基于PXE 和Wds 的園區(qū)網(wǎng)遠(yuǎn)程安裝操作系統(tǒng)技術(shù)研究

◆楊冬武 徐俊恩 任永鵬

（中國航發(fā)湖南動力機(jī)械研究所 湖南 412002）

1 引言

當(dāng)園區(qū)網(wǎng)計(jì)算機(jī)數(shù)量達(dá)到一定規(guī)模，為節(jié)省運(yùn)維成本和進(jìn)行軟件定制化安裝，操作系統(tǒng)遠(yuǎn)程安裝勢在必行。遠(yuǎn)程安裝操作系統(tǒng)方式較多，PXE+Wds 技術(shù)由于其支持無盤啟動連接服務(wù)器，啟動速度快，安裝過程無需人工干預(yù)，支持多機(jī)并行安裝等優(yōu)點(diǎn)，較為適合園區(qū)網(wǎng)遠(yuǎn)程操作系統(tǒng)安裝。

2 PXE 技術(shù)

PXE（Preboot execution Environment）被稱為預(yù)啟動執(zhí)行環(huán)境，它提供了一種使用網(wǎng)絡(luò)接口啟動計(jì)算機(jī)的機(jī)制。這種機(jī)制讓計(jì)算機(jī)的啟動可以不依賴于本地存儲設(shè)備或本地已安裝的操作系統(tǒng)。PXE 被設(shè)計(jì)成適合各種計(jì)算機(jī)體系和各種操作系統(tǒng)，包括Windows、Linux、Unix 等。

PXE 最初是作為Intel 的有線管理體系的一部分，Intel 和Systemsoft 于1999 年9 月20 日公布其規(guī)格（版本2.1）。使用網(wǎng)際協(xié)議（IP）、用戶數(shù)據(jù)報(bào)協(xié)議（UDP）、動態(tài)主機(jī)設(shè)定協(xié)議（DHCP）、小型文件傳輸協(xié)議（TFTP）等幾種網(wǎng)絡(luò)協(xié)議和全局唯一標(biāo)識符（GUID）、通用網(wǎng)絡(luò)驅(qū)動接口（UNDI）、通用唯一識別碼（UUID）的概念，通過對客戶機(jī)（通過PXE 自檢的電腦）固件擴(kuò)展預(yù)設(shè)的API來實(shí)現(xiàn)預(yù)啟動執(zhí)行功能。

客戶機(jī)的固件為接受到可用的PXE 啟動服務(wù)器，要在網(wǎng)絡(luò)中嘗試找出PXE 重定向服務(wù)（DHCP 代理）。在分析返回的包后，固件會向合適的啟動服務(wù)器詢問網(wǎng)絡(luò)自檢程序（NBP）的路徑，并且通過TFTP 協(xié)議下載到電腦的內(nèi)存中，有可能會去校驗(yàn)它，最后執(zhí)行它。

PXE 被設(shè)計(jì)成適合各種計(jì)算機(jī)體系。2.1 版的描述中確定了6 種系統(tǒng)規(guī)格，包括IA-64 和DEC Alpha。但是只有IA-32 的完全表述，Intel 在IA-64 的擴(kuò)展固件接口中包括了PXE，落實(shí)了該標(biāo)準(zhǔn)。

PXE 協(xié)議雖大致上結(jié)合了DHCP 和TFTP，但對兩者都有改進(jìn)。DHCP 用于查找合適的啟動服務(wù)器，TFTP 用于下載初始引導(dǎo)程序和附件文件。為了開始一個PXE 自檢會話，PXE 固件廣播一個帶有明確的PXE 選項(xiàng)DHCPDISCOVER 包（擴(kuò)展DHCPDISCOVER）到67/UDP 端口（DHCP 服務(wù)器端口）。PXE 選項(xiàng)是PXE 固件有PXE 能力鑒定，但是會被一般的DHCP 服務(wù)忽略。當(dāng)固件收到這樣的DHCPOFFER 服務(wù)包時，它會通過要求其提供配置信息來自我配置。

和一個正在啟動系統(tǒng)的啟動服務(wù)聯(lián)系必須有一個IP 地址（可能來自DHCP 服務(wù)）。通過多播或單播一個帶有特殊的PXE 選項(xiàng)的DHCPREQUEST 包（擴(kuò)展DHCPREQUEST 包）到4011/UDP 端口，或者廣播（網(wǎng)絡(luò)）這種包到67/UDP 端口。這種包包含有PXE 啟動服務(wù)類型和PXE 啟動層，一個守護(hù)進(jìn)程允許運(yùn)行多個啟動服務(wù)類型。一個擴(kuò)展DHCPREQUEST 包可能是一個DHCPINFORM 包。PXE 原理如圖1 所示。

圖1 PXE 原理圖

3 WDS 技術(shù)

WDS 是Windows Deployment Services 的縮寫，既Windows 部署服務(wù)，可以使用Windows 鏡像文件（.wim）安裝Windows 操作系統(tǒng)。WDS 一般部署在Windows Server 2008 或Windows Server 2016 操作系統(tǒng)之上，本文WDS 部署環(huán)境選擇Windows Server 2008。

WDS 的部署步驟如下：

（1）安裝Active Directory 活動目錄。

打開服務(wù)器管理器，選擇添加角色。由于AD 活動目錄的特殊性，無法與其他服務(wù)一同配置，如果先配置了AD 活動目錄，則DNS 服務(wù)只能在配置AD 活動目錄時由AD 活動目錄設(shè)置向?qū)нM(jìn)行安裝。

安裝Actice Directory 域服務(wù)如圖2 所示。

圖2 安裝Actice Directory 域服務(wù)

WDS服務(wù)器的作用是為需要安裝操作系統(tǒng)的客戶端提供PXE引導(dǎo)，并下發(fā)操作系統(tǒng)鏡像文件。WDS 服務(wù)器的安裝如圖3 所示：

圖3 安裝WDS 服務(wù)

客戶端通過PXE 啟動后，需要通過網(wǎng)絡(luò)加載WDS 服務(wù)器的啟動鏡像文件，DHCP 服務(wù)器的作用是為PXE 啟動的客戶端分配IP 地址。然后添加作用域，本文選擇的 DHCP 地址池范圍為：192.168.80.50/24——192.168.80.200/24。安裝和配置DHCP 服務(wù)如圖4 所示：

圖4 安裝和配置DHCP 服務(wù)

（2）安裝WDS 服務(wù)

（3）安裝和配置DHCP 服務(wù)

（4）配置Windows 部署服務(wù)

配置Windows 部署服務(wù)時選擇響應(yīng)所有客戶端計(jì)算機(jī)（已知和未知），如果在該服務(wù)器上運(yùn)行動態(tài)主機(jī)配置協(xié)議（DHCP），則需要同時選擇“不偵聽端口 67”和“將 DHCP 選項(xiàng)標(biāo)記#60 配置為PXEClient”。如果在該服務(wù)器上運(yùn)行非Microsoft DHCP 服務(wù)器，則選擇“不偵聽端口67”并手動配置DHCP。

配置Windows 部署服務(wù)如圖5 所示：

圖5 配置Windows 部署服務(wù)

（5）Windows 部署服務(wù)添加映像

首先輸入Windows 安裝文件所在的路徑，創(chuàng)建一個名字為Win7的新映像組，檢查高級選項(xiàng)卡中對DHCP 授權(quán)的設(shè)置，將其設(shè)置為“是，我想在DHCP 中授權(quán)Windows 部署服務(wù)器”。Windows 部署服務(wù)添加映像如圖6 所示：

圖6 配置Windows 部署服務(wù)

4 遠(yuǎn)程安裝測試

WDS 服務(wù)器安裝配置完成后，可在園區(qū)網(wǎng)內(nèi)選擇一臺客戶端計(jì)算機(jī)進(jìn)行遠(yuǎn)程安裝操作系統(tǒng)測試，測試步驟如下：

（1）將WDS 服務(wù)器IP 設(shè)置為192.168.80.1/24。

（2）將測試用客戶端計(jì)算機(jī)在園區(qū)網(wǎng)中的交換機(jī)端口配置為access 模式，并將其劃為與WDS 服務(wù)器同一網(wǎng)段，即VLAN 80。

（3）在客戶端計(jì)算機(jī)BIOS 中設(shè)置網(wǎng)卡啟動，設(shè)置成功后，重啟并通過PXE 自動連接Wds 服務(wù)器（IP：192.168.80.1/24），連接成功后，給客戶端計(jì)算機(jī)隨機(jī)分配在DHCP 服務(wù)端配置好的地址范圍內(nèi)的任一IP 地址：192.168.80.50/24，界面如圖7 所示：

（4）客戶端從WDS 服務(wù)器下載win7 操作系統(tǒng)安裝程序并進(jìn)行程序安裝，如圖8 所示：

圖8 Win7 安裝程序啟動安裝

（5）操作系統(tǒng)安裝完成后，將交換機(jī)端口和計(jì)算機(jī)BIOS 啟動設(shè)置還原。

5 結(jié)束語

在園區(qū)網(wǎng)內(nèi)使用基于PXE+Wds 技術(shù)的遠(yuǎn)程安裝操作系統(tǒng)方法可以通過網(wǎng)絡(luò)遠(yuǎn)程為用戶安裝操作系統(tǒng)，用戶無需拔插主機(jī)的各種連接線纜，無需將主機(jī)箱搬至維修點(diǎn)，且可同時并行自動安裝多臺計(jì)算機(jī)，節(jié)約了系統(tǒng)管理員人力和時間，較大提高了工作效率。但是，由于需要使用DHCP 和TFTP 協(xié)議，存在一定的網(wǎng)絡(luò)安全隱患，可以通過關(guān)閉交換機(jī)閑置端口和端口MAC 地址綁定等訪問控制措施將安全隱患控制在最小范圍。