SUWI10

SUWI10 er Samfundets Upåaktede Windows-installasjon for Windows 10, et system som lar deg installere Windows på maskiner over nettverk uten å måtte gi dem oppmerksomhet mer enn høyst nødvendig.

Bakgrunn

Det finnes en rekke slike systemer, delt inn i to hovedlinjer: Image-baserte og installer-baserte. I image-baserte systemer installerer man først OSet for hånd, gjør eventuelle justeringer, programvareinstallasjon og slikt, og så lager en bit-for-bit-kopi av disken. Denne kopien skrives så til maskinene man vil installere til (vanligvis over nett).

I installer-baserte systemer kjører man i stedet OS-installasjonen, men instruert på en slik måte at man slipper å trykke på noe underveis.

Fordelen med førstnevnte er at alt kan settes opp eksakt slik man vil ha det, og eksakt slik blir det. Ulempen er at det er vanskelig og mye arbeid å tilpasse slike images til flere maskinvaretyper. (På Samfundet har vi meget bred variasjon.) Installer-baserte systemer fungerer vanligvis på langt flere maskinvarer, men er til gjengjeld mindre robust, siden de kan finne på å stoppe opp om installeren går inn i en ukjent eller uventet tilstand.

Felles for de aller fleste systemer som gjør disse tingene, er at de er komplekse, enterprise og onde, og gjerne også dyre. Microsofts løsninger krever Windows-tjenere.

SUWI10 er mest et stort hack for å starte Windows-installeren.

Virkemåte

SUWI10 har tre steg.

Steg 1: Netboot

SUWI10 starter ved at man netbooter inn i Windows Preinstallation Environment (WinPE) over PXE. Dette er beskrevet i en egen node, men kort sagt spør maskinen om PXE-boot over DHCP, og cirkus svarer med et iPXE-bilde som laster WinPE-ISOen fra http://ipxe.samfundet.no/suwi10.

Steg 2: WinPE

WinPE har den egenskapen at den ved oppstart kjører C:\Windows\System32\startnet.cmd. Dette skriptet monterer Samba-sharen \suwi10win som befinner seg i /export/cassarossa/ymse/suwi10/win på cassarossa. Herfra kjøres PowerShell-skriptet suwi10.ps1. Dette skriptet ber brukeren om ønsket maskinnavn og type lisensnøkkel. Selve nøkkelen hentes med HTTP-kall til https://choco.samfundet.no/api/getlicense.pl. Deretter kopieres autounattend_template.xml og modifiseres til å inneholde oppgitt maskinnavn og lisensnøkkel før Windows-installeren startes med \suwi10win\setup.exe. Dette skriptet leser autounattend.xml, som inneholder alle nødvendige svaralternativer for Windows-installasjonen.

Steg 3: Windows

Etter en liten stund booter maskinen inn i harddisken sin, som nå inneholder primitiv Windows. Herfra fortsetter installasjonen av komplett Windows, fortsatt med flittig bruk av autounattend.xml.

Ferdig!

Nå har maskinen installert et standard Windows-bilde med riktig lisensnøkkel og vertsnavn. Det mangler riktig nok programvare, og det er mer konfigurasjon som må gjøres. Dette skjer regelmessig med AD og Chocolatey, som ikke regnes som del av SUWI10.

Lage nytt WinPE-bilde

Først oppretter vi og monterer et nytt bilde.

Logg på en Windows-maskin som administrator
Installer Windows ADK med Windows PE add-on.
Kjør Deployment and Imaging Tools Environment som administrator for å få fine miljøvariabler.
Generer WinPE-filer med copype amd64 C:\WinPE_amd64.
Slett C:\WinPE_amd64\media\Boot\bootfix.bin for å slippe å måtte trykke på en knapp ved WinPE-oppstart.
Monter WinPE-bildet med dism /mount-image /imagefile:"C:\WinPE_amd64\media\sources\boot.wim" /index:1 /mountdir:"C:\WinPE_amd64\mount"

Deretter setter vi input-locale og installerer powershell.

Dism /Image:"C:\WinPE_amd64\mount" /Set-InputLocale:nb-no
Dism /Add-Package /Image:"C:\WinPE_amd64\mount" /PackagePath:"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\amd64\WinPE_OCs\WinPE-WMI.cab
Dism /Add-Package /Image:"C:\WinPE_amd64\mount" /PackagePath:"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\amd64\WinPE_OCs\WinPE-NetFX.cab
Dism /Add-Package /Image:"C:\WinPE_amd64\mount" /PackagePath:"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\amd64\WinPE_OCs\WinPE-Scripting.cab
Dism /Add-Package /Image:"C:\WinPE_amd64\mount" /PackagePath:"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\amd64\WinPE_OCs\WinPE-PowerShell.cab

Nå gjør vi våre lokale endringer. Merk at for å bytte bakgrunnsbilde må vi først hacke litt rettigheter.

net use I: \\samba.samfundet.no\suwi10src /user:SAMFUNDET\suwi10 *
copy I:\startnet.cmd C:\WinPE_amd64\mount\Windows\System32\startnet.cmd
takeown /F C:\WinPE_amd64\mount\Windows\System32\startnet.cmd
cacls C:\WinPE_amd64\mount\Windows\System32\winpe.jpg /G BUILTIN\Administratorer:F
copy I:\winpe.jpg C:\WinPE_amd64\mount\Windows\System32\winpe.jpg

Nå gjenstår det bare å rydde opp og produksjonssette.

Lagre endringene dine til bildet med dism /unmount-image /mountdir:"C:\WinPE_amd64\mount" /commit
Generer ISOen med makewinpemedia /ISO C:\WinPE_amd64 C:\WinPE_amd64\WinPE_amd64.iso
Legg WinPE-ISOen under cirkus:/var/lib/ipxe/suwi10/.
Sjekk at cirkus:/var/lib/ipxe/suwi10/suwi10.ipxe laster inn ISOen.
Nå skal du kunne PXE-boote inn i WinPE.

Lage ny eller endre svarfil (autounattend.xml)

Logg på en Windows-maskin som administrator.
Installer Windows ADK.
Last ned installasjonsISOen fra Microsoft VLSC.
Montér installasjonsISOen på f.eks. D:.
Kopier D:\sources\install.wim til C:\Win10.
Åpne Windows System Image Manager, velg "Select a Windows image or catalog file" og åpne install.wim.
Hvis du skal endre en svarfil, åpne den.
Gjør endringene du ønsker.
Lagre svarfilen og kopier den til cassarossa:/export/cassarossa/ymse/suwi10/install/autounattend_template.xml. Merk at den ikke heter autounattend.xml, ettersom denne genereres ved installasjon.

Koble windows PC med lisens opp mot domene

Hvis det skjer med deg slik som det skjedde med Thea våren 2021, hvor hun glemte at suwi10 eksisterte når hun skulle fikse en windowslisens for en ny FG PC (eller hvis du av en eller annen grunn trenger å koble en ferdig oppsatt windows til domenet) så kan du følge denne smørbrødlista:

1. Åpne windows powershell som administrator på PC'en. 2. Skriv "Add-Computer -DomainName "ad.samfundet.no" -Credential "Administrator". Logg så inn med høysikkerhet. 3. Skriv "net use \ad.samfundet.nonetlogon" 4. Skriv "powershell -executionpolicy bypass \ad.samfundet.nosysvolad.samfundet.noscriptschocolatey.ps1" 5. Skriv "gpupdate /force" 6. Oppdater navnet på PCen til SAMF eller UKA etterfulgt av årstall og et nummer. Oppdater også chocolatey med det samme navnet. 7. Bytt administrator passordet på PCen.

TODO

Installasjon

MVP

~~Installer helt manuelt.~~
~~Få SUWI til å laste installasjonsbildet.~~
~~PXE-boot til Windows PE.~~
~~Lag en autounattend.~~
~~Automatisk installasjon av Chocolatey.~~

Nice to have

~~Håndter 0/1/2 disker i maskinen~~
~~Reboot ved FirstLogon~~
~~Sjekk om du trenger noen av RunSynchronousCommands fra gammel svarfil.~~
~~Reduser innlastningstiden til WinPE-bildet.~~
~~Vær snillere når man skriver inn feil lavsikkerhetspassord.~~
~~Få norsk tastaturlayout i WinPE.~~
~~Skaff powershell-støtte i WinPE?~~
~~Kall install.cmd for suwi10.cmd~~
~~Gå gjennom login.bat~~
~~Bedre confimation UX i suwi10.ps1~~

Lisenser

MVP

~~Lag et system, på wpkg.samfundet.no som holder oversikt over alle Windows-lisenser.~~
~~Få SUWI til å aktivere lisenser.~~
~~Sjekk at partialkey == fullkey~~

MVP

~~Lag et AD-miljø for Windows 10.~~
~~Skap et AD-miljø for Windows 10 basert på miljøet vårt for Windows 7.~~
~~Sjekk at Folder Redirection fungerer. Tweak eventuelt på "ITK roaming users"~~

Nice to have

Disable hibernation
Besøk Internett og finn anbefalte AD-instillinger.
Sjekk at GPOen "ITK Printing" er som ønsket. Sjekk spesielt om du kan fjerne User- eller Computer-konfigurasjonen.
Fjern alle ikke-Windows-10-GPOer fra AD når vi har kvittet oss meg Windows 7.
Fjern duplikater av innstillinger i "Defualt Domain Policy".
~~Finn ut hvordan folk kobler til vaudeville (fjernet en SID)~~
~~Skru av fast startup.~~