Forum IT Tranquillo

Salve,

Sistema operativo del server: Ubuntu 22.04.3 LTS,
Versione WAPT: 2.4.0.14143.

Disponiamo di un server WAPT funzionante tramite il quale distribuiamo le nostre macchine.

Attualmente stiamo migrando a Windows 11, che richiede Secure Boot. Il problema è che, con Secure Boot abilitato, riscontriamo il classico messaggio di errore che indica che WinPE non è firmato (per quanto ne sappiamo).

Nelle FAQ abbiamo trovato questo passaggio:

"
WAPT IPXE funziona con Secure Boot?

No, utilizziamo il file IPXE dal sito Web ufficiale di IPXE, che non è compatibile con Secure Boot. Per farlo, avete due opzioni: avere un file IPXE firmato (con IPXE Anywhere, ad esempio) o scaricare il file ".wim" tramite TFTP (che è più lento).
"
A quanto pare, IPXE firmato è un servizio a pagamento, stando ai pochi casi che abbiamo esaminato. Stiamo cercando di scaricare il file .wim tramite TFTP.
Abbiamo un server TFTP funzionante sul server WAPT (testato con ipxe.efi).

Tuttavia, non capiamo cos'altro dobbiamo fare affinché venga considerato valido da Secure Boot. Dobbiamo semplicemente inviare il file boot.efi di un'immagine ISO di Windows 11 al server tramite TFTP?

Grazie in anticipo per le vostre risposte.

Cordiali saluti,
Paul.

Buongiorno

PaulSLA ha scritto: ↑10 ott 2023 - 11:31 Stiamo eseguendo l'aggiornamento a Windows 11, che richiede Secure Boot. Il problema è che, con Secure Boot abilitato, riscontriamo il classico messaggio di errore che indica che WinPE non è firmato (per quanto ne sappiamo).

Windows 11 richiede un computer con avvio sicuro, ma l'avvio sicuro non deve essere necessariamente abilitato.

Ho appena provato con un'immagine ISO: Win11_22H2_French_x64v2 e funziona anche senza Secure Boot abilitato. Puoi abilitare Secure Boot anche in seguito, se preferisci.

L'avvio sicuro può essere eseguito con Wapt in due modi:

- Utilizzando un IPXE firmato (difficile da trovare o a pagamento), per tua informazione abbiamo un progetto per ottenere la firma del nostro IPXE, ma il processo con Microsoft è lungo e complesso.

- Abbandonando IPXE. In questo caso, l'avvio dall'immagine WinPE verrà eseguito interamente tramite TFTP, che risulta cinque volte più lento all'avvio. Inoltre, si perderanno alcune funzionalità come la distribuzione Linux o l'avvio automatico dalla rete.

Ecco la procedura per farlo:

Attualmente, wapttftpserver non gestisce questa funzionalità, quindi è necessario disattivarla:

Codice: Seleziona tutto

systemctl stop wapttftpserver
systemctl disable wapttftpserver

Aggiungere a /opt/wapt/conf/waptserver.ini:

Codice: Seleziona tutto

copy_winpe_x64_in_tftp_folder=True

quindi riavviare il waptserver:

Codice: Seleziona tutto

systemctl restart waptserver

* Riavviare la creazione di un WinPE dalla console

Quindi, installa tftpd-hpa:

Codice: Seleziona tutto

apt-get install tftpd-hpa

Modificare la configurazione tftpd-hpa

/etc/default/tftpd-hpa:

Codice: Seleziona tutto

TFTP_USERNAME="tftp"
TFTP_DIRECTORY=/var/www/wads/pxe
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="-v --secure -m /etc/tftpd.map"

e /etc/tftpd.map

Codice: Seleziona tutto

rg \\ /
rg boot/ Boot/
rg efi/ EFI/
rg /microsoft /Microsoft

riavvia tftpd:

Codice: Seleziona tutto

systemctl restart tftpd-hpa

Nella configurazione DHCP, il file da menzionare non è più ipxe.efi ma:

Codice: Seleziona tutto

filename "efi/boot/bootmgfw.efi";

Si prega di notare che è necessario essere pazienti durante i test: il processo di avvio è molto più lungo.

Salve,

grazie per le risposte.
Abbiamo preferito semplicemente disabilitare Secure Boot e riabilitarlo in seguito.

Cordiali saluti,

Forum IT Tranquillo

[RISOLTO] Installazione di Windows 11/Secure Boot tramite WAPT

[RISOLTO] Installazione di Windows 11/Secure Boot tramite WAPT

Re: Installazione di Windows 11/Secure Boot tramite WAPT

Re: Installazione di Windows 11/Secure Boot tramite WAPT