Windows 7 Behind the scene: Utrulling

Manglende utrullingsløsning for operativsystemer medfører fører unødvendig lang tid ved utrulling av nye operativ systemer som Windows 7 og fører til høyere kostnader. Både kostnaden med selve utrullingen og tapt produktivitet er viktige faktorer her. En annen viktig grunn for å ha en utrullings løsning er support. Har man en god løsning som sørger for automatisk installasjon av operativ system og applikasjoner, som samtidig tar vare på bruker data, er det mye lettere å reinstallere maskiner når man ikke fort finner feilen.

Firmaer med gode utrullingsløsninger har ofte satt en tidsgrense på hvor lenge man skal feilsøke en maskin før den blir reinstallert. Er faringsmessig ser vi at problemer kan legges i to kategorier; lett løste som man fikser fort og vanskelige som krever lenger tid. Ofte ser vi også at de problemene som tar lang tid gjerne må reinstalleres tilslutt. Har man ikke løst problemet på 15-20 minutter så er det trolig mer effektivt å reinstallere maskinen. En reinstallasjon vil normalt sett ta fra 20-60 minutter, og brukeren vil da normalt sett ikke ha mer enn 1 time nede tid. Trege maskiner er også en tids tyv som tar mye produktivitet fra brukerne og skaper mye frustrasjon. Trege maskiner er ofte en nedprioritert sak hos IT- avdelingen for de vet at det som oftest krever en reinstallasjon for å fikse det og med manuelt arbeid så tar det ofte 4-5 timer å sette opp maskinen manuelt.

Vi skal i denne artikkelen se på noen av de mulighetene som finnes for å effektivisere utrullings- prosessen og det beste av alt, mye er gratis. Vi har muligheten til bruke gratis verktøy som MDT og Waik, eller bruke løsningen som er integrert i Windows server, WDS (Windows Deployment Services). Selvfølgelig kan det hende at man trenger mer muligheter enn det man får i disse verktøyene og da har man Microsoft sin System Center Configuration Manager løsning. Microsoft har også gratis verktøy for å sette i gang planlegging av en oppgradering.

Oversikt

Før man setter i gang med å rulle ut et nytt operativ system trenger man å samle inn informasjon om hvordan dagens situasjon er. Oversikten er viktig slik at vi tar de riktige valgene når det kommer til hardware oppgraderinger, applikasjons tilpassninger og utrullings metode. Vi kan dele informasjonen i tre deler:hardware, applikasjoner og infrastruktur.

1. Hardware: mange har alt oversikt over hardwaren sin, men selv om du vet hvor mye minne som er installert, hvor stor disken er og om cpu er god nok, så mangler det en del info som kan være nyttig. Til dette har Microsoft et gratis verktøy, MAP (Microsoft Assessment and Planning Toolkit), som kan lastes ned og leses mer om her: http://technet.microsoft.com/en-us/solutionaccelerators/dd537566.aspx

Fordelene med å bruke MAP er mange, blant annet kan vi få generert gode rapporter, både i form av Excel ark til IT-avdelings bruk og Word dokument med anbefalinger for ikke IT-avdelings personer. Men den største styrken er at MAP også sjekker om hardwaren har windows 7 drivere (på dvd, Windows update eller tredjeparts leverandør), trenger bios oppdateringer og eventuelt hvilke hardware komponenter som må oppgraderes på de forskjellige maskinene. MAP kan også brukes til mye mer, blant annet strøm sparing oversikt, virtualiserings kandidater og server oppgraderinger.

2. Applikasjoner: Applikasjons kompatibilitet er den viktigste faktoren for å kunne rulle ut et nytt operativsystem: virker ikke kritiske applikasjoner så kan man ikke oppgradere. Derfor er det viktig å få en fullgod oversikt over alle applikasjoner i bruk, og ikke minst verktøy for å løse eventuelle ukompatible applikasjoner. ACT (Application Compatibility Toolkit) er Microsoft sitt verktøy for dette. ACT kan lastes ned og leses mer om her: http://technet.microsoft.com/en-us/windows/aa905066.aspx

ACT består av flere verktøy, hvor de viktigste i denne sammenheng er “Application compatibility manager”, “Compatibility Administrator” og “Standard User Analyser”.

- “Application compatibility manager” er verktøyet for samle inn informasjon fra pc’er og sjekke resultatet mot online databaser. I online databasen ligger det informasjon fra produsent, Microsoft og “community” som er tilbake meldinger fra andre brukere av ACT. Verktøyet brukes også videre i applikasjons kompatibilitets perioden.

- “Compatibility Administrator” er et verktøy vi bruker for å lage shims og shims databaser. En shim er et lag som ligger seg mellom applikasjonen og operativsystemet, der kan den ta imot forespørsler og sørge for at applikasjonen får svar tilbake. Enkle shimer kan være at man må “lyve” til applikasjonen og si at maskinen kjører Windows XP isteden for Windows 7. Dette kan jo settes på snarveien som starter applikasjonen, men denne måten er ikke effektiv når det gjelder flere brukere og/eller programmer. Andre shims lar applikasjonen tro at den skrive til beskyttede filer, f.eks. Windows katalogen. Det finnes mer enn 6000 ferdige shims i ACT allerede, i tillegg til 59 kompatibilitets modes og 365 kompatibilitets fikser for å lage egne shims.

- “Standard User Analyzer”er verktøyet for å finne LUA feil (Least-Privilege User Account). LUA feil er i grove trekk applikasjoner som krever mer rettigheter enn det enn vanlig bruker har. En applikasjon laget for standard brukere skal aldri gjøre endringer på andre brukeres data eller Windows filer. Dessverre har man i Windows verden bare løst disse typene problemer med å melde brukerne inn grupper med høyere rettigheter isteden for å få problemet fikset på riktig måte. Det er flere måter å løse LUA feil på, men det er aldri en god løsning å øke brukerens rettigheter da dette gir økt sikkerhets risiko. UAC (User Acces Control) er ofte et resultat av applikasjoner med LUA feil. Litt mer info rundt LUA feil finnes her:

http://technet.microsoft.com/en-us/magazine/cc160944.aspx

Lua Buglight er et annet program som kan være bedre å bruke og dette finner du her:

http://blogs.msdn.com/aaron_margosis/archive/2006/08/07/LuaBuglight.aspx

3. Infrastruktur: For å velge riktig utrullings løsning og sette den opp riktig, må man ha oversikt over hvordan infrastrukturen ser ut. Har man én lokasjon, med ett broadcast domene så er det lett, men med en gang man skal ha flere lokasjoner må man ta høyde for flere ting. Spørsmål man bør stille seg her inkluderer:

- Har alle lokasjoner server(e)?

- Er det god båndbredde mellom lokasjonene?

- Er det IT personell på flere/alle lokasjoner?

- Er det forskjellige krav på forskjellige lokasjoner?

Bruker man PXE tjenester så er det viktig å være klar over at det kan være behov for endringer på kommunikasjonsustyr også, f.eks. IPHelpers eller åpning av porter. Det kan også hende at oppgradering av firmware o.l. er nødvendig, men ingen av løsningene diskutert her krever andre ting enn helt standard funksjoner på utstyret.

Har man oversikten på plass kan det være på tide å gå over i planleggings fasen. Ting som ACT og applikasjonstilpassninger kan ta tid, så disse må ikke nødvendigvis være på plass før man går videre til neste fase for der er infrastruktur informasjonen viktigere.

Valg av løsning

Hvilke løsning man velger har mange faktorer, denne oversikten hos Microsoft sin Technet side kan hjelpe litt i valget. http://technet.microsoft.com/en-us/library/dd919185(WS.10).aspx

Dette er bare et eksempel på en måte å tenke på, så ikke tenk på antall brukere da dette nødvendig ikke passer inn i hva som er best i ditt miljø. Kompleksitet, lokasjoner og tilgang på IT resursser er normalt sett viktigere faktorer enn antall brukere.

Vi har 3 hovedløsninger å velge mellom delt inn i 2 grupper ”Lite touch” og “Zero touch”. Med “Lite touch” skal brukerne (eller noen ved maskinen) utføre noen ting på maskinen og kanskje foreta noen valg. Den mest optimaliserte versjonen av “Lite touch” krever gjerne bare et trykk på “F12” knappen for å sette i gang installasjonen. “Zero touch” er en løsning hvor brukerne ikke behøver å gjøre noe på maskinen sin for at en installasjon skal sette i gang. Alt styres fra et sentral konsoll .

De tre løsningen vi har er WDS (Windows Deployment Services), MDT (Microsoft Deployment Toolkit) og Sccm (System Center Configuration Manager).

1. WDS er en “Lite Touch” løsning hvis vi kombinerer den med unattended filer. Fra Windows server 2003 med service pack 2 ble RIS (Remote installation Services) byttet /oppgradert til WDS. Så hvis du har en Windows server koster ikke WDS noe ekstra. En av de største nyhetene i Windows Server 2008 R2 er at man har fått mulighet til å inkludere drivere i prosessen til WDS. WDS kan brukes til å rulle ut et Windows image (fra Windows Vista kommer installasjonen av Windows fra et image, eller klone en maskinen til et image (husk sysprep først!). Enn annen kul funksjon i WDS, som vi ikke vill gå inn på detaljer her, er muligheten til å starte en maskin med et WinPE image med verktøy som f.eks. antivirus eller hardware diagnostikk, i MDOP (Microsoft Desktop Optimization Pack) har man en løsning som heter Microsoft Diagnostics and Recovery Toolset (DaRT) hvor man kan generere enn boot cd med masse gode verktøy.. En av fordelene med denne løsningen i forhold til andre løsninger er at man kan koble seg opp mot den lokalt installerte Windows og lese eventloggene, sjekke services og endre/lese registeret. Det er også antivirus løsning her og enn del verktøy for å løse boot problemer.

WDS kan rulle ut både tynne og tykke image. Et tynt image er det imaget som ligger på Windows DVD platen, med andre ord enn ren installasjon identisk med å kjøre setup fra DVD platen. Et tykt image er en maskin hvor vi også har integrert applikasjoner o.l. også klonet maskinen til en image fil. I enkle løsninger er ofte et tykt image en rask måte å få en komplett maskin klar til brukt, men det blir fort tungvint å administrere tykke imager, spesielt hvis man har behov for flere imager. Tynne imager er uten applikasjoner så da må de installeres i etterkant, dette medfører gjerne at installasjonen tar lengre tid, men det er da også mer fleksibelt hvilke applikasjoner som skal inn på de enkelt maskinene. WDS kan ikke rulle ut applikasjoner.

2. MDT er en “Lite touch” løsning (selv om tilpassninger kan gjøre den til “Zero touch”). Det er ingen “leverings” mekanisme i MDT, men man kan bruke WDS for det. MDT er en gratis løsning som kan lastes ned og leses mer om her:

http://technet.microsoft.com/en-us/solutionaccelerators/dd407791.aspx

MDT består av dokumenter og script, og kan kjøres fra en klient Windows maskin, eller et share på en server. Har man en mer avansert løsning med flere lokasjoner kan man replisere oppsettet fra hovedlokasjonen til flere lokasjoner og filene som må endres for å tilpasse seg de andre lokasjonene vil automatisk bli endret. Det er disse scriptene som optimaliserer og forenkler installasjonsprosessen, selv om det meste kan gjøres i enn WDS løsning så slipper man her å bruke mye tid på å finne opp kruttet på nytt. En fordel med MDT er at den også kan gi brukerne en liste over tilgjengelige applikasjoner og la brukerne velge hvilke som skal installeres under prosessen i tillegg til at vi kan legge til obligatoriske applikasjoner automatisk. MDT kan i tillegg til å inkludere drivere også installere Windows oppdateringer og språkpakker (ikke Service Packs). Man kan også generere usb/dvd media av konfigurasjonene man har laget slik at man foreta en offline installasjon, for mindre sammenhenger kan dette være en grei måtte å oppgradere (f.eks. hjemme brukere eller kontorer uten servere).

3. Sccm er en “Zero touch” løsning. Denne bruker også WDS som “leverings”-mekanisme og man kan integrere MDT slik at man kan bruke script fra MDT i sccm oppgaver. Sccm er et produkt med mange funksjoner, men vi vil bare se på to funksjoner, OS deployment og applikasjonsutrulling. Man kan bruke sccm til å rulle ut oppdateringer (ikke bare Microsoft), sjekke at maskiner i nettet har ønsket konfigurasjon, asset inventory og i den kommende versjonen R3 er strømstyring høyt fokusert.

Med Sccm kan vi lage collection (samling av maskiner eller brukere) som vi kan bruke for å lage regler på hva som skal være installert på de forskjellige maskinene. Vi kan rulle ut tykke eller tynne imager og maskin/bruker konto avgjør således hvordan installasjonen skal være og hvilke applikasjoner som skal installeres. En stor fordel her er at hvis maskinen blir reinstallert vil den automatisk bli satt opp med riktige applikasjoner. I motsetning til MDT vil vi ha en klient installert på alle maskiner, dette medfører også at man kan bruke bits teknologi på å overføre applikasjoner fra sccm server til klienten, dette hindrer overbelastning av nettverket (tilpasser seg båndbredde forbruk og har resume funksjon). Sccm kan skaleres opp til store miljøer med mange site eller en enkel site. En site kan også ha distribusjonspunkter på andre lokasjoner som sørger for at filer som skal installeres ligger i samme lokasjon som brukerne. I motsetning til MDT så er ikke Sccm gratis, men for de som har en “enterprise” avtale med Microsoft så trenger de kun å kjøpe server lisens siden client lisensen normalt ligger i “enterprise” avtalen. Distribusjons punkter og secondary sites krever ikke egne sccm lisens.

Pilot fasen

Pilotfasen er normalt delt i to eller flere deler. Applikasjonstesting er viktig, i denne fasen er det viktig at man tar med seg riktige brukere, slik at man får testet alle funksjonene i applikasjonene som blir brukt. En stor feil er at IT personell tester ut applikasjoner, hvis de ikke jobber dypt med en applikasjon er de ofte ikke klar over hvilke deler av applikasjonene som blir brukt og må testes. En stor variasjon av brukere er også med på å gi oss en bedre oversikt over hva vi bør ta med i en opplæringsløsning for brukerne.

Har man flere lokasjoner vil testing av selve utrullings løsningen også være et stort punkt, men selv de med en lokasjon må sørge for å sjekke at utrulling fungerer med alle funksjoner man ønsker. Spesielt viktig er det at drivere og andre hardware relaterte tilpassninger blir testet ut, helst mot alle typer maskiner vi har, men som et minimum mot de vi har flest av. Applikasjonspakken vi bruker må også testes for å se om de virker som forventet. En godt gjennomført pilotfase vil sørge for at selve utrullingsprosessen foregår mest mulig effektiv og feilfri.

Utrullings fasen

Har man gjort alt riktig i de tidligere fasene bør denne biten gå smertefritt, men erfaring tilsier at bør man regne med at det blir den del tilpassninger underveis, blant annet med drivere som skal integreres eller rutere/firewaller som blokkerer trafikk mellom siter. Selv om man har utført gode pilotprosjekter kan det være ting man ikke har tatt høyde for, og de vil fort vise seg i denne fasen.

En oppdeling av maskinene som skal rulles i grupper slik at man ikke tar for mange av gangen er fornuftig hvis man har mange maskiner. Det er også mulig å rulle ut ved hjelp av multicast for å begrense påvirkningen til nettverket i denne prosessen, denne funksjonen er i til stedet i alle tre av Microsoft sine løsninger, og er relativt enkelt å sette opp.

Selve utrullingfasen er en konstant fase, utrulling er jo noe vi foretar av forskjellige grunner (problemløsning, treige maskiner o.l.) i den vanlige driftsfasen også. Men det er selvfølgelig en løsning som krever justeringer over tid. De normale justeringene er støtte for nye drivere, nye applikasjoner og ikke minst oppdateringer av imagene vi ruller ut.

Selv om vi gjerne har gode løsninger for “patch management” som Wsus (Windows Server update services) eller Sccm ønsker vi at imagene som blir rullet ut ikke skal bruke for lang tid på å bli totalt oppdatert med alle oppdateringer fra “Windows update”. MDT og Sccm kan “patche” enn maskin i selve utrulling perioden (WDS kan ikke dette), men med mange oppdateringer så vil installasjontiden øke tilsvarende. Er oppdateringene allerede på plass i imaget så går det fortere, vi har to måter å gjøre dette på. Første måten er å bruke verktøy som “Dism” til å sprøyte oppdateringene inn selve imaget i offline modus, den andre er å lage et nytt image. Å lage et nytt image er gjerne den foretrukne metoden, spesielt siden vi da også får mulighet til å installere oppdateringer som ikke er support av Dism. Både MDT og Sccm kan automatisere prosessen med å lage nye image.

Oppsummering

Som man ser av mulighetene kan man få på plass en løsning som dekker de fleste behov og alle prisklasser. Hvilkne løsning man velger er avhengig av flere faktorer, men en stor fordel er at det er lett å begynne i det små med WDS også ta skrittet videre til neste løsning enten det er MDT eller Sccm, WDS er uansett en underliggende komponent i både MDT og Sccm. Imagene man lager kan også brukes på WDS, MDT og Sccm uansett hvor de ble opprettet.

Så med alle fordelene og besparelsene man har med utrullingsløsning så bør dette tas i brukt i alle firmaer, selv små firmaer med 4-5 brukere vil se nytten av WDS. Sette opp grunnfunksjonen i WDS tar mindre tid enn å reinstallere en maskin, og man slipper å gå rundt med DVD plater neste gang man skal reinstallere eller installere en maskin, man trykker rett og slett bare F12.