Computergenerierter Alternativtext: Installation Installalation ImagefÉh ige Betrie bssystem Soft ware Installation Installalation ImagefÉh ige Betrie bssystem Soft ware Installation Installalation ImagefÉh ige Betrie bssystem Soft ware Weite re Soft ware Weite re Soft ware Weite re Soft ware Hardwarenahe Soft ware Hardwarenahe Soft ware Hardwarenahe Soft ware U pdates U pdates U pdates

Netzwerkinstallation mit dem Microsoft Deployment Toolkit – Teil 2: Service Account, Treiber, Software, Überlegungen zum Base Image

8d0c5d7a18054b04a348325d7bd2d647

Dies ist Teil 2 von 4 der Artikelreihe. Teil 1 ist „Netzwerkinstallation mit dem Microsoft Deployment Toolkit – Teil 1: Hinweise, Vorbereitung und Einrichtung“.

Konfiguration eines Service Account

Um auf die Netzwerkfreigabe zuzugreifen, Computerkonten anzulegen und andere Funktionen war zunehmen, sollte für den MDT ein Servicekonto im Active Directory angelegt werden. Dieses Konto muss im Dateisystem Ändern Berechtigungen für die versteckte Freigabe und die entsprechende NTFS Struktur bekommen. Es reicht eigentlich den schreibenden Zugriff für diesen Benutzer auf den Ordner „Capture“ zu beschränken. Für den Rest reicht lesender Zugriff in diesem Szenario.

Delegieren Sie diesem Servicekonto auch das Recht Computerobjekte in der zugehörigen OU zu erstellen.

Hinzufügen von Treibern

Bei den Treiben ist es wichtig sich im Vorfeld Gedanken zu machen. Zum einen gibt es für den Microsoft Deployment Toolkit (MDT) zwei Arten von Treibern: Normale Treiber und Windows PE (Windows Preinstallation Environment) Treiber. Letztere werden in der Installationsumgebung benötigt die Windows installiert. Dazu später mehr.

Generell sollte man bei den Treibern Vorsicht walten lassen. Technisch kann ich alle Treiber in ein Image integrieren und über lasse es dem Plug & Play den richtigen auszuwählen. Leider kann das schonmal zu der Erfahrung „Plug & Pray“ führen, da das nicht immer funktioniert. In dem Fall von PnP wird der Optimale Treiber ausgewählt. Sind mehrere Versionen vorhanden, gewinnt die höchste Version. Wenn der OEM die Versionierung ändert, oder eine neuere Version des Treibers nicht mit einer alten Hardware Revision funktioniert, dann wird es spannend.

Um das zu vermeiden füge ich für jedes Hardwaremodell ein eigenes Treiberpack hinzu und werde das später in der Tasksequenz gezielt verteilen. Manche Hersteller bieten Modelspezifische Treiberpakete oder Modell-Familien Pakete an, diese sind auch teilweise auf Kompatibilität untereinander getestet. Das ist aber von Hersteller zu Hersteller verschieden. Ich bevorzuge diese Sammlungen da ich so nicht einzelne Treiber herunterladen muss oder gar Treiber aus Installationsdateien (EXE-Dateien) extrahieren muss.

Was sind Windows PE Treiber?

Bei den PE Treibern gibt es noch ein paar Dinge zu beachten. Seit Windows 10 wird Windows Preinstallation Environment (WinPE) 10 benutzt, wer noch ältere Windows Versionen verteilen möchte, der muss ggf. noch Treiber für Windows Preinstallation Environment (WinPE) 5 hinzufügen.

Da für die Installation nicht jede Hardwareunterstützt werden muss, sind für PE nur bestimmte Treiberarten relevant. Zum Beispiel Chipsatztreiber, Speichersysteme (RAID Controller, Sata Controller & Co.), Netzwerktreiber (Ohne wird eine Installation über Netzwerk unmöglich) und Thunderbolt Treiber. Ich nutze gerne das WinPE Treiber Paket von Dell, auch für nicht Dell basierte Geräte, sofern der Hersteller keine eigenen Windows PE Treiberpakete hat, da es eine solide Basis enthält.


Offenlegung zum Arbeitgeber #Iwork4Dell

Zum Zeitpunkt der Erstellung dieses Artikels war ich bei Dell Technologies beschäftigt. Dell hat aber keinerlei Einfluss auf die Erstellung oder Inhalt dieses Artikel gehabt, oder hat diesen Artikel in direkter Weise unterstützt. Die einzige indirekte Unterstützung ist, dass ich ggf. eines meiner schon vorhanden, von Dell zur Verfügung gestellten Testgeräte für diesen Artikel verwendet habe.


Hinzufügen von Treibern

Bei diesem Kapitel ist es egal ob es um Windows Preinstallation Environment (WinPE) oder andere Treiber Pakete geht. Die Schritte sind identisch.

Werbung

Um die Treiber hinzuzufügen, navigieren Sie in den Bereich „Out-of-Box Drivers“ und legen zuerst einen neuen Ordner an. Dieser sollten Sie am besten so benennen wie die Treiber. Wenn Ihr bevorzugter Hersteller auch mit Versionierung bei den Treiberpaketen arbeitet, vermerken Sie auch die Version. In diesem Beispiel importiere ich die Version A19 des WinPE10 Treiber Pack von Dell, ich übernehme die Bezeichnung des Herstellers für den Ordner: „WINPE10.0-DRIVERS-A19-KCTW7“.

MDT Deployment Workbench - Hinzufügen von Treibern - Ordner Anlegen

Das Anlegen des neuen Ordners ist in wenigen Schritten erledigt.

MDT Deployment Workbench - Hinzufügen von Treibern - Ordner Anlegen

Als nächstes erfolgt der Import der eigentlichen Treiber. Dazu wechseln sie in das passende Verzeichnis und führen die Aktion „Import Drivers durch“

MDT Deployment Workbench - Importieren der Treibern - Import Driver

Wählen Sie das Verzeichnis und wählen Sie die Checkbox „Import drivers even if they are duplicates of an existing driver“. Anderenfalls fehlen Ihnen bei Arbeit mit verschiedenen Treiberpaketen ggf. Treiber in einem späteren Packet.

MDT Deployment Workbench - Importieren der Treibern - Source Directory

Es folgt eine Bestätigungsanzeige und dann geht der Import im nächsten Schritt los. Dies benötigt eine Zeit, zum Beispiel bis zu 10 Minuten bei dem WinPE Treiber Pack.

MDT Deployment Workbench - Importieren der Treibern - Progress

Es erfolgt eine Ergebnisanzeigt. Diese enthält auch Warnungen und ggf. Fehler. In diesem Fall können die Warnungen ignoriert werden.

MDT Deployment Workbench - Importieren der Treibern - Confirmation

Somit ist das Treiberpaket für die PE-Treiber in das MDT importiert.

Weitere Treiberpakete können Sie genauso importieren wie die PE-Treiber, hier gibt es keine Unterscheidung. Ich empfehle Ihnen aber darauf zu achten, eigene Ordner für jeden Treiber anzulegen.

Werbung

Zuweisen von Profilen zu Treibern

Bei diesem Kapitel ist es egal ob es um WinPE oder andere Treiber Pakete geht. Die Schritte sind identisch.

Die Profile werden später für verschiedene Zuweisungen benötigt. Zuerst erstellen Sie im Bereich „Advanced Configuration“ > „Selection Profiles“ ein neues Profil mit der Aktion „New Selection Profile“. Warum ich diesen Weg gehe, erkläre ich Ihnen beim Erstellen der Tasksequenzen.

Werbung
MDT Deployment Workbench - Profilzuweisung - New Selection Profile

Hier empfehle ich die genaue Bezeichnung des Treiberprofils zu verwenden.

MDT Deployment Workbench - Profilzuweisung - New Selection Profile - General Settings

Wählen Sie en Ordner aus, den Sie mit dem Profil Selektieren möchten.

Werbung
MDT Deployment Workbench - Profilzuweisung - New Selection Profile - Folders

Es folgt die obligatorische Zusammenfassung.

MDT Deployment Workbench - Profilzuweisung - New Selection Profile - Summary

Nach einem kurzen Fortschrittsdialog, erfolgt schon das Ergebnis

MDT Deployment Workbench - Profilzuweisung - New Selection Profile - Confirmation

Jetzt ist das Profil angelegt. Dieses sollten Sie für jedes Treiberpacket durchführen.

MDT Deployment Workbench - Profilzuweisung - Selection Profiles

Einfügen der Windows Preinstallation Environment (WinPE) Treiber in das Boot-Image

Jetzt sind die Windows Preinstallation Environment (WinPE) Treiber im Microsoft Deployment Toolkit (MDT), und jetzt müssen die noch in das Boot Image hinzugefügt werden. Dazu klicken Sie mit der rechten Maustaste auf Ihr Deployment Share und wählen „Properties“.

MDT Deployment Workbench - Treiber zu WinPE hinzufügen

Im Reiter „WinPE“ wählen Sie die Plattform (x86 oder x64) aus, die Sie anpassen möchten. Darunter finden Sie eine weitere Ribbon-Leiste. Hier wählen Sie den Reiter „Drivers and Patches“ aus. Bei „Selection Profile“ wählen Sie jetzt das WinPE Treiber Profil aus. Wählen Sie unterhalb der Profilauswahl die Option „Include all drivers from the selection profile“. Dies ist die erste Stelle, an der wir Profile nutzen, um die Treiberauswahl zu steuern.

MDT Deployment Workbench - Treiber zu WinPE hinzufügen - Treiber Selektion

Meine Empfehlung: Wählen Sie „Apply“ und ändern die Einstellung für die andere Plattform auch direkt. So ist Sie direkt richtig, wenn Sie sie mal benötigen.

Hinzufügen von Features in das Windows Preinstallation Environment (WinPE)

Zusätzlich benötigen wir unter anderem für das verwenden des Windows Deployment Server, um später die Tasksequenz über PXE zu starten, ein paar Features in Windows Preinstallation Environment (WinPE). Nicht alle dieser Feature sind für PXE notwendig, haben sich aber im Laufe der Zeit als Praktisch erwiesen. Selektieren Sie dafür den Reiter WinPE und wählen die folgenden Features aus:

  • .Net Framework
  • Enhanced Storage
  • Microsoft Data Access Components (MDAC/ADO) support
  • Secure Boot Cmdlets
  • Storage Management Cmdlets
  • Windows PowerShell
MDT Deployment Workbench - Win PE Features
MDT Deployment Workbench - Win PE Features

Schließen Sie danach das Dialogfeld mit „OK“.

Wenn Sie sich wundern, warum das so schnell ging, die Treiber und der Features sind noch nicht integriert. Dieser Schritt erfolgt später, wenn wir das MDT Deployment Share Updaten, wenn es fertig ist.

Paketierung von Software

Damit wir später auch Software bei der Installation verteilen können, müssen wir ein paar Pakete erstellen. Dies erfolgt in dem Bereich „Applications“. Damit es nicht zu unübersichtlich wird, empfehle ich die Verwendung von Ordnern.

MDT Deployment Workbench - Anwendungen

Paketieren von MSI basierten Anwendungen

Als erstes beginnen wir mit 7zip.org. Dazu starten Sie den Assistenten „New Application“ und wählen „Application with source file“ aus.

MDT Deployment Workbench - Installation von MSI basierten Anwendungen - Application Type

Füllen Sie die Anwendungsdetail aus.

MDT Deployment Workbench - Installation von MSI basierten Anwendungen - Details

Im nächsten Schritt muss die Quelle definiert werden. Das Microsoft Deployment Toolkit (MDT) Kopiert alle Dateien in dem Angegebenen Ordner! Machen Sie also für jede Anwendung einen eigenen Ordner. Oder nutzen Sie ihren bestehenden Softwareinstallationsordner. Wenn Sie einen Lokalen Ordner nutzen, können Sie die Dateien auch verschieben lassen.

MDT Deployment Workbench - Installation von MSI basierten Anwendungen - Source

Benennen Sie die Anwendung passend. Dieser Name wird auch in der Tasksequenz angezeigt. Deshalb setzen einige Administratoren gerne ein „Install. – “ vor den eigentlichen Namen. Das bleibt Ihnen überlassen.

MDT Deployment Workbench - Installation von MSI basierten Anwendungen - Destination

Da es ein MSI-Paket ist, ist die Kommandozeile zur Installation sehr einfach: „msiexec /i 7z1900-x64.msi /quiet“

MDT Deployment Workbench - Installation von MSI basierten Anwendungen - Command Details

Es folgt wieder die Zusammenfassung

MDT Deployment Workbench - Installation von MSI basierten Anwendungen - Summary

In diesem Fall geht der eigentliche Fortschritt so schnell das wir direkt zur Abschlussseite springen.

MDT Deployment Workbench - Installation von MSI basierten Anwendungen - Confirmation

Paketierung von weiterer Software

Im Prinzip geht das so auch mit anderer Software, die nicht auf MSI-Pakete setzt. Hier muss dann nur eine CMD-Datei als Wrapper erstellt werden. Einfach gesagt, eine „Install.cmd“ mit den nötigen Befehlen. Die Kommandozeile ist dann nur noch einfach „Install.cmd“.

Wie ein solcher Wrapper aussehen kann habe ich in verschieden Artikeln beschrieben:

  • Microsoft Local Administrator Password Service (LAPS)
  • Microsoft Office 2019 / 2016 (Klick-to-run), Microsoft 365 Apps, Microsoft Project 2019, Microsoft Visio 2019
  • Microsoft Visual Studio Runtimes
  • Microsoft Azure Log Analytics Agent
  • Adobe Acrobat Reader
  • Google Chrome
  • Synology Active Backup for Business Agent
  • Mozilla Firefox
  • GPG4Win
  • Notepad++
  • FileZilla

Finden Sie im Artikel „Unbeaufsichtigte Installation von Software“.

  • Microsoft Teams
  • Microsoft Image Composite Editor
  • KeePass
  • Greenshot
  • PDF24.org
  • Cinspiration RDP-Manager
  • Leawo Blu-ray Player
  • CDburnerXP

Finden Sie im Artikel „Unbeaufsichtigte Installation von Software – Nachschlag

Wenn Sie nicht mit Installations-Wrapper und Skripten arbeiten möchten, aber auch nicht MSI Pakete erstellen möchten, empfehle ich Ihnen sich mal MSI-X anzuschauen. Eine Anleitung wie das neue Paketformat funktioniert finden Sie im Artikel „Business Anwendungen mit MSI-X paketieren“.

Eine weitere Einschränkung ist, dass Sie Anwendungen aus dem Microsoft Store beziehungsweise Microsoft Store 4 Business nicht ohne weiteres mit dem MDT verteilen können. Dies kann nur funktionieren, wenn Sie von dem Entwickler der Anwendung das APPX-Paket für ein sogenanntes „Sideloading“ zur Verfügung gestellt bekommen. Wenn Sie sich mit der Steuerung des Microsoft Store

Überlegungen zum Thema Basisimage (Base Image) / Golden Image

Es gibt zwei Ansätze bei Betriebssysteminstallationen mit MDT:

  • Installation auf Basis eines Microsoft Image (Z.B. Images aus dem Software Volumenlizenz Portal oder einer RTM-Version)
  • Installation auf Basis eins selbst gepflegten Images

Was sind die Unterschiede in den Methoden? Schauen wir uns die Schritte an:

Deployment ohne Basisimage

Hier wird für jeden Computer jeder Schritt benötigt. Das bedeutet gerade bei Windows Updates kann das schonmal dauern.

Prozess Deployment ohne Basisimage

Mit den Kumulativen Updates unter Windows 10 ist das schon besser geworden, aber noch nicht optimal. Auch die Kumulativen Updates haben Voraussetzungen oder benötigen Neustarts bevor weitere Updates installiert werden können.

Deployment mit Base Image / Golden Image

Hierbei werden möglichst viele Schritte in das Basisimage überführt. Das bedeutet, geeignete Software, die alle benötigen, kann schon in das Basisimage installiert werden. Die Erstellung des Basisimages dauert so lange wie die einzelnen Schritte, die in das Basisimage verlagert werden. Hinzu kommt nach das erfassen des Images, das Testen und einbinden.

Prozess Deployment mit Base image

Ein Base Image oder Golden Image ist etwas komplexer im internen Prozess. Aber wenn es um mehrere Geräte geht, kann damit einiges an Deployment Zeit gespart werden. Die Kästchen spiegeln keinen Zeitlichen Maßstab wieder, da der Zeitraum abhängig von der Software und somit spezifisch für jeden Kunden ist.

Einschränkungen von Basis- oder Golden Images

Es gibt aber auch Einschränkungen bei einem Basis Image:

  • Keine Treibersoftware
  • Keine Software mit Treiberkomponenten, zum Beispiel:
    • PDF Drucker
    • Screen-Rekorder
    • Einige Fernverwaltungswerkzeuge
  • Keine Software die im Benutzerprofil installiert wird

Neben den Updates nutze ich Golden Images immer um Grundlagen, Runtimes, Rollen und Funktionen zu installieren. Hier ein paar meiner Favoriten und die Begründung warum es in Golden Image kommt:

  • Feature .Net 3.5: Wird als Feature über das OS gepflegt, keine Neupaketierung erforderlich
  • C++ Runtimes (Alle benötigten für x86 und x64): Updates erfolgen über Microsoft Update, keine Neupaketierung erforderlich, wenn Sie wissen welche Sie benötigen, installieren Sie nur diese
  • 7zip.org: Wenig neue Updates
  • BGInfo: Geringer Release Zyklus

Was hat diese Software gemeinsam? Entweder wird sie über Microsoft Update aktualisiert oder sie wird selten aktualisiert. Dadurch muss das Golden Image nicht so häufig aktualisiert werden, einmal nach dem Microsoft Patchday im Monat reicht aus.

Methoden für Selbstgepflegte Images

Grundsätzlich gibt es 2 Arten Images zu erstellen.

Die erste ist ein WIM-File, das ist das „Windows Image Media“ Format, eine Art Container von Microsoft, zu Modifizieren. Dabei wird die WIM-Datei gemountet und die Updates oder Software eingefügt. Wie das Funktioniert habe ich in dem Artikel „Windows Image Files (WIM) updaten, pflegen und benutzen“ beschrieben. Diese Methode hat aber auch Schwächen, nicht alle Updates oder Software lässt sich so installieren. Auch die Abhängigkeiten und Reihenfolge passt, beziehungsweise klappt hier nicht immer richtig. So das ich diese Methode mittlerweile gar nicht mehr verwende, sondern mit der nächsten Methode arbeite.

Die andere Methode ist die Verwendung eines Capture Images. Das bedeutet, es erfolgt eine richtige Installation und am Ende wird diese aufgezeichnet und bearbeitet. Bei dieser Bearbeitung müssen die Treiber entfernt werden und der Security-Identifier (SID) wird gelöscht. Das ist wichtig, da die SID nur einmal pro Domäne vergeben sein darf. Das ist besonders wichtig da Dienste wie KMS die SID verwenden, und auch der Microsoft Support bei SID Duplikaten den Support ggf. verweigert.

Auch dieses Image wird am Ende wieder eine WIM-Datei sein. Ich benutze immer diese Methode und habe dafür eine eigene Tasksequenz und eine eigene VM (Pro Windows Release). Mehr dazu später im passenden Kapitel.

Welche Methode für Sie die richtige ist, Golden Image oder nicht, das müssen Sie für sich selbst bewerten.


Tool Tipp (Werbung, aber aus Überzeugung)

Ich verwende für meine Screenshots immer Techsmith Snagit, und möchte es nicht missen. Egal ob verschleiern, Pfeile, Text einfügen oder zurechtschneiden, alles was ich brauche ist damit möglich.
Sie können es unter dem Link kostenfrei testen. Wenn es Ihnen gefällt, unterstützen Sie durch einen kauf über den Link auch dieses Projekt. Ihnen entstehen dadurch beim kauf von Snagit keine zusätzlichen Kosten (Affiliate Link).

Kommentare

2 Antworten zu „Netzwerkinstallation mit dem Microsoft Deployment Toolkit – Teil 2: Service Account, Treiber, Software, Überlegungen zum Base Image“

  1. J. S. Massey

    This looks like one of the best tutorials out there on MDT. I found Part 1 of this series in English on infrastructureheroes.org, but it appears the remaining parts are only available in German. I am able to make these work using Google Translate and the diagrams, but the following diagrams are not available:

    MDT Deployment Workbench – Importieren der Treibern – Confirmation
    https://www.infrastrukturhelden.de/wp-content/uploads/2020/10/deploymentwcrkbench-deployment-workbench-depicy-23.png

    MDT Depolyment Workbench – Profilzuweisung – New Selection Profile – General Settings
    https://www.infrastrukturhelden.de/wp-content/uploads/2020/10/deploymentwcrkbench-deployment-workbench-depicy-26.png

    MDT Depolyment Workbench – Profilzuweisung – New Selection Profile – Folders
    https://www.infrastrukturhelden.de/wp-content/uploads/2020/10/deploymentwcrkbench-deployment-workbench-depicy-28.png

    MDT Depolyment Workbench – Profilzuweisung – New Selection Profile – Summary
    https://www.infrastrukturhelden.de/wp-content/uploads/2020/10/deploymentwcrkbench-deployment-workbench-depicy-30.png

    Would it be possible to correct this problem?

    Thanks.

  2. Hi Thanks for the comment. I will work on the translations and check why the images are missing.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.