UEFI PXE Boot / SecureBoot / TPM 2.0

[tomz]

Moin zusammen,

wir haben jüngst das UEFI Addon gekauft und wollen nun Surface 4 Pro oder HP Tablets (beides TPM2.0) mit PXE Adapter booten.

Beim Booten bekomme ich allerdings die Meldung:

PXE-E05: Buffer size is smaller than the requested file.

Laut einigen Googlesuchen könnte es an der tsize/Buffersize im TFTP liegen - da finde ich jedch bisher keinen Ansatz.
Wir nutzen opsi-atftpd mit der aktuellen stable opsi-Version.

Einziger Log:
Syslog
Oct 12 15:53:43 opsi in.tftpd[9257]: connect from 192.168.249.252 (192.168.249.252)
Oct 12 15:53:43 opsi atftpd[9257]: Advanced Trivial FTP server started (0.7)
Oct 12 15:53:43 opsi atftpd[9257]: Serving linux/pxelinux.0 to 192.168.249.252:1211

Hat jemand das gleiche Problem oder sogar einen Tipp für mich?

Gruß
Tom

[tomz]

Bei einem Lenovo T470 ist es genau das gleiche verhalten per UEFI / SecureBoot.

Ohne SecureBoot/LagacyBoot bootet er mit PXE, allerdings geht dann aufgrund des fehlenden UEFI Boots kein Bitlocker, da TPM 2.0

[m.radtke]

Hi

ist die Firmware auf den Geräten aktuell? Google lieferte mir einige Ergebnisse mit kaputter EFI Firmware raus.
Wenn die tsize fehlt sollte nicht abgebrochen werden, sondern einfach nochmal geladen.

Unser Bootimage ist aktuell nicht Secureboot kompatibel.
Kann man nicht nur Secureboot deaktiveren?
Wir hatten auf jeden Fall mal Surface4 und T470 im Haus, von Kunden, und da liefen die beiden Geräte nach kurzer Anpassung im Bootimage. Diese Anpassung ist seit längerem draußen in Stable.

Gruß
Mathias

[uncle_scrooge]

Hm.
Habe mir das UEFI-Modul noch nicht angesehen, kann also nicht mit Praxis dienen.
Aber, laut Handbuch muß bei einem UEFI-Boot linux/pxelinux.cfg/elilo32.efi ausgeliefert werden. Dein Surface bekommt aber linux/pxelinux.0.
Mal die DHCP-Konfiguration querchecken.

[tomz]

Hi

ist die Firmware auf den Geräten aktuell? Google lieferte mir einige Ergebnisse mit kaputter EFI Firmware raus.
Wenn die tsize fehlt sollte nicht abgebrochen werden, sondern einfach nochmal geladen.

Unser Bootimage ist aktuell nicht Secureboot kompatibel.
Kann man nicht nur Secureboot deaktiveren?
Wir hatten auf jeden Fall mal Surface4 und T470 im Haus, von Kunden, und da liefen die beiden Geräte nach kurzer Anpassung im Bootimage. Diese Anpassung ist seit längerem draußen in Stable.

Gruß
Mathias

Hallo Mathias,

erstmal herzlichen Dank für die Rückmeldung.
Die Firmwarestände sind aktuell.

Die neuen Tablets und Laptops haben leider einen TPM 2.0 Chip. Was ein Secureboot erforderlich macht wenn man Bitlocker Festplattenverschlüsselung in einer Domänenumgebung nutzen will.

Natürlich kann ich Secureboot deaktivieren und Windows 10 per OPSI installieren, nur kann ich Bitlocker dann nicht korrekt nutzen.

Plant ihr bereits eine Secureboot Unterstützung?

Gruß
Tom

[tomz]

Hm.
Habe mir das UEFI-Modul noch nicht angesehen, kann also nicht mit Praxis dienen.
Aber, laut Handbuch muß bei einem UEFI-Boot linux/pxelinux.cfg/elilo32.efi ausgeliefert werden. Dein Surface bekommt aber linux/pxelinux.0.
Mal die DHCP-Konfiguration querchecken.

Klasse Hinweis - danke. Das habe ich wohl übersehen!
Nun erhalte ich mit dem Surface aber einen anderen Fehler:

PXE-E23: Client recieved TFTP error from server.

[tomz]

Habe mir die Anleitung nochmal angesehen und den richtigen Wert: linux/pxelinux.cfg/elilo.efi gesetzt.
Jetzt habe ich wieder die erste Fehlermeldung wie im ersten Post.

[uncle_scrooge]

>>den richtigen Wert: linux/pxelinux.cfg/elilo.efi gesetzt.
Sorry. (Zu mir: Wenn Du schon was rauskopierst, nimm das Richtige.)

Aber ich bin raus, da mir die Umgebung fehlt, um da etwas nachzustellen.
Das Einzige, was ich noch bemerkenswert finde, ist, das bei beiden screen shots als NBP file size 11776 bytes ausgeworfen wird.
Die Größe korrespondiert weder mit pxelinux.0, noch elilo(32).efi.

(Wenn ich ich wäre, würde ich jetzt tcpdump anwerfen, um zu sehen, was da passiert.)

[tomz]

Funktioniert das denn bei jemand anderem oder stehe ich damit alleine da?
Auch wenn ich SecureBoot im Surface deaktiviere erhalte ich den gleichen Fehler.

[m.radtke]

Schau Mal was im Server unter

Code: Alles auswählen

/var/log/syslog

ankommt an anfragen

Wir hatten auf jeden Fall Mal diverse Surface Geräte im Haus und da hat alles geklappt.

Gruß
Mathias