Zu Hauptinhalten wechseln
Matrix42 Self-Service Help Center

OS Deployment via http(s)

Mit der WinPE Preboot Version 1.8.0 wird der Verbindungsaufbau über http(s) unterstützt. Das folgende Kapitel beschreibt die notwendigen Anpassungen und die aktuellen Einschränkungen der Umsetzung.

 

Das Deployment via http(s) setzt die Verwendung der aktuellen Matrix42 PreOS Pakete voraus, die mit der WinPE Preboot Version 1.8.0 veröffentlicht wurden:

  • HardwareInfo 3.0 oder höher
  • WindowsInstallation 5.0 oder höher
  • EmpirumAgentSetup 2.0 oder höher

Stellen Sie sicher, dass die verwendete Boot Konfiguration ebenfalls mit dem aktuellen Stand der WinPE Preboot Version 1.8.0 gebaut wurde.

Aktuelle Einschränkungen

Mit der aktuellen Umsetzung sind folgende Einschränkungen zu berücksichtigen:

  • Disk Imaging unterstützt noch keine http(s) Übertragung.
  • Der Zeitstempel der Swdepot-Log Einträge für die PreOS Pakete können im http(s) Fall abweichen.

http(s) Unterstützung bei selbsterstellten PreOS Paketen

Eventuell sind selbst erstellte PreOS Pakete nicht sofort für den http(s) Transport geeignet. Der Grund dafür ist meistens, dass in den PowerShell-Skripten auf Dateien oder Verzeichnisse auf den Empirum-Share im SMB Fall zugegriffen werden, die nicht Teil des PreOS Paketes selbst sind.

Um die Anpassungen zu erleichtern soll an dieser Stelle auf bestimmte Eigenheiten beim http(s) Transfer eingegangen werden.

  • Generell wird im http(s) Fall mit lokalem Cache gearbeitet. Dateien und Verzeichnisse werden von der Empirum-Freigabe über http(s) in lokale Verzeichnisse transferiert. Es werden nicht alle Freigaben automatisch transferiert, sondern nur Verzeichnisse und Dateien, die angefragt werden.
  • Im http(s) Fall wird vor der Ausführung des PreOS Paketes, der Inhalt des Paketes (z.B. wird im Fall des WindowsInstallation PreOS Paketes das Verzeichnis Configurator$\Packages\Matrix42\OsPackages\WindowsInstallation\5.0) zunächst lokal in ein Cache-Verzeichnis übertragen und im Anschluss das install.ps1 Skript lokal ausgeführt. Relative Zugriffe auf Dateien, die sich im Paket befinden, sind somit abgedeckt.
  • Muss in einem PreOS Paket auf Dateien zugegriffen werden, die nicht in dem Paketverzeichnis vorhanden sind, muss dies über das Cmdlet Get-EmpirumPackagePath stattfinden. Die Methode wurde bereits in der Vergangenheit verwendet, um den Pfad auf die Empirum-Freigabe (oder das Offline Medium) zu bekommen. Diese Methode muss im http(s) Fall die angegebene Datei oder das Verzeichnis zunächst lokal in ein Cache-Verzeichnis übertragen und im Anschluss den lokalen Pfad zurückgeben. Das PreOS Paket kann somit mit dem lokalen Pfad weiterarbeiten und auf die Datei oder das Verzeichnis zugreifen.
  • Das Cmdlet Get-EmpirumAgentSetting -PeAgentConfig RemoteLogFolder kann im http(s) nicht verwendet werden, um Log-Dateien auf der Empirum-Freigabe zu ändern. Für diese Zwecke wird das neue Cmdlet Get-EmpirumTransfer zur Verfügung gestellt. Mit dem Aufruf Get-EmpirumTransfer LogFolder -Type RemoteLogFolder, kann vergleichbar dem Get-EmpirumPackagePath Aufruf, das EmpInst$\Wizard\OS\WinPeStatus Unterverzeichnis lokal transferiert werden. Die Methode gibt ein Objekt zurück, mit dessen Hilfe über die Path-Eigenschaft auf den Pfad zum lokalen Cache zugegriffen werden kann. Das PreOS Skript kann nach den Anpassungen der Dateien im Cache das Synchronisieren der lokalen Dateien zum Server über die Methode Sync veranlassen. Dabei werden die lokalen Änderungen auf den Server übertragen.

Hier ein Beispiel aus dem HardwareInfo PreOS Paket:

$RemoteFolderObject = Get-EmpirumTransfer LogFolder -Type RemoteLogFolder -Verbose;

CreateAndCopyDriverJson $RemoteFolderObject.Path;

$RemoteFolderObject.Sync();

WinPE basiertes Deployment via http(s) einrichten

Die folgenden Schritte beschreiben die Anpassungen, die vorgenommen werden müssen, damit beim WinPE basierten Deployment der Datentransfer per http(s) durchgeführt und nicht mehr über den Empirum-Share direkt über SMB zugegriffen wird.

  1. Konfigurieren und installieren Sie das Empirum Subdepot Webservice Configuration Paket auf einem Subdepot über das das Deployment via http(s) durchgeführt werden soll, wie es in der Online-Hilfe beschrieben ist Empirum Subdepot Webservice Configuration Paket.

 

Bei Verwendung von Empirum bis einschließlich Version 20.0.0 müssen noch Schreibrechte für den Benutzer auf dem IIS vergeben werden, der für den Verbindungsaufbau verwendet wird. Welcher Benutzer verwendet wird, entnehmen Sie dem verwendeten Empirum Agent Template unter Allgemeine Einstellungen > Benutzername.

Wechseln Sie im IIS Manager im linken Baum auf "Sites\Default Web Site\Matrix42-Empirum\Configurator\Log", klicken Sie im mittleren Fenster doppelt auf "WebDAV Authoring Rules" und anschließend auf den von Ihnen verwendeten Benutzer. Setzen Sie unten bei Permissions das Häkchen für die Option Write und bestätigen Sie mit OK.

clipboard_eac4be7a77059862bcb19873804283fb5.png

Wechseln Sie im IIS Manager im linken Baum auf "Sites\Default Web Site\Matrix42-Empirum/EmpInst/Wizard/OS/WinPEStatus", klicken Sie auch hier im mittleren Fenster doppelt auf "WebDAV Authoring Rules" und anschließend auf den von Ihnen verwendeten Benutzer. Setzen Sie unten bei Permissions das Häkchen für die Option Write und bestätigen Sie mit OK.

Seit Empirum v20.0.1 ist das manuelle Setzen von Schreibrechten für den Benutzer auf dem IIS nicht mehr notwendig.

  1. Erstellen Sie ein Empirum Agent Template, bei dem die Option HTTP oder HTTPS im Bereich der Transportprotokolle angehakt ist. Stellen Sie sicher, dass das im ersten Schritt vorbereitete Subdepot als Ausfall-Server ausgewählt ist.

clipboard_e5489012d452a4dbe9abafbd52697482c.png 

 

Sobald die Option HTTP oder HTTPS im Agenten Template ausgewählt ist, wird das SMB Protokoll nicht verwendet, auch wenn es aktiviert ist.

Bei Auswahl des HTTPS Protokolls muss sichergestellt werden, dass der hier ausgewählte Ausfall-Server auch von "außen" unter diesem Namen erreichbar ist.

  1. Wechseln Sie in die Boot Konfiguration und führen Sie über das Menü Ansicht > Aktualisieren aus, damit die aktuellen Agenten Templates und deren Werte erneut aus der Datenbank gelesen werden.
  2. Wählen Sie das erstellte Empirum Agent Template in einer Boot Konfiguration aus.
  3. Wird die Option "Nur vertrauenswürdigen Server Zertifikaten vertrauen" im HTTPS Fall in dem verwendeten Agenten Template verwendet, müssen Sie die Fingerabdrücke der Serverzertifikate hinterlegen, denen vertraut werden soll. Zur WinPE Laufzeit funktioniert die übliche Validierung über den Zertifikatsspeicher und die Zertifikatsketten nicht.

 

In älteren Empirum Versionen (vor v20.0.2) können die Fingerabdrücke noch nicht über die Bootkonfiguration hinterlegt werden.

Der Fingerabdruck, oder eine kommaseparierte Liste der Fingerabdrücke (ohne Leerzeichen), muss in diesen Fällen vor dem Abspeichern der Bootkonfiguration in der Matrix42.Empirum.PeAgent.dll.config Datei auf der Empirum-Freigabe im Verzeichnis EmpInst$\Sys\Images\WinPE\binaries\UAF eingetragen werden.

clipboard_ef82b4a6fcd72104a44c5c0678ca2f850.png

Die folgenden Schritte sind somit in den älteren Empirum Versionen nicht durchzuführen. 

  1. Stellen Sie sicher, dass die erweiterten Eigenschaften der Bootkonfiguration angezeigt werden, in dem Sie den Schalter Erweiterte Eigenschaften aktiviert.

clipboard_eab49ffc6b927b4a49da6c7c322023dd2.png

  1. Im unteren Teil des Eigenschaftenbereichs wird rechts neben Fingerabdrücke für die https Validierung eine Liste für die Fingerabdrücke angezeigt, die aktuell noch leer ist.

clipboard_ebd98732745a8c6dc32ff2ab9f4b8eba4.png

  1. Fügen Sie mit der + Schaltfläche einen neuen Fingerabdruck hinzu.

clipboard_eae6656bde797942b30d56e1775d11f67.png

  1. Übertragen Sie nun den Fingerabdruckwert in die Spalte Fingerabdruck des Serverzertifikates und fügen Sie noch eine Beschreibung hinzu.

clipboard_e55ff4a4d55bfdada0e14be2f97722023.png

 

Die vom IIS verwendeten Zertifikate können im Internet Information Service (IIS) Manager überprüft und deren Fingerabdrücke ausgelesen werden.

Wechseln Sie im IIS Manager im linken Baum auf die oberste Ebene auf den Eintrag des Servernamens, klicken Sie im mittleren Fenster doppelt auf "Server Certificates".

clipboard_eecd6986ac1a8b712e62dc17d82078845.png

Im mittleren Fenster werden dann die Zertifikate angezeigt. Klicken Sie das verwendete Zertifikat doppelt an, um sich die Eigenschaften des Zertifikats anzeigen zu lassen.

clipboard_e75e1c5a60cbc494ad5143972e1f49012.png

Im Reiter "Details" kann nun das Feld "Thumbprint" ausgewählt werden.

clipboard_ead6e3edc43c75d1a0e7e185af5de4da9.png

  1. Falls die Bootkonfiguration für mehrere Depots verwendet werden soll, wiederholen Sie den Vorgang für jedes Depot und tragen Sie die entsprechenden Fingerabdrücke des Serverzertifikates ein.

 

  1. Speichern Sie die Boot Konfiguration erneut ab, damit die Änderungen übernommen werden.
  2. Soll ein anderer Zeitserver als 'pool.ntp.org' verwendet werden, kann dies über die Variable OS_RegionalSettings.TimeServer konfiguriert werden. Gehen Sie dazu wie folgt vor:

Als Standard wird 'pool.ntp.org' als Zeitserver verwendet. Soll dies nicht abgeändert werden, brauchen Sie diese Schritte nicht durchführen.

  1. Wechseln Sie in der Administration zu Menü Extras > Variablendefinitionen.
  2. Erzeugen Sie die Variable TimeServer vom Typ Betriebssystem und dem Kontrollelement Text (s. Screenshot).

clipboard_e14e7dc7e7129204c19ccf8296f543f6a.png

  1. Betätigen Sie mit OK zum Speichern und zum Schließen der Dialoge.
  2. Wählen Sie anschließend den Client oder die jeweilige Konfigurationsgruppe aus und tragen den von Ihnen gewünschten Zeitserver ein, bspw. 'de.pool.ntp.org' (s. Screenshot).

clipboard_e77a4568bc751a49db126397fad587174.png​​​​​​​

  1. Weisen Sie die erstellte Boot Konfiguration in der Administration der jeweiligen Konfigurationsgruppe zu und aktivieren Sie das Deployment.

 

  • War dieser Artikel hilfreich?