Systeminstallation aus der Ferne
Artikel erschienen in Swiss IT Magazine 2001/05
In der letzten Ausgabe von InfoWeek wurde bereits auf Funktionen für die Setup-Automatisierung bei Windows 2000 eingegangen. Der Setup-Manager für die Erstellung von Antwortdateien und die Unterstützung des Klonens von bestehenden Installationen ist ein wichtiges Hilfsmittel. Das Duplizieren von Festplatten ist allerdings nicht für jeden Einsatzbereich geeignet. Die Verwendung von Installationsservern im Netzwerk in Verbindung beispielsweise mit Startdisketten für die Installation und Antwortdateien hat ausserdem den Nachteil, dass faktisch der komplette und auch relativ zeitaufwendige Installationsprozess durchlaufen werden muss.
Die Remoteinstallationsdienste sind hingegen ein Verfahren, bei dem vordefinierte Images zum Abruf auf Servern bereitgestellt und direkt von dort installiert werden. Dieser Ansatz ist im Vergleich mit einem konventionellen Installationsprozess deutlich schneller und eignet sich geradezu ideal, wenn die Vision der Systemvorbereitung ohne Eingriffe von Administratoren realisiert werden soll.
Neue Hardware, die für die Remoteinstallationsdienste geeignet ist - mehr dazu weiter unten -, kann damit aufgestellt, angeschlossen und gestartet werden. Das System erkennt selbsttätig, dass ein Server für die Remoteinstallationsdienste (RIS, Remote Installation Services) vorhanden ist und lädt dann das betreffende Betriebssystem von diesem System. Erforderliche Anpassungen können über Antwortdateien gesteuert werden, die mit dem Setup-Manager erstellt wurden.
Bei der Anmeldung des Benutzers ist es dann problemlos möglich, über Gruppenrichtlinien die Systemkonfiguration korrekt zu steuern, wobei sich auch Sicherheitseinstellungen oder Registry-Parameter verändern lassen. Ausserdem besteht die Möglichkeit, auf diesem Weg ohne weiteres auch neue Software zu installieren.
Die Daten stehen dem Benutzer dann schliesslich über sein serverbasierendes Benutzerprofil zur Verfügung. Dieses Idealmodell einer Systeminstallation setzt automatisierte Installationsdienste voraus, wie sie von Microsoft nun eben mit den Remoteinstallationsdiensten angeboten werden.
Die RIS sind Dienste, die nur für die Installation von Windows 2000 Professional genutzt werden können. Die Installation erfolgt durch das Zusammenspiel mehrerer Komponenten.
Unterstützt wird neben der Neuinstallation von Betriebssystemen auch die Wiederherstellung beschädigter Systeme. Der Start des Installationsvorgangs kann automatisch erfolgen, wenn der Client über ein PXE-basiertes Boot-ROM verfügt. Das Kürzel PXE bezeichnet das sogenannte Preboot eXecution Environment und besteht im wesentlichen aus codierten Funktionen auf dem Netzwerkadapter oder im BIOS. Mit Hilfe von PXE kann beim Systemstart im Netzwerk nach Installationsservern für das Betriebssystem gesucht werden, falls noch kein Betriebssystem auf der betreffenden Maschine installiert ist.
Wenn das System keine PXE-Unterstützung besitzt, ist es allerdings dennoch möglich, mit den RIS zu arbeiten. In diesem Fall können mit dem Programm rbfg.exe Startdisketten erstellt werden. Auf diesen Boot-Disks findet sich dann ein PXE-Emulator, der nach dem Boot-Prozess nach einem RIS-Server sucht und den eigentlichen Installationsprozess startet.
Allerdings werden von rbfg.exe nicht alle Netzwerkadapter unterstützt. Hier ist also vorab zu prüfen, inwieweit diese Funktion genutzt werden kann.
Wenn der Installationsprozess gestartet wird, fordert der Client im ersten Schritt eine IP-Konfiguration bei einem DHCP-Server an. Darüber hinaus sucht er auch nach einem PXE-Bootserver. Für diese Suche wird ebenfalls DHCP verwendet. Die Anforderung nach dem PXE-Bootserver wird von einem RIS-Server beantwortet, falls ein solcher vorhanden und aktiv ist. Wenn der DHCP- und der RIS-Server auf getrennten Systemen ausgeführt werden, müssen auch zwei getrennte Kommunikationsprozesse abgewickelt werden. Laufen andernfalls die beiden Komponenten auf dem gleichen System, kann die Anforderung für die IP-Konfiguration und den PXE-Bootserver in einem Schritt erledigt werden.
Auf einem PXE-Bootserver werden eine Reihe von Diensten ausgeführt. Die Ebene, mit der die Kommunikation erfolgt, wird als BINL (Boot Information Negotiation Layer) bezeichnet. BINL reagiert auf PXE-Anforderungen wie auch auf Anforderungen des Client-Installationsassistenten, der in der zeichenorientierten Phase des Installationsprozess zum Einsatz kommt.
Benutzer können über ihn eine Auswahl treffen, falls beispielsweise mehrere Installationsoptionen angeboten werden. BINL übernimmt dann die Weiterleitung der Client-Anforderungen auf die Dateien, mit denen der eigentliche Installationsprozess gestartet wird. Zudem stellt BINL auch die Schnittstelle zum Active Directory dar.
Die zweite Komponente ist TFTPD, der Trivial File Transfer Protocol Daemon. Dieses Modul lädt die Dateien auf den Client, die für den Installationsprozess benötigt werden.
Beim Einsatz von RIS ist ja davon auszugehen, dass die Installation auf einem vollständig neuen System erfolgt. Daher müssen beispielsweise die Client-Installationsdateien und die Startdateien des Setup-Programms zunächst auf den Client geladen werden. Hier zeigt sich auch ein Unterschied beispielsweise zum Start einer Netzwerkinstallation vom Client aus. Um eine Netzwerkinstallation beispielsweise über winnt.exe zu starten, sind deutlich mehr vorbereitende Arbeiten auf Client-Seite nötig.
Neben BINL und TFTPD gibt es schliesslich noch den SIS. Diese Abkürzung steht für Single Instance Store und bezeichnet eine Anwendung, die dafür sorgt, dass von Dateien jeweils nur eine Instanz gespeichert werden muss. Es kann bei der Installation von Images vorkommen, dass eine Datei mehrfach in unterschiedlichen Verzeichnissen enthalten ist, was zu einem höheren Installationsaufwand führen würde. Dies zu vermeiden, ist Aufgabe des SIS, der dafür sorgt, dass nur jeweils eine Instanz der Datei kopiert und in den jeweils richtigen Verzeichnissen abgelegt wird. Dadurch wird die Netzlast bei der Installation massiv optimiert.
Neben diesen speziellen Diensten greifen die Remoteinstallationsdienste auch auf eine Reihe von weiteren Netzwerkdiensten zu, die mit Windows 2000 geliefert werden zu.
Auf den DHCP-Server, der für die Bereitstellung einer IP-Konfiguration und die Lokalisierung von RIS-Servern benötigt wird, wurde bereits weiter oben eingegangen.
Das Active Directory, dessen Dienste via DNS-Server aufgefunden werden, wird schliesslich genutzt, um beispielsweise bestehende Computerkonten zu finden. Diese sollten sinnvollerweise vor der Installation von Clients vorbereitet werden, da sonst im Installationsprozess eine Authentifizierung mit entsprechenden Berechtigungen erfolgen müsste, was das Konzept aber ad absurdum führen würde. Denn damit ginge der Vorteil der Installation ohne administrative Eingriffe wieder verloren.
Das Active Directory wird darüber hinaus auch benötigt, wenn mit mehr als einem RIS-Server, der sämtliche Anforderungen bedienen kann, gearbeitet wird.
Auf der Client-Seite gilt es für die Nutzung der Remoteinstallationsdienste einerseits, eine für Windows 2000 Professional ausreichende Hardware zur Verfügung zu haben. Dabei spielen insbesondere die Plattenplatzanforderungen von mindestens 800 MB eine wichtige Rolle. Wie erwähnt, muss zusätzlich ein geeigneter Netzwerkadapter eingesetzt werden. Zum aktuellen Zeitpunkt werden von der PXE-Emulation ausschliesslich PCI-Adapter unterstützt, was aber bei neuer Hardware keine Probleme bereiten dürfte.
Der RIS-Server andererseits muss Mitglied einer Domäne des Active Directory sein; es kann sich beispielsweise um einen Domänen-Controller handeln, was aber nicht zwingend erforderlich ist.
Im Netzwerk werden darüber hinaus auch DNS- und DHCP-Server benötigt. Der DNS-Server muss dabei die Anforderungen von Windows 2000, also insbesondere die Unterstützung der Spezifikationen RFC 2052 und 2136, voll abdecken.
Wenn intensiv mit den RIS gearbeitet wird, sollte der Server ausserdem auf die Bedienung hoher I/O-Anforderungen ausgerichtet sein. Denn bei Anforderungen für die Installation neuer Clients muss er relativ grosse Datenmengen von seiner Festplatte lesen und über das Netzwerk an den Client senden.
Das bedeutet in der Konsequenz auch, dass die Server klug positioniert und konfiguriert werden müssen. Bei Maschinen, von denen aus sehr häufig Installationen über die Remoteinstallationsdienste erfolgen, ist deshalb zu überlegen, ob dedizierte Systeme sinnvoll sind.
In jedem Fall sollten diese Server nicht auch noch für die Bereitstellung zentraler Netzwerkdienste wie beispielsweise DHCP und DNS genutzt werden. Die Systeme sollten möglichst nahe an den Clients positioniert werden.
In den Fällen, in denen die RIS genutzt werden, um neue Clients zentral vorzubereiten, ist ausserdem zu überlegen, ob nicht ein gesondertes Netzwerksegment eingesetzt werden sollte. Damit kann in der Praxis verhindert werden, dass die Nutzung des LAN durch den produktiven Betrieb beeinträchtigt wird.
Ein Beispiel für ein solches Szenario sind auch Schulungsräume, in denen eine häufige Neuinstallation der jeweiligen Client-Systeme erfolgen soll.
Die Installation der RIS selbst stellt keine besondere Herausforderung dar. Die Dienste werden - wie auch die anderen Serverdienste von Windows 2000 - über den Bereich Software der Systemsteuerung eingerichtet. Im Anschluss an die Softwareinstallation ist ein Neustart erforderlich. Die Einrichtung der RIS will also zeitlich gut geplant sein.
Nach der Installation müssen die RIS zunächst noch konfiguriert werden. Wenn erneut auf den Bereich Software der Systemsteuerung zugegriffen wird, findet sich eine Option nach dem Neustart des Systems. Über die Schaltfläche Konfigurieren kann ein Assistent gestartet werden, der die weiteren Schritte durchführt.
Die RIS-Konfiguration erfolgt teilweise über die Befehlszeile, zum Teil aber auch mit Hilfe von Gruppenrichtlinien wie auch über die Eigenschaften von Serverobjekten.
Der erste Schritt besteht in der Konfiguration einer Ordnerstruktur, in der die Dateien für die Remoteinstallation bereitgestellt werden. Diese werden standardmässig auf dem ersten NTFS-Datenträger bereitgestellt, von dem aus das Betriebssystem nicht gestartet wird. Das Laufwerk, von dem aus die RIS genutzt werden, darf weder %systemroot%, also beispielsweise C:\winnt, enthalten noch dürfen sich dort die eigentlichen Boot-Dateien befinden, die von Windows 2000 genutzt werden. Das könnte dazu führen, dass gleich zwei Partitionen nicht genutzt werden dürfen, wenn die erste Partition beispielsweise C: ist und Windows 2000 auf E: installiert wurde.
Ausserdem ist zu beachten, dass die RIS nur auf einem lokalen Laufwerk eingerichtet werden können.
Nachdem die Ordnerstrukturen bestimmt wurden, kann im nächsten Schritt definiert werden, ob der Server ab sofort auf Client-Anfragen reagieren soll oder ob dies explizit freigeschaltet werden soll. Da zunächst die Images vorbereitet werden müssen, ist eine spätere Aktivierung grundsätzlich sinnvoller.
Erst dann erfolgt das Kopieren der Installationsdateien von Windows 2000 Professional in ein Verzeichnis in der angegebenen Ordnerstruktur. Damit steht dann auch ein erstes Image zur Verfügung, das auf der Installations-CD von Windows 2000 Professional basiert. Nach dem Kopieren werden automatisch die Dienste, die für die Ausführung von RIS erforderlich sind, gestartet.
Die Verwendung eines CD-basierenden Images, wie es automatisch angelegt wird, ist eine von zwei Möglichkeiten. Diese Art von Abbildern ist sinnvoll, wenn eine Standardinstallation des Betriebssystems durchgeführt werden soll. Auch hier können Antwortdateien eingesetzt werden, um alle Installationsschritte zu automatisieren.
Daneben gibt es aber auch RIPrep-Abbilder, bei denen eine vorgegebene Standardkonfiguration eines bestehenden Systems als Image abgelegt wird. In diese Konfiguration können auch die lokal installierten Anwendungen aufgenommen werden. Ausserdem sind dort spezifische Konfigurationseinstellungen bereits berücksichtigt. Dieser Ansatz ist der offensichtlich interessantere Weg, da sich so beispielsweise die Installation von Applikationen wesentlich flexibler gestalten lässt als ausschliesslich unter Verwendung von Antwortdateien und den Softwareinstallationsfunktionen der Gruppenrichtlinien. Der Vorbereitungsaufwand dürfte dabei sogar geringer sein, da sich ein Standardsystem einfacher vorbereiten lässt.
Die Konfiguration der Remoteinstallationsdienste erfolgt dann bei den Eigenschaften der Server, auf denen diese installiert sind. Dort findet sich ein zusätzliches Register Remoteinstallation. Über dieses können im Bereich Erweiterte Einstellungen unter anderem noch zusätzliche Images angegeben werden.
Darüber hinaus lassen sich dort die Namen von Clients festlegen, die installiert werden sollen. Über diese Information wird schliesslich auf die vorbereiteten Computerkonten im Active Directory zugegriffen.
Die Nutzung von RIPrep.exe erfolgt in jedem Fall über die Befehlszeile. Die Anwendung kann aus der Freigabe Reminst und dort dem Verzeichnis admin\i386 initialisiert werden, wobei der Start von jenem Client aus erfolgt, der als Master-System fungiert.
Die Nutzung der Remoteinstallationsdienste erfordert zunächst einigen konzeptionellen Aufwand. Wenn man diesen aber einmal geleistet hat, stellen sie den einfachsten und effizientesten Weg zur Installation von Windows-2000-Systemen dar.