MDT unter Windows Server 2019 bereitstellen – Teil 2

Letzte Aktualisierung am 16.02.2021, 13:02:57 Uhr

Im ersten Teil ging es um die Vorbeitungen als auch die Installation und Grundkonfiguration der Windows-Bereitstellungsdienste (WDS). In diesem Beitrag gehe ich auf die Installation und Einrichtung vom Microsoft Deployment Toolkit (MDT) ein.

Dienstkonto für MDT

Falls im Netzwerk viele identische Rechner vorhanden sind, ist es evtl. eine Überlegung wert ein sogenanntes Referenzimage einzusetzen. Voraussetzung dafür ist ein Dienstkonto für den MDT. Unabhängig davon ist es durchaus sinnvoll auch die Protokolldateien der Installationen über MDT entsprechend vor unbefugten Zugriff zu schützen. Daher bietet sich das Dienstkonto ebenfalls an.

Ich habe für solche besondere Benutzer eine eigene Organisiationseinheit (OU) im Active Directory (AD) angelegt. Um eine entsprechende Strukturierung zu haben.

Beim Anlegen des Benutzer ist darauf zu achten, dass die Optionen „Benutzer kann das Passwort nicht ändern“ und „Kennwort läuft nie ab“ gesetzt sind. Das Passwort sollte nicht zu lange sein. Es ist zu beachten, dass bei Verwendung des Referenzimages das Passwort manuell (kein Copy & Paste möglich) eingegeben werden muss.

Sobald der Benutzer angelegt ist, kann der Speicherort der Protokolldateien vom MDT vorbereitet. Dazu wird auf der virtuellen Maschine (VM) für den MDT folgende Powershell-Befehle ausgeführt:

New-Item -Path E:\MDT-Logs -ItemType directory
New-SmbShare -Name MDT-Logs$ -Path E:\MDT-Logs -ChangeAccess Jeder
icacls E:\MDT-Logs /grant '"mdtadmin":(OI)(CI)(M)'

Auch die Protokolle sollen auf der separaten Festplatte auf der VM abgelegt werden. Somit sind alle Dateien, welche zu WDS/MDT gehören, an der selbe Stelle gespeichert.

Installation der WADK für MDT

Im Teil 1 unter Voraussetzungen befinden sich die notwendigen direkten Links zum Herunterladen der Dateien. Diese habe ich in der VM unter C:\Temp abgelegt. Zuerst muss Windows ADK for Windows 10 installiert werden. Denn dies ist notwendig für Windows PE, welches als Add-On für Windows ADK fungiert. In älteren Version des Windows ADK war Windows PE direkt enthalten.

Installation von PE Add-On für WADK

	Damit sind die Voraussetzungen für MDT geschaffen.

Installation vom MDT

Einrichtung der Bereitstellungsfreigabe im MDT

	Leider müssen die Freigabe als auch NTFS-Bereichtung für die Bereitstellungsfreigabe manuell angepasst werden. Ansonsten kann z.B. der Servicebenutzer des MDT sich nicht mit der Freigabe verbinden und der Assistent gibt eine Fehlermeldung aus.

Anpassung der Active Directory Berechtigungen

Durch die Bereitstellung eines Rechners mit Hilfe von MDT in einer Domäne, muss auch ein entsprechendes Computerkonto im Active Directory (AD) erstellt werden. Dafür aus Sicherheitsgründen natürlich kein Standardbenutzer (z.B. Administrator der Domäne benutzt), sondern ein separates Benutzerkonto (Servicekonto). Im ersten Teil der Serie wurde bereits für den Zugriff auf die Protokolldateien solch ein Benutzer mit dem Namen mdtadmin erstellt.

Es gibt im Microsoft Technet ein Powershell-Skript, mit dem die Berechtigungen für den Servicebenutzer im Active Directory gesetzt werden können. Die Archivdatei „Set-OUPermissions.zip“ herunterladen und das Skript auf einem Domain Controller (DC) unter C:\Temp bereitstellen.

Das Skript muss natürlich noch mit den relevanten Informationen gefüttert werden. Einmal der Benutzername und die OU, in der MDT die Computerkonten erstellen soll. Folgende Befehle müssen auf einem DC in einer administrativen Powershell ausgefüht werden:

Set-ExecutionPolicy -ExecutionPolicy Bypass -Confirm:$true
cd C:\Temp\Set-OUPermissions\
.\Set-OUPermissions.ps1 -Account "mdtadmin" -TargetOU "CN=Computers"

War das Setzen der Berechtigungen erfolgreich, so wird am Ende des Skripts die Meldung „Der Befehl wurde erfolgreich ausgeführt.“ ausgegeben.

Grundeinstellung der Bereitstellungsfreigabe

Im wesentlichen geht es um die Regeln der Bereistellungsfreigabe. Die beiden Dateien heißen CustomSettings.ini und Bootstrap.ini. Diese können über das MMC Snap-In „Deployment Workbench bearbeitet werden.

Es handelt sich bei der Ansicht um den Inhalt der Datei CustomSettings.ini. Deren Inhalt kann nun bearbeitet werden. Standardmäßig sind nicht viele Parameter konfiguriert. Nachstehend eine Erweiterung der Datei:

[Settings]
Priority=Default
Properties=MyCustomProperty

[Default]
_SMSTSORGNAME=LAB02 Wydler
OSInstall=YES

SkipAppsOnUpgrade=YES
SkipProductKey=YES
SkipComputerName=NO
SkipUserData=YES
UserDataLocation=AUTO
SkipTaskSequence=NO
SkipApplications=NO
SkipBitLocker=YES
SkipSummary=YES
SkipBDDWelcome=YES
SkipCapture=YES
DoCapture=NO
SkipFinalSummary=NO

SkipLocaleSelection=YES
KeyboardLocalePE=0407:00000407
UserLocale=de-DE
UILanguage=de-DE


SkipTimeZone=YES 
TimeZone=110
TimeZoneName=W. Europe Standard Time


SkipAdminPassword=YES
AdminPassword=P@ssw0rd

SkipDomainMembership=YES
JoinDomain=lab02.wydler.eu
DomainAdminDomain=lab02.wydler.eu
DomainAdmin=mdtadmin
DomainAdminPassword=Test1234

DeploymentType=NEWCOMPUTER
SLShare=\\wds01\MDT-Logs$
SLShareDynamicLogging=\\wds01\MDT-Logs$

Bitte nicht vergessen

• den Namen der Organisation (LAB02 Wydler)
• das lokale Passwort des Administrators (P@assw0rd)
• den FQDN der Domäne (lab02.wydler.eu)
• den Benutzernamen, der die Computerkonten im AD erstellen darf (mdtadmin) und das dazugehörige Passwort (Test1234)
• die OU, in der die Computerkonten erstellt werden sollen (CN=Computers,DC=lab02,DC=wydler,DC=eu)
• der Servername, auf dem die Protokolldateien gespeichert werden sollen (wds01)

an die Gegebenheiten anzupassen.

Abschließend werfen wir noch einen Blick in die Bootstrap.ini. Zum Öffnen Datei im dem oben angebildeten Dialog auf die Schaltfläche „Edit Bootstrap.ini“ klicken.

Die Datei kann um folgene Einträge erweitert werden. Primär geht es um deutsprachige Tastatur  und Anzeigesprache später in Windows PE.

[Settings]
Priority=Default

[Default]
DeployRoot=\\WDS01\MDT-Produktiv$

UserDomain=lab02
UserID=mdtadmin
UserPassword=Test1234

KeyboardLocalePE=0407:00000407

SkipBDDWelcome=YES

Die Änderungen in der Datei über das Menü Datei -> Speichern sichern. Anschließend die Datei über das „X“ rechts oben schließen. Die anderen Änderungen mit „Übernehmen“ speichern. Anschließend in den Reiter „Monitoring“ wechseln.

Mit Hilfe des Monitoring lässt sich nachverfolgen, wie weit welche Installation eines Rechners ist. Es entspricht einer sehr einfachen Überwachung. Sozusagen für ein groben Überblick.

MDT in WDS einbinden

Nach solchen Änderungen muss eine Aktualiserung durchgeführt werden. Dazu die entsprechende Bereitstellungsfreigabe markieren, Rechtslicks -> „Update Deployment Share“ auswählen.

Durch den Assistenten im MDT wurden die Startabbilder sowohl als ISO als auch WIM Datei bereitgestellt.
Die Einbindung in die Windows-Bereitstellungsdienste müssen folgende Schritte durchgeführt werden.
Die letzten acht Schritte nochmals wiederholen, falls neben der 64Bit auch die 32Bit Variante benötigt wird.	Die Startabilder werden entsprechend in der Übersicht aufgelistet. Die Beschreibung ist ausschließlich in den jeweiligen Eigenschaftn der Datei zu sehen. 🙁