Vistan käyttöönoton haasteet ja ratkaisut TKK:lla IT päiv ivät 23.10.2008 Dipoli Petri Paavola IT palvelukeskus Petri.Paavola@tkk.fi TKK/HSE/TAIK Tekniset lisätiedot myös Timo HänninenH IT palvelukeskus TKK/HSE/TAIK
Vista TAP PV PV TKK/HSE Vista Beta ohjelma ohjelma, Technology Adoptation Program Product Validation TAP alkoi 2005 vuoden lopulla Suomesta TKK ja HSE sekä Suomen Microsoft Maailmanlaajuisesti noin 50 organisaatiota Aluksi kovatkin vaatimukset asennettujen clienttien määrän n suhteen, mutta kesti pitkää ään täyttää tavoitteet (loppujen lopuksi 100 Vista työasemaa per organisaatio)
Onko Vista tatuoinnin arvoinen? ) Googlaa Vista tattoo
Ja sitten itse asiaan Käydään n läpi l muutamia huomioita, ongelmia ja ratkaisuja joita TKK:lla on tehty Vistakäyttöönoton yhteydessä Asioita käydk ydään n läpi l hyvinkin teknisellä tasolla Tarkoitus on kertoa vähintv hintään n toimintatapoja ja ajatusmalleja sekä jossain määm äärin myös s teknisiä detaileja Meidän n valitsemat ratkaisut eivät t välttv lttämättä ole oikeita ;)
Vistan asennus (WDS) TKK:lla on vahva RIS osaaminen 2000/XP XP ajoilta,, joten hallittu asennusjärjestelm rjestelmä oli tuttu, mutta WDS toi tullessaan täysin t erilaisia ajattelumalleja Computer objektit täytyyt prestageta eli eli luoda etukäteen, teen, jotta Vista liittyy domainiin oikealla nimellä asennuksen aikana wdsutil.exe auttaa objektin luonnissa Kone tunnistetaan MAC:n tai GUID:n perusteella HUOM! Objektiin muodostuu aina sama oletussalasana, joten supertietoturvaylläpit pitäjä disabloi tunnuksen heti luonnin jälkeen. j Koneen asennus enabloi tunnuksen aikanaan.
Vistan asennus WDS/WinPE WinPE Levyjen osiointi winpe vaiheessa Wds tukee vain yhtä unattend.xml tiedostoa winpe vaiheeseen eli voidaan valita vain yksi levyosiointitapa Tarpeita on enemmän, n, esim. bitlocker asennus vs. normaali pöytp ytäkone Ratkaisuna on tehdä tarvittava määm äärä winpe boot imageita ja lisätä tuunattu autounattend.xml imageiden sisää ään, jolloin boot imagea valitessa valitaan myös s levyn osiointi
Vistan asennusimage install.wim RIS tyylisesti emme halunneet capturoida asennusimagea vaan käyttk yttää suoraan DVD:ltä löytyvää imagea Tarvittavat asetukset tehdää ään unattend.xml:llä ja imagen offline editoinnilla Ajurit ja päivityksetp WAIK:n omilla työkaluilla
Install.wim offline editointi editointi Mountataan install.wim imagex:llä Editoidaan imagen rekisteriin mm. seuraavia asioita Pöytäkoneissa disabloitu hibernate [HKEY_LOCAL_MACHINE\SYSTEM SYSTEM\CurrentControlSet\Control\Session Manager\Power] "Heuristics"=hex:05,00,00,00,00,01,01,00,00,00,00,00,00,00,00, 00,3f,42,0f,000 0,3f,42,0f,00 The seventh value is 01, as near as I can tell, that means Hibernate is ON. GPO Verbose On, jotta ensimmäisess isessä bootissa näkyy mitä Group Policyja käsitellään [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Poli cies\system System] "VerboseStatus"=dword:00000001
Install.wim offline editointi editointi Vaihdettu taustakuvat imageres.dll:ää ään Disabloitu Shift F10 debuggaus WinPE:stä ja install.wim:stä KB929839 DisableCMDRequest.TAG (Windows\Setup Setup\Scripts Scripts folder) Poistettu C levyltc levyltä kirjoitusoikeuksia käyttäjiltä mm. C:n juuresta ja Public Foldereista Oikeuksia voi tarkistella Sysinternalsin työkalulla accesschk.exe
Install.wim ja SCCM SCCM (System( Center Configuration Manager) ) ei tue suoraan levyltä löytyvää asennusimagea vaan se on aina pakko capturoida mallikoneesta Install.wim asentuu oletuksena D levylle, D jos yrittää käyttää sitä suoraan SCCM:n kanssa Kannattaisiko siirtyä suoraan SCCM:ää ään ja unohtaa WDS?
Vistan oletusprofiilin muokkaus XP:ssä oletusprofiili tehtiin mallikoneessa ihan loggaamalla sisää ään n ja klikuttamalla asetukset haluamikseen ja sitten kopioidaan saatu profiili verkkojakoon Vistan kanssa oletusprofiiliin näytti n jääj äävän niin paljon roskaa, että se pääp äätettiin tehdä offline editoinnilla editoinnilla
Vistan oletusprofiilin muokkaus Kopioi C:\Users Users\Default hakemistosta oletusprofiili talteen Regeditissä avaa kopioidun profiilin ntuser.dat ja importtaa haluamasi avaimet oletusprofiiliin kopioi muokattu profiilihakemisto \\dc01\netlogon\default User.v2 Olisiko Group Policy Preferences nykyisin fiksumpi vaihtoehto?
IE:n trusted zoneen domainin tiedostot levypalveluista [HKEY_USERS\DEFAULTTI\Software\Microsoft\Windows\CurrentV ersion\internet Settings\ZoneMap ZoneMap\Domains\contoso.com\corporate] "file"=dword:00000001 [HKEY_USERS\defaultti defaultti\control Panel\Desktop] "ScreenSaverIsSecure"="1" [HKEY_USERS\defaultti defaultti\software\microsoft\internet Explorer\New Windows\Allow] foobar1.hut.fi"=hex:00,00 foobar2.tkk.fi"=hex:00,00 [HKEY_USERS\defaultti defaultti\software\microsoft\internet Explorer\PhishingFilter PhishingFilter] "Enabled"=dword:00000000 "ShownVerifyBalloon"=dword:00000001 [HKEY_USERS\defaultti\Software\Microsoft\Windows\CurrentVersio n\explorer\advanced] "HideFileExt"=dword:00000000 "AlwaysShowMenus"=dword:00000001 "Start_ShowPrinters"=dword:00000001
[HKEY_USERS [HKEY_USERS\defaultti defaultti\software Software\Microsoft Microsoft\Internet Internet Explorer Explorer\SearchScopes SearchScopes] "DefaultScope DefaultScope"="{662EB3A2 "="{662EB3A2 0221 0221 4C4D 4C4D B1EF B1EF AF5B653929DF} AF5B653929DF} "Version"=dword:00000001 "Version"=dword:00000001 [HKEY_USERS [HKEY_USERS\defaultti defaultti\software Software\Microsoft Microsoft\Internet Internet Explorer Explorer\SearchScopes SearchScopes\{0633EE93 {0633EE93 D776 D776 472f 472f A0FF A0FF E1416B8B2E3A}] E1416B8B2E3A}] "DisplayName"="@ieframe.dll, "DisplayName"="@ieframe.dll, 12512 12512 @="Live @="Live Search Search "URL"="http URL"="http:// ://search.live.com search.live.com/results.aspx?q={searchterms}&src={r results.aspx?q={searchterms}&src={r eferrer:source eferrer:source?}"?}" [HKEY_USERS [HKEY_USERS\defaultti defaultti\software Software\Microsoft Microsoft\Internet Internet Explorer Explorer\SearchScopes SearchScopes\{662EB3A2 {662EB3A2 0221 0221 4C4D 4C4D B1EF B1EF AF5B653929DF}] AF5B653929DF}] "DisplayName"="Google DisplayName"="Google "URL"= URL"=http http:// ://www.google.com www.google.com/search?q={searchterms}&rls=com.m /search?q={searchterms}&rls=com.m icrosoft:{language}&ie={inputencoding}&oe={outputencoding}&start icrosoft:{language}&ie={inputencoding}&oe={outputencoding}&starti ndex={startindex?}&startpage={startpage} ndex={startindex?}&startpage={startpage}
Roaming profiles ja Folder Redirection Käytössä on jo pitkään ollut roamaavat profiilit XP:ssä 30MB:n rajoitus tuli nopeasti vastaan erityisesti Autodeskin sovelluksilla Vistassa tuli toimiva Folder Redirection, jota pystyttiin ohjaamaan järkevästi ympäristömuuttujilla. XP:ssä ei loginin siinä kohdassa ollut kaikkia samoja ympäristömuuttujia käytössä
Profiilit Profiilin 30MB:n raja on kierretty ohjaamalla Application Data (%appdata%) suoraan käyttäjän kotihakemistoon Toisaalta tällöin ei välttämättä huomaa profiilin kasvanutta kokoa Samalla on edelleenohjattu myös Desktop, (My) Documents, Favourites, Contacts ja Downloads Edelleenohjauksessa tulee huomioida levypalvelulle tuleva kuormitus. Appdataa käsitellään aina verkon yli ja joissain sovelluksissa käsiteltävää dataa voi olla paljon
Profiilit Jos erittäin suuri sovellus ajaa Windows installerin käynnistyksessä, niin se voi kestää jopa 30 minuuttia verkon yli, kun paikallisella Appdatalla menisi pari minuuttia Toisaalta jos Appdataa ei edelleenohjaittaisi, niin saman sovelluksen datan takia sisään ja uloskirjautuminen voi kestää aina ~15 minuuttia (25MB ja 3000 tiedostoa), koska tiedostot kopioidaan edestakaisin koneen ja palvelimen välillä Koneen prosessori vaikuttaa olennaisesti sisäänkirjautumisen nopeuteen Levypömpelin suorituskyky voi tulla vastaan
Profiilien ongelmat ja ratkaisut Windows Sidebarin ja Gadgettien asetukset sijaitsevat local appdatassa eivätkä ne asetukset roamaa Ratkaisuna tehty logon/logoff skripti, jotta asetukset seuraavat Appdatan edelleenohjauksen takia useaan koneeseen ei saisi kirjautua yhtä aikaa Läppäreiden profiili on paikallinen ja se ei roamaa (My) Documents on edelleenohjattu kotihakemistoon ja se myös offline cachetaan Onko roamaamisesta enemmän hyötyä kuin haittaa? Yleiskäyttöiset opiskelijakoneet? Työntekijöiden omat koneet?
Kannettavat Vistat Kannettavissa koneissa paikalliset profiilit, mutta Documents on verkossa ja cachetettu offlinekäyttöä varten Tiedostojen synkkaus tapahtuu Vistassa täysin automaattisesti eikä käyttäjä voi vaikuttaa asiaan juuri mitenkään. XP:ssä käyttäjä pystyi itse valitsemaan mitä tapahtuu. Offline asetukset tehdään keskitetysti eikä käyttäjä voi itse klikutella asetuksia Cached credentials toimii ongelmitta
VPN ongelmat Vistan RTM:stä asti L2TP/IPsec VPN:ssä oli ongelmia levyjakojen kanssa. Jostain syystä Netbios täytyisi olla kytkettynä, että levyjaot toimivat tietyissä tilanteissa, mutta se ei ole vaihtoehto. RTM:ään saatiin fixi, joka korjasi bugin Vista SP1 rikkoi asian uudelleen ja siihen ei saatu korjausta kuin vasta puolen vuoden taistelun jälkeen Microsoftin tuen kanssa. Smb.sys:stä löytyi oikea bugi. (KB958285)
Sovellusyhteensopivuus Vistaan siirtymisen kulmakivi Koko siirtyminen voi kaatua tähän asiaan!!! Mm. msxml4 ei asennu silenttina Vistaan ja yllättävän moni sovellus vaatii msxml4:ää Osa sovelluksista ei asennu ja osa ei vaan toimi Vistassa Application compatibility voi auttaa ongelmissa Meillä kierretty joitakin ongelmia SoftGridin sovellusvirtualisoinnin avulla
SoftGrid pelastaa? Sovelluksia on saatu toimimaan Vistassa SoftGridin avulla Jopa sellaisia jotka eivät asennu Vistaan mitenkään Jopa sellaisia jotka eivät toimi paikallisesti asennettuna Vistassa mitenkään SoftGridin cache ohjattu suoraan kotihakemistoon (samat haasteet kuin profiilin kanssa) SoftGridin käyttäjälähtöisyys tuottaa ongelmia konekohtaisissa asennuksissa luokissa Microsoft Application Virtualization (SoftGrid) 4.5 näyttää jo lupaavalta
Microsoft Office 2007 asennus Meillä käytössä GPO/MSI pohjaiset sovellusasennukset Office 2007 ei ole enää täysin tuettu GPOasennuksissa vaan Microsoft suosittelee SCCM:n käyttöä Käytännössä asia ilmenee niin, että Office asentuu silenttina, sen jälkeen kun kaikki muut GPO asennukset ovat asentuneet koneeseen Officea ei saa uninstalloitua GPO/MSI:n keinoin
Group policyt Konekohtaiset GPO:t on sinänsä helppo tehdä, koska ne voidaan kohdistaa erikseen XP ja Vista koneisiin Entäs käyttäjäpuolen GPO? UserSecurity GPO on saatu väännettyä sellaiseksi, että se toimii sekä XP että Vista koneissa huomioiden molempien käyttöjärjestelmien erityistarpeet
Vistan nykytilanne TKK:lla TKK:lla on yhteensä noin 7500 työasemaa, joista noin 2500 on ITpalvelukeskuksen hallinnassa Vista koneita 911kpl (vs. 1331 XP konetta) Yleiskäyttöiset koneet pääsääntöisesti Vistaa Uudet henkilökuntakoneet pääsääntöisesti Vistalle
Kannattaako Vistaan siirtyä? Vistassa paljon hyviä asioita mm. tietoturvapuolella Tarvitaanko 2008 servereitä, jotta saadaan kaikki hyöty irti? Sovellusyhteensopivuus!?! Toimiiko sovelluksen asennus juuri teidän käyttämällä menetelmällä (GPO/setup.exe/SCCM/joku muu)?!? Microsoft on jatkanut XP:n tukea 2014 asti Käyttääkö olemassa olevat koneet XP:llä loppuun ja vain uusiin koneisiin Vista?
Kannattaako Vistaan siirtyä? Steve Ballmer on sanonut, että Vistan yli voi skipata ja odottaa Windows 7:ää Todennäköiseti Windows 7 on niin Vistayhteensopiva, että nyt Vistalle tehty työ ei menisi hukkaan Windows 7:n kanssa
Kysymyksiä & Kommentteja? Kiitos!