Этот факт весьма не удобен тем, что обновления на TMG ставятся последовательно. Нельзя сразу взять и накатить на свежеустановленный TMG последний сервис пак, нужно ставить всю цепочку обновлений, на данный момент, как писал выше, их 3 штуки.

Если приходится часто ставить TMG, либо не хочется последовательно накатывать все обновления, а сразу поставить последнюю версию продукта, предлагаю воспользоваться возможностью интегрировать выпущенные обновления в дистрибутив продукта. Такая интеграция на английском зовётся slipstream, и многие дистрибутивы Microsoft (но не все) её поддерживают.

Итак, для интеграции обновлений в дистрибутив TMG 2010 нужно выполнить следующие действия.

1. Положить содержимое дистрибутива TMG 2010 в

d:\TMG\Distrib

2. Скачать последние обновления: Service Pack 1, Software Update 1 for SP1, Service Pack 2

3. Извлечь патчи (.msp файлы) из самораспаковывающихся архивов (.exe) с помощью команд:

TMG-KB2288910-amd64-ENU.exe /t d:\TMG\SP1SU1
TMG-KB2555840-amd64-ENU.exe /t d:\TMG\SP2

4. Перейти в каталог с .msi файлом дистрибутива TMG (d:\TMG\Distrib\FPC) и в правильном порядке применить .msp файлы к дистрибутиву:

msiexec /a MS_FPC_Server.msi /p d:\TMG\SP1\TMG-KB981324-AMD64-ENU.msp
msiexec /a MS_FPC_Server.msi /p d:\TMG\SP1SU1\TMG-KB2288910-amd64-ENU.msp
msiexec /a MS_FPC_Server.msi /p d:\TMG\SP2\TMG-KB2555840-amd64-ENU.msp

В итоге в папке d:\TMG\Distrib будет лежать готовый к установке дистрибутив TMG 2010 SP2.

Ложка дёгтя

В комплекте с дистрибутивом TMG 2010 идёт SQL Server 2008 SP1 Express Edition, который ставиться автоматически при установке TMG. Было бы разумным и этот дистрибутив обновить, так как уже вышел SQL Server 2008 Service Pack 3. К несчастью, в установщике TMG (setup.exe) жестко прописаны параметры установки SQL Server (.\Program Files\Microsoft ISA Server\SQLE\SQLExpress2008SP1.exe). Я попытался подменить данный файл на SQL Server 2008 SP3 Express Edition, но потерпел неудачу: логика работы установщика нарушается. Скорее всего потому, что оригинальный файл SQLExpress2008SP1.exe содержит в себе не просто Express Edition, но и Reporting Services, а доступный для загрузки SQL Server 2008 SP3 Express Edition этих служб не содержит.

Таким образом, собрать дистрибутив TMG 2010 с обновленным SQL Server 2008 мне не удалось, и сразу после установки TMG требуется обновить SQL Server 2008 последним сервис паком (на момент написания — Service Pack 3). Хорошо, что пакеты обновления SQL Server 2008 являются кумулятивными и не требуют последовательной установки…

…развитие клонирования ОС от кустарного секторного через флешку к промышленному файловому по сети…

Для клонирования операционных систем ранее я использовал платные программы Symantec Ghost или Acronis True Image. Они выполняли свои функции и устраивали меня… Пока я не познакомился с Windows Deployment Services — еще более мощным средством от Microsoft для централизованного развертывания ОС, которое доступно как роль в Windows Server начиная с 2008 версии.

В данной статье будут рассмотрены следующие темы:

• Способы клонирования
• Работа с WIM-образами
• Windows Deployment Services
• Загрузочные образы WDS
• Создание загрузочного носителя
• Пример использования WDS для централизованного развертывания ОС
• Полезные ссылки

Способы клонирования

Выделяют два способа клонирования ОС: секторный и файловый, у каждого из них есть свои полюсы и минусы.

Секторный

Традиционный способ, его используют такие программы как Symantec Ghost и Acronis True Image.

Достоинства:

• Универсальность — как правило, при клонировании тип операционной системы не важен, поддерживалась бы файловая система.
• Скорость — секторное копирование намного быстрее файлового (структура файловой системы и фрагментация сильно не влияют на скорость копирования).

Недостатки:

• После создания образа нет возможности как-то его отредактировать в оффлайн-режиме (не развертывая на диск).
• Невозможно развернуть образ на целевой раздел поверх его содержимого (оставив существующие файлы).
• Закрытость формата — как правило, только софт, создавший образ, может с этим образом работать.

Файловый

При данном способе в реализации Microsoft образ ОС снимается на файловом уровне с помощью утилиты ImageX, результирующий файл образа имеет формат WIM.

Преимущества:

• Возможность подключать образ к файловой системе и редактировать его в оффлайн режиме. Можно даже устанавливать обновления и драйвера на поддерживающие эту функцию ОС (начиная с Vista).
• Открытость формата, с ним может работать и сторонний софт.
• Хорошее сжатие, ничего лишнего в процессе снятия образа в него не добавляется. Имеется возможность объединять несколько образов в один файл, при этом дублирующиеся файлы не занимают дополнительного места.

Недостатки:

• Низкая скорость работы (все особенности размещения файлов и фрагментация имеет значения).
• Ограниченная поддержка ОС и файловых систем (только Microsoft, начиная с Windows XP)

Работа с WIM-образами

Для создания, редактирования и развертывания WIM-образов операционных существует несколько стандартных средств, которые дополняют друг друга:

• ImageX — текстовая утилита для создания, редактирования и применения WIM-образов.
• Windows Automated Installation Kit — набор средств создания образов для автоматизированной установкой ОС, содержит Windows PE.
• Windows Deployment Services, о котором будет рассказано ниже.
• Microsoft Deployment Toolkit — продвинутый пакет для тонкой настройки установочных образов (скачать). Функциональность частично пересекается с WDS: работа с сетью ограничена файловой шарой, но шире возможности по настройке действий, выполняемых образами (Task Sequence).
• System Center Configuration Manager — мощнейшее средство для централизованного развертывания ОС без участия пользователя(zero-touch install), объединяет и использует перечисленные выше программы.

Windows Deployment Services

Эта роль доступна в Windows Server начиная с 2008 версии, роль-предшественница в Windows Server 2003 называлась RIS.

WDS позволяет:

• Систематизировано хранить в одном месте подготовленные WIM-образы операционных систем.
• Выполнять загрузку компьютеров по сети с загрузочных образов (Boot Images) при помощи PXE.
• Развертывать ОС семейства Windows (XP, Server 2003, Vista, 7, Server 2008/2008R2) из хранимых установочных образов (Install Images).
• Выполнять параллельное развертывание ОС на несколько компьютеров при помощи многоадресной рассылки.

Служба WDS достаточно проста и дружелюбна к пользователю, а встроенный хелп к ней краток и понятен. После установки WDS в мастере начальной конфигурации рекомендую выбрать Respond to all clients computers на этапе настройки PXE Response Policy. Это избавит нас от предварительного ручного создания объектов в Active Directory для каждого компьютера, загружаемого по сети.

После прохождения мастера начальной конфигурации WDS готова к работе. Начать освоение предлагаю с добавления на сервер стандартного установочного WIM-образа (Install Image) Windows 7, который можно взять с установочного диска по адресу \sources\install.wim. Для загрузки компьютеров по сети и развертывания на них установочных образов необходимо добавить загрузочные образы (Boot Images), о которых я далее расскажу подробнее.

Загрузочные образы WDS

Это наборы образов, с которых осуществляется загрузка компьютера для выполнения неких действий по клонированию. Существует 3 стандартных типа загрузочных образов.

Setup Boot Image — устанавливающий загрузочный образ

После загрузки с такого образа компьютер по сети подключается к серверу WDS (спрашивает имя и пароль), считывает список доступных для развертывания установочных образов, после выбора образа позволяет из графической среды управлять разделами жесткого диска компьютера, точно так же, как обычный установщик Windows 7 (удалить, создать, форматировать). После выбора раздела для установки начинает развертывать в него выбранный ранее установочный образ.

Для добавления Setup Boot Image на сервер WDS достаточно выполнить команду Add Boot Image и в качестве файла-источника указать \sources\boot.win от обычного установочного диска Win7/WS2008R2 нужного языка и разрядности.

Capture Boot Image — захватывающий загрузочный образ

Загрузившись с такого образа будет предоставлен графический интерфейс, позволяющий:

• Выбрать раздел на компьютере, который нужно «захватить» в WIM-образ.
• Задать имя и описание образа.
• Выбрать размещение создаваемого WIM-файла.
• Опционально отправить полученный WIM-образ на сервер WDS по сети.

Чтобы добавить Capture Boot Image на сервер WDS достаточно кликнуть правой кнопкой на уже существующем Setup Boot Image и выбрать в контекстном меню Create Capture Image.

Discover Boot Image — обнаруживающий загрузочный образ

Данный образ позволяет компьютерам, не поддерживающим загрузку по сети (PXE), загрузиться традиционным способом (с компакта или флешки) и подключаться к серверу WDS для развертывания с него доступных установочных образов, аналогично работе Setup Boot Image.

Для создания Discover Boot Image нужно кликнуть правой кнопкой на уже существующем Setup Boot Image и выбрать Create Discover Image. Результатом данной операции будет загрузочный WIM-образ. О том, как создавать загрузочные ISO-образы и флешки с WIM-файлами я расскажу далее.

Создание загрузочного носителя

Далеко не всегда есть возможность загружать компьютер по сети с сервера WDS, поэтому может возникнуть необходимость локально загружать Setup и Capture образы с компакта или флешки.

Для создания таких носителей предварительно необходимо установить Windows Automated Installation Kit (WAIK, загрузить можно здесь) и выполнить следующие действия.

1. От имени админа запустить Deployment Tools Command Prompt.

2. Выполнить

где вместо x86 можно выбрать другую разрядность (x86, amd64, ia64).

3. Скопировать в папку c:\Deploy\WinPE_x86\ISO\sources нужный вам загрузочный WIM-образ (Setup, Capture, Discover) и назвать его boot.wim.

4. Теперь по адресу c:\Deploy\WinPE_x86\ISO лежит заготовка для создания загрузочного носителя.

Создание загрузочного ISO-образа

Из Deployment Tools Command Prompt выполнить

В результате будет создан загрузочный ISO-образ image.iso, готовый для записи на болванку или подключению к виртуальным машинам.

Создание загрузочной флешки

1. Отформатировать флешку в FAT32, сделать этот раздел активным.

2. Взять утилиту bootsect.exe из папки \boot установочного диска Win7/WS2008R2 нужной разрядности.

3. Выполнить от имен администратора

где e: — буква диска флешки.

4. Скопировать содержимое c:\Deploy\WinPE_x86\ISO в корень флешки.

Загрузочная флешка готова.

Пример использования WDS для централизованного развертывания ОС

1. Добавляем на сервер WDS стандартный установочный образ Windows 7 (из \sources\install.wim установочного диска).
2. Загружаем образцовый компьютер по сети в устанавливающий образ Setup Boot Image, и разворачиваем Windows 7 из стандартного образа.
3. Настраиваем установленную ОС как нам нужно.
4. Готовим ОС для клонирования с помощью SysPrep.
5. Клонируем с помощью Capture Boot Image и загружаем полученный WIM-образ на сервер WDS.
6. Развертываем образцовый WIM на нужные компьютеры по сети с помощью Install Boot Image или с других носителей (флешек, компактов).

Полезные ссылки

• Deployment TechCenter
• Deploying Windows 7 — серия из 29 статей Митча Туллоча, автора многих книг Microsoft Press

Эта статья пошагово расскажет на примере моей инфраструктуры о том, как развернуть IPv6 на предприятии используя стандартные службы DNS и DHCP операционной системы Windows Server 2008 / 2008 R2.

• Адресация IPv6
• Установка и настройка DNS
• Установка и настройка DHCPv6
• Маршрутизация IPv6
• Полезные ссылки

Адресация IPv6

Как известно, в IPv4 стандартизированы диапазоны «серых» адресов для локальных сетей (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), аналогично и в IPv6 для локальных адресов принят диапазон fc00:/7.

Рассмотрим следующую схему адресации IPv6, которая принята для локальных сетей на платформе Windows Server:

• префикс сети (адрес сети в терминологии IPv4):
  fc00:a:b:c::/64, где a, b, c — выбирайте на ваше усмотрение из диапазона 0000-ffff, например fc00:10:18:1::/64
• адрес хоста в сети
  fc00:a:b:c:v:x:y:z, где v, x, y ,z определяют адрес хоста, например
  • fc00:10:18:1:feab:01cc:65de:180a — такой адрес может назначить DHCP-сервер
  • fc00:10:18:1::10 — настроенный вручную более читабельный адрес, например для сервера, который нужно будет указывать руками (:: означает пропуск группы нулей, может использоваться однократно в адресе).

На картинке показан пример настроек сервера, на котором далее будет настроена служба DHCPv6.

Как работает IPv6 совместно с IPv4

IPv6 замечательно работает совместно с уже развернутой инфраструктурой IPv4 следующим образом:

• На Windows Server 2008 / 2008 R2 разворачиваются службы DNS и DHCP, поддерживающие IPv6.
• Клиенты, поддерживающие IPv6 (Windows Vista, Windows 7), получают настройки от DHCP и регистрируют свои имена в DNS.
• Далее при обращении к узлам по DNS-имени в первую очередь идет попытка получить их адреса IPv6 (тип записи AAAA), в случае их отсутствия — IPv4 (тип записи A).
• Клиенты, не поддерживающие IPv6 (Windows Server 2003, Windows XP) продолжают пользоваться старым протоколом IPv4 как раньше.

При выборе префикса создаваемой сети IPv6 рекомендую схитрить: если в этой же физической сети располагается IPv4 сеть 10.18.1.0/24, то можно выбрать префикс fc00:10:18:1::/64 для сети IPv6.

Установка и настройка DNS

Так как адреса IPv6 еще менее человечны, чем в IPv4, то их применение без DNS можно оправдать только с точки зрения садомазохизма. Поэтому в первую очередь необходимо развернуть DNS сервер, поддерживающий IPv6 адреса. Такая поддержка есть в службе DNS начиная с Windows Server 2008.

Все, что нужно сделать — это сконфигурировать статические IPv6 адреса (например fc00:10:18:1::1) на DNS серверах, включить динамическое обновление записей клиентами (в окружении Active Directory — безопасное) и передать эти настройки клиентам локальной сети через DHCP, о чем рассказывается далее.

Установка и настройка DHCPv6

Протокол IPv6 менее приспособлен для ручных настроек, в отличии от IPv4, поэтому предполагает автоматическое конфигурирование параметров узлов сети через DHCP версии 6. Поддержка DHCPv6 появилась начиная с Windows Server 2008 и является частью стандартной роли DHCP сервера.

Перед установкой DHCP-сервера необходимо сконфигурировать статические адреса IPv6 для сетевых адаптеров, с которых сервер DHCPv6 будет обслуживать своих клиентов. Например, fc00:10:18:1::10.

Теперь можно перейти к установке стандартной роли DHCP. Первая опция, относящаяся к IPv6 называется DHCPv6 Stateless Mode. Её нужно включить, тогда на следующей странице у вас запросят адреса IPv6 DNS серверов и DNS-имя родительского домена.

Если DHCPv6 сервер был установлен с отключенным DHCPv6 Stateless Mode, то включить его можно выполнив команду:

и установив опции сервера DHCPv6:

• 00023 DNS Recursive Name Server IPv6 Address ;mdash; адреса IPv6 DNS серверов
• 00024 Domain Search List ;mdash; DNS-имя родительского домена

Теперь нужно создать область, в которой DHCPv6 серверу предстоит выдавать адреса своим клиентам. Особенностью DHCPv6 в Windows Server является то, что можно создать область только для адресов с длиной префикса сети равной 64, например fc00:10:18:1::/64.

На следующей странице предлагается указать область исключений, из которой DHCPv6 сервер не будет выдавать адреса. Так как адреса сервер выдает не по порядку, а псевдослучайным образом (по хитрому алгоритму, основанному на MAC адресе сетевого интерфейса), то область исключений должка включать IPv6 адреса серверов, которые был сконфигурированы вручную (DNS и DHCPv6 сервера). Пример области исключений: 0:0:0:1-0:0:0:99.

Казалось бы, осталось только активировать диапазон и авторизовать DHCPv6 сервер в Active Directory. Вскоре сервер начнет выдавать клиентам IPv6 адреса и настройки DNS. Но здесь начинается самое интересное: хоть клиенты эти настойки исправно получают, общаться между собой они не могут. Причем сие печальное поведение на момент написания этой статьи в официальной документации явно не отражено.

Чтобы исправить ситуацию, вызываем на клиенте

и видим, что клиент не имеет маршрута в сеть fc00:10:18:1::/64.

Вызываем на сервере

и среди прочего видим:

Из этого следует, что маршрут в сеть fc00:10:18:1::/64 на сервере DHCPv6 существует, но не опубликован. Для того, чтобы этот маршрут выдавался клиентам, необходимо включить на сервере объявление маршрутов командой

и опубликовать маршрут командой

где fc00:10:18:1::/64 — ваш префикс IPv6, Local — имя или индекс сетевого интерфейса DHCPv6 сервера.

Маршрутизация IPv6

Встроенная роль Routing and Remote Access начиная с Windows Server 2008 поддерживает маршрутизацию IPv6, однако для того, чтобы она полноценно заработала, необходимо выполнить следующие, не очевидные вещи.

1. В свойствах сервера Routing and Remote Access на вкладке IPv6 включить Enable IPv6 Forwarding и Enable Default Route Advertisement.

2. На сервере-маршрутизаторе IPv6 должно быть как минимум две сетевых карты.

Local (fc00:10:18:1::10/64 в моих примерах), смотрящая в локальную сеть, для которой мы на предыдущих шагах настраивали раздачу IPv6 адресов, префикса сети и других параметров по DHCP.

External (например fc00:10:18:2::10/64), которая по идее должна смотреть в другую сеть (у нас маршрутизатор все-таки), но может смотреть и в ту же, что и Local.

3. Для того, чтобы IPv6 клиенты в сети могли использовать наш маршрутизатор, он должен объявить себя как маршрут по умолчанию (Default Route Advertisement, как шлюз по умолчанию в терминах IPv4).

Для этого в Windows Server 2008 нужно выполнить команду

где fc00:10:18:2::180 — адрес следующего маршрутизатора по умолчанию (next-hop), находящегося в сети External. Не важно, существует он реально или нет. Для объявления маршрута по умолчанию в сеть Local на текущем маршрутизаторе next-hop должен быть указан.

Для Windows Server 2008 R2 всё проще, достаточно выполнить команду

для объявления маршрутизатора в сети Local как Default Route.

Полезные ссылки

• DHCPv6 — Understanding of address configuration in automatic mode and installation of DHCPv6 Server
• The Cable Guy / The DHCPv6 Protocol
• Кабельщик / Протокол DHCPv6
• IPv6 address — Wikipedia
• IPv6 на TechNet
• Introducing IPv6 on Your Network — материал TechNet из раздела WS2003
• IP Version 6 — скудный материал TechNet из раздела WS2008

Я использую 2 средства удаленного выполнения консольных команд: PsExec и WinRM, у каждого из них есть свои преимущества.

PsExec

Одним из отличных решений поставленной в заголовке задачи является использование программы PsExec от великого Марка Руссиновича.

Программа работает по клиент-серверному принципу: на локальной машине выполняется клиент, который посылает команды серверу на удаленном компьютере. Особенностью этой программы является то, что серверная часть устанавливается автоматически непосредственно перед выполнением команды, а затем удаляется. Таким образом для выполнения команд на удаленных машинах достаточно иметь на них административные права.

Если PsExec запускается от имени администратора, который входит в тот же домен, что и удаленны компьютер, то никаких учетных данных даже вводить не нужно. В противном случае, их можно указать в командной строке, либо PsExec сама их запросит. PsExec работает на ОС начиная с Windows 2000 и заканчивая 64-битным Windows Server 2008 R2.

Очень полезными в PsExec являются следующие возможности:

• Выполнение команды на группе компьютеров. Пример: следующая команда позволяет принудительно применить самые свежие групповые политики:
  psexec @group.txt gpupdate /force
• Выполнение команд от имени системной учетной записи. Пример: следующая команда заставит удаленную систему принудительно проверить обновления:
  psexec \\computer -s wuauclt /detectnow
• Копирование выполняемой программы на удаленный компьютер перед выполнением. Пример: следующая команда позволит обновить членство данного компьютера в группе безопасности Active Directory (токен доступа) без перезагрузки:
  psexec \\computer -c -s klist.exe purge

Трудно переоценить пользу этой программы, если использовать скрипты и возможности консольных команд, встроенных в Windows.

Windows Remote Management

Изначально это была серверная технология для удаленного управления оборудованием, которая появилась в Windows Server 2003 R2 как часть компонента Hardware Management, но недавно Microsoft выпустили пакет Windows Management Framework, который включает в себя PowerShell 2.0 и WinRM 2.0 и устанавливается на клиентские ОС как обновление. Подробности можно прочитать в статье KB968929.

Прелесть WinRM заключается в простоте развертывания в доменной среде через WSUS в качестве факультативного обновления ОС и мощи, которую даёт совместное с PowerShell применение.

Использование WinRM происходит через 2 команды.

winrm.cmd служит для конфигурирования настроек и диагностики клиента и сервера WinRM.

Для того, чтобы сервер WinRM начал принимать команды, должна быть запущена служба Windows Remote Management и произведена её начальная конфигурация. Используйте команду

winrm quickconfig на локальной машине, либо финт ушами
psexec -s \\servername winrm quickconfig по сети, используя PsExec от имени системной учетной записи.

Будет предложено автоматически запускать службу WinRM и разрешить уделенные подключения, соглашайтесь ;)

Чтобы успешно подключаться к WinRM серверу (имеется в виду серверная часть, принимающая команды), не входящему в тот же домен, что и ваш клиентский компьютер, необходимо на клиенте этот целевой сервер добавить в «доверенный список» следующей командой:

winrm set winrm/config/client @{TrustedHosts="servername"}, где вместо servername можно указать IP-адрес, либо * (звёздочку).

Для пользователей Windows Vista и Windows 7, работающим не от имени встроенного администратора (обычно так и бывает), нужно выполнить следующую команду

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

По умолчанию, установлено ограничение на 5 одновременных соединений WinRM от клиента, для увеличения этого числа выполните команду

winrm s winrm/config/winrs @{MaxShellsPerUser="X"}

winrs.exe — клиент для отправки запросов к серверной части. Пример: следующая команда принудительно перезагрузит удаленную систему…

winrs -r:servername shutdown /r /t 0

В доменной среде при отправке команд используются учетные данные запустившего пользователя. Для посыла команд от имени другого пользователя используются ключи -u:user -p:pass. Пример: следующая команда очистит локальный кэш DNS-имён на удаленной системе

winrs -r:servername -u:user -p:pass ipconfig /flushdns

Старый контент сайта обрабатывается моим собственным движком на PHP, этот движок предельно оптимизирован (по последним измерениям в 30 раз быстрее WordPress) для минимальной нагрузки на сервер и каналы связи, отвечает всем моим желаниям по представлению и организационной структуре контента. Однако, он совершенно не приспособлен для динамического редактирования  контента, не содержит никакой автоматизации по расстановке ссылок, тегов и прочего…