Configuring the bootstrap protocol (bootp) and dhcp ports
Based on Microsoft’s documentation, we also need to allow port 67 and 68 on UDP from the clients VLAN to the WDS server. If we do not open these two ports we will have problems later on getting the WIM image for the deployment.
Configuring the dhcp relay agent
To begin with, we need to configure our firewall to forward DHCP broadcast packets to our DHCP server, also known as DHCP relay or helper address, so clients in the deployment VLAN can get an IP address from our DHCP server. In the bellow image, the clients that I want to deploy are in VLAN 40 and my DHCP server is in VLAN 50.
Once the DHCP Relay agent is configured on the firewall, clients should be able to get an IP address from the DHCP server, but still cannot boot…yet.
Also, taking a look in the DHCP server’s console, we can see an IP address was leased for the client I just powered on.
Configuring the dhcp server for wds
First in the line of duty is the DHCP server. Here we need to add two more scope options to tell clients where our WDS server is located, and by located I mean its IP address, and what is the boot image file name the clients need to download in order to be able to boot from network.
Open your DHCP server console, locate your scope for the clients pool, and drill down to Scope Options. Right-click this folder and choose Configure Options.
Configuring the netbios ports
In order to move forward with the deployment we need to open the ports range from 135 to 139 on TCP from the clients VLAN to the WDS server.
Configuring the pxe port
Moving forward, we need to open port 4011 on UDP from the clients VLAN to the WDS server.
With this port open, clients should be able to load the WinPE environment until the point where another series of communications need to be addressed to the WDS server in order to send the rest of the data.
If that is not happening, the WinPE environment will throw the bellow error message.
WdsClient: An error occurred while communicating with the Windows Deployment Services server. Please check to ensure that the server is operational and that the necessary ports are opened on the server’s firewall.
During my testing I also got some random blue screens before getting to the above error message, but no worries, by the end of the article everything will work smoothly.
Configuring the smb port
Port 445 on TCP from the clients VLAN to the WDS server is also an important one that needs to be opened.
If we don’t do this, we will not be able to authenticate to the WDS server and we get the bellow error message.
An error has occurred while processing your request. The network path was not found.
Configuring the tftp port
Moving to the firewall rules, we need to allow port 69 on UDP from our clients VLAN to our WDS server so they can download the boot file name.
Once traffic is allowed on this port, clients should be able to download the boot file name from the WDS server, and once they do this, they will try to contact the WDS server again to send the WinPE image. As you can notice, the communication will fail with the bellow error message since we have some more work to do on opening firewall ports.
No response from Windows Deployment Services server.
Configuring the wds server
Since we were talking about DHCP options 66 and 67, we also need to configure them by actually disable these options on our WDS server.
Open the WDS server console, right-click the server name and choose Properties.
On the Properties window, in the DHCP tab, un-check the two boxes then click OK. We need to do this since our DHCP service is not installed and running on our WDS server, it is on a separate box. In small network environments these two boxes are often seen enabled because the DHCP service is running on the same box as the WDS server which will automatically configure options 66 and 67 that I mentioned in the above section.
And that’s it on the DHCP and WDS servers side. Now let’s move on to our firewall configuration, where the real fun begins.
Configuring wds custom port
This one is not listed as a registered port since is goes beyond 1024, but it is a port that WDS uses, and if we open it we get to the point where we can authenticate to our deployment server. We also get rid or the error message presented in the Configuring the PXE port section. Open port 5040 on TCP from the clients VLAN to the WDS server.
Now when we boot our client(s) we get the Windows Deployment Services wizard.
Summary
I have extend the article and not just put some simple ports here in order to show you the errors and what to expect if the proper firewall ports are not open, but once you have them, booting WDS images trough the network should go smoothly. Test this in you environment when you get the chance, and let the community know how it goes in the comments area.
Ключевые термины
PXE (Preboot Execution Environment) — среда для загрузки компьютеров с помощью сетевой карты без использования жёстких дисков, компакт-дисков и других устройств, применяемых при загрузке операционной системы.
Windows Deployment Services(WDS) – служба, позволяющая производить установку Windows распространяя образы по сети, тем самым уменьшая время развертывания.
Образ захвата (Сapture Image) – специальный тип загрузочного образа, предназначенный для создания снимков установочного образа с предварительно настроенного эталонного компьютера
Образ обнаружения (Discover Image) – специальный тип загрузочного образа, который позволяем использовать WDS с системами, не поддерживающими PXE
Практическая работа №14. установка операционной системы посредством wds
Цель:
Произвести автоматическую установку операционной системы Windows 7 при помощи службы WDS.
Задачи:
- Подготовить среду для установки WDS.
- Установить и настроить WDS.
- Добавить загрузочный образ.
- Добавить установочный образ.
- Произвести установку в ручном режиме.
- Произвести захват образа.
- Произвести загрузку с диска обнаружения.
Требования:
- Дистрибутив операционной системы Windows 7.
- Компьютер (или виртуальная машина) с установленной операционной системой Windows Server 2008R2.
- WAIK 2.0.
Задача №1.
Установка и настройка wds
Установка роли WDS:
- Для установки роли с помощью мастера начальной настройки выбираем “Добавить роли” на стартовом экране “Задачи начальной настройки”. Нажмите кнопку “Далее” и выберите пункт “Службы развертывания Windows”.
- Чтобы установить роль с помощью диспетчера сервера, нажимаем кнопку “Добавить роли” в области “Сводка по ролям”. Нажмите кнопку “Далее” и выбираем пункт “Службы развертывания Windows”.
- Чтобы установить роль с помощью командной строки, необходимо выполнить команду ServerManagerCmd -install WDS.
Службы ролей WDS:
Настройка WDS:
- Проверяем, что пользователь, под которым происходят все манипуляции является членом группы “Администраторы домена”.
- Жмем “Пуск -> Администрирование -> Службы развертывания Windows”.
- Щелчком правой кнопки мыши добавляем только что установленный сервер.
- Жмем правой кнопкой мыши на имени сервера и выбираем “Настроить сервер”.
- Следуем указаниям мастера.
- По окончании настройки добавляем образ.
Настройку WDS можно выполнить не только в графическом режиме, но и в командной строке:
Во время настройки сервера WDS у нас есть возможность выбрать один из 3-х вариантов ответов на запросы пустых клиентских компьютеров:
Если выбрать опцию “Отвечать только известным клиентским компьютерам”, в дополнении появляется возможность выбрать опцию “Для неизвестных клиентов уведомлять администратора и отвечать после одобрения”. Таким образом, для успешного подключения к серверу необходимо в консоли администрирования подтвердить установку системы на данный компьютер.
Главное окно управления WDS изображено на рис. 20.1.
Когда первичная конфигурация сервера PXE настроена должным образом, будут скопированы необходимые файлы, создано хранилище, применены параметры и запустится служба Windows Deployment Services. Затем откроется последняя страница мастера, на которой вам будет предложено добавить образы в хранилище немедленно.
Перед тем как добавлять образы давайте вспомним, какие образы используются для установки операционной системы.
Есть два типа образов Windows, с которыми нам приходится работать:
Вспомнив название и назначение образов, перейдем непосредственно к их добавлению на сервер развертывания Windows.
Первым делом необходимо добавить загрузочный образ (boot.wim). Для добавления загрузочного образа в хранилище, необходимо вставить дистрибутивный диск или воспользоваться папкой, в которую заранее был скопирован образ. Если будет использоваться несколько образов загрузки одинаковой архитектуры, то рекомендуется объединить их в группы для уменьшения занимаемого дискового пространства на сервере развертывания.
Для того, чтобы добавить образ при помощи консольной утилиты WDSUTIL, выполняем последовательные действия:
- Создаем группу (при необходимости) при помощи команды:
- Теперь непосредственно добавляем загрузочный образ:
Для добавления установочного образа так же можно предварительно создать группу в папке “Установочные образы” и затем, добавить сам образ установки (install.wim).
Для добавления нового установочного образа с помощью утилиты WDSUTIL выполняем следующую команду:
В данных примерах, диск D: это буква дисковода или папка с дистрибутивом продукта.
Конфигурирование сервера WDS:
Other recommended ports
Some other ports that I recommend opening are 53, for DNS resolution and ICMP for troubleshooting. As you know, without DNS not only you will not be able to browse the internet but also join deployed clients to the domain.
Now, to sum this up, we need the following ports opened in our firewall so clients can contact the WDS server and download the boot image to load the WinPE environment for the OS deployment:
Protocol | From Clients VLAN to WDS VLAN |
UDP | 67, 68, 69, 4011 |
TCP | 135, 136, 137, 138, 139, 445, 5040 |
Off course, let’s not forget about the DHCP Relay agent since this is the first piece in the puzzle. Without it, clients cannot contact the DHCP server, meaning they will have no IP address to communicate with the rest of the network.