[Gelöst] Win11, PXE und Proxmox VE

[MyKey0815]

WIr möchten jetzt die einzelnen Rollout-Prozesse festlegen und mit OPSI einrichten. Darum haben wir als "Testgerät" auf unserem PVE eine VM erstellt für Windows11-Tests. Diese hat UEFI und SecureBoot.

Wenn ich aber per PXE boote, kommt kein Menu. Es sieht wie folgt aus:

PXE-Boot Client

2025-01-22 17_07_44-QEMU (win11002250) - noVNC – Mozilla Firefox.png (13.44 KiB) 4431 mal betrachtet

Mein /var/log/syslog dazu sieht wie folgt aus:

Code: Alles auswählen

Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 available DHCP subnet: 192.168.2.251/255.255.255.0
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 vendor class: PXEClient:Arch:00007:UNDI:003001
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 PXE(ens18) bc:24:11:73:f1:3c proxy
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 tags: UEFI, UEFI64, ens18
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 next server: 192.168.2.251
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 broadcast response
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 sent size:  1 option: 53 message-type  2
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 sent size:  4 option: 54 server-identifier  192.168.2.251
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 sent size:  9 option: 60 vendor-class  50:58:45:43:6c:69:65:6e:74
Jan 22 16:57:06 cv002251 dnsmasq-dhcp[400924]: 2039187015 sent size: 17 option: 97 client-machine-id  00:13:a3:d7:fb:b1:c1:b3:4f:89:75:07:a2:3c...
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 2039187015 available DHCP subnet: 192.168.2.251/255.255.255.0
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 2039187015 vendor class: PXEClient:Arch:00007:UNDI:003001
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 available DHCP subnet: 192.168.2.251/255.255.255.0
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 vendor class: PXEClient:Arch:00007:UNDI:003001
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 PXE(ens18) bc:24:11:73:f1:3c proxy
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 tags: UEFI, UEFI64, ens18
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 bootfile name: opsi/opsi-linux-bootimage/loader/opsi-netboot.efi
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 server name: 192.168.2.251
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 next server: 192.168.2.251
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 sent size:  1 option: 53 message-type  5
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 sent size:  4 option: 54 server-identifier  192.168.2.251
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 sent size:  9 option: 60 vendor-class  50:58:45:43:6c:69:65:6e:74
Jan 22 16:57:09 cv002251 dnsmasq-dhcp[400924]: 1412046506 sent size: 17 option: 97 client-machine-id  00:13:a3:d7:fb:b1:c1:b3:4f:89:75:07:a2:3c...
Jan 22 16:57:10 cv002251 in.tftpd[419358]: RRQ from 192.168.2.191 filename opsi/opsi-linux-bootimage/loader/opsi-netboot.efi
Jan 22 16:57:10 cv002251 in.tftpd[419358]: tftp: client does not accept options
Jan 22 16:57:10 cv002251 in.tftpd[419359]: RRQ from 192.168.2.191 filename opsi/opsi-linux-bootimage/loader/opsi-netboot.efi

Die VM-Konfiguration sieht so aus:

PVE-Client

2025-01-22 17_11_03-pve002080 - Proxmox Virtual Environment – Mozilla Firefox.png (27.94 KiB) 4430 mal betrachtet

Wie bekomme ich das zum Installieren um damit eine realitätsnahe Testumgebung zu haben?

[m.radtke]

Moin,

grundsätzlich solltest du die Datei "opsi/opsi-linux-bootimage/loader/shimx64.efi.signed" als Startdatei unter UEFI und/oder Secure Boot nutzen.
Wenn Du keine Secure Boot lizenz von uns hast, solltest du Secure Boot in der VM deaktivieren.

In deiner aktuellen Konstruktion versuchst du die opsi-netboot.efi zu starten, die nicht von Microsoft signiert ist. Hierfür gibt es die shimx64.efi.signed.

Gruß
Mathias

[MyKey0815]

Vielen Dank für die Info und die schnelle Rückmeldung.

Tatsächlich haben wir aktuell nur die UEFI Lizenz. SecureBoot haben wir (noch) nicht (Angebot liegt schon vor).

Darum hab ich in der VM das SecureBoot mal deaktiviert (damit wir erstmal weiter kommen - ich kläre noch, wie das mit SB aussieht, ob wir das nachbestellen werden). Aber leider immer noch das selbe Problem. Folgender syslog (mit deaktiviertem SecureBoot in der VM):

Code: Alles auswählen

Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 available DHCP subnet: 192.168.2.251/255.255.255.0
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 vendor class: PXEClient:Arch:00007:UNDI:003001
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 PXE(ens18) bc:24:11:73:f1:3c proxy
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 tags: UEFI, UEFI64, ens18
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 next server: 192.168.2.251
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 broadcast response
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 sent size:  1 option: 53 message-type  2
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 sent size:  4 option: 54 server-identifier  192.168.2.251
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 sent size:  9 option: 60 vendor-class  50:58:45:43:6c:69:65:6e:74
Jan 23 11:10:34 cv002251 dnsmasq-dhcp[722]: 1922581920 sent size: 17 option: 97 client-machine-id  00:13:a3:d7:fb:b1:c1:b3:4f:89:75:07:a2:3c...
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 1922581920 available DHCP subnet: 192.168.2.251/255.255.255.0
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 1922581920 vendor class: PXEClient:Arch:00007:UNDI:003001
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 available DHCP subnet: 192.168.2.251/255.255.255.0
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 vendor class: PXEClient:Arch:00007:UNDI:003001
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 PXE(ens18) bc:24:11:73:f1:3c proxy
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 tags: UEFI, UEFI64, ens18
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 bootfile name: opsi/opsi-linux-bootimage/loader/shimx64.efi.signed
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 server name: 192.168.2.251
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 next server: 192.168.2.251
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 sent size:  1 option: 53 message-type  5
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 sent size:  4 option: 54 server-identifier  192.168.2.251
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 sent size:  9 option: 60 vendor-class  50:58:45:43:6c:69:65:6e:74
Jan 23 11:10:38 cv002251 dnsmasq-dhcp[722]: 191926166 sent size: 17 option: 97 client-machine-id  00:13:a3:d7:fb:b1:c1:b3:4f:89:75:07:a2:3c...
Jan 23 11:10:39 cv002251 in.tftpd[3873]: RRQ from 192.168.2.191 filename opsi/opsi-linux-bootimage/loader/shimx64.efi.signed
Jan 23 11:10:39 cv002251 in.tftpd[3873]: tftp: client does not accept options
Jan 23 11:10:39 cv002251 in.tftpd[3874]: RRQ from 192.168.2.191 filename opsi/opsi-linux-bootimage/loader/shimx64.efi.signed
Jan 23 11:10:39 cv002251 in.tftpd[3875]: RRQ from 192.168.2.191 filename opsi/opsi-linux-bootimage/loader/revocations.efi
Jan 23 11:10:39 cv002251 in.tftpd[3876]: RRQ from 192.168.2.191 filename opsi/opsi-linux-bootimage/loader/opsi-netboot.efi

OPSI ist auf 4.3 und alle Pakete habe ich mit opsi-package-updater -v update auf die aktuelle Version gehoben.

[m.radtke]

Moin,

eigentlich müsste es damit funktionieren? Wie hast du Secure Boot in der VM deaktiviert?

Hier mal die Beispielkonifguration einer VM aus der Testumgebung bei uns ohne Secure Boot. Damit testen wir Installationen regelmäßig ohne Probleme.
Netzwerkkonfiguration etwas angepasst, da wir ein eigenes Netz für die Testumgebung haben.

Gruß
Mathias

[MyKey0815]

Danke für die schnelle Meldung (ich bin nämlich grad an der ganzen Sache dran)

Deaktiviert habe ich das SecureBoot im "BIOS" der VM.

SB disabld

2025-01-23 12_34_04-QEMU (win11002250) - noVNC – Mozilla Firefox.png (5.17 KiB) 4379 mal betrachtet

ich sehe hier folgende Unterschiede zu meiner VM Konfiguration:

Ich habe eine EFI Disk und den TPM State als Disk angeklickt/erstellen lassen

VM Konfig

2025-01-23 12_30_50-pve002080 - Proxmox Virtual Environment – Mozilla Firefox.png (19.01 KiB) 4379 mal betrachtet

[m.radtke]

Hi

Tpm kann bleiben bei der efi disk solltest du die option "preeonroll keys" deaktivieren.

Wir nutzen die EFI Disk nicht, da wir in den VMs zwischen BIOS und EFI wechseln.

Gruß
Mathias

[MyKey0815]

Vielen Dank für den Tipp.

Ich hab jetzt mal versucht mit BIOS zu booten und dabei ist mir aufgefallen, das das OPSI-PXE gar nicht mehr geht. Irgendwas stimmt schon beim PXE nicht, denn auch BIOS-System laufen nicht mehr richtig.

Ich werde das erstmal checken, ob das mit dem Update 4.3 zusammen hing. Weil wenn das dann wieder läuft, dann kann ich mich um das UEFI kümmern

[m.radtke]

Bedenke, BIOS brauch eine andere Startdatei im DHCP: opsi-netboot.bios

Gruß
Mathias

[SirTux]

Tpm kann bleiben bei der efi disk solltest du die option "preeonroll keys" deaktivieren.

Wir nutzen die EFI Disk nicht, da wir in den VMs zwischen BIOS und EFI wechseln.

Beides braucht man AFAIK aber, wenn man Secure Boot haben will.

[m.radtke]

Tpm kann bleiben bei der efi disk solltest du die option "preeonroll keys" deaktivieren.

Wir nutzen die EFI Disk nicht, da wir in den VMs zwischen BIOS und EFI wechseln.

Beides braucht man AFAIK aber, wenn man Secure Boot haben will.

Moin, ja das tut man in der Regel.
Hier gibt es aber keine Secure Boot Lizenz im opsi Backend, daher wird das schon im bootimage scheitern.

Gruß
Mathias