Teil 27f: DirectAccess und Windows 7-Clients konfigurieren

Im Folgenden werde ich DirectAccess und Windows 7-Clients konfigurieren. Dafür müssen der DirectAccess Connectivity Assistant 2.0 (DCA) und einige empfohlene Updates heruntergeladen und installiert werden. Ich werde das gleich beim Aufsetzen mit MDT 2013 erledigen. Der DCA bringt seine eigenen .ADMX- und .ADML-Dateien mit, die in den Central Store kopiert werden (siehe Teil 10) um mittels Gruppenrichtlinie konfiguriert werden zu können.

DirectAccess und Windows 7-Clients konfigurieren – Schritte:

  • Die Tunnelendpunkte auf DA1 ermitteln und notieren
  • Dateien herunterladen und kopieren
  • MDT konfigurieren
  • DCA-Gruppenrichtlinien konfigurieren
  • Windows 7-Client testen

Die Tunnelendpunkte auf DA1 ermitteln und notieren

Für die Gruppenrichtlinieneinstellungen des DCA muss ich die DTEs in der Registry am DA1 ermitteln und für später notieren.

  1. Als Administrator an DA1 anmelden
  2. Start rechts anklicken > Run > regedit
  3. Folgende Werte notieren
    1. HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Config\Parameters
      1. DTE1: 2002:836b:b::836b:b
      2. DTE2: 2002:836b:a::836b:a
        DA_WINDOWS_7-014
  4. Registry Editor schließen

Dateien herunterladen und kopieren

  1. Als Administrator an APP1 anmelden
  2. Alle empfohlenen Updates für Windows 7 von http://support.microsoft.com/kb/2883952/de nach D:\Sourcen\Windows 7 DirectAccess Updates herunterladen
    DA_WINDOWS_7-019
  3. Den Microsoft DirectAccess Connectivity Assistant 2.0 von http://www.microsoft.com/en-us/download/details.aspx?id=29039 nach D:\Sourcen herunterladen und entpacken
    DA_WINDOWS_7-001
  4. Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.ADMX nach
    \\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
  5. Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.adml nach
    \\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions\en-US kopieren
    DA_WINDOWS_7-002
    DA_WINDOWS_7-003
  6. Die Datei Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi nach D:\Sourcen\Software\Microsoft DirectAccess Connectivity Assistant kopieren
  7. Alle Fenster schließen

MDT konfigurieren

Dieser Abschnitt setzt voraus, dass die Teile 19ff erarbeitet worden sind.

  1. Deployment Workbench öffnen
  2. OSD Build Share\Packages erweitern
  3. Falls noch nicht vorhanden, den Ordner Windows 7 SP1 x64 erstellen
  4. Die DirectAccess-Updates in den Ordner Windows 7 SP1 x64 importieren
    DA_WINDOWS_7-005
    DA_WINDOWS_7-006
  5. Ein neues Windows 7-Image mit den DirectAccess-Updates erstellen
  6. OSD Prod Share\Applications erweitern
  7. Die Application Microsoft DirectAccess Connectivity Assistant 2.0 in den Ordner Microsoft mit folgender Command Line importieren
    msiexec.exe /i Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi /q /norestart
  8. Application Wizard
    DA_WINDOWS_7-023
  9. Die Application doppelklicken und das Häkchen Hide this application in the Deployment Wizard aktivieren
    DA_WINDOWS_7-020
  10. Das neu erstellte Windows 7-Image in den Ordner Operating Systems importieren
    DA_WINDOWS_7-022
  11. Die Task Sequence Windows 7 SP1 Ent x64 – Office 2013 zum Bearbeiten öffnen
  12. Im Bereich Standard Software den Schritt INSTALL – Microsoft DirectAccess Connectivity Assistant hinzufügen
    DA_WINDOWS_7-009
  13. Auf den Reiter Options wechseln
  14. Folgende Bedingung hinzufügen
    1. Task Sequence Variable
      1. Variable: IsLaptop
      2. Condition: equals
      3. Value: TRUE
        DA_WINDOWS_7-011
        DA_WINDOWS_7-010
  15. CLIENT2 mit Windows 7 aufsetzen
    DA_WINDOWS_7-021
    DA_WINDOWS_7-024

DCA-Gruppenrichtlinien konfigurieren

  1. Sicherstellen, dass in der Konfiguration von DirectAccess der Punkt Enable Windows 7 client computers to connect via DirectAccess aktiviert wurde
    DA_ROLE-014
    Weiterlesen

Teil 20c: TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen

TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen – Schritte:

  • Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen
  • TPM-OwnerInformation in Active Directory für Windows 8 finden
  • TPM-OwnerInformation in Active Directory für Windows 7 finden
  • tpm_owner.tpm-Datei erstellen
  • TPM-Sperre zurücksetzen

Mit Windows Server 2012 und Windows 8 hat Microsoft das TPM-Management ins Active Directory-Schema integiert. Die TPM-OwnerInformation steht nicht mehr als Attribut direkt beim Computer-Objekt (msTPM-OwnerInformation), sondern ist mit einem eigenen TPM-InformationObject (ms-TPM-InformationObject) verlinkt. Vorsicht beim Löschen von Computer-Objekten in Active Directory: Um Leichen zu vermeiden, zuerst das TPM-InformationObject löschen, dann erst das Computer-Objekt.

In den Gruppenrichtlinien können viele Einstellungen für das TPM konfiguriert werden. Bisher sind wir mit den Standard-Einstellungen ganz gut zurecht gekommen.

Mehr Information dazu unter Trusted Platform Module Technology Overview.

Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen

  1. Als Administrator an SERVER02 anmelden
  2. Deployment Workbench starten
  3. OSD Prod Share erweitern
  4. Task Sequences anklicken
  5. Windows 7-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  6. Auf den Reiter Task Sequence wechseln
  7. Windows 8-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  8. Auf den Reiter Task Sequence wechseln
  9. Den Ordner Enable TPM in BIOS rechts anklicken und im Kontextmenü Copy anklicken
    TPM-001
  10. Zur Windows 7-Task Sequence wechseln
  11. Den Ornder Custom Tasks rechts anklicken und im Kontextmenü Paste anklicken
    TPM-002
  12. Mit Down den Ordner Enable TPM in BIOS aus dem Ordner Custom Tasks verschieben
    TPM-003
  13. Alle Fenster mit OK schließen
  14. Client003 mit Windows 7 und der BitLocker-PIN 1122334 aufsetzen
  15. Als Administrator an Client003 anmelden
    TPM-004
  16. Die Verschlüsselung funktioniert auch unter Windows 7 🙂
  17. Client003 herunterfahren Weiterlesen

Teil 11c: Windows 7-Image mit MDT verteilen

In diesem Teil werde ich das Windows 7-Image mit MDT verteilen. Voraussetzung dafür ist, dass in MDT OSD Prod Share wie in den Teilen 10ff vorbereitet wurde.

Windows 7-Image zum OSD Prod Share hinzufügen

  1. Als Administrator an MDT1 anmelden
  2. Deployment Workbench starten
  3. OSD Prod Share erweitern
  4. Folgendes Betriebssystem zum Ordner Operating Systems hinzufügen
    1. OS Type: Custom image file > Next
      WIN7_OSDPROD-001
    2. Image
      1. Source file: E:\OSDBuild\Captures\W7X64-001.wim > Next
        WIN7_OSDPROD-002
    3. Setup
      1. Copy setup files: E:\OSDBuild\Operating Systems\Windows 7 Enterprise x64 > Next
    4. Destination
      1. Destination directory name: W7X64-001 > Next
    5. Summary > Next
      WIN7_OSDPROD-003
    6. Confirmation > Finish
  5. Nach CUSTOM – Windows 7 Enterprise x64 umbenennen
    WIN7_OSDPROD-005

Task Sequence erstellen und konfigurieren

  1. Zum Ordner Task Sequences folgende Task Sequence hinzufügen
    1. General Settings
      1. Task sequence ID: W7X64-001
      2. Task sequence name: Windows 7 Enterprise x64, Office 2013 Pro Plus > Next
    2. Select Template: Standard Client Task Sequence > Next
    3. Select OS: CUTSOM – Windows 7 Enterpise x64 > Next
    4. Specify Product Key > Next
    5. OS Settings
      1. Full name: Einfaches Netzwerk
      2. Organization: Einfaches Netzwerk
      3. Internet Explorer Home Page: about:blank > Next
    6. Admin Password: Password1 > Next
  2. Task Sequence zum Bearbeiten öffnen und wie folgt anpassen
    1. Phase State Restore
      1. Ordner Standard Software hinzufügen
      2. Folgende Schritte zum Ordner Standard Software hinzufügen
        1. Install Application
          1. INSTALL – Adobe AIR x86 x64
          2. INSTALL – Adobe Shockwave Player x86 x64
          3. INSTALL – Oracle Java RE 8 x86 x64
      3. Windows Update (Pre-Application) aktivieren
      4. Windows Update (Post-Application) aktivieren
        WIN7_OSDPROD-007
  3. Fenster mit OK schließen
  4. CustomSettings.ini und Bootstrap.ini wie in Teil OSD Prod Share konfigurieren konfigurieren

Virtuellen Rechner erstellen – CLIENT2

  1. Als Administrator an HYPERV1 anmelden
  2. Folgenden virtuellen Rechner erstellen
    1. Name: CLIENT2
    2. Store the virtual machine in a different location aktivieren
    3. Generation 1
    4. Startup Memory: 1024 MB
    5. Maximum Memory: 2048 MB
    6. Use Dynamic Memory for this virtual machine aktivieren
    7. Number of virtual processors: 1
    8. Network Connection: CorpNet
    9. Hard Disk: CLIENT2.vhdx, 60GB
    10. Installation Options: Install an operating system from a network-based installation server

Windows 7-Image mit MDT verteilen

  1. CLIENT2 verbinden und vom Netzwerk starten
    WIN7_OSDPROD-008
  2. Das Boot-Image wird geladen
    WIN7_OSDPROD-009
  3. Deployment Wizard
    1. Task Sequence: Windows 7 Enterprise x64, Office 2013 Pro Plus > Next
      WIN7_OSDPROD-010
    2. Computer Details
      1. Computer name: CLIENT2
        WIN7_OSDPROD-011
    3. Applications aktivieren
      WIN7_OSDPROD-012
    4. Ready > Begin
      WIN7_OSDPROD-013
  4. Das Windows 7-Deployment startet
    WIN7_OSDPROD-014
  5. Warten…
    WIN7_OSDPROD-015
  6. Fertig