Installation und Management eines NT-Workstation-Pools
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Installation und Management
eines NT-Workstation-Pools
Dr. Holger Beck
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
1
GWDG
Problemstellungen
• Betrieb einer großen Anzahl PCs unter Windows NT
– Installation des Betriebssystems
– Installation der Anwendungssoftware
– Sicherheitseinstellungen
– Nachinstallationen
• Bei GWDG konkret: Umstellung NT 3.5 auf NT 4.0 mit
neuen Rechnern und neuer Anwendungssoftware
• Wie läßt sich ein NT-Workstation-Pool effizient
aufbauen und betreiben?
• Grundgedanke
– Größerer Aufwand bei Installation eines Prototyps
– Minimaler Aufwand bei Übertragung auf weitere Rechner
– Kopieren von Festplatten ausgeschlossen, wegen Nachinstallation
2
Dr. Holger BeckGWDG
Anforderungsprofile für Pools
• Grundparameter
– Anzahl der Rechner
– Quantität und Qualität der Anwendungssoftware
– Anzahl der Benutzer
– Zuordnung Benutzer zu Rechner
– Benutzerrechte und -modifikationsmöglichkeiten
• Rechnerpooltypen
– Viele gleiche Rechner, ein Benutzer pro Rechner
– Viele verschiedene Rechner, ein Benutzer pro Rechner
– Viele gleiche Rechner, ständig wechselnde Benutzer
– Viele verschiedene Rechner, ständig wechselnde Benutzer
3
Dr. Holger Beck
GWDG
Betriebsprobleme
• Erstinstallation
– Betriebssystem
– Anwendungssoftware
• Nachinstallation
– von neuer Software
– Umkonfiguration von vorhandener Software
• Benutzerbezogenen Installation
– Benutzerbezogene Konfiguration von Software
– Unterstützung für gleiche persönliche Benutzerumgebung auf
verschiedenen Rechnern (Travelling User Support, TUS)
• Zusatzvariation
– Software bedarfsorientiert installieren (Software on Demand)
• Sicherheitsprobleme
– Dateizugriffsrechte
– Registry-Zugriffsrechte 4
Dr. Holger BeckGWDG
Struktur einer Softwareinstallation
• Unterteilung in Dateien und Konfigurationsinformationen
• Dateien • Konfigurationsinformationen
– im Bereich der – Windows-Registry
Anwendungssoftware • Maschinenbezogen
• lokal installiert (z.B. (HKEY_LOCAL_MACHINE
c:\Programme\XYSoft) und HKEY_CLASSES_ROOT)
• auf einem Server (z.B. • Benutzerbezogen
\\ApplServ\XYSoft) (HKEY_USERS\.Default,
HKEY_CURRENT_USERS)
– im Bereich Betriebssystem
(DLLs u.ä.) – INI-Dateien
– im Benutzerzugriff • im Systembereich
• im Benutzerbereich
5
Dr. Holger Beck
GWDG
Sicherheitsprobleme
• Dürfen Benutzer das System modifizieren?
– Betriebssystemkomponenten
– Oberflächenanpassung
– Anwendungssoftware
– Softwarekonfiguration
• Optionen von Windows NT
– Einschränkung von Dateizugriffen bei NTFS-Dateisystem
– Einschränkungen von Registry-Zugriffen
– Mandatory Profiles
• Probleme von Windows-Anwendungssoftware
– Viele Hersteller nehmen PC (Personal Computer) zu wörtlich:
• Speicherung von benutzerbezogenen Einstellungen in Systembereichen (des
Betriebs-systems oder der Anwendngssoftware) verhindert optimale
Sicherheitseinstellungen
• Ungenügende Programmierung verhindert Schreibschutz für Dateien und
Registry-Schlüssel
• (Öffnen nur mit Schreibrechten, bei Verweigerung Abbruch, obwohl
Leserechte reichen würden.) 6
Dr. Holger BeckGWDG
Problem Nachinstallation
• Wer installiert?
– Unbeaufsichtigte, automatisierte Installation im
Hintergrund
• Problem der Störung angemeldeter Benutzer
– Installation durch einen angemeldeten Benutzer
• Problem der Zugriffsrechte,
• nach Belieben
• oder im Login-Vorgang vorgegeben / vorgeschlagen
• Wer initiiert die Installation?
– zentral durch Server oder Administratorenstation
– durch Client
7
Dr. Holger Beck
GWDG
Betriebssysteminstallation
• Vier Phasen einer NT-Installation
– Rechnervorbereitung
• Festplatte partitionieren und formatieren (meist unter DOS)
• Zugriff auf Installationsmedium herstellen (CD-ROM, Netz, evtl. auf
Festplatte kopieren)
– Kopieren der Quelldateien vom Installationmedium (NT-Setup)
• Aufruf von WINNT.EXE oder WINNT32.EXE
• Erstellen der Verzeichnisse $WIN_NT$.~BT und $WIN_NT$.~LS
– Textmodus-Setup (NT-Installation)
• Erstes Laden von NT im Textmodus
• Zusammenstellen der Basisinformationen für den Start der graphischen
Oberfläche (Bildschirm, Tastatur, Maus)
• Umkopieren der Dateien von 8.3 Notation zu langen Namen im
Zielverzeichnis
– Graphikmodus-Setup
• Konfiguration der restlichen Komponenten (Graphikkarteneinstellung,
Netzwerk, graphische Oberfläche) 8
Dr. Holger BeckGWDG
Lösungen des Gesamtproblems
• Zusatzsoftware zu NT
– Microsoft System Management Server (SMS)
– Produkte anderer Anbieter (z.B. NetInstall von NetSupport)
• NT-Bordmittel und Freeware
– Basissystem
– NT Resource Kit
– Microsoft Zero Administration Kit (ZAK,
http://www.microsoft.com/windows/zak)
– Weitere frei verfügbare Hilfsmittel von Microsoft oder im Internet
(grep, diff, ...)
• Letzteres ist die (bisherige) GWDG-Lösung
9
Dr. Holger Beck
GWDG
Die GWDG-Lösung
• Startpunkt ZAK
– Rechnervarianten
• Task-Station: reines Internetterminals (Internet-Explorer)
• App-Station: zusätzlich als Anwendungsplattform für Microsoft Office
– völlig ungenügend für Zwecke der GWDG
– Hilfreich: Wie löst Microsoft das (begrenzte) Problem im ZAK?
• Automatisierung der Windows NT-Installation
• Anwendungsinstallation mit der Betriebssysteminstallation
• Umsetzung GWDG
– Ausgehend vom ZAK Lösung zur
• Komplettinstallation einer Standard-Workstation
• mit kompletter Software-Ausstattung
• über Netz von Boot-Diskette (fast) ohne manuelle Eingriffe
– Erweiterung für Nachinstallation von Software auf schon installierten
Rechnern
10
Dr. Holger BeckGWDG
Automatisierte Betriebssysteminstallation
• Skript-gesteuerte Installation für NT
– WINNT /U:Skript-Datei
– Beispiel UNATTEND.TXT mitgeliefert
– Vorgabe alle sonst abgefragten Informationen
– Installation mit einem einzigen manuellen Eingriff möglich
(Bestätigung der Lizenzbedingungen)
– Weitere Informationen in „Automating Windows NT Setup“
(http://www.microsoft.com/ntworkstation/info/Deployment-guide.htm)
• Installation zusätzlicher Komponenten
– Ablage in I386\$OEM$
– Unterverzeichnis $$, C, D, E usw. werden während Installation in das
Windows-Verzeichnis bzw. nach C:\, D:\ usw. kopiert
– Befehle in I386\$OEM$\CMDLINES.TXT werden am Ende des NT-
Setups ausgeführt 11
Dr. Holger Beck
GWDG
Steuerdatei für NT-Setup
• Struktur einer INI-Datei
• Beschreibung in „Guide to Automating Windows NT Setup“
• Graphische Konfigurationsoberfläche setupmgr.exe im Ressource Kit
• Erster Abschnitt: [Unattended]
[Unattended]
TargetPath = WINNT Systemverzeichnis
ConfirmHardware = no
Standardwerte ohne
NtUpgrade = no
Rückfrage benutzen
Win31Upgrade = no
NoWaitAfterTextMode = 1 Nicht zwischen den Abschnitten
NoWaitAfterGUIMode = 1 warten, gleich booten und weiter
FileSystem = ConvertNTFS Dateisystem und
KeyboardLayout = "Deutsch (Deutschland)" Keyboard-Layout
OemPreinstall = yes Zusätzliche Dateien (OEM-
OverwriteOemFilesOnUpgrade = no Option) installieren
12
Dr. Holger BeckGWDG
Steuerdatei: Namen, GUI-Modus
• Fortsetzung
[UserData]
FullName = "Holger Beck" Name des Benutzers
OrgName = "GWDG" Name der Firma
ComputerName = "GWDG-DEMO" Computername
[GuiUnattended] Zeitzone
TimeZone = "(GMT+01:00) Berlin, Stockholm, Rom, Bern, Brüssel, Wien"
OemSkipWelcome = 1 Keine Willkommensmeldung
OEMBlankAdminPassword = 1 Vorerst kein Administrator-
Password setzen
13
Dr. Holger Beck
GWDG
Steuerdatei: Display
[Display]
AutoConfirm = “1" Parameter voreingestellt
BitsPerPel = "32"
XResolution = "1024" Bildschirmeinstellungen
YResolution = "768"
VRefresh = "85"
ConfigureAtLogon = "0" Während Installation konfigurieren
InstallDriver = "1"
Neuen Treiber installieren
InfFile = "stbv128.inf"
InfOption = "STB Systems, Inc. Velocity 128 3D (NVidia RIVA 128)"
14
Dr. Holger BeckGWDG
Steuerdatei: Netzwerk
[Network]
Attend = no Keine interaktiven
DetectAdapters = Einstellungen
"" Den ersten gefundenen Adapter nehmen
JoinDomain = GWDG-PC Computerkonto in
CreateComputerAccount = User, Password Domäne erstellen
InstallProtocols = ProtocolsSection
Verweis auf
[ProtocolsSection] Protokollsektion
TC = TCParameters
Verweis auf TCP/IP-
[TCParameters] Parametersektion
DHCP = yes Dynamisch konfigurieren (oder eine ganze Menge
weitere Parameter
oder über Setup Manager
15
Dr. Holger Beck
GWDG
Installation von Software mit dem Betriebssystem
• Für OEMs von Microsoft vorgesehen
• Dateien im Unterverzeichnis $OEM$ von I386
werden automatisch kopiert
• Verzeichnisstruktur von $OEM$:
$$: Dateien/Verzeichnisse werden in das
Systemverzeichnis kopiert
D (oder E,F,...): Dateien/Verzeichnisse
werden in nach D:\ (E:\, F:\,...) kopiert
Display: Display-Treiber
Net: zusätzliche Netzwerktreiber
Textmode: zusätzliche Treiber, die schon im
Textmodus-Setup benötigt werden 16
Dr. Holger BeckGWDG
OEM-Installationsbesonderheiten
• Problem der 8.3-Namen
– Beim Installieren/Kopieren von DOS aus sind keine langen Namen
erlaubt,
– also auch in $OEM$ nicht.
– Lösung: Umbenennung wird durch Datei
$OEM$\$$\$$Rename.txt (bzw.
$OEM$\D\$$Rename.txt usw.) gesteuert.
• Problem: Kopieren ist noch nicht Installieren
– Zur Installation gehören auch Registry-Einstellungen (und
vielleicht noch mehr)
– Lösung: Befehle in der Datei $OEM$\cmdlines.txt werden
zum Abschluß des GUI-Setups ausgeführt.
– Alternativ zu kopieren während NT-Installation:
Anwendungssetup aus cmdlines.txt aufrufen, falls unbedienter
Setup möglich 17
Dr. Holger Beck
GWDG
Vorbereitung für OEM-Installation
• Wissensproblem:
– Welche Dateien werden von einem Anwendungspaket
wohin verstreut?
– Welche Registry-Einträge werden von
Anwendungspaketen benötigt?
– Lösung über Programme zur Aufzeichnung von
Veränderungen am Rechner
• insbesondere sysdiff.exe aus dem NT-Ressource-Kit
• Organisatorisches Problem
– Zusammenstellung der Anwendungspakete in
verschiedenen Kombination für verschiedene Rechner
18
Dr. Holger BeckGWDG
Erstellung von Softwarepaketen
• Sysdiff
– Im NT-Ressource Kit enthalten (Patch auf
ftp.microsoft.com//pub/bussys/winnt/winnt-public/fixes/)
– Funktionen:
• Aufzeichnung des Rechnerzustands (Dateien allgemein, Registry-
Einträge, INI-Dateien)
SYSDIFF /SNAP snap-dateiname
• Differenzermittelung zum Snapshot
SYSDIFF /DIFF snap-dateiname diff-dateiname
• Übertragen einer Differenzdatei (auf einem anderen Rechner)
SYSDIFF /APPLY diff-dateiname
• Auspacken der Differenzdatei für eine OEM-Installation
SYSDIFF /INF diff-dateiname oem-verzeichnispfad
19
Dr. Holger Beck
GWDG
OEM-Struktur (SYSDIFF)
• Dateien in 8.3-Notation
– in $OEM$\$$
– in $OEM$\C (D,E,..)
• Jeweils eine $$RENAME.TXT-Datei (soweit
nötig)
• CMDLINES.TXT
– Befehlszeilen zur Installation
[Commands]
"rundll32 setupapi,InstallHinfSection DefaultInstall 128 .\PowerZip.INF"
• name.INF
– Änderungen an Registry und INI-Dateien
20
Dr. Holger BeckGWDG
Installationsablauf GWDG
• Unattended-Installation
• Im GUI-Setup
– Installation von Service Packs und Hotfixes
– Autologon nach nächstem Reboot über
CMDLINES.TXT initialisiert
• Zusätzlicher vierter Installationsschritt
– Autologon mit Administratorrechten
– Anwendungsinstallation komplett in diesem Schritt
• Kopieren ist schon abgeschlossen (aus $OEM$)
• im wesentlichen Installation von INF-Dateien über
RUNDLL32.EXE
• Einstellung von Dateizugriffsrechten über CACLS.EXE 21
Dr. Holger Beck
GWDG
Lokale Dateisicherheit
• Allgemein
– Modifikation der Rechte in Skript mit CACLS.EXE (aus ZAK angepasst)
– (XCACLS.EXE [Supplement zum Ressource Kit] bietet mehr Möglichkeiten)
– Lesen für Jeder/Everyone
– Vollzugriff für Administratoren und System
• TEMP
– Vollzugriff für Jeder
– Eine versteckte Datei ohne Zugriffsrechte als Schutz vor Löschen des
Verzeichnisses
• WinNT
– Lesen für Jeder
– Ändern für Jeder für INI-Dateien (u.ä.)
– Hinzufügen für Jeder im Verzeichnis
– Unterverzeichnisse nur Lesen für Jeder (Profiles, History u.a: Hinzufügen)
• Einzelne Bereich nur für Administratoren im Zugriff
• Teilweise unbefriedigend, in der Praxis ausreichend 22
Dr. Holger BeckGWDG
Sicherung der Registry
• Probleme
– Fehlende Tools
• REGEDT32 nur in graphischer Oberfläche
• REGINI nur eingeschränkte Definitionsmöglichkeiten
• Andere Lösungen: noch keine gefunden
– Testbedarf
• Unklarheit über Bedeutung vieler Einträge
• Manche Software verlangt theoretisch unnötig hohe Rechte
• Ergebnis
– Praktisch keine Modifikation der Standardwerte
– Unbefriedigend
23
Dr. Holger Beck
GWDG
Policies
• Erweiterte Konfigurationsmöglichkeiten der
Oberfläche durch Policies
– Erstellen mit Policy-Editor aus Templates
– Aktivieren im Logon-Vorgang
– Getrennt für
• Einzelne Benutzer
• Benutzergruppen
• Einzelne Rechner
• Rechnergruppen
• Bei GWDG
– Insbesondere Register „Einstellungen“ für Anzeige entfernen
24
Dr. Holger BeckGWDG
Benutzeranpassung
• Wie kann man verhindern, daß jeder Benutzer einen
eigenen Setup-Lauf durchführen muss?
– Die Software muss beim ersten Aufruf automatisch (möglichst
ohne jegliche Fragen) fertig installiert werden.
– Modifikation der Verknüpfungen im Startmenü
– Vorgeschaltete Anwendung (Batchdatei bie GWDG oder anderes)
Dateien in
Registry-
nein den
Einstel-
Anpassun-
Benutzer- gen in INI-
lungen in
bereich Dateien
HKCU
Aufruf kopieren
einer Anwendung
Batchdatei schon fertig
über installiert?
Startmenü
Anwendung
ja starten
25
Dr. Holger Beck
GWDG
Travelling User Support
• Problem der wechselnden Nutzung der Rechner
– Jeder Benutzer soll auf jedem Rechner seine Umgebung
vorfinden
• Lösung
– Identische Konfiguration der Rechner
• (mit Ausnahme einzelner Spezialsysteme)
– Roaming Profiles für Benutzer
• Startmenü, Desktop usw. zentral gespeichert und beim Login lokal
geladen
– Datenbereiche auf File-Server
– Konfigurationsdateien auf File-Server legen
• Problem der Datenmengen bei einigen Anwendungen 26
Dr. Holger BeckGWDG
Startmenü und Desktop-Icons
• Unterteilung
– benutzerabhängiger Teil
• Profiles\username\Startmenü bzw. Desktop
• definiert in
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User
Shell Folders
– rechnerabhängiger Teil
• Profiles\All Users\Startmenü bzw. Desktop
• definiert in
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders
• Speicherung
– Benutzerteil im Roaming-Profile
– Rechnerteil
• lokal
• zentral durch Änderung des Registry-Keys 27
Dr. Holger Beck
GWDG
Anwendungen und Lizenzen
• Lizenzverwaltung
– Limitierung der gleichzeitigen Zugriffe auf freigegebene Software
– soweit Lizenzbedingungen solche Verfahren erlauben!
• Probleme mit Lizenzrestriktionen
– Beim Login wird das Startmenü eingelesen
– und alle Icons werden geladen.
– Dazu muss eine Verbindung zu den verknüpften Programmen
aufgebaut werden,
– die nicht wieder abgebaut wird.
– Damit ist eine Lizenz blockiert
• Lösung
– Explizit das Symbol mit einer anderen Datei verknüpfen,
– die keinen Lizenzrestriktionen unterliegt. 28
Dr. Holger BeckGWDG
Nachinstallation von Software
• Aufgaben und Probleme der
rechnerbezogenen Softwarenachinstallation
– Kopieren von Dateien
• Wer initiiert Kopiervorgang? Server oder Client?
• Probleme durch
– von angemeldeten Usern in Benutzung befindliche Dateien,
– vom System in Benutzung befindliche Dateien.
– Änderungen von Registry-Einträgen
• Wer initiiert den Vorgang? Server oder Client?
• Probleme mit Aktivierung der Einträge
– nach Logoff/Logon
– nach Reboot
– (aber eher selten) 29
Dr. Holger Beck
GWDG
Manipulation von Registry-Einträgen
• Regedt32.exe
– Graphische Oberfläche
– Import/Export von Schlüsseln (binär)
– Security-Einstellungen
• Regedit.exe
– Graphische Oberfläche
– Import/Export von REG-Dateien
– Suchfunktion auch in Werten
– Import über Befehlszeile (nur lokale Registry)
• Regini.exe
– NT Ressource Kit
– Einspielen Keys über spezielle ASCII-Dateien
– auch für entfernte Rechner (regini -m Rechnername)
• Installation über INF-Dateien
– aus der graphischen Oberfläche installieren
– durch Aufruf von rundll32.exe über Kommandozeile (nur lokal) 30
Dr. Holger BeckGWDG
Nachinstallationen bei der GWDG
• Initiiert vom Server/Administrator PC
– Probleme mit ausgeschalteten Rechnern!
– Probleme mit angemeldeten Benutzern (potentiell)
• Manuell oder über NT-Scheduler gestartet
• Ablauf
Kopieren
Batchdateien
Batchdatei mit XCOPY
mit
mit Batchdatei
Installations- Registry-
Rechnerliste mit
anweisungen Einträge mit
und Softwareliste
für einzelne REGINI
Gruppierung
Anwendungen
Buchhaltung
31
Dr. Holger Beck
GWDG
Clientenüberwachung
• Zentrale Überwachung des Betriebszustands
– Festplattenspeicher
– Ereignisprotokoll
– Bisher Fehlanzeige
• wegen mangelnder Optionen des Betriebssystems
• oder zu hohen Kosten für Zusatzsoftware
• Inventarverwaltung
– Hardware
– Software
– Bisher zu Fuß in Datenbanken
32
Dr. Holger BeckGWDG
Microsoft System Management Server (SMS)
• Funktionalitäten
– Hardware- und Software-Inventur
– Softwareverteilung und -Installation
– Verwaltung von Netzwerkanwendungen
– Remote-Unterstützung
• Versionen
– Aktuell: 1.2
– Als Betatest verfügbar: 2.0
• GWDG
– im Beginn einer Testinstallation von SMS 2.0 (Beta 2)
33
Dr. Holger Beck
GWDG
SMS und Installation
• Betriebssysteminstallation
– keine speziellen Installationsoptionen
• Softwaredistribution
– SMS Installer
• zum Aufzeichnen von Installationen
• und Modifizieren der Aufzeichnungen.
• Erstellt neue Installationsmedien und Dialoge
– Distribution von Paketen
• über Hierarchien von Distributionsservern,
• Installation zentral konfiguriert/freigegeben/vorgegeben
• aber von Clienten initiert (s.u.).
– Installation
• durch manuellen Benutzereingriff,
• durch Eingriffe in Logon-Scripts
• oder durch Packet Installation Manager ohne Benutzereingriff
• bei 2.0 Installationsstart bei Logoff möglich
34
Dr. Holger BeckGWDG
Netinstall von Netmanage
• Funktionen
– Erstellen von Softwarepaketen
– Softwareverteilung und Installation
– Software on Demand
– Zusatzfunktion Inventarisierung
• Paketerstellung
• Softwareverteilung
– im Kontext eines Login-Vorgangs
– manuell
– oder als Software on Demand
35
Dr. Holger Beck
GWDG
Software an Demand (NetInstall)
• Aufteilung der Softwareinstallation
– rechnerbezogenener Teil
– benutzerbezogener Teil
• Funktion
– Bedarfsorientierte Installation
• bei Aufruf der Anwendung
• ggf. Nachinstallation des fehlenden Teils (Rechner/Benutzer)
– Eintragung eines Application Starters statt des
eigentlichen Programms im Startmenü und den
registrierten Dateitypen
36
Dr. Holger BeckGWDG
Ausblick
• Weitere Pläne der GWDG
– Ausdehnung des Konzepts auf weitere Rechnerpools
oder für Arbeitsplätze in Instituten
– Dazu Übergang zu SMS?
– Vorraussichtlich bald,
– aber nur SMS 2.0 (noch Beta) (?)
37
Dr. Holger BeckSie können auch lesen
