Applies ToMicrosoft System Center Configuration Manager 2007

簡介

Windows預先安裝環境 (PE) 3.0 不支援 IEEE 802.X 驗證通訊協定。 因此,WINDOWS PE 3.0 用戶端無法驗證為 IEEE 802.X 已驗證網路存取設定的開關。

其他相關資訊

套用此 Hotfix 之後,Windows PE 3.0 支援 IEEE 802.X 驗證通訊協定。 注意:當您從下列專案啟動 PE Windows時,不支援 802.1X 驗證:

  • Microsoft System Center Configuration Manager 2007 作業系統部署

  • Microsoft Deployment Toolkit

Hotfix 資訊

Microsoft 提供支援的 Hotfix。 不過,此 Hotfix 僅是為了修正本文所述的問題。 僅將此 Hotfix 套用至發生本文所述問題的系統。 這個 Hotfix 可能會收到額外的測試。 因此,如果您未受到此問題嚴重影響,建議您等待下一次包含此 Hotfix 的軟體更新。如果 hotfix 可供下載,則此知識庫文章頂端有「Hotfix 下載可用」一節。 如果沒有出現此區段,請連絡 Microsoft 客戶服務及支援以取得 Hotfix。 注意 如果發生其他問題或需要進行任何疑難排解,您可能需要建立個別的服務要求。 一般支援費用將適用于其他不符合此特定 Hotfix 資格的支援問題。 如需 Microsoft 客戶服務和支援電話號碼的完整清單,或是建立個別的服務要求,請流覽下列 Microsoft 網站:

HTTP://support.microsoft.com/contactus/?ws=support注意:[Hotfix 下載可用] 表單會顯示可供使用 Hotfix 的語言。 如果您沒有看到您的語言,這是因為該語言無法使用 hotfix。

先決條件

安裝此 Hotfix 沒有先決條件。

登錄資訊

如果要使用此套件的其中一個 Hotfix,您不需要對登錄進行任何變更。

Hotfix 取代資訊

此 Hotfix 不會取代任何其他更新或 Hotfix。

檔案資訊

此 hotfix 的英文版本具有 (或更新版本的檔案屬性) 列于下表中。 這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。 當您檢視檔案資訊時,它會轉換為當地時間。 若要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 項目的 [時區] 索引標籤。

適用于所有支援的 x86 型 Windows PE 3.0 版本

檔案名稱

檔案版本

檔案大小

日期

Time

Platform

Dot3cfg.dll

6.1.7600.20541

82,432

05-Oct-2009

05:51

x86

Dot3api.dll

6.1.7600.20541

91,136

05-Oct-2009

05:51

x86

Dot3dlg.dll

6.1.7600.20541

47,104

05-Oct-2009

05:51

x86

Dot3msm.dll

6.1.7600.20541

115,200

05-Oct-2009

05:51

x86

Dot3svc.dll

6.1.7600.20541

214,016

05-Oct-2009

05:51

x86

Report.system.netdiagframework.xml

不適用

29,356

22-Jul-2009

23:04

不適用

Report.system.wired.xml

不適用

19,290

22-Jul-2009

23:04

不適用

Rules.system.netdiagframework.xml

不適用

57,286

22-Jul-2009

23:04

不適用

Rules.system.wired.xml

不適用

40,902

22-Jul-2009

23:04

不適用

Onex.dll

6.1.7600.20541

199,168

05-Oct-2009

05:51

x86

Onexui.dll

6.1.7600.20541

1,111,552

05-Oct-2009

05:51

x86

適用于所有支援的 x64 型 Windows PE 3.0 版本

檔案名稱

檔案版本

檔案大小

日期

Time

Platform

Dot3cfg.dll

6.1.7600.20541

69,120

05-Oct-2009

06:41

x64

Dot3api.dll

6.1.7600.20541

84,992

05-Oct-2009

06:41

x64

Dot3dlg.dll

6.1.7600.20541

57,856

05-Oct-2009

06:41

x64

Dot3msm.dll

6.1.7600.20541

103,936

05-Oct-2009

06:41

x64

Dot3svc.dll

6.1.7600.20541

252,416

05-Oct-2009

06:41

x64

Report.system.netdiagframework.xml

不適用

29,356

22-Jul-2009

2,323

不適用

Report.system.wired.xml

不適用

19,290

22-Jul-2009

2,323

不適用

Rules.system.netdiagframework.xml

不適用

57,286

22-Jul-2009

2,323

不適用

Rules.system.wired.xml

不適用

40,902

22-Jul-2009

2,323

不適用

Onex.dll

6.1.7600.20541

235,520

05-Oct-2009

06:41

x64

Onexui.dll

6.1.7600.16385

1,080,320

14-Jul-2009

01:41

x64

Dot3api.dll

6.1.7600.20541

91,136

05-Oct-2009

05:51

x86

Dot3dlg.dll

6.1.7600.16385

47,104

14-Jul-2009

1,501

x86

Dot3msm.dll

6.1.7600.20541

115,200

05-Oct-2009

05:51

x86

Onex.dll

6.1.7600.20541

199,168

05-Oct-2009

05:51

x86

Onexui.dll

6.1.7600.20541

1,111,552

05-Oct-2009

05:51

x86

將更新新增至 Windows PE 3.0

下列指示說明如何將下列更新新增至 PE 3.0 Windows。 它不涵蓋與System Center Configuration Manager或其他產品的任何整合。

972831 Windows預先安裝環境 (PE) 3.0 不支援 IEEE 802.1X 驗證通訊協定:您必須有下列可用或安裝的檔案和先決條件:

  • 已安裝適用于 Windows 7 的 Windows 自動安裝套件 (AIK) 的技術人員電腦

  • 視 Windows PE 影像的架構而定,394904_intl_i386_zip.exe或394905_intl_x64_zip.exe

  • 下列 VBS 腳本和兩個 XML 檔案。 它們位於 [ 腳本範例] 區段中:

    • StartDot3.VBS

    • USERDATA-EAP-TLS.xml

    • Wired-WinPE-EAP-TLS.xml

  • 您的根憑證,儲存為 RootCert.cer

  • 任何從屬 CA 憑證,儲存為 SubCACert.cer

  • 您的使用者憑證 pfx,儲存為 Usercert.pfx

  • Windows 7 型電腦上的 x86 或 x64 certutil.exe和 certutil.exe.mui 版本,取決於 Windows PE 影像的架構

注意 下列範例會建立 x86 版本的 Windows PE。在 Windows 7 型、Windows Server 2008 或 Windows Server 2008 R2 型電腦上,安裝 Windows 7 AIK。

  1. 在技術人員的電腦上,按一下 [開始],指向[所有程式],指向[Windows AIK],以滑鼠右鍵按一下 [部署工具命令提示字元],然後按一下 [以系統管理員身分執行]功能表快捷方式會開啟命令提示字元視窗,並自動設定環境變數以指向所有必要的工具。 根據預設,所有工具都會安裝在 C:\Program Files\Windows AIK\Tools 資料夾中。

  2. 在命令提示字元中,執行 Copype.cmd 腳本。 腳本需要兩個引數:硬體架構和目的地位置。 例如,執行 copype.cmd < 構> <目的地>,其中< 構>可以是 x86、amd64 或 ia64,而<目的地>則是本機目錄的路徑。 例如,執行此命令:

    copype.cmd x86 c:\winpe_x86The script 會建立下列目錄結構,並複製該架構的所有必要檔案:

    \winpe_x86 \winpe_x86\ISO \winpe_x86\mount

  3. 將基本影像 (Windows PE.wim) 複製到 \Winpe_x86\ISO\sources 資料夾,然後將檔案重新命名為 boot.wim。

    copy c:\winpe_x86\winpe.wim c:\winpe_x86\ISO\sources\boot.wim
  4. 裝載基座Windows PE 影像。 在此步驟中,您將基本圖像裝載到本機目錄,以便新增或移除包裹。

    Dism /Mount-Wim /WimFile:C:\winpe_x86\ISO\sources\boot.wim /index:1 /MountDir:C:\winpe_x86\mount
  5. 新增下列套件至影像。 請注意,每個命令應為單一行,且命令不得換行。新增 WINPE-WMI 套件

    dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\winpe-wmi.cab"dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\en-us\winpe-wmi_en-us.cab" 

    新增WINPE-Scripting套件

    dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\winpe-scripting.cab"dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\en-us\winpe-scripting_en-us.cab" 

    新增 WINPE-HTA 套件

    dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\winpe-hta.cab"dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\en-us\winpe-hta_en-us.cab"
  6. 擷取394904_intl_i386_zip.exe更新至 c:\972831 資料夾的內容。

  7. 將 802.1X 支援的更新新增至影像:

    dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"c:\972831\Windows6.1-KB972831-86.cab" 
  8. 建立資料夾以包含 802.1X 支援的其他檔案。 若要這麼做,請執行下列命令:

    md C:\winpe_x86\mount\winpe

  9. 將 certutil.exe 和 certutil.exe.mui 從 Windows 7 型電腦複製到 c:\winpe_x86\mount\winpe 資料夾。 您可以在 %windir%\system32 資料夾中找到這些檔案。 注意 您必須根據您的 PE 圖像Windows架構,複製這些檔案的正確版本。

  10. 編輯Wired-WinPE-EAP-TLS.xml檔案,並變更下列行以輸入適用于正確憑證授權單位單位的 Root CA 憑證縮圖/雜湊:

    <TrustedRootCA>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00</TrustedRootCA> 
  11. 使用 EAP-TLS 將連線配置檔案複製到 Windows PE 目錄:

    Copy Wired-WinPE-EAP-TLS.xml C:\winpe_x86\mount\winpe 
  12. 編輯USERDATA-EAP-TLS.xml檔案,並變更 Username 和 UserCert 的下列行:

    <eapTls:Username>contoso\username</eapTls:Username><eapTls:UserCert>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00</eapTls:UserCert>
  13. 使用 EAP-TLS 將連線配置檔案複製到 Windows PE 目錄:

    copy USERDATA-EAP-TLS.xml C:\winpe_x86\mount\winpe 
  14. 將您的根憑證及任何從屬 CA 憑證複製到 c:\winpe_x86\mount\winpe 資料夾。

  15. 將您的使用者憑證 pfx 複製到 c:\winpe_x86\mount\winpe 資料夾。

  16. 編輯StartDot3.vbs檔案,並變更下列行:

    certutil –user –p PASSWORD -importpfx \winpe\USERcert.pfx NOEXPORT,NOCHAIN 

    附注 在此行中,您必須將密碼變更為匯出時指派給憑證的密碼。

  17. 將StartDot3.Vbs複製到 c:\winpe_x86\mount\winpe 資料夾。

  18. 編輯 startnet.cmd 以自動執行StartDot3.vbs:

    notepad C:\winpe_x86\mount\windows\system32\startnet.cmd
  19. 在 wpeinit 命令之後新增 .\winpe\StartDot3.vbs,然後儲存 startnet.cmd 檔案。

  20. 取消復原並認可變更 。WIM:

    Dism /Unmount-Wim /MountDir:C:\winpe_x86\mount /Commit
  21. 使用下列主題底下Windows 7 AIK 說明檔案中所述的步驟,建立可開機媒體:

    • 「建立可開機 CD-ROM」

    • 「建立可開機的 UFD」

腳本範例

Microsoft 僅提供圖例的程式設計範例,但不包含表達或暗示的保固,包括但不限於適售性及/或適合某特定用途之默示擔保。 本文假設您熟悉示範的程式設計語言,以及用來建立和偵錯程式的工具。 Microsoft 支援專業人員可以協助說明特定程式的功能,但不會修改這些範例以提供符合您特定需求的新增功能或建構程式。 如果您的程式設計體驗有限,建議您連絡 Microsoft 認證合作夥伴或 Microsoft 諮詢服務。 如需詳細資訊,請造訪這些 Microsoft 網站: Microsoft 認證合作夥伴 - HTTPs://partner.microsoft.com/global/30000104 Microsoft 諮詢服務 - HTTP://support.microsoft.com/gp/advisoryservice 如需可用支援選項的詳細資訊,以及如何連絡 Microsoft,請流覽下列 Microsoft 網站:HTTP://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS

StartDot3.VBS

‘================================‘StartDot3.VBS‘================================Dim WshShellSet WshShell = CreateObject("WScript.Shell")commandLine = "certutil -addstore Root \winpe\Rootcert.cer"Return  = WshShell.Run(commandLine, 0, true)commandLine = "certutil -addstore CA \winpe\SubCAcert.cer"Return  = WshShell.Run(commandLine, 0, true)commandLine = "certutil –user –p PASSWORD -importpfx \winpe\USERcert.pfx NOEXPORT,NOCHAIN"Return  = WshShell.Run(commandLine, 0, true)commandLine = "net start dot3svc"Return  = WshShell.Run(commandLine, 0, true)commandLine = "netsh lan add profile filename=\winpe\Wired-WinPE-EAP-TLS.xml"Return  = WshShell.Run(commandLine, 0, true)commandLine = "netsh lan set eapuserdata filename=\winpe\Wired-WinPE-UserData-EAP-TLS.xml allusers=yes interface=*"Return  = WshShell.Run(commandLine, 0, true)

USERDATA-EAP-TLS.xml

<?xml version="1.0"?><EapHostUserCredentials xmlns="http://www.microsoft.com/provisioning/EapHostUserCredentials" xmlns:eapCommon="http://www.microsoft.com/provisioning/EapCommon" xmlns:baseEap="http://www.microsoft.com/provisioning/BaseEapMethodUserCredentials"> <EapMethod>  <eapCommon:Type>13</eapCommon:Type>  <eapCommon:AuthorId>0</eapCommon:AuthorId> </EapMethod> <Credentials xmlns:eapUser="http://www.microsoft.com/provisioning/EapUserPropertiesV1" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:baseEap="http://www.microsoft.com/provisioning/BaseEapUserPropertiesV1" xmlns:eapTls="http://www.microsoft.com/provisioning/EapTlsUserPropertiesV1">  <baseEap:Eap>  <baseEap:Type>13</baseEap:Type>   <eapTls:EapType>    <eapTls:Username>contoso\username</eapTls:Username>    <eapTls:UserCert>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00</eapTls:UserCert>   </eapTls:EapType>  </baseEap:Eap> </Credentials></EapHostUserCredentials>

Wired-WinPE-EAP-TLS.xml

<?xml version="1.0"?><LANProfile xmlns="http://www.microsoft.com/networking/LAN/profile/v1"> <MSM>  <security>   <OneXEnforced>false</OneXEnforced>   <OneXEnabled>true</OneXEnabled>   <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">    <authMode>user</authMode>    <EAPConfig><EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00</TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName></EapType></Eap></Config></EapHostConfig></EAPConfig>   </OneX>  </security> </MSM></LANProfile>

參考

本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。