Netzwerkinstallation mit dem Microsoft Deployment Toolkit – Teil 2: Service Account, Treiber, Software, Überlegungen zum Base Image

Dies ist Teil 2 von 4 der Artikelreihe. Teil 1 ist „Netzwerkinstallation mit dem Microsoft Deployment Toolkit – Teil 1: Hinweise, Vorbereitung und Einrichtung“.

Konfiguration eines Service Account

Um auf die Netzwerkfreigabe zuzugreifen, Computerkonten anzulegen und andere Funktionen war zunehmen, sollte für den MDT ein Servicekonto im Active Directory angelegt werden. Dieses Konto muss im Dateisystem Ändern Berechtigungen für die versteckte Freigabe und die entsprechende NTFS Struktur bekommen. Es reicht eigentlich den schreibenden Zugriff für diesen Benutzer auf den Ordner „Capture“ zu beschränken. Für den Rest reicht lesender Zugriff in diesem Szenario.


Delegieren Sie diesem Servicekonto auch das Recht Computerobjekte in der zugehörigen OU zu erstellen.

Hinzufügen von Treibern

Bei den Treiben ist es wichtig sich im Vorfeld Gedanken zu machen. Zum einen gibt es für den Microsoft Deployment Toolkit (MDT) zwei Arten von Treibern: Normale Treiber und Windows PE (Windows Preinstallation Environment) Treiber. Letztere werden in der Installationsumgebung benötigt die Windows installiert. Dazu später mehr.

Generell sollte man bei den Treibern Vorsicht walten lassen. Technisch kann ich alle Treiber in ein Image integrieren und über lasse es dem Plug & Play den richtigen auszuwählen. Leider kann das schonmal zu der Erfahrung „Plug & Pray“ führen, da das nicht immer funktioniert. In dem Fall von PnP wird der Optimale Treiber ausgewählt. Sind mehrere Versionen vorhanden, gewinnt die höchste Version. Wenn der OEM die Versionierung ändert, oder eine neuere Version des Treibers nicht mit einer alten Hardware Revision funktioniert, dann wird es spannend.

Um das zu vermeiden füge ich für jedes Hardwaremodell ein eigenes Treiberpack hinzu und werde das später in der Tasksequenz gezielt verteilen. Manche Hersteller bieten Modelspezifische Treiberpakete oder Modell-Familien Pakete an, diese sind auch teilweise auf Kompatibilität untereinander getestet. Das ist aber von Hersteller zu Hersteller verschieden. Ich bevorzuge diese Sammlungen da ich so nicht einzelne Treiber herunterladen muss oder gar Treiber aus Installationsdateien (EXE-Dateien) extrahieren muss.

Was sind Windows PE Treiber?

Bei den PE Treibern gibt es noch ein paar Dinge zu beachten. Seit Windows 10 wird Windows Preinstallation Environment (WinPE) 10 benutzt, wer noch ältere Windows Versionen verteilen möchte, der muss ggf. noch Treiber für Windows Preinstallation Environment (WinPE) 5 hinzufügen.

Da für die Installation nicht jede Hardwareunterstützt werden muss, sind für PE nur bestimmte Treiberarten relevant. Zum Beispiel Chipsatztreiber, Speichersysteme (RAID Controller, Sata Controller & Co.), Netzwerktreiber (Ohne wird eine Installation über Netzwerk unmöglich) und Thunderbolt Treiber. Ich nutze gerne das WinPE Treiber Paket von Dell, auch für nicht Dell basierte Geräte, sofern der Hersteller keine eigenen Windows PE Treiberpakete hat, da es eine solide Basis enthält.

Offenlegung zum Arbeitgeber #Iwork4Dell

Zum Zeitpunkt der Erstellung dieses Artikels war ich bei Dell Technologies beschäftigt. Dell hat aber keinerlei Einfluss auf die Erstellung oder Inhalt dieses Artikel gehabt, oder hat diesen Artikel in direkter Weise unterstützt. Die einzige indirekte Unterstützung ist, dass ich ggf. eines meiner schon vorhanden, von Dell zur Verfügung gestellten Testgeräte für diesen Artikel verwendet habe.

Hinzufügen von Treibern

Bei diesem Kapitel ist es egal ob es um Windows Preinstallation Environment (WinPE) oder andere Treiber Pakete geht. Die Schritte sind identisch.

Um die Treiber hinzuzufügen, navigieren Sie in den Bereich „Out-of-Box Drivers“ und legen zuerst einen neuen Ordner an. Dieser sollten Sie am besten so benennen wie die Treiber. Wenn Ihr bevorzugter Hersteller auch mit Versionierung bei den Treiberpaketen arbeitet, vermerken Sie auch die Version. In diesem Beispiel importiere ich die Version A19 des WinPE10 Treiber Pack von Dell, ich übernehme die Bezeichnung des Herstellers für den Ordner: „WINPE10.0-DRIVERS-A19-KCTW7“.

Das Anlegen des neuen Ordners ist in wenigen Schritten erledigt.

Als nächstes erfolgt der Import der eigentlichen Treiber. Dazu wechseln sie in das passende Verzeichnis und führen die Aktion „Import Drivers durch“

Wählen Sie das Verzeichnis und wählen Sie die Checkbox „Import drivers even if they are duplicates of an existing driver“. Anderenfalls fehlen Ihnen bei Arbeit mit verschiedenen Treiberpaketen ggf. Treiber in einem späteren Packet.

Es folgt eine Bestätigungsanzeige und dann geht der Import im nächsten Schritt los. Dies benötigt eine Zeit, zum Beispiel bis zu 10 Minuten bei dem WinPE Treiber Pack.

Es erfolgt eine Ergebnisanzeigt. Diese enthält auch Warnungen und ggf. Fehler. In diesem Fall können die Warnungen ignoriert werden.

Somit ist das Treiberpaket für die PE-Treiber in das MDT importiert.

Weitere Treiberpakete können Sie genauso importieren wie die PE-Treiber, hier gibt es keine Unterscheidung. Ich empfehle Ihnen aber darauf zu achten, eigene Ordner für jeden Treiber anzulegen.

Zuweisen von Profilen zu Treibern

Bei diesem Kapitel ist es egal ob es um WinPE oder andere Treiber Pakete geht. Die Schritte sind identisch.

Die Profile werden später für verschiedene Zuweisungen benötigt. Zuerst erstellen Sie im Bereich „Advanced Configuration“ > „Selection Profiles“ ein neues Profil mit der Aktion „New Selection Profile“. Warum ich diesen Weg gehe, erkläre ich Ihnen beim Erstellen der Tasksequenzen.

Hier empfehle ich die genaue Bezeichnung des Treiberprofils zu verwenden.

Wählen Sie en Ordner aus, den Sie mit dem Profil Selektieren möchten.

Es folgt die obligatorische Zusammenfassung.

Nach einem kurzen Fortschrittsdialog, erfolgt schon das Ergebnis

Jetzt ist das Profil angelegt. Dieses sollten Sie für jedes Treiberpacket durchführen.

Einfügen der Windows Preinstallation Environment (WinPE) Treiber in das Boot-Image

Jetzt sind die Windows Preinstallation Environment (WinPE) Treiber im Microsoft Deployment Toolkit (MDT), und jetzt müssen die noch in das Boot Image hinzugefügt werden. Dazu klicken Sie mit der rechten Maustaste auf Ihr Deployment Share und wählen „Properties“.

Im Reiter „WinPE“ wählen Sie die Plattform (x86 oder x64) aus, die Sie anpassen möchten. Darunter finden Sie eine weitere Ribbon-Leiste. Hier wählen Sie den Reiter „Drivers and Patches“ aus. Bei „Selection Profile“ wählen Sie jetzt das WinPE Treiber Profil aus. Wählen Sie unterhalb der Profilauswahl die Option „Include all drivers from the selection profile“. Dies ist die erste Stelle, an der wir Profile nutzen, um die Treiberauswahl zu steuern.

Meine Empfehlung: Wählen Sie „Apply“ und ändern die Einstellung für die andere Plattform auch direkt. So ist Sie direkt richtig, wenn Sie sie mal benötigen.

Hinzufügen von Features in das Windows Preinstallation Environment (WinPE)

Zusätzlich benötigen wir unter anderem für das verwenden des Windows Deployment Server, um später die Tasksequenz über PXE zu starten, ein paar Features in Windows Preinstallation Environment (WinPE). Nicht alle dieser Feature sind für PXE notwendig, haben sich aber im Laufe der Zeit als Praktisch erwiesen. Selektieren Sie dafür den Reiter WinPE und wählen die folgenden Features aus:

  • .Net Framework
  • Enhanced Storage
  • Microsoft Data Access Components (MDAC/ADO) support
  • Secure Boot Cmdlets
  • Storage Management Cmdlets
  • Windows PowerShell

Schließen Sie danach das Dialogfeld mit „OK“.

Wenn Sie sich wundern, warum das so schnell ging, die Treiber und der Features sind noch nicht integriert. Dieser Schritt erfolgt später, wenn wir das MDT Deployment Share Updaten, wenn es fertig ist.

Paketierung von Software

Damit wir später auch Software bei der Installation verteilen können, müssen wir ein paar Pakete erstellen. Dies erfolgt in dem Bereich „Applications“. Damit es nicht zu unübersichtlich wird, empfehle ich die Verwendung von Ordnern.

Paketieren von MSI basierten Anwendungen

Als erstes beginnen wir mit 7zip.org. Dazu starten Sie den Assistenten „New Application“ und wählen „Application with source file“ aus.

Füllen Sie die Anwendungsdetail aus.

Im nächsten Schritt muss die Quelle definiert werden. Das Microsoft Deployment Toolkit (MDT) Kopiert alle Dateien in dem Angegebenen Ordner! Machen Sie also für jede Anwendung einen eigenen Ordner. Oder nutzen Sie ihren bestehenden Softwareinstallationsordner. Wenn Sie einen Lokalen Ordner nutzen, können Sie die Dateien auch verschieben lassen.

Benennen Sie die Anwendung passend. Dieser Name wird auch in der Tasksequenz angezeigt. Deshalb setzen einige Administratoren gerne ein „Install. – “ vor den eigentlichen Namen. Das bleibt Ihnen überlassen.

Da es ein MSI-Paket ist, ist die Kommandozeile zur Installation sehr einfach: „msiexec /i 7z1900-x64.msi /quiet“

Es folgt wieder die Zusammenfassung

In diesem Fall geht der eigentliche Fortschritt so schnell das wir direkt zur Abschlussseite springen.

Paketierung von weiterer Software

Im Prinzip geht das so auch mit anderer Software, die nicht auf MSI-Pakete setzt. Hier muss dann nur eine CMD-Datei als Wrapper erstellt werden. Einfach gesagt, eine „Install.cmd“ mit den nötigen Befehlen. Die Kommandozeile ist dann nur noch einfach „Install.cmd“.

Wie ein solcher Wrapper aussehen kann habe ich in verschieden Artikeln beschrieben:

  • Microsoft Local Administrator Password Service (LAPS)
  • Microsoft Office 2019 / 2016 (Klick-to-run), Microsoft 365 Apps, Microsoft Project 2019, Microsoft Visio 2019
  • Microsoft Visual Studio Runtimes
  • Microsoft Azure Log Analytics Agent
  • Adobe Acrobat Reader
  • Google Chrome
  • Synology Active Backup for Business Agent
  • Mozilla Firefox
  • GPG4Win
  • Notepad++
  • FileZilla

Finden Sie im Artikel „Unbeaufsichtigte Installation von Software“.

  • Microsoft Teams
  • Microsoft Image Composite Editor
  • KeePass
  • Greenshot
  • PDF24.org
  • Cinspiration RDP-Manager
  • Leawo Blu-ray Player
  • CDburnerXP

Finden Sie im Artikel „Unbeaufsichtigte Installation von Software – Nachschlag

Wenn Sie nicht mit Installations-Wrapper und Skripten arbeiten möchten, aber auch nicht MSI Pakete erstellen möchten, empfehle ich Ihnen sich mal MSI-X anzuschauen. Eine Anleitung wie das neue Paketformat funktioniert finden Sie im Artikel „Business Anwendungen mit MSI-X paketieren“.

Eine weitere Einschränkung ist, dass Sie Anwendungen aus dem Microsoft Store beziehungsweise Microsoft Store 4 Business nicht ohne weiteres mit dem MDT verteilen können. Dies kann nur funktionieren, wenn Sie von dem Entwickler der Anwendung das APPX-Paket für ein sogenanntes „Sideloading“ zur Verfügung gestellt bekommen. Wenn Sie sich mit der Steuerung des Microsoft Store

Überlegungen zum Thema Basisimage (Base Image) / Golden Image

Es gibt zwei Ansätze bei Betriebssysteminstallationen mit MDT:

  • Installation auf Basis eines Microsoft Image (Z.B. Images aus dem Software Volumenlizenz Portal oder einer RTM-Version)
  • Installation auf Basis eins selbst gepflegten Images

Was sind die Unterschiede in den Methoden? Schauen wir uns die Schritte an:

Deployment ohne Basisimage

Hier wird für jeden Computer jeder Schritt benötigt. Das bedeutet gerade bei Windows Updates kann das schonmal dauern.

Mit den Kumulativen Updates unter Windows 10 ist das schon besser geworden, aber noch nicht optimal. Auch die Kumulativen Updates haben Voraussetzungen oder benötigen Neustarts bevor weitere Updates installiert werden können.

Deployment mit Base Image / Golden Image

Hierbei werden möglichst viele Schritte in das Basisimage überführt. Das bedeutet, geeignete Software, die alle benötigen, kann schon in das Basisimage installiert werden. Die Erstellung des Basisimages dauert so lange wie die einzelnen Schritte, die in das Basisimage verlagert werden. Hinzu kommt nach das erfassen des Images, das Testen und einbinden.

Ein Base Image oder Golden Image ist etwas komplexer im internen Prozess. Aber wenn es um mehrere Geräte geht, kann damit einiges an Deployment Zeit gespart werden. Die Kästchen spiegeln keinen Zeitlichen Maßstab wieder, da der Zeitraum abhängig von der Software und somit spezifisch für jeden Kunden ist.

Einschränkungen von Basis- oder Golden Images

Es gibt aber auch Einschränkungen bei einem Basis Image:

  • Keine Treibersoftware
  • Keine Software mit Treiberkomponenten, zum Beispiel:
    • PDF Drucker
    • Screen-Rekorder
    • Einige Fernverwaltungswerkzeuge
  • Keine Software die im Benutzerprofil installiert wird

Neben den Updates nutze ich Golden Images immer um Grundlagen, Runtimes, Rollen und Funktionen zu installieren. Hier ein paar meiner Favoriten und die Begründung warum es in Golden Image kommt:

  • Feature .Net 3.5: Wird als Feature über das OS gepflegt, keine Neupaketierung erforderlich
  • C++ Runtimes (Alle benötigten für x86 und x64): Updates erfolgen über Microsoft Update, keine Neupaketierung erforderlich, wenn Sie wissen welche Sie benötigen, installieren Sie nur diese
  • 7zip.org: Wenig neue Updates
  • BGInfo: Geringer Release Zyklus

Was hat diese Software gemeinsam? Entweder wird sie über Microsoft Update aktualisiert oder sie wird selten aktualisiert. Dadurch muss das Golden Image nicht so häufig aktualisiert werden, einmal nach dem Microsoft Patchday im Monat reicht aus.

Methoden für Selbstgepflegte Images

Grundsätzlich gibt es 2 Arten Images zu erstellen.

Die erste ist ein WIM-File, das ist das „Windows Image Media“ Format, eine Art Container von Microsoft, zu Modifizieren. Dabei wird die WIM-Datei gemountet und die Updates oder Software eingefügt. Wie das Funktioniert habe ich in dem Artikel „Windows Image Files (WIM) updaten, pflegen und benutzen“ beschrieben. Diese Methode hat aber auch Schwächen, nicht alle Updates oder Software lässt sich so installieren. Auch die Abhängigkeiten und Reihenfolge passt, beziehungsweise klappt hier nicht immer richtig. So das ich diese Methode mittlerweile gar nicht mehr verwende, sondern mit der nächsten Methode arbeite.

Die andere Methode ist die Verwendung eines Capture Images. Das bedeutet, es erfolgt eine richtige Installation und am Ende wird diese aufgezeichnet und bearbeitet. Bei dieser Bearbeitung müssen die Treiber entfernt werden und der Security-Identifier (SID) wird gelöscht. Das ist wichtig, da die SID nur einmal pro Domäne vergeben sein darf. Das ist besonders wichtig da Dienste wie KMS die SID verwenden, und auch der Microsoft Support bei SID Duplikaten den Support ggf. verweigert.

Auch dieses Image wird am Ende wieder eine WIM-Datei sein. Ich benutze immer diese Methode und habe dafür eine eigene Tasksequenz und eine eigene VM (Pro Windows Release). Mehr dazu später im passenden Kapitel.

Welche Methode für Sie die richtige ist, Golden Image oder nicht, das müssen Sie für sich selbst bewerten.

Anzeige

Klicken Sie auf den unteren Button, um den Inhalt von rcm-eu.amazon-adsystem.com zu laden.

Inhalt laden


Weiter geht es im Artikel „Netzwerkinstallation mit dem Microsoft Deployment Toolkit – Teil 3: Erstellung von Tasksequenzen


Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.