# Windows Deployment: Imaging, DISM und Automatisierung

TL;DR / Management Summary Wer Windows-Clients skaliert ausrollt, darf keine ISOs mehr manuell brennen. Wir nutzen den Deployment-Workflow: Ein sauberes WIM-Image mit DISM vorbereiten (Treiber & Updates offline injizieren), eine WinPE (Preinstallation Environment) für den Bootvorgang nutzen und das Ganze via MDT (Microsoft Deployment Toolkit) oder ConfigMgr automatisieren. Ziel: Ein “Zero Touch” oder “Lite Touch” Deployment, das konsistente Ergebnisse liefert.

# 1. Einführung & Architektur

Die Werkzeuge des Deployment-Admins.

# Was ist DISM?

Das Deployment Image Servicing and Management Tool ist das Schweizer Taschenmesser. Es erlaubt uns, eine .wim Datei zu öffnen, Treiber hinzuzufügen und sie wieder zu schließen – ohne jemals einen PC booten zu müssen.

# MDT (Microsoft Deployment Toolkit)

MDT ist ein Orchestrierungs-Framework. Es verwaltet Task-Sequenzen: Partitionieren -> Windows installieren -> Treiber laden -> Software installieren -> Domänenbeitritt.

# Architektur-Diagramm (Mermaid)

graph TD
    ISO[Windows ISO] -->|Extract| WIM[install.wim]
    WIM -->|DISM: Add Drivers/Updates| CUSTOM_WIM[Custom WIM]
    CUSTOM_WIM --> MDT[MDT / Task Sequence]
    MDT --> PXE[PXE Boot / WinPE]
    PXE --> TARGET[Target PC]
    TARGET -->|Automated| FINISHED[Ready Workstation]

# 2. DISM Mastery: Image-Manipulation

Effizienz durch Offline-Servicing.

Injizieren Sie Treiber direkt in das Image, damit sie beim ersten Booten vorhanden sind (besonders wichtig für RAID/NVMe/Netzwerk).

# Schritt 1: Image mounten

mkdir C:\mount
dism /Mount-Image /ImageFile:C:\iso\sources\install.wim /Index:1 /MountDir:C:\mount

# Schritt 2: Treiber & Updates hinzufügen

# Treiberrekursiv hinzufügen
dism /Image:C:\mount /Add-Driver /Driver:C:\drivers /Recurse

# Windows Update (MSU) hinzufügen
dism /Image:C:\mount /Add-Package /PackagePath:C:\updates\KB123456.msu

# Schritt 3: Committen & Unmounten

dism /Unmount-Image /MountDir:C:\mount /Commit

# 3. WinPE: Die Rettungsinsel

Das Betriebssystem im RAM.

WinPE ist ein minimales Windows, das komplett im RAM läuft. Es dient als Loader für das eigentliche Setup.

# Eigene WinPE erstellen (Konzept)

1. ADK (Windows Assessment and Deployment Kit) installieren.
2. copype amd64 C:\WinPE_amd64
3. Treiber für Netzwerkkarten injizieren (via DISM, wie oben).
4. Bootfähiges ISO oder USB-Stick erstellen (MakeWinPEMedia).

# 4. MDT: Task-Sequenzen für Profis

Logik statt Handarbeit.

In MDT definieren wir den “Lebenslauf” einer Installation.

# Best Practices für Task Sequenzen

• Selection Profiles: Nutzen Sie Profile, um nur passende Treiber für bestimmte Hardware-Modelle (z.B. Dell XPS vs. Lenovo T14) auszurollen.
• Apps: Installieren Sie Runtimes (C++, .NET) als separate Apps, nicht im Image integriert.
• Wartungsfenster: Nutzen Sie MDT, um am Ende der Installation direkt alle aktuellen Updates vom WSUS zu ziehen.

# 5. Troubleshooting & “War Stories”

Wenn das Deployment bei 99% abbricht.

# Top 3 Fehlerbilder

1. Symptom: PXE Boot schlägt fehl (“No boot file found”).

   • Ursache: DHCP-Optionen 66/67 falsch oder IP-Helper auf den Switches fehlen.
   • Lösung: Nutzen Sie IP-Helper statt DHCP-Optionen für VLAN-übergreifendes Booten.

2. Symptom: Setup bricht ab: “Windows could not configure one or more system components”.

   • Analyse: Drücken Sie Shift + F10 und schauen Sie in C:\Windows\Panther\setupact.log.
   • Lösung: Oft ein inkompatibler Treiber, der via DISM injiziert wurde.

3. Symptom: Image-Größe explodiert (> 10 GB).

   • Lösung: Führen Sie dism /Cleanup-Image /StartComponentCleanup /ResetBase vor dem Unmounten aus.

# “War Story”: Der “Ghost” Treiber

Wir rollten 500 Rechner aus. Bei 10% der Geräte (identisches Modell) fror Windows nach dem ersten Login ein. Analyse: Ein injizierter Chipsatz-Treiber war 2 Versionen zu neu für eine bestimmte Hardware-Revision. Lösung: MDT Task-Sequenz Logik: “If Model = XYZ AND Revision = 1.0 THEN Install Driver v1.0”. Granulares Treiber-Management ist der Schlüssel zum stabilen Rollout.

# 6. Monitoring & Reporting

Wer hat was installiert?

# MDT Monitoring

Aktivieren Sie das Monitoring in den Deployment Share Eigenschaften. Sie sehen dann live auf der MDT-Konsole:

• Welcher Rechner ist bei welchem Schritt?
• Gibt es Fehler?
• Wie lange hat die Installation gedauert?

# 7. Fazit & Empfehlung

Modernes Deployment spart tausende Arbeitsstunden.

• Empfehlung: Halten Sie das Basis-Image (install.wim) so “nackt” wie möglich (Thin Imaging). Alle Anpassungen sollten über Task-Sequenzen erfolgen.
• Wahl: Für kleine Umgebungen reicht MDT. Für > 500 Clients ist Microsoft Endpoint Configuration Manager (MECM/SCCM) oder Intune Autopilot der Standard.

# Anhang: Die 5 wichtigsten DISM Befehle

# Referenzen

• Microsoft Learn: DISM Technical Reference
• MDT Documentation
• WinPE Overview