Windows 10 PXE UEFI Boot failed

[Mike1987]

Liebe Alle,

ich benötige dringen eure Hilfe, da bei uns eine große Umstellung ansteht. Wir haben Windows bisher immer mit dem normalen BIOS installiert und nicht mit UEFI. Leider krieg ich es auch nach lesen der UIB Doku und suchen im Forum nichts ans laufen.
Folgende Situation liegt aktuell vor:

Eingesetzte Pakete:

Code: Alles auswählen

Netbootprodukte  4.2.0.1
opsi Server Pakete4 .1.1.8-1
opsipxeconfd 4.1.1.20-3
opsi-linux-bootimage 20211102 

DHCP Config

Code: Alles auswählen

host irechnername   { hardware ethernet <macadresse>; fixed-address 10.140.142.198; option host-name "rechnername"; next-server opsiserver1.domain.de; filename "linux/pxelinux.cfg/shimx64.efi.signed"; }

opsipxeconfd.conf

Code: Alles auswählen

uefi netboot config template x64 = /tftpboot/linux/pxelinux.cfg/install-grub-x64

Verwendet werden Dell Notebooks (Folgende BIOS Settings sind gesetzt)

Code: Alles auswählen

- Boot Sequence: UEFI
- Advanced Boot Options: Enable Lagecy Option ROMS: Deaktiviert
- UEFI Boot Path Security: Always, Except Internal HDD
- Secure Boot: Enabled

Betriebssystem: Windows 10 Enterprise
Der Haken für ""UEFI Boot" ist für den Client gesetzt.

Die Installation im normalen Lagecy Modus funktioniert einwandfrei.



Ich hoffe jmd. kann mir helfen. Ich bastel schon seit Tagen rum und komme nicht weiter......

[m.radtke]

hi

habt ihr die UEFI Erweiterung gekauft/aktiv?

Gruß
Mathias

[ewimar]

Hallo Mike,

für SecureBoot muss der Bootloader signiert sein. Das erledigt uib für uns.
Aber: Deine Installation scheint auf Stand opsi 4.1 zu sein und ist damit leider zu alt.

Bringe Deinen opsi-Server und auch Deine opsi-Produkte auf den aktuellen Stand (siehe: https://download.uib.de/opsi_stable/doc ... -migration).

Danach kannst Du prüfen, ob Du für UEFI-Clients beim PXE-Boot-Menü ein passendes Bootmenü angezeigt bekommst.

Sofern Du bei uib eine Lizenz für SecureBoot erworben hast, kannst Du damit dann die neuen Client-PCs betanken.

Viel Erfolg!
Martin

[Mike1987]

hi

habt ihr die UEFI Erweiterung gekauft/aktiv?

Gruß
Mathias

Hallo Mathias,

die Erweiterung haben wir gekauft, ja

[Mike1987]

Hallo Mike,

für SecureBoot muss der Bootloader signiert sein. Das erledigt uib für uns.
Aber: Deine Installation scheint auf Stand opsi 4.1 zu sein und ist damit leider zu alt.

Bringe Deinen opsi-Server und auch Deine opsi-Produkte auf den aktuellen Stand (siehe: https://download.uib.de/opsi_stable/doc ... -migration).

Danach kannst Du prüfen, ob Du für UEFI-Clients beim PXE-Boot-Menü ein passendes Bootmenü angezeigt bekommst.

Sofern Du bei uib eine Lizenz für SecureBoot erworben hast, kannst Du damit dann die neuen Client-PCs betanken.

Viel Erfolg!
Martin

Danke für deine Antwort!

Wir sind nicht auf der aktuellsten Version, das ist richtig. Aber alle Pakete die wir im Einsatz haben erfüllen die Vorraussetzungen für die UEFI Installation. Das UEFI Modul haben wir ebenfalls gekauft. Muss man für SecureBoot noch ein Modul kaufen? Ich dachte das UEFI Modul reicht?!

[ewimar]

Hallo Mike,

UEFI und SecureBoot sind laut Preisliste zwei verschiedene Erweiterungen (siehe: https://download.uib.de/doku/opsi-Erwei ... sliste.pdf). Details kannst Du mit den netten Leuten bei uib klären.

Wenn Du SecureBoot tatsächlich nutzen musst, dann geht das nur mit einem opsi-Server, der auf dem aktuellen Stand ist. Ältere Versionen des UEFI-Bootloaders sind nicht mehr valide signiert; keine OS-Installation möglich. Und außerdem: Für aktuelle Hardware ist es immer sinnvoll, ein aktuelles Linux-Bootimage zu nutzen.

Gruß
Martin

[Jan.Schmidt]

Hi,

aus Erfahrung kann ich den Vorpostern nur zustimmen!

Mach ein Backup, aktualisiere den opsi, ALLE OPSi Pakete und auch das Netbootprodukt!

"Früher" war früher, aber wenn du neue Hardware hast dann denk dran UEFI ist ein Schlagwort kein Standard und nur die neuesten OPSI Sachen nterstützen neue Hardware.
Hier z.B viewtopic.php?t=13103 ist ein Beispiel von vielen, warum man den OPSI aktuell halten sollte.

Und dann eine Randnotiz:
Warum nimmt man eine Software, die dafür gedacht ist Software auf anderen Geräten aktuell zu halten um die Software selber auf Stand "damals in den Ardennen" zu halten

[Mike1987]

Guten Morgen Jan,

danke für deine Antwort
Was soll ich sagen außer "Du hast recht"....
Aber wie das manchmal so ist in der IT...es kommt immer was dazwischen und das aktuelle System "läuft ja"....

[m.radtke]

Moin,

wenn der UEFI Boot immer noch nicht klappt, dann schau dir mal die named pipe an (/tftpboot/linux/pxelinux.cfg/01-MACADRESSE) an, ob der korrekt aussieht.

Ansonsten steht in /var/log/syslog wie die TFTP Kommunikation.

Wie meine Vorredner schon angemerkt haben, die Secureboot Signatur hat sich geändert bzw die Signatur aus Bootimages jünger als September 2022 ist gesperrt wg Boothole bei entsprechend neuen Geräten.

Gruß
Mathias