基于PXE 和Wds 的園區網遠程安裝操作系統技術研究

◆楊冬武 徐俊恩 任永鵬

（中國航發湖南動力機械研究所 湖南 412002）

1 引言

當園區網計算機數量達到一定規模，為節省運維成本和進行軟件定制化安裝，操作系統遠程安裝勢在必行。遠程安裝操作系統方式較多，PXE+Wds 技術由于其支持無盤啟動連接服務器，啟動速度快，安裝過程無需人工干預，支持多機并行安裝等優點，較為適合園區網遠程操作系統安裝。

2 PXE 技術

PXE（Preboot execution Environment）被稱為預啟動執行環境，它提供了一種使用網絡接口啟動計算機的機制。這種機制讓計算機的啟動可以不依賴于本地存儲設備或本地已安裝的操作系統。PXE 被設計成適合各種計算機體系和各種操作系統，包括Windows、Linux、Unix 等。

PXE 最初是作為Intel 的有線管理體系的一部分，Intel 和Systemsoft 于1999 年9 月20 日公布其規格（版本2.1）。使用網際協議（IP）、用戶數據報協議（UDP）、動態主機設定協議（DHCP）、小型文件傳輸協議（TFTP）等幾種網絡協議和全局唯一標識符（GUID）、通用網絡驅動接口（UNDI）、通用唯一識別碼（UUID）的概念，通過對客戶機（通過PXE 自檢的電腦）固件擴展預設的API來實現預啟動執行功能。

客戶機的固件為接受到可用的PXE 啟動服務器，要在網絡中嘗試找出PXE 重定向服務（DHCP 代理）。在分析返回的包后，固件會向合適的啟動服務器詢問網絡自檢程序（NBP）的路徑，并且通過TFTP 協議下載到電腦的內存中，有可能會去校驗它，最后執行它。

PXE 被設計成適合各種計算機體系。2.1 版的描述中確定了6 種系統規格，包括IA-64 和DEC Alpha。但是只有IA-32 的完全表述，Intel 在IA-64 的擴展固件接口中包括了PXE，落實了該標準。

PXE 協議雖大致上結合了DHCP 和TFTP，但對兩者都有改進。DHCP 用于查找合適的啟動服務器，TFTP 用于下載初始引導程序和附件文件。為了開始一個PXE 自檢會話，PXE 固件廣播一個帶有明確的PXE 選項DHCPDISCOVER 包（擴展DHCPDISCOVER）到67/UDP 端口（DHCP 服務器端口）。PXE 選項是PXE 固件有PXE 能力鑒定，但是會被一般的DHCP 服務忽略。當固件收到這樣的DHCPOFFER 服務包時，它會通過要求其提供配置信息來自我配置。

和一個正在啟動系統的啟動服務聯系必須有一個IP 地址（可能來自DHCP 服務）。通過多播或單播一個帶有特殊的PXE 選項的DHCPREQUEST 包（擴展DHCPREQUEST 包）到4011/UDP 端口，或者廣播（網絡）這種包到67/UDP 端口。這種包包含有PXE 啟動服務類型和PXE 啟動層，一個守護進程允許運行多個啟動服務類型。一個擴展DHCPREQUEST 包可能是一個DHCPINFORM 包。PXE 原理如圖1 所示。

圖1 PXE 原理圖

3 WDS 技術

WDS 是Windows Deployment Services 的縮寫，既Windows 部署服務，可以使用Windows 鏡像文件（.wim）安裝Windows 操作系統。WDS 一般部署在Windows Server 2008 或Windows Server 2016 操作系統之上，本文WDS 部署環境選擇Windows Server 2008。

WDS 的部署步驟如下：

（1）安裝Active Directory 活動目錄。

打開服務器管理器，選擇添加角色。由于AD 活動目錄的特殊性，無法與其他服務一同配置，如果先配置了AD 活動目錄，則DNS 服務只能在配置AD 活動目錄時由AD 活動目錄設置向導進行安裝。

安裝Actice Directory 域服務如圖2 所示。

圖2 安裝Actice Directory 域服務

WDS服務器的作用是為需要安裝操作系統的客戶端提供PXE引導，并下發操作系統鏡像文件。WDS 服務器的安裝如圖3 所示：

圖3 安裝WDS 服務

客戶端通過PXE 啟動后，需要通過網絡加載WDS 服務器的啟動鏡像文件，DHCP 服務器的作用是為PXE 啟動的客戶端分配IP 地址。然后添加作用域，本文選擇的 DHCP 地址池范圍為：192.168.80.50/24——192.168.80.200/24。安裝和配置DHCP 服務如圖4 所示：

圖4 安裝和配置DHCP 服務

（2）安裝WDS 服務

（3）安裝和配置DHCP 服務

（4）配置Windows 部署服務

配置Windows 部署服務時選擇響應所有客戶端計算機（已知和未知），如果在該服務器上運行動態主機配置協議（DHCP），則需要同時選擇“不偵聽端口 67”和“將 DHCP 選項標記#60 配置為PXEClient”。如果在該服務器上運行非Microsoft DHCP 服務器，則選擇“不偵聽端口67”并手動配置DHCP。

配置Windows 部署服務如圖5 所示：

圖5 配置Windows 部署服務

（5）Windows 部署服務添加映像

首先輸入Windows 安裝文件所在的路徑，創建一個名字為Win7的新映像組，檢查高級選項卡中對DHCP 授權的設置，將其設置為“是，我想在DHCP 中授權Windows 部署服務器”。Windows 部署服務添加映像如圖6 所示：

圖6 配置Windows 部署服務

4 遠程安裝測試

WDS 服務器安裝配置完成后，可在園區網內選擇一臺客戶端計算機進行遠程安裝操作系統測試，測試步驟如下：

（1）將WDS 服務器IP 設置為192.168.80.1/24。

（2）將測試用客戶端計算機在園區網中的交換機端口配置為access 模式，并將其劃為與WDS 服務器同一網段，即VLAN 80。

（3）在客戶端計算機BIOS 中設置網卡啟動，設置成功后，重啟并通過PXE 自動連接Wds 服務器（IP：192.168.80.1/24），連接成功后，給客戶端計算機隨機分配在DHCP 服務端配置好的地址范圍內的任一IP 地址：192.168.80.50/24，界面如圖7 所示：

（4）客戶端從WDS 服務器下載win7 操作系統安裝程序并進行程序安裝，如圖8 所示：

圖8 Win7 安裝程序啟動安裝

（5）操作系統安裝完成后，將交換機端口和計算機BIOS 啟動設置還原。

5 結束語

在園區網內使用基于PXE+Wds 技術的遠程安裝操作系統方法可以通過網絡遠程為用戶安裝操作系統，用戶無需拔插主機的各種連接線纜，無需將主機箱搬至維修點，且可同時并行自動安裝多臺計算機，節約了系統管理員人力和時間，較大提高了工作效率。但是，由于需要使用DHCP 和TFTP 協議，存在一定的網絡安全隱患，可以通過關閉交換機閑置端口和端口MAC 地址綁定等訪問控制措施將安全隱患控制在最小范圍。