Implementação MDT do Windows OEM Pro da Dell emperrado pelo requisito NTLMv2

5

Estamos trabalhando em um sistema de implantação que usa o iPXE para inicializar uma imagem do LiteTouch PE criada pelo Microsoft Deployment Toolkit (MDT) 2010, que então implanta o Windows XP ou o Windows 7 nos clientes. Não há problemas com o Windows 7, mas o XP está causando dores de cabeça.

Devido a decisões além do meu controle, nossa rede impõe o NTLMv2 no mínimo para conexões de máquinas não associadas ao domínio (o que usaria o Kerberos, acredito).

Isso não deve ser um problema, exceto que a imagem do Windows XP que temos que implantar é uma versão OEM da Dell, porque não queremos inserir números de série no instalador (e 99,5% de todos os PCs no campus são máquinas da Dell com licenças legais do XP Pro OEM). Os discos OEM do Dell XP Pro SP3 parecem não funcionar em muitas de nossas máquinas, extinguindo-se com problemas de driver estranhos durante a parte do modo de texto da instalação, que não conseguimos solucionar.

Em vez disso, tivemos alguma sorte com os discos OEM do Dell XP Pro SP2, que podemos incluir no SP3 e integrar os pacotes de hotfix (o xable de link funciona bem). Então, acabamos com uma imagem do XP que é principalmente o SP3, além de todas as atualizações importantes a partir de abril. Deve ser bom o suficiente, né?

Agora, o que acontece é que o Windows XP é instalado ao ponto de ser inicializado pela primeira vez, o que é bom, mas o MDT deve iniciar suas Sequências de Tarefas. Eles são executados pelo cliente que se conecta ao compartilhamento de implantação do servidor MDT para fazer o download da ordem da sequência de tarefas.

Infelizmente, o NTLMv2 está desativado nessas instalações do cliente, provavelmente devido a elas serem de um SP2 - > Origem do SP3 (como ocorre com o SP3 por padrão), portanto, as conexões com o compartilhamento são negadas e a sequência de tarefas do MDT pára, esperando que o problema seja corrigido para que possa ser retomado. Uma simples alteração no registro ("lmcompatibilitylevel") corrige o problema quase instantaneamente, sem a necessidade de reinicialização.

Portanto, tudo o que precisamos fazer é obter essa alteração de registro implementada antes que o MDT execute suas sequências de tarefas e que sejam douradas. Isso significa que, na verdade, não podemos usar uma etapa da sequência de tarefas do MDT para fazer isso, devido à captura22 com essa abordagem.

Até agora, tentamos usar o nLite para colocar um ajuste "registry_addreg", mas acho que o MDT substitui qualquer coisa que o nLite deseja executar após a instalação e que essas etapas não estão sendo executadas. Eu preciso investigar isso mais, para garantir que a nossa imagem nLite XP instale e execute o ajuste em uma situação não-MDT, mas fizemos isso pelo livro, então acredito que deveria funcionar.

Também tentamos ajustar os GPOs que se aplicam ao próprio servidor MDT para baixar seus requisitos para NTLMv1, mas parece não ajudar em nada, e a mesma alteração no cliente para NTLMv2 ainda corrige o problema. É possível que eu não tenha recebido todas as configurações de política para essa alteração. Estamos alterando a política do servidor para:

"Segurança de rede: nível de autenticação do LAN Manager": "Enviar LM e NTLM - use segurança de sessão NTLMv2 se negociado".

Se houver outra ou duas configurações que precisem ser alteradas para tornar o servidor mais tolerante, coloque-o em mim. Claramente este não é suficiente.

Caso contrário, talvez haja uma maneira de levar um CD XP Pro SP3 baunilha e convertê-lo para ser efetivamente o mesmo que o da Dell OEM em relação à instalação sem serial? Eu não tenho a (s) chave (s) que a Dell usa, embora, é claro, haja bastante nos lados das máquinas que poderíamos usar.

Estou disposto a tentar qualquer coisa neste momento, então, coloque suas idéias estranhas em mim e eu vou dar-lhes uma chance.

    
por Mike Sol 12.05.2011 / 18:05

3 respostas

2

Apenas para contornar a questão toda, eu usaria apenas uma imagem XP Pro SP3 baunilha, como o SP3 não requer uma série na instalação, assim como o Vista em diante. Você não precisa usar a imagem da Dell para a instalação sem serie.

    
por 12.05.2011 / 18:45
2

Você pode usar o mdt. Você só precisa montar a seção e fazer a edição via script, após a etapa install operating system , mas antes da reinicialização.

Basta usar um vbscript para montar a seção do sistema a partir de c: e fazer sua edição, mas não se esqueça de desmontar a seção.

    
por 30.11.2011 / 19:07
0

Em vez de mexer com o WinXP SP2, crie seu WinXP Ref. Imagem em uma VM, que deve fazer com que você passe por esses problemas de driver.

Parece mesmo que você está preso entre uma rocha e um lugar difícil, eu recomendo não usar mais o XP. Eu nunca tive muita sorte com isso e o MDT, o MDT e o Win7 tocam muito bem juntos.

    
por 28.12.2012 / 18:35