第3部分     使用远程安装服务

1.         远程安装服务服务器授权
远程安装服务 (RIS)”服务器授权特性可防止将未经授权的 RIS 服务器添加到使用 Active Directory 的网络中。
使用 RIS 可确定哪些 RIS 服务器能接受和处理请求,以及哪些 RIS 服务器仅能为网络上的客户端提供服务。必须先授权 RIS 服务器在 Active Directory 中运行,它才能接受请求。若要在 Active Directory 中授权 RIS,您必须首先以 Enterprise Admins 组成员的帐户登录到要在其中授权 RIS 服务器的域中。应运行 RISETUP -Check 授权该服务器。
RIS 服务器尝试在网络上启动时,将查询 Active Directory,并且 Internet 协议 (IP) 地址与授权的 RIS 服务器的列表相比较。如果发现匹配项,则 RIS 服务器已得到授权且可以在网络上启动。如果没有匹配项,该服务器未获得授权。此时,RIS 将没有应答。
2.         运行远程安装服务安装向导
运行远程安装服务安装向导前,您必须确保在要运行该向导的服务器上的 Administrators 组中有帐户。也应确保完成清单:安装远程安装服务中所述的全部必要步骤。
完成安装后,您可选择远程安装服务 (RIS)”作为可选组件。为此,请使用控制面板中的添加或删除程序。如果使用无人参与应答文件运行安装,则也可在安装过程中安装 RIS。这种情况下,在您选择 RIS 后,安装向导将引导您完成安装和配置的必要步骤。
安装向导显示以下选项:
l         第一次运行该向导时,该向导将提示您输入 \RemoteInstall 目录树的位置。此位置必须位于 NTFS 文件系统卷上,而不能位于系统卷启动卷上。
l         响应客户端计算机的请求服务
选择此选项能够使 RIS 服务器开始响应客户端计算机。取消选中该选项可防止 RIS 服务器进行响应。
l         不响应未知客户端计算机
如果希望 RIS 服务器仅响应已知(预安排)的客户端计算机,则选择该选项。如果希望该 RIS 服务器响应请求远程安装的任何客户端计算机,则取消选中该选项。
l         预安排可以作为 RIS 的安全策略的一部分。因为您可使用预安排防止通过 RIS 安装未知客户端计算机。对于与 PXE 体系结构和 RIS 有关的安全考虑事项,请参阅 PXE 体系结构、RIS 和安全考虑事项
l         安装向导将提示您输入该安装文件的位置。这可以是光盘或包含该安装文件的网络位置。
l         安装向导将提示您输入目录名称,以便将 RIS 服务器上的安装文件复制到该目录中。您应当将目录命名为能表示要复制的操作系统的形式(例如,WindowsXP.pro)。
l         安装向导将提示您输入描述此操作系统安装映像的易懂描述和帮助文本。在启用远程启动的客户端计算机上执行客户端安装过程中,系统将向用户显示易懂描述和帮助文本。输入操作系统安装选择的描述。例如,易懂描述可以是“Windows XP Professional 用于销售人员。当用户在客户端安装向导中选择易懂描述时,将显示帮助文本。
l         安装向导显示安装过程的摘要信息。若要更改其中的任何信息,请单击上一步
3.         从命令行使用 Risetup
通过 Risetup,您可从命令行管理运行远程安装服务 (RIS)”的服务器。可使用 Risetup 添加新安装映像或验证服务器,并确保它正常运行。
若要运行 Risetup,请在命令行键入:
risetup
4.         远程安装服务管理概述
要管理远程安装服务 (RIS)”,请使用 Active Directory 内指定对象的属性页。要访问属性页,请右键单击想要管理的服务器对象,然后单击属性。在远程安装属性页中可以设置下列选项:
   1)              客户端服务
可以指定服务器响应所有的客户端请求服务,或只响应已知的(预安排)客户端。使用以下选项指定 RIS 服务器如何响应来自客户端计算机的服务请求:
l         响应客户端请求服务: 如果选择该选项,RIS 将启用,并响应客户端计算机请求服务。
l         不响应未知客户端计算机:如果选择该选项,RIS 服务器仅响应 Active Directory 中预安排的客户端计算机。否则,RIS 服务器将响应请求远程安装的任何客户端计算机。
有关预安排的详细信息,请参阅预安排客户端计算机
   2)              验证服务器
如果服务器似乎出现故障或运行状况异常,或者需要从备份中还原 RIS 卷,则选择该选项。该选项将调用一个向导,检查所有的设置、服务和配置选项是否都已正确设置并正常工作。
选择该选项前,请确保安装光盘可用。在验证服务器过程中可能会提示您需要光盘。
您只能在 RIS 服务器上本地使用验证服务器,或者通过管理远程桌面连接到该服务器来使用验证服务器。如果正在从远程服务器执行 RIS 管理任务,就不能使用验证服务器
注意:如果因为需要从备份中还原 RIS 卷而验证服务器配置,则必须在还原该卷之前验证服务器配置。
   3)              显示客户端
如果选择此选项,您就能够在 Active Directory 中搜索 RIS 客户端。
选择该选项将显示客户端计算机的列表,这些客户端计算机按它们的全局唯一标识符 (GUID) 排序。该列表也包括已预安排的客户端计算机。
   4)              高级设置
如果选择该选项,则可控制如何安装客户端计算机。以下为高级设置选项:
l         自动客户端计算机帐户命名格式
l         客户端计算机帐户的 Active Directory 位置
l         管理安装在该 RIS 服务器上的安装映像和操作系统预维护工具
5.         RIPrep 创建安装映像
使用远程安装准备 (RIPrep) 向导,您可以创建当前安装的映像,并将该映像复制到网络上可用的远程安装服务 (RIS)”服务器。若要执行该过程,您必须是客户端计算机上 Administrators 组的成员,或者必须已被委派了适当的权限。Domain Admins 组的成员也可执行此过程。您还必须具有写入 RIS 服务器上 RIS 文件夹的权限(包含所有 RIS 文件夹的文件夹的默认名为 RemoteInstall)。
确保您具有写入 RIS 服务器上 RIS 文件夹的权限的方法之一是明确地为您指派此权限。另一种方法是成为 RIS 服务器上本地 Administrators 组的成员。
l         建议您使用 RIS 安装为安装映像选择的操作系统。然而,RIPrep 仅能用于为它所支持的特定操作系统创建映像。不必使用 RIS 安装操作系统;您可通过光盘进行安装。
l         安装操作系统后,您应安装要使用客户端进行部署的客户端计算机应用程序。
 
注意: 如果您想安装不符合“Windows Installer”技术的应用程序,则应执行本步骤。您也可以安装符合“Windows Installer”技术的应用程序。
 
l         安装适当的客户端计算机应用程序后,您应将源计算机配置为符合任何必要的公司桌面标准。例如,您可能希望定义特定的屏幕颜色、设置背景位图为公司徽标、删除由基本操作系统安装的任何游戏以及配置 Internet Explorer 代理服务器设置。要保存桌面配置,请将发生配置更改时登录的用户的配置文件复制到默认用户配置文件中。
注意: 启动远程安装准备向导前,确保删除源客户端计算机中的所有机密信息。
l         然后,您应关闭所有应用程序并运行远程安装准备向导
l         此向导将源计算机配置成一般状态,删除对客户端安装特有的任何内容,如计算机的唯一安全标识符 (SID)、计算机名称以及对客户端源计算机特有的任何注册表设置。
l         然后,此向导将提示您输入映像创建过程所必需的安装信息。这些信息包括客户端安装映像复制的位置、应复制到服务器上的目录的名称以及向运行客户端安装向导的用户说明安装映像的易懂描述及相关帮助文本。由于在远程启动过程中的内存限制,所以您能为一组安装映像选择提供的完整文本将受到限制。对于相对大量的安装映像选择,易懂描述和帮助文本必须限制长度;对于较少的选择,易懂描述和帮助文本可较长一些。如果客户端计算机的安装映像选择数量接近 12  16,则通常对于完整文本存在这些限制。
l         复制完成之后,安装映像将自动添加到可用操作系统安装选项的列表中并且可以被使用远程启动技术的客户端计算机使用。使用 RIPrep 创建新映像时,该映像仅对具有相同类型硬件抽象层 (HAL)”的客户端计算机可用。使用 RIPrep 创建的映像对于经授权可以查看它们的所有客户端都可用。
注意: 启用远程启动的客户端计算机不必具有与用于创建安装映像的源计算机相同的硬件(HAL 除外)。在映像安装过程中,远程安装准备向导使用即插即用功能检测源计算机硬件和目标计算机硬件之间的差异。对于任何即插即用设备,这可确保安装正确的设备驱动程序。
l         通过在安装映像 .sif 文件上设置访问控制权限,您可控制可用于用户的安装选项,或者,为了获得更大的控制,您可在包括该安装映像的文件夹上设置权限。
   1)              计划 RIPrep 时要考虑的因素
计划使用 RIPrep 创建安装映像时要考虑的因素。它们主要包括:
Ø         RIPrep 复制过程的要求
Ø         安装映像、产品标识号以及授权
Ø         源客户端计算机和目标计算机上的磁盘特征
   2)              RIPrep 复制过程的要求
打算运行 RIPrep 时,了解源客户端计算机、映像和用来复制映像的媒体所要符合的要求,这非常重要。
Ø         远程安装准备向导当前支持将安装的单磁盘和单启动分区复制到单独的 RIS 服务器。这意味着,操作系统和组成标准安装映像的所有应用程序都必须保存在源客户端计算机的单个分区上。
Ø         源客户端计算机上的文件一定不要加密。不支持加密文件的复制。
Ø         不支持修改复制的安装映像。
Ø         此向导允许将源映像仅复制到可用的 RIS 服务器上。目前还不支持将源复制到备用驱动器或备用媒体类型上。
   3)              安装映像、产品标识号以及授权
Ø         使用远程安装准备向导 (RIPrep)”创建最初使用零售版操作系统安装的客户端计算机的安装映像时,必须修改 RIS 的无人参与安装应答文件 (sif) 以包括该产品的标识号 (PID)PID 是专用于每个操作系统副本的唯一标识号。如果没有在 .sif 文件中输入 PID,那么在安装 RIPrep 映像的过程中会停止安装并且提示用户输入产品标识符的信息。在与该安装映像关联的 .sif 文件的 [UserData] 部分添加产品标识符,可以避免在安装过程中提示用户输入 PID。例如,在 .sif 文件的 [UserData] 部分键入如下内容(包括连字符和引号):
ProductKey = "xxxxx-xxxxx-xxxxx-xxxxx-xxxxx"
Ø         映像复制过程结束之后,源客户端计算机将关机。重新启动源计算机时,简化的安装程序将自动运行。如果需要使用该客户端计算机创建另一个安装映像,则必须完成此安装过程。如果您使用零售版的 PID,则仅能创建三次附加的安装映像。但是,卷授权 PID 允许您创建三次以上的安装映像。
Ø         使用 RIS 制作或安装的 Microsoft 软件的所有副本都必须完全得到许可。使用 RIS 制作或安装的非 Microsoft 软件的所有副本也都必须获得许可,而且持有许可证的一方有责任确保非 Microsoft 软件的任何副本都已得到许可。
   4)              源客户端计算机和目标计算机上的磁盘特征
打算运行 RIPrep 时,了解源客户端计算机上具有的磁盘配置,然后将它与要安装映像的客户端计算机上的磁盘配置进行比较,这很重要。以下要求涉及:
Ø         目标计算机的磁盘容量必须等于或大于源计算机的磁盘容量。
Ø         RIPrep 安装映像保留了源计算机磁盘的分区特征。
以下示例解释了这一点,但也说明了并不建议使用的文件分配表 (FAT) FAT32 文件系统的用法。对于 RIS,建议使用 NTFS 文件系统。具体示例,请参阅下面内容:例如,如果使用 2 GB FAT 卷从源计算机创建安装映像,然后将该映像安装在 4 GB 驱动器的客户端计算机上,则生成的安装会将此驱动器格式化为使用 FAT32 4 GB 卷。目标计算机文件系统类型的更改是由于 FAT 文件系统的限制引起的。如果目标卷大于 32 GB,则不能进行目标计算机文件系统类型的此类更改(从 FAT 更改为其他文件系统)。对于大于 32 GB 的目标卷,源计算机必须使用 NTFS 文件系统。
目标计算机的磁盘准备容量必须等于源计算机的磁盘容量,除非按照本列表下一项中的指导操作,否则将格式化目标计算机上所有剩余的磁盘容量。例如,如果源计算机的磁盘容量是 1 GB,而目标计算机的磁盘容量是 2 GB,那么目标计算机上的整个 2 GB 都将被格式化。
Ø         通过更改与安装映像相关联的 .sif 文件中的信息,您可以限制磁盘重新格式化,以便它与用来创建安装映像的源计算机一样。例如,打开位于 \\Server_name\REMINST\Setup\Applicable language\Images\Applicable p_w_picpath name\I386\Templates\Riprep.sif 文件夹中的 Riprep.sif 文件,并将 UseWholeDisk 参数修改为 NO。客户端计算机安装该映像时,磁盘将按照与源计算机匹配的容量进行格式化,且不格式化目标计算机剩余的磁盘容量。
6.         RIS 客户端计算机属性
远程安装服务 (RIS)”使用属性页包括有关 RIS 客户端计算机的信息。若要查看或更改有关 RIS 客户端计算机的信息,请右键单击某个客户端列表,然后单击属性
   1)              计算机的唯一标识符 (GUID)
属性页上显示的一个重要属性是计算机的全局唯一标识符 (GUID),也称作通用唯一标识符 (UUID)RIS 服务器使用该标识符定位客户端计算机。以下列表提供有关 GUID 的详细信息:
GUID 由客户端计算机的制造商提供。
输入 GUID 时,您一般以 {dddddddd-dddd-dddd-dddd-dddddddddddd} 的显示格式输入它,其中 d 是十六进制的文本数字。在第一个连字符前有个数字,其后的三组数中每组都有个数字,最后一个连字符后又 12 个数字。如以下示例所示:
{67452301-AB89-EFCD-0123-456789ABCDEF}
GUID 仅使用十六进制的文本数字和连字符,即以下列表中的字符(不区分大小写):
 
0 1 2 3 4 5 6 7 8 9
a b c d e f - A B C D E F
不要在 GUID 中键入空格。
GUID 也可以按电报格式输入。在电报格式的 GUID 中,将通过与显示格式的 GUID 进行比较而调换最初的 16 个数字。以下示例将电报格式与显示格式进行比较:
以电报格式表示的 GUID0123456789ABCDEF0123456789ABCDEF
以显示格式表示的相同的 GUID{67452301-AB89-EFCD-0123-456789ABCDEF}
   2)              查找客户端计算机
每台客户端计算机由其 GUID 标识。在 Active Directory 中,您可使用显示客户端功能显示按其 GUID 排序的客户端计算机的列表。该列表包括预安排客户端计算机。可以在整个 Active Directory 结构或仅限制在特定的域执行该搜索。
显示客户端搜索过程为当前 RIS 服务器计算机名附加一个通配符搜索属性。例如,如果命名 RIS 服务器为 RISsvr1,那么显示客户端功能将使用 RISsvr1* 作为服务器名称。
在多个 RIS 服务器环境中使用显示客户端功能时,搜索结果可能包含从多个服务器获得的客户端计算机。例如,如果您有多个 RIS 服务器具有像 RISsvr1RISsvr10 RISsvr100 这样的计算机名称,当您搜索 RISsvr1 时,列表将显示从所有这三个服务器安装的客户端计算机。
7.         远程安装服务的安全信息
   1)              PXE 体系结构、RIS 和安全考虑事项
远程安装服务 (RIS)”所使用的预启动执行环境 (PXE)”体系结构由于其设计问题使得在 PXE 中存在某些固有的安全风险。PXE 是一种行业标准,所以使用 PXE 的远程安装方法都具有同样的风险。
这些安全风险包括以下方面:
Ø         PXE 没有提供防止未知服务器在启用 PXE 的客户端计算机上执行远程安装的措施。如果某个服务器可与客户端建立连接,它即可在这些客户端上执行远程安装。
Ø         PXE 并没有提供完全阻止数据包欺骗的措施。这意味着,客户端计算机将接收***者发送的数据包,并将该数据包结合到此客户端计算机的安装中。
Ø         PXE 没有提供一种措施来防止未知的启用 PXE 的计算机安装服务器(如果该启用 PXE 的计算机能连接到网络)。但是,RIS 提供了 PXE 所不具有的某些安全性,因为 RIS 仅在用户登录后才执行远程安装。没有有效用户名和密码的用户无法使用 RIS 执行安装。
Ø         另外,如果您预安排客户端计算机并配置您的 RIS 服务器仅响应已知(预安排的)客户端,则可通过 RIS 获得更高的安全性。这样,如果***者成功地将未知的、启用 PXE 的客户端计算机连接到您的 RIS 服务器,则不会向该客户端计算机发送任何安装文件。该***者不会获得您用于 RIS 客户端计算机的配置信息。
由于存在这些安全性问题,所以建议您在包括启用 PXE 的客户端计算机的网络周围实施保护措施。
您可采取如以下列表中所述的那些步骤确保由您组织外的人员控制的计算机不要连接到启用 PXE 的客户端:
Ø         使用防火墙,并正确配置它。
Ø         使用适当的审核和监控方法来监测对网络的***。
Ø         限制对网络的物理访问。
Ø         在整个组织内使用强密码。
Ø         执行加强网络安全的其他最佳操作。
   2)              RIS 管理员选择适当的组成员
如果您组织中某些人员的职责包括配置远程安装服务 (RIS)”服务器和创建安装映像,则使这些人员成为诸如 Domain Admins Enterprise Admins 等管理组的成员。这能使他们执行所有 RIS 配置任务。对于通过在 Active Directory 中授权 RIS 服务器的方式完成安装 RIS 服务器的单独任务,需要在 Enterprise Admins 中具有成员身份。
也应为您组织的管理员提供未在任何管理组的用户帐户。使用这些帐户,管理员可以作为用户以安全性最佳操作进行登录,然后使用运行方式执行管理任务。
在任何可能的情况下,按照仅提供对域帐户和资源必要的访问的方式选择组成员身份和分配权限。例如,可能您组织中某些人员的职责包括管理帐户和权限但不包括配置 RIS 服务器或创建客户端安装映像。不要授予这些人员在诸如 Domain Admins Enterprise Admins 等组中的成员身份,而授予他们在诸如 Account Operators 组中的成员身份,并授予他们对 RIS 服务器上文件夹的权限。
下表说明组成员身份和仅管理与权限、计算机帐户和用户帐户相关的 RIS 任务的人员所必需的权限:
任务
执行那些任务的管理员所必需的权限或组成员身份
管理客户端安装映像,包括:
²        将无人参与安装应答文件与安装映像相关联。
²        允许或阻止用户或组安装 RIS 映像。
²        允许或阻止用户或组查看和安装 RIS 映像。  
“Images”文件夹,或“Images”文件夹中的一个或多个子文件夹的完全控制。
 
管理使用了预安排的域中的帐户,包括:
  • 预安排客户端计算机。
  • 设置使用预安排客户端计算机的 RIS 用户所需的权限。
  • 删除不再被预安排的计算机的帐户 
Account Operators 中的成员身份。
 
 
   3)              在包含 RIS 的网络上设置“LAN Manager 身份验证级别
您可使用“LAN Manager 身份验证级别设置指定某些身份验证协议是否可用于网络通信的级别。用户登录到 RIS 客户端时,远程安装服务 (RIS)”使用第一版的 NTLM 身份验证协议,或使用第二版的 NTLM 身份验证协议(即 NTLMv2)。这两个协议中,NTLMv2 由于其处理加密密钥的方法而明显比第一版的协议更为安全。
有关在包含 RIS 的网络上选择最合适“LAN Manager 身份验证级别的信息,请参阅本主题以下内容中所示的表。
设置“LAN Manager 身份验证级别时,您应考虑网络安全的需要以及使用各种操作系统的需要。如果您选择最高的级别(仅发送 NTLMv2 响应\拒绝 LM & NTLM),则仅使用更为安全的 NTLMv2 协议;身份验证中所涉及的所有计算机都必须运行支持 NTLMv2 的软件。如果您选择较低级别(仅发送 NTLM 响应),则任何可能的情况下都使用 NTLMv2,仅在要求使用 NTLM 的情况下使用它(即当身份验证中涉及的一台或多台计算机不支持 NTLMv2 的情况下)。
最合适的“LAN Manager 身份验证级别取决于在域控制器上安装哪个操作系统、RIS 服务器以及所要安装的客户端。下表提供您可用来确定合适的“LAN Manager 身份验证级别的标准。
 
用于仅发送 NTLM 响应的标准
用于仅发送 NTLMv2 响应\拒绝 LM & NTLM”的标准
域控制器:任何域控制器可包括运行 Windows 2000(不带特定软件补丁程序)的那些域控制器。它们不必限于本表其他列中所示的内容。
域控制器:运行带特定软件补丁程序的 Windows 2000 或运行 Windows Server 2003为了使用该身份验证级别,域控制器必须运行带特定软件补丁程序的 Windows 2000 或必须运行 Windows Server 2003。有关为使用此身份验证级别运行 Windows 2000 所需的软件补丁程序的信息,请搜索 Microsoft 网站 ([url]http://www.microsoft.com[/url]) 上的“Knowledge Base”(知识库)。
另外,RIS 服务器和客户端必须符合本表中的要求。
RIS 服务器:任何RIS 服务器可包括运行 Windows 2000 的那些服务器。它们不必限于运行 Windows Server 2003 的那些服务器。
 
RIS 服务器:仅运行 Windows Server 2003为了使用该身份验证级别,所有 RIS 服务器必须运行 Windows Server 2003。另外,域控制器和客户端必须符合本表中的要求。
客户端:任何客户端可包括运行 Windows 2000 Windows XP(不带 service pack)的那些客户端。它们不必限于运行 Windows Server 2003 或运行带有 Service Pack 1 (SP1) 或更高版本 Service Pack Windows XP 那些客户端。
客户端:运行带有 SP 1 或更高版本 SP Windows XP,或运行 Windows Server 2003为了使用该该身份验证级别,客户端必须运行带有 SP 1 或更高版本 SP Windows XP,或运行 Windows Server 2003。另外,域控制器和 RIS 服务器必须符合本表中的要求。
使用仅发送 NTLM 响应的整体效果
安全性并不很强,但可供选择的操作系统范围较广。
使用仅发送 NTLMv2 响应\拒绝 LM & NTLM”的整体效果
安全性更强,但可供选择的操作系统范围较小。