maslinaV

Подведу некий итог, того, что пришлось проверить при настройке WDS.
Имеется 3 Контроллера домена в разных подсетях (совмещают DHCP,DNS),6 подсетях и WDS и клиенты в разных подсетях.
Все это в виртуальной среде
Маршрутизатор pfsence

Вопросы:
1. Поделитесь опытом настройки IP helper на маршрутизаторах, если кто знаком с Mikrotic Router (интересует особенно).
Имеется ввиду настройка маршрута на пересылку DHCP-трафика к DHCP-серверу на удаленной подсети.
IP-адреса DHCP-серверов устанавливаются в маршрутизаторе для каждого интерфейса с помощью модуля поддержки IP (IP helper) или с помощью агента DHCP-ретрансляции ( на pfsence это не помогло и пришлось дополнять параметром 43)
2. Что же такое параметр 43 - (нашел версию объяснений от Cisco но не понял), может кто-то пояснит почему же так только работает WDS (имеется ввиду случай когда клиенты, DHCP и WDS в разных подсетях)
3. Неудобно менять параметр 67 - для разных типов BIOS, как это можно обойти ( только если не использовать этот параметр на DHCP, а настроить все на маршрутизаторе ?
- Кто имеет опыт - поделитесь)

Для корректной работы необходимо настроить следующее:

1. Настроить параметры области DHCP сервера (глобальные)

Параметры:

004 – Сервер времени
006 – DNS-серверы
015 – DNS-имя домена
043 – Сведения о конкретном поставщике
066 – Имя узла сервера загрузки (можно указать IP ад
рес сервера WDS)
Параметр 043 – Сведения о конкретном по-ставщике

Цитата

...Мы уверены, что мы теряем функциональность, указывая праметр 43.
Наша программа установки запускает TFTP сразу после первой транзакции DHCP - пропуская query/ACK. (это – то, что выполняет параметр DHCP - 43). Похоже, что query/ACK DHCP, который мы пропускаем может быть пакетом, который сообщает серверу WDS какой архитектуры клиент работает (x86, x 64, ia64)…


Цитата Сisco

http://www.cisco.com/cisco/web/suppo...option-43.html

2. Настроить параметры области DHCP сервера (области)

Параметры:

003 - Маршрутизатор
026 – Широковещательный адрес
067 – Имя файла загрузки

Boot\x64\wdsnbp.com и Boot\x86\wdsnbp.com – для устройств на ос-нове BIOS.

Boot\x64\wdsmgfw.efi и Boot\x86\wdsmgfw.efi – для устройств на основе UEFI.

3. Настроить на маршрутизаторе TFTP helper

Пример на pfsence

4. Настройка IP helper (рекомендация Microsoft)

Если между DHCP-клиентом и DHCP-сервером расположен маршрутизатор, то он должен быть настроен на пересылку DHCP-трафика к DHCP-серверу на удаленной подсети. Этот трафик состоит из пакетов, а маршрутизаторы, как правило, необходимо специально настроить для пересылки пакетов.
В любом случае маршрутизатор необходимо настроить на пересылку DHCP-трафика к определенным DHCP-серверам.
IP-адреса DHCP-серверов устанавливаются в маршрутизаторе для каждого интерфейса с помощью модуля поддержки IP (IP helper) или с помощью агента DHCP-ретрансляции.

Ниже приведена настройка с помощью модуля поддержки IP (IP helper).


ip forward-protocol udp
!
interface ethernet 1
ip address 10.3.0.1 255.255.0.0
ip helper-address 10.2.0.2

Стандартная настройка DHCP-relay в pfsence ничего не дала.
Пришлось использовать параметр 43 на сервере DHCP

5. Этот способ корпорация Майкрософт не рекомендует использовать по следующим причинам (Исполь-зование параметров DHCP 60, 66 и 67):

• Использование параметров DHCP менее надежно, чем настройка маршрутизатора. При тестировании клиенты неверно анализировали параметры DHCP, возвращаемые с DHCP-серверов, и в результате получали сообщение об ошибке TFTP. Обычно эта проблема возникает, когда ПЗУ PXE игнорирует имя узла сервера загрузки и пытается загрузить программу сетевой загрузки непосредственно с DHCP-сервера.
• Если имеется несколько серверов служб развертывания Windows, доступных для запросов клиентов служб, указание конкретного сервера может помешать балансировке нагрузки. Напротив, использование таблиц переадресации маршрутизатора позволяет направлять запросы на несколько серверов.
• Клиенты могут направляться на недоступный сервер служб развертывания Windows. Поскольку клиенты не связываются с сервером служб развертывания Windows напрямую, чтобы определить загружаемую программу сетевой загрузки, DHCP-сервер может направить клиенты для загрузки несуществующей программы сетевой загрузки или на сервер, который в данный момент недоступен.
Клиенты могут игнорировать параметры ответов сервера служб развертывания Windows.


6. Настройка маршрутизатора на переадресацию широ-ковещательных пакетов (рекомендуется)(Microsoft)

Можно обновить таблицы маршрутизации для своего сетевого оборудования, чтобы обеспечить правильное направление трафика DHCP.
Например, если имеется маршрутизатор Cisco, можно использовать команду ip helper-address. При правильной настройке все широкове-щательные пакеты DHCP с клиентского компьютера будут направляться на DHCP-сервер и сервер служб развертывания Windows. (Следует помнить, что требование заключается не в перенаправлении пакета в другие сегменты сети, а в направлении пакета только указанным по-лучателям.)
Если загружающийся клиент, DHCP-сервер и сервер служб развертывания Windows находятся в одном сегменте сети, нет необходимости настраивать маршрутизатор. Широковещательные пакеты DHCP клиента будут попадать на DHCP-сервер и сервер служб развертывания Windows.

Подтверждаю никакаких из этих праметров не указывал и все работало,при этом файл загрузки автоматически выбирался в соответсвии с версией Bios: BIOS или UEFI

После того как клиентский компьютер получит свой IP-адрес, он связывается с сервером служб развертывания Windows напрямую (снова используя DHCP-пакеты), чтобы получить имя и путь к загружаемой программе сетевой загрузки.
Ниже перечислены конкретные изменения, которые необходимо внести.

• Все широковещательные пакеты DHCP клиентского компьютера на UDP-порте 67 должны направляться прямо на DHCP-сервер и на сервер служб развертывания Windows.
• Если маршрутизатор имеет встроенный брандмауэр, необходимо разрешить трафик через UDP-порт 4011 (а также любые UDP-порты, используемые для TFTP и многоадресных рассылок, как указано на вкладке Параметры сети окна свойств сервера в оснастке консоли управления (MMC) «Службы развертывания Windows»).

7. Включение DHCP-авторизации сервера WDS.

По умолчанию службы развертывания Windows не нужно авторизовать для обслуживания клиентских компьютеров. Однако можно включить DHCP-авторизацию (также известную как обнаружение посторонних подключений).

Это может потребоваться по следующим причинам:

• Предотвращение неправильной настройки сервера в сети. Для этого можно требовать, чтобы только авторизованные серверы могли обслуживать клиенты. Это нельзя считать полноценным механизмом обеспечения безопасности, но таким образом можно гарантировать, что неутвержденный сервер не будет обслуживать клиенты. Более того, DHCP-авторизация применяется только к компьютерам, присоединенным к структуре доменных служб Active Directory в корпоративной сети.

Например, если в корпорации есть лес, пользователь-злоумышленник может подключить компьютер к корпоративной сети, установить Windows Server® 2008, выполнить команду Dcpromo, создать лес, установить службы развертывания Windows, а затем авторизовать их.

• Обеспечение соответствия политике ИТ-отдела, предусматривающей использование для одновременного прослушивания сервера служб развертывания Windows и DHCP только авторизованных серверов.

Проверки авторизации выполняются, только если они включены и на сервере служб развертывания Windows настроено ожидание передачи данных на порту 67.
Это означает, что проверки авторизации выполняются только в сценариях, в которых службы развертывания Windows работают на компьютере без DHCP-сервера.

Если службы развертывания Windows и DHCP-сервер работают на одном физическом компьютере, DHCP-сервер ожидает передачи данных на порту 67 и несет ответственность за надлежащую авторизацию.

Обратите внимание, что сервер служб развертывания Windows не выполняет дополнительных проверок. Чтобы включить эту авторизацию, выполните команду

WDSUTIL /Set-Server /RogueDetection:Yes.


8. Настройка статических контроллеров домена и серверов глобального каталога

В некоторых случаях может потребоваться определить контроллер домена и сервер глобального каталога для использования службами развертывания Windows. Это можно сделать на вкладке Дополнительно окна свойств сервера (в оснастке MMC щелкните сервер правой кнопкой мыши и выберите Свойства).

Например, это может потребоваться в следующих ситуациях:

• Требуется управлять задержкой репликации. Если вносятся изменения в конкретный объект компьютера (например, при выпол-нении команды
WDSUTIL /Set-Device /Device:<имя> /ReferralServer:<имя сервера>)
, может потребоваться, чтобы службы развертывания Windows немедленно приняли изменения.

• На сайте AD DS со службами развертывания Windows отсутствует контроллер домена и глобальный каталог. Использовать такую конфигурацию не рекомендуется. Однако в этом случае может потребоваться управление контроллером домена и глобальным каталогом, которые используются службами развертывания Windows, вместо того чтобы полагаться на поведение по умолчанию.
• Необходимость разрешить проблему.
Например, если у служб развертывания Windows возникают проблемы при доступе к службам AD DS, можно использовать эту настройку, чтобы изолировать проблему для конкретного контроллера домена или глобального каталога.

Один из существенных недостатков статического сопоставления этих серверов проявляется при отказе контроллера домена или глобально-го каталога. Если статически указать службам развертывания Windows использовать контроллер домена, а этот контроллер домена отключится, службы развертывания Windows потеряют доступ к службам контроллера домена и прекратят обслуживать запросы клиентов.
Эта проблема не устранится (даже после перезагрузки служб раз-вертывания Windows), пока контроллер домена снова не вернется в сеть.

Подтверждаю, так как если указан только один КД, то если он будет выключен,будет выдана ошибка и клиент не сможет получить образ для развертывания

9. Предотвращение циклической загрузки

При реализации полностью автоматизированной загрузки из сети часто необходимо задать сеть в качестве первого элемента в порядке загрузки в BIOS клиента и выполнить настройку клиентов на сетевую загрузку, не требующую нажатия клавиши F12.
Если объединить эти две конфигурации, клиент будет автоматически загружаться из сети, не требуя вмешательства пользователя, а компьютер окажется в состоянии замкнутого цикла (он всегда загружается из сети и никогда с жесткого диска). Ниже приводятся рекомендации, позволяющие избежать циклической загрузки.

• Всегда настраивайте жесткий диск с приоритетом более высоким, чем у сети. Чтобы разрешить компьютеру, уже имеющему установленную операционную систему, автоматически загружать-ся из сети (например, при переоснащении компьютера), отключите все активные разделы перед перезагрузкой компьютера, чтобы инициировать сетевую загрузку.

• Измените настройку клиентов, которые были загружены для выполнения установки, не требующей нажатия клавиши F12, так, чтобы требовалось нажимать эту клавишу при следующих загрузках. Для этого выполните команду

wdsutil /set-server /resetbootprogram

• (Только для Windows Server 2008) Для неизвестных компьюте-ров, которые настроены на загрузку из сети перед загрузкой с жесткого диска, установите для сервера использование программы сетевой загрузки *.com по умолчанию и выполните команду

WDSUTIL /Set-Server /AllowN12ForNewClients:Yes

Это предотвратит циклическую загрузку, если загружающийся клиент выполняет установку операционной системы с помощью служб развертывания Windows, а компьютер клиента настроен на присоединение к домену (это настройка по умолчанию).
Чтобы задать программу сетевой загрузки по умолчанию, щелкните правой кнопкой мыши сервер в оснастке консоли управления (MMC) «Службы развертывания Windows», выберите Свойства и на вкладке Загрузка вставьте путь к программе се-тевой загрузки, которую требуется использовать для каждой архитектуры.

10. Автоматизация выбора образа загрузки

В службах развертывания Windows отображается меню, позволяющее пользователям выбрать образ загрузки. Это меню всегда автоматизировано и при наличии нескольких образов загрузки один из них будет по умолчанию выбран по истечении времени ожидания (это настраивается с помощью Bcdedit).
Однако если для компьютера клиента доступен только один образ загрузки, он будет выбран немедленно. Поскольку выбор в меню загрузки не требует действий пользователя, единственной задачей настройки, которую необходимо выполнить, является указание клиентам правильного образа загрузки.

Сделать это можно двумя способами:

• Настройте образ загрузки по умолчанию на сервере (на вкладке Загрузка окна свойств сервера). Эта настройка применяется ко всем клиентам конкретной архитектуры (как к предварительно настроенным компьютерам, так и к неизвестным), которые подключаются к серверу.
•


• Настройте образ загрузки по умолчанию для предварительно настроенного компьютера, выполнив команду

WDSUTIL /Set-Device /Device:<имя> /BootImagePath:<путь>

, где <путь> представляет относительный путь к папке RemoteInstall.


делитесь своим опытом, по возможности