虛擬世界無處不在 如何在其中部署 Windows
虛擬計算無處不在。如果您尚未利用此功能,以后應該注意利用它。虛擬化主要通過創建自身的硬件抽象層、允許在主機系統間移動一個或多個來賓系統(如 Windows Server 或 Windows 客戶端操作系統)來減少硬件依賴性。
當然,虛擬化與仿真不同,因為它并不模仿來賓處理器。在某種程度上,它只是表示來賓系統可訪問的主機系統資源。所以,主機系統對于來賓而言是通用的。一般情況下,您可將虛擬來賓從某個 OEM 構建的系統移動到另一個 OEM 構建的系統,主機硬件一般不會影響該過程的正常進行。不過,要注意一些事項。例如,如果將來賓從使用某個 CPU 供應商(如 AMD)的處理器的硬件移動到使用其他 CPU 供應商(如 Intel)的處理器的硬件,可能會遇到問題(取決于使用的虛擬化技術)。這是因為虛擬計算技術只在主機和來賓間來回傳遞信息,它并不為來賓模擬具體 CPU(例如,像基于 PowerPC 的舊式 Macintosh 上運行的 Microsoft® Virtual PC 那樣)。
但是,虛擬化可為來賓模擬主要的硬件組件。這大多只限于網絡連接、視頻(通常是限制非常嚴格的設備,不具有高級模擬的 GPU)以及大容量存儲。這些復合內容全憑向來賓展示一種或多種類型的軟件模擬設備來發揮作用。如果您閱讀我的專欄已有一段時間,現在您會發現這其實與 Windows® PE 所關注的設備列表相同。在虛擬化中,這些設備與使 Windows 真正執行任何任務所需的設備類型相同。此外,所有虛擬化技術都必須模擬 BIOS。雖然這些技術還可以模擬可擴展固件接口 (EFI),但目前可供選擇的基于 EFI 的操作系統有限,所以使用也受到了限制。所有模擬都允許啟動虛擬來賓。BIOS 和每個設備在軟件中模擬實際設備并將該設備呈現給來賓。這就意味著它們與實際設備一樣需要驅動程序(并非一定是 Windows 提供的驅動程序)。這是一個需要牢記的重要概念。
盡管有些虛擬化技術還允許 USB(或 USB 2.0)設備與其進行交互,但在此我不針對這些特定技術細節進行闡述。除了這些 USB 設備需要使用驅動程序(打印機、USB 無線 NIC 等)或特定 DirectX® 支持(大多數虛擬化技術中不常用)外,您不必再做更多的事情就能使它們正常運行了。切記,是否支持 USB 或其他非模擬設備完全取決于使用的虛擬化技術。在嘗試將虛擬化產品用于新設備前,請確保了解您所使用的虛擬化產品的限制(就象我常說的:“工欲善其事,必先利其器”)。
當前,在 Windows 方面有兩個主要虛擬化技術供應商:Microsoft 和 VMware (vmware.com)。還有其他正在嶄露頭腳的供應商,如 Parallels (parallels.com)。
現在您已對虛擬化有了大致了解,我將在專欄剩下的部分介紹如何對其設置、如何避免最常見的缺陷以及如何在您環境中的多臺計算機上進行部署。
虛擬部署
虛擬系統部署不一定必須不同于實際系統部署。但您將會發現,有些原因使其不得不異于實際系統部署。
在 Windows NT® 早期階段,必須通過安裝進行部署。您可以針對它進行腳本編寫,但是必須運行完整個過程。完成安裝后,要將映像復制到多個系統,此操作在概念上很容易理解,但實際上卻不受支持。
不過,最終 Microsoft 確定很有必要支持磁盤復制或“克隆”的 Windows NT 系統。所以,當前部署實際系統的每種方法同樣適用于虛擬系統部署。您可以使用:Winnt32(在使用 Windows Vista® 和 Windows Server® 2008 的情況下使用 setup.exe);Windows PE(1.x 或 2.x,如我在專欄前半部分所說的,這取決于要部署的客戶端);遠程安裝服務 (RIS) 或 Windows 部署服務 (WDS);或 Sysprep(Windows NT 4.0 用于部署的系統準備工具)以及您喜歡用的磁盤復制技術(例如,ImageX)。
當然,只有在第一次部署特定操作系統時才需要執行上述操作。完成后,只要進行復制即可。但剛才我提到的這些基于磁盤的復制方法存在一個問題。
使用 Sysprep
起初,主要是 Windows NT 安全標識符 (SID) 提出了 Microsoft 不支持基于磁盤的復制的決定。幸運的是,Sysprep 提供了一種解決方案。不過,讓我們首先看一下它解決的問題。正如在 support.microsoft.com/kb/314828 中所討論的,SID 由 SID 結構修訂號(通常是全局唯一標識符或 GUID)組成,用于標識基于 Windows 的個人計算機。然后,該 ID 用作所有本地帳戶的標識符的根部分。本地帳戶具有其自身的唯一標識符,稱為相對標識符 (RID)。該 RID 包含連接到 SID 末尾的帳戶 ID。因此,SID 與 RID 二者共同組成了本地帳戶標識符。
讓我們來看一下為什么說使用管理員 SID S-1-5-21-191058668-193157475-1542849698-500 存在問題。其中的 S-1-5 是用來定義這是 SID(SID 的文本表示中必定會有 S)的描述符,1 和 5 分別代表 Windows NT SID 修訂號和授權標識符值(在此是指 Windows 安全性)。其余部分才是真正的 SID,包括 500,它表明這是一個眾所周知的 SID — Windows 管理員帳戶。在所有 Windows 安裝過程中會默認創建管理員帳戶(并且無法刪除),其 SID 均以 500 結束。安裝后添加到 Windows 的本地用戶帳戶都從 1000 以上開始迭代。
Windows Sysinternals(在 technetmagazine.com/issues/2007/03/DesktopFiles 上關于 PSTools 的專欄中曾提到)提供的 PSGetSID 使您可枚舉系統上給定用戶的 SID 或系統的 SID。請參閱圖 1 查看 PSGetSID 的輸出以獲取我的虛擬系統的 SID 以及我的用戶帳戶的 SID 1003。
Figure 1 Output of PSGetSID for a virtual system‘s SID and the SID of user account 1003
由于本地帳戶 RID 基于此 SID,所以對系統進行磁盤復制或只復制虛擬計算機映像時,出現的問題應相對明確。不更改 SID(Sysprep 的主要任務但非唯一任務),最終只能得到使 Windows 系統不同于其他系統的關鍵組件的副本。如果系統 A 和 B 的管理員的 SID 相同,那么每個系統上的用戶都可能合法地將自己識別為同一用戶。當對系統 A 進行身份驗證時,可能對系統 B 的所有本地帳戶同樣執行操作,反之亦然。更糟糕的是,當這些系統呈現給 Active Directory® 時,也將具有相同的 SID。因此,如果允許系統 A 但不允許系統 B 通過域資源的身份驗證,則會相互混淆而引起沖突。如果將 B 設置為拒絕,則 A 實際上也會被拒絕。
所以,在系統上使用 Sysprep 重新生成 SID 非常重要 — 尤其是在虛擬系統方案中,因為系統映像很容易就能四處傳播。您也不應使用第三方 SID 更改工具,只能使用 Sysprep。Sysprep 是由 Microsoft 設計和測試的,受 Microsoft 支持,用于準備系統進行復制(甚至是虛擬系統)。請參閱圖 2 了解一下 Sysprep 示例外觀,然后再更改系統上的 SID。如果下一步是要準備系統進行復制,請確保始終不選擇“不重新生成安全標識符”選項。
Figure 2 "Don‘t regenerate securITy identifiers" should be unchecked when preparing for duplication
除了將 SID 更新為新的 ID 外,Sysprep 也可修改它所知的所有私有數據存儲以反映 SID 和計算機名稱,還可以更改這些私有數據存儲的加密來使用新的 SID。例如,計劃任務數據存儲和 IIS 元數據庫中的值(如果安裝了 IIS)。
Sysprep 還會強制刪除系統上的各個 NIC,并將 NIC 的網絡配置數據一起刪除。由于網絡配置“不專屬于”注冊表中的 NIC,并且該 NIC 的關系基于 NIC 的硬件 ID(這在虛擬到虛擬系統移動以外的情況下往往無效),所以 Sysprep 通常會清理掉這些被廢棄的數據。
Sysprep 還會清理系統中的所有 Active Directory 成員身份信息。因此,作為 Sysprep 工作的一部分,它必須強制從域中刪除系統。這樣可確保剛接收到新 SID 的系統可安全加入該域。有些 SID 更改實用程序允許您更改計算機 SID 而無需將其從域中刪除,但這樣做既不可靠也不安全。如果必須在域成員的計算機上運行 Sysprep,則可以在運行 Sysprep 之前將其從域中刪除,也可以運行 Sysprep 讓它為您處理上述任務。
相關提示:如果要虛擬化任何域控制器 (DC),您需要復制尚未升級為 DC 并且尚未加入到域的獨立服務器的系統。除 Windows Server 2003 Small Business Server EdITion 外,您無法安全地對 DC 進行磁盤復制。要安全地創建新的 DC,您需要創建準備加入域并升級為 DC 的服務器的磁盤映像。Sysprep 不知道如何在 DC 上安全地更改 SID(在作為單林/單服務器的非常特殊的 SBS 實例中除外)。
最后,除了更改 SID 以及從域中刪除計算機外,Sysprep 還更改計算機名。
對虛擬系統進行映像(甚至只是復制)時要執行上述所有任務,這樣講可能顯得非常苛刻。但是這樣做很關鍵,尤其是在包含其他實際或虛擬系統的網絡上或在域中使用這些系統時,或是在網絡上與它們自身的任何其他副本一起使用時。
如果復制虛擬系統時不使用 Sysprep,可能就會遇到大量顯而易見的問題(Active Directory 或其他聯網沖突)以及許多預料不到的情況。例如,虛擬映像很容易遭受黑客攻擊,因為只要攻擊了一個映像就能獲取對其他映像的訪問權限。
驅動程序和硬件抽象層
我提到過,虛擬映像中包含的虛擬設備可能不具有 Windows 的“現成”驅動程序。請確保部署時(或使用 Sysprep 部署磁盤映像時)擁有可供設備使用的驅動程序,因為將虛擬映像從一個存儲總線驅動程序移動到另一個時,很容易像使用實際硬件時遇到的情況那樣,出現致命的 0x0000007B 驅動程序錯誤。這同樣適用于 NIC。雖然大多數虛擬化產品都致力于提供相當通用的虛擬設備,但可能仍需要輔助驅動程序為其提供支持。
同時,您也不能忽視令人討厭的硬件抽象層 (HAL)。理論上,如果虛擬化技術支持,您會希望創建支持高級配置和電源接口 (ACPI) 多處理器的虛擬計算機(請參閱 intel.com/technology/iapc/acpi)。通常不支持在 HAL 間進行轉換(請參閱 support.microsoft.com/kb/309283 獲取更多具體信息)。但是,有些虛擬化技術(或者,更重要的是,許多遷移技術)承諾可安全地將非 ACPI 的 Windows 安裝移動到 ACPI 安裝,反之亦然。但實際上并非如此;此外,如果出現問題,Microsoft 并不支持因此產生的 Windows 安裝。我剛才提到的關于支持網頁方面的限制同樣適用于虛擬化系統。請參閱圖 3 查看 HAL 在我的一臺虛擬計算機上“設備管理器”中的呈現示例,在此示例中使用 ACPI 單處理器 HAL 運行。不要將其與單處理器混淆,它可以與其多處理器系列相互交換。
Figure 3 HAL in Device Manager on a virtual machine
其他更改
更改可更改的內容,接受無法更改的內容
考慮在實際系統和虛擬系統之間遷移時,您需要記住可更改和無法更改的內容。可以更改 Windows 安裝的下列方面:
HAL(但只可從單處理器變為多處理器,反之亦可,前提是它們要基于同一電源配置)。
大容量存儲控制器(這不太容易 — 但大多數實際到虛擬遷移解決方案已在嘗試自行解決此問題)。請注意,大多數供應商會提供 IDE 和 SCSI 存儲解決方案。在進行部署時要明智地選擇,因為從一種解決方案遷移到另一種解決方案并不是很容易的事。通常,選擇 SCSI 會使設備比較可靠(對大多數供應商 SCSI 設備模擬實現而言)。
網絡控制器(雖然在虛擬到虛擬遷移的情形下,這在同一個供應商提供的技術中通常相同)。
無法更改 Windows 安裝的下列方面:
HAL(之前提到的使用相同電源配置時的情況除外)。不應認為執行此更改的遷移解決方案能帶來穩定或可靠的 Windows 安裝(更重要的是,它不受 Microsoft 支持)。
除更改 SID 和計算機名外,還需要更改特定于您使用的虛擬計算技術的某些值。尤其是,需要更改 MAC 地址(網絡連接設備的唯一 ID)。另外,許多虛擬應用程序還具有自已的唯一標識符。大部分虛擬應用程序將標識符存儲在自己的計算機配置文件中,因此您可能想了解如何管理這些條目(并維護它們的有效性)。請注意,許多支持預啟動執行環境 (PXE) 的虛擬化產品會根據自己的唯一 ID 向計算機中輸入 SMBIOS UUID 信息 — 這就強調了打算將虛擬化產品加入域中時對唯一 ID 進行更改(或者在支持的情況下,讓虛擬化軟件為您更改)的必要;否則,將無法管理 WDS 或 RIS 客戶端系統(如果 GUID 相互沖突)。我使用過的大部分虛擬化解決方案在復制 MAC 地址的情況下都會出現嚴重的聯網問題,所以如果您不只是移動虛擬計算機,而虛擬化軟件又沒有為您更改 MAC 地址,那么由您來更改 MAC 地址是非常重要的。
準備要進行部署的虛擬系統時,需要切記的其他組件包括所有鏈接磁盤或快照。根據您的虛擬化解決方案,這些組件也可稱為差異磁盤或其他名稱。但是,如果您運行 Sysprep 來準備系統并且虛擬系統帶有快照(或其他可回復的狀態),則必須銷毀這些快照,以便安全、可靠地復制映像。在使用快照或其他“撤消磁盤更改”技術方法的情況下,還原快照可能意味著回歸到多個源于初始虛擬計算機的系統現在相互沖突的境況(甚至是初始源系統 — 如果它被還原)。因此所有快照或差異磁盤關系上應已執行過 Sysprep。
優化
大部分虛擬化技術都包含虛擬機添加件或工具,用于提高從主機與來賓進行交互的性能和體驗。在各種性能增強中,通常會包括優化鼠標和鍵盤輸入等操作,還經常包括改進的復制和粘貼(或其他主機到來賓之間)交互。部署前,在您的虛擬系統中安裝這些工具的最新版本。
此外,還需要確保客戶端內存已針對來賓操作系統進行最佳配置,而且與將要部署到的主機相符。您最不愿做的事是將要使用 1GB RAM 的 Windows XP 映像集部署到原本沒有那么多 RAM 的主機系統。
還要切記當前大多數虛擬技術的局限,因此用戶一定要了解如何與虛擬系統附帶的外圍設備進行交互以及哪些應用程序在來賓操作系統(例如,大多數不支持 DirectX 9 或 10,或只支持有限的較早版本)上起作用,哪些不起作用。用戶可能不了解其中的含義或它如何進行自我證明(有些應用程序無法很好地處理這些故障)。
主機注意事項
注意,通常情況下,對于運行虛擬化技術的主機 PC,無論運行的是完整操作系統還是直接在硬件上運行的 Type 1 虛擬機管理程序,都無需考慮過多注意事項。大部分虛擬化技術都用于確保來賓操作系統無需了解主機的任何信息(或只需了解極少的信息)。不過,請確保了解使用的是哪個主機,以防從某個主機移動到另一個主機的來賓遇到問題。另請確保了解虛擬化供應商的產品對特定平臺的限制。盡管可以從一個平臺移動到另一平臺,但在該過程中,可能會丟失或獲得主機操作系統 Type 2 虛擬機管理程序(虛擬化應用程序)的某些功能。
其他部署機制
部署虛擬系統時,顯然可以選用 Sysprep 或磁盤復制(或者直接運行 Sysprep 后復制虛擬計算機),但是還有其他方法。事實上,不管使用映像還是安裝程序,使用 Windows PE 進行虛擬化都比使用物理機器更簡單,因為您使用的是 ISO 文件而非物理 CD。請注意,有些虛擬化技術無法很好地處理 DVD 媒體,所以請一定要與虛擬化供應商聯系以獲取相關幫助。您可以使用 winnt32 或 setup.exe(在使用 Windows Vista 或 Windows Server 2008 的情況下),但是不會產生任何特別效果。如果使用其他 Microsoft 部署技術(如自動化部署服務),則虛擬化技術支持使用 PXE 啟動基于網絡的部署,就像使用 RIS 或 WDS 一樣。
遷移
最后,除實際遷移整個 PC 外,不要忘記用戶狀態遷移工具 (USMT)。使用 USMT,您可以輕松地將用戶的設置從實際客戶端移動到新的虛擬系統。所以,舉例來說,如果您的用戶希望將舊數據和設置遷移到新的虛擬計算機,您就可以輕松地從 Windows XP 中獲得文件和設置,將其存儲到 UNC,然后將其推送到新的虛擬計算機中。
【編輯推薦】
