OOBE-цикл / «Щось пішло не так»: швидкі виправлення для катастроф під час налаштування

Що ви власне бачите: цикли OOBE і відро «Щось пішло не так»

OOBE (Out-of-Box Experience) — це перша запускова послідовність Windows: мова, регіон, клавіатура, мережа, створення облікового запису,
ім’я пристрою, налаштування приватності, а потім реєстрація (потік з обліковим записом Microsoft для споживачів або корпоративне приєднання/MDM/Autopilot).
Коли він ламається, Windows часто не дає чіткого коду помилки. Він дає настрій: «Щось пішло не так».

Ставте це повідомлення як категорію, а не як діагноз. Під ним ховаються кілька типових проблем:

• Мережеві передумови (відсутність маршруту, капітивний портал, проксі, заблоковані кінцеві точки, TLS‑інспекція, дивний DNS).
• Час і криптографія (неправильний RTC, невірний часовий пояс, відмова TLS, неможливість перевірити ланцюжок сертифікатів, відмова кінцевих точок реєстрації).
• Оркестрація реєстрації (невідповідність профілю Autopilot, таймаути ESP, пристрій не зареєстрований, користувач без ліцензії).
• Драйвер/прошивка (нестабільний Wi‑Fi драйвер, відсутній драйвер контролера сховища, дивні Secure Boot/TPM).
• Стан диска (недостатньо вільного місця, пошкоджена таблиця розділів, збої попереднього шифрування BitLocker, очікуваний перезапуск).
• Взаємодія з оновленнями (OOBE намагається завантажити оновлення, натрапляє на політику-перешкоду і зациклюється).

Ваше завдання — припинити гадати й почати звужувати коло. Найшвидший шлях — не «одразу перевстановити образ». Перевстановлення — це інструмент, а не рефлекс.
Спочатку ізолюйте, чи відмова є локальною (стан пристрою), чи зовнішньою (мережа/сервіс/політика).

План швидкої діагностики (перший/другий/третій)

Перший: переконайтесь, що ви не воюєте з мережею (5 хвилин)

1. Спробуйте відому хорошу мережу: мобільний хотспот або проста домашня Wi‑Fi мережа без капітального порталу.
2. Надавайте перевагу Ethernet, якщо це можливо (USB‑C док‑адаптер підходить). Wi‑Fi драйвери на ранньому етапі OOBE можуть бути… амбіційними.
3. Якщо корпоративна мережа обов’язкова, протестуйте доступність DNS та TLS з командного рядка OOBE (інструкції нижче).

Другий: перевірте час, TPM та базове здоров’я пристрою (5–10 хвилин)

1. Перевірте годинник. Якщо час неправильний, TLS ламається й реєстрація тихо відмирає.
2. Підтвердьте вільне місце на диску та цілісність розділів. OOBE може зациклюватись, коли не може зафіксувати стан.
3. Якщо це Autopilot: підтвердьте, що ідентичність пристрою відповідає тому, що очікує сервіс (не рециркульована материнська плата з повторно використаним хешем).

Третій: вирішіть, чи обійти, скинути стан OOBE або перевстановити образ (10–30 хвилин)

• Обійдіть вимоги мережі, щоб завершити налаштування і виправити реєстрацію пізніше, якщо єдиний блокер — мережа/політика.
• Скиньте стан OOBE, якщо ви бачите повторні цикли на одному й тому ж етапі й логі вказують на пошкоджене/неповне провізування.
• Перевстановіть образ, коли пошкоджено сховище/розділи або ви маєте повторні відмови на різних мережах з тим самим образом.

Перефразована ідея від Werner Vogels (CTO Amazon): надійність походить із припущення, що відмови трапляються, і проєктування відновлення як нормального шляху.
OOBE за замовчуванням ворожий до відновлення; вам потрібно принести власну дисципліну.

Цікаві факти та історичний контекст (чому це повторюється)

1. OOBE існує в сучасному вигляді з ери Windows XP, але його залежність від онлайн‑сервісів прискорилася з появою хмарної ідентичності та MDM.
2. Windows 10/11 перемістили «перший запуск» від локального UI до сервісно‑опосередкованого потоку: обліковий запис, політики й додатки можуть вирішуватися віддалено.
3. Обіцянка Autopilot (zero‑touch) є одночасно його пасткою: це розподілена система з ідентичністю, інвентарем пристроїв, політиками та кінцевими точками — кожна може упасти окремо.
4. «Щось пішло не так» — це не лінь UI, а дизайн‑вибір, щоб не показувати внутрішні коди. Це також ускладнює діагностику.
5. Помилки TLS часто виглядають як загальні цикли OOBE, бо шар UI не показує помилок перевірки ланцюжка сертифікатів.
6. Капітивні портали отруюють налаштування: OOBE не завжди їх правильно виявляє й може «підключитися», маючи нуль корисного інтернету.
7. Зсув часу ламає перевірку сертифікатів; навіть кілька хвилин можуть призвести до відмов строгих кінцевих точок, а BIOS‑годинники на нових пристроях не завжди правильні.
8. Колись головним болем був впровадження драйверів; тепер часто винуваті DNS/проксі/пристрої інспекції, що модифікують трафік «на льоту».

Жарт №1: OOBE — єдиний «досвід привітання», який може змусити відчути себе персонально небажаним за менше ніж 30 секунд.

Швидкі виправлення, що працюють на практиці (з командами)

Все нижче передбачає, що ви можете відкрити командний рядок під час OOBE. На більшості збірок:
натисніть Shift+F10. Якщо це не працює, спробуйте Fn+Shift+F10 на ноутбуках з незвичними режимами функціональних клавіш.
Ви отримаєте термінал як defaultuser0 або подібний.

Задача 1: Визначте точну збірку Windows (вирішіть, чи боретеся з відомим проблемним образом)

cr0x@server:~$ reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v DisplayVersion

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    DisplayVersion    REG_SZ    23H2

Що це означає: Ви дивитесь на маркер релізу функцій.
Рішення: Якщо певна збірка систематично ламається на кількох пристроях, припиніть локальний тріаж і почніть ставити під сумнів образ/кільце оновлень.

Задача 2: Перевірте стан мережевого інтерфейсу (вирішіть, чи є лінк, а не лише відчуття)

cr0x@server:~$ ipconfig /all

Windows IP Configuration

   Host Name . . . . . . . . . . . : DESKTOP-9P2K7S3
   Ethernet adapter Ethernet:

      Connection-specific DNS Suffix  . :
      Description . . . . . . . . . . : USB 10/100/1000 LAN
      Physical Address. . . . . . . . : 00-1A-2B-3C-4D-5E
      DHCP Enabled. . . . . . . . . . : Yes
      IPv4 Address. . . . . . . . . . : 10.40.12.83(Preferred)
      Subnet Mask . . . . . . . . . : 255.255.255.0
      Default Gateway . . . . . . . . : 10.40.12.1
      DNS Servers . . . . . . . . . . : 10.40.1.10
                                          10.40.1.11

Що це означає: У вас є IP, шлюз і DNS.
Рішення: Якщо немає шлюзу за замовчуванням або DNS, хмарні кроки OOBE зазнають невдачі. Спочатку виправляйте мережу; політики реєстрації не чіпайте.

Задача 3: Виявлення капітивного порталу (вирішіть, чи «підключено» — це брехня)

cr0x@server:~$ nslookup www.msftconnecttest.com

Server:  dns.corp.local
Address:  10.40.1.10

Non-authoritative answer:
Name:    www.msftconnecttest.com
Address:  13.107.4.52

Що це означає: DNS резолвиться нормально.
Рішення: Якщо DNS повертає внутрішню/каптивну IP‑адресу, вас інтерсептують. Перемкніть мережу або дозволіть кінцеві точки в політиці для VLAN‑ів налаштування.

Задача 4: Тест базового TLS без браузера (вирішіть, чи проксі/інспекція ламає сертифікати)

cr0x@server:~$ powershell -NoProfile -Command "try { (Invoke-WebRequest -UseBasicParsing -Uri 'https://login.microsoftonline.com' -TimeoutSec 10).StatusCode } catch { $_.Exception.Message }"
200

Що це означає: TLS і маршрутизація до ключової ідентифікаційної кінцевої точки працюють.
Рішення: Якщо бачите помилки сертифіката або рукостискання, підозрюйте зсув часу або TLS‑інспекцію з невірним довіреним коренем у контексті WinPE/OOBE. Спробуйте хотспот для підтвердження.

Задача 5: Перевірте годинник (вирішіть, чи TLS падає через неправильний час)

cr0x@server:~$ w32tm /query /status

Leap Indicator: 0(no warning)
Stratum: 2 (secondary reference - syncd by (S)NTP)
Precision: -23 (119.209ns per tick)
Last Successful Sync Time: 2/5/2026 9:16:41 AM
Source: time.windows.com
Poll Interval: 6 (64s)

Що це означає: Служба часу синхронізується і має дійсне джерело.
Рішення: Якщо це не працює або час сильно відрізняється, встановіть час вручну (або виправте BIOS‑годинник) і повторіть OOBE. Зсув часу викликає «Щось пішло не так» частіше, ніж визнають.

Задача 6: Примусова синхронізація часу (вирішіть, чи можна відновити без перезавантаження)

cr0x@server:~$ w32tm /resync
Sending resync command to local computer...
The command completed successfully.

Що це означає: Час скориговано.
Рішення: Негайно повторіть крок, що зазнавав невдачі (вхід/реєстрація). Якщо на корпоративній мережі все ще не працює, але на хотспоті працює — це ваші мережеві контролі, а не пристрій.

Задача 7: Обхід вимог мережі, щоб завершити OOBE (вирішіть, чи можна відкласти онлайн‑кроки)

cr0x@server:~$ OOBE\BYPASSNRO

Що це означає: Пристрій перезавантажиться і запропонує офлайн‑шлях налаштування (варіюється залежно від збірки/політики).
Рішення: Використовуйте це, коли мережа — єдиний блокер і вам потрібен робочий робочий стіл для подальшої діагностики або підготовки. Якщо ваша організація вимагає Autopilot, можливо, доведеться скинути й повторити пізніше.

Задача 8: Перевірте макет диска та вільне місце (вирішіть, чи може налаштування зберегти стан)

cr0x@server:~$ diskpart
Microsoft DiskPart version 10.0.22631.1

DISKPART> list disk

  Disk ###  Status         Size     Free     Dyn  Gpt
  --------  -------------  -------  -------  ---  ---
  Disk 0    Online          476 GB      0 B        *

Що це означає: Диск 0 — GPT і повністю розподілений. Це нормально на свіжих інсталяціях.
Рішення: Якщо диск офлайн, тільки для читання або показує помилки, зупиніться. Виправте сховище спочатку (режим контролера, BIOS, пошкоджений NVMe) або перевстановіть образ.

Задача 9: Перевірте стан BitLocker (вирішіть, чи шифрування блокує провізування)

cr0x@server:~$ manage-bde -status c:

BitLocker Drive Encryption: Configuration Tool version 10.0.22631
Volume C: [OS]
[OS Volume]

    Size:                 475.30 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Decrypted
    Percentage Encrypted: 0.0%
    Protection Status:    Protection Off
    Lock Status:          Unlocked
    Identification Field: None
    Key Protectors:       None Found

Що це означає: BitLocker наразі не активний.
Рішення: Якщо бачите «Encryption in Progress» у поєднанні з повторними циклами OOBE, можливо, ви стикаєтесь із проблемою послідовності політик (ESP чекає на шифрування або ексклюзивне збереження ключів). Це проблема Autopilot/MDM, а не «натисни сильніше».

Задача 10: Витягніть логи OOBE, що дійсно мають значення (визначте, що впало, а не що відчуває UI)

cr0x@server:~$ powershell -NoProfile -Command "Get-ChildItem -Path 'C:\Windows\Panther' | Select-Object Name,Length,LastWriteTime | Sort-Object LastWriteTime -Descending | Select-Object -First 5"

Name                           Length LastWriteTime
----                           ------ -------------
setupact.log                  1253380 2/5/2026 9:18:02 AM
setuperr.log                    32444 2/5/2026 9:18:02 AM
DiagErr.xml                      9921 2/5/2026 9:17:55 AM
DiagWrn.xml                     18823 2/5/2026 9:17:55 AM
BlueBox.log                      6732 2/5/2026 9:17:41 AM

Що це означає: Panther‑логи існують і оновлювалися під час вашого вікна збоїв.
Рішення: Відкрийте setuperr.log перш за все. Якщо він вказує на підключення, валідацію сертифікатів або реєстрацію, припиніть ганятись за драйверами.

Задача 11: Швидко прочитайте лог помилок (вирішіть, чи потрібен скидання)

cr0x@server:~$ powershell -NoProfile -Command "Select-String -Path 'C:\Windows\Panther\setuperr.log' -Pattern 'Error|Failed' | Select-Object -First 20"

2026-02-05 09:17:52, Error                 [0x0a0033] MIG    Error: Apply during OOBE failed.
2026-02-05 09:17:52, Error                 [0x0a0042] MIG    Failure occurred during provisioning.

Що це означає: Стадія провізування зазнала невдачі. Це підказка, а не повна історія.
Рішення: Якщо помилки повторюються на тому ж кроці при повторних спробах, часто краще скинути стан OOBE (або повний скидання), ніж нескінченно зациклитись.

Задача 12: Перевірте журнали Event Viewer з командного рядка (вирішіть, чи це MDM/реєстрація)

cr0x@server:~$ powershell -NoProfile -Command "Get-WinEvent -LogName 'Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin' -MaxEvents 20 | Select-Object TimeCreated,Id,LevelDisplayName,Message | Format-List"

TimeCreated : 2/5/2026 9:17:49 AM
Id          : 404
LevelDisplayName : Error
Message     : MDM Enroll: Failed (Unknown Win32 Error code: 0x80180014)

Що це означає: MDM‑реєстрація зазнала невдачі з конкретним кодом.
Рішення: Тепер можна припинити трактувати це як «налаштування зламано». Це реєстрація. Розбирайтесь з ліцензуванням, обмеженнями реєстрації, лімітами пристроїв або реєстрацією Autopilot.

Задача 13: Підтвердьте, чи пристрій уже приєднаний до робочого простору (вирішіть, чи застаріла реєстрація викликає цикли)

cr0x@server:~$ dsregcmd /status

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

AzureAdJoined : NO
EnterpriseJoined : NO
DomainJoined : NO
DeviceName : DESKTOP-9P2K7S3

Що це означає: Пристрій ще не приєднаний.
Рішення: Якщо він показує AzureAdJoined/EnterpriseJoined несподівано на «новому» пристрої, можливо, ви маєте справу з поверненим пристроєм або заміною плати. Очистіть його правильно (запис Autopilot та локальний стан) перед повторним запуском.

Задача 14: Скиньте стан OOBE без повного знищення ОС (вирішіть, чи можна швидко врятувати)

cr0x@server:~$ %windir%\system32\sysprep\sysprep.exe /oobe /reboot

Що це означає: Sysprep перезапустить потік OOBE.
Рішення: Використовуйте, коли UI OOBE застряг/зациклюється через транзитну помилку і ви хочете чистий повтор. Якщо Autopilot або ESP пошкоджені частковим провізуванням, може знадобитись повний скидання.

Задача 15: Жорстке скидання (остання спроба перед перевстановленням образу) і розуміння компромісу

cr0x@server:~$ systemreset -factoryreset

Що це означає: Запускає майстер скидання Windows до заводських налаштувань.
Рішення: Якщо у вас повторні відмови OOBE і пристрій ще не в робочому стані, скидання часто швидше за форензичне дослідження. Але це не виправить зламану мережеву політику або неправильну конфігурацію Autopilot.

Жарт №2: Найшвидший спосіб відтворити OOBE‑цикл — сказати вголос «все буде добре» в конференцзалі.

Специфічні режими відмов Autopilot/ESP (і як їх довести)

Якщо ви в корпоративному середовищі, «OOBE‑цикл» часто насправді означає «Autopilot/ESP не зміг завершити, тож він повернув вас на безпечний екран».
ESP (Enrollment Status Page) — це частина, що чекає на конфігурацію пристрою, додатки та іноді базові політики безпеки. Це ворота.
Ворота хороші, поки вони не зварюються навічно.

Доведіть, чи це мережа vs політика vs сервіс

Трюк — створити контрольований A/B‑тест:

• Той самий пристрій, інша мережа: корпоративний Wi‑Fi проти мобільного хотспоту.
• Та сама мережа, інший пристрій: відомий‑добрий пристрій, який успішно реєструється.
• Той самий пристрій, та сама мережа, інший користувач: обмеження ліцензій і реєстрації можуть бути прив’язані до користувача.

Задача 16: Перевірте WinHTTP проксі (OOBE часто використовує WinHTTP, а не налаштування браузера)

cr0x@server:~$ netsh winhttp show proxy

Current WinHTTP proxy settings:

    Direct access (no proxy server).

Що це означає: WinHTTP проксі не налаштовано.
Рішення: Якщо ваша корпоративна мережа вимагає явного проксі, OOBE може впасти, навіть якщо Wi‑Fi каже «підключено». Налаштуйте проксі (або використовуйте VLAN для налаштування без вимог проксі).

Задача 17: Якщо потрібно встановити WinHTTP проксі — робіть це свідомо (і видаліть пізніше)

cr0x@server:~$ netsh winhttp set proxy proxy-server="http=proxy.corp.local:8080;https=proxy.corp.local:8080" bypass-list="*.corp.local"

WinHTTP proxy settings successfully updated.

Що це означає: Компоненти системи, що використовують WinHTTP, підуть через цей проксі.
Рішення: Використовуйте лише якщо розумієте свій проксі та історію ланцюжка сертифікатів. Якщо задіяна TLS‑інспекція, можливо, вам треба, щоб кореневий сертифікат проксі був довіреним ще на ранньому етапі — часто це нереалістично в OOBE. Чисті мережі налаштування кращі за проксі‑акробатику.

Задача 18: Підтвердьте, що журнал діагностики MDM присутній і активний (вирішіть, чи ESP — винуватець)

cr0x@server:~$ powershell -NoProfile -Command "wevtutil gl Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin | Select-String enabled"

enabled: true

Що це означає: Цей журнал увімкнено і він має містити корисні помилки.
Рішення: Якщо він пустий під час збоїв, можливо, ви навіть не досягаєте етапу MDM‑реєстрації. Це повертає питання до мережі/TLS/потоку входу.

Задача 19: Виявлення зависань встановлення додатків (ESP чекає на те, що ніколи не встановиться)

cr0x@server:~$ powershell -NoProfile -Command "Get-WinEvent -LogName 'Microsoft-Windows-AppXDeploymentServer/Operational' -MaxEvents 10 | Select-Object TimeCreated,Id,Message | Format-List"

TimeCreated : 2/5/2026 9:18:10 AM
Id          : 404
Message     : AppX Deployment operation failed for package Microsoft.CompanyPortal...

Що це означає: Встановлення додатка не вдалося й потенційно блокує ESP.
Рішення: Якщо одиночна помилка додатка блокує реєстрацію, виправте логіку призначення/детекції або зменшіть обсяг блокування в ESP. «Блокувати все» — чудовий спосіб заблокувати налаштування через дурницю.

Задача 20: Перевірте, чи ви не застрягли через потребу в перезавантаженні (класична пастка «оптимізації»)

cr0x@server:~$ reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\RebootRequired" /s

ERROR: The system was unable to find the specified registry key or value.

Що це означає: Потрібний перезавантаження не зафіксовано цим ключем.
Рішення: Якщо ключ існує, ви можете бути в стані, де провізування потребує перезавантаження, але потік не зробить його чисто. Контрольований перезапуск може допомогти; нескінченні повтори — ні.

Проблеми зі сховищем і диском: коли налаштування бреше

Збої OOBE не завжди «проблеми з ідентичністю». Інколи пристрій не може зберегти стан — бо диск заповнений,
файлову систему пошкоджено або контролер сховища в режимі, якого Windows не очікував.
Помилки зі сховищем часто проявляються як UI‑цикли, бо шар UX не знає, як сказати:
«Я спробував записати маркер провізування, а ваш диск сказав ні».

На що звертати увагу

• Мало вільного місця на системному томі, особливо на менших SSD з попередньо встановленим сміттям і розділом WinRE.
• Нюанси NVMe після оновлень прошивки (рідко, але буває): переривчасті I/O‑помилки під час інтенсивних записів налаштування.
• Зміни режиму контролера (AHCI/RAID), що роблять драйвери образу непридатними.
• Попереднє шифрування BitLocker, яке починається до того, як пристрій має стабільну ідентичність/мережу для зберігання ключів (послідовність політик).

Задача 21: Перевірте вільне місце на томі (вирішіть, чи потрібне прибирання або перевстановлення)

cr0x@server:~$ powershell -NoProfile -Command "Get-PSDrive -Name C | Select-Object Name,Used,Free | Format-List"

Name : C
Used : 414285373440
Free : 61783527424

Що це означає: У вас ~57 GB вільного місця. Ймовірно достатньо.
Рішення: Якщо вільного місця кілька гігабайт, не дивуйтесь OOBE‑циклам. Видаліть OEM‑сміття (якщо можете дістатися до робочого столу) або перевстановіть образ із чистим корпоративним образом.

Задача 22: Виконайте швидку перевірку файлової системи (вирішіть, чи є корупція)

cr0x@server:~$ chkdsk c: /scan
The type of the file system is NTFS.
Volume label is OS.

Stage 1: Examining basic file system structure ...
  512000 file records processed.
File verification completed.
No errors found.

Що це означає: NTFS у порядку.
Рішення: Якщо знайдено помилки, очікуйте непередбачувану поведінку налаштування. Спочатку виправте проблеми диска або замініть апаратне забезпечення, якщо помилки повторюються.

Задача 23: Перевірте приблизний стан NVMe з Windows (неідеально, але корисно)

cr0x@server:~$ powershell -NoProfile -Command "Get-PhysicalDisk | Select-Object FriendlyName,MediaType,HealthStatus,OperationalStatus | Format-Table -AutoSize"

FriendlyName      MediaType HealthStatus OperationalStatus
------------      --------- ------------ -----------------
NVMe SAMSUNG 512G SSD       Healthy      OK

Що це означає: Windows вважає диск здоровим.
Рішення: Якщо HealthStatus — Warning/Unhealthy або OperationalStatus не OK, зупиніть спроби «вилікувати налаштування». У вас апаратна/сховищна проблема під маскою софту.

Три корпоративні міні‑історії з передової

Міні‑історія 1: Інцидент через неправильне припущення

Середня компанія розгорнула нову SSID «setup Wi‑Fi» для підготовки пристроїв. Він був чистим, швидким і мав дружню назву.
ІТ припустило: «якщо він дає IP, значить має інтернет». Це припущення прожило рівно одне ранкове понеділок.

Пристрої підключалися, потім OOBE викинув «Щось пішло не так» на етапі входу в обліковий запис. Команда перевстановила образи на трьох ноутбуках,
поміняла два Wi‑Fi модулі (бо чому б ні) і витратила півдня.
Тим часом віддалені співробітники дивилися на екрани привітання й думали, чи це тест.

Справжньою причиною виявився DNS. SSID роздавав внутрішні DNS‑сервери, доступні лише з певних VLAN‑ів.
DHCP працював; маршрутизація працювала; DNS — ні. OOBE не міг послідовно резолвити кінцеві точки і зациклювався.
Хотспот працював одразу — це мало бути першим підказом.

Виправлення було нудним: виправити діапазон DHCP, перевірити доступність DNS з тієї мережі і додати пункт у чеклист налаштування:
«Резолв публічного імені, отримати TLS‑сторінку». Ніяких героїчних дій. Просто менше припущень.

Міні‑історія 2: Оптимізація, що обернулась невдачею

Команда корпоративних кінцевих точок вирішила «прискорити onboard­ing», зробивши ESP блокуючим на все:
бази безпеки, три VPN‑агенти (не питайте), сканер відповідності, софт принтерів і кілька бізнес‑додатків.
Логіка звучала бездоганно: ніхто не торкатиметься пристрою, поки він не відповідає вимогам.

Це працювало в лабораторії. Звісно. Лабораторія мала ідеальну пропускну здатність, жодної TLS‑інспекції і ніхто не мав простроченого пароля.
У продакшені ESP став механізмом відмови‑в‑обслуговуванні для onboard­ing. Один інсталятор додатка мав нестабільну залежність від CDN,
і коли він провалився, ESP чекав — потім таймаутив — потім OOBE зациклювався.

Оптимізація мала зменшити кількість заявок. Вона створила новий клас заявок:
«Мій ноутбук застряг на налаштуванні назавжди.» Команда навіть не могла підключитися віддалено, бо користувач ніколи не отримував робочого столу.

Відновлення було політичним і технічним. Вони розбили додатки на «необхідні для входу» і «можна встановити пізніше»,
зменшили блокуючі вимоги і забезпечили, щоб VPN‑клієнт не був обов’язковим до того, як пристрій матиме мережу для його завантаження.
Відповідність не зникла. Вона перемістилась у стадію, де користувач щось міг робити, поки політики сходилися.

Міні‑історія 3: Нудна, але правильна практика, що врятувала день

Глобальна фірма мала просте правило для мереж налаштування: виділений VLAN з прямим виходом у мережу, мінімальне фільтрування,
без капітивного порталу і з явним моніторингом DNS та TLS‑збоїв. Це не було круто і не виграло архітектурних нагород.

Одного тижня зміна політик на міжмережевому екрані випадково посилила вихідні правила з кількох офісних мереж.
Багато речей зламалось, але VLAN для підготовки лишився недоторканим, бо його вважали критичною інфраструктурою
і зміни вимагали другого рецензента.

Поки інші команди падали в паніку, підготовка пристроїв продовжувалась. Нові співробітники отримали пристрої. Поломки на місцях реєструвалися.
Служба підтримки не потонула.

Пост‑мортем був майже дратівливо простим: «спеціальна» мережа не була особливою через магічні налаштування.
Вона була особливою, бо мала контроль змін і моніторинг. Нудні практики не з’являються в слайдах, але вони переживають контакт з реальністю.

Типові помилки: симптом → корінна причина → виправлення

1) Симптом: «Щось пішло не так» одразу після підключення Wi‑Fi

• Корінна причина: капітивний портал або перехоплення DNS; пристрій «підключається», але не може дістатися потрібних кінцевих точок.
• Виправлення: використайте хотспот/Ethernet для підтвердження; створіть SSID/VLAN для підготовки без капітивного порталу; перевірте DNS і TLS з Shift+F10.

2) Симптом: Цикл відбувається на вході з обліковим записом Microsoft / робочим обліковим записом

• Корінна причина: зсув часу або TLS‑інспекція без довірених коренів; іноді прострочені облікові дані або умовний доступ не підходить для контексту OOBE.
• Виправлення: перевірте w32tm /query /status; синхронізуйте час; протестуйте Invoke-WebRequest; спробуйте чисту мережу; налаштуйте умовний доступ для реєстрації.

3) Симптом: Autopilot ESP сидить вічно, потім падає й повертає на старт

• Корінна причина: блокуючі додатки/політики, збій встановлення додатка, необхідний перезапуск або залежність, недоступна в мережі підготовки.
• Виправлення: перевірте журнали MDM та AppX; зменшіть обсяг блокування ESP; забезпечте доступність критичних кінцевих точок без VPN; уникайте «встановити все перед робочим столом».

4) Симптом: Пристрій реєструється на хотспоті, але падає в корпоративній мережі

• Корінна причина: вимоги проксі, фільтрація виходу або особливості SSL‑інспекції в ранньому етапі завантаження.
• Виправлення: мережа підготовки з прямим виходом; якщо потрібен проксі, перевірте WinHTTP проксі і довірений ланцюжок, а не тільки налаштування браузера.

5) Симптом: Цикл з’явився після оновлення або під час «перевірки на оновлення» під час налаштування

• Корінна причина: завантаження оновлень блокується, оновлення частково застосовано або оновлення драйвера дестабілізувало мережу/сховище.
• Виправлення: повторіть OOBE офлайн (BYPASSNRO), завершіть налаштування, потім оновлюйте під контролем політик; якщо відтворюється на багатьох пристроях — призупиніть кільце оновлень.

6) Симптом: UI налаштування аварійно завершується або миттєво повертається після кліку Next

• Корінна причина: пошкоджений стан OOBE, відсутня залежність або збій запису на диск.
• Виправлення: перевірте Panther‑логи; запустіть chkdsk /scan; якщо логи показують повторні збої провізування, перезапустіть sysprep /oobe або зробіть скидання.

7) Симптом: «Увійдіть за допомогою Microsoft» заблоковано або відсутні очікувані шляхи

• Корінна причина: відмінності випуску/політик, налаштування регіону або політики організації, що примушують конкретні шляхи приєднання.
• Виправлення: перевірте збірку і політики; використайте офлайн‑шлях, щоб дістатись до робочого столу; потім застосуйте бажаний підхід приєднання/реєстрації свідомо.

8) Симптом: Ви бачите дивну поведінку ідентичності пристрою (чужий брендинг, несподівані підказки реєстрації)

• Корінна причина: пристрій раніше зареєстровано в Autopilot/MDM або хеш апаратного забезпечення вказує на інший тенант.
• Виправлення: перевірте реєстрацію пристрою у вашій системі управління; видаліть застарілі записи; скиньте пристрій; повторіть реєстрацію.

Контрольні списки / поетапний план

Чеклист A: «Мені просто треба, щоб цей ноутбук перестав зациклюватись» (15–30 хвилин)

1. Спробуйте іншу мережу (хотспот). Якщо працює, припиніть звинувачувати пристрій.
2. Відкрийте Shift+F10 і виконайте:
   • ipconfig /all (чи є шлюз і DNS?)
   • w32tm /query /status (час в порядку?)
   • powershell Invoke-WebRequest до TLS‑кінцевої точки (TLS в порядку?)
3. Якщо мережа — блокер, виконайте OOBE\BYPASSNRO і завершіть налаштування офлайн.
4. Опинившись на робочому столі, виправте драйвери, встановіть оновлення під політиками і потім виконайте реєстрацію/приєднання правильно.

Чеклист B: Тріаж Autopilot для підприємства (30–90 хвилин)

1. Підтвердьте, що пристрій має проходити через Autopilot:
   • Якщо брендинг організації показується несподівано, підозрюйте застарілу реєстрацію пристрою.
2. Перевірте доступність на мережі підготовки:
   • nslookup для публічних імен
   • Invoke-WebRequest до кінцевих точок ідентифікації
   • netsh winhttp show proxy
3. Витягніть логи реєстрації:
   • журнал MDM diagnostics provider Admin
   • Panther setuperr.log
4. Прийміть рішення:
   • Якщо відмови пов’язані з встановленням додатків: виправте призначення/детекцію або зменшіть блокування ESP.
   • Якщо відмови пов’язані з автентифікацією/умовним доступом: налаштуйте політики для контексту реєстрації.
   • Якщо відмови пов’язані з мережею: створіть/виправте VLAN підготовки та додайте до білого списку необхідний вихід.
5. Скиньте і повторіть після виправлення зовнішньої залежності. Повторення зламаного потоку — це не «тестування».

Чеклист C: Перевірка стану сховища, перш ніж витрачати день

1. Get-PSDrive C для перевірки вільного місця.
2. chkdsk c: /scan для явної корупції.
3. Get-PhysicalDisk для стану здоров’я диска.
4. Якщо щось не так — зупиніться. Замініть апаратне забезпечення або перевстановіть образ з правильними драйверами/прошивкою для сховища.

Питання й відповіді

1) Чи означає «Щось пішло не так» завжди збій сервісу Microsoft?

Ні. Більшість випадків — локальне середовище: DNS, проксі, зсув часу, капітивний портал або глухий кут політик Autopilot/MDM.
Ви доводите збій сервісу відтворенням на кількох мережах і пристроях та спостереженням послідовних збоїв кінцевих точок.

2) Чому хотспот часто «вирішує» OOBE?

Хотспоти зазвичай мають просту маршрутизацію, публічний DNS, відсутність капітивного порталу і жодної TLS‑інспекції. Ви прибираєте корпоративну складність,
що корисно для діагностики і трохи принизливо для політик мережі.

3) Який найшвидший спосіб зрозуміти, чи це DNS?

З Shift+F10 запустіть nslookup для публічного імені. Якщо воно не резолвиться або повертає внутрішню/каптивну IP, DNS — ваш основний підозрюваний. Виправте DNS або змініть мережу.

4) Чому час так важливий під час налаштування?

Сучасна реєстрація залежить від TLS. TLS залежить від періодів дійсності сертифікатів. Якщо пристрій думає, що він у минулому або майбутньому,
кінцеві точки відкидають підключення. UI рідко це каже; він просто зациклюється.

5) Чи «небезпечний» OOBE\BYPASSNRO?

Це не небезпечно; це компроміс. Ви відтерміновуєте онлайн‑кроки ідентичності/реєстрації. В корпоративному середовищі це може суперечити бажаному
zero‑touch підходу, але це дійсний шлях відновлення, щоб отримати придатний робочий стіл для подальшого усунення несправностей.

6) Чому ESP блокує встановлення додатків взагалі?

ESP створено, щоб забезпечити мінімальну відповідність і потрібні інструменти перед тим, як віддати пристрій користувачу.
Проблема виникає, коли «обов’язкове» перетворюється на «все, що ми коли‑небудь хотіли», включаючи крихкі інсталятори й некритичні додатки.

7) Що робити, якщо Shift+F10 не відкриває командний рядок?

Деякі клавіатури вимагають Fn‑модифікаторів, а деякі збірки блокують цю можливість. Спробуйте Fn+Shift+F10.
Якщо це заблоковано за дизайном, ви обмежені перемиканням мережі та рішенням про скидання/перевстановлення образу.

8) Коли варто припинити тріаж і перевстановити образ?

Перевстановлюйте, коли у вас проблеми з диском/контролером, повторні відмови на кількох відомо‑добрих мережах
або ви підозрюєте, що OEM‑передінсталяція пошкоджена. Також перевстановлюйте, коли час, витрачений на тріаж, перевищує вартість перевстановлення.
Відстежуйте це рішення — якщо ви часто перевстановлюєте, маєте системну проблему вгору потоку.

9) Чи можуть інструменти безпеки, як SSL‑інспекція, ламати OOBE?

Так. Якщо середовище налаштування не довіряє кореню пристрою інспекції, TLS падає.
Виправлення не в «ігнорувати помилки сертифікатів» (це неможливо). Виправлення — чиста мережа підготовки або стратегія довіри, що працює до реєстрації.

10) Чому ці проблеми відчуваються періодичними?

Бо розподілені системи відмовляють періодично. DNS‑тайм‑аути, навантаження на проксі, пересування Wi‑Fi і обмеження кінцевих точок можуть перетворити маргінальне налаштування
у підкидання монети. Ваша мета — прибрати маргінальність: стабільна мережа, правильний час, мінімум блокувань і вимірювані перевірки здоров’я.

Висновок: наступні кроки, щоб це більше не відбувалося

Якщо ви запам’ятаєте одну річ: ставтеся до OOBE як до виробничого робочого процесу, а не як до споживчої іграшки. Він залежить від ідентичності, мережі,
криптографії, політик і сховища. Це велика площа поверхні для «екрану привітання».

Практичні наступні кроки:

1. Створіть мережу підготовки з чистим виходом у мережу, без капітивного порталу й передбачуваним DNS.
2. Додайте простий тест прийняття двома командами у ваш процес підготовки: резолв DNS і TLS‑запит з Shift+F10.
3. Аудитуйте обсяг блокування ESP: блокуйте лише те, що необхідно для безпеки і працездатності, а не все підряд.
4. Інструментуйте відмови: збирайте Panther‑логи і події MDM при циклах і класифікуйте корінні причини.
5. Зробіть перевстановлення контрольованим інструментом, а не кнопкою паніки — і тоді виправте умови вище, що змушують перевстановлення.

Катастрофи налаштування рідко вирішуються натисканням «Retry» сильніше. Їх вирішують усуненням невизначеності: відома‑добра мережа, правильний час,
перевірювана доступність кінцевих точок, адекватні політики і диски, які дійсно можуть записати те, що Windows намагається зберегти.