國 立 中 央 大 學
資 訊 管 理 研 究 所 碩 士 論 文
以軟體為基礎之有碟PC教室管理系統
─以中央大學電算中心為例
指導教授:陳奕明 博士 研 究 生:吳素芬
中華民國九十三年六月
國立中央大學圖書館 碩博士論文電子檔授權書
(93 年 5 月最新修正版)
本授權書所授權之論文全文電子檔,為本人於國立中央大學,撰寫之 碩/博士學位論文。(以下請擇一勾選)
(ν )同意 (立即開放)
( )同意 (一年後開放),原因是:
( )同意 (二年後開放),原因是:
( )不同意,原因是:
以非專屬、無償授權國立中央大學圖書館與國家圖書館,基於推動讀 者間「資源共享、互惠合作」之理念,於回饋社會與學術研究之目的,
得不限地域、時間與次數,以紙本、微縮、光碟及其它各種方法將上 列論文收錄、重製、公開陳列、與發行,或再授權他人以各種方法重 製與利用,並得將數位化之上列論文與論文電子檔以上載網路方式,
提供讀者基於個人非營利性質之線上檢索、閱覽、下載或列印。
研究生簽名: 吳 素 芬
論文名稱:
以軟體為基礎之有碟PC 教室管理系統-以中央大學電算中心為例指導教授姓名: 陳 奕 明 博士 系所 : 資訊管理 所 博士 ; 碩士班
學號: 91433022
日期:民國 93 年 7 月 11 日
備註:
1. 本授權書請填寫並親筆簽名後,裝訂於各紙本論文封面後之次頁(全文電子檔內之授權書
簽名,可用電腦打字代替)。
2. 請加印一份單張之授權書,填寫並親筆簽名後,於辦理離校時交圖書館(以統一代轉寄給
國家圖書館)。
3. 讀者基於個人非營利性質之線上檢索、閱覽、下載或列印上列論文,應依著作權法相關規 定辦理。
現今 PC 教室不管所安裝的是微軟視窗作業系統或是其他 OS,為了達到快 速存取的目的,有碟PC 教室己成為發展之趨勢。但有碟 PC 教室存在著許多管 理上的問題,這些問題涵蓋層面甚廣,包括如何簡化教室內PC 系統安裝之繁瑣 程序、如何避免作業系統被刪改破壞、如何防止病毒感染、如何自動執行system patch 等等。
為了防止電腦作業系統被使用者有心或無意的刪改破壞,目前國內各級學校 的電腦教室,普遍採用加插硬體再生卡或還原軟體的解決方案。使用再生卡或還 原軟體確實可以在系統被破壞時加速還原,減少教室管理人員重新安裝系統的人 力與時間,但是以使用度最高的微軟視窗作業系統而言,再生卡或還原軟體將系 統還原至以前的狀態後,必須再花費人力與時間,重新更新病毒碼並做到最新的 Windows Update,否則容易感染病毒或遭駭客入侵。
針對有碟PC 教室的管理問題及使用再生卡或還原軟體解決方案之缺點,本 研究整合不同來源軟體,包括微軟 Windows 2000 作業系統本身所提供的各 項服務、網際網路上的免費軟體以及我們自行開發的 WOL(Wake On LAN) 網路喚醒工具,提出一個改善的系統架構。經實作於中央大學電算中心開 放自由上機的電腦教室,確實減輕系統管理之人力與時間,並且沒有使用再生 卡或還原軟體將系統還原後的缺點,有效達成自動化以降低管理成本,進而提高 服務品質之目標。
關鍵詞:電腦教室管理、Active Directory、群組原則、網路硬碟複製、網路喚醒
致謝
此篇論文得以順利完成,首先要感謝我的指導教授陳奕明老師,陳老師為人 敦厚、教學嚴謹,不僅讓我在學術研究領域有所成長,也是我待人處事學習的榜 樣。在撰寫論文遭遇瓶頸的過程中,幸賴陳老師費心的指導與鼓勵,才讓我能夠 繼續堅持下去,對老師的感謝之意,筆墨難以形容。另外承蒙口試委員侯廷偉教 授及周立德教授撥冗賜教,給我許多寶貴的意見,讓本論文內容得以更加完整,
謹致上最誠摯的謝意。
感謝曾黎明主任一直以來的關心,並鼓勵我努力向上、繼續進修;范國清主 任、許健平主任以及中心同仁的支持,才讓我得以兼顧工作與學業;雅慈、劍青 與慈敏提供許多技術建言;立業、昀洋、子聖、建成在系統建置及測試的過程中,
給予我許多協助;同窗兩年的啟聰、秀松及蒲中一起為完成論文努力,經常給我 加油打氣。要感謝的人太多了,對於曾經從旁指導、鼓勵以及協助我的人,再此 也一併致謝,因為有您們,讓我感受到真實的幸福。
最後,由衷感謝我親愛的家人,感謝他們毫無保留的愛與支持,還有在天堂 守護著我的母親,是我最堅實的精神支柱,母親給我的愛,永誌我心。
吳素芬 謹誌 民國九十三年六月 於中央大學電子計算機中心
第一章 緒論 ...1
1.1 研究動機與目的...1
1.2 研究方法...2
1.3 研究範圍與限制...3
1.4 研究成果...5
1.5 論文架構...5
第二章 研究背景介紹 ...6
2.1 PC 教室發展沿革...6
2.2 有碟 PC 教室的管理問題...8
2.3 有碟 PC 教室管理傳統之解決方案...9
2.3.1 再生卡...9
2.3.2 還原軟體... 11
2.3.3 再生卡及還原軟體優缺點比較... 11
第三章 系統實作 ...12
3.1 系統架構...12
3.2 有碟 PC 教室管理系統主要功能元件...14
3.2.1 SPFDisk ...16
3.2.2 網路硬碟集體複製...16
3.2.3 微軟系統準備工具 Sysprep...17
3.2.4 Microsoft Active Directory ...18
3.2.5 DHCP Service ...19
3.2.6 DNS (Domain Name System)...20
3.2.7 Wake On LAN (網路喚醒)...21
3.3 系統設定...23
3.3.1 Domain Controller_CC-SERVER1...24
3.3.2 Domain Controller_CC-SERVER2...27
3.3.3 用戶端母機...27
3.3.4 群組原則生效的要件...34
3.3.5 網路硬碟複製的設定...35
3.3.6 Wake On LAN 網路喚醒工具...36
第四章 系統測試與效能評估 ...39
4.1. 系統備援效能測試及評估...39
4.2 負載平衡效能測試及評估...39
4.2.1 第一次實驗結果...40
4.2.2 重新檢視,發現疑點...41
4.2.3 更正設定程序,重新實驗...42
4.2.4 增加 client 端個數,再次實驗...44
4.3 實驗結果總結...46
第五章 結論 ...48
5.1 研究結論...48
5.2 研究貢獻...52
5.3 未來研究方向...53
參考文獻 ...54
附錄1 安裝 Active Directory Service 升級為網域控制站 ...56
附錄2 設定 DNS ...60
附錄3 設定 DHCP...61
附錄4 設定 Active Directory 群組原則 ...65
附錄5 指定網域 ncucc 帳號,使用網路設定檔 ...69
附錄6 複製使用者設定檔至 CC-SERVER1...71
圖1-1 研究流程 ... 4
圖2-1 傳統單機操作電腦教室示意圖 ... 6
圖2-2 Diskless PC/LAN 電腦教室示意圖... 7
圖2-3 再生卡原理 ... 10
圖3-1 有碟 PC 教室網路架構圖... 13
圖3-2 系統主要功能元件組成示意圖 ... 15
圖3-3 網路廣播( Multi Cast )集體同步複製... 17
圖3-4 Active Directory 目錄服務基礎架構概念圖... 19
圖3-5 DHCP、動態 DNS 和 LDAP 運作模式示意圖 ... 20
圖3-6 WOL(網路喚醒)硬體環境示意圖... 22
圖3-7 系統安裝及設定流程圖(CC-SERVER1) ... 24
圖3-8 用戶端母機系統安裝及設定流程圖 ... 28
圖3-9 SPFDisk 分割硬碟磁區畫面 ... 30
圖3-10 SPFDisk 開機選單畫面 ... 30
圖3-11 設定 Windows Update 自動更新... 32
圖3-12 網路硬碟複製 Server 端執行畫面 ... 35
圖3-13 網路硬碟複製 Client 端執行畫面... 36
圖3-14 Wake On LAN 網路喚醒工具 ... 37
圖3-15 Wake On LAN 程式功能模組圖 ... 37
圖3-16 Wake On LAN 主程式作業流程圖 ... 38
圖4-1 第一次實驗結果-DC 個數影響登入效能比較(使用網路設定檔) ... 40
圖4-2 第一次實驗結果-DC 個數影響登入效能比較(使用本機設定檔) ... 41
圖4-3 第二次實驗結果-DC 個數影響登入效能比較(使用網路設定檔) ... 42
圖4-4 第二次實驗結果-DC 個數影響登入效能比較(使用本機設定檔) ... 43
圖4-6 第三次實驗結果-DC 個數影響登入效能比較(使用本機設定檔) ... 45
圖4-7 雙台 DC service client 登入數量統計表... 45
圖4-8 3台 DC service client 登入數量統計表... 46
表2-1 有碟 PC 教室管理傳統解決方案比較表 ... 11
表3-1 電腦教室系統軟硬體規格 ...14
表3-2 網域控制站端-系統主要功能元件介紹 ...15
表3-3 用戶端-系統主要功能元件介紹 ...16
表3-4 系統設定需求之軟體檢查清單 ...23
表5-1 本系統與傳統解決方案之比較 ...50
以軟體為基礎之有碟 PC 教室管理系統 第一章
___________________________________________________________________________________
第一章 緒論
1.1 研究動機與目的
近幾年來政府推動知識經濟,致力發展「綠色矽島」,其規劃理念即是加強 高科技研發,培育創新人力,全面推廣資訊科技與網際網路的運用,加速知識與 產業結合,提升整體資源運用效率,以確保經濟永續發展[7]。為了達成綠色矽 島發展願景,政府全力推廣資訊教育,培養國民資訊素養,以提昇國家競爭力。
在資訊教育的推廣過程中,電腦教室的正常運作是影響資訊教學的主要因素 之一,要維持電腦教室系統的穩定與安全,各項軟硬體的維護與使用者的管理均 屬非常繁雜之工作。
在早期DOS 及 Windows 31 的作業系統時代,可使用 diskless PC 搭配區域 網路作業系統(例:Novell 公司之 Netware)所架設的 File Server 來達成簡化教室 管理及避免 PC 感染病毒的風險[1]。但隨著 Windows95 作業系統問世以後,使 用 diskless PC 透過區域網路至 File Server 下載作業系統至 client 端開機的作 法,在當時BNC 網路頻寬僅 10MB 的網路環境裡,因作業系統龐大導致下載等 待時間過長,已經不符時間效益,因此有碟PC 教室成為必然之趨勢[2]。
但有碟PC 教室存在下列管理問題有待克服,這些問題包括:
1、如何簡化作業系統與應用軟體的安裝程序,不須每台 PC 重覆安裝?
2、如何維持系統的穩定性,避免因使用者不當的使用,而造成無法開機或 應用軟體無法使用的局面?
3、如何維持系統的安全性,防止病毒感染並做到最新的 system patch?
4、如何保持系統的彈性,即時套用更新系統環境設定的修改?
針對有碟PC 教室的系統安裝及損壞還原問題,一般學校常選擇使用再生卡 或還原軟體解決方案,但以使用率最高的微軟視窗作業系統而言,使用再生卡或 還原軟體將系統還原後,必須再花費人力與時間,重新更新病毒碼及做到最新的 Windows Update,很可能在尚未完成更新的過程中,電腦教室內的 PC 已遭到病 毒的感染與駭客的入侵[3]。
針對上述有碟 PC 教室的管理問題及使用再生卡或還原軟體解決方案之缺 點,本研究整合微軟 Windows 2000 作業系統本身所提供的各項服務(Active Directory、DNS、DHCP、Sysprep)、網際網路上的免費軟體以及我們自行開 發的 WOL(Wake On LAN)工具,提出一個改善之系統架構。經實作於中央 大學電算中心開放自由上機的電腦教室,確實減輕系統管理之人力與時間,
並且沒有使用再生卡或還原軟體將系統還原後的缺點,提供使用者一個穩定而安 全的教學實習環境,有效達成自動化以降低管理成本,進而提高服務品質之目 標。這樣的系統架構及管理經驗,希望可以提供各級學校參考。
1.2 研究方法
本研究的研究流程如圖1-1 所示,可以分為以下幾個階段:
1、探討 PC 教室發展沿革
PC 教室的發展,主要配合各項軟硬體的技術,最早從網路尚未興起的單 機作業,再到 diskless PC/LAN 的採用,而為了達到快速存取的目的,
有碟 PC 教室己成為發展的趨勢。
2、探討有碟 PC 教室管理問題
有碟 PC 教室存在著許多管理的問題需要克服,包括如何簡化系統安裝 與更新?如何防止硬碟資料被使用者修改或損毀?如何即時自動更新病
以軟體為基礎之有碟 PC 教室管理系統 第一章
___________________________________________________________________________________
3、分析現有相關解決方案的優缺點
就目前各級學校普遍採用之再生卡及還原軟體等解決方案,分析其優缺 點。
4、針對現有解決方案之缺點提出改善之系統架構
使用再生卡或還原軟體雖然可簡化系統安裝與更新,並防止硬碟資料被 使用者修改或損毀,但微軟視窗作業系統還原後,卻會造成需要重新更 新病毒碼及重做 Windows Update,不僅耗費人力、時間,且容易造成資 安漏洞。此階段本研究嘗試提出一個可改善有碟 PC 教室管理及上述問 題之系統架構。
5、分析系統所需之相關技術
此階段分析本研究所提之系統架構所需之相關技術。
6、實際設定安裝系統及發展軟體介面
此階段透過系統安裝與設定及 Wake On LAN 軟體介面之開發進行系 統架構之實作。
7、實驗及評估系統效益
此階段進行實驗設計,以評估是否達成本研究之預期系統效益。
8、提出結論
綜合系統實作及效能評估,與預期效益做相關的比對,並做結論。
1.3 研究範圍與限制
本研究主要以中央大學電算中心開放師生上機使用之電腦教室為研究範 圍,該教室共有八十部PC 加入 Windows 2000 Server 網域以接受 Active Directory 群組原則控管。本研究之限制主要有下列幾點:
1、本研究參與實驗之用戶端平台僅限研究範圍所述之電腦教室的八十台 PC。
2、本研究用戶端作業系統為 Windows 2000 Professional,伺服器端作業系統為 Windows 2000 Server 並啟動 Active Directory 成為網域控制站。
3、本研究基於簡化帳號管理之考量,僅建立一網域公用帳號供所有用戶端登入 網域。
4、本研究基於即時更新使用者設定檔之考量,選擇將使用者設定檔置於網路上 供用戶端讀取套用,以避免逐台修改本機設定檔之繁瑣程序。
探討 PC 教室發展沿革
探討有碟 PC 教室管理問題
分析現有相關解決方案的優缺點
針對現有解決方案之缺點提出改善之系統架構
分析系統所需之相關技術
實際設定安裝系統及發展軟體介面
實驗及評估系統效益
提出結論
以軟體為基礎之有碟 PC 教室管理系統 第一章
___________________________________________________________________________________
1.4 研究成果
本研究提出之系統架構,有別於一般學校所普遍採用之再生卡或還原軟體之 解決方案,我們從規劃硬碟磁區、安裝系統開始,即善用各種免費軟體及Windows 2000 作業系統本身所包含的各項服務(Active Directory、DNS、DHCP、Sysprep),
再加上我們自行開發的網路喚醒(Wake On LAN)介面協助系統維護與實驗測試。
例如:我們使用馮緒平先生所撰寫的SPFDisk 工具協助多重作業系統開機的 硬碟磁區規劃及開機選單管理[11]、使用劉劍青先生所撰寫的「網路硬碟集體複 製」程式簡化了安裝作業系統及應用軟體的繁複程序、使用Windows 2000 Active Directory 的群組原則來控管用戶端使用環境,避免了用戶端本機硬碟資料被使用 者刪改破壞、而DHCP Server 則簡化了用戶端的網路設定並可達到教室 PC 固定 IP 位址管理的便利等等。
本研究所提出之系統架構經實作於中央大學電算中心的電腦教室環境,使用 以來確實解決了有碟PC 教室的管理問題並避免了使用再生卡或還原軟體將系統 還原後需重新更新病毒碼及重做Windows Update 的缺點。
1.5 論文架構
本論文共分五章,第二章為研究背景介紹,探討PC 教室發展沿革及有碟 PC 教室的管理問題,介紹有碟PC 教室管理傳統之解決方案,並分析其優缺點。第 三章介紹本研究之「有碟PC 教室管理系統」的系統架構、主要功能元件及實作 程序。第四章為系統測試與效能評估,針對本研究所提之系統架構設計實驗,進 行系統備援及負載平衡的效能測試,以評估是否達成預期效益。第五章則為結 論,說明研究成果、研究貢獻與未來研究方向。
第二章 研究背景介紹
2.1 PC 教室發展沿革
1990 年之前,區域網路之技術與應用尚未成熟,當時的 PC 教室是傳統單機 操作的環境(如圖 2-1 所示),1990 年 7 月台灣學術網路(TANET)正式成立[8],1991 年12 月 TANET 申請 64Kbps 數據專線,連接美國普林斯頓大學JvNCnet,自此與 Internet 接軌[9],校園網路時代宣告全面來臨。
圖2-1 傳統單機操作電腦教室示意圖
中央大學的計算機資源使用環境,也因為校園區域網路的全面鋪設而起了重 大的變革,就以電算中心所開放的PC 電腦教室而言,存在著三大不可或缺的組 合元素,這三大元素即為 diskless PC,File server、LAN,透過 PC 區域網路作 業系統的居間整合運作,轉型成為可以提供資源共享的 diskless PC 區域網路教 室(如圖 2-2 所示)。
以軟體為基礎之有碟 PC 教室管理系統 第二章
___________________________________________________________________________________
圖2-2 Diskless PC/LAN 電腦教室示意圖
若以管理者的觀點來比較,diskless PC/LAN 的教室環境解決了傳統單機運 作的缺點如下:
1、單機硬碟容易感染病毒。
2、單機硬碟資料保存不易,有被刪除或格式化的危險。
3、安裝軟體程序重複繁瑣,如果教室中有 50 部 PC,則同一套軟體需重複 50 次安裝程序。
4、無法方便共享同一份資料。
5、軟體成本較高。
6、印表機資源無法共享。
因為diskless PC/LAN 具有下列優點:
1、簡化管理設定,即管理一套可適用多套。管理者只需設定好 File server 的環境,就可提供多部 PC 使用,節省人力及時間。例:安裝軟 體只要裝在 File server,不需每部 PC 都安裝。
2、File server 提供檔案資源共享,可節省每部 PC 的硬碟空間及資料重 覆輸入的時間。
3、提供印表機資源共享。而列印佇列(print queue)的功能設置,更可節 省使用者等待單機列印的時間。
4、Diskless PC 工作平台可避免硬碟病毒及被格式化的危險。
Diskless PC/LAN 的教室環境在 DOS 及 Windows 31 這類小型作業系統下,
能夠從 Server 透過網路傳輸至 Client 端流暢的運作,但是在 1995 年微軟推出 Widows 95 作業系統之後,無磁碟電腦區域網路教室即面臨嚴酷的挑戰,因為一 個最單純尚未安裝應用軟體的 Wndows95 作業系統,就占了大約一百多 MB 的 大小,更遑論尚要安裝其他套裝軟體。當時電腦教室乙太網路的資料傳輸速率是 10Mbps(Mega-bits per second),即每秒鐘傳輸 10Mbits 的資料,相當於每秒鐘傳 輸1MByte 的資料。由於區域網路中的所有電腦,是一起分享乙太網路的傳輸速 率,所以當有很多部電腦同時傳輸資料時,資料封包是同時擠在乙太網路傳輸設 備中,就好像高速公路擠了很多車流一樣,每部車子的車速便會慢了下來,在當 時乙太網路頻寬為10MB 的環境裡,如果所有教室裡的 PC,均需透過區域網路 連接至 File Server 下載作業系統來執行,就會大量占用網路頻寬並造成 File Server 的嚴重負載,導致整個系統的 performance 低到令人無法接受。
2.2 有碟 PC 教室的管理問題
今日的電腦教室不管是安裝微軟 Win95 之後的各類視窗作業系統或是其他 OS,為了達到快速存取的目的,有碟 PC 教室己然成為電腦教室發展之主流。但 有碟PC 教室存在下列管理問題有待克服,本論文之研究重點即是嘗試為這些問 題提供一可用之解決方案:
以軟體為基礎之有碟 PC 教室管理系統 第二章
___________________________________________________________________________________
2、如何維持系統的穩定性,避免因使用者不當的使用,而造成無法開機 或應用軟體無法使用的局面?
3、如何維持系統的安全性,防止病毒感染並做到最新的 system patch?
4、如何保持系統的彈性,即時套用更新系統環境設定的修改?
2.3 有碟 PC 教室管理傳統之解決方案
2.3.1 再生卡
電腦教室是開放使用的空間,公用電腦的資料最怕硬碟資料被使用者無心或 惡意的格式化(format)或是刪改,自從再生卡產品問世後,電腦教室的管理似乎輕 鬆了許多,因為當電腦安裝了再生卡後,硬碟內的資料無論如何被刪改,只要重 新開機即可回復被刪改前之正常狀態。
再生卡最基本的的運作觀念是將要保護的硬碟切割成兩個partition,一區存 放實體, 實體必需要有密碼才可修改,另一區則是由實體所複製而成的分身,電腦 是以分身區開放使用,可讓使用者任意寫入資料,當下次電腦重新開機時,又會 重新從實體區複製系統至分身區,維持每次開機系統均為乾淨正常的狀態。但如 果每次開機都要從實體區複製一次分身,開機等待時間會很久,為了解決這個問 題,再生卡採取開機時直接從實體讀,當有修改時才放到分身去, 而寫入時分身區 會mapping 到實體區的對應位址,讓作業系統不知道其存在,讀的時後,有寫入過的 讀分身,沒寫入過的讀實體這樣就可達到所謂的"瞬間復原"的功效。
再生卡能夠達成上述的運作模式,其原理是因為在 IBM 相容 PC 上 BIOS 中的INT 13h 是所有磁碟 I/O 的中斷服務常式,再生卡利用 firmware 將 INT 13h 攔去.在系統完成開機前,硬碟控制權已經交到再生卡手上,所有的方法都沒辦法
將控制權搶回來,包括單步追蹤,都沒辦法取回原中斷.所以系統只有乖乖在它掌 控之下了[10]。
再生卡的優點是可以有效的降低因電腦被刪改破壞而必須重新灌製安裝的 次數,減輕電腦教室管理人員的負擔,但也有以下缺點:
1、每部電腦均須加裝一片實體的介面卡,購置成本高。
2、硬體規格不具彈性,且可能有與其他硬體相容性的問題。
3、再生卡的運作模式會使硬碟可用空間減少。
4、在系統還原後,必須再花費人力與時間,重新更新病毒碼及做到最新的 Windows Update,很可能在尚未完成更新的過程中,電腦教室內的 PC 已 遭到病毒的感染與駭客的入侵。
圖2-3 再生卡原理
【資料來源:董仲愷,http://turtle.ee.ncku.edu.tw/~tung/ntroom/arch.htm】
以軟體為基礎之有碟 PC 教室管理系統 第二章
___________________________________________________________________________________
2.3.2 還原軟體
此類軟體功能與再生卡相同,能夠在短期間內復原一台電腦,且能大量複製 擁有相同配備電腦的硬碟內容,這種特性簡化了電腦教室軟體的安裝工作,讓管 理人員無須一台一台逐一重複的做著相同工作。還原軟體的優點是不受限於硬 體,彈性較大,不過相對來說,其執行效率較硬體慢。此類軟體較具知名度者有 賽門鐵克公司出版的 Ghost 軟體及北軟公司所出版的「還原精靈」。
2.3.3 再生卡及還原軟體優缺點比較
表2-1 分別就傳統軟硬體解決方案,選擇以市場佔有率較高之蓮騰再生卡及 Ghost 還原軟體分析其優缺點。
表 2-1 有碟 PC 教室管理傳統解決方案比較表 解決方案
比較項目
再生卡 (蓮騰)
還原軟體 (Ghost) 簡化安裝程序,不須每台PC 重覆安裝
○ ○
系統損壞後,還原系統資料
○ ○
即時更新用戶端使用設定值 x x
系統還原後保持最新病毒碼 x x
系統還原後維持最新Windows Update x x 系統還原效率 很快(1 分鐘/4 G) 較慢(30 分鐘/4G)
硬體規格彈性 需 加 插 實 體 介
面卡,占用slot 故彈性小
無 須 加 插 實 體 介面卡,故彈性 較大
花費成本 高(一片$2800) 中(一套$1600)
【資料來源:本研究整理】
第三章 系統實作
本章針對「有碟PC 教室管理系統」進行系統實作之說明,第一節介紹系統 架構及系統軟硬體規格。第二節分別就 Windows 2000 網域控制站(Domain Controller)及用戶端所需之主要功能元件做介紹。第三節為系統設定,陸續介紹 Windows 2000 網 域 控 制 站 CC-SERVER1 、 第 二 台 備 援 作 用 的 網 域 控 制 站 CC-SERVER2 以及用戶端母機的系統設定程序,並特別針對群組原則生效要件 提出說明。另外在第三節我們還會介紹用戶端網路硬碟複製的設定程序,以及我 們自行開發的Wake On LAN 網路喚醒工具。
3.1 系統架構
本研究以中央大學電子計算機中心開放上機實習之電腦教室所建構之系統 為例,該教室共有80 部 PC,為推廣免費軟體與支援教學實習,每部 PC 均安裝 兩種作業系統供使用者彈性選擇,一為 Windows 2000 Professional,一為 Linux Red Hat 7.3,電腦教室詳細之軟硬體規格請參閲表 3-1。
在微軟視窗作業系統的環境,為了方便控管 80 部 PC 的使用環境,我 們安裝一台 Windows 2000 Server 主機(以下簡稱 CC_SERVER1),該主機 須啟動 Active Directory,升級為網域控制台(Domain Controller,以下簡稱 DC),教室內 80 部 PC (以下簡稱用戶端)均加入 Windows 2000 Server 所建 置之網域(i102.cc.ncu.edu.tw),以便利用 Active Directory 服務來管理教室。
在 系 統 備 援 方 面 , 我 們 安 裝 了 另 一 台 Windows 2000 Server( 以 下 簡 稱 CC_SERVER2),並加入 CC_SERVER1 的網域(i102.cc.ncu.edu.tw),
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
升 級 成 為 網 域 中 第 二 台 網 域 控 制 站 , 系 統 預 設 每 隔 五 分 鐘 CC_SERVER2 會自動與 CC_SERVER1 的帳號資料、群組原則等 Active Directory 設定值作複製同步化處理。使用者帳號登入時,兩部網域控制站 亦可平均分擔負載。
除此之外為了能夠更彈性的利用時間來進行部分的系統維護工作,我們自 行開發了 Wake On LAN 的網路喚醒工具,提供管理者於教室開放時間之外,
透過網路由遠端喚醒教室內的PC 以進行相關的系統維護。
電腦教室網路架構詳如圖3-1 所示。
圖3-1 有碟 PC 教室網路架構圖
表 3-1 電腦教室系統軟硬體規格
伺服器端 用戶端
電腦名稱
軟硬體配備
CC-SERVER1 CC-SERVER2 NAV-SERVER NCUCC-01 NCUCC-80
OS
Windows 2000 Server
Windows 2000 Server
Windows 2000 Server
Windows 2000 Professional /Linux Red Hat 7.3
CPU Pentium 3
1.2GHz
Pentium 3 1.2GHz
Pentium 4 2.6GHz
Pentium 4 2.6GHz
RAM SDRAM
1G
SDRAM 1G
DDR 1G
DDR 512M
DISK SCSI
34G
SCSI 34G
IDE 80G
IDE 80G
【資料來源:本研究整理】
3.2 有碟 PC 教室管理系統主要功能元件
本節主要介紹中央大學電算中心建置有碟PC 教室管理系統所使用到的 相 關 技 術 與 工 具 。 我 們 著 重 於 整 合 微 軟 視 窗 作 業 系 統 本 身 提 供 的 各 項 服 務、網際網路上的免費軟體以及我們自行開發的 WOL (Wake On LAN)工 具,來協助解決電腦教室管理的相關問題,圖3-2 為系統主要功能元件組成 示意圖,另外我們分別表列網域控制站端使用的主要功能元件如表 3-2 所示 及用戶端所使用的主要功能元件如表 3-3 所示。
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
圖3-2 系統主要功能元件組成示意圖
表 3-2 網域控制站端-系統主要功能元件介紹
功能元件名稱 來源 達成功能
Active Directory Windows 2000 Server
1、帳號管理
2、運用群組原則,控管用戶端使用 環境,保護用戶端本機系統
DNS Server 同上 支 援 DNS 動 態 更 新 , 使 Active Directory 得以正常運作
DHCP Server 同上 簡化用戶端 IP 位址設定並兼具固定 IP 管理的便利
【資料來源:本研究整理】
自行開發工具
Wake On LAN
有 碟 PC 教 室 管 理 系 統
WIN2000作業系統上的 工具程式 1、Active Directory 2、DNS
3、DHCP 4、Sysprep
網際網路上的免費軟體 1、SPFDisk
2、網路硬碟集體複製 程式
表 3-3 用戶端-系統主要功能元件介紹
功能元件名稱 來源 達成功能
SPFDisk Freeware 支 援 多 重 作 業 系 統 開 機 之 硬 碟 磁 區 規劃與啟動管理
Sysprep Windows 2000 Professional
1、解決硬碟複製後,用戶端電腦名 稱重覆的問題
2、解決手動加入網域的問題 自動更新 同上 設定 Windows Update 自動更新 網路硬碟集體複製 Freeware 簡化電腦教室 PC 安裝的繁複程序
Wake On LAN 網路喚醒工具
自行開發 協助日常系統維謢管理
【資料來源:本研究整理】
以下個別介紹本系統各主要功能元件:
3.2.1 SPFDisk
在大學的電腦資訊教學,為了因應不同作業系統的教學與實習,以及站在協 助推廣免費軟體的立場,電腦教室實有支援多重作業系統平台之必要。
由馮緒平先生所撰寫的SPFDisk (SpecialFDisk)這支免費軟體(Freeware),綜 合了『硬碟分割工具(FDisk)』及『啟動管理程式(Boot Manager) 』,可以幫助我 們方便的規劃硬碟磁區與設定多重作業系統的開機選單[11]。
3.2.2 網路硬碟集體複製
有碟PC 教室管理上一個很大的困擾,在於第一次安裝作業系統及應用軟體 或有大規模修改、或硬碟被破壞程度較高時,系統管理者需要每台電腦逐一的去 安裝或修復,這樣的情況會耗費大量的管理人力與時間。
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
為了解決上述的問題,我們使用劉劍青先生所開發的免費軟體─網路硬碟集 體複製程式,其工作原理是透過網路廣播(Multicast)集體同步複製(如圖 3-3 所 示),只要先建置一台母機,母機內安裝所需的各類作業系統與應用軟體,之後 即可利用該程式將母機硬碟的資料透過 Multicast 方式一次餵給無限制數量的 PC。母機的角色即為 Server,而其他待複製的 PC 則設定為 Client,要執行網路 硬碟集體複製程式之前,Server 與 Client 均須以 DOS 開機,並且執行網路卡的 Packet Driver 或 ODI Driver,接著分別於母機及待複製的 PC 執行 Server 端及 Client 端的硬碟複製程式,即開始進行網路硬碟集體複製[14]。
圖3-3 網路廣播( Multi Cast )集體同步複製
3.2.3 微軟系統準備工具 Sysprep
上一節我們介紹網路硬碟集體複製的程式,幫助電腦教室管理人員無需耗費 大量時間來從事作業系統安裝、應用軟體安裝(如 Microsoft Office)、週邊系統設 定等工作,大量降低了建置桌上PC 系統的成本。但是每台電腦經過硬碟集體複
製之後,會造成同一區域網路電腦名稱重覆的問題,這在微軟作業系統中是不被 允許的,另外為方便使用 Windows 2000 Active Directory 的相關功能來控管 電腦教室使用環境,每部電腦均須加入 Domain Controller 所在的同一網 域,如果要手動逐台加入網域,對教室管理人員來說也是一項繁複的工作,
我 們 找 到 微 軟 於 Windows 2000 Professional 作 業 系 統 安 装 光 碟 內
\support\tools\deploy.cab 目錄中的系統準備工具 Sysprep ,Sysprep 可以協 助我們解決電腦名稱重覆及逐台手動加入網域的問題,這個工具幫我們節省了 不少管理人力與時間,在稍後的章節裡,我們會說明其設定方法。
3.2.4 Microsoft Active Directory
Microsoft Active Directory 服務是 Windows 2000 平台的中心元件,Active Directory 目錄服務基礎架構如圖 3-4 所示,此目錄服務利用程式整合了 LDAP、
DNS、DHCP 和 Kerberos 的運作,而不再需要複雜的信任關係,減輕了管理人員 佈署企業網路的繁瑣設定。它同時也是分散式安全的核心,提供單一sign-on 登 入模式及存取方式,使公用密鑰和 Kerberos 加密功能可以在大部分網路通訊協 定下運作,且讓企業內部網路中sign-on 登入模式和存取控制能力延伸至外部使 用者,這些安全服務也能夠委任管理、對大型網域有延展能力並且有異質網路用 戶端驗證服務[4]。
我們利用Active Directory 的群組原則設定,來控管用戶端電腦的桌面及使 用環境,例如:我們可以在群組原則中設定,用戶端電腦在【開始】功能表中移 除【執行】功能表,如此可以避免使用者直接以執行指令的方式修改或破壞用戶
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
圖3-4 Active Directory 目錄服務基礎架構概念圖
【資料來源:廖裕康、陳仁泰編譯,「認識Active Directory Service 目錄服務」,華彩軟體】
3.2.5 DHCP Service
DHCP 為「Dynamic Host Configuration Protocol」之簡稱。其功能為動態分 配 IP 位置給區域網路中的機器,可以省去用戶端 TCP/IP 網路設定的麻煩,
DHCP 的運作原理如下:
1、Client 發出廣播封包請 DHCP 伺服器回應 2、DHCP Server 聽到廣播
3、DHCP Server 送出 IP 位置等相關資料給 Client
4、Client 收到後,便使用這個 IP 位置連上網路,一直到租約到期
比較特別的是我們利用 DHCP 中網路卡號對應特定 IP 的功能,實施有計 劃的分配IP,讓教室內每一部 PC 擁有固定的 IP 位址,達到固定 IP 位址管理,
除了不需至每台用戶端逐一設定 IP 的便利之外,並可以防止私設 IP 位置的情 況發生。
3.2.6 DNS (Domain Name System)
圖3-5 DHCP、動態 DNS 和 LDAP 運作模式示意圖
【資料來源:廖裕康、陳仁泰編譯,「認識Active Directory Service 目錄服務」,華彩軟體】
在網際網路上,每一主機同時擁有網域名稱(如 www.ncu.edu.tw)和 IP 位址 (如 140.115.17.145),我們可以由一部機器的 domain name 查其 IP, 也可以由機 器的 IP 反查它的 domain name,這些資訊皆存放在 DNS Server 上。
過去幾年裡,DNS 作了許多改變,安全及動態性的更新能力是 DNS 一個重 要延伸的功能。當一個使用者透過DHCP 為其電腦動態取得 IP 位址時,DNS 的
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
文件中,明確指出DNS 能夠以安全的方式只傳送有變動的資料庫,也就是只更 新某一部份,這對增進效能有很大的幫助。Microsoft Active Directory 目錄服務 提供整合式的 DNS,並且支援動態 DNS 通訊協定,因為若 DNS 沒有支援動態 更 新 的 話 , 可 能 會 導 致 Active Directory 無 法 正 常 運 作 [3] 。 因 此 我 們 在 CC_SERVER1 上架設 DNS server 以提供動態更新。
DHCP、動態 DNS 和 LDAP 運作模式如圖 3-5 所示。
3.2.7 Wake On LAN (網路喚醒)
Wake On LAN (WOL) 中文被稱為「網路喚醒」,是一種能從遠端透過 網路將關機的電腦開機的功能,就如同你平常按下電腦的電源開關讓電腦 開機一樣。Wake On LAN 的技術原理相當簡單:當電腦關機時,支援 Wake On LAN 的網路卡會進入 Magic Packet 模式,此時網路卡利用極低的電壓,
來維持一個基本運作,它會不斷的偵測外界傳來的訊號,如果該封包的訊號包含 有一組 Magic Package 時,它就會發出開機訊號給主機板,將電腦開機。
Wake On LAN(網路喚醒)硬體環境如圖 3-6 所示,要達成 WOL 必須具備 下列軟硬體條件[12]:
1、支援 Wake On LAN 的網路卡 2、支援 Wake ON LAN 的主機版
3、CMOS 須設定正確,在 CMOS 中 Power Management 選單的 Wake On LAN (或 Resume by LAN) 選項必須為開啟(Enable)狀態。
4、欲開機電腦必須使用 ATX 電源供應器。
5、必須有能夠傳送 Magic Packet 之軟體。
Magic Packet 運作方式的重點是在 MAC address,它標明了欲開機電腦 的網路卡卡號,它必須重覆十六次,且緊跟在六個 bytes 的 'FF' 後面。只 要網路卡找到封包「任何地方」中有如此的片段,便會將電腦開機。因這 個片段可以包在任何協定中,例如包在 TCP/IP、IPX 封包中,如此一來封 包可以被 router 或 switch 傳送,而不會影響 Magic Packet 讓遠端開機的 功能。也就是說,你可以在任何協定中的資料部份填上“FFFFFFFFFFFF”+
卡號...(16 次), 就可利用該協定作出一個使用該協定的 Magic Packet,而最 常被使用的是 UDP 封包[13]。
Wake On LAN 是許多網管人員喜歡使用的功能之一。有了網路喚醒,對於 不需要24 小時開機運作的機器,可以在需要的時候,直接從遠端透過網路將其 開機,然後進行維護,兼顧了省電與維護便利的需求。
圖3-6 WOL(網路喚醒)硬體環境示意圖
【資料來源:建碁公司網站http://www.aopen.com.tw/tech/techinside/wol.htm】
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
3.3 系統設定
本節說明系統設定之程序,首先介紹網域控制站(Domain Controller)及用戶 端母機的設定流程,並說明套用群組原則之生效要件,接下來介紹如何設定網路 硬碟複製以完成其他用戶端系統之安裝,最後一小節則介紹我們所開發的Wake On LAN 網路喚醒工具。
我們列出一張「系統設定需求之軟體檢查清單」如表3-4 所示,硬體需求檢 查清單可參考表3-1。
表 3-4 系統設定需求之軟體檢查清單 需 求 軟 體 清 單
網域控制站
一、作業系統 Windows 2000 Server (或 Windows 2003 Server ) 1、Active Directory Service
2、DNS Server 3、DHCP Server
用戶端母機
一、SPFDisk[11] (規劃硬碟磁區及設定多重作業系統開機選單) 二、作業系統 Windows 2000 Professional (或 Windows XP)
1、Sysprep
2、Windows Update 自動更新
三、網路硬碟集體複製程式[14] (複製母機硬碟至其他用戶端) Wake On LAN
網路喚醒工具
一、Apache Server 二、PHP 4
三、MySQL
3.3.1 Domain Controller_CC-SERVER1
CC-SERVER1 系統安裝及設定流程如圖 3-7 所示:
圖3-7 系統安裝及設定流程圖(CC-SERVER1)
以下個別介紹 CC-SERVER1 之重要設定程序,除群組原則可視實際需 要隨時更新設定外,其餘程序只須設定一次即可。
1、安裝 Active Directory Service 升級為網域控制站
在CC-SERVER1 安裝好 Windows 2000 Server 作業系統並將硬碟檔案系統設 開始
1、安裝 Windows 2000 Server
2、安裝 Active Directory Service 升級為網域控制站(DC)
3、設定 DNS Server
4、設定 DHCP Server
5、建立網域公用帳號 ncucc
6、設定群組原則
7、設定使用者資料暫存區
8、設定使用者設定檔擷取路徑
P 結束
P
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
Controller(DC),其安裝方法只須執行 dcpromo 指令以開啟 Active Directory 設 定精靈,須注意伺服器角色請選擇「新網域的網域控制站」,再循設定精靈導引,
依序建立新網域名稱並安裝DNS 服務,詳細設定步驟請參考附錄 1。
2、設定 DNS
由於 CC-SERVER1 升級成為 DC 時所建立之 DNS 只有正向對應域,所以 結束Active Directory 設定精靈之後,要再利用系統管理工具之 DNS 管理工具設 定反向對應域,並選擇為「Active Directory 整合區域」,詳細設定步驟請參考附 錄2。
3、安裝及設定 DHCP
為了簡化用戶端 IP 逐台設定的繁瑣程序,我們架設 DHCP Server 來回應 用戶端的 IP Request,另外為了讓教室內的每部 PC 能夠固定得到同一個 IP 以 方便管理,我們建立了 Static IP 的保留區,也就是說我們事先調查每部 PC 的網 路卡號,於保留區中設定每個卡號對照一個固定的IP。
安裝DHCP Service 之方式:【控制台】→【新增/移除程式】→【新增/移除 Windows 元件】→Networking Services →DHCP
DHCP Service 安裝完成後,在系統管理工具會新增一個 DHCP 管理工具,
我們可以利用這個工具來設定由DHCP 自動發放的 IP 領域、保留區、租用期限 以及IP 排除範圍等。做好相關之 DHCP Sever 的設定後,必須特別注意未經 Active Directory 目錄服務授權的 DHCP 伺服器無法提供服務,因此一定要記得執行 授權動作,詳細設定步驟請參考附錄3。
4、建立網域公用帳號設定
基於簡化帳號管理之考量,我們的電腦教室以網域公用帳號 ncucc 提供使 用者登入,管理者可透過系統管理工具中的「Active Directory 使用者及電腦」
建立一個不設密碼之公用帳號,接著再針對公用帳號建立適當之群組原則,當使 用者以 ncucc 帳號登入網域時,即自動套用群組原則接受控管。
5、設定 Active Directory 群組原則
利用群組原則可以做到許多控管,例如:可以發行或指派軟體給使用者或電 腦;可以指派開機、關機、登入及登出指令檔;可以定義及強制使用IE 的設定;
可以定義及強制使用桌面的設定;可以從【開始】功能表移除【執行】功能;將 使用者設定檔重新導向等等[5]。善用各項群組原則的設定可以有效控管用戶端 的環境,避免公用電腦教室的硬碟資料被使用者破壞與毀損。
本研究之群組原則設定係針對網域帳號 ncucc 生效,故在設定此原則時,
皆是集中在「使用者設定」下,詳細設定步驟請參考附錄4。
6、設定使用者資料暫存區
為了避免用戶端硬碟資料被刪改破壞,所以我們透過Active Directory 群組 原則及用戶端本機硬碟使用權限設定,讓使用者無法將資料儲存至用戶端本機硬 碟,這對於使用者在處理及編輯檔案時是不方便的,為了讓使用者可以快速的處 理資料,我們開放在 CC-SERVER2 建立一個 TEMP 的資料夾,並將它分享出 來給「網域 ncucc」帳號具有讀寫的權力,再透過 Active Directory 群組原則設 定,將使用者桌面之「我的文件」資料夾重新導向至
\\CC-SERVER2\TEMP。
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
7、指定網域 ncucc 帳號,使用網路設定檔
由於輸入法及印表機等設定無法直接從群組原則套用,因此必須輔以使用者 設定檔,但如果直接使用用戶端本機使用者設定檔,當相關設定變更時,管理者 必須逐台修改,是一件相當耗費時間與人力的工作,因此我們選擇使用網路使用 者設定檔,也就是指定網域公用帳號 ncucc 的設定檔,必須從 CC-SERVER1 的 某個路徑擷取,詳細設定步驟請參考附錄5。
往後若使用者設定檔的設定項目有任何變動時,我們只須修改後再覆蓋存放 在 CC-SERVER1 上的使用者設定檔,使用者只須重新登入,即可套用新的設定。
3.3.2 Domain Controller_CC-SERVER2
CC-SERVER2 安裝好 Windows 2000 Server 作業系統並將硬碟檔案系統設為 NTFS 後,即可以開始安裝 Active Directory,只須執行 dcpromo 指令以開啟 Active Dictionary 設定精靈,須注意伺服器角色請選擇「現存網域中的額外網域 控制站」,再依精靈指示完成設定即可將CC-SERVER2 加入到 i102.cc.ncu.edu.tw 網域中,成為第二台Domain Controller。
3.3.3 用戶端母機
由於電腦教室PC 數量眾多,共計 80 台,為了節省逐台安裝系統所耗費的 大量人力及時間,我們選擇先安裝設定好一部用戶端母機,之後再以網路硬碟複 製的程式,將用戶端母機的硬碟資料完整複製到其他PC,用戶端母機系統安裝 及設定流程如圖3-8 所示。
開始
使用SPFDisk 做硬碟磁區規劃 及
多重作業系統開機管理
安裝
Windows 2000 Professional
TCP/IP 網路設定
加入網域 並複製使用者設定檔
至 CC-SERVER1
設定Windows Update 自動更新
退出網域
安裝Sysprep
P 結束
P
建立本機 ncucc 帳號並將該帳 號加入 administraotrs 群組,以 執行後續用戶端應用軟體之安 裝與設定
安裝應用軟體
設定輸入法及印表機
停用本機 ncucc 帳號
設定目錄權限 1
2
3
4
5
6
7
8
9
10
11
12
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
以下個別介紹用戶端母機之重要設定程序,這些程序只須設定一次,
之後再以網路硬碟複製程式,將安裝完成之母機硬碟複製給其他的用戶端。
1、使用 SPFDisk 做硬碟磁區規劃及多重作業系統開機管理
為了提供教學實習及推廣免費軟體,我們的電腦教室提供多重作業系統開機 的選擇,每台PC 圴安裝 Windows 2000 professional 及 Linux Red Hat 7.3 供使用 者選用。
支援多重作業系統開機之PC 硬碟磁區規劃,須配合開機管理程式、使用的 作業系統數目、硬碟容量大小、特殊功能需求而定。我們選擇使用SPFDisk 這個 工具來協助我們做開機管理及分割磁區,這套開機管理程式有一個特性就是在管 理多種作業系統的磁區時,只會讓要開機的那個磁區顯現,其他的磁區都被它暫 時隱藏了(但如果是 DOS Extended 或 Linux 的磁區則沒辦法隱藏)。
以我們的電腦教室用戶端的硬碟為例做說明,我們分割了五個磁區(詳如圖 3-9):
(1) Windows 2000 (NTFS) 佔 5GB
(2) Linux Swap 佔 1GB,提供給兩個 Linux 共用 (3) Linux RedHat 7.3 (ext2) 佔 4GB (不含 swap)
(4) Win98 DOS (FAT32) 佔 20GB,(要進入此區,開機選單有密碼保護) (5) 實驗用 Linux 佔 4GB
第四個Win98 DOS 磁區可提供進入 DOS 模式,執行網路硬碟複製程式,由 於 DOS 模式無法以帳號控管使用權限,所以我們利用 SPFDISK 的開機選單密 碼保護選項,將此磁區在 Boot Menu 處做密碼保護。
圖3-9 SPFDisk 分割硬碟磁區畫面
圖3-10 SPFDisk 開機選單畫面
2、安裝作業系統及應用軟體
做 完 硬 碟 分 割 及 設 定 好 開 機 選 單 後 , 就 可 以 開 始 將 Windows 2000 Professional 作業系統安裝至 Windows 2000 的磁區,裝好作業系統後,須由控
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
限設定為 administrators,此帳號即為母機本地端之設定用帳號,接著以「本地 ncucc」身份登入,安裝各項所需軟體。
安裝完畢所需軟體後,以「本地 ncucc」身份登入並確認每個軟體是否運作 正常,一切確認完畢之後,再以「本地 administrator」登入,從控制台將「本地 ncucc」之權限降為 Power User。
3、TCP/IP 網路設定,決定群組原則的套用生效
用戶端網路設定,須設定「自動取得IP」,這樣用戶端即成為 DHCP client,
開機後會自動向 DHCP Server request IP 位址,另外特別注意在 DNS 的設定,
必須將第一台 DNS Server 設成 CC-SERVER1 的 IP 位址,如此才能讓群組原 則生效。
4、設定輸入法及網路印表機
由於輸入法及網路印表機之設定,無法由網域群組原則直接套用,因此必須 在用戶端以「本地 ncucc」登入本機做設定。稍後我們會介紹將本機使用者設定 檔複製到 CC-SERVER1。
5、加入網域以複製使用者設定檔至 CC_SERVER1
加入網域之方式須以「本地 administrator」身份登入,在桌面上「我的電腦」
按右鍵,點選「內容」之「網路識別」標籤頁中,按「內容」,將「成員隸屬」
改為網域,並輸入 CC-SERVER1 的網域名稱 ( i102.cc.ncu.edu.tw),接著必須輸 入具「網域 administrator」權限之帳號與密碼,即可加入網域中。
由於輸入法、網路印表機等設定,無法直接由群組原則套用,必須輔以使用 者設定檔。為了避免設定檔變更須逐台修改以及希望使用者可即時套用新的設 定,我們選擇將使用者設定檔置於 CC-SERVER1,因此我們必須將本機使用者 設定檔做適當設定後,再複製到CC-SERVER1 ,詳細設定步驟請參考附錄 6。
6、設定 Windows Update 自動更新
使用微軟作業系統很重要的一點是必須經常執行 Windows Update,以確保 系統安全防護,避免被駭客入侵,成為攻擊他人的跳板或是影響校園網路的正常 頻寬。我們可以在安裝用戶端母機時,以本地 administrator 帳號登入系統,於
【控制台】中設定【自動更新】,日後所有 Windows Update 的作業皆會自動執 行,不須管理者時時掛心。
圖3-11 設定 Windows Update 自動更新
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
7、以 Sysprep 解決單一電腦名稱及自動加入網域
當母機安裝完成後,會使用網路硬碟複製程式將母機的硬碟資料完整複製至 其他部電腦教室的PC,但這樣一來,勢必會造成電腦教室內的 80 部 PC 的電腦 名稱都是相同的,這在 Microsoft 的作業系統是不被允許的。另外一個問題是每 部電腦必須以其在網路上獨一無二的電腦名稱加入網域,如此才能順利的成為 Active Directory 所能控管的電腦物件。
之前我們撰寫一支 perl 的程式,這支程式會在 Windows 系統啟動時,抓取 每部電腦網路卡的卡號,取得卡號後,我們以 ncucc 字串加上卡號當做這台 PC 的電腦名稱寫入 Windows Registry,以此解決硬碟複製後電腦名稱重複的問題。
而每部電腦加入網域的解決方式,則是以手動逐台加入,相當耗費時間與人力。
為了解決上述令人困擾的管理問題,我 們 找 到 微 軟 於 Windows 2000 Professional 系統光碟內\support\tools\deploy.cab 中系統準備工具 Sysprep , 可以協助我們解決電腦名稱重覆及自動加入網域,這個工具幫我們節省了不少 管理人力與時間。
安裝Sysprep 須先啟動安裝管理員(setupmgr)以設定自動安裝時的參數,選擇 建立新答錄檔案,接著選取sysprep 安裝,再依指示依序完成設定。須特別注意 的是在電腦名稱設定的地方,我們利用回到上一步重複設定兩次不同的電腦名 稱,如此 sysprep 才可以在自動答錄檔內產生 ComputerName = * 的參數,這 個參數會協助PC 做完硬碟複製後重開機時自動以亂數產生電腦名稱。
另一個須注意的是設定電腦隸屬網域時,CC-SERVER1 要先暫時開一個沒 有密碼的管理員帳號在此使用,因為有密碼的帳號,經過測試發現會無法完成加 入網域的動作,該帳號於所有的用戶端均自動加入網域後即可移除。
8、設定母機目錄權限
公用電腦教室為保護PC 硬碟資料不被破壞,必須做好目錄權限的設定,當 母機所有的軟體均安裝完成後,我們必須對母機上各目錄的權限做適當的設定,
其設定原則如下:
1、 把 C:\ 底下所有看的到的目錄都設定成 everyone 只能讀不能寫;
administrator 完全控制。
2、C:\Documents and Settings\administrator\ 設 定 為 只 有 local administrator 可讀寫。
3、特殊的目錄如 sysprep 所在的目錄,也是不可以讓 administrator 以 外的帳號讀取,因為內有管理者帳號密碼等資料。
3.3.4 群組原則生效的要件
我們在測試使用群組原則控管用戶端工作環境的過程中,遭遇到多次的失 敗,一般坊間的Windows 2000 工具書均未提及如何讓群組原則生效的要件,經 過不斷的尋找資料與測試之後,我們整理出讓群組原則生效的要件如下:
1、CC-SERVER1 啟動 Active Directory 服務升級至網域控制站時,須同時 啟用DNS Service,以建立網域內 DNS 之「正向對應域」及「反向對應域」。 2 、 用 戶 端 的 TCP/IP 網 路 設 定 , 須 把 主 要 DNS 設 定 為 網 域 控 制 站
CC-SERVER1 的 IP。
其原因在於群組原則是 Active Directory 服務的主要功能之一,而 Active Directory 服務需要配合動態 DNS 才能提供用戶端輕易找到提供特定服務的主 機,微軟建議若使用非微軟的 DNS 系統時,最好該 DNS 系統有提供動態 DNS
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
之前測試群組原則套用多次失敗的主因,即是因為我們將用戶端TCP/IP 網 路設定的主要DNS 設到中大網域(ncu.edu.tw)的 name server (140.115.1.31),而該 name server 並未支援動態更新,故造成群組原則套用失敗。
3.3.5 網路硬碟複製的設定
用戶端母機安裝完成後,我們必須利用網路硬碟複製程式將母機硬碟的資料 複製給教室內其他 PC。我們選擇使用劉劍青先生所開發的網路硬碟複製程式來 協助作業。
要執行網路硬碟集體複製程式之前,server 與 client 均須以 DOS 開機,並且 執行網路卡的 Packet Driver 或 ODI Driver,接著分別於 Server 端(亦即用戶端母 機)執行指令「hdserv –broadcast」,執行畫面如圖3-12 所示,及待複製的 PC Clients 端分別執行「hdcopy --passive」的硬碟複製程式,執行畫面如圖 3-13 所示,即 開始進行網路硬碟集體複製[14]。需要特別注意的是:因為網路複製係高傳輸量 之 Multicasting,故必須先將欲進行網路複製的電腦教室網路與校園網路隔離,
才不會占用校園網路頻寬。
圖3-12 網路硬碟複製 Server 端執行畫面
圖3-13 網路硬碟複製 Client 端執行畫面
3.3.6 Wake On LAN 網路喚醒工具
我們在Apache Sever 上利用 PHP 及 MySQL [6] 開發了 Wake On LAN 網路 喚醒工具,如圖 3-14 所示。最主要的目的就是想利用這個工具透過網路在任何 時間、任何地方,喚醒教室內的電腦進行一些系統維護的工作,例如:在預設自 動執行Windows Update 的時間,喚醒教室內的電腦以進行自動更新,這樣一來 可以在微軟有重大安全更新時,第一時間做好系統漏洞修護,降低被駭客攻擊的 機率。另外我們也可以利用這個工具於電腦教室不開放使用的時段,將電腦喚醒 去執行一些運算的程式,以充份利用電腦資源。
我們在程式的功能設計上除了考慮到喚醒教室內的電腦之外,另必須要提供 使用者可以清楚知道被喚醒的PC 是否開機成功進入正常系統狀態,所以我們使 用簡單的 ping 指令,去逐一檢查被喚醒的 PC,並將回應的狀態以不同顏色標
以軟體為基礎之有碟 PC 教室管理系統 第三章
___________________________________________________________________________________
另外要使用此工具程式,必須經過帳號密碼的身份認証,以避免教室內電腦 被閒雜人等任意喚醒、浪費資源。
WOL 程式功能模組如圖 3-15 所示,WOL 主程式作業流程如圖 3-16 所示。
圖3-14 Wake On LAN 網路喚醒工具
圖3-15 Wake On LAN 程式功能模組圖
使用者資料建置模組 POP3 身份認證模組
Wake On LAN 網路喚醒工具
網路卡號與IP 資料 建置模組
PC 喚醒狀態 檢測模組 WOL
主功能模組
圖3-16 Wake On LAN 主程式作業流程圖 開始
身份檢核
選擇欲喚醒區域
送出Magic Packet 進行網路喚醒
等待兩分鐘開機 完成時間
利用 PING 指令 對喚醒之電腦進 行開機狀態檢測
結束 成功
失敗
以軟體為基礎之有碟 PC 教室管理系統 第四章
___________________________________________________________________________________
第四章 系統測試與效能評估
本研究系統架構之特色在於利用 Windows 2000 server 中的 Active Directory 服務的群組原則來控管登入網域之用戶端的使用者環境,我們設計於網域中架設 兩台 Domain Controller ,預期達成系統備援與負載平衡的功能,為了驗證本研 究系統架構的效益,我們設計了實驗進行測試。
4.1. 系統備援效能測試及評估
為了測試及評估系統架構的備援能力是否有效達成,我們修改了教室內每部 PC 的 Windows Registry,啟動了 Window 自動登入[15],亦即系統開機後,可 直接以網域 ncucc 帳號登入,無須再手動輸入,接著我們利用 WOL 工具同時開 啟用戶端80 部 PC,並在系統進行到登入網域帳號畫面的時候,我們拔掉其中一 部 Domain Controller 的網路線,據此觀察當一部 Domain Controller 發生狀況無 法提供服務時,是否每部用戶端均可以順利登入網域並套用群組原則?
根據上述的實驗方法,我們反覆測試了十次,每一次電腦教室的八十台都能 夠順利登入網域並套用群組原則,因此我們判斷本研究之系統架構確實具備系統 備援的效益。
4.2 負載平衡效能測試及評估
為了測試增加Domain Controller 的個數是否可以增進登入系統的效能,我們 共實驗四種不同的系統架構,以比較其效能:
1、 單台 DC,使用網路設定檔 2、 雙台 DC,使用網路設定檔
3、 單台 DC,使用本機設定檔 4、 雙台 DC,使用本機設定檔
每種系統架構,均逐次遞增同時開機登入系統之client 個數,以碼錶記錄每 台client 端登入完成之秒數,再計算該次完成登入時間之平均值,根據每次完成 登入時間平均值,繪出折線圖做比較。
4.2.1 第一次實驗結果
第一次實驗,每種系統架構 client 端均分組以五台、十台、十五台、二十 台、二十五台、三十台同時登入系統,量測其完成登入時間平均值,所得之各系 統架構折線圖如下:
圖4-1 第一次實驗結果-DC 個數影響登入效能比較(使用網路設定檔)
從這個圖看起來,在同樣使用網路設定檔的條件下,雙台 DC 架構比單台 DC 架構的登入速度平均快 26.47 秒,似乎證明雙台 DC 架構確實有助於平衡負 載。另一個呈現出來的訊息是Client 端同時開機個數愈多,則整體登入完成所耗
DC個數影響登入效能比較_使用網路設定檔
0 10 20 30 40 50 60 70
G5 G10 G15 G20 G25 G30
同時登入之client個數
登入完成平均秒數
Net_1DC Net_2DC
以軟體為基礎之有碟 PC 教室管理系統 第四章
___________________________________________________________________________________
圖4-2 第一次實驗結果-DC 個數影響登入效能比較(使用本機設定檔)
從這個圖看起來,在同樣使用本機設定檔的條件下,使用雙台DC 比使用單 台DC 的登入速度平均快 27.95 秒,似乎證明雙台 DC 架構確實有助於平衡負載。
另一個呈現出來的訊息是Client 端同時開機個數愈多,其影響整體登入完成時間 並不顯著。
4.2.2 重新檢視,發現疑點
當完成第一次實驗,取得數據繪出折線圖後,我們最初以為雙台DC 的系統 架構也達成負載平衡的預期效益,不過經過重新檢視這些數據與折線圖,我們發 現了疑點:
1、使用本機設定檔所得之兩條趨近於直線的折線圖(圖 4-2),表示當逐次增 加同時開機的 client 個數,從同時開 5 台逐次遞增到同時開 30 台,每次完成登 入的平均秒數並未明顯增加,顯示DC 個數並非影響 client 完成登入速度快慢的 決定因素。
2、使用網路設定檔所得之折線圖(圖 4-1),顯示單台 DC 及雙台 DC,若以 load balance 角度檢視數據亦有不合理之處(單台 DC 同時開 15 台 clients V.S. 雙
DC個數影響登入效能比較_使用本機設定檔
0 5 10 15 20 25 30 35
G5 G10 G15 G20 G25 G30
同時登入之client 個數
登入完成平均秒數
Local_1DC Local_2DC
台DC 同時開 30 台 clients,其登入秒數應該差距不大)。
因為上述疑點的產生,我們重新檢討實驗步驟是否發生錯誤?經反覆思考,
我們發現第一次實驗環境設定程序錯誤:我們先加入了第二台 DC ,再把第二 台DC 關機,測試單台 DC 環境之登入秒數,之後再打開第二台 DC,測試雙台 DC 環境之登入秒數。由於事先加入第二台 DC,造成第一台 DC 知道有第二台 DC 的存在,把第二台 DC 關機後,第一台 DC 試著在網路上搜尋連繫第二台 DC,
形成等待時間差。
4.2.3 更正設定程序,重新實驗
因為發現錯誤的原因,所以我們更正設定程序重新實驗:我們將第二台DC Server 退出 DC 後關機,形成一個最純淨的單台 DC 環境,重新測量 client 端分 組以五台、十台、十五台、二十台、二十五台同時登入系統之時間。陸續加入第 二台、第三台 DC,同樣測量 client 端分組以五台、十台、十五台、二十台、二 十五台同時登入系統之時間。
圖4-3 第二次實驗結果-DC 個數影響登入效能比較(使用網路設定檔)
DC個數影響登入效能_使用網路設定檔
0 5 10 15 20 25 30 35 40
G5 G10 G15 G20 G25
同時登入之 client 個數
登入完成之平均秒數
Net_1DC Net_2DC Net_3DC
