Zu Hauptinhalten wechseln
Matrix42 Self-Service Help Center

Self Provisioning

Das WinPE-basierte OS-Deployment unterstützt ab Matrix42 Client Management v19.0.1 das Computer Self Provisioning, mit dessen Hilfe Computer vollständig automatisiert mit Betriebssystem und Software durch Mitarbeiter ohne Empirum-Kenntnisse aufgesetzt werden können.

Im Vergleich zum Empirum-PE-basiertem Computer Self Provisioning (EPE 4) wurden zwei konzeptuelle Änderungen vorgenommen. Zum einen wurde das Konzept der Computervorlagen eingeführt, das im Folgenden genauer erklärt wird. Außerdem wird zur Kommunikation mit dem Empirum-Server während der Computer Self Provisioning-Ausführung die Empirum-API verwendet. Somit muss auch auf dem Empirum Server der Empirum-API-Dienst installiert und konfiguriert sein.

 
WinPE-basiertes Self Provisioning ist im aktuellen Zustand nur für Installation-Straßen vorgesehen und sollte nicht in produktiven Umgebungen eingesetzt werden, da dort die Arbeitsgeräte nicht lokal booten werden können, solange diese nicht erst einmal mit einer Empirum-Version ab 19.0.1 und WinPE Support-Version ab 1.6.1 aufgesetzt wurden.

Das WinPE-basierte Self Provisioning kann auf allen (EFI) Computern verwendet werden, der lokale Boot (um Self Provisioning überspringen zu können) funktioniert jedoch nur auf Computern, die zuvor bereits mit Empirum 19.0.1 / WinPE Support 1.6.1 aufgesetzt wurden. Alternativ kann man das Self Provisioning auch über einen USB-Stick durchführen, den man sich unter Boot Konfigurationen in Empirum erstellen kann. Beim Ausführen einer Self Provisioning-Boot-Konfiguration werden im aktuellen Stand zur Konfiguration hinzugefügte Treiber nicht installiert.

Das WinPE-basierte Self Provisioning funktioniert nur mit EFI Computern - BIOS Computer werden nicht unterstützt. Und daher ist es wichtig darauf zu achten, dass die für Self Provisioning vorgesehene WinPE-basierte Boot-Konfiguration keine BIOS-Option enthält.

Ein Deployment über die Empirum Subdepots ist zurzeit nur möglich, wenn der zu bespielende Computer eine Verbindung direkt zum Empirum-API-Dienst des Empirum Master Servers aufbauen kann.

Das WinPE-basierte Self Provisioning setzt mindestens die Empirum Version 19.0.1 (und WinPE Support 1.6.1) voraus, in der es möglich ist, die neuen Computervorlagen zu erstellen. In älteren Versionen von Empirum sind die Computervorlagen nicht vorhanden.

Wird ein USB Stick auf einem Server 2012 R2 oder Server 2016 bzw. Windows Server vor Version 1703 erstellt, können offline Quellen nicht hinzugefügt werden, da diese Windows Server Versionen keine zweite NTFS Partition erstellen können. Unterstützt wird diese Funktion erst ab Server 2019. Alternativ kann auch eine aktuelle Windows 10 Version mit installiertem ADK 10 (1903) und installierter Matrix42 Management Console verwendet werden.

Wenn Sie ein WinPE PXE-Image als Default-Image definieren, sind über diesen PXE-Server keine EPE-basierten OS-Installationen mehr möglich.  Ein Mischbetrieb von WinPE-PXE Default/SP-Images und EPE-PXE OS-Installationen wird nicht unterstützt.

Ab der WinPE PreBoot Support Version 1.8.3 ist es möglich, Self Provisioning auch per http(s) durchzuführen.

Computervorlagen

Mit dem WinPE-basierten Computer Self Provisioning wird das Konzept der Computervorlagen eingeführt. Dieses löst das Konzept der Self Provisioning Gruppen ab. Computervorlagen sind Platzhalter in Empirum und können wie normale Computer-Objekte behandelt werden. Sie können wie normale Computer den Konfigurations- und Zuweisungsgruppen zugewiesen werden. Somit lässt sich der Zielzustand der neuen Computer festlegen.

Während der Durchführung eines Computer Self Provisioning wird eine Computervorlage ausgewählt, die als Vorlage für den neu-zu-erstellenden Computer dient. Dieser wird den Konfigurations- und Zuweisungsgruppen zugewiesen, denen auch die Computervorlage zugewiesen ist. Der neue Computer wird aktiviert und das Deployment wird im Anschluss durchgeführt.

Erstellen von Computervorlagen

Computervorlagen können in der Matrix42 Management Console unter Administration über das Kontextmenü im linken Baum erstellt werden. Öffnen Sie hierzu beispielsweise das Kontextmenü im linken Baum am obersten Eintrag Computer.

clipboard_edbc9b4c718bd2b58b4b83ebce6ef95d3.png

Wird der Kontextmenüeintrag Neue Computervorlage ausgewählt, öffnet sich der Dialog, mit dessen Hilfe eine neue Computervorlage erstellt werden kann.

clipboard_ed997eba3929205a68662d06f9a70e36c.png

Der Neue Computervorlage-Dialog entspricht dem Dialog zum Erstellen eines neuen Computers.

Wird bei Namensmuster ein Name vorgegeben, wird dieser Wert im Selfprovisioning-Prozess genommen und der Benutzer wird nicht mehr nach dem Namen gefragt. Der Wert wird automatisch als Computername für den zu erstellenden Client verwendet. Die EmpirumAPI wird gegebenenfalls ein "_01, _02, ..." anhängen, falls es bereits einen entsprechenden Client gibt. Es sind nur maximal 12 der Zeichen A-Z, a-z, 0-9, -, _ erlaubt.

Ist der Wert bei Namensmuster leer, wird auf jeden Fall der Benutzer (während des Selfprovisioning Prozesses) nach dem Computernamen gefragt. Maximal 12 Zeichen (plus der 3 Zeichen, die angehängt werden, wenn es den Computernamen bereits gibt!).

Besonderheit hier ist, dass die Eigenschaften UUID und MAC-Adresse bei Computervorlagen nicht angegeben werden. Diese Angaben können erst zur Laufzeit des Computer Self Provisioning vom jeweiligen Computer festgelegt werden. Diese Eigenschaften sind deswegen ausgegraut.

Wird unter Passwort und Passwort bestätigen ein Passwort eingetragen, muss direkt nach der Anzeige/Auswahl des Computer-SP-Templates das hier hinterlegte Passwort angegeben werden, um mit der Installation zu beginnen. Ist kein Passwort eingetragen, erfolgt auch keine Abfrage.

Die folgenden Angaben sind bei der Erstellung einer Computervorlage notwendig:

  • Computername
  • Arbeitsgruppe/Domäne

clipboard_ecff52ea8750664d0fa66eec141343e95.png

Wurden die Angaben gemacht, kann die neue Computervorlagen mit OK erstellt werden und erscheint in der Liste unter dem Filter Computervorlagen im linken Baum (außerdem wird die Computervorlage auch in der Liste der nicht zugeordneten Computer angezeigt).

clipboard_ebe935e977f0a005c58fa4f27e2da388e.png

Der Filter Computervorlagen (Computer Templates) listet alle Computer mit der zugeordneten Rolle Computer Template auf.

Konfigurieren und zuweisen von Computervorlagen

Ist die Computervorlage erstellt, kann diese einer bestehenden Konfigurationsgruppe zugewiesen werden, die bereits für das WinPE-basierte OS-Deployment vorbereitet wurde. Wie in Kapitel 3 Zuweisung in der Administration beschrieben, muss die Konfigurationsgruppe vorbereitet sein. Es müssen somit folgende Einstellungen vorgenommen werden:

  • Zuweisung eines WinPE-basierten PXE-Image
  • Zuweisung der notwendigen PreOS-Pakete (DiskPartitioning, WindowsInstallation, PxeOffAndReboot, DomainJoin, EmpirumAgentSetup, …)
  • Konfiguration von Deployment-relevanten Computervariablen
  • Zuweisung der Betriebssystemedition
  • Zuweisung von Software-Paketen, die nach der Betriebssysteminstallation installiert werden sollen

Zur Konfiguration von Computervorlagen können Zuweisungsgruppen ebenfalls verwendet werden. Computervorlagen können somit auch mehreren Zuweisungsgruppen zugewiesen werden. Bei der Durchführung eines Computer Self Provisioning wird der neu erstellte Client allen Gruppen zugewiesen, denen auch die Computervorlage zugewiesen ist.

Empirum-API Dienst konfigurieren und installieren

Wie bereits beschrieben findet die Kommunikation beim Computer Self Provisioning mit dem Empirum Server über die Empirum-API statt. Hierfür muss über Matrix42 DBUtil der Empirum-API-Dienst auf dem Empirum Master Server konfiguriert und installiert werden.

Ausführlichere Informationen zur Dienste Installation über Matrix42 DBUtil finden Sie in der Matrix42 Online-Hilfe.

  1. Starten Sie hierfür Matrix42 DBUtil.
  2. Melden Sie sich mit dem entsprechenden Benutzer an.
  3. Wählen Sie den Standort aus.
  4. Öffnen Sie die Dienste Konfiguration über Menü > Aktionen > Dienste installieren/konfigurieren.
  5. Wählen Sie das Protokoll HTTP aus und konfigurieren Sie den Port für die HTTP Verbindung (Standardwert ist 9200).

clipboard_e3ce8aacda6bc0ae3b44925ac01449d1a.png

Aktuell wird für das WinPE-basierte Computer Self Provisioning vorausgesetzt, dass der Empirum-API-Dienst mit dem Protokoll HTTP konfiguriert ist. Dieser kann entweder unverschlüsselt (HTTP) oder mit einem Zertifikat verschlüsselt (HTTPS) konfiguriert sein.

  1. Übernehmen Sie die Änderungen mit Übernehmen.
  2. Installieren Sie den Empirum-API Dienst neu über das Kontextmenü des Empirum-API Eintrages in der Liste.
  3. Nach der erfolgreichen Installation des Dienstes kann Matrix42 DBUtil wieder geschlossen werden.

Der Empirum-API Dienst ist somit installiert und steht für das WinPE basierte Computer Self Provisioning zur Verfügung. Als nächstes kann nun mit der Erstellung einer Bootkonfiguration für das Computer Self Provisioning fortgefahren werden.

Bootkonfigurationen beim Computer Self Provisioning

Damit beim Bootvorgang das Computer Self Provisioning durchgeführt werden kann, muss eine Bootkonfiguration erstellt werden, die diese Funktionalität enthält.

clipboard_ebf5b6035f62f5cd3cfcf00cad2db5dfa.png

clipboard_e9aa94705417f7b1dcb5222b871774db7.png

  1. In einer WinPE-basierten Bootkonfiguration ist dafür die Self Provisioning aktivieren Eigenschaft enthalten, welche ausgewählt werden muss. Um alle Eigenschaften zu sehen muss zuerst der Schalter Erweiterte Eigenschaften aktiviert werden.
  2. Nach dem Auswählen der Self Provisioning Eigenschaft erscheinen zusätzlich die Eigenschaften für die Anmeldeinformationen. Diese müssen ebenfalls angegeben werden.

Verwenden Sie einen Benutzer der auf der Datenbank ausreichenden Rechte besitzt. Der Benutzer muss mindestens die Rollen EMP_M_COMPUTER und EMP_M_COMP_ROLE besitzen, die dem Benutzer über Matrix42 DBUtil zugeordnet werden können. SQL Server- oder Windows-Benutzer sind möglich.

clipboard_eb0973dc736da8569282e19cf25e2d9f3.png

  1. Die Bootkonfiguration muss im Anschluss abgespeichert werden, damit die Änderungen am PXE-Boot-Image umgesetzt werden.

Wenn die PXE-Boot-Image-Erstellung dann erfolgreich durchgeführt wurde, kann mit der Aktivierung des Computer Self Provisioning auf dem Empirum Server fortgefahren werden.

Zusätzliche Empirum-API Verbindungsdaten

Um diese Kommunikation zur WinPE-Laufzeit aufbauen zu können werden beim Bauen des PXE-Boot-Images weitere Verbindungsdaten aus der Datenbank entnommen und im PXE-Boot-Image abgelegt. Die folgenden Angaben werden übernommen:

  • Empirum-API Dienst Servername
  • Empirum-API Dienst Angaben zum HTTP Protokoll:
    • Port
    • Verschlüsselung

Falls der Empirum-API Dienst noch nicht über Matrix42 DBUtil konfiguriert und installiert wurde, wird es beim Bauen des Self Provisioning aktivierten PXE-Boot-Image zu einem Fehler kommen, da die Verbindungsangaben zum Empirum-API Dienst notwendig sind.

Aktuell wird nur das HTTP-Protokoll unterstützt, das entweder unverschlüsselt (HTTP) oder mit einem Zertifikat verschlüsselt (HTTPS) konfiguriert sein kann.

Computer Self Provisioning auf dem Empirum Server aktivieren

WinPE-basiertes Self-Provisioning ist im aktuellen Zustand nur für Installation-Straßen vorgesehen und sollte nicht in produktiven Umgebungen eingesetzt werden, da dort die Arbeitsgeräte nicht lokal booten werden können, solange diese nicht vorher einmal mit der WinPE Support-Version (1.6.3) oder EPE Support-Version (4.7.11) aufgesetzt wurden.

Mit Hilfe der Offline Boot Medium-Erstellung kann unter Boot Konfiguration in der Empirum Konsole ein USB-Stick erstellt werden, mit dessen Hilfe das Computer Self Provisioning direkt am neuen Computer über das Booten des USB-Sticks ausgeführt werden kann.

Soll das Computer Self Provisioning über einen PXE Boot ermöglicht werden, dann muss in Matrix42 DBUtil das Standard PXE Image auf dem PXE Server-Eintrag des Empirum Master Servers auf das erzeugte WinPE basierte Self Provisioning Image gesetzt werden. Im Anschluss muss die Änderung mit Übernehmen abgespeichert und der PXE-Dienst neu installiert werden.

clipboard_e822d85166168011ac006da91d05a21fe.png

Registry-Anpassungen für den Empirum PXE-Dienst

Wie beim EmpirumPE 4-basierten Computer Self Provisioning ist auch beim WinPE-basierten Computer Self Provisioning zu beachten, dass der folgende Registry-Wert auf dem Empirum Master Server (auf dem der PXE-Dienst läuft) gesetzt ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\matrix42\PXE\EPE4SP
muss auf 1 gesetzt werden, bzw. angelegt werden (Typ = DWORD; Wert = 1).

Computer Self Provisioning am Computer ausführen

Wurden die Vorbereitungen getroffen, kann nun das Computer Self Provisioning mit einem neuen Computer ausgeführt werden. Das Booten kann entweder über den erstellten USB-Stick oder über PXE ausgeführt werden.

Wenn der Computer bootet, wird der Windows Boot Manager angezeigt. Mit standard-mäßig ausgewählten Local Boot Eintrag. Möchte man das Self Provisioning ausführen, muss man den Menü-Eintrag Empirum Self Provisioning auswählen.

clipboard_e0ca9dbab0f9f16f3946fced0290776c2.png

Nach der Auswahl des Empirum Self Provisioning wird automatisch die WinPE-basierte Umgebung gestartet und der Anwender wird durch das Computer Self Provisioning geleitet. Hierzu sind folgende Angaben notwendig:

  • Auswahl der Computervorlage
  • Angabe des hinterlegten Passwortes (wenn konfiguriert)
  • Angabe des neuen Computernamens (wenn kein Namensmuster angegeben wurde)

Nach dem Start der Self Provisioning Benutzeroberfläche, erfolgt die Installation der notwendigen Treiber (1), anschließend wird eine Verbindung zum Empirum Server hergestellt (2). Wenn die Aktion erfolgreich war, wird dies jeweils mit einem grünen Häkchen quittiert.

 

(3) Computervorlage auswählen

Wählen Sie eine der verfügbaren Computervorlagen aus.

clipboard_e3f5f4d7bfca77f05a925a36042d8ea75.png

Hier werden ausschließlich zugewiesene Computervorlagen zur Auswahl angezeigt.

Nach Auswahl der Computervorlage gelangen Sie direkt zur Eingabe für das Kennwort der Computervorlage (4). Wurde für die ausgewählte Computervorlage kein Kennwort vergeben, geht es direkt mit (5) weiter.

 

(4) Kennwort der Computervorlage eintragen

Wurde in der Computervorlage ein Kennwort eingetragen, muss dieses hier bestätigt werden, um den Computer per Self Provisioning neu zu installieren.

clipboard_ed221513d5e515d6084d9e44e653ea803.png

Nach Eingabe des Kennwortes betätigen Sie die [ENTER] oder [TAB] Taste.

Das Kennwort der Computervorlage wird überprüft. Wurde das Kennwort korrekt eingegeben, geht es mit (5) weiter, wenn kein Namensmuster definiert wurde.

Wurde ein Namensmuster definiert, geht es direkt mit (6) weiter.

Wurde für die ausgewählte Computervorlage ein falsches Kennwort angegeben, können Sie es noch einmal eingeben, oder Sie wählen eine andere Computervorlage (3) aus.

 

(5) Neuen Computernamen eintragen

Wurde in der Computervorlage kein Namensmuster definiert, muss jetzt ein Computername angegeben werden.

clipboard_ec862a604fd3e70be3c7fe53f548c0114.png

Nach Eingabe des Computernamens betätigen Sie die [ENTER] oder [TAB] Taste, Sie gelangen zum Punkt (6).

Es sind maximal 12 der Zeichen A-Z, a-z, 0-9, -, _ erlaubt. Bei falsch eingetragenem Computernamen wird der Eingabebereich rot. Wenn Sie mit der Maus über den rot umrandeten Eingabebereich gehen, wird eine entsprechende Fehlermeldung angezeigt.

Wurde eine Computervorlage mit vordefiniertem Namensmuster ausgewählt, ist dieses Namensmuster als Computername bereits eingetragen.

 

(6) Bereitstellung jetzt starten

Sie haben jetzt die Gelegenheit, alle gemachten Angaben zu überprüfen.

clipboard_e7afbbd45fa1178de3dfab3890f8b2825.png

Mit einer beliebigen Taste [ENTER] wird der Vorgang abgeschlossen, so dass das Deployment für den Computer direkt im Anschluss durchgeführt werden kann.

Es erfolgt eine Überprüfung, ob dieser Computername bereits existiert - wenn ja, wird ein "_01", "_02 etc." angehängt und der Computer mit diesem Namen in Empirum registriert.

Aktuell ist dieses Schema der Namenserweiterung ("_01", "_02 etc.") fest vorgegeben und kann nicht geändert werden!

Im unteren Bereich wird jetzt der tatsächliche Computername angezeigt, so wie er in Empirum - in der Gruppe mit der ausgewählten Computervorlage - per API erstellt wurde.

Der neue Computer wird nun mit dem angegeben Namen in Empirum angelegt und entsprechend der ausgewählten Computervorlage den Konfigurations- und Zuweisungsgruppen zugewiesen und aktiviert.

Falls der Computer schon in Empirum bekannt ist, wird er vor erneuter Erstellung zuerst aus allen Gruppen und aus Empirum vollständig entfernt.

clipboard_eff00170e3fda312bcc1a829111f5f93c.png

Dieser Self Provisioning Bildschirm bleibt so lange sichtbar (Sanduhr), bis die neuen Verteilungsaufträge in die DDC-Datei geschrieben wurden, anschließend wird der Startbildschirm angezeigt und das gewohnte OS Deployment läuft durch.

clipboard_e34885149e481bc0810f2b7c6bc5cd07a.png

Self Provisioning über Depot Server (Offline)

Damit das Self Provisioning auch über einen Depot Server (Offline) durchgeführt werden kann, müssen folgende Voraussetzungen erfüllt sein:

  • Angepasstes Empirum Agent Template.
  • Angepasstes WinPE Bootimage - Standard und Self Provisioning.
  • Eigene Empirum Gruppe mit entsprechend ausgewähltem Empirum Server (Depot).
  • Die Variable FQDN muss mit einem korrekten Wert gefüllt sein.
  • Das Sync-Template ESubdepot_DeviceMapping muss dem Depot Server (Offline) zugeordnet sein.

 

Empirum Agent Template

Am besten ist es, für den Depot Server (Offline) ein eigenes Empirum Agent Template zu erstellen (in diesem Beispiel "Agent_Depot").

clipboard_e0243981af77fa47542f9abf1a7c88a30.png

Wichtig ist, dass der Depot Server (Offline) hier als "Ausfall-Server" ausgewählt wurde (in diesem Beispiel "Doku-Depot.QALAB.Matrix42.de").

 

WinPE Bootimages

Für das Standard WinPE Boot Image und für das Self Provisioning Boot Image muss jeweils das zuvor erstellte Agent Template ausgewählt sein (in diesem Beispiel "Agent_Depot").

clipboard_e942580bdf7ba1e1d6f5c7ed7ba33fd9a.png

clipboard_e81c639d8d592cf6814b84fcae38aa47e.png

 

Empirum Gruppe

Sinnvoll ist es, hier eine eigene Konfigurationsgruppe zu erstellen (in diesem Beispiel "SelfProvisioning"). Damit die Konfigurationsdateien zum richtigen Depot Server übertragen (Sync) werden, müssen Sie folgende Einstellung vornehmen.

Klicken Sie mit der rechten Maustaste auf diese Gruppe und wählen Sie Eigenschaften. Wechseln Sie in das Register Empirum Server. Wählen Sie unter Verfügbare Empirum Server Ihren Depot Server (Offline) aus und fügen Sie ihn über die Plus Schaltfläche unter Ausgewählte Empirum Server hinzu.

clipboard_ee80ea653658181be9fd442734f5eb67a.png

Für einen funktionsfähigen Durchgang müssen dieser Konfigurationsgruppe die von Ihnen benötigten PreOSPakete, ein Betriebssystem-Import, ein PXE-BootImage (Standard, kein Self Provisioning) und eine Computervorlage zugeordnet sein. Optional können Sprachpakete, der UEM Agent und weitere Software Pakete zugeordnet werden.

Auch alle hier zur Verwendung kommenden Variablen müssen auf dieser Konfigurationsgruppe gesetzt sein, insbesondere die FQDN Variable.

clipboard_e5114b080c2723c2715c33bc4c89ae481.png

Das Standard Boot Image wird benötigt, falls weitere Reboots während der Betriebssysteminstallation notwendig sind.

 

  • War dieser Artikel hilfreich?