Посібник користувача HP Sure Recover
© HP Development Company, L.P., 2020. Microsoft і Windows – зареєстровані торговельні марки або торговельні марки корпорації Майкрософт в США та/або інших країнах. Конфіденційне програмне забезпечення. Для володіння, використання або копіювання необхідна дійсна ліцензія компанії HP. Відповідно до положень FAR 12.211 і 12.
Пояснення синтаксису користувацького вводу Текст, який потрібно ввести в інтерфейс користувача, позначено шрифтом фіксованої ширини.
iv Пояснення синтаксису користувацького вводу
Зміст 1 Початок роботи ............................................................................................................................................ 1 Процедура відновлення з мережі ...................................................................................................................... 1 Процедура відновлення з локального диска ................................................................................................... 1 2 Створення образу для корпоративних клієнтів .....
vi
1 Початок роботи HP Sure Recover дає змогу безпечно інсталювати операційну систему з мережі з мінімальним втручанням користувача. Крім того, для систем HP Sure Recover з Embedded Reimaging підтримується інсталяція з локального пристрою збереження даних. ВАЖЛИВО. Перш ніж використовувати HP Sure Recover, створіть резервну копію своїх даних. Під час створення образу диск переформатовується, що призводить до втрати даних. Образи для відновлення, які надає рішення HP, включають базовий інсталятор Windows 10®.
Щоб виконати локальне відновлення за допомогою образу з пристрою збереження з підтримкою Embedded Reimaging, виконайте наведені нижче дії. 1. Перезавантажте клієнтську систему, а коли відобразиться емблема HP, натисніть клавішу f11. 2. Виберіть Restore from local drive (Відновити з локального диска) Для систем із підтримкою Embedded Reimaging необхідно налаштувати розклад завантаження та перевіряти наявність оновлень за допомогою агента завантаження.
2 Створення образу для корпоративних клієнтів Більшість компаній використовує MDT (засоби розгортання Microsoft), пакет Windows 10 Assessment and Deployment Kit або обидва ці варіанти, щоб створювати файли з образом в архіві формату Windows Imaging (WIM).
(Необов’язково) HP Sure Recover дає змогу відновити з образу з кількома індексами конкретний випуск Windows (відповідно до початкової ліцензії на випуск у заводській конфігурації цільової системи HP). Цей механізм працює за умови, що індекси названо належним чином. Якщо ви використовуєте HP OSDVD, в інсталяційному образі Windows може надаватися кілька випусків.
ПРИМІТКА. Коли залишається тільки один індекс, відповідний образ використовується для відновлення незалежно від імені. Після видалення індексів розмір файлу образу може збільшитися. 5. Якщо вам не потрібна можливість вибору з кількох випусків, видаліть усі зайві індекси. Скажімо, вам потрібен тільки випуск Professional (припустімо, що всі цільові системи мають належні ліцензії). Тоді вам слід видалити індекси 5, 4, 2 й 1, як показано нижче. Щоразу, коли видаляється індекс, порядкові номери оновлюються.
Зразок 2: створення образу на основі еталонної системи 1. Створіть завантажувальний USB-носій із WinPE. ПРИМІТКА. Додаткові методи записування образу можна знайти в документації ADK. Переконайтеся, що на USB-диску достатньо вільного місця для записаного образу з еталонної системи. 2. Створіть образ в еталонній системі. 3. Щоб записати образ, завантажте еталонну систему за допомогою USB-носія з WinPE, а потім застосуйте DISM. ПРИМІТКА. позначає USB-диск. Замініть на правильну букву диска.
Створення маніфесту Оскільки для розділеного образу може використовуватися кілька файлів, створіть маніфест за допомогою сценарію PowerShell. Усі подальші кроки до кінця процедури слід виконувати з папки C:\staging. CD /D C:\staging 1. Створіть сценарій PowerShell у редакторі, що підтримує створення текстового файлу у форматі UTF-8 без BOM. Застосуйте для цього таку команду: notepad C:\staging\generatemanifest.ps1 Створіть такий сценарій: $mftFilename = "custom.mft" $imageVersion = 1907 (Примітка.
Out-File -Encoding utf8 -FilePath $mftFilename -InputObject $manifestContent -Append $current = $current + 1 } ПРИМІТКА. Маніфести для HP Sure Recover не можуть включати позначку BOM, тому наведені нижче команди перезапишуть файл як UTF-8 без BOM. $content = Get-Content $mftFilename $encoding = New-Object System.Text.UTF8Encoding $False [System.IO.File]::WriteAllLines($pathToManifest + '\' + $mftFilename, $content, $encoding) 2. Збережіть сценарій. 3. Виконайте сценарій. powershell .\generate-manifest.
ПРИМІТКА. ● Щоб створити тільки файл підпису, виконайте лише кроки 1 і 3. ● Для рішення HP Sure Recover слід виконати як мінімум 1-й, 2-й і 3-й кроки. Створений на кроці 2 відкритий ключ необхідний для підготовки цільової системи. ● Крок 4 необов’язковий, але радимо його виконати, щоб забезпечити належну перевірку файлів підпису та маніфесту. Розміщення файлів Розмістіть на своєму сервері вказані нижче файли з папки C:\staging: ● *.swm ● custom.
10 4. Для серверів IIS слід указати типи MIME application/octet-stream. 5. У маніфесті слід надати повний шлях до каталогу найвищого рівня, де міститься образ (як він бачиться з клієнтської системи). Цей шлях не ідентичний повному шляху до точки розповсюдження, де зберігаються файли.
3 Використання агента HP Sure Recover в зоні корпоративного брандмауера Агент HP Sure Recover можна розмістити в корпоративній інтрамережі. Після інсталяції пакета HP Sure Recover SoftPaq скопіюйте файли агента з каталогу агентів HP Sure Recover в розташуванні інсталяції до точки розповсюдження HTTP або FTP. Далі підготуйте клієнтську систему, указавши URL-адресу точки розповсюдження та надавши відкритий ключ HP з ім’ям hpsr_agent_public_key.
6. У розділі Recovery Agent (Агент відновлення) виберіть варіант Corporation (Корпоративний), щоб використати спеціальний агент відновлення або агент відновлення HP з корпоративної точки розповсюдження. У поле вводу Agent Location URL (URL-адреса розташування агента) введіть URL-адресу, яку надає адміністратор. Введіть відкритий ключ hpsr_agent_public_key.pem у поле Agent Verification Key (Ключ перевірки агента). ПРИМІТКА.
4 Робота з бібліотекою сценаріїв HP Client Management Script Library (CMSL) Бібліотека сценаріїв HP Client Management Script Library дає змогу керувати параметрами HP Sure Recover через PowerShell. Нижче наведено зразок сценарію, за допомогою якого можна підготувати рішення HP Sure Recover, визначити його стан, змінити конфігурацію та деініціалізувати. ПРИМІТКА. Кілька наведених команд довші за максимальну для цього посібника довжину рядка, але вводити їх потрібно одним рядком.
$p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
openssl x509 -req -sha256 -in kek.csr -CA ca.crt -CAkey ca.key CAcreateserial -out kek.crt openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # Створення ключа підпису для команд openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in sk.csr -CA ca.crt -CAkey ca.key CAcreateserial -out sk.
а Усунення несправностей Помилка створення розділу диска Така помилка може статися, якщо розділ SR_AED або SR_IMAGE зашифровано за допомогою засобу BitLocker. Ці розділи зазвичай створюються за допомогою атрибута GPT, що запобігає шифруванню BitLocker. Та якщо користувач видалить і заново створить ці розділи або створить їх вручну на диску без ОС, то під час повторного створення розділів диска агент Sure Recover не зможе їх видалити й завершить роботу з помилкою.
Таблиця а-1 HP Secure Platform Management (продовження) Ідентифікатор події Кількість пристроїв (усі/ DaaS) Кількість подій (усі/DaaS) Опис Примітки 41 221/147 588/332 Процес відновлення ОС платформи успішно завершився. Відновлення платформи завершено 42 54/42 252/156 Не вдалося завершити процес відновлення ОС платформи.
HP Sure Recover використовує наведені нижче спеціальні коди подій.