Trotzdem sind die nachfolgenden Informationen interessant und wichtig, wenn man vielleicht seinen vorhandenen EmpirumServer austauschen, umbenennen o.ä. mag. Handelt es sich um eine Umgebung mit mehreren Standorten oder einer größeren vierstelligen Anzahl an Clients, dann machen auch mehrere EmpirumServer Sinn bzw. werden benötigt. Weitere EmpirumServer nennt man im Empirum Sprachgebrauch „SubDepot“ – andere Hersteller nennen weitere Installations-Server z.B.: Repository, Sites, Distributed Installation Point.

EmpirumServer – SubDepots

Empirum SubDepots können mit der Hilfe von vorhandenen Empirum Software-Paketen und den passenden Variablen aus Windows Clients (Windows Server und Workstations) erstellt werden. In der Hauptsache ist ein Empirum SubDepot eine Kopie der Empirum Dateistruktur und den dazugehörigen Freigaben des Empirum Dienste-Servers. Das SubDepot tauscht, wie ein verwalteter Client (siehe oben): Software-Pakete, Auftrags-, Variablen-, Log- und Inventardateien mit dem überordneten EmpirumServer (zumeist Empirum Master Server) aus.

EmpirumServer – Verbindungsreihenfolge

Die Definition, mit welchem EmpirumServer der Client (UEM-Agent) sich verbindet, wird im Agent-Template (der Agenten-Konfiguration) vorgenommen. Wenn man das oder ein Agent-Template geöffnet hat, kann man die Versuche einer Verbindung, von oben nach unten, konfigurieren. Wenn ich Versuche schreibe, dann ist damit gemeint, das mit jeder nachfolgenden Konfiguration ein Verbindungsversuch gestartet wird. Wird eine Verbindung erfolgreich hergestellt, so wird diese genutzt. Die weiteren konfigurierten Optionen werden dann nicht mehr in Erwägung gezogen. Die Verbindungsversuche pro definierter Option und somit EmpirumServer werden jeweils auch mit den konfigurierten Protokollen durchgeführt.

DHCP Optionen verwenden (1)– nutzen des im DHCP-Bereich des Clients hinterlegten Computernamens z.B.: Depot1.MeineDomain.com oder Depot1. Weitergehende Informationen habe ich unten beschrieben.

Zugewiesene EmpirumServer verwenden (2)– nutzen der in der Management Console in den Eigenschaften der Konfigurations- bzw. Zuweisungsgruppe definierten EmpirumServer. Die eingerückten Optionen: Zufällige Reihenfolge verwenden bzw. Empirum Master Server ausschließen beziehen sich auf die „zugewiesenen EmpirumServer“. Den Empirum Master Server ausschließen macht deswegen Sinn, weil ein Computerobjekt immer den Master Server nochmals direkt am Computerobjekt zugewiesen bekommt. Diesen sollte man auch nicht aus der Zuweisung herausnehmen.

In der Reihenfolge der Verbindungsversuche folgt nun der in der Umgebungsvariable EmpirumServer (3) zwischengespeicherte EmpirumServer, mit dem zuletzt eine erfolgreiche Verbindung hergestellt wurde.

Zu guter letzt, wird eine Verbindung mit dem EmpirumServer im Feld Ausfall-Server (4) vorgenommen.

Das komplette Agent-Template wird dem Client als XML Datei zur Verfügung gestellt.

Weiterführende Informationen

Hier geht es zu einem Hilfe-Artikel der Matrix42 zu diesem Thema.

Nachfolgend zu den zuvor genannten Einstellungen ein paar mehr Informationen von meiner Seite …

DHCP Optionen verwenden – Reihenfolge der Konfiguration

DHCP Optionen verwenden – wenn die Option im Agent-Template aktiviert ist/wird, muss zuvor in Empirum DBUtil die EmpirumServer DHCP Option aktiviert und gesetzt sein. Welche Optionsnummer man verwendet ist in einem gewissen Rahmen, eigene Definitionssache. Es gibt einen Bereich, in dem benutzerdefinierte/kundenspezifische Werte gesetzt werden dürfen und dieser beginnt bei 128. Diese Optionsnummer muss dann wiederum im IP-Bereich des Clients ebenso aktiviert und gesetzt sein.

Vorgehensweise:
1) DHCP Server / IP-Bereich – prüfen, ob die Option 128,129, o.ä. frei ist.
2) Empirum DButil – Empirum-PXE, DHCP Optionen, EmpirumServer aktivieren und Option (z.B.: 128) definieren
3) Agenten-Template – Haken bei DHCP Optionen verwenden setzen und Agent-Template (neu) speichern.
4) DHCP Server / IP-Bereich – Option (z.B.: 128) aktivieren/erstellen und den für den Bereich passenden EmpirumServer eintragen.

Hier zwei Screenshots aus Empirum DBUtil …

Zugewiesene EmpirumServer

Der nachfolgende Screenshot zeigt die Eigenschaften eines Computerobjekts in Empirum. Wie zuvor beschrieben, seht ihr oben rechts unter „Ausgewählte Empirum Server“ den auf dieser Stufe ausgewählten EmpirumServer. Am Computerobjekt selbst ist im Standard immer der Master EmpirumServer eingetragen. Dies bitte unverändert lassen!
Unten rechts bei Gruppen Empirum Server seht ihr die vererbten Empirum Server der darüberliegenden Konfigurations- bzw. Zuweisungsgruppen. Die Reihenfolge der Verbindungsversuche wird von oben nach unten durchgeführt – dies unter Berücksichtigung der Konfiguration im Agent-Template.

Nachvollziehen / Troubleshooting

Wenn ihr schauen wollt, wie euer Client den EmpirumServer anhand eures Agent-Templates bestimmt, dann werft einen Blick in das UAF Log des Clients. Die Logs befinden sich im Verzeichnis: %ProgramData%\Matrix42\Logs\UAF. Die aktuelle Datei lautet: Matrix42.Platform.Service.Host.log. Die Logs werden je 10MB rollierend erstellt und somit kann ein Start- oder Verbindungsversuch in einer Datei mit einem Datumstempel vermerkt sein. Wenn ihr in der Datei nach der Zeichenfolge „Server Access List“ sucht, solltet ihr eine Liste angezeigt bekommen, die aus den obigen Konfigurationen und Zuweisungen resultiert. Hier könnt ihr entnehmen, in welcher Reihenfolge und mit welchen Protokollen der Client die Verbindungen versucht aufzubauen.

Sieger – Am Client könnt ihr den am Ende ausgewählten EmpirumServer mit einem Klick auf das UEM-Agent Symbol und „Info über ..“ oder der Umgebungsvariable „EmpirumServer“ angezeigt bekommen.

Der Beitrag Empirum UEM Agent – EmpirumServer Bestimmung erschien zuerst auf Workplace Management Blog.

Suchen und Ersetzen Tools

In diesem Artikel geht es um Tools zum Suchen und Ersetzen mit einer grafischen Oberfläche. Bereits im allerersten Empirum Projekt habe ich das Serach&Replace von Funduc lizenziert, da ich damals kein anderes ähnlich geartetes Tool gefunden hatte. Dieses Tool leistet mir noch heute verlässliche Dienste. Im Laufe der Zeit habe ich bei Kunden auch den Agent Ransack kennengelernt, der eine ähnliche Funktion hat. Mittlerweile zähle ich die freien Tools dnGrep und grepWin dazu. Wer das letztgenannte grepWin herunterladen möchte, wechselt am besten direkt auf github, um den Werbe- und Downloadbannern zu anderen ungewünschten Angeboten aus dem Weg zu gehen. Auch der bei vielen beliebte Editor „Notepad++“ bietet im Menü unter Search/Suchen eine Funktion zum Durchsuchen von Dateien an.

Funktionsumfang

Auf die Funktionen und Unterschiede der verschiedenen Tools, werde ich an dieser Stelle nicht eingehen. Generell bieten jedoch alle Tools, das Suchen …

• in einem definierten Pfad
• nach definierten Dateiendungen und teilweise auch in Archiven
• nach einer Zeichenkette
• Speichern des angezeigten Ergebnisses als Text oder HTML Datei

Warum Suchen und Ersetzen?

Nun, diese Tools nutze ich aus verschiedenen Gründen.

1. Durchsuchen der Empirum Pakete nach bestimmten Befehlen, Aufrufen, absoluten EmpirumServer Einträgen, Benutzern und Gruppen.
2. Durchsuchen der gesamten Empirum Partition nach bestimmten Benutzern und Gruppen in Bezug auf Verbesserung der Sicherheit
3. Das Ergebnis des Durchsuchens bildet zumeist die Grundlage für weitere Aufgaben (Anpassen, Testen, schaffen von neuen Lösungen).
4. Teilweise kann die Lösung ein Ersetzen der gefundenen Zeichenkette, durch eine neue sein.

Dein Tool der Wahl?

Welches Tool nutzt Du für diesen Zweck oder hast eine Empfehlung für die Leser des Blogs. Schreib doch Dein Suchen & Ersetzen Lieblingstool in den Kommentar. Danke, Grüße und bis bald – Jochen

Der Beitrag Suchen und Ersetzen Tools erschien zuerst auf Workplace Management Blog.

Grober Ablauf – MSI Paketerstellung

Eine MSI Datei ist „eigentlich“ ein fertiges Paket für den Windows-Installer. Bei der Erstellung einer Empirum Setup.inf werden beim Packaging diverse Werte aus der MSI ausgelesen und in die Setup.inf übertragen. Die Setup.inf enthält am Ende die Logik und Erfolgsüberprüfung für die Installation, Reparatur und Deinstallation der MSI Datei und bietet Raum für Erweiterungen, die über die reine MSI Installation hinausgehen.

Aufmerksam sein …

Die aus der MSI Datei ausgelesen Werte für Hersteller, Software(name) und Version werden im Packaging Vorgang vorgeschlagen.

Hier sollte man wachsam sein und darauf achten, dass ..
1. bei Software auch nur der „Softwarename“ steht und nicht gleich der Hersteller und die Version zusätzlich.
2. es sich beim vorgeschlagenen Text um Zeichen handelt, die auch im Dateisystem verwendet werden können. Ansonsten fällt einem das später auf die Füße.

Beispiel: Dell Command Update

Im angezeigten Beispiel sind gleich mehrere „Hürden“ enthalten.
1. Es handelt sich um das Dell Command Update. Der Softwarename ist dann genau genommen nur noch „Command Update“. Also Dell am Anfang kann entfernt werden.
2. Vorgeschlagen wird „Command | Update“. Bitte macht daraus ein Command Update! Die „Pipe“ wird bei der Verzeichniserstellung für Probleme sorgen.
3. Der Hersteller ist „Dell Inc.“. Hier empfehle ich „Dell“ oder „Dell Inc“ daraus zu machen, weil es sonst weitere Probleme geben wird.

Man sollte also darauf achten, dass Hersteller, Softwarename und Version nicht auf einen „Punkt“ (.) enden!

Gemeistert

Hat man die Dinge oben beachtet, sollten keine Probleme bei der Paket-Erstellung, Import und Verteilung auftreten.
War man „clever“ und hat sich im die ein oder anderen Probleme „herumgearbeitet“, aber in der Setup.inf vielleicht noch „Dell Inc.“ stehen, dann kann das wie folgt enden.
Die Installation des Paketes schlägt fehl. Beim genaueren Hinsehen hat einen Ordner „Dell Inc.“, auf den man jedoch nicht zugreifen kann…

Wenn er stört, dann löscht man ihn halt. Argh – das funktioniert leider auch nicht so einfach.

Egal wie man es dreht und wendet, man bekommt den Ordner weder per Explorer oder den normalen Angaben in der CMD nicht entfernt.

Mit folgenden Befehl kann man den Ordner jedoch entfernen:

rd /s /q "\\?\C:\ProgramData\$Matrix42Scripts$\Dell Inc."

Der Beitrag Aufgepasst im Package Wizard – MSI erschien zuerst auf Workplace Management Blog.

Der Matrix42 UEM Agent für Windows bringt ab dem Oktober 2022 in der SFR Version einige Änderungen mit. Mit den Änderungen soll die Stabilität, als auch das Verhalten bei Aktualisierungen signifikant verbessert werden. Zusätzlich halten weitere Verbesserungen hinsichtlich der Sicherheit Einzug.

Der Beitrag Anstehende Matrix42 UEM Agent Änderungen erschien zuerst auf Workplace Management Blog.

Falls Du die Empirum EAI Schnittstelle per XML Dateien nutzt, wird diese nach dem Einspielen des Hotfix für Empirum v21.0.3 und v22 vom 29. Juli 2022 nicht mehr wie gewünscht funktionieren. Es gibt Möglichkeiten diese Schnittstelle wieder zu aktivieren. Wenn Du diese Schnittstelle nicht, oder nicht so schnell, gegen das SDK per powershell oder C# ändern kannst, so wende Dich an den Matrix42 Support oder an mich per Mail.

Der Beitrag EAI per XML – Breaking Changes in Empirum erschien zuerst auf Workplace Management Blog.

Was ist so anders bei Office 365?

Generell besteht die Umstellung darin, dass das die Office 365 Installation nicht mehr aus MSI und MSP Dateien besteht. Die „neue“ Installationsvariante hört auf den Namen „Click-To-Run“ oder kurz C2R bzw. ins deutsche übersetzt Klick und Los. Die nachfolgenden Links geben Antworten auf viele Fragen rund um das Thema „Breitstellung und Aktualisierung von Office 365“. Zusätzlich habe ich Links zur Aktualisierung von Office 365 per Matrix42 Patch-Management hinzugefügt.

Die häufigsten Fragen

Die hauptsächlichen Fragen bei der Bereitstellung von Office 365 sind:

• Welche Programme sollen alles verteilt werden?
• Was soll nicht Bestandteil der Bereitstellung sein (Publisher, OneDrive, Teams, …)?
• Welche Sprachen sollen bereitgestellt werden?
• Welcher Update-Kanal soll gewählt werden?
• Wo halten sich meine Clients am häufigsten auf?
• Wie und wo sollen die Updates-Quellen bereitgestellt werden?

Wie man sieht, sind das einige Fragen die beantwortet werden wollen, bevor man so richtig loslegen kann.

Was muss ich beachten, wenn ich zusätzlich Visio und Project installieren möchte?
https://docs.microsoft.com/de-de/deployoffice/install-different-office-visio-and-project-versions-on-the-same-computer

Was sind die Office Update Channels und was unterscheidet diese und welches ist der richtige Update Channel für mich oder meine Benutzer?https://docs.microsoft.com/en-us/deployoffice/overview-update-channels

Welchen Update Channel habe ich aktuell konfiguriert?
https://techcommunity.microsoft.com/t5/office-365-blog/how-to-manage-office-365-proplus-channels-for-it-pros/ba-p/795813

Wie aktuell bin ich?
Überblick über die aktuellen Versionen in den jeweiligen Update Channels:
https://docs.microsoft.com/en-us/officeupdates/update-history-microsoft365-apps-by-date

Office 365 Updates

Welche Gruppenrichtlinien sind für das Update per Matrix42 Patch-Management zu setzen?
Wichtig zu wissen: Das Matrix42 Patch-Management für Office 365 „triggert“ nur die Aktualisierung und bringt nicht die Updates mit. Dazu müssen die aktualisierten Quellen für die Aktualisierung entweder auf einer UNC Freigabe, einer Web-Freigabe oder im Internet (Standard) abgelegt sein. Mein Wissensstand heute: Wenn man das Office365 Update gegen das Internet „triggert“, wird immer die aktuell verfügbare Version installiert, unabhängig von dem Office 365 „Patch“ den ich im Empirum Patch-Management freigegeben habe. Dies könnte man mit dem Parameter „Targetversion“ in der Gruppenrichtlinie steuern.
https://helpfiles.matrix42-web.de/2020_DE/M42_WebDocu.htm#WM/Manuals/Patch_Management/PM_Office.htm?

Gruppenrichtlinien setzen per GPO oder Registry
Eine Übersicht über die Einstellmöglichkeiten zu Office Click To Run per GPO findest Du hier.
https://admx.help/?Category=Office2016&Policy=office16.Office.Microsoft.Policies.Windows::L_UpdatePath

Wo in der Registry finde ich die Gruppenrichtlinien zu Office 365?
HKEY_LOCAL_MACHINE\software\policies\microsoft\office\16.0\common\officeupdate

Was muss ich beachten, wenn ich eine eigene Update Freigabe erstelle?
Wenn man die Aktualisierungen im internen Netz bereitstellen mag, muss man noch die Entscheidung fällen, ob die Freigabe per UNC oder http/https erreichbar sein soll.
Erstellt man eine UNC-Freigabe, so darf diese keine versteckte („$“) Freigabe sein. Hinweis: Die NTFS Berechtigungen sollten Zugriff für Everyone oder das Computerkonto erlauben! Die Quellen müssen im Unterordner Office\Data liegen (Die Quellen liegen dann also unter dem zuvorgenannten „updatepath“ + „\Office\Data“). Darin gibt es eine v<Architektur>.cab, eine v<Architektur>_<Version>.cab und ein Unterordner mit der <Version>. Der Unterordner mit der Version enthält die Quellen für die Installation. Die Dateien haben für eine deutsche Installation folgendes Namensschema: $$$1031.cab. In den Quellen können mehr Office Produkte/Module enthalten sein, als installiert werden. Sprich, die Quellen können in der Freigabe das Access beinhalten, aber in der Configuration.xml ist das Access ausgeschlossen.

Wie lade ich die Office 365 Quellen für eine Installation oder Aktualisierung herunter?
Die Quellen werden mit dem Microsoft Bereitstellungstool (Setup.exe) und einer passenden Konfigurationsdatei heruntergeladen.
Setup.exe /download <Datei.xml>
Die Konfigurationsdatei benötigt die Angabe des Ablageortes SourcePath=“<Pfad>“.
Bereitstellungskonfiguration: https://config.office.com/
Bereitstellungstool: https://www.microsoft.com/en-us/download/details.aspx?id=49117

Protokollierung

Das Logging der Installation als auch der Aktualisierung erfolgt nach %WinDir%\Temp\%Computername%-<Datum>-<Uhrzeit>.log
Wenn die Datei %Computername%-<Datum>-<Uhrzeit>.log größer oder annähernd 100kb groß ist, dann hat zumeist ein Update stattgefunden.
Die kann man u.a. auch daran festmachen, ob in der Datei „Update mode context starting: /update“ zu finden ist.
Wenn etwas fehlschlägt, oder man nach einem Fehler sucht. Dann sollte man in der Datei nach „error“ suchen.
Für die Installation kann man einen alternativen Log Pfad in der Bereitstellungskonfiguration angeben.

Erweiterte Protokollierung
Falls die standardmäßige Protokollierung von Office 365 nicht ausreichend ist, so kann man diese wie folgt erweitern:

reg add HKLM\SOFTWARE\Microsoft\ClickToRun\OverRide /v LogLevel /t REG_DWORD /d 3 /f
reg add HKLM\SOFTWARE\Microsoft\ClickToRun\OverRide /v PipelineLogging /t REG_DWORD /d 1 /f

Quelle: https://docs.microsoft.com/de-de/office/troubleshoot/diagnostic-logs/how-to-enable-office-365-proplus-uls-logging

Weitergehende Scripte für Office 365 (Click to Run)
https://github.com/OfficeDev/Office-IT-Pro-Deployment-Scripts

Der Beitrag Office 365 Installation und Update – Gesammelte Werke erschien zuerst auf Workplace Management Blog.

Welche Datei meine ich denn nun genau?

Es geht um die Unattended.inf im Empirum\Configurator\Packages\Matrix42\Packaging Center\<Version>\Templates Ordner. Diese wird bei der Auswahl „Unattended“ im Verlaufe des „Package Wizards“ herangezogen.

Erfolgsüberprüfung

Nach dem „silent“ Aufruf einer EXE Datei, wird eine, wie ich sie nenne, „Erfolgsüberprüfung“ durchgeführt. Denn jede Setup.inf, die nicht mit einem „Abort“ beendet wird, wird per se als Erfolg gewertet. Sprich, wir sollten nach dem Aufruf eines externen Programms (Setup.exe, Installer, etc.) überprüfen, ob eingetroffen ist, was wir erwarten würden. Andernfalls, kann ein Paket ein „Success“ zurückmelden und die Software ist nicht installiert.

ErrorLevel Abfrage in der Vorlage

Die oben angesprochene Setup.inf Vorlage prüft deswegen nach einem Aufruf einer Installation den ErrorLevel ab. Weit verbreitet ist ein ErrorLevel mit dem Wert 0 ein Erfolg. Deswegen enthält die Vorlage auch die nachfolgende Zeile:

If "%ErrorLevel%" <> "0" Then "SET:InstallationError" EndIf

Doch was passiert, wenn die Installation z.B. einen Wert von 3010 zurückliefert? Ist dann ein Fehler aufgetreten? Nein. Der Wert 3010 bedeutet beispielsweise, die Installation war erfolgreich, doch es wird zusätzlich ein Neustart benötigt. Microsoft hat es mit den MSI Installern begonnen und einige haben diese Werte übernommen oder rufen in ihrer EXE Datei eine MSI Installation auf und geben den ErrorLevel der MSI Installation zurück.

Anpassung

Diese Anpassung setzt automatisch eine Neustart-Anforderung für dieses Paket und wertet den Rückgabewert von 3010 nicht als Fehler.

If "%ErrorLevel%" == "3010" Then "RebootRequired" EndIf
If "%ErrorLevel%" <> "0" & "%ErrorLevel%" <> "3010" Then "SET:InstallationError" EndIf

[RebootRequired]
SetReboot 1
-SetReboot 1

Wer noch weiter gehen möchte, für z.B. VCRedist Installationen oder Updates, der kann zusätzlich noch den Wert 1638 (Another version of this product is already installed) überprüfen.

ErrorLevel oder gibt es auch andere Methoden

Der ErrorLevel ist nicht die einzig wahre Methode. Natürlich kannst Du auch überprüfen, ob es einen bestimmten Registry Wert nach der Installation gibt, den es zuvor nicht gibt. Eine Überprüfung, ob die Software in Form ihrer ausführbaren Date vorhanden ist, kann genauso gut sein. Zu diesen Abfragen kommen wir dann bei den nächsten Tipps. Falls Du bereits Neugierig bist, so kannst Du in der Hilfe nach DoesRegKeyExist oder DoesFileExists suchen. Die DoesRegKeyExist Abfrage ist auch in der MSI.inf (Vorlage für MSI Installationen) enthalten ;-).

Der Beitrag ErrorLevel Abfrage bei Unattended Installationen erschien zuerst auf Workplace Management Blog.

EmoCheck

Das Japan CERT stellt das Werkzeug EmoCheck auf GitHub zum Download bereit. Die Datei(en) müssen von dort heruntergeladen werden, ggf. auf Virustotal geprüft und in das unten stehende Paket eingebunden werden.

wpm-blog EmoCheck Paket

Nachfolgend gib es das wpm-blog EmoCheck Paket zum Download. In der ZIP Datei sind wiederum zwei ZIP Archive. Eines was man für den Import nutzen kann, oder alternativ das Paket zum Entpacken für den Packages Ordner und selbst hinzufügen in das SoftwareDepot. Welche Methode ihr auch immer präferiert, die zuvor genannten EmoCheck*.exe Dateien müssen im „pTools“ Unterordner des Paketes abgelegt werden.

EmoCheck Empirum Package (452 Downloads )
MD5 Hash der Downloaddatei: FEB7522A6A138EED59D779828E784D55

Wie läuft es ab, was kann konfiguriert werden?

Das Paket kopiert das Tool nach „C:\ProgramData\EmoCheck\Exe“ und generiert eine Ausgabe nach „C:\ProgramData\EmoCheck\Log“. Findet es im aktuellen Log einen definierten Text, so wird „Alarm“ geschlagen, indem das Paket auf einen Fehler läuft und je nach gesetzter Variable im Paket auch die Ausgabe auf den EmpirumServer nach „Empirum\Configurator\Log\EmoCheck\<Computername>“ überträgt (Voreinstellung). Die Log Dateien werden auf dem Client in „C:\ProgramData\EmoCheck\Log\Archive“ archiviert. Das Paket kann somit gerne komplett „silent“, mit der Verteilungsoption „Nicht anzeigen“ mittels Zeitplaner regelmäßig ausgeführt werden. Die Deinstallation räumt alles wieder weg.

Nur Überprüfung!

Das EmoCheck Tool, und somit auch dieses Softwarepaket, überprüft nur auf verdächtige Dateien! Falls eine verdächtige Datei gefunden wurde, muss noch Hand angelegt werden. Das Paket erstellt bereits einen Registry-Eintrag mittels dem man, ähnlich der Patch-Management Scan und Fix Kombination, mit einem Aufräumpaket hinterhergehen könnte. Aufgrund der Log/Rollout-Koordinations-Rückmeldungen sollte man die betroffenen Computer jedoch besser vom Netz nehmen bzw. per OS Installation komplett überschreiben.

Letzter Hinweis

Das Paket muss keine verlässliche Prüfung sein, da die Malware Schreiber und Jäger natürlich ein stetes Katz und Maus Spiel betreiben. Einen besseren Schutz bieten hier eher sogenannte NextGen AntiVirus Lösungen, die ausgefeiltere Mechanismen zur Malware Erkennung und Behandlung beinhalten.

Der Beitrag EmoCheck per Empirum Paket erschien zuerst auf Workplace Management Blog.

Betriebssystem importieren

Der Start für den Importvorgang befindet sich unter Konfiguration, OS Installer, Import. Die im weiteren Verlauf des Beitrages gezeigten Abbildungen führen durch den Importvorgang und bedürfen nur wenigen Kommentaren. Die zu importierende Windows Quelle (ISO) können Sie entweder mittels Windows Bordmitteln „Bereitstellen“ oder per 7-zip o.ä. entpacken. Der Import Wizard kann leider nicht direkt auf eine ISO Datei zugreifen.

Auswahl des Quellverzeichnisses bzw. des Laufwerkes, in dem die Betriebssystemquellen vorliegen …

Nach der „Untersuchung“ der Quellen, schlägt Empirum vor, was es importieren kann. Nach der Auswahl des Suchergebnisses, kann im nachfolgenden Dialog der Name angepasst werden, was ich auch stark empfehle!

Nach der gewünschten Anpassung, erfolgt der tatsächliche Importvorgang, der auch einen Moment andauert …

Nach einer Weile, zeigt der grüne Text in der Zusammenfassung den Erfolg des Imports an!

Weiter geht’s!

Der Beitrag Empirum WinPE – Betriebssystem in Empirum importieren erschien zuerst auf Workplace Management Blog.

Los geht’s!

WADK

Eine Installation des WADK auf dem EmpirumServer ist eine Voraussetzung zur Erstellung der WinPE PXE-Images. Dazu habe ich bereits zwei Artikel geschrieben, die die Hintergründe und die Bereitstellung erläutern:

• Empirum: WinPE anstatt EPE als PXE-Image
• Microsoft WADK / WinPE Versionen

Matrix42 WinPE Erweiterung

Mit jeder neuen Empirum Version kommt auch ein Stand des WinPE PreBoot Supports in das Empirum System. Die PreBoot Support Entwicklung ist jedoch nahezu völlig von der Empirum Entwicklung entkoppelt. Man kann den jeweils aktuellsten WinPE PreBoot Support mit einer noch unterstützen Empirum Version einsetzen. Den aktuellen WinPE PreBoot Support gibt es im Matrix42 Marketplace zum Download.

Der WinPE PreBoot Support, der derzeit als EXE angeboten wird, entpackt, mit einem Doppelklick, im gleichen Ordner eine Empirum Struktur. Falls man in diesem Ordner in der Vergangenheit bereits einen WinPE PreBoot Support entpackt hat, sollte man das vorhandene Empirum Verzeichnis löschen. Nur zur Sicherheit: Nicht das produktiv genutzte Empirum Verzeichnis löschen! Alternativ kann man auch ein Komprimierungsprogramm (7-zip) nutzen, um es in einen Ordner des EXE Namens zu entpacken.

Die entpackte Struktur wird dann über die vorhandene produktive Empirum Struktur kopiert und bestehende Dateien werden ersetzt.
Laut Matrix42 wird ein Backup der produktiven Empirum Struktur empfohlen. Soweit bin ich bis dato noch nicht gegangen. Meines Erachtens vorteilhaft kann jedoch eine Sicherung des nachfolgenden Ordners sein: Empirum\EmpInst\Sys\Images\WinPE sein. Im zuvor angegebenen Ordner liegen die Matrix42 Quellen zur Erstellung des Empirum WinPE PXE-Images.

Konfiguration WinPE PXE-Image

Dazu wechselt man in der Management Console in den Bereich „Konfiguration\Boot Konfigurationen“. Mit einem Klick auf das „+ Neu“ (unten links) beginnt man mit der Erstellung eines neuen PXE-Images.

Dem PXE-Image gibt man einen Namen – der Dialog weißt einen schon darauf hin, welche Zeichen und Buchstaben erlaubt sind.
In der Beschreibung kann man für sich die Grundlage des WinPE PXE-Images festhalten.
Der Konfigurationstyp ist in diesem Fall natürlich: WinPE.

Die Auswahl des Agent-Templates hat folgende Funktion:
Aus dem Agent-Template werden die Informationen bzgl. des EmpirumAgent Benutzernamens, des Ausfall-Servers und ob DHCP Optionen genutzt. Diese Informationen werden vom erstellten PXE-Image genutzt, um während der Ausführung des WinPE die Verbindung zum EmpirumServer herzustellen.

Ab einem Hotfix für die Empirum Version 19.0.1 werden standardmäßig die „erweiterten Eigenschaften“ zur Erstellung ausgeblendet.

Mit der TFTP Blockgröße kann man „spielen“, um die Übertragung des WinPE zu beschleunigen bzw. auf Stabilität zu trimmen.

Zusätzliche Treiberverzeichnisse
Unter „Zusätzliche Treiberverzeichnisse“ gibt man eine Quelle für Treiber an, die in das WinPE eingebunden werden sollen.

• Das sind nicht alle Treiber die später für das zu installierende Windows genutzt werden:
• Zumeist werden hier Netzwerkkartentreiber für das WinPE auf Windows 10 Basis benötigt, damit das WinPE PXE-Image eine Verbindung zum EmpirumServer herstellen kann.
• Bis dato war nur einmal ein Storage Treiber notwendig – damit verfährt man jedoch in gleicher Weise.
• Ich nutze in der Abbildung ein selbst erstelltes Verzeichnis, was separat vom vorhandenen DRV Ordner liegt, da dies meines Erachtens in absehbarer Zeit überflüssig wird.
• Es werden alle Treiber, die in diesem Ordner und auch Unterordner liegen, in das WinPE eingebunden.
• Idealerweise generiert man im angegebenen Ordner Unterordner mit den Namen der Modelle oder Netzwerkkarten.

Erstellung PXE-Image

Bei der Erstellung des WinPE PXE-Images, mit Klick auf Speichern (unten rechts), werden dann die …

• Windows PE Quellen (C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment)
• Matrix42 WinPE Erweiterung (Empirum\EmpInst\Sys\Images\WinPE)
• angegebene „Zusätzliche Treiberverzeichnisse“
• mit Hilfe des Skriptes (CreatePXEWinPEMultiPlatform.ps1)

zu einem PXE-Image zusammengeführt.

Status der Erstellung

Die Erstellung dauert ca. 15-20 Minuten. Den Status der Erstellung kann man am Symbol bei der Konfigurationsübersicht (oben links) oder unter Management im Menü „Info“ unter „Back-end tasks …“ einsehen.

In der Konfigurationsübersicht gibt es die:

• Sanduhr – warten das der BTQHx64 Dienst es verarbeitet
• Zahnräder – der BTQHx64 Dienst ist dabei, Dauer ca. 15-20min
• grüner Haken – erfolgreich erstellt
• rotes Kreuz – Fehler bei der Erstellung

Fertig!

Die erfolgreiche Fertigstellung kann, wie zuvor beschrieben, an mehreren Stellen eingesehen werden. Hier ein Auszug aus dem Back-end task Log:

Für technisch Interessierte: Das erstelle PXE-Image ist anschließend unter „Empirum\EmpInst\Wizard\Image\VirtualRoots\BootEnvironment\<PXE-ID>“ zu finden.

Einmalige Einrichtung ist getan. Was nun?

Wenn man sich für eine neue WinPE Erweiterung (siehe oben) entscheidet, muss das PXE-Image neu erstellt werden, da die neuen WinPE PreOS Packages zumeist auch auf Neuerungen im Empirum WinPE zurückgreifen. Ob man dazu eine neue Konfiguration erstellt, oder nur die vorhandene mittels „Speichern“ mit den neuen Quellen aktualisiert, muss man selbst entscheiden. Benötigt das vorhandene PXE-Image aufgrund einer noch nicht getesteten oder neuen Hardware einen zusätzlichen Netzwerkkartentreiber, so legt man den Treiber im oben genannten Ordner („Zusätzliche Treiberverzeichnisse“) ab und generiert durch „Speichern“ das PXE-Image neu.

Fehler bei der Erstellung …

Bei Fehlern bei der Erstellung kann man entweder in die Back-end task Verarbeitung schauen, oder direkt in das aktuelle Log des BTQHx64 Dienstes auf dem EmpirumServer unter
%ProgramData%\Matrix42\Logs\BackendTaskQueueHost64.

Der Beitrag Empirum WinPE – PXE-Image Erstellung erschien zuerst auf Workplace Management Blog.