Robi-Wan 10 Posted October 25, 2012 Report Share Posted October 25, 2012 Hallo, ich möchte mittels SCCM2012 das OS Deployment realisieren. Dabei stellt sich grade die Frage, wie man das Bootimage auf den Client bekommt, weil DHCP/PXE ist unsicher CD/USB geht gar nicht ISO mittels out-of-band mounten ist umständlich (wäre aber bisher die einzigste, aber nicht optimalste Lösung) Es geht dabei um ~1k Serversysteme in unterschiedlichen Subnetzen in verschiedenen DCs. Spezielles Augenmerk ist dabei auf die Erstinstallation gelegt, dh. der Server ist grade vom Hersteller gekommen, im Rack drin und verkabelt. Gibt es weitere Ansätze? Wie habt ihr das OS Deployment bei euch gelöst? Grüße, Robert Quote Link to comment
jarazul 10 Posted October 25, 2012 Report Share Posted October 25, 2012 Du nanntest PXE "unsicher". Kannst du das erläutern? Gerade im Zusammenhang von Server-OSD kenne ich PXE als "Mittel der Wahl". Quote Link to comment
Robi-Wan 10 Posted October 26, 2012 Author Report Share Posted October 26, 2012 Hallo, es soll relativ einfach sein, den Datenstrom bei PXE mitzulesen und ggf. zu verändern (ich bin nicht so der Security-Guru bei Netzwerkgeschichten...). Daher wird diese Option als unsicher abgelehnt. Grüße, Robert Quote Link to comment
StefanWe 14 Posted October 26, 2012 Report Share Posted October 26, 2012 Was soll denn bei PXE so unsicheres mitgelesen werden können? Welche Windows Dateien kopiert werden? Zudem kannst du nur bestimmten MAC Adressen das Installieren eines Betriebssystemes erlauben. Ansonsten was spricht gegen ISO Image, Lässt sich doch super per ILO mounten. Quote Link to comment
jarazul 10 Posted October 26, 2012 Report Share Posted October 26, 2012 Ich denke, du solltest dich zu dem Thema SCCM OSD & PXE und Security beraten lassen. Mittels DHCP Options, VLANs und HTTPS unterstützten Management Points / Zertifikaten in Boot Images hast du Sicherheit. Quote Link to comment
AnCo 10 Posted October 27, 2012 Report Share Posted October 27, 2012 Ich habe es bei uns so umgesetzt: PXE-Boot in eine UDI-Tasksequenz für Bare Metal Installationen, eine ZTI-Refresh-Tasksequenz aus dem laufenden System heraus für bereits bestehende Systeme. Wie erwähnt kann man ja an entfernten Standorten separate Distributionpoints einsetzen und entsprechend absichern - was sowieso ratsam ist bei WAN-Verbindungen. :) Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.