Remote Installation Services (RIS)

Mit Windows 2003 SP2 heißen diese Dienste nun Windows-Bereitstellungsdienste" und können auch Windows PE verteilen um Windows Vista zu installieren. WDS/WAIK

Seit Windows 2000 gibt es einen neuen Dienst namens RIS, der primär dazu da ist, die Erstinstallation von Systemen über das Netzwerk zu beschleunigen. Der RIS-Dienst fristet aber nach meiner Erfahrung ein Schattendasein, weil die meisten Administratoren und Firmen einfach nicht wissen, was sie damit anfangen können und welche Zeit und Kosten Sie damit einsparen können.

PXE und RIS
Die vom RIS-Server unterstützten Netzwerkkarten haben allesamt ein PXE-Bootrom. PXE ist die Abkürzung für "Preboot eXecution Environment" und wurde Anfangs von LanWorks (später 3Com) und Intel bekannt gemacht. Die Technik erlaubt prinzipiell, dass vor dem eigentlichen Betriebssystem eine andere Umgebung vielfältige Aufgaben übernimmt und nach dem Abschluss dieser erst das eigentliche Betriebssystem des Clients gestartet wird.

Prüfen Sie die Funktion ihrer Sicherungssoftware in Verbindung mit RIS. RIS nutzt einen "Single Instance Store (SIS) mit zentralen Dateien und Links aus dem REMINST-Verzeichnis auf diese zentrale Datenhaltung. Eine Software, die nur die Links sichert, restauriert Links ins nirgendwo. Eine Software ohne entsprechenden Support sichert die gleichen Dateien mehrfach. (z.B. ein COPY).

Achtung Windows XP SP2
Seit dem SP2 nutzt RIS nicht mehr den "Default User" sondern das Profil des "Administrators" für die Erstellung neuer Profile
887816 Changes in behavior of the SysPrep and RIPREP tools after you install Windows XP SP2

RIS wird durch das Windows 2003 SP2 und Longhorn durch die Windows Deployment Service (WDS) ersetzt.

Der Windows RIS-Dienst nutzt diese Funktion, um statt des Betriebssystems die Erstinstallation vom Netzwerk durchzuführen. Auch wenn in der Microsoft Dokumentation nicht viel zu finden ist, so ist es auch mit dem RIS-Server möglich, beliebige Images zu starten. Sie können also auch DOS, Windows 3.1 aber auch LINUX-Loader mit einem PXE-Bootrom von einem Windows Server starten. Von Microsoft gibt es zwar nicht die entsprechenden Tools, aber in den Treiberpaketen von 3COM und aus anderen Quellen gibt es ausreichend Material hierzu.

Was ist RIS und wie funktioniert RIS

Vom Prinzip her ist RIS eine sehr einfaches Sache:

Die gestartete Installation kann dabei Windows 2000 Workstation , Windows XP, aber auch Windows 2000 und 2003 Server sein. Es handelt sich dabei um eine "unattended" Installation, wie sie auch schon mit Windows NT4 möglich war. Viele Administratoren haben Sie daran damals aber nicht heran getraut. Durch entsprechende Assistenten ist dies aber vereinfacht worden.

Ein Wort zur Sicherheit
Es gibt keine "Authentifizierung" an dieser Stelle. Vielleicht gibt es irgendwann auch Viren, welche als PXE-Server fungieren um PCs über diesen Weg zu infizieren. Es gibt PXE-Lösungen, bei denen Sie den PC so einstellen, dass er immer per PXE bootet und der Server gibt dem Client dann ein passendes Image, welches den Bootvorgang von der Festplatte fortsetzt oder Pflegearbeiten durchführt. Bei dieser Konfiguration sollten Sie unbedingt eine Netzwerküberwachung einsetzen, um "wilde" PXE-Server zu erkennen und zu deaktivieren. Die meisten modernen Switches können pro Port filtern, ob DHCP/BootP-Antworten möglich sind.

Eine Besonderheit ist das Programm RIPREP. Sie installieren einfach einen PC komplett nach ihren Wünschen (mit Office, SAPGui, Acrobat etc.) und danach fertigt RIPREP eine automatische Installation hiervon an. Mit aktuellen Systemen können Sie den Zeitaufwand für solch eine Installation auf unter 10 Minuten drücken !!. Genial ist aber, dass die Installation relativ unabhängig von der Hardware ist. Solange die HAL (z.B. ACPI) und der Massenspeicher (z.B. IDE) identisch sind und sie die Treiber an den richtigen platz legen, erledigt Windows PnP den Rest.

RIS ersetzt aber keine effektive Softwareverteilung und ein Clientmanagement, denn für den Rollout einer neuen Software kann nicht jedes Mal jeder Client neu installiert werden. Sie können aber mehrere verschiedene Versionen mit "RIPREP" ablegen und der durch RIS installierte „Single Instance Store (SIS) sorgt dafür, dass identische Dateien nur einmal auf dem Server gespeichert werden.

Voraussetzungen für den Einsatz von RIS sind:

Und schon verliert das Rollout von vielen Workstations den Schrecken der vergangenen Jahre. Aber Achtung: RIS kann süchtig machen.

RIS für Workstations

Damit ist RIS eine elegante Methode um viele gleiche oder gleichartige Systeme erstmalig mit einem Betriebssystem zu versehen. Im Grund ist es aber eine „unattended“ Installation und kein Clonen von Festplatten. Damit entfällt die Problematik der SID Änderungen und die Aufnahme in die Domäne. Dies kann so sehr schnell durch geführt werden.

In meiner Praxis hat sich gezeigt, dass ein einfacher RIS-Server schon nach 2-3 Stunden funktioniert und die Funktion und Leistungsfähigkeit nach der Einspielung eines ersten "Standard-PCs" mit RIPREP und die Einbindung der neuen Grafikkarte die letzten Zweifler überzeugt.

RIS für Desaster Recovery von Servern ?

Aber denken Sie den Prozess einfach etwas weiter. Mit RIS lässt sich nicht nur eine Workstation installieren, sondern auch Windows Server sind damit wunderbar zu installieren. Das hilft nicht nur bei der schnellen Erstinstallation der neuen Server, die dann bei geeigneter RIS-Einrichtung auch gleich mit Virenscanner, RAID-Controller Software, Managementsoftware (z.B. Compaq Insight Agents, FSC ServerView oder anderen) versehen sind, sondern besonders bei der schnellen Wiederherstellung nach einem Ausfall.

Oftmals ist es so, dass das Betriebssystem eines Server nach einem Ausfall gar nicht mehr wiederhergestellt werden kann (z.B. wegen neuer Hardware) oder die Installation eines Notfall-Systems zur Wiederherstellung des Systemstatus einfach zu lange dauert. Sehr oft reicht es aus, wenn der Server mit gleichem Namen neu installiert wird und nur die Nutzdaten wiederhergestellt werden müssen.

Sehr viele Dienste legen nur sehr wenig Informationen auf dem System selbst ab und können oftmals diese auch getrennt exportieren und importieren. z.B.

Und derart gibt es viele Konfigurationen. Ansonsten ist RIS immer noch gut genug, um die Notfallinstallation des Betriebssystems für die eigentliche Wiederherstellung zu installieren.

RIS für alles Mögliche

Aber damit ist RIS noch lange nicht ausgereizt. Allein die Möglichkeit, beliebige Programme per TFTP zu laden und zu starten öffnet viele Wege der Vereinfachung. Hinzu kommt, dass RIS dazu extra das Verzeichnis "TOOLS" anlegt, in welchem solche eigenen Werkzeuge hinterlegt werden können. 3COM hat bis vor einiger Zeit dazu sogar eine passende Software (MBAUTIL) ausgeliefert, die direkt aus einer Bootdiskette ein passendes Image erstellt und abgelegt hat. Und so sind viele Anwendungen denkbar. Überlegen Sie einfach einmal, was sie so von einer 2,88 Megabyte Diskette starten können.

Auf den Geschmack gekommen ? Dann schauen Sie sich doch einfach mal das Video an:

rispxe-tool-pm2003.avi

Es zeigt, wie ein PC (VMWare 5.5) per PXE von einem Windows 2003 Server Partition Expert bootet. Die Geschwindigkeit entspricht der Realität !

RIS für Administratoren

Einige Kleinigkeiten von sollten Sie noch wissen:

RIS Automatismus

Normalerweise ist die PXE-Funktion auf einer Netzwerkkarte nicht aktiv, bzw. jemand an der Tastatur muss eine Taste drücken, um von Netzwerk zu booten. Das ist für die Erstinstallation absolut ausreichend und sicher. Aber mit etwas Know-how kann dieses Verfahren natürlich noch ausgebaut werden.

So lassen sich einige PCs im Bios derart umstellen, dass ein Einschalten des PCs über das Netzwerk (WakeUp on LAN) dazu führt, dass der PC von der Netzwerkkarte bootet. Andere stellen ihre PCs so ein, dass sie generell erst mal von Netzwerkkarte booten. Das Ziel dabei ist, dass der Administrator auf dem PXE-Server Code zur Ausführung hinterlegen kann, z.B. BIOS-Updates, Inventarisierung etc. Das geht aber nicht mehr mit dem Windows RIS-Server.

Übrigens: Wenn ihre Netzwerkkarte schon vom Netzwerk bootet, dann kommt die Meldung "Press F12 to boot from Network" nicht von der Netzwerkkarte, sondern ist schon der Bootloader, der vom LAN kommt.

Das bedeutet aber auch, dass eine PXE-Karte beim Start über das Netzwerk per DHCP eine IP-Adresse und einen PXE-Server erhält und von diesem den angegebenen Bootloader lädt und ohne weitere Rückfrage ausführt.

Wer PXE daher so einsetzt, muss sicherstellen, dass niemand anderes im gleichen Subnetz einen PXE-Server mit vielleicht schadhaften Programmen betreibt. Dies können Sie zwar nicht verhindern aber über entsprechende Tools (DHCPMON etc.) zumindest ermitteln.

Es liegt dann aber ganz bei ihnen bzw. der Software, was der PC dann weiter macht. Es gibt entsprechende Produkte, die über die Funktion PXE ein komplettes Management der Desktops bereitstellen bis zur Neuinstallation ohne Rückfrage. Der Windows RIS-Server jedoch startet die Textoberfläche, über die der Anwender oder Administrator die gewünschten Funktionen ausführen kann.

RIS mit eigenen Disketten

RIS erlaubt nicht nur die Installation von Windows, sondern nahezu den Start jeder beliebigen Software. Sie müssen dazu nur einen geeigneten PXE-Loader erstellen, der dann das eigentliche Programm nachlädt und startet. Das ist mit Windows Bordmitteln nicht möglich. Aber bei 3Com sollten Sie das Programm "IMGEDIT" finden, mit welchem Sie aus Disketten entsprechende Images erstellen können Sie die dann mit einem Menüfile in den Windows RIS-Server einspielen können.

3Com RIS Menu Editor
ftp://ftp.3com.com/pub/lanworks/risme101_install.exe

Den RIS-Editor gibt es mittlerweile von emBoot auch unter
http://www.rocketdownload.com/program/ris-menu-editor-9403.html
http://www.emboot.com/FREE_RIS_Menu_Editor.shtml

Zuerst erstellen Sie mit IMGEDIT die entsprechenden Diskimages und legen Sie z.B.: auf D:\RemoteInstall\Setup\German\Tools\mba\i386 ab.

Im zweiten Schritt erstellen Sie dann ein "PXE menu boot file". Hier sind dann alle Images einzubinden.

Achten Sie darauf, dass Sie unter Optionen den Pfad pflegen, da sonst der Loader auf der Wurzel des TFTP-Servers nach den Images sucht. Die Verzeichnisstruktur stellt sich dann wie  folgt dar:

Damit sie aber überhaupt das "Tools" Menü in der Auswahl haben, müssen Sie sich per Gruppenrichtlinien natürlich noch dafür frei schalten.

Aktivieren Sie hier die "Extras". Eine Filterung nach einzelnen Menüeinträgen können Sie dann noch per NTFS-Berechtigungen erreichen

Eine weitere sehr elegante Variante zum Einstellen eigener Images ist RISME, welches früher von 3COM kostenfrei verteilt wurde und mittlerweile bei der Firma emBoot untergekommen ist. Ab Windows 2003 benötigen Sie aber RISME 2.0 welches jedoch nicht mehr kostenfrei ist und von emBoot vertrieben wird (29 US$)

PXELINUX

Ein ebenfalls interessantes Projekt sind die Teile aus "SysLinux". Dieses Mini-Linux enthält auch eine Datei "PXELINUX.0", welcher direkt vom TFTP-Server geladen werden kann und dann verschiedene Konfigurationsdateien auslesen kann. Entsprechend kann ein Administrator auch ohne Windows sehr elegant unterschiedliche Images vom Netzwerk starten.

PXE Remote

Wenn nun aber der PXE/RIS-Server in einem anderen Netzwerk steht, dann muss der Router die DHCP-Anfragen als "Forwarder" "weitergeben" oder ein DHCP-Relay Agent die Anfragen annehmen und verändert an einen DHCP-Server absenden. Die Antworten würden dann wieder an den Client zurück gesendet.

Allerdings muss der RIS-Client immer die Daten von RIS-DHCP-Server bekommen. Natürlich kann man auch in einem "normalen" DHCP-Server die Option für den Hostserver und das Bootfile (Option 67 = OSChooser\i386\startrom.com) setzen, allerdings startet dann RIS nur bis zur Anmeldung. Die Windows Komponente will dann nämlich die angegebenen Benutzerdaten vom Server prüfen lassen und spricht dazu den DHCP-Server über Port 4011 (BINLSVC) an. Ein anderer DHCP-Server kann darauf natürlich nicht antworten.

When the initial DHCP offer from the DHCP server contains these boot options, an attempt is made to connect to port 4011 on the DHCP server
Quelle: 259670 PXE clients computers do not start when you configure the Dynamic Host Configuration Protocol server to use options 60, 66, 67

Insofern muss der RIS-Server auch der Server sein, der auf die DHCP-Anfragen mit der Option zum Hostserver und Bootfilename antwortet.

Zusammenfassung

Ich bin ein Fan von RIS und ich kann ihnen nur nahe legen, diese Methode der Erstinstallation genauer zu betrachten. RIS ist eine Perle und dafür, dass RIS schon seit Windows 2000 Verfügbar ist, wird es noch viel zu selten eingesetzt. Zumal die nächste Version einer Verteilung von Microsoft schon verfügbar ist. Für Enterprise Kunden gibt es eine L��sung, basierend auf SQL und Multicast, um viele PCs wirklich gleichzeitig zu installieren. Aber dies sprengt die Grenzen dieser Webseite.

Unterstützung durch Net at Work:
Wenn Sie mehr als nur einen einfachen Windows RIS-Server für die Verteilung des Betriebssystems suche, oder z.B.: an der "Automatic deployment solution" von SMS interessiert sind oder etwas über die neuen Methoden zur Verteilung von Vista, dann fragen Sie uns. Wir helfen ihnen bei der Effektivierung ihres Client Rollouts.

Weitere Links

Übrigens wurde PXE (PreBoot Execution Environment) weder von Microsoft, Intel oder 3Com richtig erfunden. Die ersten Lösungen mit Bootroms und PXE kenne ich von LanWorks (wurden von 3Com gekauft). Daher finden sich auch viele andere Seiten anderer Hersteller mit eigenen PXE-Lösungen unter den Links.

Und es gibt weitere Systeme, die mitttels PXE-ROMs leistungsfähigere Lösungen bereitstellen.

Keywords:RIS Unattend Recovery Imaging