园区网远程安装操作系统技术研究

摘要：本文主要对PXE技术和Wds技术进行了研究，阐述了基于PXE和Wds技术的园区网远程安装操作系统的原理及其安全隐患控制措施，供相关读者参考。

关键词：PXE；Wds；远程安装；操作系统

1引言

当园区网计算机数量达到一定规模，为节省运维成本和进行软件定制化安装，操作系统远程安装势在必行。远程安装操作系统方式较多，PXE+Wds技术由于其支持无盘启动连接服务器，启动速度快，安装过程无需人工干预，支持多机并行安装等优点，较为适合园区网远程操作系统安装。

2PXE技术

PXE（PrebootexecutionEnvironment）被称为预启动执行环境，它提供了一种使用网络接口启动计算机的机制。这种机制让计算机的启动可以不依赖于本地存储设备或本地已安装的操作系统。PXE被设计成适合各种计算机体系和各种操作系统，包括Windows、Linux、Unix等。PXE最初是作为Intel的有线管理体系的一部分，Intel和Systemsoft于1999年9月20日公布其规格（版本2.1）。使用网际协议（IP）、用户数据报协议（UDP）、动态主机设定协议（DHCP）、小型文件传输协议（TFTP）等几种网络协议和全局唯一标识符（GUID）、通用网络驱动接口（UNDI）、通用唯一识别码（UUID）的概念，通过对客户机（通过PXE自检的电脑）固件扩展预设的API来实现预启动执行功能。客户机的固件为接受到可用的PXE启动服务器，要在网络中尝试找出PXE重定向服务（DHCP）。在分析返回的包后，固件会向合适的启动服务器询问网络自检程序（NBP）的路径，并且通过TFTP协议下载到电脑的内存中，有可能会去校验它，最后执行它。PXE被设计成适合各种计算机体系。2.1版的描述中确定了6种系统规格，包括IA-64和DECAlpha。但是只有IA-32的完全表述，Intel在IA-64的扩展固件接口中包括了PXE，落实了该标准。PXE协议虽大致上结合了DHCP和TFTP，但对两者都有改进。DHCP用于查找合适的启动服务器，TFTP用于下载初始引导程序和附件文件。为了开始一个PXE自检会话，PXE固件广播一个带有明确的PXE选项DHCPDISCOVER包（扩展DHCPDISCOVER）到67/UDP端口（DHCP服务器端口）。PXE选项是PXE固件有PXE能力鉴定，但是会被一般的DHCP服务忽略。当固件收到这样的DHCPOFFER服务包时，它会通过要求其提供配置信息来自我配置。和一个正在启动系统的启动服务联系必须有一个IP地址（可能来自DHCP服务）。通过多播或单播一个带有特殊的PXE选项的DHCPREQUEST包（扩展DHCPREQUEST包）到4011/UDP端口，或者广播（网络）这种包到67/UDP端口。这种包包含有PXE启动服务类型和PXE启动层，一个守护进程允许运行多个启动服务类型。一个扩展DHCPREQUEST包可能是一个DHCPINFORM包。PXE原理如图1所示。

3WDS技术

WDS是WindowsDeploymentServices的缩写，既Windows部署服务，可以使用Windows镜像文件（.wim）安装Windows操作系统。WDS一般部署在WindowsServer2008或WindowsServer2016操作系统之上，本文WDS部署环境选择WindowsServer2008。WDS的部署步骤如下：（1）安装ActiveDirectory活动目录。打开服务器管理器，选择添加角色。由于AD活动目录的特殊性，无法与其他服务一同配置，如果先配置了AD活动目录，则DNS服务只能在配置AD活动目录时由AD活动目录设置向导进行安装。安装ActiceDirectory域服务如图2所示。（2）安装WDS服务WDS服务器的作用是为需要安装操作系统的客户端提供PXE引导，并下发操作系统镜像文件。WDS服务器的安装如图3所示：（3）安装和配置DHCP服务客户端通过PXE启动后，需要通过网络加载WDS服务器的启动镜像文件，DHCP服务器的作用是为PXE启动的客户端分配IP地址。然后添加作用域，本文选择的DHCP地址池范围为：192.168.80.50/24——192.168.80.200/24。安装和配置DHCP服务如图4所示：（4）配置Windows部署服务配置Windows部署服务时选择响应所有客户端计算机（已知和未知），如果在该服务器上运行动态主机配置协议（DHCP），则需要同时选择“不侦听端口67”和“将DHCP选项标记#60配置为PXEClient”。如果在该服务器上运行非MicrosoftDHCP服务器，则选择“不侦听端口67”并手动配置DHCP。（5）Windows部署服务添加映像首先输入Windows安装文件所在的路径，创建一个名字为Win7的新映像组，检查高级选项卡中对DHCP授权的设置，将其设置为“是，我想在DHCP中授权Windows部署服务器”。Windows部署服务添加映像如图6所示：

4远程安装测试

WDS服务器安装配置完成后，可在园区网内选择一台客户端计算机进行远程安装操作系统测试，测试步骤如下：（1）将WDS服务器IP设置为192.168.80.1/24。（2）将测试用客户端计算机在园区网中的交换机端口配置为access模式，并将其划为与WDS服务器同一网段，即VLAN80。（3）在客户端计算机BIOS中设置网卡启动，设置成功后，重启并通过PXE自动连接Wds服务器（IP：192.168.80.1/24），连接成功后，给客户端计算机随机分配在DHCP服务端配置好的地址范围内的任一IP地址：192.168.80.50/24，界面如图7所示：

5结束语

在园区网内使用基于PXE+Wds技术的远程安装操作系统方法可以通过网络远程为用户安装操作系统，用户无需拔插主机的各种连接线缆，无需将主机箱搬至维修点，且可同时并行自动安装多台计算机，节约了系统管理员人力和时间，较大提高了工作效率。但是，由于需要使用DHCP和TFTP协议，存在一定的网络安全隐患，可以通过关闭交换机闲置端口和端口MAC地址绑定等访问控制措施将安全隐患控制在最小范围。

参考文献：

[1]谢希仁.计算机网络（第2版）.北京：电子工业出版社，1999.4.

[2]黄传河.网络规划设计师教程.北京：清华大学出版社，2009.6.

作者：杨冬武 徐俊恩 任永鹏 单位：中国航发湖南动力机械研究所