Hvordan installere driftet Windows 10.

Dette dokumentet beskriver administrert installasjon av Windows 10 ved UiO.

Generell advarsel om sletting av data

Administrert installasjon sletter alle data på den første disken den finner, uten advarsel. Normalt sett er det C: på eventuell eksisterende installasjon, men dette er ikke alltid tilfelle.

Dersom maskinen har flere disker, anbefales det å fysisk plugge ut de man ikke vil ha slettet.

Er det snakk om reinstallasjon, så pass på at brukeren har skjønt at alt blir slettet, og har tatt vare på det hen vil beholde.

Formelle krav i Windows 10 driftsopplegg

Maskinkrav

  • 64-bit CPU

BIOS/UEFI settings

  • Boot Mode: UEFI
  • Trusted Platform Module (TPM): On and activated
  • Intel Virtualization Extension (VT-X & VT-D): On
  • Secure Boot: On
    • Merk at Secure Boot må skrues av for å gjøre PXE-boot når maskinen er registrert i DHCP. I så fall må den skrues på manuelt etter installasjon.

Operativsystem

  • Windows 10 Enterprise.
    • Profesional og andre editions er ikke tillatt.
  • Bitlocker.
    • Systemdisk skal være kryptert med bitlocker.

Installere driftet Windows 10 

Merk at for maskiner som allerede er i drift (med dette menes maskiner som har SCCM agent og er registrert i AD) må maskinen slettes i AD og SCCM før installasjonen av Windows 10 startes. For noen konkrete modeller finnes det alternative metoder se eget avsnitt lengre ned i dette dokumentet.

1. Preprovisjoner maskinen for installasjon

Maskiner som ikke allerede er fungerende i UiOs driftsopplegg må provisjoneres i driftsopplegget før installasjon kan startes. Dette gjøres med Powershell-kommandoen Register-UiOComputer på lkit-ts.uio.no. Denne prosessen tar normalt noen minutter.

Register-UiOComputer -Name DenNyeMaskinaMi -MacAddress "00:00:00:00:00:00" -OUPath "ou=desktopellerlaptop,ou=enhet,ou=clients-win10,dc=uio,dc=no" -Flavour Basic -DirectAccess

hvor:

  • Name: Navnet den nye maskinen skal få under installasjon
    • Dersom navnet allerede finnes i driftsopplegget, vil provisjoneringen feile.
  • MacAddress: MAC-addressen maskinen kobler seg til nettet med under installasjon. Velg Passthrough Mac Address dersom det er en laptop med docking eller USB-tilknyttet nettverkskort.
    • Dersom denne MAC-addressen allerede er tilknyttet en maskin i driftsopplegget (for eksempel fordi man gjenbruker et USB-tilknyttet nettverkskort fra en annen maskin), vil provisjoneringen feile.
  • OUPath: Distinguished Name til OUet maskinen skal legges i under installasjon.
    • Tips: Slå opp en eksisterende maskin i samme OU i AD, og copypaste derfra:
  • Flavour: Installerer Windows med eller uten Office. Dette er bare for å spare tid. Hvis du ikke angir denne parameteren, så vil maskinen installeres med Office.
    • Basic: Installerer Windows uten Office. Bruk denne hvis du skal ha 64-bits office.
    • Office: Installerer Windows med ferdig-patchet 32-bits office. Dette tar 5-10 minutter lenger tid enn installasjonen uten Office.  Å installere office i etterkant kan ta borti en time.
  • DirectAccess: Setter opp maskinen for fjerntilgang over DirectAccess. Hvis du ikke angir denne parameteren, så vil  DirectAccess-oppsett være default dersom maskinen ligger i et laptop-OU.

2. Klargjør maskinen for installasjon

Etter at provisjoneringsscriptet har kjørt ferdig, er SCCM klar til å starte installasjonen på maskinen, men det er noen krav til maskinoppsett. Se BIOS/UEFI Settings lenger opp i dokumentet.

I tillegg må du vente på at maskinen blir provisjonert i DHCP, dersom maskinen ikke er registrert med MAC-addresse i BOFH (dhcp assoc). Dette tar inntil ti minutter.

3. Start installasjonen

Det er to måter å starte Windows 10 nettverksinstallasjon:

1. PXE boot

Maskin uten DHCP-registrering

Dersom maskinen ikke er registrert med MAC-addresse (dhcp assoc) i Cerebrum, lar du Secure Boot være , og venter til maskinen er provisjonert i DHCP.

DHCP-registrert maskin

Dersom maskinen er registrert med MAC-addresse (dhcp assoc) i Cerebrum vil den boote fra UiOs sentrale PXE-tjeneste. Boot-imaget den får fra denne er ikke signert, derfor må man i dette tilfellet skru av Secure Boot for å få startet installasjonen. Deretter må man huske å skru secure boot igjen etterpå (kan gjøres ved første omstart under installasjonen).

2. USB boot

Det er også mulig å boote installasjonen med USB. Last ned ISO fra WinProg og skriv det til en minnepinne, brenn det til en CDR eller whatever med et passende verktøy. Denne kan også monteres som CD og brukes til å boote installasjonen på en VM (men merk at VMen da må støtte virtualisert TPM). Det er bare selve oppstarten som er forskjellig. Alt annet er identisk uavhengig av om du booter fra minnepinne eller PXE. På grunn av utfordringene med signerte images og Secure Boot nevnt over, er det undertegnedes anbefaling å "standardisere" på dette alternativet.

  • Ulemper:
    • Man må lage seg ny minnepinne innimellom (minst en gang i året), når klientsertifikatet i ISOen går ut, eller dersom vi begynner å få inn maskiner med nettverks- eller disk-kontroller som ikke har drivere i standard boot-image fra Windows ADK.
  • Fordeler:
    • Man kan alltid la Secure Boot være på, hvilket gjør at det er en ting mindre å huske i etterkant.
    • Man slipper helt å bekymre seg for de subtile nyansene for maskiner med og uten DNS- eller DHCP-registrering (ok, det er egentlig samme poeng som over). Uansett vil det gjøre at man kan ha én workflow som dekker alle tilfeller.

PS: Minnepinnen kan rives ut når maskinen tar første omstart.

4. Hva skjer etterpå?

Selve installasjonen tar fra ca. 20 til ca. 40 minutter avhengig av hvor raskt nett man har, og om man valgte installasjon med eller uten Office.

Det nye installasjonsopplegget skal være vesentlig mer robust enn det gamle, det skal ikke være nødvendig å gjøre noe manuelt i etterkant, med mindre man gjorde en feil under provisjonering. Vi kan allikevel gå gjennom hva som skjer etter installasjon.

Umiddelbart etter installasjon er driftsopplegget ikke aktivt på maskinen. Dette er fordi maskinen ennå ikke har hentet klientsertifikat fra PKI-tjenesten. Sertifikatutstedelsen trigges av gpupdate når maskinen starter opp, men blir ikke ferdig før SCCM-agenten responderer på dette med å vente i fem minutter før den sjekker en gang til. Dette er vanligvis nok til at sertifikatet er på plass, agenten fullfører maskinregistreringen i SCCM, leverer discovery- og inventory-data og henter policies fra SCCM.

Det er først etter at SCCM-agenten har blitt helt aktiv og rapportert til SCMM at den i live at den forsvinner ut av provisjoneringen, og dermed mister "PXE-addressen".

Siden Direct Access-konfigurasjonen også kommer fra GPO, sammen med sertifikat-utstedelsen, så betyr det at det burde være teknisk umulig å havne i den feilsituasjonen vi har sett tidligere, hvor maskinen har mistet nett før den har fått Direct Access-konfigurasjonen.

Maskinen vil så begynne å installere eventuell annen software den blir truffet av, basert på OUer eller hvordan nå de lokale miljøene har valgt å organisere det. Dette vil som alltid tidligere ta sin tid.

 

(Re)installere Windows 10 på eksisterende maskin med SCCM

Det som er beskrevet i denne delen av dokumentet krever at maskinen står på kablet klientnett på UiO og har fungerende SCCM-agent.

Når maskinen kjører Windows 7

OBS VIKTIG ETC: Når du gjør dette, så vil alle filene på maskinen slettes! Mao: Pass på at brukeren har tatt backup av filene sine før du gjør dette.

SCCM-gruppa oppretter en egen collection for hver lokal-IT-gruppe som ber om det, for å installere Windows 10 på en eksisterende Windows 7-maskin. Dette er ikke en oppgradering, men en sletting av alt på disken og scratch-installasjon (såkalt wipe-and-load), men den er startet og administrert av SCCM, noe som gjør at man, dersom man har orden i sakene sine, kan installere installere Windows 10 på en maskin i driftsopplegg uten å måtte labbe bort til maskinen og tukle fysisk med den.

Når man legger til en maskin i denne collection, så vil maskinen starte Windows 10-installasjonen i løpet av en time. Det er også mulig å be den starte med en gang ved å høyreklikke maskinen i SCCM og velge Client Notification -> Download Computer Policies.

Selve installasjonen vil så fortsette som beskrevet over.  Maskinen vil ikke reinstallere software, utover det dere har deployed selv.

Krav for å bruke denne installasjonsmetoden

  1. Denne metoden er kun tilgjengelig for en konkret liste av verifiserte maskin- og bios-kombinasjoner, som pr i dag er:
    • HP ProDesk 600 G2 med N02 BIOS.
  2. Det kreves at man har kontroll på BIOS-passord. Enten må BIOS-passord ikke være satt, eller så må alle maskinene ha samme BIOS-passord, da dette må legges i en variabel på deployment-collection. SCCM-gruppa fikser dette når de oppretter collection.

Når maskinen kjører Windows 10

Dette er foreløpig ikke implementert, da GDW ikke kjenner detaljene rundt et eventuelt reelt behov for denne funksjonaliteten.  Ta kontakt hvis dette er noe dere trenger på mer enn en håndfull maskiner.

FAQ

Hjelp! Maskinen kontakter WDS men feilet med en kryptisk melding om manglende \Boot\BCD

Denne kommer typisk hvis man har startet på installasjonen en gang, men avbrutt, og så prøver igjen. Finn maskinen i collection osl.device.osd.wipe-and-load.win10.prod, høyreklikk på den og velg Clear Required PXE Deployments.

Hjelp! Maskinen laster ned boot image og feiler med "A required device isn't connected or can't be accessed."

Dette er vanligvis relatert til TPM-instillinger i BIOS.  Sjekk at TPM er på og aktivert. På noen modeller må man slette TPM-nøklene i BIOS dersom maskinen har hatt biclocked volume tidligere.

Hjelp! Jeg vil ikke installere windows 10 allikevel!

Avprovisjonering er veldig enkelt: Gå inn i collection osl.device.osd.wipe-and-load.win10.prod og slett den. Ja, dette betyr at alle kan slette hverandres provisjonerte, ikke-installerte maskiner. Ikke gjør det.

Hjelp! Jeg glemte å si at jeg ville ha Direct Access!

Har du startet installasjonen? Vent til den dukker opp i Active Directory (det skjer rett etter første gang den starter windows), meld den inn i gjeldende Direct Access-gruppe.

Har du ikke startet installasjonen? Avprovisjoner (slett) maskinen i SCCM og provisjoner den på nytt, eller ta tak i oss på chat for smarte tips.

Hjelp! Jeg starter installasjonen, men den gir bare en feilmelding nesten umiddelbart!

Av og til kommer det nye nettverks- eller disk-kontrollere, som krever drivere som ikke er med i standard boot-image fra Microsoft. Når det skjer må GDW oppdatere det imaget med riktige drivere. Noen ganger er det rett frem, noen ganger er det.... mere.... bøyd.  Men ta kontakt med windows-klient@usit.uio.no.