Оборудование сервера должно отвечать минимальным требованиям устанавливаемого продукта семейства Windows Server 2003. Например, если устанавливается Windows Server 2003, Enterprise Edition, компьютер должен отвечать минимальным требованиям этого продукта.
Диск емкостью не менее 4 гигабайт для дерева папок сервера RIS.
Сетевой адаптер, поддерживающий протокол TCP/IP, совместимый с Windows, со скоростью 10 или 100 Мбит/сек (рекомендуется 100 Мбит/сек). Сервер RIS не может быть многосетевым компьютером, т.е. на нем может быть установлен только один сетевой адаптер.
Требования к программному обеспечению сервера
Перед установкой службы сервера удаленной установки убедитесь, что в локальной сети или на компьютере, который будет работать в качестве сервера удаленной установки, имеются следующие службы:
Служба DNS-сервера;
Служба каталогов Active Directory;
Служба DHCP-сервера.
Рекомендуется службы DHCP- и RIS-серверов располагать на одном компьютере. Это ускорит процесс начальной загрузки с использованием PXE-клиента. Также рекомендуется не размещать DHCP- и RIS-сервер на контроллере домена.
Требования к оборудованию компьютеров-клиентов
Оборудование компьютера-клиента должно отвечать минимальным требованиям устанавливаемой операционной системы.
Загрузочное ПЗУ PXE по протоколу DHCP версии 1.00 или более поздней.
Прочие вопросы
RIS требуют значительного дискового пространства. Для дерева папок RIS следует выделить целый раздел диска.
RIS не могут быть установлены на один диск с системным или загрузочным томом.
Том, на который устанавливаются RIS, должен быть отформатирован с использованием файловой системы NTFS.
На данный момент RIS не поддерживают шифрованную файловую систему EFS (Encrypting File System). Распределенная файловая система DFS (Distributed File System) не поддерживается в качестве конечного расположения, однако службы RIS могут быть запущены на компьютере, на котором запущена DFS.
Вопросы безопасности архитектуры PXE и RIS.
Архитектура среды удаленной загрузки PXE (Pre-Boot eXecution Environment), используемая службами удаленной установки RIS (Remote Installation Services), имеет несколько уязвимых с точки зрения безопасности мест, неустранимых в связи с особенностями PXE. Архитектура PXE является стандартом, любой способ удаленной установки, использующий PXE, имеет эти уязвимые места.
Проблемы безопасности сводятся к следующему:
PXE не дает возможности предотвратить удаленную установку на компьютер-клиент с разрешенной PXE с неизвестного сервера. Сервер может выполнить удаленную установку, если ему удастся установить подключение к клиенту.
PXE не предоставляет возможности полностью предотвратить подмену пакетов. То есть пакеты, посланные атакующей стороной, могут быть получены клиентом и включены в установку компьютера-клиента.
PXE не предоставляет возможности предотвратить выполнение установки с сервера неизвестным компьютером с разрешенной PXE, если этот компьютер может подключиться к сети. Однако RIS предоставляет некоторую безопасность, не присущую PXE, т. к. RIS выполняет удаленную установку только после того, как пользователь выполнил вход. Пользователь, не имеющий действительных имени и пароля, не может использовать RIS для выполнения установки.
Кроме того, достичь большего уровня безопасности можно, предварительно настраивая компьютеры-клиенты и настраивая серверы RIS на ответ только известным (предварительно настроенным) клиентам. В этом случае, если злоумышленнику удастся подключить неизвестный компьютер-клиент с разрешенной PXE к серверу RIS, компьютеру-клиенту не будут отправлены файлы установки. Злоумышленник не получит доступа к сведениям о настройке, используемой на компьютерах-клиентах RIS.
В связи с этими проблемами безопасности рекомендуется защитить сети, содержащие компьютеры-клиенты с разрешенной PXE.
Чтобы компьютеры, управляемые пользователями не из вашей организации, не смогли установить подключение к компьютерам-клиентам с разрешенной PXE, выполните описанные ниже шаги.
Используйте правильно настроенный брандмауэр.
Используйте аудит и слежение для обнаружения вторжения в сеть.
Ограничьте физический доступ к сети.
Используйте надежные пароли.
Следуйте другим советам и рекомендациям по обеспечению безопасности сети.
