Управление образами настольных систем: Создание лучшего образа настольной системы

Создание и поддержание образов настольных систем организации — одна из главных обязанностей ИТ, но она не должна отнимать все рабочее время. Мы расскажем о нескольких способах упорядочения этого процесса.

Митч Таллок

В большинстве крупных организаций создаются и используются для развертывания сотни образов настольных систем. И на это есть ряд причин. Часто это происходит из-за не зависящих от организации причин, таких как смена платформы и конфигурации аппаратных средств. Отсутствие стандартизированных процедур создания образов может также привести к быстрому росту их числа.

Кроме того, есть внутренние политики и конкурирующие интересы отдельных ИТ-подразделений, старающихся сохранить контроль над системами, развертываемыми в их сфере ответственности. Неизбежно наличие других обстоятельств, например особых требований к уровню безопасности. Независимо от причины, поддержка больших библиотек корпоративных образов настольных систем может быть сложным, длительным и дорогостоящим делом. Что же делать?

Цель — единый образ

Не существует единого решения на все случаи жизни, и всегда приходится оценивать много обстоятельств. Тем не менее, новые возможности в Windows 7 и усовершенствования в Microsoft Deployment Toolkit (MDT) 2010 и System Center Configuration Manager (SCCM) 2007 R2 позволили упростить задачи создания, поддержания и развертывания многочисленных образов Windows. Стратегию создания и поддержки образов Windows 7 следует выбирать с учетом потребностей бизнеса, бюджета, имеющегося оборудования и уровня сложности корпоративной ИТ-среды. В этом процессе есть часто встречающиеся «подводные камни», которые нужно отслеживать и избегать.

Впервые Windows Imaging (WIM) как файловый формат образа диска появился в Windows Vista, значительно приблизив цель создания единого корпоративного образа настольных систем. Появившийся в Windows 7 новый инструмент, Система обслуживания и управления образами развертывания (DISM), упрощает поддержку образов за счет обслуживания их в автономном режиме. Это значительно сокращает время обновления устаревших образов. Например, DISM можно использовать, чтобы быстро добавить в существующий образ обновления программного обеспечения и пакеты ПО, драйверы устройств в виде INF-файлов сторонних разработчиков, а также добавить или удалить функции Windows.

Хотя набор автоматической установки Windows® (AIK) для Windows® 7 содержит инструменты для создания и поддержки изображений вручную, новые функции и усовершенствования, имеющиеся в MDT 2010, облегчают эту работу. Новые средства Sysprep и Capture Task Sequence позволяет создавать образ существующего, полностью настроенного эталонного компьютера в сети. Поддержка MDT 2010 Windows PowerShell позволяет также создавать собственные сценарии автоматизации создания и поддержки эталонного образа. Можно сгруппировать операционные системы, драйверы, пакеты и приложения путем создания пользовательских папок в иерархии папок Deployment Workbench. Используя Selection Profiles, можно контролировать состав драйверов и пакетов, включаемых в загрузочные образы, и разворачивать образы с помощью последовательности задач.

Эти усовершенствования практически полностью избавляют от необходимости создания многочисленных образов. Дополнительные образы придется создавать только в исключительных случаях. Теперь большинству организаций потребуется создавать только по одному образу на каждый тип используемой архитектуры — один для развертывания Windows x86 и второй — для Windows x64.

Конечная цель — создать единый образ, который легко поддерживать, который будет устанавливаться на любую централизованно поддерживаемую конфигурацию оборудования. Такой единый образ будет работать в любой стране мира, предоставляя конечным пользователям рабочий компьютер, приложения и настройку, необходимые для выполнения их работы. Но прежде чем переходить к реализации этого замечательного плана, нужно решить, каким должен быть образ настольной системы — толстым, тонким или гибридным.

Толстые образы

Использование толстых образов подразумевает подход «все включено». Традиционным способом создания толстых образов является установка Windows на эталонный компьютер, после чего устанавливаются все нужные драйверы, все необходимые приложения и последние обновления ПО. Все это настраивается, и создается обобщенный образ средствами Sysprep. После этого образ записывается и разворачивается на компьютерах пользователей, используя MDT, SCCM или собственные инструменты.

«При создании образа серьезное внимание нужно уделить тому, как в конечном счете он будет разворачиваться», — говорит Джефф Стокс (Jeff Stokes), ведущий инженер технической поддержки в Microsoft, занимающийся развертыванием Windows 7 и Windows Server 2008 R2 средствами MDT 2010.

Одна из проблем толстых образов — их большой объем, иногда они не умещаются на DVD-диске, что затрудняет развертывание, если практикуется установка с носителя. Объемные образы могут также «забивать» сеть при разворачивании по сети. Часто бывает, что некоторым пользователям не нужна часть приложений, отчего пользователи путаются, кроме того за эти приложения все равно приходится платить, что ведет к быстрому росту расходов. Толстые образы быстро устаревают, особенно если пытаться обеспечить, чтобы на них были установлены самые последние исправления. Тестирование толстых образов также требует больше времени из-за сложности дополнительных компонентов, которые они содержат.

В любом случае, основная проблема толстых образов — их размер. «Подумайте о создании пользовательских WIM файлов с несколькими образами, так как это может позволить значительно сэкономить дисковое пространство и уменьшить число последовательностей задач развертывания. Детали вы найдете в моем блоге», — говорит Майкл Мерголо (Michael Murgolo), старший консультант службы Microsoft Consulting Services.

Тонкие образы

Тонкие образы подразумевают «накопительный» подход. Для упрощения всюду используется минимальная конфигурация. Тонкий образ как правило не содержит ничего кроме критически важных для загрузки драйверов, пакета обновления, если таковой имеется, и нескольких пользовательских изменений конфигурации. Классический пример тонкого образа — файл install.wim из дистрибутивного диска Windows 7.

При развертывании тонких образов по сути устанавливается только ОС. Это означает, что дополнительные компоненты, такие как обновления программного обеспечения и приложения, должны поставляться отдельно от образа ОС. Такой способ подразумевает наличие дополнительной инфраструктуры.

Например, для развертывания обновлений ПО может использоваться Windows Software Update Services (WSUS), а для развертывания приложений — создание групповой политики установки программного обеспечения. В более масштабных конфигурациях для создания пакетов приложений и для распространения приложений и обновлений программного обеспечения пользователей следует использовать SCCM. В организациях, где решили развертывать для конечных пользователей виртуализированные приложения средствами Microsoft Application Virtualization (App-V) или разрешили пользователями запускать программы RemoteApp с помощью служб удаленного рабочего стола, также разумно использовать тонкие образы.

Распространять обновления программного обеспечения можно сразу после развертывания с помощью Windows Software Update Services (WSUS), а не встраивать их в образ, но это не очень удачная идея. Установленные компьютеры остаются уязвимыми на то время, пока не установлено обновление. Лучше добавить все доступные обновления программного обеспечения в базовый образ при его создании. Таким образом при развертывании базового образа целевые компьютеры оказываются защищенными изначально.

Если для создания базового образа используется MDT, добавьте в файл CustomSettings.ini в общей папке с образами для развертывания строку WSUSServer=http://wsus_server_name. Можно использовать MDT для развертывания полностью обновленной версии Windows на эталонном компьютере, запустить для него Sysprep и создать его образ, после чего загрузить этот образ в папку для развертывания образов. MDT упрощает этот процесс, позволяя полностью автоматизировать его.

«При создании базового образа используйте выделенный сервер WSUS с автоматическим одобрением установки обновлений программного обеспечения», — говорит Алексей Семибратов, консультант второго уровня службы Microsoft Consulting Services, работающий с государственными организациями и местными органами управления. Он успешно выполнил несколько проектов, в которых использовалась ОС Windows 7.

У организаций, не использующих WSUS, есть несколько вариантов. «Настройте последовательность задач так, чтобы при установке обновлений программного обеспечения во время создания базового образа обращение происходило непосредственно на сайт обновления Windows, поскольку у большинства организаций нет достаточных ресурсов и времени для анализа каждого исправления, поступающего от Microsoft ежемесячно, — объясняет Семибратов. — Как бы то ни было, стопроцентная автоматизация процесса обновления образа сэкономит массу времени, тем более, если используется WSUS».

Гибридные образы

Сегодня в большинстве операций по развертыванию используются гибридные образы. Гибридный образ легко настроить. Он может включать в себя драйверы, обновления программного обеспечения, основные прикладные программы для любых пользовательских нужд, а также основные параметры, необходимые для обеспечения как эффективности бизнеса, так и соблюдения корпоративной политики. Например, можно создать базовый образ для всех настольных компьютеров организации, содержащий пакет Microsoft Office 2010 и программу защиты от вредоносного программного кода, например Microsoft Forefront Client. Затем с помощью MDT можно развернуть этот образ для всех пользователей, после чего использовать SCCM, чтобы установить отдельным пользователям нужные им специализированные приложения.

В гибридных образах как правило выполняют только несколько основных операций настройки. Большая часть настройки применяются позже средствами групповых политик и сценариев и предусматривает конфигурирование брандмауэра Windows, разрешение использования удаленного рабочего стола, подключение сетевых дисков и т. д. Гибридный подход также помогает в случае использования приложений сторонних разработчиков, которые не поддерживают автоматическую установку или не поддерживают процессы Sysprep.

В международных организациях этот подход может применяться для развертывания разных языковых пакетов для пользователей разных стран. Поскольку установка каждого языкового пакета требует времени, включение десятка различных пакетов в один образ может значительно замедлить развертывание.

При выборе между толстым, тонким и гибридным образом необходимо также учесть, как часто требуется обновлять образ.

«От того, что включается в образ, будет зависеть какой образ нужен — тонкий, толстый или гибридный. Если большую часть образа придется часто менять, то в данной ситуации лучше тонкие образы. Если же целью является упаковка всего в один файл без решения каких-либо задач после развертывания, то толстый образ подойдет как нельзя лучше, — говорит Говард Картер (Howard Carter), консультант Microsoft, специализирующийся в области создания образов настольных систем Windows и их развертывания. У него более чем 8-летний опыт оказания помощи различным государственным заказчикам. — Как правило, используется сочетание этих методов, то есть гибридный образ, в который включаются крупные или неменяющиеся компоненты, а небольшие или часто меняющиеся компоненты устанавливаются во время развертывания».

«При создании базового образа необходимо обдумать, как часто приложения будут изменяться или обновляться, — говорит Стокс. — В конце концов, вы ведь не станете включать в базовый образ приложения, которые будут требовать регулярно пересоздавать образ».

Использование MDT 2010

Независимо от типа используемого образа настольной системы, для создания и поддержки этого образа необходимо использовать MDT 2010. Семибратов говорит, что процесс создания образа средствами MDT можно полностью автоматизировать. Автоматизация этого процесса обеспечит неизменно стабильный результат. Картер согласен с этим. «Microsoft Deployment Toolkit предоставляет интерфейс, который каждый раз обеспечивает неизменную и повторяемую последовательность создания образа, — говорит он. — Это избавляет от человеческих ошибок в процессе создания образа».

Семибратов также указывает на то, что для создания образа больше не нужен физический компьютер. Создать образ Windows 7 можно, использовав Microsoft Hyper-V. Для этой цели Стокс настоятельно рекомендует приложение Image Factory Майкла Найхауса (Michael Niehaus), в котором для поддержки образов Windows 7 используются MDT 2010, System Center Virtual Machine Manager (SCVMM) 2008 R2 и Hyper-V. Семибратов создал также сценарий в стиле «настроил и забыл», который использует Hyper-V и MDT для автоматического построения образов Windows и сохраняет созданный WIM файл в заданном месте.

Если планируется развернуть образ средствами SCCM, а не MDT, все равно для создания и поддержки образа нужно использовать MDT 2010. Семибратов предлагает использовать MDT 2010 для создания своего «золотого образа». Затем задействовать SCCM с расширениями MDT (в том числе расширением «Modena», имеющимся в следующей версии MDT) для развертывания этого образа у конечных пользователей. Можно одновременно использовать MDT и SCCM для развертывания образа, но при создании эталонного образа MDT позволяет настроить внешний вид рабочего стола пользователя. В SCCM это невозможно, поскольку это приложение работает под учетной записью локальной системы.

Советы и подводные камни

Далее приведены еще несколько советов и «подводных камней», которые следует учесть при создании и поддержке корпоративных образов настольных компьютеров.

• DISM можно использовать для аудита автономных образов путем получения списка версий ОС, драйверов, обновлений программного обеспечения и других пакетов, региональных параметров и исправлений приложений в образе. Регулярный аудит образов является важной частью любого плана обслуживания существующих образов. Подробные сведения см. на странице параметры командной строки DISM,
• Если вы используете толстые образы, рекомендуем добавлять некоторые приложения в образ в виде установочных файлов (например, MSI-файлов или setup.exe). Затем настройте процесс развертывания так, чтобы после установки Windows, сценарий автоматически начинал локальную установку файлов этих приложений. Преимущество данного подхода в том, что установочные файлы не развернуты в образе и их легко обновить в то время, когда образ не используется (например, для замены старого приложения новой версией).
• Толстые образы удобны в организациях, где необходимо разворачивать новые (или обновленные) полностью настроенные конфигурации рабочего стола пользователей как можно быстрее, например в центрах обработки вызовов. В этом случае развертывание приложений из установочных файлов лишь замедлит этот процесс и помешает нормальной работе организации.
• Семибратов предлагает отключить автоматические обновления для таких продуктов, как Adobe Acrobat Reader. «В защищенной среде обычным пользователям запрещено устанавливать обновления, — говорит он. — Поэтому если программа попытается обновить себя, это вызовет запрос учетных данных, что может привести к дополнительным обращениям в службу поддержки.»
• «Если в организации планируется внедрение SCCM, на которое уйдет от трех до шести месяцев, настоятельно рекомендуем создать малое хранилище MDT 2010, чтобы можно было начать создание последовательности задач и базовых образов. Всю проделанную работу в дальнейшем можно будет перенести в SCCM, когда придет на то время, а создать конфигурацию MDT 2010 очень просто», — объясняет Стокс.
• Майкл Мерголо (Michael Murgulo) в своей замечательной записи в блоге описывает различные методы для настройки пользовательских параметров по умолчанию для развертывания так, чтобы пользователь при первом входе в систему своего компьютера имел дело с уже знакомым и привычным известным интерфейсом.
• Картер рекомендует всегда использовать формат WIM вместо решений независимых разработчиков, использующих для образов запись по секторам. «Это связано с тем, что WIM обеспечивает большую гибкость, поскольку данные могут оставаться на диске во время развертывания вместо того, чтобы обязательно перемещать их на удаленный сетевой ресурс или внешний USB-накопитель, — говорит он. — Напротив, развертывание с записью по секторам требует, чтобы все данные, которые нужно сохранить, перемешались с жесткого диска перед установкой образа, а такое перемещение может значительно увеличить время развертывания».

Напоследок Говард рассказывает такую историю: «Однажды я работал с клиентом, который выбрал средства для развертывания, не задумываясь о последствиях использования формата файлов образов, отличного от Windows Imaging. В выбранном инструменте развертывания использовался формат, поддерживающий запись по секторам, а в процессе развертывания образ записывался поверх всех данных на диске. Клиент также хотел использовать средство миграции пользователей (User State Migration Tool, USMT) для сохранения пользовательских данных.

Поскольку пользовательские данные не могли оставаться на диске, их пришлось переносить в удаленное сетевое хранилище, а затем возвращать на диск после установки образа. Этот подход привел к очень длительному процессу развертывания, который можно было сократить, задействовав формат WIM».

Вот еще один наглядный пример того, как важно проанализировать все варианты до создания, развертывания и поддержки образов настольных компьютеров.

Митч Таллок (Mitch Tulloch) носит звание MVP и является ведущим автором ресурсов «Windows 7 Resource Kit» (Microsoft Press 2009). Таллок также поддерживает неофициальный сайт Resource Kit на своем веб-сайте mtit.com. Большое спасибо Алексею Семибратову, Говарду Картеру, Джеффу Стоксу и Майклу Мерголу из команды Microsoft Consulting Services за их вклад, а также Кейту Гарнеру и Тиму Минтнеру из Xtreme Consulting Group.

Связанные материалы

• Использование MDT и хранение единственной копии
• Развертывание приложений и служб терминалов
• Файлы настольных систем: Вы не можете быть слишком толстым или тонким