Self Provisioning
Über das Computer Self Provisioning können Computer vollständig automatisiert mit Betriebssystem und Software - durch Mitarbeiter ohne Empirum Kenntnisse - neu aufgesetzt werden.
Im Vergleich zum Empirum-PE-basiertem Computer Self Provisioning (EPE 4) wurden zwei konzeptuelle Änderungen vorgenommen.
Zum einen wurde das Konzept der Computervorlagen eingeführt, das im Folgenden genauer erklärt wird. Außerdem wird zur Kommunikation mit dem Empirum-Server während der Computer Self Provisioning-Ausführung die Empirum-API verwendet. Somit muss auch auf dem Empirum Server der Empirum-API-Dienst installiert und konfiguriert sein.
Das WinPE-basierte Self Provisioning kann auf allen (EFI) Computern verwendet werden, der lokale Boot (um Self Provisioning überspringen zu können) funktioniert jedoch nur auf Computern, die zuvor bereits mit Empirum ab Version 19.0.1 / WinPE PreBoot Support Paket ab Version 1.6.1 aufgesetzt wurden. Alternativ kann man das Self Provisioning auch über einen USB-Stick durchführen, den man sich unter Boot Konfigurationen in Empirum erstellen kann.
Das WinPE-basierte Self Provisioning funktioniert nur mit EFI Computern. BIOS Computer werden nicht unterstützt. Und daher ist es wichtig darauf zu achten, dass die für Self Provisioning vorgesehene WinPE-basierte Boot-Konfiguration keine BIOS-Option enthält.
Ein Deployment über die Empirum Subdepots ist zurzeit nur möglich, wenn der zu bespielende Computer eine Verbindung direkt zum Empirum-API-Dienst des Empirum Master Servers aufbauen kann.
Wird ein USB Stick auf einem Server 2012 R2 oder Server 2016 bzw. Windows Server vor Version 1703 erstellt, können offline Quellen nicht hinzugefügt werden, da diese Windows Server Versionen keine zweite NTFS Partition erstellen können. Unterstützt wird diese Funktion erst ab Server 2019. Alternativ kann auch eine aktuelle Windows 10 Version mit installiertem ADK 10 (2004) und installierter Matrix42 Management Console verwendet werden.
Wenn Sie ein WinPE PXE-Image als Default-Image definieren, sind über diesen PXE-Server keine EPE-basierten OS-Installationen mehr möglich. Ein Mischbetrieb von WinPE-PXE Default/SP-Images und EPE-PXE OS-Installationen wird nicht unterstützt.
Ab der WinPE PreBoot Support Version 1.8.3 ist es möglich, Self Provisioning auch per http(s) durchzuführen.
Computervorlagen
Mit dem WinPE-basierten Computer Self Provisioning wird das Konzept der Computervorlagen eingeführt. Dieses löst das Konzept der Self Provisioning Gruppen ab. Computervorlagen sind Platzhalter in Empirum und können wie normale Computer-Objekte behandelt werden. Sie können wie normale Computer den Konfigurations- und Zuweisungsgruppen zugewiesen werden. Somit lässt sich der Zielzustand der neuen Computer festlegen.
Während der Durchführung eines Computer Self Provisioning wird eine Computervorlage ausgewählt, die als Vorlage für den neu-zu-erstellenden Computer dient. Dieser wird den Konfigurations- und Zuweisungsgruppen zugewiesen, denen auch die Computervorlage zugewiesen ist. Der neue Computer wird aktiviert und das Deployment wird im Anschluss durchgeführt.
Erstellen von Computervorlagen
Computervorlagen können in der Matrix42 Management Console unter Administration über das Kontextmenü im linken Baum erstellt werden.
- Klicken Sie mit der rechten Maustaste auf Computer oder Computervorlagen und wählen Sie Neue Computervorlage.
Es öffnet sich der Dialog, mit dessen Hilfe eine neue Computervorlage erstellt werden kann.
Der Neue Computervorlage Dialog entspricht dem Dialog zum Erstellen eines neuen Computers.
Besonderheit hier ist, dass die Eigenschaften UUID und MAC-Adresse bei Computervorlagen nicht angegeben werden. Diese Angaben können erst zur Laufzeit des Computer Self Provisioning vom jeweiligen Computer festgelegt werden. Diese Eigenschaften sind deswegen ausgegraut.
- Tragen Sie rechts neben Vorlagenname einen eindeutigen Namen ein (Pflichtfeld).
- Tragen Sie optional rechts neben Namensmuster einen Windows Computernamen für den/die zu installierenden Computer ein.
- Tragen Sie optional rechts neben Passwort und Passwort bestätigen ein Passwort zur Verwendung dieser Computervorlage ein.
- Tragen Sie rechts neben Arbeitsgr./Domäne einen Arbeitsgruppen- oder Domänenamen ein. Für einen Domänenamen muss die Option Domäne aktiviert (Häkchen gesetzt) sein (Pflichtfeld).
- Die FQDN (Fully-Qualified Domain Name) und OU (Organisational Unit) Einstellungen werden während des Client Self Provisioning nicht angewandt/unterstützt.
- Vorlagenname
Eindeutiger Name für diese Computervorlage. Eine Computervorlage kann nur einmal einer Konfigurationsgruppe zugewiesen werden. - Namensmuster
Wird bei Namensmuster ein Name vorgegeben, wird dieser Wert im Selfprovisioning-Prozess genommen und der Benutzer wird nicht mehr nach dem Namen gefragt. Der Wert wird automatisch als Computername für den zu erstellenden Client verwendet. Die EmpirumAPI wird gegebenenfalls ein "001, 002, ..." anhängen, falls es bereits einen entsprechenden Client gibt. Es sind nur maximal 12 der Zeichen A-Z, a-z, 0-9, -, _ erlaubt.
Ist der Wert bei Namensmuster leer, wird auf jeden Fall der Benutzer (während des Selfprovisioning Prozesses) nach dem Computernamen gefragt. Hierbei kann der Benutzer einen Namen mit maximal 15 Zeichen angeben. Dabei wird überprüft, ob der Name bereits in Empirum vergeben ist und der Benutzer entsprechend darauf hingewiesen. - Passwort, Passwort bestätigen
Wird unter Passwort und Passwort bestätigen ein Passwort eingetragen, muss direkt nach der Anzeige/Auswahl des Computer-SP-Templates das hier hinterlegte Passwort angegeben werden, um mit der Installation zu beginnen. Ist kein Passwort eingetragen, erfolgt auch keine Abfrage. - Arbeitsgr./Domäne
Eine Domäne/Arbeitsgruppe setzt sich aus mehreren Computern zusammen, denen ein gemeinsamer Name zugewiesen wurde. Eine Domäne besteht aus gemeinsam genutzten Ressourcen und deren Benutzern. - Domäne
Geben Sie hier an, ob der Computer in einer Domäne eingebunden ist. Wird hier kein Häkchen gesetzt, gehört der neue Computer zur unter Arbeitsgr./Domäne angegebenen Arbeitsgruppe. - FQDN (Nicht unterstützt)
Der Wert FQDN und sein Überschreiben werden über WinPE Self Provisioning noch nicht unterstützt. - OU (Nicht unterstützt)
Der Wert OU und sein Überschreiben werden über WinPE Self Provisioning noch nicht unterstützt.
- Vorlagenname
- Wurden alle notwendigen Angaben gemacht, kann die neue Computervorlage mit OK erstellt werden.
Diese wird dann in der Liste unter dem Filter Computervorlagen im linken Baum angezeigt (außerdem wird die Computervorlage auch in der Liste der nicht zugeordneten Computer angezeigt).
Der Filter Computervorlagen (Computer Templates) listet alle Computer mit der zugeordneten Rolle Computer Template auf.
Konfigurieren und zuweisen von Computervorlagen
Ist die Computervorlage erstellt, kann diese einer bestehenden Konfigurationsgruppe zugewiesen werden, die bereits für das WinPE-basierte OS-Deployment vorbereitet wurde. Wie im Kapitel Konfigurationsgruppe erstellen beschrieben, muss die Konfigurationsgruppe vorbereitet sein. Es müssen somit folgende Einstellungen vorgenommen werden:
- Zuweisung eines WinPE-basierten PXE-Images
- Zuweisung der notwendigen PreOS-Pakete (DiskPartitioning, WindowsInstallation, PxeOffAndReboot, DomainJoin, EmpirumAgentSetup, …)
- Konfiguration von Deployment-relevanten Computervariablen (Variablen Konfigurationen)
- Zuweisung der importierten Betriebssystemedition
- Zuweisung von Software-Paketen, die nach der Betriebssysteminstallation installiert werden sollen
Computervorlagen können zur Konfiguration von Zuweisungsgruppen ebenfalls verwendet und auch mehreren Zuweisungsgruppen zugewiesen werden. Bei der Durchführung eines Computer Self Provisioning wird der neu erstellte Client allen Gruppen zugewiesen, denen auch die Computervorlage zugewiesen ist.
Empirum-API Dienst konfigurieren und installieren
Wie bereits beschrieben findet die Kommunikation beim Computer Self Provisioning mit dem Empirum Server über die Empirum-API statt. Hierfür muss über Matrix42 DBUtil der Empirum-API-Dienst auf dem Empirum Master Server konfiguriert und installiert werden.
Ausführlichere Informationen zur Installation der Dienste über Matrix42 DBUtil finden Sie in der Matrix42 Online-Hilfe.
- Starten Sie hierfür Matrix42 DBUtil.
- Melden Sie sich mit dem entsprechenden Benutzer an.
- Wählen Sie den Standort aus.
- Öffnen Sie die Dienste Konfiguration über Menü > Aktionen > Dienste installieren/konfigurieren.
- Wählen Sie das Protokoll HTTP aus und konfigurieren Sie den Port für die HTTP Verbindung (Standardwert ist 9200).
Aktuell wird für das WinPE-basierte Computer Self Provisioning vorausgesetzt, dass der Empirum-API-Dienst mit dem Protokoll HTTP konfiguriert ist. Dieser kann entweder unverschlüsselt (HTTP) oder mit einem Zertifikat verschlüsselt (HTTPS) konfiguriert sein.
- Übernehmen Sie die Änderungen mit Übernehmen.
- Installieren Sie den Empirum-API Dienst neu über das Kontextmenü des Empirum-API Eintrages in der Liste.
- Nach der erfolgreichen Installation des Dienstes kann Matrix42 DBUtil wieder geschlossen werden.
Der Empirum-API Dienst ist somit installiert und steht für das WinPE basierte Computer Self Provisioning zur Verfügung. Als nächstes kann nun mit der Erstellung einer Bootkonfiguration für das Computer Self Provisioning fortgefahren werden.
Bootkonfigurationen - Computer Self Provisioning
Damit beim Bootvorgang das Computer Self Provisioning durchgeführt werden kann, muss eine Bootkonfiguration erstellt werden, die diese Funktionalität enthält. In einer WinPE basierten Bootkonfiguration muss dafür die Eigenschaft Self Provisioning aktivieren werden.
- Aktivieren Sie die zuerst den Schalter Erweiterte Eigenschaften.
- Aktivieren Sie die Option Self Provisioning aktivieren (Häkchen gesetzt).
Nach dem aktivieren werden zusätzliche Eigenschaften für die Anmeldeinformationen angezeigt. - Tragen Sie einen Empirum-API Benutzernamen, das zugehörige Empirum-API Kennwort und die Bestätigung des Passwortes ein.
- Soll nicht der Standard Empirum API Server verwendet werden, dann entfernen Sie das Häkchen der Option Standard Empirum API Server verwenden und tragen Sie rechts neben Alternativer Empirum API Server den zu verwendenden Server ein.
Verwenden Sie einen Benutzer der auf der Datenbank ausreichende Rechte besitzt. Der Benutzer muss mindestens die Rollen EMP_M_COMPUTER und EMP_M_COMP_ROLE besitzen, die dem Benutzer über Matrix42 DBUtil zugeordnet werden können. SQL Server- oder Windows-Benutzer sind möglich.
- Die Bootkonfiguration muss im Anschluss abgespeichert werden, damit die Änderungen am PXE-Boot-Image umgesetzt werden.
Wenn die PXE-Boot-Image-Erstellung dann erfolgreich durchgeführt wurde, kann mit der Aktivierung des Computer Self Provisioning auf dem Empirum Server fortgefahren werden.
Zusätzliche Empirum-API Verbindungsdaten
Um die Kommunikation zur WinPE Laufzeit aufbauen zu können, werden beim Bauen des PXE-Boot-Images weitere Verbindungsdaten aus der Datenbank entnommen und im PXE-Boot-Image abgelegt. Die folgenden Angaben werden übernommen:
- Empirum-API Dienst Servername oder der über die Option Alternativer Empirum API Server eingetragene Servername
- Empirum-API Dienst Angaben zum HTTP Protokoll:
- Port
- Verschlüsselung
Falls der Empirum-API Dienst noch nicht über Matrix42 DBUtil konfiguriert und installiert wurde, wird es beim Bauen des Self Provisioning aktivierten PXE-Boot-Image zu einem Fehler kommen, da die Verbindungsangaben zum Empirum-API Dienst notwendig sind.
Aktuell wird nur das HTTP-Protokoll unterstützt, das entweder unverschlüsselt (HTTP) oder mit einem Zertifikat verschlüsselt (HTTPS) konfiguriert sein kann.
Computer Self Provisioning auf dem Empirum Server aktivieren
WinPE-basiertes Self-Provisioning ist im aktuellen Zustand nur für Installation-Straßen vorgesehen und sollte nicht in produktiven Umgebungen eingesetzt werden, da dort die Arbeitsgeräte nicht lokal booten werden können, solange diese nicht vorher einmal mit der WinPE Support-Version (1.6.3) oder EPE Support-Version (4.7.11) aufgesetzt wurden.
Mit Hilfe der Offline Boot Medium-Erstellung kann unter Boot Konfiguration in der Empirum Konsole ein USB-Stick erstellt werden, mit dessen Hilfe das Computer Self Provisioning direkt am neuen Computer über das Booten des USB-Sticks ausgeführt werden kann.
- Soll das Computer Self Provisioning über einen PXE Boot ermöglicht werden, dann muss in Matrix42 DBUtil das Standard PXE Image auf dem PXE Server-Eintrag des Empirum Master Servers auf das erzeugte WinPE basierte Self Provisioning Image gesetzt werden.
- Im Anschluss muss die Änderung mit Übernehmen abgespeichert und der PXE-Dienst muss neu installiert werden.
Registry-Anpassungen für den Empirum PXE-Dienst
Wie beim EmpirumPE 4 (EPE 4) basierten Computer Self Provisioning ist auch beim WinPE basierten Computer Self Provisioning zu beachten, dass der folgende Registry-Wert auf dem Empirum Master Server (auf dem der PXE-Dienst läuft) gesetzt ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\matrix42\PXE\EPE4SP
Dieser muss auf 1 gesetzt, bzw. angelegt werden (Typ = DWORD; Wert = 1).
Computer Self Provisioning am Computer ausführen
Wurden die Vorbereitungen getroffen, kann nun das Computer Self Provisioning mit einem neuen Computer ausgeführt werden. Das Booten kann entweder über den erstellten USB-Stick oder über PXE ausgeführt werden.
- Wenn der Computer bootet, wird der Windows Boot Manager mit standardmäßig ausgewähltem Local Boot Eintrag angezeigt.
Möchte man das Self Provisioning ausführen, muss man den Menü-Eintrag Empirum Self Provisioning auswählen.
Nach der Auswahl des Empirum Self Provisioning wird automatisch die WinPE-basierte Umgebung gestartet und der Anwender wird durch das Computer Self Provisioning geleitet. Hierzu sind folgende Angaben notwendig:
- Auswahl der Computervorlage
- Angabe des hinterlegten Passwortes (wenn konfiguriert)
- Angabe des neuen Computernamens (wenn kein Namensmuster angegeben wurde)
Nach dem Start der Self Provisioning Benutzeroberfläche, erfolgt die Installation der notwendigen Treiber (1).
Anschließend wird eine Verbindung zum Empirum Server hergestellt (2).
Wenn die Aktion erfolgreich war, wird dies jeweils mit einem grünen Häkchen quittiert.
(3) Computervorlage auswählen
- Wählen Sie eine der verfügbaren Computervorlagen aus.
Hier werden ausschließlich zugewiesene Computervorlagen zur Auswahl angezeigt.
Nach Auswahl der Computervorlage gelangen Sie zur Eingabe für das Kennwort der Computervorlage (4). Wurde für die ausgewählte Computervorlage kein Kennwort vergeben, geht es direkt mit (5) Neuen Computernamen eintragen weiter.
(4) Kennwort der Computervorlage eintragen
- Wurde in der Computervorlage ein Kennwort eingetragen, muss dieses hier bestätigt werden, um den Computer per Self Provisioning neu zu installieren.
- Nach Eingabe des Kennwortes betätigen Sie die [ENTER] oder [TAB] Taste.
Das Kennwort der Computervorlage wird überprüft. Wurde das Kennwort korrekt eingegeben, geht es mit (5) weiter, wenn kein Namensmuster definiert wurde.
Wurde ein Namensmuster definiert, geht es direkt mit (6) weiter.
Wurde für die ausgewählte Computervorlage ein falsches Kennwort angegeben, können Sie es noch einmal eingeben, oder Sie wählen eine andere Computervorlage (3) aus.
(5) Neuen Computernamen eintragen
- Wurde in der Computervorlage kein Namensmuster definiert, muss jetzt ein Computername angegeben werden.
- Nach Eingabe des Computernamens betätigen Sie die [ENTER] oder [TAB] Taste, Sie gelangen zum Punkt (6).
Es sind maximal 15 der Zeichen A-Z, a-z, 0-9, -, _ erlaubt. Bei falsch eingetragenem Computernamen wird der Eingabebereich rot. Wenn Sie mit der Maus über den rot umrandeten Eingabebereich gehen, wird eine entsprechende Fehlermeldung angezeigt.
Wurde eine Computervorlage mit vordefiniertem Namensmuster ausgewählt, ist dieses Namensmuster als Computername bereits eingetragen.
(6) Bereitstellung jetzt starten
Sie haben jetzt die Gelegenheit, alle gemachten Angaben zu überprüfen.
- Mit einer beliebigen Taste [ENTER] wird der Vorgang abgeschlossen, so dass das Deployment für den Computer direkt im Anschluss durchgeführt werden kann.
Es erfolgt eine Überprüfung, ob dieser Computername bereits existiert - wenn ja, wird ein "001", "002 etc." angehängt und der Computer mit diesem Namen in Empirum registriert.
Aktuell ist dieses Schema der Namenserweiterung ("001", "002 etc.") fest vorgegeben und kann nicht geändert werden!
Im unteren Bereich wird jetzt der tatsächliche Computername angezeigt, so wie er in Empirum - in der Gruppe mit der ausgewählten Computervorlage - per API erstellt wurde.
Der neue Computer wird nun mit dem angegeben Namen in Empirum angelegt und entsprechend der ausgewählten Computervorlage den Konfigurations- und Zuweisungsgruppen zugewiesen und aktiviert.
Falls der Computer schon in Empirum bekannt ist, wird er vor erneuter Erstellung zuerst aus allen Gruppen und aus Empirum vollständig entfernt.
Wenn Sie mit der Maus über einen der drei gelben / grünen Punkte gehen, sehen Sie, welche der Dateien (<Computername>.ddc, <Computername>.ini, DeviceMapping.xml) schon erstellt / heruntergeladen (grün) ist.
Dieser Self Provisioning Bildschirm bleibt so lange sichtbar (Sanduhr), bis die neuen Verteilungsaufträge in die DDC-Datei geschrieben wurden, anschiessend wird der Startbildschirm angezeigt und das gewohnte OS Deployment läuft durch.
Self Provisioning über Depot Server (Offline)
Damit das Self Provisioning auch über einen Depot Server (Offline) durchgeführt werden kann, müssen folgende Voraussetzungen erfüllt sein:
- Angepasstes Empirum Agent Template.
- Angepasstes WinPE Bootimage - Standard und Self Provisioning.
- Eigene Empirum Gruppe mit entsprechend ausgewähltem Empirum Server (Depot).
- Die Variable FQDN muss mit einem korrekten Wert gefüllt sein.
- Das Sync-Template ESubdepot_DeviceMapping muss dem Depot Server (Offline) zugeordnet sein (wenn Empirum Sync verwendet wird).
Empirum Agent Template
Am besten ist es, für den Depot Server (Offline) ein eigenes Empirum Agent Template zu erstellen (in diesem Beispiel "Agent_Depot").
Wichtig ist, dass der Depot Server (Offline) hier als "Ausfall-Server" ausgewählt wurde (in diesem Beispiel "Doku-Depot.RnD.local").
WinPE Bootimages
Für das Standard WinPE Boot Image und für das Self Provisioning Boot Image muss jeweils das zuvor erstellte Agent Template ausgewählt sein (in diesem Beispiel "Agent_Depot").
Empirum Gruppe
Sinnvoll ist es, hier eine eigene Konfigurationsgruppe zu erstellen (in diesem Beispiel "SelfProvisioning"). Damit die Konfigurationsdateien zum richtigen Depot Server übertragen (Sync) werden, müssen Sie folgende Einstellung vornehmen.
Klicken Sie mit der rechten Maustaste auf diese Gruppe und wählen Sie Eigenschaften. Wechseln Sie in das Register Empirum Server. Wählen Sie unter Verfügbare Empirum Server Ihren Depot Server (Offline) aus und fügen Sie ihn über die Plus Schaltfläche unter Ausgewählte Empirum Server hinzu.
Für einen funktionsfähigen Durchgang müssen dieser Konfigurationsgruppe die von Ihnen benötigten PreOSPakete, ein Betriebssystem-Import, ein PXE-BootImage (Standard, kein Self Provisioning) und eine Computervorlage zugeordnet sein. Optional können Sprachpakete, der UEM Agent und weitere Software Pakete zugeordnet werden.
Auch alle hier zur Verwendung kommenden Variablen müssen per Variablen Konfiguration (oder auch direkt auf dieser Konfigurationsgruppe) gesetzt sein, insbesondere die FQDN Variable.
Das Standard Boot Image wird benötigt, da weitere Reboots während der Betriebssysteminstallation notwendig sind.