スキップしてメイン コンテンツに移動

UEFI Secure Boot 環境 にて、WindowsPE を PXE で起動

UEFI環境下では、2021/08/19現在、iPXEにはMicrosoftがサインしたefiバイナリがないので、そのままではセキュアブートができません。そこでWindows PEをPXE経由でDebian 10/Buster サーバからセキュアーブートしてみました。
まず初めにWindows上でWinPEを日本語化させたものを作成します。今回はamd64のみを対象としてみました。まず、Windows ADKをダウンロードします。今回もWindows 10 バージョン 2004、Windows 10バージョン 20H2、Windows 10 バージョン 21H1 用のものをダウンロードし、インストールします。adk本体のインストールがすんだら、アドオンをダウンロードしインストールします。
続いて、スクリプトを使って amd64向けの日本語化したWinPEをセットアップします。以下、スクリプトです。C:\Tempを作成し、その中にcppe_ja.batという名前で作成し保存します。 
for %%d in (amd64) do call :Cppe %%d
REM for %%d in (amd64, x86) do call :Cppe %%d
goto End

:Cppe
set ADK_PATH=C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit
set ADK_PACK=%ADK_PATH%\Windows Preinstallation Environment\%1\WinPE_OCs
set WS_DIR=C:\Temp\WinPE\%1

call copype %1 "%WS_DIR%"

Dism /Mount-Image /Imagefile:"%WS_DIR%\media\sources\boot.wim" /Index:1 /Mountdir:"%WS_DIR%\mount"

Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\lp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-FontSupport-JA-JP.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-WMI.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-WMI_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-NetFx.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-NetFx_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-Scripting.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-Scripting_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-PowerShell.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-PowerShell_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-DismCmdlets.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-DismCmdlets_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-SecureBootCmdlets.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-WDS-Tools.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-WDS-Tools_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Enable-Feature /FeatureName:SMB1Protocol

Dism /Image:"%WS_DIR%\mount" /Set-Allintl:ja-jp
Dism /Image:"%WS_DIR%\mount" /Set-Inputlocale:0411:00000411
Dism /Image:"%WS_DIR%\mount" /Set-Layereddriver:6
Dism /Image:"%WS_DIR%\mount" /Set-Timezone:"Tokyo Standard Time"

Dism /Unmount-Image /Mountdir:"%WS_DIR%\mount" /Commit

goto :eof

:End
バッチファイル(スクリプト)を作成したら保存します。続いて、Windows Kitというメニューのなかに、”展開およびイメージングツール環境”という項目があるので、これを、管理者権限で実行します。作成したバッチファイルを流すとC:\Temp\WinPE\amd64以下に、5分から10分程かかりますが、日本語化されたamd64向けのWinPEができるので、これをtftpサーバに展開します。Windows 10 21h1だと scp -r が使えるので、例えば以下のようにしてtftp serverにコピーしておきます。 
# on power shell
cd \Temp\WinPE
scp -r amd64 yourid@MySrv:/tmp/WinPE
コピーがすんだら、tftp server 上でtftp bootできるようにファイルを展開します。 
# on server
sudo su
chown -R root /tmp/WinPE
mv /tmp/WinPE /srv/tftp/WinPE

cd /srv/tftp

ln -sf WinPE/media/EFI .
ln -sf WinPE/media/Boot .
ln -sf WinPE/media/sources .

ln -sf EFI/Microsoft/Boot/BCD '\BCD'
ln -sf EFI/Microsoft/Boot/BCD '\Boot\BCD'

ln -sf EFI/Microsoft/Boot/Fonts/segmono_boot.ttf '\EFI\Microsoft\Boot\Fonts\segmono_boot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/segoe_slboot.ttf '\EFI\Microsoft\Boot\Fonts\segoe_slboot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/wgl4_boot.ttf '\EFI\Microsoft\Boot\Fonts\wgl4_boot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/segmono_boot.ttf '\EFI\Microsoft\Boot\fonts\segmono_boot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/segoe_slboot.ttf '\EFI\Microsoft\Boot\fonts\segoe_slboot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/wgl4_boot.ttf '\EFI\Microsoft\Boot\fonts\wgl4_boot.ttf'

ln -sf EFI/Boot/bootx64.efi '\bootx64.efi'
ln -sf EFI/Boot/bootx64.efi bootx64.efi
ln -sf EFI/Boot/en-us/bootx64.efi.mui '\en-US\bootx64.efi.MUI'

ln -sf Boot/boot.sdi '\Boot\boot.sdi'
ln -sf Boot/boot.sdi '\boot\boot.sdi'
ln -sf sources/boot.wim '\sources\boot.wim'
ファイルの展開は以上です。つづいて要所だけですが、dhcpサーバの設定です。 
host i44 {
  hardware ethernet AA:BB:CC:DD:EE:FF;
  fixed-address 192.168.2.44;
  next-server 192.168.2.104; # tftp server
  filename "bootx64.efi";
  option iscsi-initiator-iqn "iqn.1868-01.com.mydomain:i44";
  option root-path "iscsi:192.168.2.104:::1:iqn.1868-01.com.mydomain:i44.disk01";
}
optionはiSCSI rootのための設定ですので、不要であれば削除してください。dhcp server の設定がすんだら、systemctl restart isc-dhcp-server としておいてください。あとは、Windows機をpxe boot すれば数分でWinPEが起動します。ウィンドウズをインストールするため、インストールディスクをネットワークから接続しsetupしてもよいですし、USBディスクからsetupしてももちろんかまいません。setupの後、何らかの処理を行いたい場合は、setup /norebootとすればセットアップ終了後も再起動しません。
今回は以上です。それでは。
ラベル:

コメント

コメントを投稿

このブログの人気の投稿

wsdd を使ってSamba サーバをネットワークに表示

Windows 10のアップデートで、セキュリティー対応のため、smbv1がデフォルトではインストールされなくなり、Samba serverがエクスプローラーのネットワークに表示されなくなってしまいました。そこで、いくつか方法を調べたのですが、linuxでwsdの実装がないか探したところ、 https://github.com/christgau/wsdd が、見つかりましたので、さっそくインストールしてみました。まだパッケージにはないようですが、インストール自身は簡単です。wsdd自体は以下のように取得し、linkを張っておきます。 cd /usr/local/bin/ sudo wget https://raw.githubusercontent.com/christgau/wsdd/master/src/wsdd.py sudo chmod 755 wsdd.py sudo ln -sf wsdd.py wsdd こちらのsambaサーバはDebianなので、/etc/systemd/system/wsdd.serviceは以下のようにしました。 [Unit] Description=Web Services Dynamic Discovery host daemon Requires=network-online.target After=network.target network-online.target multi-user.target [Service] Type=simple ExecStart=/usr/local/bin/wsdd -d MYDOMAIN [Install] WantedBy=multi-user.target wsdd -d MYDOMAINのところを、環境にあわせて書き換えてください。 次に、systemdに登録・起動テストを行います。 systemctl enable wsdd systemctl start wsdd 起動に成功すると、エクスプローラーのネットワークに表示されます。  なおこのwsddはpython3が必要です。一度試してみてください。SMBv1/CIFSを停止していても、大丈夫です。 cで書かれたほかのwsddの実装もあるようなので、いずれパッケージになるかもしれませ
コメントを投稿
続きを読む

Hyper-V Server2019にワークグループ環境下でWindows10(1809)から接続

Hyper-V server 2019に、ワークグループ環境にてWindows10(1809)から接続してみました。Windows10にHyper-V管理ツールがインストールされていることと、Hyper-V Serverをインストール済であることが前提です。以下、Hyper-V serverは名前がHyperVSV、アドレスは192.168.1.110としています。 まず、Hyper-V server上で、powershellを起動し、以下のコマンドを入力します。 Enable-WSManCredSSP -Role Server -Force 続いて、クライアントのWindows10のpowershell で以下のコマンドを入力します。 winrm quickconfig -Force Enable-WSManCredSSP -Role Client -DelegateComputer * -Force さらに、クライアントマシンで、gpedit(グループポリシーエディタ)を起動し、以下の要領でポリシーを設定します。 a. [コンピューターの構成]->[管理テンプレート]->[システム]->[資格情報の委任]->[NTLMのみのサーバー認証で新しい資格情報の委任を許可する] を有効にし、サーバを一覧に追加[表示...]ボタンをクリックして、「WSMAN/*」を追加 b. [コンピューターの構成]->[管理テンプレート]->[システム]->[資格情報の委任]->[NTLM のみのサーバー認証で保存された資格情報の委任を許可する] を有効にし、サーバを一覧に追加[表示...]ボタンをクリックして、「*」を追加 また、名前解決できるように、(notepadを管理者権限で実行し)C:\Windows\System32\Drivers\etc\hostsにサーバ名とIPアドレスの対を追加。 192.168.1.110 HyperVSV 最後に、Hyper-Vマネージャーを起動し、Windows10からHyper-V サーバに接続します。手順は以下の通りです。 「サーバーに接続」->コンピュータの選択->別のコンピューターに[HyperVSV]と入力し、[別のユーザーとして接続する
コメントを投稿
続きを読む

フレッツ光クロス:MAP-E ROUTER by Debian Box (iptables)

フレッツ光クロスがようやく開通したので、Debianにてrouterを構成し接続してみました。なお、プロバイダーを選ぶにあたっては、IPoE方式がそれぞれ異なるため検討したところ、IPoEでは、MAP-Eでもv6plusとocnバーチャルコネクトがあり、前者がポート数240なのに対し、後者は約4倍のポート数が使えるようなネットの情報をみて、OCNバーチャルコネクトを選択しました。(プロバイダーとしてはぷららです。なおDS-LiteはCE側でのNATではないので今回は見送りました。)そこで、OCN バーチャルコネクトをDebian(iptables)で実現するとどうなるかと思い、ネットの情報を頼りにしつつ、設定した次第です。 実際に試した結果、とりあえず通信できていますが、MAP-Eは本来マッピングルールをマップサーバから取得するはずなので、今回のやり方が正解とはいえませんし、仕様変更されると通信できなくなる可能性があります。あくまでも参考程度ですが、本稿をUPしてみました。 2023/03/16追記: こちら にゲームコンソールNAT越え(Nintendo Switch ナットタイプ A判定)対応版を投稿しました。 2023/03/28追記:※1の記述および3行無効化によりNAT越え(Nintendo Switch ナットタイプ B判定)できるようになりました。 構成は以下の通りです。 ルーターがDebianで回線がOCNバーチャルコネクトであること以外はなにも特別なところはない構成です。 さて、いきなり設定ですが、まず、割り当てられたプレフィックスを確認します。 確認は、 dhclient -6 -d -P enp2s0 とします。出力の中に 前略 RCV: | | X-- IAPREFIX 2400:4050:5c71:af00::/56 後略 このようにプレフィックスが表示されるので、その確認したプレフィックスを書き留めておきます。これを こちらで 入力します。すると、 CE: 2400:4050:5c71:af00:99:f171:c600:2f00 IPv4 アドレス: 153.241.113.198 ポート番号:(1776-1791 2800-2815 3824-3839) 4848-4863 5872-5887 6896-
コメントを投稿
続きを読む