Foro de TI tranquilo

Hola,

OS-Server: Ubuntu 22.04.3 LTS,
WAPT Version: 2.4.0.14143.

Tenemos un servidor WAPT funcionando a través del cual implementamos nuestras máquinas.

Actualmente estamos migrando a Windows 11, que requiere Secure Boot. El problema es que, con Secure Boot habilitado, nos encontramos con el clásico mensaje de error que indica que WinPE no está firmado (hasta donde entendemos).

En las FAQ, encontramos este pasaje:

"
¿WAPT IPXE funciona con Secure Boot?

No, usamos el archivo IPXE del sitio web oficial de IPXE, que no es compatible con Secure Boot. Para hacer esto, tiene dos opciones: Tener un archivo IPXE firmado (con IPXE Anywhere, por ejemplo) o descargar el archivo ".wim" a través de TFTP (que es más lento).
"
El IPXE firmado parece ser un servicio de pago en los pocos casos que hemos investigado. Estamos intentando descargar el archivo .wim a través de TFTP.
Tenemos un servidor TFTP funcionando en el servidor WAPT (probado con ipxe.efi).

Sin embargo, no entendemos qué más debemos hacer para que Secure Boot lo considere correcto. ¿Basta con enviar el archivo boot.efi de una imagen ISO de Windows 11 al servidor mediante TFTP?

Gracias de antemano por sus respuestas.

Atentamente,
Paul.

Buen día

PaulSLA escribió: ↑10 de octubre de 2023 - 11:31 Actualmente estamos actualizando a Windows 11, que requiere Arranque seguro. El problema es que, con Arranque seguro habilitado, nos encontramos con el clásico mensaje de error que indica que WinPE no está firmado (hasta donde sabemos).

Windows 11 requiere una máquina con arranque seguro, pero el arranque seguro no necesariamente tiene que estar habilitado.

Acabo de probarlo con una ISO: Win11_22H2_French_x64v2 y funciona sin el Arranque Seguro habilitado. También puedes habilitarlo más tarde si realmente lo deseas.

El arranque seguro se puede realizar con Wapt de dos maneras:

- Al utilizar un IPXE firmado (difícil de encontrar o que requiere pago), para su información, tenemos un proyecto para obtener nuestro propio IPXE firmado, pero el proceso es largo y complejo con Microsoft.

- Abandonar IPXE. En este caso, el arranque desde la imagen WinPE se realizará completamente mediante TFTP, lo que es cinco veces más lento al inicio. Además, se perderán algunas funciones como la implementación de Linux o el arranque automático en red.

Aquí está el procedimiento para hacerlo:

Actualmente, wapttftpserver no maneja esto, por lo que debe deshabilitarse:

Código: Seleccionar todo

systemctl stop wapttftpserver
systemctl disable wapttftpserver

Agregar a /opt/wapt/conf/waptserver.ini:

Código: Seleccionar todo

copy_winpe_x64_in_tftp_folder=True

luego reinicia el waptserver:

Código: Seleccionar todo

systemctl restart waptserver

* Reiniciar la creación de un WinPE desde la consola

A continuación, instale tftpd-hpa:

Código: Seleccionar todo

apt-get install tftpd-hpa

Modificar la configuración de tftpd-hpa

/etc/default/tftpd-hpa:

Código: Seleccionar todo

TFTP_USERNAME="tftp"
TFTP_DIRECTORY=/var/www/wads/pxe
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="-v --secure -m /etc/tftpd.map"

y /etc/tftpd.map

Código: Seleccionar todo

rg \\ /
rg boot/ Boot/
rg efi/ EFI/
rg /microsoft /Microsoft

reiniciar tftpd:

Código: Seleccionar todo

systemctl restart tftpd-hpa

En su configuración DHCP, el archivo a mencionar ya no es ipxe.efi sino:

Código: Seleccionar todo

filename "efi/boot/bootmgfw.efi";

Tenga en cuenta que debe ser paciente durante las pruebas; el proceso de arranque es mucho más largo.

Hola,

gracias por estas respuestas.
Preferimos simplemente deshabilitar el arranque seguro y volver a habilitarlo después.

Atentamente,

Foro de TI tranquilo

[RESUELTO] Windows 11/Instalación de arranque seguro mediante WAPT

[RESUELTO] Windows 11/Instalación de arranque seguro mediante WAPT

Re: Windows 11/Instalación de arranque seguro mediante WAPT

Re: Windows 11/Instalación de arranque seguro mediante WAPT