PXE-ŝargmenuo kun System Center Configuration Manager

Ni esploras la pligrandigon de la kapabloj de System Center Configuration Manager (produkto por administrado de IT-infrastrukturo) dum startado de uzantaj komputiloj tra la reto uzante PXE. Ni kreas startmenuon bazitan sur PXE.Linux kun funkcioj de System Center kaj aldonu antivirusajn skanajn kapablojn, diagnozajn bildojn kaj reakiron. Ĉe la fino de la artikolo, ni traktos la specifajn detalojn pri kiel System Center 2012 Configuration Manager funkcias kun Windows Deplojaj Servoj (WDS) dum startado per PXE.

Ni plenumas ĉiujn agojn en testa medio, kiu jam havas instalitan System Center 2012 Configuration Manager SP1, domajnan regilon kaj kelkajn testajn maŝinojn. Oni supozas, ke SCCM jam disfaldas tra la reto uzante PXE.

eniro

La testa medio konsistas el pluraj virtualaj maŝinoj. Ĉiuj maŝinoj uzas la gastan operaciumon de Microsoft. Windows Server 2008 R2 (x64), E1000 ret-adaptilo, SCSI-regilo: LSI Logic SAS

Nomo (Roloj)
IP-adreso / DNS-nomo
Funkcia

SCCM (Sistema Centro-Agorda Administranto)
192.168.57.102
sccm2012.testo.loka

Instalita System Center Configuration Manager 2012 SP1

DC (AD,DHCP,DNS)
192.168.57.10
dc1.testo.loka

La rolo de la domajna regilo, DHCP-servilo kaj DNS-servilo

TESTO (Testmaŝino)
192.168.57.103
testo.testo.loka

Por testado

G.W. (Enirejo)
192.168.57.1
Envojigo inter retoj. Enireja Rolo

1. Aldonu PXE-onLinux en SCCM

Ni faras agojn sur la maŝino, kie estas instalita System Center Configuration Manager

• Ni determinu la dosierujon, kie troviĝas la WDS-dosieroj por elŝuti, por tio ni serĉas en la registro la valoron de la parametro. RootFolder en branĉo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesWDSServerProvidersWDSTFTP
  Defaŭlta valoro C:RemoteInstall
  La dosieroj por elŝuti de la SCCM-deplojpunkto troviĝas en la dosierujoj smsbootx86 и smsbootx64 depende de la arkitekturo.
  Unue, agordu dosierujon por 32-bita arkitekturo, defaŭlte c:Remoteinstallsmsbootx86
• Elŝutu la arkivon kun la plej nova syslinux . Kopiu de syslinux-5.01.zip al c:Remoteinstallsmsbootx86 la sekvaj dosieroj:
  memdisk, chain.c32, ldlinux.c32, libcom32.c32, libutil.c32, pxechn.c32, vesamenu.c32, pxelinux.0
  Pliaj dosieroj necesas por eviti tian eraron.
  
• В c:Remoteinstallsmsbootx86 renomi pxelinux.0 в pxelinux.com
  En la dosierujo c:remoteinstallsmsbootx86 faru kopion abortpxe.com kaj renomu ĝin al abortpxe.0
  Se ne renomu al etendo .0, tiam ekzemple la instrukcion

  Kernel abortpxe.com

  malsukcesos kun la sekva eraro: Lanĉa kerno malsukcesis: Malbona dosiernumero
  Por PXELINUX, la elŝuta dosier-etendo devas esti agordita laŭ la plato

  none or other	Linux kernel image
   .0		PXE bootstrap program (NBP) [PXELINUX only]
   .bin		"CD boot sector" [ISOLINUX only]
   .bs		Boot sector [SYSLINUX only]
   .bss		Boot sector, DOS superblock will be patched in [SYSLINUX only]
   .c32		COM32 image (32-bit COMBOOT)
   .cbt		COMBOOT image (not runnable from DOS)
   .com		COMBOOT image (runnable from DOS)
   .img		Disk image [ISOLINUX only]
  

  fonto: http://www.syslinux.org/wiki/index.php/SYSLINUX#KERNEL_file sekcio "Kerna dosiero"

• Por ne plurfoje premi la F12-klavon dum ŝarĝo de SCCM tra la menuo, renomu pxeboot.com al pxeboot.com.f12, kopiu pxeboot.n12 al pxeboot.com
  Se ĉi tio ne estas farita, tiam elektante, ni ricevos tian mesaĝon ĉiufoje
  
  Noto: Ne forgesu renomi ĉi tiujn dosierojn ankaŭ en la dosierujo x64. kiam ĝi ŝarĝas x86wdsnbp.com de la x86-dosierujo, la ŝargilo determinas la procesoran arkitekturon kaj la sekva dosiero estas ŝarĝita de la dosierujo kun la responda arkitekturo. Tiel, por x64, la posta dosiero ne estos x86pxeboot.comkaj x64pxeboot.com
• Elŝutu/kreu fono.png, rezolucio 640x480, kopiu al la sama dosierujo. Kreu dosierujon ISO kie ni metos ISO-bildojn. Kreu dosierujon pxelinux.cfg por agordoj.
• En la dosierujo pxelinux.cfg, kreu defaŭltan dosieron, en ne-unikoda kodado, kun la enhavo
  defaŭlta (Alklaku por montri)

  # используем графическое меню
  DEFAULT vesamenu.c32
  PROMPT 0
  timeout 80
  TOTALTIMEOUT 9000
  
  MENU TITLE PXE Boot Menu (x86)
  MENU INCLUDE pxelinux.cfg/graphics.conf
  MENU AUTOBOOT Starting Local System in 8 seconds
  
  # Boot local HDD (default)
  LABEL bootlocal
  menu label Boot Local
  menu default
  localboot 0x80
  # if it doesn't work 
  #kernel chain.c32
  #append hd0
  
  # Вход в меню по паролю Qwerty, алгоритм MD5
  label av
  menu label Antivirus and tools
  menu PASSWD $1$15opgKTx$dP/IaLNiCbfECiC2KPkDC0
  kernel vesamenu.c32
  append pxelinux.cfgav.conf 
  
  label sccm
  menu label Start to SCCM
  COM32 pxechn.c32
  APPEND sccm2012.test.local::smsbootx86wdsnbp.com -W
  
  label pxe64
  menu label Start to x64 pxelinux
  COM32 pxechn.c32
  APPEND sccm2012.test.local::smsbootx64pxelinux.com
  
  LABEL Abort
  MENU LABEL Exit
  KERNEL abortpxe.0

  En la dosierujo pxelinux.cfg krei dosieron graphics.conf kun enhavo
  graphics.conf (Alklaku por montri)

  MENU MARGIN 10
  MENU ROWS 16
  MENU TABMSGROW 21
  MENU TIMEOUTROW 26
  MENU COLOR BORDER 30;44 #00000000 #00000000 none
  MENU COLOR SCROLLBAR 30;44 #00000000 #00000000 none
  MENU COLOR TITLE 0 #ffffffff #00000000 none
  MENU COLOR SEL 30;47 #40000000 #20ffffff
  MENU BACKGROUND background.png
  NOESCAPE 0
  ALLOWOPTIONS 0

  En la dosierujo pxelinux.cfg krei dosieron av.conf kun enhavo
  av.conf (Alklaku por montri)

  DEFAULT vesamenu.c32
  PROMPT 0
  MENU TITLE Antivirus and tools
  MENU INCLUDE pxelinux.cfg/graphics.conf
  
  label main menu
  menu label return to main menu
  kernel vesamenu.c32
  append pxelinux.cfg/default
  
  label drweb
  menu label DrWeb
  kernel memdisk
  append iso raw initrd=isodrweb.iso
  
  label eset
  menu label Eset
  kernel memdisk
  append iso raw initrd=isoeset_sysrescue.iso
  
  label kav
  menu label KAV Rescue CD
  KERNEL kav/rescue
  APPEND initrd=kav/rescue.igz root=live rootfstype=auto vga=791 init=/init kav_lang=ru udev liveimg doscsi nomodeset quiet splash
  
  #Загружаем ISO по полному пути, можно загружать с другого TFTP
  label winpe
  menu label WinPE  from another TFTP
  kernel sccm2012.test.local::smsbootx86memdisk
  append iso raw initrd=sccm2012.test.local::smsbootx86isoWinPE_RaSla.iso
  
  label clonezilla
  menu label Clonezilla
  kernel memdisk
  append iso raw initrd=isoclonezilla.iso
  

• Kiel rezulto, la dosierujo c:remoteinstallsmsbootx86 enhavas la strukturon

  c:remoteinstallsmsbootx86
  pxelinux.cfg

  ĉeno.c32
  ldlinux.c32
  libcom32.c32
  libutil.c32
  pxehn.c32
  vesamenu.c32
  pxelinux.com
  fono.png
  pxelinux.cfg
  pxelinux.cfg
  pxelinux.cfg
  ISO
  abortipxe.0
  wdsnbp.com
  bootmgfw.efi
  wdsmgfw.efi
  bootmgr.exe
  pxeboot.n12
  pxeboot.com
  abortpxe.com

  defaŭlte
  av.konf
  grafikaĵoj.konf
  *.iso

• Por la arkitekturo x64, ni simile kopias kaj kreas la saman strukturon en la dosierujo c:remoteinstallsmsbootx64

Suplemento
Kiam vi uzas la komandon menu PASSWD la pasvorto povas esti agordita aŭ tia, aŭ uzi hashing-algoritmon aldonante la respondan subskribon komence de la parametro

Algoritmo
Subskribo

MD5
$ 1 $

SHA-1
$ 4 $

SHA-2-256
$ 5 $

SHA-2-512
$ 6 $

Do por pasvorto Qwerty kaj MD5-algoritmo

menu PASSWD $1$15opgKTx$dP/IaLNiCbfECiC2KPkDC0

Vi povas generi pasvorton, ekzemple, per interreta hashgeneratoro www.insidepro.com/hashes.php?lang=rus, linio MD5(Unix)

2. Agordu PXE-startonLinux

Nun ni indikos kiel ŝargi pxelinux.com kaj akiri la menuon.
Specifi la ekŝargilon de pxelinux.com per la funkcio WDS ne funkcias en SCCM. Vidi Komandojn

wdsutil /set-server /bootprogram:bootx86pxeboot.com /architecture:x86

ne estas procesitaj. Vi povas kontroli, ke ekbildoj ne estas agordita per la eligo WDS-servila agorda komando

wdsutil /get-server /show:images

Tial, en SCCM 2012, vi ne povas specifi vian dosieron por PXE-elŝuto al la SMSPXE-provizanto. Tial ni agordos la aktivan areon de la DHCP-servilo.
En la parametroj de la aktiva areo DHCP, agordu la parametrojn laŭ la plato

DHCP opcio
Parametro nomo
valoro

066
Gastnomo de lanĉa servilo
sccm2012.testo.loka

067
Bootdosiernomo
smsbootx86pxelinux.com

006
Serviloj DNS
192.168.57.10

015
DNS-Domajna Nomo
testo.loka

En opcio 066 ni specifas la FQDN-nomon de la sccm-servilo, en opcio 067 ni specifas la vojon al la x86-ŝargilo pxelinux.com komencante de la TFTP-radiko, en opcio 006 ni specifas la IP-adreson de la DNS-servilo. Se mallonga servilnomo estas uzata en opcio 066, en opcio 015 ni specifas la DNS-sufikson de la domajno.

Suplemento
Priskribis la DHCP-agordon pli detale mvgolubev tie. Sed plu DC opcio 150, TFTP-servila IP-adreso, mankis el la agordoj de DHCP-amplekso, kaj specifi opcion 150 per netsh ne funkciis.

3. Kontrolo de laboro

La bazaj agordoj estas finitaj kaj vi povas komenci kontroli. Ni indikas sur la testa komputilo en la BIOS, ke ĝi estas ŝarĝita tra la reto kaj ŝarĝita en la menuon

Elektu eron «Start to SCCM» kaj se taskosekvenco estas asignita al la komputilo, tiam post iom da tempo aperos la fenestro "Task Sequence Wizard" instigante vin enigi pasvorton.


Rekomencu la maŝinon, reiru al la menuo, elektu en la menuo «Antivirus and tools» kaj enigu la pasvorton Qwerty

Ni elektas arbitran objekton kaj observas la ŝarĝon de la ISO-bildo en memoron

Atendante kaj vidante la rezulton

Kontrolo finita

4. Pliaj agordoj kaj funkcioj

Agordo de vojigo

Se la kliento, DHCP-servilo kaj servilo enhavanta la retan ŝargilon estas en la sama retsegmento, neniu kroma agordo estas bezonata. Tamen, se la kliento kaj la DHCP-servilo aŭ WDS/SCCM-servilo situas sur malsamaj retaj segmentoj, oni rekomendas, ke vi agordu viajn enkursigilojn por plusendi elsendajn pakojn de la kliento al la aktiva DHCP-servilo kaj la aktiva WDS/SCCM-servilo. En angla literaturo, ĉi tiu procezo estas konata kiel "IP Helper table updates". En ĉi tiu kazo, la kliento, post akiri IP-adreson, kontaktas la servilon enhavanta la retan ŝargilon rekte per DHCP-pakoj por elŝuti la retan ŝargilon.
Por Cisco-enkursigiloj, uzu la komandon

ip helper-address {ip address}

kie {ip address} DHCP-servilo aŭ WDS/SCCM servila adreso. Ĉi tiu komando ankaŭ sendas la sekvajn UDP-elsendpakaĵojn

Haveno
Protokolo

69
TFTP

53
Domajna Nomsistemo (DNS)

37
Temposervo

137
NetBIOS Nomservilo

138
NetBIOS Datagram-Servilo

67
Bootstrap-Protokolo (BOOTP)

49
TAKAKOJ

La dua metodo por la kliento akiri informojn pri la reto-ŝargilo rekte de la DHCP-servilo estas specifi opciojn 60,66,67 sur la DHCP-servilo. Uzante DHCP-opcion 60 kun valoro «PXEClient» al ĉiuj DHCP-ampleksoj nur se la DHCP-servilo estas gastigita sur la sama servilo kiel la deplojaj servoj WindowsEn ĉi tiu kazo, la kliento kontaktas la servilon de Deployment Services. Windows Rekte per TFTP super UDP-pordo 4011, ne per DHCP. Ĉi tiu metodo ne estas rekomendata de Microsoft pro problemoj kun ŝarĝekvilibro, malĝusta traktado de DHCP-parametroj, kaj respondoparametroj de deplojaj servoj. Windows ĉe la klienta flanko. Ankaŭ, uzante nur du DHCP-opciojn, 66 kaj 67, permesas al vi preteriri la agordojn agorditajn ĉe la reta startiga servilo.
Vi ankaŭ bezonas malfermi la jenajn UDP-pordojn sur la servilo de Deployment Services Windows
haveno 67 (DHCP)
haveno 69 (TFTP)
haveno 4011 (PXE)
kaj haveno 68 se DHCP-rajtigo estas postulata sur la servilo.

Pli detale, la agorda procezo kaj la nuancoj de alidirekto inter malsamaj WDS-serviloj estas priskribitaj malsupre en la fontoj:
Administrado de reto-ŝarga programo http://technet.microsoft.com/ru-ru/library/cc732351(v=ws.10).aspx
Administrado de serviloj http://technet.microsoft.com/ru-ru/library/cc770637(v=ws.10).aspx
Limoj de subteno de Microsoft Product Support Services (PSS) por reta startigo Microsoft Windows Antaŭinstala Medio (Windows PE) 2.0 http://support.microsoft.com/kb/926172/en-us
Kiel plusendi UDP-elsendon (BOOTP / DHCP) ĉe Cisco http://www.cisco-faq.com/163/forward_udp_broadcas.html
Trajtoj de funkciado kaj agordo de DHCP sur Cisco-enkursigiloj (Parto 2) http://habrahabr.ru/post/89997/

Pliaj opcioj por loka elŝuto

En testa medio, la komando

localboot 0

donas tian eraron

El la syslinux-dokumentado sekvas, ke kiam

localboot 0

ŝarĝo iros de loka disko. Kaj kiam oni specifas specifan valoron 0x00 de la primara (ĉefa) disketo, kiam oni specifas 0x80 el la primara (ĉefa) malmola disko. Ŝanĝante la komandon al

localboot 0x80

la loka OS ŝargis.
Se necesas lanĉi de specifa disko, sekcio aŭ komando localboot ne funkcias, tiam vi povas uzi la kapablojn de la modulo chain.c32. Post ŝarĝo de ĝi, uzu la komandon aldoni por specifi specifan diskon aŭ diskdiskon, disknumerado komenciĝas de 0, disknumerado komenciĝas de 1. se subdisko 0 estas specifita, la MBR estas ŝarĝita. Kiam oni specifas diskon, la subdisko povas esti preterlasita.

KERNEL chain.c32
APPEND hd0 0

aŭ

KERNEL chain.c32
APPEND hd0

Fontoj: http://www.syslinux.org/wiki/index.php/SYSLINUX#LOCALBOOT_type_.5BISOLINUX.2C_PXELINUX.5D
http://www.gossamer-threads.com/lists/syslinux/users/7127

Ordo kaj priskribo de elŝutado de dosieroj per PXE

Kiel menciite komence de la artikolo, la dosierujo, kie troviĝas la WDS-dosieroj por elŝuto, estas enhavita en la valoro de la parametro. RootFolder en la registra branĉo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesWDSServerProvidersWDSTFTP
Defaŭlta valoro C:RemoteInstall
Ĉi tie en la parametro ReadFilter dosierujoj estas specifitaj kie la TFTP-servilo serĉas dosierojn por elŝuti, komencante de la radiko. Kun SCCM 2012 SP1 instalita, ĉi tiu agordo estas

boot*
tmp*
SMSBoot*
SMSTemp*
SMSImages*

Se vi ŝanĝas la parametran valoron al * tiam ĉiuj dosieroj situantaj en la dosierujo estos procesitaj RemoteInstall.

La SCCM 2012 deploja punkto rolo estas precizigita en la registra valoro ProvidersOrdersituanta en la branĉo HKLMSystemCurrentControlSetWDSServerProvidersWDSPXE
Parametro ProvidersOrder povas preni valorojn

SMSPXE
PXE-servopunkto en SCCM

SMS.PXE.Filtrilo
PXE-skripttraktilo de MDT (Microsoft Deployment Toolkit)

BINLSVC
Norma WDS kaj RIS-motoro

Kun SCCM instalita, la parametro ProvidersOrder aferoj SMSPXE. Ŝanĝante la parametron, vi povas ŝanĝi la ordon en kiu provizantoj estas ŝarĝitaj.

En katalogo RemoteInstall la sekvaj normaj dosieroj troviĝas

wdsnbp.com

Reta startiga programo desegnita por deplojaj servoj Windows kaj plenumante la jenajn taskojn:
1. Arkitektura detekto.
2. Prizorgado de atendantaj komputiloj. Kiam la politiko de aŭtomata aldono estas ebligita, ĉi tiu reto-ŝarga programo estas sendita al atendantaj komputiloj por suspendi retan lanĉon kaj informi la servilon pri la arkitekturo de la klienta komputilo.
3. Uzante retajn lanĉajn ligilojn (inkluzive de uzado de DHCP-opcioj 66 kaj 67)

PXEboot.com

(Defaŭlte) Postulas la uzanton premi la F12-klavon por daŭrigi la retan lanĉon

PXEboot.n12

Ne postulas, ke la uzanto premu la klavon F12 kaj tuj komencas retan ekfunkciigon

AbortPXE.com

Lanĉas la komputilon uzante la sekvan ekfunkciigon en la BIOS sen atendado

bootmgr.exe

Elŝutadministrilo Windows (Bootmgr.exe aŭ Bootmgr.efi). Ŝarĝas la startigilon uzante la firmvaron. Windows de specifa diska subdisko aŭ per retkonekto (kaze de reta starto)

Bootmgfw.efi

La EFI-versio de PXEboot.com kaj PXEboot.n12 (en EFI, la elekto por ekbruligi aŭ ne ekbruligi PXE estas en la EFI-ŝelo, ne la reto-ŝarga programo). Bootmgfw.efi kombinas la kapablojn de PXEboot.com, PXEboot.n12, abortpxe.com, kaj bootmgr.exe. Ĝi nuntempe ekzistas nur por x64 kaj Itanium-arkitekturoj.

Defaŭlte.bcd

Boot Configuration Data Store (BCD), formato REGF, povas esti ŝarĝita en REGEDIT, anstataŭigas la tekstodosieron Boot.ini

Ŝargado okazas en la sekva sinsekvo kiel priskribite supre
1. Elŝutu wdsnbp.com.
2. Poste, pxeboot.com de la taŭga arkitekturo estas ŝarĝita
3. PXEBoot.com elŝutas bootmgr.exe kaj la datumvendejon de lanĉado de BCD
4. Bootmgr.exe legas la operaciumajn erojn de la Boot Configuration Data (BCD) kaj ŝargas la Boot.sdi-dosieron kaj bildon. Windows PE (boto.wim)
5. Bootmgr.exe komencas ŝarĝiĝi Windows PE, alirante Winload.exe en la bildo Windows PE

Se en RemoteInstall estas dosierujoj

Boot
Images
Mgmt
Templates
Tmp
WdsClientUnattend

ilia ĉeesto signifas, ke antaŭ ol aldoni la distribuan punktan rolon en SCCM 2012 (PXE-servopunkto en SCCM 2007) okazis iu ago por agordi la instalitan Windows Deployment Services (WDS), kiu aŭtomate kreis ĉi tiujn dosierujojn.
Por la distribupunkta rolo (PXE-servopunkto en SCCM 2007), nur la sekvaj dosierujoj sufiĉas

SMSBoot
SMSIMAGES
SMSTemp
Stores

Ĉi tio ne signifas, ke SCCM estas malĝuste instalita, sed ĝi povas montri eblan fonton de eraroj.
La solvo de diversaj problemoj de la pakaĵo WDS, SCCM kaj PXE estas tre detale diskutita en la artikolo. Solvado de la PXE-Servpunkto kaj WDS en Configuration Manager 2007

La rezulto

IT-infrastrukturo administrita de System Center Configuration Manager aldonis novan ilon por kampaj sistemadministrantoj.

Listo de ligiloj al ISO-bildoj (Alklaku por montri)download.f-secure.com/estore/rescue-cd-3.16-52606.iso
git.ipxe.org/releases/wimboot/wimboot-latest.zip
download.geo.drweb.com/pub/drweb/livecd/drweb-livecd-602.iso
rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso
esetsupport.com/eset_sysrescue.iso
boot.ipxe.org/ipxe.iso
citylan.dl.sourceforge.net/project/clonezilla/clonezilla_live_alternative/20130226-quantal/clonezilla-live-20130226-quantal-i386.iso
ftp.rasla.ru/_Distr_/WinPE/RaSla/WinPE_RaSla.iso
www.kernel.org/pub/linux/utils/boot/syslinux/syslinux-5.01.zip

Спасибо за внимание!


fonto: www.habr.com