходит в полностью автоматическом режиме без участия администратора (при определенных настроках). Для установки ОС можно использовать установочный диск, захваченный WIM образ эталонной системы, либо использовать свой вариант системы с интегрированными драйверами и приложениями. Наличие в SCCM единой базы драйверов только упрощает этот процесс. Напомню, что SCCM имеет функции установки приложений и обновлений, поэтому эти операции можно разделить. Собственно более широкое управление процессом развертывания и есть главное отличие SCCM от WDS. Используя всего один образ, можно легко развернуть любое количество ОС с разным софтом и драйверами. В случае WDS нам бы пришлось задействовать несколько образов, либо доустанавливать программы самостоятельно или при помощи групповых политик. Технология «Zero Touch» позволяет получить полностью готовый к работе компьютер, просто подключив его к сети и не нажав при этом ни одной клавиши.
Функция SCCM под названием Управление требуемой конфигурацией (Desired Configuration) позволяет сразу сформировать коллекцию компьютеров, по разным признакам. Например, для одних гарантированно имеются все драйвера, и конфигурация удовлетворяет всем рекомендациям Microsoft. Другие же не подходят для установки новых версий ОС.
Также не забываем, что развертывание может выполняться на чистый компьютер или производиться обновление уже рабочей системы (миграция). В первом варианте проблем обычно не возникает. Зато второй может преподнести ряд сюрпризов. Так пользователь захочет, чтобы после переустановки все программы, ярлыки и т.п. находились на своих местах, а значит, их вначале нужно сохранить и затем после установки ОС восстановить. То есть в итоге при миграции получаем еще один важный шаг, который нельзя игнорировать. Обычное копирование не всегда спасает, так как могут быть проблемы с зашифрованными файлами, открытыми программами, блокирующими доступ к файлам, и так далее. Кроме всего прочего, это займет довольно много времени. Миграция же средствами SCCM достаточно проста и может быть выполнена на тот же или другой компьютер. Альтернативой миграции может быть использование dual-boot (например Windows XP и Windows 7), в том случае, когда имеется специфическое ПО, для которого пока нет версии под новую ОС.
Задачу миграции пользовательских данных решает  USMT (User State Migration Toolkit) версии 4.0, одна из особенностей которого — поддержка hard-link миграции, когда вместо копирования данных на другой носитель с последующим восстановлением (а при значительных объемах такая процедура займет приличное количество времени) эти данные на диске просто помечаются указателями и восстанавливаются в процессе установки ОС. Кроме USMT, в состав SP2 входит WAIK 2.0, поддерживающий Win7.
Для распространения образов на клиентские компьютеры OSD использует несколько методов. В зависимости от того, какие из них будут использоваться, понадобится наличие дополнительных сервисов. Самым удобным является PXE метод, позволяющий производить полностью автоматизированную установку. Такой метод требует наличия в сети: WDS (служба удаленной установки Windows) для первоначальной загрузки системы WinPE (Windows Preinstallation Environment), плюс DHCP для получения клиентом сетевых настроек. Если для установки Win2k8 и Vista SP1 требовался WinPE 2.1, то для Win7 необходим уже WinPE 3.0.
Версия SCCM 2007 с редакцией R2, о которой говорилось в предыдущих номерах журнала, не поддерживает новые ОС от Microsoft, для этого нам понадобится SP2, который был анонсирован вместе с Win7 и Win2k8R2. Для загрузки доступно два варианта: собственно SCCM SP2 «Full install» и Upgrade для SP1. Хотя по обещаниям разработчиков она вот-вот должна появиться. Также в ближайшее время ожидается обновление SCCM 2007 R3, по сообщениям особых изменений в нем не предвидится, в основном они связанны с изменением в управлении питанием.
Апдейт SP2 полностью поддерживают как ранние ОС от Windows 2000SP4 до Vista SP1, так и новинки Windows 7, Vista SP2, Windows 2008R2 и SP2. Кроме этого, в SCCM 2007 SP2 добавлено еще ряд полезных функций. Так появилась поддержка Branch Cache, полная поддержка компьютеров, имеющих чип Intel vPro и iAMT firmware версий 4 и 5, управление восемью беспроводными профилями и политиками питания, настройка 802.1x и журнал аудита.
Процесс установки не изменился. Непосредственно перед ее началом следует запустить «Run the prerequisite checker«, это поможет определить недостающие компоненты и сэкономить время.
При установке SCCM 2007 SP2 на Windows 2008R2 следует учитывать и требования этой ОС. В частности, MS SQL Server 2005 должен быть с SP3.

Устанавливаем WDS

Для упрощения будем считать, что SCCM у нас уже установлен. Наличие на сервере ролей WDS и PXE на этапе «Prerequsite Check» никак не проверяется и подсказки никакой не выдается. Но для PXE метода установки они нужны, поэтому ставим. Причем не обязательно данные сервисы должны быть на том же сервере, что и SCCM.
Добавляем роль PXE для SCCM
Начнем с WDS. Открываем Диспетчер сервера и выбираем «Роли — Добавить роли«, отмечаем «Службы развертывания Windows«, на этапе выбора служб ролей будут предложены «Сервер развертывания» (обеспечивает полный набор функций служб WDS) и «Транспортный сервер» (сокращенный набор функций).

Для функционирования WDS в общем случае достаточно только управляющего сервера, при необходимости доставки образов на удаленные системы, находящиеся в отдельных сегментах сети, используется транспортный сервер WDS. Нажимаем «Установить» и ожидаем окончания процесса. В итоге в Server Manager появится новая вкладка. Для настройки сервера WDS вызываем из меню Администрирование консоль «Службы развертывания Windows«, переходим к нашему серверу и в контекстном меню выбираем пункт «Настроить сервер«. Запустится мастер настройки, для успешной работы которого потребуется, чтобы компьютер был членом домена, в сети были активны DHCP и DNS сервера, а также указано место хранения образов на разделе с файловой системой NTFS. Файлы образов занимают прилично места, поэтому их лучше хранить на отдельном разделе. При выборе политики PXE ответа клиентам отмечаем «Не отвечать никаким клиентским компьютерам«, так как этим будет заниматься SCCM. На последнем шаге снимаем флажок, отвечающий за добавление образов, поскольку образы мы так же будем добавлять через консоль SCCM.
В командной строке установка и настройка WDS выглядит проще:

> ServerManagerCmd -install WDS
> WDSUTIL /Initialize-server /Reminst:"D:\RemoteInstall"

Во время установки DHCP сервера будет создан пул адресов. Нам осталось только добавить пару записей. Для этого вызываем из меню Администрирование консоль DHCP, переходим к нашему серверу, затем IPv4, раскрываем область DHCP и переходим к подпункту «Параметры области». Здесь уже есть несколько тегов, указывающих на IP маршрутизатора, DNS сервера и DNS домена. Добавляем еще три. Вызываем контекстное меню и в «Настроить параметры» в окне «Параметр: общие», во вкладке «Общие«, активируем параметр «066 Имя узла сервера загрузки» и вводим в появившейся внизу строке имя или IP сервера SCCM. Аналогично активируем «067 Имя файла загрузки«, а в поле вписываем «\SMSBoot\x86\wdsnbp.com«.
Тег «060» имевшийся в настройках в Windows 2003 в Windows 2008 пропал, но его легко подключить в командной строке при помощи netsh:

>netsh
netsh>dhcp
netsh dhcp>server \\synack.ru

Добавляем тэг 60 со строкой PXEClient:

netsh dhcp>add optiondef 60 PXEClient String 0 comment=PXE support
netsh dhcp>set optionvalue 60 STRING PXEClient
netsh dhcp>exit

Все.
Настраиваем параметры области DHCP сервера

Установка роли PXE в SCCM

Вызываем Configuration Manager Console и переходим в Site Database — Site Management, где выбираем наш сайт SCCM, он у нас пока один под номером 001 (из консоли можно управлять несколькими сайтами SCCM). Теперь идем в Site Settings — Site Systems и выбираем свой сервер. В среднем окне будет показан список установленных ролей. Запускаем мастер установки новых ролей, выбрав в контекстном меню пункт «New Roles«. На первом шаге указываем FQDN сервера SCCM, на втором будет предложено к установке 9 ролей, нас интересует «PXE service point«. Отмечаем и идем дальше. Всплывающее сообщение предупреждает о том, что для PXE запросов должны быть открыты UDP порты 67-69 и 4011. Настройки на следующем шаге позволяют задать пароль для доступа к PXE (полезно, чтобы кто-то специально или случайно не вызвал установку ОС), указать конкретные сетевые интерфейсы, на которых будут приниматься PXE запросы (по умолчанию на всех), и задержку ответа сервера. Указываем учетную запись, от имени которой будет производиться доступ к базе данных (по умолчанию системный), и генерируем/импортируем сертификат. В случае создания сертификата необходимо указать лишь срок окончания (в настройках год). Все, ставим. При необходимости можно изменить любой из указанных параметров, вызвав окно свойств выбранной роли.
Теперь у нас все готово для нормального функционирования OSD.

Загрузочные образы

Далее нужно добавить образы систем, которые будем распространять. Переходим в «Computer Management — Operating System Deployment«, здесь предстоит выполнить дальнейшие настройки. В «Boot Images» уже находятся два WinPE образа (x86 и x64), номер сборки (6.1.7600.16385) которых совпадает с версией Win2k8R2 и Win7 (самый простой способ узнать номер, это посмотреть на цифры в имени ISO образа на офсайте). При необходимости можно самостоятельно добавить новый PXE образ в коллекцию, взяв его с загрузочного диска или собрав самостоятельно. Кроме этого, в каталоге Program Files/Microsoft Configuration Manager\OSD\boot имеются еще загрузочные образы. Выбираем «Add Boot Image» и вводим сетевой UNC путь к WIM файлу. После его анализа мастер позволит указать индекс системы в образе (в WIM может быть несколько систем). Далее указываем имя, описание и комментарий.

Добавляем установочный WIM образ ОС
Теперь следует добавить образ в точку распространения, отмечаем и раскрываем дерево настроек, переходим в подпункт «Distribution Points» (либо выбираем одноименный пункт в контекстном меню) и, выбрав «Manage Distribution Points«, запускаем мастер. На втором шаге определяется действие. Оставляем предложенный по умолчанию пункт «Copy the package to new distributions points«, и далее мастер предложит отметить флажком точку распространения, куда будет скопирован образ.
Мастер управления точкой распространения
После установки роли PXE в списке будут две точки распространения: сервер SCCM (например, srv01) и скрытая сетевая папка (\\SRV01\SMSPXEIMAGES$). Нас интересует последняя, отмечаем и заканчиваем работу мастера, нажав несколько раз Next. Здесь, кстати, всплывает один интересный момент, на который часто попадаются новички. Дело в том, что SCCM является оболочкой, которая принимает команды и затем последовательно их выполняет. Копирование образа обычно занимает значительное время, но в консоли сообщение «Image installed successfully» появляется практически мгновенно, на самом деле он еще копируется, и для его распространения нужно немного подождать. Текущий статус можно просмотреть, перейдя в «Package status«.
Стандартный PE образ может не содержать некоторых драйверов для сетевых карт или харда, что помешает процессу установки. Добавить драйвер можно во вкладке Windows PE окна свойств образа. Здесь же активируется поддержка командной строки (по клавише F8). Лишние дрова добавлять не стоит, так как все они будут загружены в ОЗУ, а размер образа WinPE требует наличия на клиентском компьютере не менее 512 Мб ОЗУ. После добавления драйверов образ на точке распространения автоматически обновится. Поддержка multicast активируется в «Distribution Setting«. Такая установка позволит распространять образ сразу на несколько компьютеров, снижая нагрузку на сеть.
Еcли образов много, то добавлять драйвера удобнее во вкладке Drivers. Здесь просто указываем на каталог с драйверами и опционально образы, к которым их следует подключить.

Добавляем образ ОС

OSD предлагает два метода установки: при помощи WIM образов, используемых в ОС, начиная с Vista, и из сетевой папки (как RIS). Установочный образ можно взять с дистрибутивного диска, собрать свой вариант или захватить с эталонной системы. Последний вариант очень удобен при наличии большого числа однотипных систем. Помимо этого, он позволяет создать WIM образ для распространения WinXP. Но из-за возможных проблем с HAL для установки WinXP предпочтительнее использование сетевых папок. Также стоит учитывать, что SCCM поддерживает захват образа ОС только при традиционной разметке харда, захват не возможен с составных томов, RAID 0, 1 и 5.
Процесс добавления установочного WIM образа Win7 и Vista также прост. Переходим в «Operating System Images» и, выбрав ссылку «Add Operating System Images«, запускаем мастер. Указываем UNC путь к файлу install.wim, который копируем с установочного диска. На следующем шаге мастер выведет информацию об ОС в образе, но обычно WIM содержит несколько версий ОС, поэтому будет показана только первая. Нажимаем Next и ждем, пока образ появится в списке. Далее в «Distribution Points» добавляем его в точку распространения. Здесь все как для загрузочного образа.
Также надо создать пакет установки агента SCCM (он будет затребован при развертывании) и прочих программ, которые должны устанавливаться на клиентскую ОС при развертывании образа, и опубликовать пакет на точке распространения. Это все проделывается в меню Packages.

Создание последовательности задач

Теперь, когда все, что необходимо для установки, у нас есть, нужно указать SCCM последовательность задач (task sequence). Переходим в OSD к пункту Task Sequence и запускаем процесс создания задачи New — Task Sequence. Появится очередной визард, на первом шаге которого отмечаем «Install an existing image package«, затем вводим имя задачи и описание. В поле «Boot Image» задаем нужный загрузочный образ.
Создаем новую последовательность задач
Переходим к шагу «Install Windows», где выбираем образ ОС и версию ОС, вводим ключ. По умолчанию учетная запись локального администратора отключается, но можно указать необходимые данные, установив пароль. Если взведен флажок «Partition and format target …«, перед развертыванием ОС жесткий диск будет переразмечен. Переходим к следующему шагу, где указываем рабочую группу или домен, к которой должен подключаться компьютер. Для ввода хоста в домен необходимо задать учетную запись, обладающую соответствующими правами. На шаге «Install ConfigMgr» указываем пакет с агентом SCCM, который требуется установить на новую ОС.
На странице «State migration» при необходимости разрешаем захват настроек пользователя, сетевых и системных установок. Для чего указывается USMT пакет (его нужно предварительно создать), который позволяет сохранить настройки пользователя. При установке на чистую машину снимаем все флажки. Следующие два шага отвечают за установку обновлений и программ (соответствующие пакеты должны быть созданы). Просматриваем резюме и заканчиваем работу мастера.
После создания новая задача появится в окне менеджера. Выбрав задачу, ее можно экспортировать (и импортировать соответственно на другой системе), отредактировать, дублировать, просмотреть и поправить свойства.
В свойствах задания можно задать промежуток времени, через который оно будет деактивировано, программу, запускаемую перед выполнением задания, клиентскую платформу, и назначить разрешения.
Редактор задания, вызываемый по нажатию кнопки Edit, предоставляет возможность изменить большее количество настроек (всего 7 пунктов). Например, по умолчанию диск будет разбит на один раздел, чтобы изменить эту схему, идем в «Partition disk 0«. Если есть файл ответов, добавляем его в пункте «Apply Operating System«. Перейдя в «Apply Windows Settings», меняем регистрационные данные (имя, организация, лицензионный ключ), часовой пояс.
Сетевые настройки корректируются в «Apply network settings». И, наконец, управлять драйверами можно в «Apply device drivers». Для каждой настройки доступна вкладка «Options», в которой можно отключить текущий шаг или, используя различные переменные, указать условия (например, версия ОС).
Осталось привести наше задание в действие, назначив его определенной коллекции. По умолчанию в SCCM уже имеется несколько коллекций, чтобы в рабочей среде избежать недоразумений, например, когда на ноутбук гостя будет производиться установка ОС, лучше создать отдельную коллекцию, которую и использовать для установки ОС. Для этого просто переходим в Collections, выбираем «New Collection» и следуем указаниям мастера, оставляя значения, предлагаемые по умолчанию. Подробнее о создании коллекции смотри в августовском номере. Теперь применяем задание. Выбираем в контекстном меню задачи пункт Advertise. В первом окне мастера выбираем коллекцию, к которой будет применяться задание. Обязательно отмечаем «Make this task sequence avialable to boot media and PXE«. Следующий шаг позволяет задать время, с которого задание начнет выполняться, опционально время окончания. Параметр «Mandatory assignment» задает принудительную установку, его можно включать только при полной уверенности в правильности установок. Далее определяем доступ к контенту, здесь можно оставить предлагаемое по умолчанию «Download content locally …«. Затем настраиваются предупреждения и прогресс-бар, указываются разрешения. В принципе, здесь можно оставить настройки, предлагаемые мастером.
Назначаем задание коллекции
Все готово к загрузке клиента. Включаем компьютер, в BIOS устанавливаем загрузку по сети, и через некоторое время должен появиться экран загрузки WinPE.

Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Отличная статься. А не могли бы вы поподробнее описать именно процесс захвата образа с эталонной машины. Мне в ближайшее время придется этим воспользоваться,а «гугление» не очень помогает

Оставить комментарий

(required)

(required)