Ruhiges IT-Forum

Hallo,

unser Betriebssystem (Server): Ubuntu 22.04.3 LTS,
WAPT-Version: 2.4.0.14143.

Wir betreiben einen funktionierenden WAPT-Server, über den wir unsere Maschinen bereitstellen.

Aktuell migrieren wir zu Windows 11, wofür Secure Boot erforderlich ist. Das Problem ist, dass wir mit aktiviertem Secure Boot die klassische Fehlermeldung erhalten, dass WinPE nicht signiert ist (soweit wir das verstehen).

In den FAQ haben wir folgenden Hinweis gefunden:

„
Funktioniert WAPT IPXE mit Secure Boot?

Nein, wir verwenden die IPXE-Datei von der offiziellen IPXE-Website, die nicht mit Secure Boot kompatibel ist. Dafür haben Sie zwei Möglichkeiten: Entweder Sie verwenden eine signierte IPXE-Datei (z. B. mit IPXE Anywhere) oder Sie laden die .wim-Datei per TFTP herunter (was langsamer ist).
“
Signiertes IPXE scheint in den wenigen Fällen, die wir recherchiert haben, ein kostenpflichtiger Dienst zu sein. Wir versuchen, die .wim-Datei per TFTP herunterzuladen.
Wir betreiben einen funktionierenden TFTP-Server auf dem WAPT-Server (getestet mit ipxe.efi).

Uns ist jedoch nicht klar, was wir noch tun müssen, damit Secure Boot die Installation akzeptiert. Reicht es, die boot.efi-Datei einer Windows 11-ISO-Datei per TFTP an den Server zu senden?

Vielen Dank im Voraus für Ihre Antworten.

Mit freundlichen Grüßen,
Paul.

Guten Morgen

PaulSLA schrieb: ↑10. Okt. 2023 - 11:31 Uhr Wir führen gerade ein Upgrade auf Windows 11 durch, wofür Secure Boot erforderlich ist. Das Problem ist, dass wir mit aktiviertem Secure Boot die klassische Fehlermeldung erhalten, dass WinPE nicht signiert ist (soweit wir das verstehen).

Windows 11 erfordert einen sicher bootfähigen Rechner, Secure Boot muss aber nicht unbedingt aktiviert sein.

Ich habe es gerade mit einer ISO-Datei (Win11_22H2_French_x64v2) getestet und es funktioniert auch ohne aktiviertes Secure Boot. Sie können Secure Boot später auch aktivieren, falls Sie das möchten.

Secure Boot kann mit Wapt auf zwei Arten durchgeführt werden:

- Durch die Verwendung einer signierten IPXE-Datei (schwer zu finden oder kostenpflichtig) – nur zur Information: Wir haben zwar ein Projekt, um unsere eigene IPXE-Datei signieren zu lassen, aber der Prozess mit Microsoft ist langwierig und komplex.

Durch den Verzicht auf IPXE. In diesem Fall erfolgt das Booten vom WinPE-Image vollständig über TFTP, was den Startvorgang um das Fünffache verlangsamt. Außerdem gehen einige Funktionen wie die Linux-Bereitstellung oder das automatische Netzwerkbooten verloren.

Hier ist die Vorgehensweise:

Derzeit wird dies vom wapttftpserver nicht unterstützt, daher muss es deaktiviert werden: Fügen Sie Folgendes zu /opt/wapt/conf/waptserver.ini hinzu: Starten Sie dann den WAP-Server neu:
* Starten Sie die Erstellung einer WinPE-Instanz über die Konsole neu.

Installieren Sie als Nächstes tftpd-hpa:

Ändern Sie die tftpd-hpa-Konfiguration

/etc/default/tftpd-hpa: und /etc/tftpd.map tftpd neu starten:
In Ihrer DHCP-Konfiguration ist die anzugebende Datei nicht mehr ipxe.efi, sondern:
Bitte beachten Sie, dass Sie während Ihrer Tests Geduld haben müssen; der Bootvorgang dauert deutlich länger.

Hallo,

vielen Dank für die Antworten.
Wir haben es vorgezogen, Secure Boot einfach zu deaktivieren und anschließend wieder zu aktivieren.

Mit freundlichen Grüßen