Загрузка Microsoft Hyper-V Server R2 с flash накопителя

Многим специалистам в области виртуализации известно о возможности загрузки и работы гипервизора VMware ESXi напрямую с flash накопителя.

Незадолго до релиза Hyper-V Server R2, Microsoft заявила о предоставлении аналогичной возможности своим OEM партнерам. До этого момента все попытки создания чего-то подобного пресекались одним неприятным фактом - установщик просто не видел никаких устройств со сменными носителями на этапе выбора места установки ОС.

Что же поменялось с выходом R2?

Да практически ничего. Установщик все также слеп. Однако, Microsoft добавила поддержку виртуальных дисков (в формате .vhd) на которых можно создавать разделы и устанавливать ОС, как если бы это были отдельные физические диски. Единственное требование - наличие еще одного системного раздела на физическом накопителе с записанным туда загрузчиком (bootmgr), который бы мог монтировать витуальный диск и запускать ОС.

Суть метода заключается в первоначальной установки ОС на поддерживаемый носитель (физический и виртуальный диски) с последующим переносом всех необходимых файлов, загрузочных секторов и загрузчика на flash накопитель. Для тестовых целей я устанавливал Hyper-V, используя VMware Workstation 6.5, т.к. он умеет презентовать usb устройства с хоста виртуальной машине. В качестве объекта эксперимента выступала моя новая 16Гб флешка, хотя должно хватить и 8Гб.

Установка ОС на виртуальный диск
Загрузитесь с установочного диска Microsoft Hyper-V Server R2.

Выберите язык установщика и языковые настройки. Запустите командную консоль cmd.exe, нажав комбинацию клавиш Shift + F10, либо в окне Install now выбрав Repair computer -> use recovery tools... -> Command Prompt.

В командной консоли запустите Diskpart и создайте новый раздел на диске:
select disk <НОМЕР_ДИСКА>
create partition primary
select partition 1
assign
format fs=ntfs label="Boot Partition"

Номер диска можно посмотреть при помощи команды list disk. Также можете выполнить detail partition, чтобы узнать букву, присвоенную разделу.

Создайте виртуальный диск на новом разделе и смонтируйте его:
create vdisk file=<ПУТЬ_К_ФАЙЛУ> maximum=<РАЗМЕР_ДИСКА> type=fixed
select vdisk file=<ПУТЬ_К_ФАЙЛУ>
attach vdisk

Закройте командную консоль и продолжите установку Hyper-V. На экране выбора расположения ОС укажите созданный виртуальный диск. Установщик выведет предупреждение о том, что Windows не может быть установлена на данный диск. Можете его проигнорировать.

После завершения процесса установки загрузитесь в ОС и обновите/добавьте драйверы для устройств.

Если вы планируете использовать создаваемый образ для загрузки нескольких серверов или на сервере с другой аппаратной конфигурацией, то перед копированием выполните:
sysprep /generalize /shutdown

Sysprep при следующей загрузке системы (с флешки) выполнит генерацию нового SID компьютера, обновит список устройств, очистит журнал событий и удалит профили пользователей.

Копирование образа на flash накопитель
После выполнения Sysprep, загрузите систему с установочного диска Hyper-V Server R2 и зайдите в консоль.

Подключите flash накопитель. Запустите Diskpart.exe и при необходимости создайте и отформатируйте на флешке новый раздел:
select disk <НОМЕР_FLASH_НАКОПИТЕЛЯ>
clean
create partition primary
select partition 1
assign
format fs=ntfs label="Boot Flash"

Пометьте созданный раздел как активный:
active

Подмонтируйте виртуальный диск и назначьте ему букву.
select vdisk file=<ПУТЬ_К_ФАЙЛУ>
attach vdisk
assign

Выйдите из Diskpart. Запишите на flash накопитель загрузочный сектор:
bootsect /nt60 <БУКВА_FLASH_НАКОПИТЕЛЯ>

Скопируйте загрузчик с виртуального диска на флешку:
bcdboot <БУКВА_ВИРТУАЛЬНОГО_ДИСКА>\Windows /s <БУКВА_FLASH_НАКОПИТЕЛЯ>

Запустите Diskpart еще раз и отмонтируйте виртуальный диск
select vdisk file=<ПУТЬ_К_ФАЙЛУ>
detach vdisk

Скопируйте все содержимое физического диска на флешку (включая файл виртуального диска .vhd):
robocopy /copyall <БУКВА_РАЗДЕЛА_ДИСКА> <БУКВА_FLASH_НАКОПИТЕЛЯ>

Теперь можете выключить компьютер и вынуть из него жесткий диск. Зайдите в bios, и в качестве первичного загрузочного устройства выберите flash накопитель, а также проверьте, что включены Intel VT-x/AMD-V и DEP, затем перезагрузитесь, и вуаля!

Хочу отметить, что несмотря на низкую латентность flash накопителей, время загрузки гипервизора существенно увеличивается по сравнению с обычным (sata) жестким диском. Однако, если вас это не пугает, а также в наличии флешка с большой емкостью, можете и Windows 7/Windows Server 2008 R2 на нее установить.

Альтернативный вариант установки Hyper-V Server R2 с использованием утилит из Microsoft WAIK вы можете найти в данной статье.

Безопасное удаленное администрирование Windows

Одна из самых непротиворечивых концепций безопасности гласит, что без крайней необходимости работать под учетной записью администратора не следует. Особенно под учетной записью администратора домена. Однако, решение административных задач, требующих повышенных привилегий, эта концепция не отменяет. Удаленный доступ к серверу через Remote Desktop – это лишние телодвижения, да и, опять же, небезопасно. Наиболее подходящий путь – локальный запуск нужных оснасток управления с использованием команды RunAs, которая позволяет администратору выполнять любые задачи в системе, зарегистрировавшись в ней с использованием учетной записи рядового пользователя.

Для управления удаленными серверами Windows я использую пакеты Administrative Tools для своей клиентской ОС. Они доступны для загрузки с сайта Microsoft:

Windows Server 2003 Administration Tools Pack: http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en

Microsoft Remote Server Administration Tools for Windows Vista: http://www.microsoft.com/downloads/details.aspx?FamilyId=9FF6E897-23CE-4A36-B7FC-D52065DE9960&displaylang=en

Remote Server Administration Tools for Windows 7: http://www.microsoft.com/downloads/details.aspx?FamilyID=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=en

Установив соответствующий вашей системе пакет администрирования, вы получите доступ прямо со своего компьютера к большинству оснасток управления серверами, таких как Active Directory Domains and Trusts, Active Directory Sites and Services, Active Directory Users and Computers, Distributed File System, DNS, Group Policy Editor, DHCP и пр.

Для запуска любой из оснасток с привилегиями доменного администратора, применим команду RunAs. Например, запустим оснастку Active Directory Users and Computers от имени пользователя admin, принадлежащего к домену domain.ru:

runas /netonly /user:domain.ru\admin “mmc dsa.msc”

Синтаксис RunAs достаточно прост, чаще всего с ней используются следующие ключи:

1) /user – имя пользователя;

2) /netonly – использование полномочий только для доступа к удаленным ресурсам;

3) /env – использование текущего окружения, без создания окружения, характерного для указанного ключем /user пользователя;

4) /profile – загрузка профиля пользователя;

5) /noprofile – загрузка профиля пользователя не будет осуществляться.

По аналогии можно запускать любую из оснасток, входящих в состав Administration Tools:

Active Directory Domains and Trusts – domain.msc

Active Directory Sites and Services – dssite.msc

Active Directory Users and Computers – dsa.msc

Computer Management – compmgmt.msc

Distributed File System – dfsgui.msc

DNS – dnsmgmt.msc

DHCP – dhcpmgmt.msc

Group Policy Editor – gpedit.msc

Local Security Settings – secpol.msc

Routing and Remote Access – rrasmgmt.msc

Само собой, оснастки для управления локальными ресурсами, которые по умолчанию установлены в любой Windows-системе, начиная с Windows XP, можно использовать и для администрирования удаленных систем. Приведу список самых используемых:

Services – services.msc

Device Manager – devmgmt.msc

Disk Management – diskmgmt.msc

Local Users and Groups – lusrmgr.msc

Shared Folders – fsmgmt.msc

Напоследок напомню, что для работы RunAs необходимо, чтобы была запущена служба Secondary Logon.

Если "Диспетчер Задач" заблокирован!

Что делать, если появляется сообщение

«Диспетчер задач отключен администратором»?

***

Если при попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», что это означает?

Как правило, недоступность Диспетчера задач говорит о возможном заражении системы вирусами. Дело в том, что вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти. При этом в Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач

Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (нажав кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows + D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).

Внимание! При работе с Редактором реестра Windows следует соблюдать осторожность, а то можно такого наредактировать, что придется переустанавливать операционную систему!..

Если Редактор реестра не запускается, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?.

Примечания

1. Диспетчер задач позволяет пользователям запускать или останавливать программы, наблюдать за их производительностью, следить за всеми выполняемыми программами, включая системные службы, узнавать названия исполняемых файлов программ, изменять приоритет процессов для выполняемых программ.

2. Групповая политика Возможности Ctrl+Alt+Del запрещает пользователям запускать Диспетчер задач (taskmgr.exe). Если эта политика включена, а пользователь попытается запустить Диспетчер задач, будет выдано сообщение о том, что текущая политика запрещает выполнение этого действия.

3. При работе пользователя ПК в корпоративной локальной сети отключение Диспетчера задач зачастую производится системным администратором – для защиты от деструктивных действий пользователя с шаловливыми ручками! – на то он и сисадмин!..

Ссылка на оригинальную статью http://netler.ru/pc/taskmgr.htm