Mik*_*Sol 5 ntlm oem windows-xp
我们正在开发一个部署系统,该系统使用 iPXE 启动由 Microsoft 部署工具包 (MDT) 2010 创建的 LiteTouch PE 映像,然后将 Windows XP 或 Windows 7 部署到客户端。Windows 7 没有问题,但 XP 却让我们头疼。
由于我无法控制的决定,我们的网络至少对来自未加入域的机器的连接强制执行 NTLMv2(我相信这将使用 Kerberos)。
这应该不是问题,除了我们必须部署的 Windows XP 映像是 Dell OEM 版本,因为我们不想在安装程序中输入序列号(校园内 99.5% 的 PC 都是具有合法 XP Pro OEM 许可证的戴尔机器)。Dell XP Pro SP3 OEM 磁盘似乎不能在我们的很多机器上运行,在安装的文本模式部分期间因奇怪的驱动程序问题而消失,我们无法对其进行故障排除。
相反,我们在 Dell XP Pro SP2 OEM 磁盘上获得了一些运气,我们可以将其集成到 SP3 并与之集成修补程序包(来自http://xable.net/xp-sp3-update-pack-download的 xable .html效果很好)。因此,我们最终得到了一个主要是 SP3 的 XP 映像,以及截至 4 月的所有重要更新。应该够好了吧?
现在,发生的情况是 Windows XP 被安装到它第一次启动的地方,这很好,但是 MDT 应该开始它的任务序列。这些由连接到 MDT 服务器的部署共享的客户端运行,以下载任务序列的顺序。
不幸的是,NTLMv2 在这些客户端安装上被关闭,可能是因为它们来自 SP2 -> SP3 源(因为 SP3 默认情况下启用此功能),因此与共享的连接被拒绝,并且 MDT 任务序列停止,等待问题得到解决,以便它可以恢复。一个简单的注册表更改(“lmcompatibilitylevel”)几乎可以立即解决问题,而无需重新启动。
所以,我们需要做的就是在 MDT 运行其任务序列之前实现这个注册表更改,我们很成功。这意味着我们实际上不能使用 MDT 任务序列步骤来执行此操作,因为使用该方法的 catch-22。
到目前为止,我们已经尝试使用 nLite 来调整“registry_addreg”,但我认为 MDT 会覆盖 nLite 希望在安装后执行的任何内容,并且这些步骤根本没有运行。我需要对此进行更多调查,以确保我们的 nLite XP 映像在非 MDT 情况下安装并运行调整,但我们按照本书这样做了,所以我相信它应该可以工作。
我们还尝试调整适用于 MDT 服务器本身的 GPO,以将其要求降低到 NTLMv1,但这似乎根本没有帮助,并且将相同的客户端更改为 NTLMv2 仍然可以解决问题。我可能没有获得此更改的所有策略设置 - 我们将服务器的策略更改为:
“网络安全:LAN Manager 身份验证级别”:“发送 LM 和 NTLM - 如果协商使用 NTLMv2 会话安全”。
如果还有一两个设置需要更改以使服务器更宽容,请将其放在我身上。显然这还不够。
否则,也许有一种方法可以使用 vanilla XP Pro SP3 CD 并将其转换为与 Dell OEM CD 完全相同的无序列号安装?我没有戴尔使用的钥匙,当然我们可以使用的机器侧面有很多钥匙。
我现在愿意尝试任何事情,所以,把你奇怪的想法告诉我,我会给他们一个机会。