Trotzdem sind die nachfolgenden Informationen interessant und wichtig, wenn man vielleicht seinen vorhandenen EmpirumServer austauschen, umbenennen o.ä. mag. Handelt es sich um eine Umgebung mit mehreren Standorten oder einer größeren vierstelligen Anzahl an Clients, dann machen auch mehrere EmpirumServer Sinn bzw. werden benötigt. Weitere EmpirumServer nennt man im Empirum Sprachgebrauch „SubDepot“ – andere Hersteller nennen weitere Installations-Server z.B.: Repository, Sites, Distributed Installation Point.

EmpirumServer – SubDepots

Empirum SubDepots können mit der Hilfe von vorhandenen Empirum Software-Paketen und den passenden Variablen aus Windows Clients (Windows Server und Workstations) erstellt werden. In der Hauptsache ist ein Empirum SubDepot eine Kopie der Empirum Dateistruktur und den dazugehörigen Freigaben des Empirum Dienste-Servers. Das SubDepot tauscht, wie ein verwalteter Client (siehe oben): Software-Pakete, Auftrags-, Variablen-, Log- und Inventardateien mit dem überordneten EmpirumServer (zumeist Empirum Master Server) aus.

EmpirumServer – Verbindungsreihenfolge

Die Definition, mit welchem EmpirumServer der Client (UEM-Agent) sich verbindet, wird im Agent-Template (der Agenten-Konfiguration) vorgenommen. Wenn man das oder ein Agent-Template geöffnet hat, kann man die Versuche einer Verbindung, von oben nach unten, konfigurieren. Wenn ich Versuche schreibe, dann ist damit gemeint, das mit jeder nachfolgenden Konfiguration ein Verbindungsversuch gestartet wird. Wird eine Verbindung erfolgreich hergestellt, so wird diese genutzt. Die weiteren konfigurierten Optionen werden dann nicht mehr in Erwägung gezogen. Die Verbindungsversuche pro definierter Option und somit EmpirumServer werden jeweils auch mit den konfigurierten Protokollen durchgeführt.

DHCP Optionen verwenden (1)– nutzen des im DHCP-Bereich des Clients hinterlegten Computernamens z.B.: Depot1.MeineDomain.com oder Depot1. Weitergehende Informationen habe ich unten beschrieben.

Zugewiesene EmpirumServer verwenden (2)– nutzen der in der Management Console in den Eigenschaften der Konfigurations- bzw. Zuweisungsgruppe definierten EmpirumServer. Die eingerückten Optionen: Zufällige Reihenfolge verwenden bzw. Empirum Master Server ausschließen beziehen sich auf die „zugewiesenen EmpirumServer“. Den Empirum Master Server ausschließen macht deswegen Sinn, weil ein Computerobjekt immer den Master Server nochmals direkt am Computerobjekt zugewiesen bekommt. Diesen sollte man auch nicht aus der Zuweisung herausnehmen.

In der Reihenfolge der Verbindungsversuche folgt nun der in der Umgebungsvariable EmpirumServer (3) zwischengespeicherte EmpirumServer, mit dem zuletzt eine erfolgreiche Verbindung hergestellt wurde.

Zu guter letzt, wird eine Verbindung mit dem EmpirumServer im Feld Ausfall-Server (4) vorgenommen.

Das komplette Agent-Template wird dem Client als XML Datei zur Verfügung gestellt.

Weiterführende Informationen

Hier geht es zu einem Hilfe-Artikel der Matrix42 zu diesem Thema.

Nachfolgend zu den zuvor genannten Einstellungen ein paar mehr Informationen von meiner Seite …

DHCP Optionen verwenden – Reihenfolge der Konfiguration

DHCP Optionen verwenden – wenn die Option im Agent-Template aktiviert ist/wird, muss zuvor in Empirum DBUtil die EmpirumServer DHCP Option aktiviert und gesetzt sein. Welche Optionsnummer man verwendet ist in einem gewissen Rahmen, eigene Definitionssache. Es gibt einen Bereich, in dem benutzerdefinierte/kundenspezifische Werte gesetzt werden dürfen und dieser beginnt bei 128. Diese Optionsnummer muss dann wiederum im IP-Bereich des Clients ebenso aktiviert und gesetzt sein.

Vorgehensweise:
1) DHCP Server / IP-Bereich – prüfen, ob die Option 128,129, o.ä. frei ist.
2) Empirum DButil – Empirum-PXE, DHCP Optionen, EmpirumServer aktivieren und Option (z.B.: 128) definieren
3) Agenten-Template – Haken bei DHCP Optionen verwenden setzen und Agent-Template (neu) speichern.
4) DHCP Server / IP-Bereich – Option (z.B.: 128) aktivieren/erstellen und den für den Bereich passenden EmpirumServer eintragen.

Hier zwei Screenshots aus Empirum DBUtil …

Zugewiesene EmpirumServer

Der nachfolgende Screenshot zeigt die Eigenschaften eines Computerobjekts in Empirum. Wie zuvor beschrieben, seht ihr oben rechts unter „Ausgewählte Empirum Server“ den auf dieser Stufe ausgewählten EmpirumServer. Am Computerobjekt selbst ist im Standard immer der Master EmpirumServer eingetragen. Dies bitte unverändert lassen!
Unten rechts bei Gruppen Empirum Server seht ihr die vererbten Empirum Server der darüberliegenden Konfigurations- bzw. Zuweisungsgruppen. Die Reihenfolge der Verbindungsversuche wird von oben nach unten durchgeführt – dies unter Berücksichtigung der Konfiguration im Agent-Template.

Nachvollziehen / Troubleshooting

Wenn ihr schauen wollt, wie euer Client den EmpirumServer anhand eures Agent-Templates bestimmt, dann werft einen Blick in das UAF Log des Clients. Die Logs befinden sich im Verzeichnis: %ProgramData%\Matrix42\Logs\UAF. Die aktuelle Datei lautet: Matrix42.Platform.Service.Host.log. Die Logs werden je 10MB rollierend erstellt und somit kann ein Start- oder Verbindungsversuch in einer Datei mit einem Datumstempel vermerkt sein. Wenn ihr in der Datei nach der Zeichenfolge „Server Access List“ sucht, solltet ihr eine Liste angezeigt bekommen, die aus den obigen Konfigurationen und Zuweisungen resultiert. Hier könnt ihr entnehmen, in welcher Reihenfolge und mit welchen Protokollen der Client die Verbindungen versucht aufzubauen.

Sieger – Am Client könnt ihr den am Ende ausgewählten EmpirumServer mit einem Klick auf das UEM-Agent Symbol und „Info über ..“ oder der Umgebungsvariable „EmpirumServer“ angezeigt bekommen.

Der Beitrag Empirum UEM Agent – EmpirumServer Bestimmung erschien zuerst auf Workplace Management Blog.

Variablen

Nachfolgend sollten die meistgenutzten Variablen aufgeführt sein. Falls ihr eine Variable häufig nutzt, die hier nicht aufgeführt ist, so lasst es mich wissen.

Beispiele

Del "%CommonDesktop%\WinSCP.lnk"

Del "%CommonPrograms%\TotalCommander Repair und Uninstall.lnk"

Deltree "%ProgramFiles%\WinSCP"

Callhidden %ComSpec% /C Echo %%date%% %%time%% [Set:Product] Install or repair >>"%App%\Debug.log"

Copy "%Src%\filezilla.xml" "%App%\FileZilla.xml"

Copy "%App%\filezilla.xml" "%AppData%\FileZilla\FileZilla.xml"

Der Beitrag Empirum Setup.inf – Variablen erschien zuerst auf Workplace Management Blog.

• https://www.wpm-blog.de/empirum-paket-deinstallation-ohne-quellen/
• https://www.wpm-blog.de/empirum-errorlevel-abfrage-bei-unattended-installationen/

Reparatur Logik

Das Resultat wird, je nach Betrachtung, nicht das Optimum darstellen. Meines Erachtens ist dies jedoch schon ein gutes Stück weiter als das Original. Wir betreiben also etwas Tuning :). In diesem Beitrag soll es um die Reparatur gehen.
Das Reparatur-Handling hilft uns …

• für die Reparatur einer Software durch Deinstallation und Neuinstallation
• falls die Software zuvor anderweitig ggf. manuell installiert wurde, damit diese zuvor deinstalliert wird
• falls die Software durch das Matrix42 Patch-Management vielleicht schon auf eine andere Version angehoben wurde

Grober Ablauf

Die Reparatur setzt grob auf folgenden Ablauf:
1) Erkennung, ob diese Software ggf. auch in einer anderen Version bereits installiert ist.
2) Falls ja, entfernen dieser Installation.
3) Anschließend wird mit dem „normalen Installationsablauf“ fortgefahren.

Anpassungen

Der nachfolgende Code-Schnipsel kann in die unattended.inf übernommen werden, oder ihr wartet noch die nächsten zwei Artikel ab und übernehmt dann eine gesamte unattended.inf. Was wird noch folgen? Erkennung und Abfangen von geöffneten Programmen, sowie „verstecken“ der originären Installation in der Systemsteuerung unter „Programme“.

Falls ihr diesen Schnipsel nutzt …

In der [Product] Sektion muss vor die Installation die
#CheckExistingInstallation, DONTDELETE
eingebaut werden.

Die Erkennung bzw. das Deinstallationsprogramm hinter der Variablen „VM_UnInstCMD“ muss angepasst werden.

Code-Schnipsel

[CheckExistingInstallation]
;---setzen der Variable mit dem Deinstallationsprogramm
Set VM_UnInstCMD=%ProgramFilesDirx86%\My Program\unins000.exe
;---falls das Deinstallationsprogramm vorhanden ist, dann springe in die Sektion zu Deinstallation
If DoesFileExist ("%VM_UnInstCMD%") == "1" Then "DoUninstallBeforeInstall" EndIf

[DoUninstallBeforeInstall]
;---führe die Deinstallation durch und warte zur Sicherheit 3 Sekunden
-Call "%VM_UnInstCMD%" /S
Sleep 3000
;---Wurde die Deinstallation erfolgreich durchgeführt und ist die Deinstallationsroutine entfernt worden? Falls nicht, melde einen Fehler.
If DoesFileExist ("%VM_UnInstCMD%") == "1" Then "ErrorOnUninstallBeforeInstall" EndIf

[ErrorOnUninstallBeforeInstall]
ErrorLogMsg %ErrorText% %ErrorLevel% %CallingText% %VM_UnInstCMD%
Abort

Der Beitrag Empirum Setup.inf – Reparatur Unattended Setup erschien zuerst auf Workplace Management Blog.

LAPS und deren Unterschiede

Der Unterschied im Namen ist gering „Microsoft LAPS“ (alt, Legacy LAPS) und „Windows LAPS“ (neu), die Möglichkeiten unterscheiden sich jedoch enorm. Der ganz klare Vorteil ist, Windows LAPS ist nun Bestandteil des Betriebssystems. Die weiteren Vorteile sind die Integration in die moderne Verwaltung.
Die Einstellungen können nun nicht mehr nur aus Gruppenrichtlinien (GPOS) kommen und das Kennwort kann nun auch verschlüsselt im Azure Active Directory (AAD) gespeichert werden. Wer tiefer in die Materie und Möglichkeiten eintauchen möchte, dem lege ich die folgenden Seiten ans Herz:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-overview

Active Directory Berechtigungen

Wer das LAPS Kennwort im Active Directory speichert, sollte auch weitere Aspekte berücksichtigen, damit dies auch entsprechend abgesichert wird. Neben der spärlichen Vergabe der Benutzer die auf die LAPS Felder Zugriff haben, sollte man auch den Benutzer ins Auge fassen, der das Computerkonto erstellt. Weiteres dazu kann man hier finden.

Zusammenspiel mit Empirum

Im Zusammenspiel mit Empirum sind ein paar Dinge zu beachten, wenn man das Maximum an Sicherheit herausholen möchte.

DomainJoin Variablen

Die Variablen und somit der Benutzer für den Domain-Join sollte bestenfalls nur für den Zeitpunkt der Betriebssysteminstallation zugewiesen sein. Dies kann über eine separate Konfigurations- oder Zuweisungsgruppe geschehen, in dem der Computer nur für die Betriebssysteminstallation zugeordnet ist.

Windows LAPS

Will man die Vorteile von Windows LAPS nutzen, sollte man darüber nachdenken eine Windows 10 bzw. 11 Quelle für die Betriebssysteminstallation einzubinden, die das April oder besser Mai 2023 Update beinhaltet. Alternativ kann man auch das Windows Update in seine Quellen integrieren.

Reinstallation von Computern

Gerade bei Tests oder im Client Lifecycle kommt es vor, dass vorhandene Computer mit dem gleichen Namen nochmals installiert werden. Wurde das Computerobjekt vor der Neu-Installation nicht aus dem Verzeichnisdienst (AD/AAD) gelöscht, kann es dauern bis das LAPS neu erstellt und gespeichert wird, da das „Ablaufdatum“ vom Verzeichnisdienst vorgegeben wird. Etwas was mir diesbezüglich schon länger durch den Kopf ging, hat ein mir bekannter Administrator als WinPE Paket umgesetzt.

Das WinPE Paket zusätzlich der detaillierten Erläuterungen und Einstellmöglichkeiten findet ihr in seinem github Repository: https://github.com/htcfreek/PreOS-ResetLapsPassword.

Wem das nicht reicht, so wird er dort auch fündig hinsichtlich einer GUI für das Windows LAPS Kennwort: https://github.com/htcfreek/SimpleLapsGui

Ein großes Kompliment für diese Erweiterung von meiner Seite!

Microsoft LAPS Benutzer

Für all diejenigen, für die Microsoft LAPS nichts neues ist, sollten sich mit der Co-Existenz, den Änderungen und neuen Möglichkeiten auseinandersetzen. Man muss jedoch sehr achtsam mit den Begrifflichkeiten und Funktionen umgehen, da die ähnlichen Worte und Begriffe einen schon gerne einmal verwirren.

Der Beitrag Windows LAPS und Empirum WinPE erschien zuerst auf Workplace Management Blog.

wpm-Blog WinPE-Extension-Pack 1.3

Aufgrund der Windows 11 Implementierung und Unterscheidung im OS-Installer habe das PrepareDRVbyModel_Packages Paket überarbeiten „müssen“. Der Vorteil für Euch – auch eine weitere Funktion ist nun für alle nutzbar. Es ist die CommonDrivers Funktion. Ein Ordner mit Treibern wird für alle Modelle kopiert. So könnt ihr in diesem Ordner, die (neuen?) Dockingstation oder USB-Netzwerkadapter Treiber ablegen und müsst dazu nicht alle Modellpakete erneut anpassen. Es gibt einen Standard-Ordner (CommonDrivers) der kopiert wird, alternativ könnt ihr per Variable einen anderen Namen angeben. Den Gedanke hatte ich auch schon einmal und ein Nutzer hat mich da noch etwas „geschuppst“ – jetzt steht es Euch allen zur Verfügung. Ich hoffe, es gefällt Euch.

Das Paket, dass den Hotfix installiert, damit Windows 10 Pro keine ungewollten Neustart direkt nach WinPE Phase durchführt, habe ich in das Extension Pack aufgenommen. Ihr könnt selbst entscheiden, ob ihr es benötigt, oder nicht.

Das aktuelle wpm-Blog WinPE-Extension-Pack bekommt ihr hier.

innomea WinPE Extension Pack

Neben den WinPE Erweiterungen die ihr hier auf meinem Blog seht, arbeite ich auch den WinPE Erweiterungen der innomea mit. Die Erweiterungen der innomea sind hauptsächlich Ergänzungen zu den Paketen die Matrix42 anbietet. Mit den Ergänzungspaketen (HardwareProfileValidator und CommonDrivers) sollen annährend die Funktionen bereitgestellt werden, die z.B. hier mit PrepareDrvByModel_Packages erreicht werden.

Das innomea PostWindowsInstallation Paket wiederum ist eine starke Weiterentwicklung des hier angebotenen PostOSInstallation. Dieses Paket ermöglicht viele Anpassungen an der Windows Installation, die einige von Euch noch von den Betriebssystemvorlagen her kennen. Dabei wurde teilweise auch auf Einträge im Matrix42 ideas Portal eingegangen.

Hier ein kleiner Auszug der Funktionen, die ihr zum Großen Teil per Variablen steuern könnt: Installation von Treibern per EXE/MSI, Firewall Modifikationen, Festplatte/Partition C: umbenennen, Support, Besitzer Informationen hinterlegen, EmpirumServer der OS-Installation als Umgebungsvariable setzen, „Kennwort läuft nicht ab“ für den zusätzlichen lokalen Admin setzen, uvm.

Den kompletten Umfang und die weiteren Pakete könnt ihr hier einsehen.

Matrix42 DomainJoin Paket

Das Matrix42 DomainJoin Paket wird in Kürze auch eine neue Version erhalten, dessen Vorteil einige zu nutzen wissen werden. Vielen Dank an die Beteiligten der Matrix42 für eure offene Kommunikation und Umsetzung!

Beyond Empirum WinPE

Natürlich dreht sich die hier zumeist angesprochene Matrix42 Empirum Welt nicht nur um WinPE. Jedoch kann man ganz gut erkennen, dass diese mir sehr viel Spaß bereitet. Matrix42 ist dabei eine größere Änderung im UEM-Agent vorzunehmen. Darauf werde ich mit Euch in Kürze schauen.

Stay save!

Wer mich kennt, weiß wie sehr ich versuche „Anglizismen“, wenn möglich, zu umgehen. Es gibt meines Erachtens jedoch einige Situationen bei diesen diese Worte oder Sätze einfach kürzer und treffender sind. Wie auch immer: Bleibt weiterhin gesund in dieser „unbekannten“ und noch „verrückteren“ Zeit!

Der Beitrag Aktualisierungen Frühjahr 2022 erschien zuerst auf Workplace Management Blog.

Variable USER_UPDATE

Eine Variable steuert, wie das Paket sich verhalten soll. Die nachfolgende Zeile in der Setup.inf verrät, was man machen muss.
If „%VM_SUBDEPOT_USER_UPDATE%“ != „0“ Then „Set:DeleteUser2“ EndIf

Erstellen der Variable

Erstellt man unterhalb der Variablendefinition „SUBDEPOT“ eine Variable mit dem Namen „USER_UPDATE“ (Typ: Zahl oder Text), so kann man steuern, was bei einem „Update“ geschehen soll. Setzt man die Variable explizit auf „0“, so wird der Benutzer nicht bei jedem Update gelöscht und neu angelegt

Möchte man die vorgenannte Funktion nutzen, so erstellt man die Variable „USER_UPDATE“ vom Typ Zahl in der Variablendefinition: SUBDEPOT.
Dazu wählt man in der Matrix42 Management Console, Administration, Extras, Variablendefinitionen … aus und navigiert zur vorhandenen Variablendefinition „SUBDEPOT“. Durch einen Doppelklick oder der Auswahl und Bearbeiten, landet man in den Eigenschaften der Variablengruppe SUBDEPOT. Hier fügt man die Variable mit einem Klick auf das „+“ Symbol hinzu. Wer einen vorgefertigten Beschreibungstext haben möchte: 0 – Don not delete user | 1 – Delete and create user

Zuweisung des Wertes

Anschließend setzt man diese Variable für einen Computer, eine Konfigurations- oder Zuweisungsgruppe. Weitergehende Informationen zur Übernahme des Wertes für untergeordnete Objekte findet man hier.

Der Beitrag Empirum SubDepot Paket und lokaler Agenten Benutzer erschien zuerst auf Workplace Management Blog.

Was ist so anders bei Office 365?

Generell besteht die Umstellung darin, dass das die Office 365 Installation nicht mehr aus MSI und MSP Dateien besteht. Die „neue“ Installationsvariante hört auf den Namen „Click-To-Run“ oder kurz C2R bzw. ins deutsche übersetzt Klick und Los. Die nachfolgenden Links geben Antworten auf viele Fragen rund um das Thema „Breitstellung und Aktualisierung von Office 365“. Zusätzlich habe ich Links zur Aktualisierung von Office 365 per Matrix42 Patch-Management hinzugefügt.

Die häufigsten Fragen

Die hauptsächlichen Fragen bei der Bereitstellung von Office 365 sind:

• Welche Programme sollen alles verteilt werden?
• Was soll nicht Bestandteil der Bereitstellung sein (Publisher, OneDrive, Teams, …)?
• Welche Sprachen sollen bereitgestellt werden?
• Welcher Update-Kanal soll gewählt werden?
• Wo halten sich meine Clients am häufigsten auf?
• Wie und wo sollen die Updates-Quellen bereitgestellt werden?

Wie man sieht, sind das einige Fragen die beantwortet werden wollen, bevor man so richtig loslegen kann.

Was muss ich beachten, wenn ich zusätzlich Visio und Project installieren möchte?
https://docs.microsoft.com/de-de/deployoffice/install-different-office-visio-and-project-versions-on-the-same-computer

Was sind die Office Update Channels und was unterscheidet diese und welches ist der richtige Update Channel für mich oder meine Benutzer?https://docs.microsoft.com/en-us/deployoffice/overview-update-channels

Welchen Update Channel habe ich aktuell konfiguriert?
https://techcommunity.microsoft.com/t5/office-365-blog/how-to-manage-office-365-proplus-channels-for-it-pros/ba-p/795813

Wie aktuell bin ich?
Überblick über die aktuellen Versionen in den jeweiligen Update Channels:
https://docs.microsoft.com/en-us/officeupdates/update-history-microsoft365-apps-by-date

Office 365 Updates

Welche Gruppenrichtlinien sind für das Update per Matrix42 Patch-Management zu setzen?
Wichtig zu wissen: Das Matrix42 Patch-Management für Office 365 „triggert“ nur die Aktualisierung und bringt nicht die Updates mit. Dazu müssen die aktualisierten Quellen für die Aktualisierung entweder auf einer UNC Freigabe, einer Web-Freigabe oder im Internet (Standard) abgelegt sein. Mein Wissensstand heute: Wenn man das Office365 Update gegen das Internet „triggert“, wird immer die aktuell verfügbare Version installiert, unabhängig von dem Office 365 „Patch“ den ich im Empirum Patch-Management freigegeben habe. Dies könnte man mit dem Parameter „Targetversion“ in der Gruppenrichtlinie steuern.
https://helpfiles.matrix42-web.de/2020_DE/M42_WebDocu.htm#WM/Manuals/Patch_Management/PM_Office.htm?

Gruppenrichtlinien setzen per GPO oder Registry
Eine Übersicht über die Einstellmöglichkeiten zu Office Click To Run per GPO findest Du hier.
https://admx.help/?Category=Office2016&Policy=office16.Office.Microsoft.Policies.Windows::L_UpdatePath

Wo in der Registry finde ich die Gruppenrichtlinien zu Office 365?
HKEY_LOCAL_MACHINE\software\policies\microsoft\office\16.0\common\officeupdate

Was muss ich beachten, wenn ich eine eigene Update Freigabe erstelle?
Wenn man die Aktualisierungen im internen Netz bereitstellen mag, muss man noch die Entscheidung fällen, ob die Freigabe per UNC oder http/https erreichbar sein soll.
Erstellt man eine UNC-Freigabe, so darf diese keine versteckte („$“) Freigabe sein. Hinweis: Die NTFS Berechtigungen sollten Zugriff für Everyone oder das Computerkonto erlauben! Die Quellen müssen im Unterordner Office\Data liegen (Die Quellen liegen dann also unter dem zuvorgenannten „updatepath“ + „\Office\Data“). Darin gibt es eine v<Architektur>.cab, eine v<Architektur>_<Version>.cab und ein Unterordner mit der <Version>. Der Unterordner mit der Version enthält die Quellen für die Installation. Die Dateien haben für eine deutsche Installation folgendes Namensschema: $$$1031.cab. In den Quellen können mehr Office Produkte/Module enthalten sein, als installiert werden. Sprich, die Quellen können in der Freigabe das Access beinhalten, aber in der Configuration.xml ist das Access ausgeschlossen.

Wie lade ich die Office 365 Quellen für eine Installation oder Aktualisierung herunter?
Die Quellen werden mit dem Microsoft Bereitstellungstool (Setup.exe) und einer passenden Konfigurationsdatei heruntergeladen.
Setup.exe /download <Datei.xml>
Die Konfigurationsdatei benötigt die Angabe des Ablageortes SourcePath=“<Pfad>“.
Bereitstellungskonfiguration: https://config.office.com/
Bereitstellungstool: https://www.microsoft.com/en-us/download/details.aspx?id=49117

Protokollierung

Das Logging der Installation als auch der Aktualisierung erfolgt nach %WinDir%\Temp\%Computername%-<Datum>-<Uhrzeit>.log
Wenn die Datei %Computername%-<Datum>-<Uhrzeit>.log größer oder annähernd 100kb groß ist, dann hat zumeist ein Update stattgefunden.
Die kann man u.a. auch daran festmachen, ob in der Datei „Update mode context starting: /update“ zu finden ist.
Wenn etwas fehlschlägt, oder man nach einem Fehler sucht. Dann sollte man in der Datei nach „error“ suchen.
Für die Installation kann man einen alternativen Log Pfad in der Bereitstellungskonfiguration angeben.

Erweiterte Protokollierung
Falls die standardmäßige Protokollierung von Office 365 nicht ausreichend ist, so kann man diese wie folgt erweitern:

reg add HKLM\SOFTWARE\Microsoft\ClickToRun\OverRide /v LogLevel /t REG_DWORD /d 3 /f
reg add HKLM\SOFTWARE\Microsoft\ClickToRun\OverRide /v PipelineLogging /t REG_DWORD /d 1 /f

Quelle: https://docs.microsoft.com/de-de/office/troubleshoot/diagnostic-logs/how-to-enable-office-365-proplus-uls-logging

Weitergehende Scripte für Office 365 (Click to Run)
https://github.com/OfficeDev/Office-IT-Pro-Deployment-Scripts

Der Beitrag Office 365 Installation und Update – Gesammelte Werke erschien zuerst auf Workplace Management Blog.

UEM Agent Einführung und Funktionen

Ein Vorteil des UEM Agenten ist, das er unabhängig von der eingesetzten Empirum Version ist. So muss man nicht warten bis eine neue Empirum Version erscheint, um neue Empirum Agenten Funktionen nutzen zu können. Eine Übersicht über die Neuerungen und die jeweils aktuelle Version steht im Marketplace bereit.

UEM Agent Rollout

So sollte der Advanced Agent durch den UEM Agent ersetzt werden, wenn dies noch nicht geschehen ist. Der Rollout kann unter anderem durch die Neu-Installation des Windows 10 geschehen. Die Vielzahl der Agenten Aktualisierungen passieren jedoch im laufenden Windows Betrieb. Dies wird durch die Zuweisung des UEM Agenten per Paket erledigt.
Der Austausch des gerade laufenden Agenten ist bis zu einem gewissen Teil „Operation am Herzen“. Damit meine ich, wenn die „Operation“ fehlschlägt, verliert man mit unter Verbindung zum Endgerät und somit das Endgerät aus der aktiven Verwaltung.

Fehlerprävention

Wie sich bei den letzten Empirum Agent Updates herausgestellt hat, sollte man vor der Aktualisierung des UEM Agents sicherstellen, dass der Client über das .NET Frameworks 4.7.2 oder neuer verfügt. Dazu empfiehlt es sich das .NET Framework bereits vor dem UEM Agenten zu aktualisieren – besser noch eine Abhängigkeit des UEM Agenten auf die .NET Framework Version vorzunehmen. Diese Abhängigkeit setzt man als erweitere Bedingung im UEM Agent Paket. Wie das geht, habe ich in folgendem Artikel erklärt. Die Release Nummern des .NET Frameworks wiederum sind auf dieser Seite aufgelistet.

Fehleranalyse

Die Aktualisierung des UEM Agenten wird im nachfolgenden Log auf dem entsprechenden Endgerät aufgezeichnet: „%ProgramData%\Matrix42\Logs\UEM Agent Update\UEMAgentUpdate.log“. Hier kann man Hinweise für die fehlgeschlagene Aktualisierung finden bzw. sollte diese Datei für den Support sichern.

Möglichkeiten der Reparatur

Eine Reparatur einer gestrandeten Aktualisierung kann per Agent-Push geschehen, wenn der Computer erreichbar ist und diverse Voraussetzungen erfüllt sind. Wer es noch nicht kennt, den Agent-Push erreicht man über das Kontextmenü des Computers bzw. der Gruppe: Experte\Push Agent …
Weiterführende Informationen sind in der Matrix42 Hilfe zu finden:
Die wichtigsten Voraussetzungen habe ich bereits im Artikel „Empirum Agent Verteilung per Push“ beschrieben.

Agent Push

Möchte man mehrere Clients mit dem Agent Push erreichen, so kann man sich eine Zuweisunggruppe mit den betroffenen Systemen erstellen. Zusätzlich muss ein passendes Agent-Template zugewiesen sein und die Variable „MX42_AGENT_PUSH_PACKAGE_FOLDER“ auf die zu pushende Agent Version gesetzt sein. Um eine definierte UEM Agent Version zu installieren, ist es erforderlich, die Variable MX42_AGENT_PUSH_PACKAGE_FOLDER mit dem Pfad zur gewünschten UEM Agent Version zu belegen. Beispiel: UEM Agent Windows\2006.4

Bestimmen der Systeme …

Wenn eine Installation fehlschlägt, so verbleibt gerne die Installation des UEM Agents mit dem Status Running im SWDepot-Log. Diese fehlgeschlagenen Updates kann man mittels eines Filters in in der Rollout-Koordination oder im SWDepot-Log bestimmen. Für eine andere Art der Übersicht, habe ich einen Filter erstellt, der per Empirum DBUtil erstellt werden kann. Dieser Filter enthält alle Computer, die einen „Install“ Eintrag zum „UEM Agent“ mit dem Status „Running“ haben. Falls es nachfolgende erfolgreiche Installationen gibt, so sind diese derzeit trotzdem in diesem Filter enthalten. Dieser Filter kann also „false positive“ Ergebnisse beinhalten.

Dazu die angehängte Datei entpacken und über die Empirum Struktur kopieren. Nachdem das SQL Script „SW_UEM-Agent_Install_Running“ aus dem Unterordner Custom über Empirum DBUtil ausgeführt wurde, steht der Filter in der Management Console zur Verfügung.

Download

SW_UEM-Agent_Install_Running (491 Downloads )
MD5 Hash der Downloaddatei: B27EAA30786436633DBB1AB63409353F

Der Beitrag UEM Agent Rollout erschien zuerst auf Workplace Management Blog.

Download der neuen WinPE Erweiterung vom Matrix42 Marketplace

Den aktuellen WinPE PreBoot Support findest Du im Matrix42 Marketplace. Lade die aktuelle Version und das dazugehörige WinPE How-To herunter. Der PreBoot Support steht als selbstextrahierendes Archiv zur Verfügung, kann aber auch gezielt mittels z.B. 7-zip entpackt werden.

Sicherung der genutzten WinPE Umgebung

Empirum Updates erstellen automatisch eine Sicherung des WinPE Ordners unter:
\\%EmpirumServer%\EmpInst$\Sys\Images\WinPE_Backup
Da die im Marketplace bereitgestellten WinPE Aktualisierungen lediglich kopiert werden, muss man sich selbst um die Sicherung kümmern.
Dazu kopierst Du am besten den Ordner
\\%EmpirumServer%\EmpInst$\Sys\Images\WinPE
nach
\\%EmpirumServer%\EmpInst$\Sys\Images\WinPE_Backup
Zur Sicherheit gibst Du der Sicherung noch die WinPE Version oder ein Datum mit.
Die WinPE Cersion kannst Du aus den Dateiinformationen der
\\%EmpirumServer%\EmpInst$\Sys\Images\WinPE\binaries\UAF\Matrix42.Empirum.PeAgent.dll
entnehmen.

Entpacken des WinPE PreBoot Supportes

Der entpackte WinPE PreBoot Support steht als Empirum Verzeichnis Struktur zur Verfügung.

Kopieren der Aktualisierung

Kopiere nun die entpackte Empirum Struktur über die vorhandene aktive Empirum Installation.

Anpassungen / Customizings

Falls Anpassungen hinsichtlich Logos, Hintergrundbilder, Standard-Timeouts, etc. getätigt wurden, so sind diese Anpassungen wieder im
\\%EmpirumServer%\EmpInst$\Sys\Images\WinPE
Ordner vorzunehmen. Dazu kannst Du auch in Deiner zuvor getätigten Sicherung nachsehen bzw. dich bedienen.

Importieren der aktualisierten PreOS Pakete

Anschließend sind die aktualisierten PreOS Pakete in der Management Console unter Konfiguration\Software Management\Depot zu importieren.
Wenn Du Dich hier noch nicht so sicher fühlst, so kannst Du dies ist im Kapitel 2.1.1 des oben genannten WinPE How-Tos nachvollziehen. Mit dem PreBoot Support Version 1.8.1 werden die Pakete möglichst bereits in die richtige Reihenfolge gebracht und direkt zur Installation freigegeben. Falls Du Dir bzgl. der Reihenfolge der Pakete nicht sicher bist, so kannst Du Dir diesen Artikel nochmals ansehen.

Bootkonfiguration neu erstellen

Lese diesen Abschnitt zuerst zu Ende bevor Du aktiv wirst.
Der einfachste Weg ist die vorhandene Boot-Konfiguration zu öffnen und unten rechts auf Speichern zu drücken. Dann wird die vorhandenen Boot-Konfiguration mit den neuen Quellen der WinPE Umgebung aktualisiert. Mit einem kleinen „Umweg“ erstellst Du eine zweite/neue Boot-Konfiguration und übernimmst die Einstellungen der derzeitig genutzten Boot-Konfiguration (Einstellungen: Agent-Template, TFTP-Blockgröße, Self-Provisioning und zusätzliche Treiberverzeichnisse, etc.). Diese Konfiguration kannst Du auch immer wieder für die neuen Versionen nutzen. Wenn also die kommenden Schritte und Tests funktionieren, erstellst Du die produktiv genutzte Konfiguration neu.

Testen!

Nachdem die Boot-Konfiguration fertig erstellt ist, kannst Du die neuen Komponenten testen. Für den Test erstellt Du Dir eine gesonderte Zuweisungsgruppe und ordnest ihr die neue Boot-Konfiguration und neuen Pre-OS Pakete zu. Bitte beachte, dass die notwendigen Variablen auch hier gesetzt sein müssen. An dieser Stelle könnte es nützlich sei, sich mit den neuen „Variablen Konfigurationen“ auseinander zu setzen.

Produktive Nutzung oder Rollback?

Treten bei den Tests keine Ungereimtheiten auf, so kannst Du die Änderungen in Deine produktiv genutzten Konfigurations- oder Zuweisungsgruppen übernehmen. Dazu kannst Du entweder die alte Boot-Konfiguration mit der neuen ersetzen, oder aktualisierst die produktiv genutzte Boot-Konfiguration nun mit den neuen Quellen. Die neuen Pre-OS Pakete musst du jedoch trotzdem zuweisen, oder eben eine genutzte Software-Gruppe aktualisieren.

Sollte etwas nicht wie gewünscht funktionieren, brauchst Du es nicht zu überführen bzw. kannst mit der Übernahme noch warten.
Die Erstellung der Boot-Konfiguration greift immer auf das „WinPE“ Verzeichnis zu. Im „schlimmsten“ Falle, kannst Du das WinPE Verzeichnis aus dem WinPE_Backup Verzeichnis wiederherstellen, wenn Du z.B. neue Treiber in das „ältere“ funktionierende WinPE integrieren musst.

Der Beitrag Empirum WinPE PreBoot Update mit „doppeltem Boden“ erschien zuerst auf Workplace Management Blog.

Was ist drin?

Im Empirum WinPE Extension Pack 1.0 sind enthalten:

• WinPE-D-2PXE 1.6
• PrepareDRVbyModel_Packages 1.7
• InstallNetFX3 1.2
• PostOSInstallation 1.2

Was hat sich geändert?

Nachfolgend gehe ich auf die wesentlichen Änderungen in den Paketen ein. Wie ich sehe, hat sich am meisten im WinPE-D-2PXE getan. Dieses Paket hilft immer wieder beim Troubleshooting, da es u.a. schon immer die WADK Version und nun auch die Empirum WinPE Version ausgibt.

WinPE-D-2PXE
liefert Informationen über den Computer und Umgebung

• neben den PXE-Einträgen wird auch eine Log-Datei mit den gleichen Informationen erstellt
• eine Import-Datei für den Matrix42WinPEDriverAssistant wird erzeugt
• die Dateien werden bereits nach dem WinPE 1.8.0 Verfahren übertragen
• die genutzte Empirum WinPE Version wird ausgegeben
• die erkannten eingebauten Festplatten und Netzwerkkarten werden ausgegeben

PrepareDRVbyModel_Packages
ist eine Alternative zum DriverIntegration Paket der Matrix42

• Kosmetik und anpassen von Ausgaben
• kann nun auch für Hardware genutzt werden, die keine Hersteller oder Modell-Information per WMI liefert

InstallNetFx3
installiert/aktiviert das .NET Framework 3.5 aus den zugewiesenen Betriebssystemquellen

• … hatte ich noch nicht veröffentlicht

PostOSInstallation
führt eine Batch Datei nach der Betriebssysteminstallation aus, die als Ersatz für die EmpirumAgent/UEMAgent.bat dienen kann. Diese Batch-Datei spielt auch mit dem PrepareDRVbyModel_Packages Paket zusammen.

• kann nun auch mit der %EmpirumServer% Variable in der PostOSInstall.bat umgehen
  
• öffnet den Firewall Port für den Push von Software Pakete

Weitere Vereinfachung

Die nachfolgende ZIP-Datei enthält nun eine Empirum Struktur, wie ihr die von Matrix42 Hotfixen und der WinPE Erweiterung bereits kennt, und kann „einfach“ in/über die Empirum Struktur kopiert werden.
Zusätzlich habe ich im „Empirum\Configurator\Packages\Matrix42\OSPackages\Drivers“ Ordner eine beispielhafte Verzeichnisstruktur und Setup.inf abgelegt, um mit PrepareDRVbyModel_Packages und PostOSInstallation Treiber nach der Betriebssysteminstallation zu installieren. Das ging schon immer, hat jedoch auch immer wieder nachfragen aufgeworfen, da ich dies nicht genug erläutert und dokumentiert habe. Ich hoffe, es ist nun einfacher aufzugreifen und zu nutzen.

Falls nicht, so gebt mir per Kommentar oder Mail eine Rückmeldung.
Wie immer – viel Spaß und gutes Gelingen!

Empirum WinPE Extension Pack 1.3 (285 Downloads )
SHA256 der Downloaddatei: EE118815DBD4DC80D6CBBFB9855C44C6639D08F63C0B8AE6779104176FB462A2

Empirum WinPE Extension Pack 1.2 (422 Downloads )
MD5 Hash der Downloaddatei: E10E01545793D0C4326D041CC1931FDD920CEAA0

Empirum WinPE Extension Pack 1.1 (396 Downloads )
MD5 Hash der Downloaddatei: 15A1A232F6D0C9124DB85CB14456C5D1D96F6BCA

Der Beitrag Empirum WinPE Extension Pack erschien zuerst auf Workplace Management Blog.