Ghost Solution Suite (GSS)

Esipuhe

Ghost Solution Suite (GSS) on Symantecin tekemä työkalu työasemien keskitettyyn hallintaan. Itse olen ylläpitänyt mikroluokkia tällä työkalulla jo useamman vuoden, joten uskallan väittää tietäväni asiasta jotakin:) Tästä järjestelmästä saa esittää rohkeasti kysymyksiä. Pyrin vastaamaan parhaani mukaan.

GSS palvelimen asennus

Ennen asennusta valmisteltavat asiat

Jotta GSS pystyy hoitamaan tehtäviään pitää sille luoda käyttäjätunnus aktiivihakemistoon tietyillä oikeuksilla. Tätä käyttäjätunnusta kutsutaan Console service accountiksi.
Luo AD:hen käyttäjätili. Hyvänä käytäntönä on poistaa salasanan vanhentuminen koska vain GSS käyttää tätä tiliä. Lisäksi on tietoturvallisesti järkevää lisätä käyttäjä Deny logon locallyyn default domain policyssa. Jolloin estetään käyttäjätunnuksen väärinkäytökset.
Seuraavaksi delegate control ominaisuudella annetaan lisäoikeuksia haluttuihin OU:hin. Tietoturvasyistä ei ole järkevää antaa oikeuksia kaikkialle vaan ainoastaan sinne missä niitä tarvitaan. oikeudet asetetaan kuvien mukaisesti.

image-2dimage-0dimage-4d

Työasemien palomuuriin AD:sta määriteltynä seuraavat poikkeukset:
Ohjelma: c:\program files\symantec\ghost\ngctw32.exe, scope: ghost palvelin
File and printer sharing kaikki portit, scope: ghost palvelin
Näin mahdollistetaan työasemien käsittely ilman että koneisiin pitää ensin kierotietä asentaa GSS:n clientti. Scopella suojataan ettei avattuja reikiä hyväksi käytetä muualta. Tietenkin clientin voi asentaa vaikka gpo:lla tällöin file and printer sharingin avaaminen ei ole tarpeellista. Itse olen kuitenkin käyttänyt ghostin omaa clientin asennus työkalua jolloin file and printer sharing pitää olla auki. Kun client asentuu se osaa avata ngctw32.exelle reiän mutta jättää scopen avoimeksi. Tämän takia palomuurisäännön määrittely keskitetysti on järkevää.

GSS ohjelmiston asennus

Ja sitten itse asennukseen:
1.jpeg

3b.jpeg4.jpeg6.jpeg7.jpeg
8.jpeg

Avaa Ghost console (start -> all programs -> symantec Ghost). Ensimmäiseksi saat varoituksen siitä että lisenssiä ei ole annettu kuittaa se OK:lla. Seuraavaksi aukeaa itse console. Aukeavasta ikkunasta valitse "Domains".

9.jpeg

Valitse "Edit" ja anna aiemmin luomasi console service accountin käyttäjätunnus ja salasana.

12.jpeg

Tämän jälkeen paina "Add…" ja anna domainisi nimi. Muista ottaa täppä pois service accountin luomisesta sillä kyseinen tunnus on jo aiemmin tehty. Jos tekee service accountin tätä kautta pitää sille käydä erikseen delegoimassa oikeudet. Samoin asennuksen tämä vaihe on suoritettava tunnuksella jolla on oikeudet tehdä käyttäjätunnuksia domainiin.
13.jpeg

Seuraavaksi rekisteröidään console. Valitse Help -> Register console
14.jpeg

Etsi Browsella lisenssi tiedosto ja paina OK

15.jpeg

Kunhan lisenssi tiedosto on ollut kelvollinen saat siitä ilmoituksen. Jonka jälkeen voit nähdä lisenssi tilanteesi.

16.jpeg

GSS on nyt käyttövalmis.

Ghost Solution Suiten työkalut

Gss on kokoelma erinäisiä työkaluja. Tässä osiossa läpikäydään pintapuoleisesti nämä työkalut.

AIBuilder

Tällä työkalulla voi muokata Ghostin ohjelmisto paketointi formaatti AI:n paketteja. Itse pakettien luomiseen käytetään AutoInstall työkalua.
17.jpeg

Ghost Boot Wizard

Boot wizardilla voi luoda ghost buuttilevyjä tai imageja. Lisäksi olemassaolevia voi muokata mm lisäämällä uusia ajureita. Valmiina ovat pc-dos ja windows PE. Ms-dossin tai linuxin käyttö vaatii erillisiä toimenpiteitä. Pc-dos version etuna on keveys. Kun taas windows pe:n helpompi muokattavuus ja huomattavasti parempi ajurituki. Lisäksi Deploy Anywhere toiminto toimii vain Windows PE:n kanssa. Toisin sanoen Pc-dossia kannattaa käyttää vain todella vanhojen koneitten kanssa (esim jos koneessa on alle 256mb muistia tällöin PE ei edes käynnisty).
18.jpeg

Ghost console

Console on koko järjestelmän keskus sen kautta suoritetaan lähes kaikki toimenpiteet.
19.jpeg

Ghost Explorer

Tällä työkalulla voi katsella, muokata, lisätä ja kopioida tiedostoja ghostin image tiedostoista.
20.jpeg

GhostCast Server

Työkalu jolla luodaan ja levitetään imageja. GhostCastia voi käyttää yksinään tai consolen kautta.
21.jpeg

User Migration Package Explorer

Käyttäjä migraatiolla luotujen pakettien avaamis ja muokkaus työkalu.
22.jpeg

GSS-Scripts

GSS-Scripts on kokoelma scriptejä erinäisiin ylläpito toimenpiteisiin. Ne löytyvät C:\Program Files\Symantec\Ghost\scripts. Lisäksi näistä paranneltuja versioita löytyy http://code.google.com/p/gss-scripts/

Parannellusta scripti paketista löytyy seuraavat scriptit:

account.wsf: Service accountin luonti scripti. Tämä scripti toimii ennemminkin mallina millainen service accountin pitäisi olla. Sillä se ei osaa rajata oikeuksia tiettyihin OU:hin tai määritellä deny log on locally yms.

backupdb.wsf: Luo varmuuskopion GSS:n asetuksista, salasanoista yms.

clientname.wsf: Etsi tietoa clienteistä suoraan GSS:n tietokannasta.

delclients.wsf: Etsii kaiken tiedon clientistä ja poistaa sen ja viittaukset tietokannasta. Tietyissä tilanteissa clientin poistaminen consolen kautta on lähes mahdotonta silloin tämä on hyvin hyödyllinen työkalu.

delfolders.wsf: Tekee saman kuin delclients mutta poistaa kansioita.

password.wsf: Resetoi tietokannan hallinta käyttäjätunnuksen salasanan.

restoredb.wsf: Palauttaa backupdb:llä otettuja tietoja.

setaccount.wsf: Mahdollistaa service accountin asettamisen komentoriviltä.

tail.wsf: Tämän scriptin tarkoitus on minulle hieman hämärän peitossa:)

GSS clientin asennus

Jotta GSS pystyy hallitsemaan koneita pitää niihin asentaa ohjelmisto jonka kautta se tapahtuu, eli client. Clientin voi asentaa manuaalisesti kone kerrallaan, AD:sta MSI pakettina tai consolen remote client installation toiminnolla.

Valitse Tools -> Remote Client Install…
23.jpeg
Valitse haluamasi kone tai koneet ja paina Add ». Painamalla Add… voit syöttää koneen manuaalisesti.

24.jpeg

Syötä tunnus jolla on admin oikeudet domainissa tai workgroup tilanteissa paikallinen admin tunnus.

25.jpeg

Lopuksi paina Install.

26.jpeg

Lopuksi saat ilmoituksen onnistuneesta asennuksesta. Jos asennus jostakin syystä epäonnistuu voit ratkoa ongelmaa tarkistamalla login.

27.jpeg

Onnistuneen asennuksen jälkeen kone ilmestyy Machine Groups -> Default kansioon. Tuplaklikkaus avaa koneen tiedot.

28.jpeg

Imagen teko

Mene consolessa configuration resources -> images -> new image.
29.jpeg

Anna imagelle nimi ja määrittele sen sijainti.
30.jpeg

Tasks -> new image create task

31.jpeg

Anna tehtävälle nimi. Määrittele source machine sekä image johon tieto tallennetaan. Jos mallikone on domainissa muista lisätä täppä kohtaan remove machine from domain before taking an image. Lopuksi paina save ja sitten execute. Nyt mallikone käynnistyy uudestaan ja ghost aloittaa imagen oton.
32.jpeg

Image on nyt valmis jatkokäyttöä varten.
37.jpeg

Imagen levitys

Imagella voidaan asentaa keskitetysti suuriakin määriä koneita. On kuitenkin otettava huomioon että image on HAL riippuvainen eli koneen pitää olla samanlainen kokoonpanoltaan. Deploy anywhere (DA) toimintoa hyödyntäen tämä voidaan kiertää, tällöin tarvittavat ajurit pitää kuitenkin löytyä ajuritietokannasta. DA:n isoin heikkous on että se osaa levittää vain network ja storage ajureita (eli äänikorttien, näytönohjainten yms ajureita ei voi tällä levittää).

Tasks -> new task
38.jpeg

Nimeä taski, valitse clone ja configuration. Sekä kohdekone tai ryhmä.
39.jpeg

Jos kone on sammuksissa ja sen bioksessa on sallittu WOL buut. Voit "use wol when executing a task" toiminnolla herättää sen tehtävää varten.

Huom! GSS käyttää oletuksena multicast liikennettä. Tämä kuitenkin asettuu tietoliikenne verkolle vaatimuksia. Kytkimissä pitää olla multicasting tuki ja se pitää olla kytketty päälle. Jos näin ei ole tehty ja käytetään multicastingia on lopputuloksena liikenteen puuroutuminen. Optimi olosuhteissa tiedonsiirto nopeus on noin 700-900 mb minuutissa riipumatta siitä asennetaanko 1 vai 20 konetta kerralla (luonnollisesti eri teknologioiden kehittyminen tulee parantamaan tätä jatkuvasti).
41.jpeg

Clone välilehdellä määrittele käytettävä image. Muista myös ottaa käyttöön ghostwalkerin SIDin uusiminen.

40.jpeg

Configuration kohdassa määritellään mikä määrittää koneen asetukset (nimi, domain, OU, yms).

Default: käyttää kohteen nykyisiä asetuksia. Haluttaessa niitä voi käydä muuttamassa properties -> configuration -> edit, näin tehtäessa uudet säännöt tulevat voimaan kun koneeseen ajetaan configuration taski (configuration voi ajaa erikseenkin ilman clonea)

Template: Configuration resources -> configurations kohtaan voi luoda malli pohjia joita voi käyttää tässä.

Custom: Tällä toiminnolla voit yhdistää koneen nykyisiä ja templatella tehtyjä asetuksia.

Lopulta tallenna ja sulje taski.
42.jpeg

Valitse juuri tehty taski ja paina Execute Task. Nyt kone asentuu määritysten mukaisesti automaattisesti.
44.jpeg

AutoInstall

AutoInstall on työkalu jolla luodaan consolella levitettäviä AI paketteja. Paketin luonti perustuu nauhoittamiseen.
Kone johon AutoInstall asennetaan ei saa olla asennettuna consolen clienttiä. Lisäksi käyttöjärjestelmäversio olisi hyvä olla sama kuin ympäristössä johon paketti levitetään. Sekä järjestelmä olisi olla mahdollisimman puhdas esim virtuaalikone on kätevä koska sen muutokset voi kätevästi poistaa käytön jälkeen.
ScreenShot006.jpg

Kun järjestelmän tarkistus on suoritettu valitse browsella paketoitavan ohjelman asennustiedosto. Ja paina monitor jolloin asennus alkaa. Asenna ohjelma haluamallasi tavalla.
ScreenShot007.jpg

Anna paketille nimi ja paina compare
ScreenShot008.jpg

ScreenShot009.jpg

Nyt voit tehdä manuaalisesti muutoksia pakettiin tai sitten painamalla build jolloin lopullinen AI paketti luodaan
ScreenShot010.jpg

Paketti on nyt valmis ja voit siirtää sen consoleen. Paketin voi asentaa myös manuaalisesti tai scriptillä.
ScreenShot011.jpg

Mene consolessa configurations resources -> AI Packages ja valitse new AI Package.

dc4zh2hb_18f3t8x9cn_b.jpeg

Nimeä ja valitse käytettävä paketti.

dc4zh2hb_20d6p9g7j4_b.jpeg

Software And File Actions

On ryhmä toimintoja joihin kuuluu AI pakettien asennus ja poisto, tiedostojen siirrot ja komentojen ajaminen clienteissa.

55.jpeg

Execute a Command

Hyvin kätevä ja hyödyllinen työkalu. Idea on hyvin yksinkertainen tee keskitetysti komentoja client työasmiin. Komennot ajetaan työasemissa SYSTEM oikeuksilla. Kaikki minkä voi tehdä paikallisesti cmd:stä onnistuu tässäkin, aina kopioinnista ohjelmien asennukseen.

Syötä haluamasi komento. Komento ajetaan kohde koneessa joten mitään etäkomentoja ei tarvitse tehdä. Voit myös kirjoittaa valmiiksi bat/cmd tiedoston jonka määräät ajettavaksi.
ScreenShot020.jpg

Jos ajat kerralla useamman komennon ja haluat etteivät komennot mene "päällekkäin". Määritä tällöin niin että console odottaa että saa kuittauksen komennon suorittamisesta. Lisäksi kannattaa miettiä kannattaako taskin antaa jatkua jos se jostain syystä jossakin kohdassa epäonnistuu. Komentojen epäonnistuessa saat raportissa ajamasi komennon virheilmoituksen.
ScreenShot001.jpg

Move up ja move down napeilla voit määritellä missä järjestyksessä komennot ajetaan (ylin ensin jne)
ScreenShot002.jpg

Retrieve a File

Noutaa clientiltä tiedostoja haluttuun paikkaan.

Määritä clientillä sijaitseva tiedosto ja browsella sijainti jonne tiedosto kopioidaan.
ScreenShot005.jpg

Transfer Files and Folders

Kopioi clienteille tiedostoja tai kansioita.

Valitse lähetettävä tiedosto/kansio ja sijainti clientillä jonne haluat tiedoston sijoittaa.
ScreenShot004.jpg

Install & Uninstall AI Package

AI pakettien asennus ja levitys.

Valitse asennettava paketti. Poistossa valitaan myös paketti joka on jo asennettu ja halutaan poistaa.
ScreenShot003.jpg

Inventointi

Inventointi jakaantuu kolmeen osaan Filter, Report ja View. Filterillä määritellään mitkä clientit täyttävät ehdot antamalla ehtoja. View taas esittää halutusta kohteesta tietyt tiedot. Report on sitten nämä kaksi toimintoa yhdistävä toiminto, joiden tuloksesta luodaan sitten raportti. Filteriin ja viewiin on tehty valmiita pohjia joita voi käyttää, lisäksi voit luoda uusia ja muokata olemassa olevia.
Jotta tietoa pystyy käsittelemään pitää se ensin kerätä clienteiltä. Tämä tapahtuu ajamalla taski ja laittamalla refresh inventory päälle. Itse olen ottanut käytännöksi pitää kyseistä ominaisuutta aina päällä kun jotain taskia ajetaan, näin ollen tiedot tulee päivitettyä inventointia varten. Pelkästään refreshinkin voi ajaa taskissa.
Clientit joista ei ole kerätty inventointi tietoja löytyvät dynamic mchine groups -> Inventory not Collected or Incomplete Support kansiosta.

65.jpeg

Mene report ja valitse new inventory report. Valitse kohde ryhmä (jos valitset yksittäisen koneen filteriä on luonnollisesti turha käyttää), filteri ja viewi. Lopuksi paina run report.

66.jpeg

Nyt saat ehtosi täyttämät koneet joista on selvitetty näytönohjaimen tiedot.
Create group napilla voi luoda näistä koneista dynamic mahine groupin jolloin voit kohdistaa näihin clientteihin taskeja. Exportilla tallenetaan raportti txt tai csv muotoon ja printillä voi tulostaa raportin.
67.jpeg

Työaseman tietoturvallinen tyhjennys

Kun työasema poistetaan käytöstä on sen tietojen tuhoamisesta huolehdittava. GSS:n levyntyhjennys toiminto täyttää USAn puolustusministeriön asettamat vaatimukset levyntyhjennyksestä.
Consolessa tools -> Erase Machine
erase1.jpeg

Valitse client tai ryhmä. Tyhjennettävät levyt sekä täppä kohtiin secure erase ja remove client. Huom! Remove client ei poista clienttiä kohde koneelta vaan consolesta sitä koskevat tiedot.
erase2.jpeg

Ajastetut tehtävät

GSS aloittaa tehtävän suorittamisen saman tien kuin annat execute komennon. Välillä kuitenkin tehtävä pitää suorittaa esimerkiksi yö aikaan tai automatisoida toistuva tehtävä. Tällöin voi käyttää schedule toimintoa.

Valitse ajastettava taski ja paina schedule.

schedule1.jpg

Select napilla voit valita suoritettavan taskin

schedule2.jpg

Paina set password ja syötä käytettävän tunnuksen salasana.

schedule3.jpg

Määrittele haluttu ajankohta.

schedule4.jpg

GSS pystyy suorittamaan tehtävän vain jos client on päällä. Joten wol buut kannattaa ottaa taskissa käyttöön. Oletus asetuksilla GSS odottaa 20 minuuttia clienttejä jonka jälkeen todetaan tehtävän epäonnistuneen clientin kohdalta. Jos haluat muokata odotusaikaa.
Mene tools -> options

schedule5.jpg

Preferences välilehdellä muokkaa server timeout kohtaa.

schedule6.jpg

Ajurien lisääminen ajuritietokantaan

GSS:n mukana tulee melko laaja ajuritietokanta ja silloin tällöin uusia ajureita tulee päivityksien mukana. Kuitenkin ennemmin tai myöhemmin tulee tilanne jossa laitteeseen ei löydy sopivaa network tai storage ajuria. Tällöin ajuri pitää lisätä itse ajuritietokantaan.
Jos sopivia ajureita ei ole tietokannassa koneita ei pysty käynnistämään preOS tilaan. Lisäksi deploy anywhere toiminto käyttää samaa tietokantaa.

Avaa boot wizard -> valitse Windows PE -> Edit -> windows pe editorissa WinPE -> Edit.
Huom! Oletuksena käytössä on kaksi WinPE imagea (WinPE ja WinPE-512). WinPE-512:sta on oletuksena liitetty suurempi määrä ajureita ja nimensä mukaisesti se vaatii koneelta minimissään 512mb keskusmuistia. WinPE on taasen kevennetty versio ja se vaatii vain 256mb keskusmuistia.

33.jpeg

Paina Add new driver -> etsi browsella ajuri, anna ajurille nimi ja käyttöjärjestelmät joilla tämä ajuri toimii -> paina OK. Ajuri on nyt tietokannassa ja deploy anywhere pystyy käyttämään sitä.
Huom! Windows PE on käytännössä karsittu Vista. Eli sen käyttöä varten tarvitaan Vista ajureita. Muitten käyttöjärjestelmien ajureita tarvitaan kun niitä asennetaan Deploy anywhere toiminnalla.

36.jpeg

Ajuri pitää vielä liittää haluttuun PreOS imageen. Lisää täppä haluttuun ajuriin ja paina OK, jonka jälkeen ajurin lisääminen alkaa automaattisesti.
35.jpeg

Console boot cd

Kun koneessa ei ole käyttöjärjestelmää ei siihen ei voi asentaa luonnollisesti clienttiäkään. Tällöin kone pitää buutata preos tilaan, jonka jälkeen konetta voidaan operoida consolen avulla. PXE buuttaus on oiva tapa clientin syöttämiseen ja GSS:n mukana tuleekin 3com boot services tätä toimintaa varten. lisäksi RIS integraatiokin on mahdollista.
Ainakin omassa työssä olen kuitenkin havainnut että tälläiset tyhjäkone tilanteet ovat hyvin vähäisiä, josta olen todennut että PXE tarpeeseen nähden on turhan työläs. Olen päätynyt käyttämään simppelimpää ja varmatoimisenpaa ratkaisua, eli bootti cd:tä (PXE:tä käyttäessäkään ei välty koneen luona käymiseltä).
Jostain syystä boot wizardissa ei ole valmiina console boot cd:n tekoa. Joten se vaatii hieman virittelyä.

Valitse WinPE ja Next
46.jpeg

Standard Ghost Boot Disk, next
47.jpeg

Next
48.jpeg

Next
49.jpeg

Next. Jos käytössä ei ole DHCP palvelinta pitää sinun määritellä verkkoosi sopivat asetukset.
50.jpeg

Valitse create ISO image sekä osoita tallennuspaikka sekä anna tiedostolle nimi.
51.jpeg

Lisää add napilla tiedostot ngctw32.exe ja ghwalk32.exe (tiedostot löytyvät c:\program files\symantec\ghost\). Destination folder on ghost.
52.jpeg

Paina start editing ja poista START.BAT: kohdan jälkeinen teksti ja korvaa se seuraavalla tekstillä.
Voit myös ohittaa tämän vaiheen ja muokata imagea lopuksi. Tällöin muokkaa start.bat tiedostoa joka löytyy ghost kansiosta.

set path=%path%;x:\ghost

x:
cd \ghost
rem --- This will remove any traces of virtual partition from hard drive ---
gdisk32.exe /revert  >> x:\ghost\startlog.txt

rem --- This will create primary OS drive configuration ---
ghost32.exe /setosdrives /blind >> x:\ghost\startlog.txt
start ngctw32.exe -console

Lopuksi paina stop editing ja etene wizardi loppuun.
53.jpeg
ISO image on valmis voit polttaa sen levylle. Kun buuttaat koneen tällä levyllä ilmestyy se consoleen nimettynä MAC osoitteellaan. Jos kyseinen kone on jo consolessa osaa silloin käyttää entisiä tietojaan.

Vistan asennus ja KMS aktivointi

KMS aktivointi on suurasiakkaille tarkoitettu "oma" aktivointi palvelu. Kun työaseman kloonaa perinteisesti ja ghostwalkeria käytetään sidin luomiseen niin Vista ei aktivoidu oikein KMS palvelimelle. Ongelma ratkeaa uudelleen aktivoimalla työasema asennuksessa. Lisää asennus taskiisi pari komentoa käyttäen execute command toimintoa.
Ensin:

cscript C:\windows\system32\slmgr.vbs -rearm

Jonka jälkeen 
shutdown -r
ScreenShot014.jpg

Windows 2008 sekä uudemmat domain controllerit ja Windows XP

Johtuen W2K8:n default domain policyn tietoturva asetuksista GSS ei saa liitettyä winxp työasemia domainiin. Ongelma ratkeaa asentamalle WinXP koneisiin tämän päivityksen. Päivityksenkin jälkeen pcdos buutti ympäristöllä liittäminen ei onnistu, joten viimeistään nyt kannattaa alkaa käyttämään winpe:tä.
Tämä ongelma vaikuttaa myös Vista työasemiin mutta korjaus on lisätty SP1 päivityspakettiin.

GSS ja useampi AD domain

GSS pystyy toimimaan useammassa kuin yhdessä domainissa. Uuden domainin käyttöönotto tapahtuu seuraavasti.

Tools -> supported domain list. Paina add ja syötä domain kenttään lisättävä domain.

gsssdl02.jpg

GSS:ään voi määritellä vain yhden service accountin. Niinpä joudut uuteen domainiin luomaan täysin samalla nimellä ja salasanalla varustetun service accountin. Luonnollisesti tarvittavat oikeuksien delegoinnit pitää suorittaa.

Page tags: 2008 default domain ghost gss kms policy solution suite vista windows xp
page_revision: 118, last_edited: 1260741900|%e %b %Y, %H:%M %Z (%O ago)
EditTags History Files Print Site tools+ Options
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-NoDerivs 3.0 License