Адміністрування пристроїв на базі Windows Embedded 8

Наша взаимовыгодная связь https://banwar.org/

Павло Белевский

Журнал Control Engineering

№6 (48)

У завершальній статті з циклу публікацій, присвячених розробці пристроїв на базі вбудованої ОС Windows Embedded 8 Standard, торкаються теми обслуговування і адміністрування.

Життєвий цикл пристроїв умовно можна розділити на три фази: розробка, виробництво і цільове використання. У попередніх статтях в основному зачіпалася тема першого етапу - безпосередньо розробки пристрою. Далі запускається процес виробництва, який полягає в тиражуванні майстер-образу, отриманого на попередньому етапі. Для тиражування можуть використовуватися різноманітні засоби - як штатні, що надаються компанією Microsoft, так і сторонні. «Реальна» життя пристрою починається, коли воно залишає виробничий конвеєр. Саме про це важливому для кінцевого користувача етапі і піде мова в даній статті.

Визначальним моментом при виборі методів і підходів для обслуговування пристрою є принцип його роботи з точки зору зовнішніх підключень. Тут можливо три варіанти: повністю автономний пристрій; пристрій, підключений до закритої локальної мережі; пристрій, підключений до публічних мереж.

У разі автономних пристроїв спектр доступних засобів з адміністрування досить обмежений з причини того, що всі дії з пристроєм можуть проводитися тільки з локальної консолі при безпосередній участі обслуговуючого персоналу. У зв'язку з цим адміністрування автономних пристроїв характеризується найбільш низькою ефективністю, як з точки зору трудовитрат, так і оперативності, оскільки вимагає очного присутності фахівця. Ефективність обслуговування в даному випадку обернено пропорційна кількості пристроїв, тобто падає зі збільшенням їх кількості.

Варіанти закритою локальної мережі та Інтернету по суті відрізняються лише організацією віддаленого доступу до пристрою. Для закритої мережі це можна зробити без використання додаткових засобів. Для випадку, коли пристрій підключено до Інтернету, як правило, потрібна попередня підготовка по організації захищеного каналу, так званого VPN-з'єднання. Рішень, які дозволяють реалізувати VPN-тунель, досить багато. Це і вбудовані засоби ОС, і сторонні продукти. При цьому є один нюанс, який ускладнює ситуацію. Справа в тому, що традиційно VPN-з'єднання повинно ініціюватися з боку пристрою. Для сценарію віддаленого обслуговування це, як правило, є неприйнятним. Тобто, потрібно автоматичне створення і підтримання з'єднання. В ОС Windows Embedded 8, на щастя, ця задача може бути вирішена вбудованими засобами, а саме за допомогою технології DirectAccess.

Технологія DirectAccess дозволяє організовувати захищений канал між пристроєм та обслуговуючої інфраструктурою. Ключова відмінність DirectAccess від традиційного VPN-з'єднання полягає в тому, що після одноразової настройки тунель піднімається автоматично без участі користувача - досить просто підключити пристрій до Інтернету (рис. 1). Незважаючи на те, що дана технологія є вбудованої в WE 8 Standard, для її використання в пристроях потрібна додаткова активація.

Рис.1. Організація віддаленого доступу до пристрою за допомогою Direct Access

Розібравшись з організацією доступу, розглянемо доступні інструментальні засоби, які можуть допомогти при обслуговуванні пристроїв. Умовно можливий спектр завдань можна розділити на наступні категорії:

• Додавання, видалення та конфігурація компонентів ОС.
• Установка оновлень ОС.
• Установка і настройка прикладного ПО.
• Відновлення образу ОС.

У WE 8 Standard є можливість поновлення функціонального складу системи шляхом додавання або видалення окремих модулів. Для цієї мети використовується вбудована утиліта Deployment Image Servicing and Management (DISM). DISM запускається з командного рядка і може працювати як в онлайновому режимі, то eсть, безпосередньо з-під обслуговується системи, так і в режимі оффлайн. Якщо потрібно встановити кілька функціональних модулів і / або виконати їх налаштування, можна попередньо в редакторі конфігурації образу (ICE, см. Попередні статті) створити файл відповідей і застосувати його за допомогою тієї ж утиліти DISM.

Для установки оновлень ОС в WE 8 Standard є два методи. Перший, який використовується в настільній версії Windows, реалізований на базі агента, який завантажує оновлення з серверів Windows Update або WSUS і встановлює їх на системі. У разі, якщо пристрій повністю автономне (не має доступу до Інтернету або корпоративних серверів WSUS), є можливість встановити оновлення вручну за допомогою все тієї ж утиліти DISM або спеціального компонента Windows Update Standalone Installer.

Якщо потрібно більш тонка настройка системи, яка виходить за рамки конфігурації модулів WE 8 Standard та установки системних оновлень, знадобляться інші вбудовані засоби адміністрування Windows. В першу чергу це технологія Windows Management Instrumentation (WMI), за допомогою якої можна локально або віддалено працювати з диском пристрою, керувати обліковими записами користувачів, налаштовувати брандмауер, переглядати журнали роботи системи, виконувати перезавантаження системи тощо. Більшість функцій управління через WMI мають графічний інтерфейс. Так, наприклад, реалізований Embedded Lockdown Manager (рис. 2), за допомогою якого настроюються такі унікальні можливості WE8 Standard, як фільтри захисту від запису, діалоговий фільтр, фільтр клавіатури. Більш детально ці функції розглядалися в статті «Windows 8 Embedded Lockdown - можливості для вбудовування» (№ 3 (45) '2013).

Рис.2. Embedded Lockdown Manager

Доступ до функцій WMI, що не мають графічного інтерфейсу, можна отримати через командну середу PowerShell. Володіючи розвиненою підтримкою скриптової мови, вона є потужним інструментом для автоматизації завдань адміністрування системи.

WMI і PowerShell, успішно справляючись із завданнями адміністрування окремо взятої системи, проте, мають обмеженими можливостями по конфігурації групи з декількох пристроїв. Для сценаріїв, де потрібно централізоване віддалене обслуговування, може бути актуальним використання технології Active Directory. Ключова ідея Active Directory полягає в тому, що Windows-пристрою, в тому числі і на базі WE 8 Standard, можна структурувати в групи і управляти вже цілими групами, а не окремими пристроями. Використання Active Directory вимагає попереднього розгортання мережевої інфраструктури і, відповідно, не підходить для управління автономними пристроями. Для пристроїв, що знаходяться поза даної інфраструктури, необхідно використовувати VPN-з'єднання, наприклад на базі раніше згаданої технології DirectAccess.

Всі перераховані рішення не є комплексними, тобто, не вирішують відразу всі завдання з обслуговування, які, крім усього іншого, можуть включати моніторинг роботи пристроїв. Також, розглянуті механізми не призначені для управління великою кількістю пристроїв, коли мова йде про тисячі, десятки і, тим більше, сотнях тисяч. Одним з таких комплексних рішень є System Center Configuration Manager. Для обслуговування пристроїв на базі WE 8 Standard завдяки вбудованій підтримці фільтрів захисту від записи найкращим чином підходить остання версія даного продукту SCCM 2012 SP1. Проблема з фільтрами захисту від запису, які були розглянуті раніше, полягає в тому, що для застосування змін в системі з активованими фільтрами необхідно скористатися додатковими функціями. У разі використання WMI, PowerShell або групової політики Active Directory, потрібно відстежувати стан фільтрів і підтверджувати зміни окремою командою. При використанні SCCM це робиться автоматично.

SCCM 2012 SP1 дозволяє вирішувати наступні завдання:

• Розгортання операційної системи.
• Оновлення програмного забезпечення, в тому числі стороннього.
• Адміністрування додатків.
• Конфігурація установок системи.
• Моніторинг та створення звітів.

Обслуговування за допомогою SCCM має на увазі, що на кожному пристрої встановлено спеціальний агент. Агент у фоновому режимі періодично зв'язується з сервером SCCM для отримання керуючих команд і відправки результатів їх виконання. Управління всіма пристроями виконується з єдиної консолі (рис. 3). Для адміністрування відразу декількох пристроїв їх можна групувати в колекції.

Рис.3. Консоль управління System Center Configuration Manager 2012

SCCM має досить широким функціоналом і дозволяє вирішити більшість завдань по обслуговуванню. Серед допоміжних функцій хотілося б відзначити можливість доступу до консолі пристрою і збір інформації про апаратне і програмне забезпечення пристрою (рис. 4).

Рис.4. Інформація про конфігурації обладнання пристрою, що надається SCCM

Ми розглянули сценарії обслуговування, коли пристрій працездатний, але що робити, якщо воно вийшло з ладу і потрібно повне або часткове відновлення системи? Для вирішення цієї критичної для роботи пристрою ситуації WE 8 Standard володіє засобами щодо створення дисків відновлення. Для цього на етапі розробки способу ОС необхідно додати модуль Windows Recovery Disc, який надалі дозволить захопити вміст диска і зберегти його на прихованому томі або носію. У разі збою користувач зможе самостійно запустити режим відновлення і повернути систему в початковий стан.

* * *

Windows Embedded 8 Standard володіє широкими можливостями по адмініструванню пристроїв як в автономному, так і у віддаленому режимі. При цьому доступні як базові інструменти для вирішення конкретних завдань (утиліта DISM, менеджер блокувань Embedded Lockdown Manager), так і комплексні рішення (System Center Configuration Manager 2012), цілком покривають завдання адміністрування і обслуговування пристроїв.

Повний текст статті. (Pdf)

Павло Белевский,

Провідний спеціаліст відділу досліджень і розробок,

Департамент вбудованих систем,

ТОВ «Кварта Технології», м.Москва,

[email protected]