Wie Consumer-freundlich Win10 Images erstellen und Per USB verteilen?

freak1051

Ensign
Registriert
Dez. 2012
Beiträge
197
Hallo Gemeinde,

Ich stehe hier in meinem Betrieb vor einem (für mich) mittelschwerem Problem :)

Wir nutzen in unseren Maschinen als VNC-PC um Siemens HMI zu spiegeln folgende Hardware:

CLS Narrow Box

Die Geräte sind mit Windows 10 Home ausgeliefert und haben ihren Key im BIOS hinterlegt. ANSCHEINEND soll sich beim neu Aufsetzten Win10 den Key ausm BIOS selbst anziehen. Bisher habe ich folgende Änderungen an den Geräten gemacht:

  • Beim ersten Inbetriebnehmen PC Namen vergeben ( Immer gleich, suche und ändere ich danach mit einem Skript)
  • Bullgard Anivirus deinstlaliert ( Die PC´s haben NIE Internet-Verbindung, GARANTIERT)
  • OneDrive deinstlaliert (gibt immer wieder Meldungen und Benachrichtigungen, die wir nicht brauchen können)
  • Angepassten Hintergrund
  • Angepasster Sperrbildschirm
  • Bildschirmtastatur in der Taskleiste fixiert
  • Benachrichtigungs-Center: Keine Benachrichtigungen
  • PC Aktiviert über eine kurze Internet-Verbindung (<30 Sekunden)
  • Einen Order, mit unseren benötigten Dateien (VNC, Skript zum kopieren von Dateien in den Autostart etc.) auf C:\ kopiert

Nun liefert CSL die Geräte aber mittlerweile mit 8 Vorinstallationen von Office 365 in unterschiedlichsten Sprachen aus. Pro Deinstallation benötige ich ca. 8 Minuten, bei 16 Mini-PC´s alle 2-3 Moante macht zu viel investierte Zeit.

Nun wollte ich ein Image von einer eingerichteten Maschine erzeugen, und diese auf die anderen per USB 3.0 SSD auf die anderen Geräte Verteilen.

Hierzu habe ich etwas die Internetsuche angeworfen und bin immer wieder über für mich fast unverständliche Anleitungen gestolpert, welche im IT-Grundkurs nicht behandelt wurden :) Ich bin Automatisierungstechniker und Programmiere eigentlich SPS, und mir wurde der Spaß auf die Augen gedrückt :)

Unterm strich such ich also nach einer Möglichkeit, eine Spiegelung von einem fertig eingerichteten PC zu machen, und diese per USB-auf die anderen immer wieder drauf zu kopieren. Das ganze muss unter Win 10 Home funktionieren. Irgendwelche "Netzwerk-Lösungen" sind nicht möglich, da die PC´s bei uns nicht ins Domänen-Netzwerk dürfen, und ich nicht die Möglichkeit habe, die Geräte an meinem Arbeitsplatz zu vernetzen und mit einem Server sprechen zu lassen. Eine etwaige Zusatzsoftware sollte entweder ne Free-Trail haben oder evtl. so günstig sein, dass es nicht "weh" tut wenns n schuss in den Ofen ist.

Hat mir hierzu jemand Tip´s/ Anregungen / Infos / Tutorials, die mir evtl. Helfen können

mfg

Daniel
 
Einfach mal nach Sysprep googlen und eine entsprechende Anleitung zum verteilen raussuchen. Kannst damit quasi die eingerichtete Maschine "ohne User" zurücksetzen und ein Image von machen. Anschließend das Image in einem bootfähigen Stick umwandeln. Das wäre Turnschuh-Administration.

Sonst EPE/WinPE PXE Server mit entsprechendes Image bereitstellen und über das Netzwerk ausrollen.
Man sollte schon genauer lesen. :D
 
  • Gefällt mir
Reaktionen: freak1051 und K3ks
Bei "Windows 10 Home" sollten die Alarm-Glocken angehen, weil ihr das ja betrieblich einsetzt. Lizenzbestimmungen und so.
Für dein Vorhaben muss man außerdem über das entsprechende Re-Imaging-Recht verfügen. Meines Wissens nach, hat man dieses, wenn man eine Volumenlizenzierung hat.
 
  • Gefällt mir
Reaktionen: Whiterose, FranzvonAssisi, TheRealX und 5 andere
Sind die Systeme denn untereinander vernetzt oder komplett Standalone? Wenn Standalone brauchst du nichtmal Sysprep, sondern kannst einfach einen fertig machen und dann klonen.
 
Müssen ja eigentlich vernetzt sein, wie sollten sie sonst via VNC ein HMI spiegeln können?

Was müssen denn die Geräte leisten? Nur VNC?
 
Wenn's nur VNC ist, dann nimm einen Raspberry Pi. Kostengünstig, klein, stromsparend. Einmal das Image aufspielen und konfigurieren, dann ein Abbild davon ziehen, fertig. Das kannst du dann immer wieder aufspielen, wenn's neue Geräte braucht.

Wenn die Dinger nicht ins Internet kommen, sind veraltete Packages nicht soooooo dramatisch, aber dennoch eine potentielle Lücke.
 
Die kleinen N4100 sind auch "stromsparend" im Sinne von "nicht sonderlich leistungshungrig". Und sie sind vorhanden.
 
Sysprep ist das Stichwort, zum Imagen habe ich immer Acronis True Image genutzt. Kostet nicht die Welt und kannst davon einen Bootstick erstellen. Letztendlich muss man sich da bischen reinlesen, Windows 10 ist schon etwas tricky was die Anpassungen der Userprofile angeht. Auch die Deinstallation der Programme ist so ne Sache. Dazu und auch zu anderen Themen ist Powershell oft die beste oder einige Lösung. Einfach langsam rantasten und immer wieder ein Image ziehen zur Sicherheit.
Dein Vorhaben wirst du nicht mal schnell machen, anfangs hast du da super viel Aufwand mit, je nach dem wieviel du automatisieren willst.
 
Na ja, @Voltago lag mit seiner Idee nicht ganz so fern, hat jedoch nicht weit genug gedacht, bzw nicht sonderlich unternehmerisch.

Wenn die Dinger wirklich nur für VNC genutzt werden, wäre es einfacher, einen PXE-Server in ein separates Netz zu hängen (in das die kleinen N4100er auch gesetzt werden) und ein minimalistisches Linux mit z.B. Busybox o.ä. und eben einem VNC-Client bereitzustellen. Auf diese Weise braucht man updates nur einmal auf das Bootimage auszurollen und die clients sind bei einem reboot entsprechend stets aktuell. Lizenzkosten interessieren dann auch nicht mehr.

Alternativ kann man die mini-Rechner auch mit wechseldatenträgern (z.B. CF-Karten in Adaptern) ausstatten und das Image über die Karten ausrollen, wenn man keinen PXE-Server bereitstellen will. Gibt mehrere Varianten.

Windows für nur VNC ist imho ein wenig overkill.

Aber: Es kommt eben darauf an, wofür die Rechner denn noch genutzt werden außer VNC.
 
Hallo,

Erstmal danke für die Vielen Antworten. hir mal meine Komments dazu:


trane87 schrieb:
Einfach mal nach Sysprep googlen und eine entsprechende Anleitung zum verteilen raussuchen. Kannst damit quasi die eingerichtete Maschine "ohne User" zurücksetzen und ein Image von machen. Anschließend das Image in einem bootfähigen Stick umwandeln. Das wäre Turnschuh-Administration.

Sonst EPE/WinPE PXE Server mit entsprechendes Image bereitstellen und über das Netzwerk ausrollen.
Man sollte schon genauer lesen. :D

Das habe ich auch schon bisschen was gefunden. Aber eben das mit den Usern übersteigt etwas mein IT-Wissen, ohne iwas zu Zerstören :)

Krisenmanager schrieb:
Bei "Windows 10 Home" sollten die Alarm-Glocken angehen, weil ihr das ja betrieblich einsetzt. Lizenzbestimmungen und so.
Für dein Vorhaben muss man außerdem über das entsprechende Re-Imaging-Recht verfügen. Meines Wissens nach, hat man dieses, wenn man eine Volumenlizenzierung hat.

Die Teile haben doch schon eine Lizenz. Warum sollte ich dann Volumen-Lizensieren müssen? Also kenn mich da wirklich nicht sonderlich aus, aber mein Logisches Verständniss sagt, du hast darauf ne Lizenz, für deine Anforderungen reicht Home( sonst wäre ein Upgrade seitens des Lieferanten auf Pro auch kein Problem) und ich Nutze jede Lizenz nur für ein Gerät.
Zudem sagt sogar mein Lieferant, mach das mit nem Klon/Image (was ist da eigentlich der Unterschied :)???)

Benzer schrieb:
Sind die Systeme denn untereinander vernetzt oder komplett Standalone? Wenn Standalone brauchst du nichtmal Sysprep, sondern kannst einfach einen fertig machen und dann klonen.

Nein. Wir sind Maschinenbauer, hier haben wir eine Siemens-SPS plus HMI im Einsatz. Zudem noch einige ProfiNet-Teilnehmer. Hier soll der Mini-PC dienen als SPiegelung des HMI. Siemens bringt einen auf VNC basierenden Smart-Server mit, auf den der Mini PC automatisch schaut. Zudem ist noch in form von PDF die Anlagen-Doku auf dem PC. Ein kleines "Schmankerl" ist, dass wir bei bestimmten Geräten im Maschinennetzwerk Geräte haben mit einem Webinterface. Das ist meist Java-Basiert, welches wir über Siemens-HMI mit einem kastriertem Windows CE nicht anzeigen können.
Somit hätte ich Leihenhaft vermutet, dass mir ein Klon reicht. Nach was muss ich hier suchen?

Voltago schrieb:
Wenn's nur VNC ist, dann nimm einen Raspberry Pi. Kostengünstig, klein, stromsparend. Einmal das Image aufspielen und konfigurieren, dann ein Abbild davon ziehen, fertig. Das kannst du dann immer wieder aufspielen, wenn's neue Geräte braucht.

Wenn die Dinger nicht ins Internet kommen, sind veraltete Packages nicht soooooo dramatisch, aber dennoch eine potentielle Lücke.

Das hatten wir lange zeit. War vom Aufwand her für mich weniger Arbeit, allerdings vom Support her ne Katastrophe. Ein Ehemaliger IT-ler hat uns da nen Image gemacht Ohne GUI. Da wars bei änderungen immer schon etwas ein gebastel. Zudem Müssen IP-Adressen geändert werden, was für den Windows-Only nutzer nicht unbedingt trivial ist, vorallem nicht ohne UI, sonder nur über ssh. Und zu guter letzt haben uns die dinger SD-Karten gefressen, wie andere leute Toastbrot :)

Und nochmal zum Thema Internet-Anbindung: Kein IT-Ler wird Busse wie Profinet, Ethercat oder ähnliches in sein Netzwerk lassen. Somit sind die Maschinen-Netze, falls sie ins Internet Kommen IMMER über einen Router getrennt, und die Laufen auch über meinen Tisch (scheiss Job :) ) und da sorge ich peinlichst genau dafür, dass die Win10-PC´s NICHT ins Inet kommen, mir dessen völlig bewusst, dass keine (Sicherheits-)Updates laufen. Aber nichts ist für nen Maschinenbauer schlimmer, wie das nach Updates irgendwas nicht mehr funktioniert, und man wegen ner Spiegelung des HMI der Maschine hinterherreisen muss...
 
freak1051 schrieb:
Zudem Müssen IP-Adressen geändert werden, was für den Windows-Only nutzer nicht unbedingt trivial ist,
Kien DHCP-Server (ggf. inkl. RADIUS) im Netzwerk vorhanden?

freak1051 schrieb:
sonder nur über ssh
cluster-ssh wäre in diesem Falle Dein Freund.

freak1051 schrieb:
Und zu guter letzt haben uns die dinger SD-Karten gefressen, wie andere leute Toastbrot
Na, wenn man die Schreibzugriffe nicht eingrenzt, dann hält keine Karte, egal ob SD, CF, etc. Und bis jetzt sehe ich nicht den Bedarf an vielen Schreibvorgängen.

Wobei es mich schon wundert, wenn ein Matschbauer das nicht selber hinkriegt.
 
@Twostone Wenn ich als ITler damit beauftragt werden würde, würde ich es so bzw. ähnlich umsetzen, da bin ich voll bei dir. Die Anforderungen schreien ja quasi schon nach einem diskless Client.
Für den TE wird das "zu viel des Guten" sein.

@freak1051 Raspbian / andere Distris für den Raspi gibt's mit GUI - daran würde ich mich nicht "aufhängen".

Dein Problem mit den SD-Karten lässt sich wahrscheinlich auch recht simpel mit eingen Mounts der temporären Verzeichnisse (/tmp/, /var/tmp/, /var/log/, .../) auf ein tmpfs (RAM) lösen. Die ganzen Logs werden dann nicht mehr auf die Karte geschrieben. Das Ganze zu konfigurieren ist kein Hexenwerk. Hat allerdings den Nachteil, dass Logs nach einem Reboot weg sind.

Das Problem mit Windows "Home" ist, dass kommerzielle Nutzung nicht erlaubt ist. Und für das Reimagen, wie du es angesprochen hast, ist eigentlich auch VL erforderlich. Funktioniert auch ohne, ist halt gegen die Lizenzbestimmungen.
 
  • Gefällt mir
Reaktionen: Krisenmanager
Ne dann reicht dir ein einfaches Image nicht, das geht nur wenn wirklich gar kein Netzwerk angeschlossen ist.
Sysprep musst du dann machen.
Ich habe es bisher so gemacht das ich einen PC inkl. Software fertig installiere, dann Sysprep ausführe und an dem Punkt wo er Neustartet um die neue SID zu erzeugen und den PC einzurichten breche ich den Neustart ab und zieh mir mit Clonezilla ein Image. Das Image kann man dann verteilen und er startet immer an dem Punkt wo man PC Name und lokalen user etc. einstellen kann.
 
Voltago schrieb:
Wenn ich als ITler damit beauftragt werden würde, würde ich es so bzw. ähnlich umsetzen

Ich bin kein ITler, sondern Elektriker. Elektriker sind faul. Warum ein dutzend eigenständiger Maschinen warten, wenn man's auch zentral kann.

iSCSI-boot fällt bei den kleinen Maschinen wahrscheinlich flach.
 
  • Gefällt mir
Reaktionen: Voltago
Twostone schrieb:
Kien DHCP-Server (ggf. inkl. RADIUS) im Netzwerk vorhanden?


cluster-ssh wäre in diesem Falle Dein Freund.


Na, wenn man die Schreibzugriffe nicht eingrenzt, dann hält keine Karte, egal ob SD, CF, etc. Und bis jetzt sehe ich nicht den Bedarf an vielen Schreibvorgängen.

Wobei es mich schon wundert, wenn ein Matschbauer das nicht selber hinkriegt.


Am SSH hänge ich mich nicht auf, aber das ganze ner Horde Programmierer beizubringen, welche ausschließlich Windows kennen ( Altersschnitt ~40-45), und jeder Programmier das ganze dann 1-2 mal pro Jahr machen muss ist der umstand. Selbst mit Anleitungen oder C#-Programmen von nem Student, welcher per paragonMount die Linux-Karte Mountet, und dann mit suche und Ersetze war nicht mit erfolg gekrönt. Würde mich aber gleich anstellen, wenn ich jetzt plötzlich und sporadisch mit nem Mac arbeiten müssten.

Zum Thema Matschbauer, (Sry IT-ler neht es mir nicht Übel). Aber wir kämpfen regelmäßig gegen die Abteilung. Wir arbeiten in VM´s, da wir nichtmal die Berechtigung haben, unsere Netzwerk-Schnittstellen zu editieren. Somit komm ich aber auf keine SPS.
Mit dem Thema Mini PC läuft es so: Kommen die PC´s in unsere Domäne? Nein? Also nicht unsere Kostenstelle und somit nicht unser Problem. Diese Erfahrung habe ich aber leider schon oft machen müssen.
Ergo kämpfen wir uns selbst mit halbgaren wissen durch Netzwerktechnik, Einrichten von PC´s (UnsereVM`s haben alle ne extra Lizenz, aber sicherlich die gleiche SID... Weil wirs nicht wissen und die IT uns im VM-Bereich nicht unterstützt...), oder Einrichten von Fernwartungen/Maschinenroutern selbst durchführen müssen.

Zum DHCP-Server, nein es gibt GAR KEINEN SERVER in einer Maschine. Ich glaube das ist das Problem, dass SPS/Automatisierung und IT das gleiche nutzen können. Die Namensauflösung in einem ProfiNet netzwerk fünktioniert NUR über ProfiNet-Namen. Wurde ein Gerät über spezielle Software/WebUI getauft, dann erhält es eine IP. Unsere Geräte werden meist mit der IP 0.0.0.0 ausgeliefert, und selbst da Funktioniert ein ProfiNet Netzwerk. Das Darf man definitv nicht vergleichen, auch wenns mit IP´s zu tun hat. Nochmla zum Verdeutlichen. Schmales WinCE, mit dem man weil es seitens von Siemens so Kastriert wurde, dass man nicht mal auf nen Netzlaufwerk zugreifen kann, geschweige denn an eine Domäne anmelden, Dieser Win10 PC und sonst NUR ProfiNet Geräte.


trane87 schrieb:
@freak1051

https://blogs.technet.microsoft.com/austria/2009/10/27/clone-wars-eine-neue-sid-in-windows-vergeben/

SID ist ein wichtiges Thema, um Probleme später zu vermeiden.

Würde dann definitiv nicht nur stumpf klonen, wenn alle später im selben Netz arbeiten.

https://www.windowspro.de/wolfgang-sommergut/sysprep-windows-images-fuer-das-deployment-vorbereiten

Sysprep Anleitung inkl. SID.

Wie schon gesagt, die PC´s arbeiten NICHT im selben Netz. Ein Maschinennetz besteht aus SPS, HMI und ein Paar geräte wie Frequenzumrichter, IO-Boxen, Analog-Boxen usw. in diesem netzwerk ist KEIN anderer Windows-PC ausser die alte Windows CE-Gurke von Siemens. Kein Server, keine Richtlinien keine AD



Twostone schrieb:
Ich bin kein ITler, sondern Elektriker. Elektriker sind faul. Warum ein dutzend eigenständiger Maschinen warten, wenn man's auch zentral kann.

iSCSI-boot fällt bei den kleinen Maschinen wahrscheinlich flach.

Hab mich mal schnell in des Thema eingelesen. Selbst wenn, wir haben keine permanente Serververbindung. Bessergesagt keine Serververbindung.


Das Teil hat genau 3 Aufgaben:

  • Anzeige VNC
  • Anzeige PDF
  • Per Browser auf ein Webinterface von einem Gerät im abgekapselten Maschinennetz zugreifen, und dass auch nur weil die WinCE-Siemens-HMI-Maschine kein Java kann
 
freak1051 schrieb:
Ein Maschinennetz besteht aus SPS, HMI und ein Paar geräte wie Frequenzumrichter, IO-Boxen, Analog-Boxen usw.
Na ja, ProfiBus kann man auch über TCP/IP tunneln, daß auch Desktop-Rechner mit ProfiBus-Geräten reden können. Geht auch für einen Haufen anderer Protokolle. Aber wir brauchen es nicht weiter hier ausführen, was alles möglich ist, wenn's eh bei Euch keine Anwendung findet.

freak1051 schrieb:
Das Teil hat genau 3 Aufgaben:

  • Anzeige VNC
  • Anzeige PDF
  • Per Browser auf ein Webinterface von einem Gerät im abgekapselten Maschinennetz zugreifen, und dass auch nur weil die WinCE-Siemens-HMI-Maschine kein Java kann

Eine sehr einfache und abgespeckte debian stable installation reicht hier schon aus. Einmal vorbereitet, kann das Image auf alle Rechner verteilt werden. Dank unattended-updates und debians Entwicklungszyklus ist dann nur noch selten manuell einzugreifen. Das wiederum kann dann dank cluster-ssh auch bequem auf allen Rechnern simultan erfolgen.

Debian oder RedHat wären imho die beste Wahl, da entsprechender Langzeit-Support und eben auch Stabilität und Zuverlässsigkeit. Vom Handling her würde ich Debian nehmen, ist für Einsteiger ggf. einfacher und man spart sich hier auf jeden Fall auf die für RHEL anfallenden Gebühren. Vorteil von RHEL wären laufzeit-Kernel-Patches und erstklassiger Support.

Der bequemlichkeit halber würde ich dennoch einen DHCP ins Netz stellen, ggf. auch mit Anmeldung gem. 802.1x. Man kann zwar auch für jeden Rechner über die /etc/network/interfaces eine feste IP definieren, wäre mir jedoch ab 3 Rechnern schon zu viel Arbeit.

Ein DHCP ist schnell aufgestellt und braucht auch nicht viel, hier würde sogar einer der ersten rpis ausreichen. Selbst inklusive RADIUS auth.

freak1051 schrieb:
WinCE-Siemens-HMI

Nanü? Die liefen doch eine ganze Weile lang mit CDE auf einem *nix-Derivat (OpenSolaris, iirc)?
 
Ja der DHCP bringt dennoch nicht viel. Wir haben unsere Standard Config, die kann man auch per Default in den Klon schreiben, aber bestimtme Kunden wollten Die anlagen in ihr Hausnetz einbinden, dass die Instandhaltung vom Arbeitsplatz drauf zugreifen kann. Da haben sie dann 255.255.255.1128er Netze und spätestens da muss ich ran. macht ca. 15% aus. und eben hier liegt die Kurx, je seltener man das unte Linux macht, umso schwerer fällt es.

Leider bekomm ich die Linux Variante nicht(mehr) bei meinem Vorgesetzten durch.... Wurde heute morgen beschlossen...

Bzgl. Siemens: Die Compfort-Panel 700,900, und 1200 sind noch mit Win CE. Ab 1500 aufwärts werden es Windows embedded. Die sind dann etwas komfortabler zu bedienen.

Alternativ dann natürlich die Panel-PC´s mit Windows10 aber die kosten aufgrund der Lizensierug usw imens mehr, als ein 2100er panel plus MiniPC
 
freak1051 schrieb:
Leider bekomm ich die Linux Variante nicht(mehr) bei meinem Vorgesetzten durch.... Wurde heute morgen beschlossen...

Na ja. Einen Versuch war's wert.

freak1051 schrieb:
Bzgl. Siemens: Die Compfort-Panel 700,900, und 1200 sind noch mit Win CE. Ab 1500 aufwärts werden es Windows embedded. Die sind dann etwas komfortabler zu bedienen.

Alternativ dann natürlich die Panel-PC´s mit Windows10 aber die kosten aufgrund der Lizensierug usw imens mehr, als ein 2100er panel plus MiniPC

Schade. Ich fand's damalsTM ganz nett, daß die Dinger einen anständigen Unterbau hatten, machte die Einrichtung und Verwaltung deutlich einfacher. Aber heute klickt man sich wohl eher durch die Gegend...
 
Zurück
Oben