Teil 20d: BitLocker Network Unlock konfigurieren

Für BitLocker Network Unlock sind folgende Komponenten notwendig:

  • Windows Server 2012 oder Windows Server 2012 R2 (Teil 1, Teil 7)
  • Windows 8 x64 oder Windows 8.1 x64 (Teil 14ff)
  • UEFI Firmware 2.3.1 mit DHCP-Treiber im native Mode*
  • Einen Server mit Windows Deployment Services (Teil 13)
  • BitLocker Network Unlock Feature auf einem Server installiert (in diesem Teil weiter unten)
  • Einen DHCP Server, der nicht am WDS installiert ist (Teil 4)
  • Public Key Infrastructure (Teil 6ff)
  • Network Unlock Gruppenrichtlinie (in diesem Teil weiter unten; Teil 6h, Teil 20)

* UEFI Firmware 2.3.1 mit DHCP-Treiber: Es ist mir nicht gelungen, die Firmware-Version meines HP EliteBook 840 G1 (CLIENT004) festzustellen. Allerdings benötigt SecureBoot mindestens UEFI 2.3.1. Weil im BIOS Einstellungen zu SecureBoot vorhanden sind, nehme ich an, dass die Version passt. So habe ich mein HP EliteBook 840 G1 konfiguriert:

  1. Notebook starten > ESC drücken
  2. Mit F10 das BIOS Setup starten
  3. Erweitert > Bootoptionen
  4. Schnell-Boot deaktiviert (erlaubt nur PXE und den Start von der internen Festplatte)
  5. Natives UEFI (ohne CSM) aktiviert
  6. SecureBoot aktiviert
  7. Einstellungen mit F10 übernehmen

BitLocker Network Unlock konfigurieren – Schritte:

  • Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren
  • Das Feature BitLocker Network Unlock installieren
  • Zertifikat anfordern und exportieren
  • Zertifikat mit Private Key (.pfx) am WDS-Server importieren
  • Gruppenrichtlinien für Network Unlock konfigurieren
  • BitLocker Network Unlock mit CLIENT004 testen
  • Windows Deployment Services Debug-Log aktivieren

Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    NETWORK_UNLOCK-008
  5. Im Detailbereich die Zertifikatsvorlage User rechts anklicken und im Kontextmenü Duplicate Template anklicken
    NETWORK_UNLOCK-009 Weiterlesen „Teil 20d: BitLocker Network Unlock konfigurieren“

Teil 12: Benutzerdatensicherung mit MDT konfigurieren

In MDT wird das USMT (User State Migration Tool), eine Befehlszeilenvariante des Windows-EasyTransfer, für die Benutzerdatensicherung verwendet. Das USMT wird mit Windows ADK installiert. In diesem Teil werde ich die Benutzerdatensicherung mit MDT konfigurieren. Einen Teil der Voraussetzungen habe ich bereits in Teil „Ordner erstellen und Berechtigungen vergeben“ geschaffen. Im Anschluss installiere ich den neuen Rechner CLIENT03 mit Windows 10, um ihn später neu aufzusetzen.

Eine benutzerdefinierte XML-Datei für die Benutzerdatensicherung erstellen

Mit Hilfe der folgenden XML-Datei wird der lokale Ordner C:\Daten komplett mitgesichert. Diese Datei kann dann beliebig erweitert werden.

  1. Als Administrator an MDT01 anmelden
  2. Notepad öffnen
  3. Folgende Datei erstellen
    <?xml version="1.0" encoding="UTF-8"?>
    <migration urlid="http://www.microsoft.com/migration/1.0/migxmlext/custommigdaten">
    
    	<!-- Dietmar Haimann, 26.05.2014: This component migrates C:\Daten -->
    	<component type="Documents" context="System">
    		<displayName>Component to migrate c:\Daten</displayName>
    		<role role="Data">
    			<detects>
    				<detect>
    					<condition>MigXmlHelper.DoesObjectExist("File","%SYSTEMDRIVE%\Daten")</condition>
    				</detect>
    			</detects>
    			<rules>
    				<include filter='MigXmlHelper.IgnoreIrrelevantLinks()'>
    					<objectSet>
    						<pattern type="File">%SYSTEMDRIVE%\Daten\* [*]</pattern>
    					</objectSet>
    				</include>
    				<merge script="MigXmlHelper.SourcePriority()">
    					<objectSet>
    						<pattern type="File">%SYSTEMDRIVE%\Daten\* [*]</pattern>
    					</objectSet>
    				</merge>
    			</rules>
    		</role>
    	</component>
    </migration>
    
  4. Datei im UTF-8 Format nach D:\OSDProd\Tools\x64\USMT5\CUSTOM_MigDaten.xml speichern
    Refresh-001

CustomSettings.ini anpassen

  1. Deployment Workbench starten
  2. OSD Prod Share rechts anklicken > Properties
  3. Auf den Reiter Rules wechseln
  4. Den Bereich User Data, Move Data and Settings von …
    ;User Data, Move Data and Settings
    SkipUserData=YES
    UserDataLocation=NONE
    
  5. … nach …
    ;User Data, Move Data and Settings
    SkipUserData=NO
    UserDataLocation=\\MDT01\MigData$\%ComputerName%
    ScanStateArgs=/uel:90 /ue:*\* /ui:INTERN\* /v:5
    LoadStateArgs=/v:5
    USMTMigFiles001=MigApp.xml
    USMTMigFiles002=MigUser.xml
    USMTMigFiles003=CUSTOM_MigDaten.xml
  6. … ändern
  7. Fenster mit OK schließen

Erklärung der Einstellungen

  • UserDataLocation: UNC-Pfad zum MigData-Ordner
  • ScanStateArgs: Parameter, die von der Datei ScanState.exe verarbeitet werden
  • /uel:90: Es werden nur Benutzerdaten von Benutzern gesichert, die sich die letzten 90 Tage angemeldet haben
  • /ue:*\*: Alle Benuterkonten werden ausgenommen
  • /ui:INTERN\*: Alle Domain-Benutzerkonten der Domain INTERN werden eingeschlossen
  • /v:5: Logging-Level mit der Ausführlichkeit (verbostiy) 5. Siehe USMT-Dokumentation
  • LoadStateArgs: Parameter, die von der Datei LoadState.exe verarbeitet werden
  • USMTMigFiles: Eine Liste der xml-Dateien, die von ScanState.exe verarbeitet werden. Wenn eine benutzerdefinierte xml-Datei angegeben wird (CUSTOM_MigDaten.xml) , müssen auch die Standard-Dateien (MigApp.xml und MigUser.xml) angegeben werden

Neuen Rechner Client03 aufsetzen

  1. Folgende virtuelle Maschine erstellen
    1. Name: CLIENT03
    2. Store the virtual machine in a different location aktivieren
    3. Generation 2
    4. Startup Memory: 1024 MB
    5. Minimum RAM: 512MB
    6. Maximum Memory: 4096 MB
    7. Processor: 2 virtual processors
    8. Use Dynamic Memory for this virtual machine aktivieren
    9. Network Connection: CorpNet
    10. Hard Disk: 60GB
    11. Image file: \\MDT01\OSDProd$\Boot\OSDProdPE_x64.iso
  2. CLIENT03 starten
  3. User Credentials
    1. User Name: OSD_Build
    2. Password: Password1
    3. Domain: intern.einfaches-netzwerk.at > OK
      Refresh-002
  4. Windows Deployment Wizard
    1. Task Sequence: Windows 10 Enterprise x64 Version 1511, Office 2013 Pro Plus > Next
      Refresh-003
    2. Computer Details
      1. Computer name: CLIENT03
        Refresh-004
    3. Move Data and Settings: Do not move user data and settings > Next
      Refresh-005
    4. User Data: Do not restore user data and settings > Next
      Refresh-006
    5. Applications: nach Bedarf aktivieren > Next
      Refresh-007
    6. Ready > Begin
      Refresh-008
  5. Fertig
    Refresh-009

Im nächsten Teil werde ich den Rechner mit Benutzerdatensicherung neu aufsetzen.

Teil 10f: Windows 10-Image mit MDT verteilen

In diesem Teil werde ich nun endlich das Windows 10-Image mit MDT verteilen. Dazu starte ich meinen Rechner mit Hilfe von PXE vom Netzwerk (siehe Deployment Server MDT1 vorbereiten und Boot-Image zu WDS hinzufügen). Nach Eingabe weniger Informationen wird mein Windows 10-Image installiert.

Windows 10-Image mit MDT verteilen

  1. Rechner einschalten
  2. Unmittelbar die F12-Taste drücken, um vom Netzwerk zu starten
    DEPLOY_WIN10-001
  3. LiteTouchPE_x64.wim wird vom WDS (MDT1) in den Hauptspeicher geladenDEPLOY_WIN10-002
  4. User Credentials
    1. Password: Password1
      DEPLOY_WIN10-003
  5. Deployment Wizard
    1. Task Sequence
      1. Windows 10 Enterprise x64 Build 10240, Office 2013 Pro Plus > Next
        DEPLOY_WIN10-004
    2. Computer Details
      1. Computer name: CLIENT1 > Next
        DEPLOY_WIN10-005
    3. Applications: Alles aktivieren > Next
      DEPLOY_WIN10-006
    4. Ready > Begin
      DEPLOY_WIN10-007
  6. Die Task Sequence beginnt …
  7. Nach einer kurzen Kaffeepause ist Windows 10 installiert > Finish
    DEPLOY_WIN10-008
  8. Der Rechner wird neu gestartet

Installation kurz überprüfen

Weitere Informationen