In diesem Tutorial werden wir uns ansehen, wie man PSD (PowerShell Deployment) installiert, konfiguriert und verwendet. Dabei handelt es sich um eine Version von MDT, die in PowerShell neu geschrieben wurde
Um etwas Hintergrundwissen zu PSD und MDT zu vermitteln: Man muss wissen, dass Microsoft MDT nicht mehr weiterentwickelt. MDT ist ein Tool, mit dem sich angepasste Windows-Installationen mit sehr wenig Benutzereingriffen bereitstellen lassen.
Wenn Sie MDT noch nicht kennen, empfehle ich Ihnen, zunächst dieses Tutorial zu lesen: MDT – Installation und Konfiguration – Microsoft Deployment Toolkit – Optimierung der Windows-Bereitstellung.
Für diejenigen, die MDT nutzen und bereits damit gearbeitet haben: Es ist in VBS geschrieben, das ebenfalls nicht mehr von Microsoft unterstützt wird und aus Windows verschwinden dürfte.
Aus dieser Erkenntnis heraus entstand das PowerShell Deployment Extension Kit, das es ermöglicht, MDT in einer moderneren, auf PowerShell basierenden Version weiter zu nutzen, und zudem Verbesserungen wie die Bereitstellung über das Web (Port 443) bietet.
In diesem Tutorial werde ich Ihnen PowerShell Deployment erklären
Inhaltsverzeichnis
Voraussetzungen
Bevor wir beginnen, gehen wir die verschiedenen Voraussetzungen durch.
Zunächst muss unbedingt ein Windows Server in englischer Sprache installiert sein, der 2016, 2019 oder 2022 sein kann.
Kommen wir nun zu den Software-Voraussetzungen:
- Windows ADK für Windows 11 21H2 (10.1.22000.1)
- MDT 8456
Installation von ADK für Windows 11 21H2
Laden Sie zunächst die Installationsdatei herunter: https://go.microsoft.com/fwlink/?linkid=2165884
Führen Sie die Datei aus und warten Sie, bis der Installationsassistent geladen ist …
Klicken Sie beim Start des Assistenten auf „Weiter“ 1 und behalten Sie die Standardoptionen bei.
Konfigurieren Sie die Datenerfassung für Microsoft 1 und klicken Sie dann auf „Weiter“ 2.
Klicken Sie auf „Akzeptieren“ 1.
Behalten Sie die Standardfunktionen bei und klicken Sie auf „Installieren“ 1.
Warten Sie, während Windows ADK heruntergeladen und installiert wird …
Beenden Sie nach Abschluss der Installation den Installationsassistenten, indem Sie auf die Schaltfläche „Schließen“ 1 klicken.
Installation von WinPE Addon 21H2 für Windows 11
Wir installieren nun: WinPE Addon 21H2 für Windows 11, mit dem bootfähige Umgebungen erstellt werden können, um Windows über MDT zu installieren.
WinPE Addon 21H2 für Windows 11 herunterladen: https://go.microsoft.com/fwlink/?linkid=2166133
Führen Sie die Datei aus. Klicken Sie beim Start des Assistenten auf „Next“ 1 und behalten Sie die Standardoptionen bei.
Klicken Sie anschließend auf „Next“ 1; die Erfassungsoption ist normalerweise diejenige, die bei der Installation des Windows ADK ausgewählt wurde.
Klicken Sie auf „Accept“ 1.
Klicken Sie abschließend auf „Installieren“ 1.
Warten Sie, während der Download und die Installation laufen …
Nach Abschluss der Installation klicken Sie auf „Close“ 1.
Installation von MDT
Um die Installation der erforderlichen Software abzuschließen, müssen Sie MDT installieren, das Sie hier herunterladen können: https://www.microsoft.com/en-us/download/details.aspx?id=54259 oder https://static.rdr-it.com/files/MicrosoftDeploymentToolkit_x64.msi
Führen Sie die Installationsdatei von MDT aus.
Klicken Sie beim Start des Assistenten auf „Next“ 1.
Aktivieren Sie das Kontrollkästchen 1, um die Lizenz zu akzeptieren, und klicken Sie dann auf „Next“ 2.
Bei den Standardinstallationsoptionen klicken Sie auf „Next“ 1.
Wählen Sie „I don’t want to join the program at this time“ 1 und klicken Sie dann auf die Schaltfläche „Next“ 2.
Klicken Sie nun auf „Installieren“ 1.
Die Installation von MDT dauert nur wenige Sekunden … Schließen Sie den Assistenten nach Abschluss der Installation, indem Sie auf „Fertigstellen“ 1 klicken.
Erstellen Sie einen DNS-Eintrag für den Webserver
Erstellen Sie auf Ihrem DNS-Server einen Eintrag für den Webzugriff, der auf den Server verweist. In diesem Tutorial habe ich psd.rdr-it.lab gewählt.
Erstellen Sie einen lokalen Benutzer für PSD
Ändern Sie die PowerShell-Ausführungsrichtlinie
Es ist erforderlich, die Ausführung von PowerShell-Skripten zuzulassen. Ohne diese Änderung konnte ich die ISO-Datei nicht erstellen, um die WinPE-Umgebung zu nutzen.
Geben Sie auf dem zukünftigen Server den folgenden Befehl ein:
Set-ExecutionPolicy BypassSie müssen die Ausführung für alle Skripte bestätigen.
PSD herunterladen
Gehen Sie zum GitHub-Repository: https://github.com/FriendsOfMDT/PSD
Klicken Sie auf die Schaltfläche „Code“ 1 und dann auf „Download ZIP“ 2.
Entpacken Sie das Archiv nach dem Herunterladen.
PSD konfigurieren
Wie Sie sehen werden, gibt es für PowerShell Deployment keine eigentliche Installation, sondern vielmehr eine Liste von auszuführenden Skripten, da PSD für die Konfiguration auf den MDT-Konsolenbereich zurückgreift.
Alle folgenden Befehle müssen über eine als Administrator ausgeführte PowerShell-Eingabeaufforderung ausgeführt werden, und Sie müssen sich im entpackten Ordner von PSD befinden.
Weitere Informationen zur Konfiguration:
- Der physische Pfad auf meinem DeploymentShare-Server lautet wie folgt:
E:\PSD - Der Name der Freigabe:
PSD - Der virtuelle Ordner auf IIS:
psd - Der DNS-Name:
psd.rdr-it.lab
Bitte passen Sie diese verschiedenen Parameter in den Befehlen an Ihre Umgebung an.
Erstellung der Deployment Share für PSD
Der erste Schritt besteht darin, den Ordner in MDT zu konfigurieren, der von PSD zur Speicherung dieser Dateien, aber auch der verschiedenen Betriebssysteme, Treiber, Anwendungen usw. verwendet wird.
Dazu führen wir das Skript ausInstall-PSD.ps1 und übergeben ihm zwei Parameter:
psDeploymentFolder: der dem absoluten Pfad auf dem Server zum Speicherort des Ordners entsprichtpsDeploymentShare: den Namen der Freigabe
Das ergibt:
.\Install-PSD.ps1 -psDeploymentFolder E:\psd -psDeploymentShare psdWenn alles gut geht, sollten Sie damit Folgendes erhalten:
Auf dem Server ist zu sehen, dass eine PSD-Datei erstellt wurde, und wenn man diese öffnet, findet man fast dieselbe Verzeichnisstruktur wie in einem MDT-Bereitstellungsordner vor.
Installation des IIS-Webservers für PSD
Wie zu Beginn des Tutorials erwähnt, ist eine der neuen Funktionen die Verwendung eines Webservers für den Zugriff auf die Freigabe anstelle des UNC-Pfads. Dazu stützt sich PSD auf IIS und bietet ein Skript für die Installation der Rolle mit den verschiedenen erforderlichen Funktionen an.
Gehen Sie in den Ordner Tools und führen Sie die Datei aus New-PSDWebInstance.ps1
.\New-PSDWebInstance.ps1Warten Sie, während IIS installiert wird …
Nach Abschluss der Installation muss der Server neu gestartet werden.
Um den Server neu zu starten, geben Sie den folgenden Befehl ein:
Restart-ComputerKonfiguration von IIS für PowerShell-Bereitstellung
Im Ordner „Tools“ befindet sich das SkriptSet-PSDWebInstance.ps1, mit dem die IIS-Website konfiguriert werden kann.
Geben Sie den folgenden Befehl ein:
.\Set-PSDWebInstance.ps1 -psDeploymentFolder E:\psd -psVirtualDirectory psdWenn das Skript erfolgreich ausgeführt wurde, erhalten Sie lediglich eine Rückmeldung, dass die Ausführung abgeschlossen ist.
Erstellung der Zertifikate
Wir werden nun eine Zertifizierungsstelle und ein von dieser Stelle ausgestelltes Zertifikat für den IIS-Webserver generieren. Hierfür ist die Windows-ADCS-Rolle nicht erforderlich, alles wird mithilfe eines PowerShell-Skripts erledigt.
Wenn Sie über eine interne Zertifizierungsstelle verfügen, können Sie diesen Schritt überspringen, müssen jedoch trotzdem das Stammzertifikat in PSD hinzufügen und zudem ein Zertifikat für den IIS-Server erstellen, es auf dem Server installieren und mit der Website verknüpfen.
ToolsDer erste Schritt ist die Erstellung der Zertifizierungsstelle. Dazu führen wir das SkriptNew-PSDRootCACert.ps1 aus, das sich ebenfalls im Ordner befindet.
Geben Sie den folgenden Befehl ein:
.\New-PSDRootCACert.ps1 -RootCAName PSDRootCA -ValidityPeriod 20 -psDeploymentFolder E:\psd
Wenn Sie im OrdnerPSDRessources\Certificatesdes PSD-Deployment-Shares nachsehen, finden Sie dort das Zertifikat der Zertifizierungsstelle, das erstellt wurde. Es muss hier abgelegt werden, da es der WinPE-Boot-Datei hinzugefügt wird, um SSL-Fehler bei der Verbindung zum Webserver zu vermeiden.
Nun generieren wir das Zertifikat für den Webdienst unter Verwendung der soeben erstellten Zertifizierungsstelle. In dem Skript, das wir verwenden werden, müssen Sie den DNS-Namen angeben, was zu folgendem Ergebnis führt:
.\New-PSDServerCert.ps1 -DNSName fqdn.psd.local -FriendlyName fqdn.psd.local -ValidityPeriod 5 -RootCACertFriendlyName PSDRootCA
Um die Erstellung des Zertifikats zu überprüfen, können Sie dies über die IIS-Konsole tun, indem Sie die Zuordnung der Standardwebsite auf HTTPS-Ebene überprüfen.
Wir sind mit den PowerShell-Skripten fertig, PowerShell Deployment ist nun einsatzbereit
PowerShell Deployment verwenden
Wir werden nun zur Verwendung von PSD oder MDT übergehen, denn wie Sie sehen werden, erfolgt die gesamte Nutzung und Anpassung direkt in der MDT-Konsole, und es gibt kaum Unterschiede zu einer MDT-Installation. Wenn Sie also mit der Verwendung von MDT vertraut sind, werden Sie sich gut zurechtfinden.
Starten Sie zunächst die MDT-Konsole:
Wie man sieht, wurde die Freigabe (Deployment Share) von PSD zur MDT-Konsole hinzugefügt. Für diejenigen, die MDT noch nicht kennen, werde ich Schritt für Schritt erklären, wie man vorgeht, damit Sie mit der Windows-Bereitstellung beginnen können. Für diejenigen, die mit MDT vertraut sind, gehen Sie wie gewohnt vor: Betriebssystem hinzufügen, Treiber hinzufügen, Anwendungen hinzufügen und dann die Aufgabenfolge erstellen (die ich Ihnen zum Lesen empfehle, da es dabei eine Feinheit gibt).
Um die MDT-Konsole vollständig kennenzulernen, empfehle ich Ihnen, dieses Tutorial zu lesen: MDT – Installation und Konfiguration – Microsoft Deployment Toolkit – Optimierung der Windows-Bereitstellung
Ein Betriebssystem hinzufügen
Als Erstes müssen Sie das Betriebssystem hinzufügen, das Sie bereitstellen möchten. Hier verwende ich die ISO-Datei, mit der ich die virtuelle Maschine erstellt habe, also Windows Server 2019 EN.
Zunächst habe ich im Ordner „Operating systems“ einen Ordner erstellt, um meine Betriebssysteme zu organisieren. Sobald Sie sich am gewünschten Speicherort befinden, klicken Sie auf „Import Operating System“ 1.
Wählen Sie den Betriebssystemtyp aus, den Sie importieren möchten. Hier verwende ich lediglich die WIM-Datei der ISO-Datei, daher wähle ich „Custom Image File“ 1 und klicke auf „Next“ 2.
Geben Sie den Speicherort der Datei „install.wim“ 1 an und klicken Sie auf „Next“ 2.
Lassen Sie die Option „Setup-Dateien sind nicht erforderlich“ 1 aktiviert und klicken Sie dann auf die Schaltfläche „Weiter“ 2.
Geben Sie hier den Ordnernamen an, in dem das Betriebssystem gespeichert werden soll 1, und klicken Sie auf „Next“ 2.
Es wird eine Zusammenfassung des Betriebssystem-Imports angezeigt; klicken Sie auf „Weiter“ 1.
Warten Sie, während der Importvorgang läuft …
Wenn der Import abgeschlossen ist, klicken Sie auf „Finish“ 1, um den Assistenten zu schließen.
Das Betriebssystem ist in MDT / PSD verfügbar.
Hinzufügen einer MSI-Anwendung in der MDT/PSD-Konsole
Um die Bereitstellung anzupassen, fügen wir eine MSI-Anwendung hinzu, die während der Konfiguration des Computers in der Bereitstellungsphase ausgewählt werden kann.
Zur Veranschaulichung dieses Abschnitts habe ich Microsoft Edge verwendet. Um es korrekt in MDT zu importieren, muss unbedingt ein Ordner erstellt werden, der die .msi-Datei enthält, wie auf dem Screenshot zu sehen.
Gehen Sie in der MDT-Konsole zu „Applications“ 1 und klicken Sie auf „New Application“ 2.
Wie bei den Betriebssystemen ist es möglich, Ordner zu erstellen, um die Anwendungen zu organisieren.
Wählen Sie den Typ: „Application with source files“ 1 und klicken Sie dann auf die Schaltfläche „Next“ 2.
Geben Sie in den Anwendungsdetails mindestens den Namen der Anwendung 1 an und klicken Sie auf „Next“ 2.
Geben Sie den Speicherort der Quelldateien 1 auf dem Server an und klicken Sie auf „Next“ 2.
Geben Sie den Namen des Ordners 1 an, der im Deployment-Share erstellt wird, und klicken Sie dann auf „Next“ 2.
Geben Sie den auszuführenden Befehl zur Installation der .msi-Datei ein. Der Vorteil dieses Dateityps ist, dass die unbeaufsichtigte Installation standardmäßig erfolgt. Geben Sie daher den folgenden Befehl 1 ein und klicken Sie dann auf „Weiter“ 2.
msiexec.exe /i filename.msi /qn
Bestätigen Sie das Hinzufügen der Anwendung, indem Sie auf „Weiter“ 1 klicken.
Nachdem die Anwendung hinzugefügt wurde, schließen Sie den Assistenten, indem Sie auf „Finish“ 1 klicken.
Die Anwendung ist hinzugefügt und in der MDT-Konsole verfügbar.
Eine Aufgabenfolge hinzufügen
Mit der Aufgabenfolge (Task Sequence) in MDT können Sie eine Reihe von auszuführenden Aktionen konfigurieren, wie beispielsweise die Installation von Windows.
Klicken Sie mit der rechten Maustaste auf „Task Sequences“ und dann auf „New Task Sequence“ 1.
Geben Sie die ID 1 der Tasksequenz und einen Namen 2 ein und klicken Sie dann auf „Next“ 3.
Wählen Sie in der Liste der Vorlagen (Template) „PSD Standard Client Task Sequence“ 1 aus und klicken Sie auf „Next“ 2.
Wählen Sie das Betriebssystem (OS) 1 aus, das installiert werden soll, und klicken Sie dann auf die Schaltfläche „Next“ 2.
Geben Sie bei Bedarf den Produktschlüssel 1 ein und klicken Sie dann auf „Next“ 2.
Geben Sie den Namen Ihrer Organisation 1 ein und klicken Sie auf „Weiter“ 2.
Wählen Sie eine Option für das Passwort des Administratorkontos 1 und klicken Sie auf „Weiter“ 2.
Standardmäßig werden Sie aufgefordert, das Passwort für das Administratorkonto während der Bereitstellung zu konfigurieren.
Es wird eine Zusammenfassung der Aufgabenfolge angezeigt. Klicken Sie auf „Weiter“ 1, um deren Erstellung zu bestätigen.
Die Aufgabenfolge wurde hinzugefügt. Klicken Sie auf „Finish“ 1, um den Assistenten zu schließen.
Die Aufgabenfolge ist in der MDT-Konsole verfügbar.
Konfigurieren und Erstellen der WinPE-Startumgebung
Um MDT nun nutzen zu können, müssen wir die WinPE-Startumgebung konfigurieren und erstellen, die die Installation von Windows auf dem Computer ermöglicht, den wir bereitstellen möchten.
Die wichtigste Neuerung in PSD ist gerade die WinPE-Umgebung, die in PowerShell neu geschrieben wurde, wodurch sie mit den neuesten Windows 11 ADK-Umgebungen kompatibel ist.
In diesem Tutorial beschränken wir uns auf das Nötigste, nämlich den Start und die Bereitstellung, aber die Konfiguration ist in hohem Maße anpassbar, und dafür empfehle ich Ihnen, sich die vorhandenen MDT-Tutorials anzusehen.
Klicken Sie in der MDT-Konsole mit der rechten Maustaste auf den Deployment Share und wählen Sie „Properties“ 1.
Wechseln Sie zur Registerkarte „Rules“ 1. Wie bei MDT finden Sie hier den Inhalt der Datei „CustomSettings.ini“, mit der wir den Bereitstellungsassistenten konfigurieren können. Zunächst konfigurieren wir die WinPE-Umgebung. Klicken Sie dazu auf die Schaltfläche „Edit Bootstrap.ini“ 2.
Geben Sie mindestens die URL sowie Benutzername und Passwort an, damit die WinPE-Umgebung über die erforderlichen Informationen verfügt, um sich mit dem Webserver zu verbinden.
Zurück auf der Registerkarte „Rule“ ändern Sie beispielsweise den Wert _SMSTSORGNAME, wodurch der Name Ihres Unternehmens im Text der WinPE-Fenster angezeigt wird. Anschließend übernehmen Sie die Änderungen und schließen das Fenster.
Wir fahren nun mit der Erstellung der WinPE-Umgebung fort, die später zum Booten der Computer verwendet wird.
Klicken Sie mit der rechten Maustaste auf „Deployment Share“ und wählen Sie „Update Deployment Share“ 1.
Lassen Sie im nächsten Schritt die Option „Optimize the boot image updating process“ aktiviert und klicken Sie auf „Next“ 1.
Überspringen Sie die Zusammenfassung, indem Sie auf „Next“ 1 klicken.
Warten Sie, während die Images erstellt werden …
Sobald der Vorgang abgeschlossen ist, schließen Sie den Assistenten, indem Sie auf „Finish“ 1 klicken.
Öffnen Sie mit dem Datei-Explorer den Ordner „Boot“, der sich im Ordner „PSD“ befindet.
In diesem Ordner ist insbesondere die .iso-Datei für uns von Interesse, da sie es uns ermöglicht, damit VMs zu starten oder bootfähige USB-Sticks zu erstellen. Die .wim-Datei kann hingegen zu WDS hinzugefügt werden, um den Start über das Netzwerk zu ermöglichen.
Windows mit PowerShell Deployment bereitstellen
Zum Abschluss dieses Tutorials sehen wir uns die Schritte zur Bereitstellung mit PSD an.
Für dieses Tutorial habe ich eine VM unter Hyper-V erstellt und die ISO-Datei auf dem CD/DVD-Laufwerk der VM konfiguriert, um davon zu booten.
Ich werde also von der ISO starten …
Warten Sie beim Laden der WinPE-Umgebung, dies kann 2 bis 3 Minuten dauern …
Wie Sie auf dem Screenshot unten sehen können, überprüft die WinPE-Umgebung die Verbindung zum Server …
Sobald die verschiedenen Tests durchgeführt und erfolgreich abgeschlossen wurden, startet der Assistent …
Sobald der Assistent gestartet ist, klicken Sie auf „Let’s get started“ 1.
Im ersten Schritt wird überprüft, ob der Computer die Voraussetzungen für die Bereitstellung der neuesten Windows-Versionen erfüllt. Wie bei MDT ist es möglich, diesen Schritt zu konfigurieren oder sogar zu überspringen. Klicken Sie auf „Next“ 1.
Wählen Sie die Aufgabenfolge 1 aus, die Sie für die Bereitstellung von Windows ausführen möchten, und klicken Sie auf „Next“ 2.
Wählen Sie das Laufwerk 1 aus, auf dem Windows installiert werden soll, und klicken Sie dann auf „Weiter“ 2.
Active DirectoryKonfigurieren Sie den Computernamen 1; hier belasse ich ihn bei „Workgroup“. In diesem Schritt können Sie die Domänenanbindung konfigurieren; klicken Sie auf „Weiter“ 2.
Geben Sie das Passwort für das Administratorkonto 1 ein und klicken Sie dann auf „Weiter“ 2.
Passen Sie bei Bedarf Tastatur und Zeitzone an 1 und klicken Sie dann auf „Weiter“ 2.
Wählen Sie die zu installierenden Anwendungen aus 1 und klicken Sie dann auf „Next“ 2.
Bestätigen Sie die Bereitstellung, indem Sie auf „Begin“ 1 klicken.
Warten Sie, während Windows bereitgestellt wird …
Sobald die Bereitstellung abgeschlossen ist, klicken Sie auf „OK“ 1, um das Fenster zu schließen.
Ihr Computer ist bereitgestellt.
In diesem Tutorial haben wir gesehen, wie man PSD bereitstellt, das auf MDT basiert und eine „moderne“ Umgebung für die Windows-Bereitstellung ermöglicht.
