Администрирование устройств на базе Windows Embedded 8
Жизненный цикл устройств условно можно разделить на три фазы: разработка, производство и целевое использование. В предыдущих статьях в основном затрагивалась тема первого этапа — непосредственно разработки устройства. Далее запускается процесс производства, который заключается в тиражировании мастер-образа, полученного на предыдущем этапе. Для тиражирования могут использоваться разнообразные средства — как штатные, предоставляемые компанией Microsoft, так и сторонние. «Реальная» жизнь устройства начинается, когда оно покидает производственный конвейер. Именно об этом немаловажном для конечного пользователя этапе и пойдет речь в данной статье.
Определяющим моментом при выборе методов и подходов для обслуживания устройства является принцип его работы с точки зрения внешних подключений. Здесь возможно три варианта: полностью автономное устройство; устройство, подключенное к закрытой локальной сети; устройство, подключенное к публичным сетям.
В случае автономных устройств спектр доступных средств по администрированию достаточно ограничен ввиду того, что все действия с устройством могут производиться только с локальной консоли при непосредственном участии обслуживающего персонала. В связи с этим администрирование автономных устройств характеризуется наиболее низкой эффективностью с точки зрения как трудозатрат, так и оперативности, поскольку требует очного присутствия специалиста. Эффективность обслуживания в данном случае обратно пропорциональна количеству устройств, то есть падает с увеличением их количества.
Варианты закрытой локальной сети и Интернета по сути отличаются лишь организацией удаленного доступа к устройству. Для закрытой сети это можно сделать без использования дополнительных средств. Для случая, когда устройство подключено к Интернету, как правило, требуется предварительная подготовка по организации защищенного канала, так называемого VPN-соединения. Решений, которые позволяют реализовать VPN-туннель, достаточно много. Это и встроенные средства ОС, и сторонние продукты. При этом есть один нюанс, осложняющий ситуацию. Дело в том, что традиционно VPN-соединение должно инициироваться со стороны устройства. Для сценария удаленного обслуживания это, как правило, неприемлемо. То есть требуется автоматическое создание и поддержание соединения. В ОС Windows Embedded 8, к счастью, эта задача может быть решена встроенными средствами, а именно при помощи технологии DirectAccess.
Технология DirectAccess позволяет организовывать защищенный канал между устройством и обслуживающей инфраструктурой. Ключевое отличие DirectAccess от традиционного VPN-соединения заключается в том, что после однократной настройки туннель поднимается автоматически без участия пользователя — достаточно просто подключить устройство к Интернету (рис. 1). Несмотря на то, что данная технология является встроенной в WE 8 Standard, для ее использования в устройствах требуется дополнительная активация.
Разобравшись с организацией доступа, рассмотрим доступные инструментальные средства, которые могут помочь при обслуживании устройств. Условно возможный спектр задач можно разделить на следующие категории:
- Добавление, удаление и конфигурирование компонентов ОС.
- Установка обновлений ОС.
- Установка и настройка прикладного ПО.
- Восстановление образа ОС.
В WE 8 Standard есть возможность обновления функционального состава системы путем добавления или удаления отдельных модулей. Для этой цели используется встроенная утилита Deployment Image Servicing and Management (DISM). DISM запускается из командной строки и может работать как в онлайновом режиме, то есть непосредственно из-под обслуживаемой системы, так и в режиме оффлайн. Если требуется установить несколько функциональных модулей и/или выполнить их настройку, можно предварительно в редакторе конфигурации образа (ICE, см. предыдущие статьи) создать файл ответов и применить его при помощи той же утилиты DISM.
Для установки обновлений ОС в WE 8 Standard доступно два метода. Первый, используемый в настольной версии Windows, реализован на базе агента, который загружает обновления с серверов Windows Update или WSUS и устанавливает их на системе. В случае если устройство полностью автономное (не имеет доступа к Интернету либо корпоративным серверам WSUS), есть возможность установить обновления вручную при помощи все той же утилиты DISM или специального компонента Windows Update Standalone Installer.
Если требуется более тонкая настройка системы, которая выходит за рамки конфигурирования модулей WE 8 Standard и установки системных обновлений, пригодятся другие встроенные средства администрирования Windows. В первую очередь это технология Windows Management Instrumentation (WMI), с помощью которой можно локально или удаленно работать с диском устройства, управлять учетными записями пользователей, настраивать брандмауэр, просматривать журналы работы системы, выполнять перезагрузку системы и пр. Большинство функций управления через WMI имеют графический интерфейс. Так, например, реализован Embedded Lockdown Manager (рис. 2), при помощи которого настраиваются такие уникальные возможности WE 8 Standard, как фильтры защиты от записи, диалоговый фильтр, фильтр клавиатуры. Более подробно эти функции рассматривались в статье «Windows 8 Embedded Lockdown — возможности для встраивания» (№ 3 (45) ‘2013).
Доступ к функциям WMI, не имеющим графического интерфейса, можно получить через командную среду PowerShell. Обладая развитой поддержкой скриптового языка, она является мощным инструментом для автоматизации задач администрирования системы.
WMI и PowerShell, успешно справляясь с задачами администрирования отдельно взятой системы, тем не менее обладают ограниченными возможностями по конфигурированию группы из нескольких устройств. Для сценариев, где требуется централизованное удаленное обслуживание, может быть актуальным использование технологии Active Directory. Ключевая идея Active Directory заключается в том, что Windows-устройства, в том числе и на базе WE 8 Standard, можно структурировать в группы и управлять уже целыми группами, а не отдельными устройствами. Использование Active Directory требует предварительного развертывания сетевой инфраструктуры и, соответственно, не подходит для управления автономными устройствами. Для устройств, находящихся вне данной инфраструктуры, необходимо использовать VPN-соединение, например на базе ранее упомянутой технологии DirectAccess.
Все перечисленные решения не являются комплексными, то есть не решают сразу все задачи по обслуживанию, которые, кроме всего прочего, могут включать мониторинг работы устройств. Также рассмотренные механизмы не предназначены для управления большим количеством устройств, когда речь идет о тысячах, десятках и тем более сотнях тысяч. Одним из таких комплексных решений является System Center Configuration Manager. Для облуживания устройств на базе WE 8 Standard благодаря встроенной поддержке фильтров защиты от записи наилучшим образом подходит последняя версия данного продукта SCCM 2012 SP1. Проблема с фильтрами защиты от записи, которые были рассмотрены ранее, заключается в том, что для применения изменений в системе с активированными фильтрами необходимо выполнить дополнительные действия. В случае использования WMI, PowerShell или групповой политики Active Directory нужно отслеживать состояние фильтров и подтверждать изменения отдельной командой. При использовании SCCM это делается автоматически.
SCCM 2012 SP1 позволяет решать следующие задачи:
- Развертывание операционной системы.
- Обновление программного обеспечения, в том числе стороннего.
- Администрирование приложений.
- Конфигурирование системных настроек.
- Мониторинг и создание отчетов.
Обслуживание при помощи SCCM подразумевает, что на каждом устройстве установлен специальный агент. Агент в фоновом режиме периодически связывается с сервером SCCM для получения управляющих команд и отправки результатов их исполнения. Управление всеми устройствами выполняется с единой консоли (рис. 3). Для администрирования сразу нескольких устройств их можно группировать в коллекции.
SCCM обладает достаточно широким функционалом и позволяет решить большинство задач по обслуживанию. Среди вспомогательных функций хотелось бы отметить возможность доступа к консоли устройства и сбор информации об аппаратном и программном обеспечении устройства (рис. 4).
Мы рассмотрели сценарии обслуживания, когда устройство работоспособно, но что делать, если оно вышло из строя и требуется полное или частичное восстановление системы? Для решения этой критической для работы устройства ситуации WE 8 Standard обладает средствами по созданию дисков восстановления. Для этого на этапе разработки образа ОС необходимо добавить модуль Windows Recovery Disc, который впоследствии позволит захватить содержимое диска и сохранить его на скрытом томе или внешнем накопителе. В случае сбоя пользователь сможет самостоятельно запустить режим восстановления и вернуть систему в исходное состояние.
* * *
Windows Embedded 8 Standard обладает широкими возможностями по администрированию устройств как в автономном, так и в удаленном режиме. При этом доступны как базовые инструменты для решения конкретных задач (утилита DISM, менеджер блокировок Embedded Lockdown Manager), так и комплексные решения (System Center Configuration Manager 2012), целиком покрывающие задачи администрирования и обслуживания устройств.
- Remote Access (DirectAccess, Routing and Remote Access) Overview. http://technet.microsoft.com/en-us/library/hh831416.aspx
- Белевский П. Windows Embedded 8 Standard: обзор средств разработки. // Control Engineering Россия. 2013. № 2 (44).
- Антонович С. Windows 8 Embedded Lockdown — возможности для встраивания // Control Engineering Россия. 2013. № 3 (45).
- Давыдов С. Module Designer. Создание пользовательских модулей // Control Engineering Россия. 2013. № 4 (46).
- Белевский П. Приложения Windows RT в устройствах на базе Windows Embedded 8 Standard. Основные этапы по разработке и развертыванию на устройстве // Control Engineering Россия. 2013. № 5 (47).
- System Center Configuration Manager 2012.