Remote Installation Services (RIS)

Mit Windows 2003 SP2 heißen diese Dienste nun Windows-Bereitstellungsdienste" und können auch Windows PE verteilen um Windows Vista zu installieren. WDS/WAIK

Seit Windows 2000 gibt es einen neuen Dienst namens RIS, der primär dazu da ist, die Erstinstallation von Systemen über das Netzwerk zu beschleunigen. Der RIS-Dienst fristet aber nach meiner Erfahrung ein Schattendasein, weil die meisten Administratoren und Firmen einfach nicht wissen, was sie damit anfangen können und welche Zeit und Kosten Sie damit einsparen können.

PXE und RIS
Die vom RIS-Server unterstützt Netzwerkkarten haben allesamt ein PXE-Bootrom. PXE ist die Abkürzung für "Preboot eXecution Environment" und wurde Anfangs von LanWorks (später 3Com) und Intel bekannt gemacht. Die Technik erlaubt prinzipiell, dass vor dem eigentlichen Betriebssystem eine andere Umgebung vielfältige Aufgaben übernimmt und nach dem Abschluss dieser erst das eigentliche Betriebssystem des Clients gestartet wird.

Prüfen Sie die Funktion ihrer Sicherungssoftware in Verbindung mit RIS. RIS nutzt einen "Single Instance Store (SIS) mit zentralen Dateien und Links aus dem REMINST-Verzeichnis auf diese zentrale Datenhaltung. Eine Software, die nur die Links sichert, restauriert Links ins nirgendwo. Eine Software ohne entsprechenden Support sichert die gleichen Dateien mehrfach. (z.B. ein COPY).

Achtung Windows XP SP2
Seit dem SP2 nutzt RIS nicht mehr den "Default User" sondern das Profil des "Administrators" für die Erstellung neuer Profile
887816 Changes in behavior of the SysPrep and RIPREP tools after you install Windows XP SP2

RIS wird durch das Windows 2003 SP2 und Longhorn durch die Windows Deployment Service (WDS) ersetzt.

Der Windows RIS-Dienst nutzt diese Funktion, um statt des Betriebssystems die Erstinstallation vom Netzwerk durchzuführen. Auch wenn in der Microsoft Dokumentation nicht viel zu finden ist, so ist es auch mit dem RIS-Server möglich, beliebige Images zu starten. Sie können also auch DOS, Windows 3.1 aber auch LINuX-Loader mit einem PXE-Bootrom von einem Windows Server starten. Von Microsoft gibt es zwar nicht die entsprechenden Tools, aber in den Treiberpaketen von 3COM und aus anderen Quellen gibt es ausreichend Material hierzu.

Was ist RIS und wie funktioniert RIS

Vom Prinzip her ist RIS eine sehr einfaches Sache:

  • RIS installiert einen TFTP-Server,
    so dass über das sehr einfache Protokoll TFTP die Client Dateien herunter laden können.
  • RIS installiert einen DHCP-ähnlichen Dienst (BINL),
    der bei bestimmten Anfragen von Client diesen die notwendigen Informationen zur Verarbeitung in Form von DHCP-Antworten übergibt. DHCP ist nämlich nicht nur zur Vergabe von IP-Adressen geeignet, sondern kann auch vielfältige Konfigurationsinformationen verbreiten. Der BINL-Dienst muss natürlich auch im Active Directory autorisiert werden.
  • RIS installiert zusätzlich den SIS-Dienst
    SIS steht für Single Instance Store und sorgt dafür dass identische Dateien nur einmal auf der Festplatte landen. Dazu werden identische Dateien in ein besonderes Verzeichnis kopiert und die Dateien durch Links auf dieses Kopie ersetzt. So können Sie auf einem RIS-Server sehr viele verschiedene Windows Installationsquellen liegen haben, ohne allzu viel Platz zu benötigen. Prüfen Sie aber, ob ihre Datensicherung auch damit umgehen kann.
  • Ein Bootrom auf einer Netzwerkkarte fordert diese Informationen an
    Wird also das Boot-ROM in der Reihenfolge vor die Netzwerkkarte gesetzt, durch Wakeup on Lan oder durch eine bestimmte Taste (meist F12) aktiviert, dann startet das Boot-ROM einen kleinen TCP/IP-Stack, holt sich eine IP-Adresse und die Konfiguration des RIS-Dienstes per DHCP und lädt die angegebene Datei herunter und führt diese ohne Rückfrage aus. (Achten Sie daher darauf, wer in ihrem LAN einen PXE-Server betreibt).
  • Dieser Bootloader ist die erste Software, die vom RIS-Server kommt.
    Sie enthält bei Windows 2000x nur die Abfrage der F12-Taste, d.h. dass RIS nicht sofort die Festplatte partitioniert und installiert, sondern den Benutzer noch mal um eine F12-Taste bittet, ist eine Funktion vom Microsoft RIS-Server. Andere Produkte lassen dem Benutzer hier keine Wahl. Dieser RIS-Loader startet dann das eigentliche RIS-Programm, welches nach einer Anmeldung eine Auswahl an Optionen anbietet. Dazu gehört dann auch die Installation von Windows oder vom Administrator bereit gestellte utilities.

Die gestartete Installation kann dabei Windows 2000 Workstation , Windows XP, aber auch Windows 2000 und 2003 Server sein. Es handelt sich dabei um eine "unattended" Installation, wie sie auch schon mit Windows NT4 möglich war. Viele Administratoren haben Sie daran damals aber nicht heran getraut. Durch entsprechende Assistenten ist dies aber vereinfacht worden.

Ein Wort zur Sicherheit
Es gibt keine "Authentifizierung" an dieser Stelle. Vielleicht gibt es irgendwann auch Viren, welche als PXE-Server fungieren um PCs über diesen Weg zu infizieren. Es gibt PXE-Lösungen, bei denen Sie den PC so einstellen, dass er immer per PXE bootet und der Server gibt dem Client dann ein passendes Image, welches den Bootvorgang von der Festplatte fortsetzt oder Pflegearbeiten durchführt. Bei dieser Konfiguration sollten Sie unbedingt eine Netzwerküberwachung einsetzen, um "wilde" PXE-Server zu erkennen und zu deaktivieren. Die meisten modernen Switches können pro Port filtern, ob DHCP/BootP-Antworten möglich sind.

Eine Besonderheit ist das Programm RIPREP. Sie installieren einfach einen PC komplett nach ihren Wünschen (mit Office, SAPGui, Acrobat etc.) und danach fertigt RIPREP eine automatische Installation hiervon an. Mit aktuellen Systemen können Sie den Zeitaufwand für solch eine Installation auf unter 10 Minuten drücken !!. Genial ist aber, dass die Installation relativ unabhängig von der Hardware ist. Solange die HAL (z.B. ACPI) und der Massenspeicher (z.B. IDE) identisch sind und sie die Treiber an den richtigen platz legen, erledigt Windows PnP den Rest.

RIS ersetzt aber keine effektive Softwareverteilung und ein Clientmanagement, denn für den Rollout einer neuen Software kann nicht jedes Mal jeder Client neu installiert werden. Sie können aber mehrere verschiedene Versionen mit "RIPREP" ablegen und der durch RIS installierte Single Instance Store (SIS) sorgt dafür, dass identische Dateien nur einmal auf dem Server gespeichert werden.

Voraussetzungen für den Einsatz von RIS sind:

  • Zweite Partition auf dem Server für die Daten
    Die Installation kann aufgrund der SIS-Funktion nicht auf der Systempartition erfolgen.
  • Fertig konfigurierter DHCP-Server und ein Active Directory
  • Windows 2000 Professional CD zur Kopie der Installationsdateien
  • Clients mit PXE-tauglicher Netzwerkkarte oder unterstützter Bootdiskette

Und schon verliert das Rollout von vielen Workstations den Schrecken der vergangenen Jahre. Aber Achtung: RIS kann süchtig machen.

RIS für Workstations

Damit ist RIS eine elegante Methode um viele gleiche oder gleichartige Systeme erstmalig mit einem Betriebssystem zu versehen. Im Grund ist es aber eine "unattended" Installation und kein Clonen von Festplatten. Damit entfällt die Problematik der SID Änderungen und die Aufnahme in die Domäne. Dies kann so sehr schnell durch geführt werden.

In meiner Praxis hat sich gezeigt, dass ein einfacher RIS-Server schon nach 2-3 Stunden funktioniert und die Funktion und Leistungsfähigkeit nach der Einspielung eines ersten "Standard-PCs" mit RIPREP und die Einbindung der neuen Grafikkarte die letzten Zweifler überzeugt.

RIS für Desaster Recovery von Servern ?

Aber denken Sie den Prozess einfach etwas weiter. Mit RIS lässt sich nicht nur eine Workstation installieren, sondern auch Windows Server sind damit wunderbar zu installieren. Das hilft nicht nur bei der schnellen Erstinstallation der neuen Server, die dann bei geeigneter RIS-Einrichtung auch gleich mit Virenscanner, RAID-Controller Software, Managementsoftware (z.B. Compaq Insight Agents, FSC ServerView oder anderen) versehen sind, sondern besonders bei der schnellen Wiederherstellung nach einem Ausfall.

Oftmals ist es so, dass das Betriebssystem eines Server nach einem Ausfall gar nicht mehr wiederhergestellt werden kann (z.B. wegen neuer Hardware) oder die Installation eines Notfall-Systems zur Wiederherstellung des Systemstatus einfach zu lange dauert. Sehr oft reicht es aus, wenn der Server mit gleichem Namen neu installiert wird und nur die Nutzdaten wiederhergestellt werden müssen.

Sehr viele Dienste legen nur sehr wenig Informationen auf dem System selbst ab und können oftmals diese auch getrennt exportieren und importieren. z.B.

  • Druckerkonfiguration
    Mittels PRINTMIG jederzeit exportierbar und wieder herstellbar.
  • IIS-Konfiguration
    Einfach die Metadatenbank sichern und wieder herstellen.
  • Dateiserver
    Die einzelnen Shares sind ein Zweig in der Registrierung. Einfach diesen exportieren bzw. importieren.
  • Exchange
    Fast alles steht im Active Directory. Oftmals reicht sogar ein "SETuP /disasterrecovery" und ein zurückspielen der Datenbank
  • Und viele mehr...

Und derart gibt es viele Konfigurationen. Ansonsten ist RIS immer noch gut genug, um die Notfallinstallation des Betriebssystems für die eigentliche Wiederherstellung zu installieren.

RIS für alles mögliche

Aber damit ist RIS noch lange nicht ausgereizt. Allein die Möglichkeit, beliebige Programme per TFTP zu laden und zu starten öffnet viele Wege der Vereinfachung. Hinzu kommt, dass RIS dazu extra das Verzeichnis "TOOLS" anlegt, in welchem solche eigenen Werkzeuge hinterlegt werden können. 3COM hat bis vor einiger Zeit dazu sogar eine passende Software (MBAuTIL) ausgeliefert, die direkt aus einer Bootdiskette ein passendes Image erstellt und abgelegt hat. Und so sind viele Anwendungen denkbar. überlegen Sie einfach einmal, was sie so von einer 2,88 Megabyte Diskette starten können.

  • Einfaches DOS mit einigen Tools
    z.B. den alten Diskeditor, FDISK, MSINFO, CTRam-Test oder andere DOS-utilities.
  • DOS mit Netzwerk
    Kennen Sie schon www.nu2.nu/bootdisk und den genialen Weg, damit eine einfache DOS-Diskette mit Netzwerkanbindung an Microsoft, Novell und andere Dinge zu bauen ?.
  • BIOS-update
    Viele Hersteller liefern Updates für BIOS und andere Bausteine aber Notebooks oder Firmen-PCs haben oft kein Diskettenlaufwerk mehr. Also flugs eine Diskette als RIS-Image abgelegt und das Update ist schnell durchgeführt.
  • Windows PE / PEBuilder
    Vermutlich können Sie schon PEBuilder von www.nu2.nu und Produkte: PEBuilder Damit können Sie eine bootfähige CD erstellen, die dann direkt von der CD ein Windows XP oder Windows 2003 (mit Einschränkungen) startet. Es sind nur wenige Schritte um Windows XP/2003 damit vom Netzwerk zu starten.
  • Fast Recovery
    In Verbindung mit einer passenden Bootdiskette, einer Imaging-Software und regelmäßigen Sicherungen können Sie mit RIS ein defektes Betriebssystem in wenigen Minuten wieder auf den alten Stand zurücksichern.
    Imagebackup

Auf den Geschmack gekommen ? Dann schauen Sie sich doch einfach mal das Video an:

rispxe-tool-pm2003.avi

Es zeigt, wie ein PC (VMWare 5.5) per PXE von einem Windows 2003 Server Partition Expert bootet. Die Geschwindigkeit entspricht der Realität !

RIS für Administratoren

Einige Kleinigkeiten von sollten Sie noch wissen:

  • SIS- Backup und Restore
    Der Single Instance Store sorgt dafür, dass identische Dateien nur einmal in einem geschützten verborgenen Verzeichnis gespeichert werden und nur ein Verweis an der alten Stelle verbleibt.
    Achten Sie darauf, dass Sie über eine Anpassung der INI-Datei nur die RIS-Verzeichnisse so verarbeiten lassen. Ansonsten wird der SIS auch alle anderen Dateien auf diesem Laufwerk instanziieren.
    Prüfen Sie weiterhin, dass ihre Datensicherung zwischen Links und echten Dateien unterscheiden kann und "richtig" Sicherung und wieder herstellt. Es ist genauso falsch, jede Datei voll zu sichern, wenn Sie nur einmal vorhanden ist aber ebenso falsch bei einem Restore ungültige Links zu schreiben.
  • Anpassen von HTML/OSC-Dateien
    Sie können die Vorlagen problemlos anpassen. Besonders wenn Sie Mehrsprachigkeit möchten oder eigene Texte bevorzugen, müssen Sie die OSC-Dateien im Verzeichnis individuell anpassen. Auch wenn das alles einer HTML-Datei sehr ähnlich sieht, so ist es doch keine Webseite, die Sie hier pflegen.
  • Replikation auf mehrere RIS-Server / Redundanz
    Ein RIS-Server ist gut aber wie können Sie mehrere Server im Netzwerk betreiben, die möglichst alle Identisch sind und vielleicht sogar auf mehrere Standorte verteilt sind? Auch das ist mit RIS kein Problem. Sie müssen dazu nur sicherstellen, dass das Verzeichnis REMINST auf allen Server identisch ist. Hier können Sie den FRS-Dienst einsetzen. Ich ziehe aber einen klassischen "ROBOCOPY /MIR" vor, der nach der Änderung auf einem Masterserver die Daten zeitnah und nachvollziehbar auf alle anderen Server verteilt.

RIS Automatismus

Normalerweise ist die PXE-Funktion auf einer Netzwerkkarte nicht aktiv, bzw. jemand an der Tastatur muss eine Taste drücken, um von Netzwerk zu booten. Das ist für die Erstinstallation absolut ausreichend und sicher. Aber mit etwas Know-how kann dieses Verfahren natürlich noch ausgebaut werden.

So lassen sich einige PCs im Bios derart umstellen, dass ein Einschalten des PCs über das Netzwerk (Wakeup on LAN) dazu führt, dass der PC von der Netzwerkkarte bootet. Andere stellen ihre PCs so ein, dass sie generell erst mal von Netzwerkkarte booten. Das Ziel dabei ist, dass der Administrator auf dem PXE-Server Code zur Ausführung hinterlegen kann, z.B. BIOS-Updates, Inventarisierung etc. Das geht aber nicht mehr mit dem Windows RIS-Server.

übrigens: Wenn ihre Netzwerkkarte schon vom Netzwerk bootet, dann kommt die Meldung "Press F12 to boot from Network" nicht von der Netzwerkkarte, sondern ist schon der Bootloader, der vom LAN kommt.

Das bedeutet aber auch, dass eine PXE-Karte beim Start über das Netzwerk per DHCP eine IP-Adresse und einen PXE-Server erhält und von diesem den angegebenen Bootloader lädt und ohne weitere Rückfrage ausführt.

Wer PXE daher so einsetzt, muss sicherstellen, dass niemand anderes im gleichen Subnetz einen PXE-Server mit vielleicht schadhaften Programmen betreibt. Dies können Sie zwar nicht verhindern aber über entsprechende Tools (DHCPMON etc.) zumindest ermitteln.

Es liegt dann aber ganz bei ihnen bzw. der Software, was der PC dann weiter macht. Es gibt entsprechende Produkte, die über die Funktion PXE ein komplettes Management der Desktops bereitstellen bis zur Neuinstallation ohne Rückfrage. Der Windows RIS-Server jedoch startet die Textoberfläche, über die der Anwender oder Administrator die gewünschten Funktionen ausführen kann.

RIS mit eigenen Disketten

RIS erlaubt nicht nur die Installation von Windows, sondern nahezu den Start jeder beliebigen Software. Sie müssen dazu nur einen geeigneten PXE-Loader erstellen, der dann das eigentliche Programm nachlädt und startet. Das ist mit Windows Bordmitteln nicht möglich. Aber bei 3Com sollten Sie das Programm "IMGEDIT" finden, mit welchem Sie aus Disketten entsprechende Images erstellen können Sie die dann mit einem Menüfile in den Windows RIS-Server einspielen können.

3Com RIS Menu Editor
ftp://ftp.3com.com/pub/lanworks/risme101_install.exe

Den RIS-Editor gibt es mittlerweile von emBoot auch unter
http://www.rocketdownload.com/program/ris-menu-editor-9403.html
http://www.emboot.com/FREE_RIS_Menu_Editor.shtml

Zuerst erstellen Sie mit IMGEDIT die entsprechenden Diskimages und legen Sie z.B.: auf D:\RemoteInstall\Setup\German\Tools\mba\i386 ab.

Im zweiten Schritt erstellen Sie dann ein "PXE menu boot file". Hier sind dann alle Images einzubinden.

Achten Sie darauf, dass Sie unter Optionen den Pfad pflegen, da sonst der Loader auf der Wurzel des TFTP-Servers nach den Images sucht. Die Verzeichnisstruktur stellt sich dann wie  folgt dar:

Damit sie aber überhaupt das "Tools" Menü in der Auswahl haben, müssen Sie sich per Gruppenrichtlinien natürlich noch dafür frei schalten.

Aktivieren Sie hier die "Extras". Eine Filterung nach einzelnen Menü-Einträgen können Sie dann noch per NTFS-Berechtigungen erreichen

Eine weitere sehr elegante Variante zum Einstellen eigener Images ist RISME, welches Früher von 3COM kostenfrei verteilt wurde und mittlerweile bei der Firma emBoot untergekommen ist. Ab Windows 2003 benötigen Sie aber RISME 2.0 welches jedoch nicht mehr kostenfrei ist und von emBoot vertrieben wird (29 uS$)

PXELINuX

Ein ebenfalls interessantes Projekt sind die Teile aus "SysLinux". Dieses Mini-Linux enthält auch eine Datei "PXELINuX.0", welcher direkt vom TFTP-Server geladen werden kann und dann verschiedene Konfigurationsdateien auslesen kann. Entsprechend kann ein Administrator auch ohne Windows sehr elegant unterschiedliche Images vom Netzwerk starten.

PXE Remote

Wenn nun aber der PXE/RIS-Server in einem anderen Netzwerk steht, dann muss der Router die DHCP-Anfragen als "Forwarder" "weitergeben" oder ein DHCP-Relay Agent die Anfragen annehmen und verändert an einen DHCP-Server absenden. Die Antworten würden dann wieder an den Client zurück gesendet.

Allerdings muss der RIS-Client immer die Daten von RIS-DHCP-Server bekommen. Natürlich kann man auch in einem "normalen" DHCP-Server die Option für den Hostserver und das Bootfile (Option 67 = OSChooser\i386\startrom.com) setzen, allerdings startet dann RIS nur bis zur Anmeldung. Die Windows Komponente will dann nämlich die angegebenen Benutzerdaten vom Server prüfen lassen und spricht dazu den DHCP-Server über Port 4011 (BINLSVC) an. Ein anderer DHCP-Server kann darauf natürlich nicht antworten.

When the initial DHCP offer from the DHCP server contains these boot options, an attempt is made to connect to port 4011 on the DHCP server
Quelle: 259670 PXE clients computers do not start when you configure the Dynamic Host Configuration Protocol server to use options 60, 66, 67

Insofern muss der RIS-Server auch der Server sein, der auf die DHCP-Anfragen mit der Option zum Hostserver und Bootfilename antwortet.

  • 259670 PXE clients computers do not start when you configure the Dynamic Host Configuration Protocol server to use options 60, 66, 67
  • How Remote Installation Services Extension Works
    http://technet2.microsoft.com/windowsserver/en/library/d9280f61-30c5-4317-a953-181947bf0fd61033.mspx?mfr=true
  • Configuring DHCP option 60 für PXE clients
    http://www.markwilson.co.uk/blog/2004/03/configuring-dhcp-option-60-for-pxe.htm

Zusammenfassung

Ich bin ein Fan von RIS und ich kann ihnen nur nahe legen, diese Methode der Erstinstallation genauer zu betrachten. RIS ist eine Perle und dafür, dass RIS schon seit Windows 2000 Verfügbar ist, wird es noch viel zu selten eingesetzt. Zumal die nächste Version einer Verteilung von Microsoft schon verfügbar ist. für Enterprise Kunden gibt es eine Lösung, basierend auf SQL und Multicast, um viele PCs wirklich gleichzeitig zu installieren. Aber dies sprengt die Grenzen dieser Webseite.

Unterstützung durch Net at Work:
Wenn Sie mehr als nur einen einfachen Windows RIS-Server für die Verteilung des Betriebssystems suche, oder z.B.: an der "Automatic deployment solution" von SMS interessiert sind oder etwas über die neuen Methoden zur Verteilung von Vista, dann fragen Sie uns. Wir helfen ihnen bei der Effektivierung ihres Client Rollouts.

Weitere Links

Übrigens wurde PXE (PreBoot Execution Environment) weder von Microsoft, Intel oder 3Com richtig erfunden. Die ersten Lösungen mit Bootroms und PXE kenne ich von LanWorks (wurden von 3Com gekauft). Daher finden sich auch viele andere Seiten anderer Hersteller mit eigenen PXE-Lösungen unter den Links.

Und es gibt weitere Systeme, die mitttels PXE-ROMs leistungsfähigere Lösungen bereitstellen.