Zentrales PC-Deployment auf Basis eines Linux-Deployment-Servers

IPA 2021

10.5.2021-31.5.2021

Kandidatin: Lea Cotar

Teil 1-Umfeld und Ablauf

Projektorganisation und Aufgabenstellung

Personen und Adressen

Tabelle 1: Personen und Adressen

Detaillierte Aufgabenstellung

Titel der Arbeit

Zentrales PC-Deployment auf Basis eines Linux-Deployment-Servers

Ausgangslage

In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.

Dem Workplace Management kommt innerhalb der Firma eine wichtige Bedeutung zu. Die vorwiegend auf Windows 10 basierenden Arbeitsplätze werden heute mit Hilfe der Microsoft Deployment-Lösung WDS/MDT verteilt. Da immer häufiger Linux-Arbeitsplätze nachgefragt werden, wurde beschlossen, im Rahmen einer IPA die Open-Source-Deploymentlösung FOG Project zu evaluieren. Im Zentrum der Evaluation stehen die Windows 10-Arbeitsplätze, da sich die Verteilung der Linux-Images als wenig problematisch herausgestellt hat.

Detaillierte Aufgabenstellung

Auf der Basis der Deployment-Lösung FOG Project soll ein Deployment-Service für Windows-Standard-Images aufgebaut und evaluiert werden. Die Server und das Windows-Image werden in der Virtualisierungsumgebung Proxmox VE erstellt. Zudem soll ein virtueller Windows Server 2019 für Netzwerkdienste und das Testing installiert und konfiguriert werden. Die Deploymentlösung FOG wird auf Basis eines virtuellen Ubuntu-Servers eingerichtet. Das Deployment ist für zwei PCs zu testen. Die Implementierung der Lösung erfolgt nach der IPA.

Zur Verfügung stehende Hardware und Services

---

Hardware

1x Dedizierter PC als Server

1x Office Switch unmanaged

2x PCs für den Staging-Test

1x Arbeitsplatzrechner für Doku und Testing (Installation als Vorarbeit)

Services

Proxmox-VE Virtualisierungsplattform (Installation als Vorarbeit)

Eigenes VLAN für den Aufbau der Testumgebung

Zugang zu eigener Instanz auf dem Backup-Server der Rafisa

Volumenlizenzen (MAK) für Windows und Office

Folgende Unteraufgaben sind zu lösen (Verweise auf die individuellen Beurteilungskriterien sind mit den Kürzeln I1-I7 gekennzeichnet):

1. Erfassung IST-Zustand (I1)

---

Eine gute Planung setzt voraus, dass der Auftrag zunächst geklärt wird.

Dazu sollen Informationen zu mindestens folgenden Bereichen eingeholt werden:

1. Erfassung der zur Verfügung gestellte Hardware (Server und PCs: Modellbezeichnung, CPUs, Memory, Festplatten, Netzwerk-Interfaces. Switch: Modellbezeichnung, Übertragungsrate, Anzahl Ports)
2. Erfassung der zur Verfügung gestellte Services: Kurzbeschreibung Proxmox-VE-Umgebung (Technologie, Features, Bedienung), Kurzbeschreibung Backup-Server der Rafisa (Technologie, Features, Bedienung) als Vorarbeit
3. Einbettung der IPA-Testumgebung in Layer 3-Netzplan des Rafisa-Netzwerkes Dietikon (produktive Server, produktive VLANs, Firewall, keine Switches, keine Drucker, keine PCs) (I2)
4. Beschreibung der Firmenstandards für das Rafisa Windows-Standard-Image: Software, Partitionierung, Layout, Spezielle Einstellungen (Informationen können dem Rafisa-Wiki entnommen werden)
5. Beschreibung der Firmenstandards für das Namenskonzept (Information kann dem Rafisa-Wiki entnommen werden)
6. Firmenstandard bezüglich lokalen Admin-Usern
7. Kurzbeschreibung des FOG-Servers: Technologie, Features, Bedienung, Unterschiede zu WDS/MDT

<HTML><ol start=„2“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Aufzeigen von Lösungsvarianten<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

---

Bei IT-Projekten gibt es oft verschiedene Lösungen zur Erreichung der Projektvorgaben.

Zu folgenden Vorgaben sollen Lösungsvarianten gesucht werden:

1. Einrichten der Testumgebung: Durch welche Systeme werden welche Netzwerkdienste (DHCP, DNS, TFTP, AD) zur Verfügung gestellt?
2. Einrichten der Testumgebung: Subnetze, welche gehen, welche nicht?
3. Win2019 Server: Version
4. Win2019 Server: virtuelle Hardwareressourcen, Partitionierung
5. Win2019 Server: AD-OU-Struktur (User/Computer)
6. Erstellen des Windows-Standard-Images: Sysprep vs. Fat-Image mit integrierten Treibern
7. Erstellen des Windows Standard-Images: MBR vs. GPT-Image
8. Einrichten des Ubuntu Servers: Version
9. Einrichten des Ubuntu Servers: virtuelle Hardwareressourcen, Partitionierung
10. Einrichten des FOG-Servers: Welche Features werden benötigt (Varianten, z.B. max/min)
11. Einrichten des FOG-Servers; Verschlüsselte vs. unverschlüsselte Kommunikation
12. Einrichten des FOG Servers; Unicast vs. Multicast-Deployment
13. Backup und Restore: File-Backup vs. Image-Backup

<HTML><ol start=„3“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Entscheidung für Lösungsvariante (I3)<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

---

Nachdem Lösungsvarianten erarbeitet worden sind, müssen nun in untenstehenden Bereichen begründete Entscheidungen getroffen werden.

Zudem soll ein SOLL-Netzplan der Testumgebung erstellt werden:

1. SOLL-Planung, welche auf begründeten Entscheidungen über die Lösungsvarianten beruht (s. Aufgabe 2)
2. SOLL-Netzplan der Testumgebung mit allen beteiligten Systemen (Server, Switch, Arbeitsplatzrechner, Staging-PCs)

<HTML><ol start=„4“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Einrichten der Testumgebung (I4)<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

---

Die Vorgaben für die Basiseinrichtung der Testumgebung sind:

1. Die Adressierung des Subnetzes ist vorgenommen (selbst gewählt)
2. Network-Services: DHCP, TFTP, DNS (Hostnames aller Server eingetragen), AD-Domain (rafisa.ipa)
3. Die Hostnames der Server sind gemäss Firmenstandard vergeben und in DNS eingetragen
4. Virtueller Windows 2019 Server ist installiert, die für die Aufgabe wichtigen Dienste funktionieren (Hostname: gemäss Firmenstandards, Adressierung fix, Hardwareressourcen selbst festgelegt, Partitionierung selbst gewählt)
5. Konto für Deployment-Administrator ist eingerichtet, Konto für Domänen-Benutzer für Testing ist eingerichtet
6. Virtueller FOG Server auf Ubuntu Server ist eingerichtet (Version selbst gewählt, Hostname gemäss Firmenstandards, Adressierung fix, Partitionierung selbst gewählt, FOG-Admin kann sich über Web-GUI einloggen)

<HTML><ol start=„5“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Erstellen des Windows-Standard-Images (I5)<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

---

Es soll ein Windows-Standard-Image erstellt und auf zwei PCs verteilt werden.

Folgende Vorgaben werden nach der Erstanmeldung eines Domänen-Benutzers am frisch verteilten System getestet:

1. Software nach Vorgabe eingerichtet
2. Layout nach Vorgabe eingerichtet
3. Alle Gerätetreiber installiert (oder Begründung für fehlende Treiber)
4. Domänenbenutzer kann sich anmelden
5. Standardapplikationen: Standardapplikationen nach Vorgabe zugeordnet (PDF: Acrobat Reader, WEB: Brave, Bilder: MS Foto, Mail: Outlook, Filme: VLC-Player, Office-Dokumente: MS Office)
6. Taskbar: Die Taskbar zeigt für einen Benutzer nach der Erstanmeldung folgende Applikationen: Suchleiste, Browser, Windows-Explorer, Word, Excel, Powerpoint, Outlook

<HTML><ol start=„6“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Einrichten des FOG-Servers (I6)<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

---

Der Fog-Server soll gemäss Konzept installiert und konfiguriert werden.

Folgende Anforderungen sind zu erfüllen:

1. Die PCs müssen via PXE-Boot aufgesetzt werden können
2. Das Aufsetzen muss vollständig automatisiert ablaufen (Benutzereingaben sind begründet)
3. Der Domänenbeitritt soll automatisiert erfolgen
4. Es soll nachträglich der OpenVPN-Client auf die Clients verteilt werden
5. Die Administratoren sollen sich über AD authentifizieren können

<HTML><ol start=„7“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Backup und Restore (I7)<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

---

Im Rahmen von Vorarbeiten klärt die Kandidatin, welche Ressourcen sie auf dem Backup-Server der Rafisa benötigt und beantragt diese beim zuständigen Service-Team. Im Rahmen der IPA klärt sie die Rahmenbedingungen des Backups, realisiert Backup und Restore und testet die Lösung.

<HTML><ol start=„8“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Dokumentationen<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

---

Kurzbeschreibung Proxmox VE

Kurzbeschreibung BackupPC

Kurzbeschreibung FOG Project

Layer3-Netzplan der Rafisa

Netzplan der Testumgebung

<HTML><ol start=„9“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Testing (mindestens)<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

---

Alle Services in der Testumgebung funktionsfähig

Vorgaben Windows-Standard-Image erfüllt

Vorgaben FOG-Server erfüllt

Backup und Restore funktionieren

Mittel und Methoden

Windows 2019 Server AD

Linux Ubuntu

Deployment-Lösung FOG Project

Sysprep

Vorkenntnisse

• Erfahrungen mit der Deploymentlösung FOG
• Erfahrungen mit Windows 2019 Server
• Erfahrungen mit Linux Ubuntu
• Erfahrungen mit Sysprep

Vorarbeiten

• Installation Proxmox VE auf Server
• Installation Arbeitsplatz-PC
• Beantragung und Aufschalten der Backup-Dienstleistungen beim zuständigen Service-Team
• Kurzberschreibung BackupPC

Neue Lerninhalte

• Kontrolle über Standardapps und Taskleiste in Image
• Backup auf Rafisa Backup Server aufsetzen (Abklärungen als Vorarbeit)
• AD-Anmeldung FOG-Server

Arbeiten in den letzten 6 Monaten

• Mitarbeit im Server-Team. Aufsetzen und Wartung von Windows 2019 AD, Ubuntu Server
• Mitarbeit im Deployment-Team: Tests mit FOG Project, Aufsetzen von Windows-PCs mit Sysprep und Answer-Files

Durchführungsblock

Tabelle 2: Durchführungsblock

Projektaufbauorganisation

Die Prüfungsexperten bilden zusammen mit dem Fachverantwortlichen der Ausbildung und dem Kunden den Auftraggeber. Zusammen sind sie für die Formulierung der Aufgabenstellung und Benotung der Projektarbeit zuständig.

Personen

Ausbildner: Egil Rüefli

Lernende: Lea Cotar

Rollen

Projektleiterin: Lea Cotar

Auftraggeber, Kunde: Egil Rüefli

Aufgaben

Die Projektleiterin ist für die komplette Realisierung und Dokumentation der IPA zuständig. Der Auftraggeber ist für die Formulierung des Auftrages zuständig.

Verantwortung

Die Realisierung der IPA liegt allein in der Verantwortung der Lernenden.

Projektorganigramm

image2.tmp

Vorgehen

Projektmethode IPERKA

Ich habe mich für die Projektmethode IPERKA entschieden, da es für meine IPA am besten anwendbar und am einfachsten überprüfbar ist. (1)

IPERKA ist eine Projektmethode und steht für:

Informieren: Sich über etwas eine Übersicht verschaffen. Informationen aus dem Internet suchen. Quellenangaben nicht vergessen. Bilder sollten ebenfalls mit einer Quelle verzeichnet sein. Informationen gut veranschaulichen und wenn nötig gleich erklären. Tatsachen und Umstände definieren und sich Gedanken über eine Umsetzung machen.

Planen: Mit den recherchierten Informationen ein notwendiges Konzept für ein Thema (Dienst, Teilauftrag) planen. Die Planung sollte immer einen günstigen Fall bevorzugen und falls möglich mehrere Alternativen zu einer bereits geplanten bzw. gegebenen Umsetzung bieten.

Entscheiden: Aufgrund der Planung und deren Möglichkeiten wird hier entschieden, wie die Umsetzung erfolgen sollte. Die Umsetzung sollte einen günstigen Fall bevorzugen.

Realisieren: In diesem Schritt werden getroffene Entscheidungen umgesetzt. Bei der Realisierung sollten getroffene Entscheidungen bzw. mögliche Vorgehensweisen (Planung) beachtet werden und Umgesetztes sollte dokumentiert werden in einer gut verständlichen, korrekten Fachsprache.

Kontrollieren: Die umgesetzte Arbeit wird kontrolliert. Mögliche Konfigurationen bzw. Einstellungen, welche nicht dem günstigsten Fall entsprechen, sollten diesem angepasst werden. (Testing)

Auswerten: Hier wird schliesslich dokumentiert, was alles kontrolliert und angepasst wurde. Es wird sozusagen praktisch untermauert, dass (möglichst) alle Konfigurationen dem Idealfall entsprechen und entsprechend dokumentiert sind. Bei der Auswertung werden das Projekt bzw. der Projektverlauf als Ganzes beurteilt. Hier sind auch Verbesserungsvorschläge zu nennen.

Dokumentation

Sichern der Dokumentation mit git

Die Dokumentation wird in git verwaltet. Unten sind die verwendeten Befehle angegeben.

Befehle

Tabelle 3: GitHub Befehle

Upload

Die Dokumentationen werden lokal auf meinem Laptop bearbeitet und in dem Ordner C:\Users\Lea Sophia\Desktop\Rafisa\IPA\Tagesjournal\Tag 1 bis \Tag 11 abgespeichert. Die Dokumentationen werden kurz vor 17:00 auf GitHub hochgeladen. Der Tagesjournal Ordner auf GitHub ist an die E-Mail-Adresse e.rueefli@rafisa.ch Egil Rüefli, Verantwortliche Fachkraft, freigegeben.

Download

Um die Ordner und deren Dateien herunterzuladen, wechselt man im git CMD an den gewünschten Speicherort. Sobald man am gewünschten Speicherort (Git CMD) ist gibt man „git clone https://github.com/LeaCotar/Tagesjournal.git“ ein und die Ordner mit deren Dateien werden heruntergeladen und um zu überprüfen, ob alles aktuell ist, gibt man „git pull“ in einem der heruntergeladenen Ordner ein.

Sichern der Server mit BackupPC

Von Tag 3 an werden die Server realisiert. Vor diesem Schritt wird der Backupserver eingerichtet, so dass die Arbeitsergebnisse jeden Tag automatisch gesichert werden.

Zeitplan

Arbeitsprotokoll

Tag 1

Tag 2

Tag 3

Tag 4

Tag 5

Tag 6

Tag 7

Tag 8

Tag 9

Tag 10

Tag 11

Teil 2-Projekt

Kurzfassung IPA-Bericht

Kurze Ausgangssituation

In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb offeriert die Rafisa genauso Eignungsabklärungen, Arbeitstrainings, Sozialkompetenztraining, Vorbereitungen für eine Informatik-Ausbildung sowohl Bewerbungs- und Job-Coachings an. Im Zuge jener Handlungen müssen immer wieder frische PC-Arbeitsplätze installiert werden. Als Grundlage für die Neuinstallation dient ein Standard-Image, welches via MDT aufgespielt wird. Damit auch Linux und MAC OSX installiert werden können, wurde beschlossen, die FOG Lösung zu evaluieren.

Umsetzung

Auf der Grundlage des FOG Project wurde ein Lösungskonzept für das Deployment der Windows-Standard-Images aufgebaut und evaluiert. Die Virtualisierungsumgebung Proxmox wurde als Vorarbeit aufgesetzt. Es wurden zwei virtuelle Server erstellt. Die VM srv-zh-202-01 wurde eingerichtet. DHCP, DNS und AD wurden darin konfiguriert. Es wurde ein Deployment Sysadmin erstellt, mit welchem sich Clients beim Deployment anmelden können. Die VM ds-zh-202-01 wurde mit dem Ubuntu Server 20.04 LTS aufgesetzt und konfiguriert. Das FOG Project wurde eingerichtet und konfiguriert. Eine Backup/Restore Lösung wurde von dem Backup & Restore Team evaluiert, konfiguriert und mir zur Verfügung gestellt. Der PXE Boot wurde getestet. Es wurde ein Standard Image erstellt, welches erfolgreich verteilt werden konnte. Die Testings wurden danach erfolgreich durchgeführt.

Ergebnis

Die Deployment Lösung konnte erfolgreich nach den Vorgaben meiner Aufgabenstellung eingerichtet werden. Es wurde ein umfangreiches Testkonzept erstellt. Die Bereiche AD Server, Deployment Server und Windows 10 Enterprise N wurden getestet. Jegliche darin beschriebenen Tests wurden durchgeführt und waren erfolgreich. Die Deployment Lösung kann nach Abschluss der IPA produktiv eingesetzt werden.

Informieren

Erfassung der zur Verfügung gestellten Hardware

Hardware-Server & PC’s

Mithilfe der Befehle von GRML konnte ich verschiedene wichtige Informationen der Computer herausfinden. GRML ist eine Linux-Liveversion für Sysadmins. In der folgenden Tabelle sind die Befehle zum Erfassen der Hardware aufgelistet.

Tabelle 4: Hardware-Server & PC’s Befehle

Tabelle 5: Hardware-Server & PC’s

Hardware-Switch

Diese Informationen konnten ich gut von dem Switch ablesen.

Tabelle 6: Hardware-Switch

Erfassung der zur Verfügung gestellten Services

Die Virtualisierungsplattform Proxmox VE

Proxmox VE ist eine Open Source-Virtualisierungsplattform für Server. Er kombiniert KVM- und Container-basierte Virtualisierung und verwaltet virtuelle Maschinen, Container, Storage, virtuelle Netzwerke und Hochverfügbarkeits-Cluster. Alle Funktionen sind über eine zentrale WEB-Managementoberfläche verwaltbar.

Beim vorgängig erstellten Proxmox-System handelt es sich um einen Einzelserver ohne Clusteranbindung. Als Storages stehen local für Betriebssystem-ISO's und lokale Backups sowie lvm-thin für VM's zur Verfügung.

Beim Erstellen einer virtuellen Maschine müssen zu folgenden technischen Details Entscheidungen getroffen werden:

• Auf welchem Node wird die VM erstellt (bei einem Cluster)
• Disk-Controller
• Harddisk
• CPU
• Memory
• Netzwerk (2)

Die Backup-Services mittels BackupPC

In der Rafisa kommt die Backuplösung BackupPC zum Einsatz. Dabei handelt es sich um eine freie Disk-zu-Disk Backup-Suite, die in PHP geschrieben ist. Als Übertragungsarten stehen smb für das Backup von Windows-Shares, sowie rsync für die Sicherung der Daten mit Hilfe des rsync-Protokolls zur Verfügung. Zusätzlich lassen sich die Funktionalitäten mit Pre- und Post-Backupscripts erweitern.

Die Hauptfeatures der Lösung sind:

• Webbasiertes Administrationsinterface: Konfiguration von Backups, Analyse der Logfiles, manuelles Starten und Stoppen von Backups, Browse und Restore von Backupdaten
• Datendeduplikation: Identische Files von mehreren Backups desselben Clients oder von verschiedenen Clients werden nur einmal gespeichert. Das erlaubt Einsparungen im Bereich der benötigten Kapazitäten sowie der Disks I/Os.
• Kompression: Da nur neue Files komprimiert werden müssen, werden die CPUs nur moderat beansprucht
• Open-Source: BackupPC wird auf Github gehostet und unter einer GPL-Lizenz verteilt
• Es wird keine clientseitige Software benötigt

Im Rahmen von Vorarbeiten wurde beim Team SRB (ServiceRestoreBackup) ein Zugang zum firmeninternen Backupserver beantragt.

In der Rafisa SLA #001: Backup und Restore v.01 kann man folgende für das Projekt wichtige Informationen lesen:

• Der Service Backup und Restore wird durch das Team SBR angeboten.
• Der Zugang zum Webinterface von BackupPC ist nur über das Management-VLAN möglich
• Der oder die Systemverantwortliche muss die Backupdaten bestimmen und die Strategie mit dem Team SBR absprechen
• Es stehen folgende Backuparten zur Verfügung: Backup von SMB-Shares, File-Backup von Serversystemen, Image Backup von Proxmox-VMs, Backup von Datenbank-Systemen, Backup der Konfigurationsdateien von Switches und Firewalls

In der Planung müssen folgende Punkte berücksichtigt werden:

• Zugriff ins Management-VLAN
• Festlegen von Datenmenge, Transferzeiten, Aufbewahrungsfrist, Sicherungsperiodizitäten gemeinsam mit dem Teamleader SBR
• Bestimmen der angemessenen Backupart

Einbettung der Testumgebung in das Netzwerk der Rafisa

Die Testumgebung der IPA ist integriert in das Netzwerk der Rafisa Informatik GmbH. Es ist für das Gelingen der IPA-z.B. im Falle einer Netzstörung, die sich auf meine Testumgebung auswirkt-wichtig, dass die Einbettung und die Systemgrenzen meiner Testumgebung bekannt sind. Deshalb wird ein L3-Netzplan (oder L3-Diagramm) erstellt, der das IPA-VLAN (VLAN53_LAB03/172.16.53.0/24) im Gesamtzusammenhang des Rafisa-Netzwerks zeigen soll. Im Rafisa-Wiki findet man die Firmenstandards für die VLANs (siehe Anhang).

VLANs der Rafisa Dietikon

zh.rafisa.org-172.16.0.0/12

Tabelle 7: zh.rafisa.org-172.16.0.0/12

L3-Diagramm des Rafisa-Netzwerkes

Als Gateway haben die Geräte das Firewall VLAN-Interface des adäquaten Subnetzes, für das VLAN01-MGMT also z.B. 172.16.1.1/24. Der Gateway für die IPA-Testumgebung ist deshalb 172.16.53.1/24. Die Firewall stellt ausser dem Gateway für den Webzugang einen DHCP-Dienst zur Bereitschaft, über welchen IP-Adressen aus dem stimmigen Subnetz, die Gateway-IP sowohl die IP-Adressen der DNS-Server verteilt werden. Alle im L3-Diagramm festgehaltenen Systeme verfügen über statische IP-Adressen.

image5.tmp

Tabelle 8: L3-Diagramm des Rafisa Netzwerks

Beschreibung der Firmenstandards für das Rafisa Standard-Image

Die Firmenstandards für das Standardimage können dem Rafisa Wiki entnommen werden (siehe Anhang):

Partitionierung

Nur eine Datenpartition C:\ mit maximaler Grösse für Windows und Programme.

Software

Tabelle 9: Software

Anpassungen

Applikationen

Tabelle 10: Applikationen

Wallpaper

Es wird nach C:\Windows\Web\Wallpaper heruntergeladen und dann mit dem Desktop verknüpft.

Standardbenutzer

Auf jedem System muss der Nutzer sysadmin vorhanden sein. Der Benutzer soll der Gruppe Administratoren angehören.

Beschreibung der Firmenstandards für das Namenskonzept

Benutzer

Benutzernamen setzen sich zusammen aus dem ersten Buchstaben des Vornamens plus der Nachnamen, z.B. l.cotar. Sollten sich bei neuen Nutzern gleichlautende Benutzernamen ergeben, wird die Anzahl Buchstaben des Vornamenkürzels um 1 erhöht. Bei identischen Vor- und Nachnamen wird das Benutzerkürzel um eine fortlaufende Nummer, beginnend bei 01 ergänzt.

Beispiele:

• h.muster Hans Muster
• he.muster Hedwig Muster
• her.muster Herta Muster
• h.muster01 Hans Muster

Geräte

Der Gerätename setzt sich zusammen aus einem Kürzel für die Funktion, dem Kürzel für den physikalischen Standort sowie einer fortlaufenden Nummer, beginnend bei 01.

Beispiele:

• dc-zh-ruga-01
• sw-zh-r02a-03

1. Kürzel für die Funktionsbezeichnungen

Tabelle 11: Kürzel der Funktionen

Physikalische Standorte

Der physikalische Standort setzt sich zusammen aus dem Kürzel für den Standort sowie einer internen Raumangabe. Bei Geräten, welche in einem Rack stehen, werden anstelle der Raumangabe das Kürzel für das Rack angegeben.

Beispiele:

• zh-ruga
• zh-201

<HTML><ol start=„2“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Kürzel für die Standorte<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

Tabelle 12: Kürzel der Standorte

<HTML><ol start=„3“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Kürzel für die internen Räume<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

Tabelle 13: Kürzel der internen Räume

<HTML><ol start=„4“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Kürzel für Racks<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

Tabelle 14: Kürzel der Racks

Die Deploymentlösung FOG Project

Was ist FOG

FOG ist eine kostenlose Open-Source-Computer-Imaging-Lösung auf Linux-Basis, die auf verschiedene Versionen von Windows (XP, Vista, 7, 8/8.1, 10), Linux und Mac OSX anwendbar ist. Sie kombiniert einige Open Source-Tools und eine PHP-basierte Website-Oberfläche. FOG verwendet keine Bootdisketten oder CDs, alles erfolgt über TFTP und PXE. Der PC bootet über PXE und lädt automatisch einen kleinen Linux-Client herunter, der die ganze Arbeit des Imaging des Computers erledigt.

Mit FOG sind viele Netzwerktreiber auch im Kernel des Clients (normales Linux) integriert, sodass man sich keine Gedanken über Netzwerktreiber machen muss (es sei denn, es gibt keine Kernelunterstützung). FOG unterstützt auch das Importieren von Images von einem Computer mit einer 80-GB-Partition auf einen Computer mit einer 40-GB-Festplatte, sofern die Daten weniger als 40 GB betragen. FOG unterstützt Multicast, d.h. man kann im selben Stream mehrere PCs gleichzeitig aufsetzten. (3)

Features

FOG ist nicht nur eine Imaging-Lösung, sondern auch eine Imaging-/Klon- und Netzwerkverwaltungslösung.

• PXE-Boot-Umgebung (DHCP, iPXE, TFTP, schneller HTTP-Download von grossen Boot-Dateien wie Kernel und initrd)
• Imaging von Windows (XP, Vista, 7, 8/8.1, 10), Linux und Mac OS X
• Partitionen, volle Festplatte, mehrere Festplatten, grössenveränderbar, raw
• Snapins zum Installieren von Software und Ausführen von Jobs/Skripten auf den Clients
• Drucker-Verwaltung
• Hostname ändern und Domäne beitreten
• Verfolgen von Benutzerzugriffen auf Computern, automatisches Abmelden und Herunterfahren bei Leerlaufzeitüberschreitungen
• Virenschutz
• Löschen von Festplatten
• Gelöschte Dateien wiederherstellen
• Suche nach fehlerhaften Blöcken (4)

Unterschiede zwischen WDS/MDT und FOG

In einer früheren IPA wurde eine Windows-Bereitstellungsumgebung basierend auf Windows Deployment Services (WDS) eingerichtet. Der Einrichtungsprozess wird vom Microsoft Deployment Toolkit (MDT) verwaltet. Man verwendet MDT, um die Phase der Windows-Installation über die Standardwerte in der Antwortdatei zu steuern.

Der Hauptunterschied zwischen WDS/MDT und FOG besteht darin, dass es sich bei FOG um ein Block-Imaging-Tool (BIT), bei WDS/MDT um ein File-Level-Imaging-Tool (FLIT) handelt. Bei einem BIT werden Datenblöcke von einem lokalen Speicher auf einen Netzwerk-Speicher (Capturing) und zurück (Deploying) kopiert. Dabei werden zumeist fertige, vorweg vorbereitete Betriebssystemimages verteilt. Bei einem FLIT werden Files vom Deploymentsystem zum Zielcomputer kopiert, aus welchen das Betriebssystem auf dem Zielcomputer erst aufgebaut wird. Bei WDS/MDT hat man nach Abschluss des Building-Prozesses mehr Perspektiven, das Image über alternative Verteilprozesse zu verändern und anzupassen. Bei FOG wird ein fertiges FAT-Image verteilt, das sich nachträglich bloss bedingt noch verändern lässt. Aus diesem Grund ist die FOG-Lösung wesentlich schneller als WDS/MDT. Währenddessen der Aufbau eines Betriebssystems unter WDS/MDT gerne 60min dauern kann, ist das FOG Image innerhalb eines schnellen Netzwerks überaus zügig verteilt und betriebsbereit. Der für die Rafisa wichtigste Unterschied besteht allerdings darin, dass sich über WDS/MDT allein Windows-Images verteilen lassen (es ist zwar möglich, Linux zu verteilen, man verliert aber sämtliche Benefits der Lösung), die FOG-Lösung genauso für übrige Betriebssysteme offen ist. (5)

Tabelle 15: Vergleichsgrösse

Planen

Lösungsvarianten

Bei IT-Projekten gibt es oft verschiedene Lösungen zur Erreichung der Projektvorgaben.

Einrichten der Testumgebung

Für eine funktionierende Lösung müssen in der Testumgebung nachstehende Netzwerk-Dienste zur Bereitschaft gestellt werden:

• DHCP (mit den für das Deployment nötigen Bereichsoptionen)
• DNS (mit A-Records für alle L3-Geräte der Testumgebung)
• TFTP (zum Laden des FOG Boot-Images über PXE)
• AD

Grundsätzlich können die häufigsten Dienste von verschiedenartigen Systemen in der Testumgebung zur Auswahl gestellt werden:

Tabelle 16: Dienste

Für das Subnetting der Testumgebung existieren nicht viele Varianten. Es liegt nahe, das Labornetz 172.16.53.0/24 zu verwenden. Alle sonstigen Subnetze müssten zudem über den Gateway 172.16.53.1 geroutet werden, was lediglich weiteren Aufwand (z.B. Einrichten eines Servers als Router) mit sich bringen würde.

Versionen der Betriebssysteme

Windows Server 2019 (6)

Tabelle 17: Windows Server 2019 Versionen

1. Windows Server 2019 Essentials

Die einfachste und günstigste Version des Betriebssystems ist die Windows Server Essentials Version. Während der Funktionsumfang von Standard und Datacenter sehr ähnlich ist, hat Microsoft die Essentials Variante mit einem reduzierten Funktionsumfang und einer kleinen Zahl von möglichen Lizensierungen ausgestattet.

<HTML><ol start=„2“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Windows Server 2019 Standard<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

Der Funktionsumfang der Standard-Variante ist bereits deutlich grösser als der der Essentials Version. Es können mit der Standard-Version zwei Virtualisierungsrechte für zwei virtuelle Maschinen genutzt werden. Die Standard-Version bietet die Möglichkeit weitere Rechte dazu zu kaufen.

<HTML><ol start=„3“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Das Windows Server 2019 Datacenter<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

Mit dem höheren Preis für das Datacenter sind im Gegensatz zur Standard-Version auch unbegrenzte Visualisierungsrechte enthalten, womit sich diese Version vor allem an grössere Unternehmen richtet, die besonders hohe Anforderungen an ihre IT-Systeme und einen hohen Virtualisierungsbedarf haben.

Ubuntu Server 20.04

Beim Betriebssystem Ubuntu müssen in zwei Bereichen Entscheidungen getroffen werden:

1. Desktop-Version vs. Server-Version
2. LTS vs. Standard-Releases

1. Desktop-Version vs. Server-Version

Die Desktop-Version verfügt über eine vollständige grafische Oberfläche, die Server-Version lediglich über die Kommandozeile. Die Serverversion braucht aufgrund dessen wesentlich weniger Ressourcen. Die sich anschliessende Tabelle zeigt die Unterschiede: (7)

<HTML><ol start=„2“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>LTS vs. Standard-Releases<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

LTS steht für “Long-Term-Support”. LTS-Releases waren für Geschäftsanwender gedacht, um ihnen eine stabile Plattform zu bieten, die sie einrichten können und die über Jahre hinweg mit Sicherheitsupdates versorgt wird. Allerdings produziert Ubuntu gleichwohl sämtliche 6 Monate Updates. Traditionell hielten sich Durchschnittsanwender an die alle 6 Monate erscheinenden Upgrades. Diese waren der Standardweg, um Ubuntu zu bekommen, bevor die LTS-Versionen publiziert wurden. Selbst nach den ersten LTS-Versionen bot jedes Upgrade von Ubuntu überzeugende Leistungsmerkmale und essentielle moderne Software-Versionen, was sie für durchschnittliche Desktop-Benutzer interessant machte.

Virtuelle Hardwareressourcen und Partitionierung

Beim Erstellen der Windows 2019 Server-VM auf dem Proxmox-Server müssen Entscheidungen zu den Hardware-Ressourcen wie auch zur Partitionierung getroffen werden.

Bei den Ressourcen existieren viele Varianten, die virtuellen Gerätschaften zu emulieren:

Tabelle 18: Ressourcen und Varianten

1. Harddisk Bus/Device

• IDE: Bietet sehr gute Unterstützung durch alle Betriebssysteme. Es ist nicht sehr performant und unterstützt nur 4 Devices.
• SATA: Bietet sehr gute Unterstützung durch Betriebssysteme. Ist performant und bietet Unterstützung für 6 Device
• VirtIO: Bis zu 14 Devices. Benötigt unter Windows spezielle Guest-Treiber, abgelöst durch SCSI.
• SCSI: Sehr performant, bis 14 Devices. Benötigt unter Windows spezielle Guest-Treiber

<HTML><ol start=„2“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Disk Format<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

• Das QEMU-Image-Format ist ein Copy-on-Write-Format, das Snapshots und Thin Provisioning des Festplatten-Images gestattet.
• Das Raw-Disk-Image ist ein Bit-zu-Bit-Image einer Festplatte. Dieses Format unterstützt kein Thin Provisioning oder keine Snapshots. Es kann abgesehen davon bis zu 10% schneller sein als das QEMU-Image-Format.
• Das VMware-Image-Format macht nur für den VMWare-Export Sinn.

<HTML><ol start=„3“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>CPU<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

Wie im Ist-Zustand festgehalten, verfügt der physische Server, der auf dem Proxmox VE eingerichtet ist, über 1 Socket und 4 Cores mit je zwei Threads, d.h. über 8 logische CPUs. Um eine bessere Auslastung der Ressourcen zu erhalten, können den VMs mehr CPUs zugeordnet werden, als physisch vorhanden sind. Man nennt das Überbuchen. Man muss aber berücksichtigen, dass auch der Proxmox-Server noch CPU-Ressourcen benötigt.

<HTML><ol start=„4“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Memory<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

Der Proxmox-Server verfügt über 16GB RAM. Auch hier muss man beachten, dass nicht alles RAM den VMs zugesichert wird, da der Proxmox-Server auch noch Memory braucht.

<HTML><ol start=„5“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Partitionierung<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

Für die Partitionierung des Windows 2019 Servers muss entschieden werden, ob ausschliesslich eine Windows-Partition oder noch übrige Partitionen erstellt werden. Bei Ubuntu kann die Partitionierung automatisch oder manuell vorgenommen werden. Es muss ebenso entschieden werden, ob man eine grosse Root-Partition macht, oder den Linux-Verzeichnissen eigene Partitionen zuteilt.

AD-OU-Struktur

Für das Erfassen der geforderten Benutzer und Rechner können die AD-Standardcontainer Users und Computers genutzt werden. Ausserhalb von Testumgebungen besteht das Ziel des AD-Designs nichtsdestotrotz im Entwurf einer Architektur, die die Verwaltung der Objekte innerhalb eines Betriebs möglichst unterstützt.

In der Rafisa hat sich als Standard folgende Gliederung herausgebildet:

Einrichten des FOG-Servers

Welche Features werden benötigt (Varianten, z.B. max/min)

Im Kapitel Informieren sind die Features von FOG aufgezeigt worden (Maximalvariante). In der folgenden Tabelle wird gezeigt, welche Features für die Erfüllung des Auftrages tatsächlich notwendig sind. (8)

Erstellen des Windows-Standard-Images

Sysprep vs. Fat-Image mit integrierten Treibern

Es existieren zwei Möglichkeiten, ein Windows-Image für die Verteilung mit FOG zu entwerfen. Man kann Windows mit allen zwingenden Anwendungen und allen Vorgaben auf einem PC einrichten und anschliessend hiervon eine Abbilddatei anlegen (Fat-Image). Als zweite Möglichkeit lässt sich ein Masterimage im sogenannten Audit Mode erzeugen. Nach Abschluss aller gewählten Installationen und Konfigurationen im Audit-Modus, werden sämtliche eindeutigen Systeminformationen automatisch aus der Windows-Installation mittels Sysprep entfernt. (9)

Sysprep setzt folgende Einstellungen zurück:

• Alle Einträge in der Ereignisanzeige
• Alle Wiederherstellungspunkte
• es deaktiviert das Konto des lokalen Administrators und löscht sein Profil
• Security Identifier (SID)
• Plug- und Play-Gerätetreiber, die während der Installation hinzugefügt wurden

Nach der Verteilung des Images beginnt das frisch verteilte System danach im Windows-Konfigurations-Schritt „specialize“. Die Windows Konfigurations-Schritte sind Phasen, die innerhalb einer Windows-Installation durchlaufen werden. (10)

MBR vs. GPT-Image

MBR: Master Boot Record

Der MBR befindet sich im Bootsektor und er beinhaltet Informationen über die Typen der Partitionen und auch den Code, der beim Booten des Betriebssystems des Computers gebraucht, wird. Er hat eine Grösse von 512 Byte.

GPT: GUID Partition Table

GPT ist der Nachfolger des MBR. GPT legt ebenfalls die Partitionstabellen auf der Festplatte fest.

MBR vs. GPT:

In der folgenden Tabelle finden sich die wichtigsten Unterschiede zwischen MBR und GPT. (11)

Tabelle 19: MBR vs. GPT

Verschlüsselte vs. unverschlüsselte Kommunikation

Es besteht die Möglichkeit, den WEB Zugang von FOG über HTTP mit SSL (HTTPS) zu verschlüsseln.

Dieser Zugang wird für drei Funktionen verwendet:

1. Zugang zum Web-Administrationsinterface
2. Das FOG-Boot-Image, das über PXE aufgeladen wird, kann das Image von FOG-Server verschlüsselt oder unverschlüsselt erhalten
3. Der FOG-Client, der als Anwendung unter Windows eingerichtet ist, kann sich verschlüsselt oder unverschlüsselt mit dem FOG Server verbinden

Bei der Entscheidung für die Kryptographie muss man berücksichtigen, dass Verschlüsselung mit einem höheren Aufwand an den Prozessor und hiermit mit einer ein bisschen geringeren Geschwindigkeit verbunden ist.

Unicast vs. Multicast-Deployment

Multicast stellt in der Telekommunikation eine Nachrichtenübertragung von einem Punkt zu einer Gruppe dar und ist daher eine Form der Mehrpunktverbindung. Unicast stellt in der Telekommunikation die Adressierung einer Nachricht an einen einzigen Empfänger dar.

Multicast bietet beim Deployment den grossen Vorteil, dass eine Image Datei im Netzwerk nur einmal übertragen werden muss. Dabei melden sich die Clients alle bei der Multicast Session an. Clients, welche sich inmitten der Multicast Übertragung dazugesellen, müssen am Ende der Übertragung den ersten Teil der Übertragung mitgeteilt bekommen. (12)

Ich habe mit einem Flussdiagramm versucht, ein Modell für den Deployment Prozess in unserem Betrieb zu entwickeln. Im Flussdiagramm sieht man auch, wann es sinnvoll ist, Multicast bzw. Unicast zu verwenden.

image10.tmp

Backup und Restore

Backupart

BackupPC bietet verschiedene Backuparten an:

• Backup von SMB-Shares,
• File-Backup von Serversystemen
• Image Backup von Proxmox-VMs
• Backup von Datenbank-Systemen
• Backup der Konfigurationsdateien von Switches und Firewalls

Für das Backup meiner Server kommt File-Backup und Image-Backup infrage.

Funktionsweise File-Backup: BackupPC startet zur gewünschten Zeit den rsync-Befehl und kopiert alle gewünschten Files eines Servers. Wenn man als Zielverzeichnis / angibt, wird der gesamte Server kopiert.

Funktionsweise Image-Backup: Zur gewünschten Zeit loggt sich BackupPC auf dem Proxmox-Server ein und führt mit dem Befehl vzdump ein Image-Backup der VMs durch. (13)

Abbildung 9: Planung File-Backup vs. Image-Backup

Entscheiden

Lösungsvarianten

Einrichten der Testumgebung

Subnetze:

Für das Subnetting der Testumgebung existieren nicht viele Varianten. Es liegt nahe, das Labornetz 172.16.53.0/24 zu verwenden. Alle sonstigen Subnetze müssten über den Gateway 172.16.53.1 geroutet werden, was lediglich weiteren Aufwand (z.B. Einrichten eines Servers als Router) mit sich bringen würde.

DHCP:

Ich habe mich dafür entschieden, dass ich den DHCP-Dienst auf dem Windows Server 2019 installiere. Es ist sinnvoll, wenn man eine Windows Domäne einrichtet, die Funktionen AD, DNS und DHCP zusammen zu haben, da sich diese Dienste ergänzen. Beim DHCP darf nicht vergessen werden, folgende Optionen für den PXE-Boot hinzuzufügen.

Es geht um die Optionen Nr. „066 Boot Server Hostname“ und die Nr. „067 Startdatei“.

Die zwei Einstellungen müssen ebenfalls noch gemacht werden.

066 Boot Server Hostname: 172.16.53.102

067 Startdatei: undionliy.kpxe

DNS:

Der DNS und das AD gehören zwingend zusammen und werden deshalb auf dem Windows Server 2019 installiert und konfiguriert.

TFTP:

Das TFTP möchte ich auf dem Ubuntu Server installiert haben, weil der TFTP Server automatisch mit der FOG-Umgebung installiert wird.

AD:

Das AD könnte zwar auch als Samba4 Server auf Ubuntu installiert werden. Da in der Testumgebung ein Windows Server 2019 vorhanden ist, wäre das viel zu kompliziert.

Die folgende Tabelle zeigt meine Entscheidung für die Netzwerkdienste:

Tabelle 20: Entscheid Dienste

Win2019 Server

Version

1. Windows Server 2019 Standard

Ich habe beschlossen Windows Server 2019 Standard zu installieren, weil diese Version bereits auf allen Servern der Rafisa verwendet wird und ich mich damit gut auskenne.

Tabelle 21: Entscheid Windows Server 2019 Versionen

Virtuelle Hardwareressourcen und Partitionierung

Die folgende Tabelle zeigt meine Entscheidung für die Hardwareressourcen:

Tabelle 22: Entscheid Ressourcen und Varianten

AD-OU-Struktur

Die folgende Abbildung zeigt meine Entscheidung für die OU-Struktur:

Die OU-Struktur ist möglichst ähnlich der Standardstruktur der Rafisa.

OU-IPA

IPA_Computers

IPA_Gruppen

IPA_Users

Einrichten des Ubuntu Servers

Version

Meinen Entscheid fällt auf die Version Ubuntu 20.04 LTS Server, da ich keine GUI benötige, und der Server weniger Ressourcen braucht. Zudem ist es wichtig, für einen Server eine möglichst stabile Version zu haben.

Virtuelle Hardwareressourcen, Partitionierung

Die folgende Tabelle zeigt meine Entscheidung für die Hardwareressourcen:

Tabelle 23: Entscheid Virtuelle Hardwareressourcen, Partitionierung

Einrichten des FOG-Servers

Welche Features werden benötigt (Varianten, z.B. max/min)

Im Kapitel Informieren sind die Features von FOG aufgezeigt worden (Maximalvariante). Aus Zeitgründen habe ich beschlossen, FOG in der Minimalvariante zu installieren.

Tabelle 24: Features

Erstellen des Windows-Standard-Images

Sysprep vs. Fat-Image mit integrierten Treibern

image10.tmp

Das von mir erstellte Image muss auf zwei baugleiche Systeme verteilt werden. Ich habe deshalb entschieden, zunächst ein Masterimage mit Sysprep zu erstellen. Dieses generalisierte Image wird dann, wie im Flussdiagramm bestimmt, mit Unicast auf das erste System verteilt und danach die Treiber installiert. Da nur zwei Computer eingerichtet werden müssen, verzichte ich auf das Erstellen eines FAT-Images mit eingerichteten Treibern.

MBR vs. GPT:

Da die beiden Systeme, auf die ich deployen muss, über GPT-Unterstützung verfügen, möchte ich die Vorteile von GPT nutzen und werde ein GPT-Image erstellen. Für die Produktion können nachträglich MBR-Images erstellt werden.

Verschlüsselte vs. unverschlüsselte Kommunikation

Um einen sicheren Datentransport zu gewährleisten, wird der Zugang zum Webserver mit SSL verschlüsselt.

Backup und Restore

Backupart

Obwohl die Transferraten nur bei etwa ca. 10MB/s liegt, entscheide ich mich dennoch für das Image-Backup. Denn bei dem Image-Backup wird ein Full-Backup erstellt und alle Daten werden gesichert. Ein ganz wichtiger Punkt dabei ist, dass das Image-Backup auf Windows und Linux funktioniert. (13)

Tabelle 25: File-Backup vs. Image-Backup

Rahmenbedingungen

Die folgende Tabelle zeigt meine Entscheidung für die Backup-Rahmenbedingungen:

Tabelle 26: Rahmenbedingungen für Backup

Namenskonzept

Windows Server:

Den Windows Server 2019 werde ich dc-zh-202-01 nennen. Damit ich mich an das Namenskonzept der Firmenstandards halte.

FOG-Server:

Den Deployment Server werde ich mit ds-zh-202-01 benennen. Damit ich mich an das Namenskonzept der Firmenstandards halte.

Computers:

Die Computer werde ich mit Win10EntImg, pc-zh-202-01 und pc-zh-202-02 benennen, da ich einen benötige, um das Image zu erstellen und die anderen beiden benötige ich, um das Image zu testen.

1. Firmenstandard bezüglich lokalen Admin-Usern

dc-zh-ruga-01:

Der Administrator auf dem dc-zh-ruga-01 wird mit Sysadmin benennt.

ds-zh-ruga-01:

Der Admin-User wird ebenfalls sysadmin genannt.

Win10EntImg:

Der Admin User des Images wird im Laufe des Prozesses von Administrator auf sysadmin geändert, um Klarheit zu schaffen.

Einrichten der Testumgebung

Wie im L3-Netzplan gezeigt, steht für dieses Projekt das Labor-VLAN VLAN53_LAB03 (Subnetz 172.16.53.0/24) zur Verfügung. Das Labornetz hat über den Gateway 172.16.53.1/24 Internetzugang. Der Zugang zu allen anderen VLAN's der Rafisa wird durch die Firewall gesperrt. Nur der Zugang zum Backup Server im VLAN01 wurde erlaubt.

image12.tmp

Meilensteine

Meine Meilensteine sind nach IPERKA geordnet:

Arbeitspakete

Realisieren

Windows Server 2019

Erzeugen der VM auf Proxmox

Die VM für den Windows Server 2019 wird mit den festgelegten Parametern erzeugt (siehe Kapitel Entscheiden)

image13.tmp

Installation

Bei der „Installationssprache“ gibt es nur eine Auswahl (Deutsche Installation). Hier wird die „Uhrzeit und Währungsformat“ auf „Deutsch (Schweiz)“ geändert. Die „Tastatur oder Eingabemethode“ passt sich automatisch mit „Deutsch (Schweiz)„der „Uhrzeit und Währungsformat“ an.

Bei der Betriebssystemauswahl gibt es vier Möglichkeiten den Windows Server 2019 zu installieren. Für diese Installation wird „Windows Server 2019 Standard (Desktopdarstellung)“ ausgewählt und installiert.

Für die Installationsart wird mit „Benutzerdefiniert: nur Windows installieren (für fortgeschrittene Benutzer“ ausgewählt, da man die Dateien auch im Nachhinein noch installieren kann.

Windows wird auf dem „Nicht zugewiesener Speicherplatz auf Laufwerk…“ installiert. Die Partitionierung kann dann in der Computerverwaltung erstellt werden.

Standard Einstellungen

Ich habe den Windows Server 2019 mit folgenden Einstellungen eingerichtet:

• Computername dc-zh-202-01
• Dem DVD ROM den LW-Buchstaben E:\ zuordnen
• Eine Primäre Partition D:\ erstellen (restl. Freier Speicher verwenden)
• Volumenbezeichnung ist Daten
• Enstprechende Verzeichnisse anlegen:

Install

Daten

Dokumente

Profiles

IP Adressierung

• IPv6 deaktivieren (alle Schnittstellen)
• IP Adressierung (Wenn der Kunde schon ein bestehendes Netzwerk hat, muss man abklären welche IPs vorhanden sind)

IP Adresse: 172.16.53.101

Subnetzmaske: 255.255.255.0

Standard Gateway: 172.16.53.1

Primärer DNS: 127.0.0.1 wird automatisch, nach Forward-Lookupzone Installation, erstellt

Active Directory und DNS Server installieren

• Im Server Manager Dashboard wird die Rolle „Active Directory-Domänendienste“ hinzufügt und installiert. Die dazu erforderlichen Features werden automatisch aufgelistet, diese werden mitinstalliert. Falls nach Umbenennung des Servers noch kein Neustart ausgeführt wurde, muss dies jetzt noch nachgeholt werden, bevor etwas installiert wird!
• Server zu einem Domänencontroller heraufstufen:

image16.tmp

Das AD wurde mit folgenden Einstellungen eingerichtet:

• Neue Gesamtstruktur hinzufügen
• Name der Stammdomäne: rafisa.ipa
• Funktionsebene (Gesamt- und Domänen-) auf „Windows Server 2016“ belassen
• DNS-Server mitinstallieren
• Netbios-Domänenname: RAFISA
• Pfade für die AD Dateien auf Standard belassen
• Installation abschliessen und Server neu starten

Reverse-Lookupzone (DNS-Server) konfigurieren

Die Reverse-Lookupzone wurde mit folgenden Einstellungen eingerichtet:

• Reverse Lookupzone einrichten
• Neue Zone
• Primäre Zone „Zone in Active Directory speichern“ aktivieren
• Auf allen DNS-Servern in dieser Domäne
• IPv4 Reverse-Lookupzone
• Netzwerk-ID: 172.16.53.
• Nur sichere dynamische Updates zulassen

OU (Organization Unit) erstellen

Im Active Directory-Verwaltungszenter unter „IPA (lokal)“ folgende OU‘s erstellen:

• OU-IPA
  • IPA_Computers
  • IPA_Gruppen
  • IPA_Users

Folgender Batch wird als Administrator ausgeführt:

D:\Install\Server\GPO\redircmp.bat

Dies bewirkt, dass Computer, die neu der Domäne hinzugefügt werden, automatisch in der OU „IPA_Computers“ abgelegt werden (der Sourcecode für den Batch befindet sich im Anhang).

Benutzerkonten

Benutzerkonten erstellen

Es wird ein Admin User mit dem Namen „Sysadmin“ erstellt. In der folgenden Maske wird eingestellt, dass das Passwort des Sysadmin nicht einfach geändert werden kann und auch nicht abläuft.

Servergespeicherte Profile

Allgemeiner User: Es werden die User, l.cotar und e.rueefli erstellt und mit dem folgenden Profilpfad zusätzlich zum User Ordner noch ein Unterordner mit dem PC-Namen erstellt. Somit hat jeder PC sein eigenes Profil.

Profilpfad User: %logonserver%\Profiles$\%Username%\%Computername%

(vor „%logonserver%“ braucht es keine „\\“)

image18.tmp

DHCP

DHCP Server Installieren

Der Servermanager wird geöffnet und unter „Rollen und Features“ den DHCP-Server hinzufügt und installiert.

DHCP Server konfigurieren

image19.tmp

Der DHCP wird mit folgenden Einstellungen eingerichtet:

• DHCP Konfiguration abschliessen
• DHCP Server autorisieren Praxis\Sysadmin
• Neuer Bereich einrichten Bereich1
• IP-Pool 172.16.53.120-160
• Leasedauer 8 Tage
• DHCP Optionen jetzt konfigurieren wählen
• Router 172.16.53.1
• Übergeordnete Domäne rafisa.ipa (IP Adresse des Servers muss aufgelistet sein)
• DNS-Server 172.16.53.101
• Bereichsoptionen Option „066 Hostname des Startservers“ & „067 Name der Startdatei“ hinzufügen

Ubuntu Server 20.04

Erzeugen der VM auf Proxmox

Die VM für den Ubuntu Server 20.04 LTS wird mit den festgelegten Parametern erzeugt (siehe Kapitel Entscheiden)

image20.tmp

Installation

Als erstes wird die Deutsch Schweizer Tastatur ausgewählt. Als Rechnername wird wie geplant „ds-zh-202-01“ eingegeben, als Benutzer für diese Maschine „sysadmin“.

Wie geplant wird für die Partitionierung „Geführt-vollständige Festplatte verwenden“ verwendet.

Bei der Softwareauswahl wähle ich lediglich die Software OpenSSH Server aus, damit dieser gleich mitinstalliert wird. Die anderen Dienste werden nicht ausgewählt, da diese bereits auf dem Windows Server 2019 installiert sind.

Konfiguration

IP-Adresse

Um die IP-Adresse für den ds-zh-202-01 im Konfigurationsfile von Netplan zu erstellen, habe ich folgende Konfiguration erstellt.

network:

version: 2

renderer: networkd

ethernets:

ens18:

addresses:

- 172.16.53.102/24

dhcp4: no

gateway4: 172.16.53.1

nameservers:

addresses: [172.16.53.101]

FOG Konfiguration

Bevor ich mit der Installation des FOG-Project beginne, wechsle ich mit „sudo su“ oder „su-“ zum root user und danach installiere ich das Programm Git mit dem Befehl „apt-get install git“.

FOG-Project wird heruntergeladen mit dem Befehl:

„git clone https://github.com/FOGProject/fogproject“.

Zuerst wechsle ich in den Ordner “/fogproject/bin“ und führe dort die Datei „./installfog.sh“ aus. Die folgende Tabelle zeigt meine Installationsentscheide:

Tabelle 27: Fragen zu FOG Installation

Wenn alles korrekt ist, kann die Installation gestartet werden.

Die Installation wird zwischendurch kurz unterbrochen, damit über das WEB Interface von FOG, das unter der Adresse https://172.16.53.102/fog/management erreichbar ist, die Datenbank installiert werden kann.

Sobald die Installation fertig ist, werden noch einige wichtige Informationen ausgegeben.

Windows 10 Enterprise N-Image

Erzeugen der VM auf Proxmox

Die VM für das Windows 10 Enterprise N Image wird mit den festgelegten Parametern erzeugt (siehe Kapitel Entscheiden).

image29.tmp

Bevor die Windows 10 Enterprise N Installation gestartet wird, muss unter der erstellten Win10EntImg in der Einstellung Hardware die Funktion im BIOS von „Default (SeaBIOS)“ auf „OVMF (UEFI)“ geändert werden.

Installation

Bei der „Installationssprache“ gibt es nur eine Auswahl (Deutsche Installation). Hier wird die „Uhrzeit und Währungsformat“ auf „Deutsch (Schweiz)“ geändert. Die „Tastatur oder Eingabemethode“ passt sich automatisch mit „Deutsch (Schweiz)„der „Uhrzeit und Währungsformat“ an.

Wie geplant wird Windows 10 Enterprise N ausgewählt.

Für die Installationsart wird mit „Benutzerdefiniert: nur Windows installieren (für fortgeschrittene Benutzer“ ausgewählt, da man die Dateien auch im Nachhinein noch installieren kann.

Windows wird wie geplant auf einer C:\ Partition eingerichtet

Um in den Audit-Mode zu gelangen, drückt man an dieser Stelle CTRL + SHIFT und dann die F3-Taste. Das System startet unverzüglich neu, nach dem Reboot befindet man sich im Audit-Mode. Das virtuelle LAN-Kabel kann nun wieder verbunden werden.

Im automatisch erscheinenden Sysprep-Dialog klickt man auf Abbrechen. Da es sich um ein Firmennetzwerk handelt, kann zugelassen werden, dass der PC von anderen Geräten im Netzwerk gesehen wird.

Installation von Windows-ADK

Um das System konfigurieren und die ensprechenden Answer-Files anlegen zu können, benötigt man die Windows-Bereitstellungstools aus dem Windows Assessment and Deployment Kit (ADK). Es wird die Version ADK für Windows 10, Version 2004 heruntergeladen, da ansonsten das Answer File nicht erstellt.

Während der Installation werden im Feature-Dialog ausschliesslich die Bereitstellungstools ausgewählt:

Konfiguration

Windows-Image anpassen

Alle die Anpassungen, die im Audit-Mode vorgenommen werden, werden ins Default-Profil geschrieben und stehen dann allen BenutzerInnen zur Verfügung. Die Anpassungen bleiben auch im Domain-Modus erhalten.

Zunächst werden die im Kapitel Informieren beschriebenen Anpassungen (Explorer, Teams, Remote-Desktop und Wallpaper) vorgenommen. Nachdem die Anpassungen vorgenommen worden sind, werden die für das Image benötigten Programme installiert (s. Kapitel Informieren). Die Programme werden alle in den Default-Einstellungen installiert.

Danach werden die Layout-Anpassungen für das Startmenu und die Taskleiste vorgenommen. Die Layouteinstellungen sind in einer XML-Datei gespeichert.

Nachdem man das Menu und die Taskleiste angepasst hat, kann man die Layoutdatei mit dem Befehl Export-StartLayout -path C:\LayoutModification.xml exportieren und dann über die lokale GPO-Richtlinie Administrative Vorlagen/Startmenü und Taskleiste/Startlayout einbinden:

Für die Standardzuordungen der Applikationen muss auch ein XML-File exportiert und danach wieder importiert werden. Mit dem Befehl dism /Online /Export-DefaultAppAssociations:“C:\DefaultAppAssociations.xml” nach C:\DefaultAppAssociations.xml kopiert. Um es für neue Userprofile dauerhaft zu speichern wird es mit dem Befehl 'dism /Online /Import-DefaultAppAssociations: “C:\DefaultAppAssociations.xml” wieder importiert.

Danach werden die Layout-Anpassungen für das Startmenu und die Taskleiste vorgenommen.

Einrichten des Windows System Image Managers (WSIM)

Im Windows System Image Manager (WSIM) wird im nächsten Abschnitt die Antwortdatei erzeugt, mit welcher die Installation von Windows 10 nach dem Deployment auf dem Zielgerät gesteuert wird.

Zunächst erstellt man den Ordner C:\customize\Win10 und kopiert sämtliche Installationsdateien vom virtuellen CD-Laufwerk dorthin:

Als nächstes muss unter C:\customize der Ordner Distribution mit folgenden Unterordnern erstellt werden:

• $OEM$
• LangPacks
• Out-of-Box Drivers
• Packages

Danach gibt man im Suchfeld Windows System Image Manager ein und startet das Programm. Danach wird über den Menupunkt Datei die Windows-Abbilddatei C:\customize\win10\sources\install.wim eingelesen. Im folgenden Dialog wird die entsprechende Windows-Datei (Windows 10 Enterprise N) ausgewählt. Wenn noch keine Katalogdatei angelegt worden ist, muss dies nun gemacht werden:

Im Distribution-Ordner wird auch das Antwortfile erstellt. Dazu wird im Windows System Image Manager im Menu Datei der Punkt Distributionsfreigabe auswählen angewählt und als Ordner C:\customize\Distribution angegeben.

Danach wird mit Datei/Neue Antwortdatei… eine neue Antwortdatei angelegt:

Erzeugen der Antwortdatei für den Sysprep-Vorgang

Eine Antwortdatei enthält sieben verschiedene Stufen oder Schritte, die bei einem Windows-Setup durchlaufen werden. Für diese Stufen erstellt man ein Answer-File mit den Antworten auf Konfigurationsfragen. So müssen die Antworten nicht während des Setups von Hand eingegeben werden, sondern das Setup kann völlig automatisch ablaufen. Ein mit sysprep zurückgesetztes Image startet nach der Verteilung in der Stufe 4 specialize, danach wird die Stufe 7 oobeSystem durchlaufen. Für diese beiden Stufen werden Answer-Files angelegt.

Pass 4 specialize

Wenn während der Installation im Windows System Image Manager zusätzliche Einstellungen wie Modell, Hersteller, Computername, Eigentümername, Zeitzone und mehr konfiguriert werden soll, benötigt man die Komponente amd64_Microsoft-Shell-Setup.

1. Im Abschnitt Windows-Image den Ordner Components erweitern.
2. Die Komponente amd64_Microsoft-Shell-Setup erweitern.
3. Mit der rechten Maustaste auf die Komponente OEMInformation klicken und die Option Add Setting to Pass 4 specialize auswählen.

<HTML><ol start=„4“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Im Abschnitt Antwortdatei auf der rechten Seite die Komponente amd64_Microsoft-Shell-Setup auswählen.<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>Unter dem Abschnitt Einstellungen auf der rechten Seite die folgenden Werte setzen:<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

• ComputerName: Keiner, da dieser vom FOG-Server gesetzt wird
• CopyProfile: true
• RegisteredOrganization: Stiftung Informatik für Autisten
• RegisteredOwner: Stiftung Informatik für Autisten

Pass 7 oobeSystem

Mit diesen Schritten wird die Out-of-Box-Erfahrung konfiguriert:

1. Unter Windows Image den Components-Ordner erweitern.
2. Ich Klicke mit der rechten Maustaste auf die Komponente amd64_Microsoft-Windows-International-Core und wählen Sie die Option Add Setting to Pass 7 oobeSystem.
3. Im Abschnitt Windows-Image die Komponente amd64_Microsoft-Shell-Setup erweitern.
4. Mit der rechten Maustaste auf die OOBE-Komponente klicken und die Option Add Setting to Pass 7 oobeSystem auswählen.

<HTML><ol start=„5“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Die Komponente UserAccounts erweitern.<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>Die Komponente LocalAccounts erweitern.<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>Mit der rechten Maustaste auf die Komponente LocalAccount klicken und die Option Add Setting to Pass 7 oobeSystem auswählen.<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

<HTML><ol start=„8“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Unter dem Abschnitt Antwortdatei die Komponente amd64_Microsoft-Windows-International-Core auswählen.<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>Im Abschnitt Einstellungen auf der rechten Seite die Spracheinstellungen festlegen:<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

• InputLocale: de-CH
• SystemLocale: de-CH
• UILanguage: de-CH
• UILanguageFallback: en-US
• UserLocale: de-CH

<HTML><ol start=„10“ style=„list-style-type: decimal;“></HTML> <HTML><li></HTML><HTML><p></HTML>Im Abschnitt “Antwortdatei” die Komponente amd64_Microsoft-Shell-Setup erweitern.<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>Die OOBE-Komponente auswählen.<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>Unter dem Abschnitt Einstellungen auf der rechten Seite die folgenden Werte einsetzen:<HTML></p></HTML><HTML></li></HTML><HTML></ol></HTML>

• HideEULAPage: true
• HideOEMRegistrationScreen: true
• HideOnlineAccountScreens: true
• HideWirelessSetupinOOBE: true
• ProtectYourPC: 3

In der Einstellung ProtectYourPC wird defniniert, wie die Express-Einstellungen gehandhabt werden sollen. Wenn man den Wert 1 verwendet, teilt man dem Setup mit, dass es die Express-Einstellungen mit den Standardeinstellungen aktivieren soll.

1. Die Komponente UserAccounts auswählen.
2. Mit der rechten Maustaste auf die Komponente LocalAccounts klicken und die Option Neue LocalAccount einfügen auswählen.
3. Im Abschnitt “Einstellungen” auf der rechten Seite die folgende Konfiguration wählen, um ein primäres lokales Konto zu erstellen:

• Description: Sysadmin-Konto
• DisplayName: sysadmin
• Group: Administratoren
• Name: sysadmin

Mit den obigen Einstellungen wird ein Konto namens sysadmin für den Benutzer sysadmin erstellt und das Konto der Gruppe Administratoren hinzugefügt.

Danach wird die Komponente “LocalAccount” erweitert.

1. Die Komponente Passwort auswählen.
2. Im Abschnitt Einstellungen auf der rechten Seite im Feld Value ein Passwort eingeben.

Man sieht das Passwort im Klartext sehen, der Wert wird aber nach dem Speichern der Datei customize.xml verschlüsselt.

Zunächst wird die Antwortdatei über das Menu Extras/Antwortdatei überprüfen validiert und allfällige überflüssige Keys gelöscht.

Dann kann die Datei über Datei/Antwortdatei speichern nach C:\customize\customize.xml abgespeichert werden.

Durchführen von Sysprep

Damit der Ordner C:\customize auf den Zielsystemen nicht stört, kann er mit dem Konsolen-Befehl (als Administrator ausführen) attrib +s +h “C:\customize” unsichtbar gemacht werden. Mit attrib -s -h “C:\customize” macht man den Ordner wieder sichtbar.

Da zuletzt die Datei customize.xml verwendet wurde, sieht der Benutzer, der sich nach dem Staging des Images anmeldet, die Datei immer noch im Abschnitt der zuletzt verwendeten Dateien im Windows Explorer.

Um dies zu verhindern, kann man ein kleines Skript implementieren, das diese Einträge entfernt. Das Skript wird nur einmal ausgeführt und löscht sich danach selbst. Dazu navigiert man im Explorer nach %appdata%\Microsoft\Windows\Start Menu\Programs\Startup und erstellt eine Datei namens runonce.bat. Man muss sicherstellen, dass die Dateierweiterung korrekt ist und nicht .txt.

In die Datei wird folgender Code eingefügt:

Del /F /Q %APPDATA%\Microsoft\Windows\Recent\*

Del /F /Q %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\*

Del /F /Q %APPDATA%\Microsoft\Windows\Recent\CustomDestinations\*

REG Delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /VA /F

REG Delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths /VA /F

del %0

Mit diesem Code werden sämtliche Orte, an denen Windows die History speichert, zurückgesetzt.

Nun kann Sysprep ausgeführt werden. Zunächst wird ein SNAPSHOT der VM angelegt, damit man immer an diesen Ort zurückkehren kann, sollte Sysprep nicht funktionieren.

Man öffnet CMD als Administrator und wechselt ins Sysprep-Verzeichnis:

cd C:\Windows\System32\Sysprep

Um Interferenzen mit dem Sysprep-Befehl zu vermeiden, stoppt man vorsichtshalber den Windows Media Networking Service:

net stop wmpnetworksvc

Jetzt beginnt man mit Sysprep. Nach Eingabe des Befehls, wird Sysprep das Image vorbereiten. Währenddessen sollten auf dem Computer keine Aktionen ausgeführt werden.

sysprep.exe /generalize /oobe /shutdown /unattend:C:\customize\customize.xml

Sollte Sysprep fehlschschlagen, sollte folgender Befehl in der Powershell ausgeführt werden:

Remove-AppxPackage -Package Microsoft.WindowsStore_11602.1.26.0_x86__8wekyb3d8bbwe

Nachdem Sysprep erfolgreich durchgeführt worden ist, fährt das System automatisch herunter. Es ist sehr wichtig, dass danach die VM nicht versehentlich gestartet wird, da dadurch das Setup ausgeführt und der ganze Prozess rückgängig gemacht würde. Das generalisierte Image muss jetzt auf die FOG-Plattform importiert werden.

FOG-Project

Inventory & Capture

Bevor das Image gecaptured werden kann, muss der Host vorher noch registriert und inventarisiert werden. Dabei gehe ich zuerst mit „F12“ in das Boot Menu und wähle dabei „Realtek…“ aus. Danach dauert es einen Moment, bis ich im FOG-Menu lande.

Sobald Sie auf dieser Seite (siehe Bild „Host is NOT registered“) sind, hat man lediglich ein schmales Zeitfenster von drei Sekunden, um „Perform Full Host Registration and Inventory“ auszuwählen.

Sobald ich „Perform Full Host Registration and Inventory“ ausgewählt habe, muss ich den „Hostname“, pc-zh-202-01, eingeben und das richtige „Image“ mit einer definierten Zahl auswählen, hier die 1. Unten stehende Abbildung zeigt alle Entscheidungen, die ich beim Inventarisieren getroffen habe:

Sobald die Inventarisierung fertig ist, muss der Computer ausgeschaltet werden, bevor Windows wieder aufstartet, da das Image ansonsten kein Sysprep Image mehr ist. Wenn der Computer heruntergefahren wurde, wechseln ich auf das WEB Interface des Deployment Servers und wähle Hosts aus. Dabei lasse ich mir mit „List all Hosts“ alle Hosts anzeigen wähle dann den Host aus.

Da der Host pc-zh-202-02 inventarisiert wurde, wähl ich diesen aus und wechsle in die Auswahl „Basic Task“. Da ich noch kein Image auf dem Deployment Server habe, muss ich „Capture“ auswählen. Bei den „Andvanced Settings“ kann ich die Standardauswahl so belassen und bei „Create Capture Tasking“ einfach den Task bestätigen.

Damit ich das gewünschte Image jetzt Capturen kann, muss ich den inventarisierten Computer starten, und mit „F12“ in das Boot Menu wechseln und den Network-Boot auswählen. Danach läuft das Capture selbstständig durch.

Im WEB Interface sieht man bei den Active Tasks einen Fortschrittsbalken.

Deploy

Um einen Computer zu deployen, starte ich einen beliebigen Computer und gehe dabei mit „F12“ in das Boot Menu. Im Boot Menu wird der Network-Boot ausgewählt. Im FOG-Menu wähle ich „Deploy Image“ aus und gebe meine Login Daten wie Username und das dazugehörige Passwort ein. Danach kommt eine Liste mit allen Images, die gecaptured wurden, ich wähle Windows 10 Enterprise N.

Danach wird das Image auf den Computer übertragen. Dies dauert lediglich einige Minuten. Sobald das Deployment fertig ist, wird am unteren Bildschirmrand ein schwarzer Balken mit einigen wichtigen Informationen ausgeben. (es wird mitgeteilt, ob das Deployment erfolgreich war oder gescheitert ist).

Snapin

Konfiguration

image58.tmpDie wichtigsten Punkte sind hier der Name des Snapins, das Snapin Template und das jeweilige *.msi File. Dabei gebe ich den Namen des Snapins ein, das ich erstellen will. Bei dem Snapin Template wähle ich MSI aus und bei dem Snapin File wähle ich dann das *.msi Programm aus.

„Reboot after install“ muss deaktiviert werden. Bei „Snapin Command read-only“ wird automatisch generiert, das heisst es wird auf „msiexec.exe /i openvpn-connect-3.2.3.1851_signed.msi /quiet“ definiert.

image59.tmp

Installation

image60.tmpUnter „List All Hosts“ im Host wähle ich den PC aus, auf den das Snapin installiert werden soll. Danach wechsle ich von „General“ zu „Basic Tasks“. Ich wähle dabei „Advanced“ aus und wähle danach „Single Snapin“ aus. Bei „Please select an option“ muss ich ein Snapin auswählen. Nebenbei muss ich unter anderem „Wake on LAN?“ aktivieren. Sobald diesen Punkt aktiviert ist, muss ich den Task noch erstellen. Danach wird das Snapin automatisch installiert.

AD Beitritt

Konfiguration

Um die Active Directory Defaults zu erstellen, gehe ich in die FOG Settings, die sich unter der FOG Configuration befinden. Im Feld „AD Default Domainname“ gebe ich meinen Domänennamen, rafisa.ipa, ein. Ich gebe bei „AD Default OU“ den Pfad an wo sich der User Sysadmin befindet. Der „AD Default User“ ist logischerweise der Sysadmin, dazu gebe ich das Passwort des Sysadmin zweimal ein.

Installation

Sobald ich „Join Domain after Deploy“ aktiviert habe, füllen sich die Zeilen „Domain Name“, „Organization Unit (Blank for Default)“, „Sysadmin“ und die Passwörter automatisch aus. Ich muss noch zusätzlich „Name Change/AD Join Forced reboot?“ aktivieren. Danach kann ich mit Update bestätigen.

Diese Option funktioniert nur dann, wenn ich den Computer danach deploye.

LDAP

Konfiguration

Der „LDAP Connection Name“ wird mit „AD Rafisa“ benannt. Die IP-Adresse bei „LDAP Server Address“ ist die IP-Adresse des Domaincontrollers, des Windows Servers 2019. Als „LDAP Server Port“ gebe ich den Port 389 ein. Bei „Search Base DN“ gebe ich an wo der User FOG Admin liegt. Bei der Gruppe „Group Search DN“ ist wichtig ist, dass ich OU und NICHT CN verwende. Bei „Admin Group“ gebe ich den Gruppennamen an.

Der „samAccountName“ wird von mir bei „User Name Attribute“ eingegeben. Der „Group Member Attribute“ ist „member“. Bei „Search Scope“ wähle ich „Subree and Below“ aus. Ich muss den kompletten Pfad des FOG Admins bei dem „Bind DN“ eingeben. Und bei dem „Bind Passwort“ gebe ich das Passwort des Users FOG Admin ein.

Test

Um zu testen ob die Konfiguration funktioniert, logge ich mich als FOG Admin mit fog.admin und dem Passwort ein. Wenn es funktioniert hat, kann ich bei dem System Overview sehen, dass bei username fog.admin steht.

BackupPC

Edit Hosts

Nachdem ich mich unter der IP 172.16.1.100 auf dem WEB Interface von BackupPC eingeloggt habe, füge ich die Hosts „dc-zh-202-01.stiftung.ifa“ und „ds-zh-202-01.stiftung.ifa“ hinzu. Dabei muss der User „backuppc“ und bei moreUsers „backup-leacot“ sein.

Edit Config

Ich wähle einen Host aus den ich erstellt habe und gehe danach auf „Edit Config“. Bei der Zeile „DumpPreUserCmd“ gebe ich den Befehl „$sshPath -q -x -l rafisa-backup $host sudo vzdump 100 –mode snapshot“ ein.

100 = die Virtuelle Maschine auf dem Proxmox

Bei der Zeile „DumpPostUserCmd“ gebe ich den Befehl „$sshPath -q -x -l rafisa-backup $host sudo rm -r /var/lib/vz/dump/*“ ein.

Ich gebe den Pfad “/var/lib/vz/dump/“ bei Insert in der Zeile von „RsyncShareName“ ein.

Diese Optionen lasse ich sowohl bei den Fullbackups als auch bei den Incremental Backups auf dem Standard (siehe Abbildung 75).

Host Summary

Das Host Summary zeigt alle erfolgreichen, sowie die erfolglosen Backups an (siehe Abbildung 71).

Kontrollieren

Zu testendes System und dessen Umgebung

image71.tmp

Hier werde ich die verschiedenen Systeme testen, dazu gehört das Capturen und Deployen des Windows 10 Enterprise N Images. Folgende Tabelle zeigt alle Tests, die ich durchführen möchte.

Relevante Testfälle und zu erwartende Ergebnisse

Tabelle 28: Testfälle

Abdeckung der Testfälle Was wird nicht getestet

Tabelle 29: Abdeckung der Testfälle

Relevante Testmittel (HW, SW) und Testmethoden

Tabelle 30: Relevante Testmittel & Testmethoden

Durchführung und Auswertung der Tests

Testprotokolle

Test #1: DHCP

Tabelle 31: DHCP Test

Test #2: DNS

Tabelle 32: DNS Test

Test #3: LDAP Login

Tabelle 33: LDAP Login Test

Test #4: Snapin

Tabelle 34: Snapin Test

Test #5: Capture

Tabelle 35: Capture Test

Test #6: Deploy

Tabelle 36: Capture Test

Test #7: Startmenu und Taskleiste

Tabelle 37: Taskleiste

Test #8: Software

Tabelle 38: Software Test

Test #9: Zuordnung der Standardapplikationen

Tabelle 39: Startmenu Test

Test #10: Treiber

Tabelle 40: Treiber Test

Test #11: Automatischer Domänen beitritt

Tabelle 41: Automatischer Domänen beitritt Test

Test #12: Aufrufen einer verschlüsselten Seite

Tabelle 42: Aufrufen einer verschlüsselten Seite

Test #13: Backup

Tabelle 43: Backup

Test #14: Restore

Tabelle 44: Restore

Auswerten

Übersicht über den Projektverlauf

Es war teilweise anstrengend, die Informationen herauszusuchen und am Informieren dranzubleiben. Beim Planen musste ich verschiedene Lösungsmöglichkeit entwickeln. Es waren sehr viele Dinge, die ich notieren musste. Manchmal fiel mir es schwer, mich darauf zu fokussieren. Nach der Planung die Entscheidungen zu treffen, fiel mir leichter. Ich konnte die Tabellen aus der Planung übernehmen und dabei meine Entscheidungen treffen. Die Realisierung fiel mir persönlich am einfachsten, da ich den ganzen Ablauf schon kannte. Trotzdem hatte ich beim LDAP Login (AD-Anbindung) Schwierigkeiten. Denn da habe ich einige Fehler gemacht und die Fehler zu finden, war schwierig. Alle Tests, die ich gemacht habe, waren erfolgreich, wie man der folgenden Zusammenfassung entnehmen kann:

Im Testing wurden drei grosse Bereiche getestet:

• AD Server
• Deployment Server
• Windows 10 Enterprise N

An dieser Stelle werde ich noch einmal kurz die Resultate meiner Tests zusammenfassen:

Tabelle 45: Test der Funktionalität des AD Servers

Tabelle 46: Test des FOG Deployment Server

Tabelle 47: Test des Windows 10 Enterprise N

Damit ist die technische Realisierung meiner IPA erfolgreich verlaufen.

Schlussfolgerung und persönliches Fazit

Beim Durchschauen der Tagesjournale sind mir zwei Sachen aufgefallen. Zum einen fiel es mir schwer, Wichtiges von Unwichtigem zu trennen. Dabei half es mir mit dem VF zu diskutieren. In der Diskussion haben sich dabei viele Sachen geklärt. Das hat mir gezeigt, wie wichtig es ist, in einem IT-Projekt Feedback zu bekommen. Zum anderen hatte ich zum Teil Mühe beim Umschreiben von Texten. Dabei habe ich gelernt, dass das Dokumentieren viel Zeit braucht und viel Planung.

Mit meiner IPA bin ich grundsätzlich zufrieden, dennoch konnte ich einiges dazu lernen, obwohl ich das Programm noch nicht so lange kenne.

Literaturverzeichnis

1. Jacob, C. IPERKA. [Online] http://c-jacob.ch/iperka/iperka.pdf.

2. Fogproject. [Online] [Zitat vom: 01. Juni 2021.] https://docs.fogproject.org/en/latest/management/user-management.html.

3. Fog Project. [Online] [Zitat vom: 01. Juni 2021.] https://wiki.fogproject.org/wiki/index.php?title=Power_Management.

4. Fog Project. [Online] [Zitat vom: 01. Juni 2021.] https://wiki.fogproject.org/wiki/index.php/Multicasting.

5. Ionos. [Online] [Zitat vom: 01. 06 2021.] https://www.ionos.de/digitalguide/online-marketing/verkaufen-im-internet/excel-tabelle-in-word-einfuegen/.

6. Proxmox Virtual Environment. [Online] Proxmox, 11. Mai 2021. https://www.proxmox.com/de/proxmox-ve.

7. What is FOG. [Online] FOG-Project. [Zitat vom: 11. Mai 2021.] https://wiki.fogproject.org/wiki/index.php?title=Introduction#What_is_FOG.

8. Features. [Online] [Zitat vom: 11. Mai 2021.] https://wiki.fogproject.org/wiki/index.php?title=Introduction#What_is_FOG.

9. Spicework. [Online] [Zitat vom: 31. Mai 2021.] https://community.spiceworks.com/topic/2231703-wds-2012r2-vs-fog-project-deployment-speed.

10. Thomas Krenn. [Online] [Zitat vom: 31. Mai 2021.] Windows Server 2019 Editionsunterschiede.

11. Wikipedia. [Online] [Zitat vom: 01. Juni 2021.] https://de.wikipedia.org/wiki/Ubuntu.

12. Wiki FOG. [Online] [Zitat vom: 31. Mai 2021.] https://wiki.fogproject.org/wiki/index.php?title=Introduction#What_is_FOG.

13. Microsoft. [Online] Microsoft. [Zitat vom: 11. Mai 2021.] https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/how-configuration-passes-work.

14. Microsoft. [Online] [Zitat vom: 01. Juni 2021.] https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/how-configuration-passes-work.

15. MBR vs. GPT. [Online] [Zitat vom: 11. Mai 2021.] https://www.softwaretestinghelp.com/mbr-vs-gpt/.

16. Digital Guide. [Online] [Zitat vom: 28. Mai 2021.] https://www.ionos.de/digitalguide/server/knowhow/unicast/.

17. vzdump. [Online] vzdump, 12. Mai 2021. [Zitat vom: 12. Mai 2021.] https://pve.proxmox.com/pve-docs/vzdump.1.html.

18. FOG Wiki. [Online] [Zitat vom: 28. Mai 2021.] https://wiki.fogproject.org/wiki/index.php/Multicasting.

19. FOG Project 1.5.9 Documentation. [Online] [Zitat vom: 28. Mai 2021.] https://docs.fogproject.org/en/latest/management/user-management.html.

20. FOG Wiki. [Online] [Zitat vom: 28. Mai 2021.] https://wiki.fogproject.org/wiki/index.php?title=Power_Management.

21. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/BackupPC.

22. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/Debian.

23. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/Domain_Name_System.

24. FOG Project. [Online] [Zitat vom: 31. Mai 2021.] https://fogproject.org/.

25. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/GitHub.

26. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/Proxmox_VE.

27. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/Preboot_Execution_Environment.

28. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/Server_Message_Block.

29. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/Trivial_File_Transfer_Protocol.

30. Wikipedia. [Online] [Zitat vom: 31. Mai 2021.] https://de.wikipedia.org/wiki/Virtual_Local_Area_Network.

31. Ubuntu Version. Wikipedia. [Online] [Zitat vom: 21. Mai 2021.] https://de.wikipedia.org/wiki/Ubuntu.

32. Thomas Krenn, wiki. [Online] [Zitat vom: 21. Mai 2021.] https://www.thomas-krenn.com/de/wiki/Ubuntu_LTS_Hardware_Enablement_Stack.

Glossar

Weitere Materialien

redircmp.bat

image77.tmp

Firmenstandards Netzerk der Rafisa Informatik GmbH

Subnetz-Konzept

Alle Standorte erhalten ein /24 Netz aus dem grösseren privaten Netz 172.16/12, dh. 172.16.0.0/16 bis 172.31.0.0/16. Die VLANs werden dann in die jeweiligen /24-Subnetze unterteilt, also z.B. 172.16.1.0/24, 172.16.2.0/24 usw.

<HTML><ol start=„2“></HTML> <HTML><li></HTML>

VLANs der Rafisa Dietikon

<HTML><ol></HTML> <HTML><li></HTML>

zh.rafisa.org-172.16.0.0/12

<HTML></li></HTML><HTML></ol></HTML> <HTML></li></HTML><HTML></ol></HTML>

Berechtigungsmatrix

Die Matrix wird Zeile nach Spalte gelesen (Zugriff von Zeile nach Spalte erlaubt/nicht erlaubt)

IP-Zuteilung der Geräte der Rafisa Standort Dietikon

<HTML><ol start=„4“></HTML> <HTML><li></HTML>

Rafisa Namenskonzept

<HTML><ol></HTML> <HTML><li></HTML>

Benutzer

<HTML></li></HTML><HTML></ol></HTML> <HTML></li></HTML><HTML></ol></HTML>

Benuternamen setzen sich zusammen aus dem ersten Buchstaben des Vornamens plus dem Nachnamen. Sollten sich bei neuen Nutzern gleichlautende Benutzernamen ergeben, wird die Anzahl Buchstaben des Vornamenkürzels um 1 erhöht.Bei identischen Vor- und Nachnamen wird das Benutzerkürzel um eine fortlaufende Nummer, beginnend bei 01 ergänzt.

Beispiele:

<HTML><ul></HTML> <HTML><li></HTML><HTML><p></HTML>h.muster Hans Muster<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>he.muster Hedwig Muster<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>her.muster Herta Muster<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>h.muster01 Hans Muster<HTML></p></HTML> <HTML><ol></HTML> <HTML><li></HTML>

Gruppen

Geräte

<HTML></li></HTML><HTML></ol></HTML> <HTML></li></HTML><HTML></ul></HTML>

Der Gerätename setzt sich zusammen aus einem Kürzel für die Funktion, dem Kürzel für den physikalischen Standort sowie einer fortlaufenden Nummer, beginnend bei 01.

Beispiele:

<HTML><ul></HTML> <HTML><li></HTML><HTML><p></HTML>dc-zh-ruga-01<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>sw-zh-r02a-03<HTML></p></HTML> <HTML><ol></HTML> <HTML><li></HTML>

Kürzel für die Funktionsbezeichnungen

<HTML></li></HTML><HTML></ol></HTML> <HTML></li></HTML><HTML></ul></HTML>

Physikalische Standorte

Der physikalische Standort setzt sich zusammen aus dem Kürzel für den Standort sowie einer internen Raumangabe. Bei Geräten, welche in einem Rack stehen, werden anstelle der Raumangabe das Kürzel für das Rack angegeben.

Beispiele:

<HTML><ul></HTML> <HTML><li></HTML><HTML><p></HTML>zh-ruga<HTML></p></HTML><HTML></li></HTML> <HTML><li></HTML><HTML><p></HTML>zh-201<HTML></p></HTML> <HTML><ol></HTML> <HTML><li></HTML>

Kürzel für die Standorte

<HTML></li></HTML><HTML></ol></HTML> <HTML></li></HTML><HTML></ul></HTML>

Kürzel für die internen Räume

Kürzel für Racks