Hallo,
unser Betriebssystem (Server): Ubuntu 22.04.3 LTS,
WAPT-Version: 2.4.0.14143.
Wir betreiben einen funktionierenden WAPT-Server, über den wir unsere Maschinen bereitstellen.
Aktuell migrieren wir zu Windows 11, wofür Secure Boot erforderlich ist. Das Problem ist, dass wir mit aktiviertem Secure Boot die klassische Fehlermeldung erhalten, dass WinPE nicht signiert ist (soweit wir das verstehen).
In den FAQ haben wir folgenden Hinweis gefunden:
„
Funktioniert WAPT IPXE mit Secure Boot?
Nein, wir verwenden die IPXE-Datei von der offiziellen IPXE-Website, die nicht mit Secure Boot kompatibel ist. Dafür haben Sie zwei Möglichkeiten: Entweder Sie verwenden eine signierte IPXE-Datei (z. B. mit IPXE Anywhere) oder Sie laden die .wim-Datei per TFTP herunter (was langsamer ist).
“
Signiertes IPXE scheint in den wenigen Fällen, die wir recherchiert haben, ein kostenpflichtiger Dienst zu sein. Wir versuchen, die .wim-Datei per TFTP herunterzuladen.
Wir betreiben einen funktionierenden TFTP-Server auf dem WAPT-Server (getestet mit ipxe.efi).
Uns ist jedoch nicht klar, was wir noch tun müssen, damit Secure Boot die Installation akzeptiert. Reicht es, die boot.efi-Datei einer Windows 11-ISO-Datei per TFTP an den Server zu senden?
Vielen Dank im Voraus für Ihre Antworten.
Mit freundlichen Grüßen,
Paul.
[GELÖST] Windows 11/Secure Boot-Installation über WAPT
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Guten Morgen
Ich habe es gerade mit einer ISO-Datei (Win11_22H2_French_x64v2) getestet und es funktioniert auch ohne aktiviertes Secure Boot. Sie können Secure Boot später auch aktivieren, falls Sie das möchten.
Secure Boot kann mit Wapt auf zwei Arten durchgeführt werden:
- Durch die Verwendung einer signierten IPXE-Datei (schwer zu finden oder kostenpflichtig) – nur zur Information: Wir haben zwar ein Projekt, um unsere eigene IPXE-Datei signieren zu lassen, aber der Prozess mit Microsoft ist langwierig und komplex.
Durch den Verzicht auf IPXE. In diesem Fall erfolgt das Booten vom WinPE-Image vollständig über TFTP, was den Startvorgang um das Fünffache verlangsamt. Außerdem gehen einige Funktionen wie die Linux-Bereitstellung oder das automatische Netzwerkbooten verloren.
Hier ist die Vorgehensweise:
Derzeit wird dies vom wapttftpserver nicht unterstützt, daher muss es deaktiviert werden:
Fügen Sie Folgendes zu /opt/wapt/conf/waptserver.ini hinzu:
Starten Sie dann den WAP-Server neu:
* Starten Sie die Erstellung einer WinPE-Instanz über die Konsole neu.
Installieren Sie als Nächstes tftpd-hpa:
Ändern Sie die tftpd-hpa-Konfiguration
/etc/default/tftpd-hpa:
und /etc/tftpd.map
tftpd neu starten:
In Ihrer DHCP-Konfiguration ist die anzugebende Datei nicht mehr ipxe.efi, sondern:
Bitte beachten Sie, dass Sie während Ihrer Tests Geduld haben müssen; der Bootvorgang dauert deutlich länger.
Windows 11 erfordert einen sicher bootfähigen Rechner, Secure Boot muss aber nicht unbedingt aktiviert sein.
Ich habe es gerade mit einer ISO-Datei (Win11_22H2_French_x64v2) getestet und es funktioniert auch ohne aktiviertes Secure Boot. Sie können Secure Boot später auch aktivieren, falls Sie das möchten.
Secure Boot kann mit Wapt auf zwei Arten durchgeführt werden:
- Durch die Verwendung einer signierten IPXE-Datei (schwer zu finden oder kostenpflichtig) – nur zur Information: Wir haben zwar ein Projekt, um unsere eigene IPXE-Datei signieren zu lassen, aber der Prozess mit Microsoft ist langwierig und komplex.
Durch den Verzicht auf IPXE. In diesem Fall erfolgt das Booten vom WinPE-Image vollständig über TFTP, was den Startvorgang um das Fünffache verlangsamt. Außerdem gehen einige Funktionen wie die Linux-Bereitstellung oder das automatische Netzwerkbooten verloren.
Hier ist die Vorgehensweise:
Derzeit wird dies vom wapttftpserver nicht unterstützt, daher muss es deaktiviert werden:
Code: Alle auswählen
systemctl stop wapttftpserver
systemctl disable wapttftpserverCode: Alle auswählen
copy_winpe_x64_in_tftp_folder=TrueCode: Alle auswählen
systemctl restart waptserver
Installieren Sie als Nächstes tftpd-hpa:
Code: Alle auswählen
apt-get install tftpd-hpaÄndern Sie die tftpd-hpa-Konfiguration
/etc/default/tftpd-hpa:
Code: Alle auswählen
TFTP_USERNAME="tftp"
TFTP_DIRECTORY=/var/www/wads/pxe
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="-v --secure -m /etc/tftpd.map"
Code: Alle auswählen
rg \\ /
rg boot/ Boot/
rg efi/ EFI/
rg /microsoft /Microsoft
Code: Alle auswählen
systemctl restart tftpd-hpa
Code: Alle auswählen
filename "efi/boot/bootmgfw.efi";
