2013年9月25日 星期三

輕鬆搞定Windows 7 集中部署與管理

輕鬆搞定Windows 7 集中部署與管理

轉載至 http://www.netadmin.com.tw/article_content.aspx?sn=1106020003

顧武雄
Windows 7的運作效能表現讓許多企業IT讚嘆不已,以至於如今有許多企業的用戶端作業系統,都準備隨著電腦硬體的汰換而改使用Windows 7。

在Windows 7的大量部署解決方案中,主要提供兩種類型的部署方式,分別是簡易接觸大量部署(Lite-Touch Installation)與零接觸大量部署(Zero-Touch Installation)。

前者適用於用戶端數量在200至500個之間的中型企業,後者則是適用於超過500個用戶端以上的大型企業,而兩者在部署能力的最大差異是,前者需要用戶端使用者輸入少部分的安裝資訊,如電腦名稱、網域資訊等。

當然,還是可以讓它變成全自動大量部署,只是較不利於後續大量用戶端作業系統與應用程式部署的整合管理。

後者的精神是能夠在完全不需要使用者的介入之下完成大量部署作業(包括應用程式)。若想讓作業系統與應用程式達成零接觸大量部署的境界,則關鍵在於整合 Microsoft SCCM 2007 R2(System Center Configuration Manager 2007 R2)。

由此可見,在準備規劃大量部署Windows 7時,皆必須先把部署方式的差異性與所需要的工具清單弄個明白才行。

TOP1 LTI的方案架構中 需要預先準備哪些工具?

若想要以簡易接觸大量部署(Lite-Touch Installation)方式來完成公司內Windows 7的大量安裝,需要預先準備好的部署有哪些呢?

以下是有關於簡易接觸大量部署策略(LTI)的需求,在此分別加以詳細說明:



● MAP(Microsoft Assessment and Planning Toolkit): 此微軟免費工具提供在無須安裝任何代理程式的情況下,對目標電腦資產進行清點與評估,可以透過它自動產出Windows 7部署分析報告,即可對目前公司內的哪些電清單能夠安裝Windows 7一目了然。其下載網址如下:



● Windows 7作業系統大量授權(Volume-licensed):企業必須購買Windows 7大量授權,而不是採用隨機版本或彩盒版本。

● MDT 2010(Microsoft Deployment Toolkit):這是大量部署Windows 7作業系統的關鍵免費工具之一,它將負責控管整個大量部署作業中的共用儲存資源,甚至可以進階控管應用程式、裝置驅動程式以及安裝更新程式。目前提供32位元與64位元的版本,其下載網址如下:



● Windows USMT(User State Migration Toolkit):若想在大量部署的過程中將使用者的原有設定檔備份以及回復到新的電腦上,那麼此工具肯定是必要的。下載網址為:



● ACT(Application Compatibility Toolkit):此工具主要用以測試在Windows 7作業系統之中對於現有軟體的相容性,並且能夠測試新版本中的瀏覽器與安全性更新對於現有Web應用程式的相容性。下載網址如下:



● Windows AIK(Automated Installation Kit):透過Windows AIK可以協助IT在大量部署中進行自動化Windows安裝、使用ImageX擷取Windows映像檔、使用部署映像服務與管理(DISM)來設定與修改映像檔,以及建立Windows PE影像檔。其下載網址為:



● 用以儲存發佈點共用的檔案伺服器:必須準備一部專責的檔案伺服器來存放大量部署時所需的檔案資源,如果僅在測試環境中,可以將它與MDT 2010、USMT、WDS等服務安裝在同一部主機上即可。

● Windows部署服務(Windows Deployment Services):此服務內建於Windows Server 2008 R2,將會搭配此服務與MDT 2010結合,以完成大量部署。

在上述官方所提供的Windows 7大量部署工具清單中,部分工具並非是必需的,這包括MAP、ACT及USMT。舉例來說,USMT工具只有在須要一併移轉舊用戶端電腦中的使用者設定檔時才用得到。

另外,由於在大部分的部署情境下,都是讓用戶端透過以PXE的網路開機方式來進行作業系統的大量部署,因此在準備部署的環境中免不了需要DHCP伺服器,但必須注意的是,如果有多個VLAN,則可能須要將這些不同的IP位址範圍全部納進來。

TOP2 如何正確安裝與設定Windows部署服務?

倘若想要在公司網域內建置一部專屬的Windows部署服務伺服器,以作為後續進行Windows 7遠端自動安裝時可以使用,可否詳細說明其中的安裝與設定方法?

以下說明Windows部署服務角色的安裝方法。先在系統管理工具的下拉選單中開啟「伺服器管理員」介面,然後在此介面中點選「新增角色」連結,接下來在「新增角色精靈」的「伺服器角色」頁面中勾選「Windows部署服務」項目,並按下〔下一步〕按鈕繼續。

在「Windows部署服務概觀」頁面內,可以看到Windows部署服務各項關鍵特色的介紹,隨後按下〔下一步〕按鈕繼續。

接著,在「選取角色服務」頁面中,如圖1所示勾選「部署伺服器」與「傳輸伺服器」,然後按下〔下一步〕按鈕繼續。

▲圖1 選取角色服務。


在「確認安裝選項」頁面中,再次確認之前所勾選安裝的角色服務,然後按下〔安裝〕按鈕開始進行安裝。完成安裝Windows部署服務角色後,便可以在「系統管理工具」的下拉選單中開啟「Windows部署服務角色」管理介面。

圖2所示便是第一次開啟「Windows部署服務」管理介面的範例。在該伺服器節點上按下滑鼠右鍵,或是點選「動作」窗格中其他動作下拉選單中的【設定伺服器】選項。

▲圖2 設定伺服器。


緊接著會開啟「Windows部署服務組態精靈」介面,從這個精靈的一連串設定指引中將可陸續完成遠端安裝資料夾的設定、整合DHCP服務的設定、PXE伺服器初始值設定以及立即加入映像檔等作業。

在「遠端安裝資料夾位置」設定頁面中,將如圖3所示設定後續要用來存放各類開機與作業系統映像檔的儲存位置,因此必須確認這個路徑的磁碟剩餘空間要夠大,並且不要設定在系統開機磁碟。

▲圖3 遠端安裝資料夾位置。




請注意,如果在「遠端安裝資料夾位置」設定中選擇系統磁碟區,則會出現警告訊息,主要是因為它將會影響伺服器的I/O運作效能。

接下來如圖4所示,在「DHCP選項60」頁面中的描述其實已經說明得很清楚,如果將DHCP伺服器與Windows部署服務角色安裝在同一部主機上,則必須記得勾選「不要接聽連接埠67」與「將DHCP選項標籤設定為’PXEClient’」這兩個選項。

▲圖4 DHCP選項設定。




接下來的「PXE伺服器初始設定值」頁面中,可以如圖5所示設定PXE伺服器對於不同用戶端類型連線的回應方式,一般來說,會勾選「回應所有(已知及不 明)用戶端電腦」。然後,為了安全性的考量,可以勾選「對於不明用戶端來說,通知管理員,並在核准之後回應」選項。其實,這些組態配置後續都可以再修改。

▲圖5 PXE伺服器初始設定值。




完成前面幾項設定之後,接下來在「操作完成」頁面中,不要勾選「立即將映像新增至伺服器」選項。最後,按下〔完成〕按鈕即可。

TOP3 如何在MDT2010中 設定部署共用存取點?

請問完成下載與安裝MDT 2010工具之後,該如何透過它來結合Windows部署服務一起使用呢?

圖6所示為MDT 2010管理主控台介面,必須在此先設定好部署共用存取點。在「Getting Started」節點頁面中,可以看到整個關於大量部署的流程示意圖,如果需要其他更完整的文件,則可以點選至「Documentation」。

▲圖6 MDT 2010管理主控台。


接著點選至「Deployment Shares」節點上,然後按下滑鼠右鍵,並點選快速選單中的【New Deployment Share】,準備建立一個可供大量部署共用的存取點。

如圖7所示,在「Path」頁面中按下〔Browse〕按鈕,來指定準備作為部署共用存取點的本機資料夾路徑,設定好了之後,按下〔Next〕按鈕繼續。

▲圖7 設定部署共用路徑。


在「Share」頁面中,如圖8所示針對前面步驟中所設定的部署共用點來設定共用名稱,建議採用預設的「DeploymentShare$」即可。由於在共用名稱中附上$符號,所以在網路芳鄰中將無法被直接瀏覽到。

▲圖8 共用名稱設定。


來到在「Descriptive Name」頁面內,這裡須設定部署共用描述,例如輸入此共用路徑用以大量部署Windows 7。而在「Allow Image Capture」頁面中,主要是決定當Windows映像檔將被擷取時是否要詢問使用者。

在「Allow Admin Password」頁面中,則決定是否要在大量部署的期間允許使用者設定本機系統管理員的密碼。一般來說,除非這些用戶端的部署是透過網域管理員來親自進行操作,否則這個選項是不勾選的。

而「Allow Product Key」頁面中可以決定是否要在大量部署的期間讓使用者自行設定作業系統的產品金鑰。同樣地,為了安全性的考量,這個提示選項通常不會勾選。進入 「Summary」頁面後,必須對於前面的所有設定值進行最後的確認,一旦確認無誤,按下〔Next〕按鈕即可。

來到「Confirmation」頁面之後,便可以看到完成部署共用設定的成功訊息,如果須要檢視手稿檔程式,可以點選「View Script」。最後,按下〔Finish〕按鈕即可。

TOP4 如何準備要部署的Windows 7作業系統安裝程式?

當完成在MDT 2010部署共用存取點的設定之後,請問接下來該如何準備將大量部署的Windows 7安裝程式配置此工具中呢?

如圖9所示,在MDT 2010介面中的「Operating System」節點上按一下滑鼠右鍵,然後點選快速選單中的【Import Operating System】。

▲圖9 匯入作業系統。


如圖10所示,在「OS Type」頁面中可以根據需要選擇設定安裝程式來源、設定現有可用的映像檔,或是從指定的WDS主機上來增加現有的映像檔。在此選取「Full set of source files」,然後按下〔Next〕按鈕。

▲圖10 作業系統類型設定。


來到「Source」頁面後,按下〔Browse〕按鈕以選擇安裝程式的來源路徑,舉例來說,如果目前的Windows 7安裝光碟片放在D磁碟代號的光碟機中,那麼只要輸入「D:\」即可。接著,按下〔Next〕按鈕繼續。

隨後切換至「Summary」頁面,在此可以看到前面所完成的設定清單,確認無誤後,再按下〔Next〕按鈕以便開始匯入作業。在「Confirmation」頁面中,便是已經成功完成匯入的作業系統清單。接著,按下〔Finish〕按鈕即可。

如圖11所示,在「Operating System」節點頁面中目前可以看到已經準備好的各個版本的Windows 7映像檔,事實上,可以隨時在這個頁面的管理中新增或移除Windows映像檔。

▲圖11 作業系統檢視。


接下來,在「Task Sequences」節點上按一下滑鼠右鍵,然後點選快速選單中的【New Task Sequences】,以新增作業系統進行安裝過程中的任務序列設定。接著,在「General Settings」頁面中自訂一個唯一的任務序列名稱及相關描述,然後按下〔Next〕按鈕繼續。

進入「Select Template」頁面後,如圖12所示從下拉選單中選取【Standard Client Task Sequences】即可。接著,按下〔Next〕按鈕繼續。

▲圖12 範本選擇。


在「Select OS」頁面中,必須從目前可用的Windows作業系統映像檔清單內,選取這個任務序列中所要部署的作業系統項目,本例選擇「Windows 7 Professional的x64」版本(圖13)。

▲圖13 選取作業系統映像檔。


按下〔Next〕按鈕後切換到「Specify Product Key」頁面內。在此將大量授權的產品金鑰設定進去,不過本例選擇不要在這時間點設定產品金鑰,而是留在後續的自動回應檔編輯中再做設定。

接著按下〔Next〕按鈕,將會進入「OS Settings」頁面,在此設定購買者資訊及IE瀏覽器預設所要連線的首頁。設定好了之後,按下〔Next〕按鈕。

在「Admin Password」頁面中,則可以如圖14所示設定在大量部署中每一部Windows 7作業系統本機的系統管理員密碼,強烈建議將其預先設定好,接著按下〔Next〕按鈕繼續。

▲圖14 本機管理員密碼設定。


進入「Summary」的頁面後,就可以看到前面所完成的每一項目的設定值,確認無誤之後按下〔Next〕按鈕。

成功建立一個新的Windows 7專業版(x64位元)的任務序列之後,記得將這個任務序列的名稱記下來,本文的最後將會再使用到。此外,若想知道以手稿檔建立任務序列的方法,可以按下〔View Script〕按鈕來開啟。

完成上述設定後,接下來在部署共用的節點上按下滑鼠右鍵,然後點選快速選單中的【Update Deployment Share】,以便更新前面所完成的各項異動設定。

在「Options」頁面中可以選擇最佳化開機映像檔更新的方式(Optimize the boot images updating process),或是進行完整的開機映像檔的產生作業(Complete regenerate the boot images),在此選擇預設的項目即可。

當上述的作業全部完成之後,可以嘗試瀏覽目前部署共用資料夾下的「Boot」資料夾,開啟之後,將會看到如圖15所示的幾個檔案,其中最重要的當然就是x86與x64的ISO開機檔案。

▲圖15 部署共用內容檢視。


TOP5 如何建立大量部署時的遠端開機映像檔?

請問在伺服端準備好Windows 7的安裝來源程式之後,接下來該如何讓用戶端的電腦可以透過PXE網路開機的方式,進行遠端連線與安裝準備好的Windows 7作業系統呢?

只要在MDT 2010工具中產生Windows 7開機映像檔之後,便可以將其匯入到Windows部署服務中,來提供後續大量以PXE開機的用戶端進行開機作業。

首先,如圖16所示在「Windows部署服務」介面中,選取「開機映像」節點項目後,按一下滑鼠右鍵,然後點選快速選單中的【新增開機映像】。

▲圖16 新增開機映像檔。


接著,在「映像檔」頁面中按下〔瀏覽〕按鈕,將所要部署的Windows 7開機映像載入,然後按下〔下一步〕按鈕繼續。在「映像中繼資料」頁面中,可以自訂部署時的映像名稱與描述,設定好了之後按下〔下一步〕按鈕。

再回到「開機映像」頁面後,將可以如圖17所示看到所有已匯入過的開機映像檔清單。在此頁面中 ,除了可以隨時對於開機映像檔進行新增刪除外,也可以針對現有的開機映像檔項目設定為線上或離線,好讓不同部署需求的用戶端能夠採用不同的開機映像檔來連線開機。

▲圖17 開機映像檔清單。


TOP6 準備好的用戶端電腦如何連線進行安裝Window 7?

如果想嘗試找一部支援PXE功能的用戶端電腦來測試遠端安裝Windows 7作業系統,請問該如何進行呢?

當Windows 7大量部署規劃中的伺服端相關必要設定都已經完成之後,接下來就可以開始找幾台支援PXE的用戶端電腦來測試大量部署作業。但請注意,必須確認這些電腦的BIOS中也已經啟用PXE開機功能。

設定方法是,在系統預設的狀態下,如圖18所示用戶端使用者必須自行按下〔F12〕按鍵才能夠進入到Windows 7的開機部署作業程序之中。

▲圖18 採用PXE遠端開機。


完成開機映像檔的載入之後,將來到如圖19所示的圖形化安裝設定介面。在這個視窗中,除了可以直接點選進入部署精靈介面之外,也可以選擇開啟Windows復原精靈介面或是進入命令提示列中。另外,也可以在此設定鍵盤輸入的語系,以及設定靜態IP位址組態。

▲圖19 部署選單。


接著,必須輸入一組擁有連線存取部署共用資料夾的網域帳戶與相對的密碼,如此才能夠正式進入正式開始安裝設定的頁面中。

當開啟前面有關於MDT 2010介面中所建立的任務序列清單時,若曾經有各種版本的Windows 7或Windows Server 2008 R2作業系統需要部署,都可以透過建立個別獨立的任務序列,來讓用戶端使用者或其他IT人員在此選取安裝。

而在「Configure the computer name」頁面中必須設定一個唯一的電腦名稱,在預設狀態下,這個名稱會由系統隨機產生,而使用者可以修改成自訂的名稱。一般來說,即便在最後會介紹的全 自動部署方式中,最好也讓使用者可以根據公司規定來自行命名電腦名稱,例如依照個人員工編號來作為識別名稱。

而後面還有一連串須要使用者(或IT人員)介入設定的部分,包括網域設定、時區設定、使用者設定檔還原設定等等。

TOP7 如何讓整個大量部署過程中 完全不需要使用者的介入?

請問如何直接讓以PXE開機方式進行大量部署Windows 7的新用戶端電腦,可以在完全不須要使用者介入操作的狀況下完成整個部署作業呢?可否詳細介紹這部分的組態設定?

事實上,想要達成這一項目標,只要完成三個關鍵的組態配置即可,分別是WDS伺服器的PXE開機原則、MDT 2010的部署共用點規則檔、MDT 2010的任務序列回應檔。接著,說明這些設定。

首先,在「Windows 部署服務」介面中,針對伺服器節點按一下滑鼠右鍵,然後點選快速選單中的【內容】。隨後切換到〔開機〕活頁標籤內,如圖20所示針對「已知用戶端」與「未知用戶端」分別設定為「除非使用者按下ESC鍵,否則繼續進行PXE開機」選項。

▲ 圖20 完成撥號對應表建立。


然後按下〔確定〕按鈕完成設定,如此一來使用者就可以在不必按下〔F12〕按鍵的情況下,自動進入Windows 7的遠端自動安裝程序中。

隨後,在MDT 2010的「Deployment Workbench」介面中,針對目前的共用部署節點按下滑鼠右鍵,然後點選快速選單中的【內容】。

切換到「Rule」頁面中,在此看到的內容,事實上是一個自訂規則檔的設定,這個CustomSettings.ini檔案指定在磁碟的「\DeploymentShare\Control\」路徑之下。

至於範例中的設定項目相當多,其實都是筆者所自行添加進去的,目的就是要讓許多在安裝過程中的要求操作頁面全部省略掉,其完整的內容如下所示。



請注意,必須將所有頓號換成空行,並且根據實際需求來設定諸如介面語系、時區、對應的任務序列名稱、加入的網域名稱、網域管理員帳戶與密碼等等。完成這些設定後,按下右下方的〔Edit Bootstrap.ini〕按鈕繼續。

按下〔Edit Bootstrap.ini〕按鈕之後將會開啟如圖21所示的頁面,在此除了預設的設定內容須要保留之外,還必須加入下方幾行的設定資訊,其中連線使用者的名稱、網域及密碼必須修改成正確的。完成修改後,記得存檔。

▲圖21 編輯開機規則檔。


接下來,修改任務序列回應檔。在「Task Sequences」節點上,針對所建立的Windows 7任務序列項目按下滑鼠右鍵,然後點選快速選單中的【內容】。在此任務序列的內容中,切換到〔OS Info〕活頁標籤內,並且按下〔Edit Unattend.xml〕按鈕,便會開啟如圖22所示的Windows系統映像檔管理員介面。

▲圖22 完成撥號對應表建立。


圖22的這個介面便是前面步驟中安裝過的AIK工具所提供,透過這個介面,只要藉由簡單的設定,系統便會自動產生所需的自動回應檔,這樣許多原本在任務序列中必須手動完成的操作,都可以在此預先設定好而自動完成。

在這個範例中,筆者主要針對這些大量部署的Windows 7電腦所要加入的網域與組織容器資訊進行設定,其中組織容器的部分必須以LDAP的格式進行輸入,例如「OU=業務部,DC=msft,DC=com」。

接著,也可以針對Windows 7內建的IE瀏覽器進行設定,例如設定預設的首頁、信任的網址、是否顯示工具列、是否顯示選單功能、是否提供群組頁籤功能等等。

除了這兩個範例之外,能夠設定的組態還有非常多,例如可以設定網路位置(家裡、工作場所、公共場所)、本機系統管理員密碼、顯示器解析度與色彩、時區與地區、介面語系、輸入語言、大量授權的產品金鑰等等。

完成以上設定後,便可以如圖23所示在功能表的【工具】選單中點選【驗證回應檔案】功能,以確認所設定的資訊是否會出現錯誤訊息。當發現某個設定項目設定不正確時,將會提示必須回去修改。如果只是警告訊息,則通常可以忽略。

▲圖23 驗證回應檔。


當一切設定檢查都沒有問題時,便可以在功能表【檔案】選單中點選【儲存回應檔】或【另存回應檔】。完成上述設定後,接著必須立即更新部署共用點的組態。在 部署共用點的節點項目上按下滑鼠右鍵,然後點選快速選單中的【Update Deployment Share】,接著在所開啟的精靈頁面中連續按下〔下一步〕按鈕完成更新。

來到「Windows部署服務」介面後,先將「開機映像」節點頁面中舊的映像檔刪除,然後在節點上按一下滑鼠右鍵,點選快速選單中的【新增開機映像】,將前面步驟中剛完成更新的開機映像檔重新加入即可。

如圖24所示,最後部署結果便是部署一部Windows 7(電腦名稱為MININT-9T6QV1),不僅可全自動安裝(電腦名稱隨機產生),還會把這一些電腦自動加入到指定的網域及組織容器中,完全不須使用者介入操作。

▲圖24 檢視組織容器。


結語

關於Windows 7的大量部署,本文談到的皆是一般性針對實體用戶端電腦的部署方式,但事實上,如今有少數的企業IT為了簡化部署與維護成本,也會考慮採用如 Microsoft Terminal Services或VMware View等虛擬化桌面的解決方案,往後若有機會或許筆者也會與讀者分享這方面的實戰內容。

沒有留言:

張貼留言