Aktualisierung Windows Preinstallation Environment

In diesem Fall ist das Windows PE-Add-On auf dem EmpirumServer zu prüfen. Bis dato war eine Version 10.1.19041.1 des WADK WinPE-Add-Ons vollkommen ausreichend. Mit der Installation von Windows 11 22H4 wird jedoch unbedingt eine aktuellere Version benötigt.

Die auf dem EmpirumServer installierte Version kann in der Systemsteuerung überprüft werden:

Nachdem die Windows PE-AddOn Version 10.1.19041.1 o.ä. deinstalliert wurde, muss die aktuelle Version 10.1.26100.1 installiert werden.

Diese kann von der nachfolgenden Seite bezogen werden: https://learn.microsoft.com/de-de/windows-hardware/get-started/adk-install

Boot Konfiguration neu erstellen

Ist die Installation des WADK Windows-PE-Add-On erfolgreich abgeschlossen, muss die Bootkonfiguration unter Konfiguration, Boot Konfigurationen neu gespeichert werden.

Falls SubDepots im Einsatz sind, sollte im Anschluss das PXE-Image auch auf das SubDepot übertragen werden. Im Anschluss sollte einer erfolgreichen Windows 11 24H2 Installation nichts mehr im Wege stehen.

Der Beitrag Empirum: Fehler bei der Windows 11 Installation erschien zuerst auf Workplace Management Blog.

Was können Probleme bei der WindowsInstallation und danach sein?

WindowsInstallation Paket

Falls es zu Problemen bei der Ausführung des WindowsInstallation Paketes kommt, sollte man prüfen, ob ein Betriebssystemimport zugewiesen ist, oder der Computer in den Eigenschaften mit einer statischen IP-Adresse versehen ist.

DomainJoin

Bei Fehlern, die während des DomainJoin Paketes auftauchen, hilft ein Blick in das Log unter WinPEStatus. Häufig liegt es jedoch mit dem für den DomainJoin verwendeten Benutzer zusammen. Entweder hat er gar keine oder nicht die erforderlichen Berechtigungen, das Computerkonto zu erstellen oder ein bestehendes zu verändern. Testweise kann man das, vielleicht bereits vorhandene, Computerobjekt in der Domäne vor einer Installation löschen.

EmpirumAgentSetup

Das Paket wurde gerade in den aktuellen Versionen (2.8/2.9) der Empirum WinPE Erweiterung 1.9.0 (und neuer) wesentlich robuster aufgestellt. Falls es bei diesem Paket zu Problemen kommt, dann sollte man einen Blick auf die Variable „MX42_AGENT_PUSH_PACKAGE_FOLDER“ (Windows) legen. Ist die hier angegebene Version auf dem EmpirumServer bzw. dem zuständigen SubDepot unter „Empirum\Configurator\Packages\Matrix42\UEM Agent Windows“ abgelegt?

Keine Software-Installation nach der OS-Installation

Findet nach der OS-Installation keine Software-Installation statt, dann wurde in den meisten Fällen in den Eigenschaften des Computers bei Domäne der FQDN der Domäne anstatt der NetBIOS Name der Domäne angegeben. Wenn dies der Fall ist und angepasst wurde, reicht eine Aktivierung der Software (keine komplette Neu-Installation per PXE) aus. Zur Sicherheit startet man den Client-Computer einmal neu, damit er nach dem Neustart auf ausstehende Software-Installationen prüft.

Der Beitrag WinPE Installation und Troubleshooting erschien zuerst auf Workplace Management Blog.

LAPS und deren Unterschiede

Der Unterschied im Namen ist gering „Microsoft LAPS“ (alt, Legacy LAPS) und „Windows LAPS“ (neu), die Möglichkeiten unterscheiden sich jedoch enorm. Der ganz klare Vorteil ist, Windows LAPS ist nun Bestandteil des Betriebssystems. Die weiteren Vorteile sind die Integration in die moderne Verwaltung.
Die Einstellungen können nun nicht mehr nur aus Gruppenrichtlinien (GPOS) kommen und das Kennwort kann nun auch verschlüsselt im Azure Active Directory (AAD) gespeichert werden. Wer tiefer in die Materie und Möglichkeiten eintauchen möchte, dem lege ich die folgenden Seiten ans Herz:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-overview

Active Directory Berechtigungen

Wer das LAPS Kennwort im Active Directory speichert, sollte auch weitere Aspekte berücksichtigen, damit dies auch entsprechend abgesichert wird. Neben der spärlichen Vergabe der Benutzer die auf die LAPS Felder Zugriff haben, sollte man auch den Benutzer ins Auge fassen, der das Computerkonto erstellt. Weiteres dazu kann man hier finden.

Zusammenspiel mit Empirum

Im Zusammenspiel mit Empirum sind ein paar Dinge zu beachten, wenn man das Maximum an Sicherheit herausholen möchte.

DomainJoin Variablen

Die Variablen und somit der Benutzer für den Domain-Join sollte bestenfalls nur für den Zeitpunkt der Betriebssysteminstallation zugewiesen sein. Dies kann über eine separate Konfigurations- oder Zuweisungsgruppe geschehen, in dem der Computer nur für die Betriebssysteminstallation zugeordnet ist.

Windows LAPS

Will man die Vorteile von Windows LAPS nutzen, sollte man darüber nachdenken eine Windows 10 bzw. 11 Quelle für die Betriebssysteminstallation einzubinden, die das April oder besser Mai 2023 Update beinhaltet. Alternativ kann man auch das Windows Update in seine Quellen integrieren.

Reinstallation von Computern

Gerade bei Tests oder im Client Lifecycle kommt es vor, dass vorhandene Computer mit dem gleichen Namen nochmals installiert werden. Wurde das Computerobjekt vor der Neu-Installation nicht aus dem Verzeichnisdienst (AD/AAD) gelöscht, kann es dauern bis das LAPS neu erstellt und gespeichert wird, da das „Ablaufdatum“ vom Verzeichnisdienst vorgegeben wird. Etwas was mir diesbezüglich schon länger durch den Kopf ging, hat ein mir bekannter Administrator als WinPE Paket umgesetzt.

Das WinPE Paket zusätzlich der detaillierten Erläuterungen und Einstellmöglichkeiten findet ihr in seinem github Repository: https://github.com/htcfreek/PreOS-ResetLapsPassword.

Wem das nicht reicht, so wird er dort auch fündig hinsichtlich einer GUI für das Windows LAPS Kennwort: https://github.com/htcfreek/SimpleLapsGui

Ein großes Kompliment für diese Erweiterung von meiner Seite!

Microsoft LAPS Benutzer

Für all diejenigen, für die Microsoft LAPS nichts neues ist, sollten sich mit der Co-Existenz, den Änderungen und neuen Möglichkeiten auseinandersetzen. Man muss jedoch sehr achtsam mit den Begrifflichkeiten und Funktionen umgehen, da die ähnlichen Worte und Begriffe einen schon gerne einmal verwirren.

Der Beitrag Windows LAPS und Empirum WinPE erschien zuerst auf Workplace Management Blog.

Was war der Auslöser?

Am Ende war das Problem vorwiegend auf ein Problem zurückzuführen. Microsoft hat ein aktualisiertes Update für die hier bereits beschriebene Problematik herausgebracht. Das Update KB5020683 wird zwangsweise installiert und startet das System ohne Nachfrage neu. Im Vorjahr hatte ich auch Meldungen von Empirum Admins, die Windows 10 Enterprise nutzen und meinen davon nicht betroffen sein zu dürfen. Diese Fälle hatte ich dieses Mal auch wieder.

Folgende Umstände scheinen damit reinzuspielen:

• Wie erreichen die Computer das Internet während der Betriebssystem-Installation (Proxy, direkt)?
• Das Windows wird erst mit/nach dem DomainJoin Paket aktiviert

Wie löst man die obigen Probleme?

Wie vor einem Jahr habe ich das Microsoft Update in ein WinPE PreOS Paket gepackt, welches geplant installiert wird. Dieses Paket sollte in der Reihenfolge nach dem PxeOffAndReboot Paket einsortiert werden. Man sollte zusätzlich schauen, das man eine aktuelle EmpirumAgentSetup Version, wie z.B. die Version 2.8, einsetzt, da hier auch noch ein bis zwei mögliche Problempunkte behoben sind.

WinPE PreOS Paket

KB5020683_x64 (81 Downloads )
SHA256 Hash der Downloaddatei: 655F4C7F74E905B58CC9242AFB16F47FAD059DB66C7A2F290CE304E166A616DE

Hilfestellung: Hinweise, wie man ein PreOS Paket einbindet, findet ihr hier.

Der Beitrag Unterschiedliche Probleme bei OS Installationen mit Empirum erschien zuerst auf Workplace Management Blog.

Failure GATEWAY parameter is not defined

Diese Meldung bedeutet, dass ihm bei der IP Konfiguration das Standard-Gateway fehlt.
Möchtest Du den Computer tatsächlich mit einer statischen IP-Adresse installieren?

Wenn ja – vervollständige die statischen IP-Adressdaten am Computerobjekt (Eigenschaften).
Wenn nicht – setze den Haken bei DHCP in den Computereigenschaften.

Viel Spaß und gutes Gelingen!

Der Beitrag Empirum WinPE – WindowsInstallation Paket schlägt fehl erschien zuerst auf Workplace Management Blog.

Fehlende Treiber hinzufügen

Die Surface Tastatur funktioniert deswegen nicht, weil dem WinPE ein paar Treiber fehlen. Welche Treiber das sind, könnt ihr hier nachschlagen. Einbinden müsst ihr diese Treiber dann in der Management Console und Konfiguration\Boot Konfigurationen – Zusätzliche Treiberverzeichnisse. Wie das geht und wo ihr das findet, habe ich wiederum bereits in diesem Artikel beschrieben.

Wie komme ich an die genannten Treiber?

Jetzt liegen die Microsoft Surface Treiber jedoch als MSI Dateien vor. Wie kommt man nun an die einzelnen, oben genannten, Gerätetreiber?  Dazu ruft ihr die MSI Datei wie folgt auf:

MSIEXEC /a <Pfad und Dateiname zur heruntergeladenden Treiberdatei>.msi TARGETDIR=<Ausgabe Ordner> /qn

Beispielhafter Aufruf:
MSIEXEC /a SurfacePro8_Win10_19042_22.011.9738.0.msi TARGETDIR=C:\Temp\SurfacePro8Drivers /qn

Das Entpacken dauert einen Moment, also nicht zu ungeduldig sein.

Nebeneffekt

Das entpackte Verzeichnis könnt ihr auch für den Treiber-Import für die Windows Installation nutzen. Dazu packt ihr es jedoch am besten wieder als ZIP Datei.

Der Beitrag Surface Tastaturen während der WinPE Phase erschien zuerst auf Workplace Management Blog.

Der Download ist, anders als es suggeriert, eine zip Datei, die entpackt die sql Datein enthält.

Download

ListAssignedOsImports.sql (154 Downloads )
SHA256 Hash der Downloaddatei: F775F708C6B616946C0C13A1CE9C075E1AEBD1E422C11DC08088437F686031AE

Der Beitrag Betriebssystem Zuweisungen herausfinden erschien zuerst auf Workplace Management Blog.

wpm-Blog WinPE-Extension-Pack 1.3

Aufgrund der Windows 11 Implementierung und Unterscheidung im OS-Installer habe das PrepareDRVbyModel_Packages Paket überarbeiten „müssen“. Der Vorteil für Euch – auch eine weitere Funktion ist nun für alle nutzbar. Es ist die CommonDrivers Funktion. Ein Ordner mit Treibern wird für alle Modelle kopiert. So könnt ihr in diesem Ordner, die (neuen?) Dockingstation oder USB-Netzwerkadapter Treiber ablegen und müsst dazu nicht alle Modellpakete erneut anpassen. Es gibt einen Standard-Ordner (CommonDrivers) der kopiert wird, alternativ könnt ihr per Variable einen anderen Namen angeben. Den Gedanke hatte ich auch schon einmal und ein Nutzer hat mich da noch etwas „geschuppst“ – jetzt steht es Euch allen zur Verfügung. Ich hoffe, es gefällt Euch.

Das Paket, dass den Hotfix installiert, damit Windows 10 Pro keine ungewollten Neustart direkt nach WinPE Phase durchführt, habe ich in das Extension Pack aufgenommen. Ihr könnt selbst entscheiden, ob ihr es benötigt, oder nicht.

Das aktuelle wpm-Blog WinPE-Extension-Pack bekommt ihr hier.

innomea WinPE Extension Pack

Neben den WinPE Erweiterungen die ihr hier auf meinem Blog seht, arbeite ich auch den WinPE Erweiterungen der innomea mit. Die Erweiterungen der innomea sind hauptsächlich Ergänzungen zu den Paketen die Matrix42 anbietet. Mit den Ergänzungspaketen (HardwareProfileValidator und CommonDrivers) sollen annährend die Funktionen bereitgestellt werden, die z.B. hier mit PrepareDrvByModel_Packages erreicht werden.

Das innomea PostWindowsInstallation Paket wiederum ist eine starke Weiterentwicklung des hier angebotenen PostOSInstallation. Dieses Paket ermöglicht viele Anpassungen an der Windows Installation, die einige von Euch noch von den Betriebssystemvorlagen her kennen. Dabei wurde teilweise auch auf Einträge im Matrix42 ideas Portal eingegangen.

Hier ein kleiner Auszug der Funktionen, die ihr zum Großen Teil per Variablen steuern könnt: Installation von Treibern per EXE/MSI, Firewall Modifikationen, Festplatte/Partition C: umbenennen, Support, Besitzer Informationen hinterlegen, EmpirumServer der OS-Installation als Umgebungsvariable setzen, „Kennwort läuft nicht ab“ für den zusätzlichen lokalen Admin setzen, uvm.

Den kompletten Umfang und die weiteren Pakete könnt ihr hier einsehen.

Matrix42 DomainJoin Paket

Das Matrix42 DomainJoin Paket wird in Kürze auch eine neue Version erhalten, dessen Vorteil einige zu nutzen wissen werden. Vielen Dank an die Beteiligten der Matrix42 für eure offene Kommunikation und Umsetzung!

Beyond Empirum WinPE

Natürlich dreht sich die hier zumeist angesprochene Matrix42 Empirum Welt nicht nur um WinPE. Jedoch kann man ganz gut erkennen, dass diese mir sehr viel Spaß bereitet. Matrix42 ist dabei eine größere Änderung im UEM-Agent vorzunehmen. Darauf werde ich mit Euch in Kürze schauen.

Stay save!

Wer mich kennt, weiß wie sehr ich versuche „Anglizismen“, wenn möglich, zu umgehen. Es gibt meines Erachtens jedoch einige Situationen bei diesen diese Worte oder Sätze einfach kürzer und treffender sind. Wie auch immer: Bleibt weiterhin gesund in dieser „unbekannten“ und noch „verrückteren“ Zeit!

Der Beitrag Aktualisierungen Frühjahr 2022 erschien zuerst auf Workplace Management Blog.

Was passiert da?

Nachfragen, Recherchen und eigene Tests haben folgendes ergeben. Microsoft installiert direkt nach der Windows Installation ein Windows Update und führt direkt danach einen Neustart durch. Voraussetzung dafür ist: der Computer verfügt über eine Internet Verbindung und es liegt eine bestimmte Windows Version vor. Das Update, das installiert wird, ist das „KB5005716“. Mit diesem Update passt Microsoft die OOBE Phase an, um Windows 11 zu „promoten“.

Weitergehende Informationen

Bis dato sind keine Einstellungen bekannt das zu unterbinden. Wenn man den folgenden Artikel aufmerksam liest, wird das auch nicht geplant sein. Wie heißt es im nachfolgenden Link zu „Windows updates during Windows 10 OOBE“ so schön: „…Critical driver updates, and critical Windows zero-day patch (ZDP) updates, will begin downloading automatically during OOBE after the user has connected to a network. The user can’t opt-out of these critical updates as they are required for the device to operate properly. …“

Hier geht es zur KB5005716 Update Beschreibung

Weitere Meldungen aus dem Netz, auch Meldungen von SCCM Nutzern über Probleme:
https://www.reddit.com/r/SCCM/comments/q2msk7/kb5005716_breaks_osd/
https://www.borncity.com/blog/2021/10/09/windows-10-oobe-update-kb5005716/

Workaround / Lösung

Die Hinweise im Netz gehen in die Richtung, dass obige Update in seine Windows Quellen zu integrieren. Dies funktioniert, wie ich auch bereits erfahren habe. Ein Veränderung der Windows Quellen mache ich selbst ungern, da sich die Windows Quellen dann nicht so einfach austauschen lassen.

Das hat mich dazu gebracht, ein PreOS Paket zu erstellen, welches man direkt nach dem PxeOffAndReboot einreiht. Dies installiert „geplant“ das Update und führt einen gewollten Neustart durch. Somit wurde die Installation zuverlässig zu Ende geführt. Voraussetzung ist bis dato mindestens Windows 10 Build 20H2 (2009).

PreOS Paket

Install-MS-KB5005716_x64 (286 Downloads )
SHA256 Hash der Downloaddatei: C5E6E64DBFD4E654C9D2E1F4DA5036B6528F817449653A4D52211156DF81ECA0

Hilfestellung: Hinweise, wie man ein PreOS Paket einbindet, findet ihr hier.

Der Beitrag Ungeplante Neustarts während der Windows 10 Installation durch KB5005716 erschien zuerst auf Workplace Management Blog.

ClearAllDisks Variable erstellen

Möchte man die vorgenannte Funktion nutzen, so erstellt man die Variable „ClearAllDisks“ vom Typ Zahl in der Variablendefinition: DiskPartitioning.
Dazu wählt man in der Matrix42 Management Console, Administration, Extras, Variablendefinitionen … aus und navigiert zur vorhandenen Variablendefinition „DiskPartitioning“.
Durch einen Doppelklick oder der Auswahl und Bearbeiten, landet man in den Eigenschaften der Variablengruppe DiskPartitioning.
Hier fügt man die Variable mit einem Klick auf das „+“ Symbol hinzu.

Setzen der Variable

Anschließend setzt man diese Variable für einen Computer, eine Konfigurations- oder Zuweisungsgruppe.
Weitergehende Informationen zur Übernahme des Wertes für untergeordnete Objekte findet man hier.

Matrix42 Hilfe

Anbei der Text aus der Empirum Hilfe. Über diese Variable, die Sie selbst hinzufügen müssen, können Sie beim Ausführen des DiskPartitioning Paketes alle Festplatten bereinigen.
Hierzu muss man in der EMC > Administration unter „Extras > Variablendefinitionen“ die Variable „ClearAllDisks“ als Zahl zu DiskPartitioning hinzufügen und diese auf 1 setzen.

Der Beitrag Empirum WinPE – Löschen von Partitionen erschien zuerst auf Workplace Management Blog.