PXE Boot Probleme mit Thinkpad Geräten

[IotSec]

Hallo zusammen,

ich hatte hier diverse Probleme mit PXE boot, die ich größtenteils beheben konnte. Da lag es an dem alten windows netboot paket mit kaputtem GPT.

Allerdings habe ich weiterhin ein Gerät, welches sich partout weigert zu booten. Er holt sich noch grub und das war's. Schwarzer Bildschirm.

Ich weiß, dass es bei ThinkPad Geräten in der Vergangenheit einen Firmware bug gab, der sich genau so geäußert hat. Das Problem hatte ich nämlich vor ein paar Monaten. Ich meine sogar mit genau diesem Modell und dort hatte es dann ein BIOS update behoben. Jetzt ist nur mein Problem, dass dieses Gerät bereits auf dem neuesten BIOS ist.

Es handelt sich um ein Lenovo ThinkPad L14 Gen 3 (Ryzen). Link zum installierten BIOS: https://support.lenovo.com/de/de/downloads/ds555119

Ich verwende außerdem folgende host parameter: opsi-linux-bootimage.append mem=2G,noapic,nomodeset,ramdisk_size=2097152
Das war für Ryzen Geräte mal notwenig. Macht in diesem Fall ohne auch keinen Unterschied.

Habe auch bereits probiert secure boot auf dem Gerät komplett zu deaktivieren.

Ich denke meine Frage ist, ob es immer noch bekannte Probleme mit einzelnen Modellen gibt oder ob es ein anderes Problem sein könnte.

Anderes Thinkpad Modell im exakt selben Kontext ist kein Problem und bootet wie gewünscht.

Hier der Auszug aus dem syslog

Code: Alles auswählen

2026-03-05T09:10:35.791891+00:00 opsi-test in.tftpd[44578]: RRQ from 10.10.40.105 filename opsi/loader/opsi-netboot.x64.efi
2026-03-05T09:10:35.792390+00:00 opsi-test in.tftpd[44578]: tftp: client does not accept options
2026-03-05T09:10:35.793396+00:00 opsi-test kernel: [82873.195401] audit: type=1400 audit(1772701835.785:491): apparmor="ALLOWED" operation="open" profile="/usr/sbin/sssd" name="/proc/44578/cmdline" pid=1018 comm="sssd_nss" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
2026-03-05T09:10:35.796574+00:00 opsi-test in.tftpd[44579]: RRQ from 10.10.40.105 filename opsi/loader/opsi-netboot.x64.efi
2026-03-05T09:10:35.797404+00:00 opsi-test kernel: [82873.200291] audit: type=1400 audit(1772701835.789:492): apparmor="ALLOWED" operation="open" profile="/usr/sbin/sssd" name="/proc/44579/cmdline" pid=1018 comm="sssd_nss" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
2026-03-05T09:10:36.170855+00:00 opsi-test in.tftpd[44583]: RRQ from 10.10.40.105 filename opsi/loader/revocations_sku.efi
2026-03-05T09:10:36.170964+00:00 opsi-test in.tftpd[44583]: sending NAK (1, File not found) to 10.10.40.105
2026-03-05T09:10:36.172539+00:00 opsi-test in.tftpd[44584]: RRQ from 10.10.40.105 filename opsi/loader/revocations_sbat.efi
2026-03-05T09:10:36.172634+00:00 opsi-test in.tftpd[44584]: sending NAK (1, File not found) to 10.10.40.105
2026-03-05T09:10:36.173382+00:00 opsi-test kernel: [82873.574517] audit: type=1400 audit(1772701836.165:493): apparmor="ALLOWED" operation="open" profile="/usr/sbin/sssd" name="/proc/44583/cmdline" pid=1018 comm="sssd_nss" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
2026-03-05T09:10:36.173389+00:00 opsi-test kernel: [82873.576383] audit: type=1400 audit(1772701836.165:494): apparmor="ALLOWED" operation="open" profile="/usr/sbin/sssd" name="/proc/44584/cmdline" pid=1018 comm="sssd_nss" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
2026-03-05T09:10:36.174185+00:00 opsi-test in.tftpd[44585]: RRQ from 10.10.40.105 filename opsi/loader/shim_certificate_0.efi
2026-03-05T09:10:36.174262+00:00 opsi-test in.tftpd[44585]: sending NAK (1, File not found) to 10.10.40.105
2026-03-05T09:10:36.177377+00:00 opsi-test kernel: [82873.578054] audit: type=1400 audit(1772701836.169:495): apparmor="ALLOWED" operation="open" profile="/usr/sbin/sssd" name="/proc/44585/cmdline" pid=1018 comm="sssd_nss" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
2026-03-05T09:10:36.209368+00:00 opsi-test kernel: [82873.613347] audit: type=1400 audit(1772701836.201:496): apparmor="ALLOWED" operation="open" profile="/usr/sbin/sssd" name="/proc/44586/cmdline" pid=1018 comm="sssd_nss" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
2026-03-05T09:10:36.209551+00:00 opsi-test in.tftpd[44586]: RRQ from 10.10.40.105 filename opsi/loader/grub.x64.efi

Ergänzungen:

Eine Datei für die mac des Geräts wird angelegt.

Code: Alles auswählen

~$ ls -lah /tftpboot/opsi/cfg
total 16K
drwxrwxr-x 2 opsiconfd opsifileadmins 4.0K Mar  5 11:15 .
drwxrwxr-x 6 opsiconfd opsifileadmins 4.0K Oct 13 14:31 ..
-rw-r--r-- 1 root      opsiadmin      2.0K Mar  5 11:15 f4-a8-0d-ff-ff-ff.cfg
-rw-rw-r-- 1 opsiconfd opsifileadmins 3.8K Mar  5 10:29 grub.cfg

Code: Alles auswählen

[5] [2026-03-05 11:15:33.857] [               ] PXE boot configuration for host 'pc85.clients.org.de' is now set at /tftpboot/opsi/cfg/f4-a8-0d-ff-ff-ff.cfg   (opsipxeconfd.py:459)

[IotSec]

Das Problem besteht nach wie vor und mittlerweile musste ich feststellen, dass es auch mehr als das eine L14G3 betrifft.

Mein aktueller workaround ist das opsi image vom USB Stick zu booten, allerdings habe ich hier dann immer das Problem, dass der opsi agent nicht mitinstalliert wird und ich am Ende effektiv ein fast blankes Windows habe.

Mein Ablauf ist dabei:
* opsi image vom stick booten -> Start OPSI (mit DHCP)
* clientname und server IP eintragen
* auth mit zuvor gesetztem OTP
* netboot produkt bestätigen
* Installation starten

Im configed ist sowohl das netboot produkt als auch die gewünschten localboot produkte auf setup gestellt.

Ist das normal oder mache ich hier was falsch?

[ThomasT]

Hallo,

leider haben wir hier kein L14G3 und können daher dein initiales Problem nicht nachstellen.
Zu deinem Workaround und dem daraufhin unvollständig installierten Windows:
Gibt es nach der Installation den C:\opsi.org\log Ordner und findest du in den dort vorhandenen Dateien vielleicht einen Hinweis? Gibt es die WinPE Partition noch?
In dieser Phase der Betriebssysteminstallation gibt es einige Fallstricke die für Probleme sorgen können, z.B.:
- Netzwerktreiber-Reinstallation von Windows
- Windows Defender

[IotSec]

Vorweg: ich habe seitdem 2-3 weitere Geräte dieses Modells installiert. Zwar klappt PXE boot nie, aber über das lokale Image booten hat dort einwandfrei geklappt. Sprich agent und locaboot Produkte wurden installiert.

Das problematische Gerät habe ich noch hier. Der log Ordner existiert, allerdings weiß ich nicht, wonach ich hier suche. Da ich im Anschluss noch den agent manuell installiert hatte, ist hier einiges drin.

Tatsächlich sehe ich bei dem Gerät die WinPE Partition noch. Windows weist hier auch einen Laufwerksbuchstaben zu.

Darüber hinaus hat das System noch andere Probleme. Bspw. funktionieren Windows Updates nicht, weil der DeliveryOptimization Service deaktiviert ist.

[ThomasT]

Da das WinPE noch da ist, wird das bei den postinstall Tasks kaputt gegangen sein. Im Log-Ordner sollte also eine postinst.log liegen und auch noch die alte opsi-client-agent.log von der fehlgeschlagenen Installation.

[IotSec]

Ah ja, in der `postinst.log` wird es ersichtlich. Nachdem der Client sich mit seinem Namen beim server meldet, hat dieser anscheinend nicht geantwortet.

Code: Alles auswählen

[08.05.2026 11:25:05,90] Starting opsi-client-agent installation as user ORG-Admin
[08.05.2026 11:25:05,90] install.conf found
[08.05.2026 11:25:05,90] config.ini found
[08.05.2026 11:25:05,90] Executing: "W:\opsi\opsi-client-agent\oca-installation-helper.exe" "--non-interactive" "--service-address "https://10.10.20.63:4447/rpc" --client-id "pc-lt-15.clients.org.de" --service-username "pc-lt-15.clients.org.de" --service-password "33775cbfbe992393b3fdcf4abe93c49c" --bootimage"
[3] [2026-05-08 11:25:08.860] [               ] Opsi service connection error: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))   (__main__.py:420)
Traceback (most recent call last):
  File "urllib3\connectionpool.py", line 787, in urlopen
  File "urllib3\connectionpool.py", line 534, in _make_request
  File "urllib3\connection.py", line 516, in getresponse
  File "http\client.py", line 1395, in getresponse
  File "http\client.py", line 325, in begin
  File "http\client.py", line 294, in _read_status
http.client.RemoteDisconnected: Remote end closed connection without response

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "requests\adapters.py", line 667, in send
  File "urllib3\connectionpool.py", line 841, in urlopen
  File "urllib3\util\retry.py", line 474, in increment
  File "urllib3\util\util.py", line 38, in reraise
  File "urllib3\connectionpool.py", line 787, in urlopen
  File "urllib3\connectionpool.py", line 534, in _make_request
  File "urllib3\connection.py", line 516, in getresponse
  File "http\client.py", line 1395, in getresponse
  File "http\client.py", line 325, in begin
  File "http\client.py", line 294, in _read_status
urllib3.exceptions.ProtocolError: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "opsicommon\client\opsiservice.py", line 1284, in _request
  File "requests\sessions.py", line 589, in request
  File "requests\sessions.py", line 703, in send
  File "requests\adapters.py", line 682, in send
requests.exceptions.ConnectionError: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))

The above exception was the direct cause of the following exception:

Traceback (most recent call last):
  File "ocainstallationhelper\__main__.py", line 417, in run
  File "asyncio\runners.py", line 190, in run
  File "asyncio\runners.py", line 118, in run
  File "asyncio\base_events.py", line 654, in run_until_complete
  File "ocainstallationhelper\__main__.py", line 226, in install
  File "ocainstallationhelper\backend.py", line 23, in __init__
  File "opsicommon\client\opsiservice.py", line 2367, in get_service_client
  File "opsicommon\client\opsiservice.py", line 1120, in connect
  File "opsicommon\client\opsiservice.py", line 1338, in _request
opsicommon.exceptions.OpsiServiceConnectionError: Opsi service connection error: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))
[3] [2026-05-08 11:25:08.860] [               ] Opsi service connection error: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))   (__main__.py:309)
Traceback (most recent call last):
  File "urllib3\connectionpool.py", line 787, in urlopen
  File "urllib3\connectionpool.py", line 534, in _make_request
  File "urllib3\connection.py", line 516, in getresponse
  File "http\client.py", line 1395, in getresponse
  File "http\client.py", line 325, in begin
  File "http\client.py", line 294, in _read_status
http.client.RemoteDisconnected: Remote end closed connection without response

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "requests\adapters.py", line 667, in send
  File "urllib3\connectionpool.py", line 841, in urlopen
  File "urllib3\util\retry.py", line 474, in increment
  File "urllib3\util\util.py", line 38, in reraise
  File "urllib3\connectionpool.py", line 787, in urlopen
  File "urllib3\connectionpool.py", line 534, in _make_request
  File "urllib3\connection.py", line 516, in getresponse
  File "http\client.py", line 1395, in getresponse
  File "http\client.py", line 325, in begin
  File "http\client.py", line 294, in _read_status
urllib3.exceptions.ProtocolError: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "opsicommon\client\opsiservice.py", line 1284, in _request
  File "requests\sessions.py", line 589, in request
  File "requests\sessions.py", line 703, in send
  File "requests\adapters.py", line 682, in send
requests.exceptions.ConnectionError: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))

The above exception was the direct cause of the following exception:

Traceback (most recent call last):
  File "ocainstallationhelper\__main__.py", line 417, in run
  File "asyncio\runners.py", line 190, in run
  File "asyncio\runners.py", line 118, in run
  File "asyncio\base_events.py", line 654, in run_until_complete
  File "ocainstallationhelper\__main__.py", line 226, in install
  File "ocainstallationhelper\backend.py", line 23, in __init__
  File "opsicommon\client\opsiservice.py", line 2367, in get_service_client
  File "opsicommon\client\opsiservice.py", line 1120, in connect
  File "opsicommon\client\opsiservice.py", line 1338, in _request
opsicommon.exceptions.OpsiServiceConnectionError: Opsi service connection error: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))
ERROR: Opsi service connection error: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response'))
[08.05.2026 11:25:09,31] Executing c:\opsi.org\tmp\postinst.d\80_repartition.cmd 
[08.05.2026 11:25:09,31] Copying W:\opsi\diskpart.txt to c:\opsi.org\data
        1 file(s) copied.
[08.05.2026 11:25:09,32] Copying W:\opsi\partunhide.txt to c:\opsi.org\data
        1 file(s) copied.
[08.05.2026 11:25:09,32] Copying W:\opsi\parthide.txt to c:\opsi.org\data
        1 file(s) copied.
[08.05.2026 11:25:09,32] Copying W:\opsi\diskinfo.ini to c:\opsi.org\data
        1 file(s) copied.
[08.05.2026 11:25:09,32] Copying W:\opsi\diskpartRecovery.txt to c:\opsi.org\data
        1 file(s) copied.
The system cannot find the path specified.
The system cannot find the path specified.
The system cannot find the path specified.
The system cannot find the path specified.
[08.05.2026 11:25:09,34] Not found opsi-script - starting classic batch

Der `opsi-client-agent.log` startet erst ca. 90min später. Denke das war dann nach meiner manuellen Installation vom agent. Hänge den mal an.