Créer et déployer Cette section couvre la création et le déploiement des systèmes d exploitation, à la fois clients et serveurs. Microsoft Deployment Toolkit est l outil central, qui enrichit les outils natifs à travers une interface conviviale et un emplacement unique pour toutes les données nécessaires aux déploiements. Deux méthodes sont proposées : Lite Touch et Zero Touch. MDT utilise plusieurs composants, dont WAIK (Windows Automated Installation Kit), Windows PE, et ImageX. Ces deux derniers sont fournis dans WAIK. 1. Microsoft Deployment Toolkit (MDT 2010) Microsoft met gratuitement à votre disposition un outil afin d accélérer votre projet de déploiement, MDT 2010. Il est disponible en téléchargement à cette adresse : http://www.microsoft.com/downloads/details.aspx?familyid=3bd8561f 77ac 4400 a0c1 fe871c461a89& displaylang=en&tm Une fois installé, l interface de gestion se trouve dans Démarrer Tous les programmes Microsoft Deployment Toolkit, Deployment Workbench. Les composants complémentaires sont proposés en téléchargement depuis l onglet Components dans la console : Il faut au moins télécharger le composant Windows Automated Installation Kit (appelé aussi WAIK), en 32 ou 64 bits suivant votre environnement. MDT n étant disponible qu en anglais, il téléchargera ce composant en anglais. Pour télécharger la version française, il suffit de se rendre à cette page : http://www.microsoft.com/downloads/details.aspx?displaylang=fr&familyid=696dd665 9f76 4177 a811 39c 26d3b3b34 Tant que ce composant n est pas présent, aucune des fonctions de l arbre Deployment Share ne fonctionne. MDT pilote WAIK afin de vous assister dans sa mise en œuvre et ne peut donc pas fonctionner sans celui ci. En le téléchargeant, vous obtenez aussi Windows PE. Une fois WAIK installé, l arbre Deployment Share permet de créer un espace de travail. Pour cela, il suffit de faire un clic droit dessus, de choisir New Deployment Share. L emplacement choisi doit avoir suffisamment de place pour contenir les sources et les images générées. - 1 -
Nous pouvons maintenant alimenter chaque module de cet espace de travail : Applications : contiendra les applications ajoutées dans le déploiement. Operating Systems : contient les sources des systèmes d exploitation. Out of Box Drivers : contiendra les pilotes supplémentaires nécessaires. Packages : contiendra les mises à jour Windows à intégrer. Task Sequences : permet de créer un scénario à partir des éléments des modules. Advanced configuration : permet de créer un média (DVD ), de garder une trace des déploiements dans une base SQL ou de gérer des réplicas du point de distribution. Les étapes suivantes sont : Ajouter des systèmes d exploitation (depuis leur DVD ). Ajouter des applications (installation silencieuse ) Ajouter des mises à jour Windows. Ajouter des pilotes. Créer une séquence d actions à effectuer. Créer une base de données pour inventorier les machines déployées. L ajout de systèmes d exploitation est très simple. Une fois les DVD ou CD importés, ils apparaissent comme ceci : - 2 -
Remarquez que la liste comprend à la fois Windows Server 2008 et Windows Server 2008 R2. MDT permet de déployer également Windows Vista, 7 et même Windows XP. L ajout d application à travers le nœud Applications permet d installer des applications post déploiement. Il s agit d installations silencieuses, de fichiers MSI, etc. Vous pouvez ensuite les intégrer dans les séquences d installations. Les propriétés suivantes sont disponibles : Le choix Application bundle permet de grouper des applications. L ajout de mises à jour Windows se fait via le nœud Packages. C est aussi simple que de fournir le dossier les contenants (fichiers.cab et.msu). Par défaut, elles appartiennent au groupe All Packages. Vous pouvez ajouter des groupes personnalisés afin de filtrer les mises à jour à appliquer dans les séquences d installation. Le nœud Out of Box Drivers contiendra tous vos pilotes. Il suffit de fournir le dossier les contenant (fichiers.inf). Vous pouvez classer les éléments de chaque nœud dans des dossiers et sous dossiers. - 3 -
Le nœud Task Sequences est la clé de voute du logiciel. Il permet de rassembler toutes les briques précédentes afin d en faire des scénarios d installation. Lors de la création d une séquence, seulement les options courantes sont proposées : Un identifiant unique, titre, description. Un masque de séquence. Un système d exploitation parmi la liste du nœud Operating Systems. Indiquer ou non un numéro de série (période d essai le cas échéant). Le nom, la page par défaut d Internet Explorer. Le mot de passe Administrateur local (ou le demander au premier lancement). Une fois créée, il faut ouvrir les propriétés de la séquence, dans l onglet Task Sequence, pour découvrir toutes les capacités des séquences : - 4 -
Les ajouts possibles sont regroupés par thèmes : Général Exécuter une ligne de commande. Positionner une variable. Exécuter une commande en tant que. Redémarrer. Collecter des informations. Installer des mises à jour au premier lancement. Valider. Installer une ou des applications présentes dans le nœud Applications. Disques Partitionner et formater un disque. Activer BitLocker. Images - 5 -
Installer un système d exploitation. Paramètres Appliquer un paramétrage réseau (IP, DNS, WINS). Capturer le paramétrage réseau existant. Rôles Installer et configurer des rôles et fonctionnalités. Les possibilités varient suivant le système d exploitation à installer. Les fonctionnalités qui ont un nom différent ou n existent que sous Windows Server 2008 R2 portent la mention explicite «2008R2». Configurer le serveur DHCP, DNS, Active Directory, et enfin autoriser le DHCP. Les scénarios possibles sont très larges lors du déploiement : Sauvegarde ou non des profils utilisateurs locaux sur un partage réseau (avec restauration). Capture des paramètres réseaux avant la réinstallation, puis restauration de ceux ci. Installation et configuration des rôles communs Windows Server 2008. Gestion de BitLocker avec paramétrage : Moyen de stockage (TPM, USB, les deux). Création d une clé de recouvrement dans l Active Directory. Attendre la fin de l encryption avant de continuer. Injections de pilotes et mises à jour Windows. Il reste ensuite à définir un point de déploiement, dans le nœud Deploy Deployment Points. Les possibilités sont : le partage local à la machine où s exécute MDT 2010 ; un partage local ou distant ne contenant qu un jeu de la configuration ; un média de stockage amovible (DVD, USB) ; une intégration à SMS 2003. Les séquences sont stockées dans le sous dossier Control du partage créé précédemment, avec l arborescence suivante : À la racine : Bootstrap.ini : fichier de configuration quand la machine à déployer ne peut pas se connecter au point de déploiement. CustomSettings.ini : fichier de configuration commun à toutes les séquences. {Numéro de séquence} - 6 -
TS.xml : contient des métadonnées sur la séquence. Unattend.xml : contient les valeurs pour le sysprep. Le déploiement via un média amovible est la plus basique, mais très efficace quand la connectivité réseau est limitée. Dans le dossier de destination, vous trouverez une image ISO bootable, LiteTouchPE_x86.iso ou LiteTouchPE_x64.iso suivant votre environnement. Window PE est l environnement de préinstallation de Windows. Il s agit d un Windows très léger, permettant d exécuter un ensemble d outils pour déployer un système d exécution Windows. L image WIM générée par MDT utilise Windows PE. Dans ce type d environnement, le moteur vbscript est notamment disponible. Les écrans graphiques MDT sont des vbscript et HTA (HTML Applications). Windows PE ayant ses fichiers en mémoire, il est possible de partitionner et formater tout le stockage disponible, notamment la partition système. Certains outils, comme USMT et ImageX, fonctionnent dans ce type d environnement, ce qui permet de sauvegarder les données de la machine avant sa réinstallation par exemple. La version actuelle est la 3.0, qui correspond à Windows 7 et Windows Server 2008 R2. Voici par exemple l environnement fourni par MDT : 2. Lite Touch La solution Lite Touch permet d industrialiser votre déploiement sans pour autant avoir l infrastructure de gestion Microsoft, System Center Configuration Manager 2007. La solution reste simple à mettre en œuvre tout en étant très efficace, car il utilise le moteur de séquence de ce dernier, en version autonome. Le déploiement doit être initié manuellement, mais vous êtes guidé à travers des écrans graphiques pour effectuer celui ci. Au delà d une image ISO comme vu précédemment, le déploiement via le réseau est possible en utilisant WDS (dont l installation est couverte plus loin). Vous devez ensuite spécifier dans CustomSettings.ini la variable DeployRoot=\\% WDSServer%\DeploymentShare$, sous la section [Default]. Il faut remplacer DeploymentShare$ par le nom de votre partage si vous n avez pas laissé le nom par défaut. Il faut ensuite mettre à jour le point de distribution, en effectuant un clic droit dessus, puis choisir Update Deployment Share. Il suffit ensuite : d importer ces deux images WIM dans WDS ; de démarrer une machine via PXE. - 7 -
L utilisation du multicast pour le déploiement est même disponible : Avant de déployer une image, certaines questions seront posées via des interfaces graphiques. Il est possible d augmenter l automatisation en les évitant. Vous devrez fournir les réponses à ces questions dans le fichier CustomSettings.ini. Voici les étapes pouvant être évitées si les variables suivantes sont positionnées à YES (en majuscules) dans le fichier CustomSettings.ini, section [Default]. À chaque écran correspond une variable pour l éviter, ainsi qu une ou plusieurs variables afin de renseigner les informations demandées par cet écran : SkipAdminPassword : ne demande pas de mot de passe administrateur local. Automatiser par AdminPassword=monmotdepasseadmin. Le mot de passe sera stocké en clair dans le fichier, vous devez donc changer ce mot de passe ultérieurement. Il est même conseillé de le changer régulièrement de façon automatisée sur l ensemble de vos machines. SkipApplications : ne propose pas d installer des applications. Automatiser par Applications001={GUID de l application trouvée dans control\applications.xml} SkipAppsOnUpgrade : ne propose pas d installer des applications si c est une mise à jour. SkipBDDWelcome : évite la fenêtre d accueil. SkipBitLocker : ne propose pas BitLocker. SkipBitLockerDetails : ne demande pas la configuration de BitLocker. SkipTaskSequence : ne propose pas le choix de la séquence. Automatiser par TaskSequenceID={Identifiant de séquence} SkipCapture : ne propose pas l utilisation de capture. Automatiser par DoCapture=NO YES PREPARE SkipComputerBackup : ne propose pas la sauvegarde de l ordinateur. - 8 -
Automatiser par ComputerBackupLocation=NETWORK AUTO NONE NETWORK fait une sauvegarde sur le réseau. AUTO fait une sauvegarde locale s il y a suffisamment d espace disque, sinon sur le réseau. NONE ne fait aucune sauvegarde. Si vous souhaitez faire une sauvegarde sur le réseau, il faut aussi utiliser ces deux variables : BackupShare=\\DC2008\Backup$ BackupDir=%ComputerName% Pour que la sauvegarde fonctionne, les permissions doivent être les suivantes sur le partage utilisé : Objet ordinateurs et utilisateurs du domaine en création de dossiers et ajouts de données. Créateur propriétaire en contrôle total. SkipComputerName : ne demande pas le nom de l ordinateur. Automatiser par ComputerName=%SerialNumber% par exemple. SkipDeploymentType : ne demande pas le type de déploiement. Automatiser par DeploymentType=NEWCOMPUTER. Il peut prendre les valeurs NEWCOMPUTER, REFRESH, REPLACE, UPGRADE SkipDomainMembership : ne propose pas de joindre un domaine. Automatiser par JoinDomain=MASOCIETE. Les variables additionnelles sont : MachineObjectOU=OU=Mes_Serveurs,DC=masociete,DC=local DomainAdmin=Administrateur DomainAdminDomain=MASOCIETE DomainAdminPassword=motdepassecomplexe Le mot de passe étant stocké en clair, vous devriez utiliser un compte qui n a que le droit de joindre les machines au domaine. SkipFinalSummary : ne montre pas la fenêtre de résumé finale de la séquence. SkipLocaleSelection : ne propose pas de choisir les paramètres régionaux. Automatiser par : KeyboardLocale=fr-FR (mettre également cette variable dans bootstrap.ini pour avoir le clavier en français pendant l installation). UserLocale=fr-FR et UILanguage=fr-FR SkipPackageDisplay : ne propose pas de package complémentaire. SkipProductKey : ne demande de numéro de série. - 9 -
SkipSummary : ne montre pas le résumé. SkipTimeZone : ne demande pas le fuseau horaire. Automatiser par TimeZoneName= TimeZoneName=Romance StandardTime. SkipUserData : ne demande pas s il faut sauvegarder les profils utilisateurs. Automatiser par UserDataLocation=NETWORK AUTO NONE. NETWORK fait une sauvegarde sur le réseau. AUTO fait une sauvegarde locale si il y a suffisamment d espace, sinon sur le réseau. NONE ne fait aucune sauvegarde. Si vous souhaitez faire une sauvegarde sur le réseau, il faut aussi utiliser ces deux variables : UDShare=\\DC2008\Profiles$ UDDir=%ComputerName% Et enfin, pour renseigner le compte à utiliser pour accéder au partage contenant les ressources MDT : USERID=Administrateur UserPassword=motdepassecomplexe UserDomain=MASOCIETE Votre fichier CustomSettings.ini pourrait donc ressembler à ceci : [Settings] Priority=Default Properties=MyCustomProperty [Default] OSInstall=Y SkipBDDWelcome= YES SkipCapture=YES SkipAppsOnUpgrade=YES SkipFinalSummary=YES SkipPackageDisplay= YES SkipProductKey=YES SkipSummary=YES USERID=Administrateur UserPassword= motdepassecomplexe UserDomain=MASOCIETE SkipComputerBackup=YES ComputerBackupLocation= NONE SkipAdminPassword=YES AdminPassword=monmotdepasseadminlocal SkipApplications=YES Applications001={73823faf-bb78-4491-a053-b47afb5553c4} SkipTaskSequence=YES TaskSequenceID= 001 SkipComputerName=YES ComputerName=%SerialNumber% SkipDeploymentType=YES DeploymentType=NEWCOMPUTER - 10 -
SkipDomainMembership=YES JoinDomain=MASOCIETE MachineObjectOU=OU=Mes_Serveurs,DC=masociete,DC=local DomainAdmin= Administrateur DomainAdminDomain=MASOCIETE DomainAdminPassword= motdepassecomplexe SkipLocaleSelection=YES KeyboardLocale=fr-FR UserLocale=fr-FR UILanguage=fr-FR SkipTimeZone=YES TimeZoneName=Romance Standard Time" SkipUserData=YES UserDataLocation=NONE DeployRoot=\\DC2008\DeploymentShare$ L intégration avec WSUS est prévue dans MDT. Si le système d exploitation à déployer est antérieur à Windows Server 2008 ou Windows Vista, le client Windows Update doit être mis à jour. Il est téléchargeable ici : Version x86 : http://go.microsoft.com/fwlink/?linkid=100334 Version x64 : http://go.microsoft.com/fwlink/?linkid=100335 MDT peut les déployer automatiquement si ces exécutables sont copiés dans le sous dossier Tools\x86 et Tools\x64 respectivement. Si vous déployez Windows XP Service Pack 2 ou 3, ou Windows Server 2003 Service Pack 2, une alerte de sécurité bloquera cette installation car il est installé depuis le partage réseau. Pour contourner ce problème, il faudra alors installer l agent comme une application standard depuis MDT avec comme commande WindowsUpdateAgent30-[platforme].exe /quiet /norestart /wuforce. Par défaut, la machine essaiera de se connecter aux serveurs Microsoft Windows Update sur Internet. Si vous avez un serveur WSUS, vous pouvez l indiquer à MDT en ajoutant la variable WSUSServer=http://monserveur dans le fichier CustomSettings.ini. Si vous spécifiez un serveur WSUS mais que le client n est pas à jour, MDT essaiera de le télécharger depuis Internet. Il ne reste plus qu à activer les deux étapes Windows Update dans la séquence (Pre et Post), car elles sont désactivées par défaut : - 11 -
Une autre approche est de déployer complètement une machine, la configurer entièrement, en installant les applications et mises à jour par exemple, puis de la capturer à travers Lite Touch. Cela deviendra votre image de référence, qu il vous suffira de déployer, en faisant un sysprep. Sysprep permet de rendre unique une machine, en ce qui concerne son nom et son SID (Security IDentifier). C est pour cette raison que vous ne pouvez pas joindre un domaine AD pendant une phase de capture. La phase de sysprep est automatiquement incluse par MDT (phase Copy sysprep files). Un point d attention, lors d une capture effectuée par Lite Touch, reste l utilisation d antivirus, qui peut poser des problèmes. La migration des profils utilisateur est faite via le composant USMT (User State Migration Tool). Il n est pas nécessaire de l installer sur le serveur de déploiement. Tout comme pour le client Windows Update, il faut télécharger les installeurs 32 et 64 bits et les copier dans les sous dossiers Tools\x86 et Tools\x64. Ils sont disponibles en téléchargement ici : http://www.microsoft.com/downloads/details.aspx?familyid=799ab28c 691b 4b36 b7ad 6c604be4c595&displaylang=en#filelist MDT offre la possibilité d inventorier toutes les machines déployées dans une base de données SQL Server. Si vous le souhaitez, vous pouvez utiliser une base SQL Express. Cette version de SQL Server est gratuite, et suffit à ce besoin. Elle est téléchargeable chez Microsoft : http://www.microsoft.com/downloads/details.aspx?displaylang=fr&familyid=7522a683 4cb2 454e b908 e805e9bd4e28 3. WDS L installation du rôle WDS est très simple, mais nécessite un redémarrage du serveur. Les pré requis sont un domaine Active Directory, le service DNS et DHCP sur le réseau, ainsi qu une partition NTFS pour le stockage. Afin d installer le rôle, depuis une ligne de commande, exécutez la commande servermanagercmd -i WDS : - 12 -
Trois composants ont été installés : Serveur de déploiement : il s agit du composant principal. Serveur de transport : ce composant peut être installé tout seul en environnement restreint (sans Active Directory, DHCP, DNS ). Il est aussi utilisé par le composant principal. Outils des services de déploiement Windows : composants d administrations. Le message d avertissement pour servermanagercmd ci dessus n apparaît que sur Windows Server 2008 R2. Servermanagercmd a été introduit avec Windows Server 2008. Mais depuis Windows Server 2008 R2, il est remplacé par des commandes PowerShell. L objectif est notamment d uniformiser les commandes entre les versions classiques et Core. La version Core inclut le Framework.Net sous 2008 R2 et donc PowerShell. L équivalent en PowerShell est le suivant : Import-module servermanager Get-WindowsFeature where { $_.Name -match "WDS"} Add-WindowsFeature WDS Une fois installé, l interface de gestion se trouve dans Démarrer Outils d administration Services de déploiement Windows. Étendez les nœuds jusqu au nom de votre serveur et sélectionnez Configurer le serveur. Choisissez ensuite un dossier pour le stockage des images (%systemdrive%\remoteinstall par défaut). La volumétrie de ce dossier pouvant être importante, une alerte est émise si la partition système est utilisée. Si nécessaire, il est possible de réduire à chaud les volumes depuis le gestionnaire de disques, afin de disposer d un lecteur dédié à ce stockage. WDS peut être restreint afin de répondre uniquement aux clients connus. Pour qu un client soit connu, il faut qu il ait déjà joint l Active Directory antérieurement, ou qu un objet ordinateur ait été créé manuellement dans Active Directory avec le bon identifiant. L identifiant utilisé est affiché au démarrage de la machine cliente, au moment de la recherche de PXE (GUID). Un mode d approbation est aussi possible, l administrateur visualisant les demandes de clients - 13 -
inconnus en attentes. Pour un déploiement massif, le mode multicast est très adapté. Il permet de ne pas inonder le réseau en envoyant tous les octets individuellement à chaque machine. À la place, les machines s inscrivent à l adresse multicast, WDS n envoyant alors qu une fois les données à cette adresse pour toutes les machines. S agissant de multicast IGMP, il faut que vos équipements réseaux le supportent. Si ce n est pas le cas, le switch les traitera comme des diffusions, et inondera donc alors tout le réseau. Si des machines arrivent pendant le déploiement, elles récupèrent les données envoyés jusqu à la fin, puis WDS enverra les données manquantes à ces machines, qui sont donc capables de recevoir les données dans le désordre. Outre le gain réseau, le serveur est capable de déployer plus de machine à la fois car il ne lit qu une fois les données à déployer. Cela réduit donc très fortement les accès au stockage disque. La liste des machines en cours de déploiement, ainsi que leur débit réseau est affichée depuis la console WDS : La vitesse de déploiement de l ensemble des machines est égale à la vitesse de déploiement de la machine la plus lente sur Windows Server 2008. S il n y a, par exemple, que des machines rapides sauf une, celle ci empêchera les autres de se déployer plus vite. Le serveur n émettant les paquets réseaux qu une fois, il doit attendre qu elles soient toutes prêtes à recevoir le prochain paquet. Dans la fenêtre ci dessus, la colonne Taux de transfert permet de déterminer la vitesse de chaque machine pendant le déploiement. Si une machine est clairement plus lente que les autres, vous pouvez changer son mode de déploiement en partage de fichier, afin qu elle ne ralentisse plus les autres. Il suffit pour cela de faire un clic droit sur la machine et de choisir Ignorer multidiffusion : En revanche, Windows Server 2008 R2 propose de classer automatiquement en deux ou trois catégories les machines (rapide, moyenne, lente). Le serveur devra au final envoyer 2 ou 3 fois les données, mais cela permet de déployer les machines plus rapidement. La transmission par multidiffusion, créée par défaut par MDT 2010, est de type automatique. C est à dire que le déploiement commence dès qu un client demande une multidiffusion. WDS propose cependant aussi une multidiffusion planifiée. Cette planification peut se faire sur deux critères : le nombre de clients en attente de déploiement ; une date et une heure où déclencher le déploiement. - 14 -
Les deux critères peuvent être utilisés en même temps. Si aucun des deux n est sélectionné, il faudra démarrer manuellement la multidiffusion. Même s il s agit d un déploiement planifié, un démarrage manuel est toujours possible par ailleurs. Hors cadre d utilisation par MDT, WDS sur Windows Server 2008 R2 permet : De gérer les pilotes pour des images Windows 7 et Windows Server 2008 R2. De démarrer directement sur des images VHD. - 15 -