Bonjour,
OS-Server : Ubuntun 22.04.3 LTS
Version WAPT : 2.4.0.14143
Nous avons un serveur WAPT fonctionnel via lequel nous réalisons les déploiements de nos machines.
Nous sommes en train de passer à Windows 11 qui nécessite le secure boot. Soucis, actuellement avec le secure boot activé nous rencontrons l'erreur classique qui nous dit que le winpe n'est pas signé ( d'après ce que nous comprenons ).
Sur le FAQ nous avons trouvez ce passage :
"
Est-ce que l'IPXE WAPT fonctionne avec le Secure Boot ?
Non, on utilise le fichier IPXE du site officiel d’IPXE, qui n’est pas compatible avec le « Secure Boot ». Pour en faire, vous avez deux options : Avoir un fichier IPXE signé (Avec IPXE Anywhere, par exemple) ou télécharger le « .wim » en « TFTP » (ce qui est moins rapide).
"
IPXE signé semble être payant dans les quelques cas que nous avons regarder. Nous cherchons donc à télécharger le .wim en TFTP.
Nous avons un serveur TFTP fonctionnel sur sur le serveur WAPT ( test avec ipxe.efi ).
Cependant nous ne comprenons pas ce que nous devons faire de plus pour que cela soit considéré comme ok par le secure boot ? Juste envoyé par TFTP le boot.efi d'une iso W11 sur le serveur ?
Merci d'avance pour vos réponses,
Cordialement,
Paul,
[RESOLU] Installation Windows 11/Secure boot via WAPT
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
- sfonteneau
- Expert WAPT
- Messages : 1788
- Inscription : 10 juil. 2014 - 23:52
- Contact :
Bonjour
Je viens d'essayer avec un iso : Win11_22H2_French_x64v2 et ça marche sans sécure boot actif, on peu d'ailleurs activer le secure boot après si vraiment on veut l'activer
On peu faire du secure boot avec wapt de deux manière:
- En utilisant un ipxe signé (difficile a trouver ou payant) , pour information on a bien un projet de faire signer notre propre ipxe mais la démarche est longue et complexe auprès de Microsoft
- En abandonnant ipxe. Dans ce cas le boot sur l'image winpe sera fait entièrement en tftp, c'est 5 fois plus long au démarrage par contre. Et vous allez perdre quelque fonctionnalité comme par exemple le déploiement linux ou le démarrage sur le réseau systématique.
Voici la procédure pour le faire:
Pour le moment wapttftpserver ne gère pas ça il faut donc le désactivé :
Ajouter dans/opt/wapt/conf/waptserver.ini :
puis redémarrer le waptserver :
* Relancer la création d'un winpe depuis la console
Installer ensuite tftpd-hpa:
Modifier la conf de tftpd-hpa
/etc/default/tftpd-hpa :
et /etc/tftpd.map
redémarrer tftpd :
Dans votre conf dhcp le fichier a mentionner n'est plus ipxe.efi mais :
Attention il faut être patient dans vos tests le boot est beaucoup plus long
Windows 11 demande un poste secure boot capable mais secure boot ne doit pas être obligatoirement activer
Je viens d'essayer avec un iso : Win11_22H2_French_x64v2 et ça marche sans sécure boot actif, on peu d'ailleurs activer le secure boot après si vraiment on veut l'activer
On peu faire du secure boot avec wapt de deux manière:
- En utilisant un ipxe signé (difficile a trouver ou payant) , pour information on a bien un projet de faire signer notre propre ipxe mais la démarche est longue et complexe auprès de Microsoft
- En abandonnant ipxe. Dans ce cas le boot sur l'image winpe sera fait entièrement en tftp, c'est 5 fois plus long au démarrage par contre. Et vous allez perdre quelque fonctionnalité comme par exemple le déploiement linux ou le démarrage sur le réseau systématique.
Voici la procédure pour le faire:
Pour le moment wapttftpserver ne gère pas ça il faut donc le désactivé :
Code : Tout sélectionner
systemctl stop wapttftpserver
systemctl disable wapttftpserver
Code : Tout sélectionner
copy_winpe_x64_in_tftp_folder=True
Code : Tout sélectionner
systemctl restart waptserver
Installer ensuite tftpd-hpa:
Code : Tout sélectionner
apt-get install tftpd-hpa
Modifier la conf de tftpd-hpa
/etc/default/tftpd-hpa :
Code : Tout sélectionner
TFTP_USERNAME="tftp"
TFTP_DIRECTORY=/var/www/wads/pxe
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="-v --secure -m /etc/tftpd.map"
Code : Tout sélectionner
rg \\ /
rg boot/ Boot/
rg efi/ EFI/
rg /microsoft /Microsoft
Code : Tout sélectionner
systemctl restart tftpd-hpa
Code : Tout sélectionner
filename "efi/boot/bootmgfw.efi";