Hola,
OS-Server: Ubuntu 22.04.3 LTS,
WAPT Version: 2.4.0.14143.
Tenemos un servidor WAPT funcionando a través del cual implementamos nuestras máquinas.
Actualmente estamos migrando a Windows 11, que requiere Secure Boot. El problema es que, con Secure Boot habilitado, nos encontramos con el clásico mensaje de error que indica que WinPE no está firmado (hasta donde entendemos).
En las FAQ, encontramos este pasaje:
"
¿WAPT IPXE funciona con Secure Boot?
No, usamos el archivo IPXE del sitio web oficial de IPXE, que no es compatible con Secure Boot. Para hacer esto, tiene dos opciones: Tener un archivo IPXE firmado (con IPXE Anywhere, por ejemplo) o descargar el archivo ".wim" a través de TFTP (que es más lento).
"
El IPXE firmado parece ser un servicio de pago en los pocos casos que hemos investigado. Estamos intentando descargar el archivo .wim a través de TFTP.
Tenemos un servidor TFTP funcionando en el servidor WAPT (probado con ipxe.efi).
Sin embargo, no entendemos qué más debemos hacer para que Secure Boot lo considere correcto. ¿Basta con enviar el archivo boot.efi de una imagen ISO de Windows 11 al servidor mediante TFTP?
Gracias de antemano por sus respuestas.
Atentamente,
Paul.
[RESUELTO] Windows 11/Instalación de arranque seguro mediante WAPT
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
Buen día
Acabo de probarlo con una ISO: Win11_22H2_French_x64v2 y funciona sin el Arranque Seguro habilitado. También puedes habilitarlo más tarde si realmente lo deseas.
El arranque seguro se puede realizar con Wapt de dos maneras:
- Al utilizar un IPXE firmado (difícil de encontrar o que requiere pago), para su información, tenemos un proyecto para obtener nuestro propio IPXE firmado, pero el proceso es largo y complejo con Microsoft.
- Abandonar IPXE. En este caso, el arranque desde la imagen WinPE se realizará completamente mediante TFTP, lo que es cinco veces más lento al inicio. Además, se perderán algunas funciones como la implementación de Linux o el arranque automático en red.
Aquí está el procedimiento para hacerlo:
Actualmente, wapttftpserver no maneja esto, por lo que debe deshabilitarse:
Agregar a /opt/wapt/conf/waptserver.ini:
luego reinicia el waptserver:
* Reiniciar la creación de un WinPE desde la consola
A continuación, instale tftpd-hpa:
Modificar la configuración de tftpd-hpa
/etc/default/tftpd-hpa:
y /etc/tftpd.map
reiniciar tftpd:
En su configuración DHCP, el archivo a mencionar ya no es ipxe.efi sino:
Tenga en cuenta que debe ser paciente durante las pruebas; el proceso de arranque es mucho más largo.
Windows 11 requiere una máquina con arranque seguro, pero el arranque seguro no necesariamente tiene que estar habilitado.
Acabo de probarlo con una ISO: Win11_22H2_French_x64v2 y funciona sin el Arranque Seguro habilitado. También puedes habilitarlo más tarde si realmente lo deseas.
El arranque seguro se puede realizar con Wapt de dos maneras:
- Al utilizar un IPXE firmado (difícil de encontrar o que requiere pago), para su información, tenemos un proyecto para obtener nuestro propio IPXE firmado, pero el proceso es largo y complejo con Microsoft.
- Abandonar IPXE. En este caso, el arranque desde la imagen WinPE se realizará completamente mediante TFTP, lo que es cinco veces más lento al inicio. Además, se perderán algunas funciones como la implementación de Linux o el arranque automático en red.
Aquí está el procedimiento para hacerlo:
Actualmente, wapttftpserver no maneja esto, por lo que debe deshabilitarse:
Código: Seleccionar todo
systemctl stop wapttftpserver
systemctl disable wapttftpserverCódigo: Seleccionar todo
copy_winpe_x64_in_tftp_folder=TrueCódigo: Seleccionar todo
systemctl restart waptserver
A continuación, instale tftpd-hpa:
Código: Seleccionar todo
apt-get install tftpd-hpaModificar la configuración de tftpd-hpa
/etc/default/tftpd-hpa:
Código: Seleccionar todo
TFTP_USERNAME="tftp"
TFTP_DIRECTORY=/var/www/wads/pxe
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="-v --secure -m /etc/tftpd.map"
Código: Seleccionar todo
rg \\ /
rg boot/ Boot/
rg efi/ EFI/
rg /microsoft /Microsoft
Código: Seleccionar todo
systemctl restart tftpd-hpa
Código: Seleccionar todo
filename "efi/boot/bootmgfw.efi";
