xola 10 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 Hallo zusammen, ich habe eine Testumgebung mit virtuellen Maschinen eingerichtet (VMWare). Diese besteht momentan aus einem WinServer 2008R2 und einer leeren Maschine. Der Server ist das Herzstück der Umgebung. Auf ihm sind ein DC mit AD, DHCP, DNS und WDS eingerichtet. Außerdem ist auf ihm das WAIK installiert. Die Domain heißt fflab.net, der Server heißt server1.fflab.net. Die momentan noch leere Maschine möchte ich per WDS installieren lassen. Nach dem einrichten des WDS-Dienstes (mit der autounattended.xml) starte ich die leere virtuelle Maschine und die Installationroutine läuft an. Doch dann werde ich gleich nach einem Passwort für server1.fflab.net gefragt (Screenshot im Anhang!). Hier kann ich einen administrativen Account eingeben, dann fährt die Installation fort. Mit einem Domain-Admin-Account funktioniert das leider nicht. Vielleicht könnt ihr mir helfen. Denn solch eine Abfrage ist sehr hinderlich, wenn das ganze in eine Produktiv-Umgebung migriert wird. Freundliche Grüße xola Zitieren Link zu diesem Kommentar
edocom 10 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 Hallo, hast du beim Domänenadmin die Domäne selbst migegeben? Zitieren Link zu diesem Kommentar
xola 10 Geschrieben 26. Mai 2011 Autor Melden Teilen Geschrieben 26. Mai 2011 Ja, ich gebe, wenn ich in einer Domäne arbeite, immer den kompletten Namen im Format Domain\Username an. Die Fehlermeldung, die dann kommt, lautet: Fehler beim Verarbeiten der Anforderung. Ein erweiterter Fehler ist aufgetreten. Grüße xola Zitieren Link zu diesem Kommentar
hacoso 10 Geschrieben 27. Mai 2011 Melden Teilen Geschrieben 27. Mai 2011 hi du, arbeite nun seit 3 wochen an diesem problem. habe mich da durch 3 verschiedene fachforen gefragt und fazit: keine tatsächliche bzw wirkungsvolle lösung... diese benutzerabfrage kommt immer wieder. auch durch hinzufügen der boot.wim und antwortdatei über konsole ging nichts. ist eigentlich fast so, als ob er alles ignoriert bis nach der authentifizierung Zitieren Link zu diesem Kommentar
xola 10 Geschrieben 1. Juni 2011 Autor Melden Teilen Geschrieben 1. Juni 2011 Ich habe die Lösung gefunden. Nachdem ich mit WireShark den Netzwerkverkehr aufgezeichnet habe, habe ich gemerkt, dass schon vor der Passwortabfrage die komplette autounattended.xml geladen wurde. Also stöberte ich in dieser Richtung weiter. Im WAIK fand ich dann eine Option amd64_Microsoft-Windows-Setup_6.1.7600.16385_neutral/WindowsDeploymentServices/Login/Credentials. Wichtig ist, dass unter Login/WillShowUI NICHT "always" ausgewählt ist. Denn sonst wird tatsächlich immer nach den Daten gefragt. Am Besten wählt man hier "OnError". Unter Credentials kann man nun die Daten eingeben, mit denen WindowsPE sich ins WDS einloggt (für was *genau* diese Logindaten gebraucht werden, weiß ich noch nicht). Leider funktioniert bei mir nur der Administrator. Selbst wenn ich einem anderen Domain-User dieselben Rechtegruppen wie dem Administrator zuweise, kommt diese Passwortabfrage. Also kann es nicht an den AD-Gruppen liegen. Es wird wohl der Zugriff auf eine Datei oder so etwas ähnliches sein. Vielleicht weiß hier jemand Rat? Ich müsste nur wissen, wofür diese Logindaten genau benötigt werden, und was WDS damit genau anfängt. Grüße xola Zitieren Link zu diesem Kommentar
xola 10 Geschrieben 1. Juni 2011 Autor Melden Teilen Geschrieben 1. Juni 2011 Ich konnte das Problem nun auf Zugriffsrechte auf zwei Windows-Shares herunterbrechen. Und zwar geht es um den IPC$-Share und den Reminst-Share. WindowsPE scheint auf diese beiden zugreifen zu wollen. Und dafür braucht es natürlich einen User. Es wird also der normale CIFS-Prozess gestartet, der mit der Fehlermeldung "STATUS_INVALID_WORKSTATION" abbricht. Ich habe einmal Wireshark mit einem erfolgreichen und einmal mit einem nicht erfolgreichen Login mitgeschnitten. Im Anhang sind die Screenshots davon. NegotiateProtocol und SessionSetup gehören zum CIFS-Prozess. Das ist hier beschrieben: Sequence Diagram Ich würde ja dem User domain_admin gerne auf dem IPC$-Share entsprechende Rechte geben, aber das geht ja leider nicht. Ich glaube nicht, dass WDS ausschließlich einem Administrator(!) benötigt, um fortzufahren. Könnt ihr damit etwas anfangen? Grüße xola Zitieren Link zu diesem Kommentar
hacoso 10 Geschrieben 2. Juni 2011 Melden Teilen Geschrieben 2. Juni 2011 hi du, ich denke mal das wds unter server 2k8 genauso "unflexibel" ist wie auch win 7. die meisten sache wie installationen usw benötigen eine admin bestätigung. btw haste mal am nachgeschaut,was die abfragen sind wen der client per F12 lädt? so wie ich das gesehen habe, kommen diese abfragen direkt vom server und nicht vom wds. daher ist meine vermutung, das es entweder am AD doch liegt oder an einem anderen server dienst. aber zu fast 70% bleib ich beim AD. irgendwo bei MS tech hab ich gelesen,der wds würde auch ohne AD laufen... werd ich mal versuchen :) das problem lässt mich nicht ruhen xD Zitieren Link zu diesem Kommentar
xola 10 Geschrieben 7. Juni 2011 Autor Melden Teilen Geschrieben 7. Juni 2011 Ich habe die Lösung zu verkünden :-) Nachdem ich stundenlang Securitylog-Einträge mit Microsoft-Artikeln verglichen habe, die mir allesamt nur "Workstation restrictions" oder als Antwort gaben, habe ich mir den Account im AD weitergehend angeschaut. Dort, in der Registerkarte "Konto" gibt es einen Knopf "Anmelden an...". Und dort kann man angeben, an welchen Workstations sich dieser Account anmelden kann. Hier war standardmäßig der Server angegeben. Einfach "Allen Computern" angeben, und schon flutscht das :-) Also, zusammenfassend: 1. Um die Benutzerabfrage zu entfernen, muss man in der autounattended.xml unter dem Punkt amd64_Microsoft-Windows-Setup_6.1.7600.16385_neutral/WindowsDeploymentServices/Login/Credentials die Logindaten angeben. 2. Unter amd64_Microsoft-Windows-Setup_6.1.7600.16385_neutral/WindowsDeploymentServices/Login muss zusätzlich noch im Punkt "WillShowUI" entweder "OnError" oder "Never" ausgewählt werden. Ansonsten kommt die Benutzerabfrage trotz passender Login-Daten. 3. Der Account, den man benutzt, muss Rechte haben, sich an anderen Workstations anmelden zu können (siehe oben). Er muss aber kein Domain-Admin oder gar Administrator o.ä. sein. Bei mir hat er nur zwei Benutzergruppen: "Domänen-Benutzer" und "Benutzer". Allerdings sind Rechte auf dem WDS-Share "RemInst" nötig, denn dort liegen die ganzen Images. Nun muss ich irgendwie schaffen, dass ein neu angelegter Account im AD gleich Zugriffsrechte für alle Workstations bekommt, und nicht standardmäßig nur Loginrechte auf dem lokalen Server. Mein nächster Schritt ist nun, dass WDS automatisch ein Image auswählt. Aber das ist eine andere Geschichte. Danke für die Hilfe. Gruß xola Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.