Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Compte rendu sur la mise en place d’un
serveur de déploiement d’images
Windows.
I Architecture et fonctionnement théorique. ______________________________________ 2
II Elements de configuration __________________________________________________ 2
a) Les scénarios _______________________________________________________________ 2
b) La ressource partagée ________________________________________________________ 3
III Installation des services. ___________________________________________________ 4
a) ADK ______________________________________________________________________ 4
b) WDS ______________________________________________________________________ 5
c) MDT ______________________________________________________________________ 7
IV Configuration de MDT _____________________________________________________ 8
a) Configuration de la ressource partagée __________________________________________ 8
b) Propriétés de la ressource partagée ___________________________________________ 11
c) Bootstrap.ini ______________________________________________________________ 14
d) CustomSettings.ini _________________________________________________________ 16
V Configuration avancée ____________________________________________________ 18
a) Importation de L’OS ________________________________________________________ 18
b) Importation d’applications ___________________________________________________ 19
c) Injection de drivers _________________________________________________________ 23
d) Les séquences de taches _____________________________________________________ 27
e) Configuration avancée de la Task Sequence _____________________________________ 31
f) Partitionnement adapté du disque ____________________________________________ 38
g) Ajout des licences dell intégrées au bios ________________________________________ 45
h) Désactivation du pare feu en fin de déploiement _________________________________ 48
VI Configuration du service WDS (Windows Deployment Service) ____________________ 49
VII Problèmes rencontrés : ___________________________________________________ 59
VIII Sources : ______________________________________________________________ 60
I Architecture et fonctionnement théorique.
Pour faire simple l’architecture de MDT s’articule autour de 3 parties :
La console de gestion : Alias “Deployment Workbench” (ou “Atelier de déploiement”) : C’est une
console graphique de type MMC, exécutée sur un serveur Windows sur lequel ont été installés le kit
de déploiement Windows ADK, et le package MDT. On notera que Powershell est également un pré
requis.
Le point de distribution : Il s’agit d’un dossier partagé (Nom par défaut “DeploymentShare$“). Tout
serveur de fichier SMB/CIFS, Windows ou Linux peut faire l’affaire…
Le client LiteTouch :Il est basé sur un noyau WinPE utilisant principalement un script
“LiteTouch.wsf“.Ce client est chargé de connecter et d’interpréter des scripts (.vbs/.wsf) et directives
publiées (.xml) sur le point de distribution. Comme tous les noyaux WinPE, il peut être utilisé sur des
supports flash USB, des CD/DVD ou bien via le réseau, typiquement via les services WDS (Windows
Deployment Services). On pourra donc remarquer que WDS est une composante facultative de MDT
car il est possible de déployer une image crée par MDT via un support physique..
II Elements de configuration
MDT utilise des notions de scénario de déploiement. Ces scénarios sont en fait la logique que vont
emprunter les différents scripts pour traiter les différents cas de figure. Cette logique complexe de
scripts sera contrôlée par les réglages qu’on définira dans les « séquences de taches ». Pour traiter
les cas courants, le MDT propose des séquences de taches prédéfinies qu’il nous suffira d’adapter a
nos besoins.
a) Les scénarios
Les scénarios débutent par un test préalable pendant l’initialisation du client Litetouch. Ce test
collecte des informations sur l’environnement. Ainsi, MDT va positionner des variables qui peuvent
influencer les séquences de taches ou décider quel scénario sera utilisé.
Les différents scénarios sont :
1. Upgrade Computer : Mise à jour sur place d’un même ordinateur (Sous réserve que le
système d’exploitation soit supporté)
2. Refresh Computer : Réinstallation sur un même ordinateur (récupération préalable des
données d’utilisateur)
3. Remplace Computer : Installation sur un nouvel ordinateur (récupération des données
d’utilisateur à partir de l’ancien ordinateur)
4. New Computer : Installation d’un nouvel ordinateur (le contenu existant est supprimé). Ce
scénario ne peut être exécuté que lorsque l’ordinateur est démarré à partir d’un noyau
WinPE (Client LiteTouch). Ce qui est logique vu qu’il est impossible de supprimer les
partitions d’un système en cours d’utilisation.
b) La ressource partagée
La ressource partagée : DeploymentShare$ par défaut, contient la majeure partie des réglages du
MDT dans des fichiers .xml. Il est très déconseillé de modifier directement ces fichiers (écriture,
copie, suppression etc…). En effet toutes les actions doivent êtres impérativement réalisées à partir
de la console MMC. Le dossier de cette ressource partagée est transportable. On peut donc choisir
de le stocker sur un média de notre choix pour pouvoir l’utiliser sur n’importe quelle machine ayant
MDT d’installé.
III Installation des services.
a) ADK
Avant tout, il faudra disposer d’une infrastructure avec des serveurs AD DS, DNS et DHCP. La
configuration du DHCP devra disposer de l’option 60 ou 66.
En tout premier lieu on installe le kit de déploiement et d’évaluation Windows (Windows ADK)
On choisit les fonctionnalités à installer.
Puis on suit l’assistant d’installation jusqu’au bout.
b) WDS
Ensuite on va devoir installer le rôle WDS. Ce service intégré aux rôles Windows Server 2012 permet
de déployer des images par le réseau.
Ensuite on clique sur ajouter des fonctionnalités lorsque cet écran apparait.
On clique sur suivant jusqu'à atterrir sur cet écran. Ici on peut vérifier ce qui va être installé. Si tout
est bon on clique sur installer.
c) MDT
Pendant l’installation de la fonctionnalité on peut en profiter pour aller télécharger Microsoft
Deployment Toolkit (MDT). Ce service permet de personnaliser les images avant de les déployer. Il
suffit de suivre l’assistant d’installation car aucune manipulation spécifique n’est nécessaire ici.
Une fois l’installation terminée on peut voir que plusieurs raccourcis sont apparus dans le dossier
Microsoft Deployment Toolkit.
Le seul qui nous intéresse est Deployment Workbench. En effet, c’est l’utilitaire qui nous sera utile
pour personnaliser nos images afin de contrôler le déroulement des déploiements.
On double-clique donc Deployment Workbench pour ouvrir la console MMC. On peut voir que le
fameux dossier partagé « Deployment Shares » est vide. Il va donc falloir en créer un en effectuant
un clic droit.
IV Configuration de MDT
a) Configuration de la ressource partagée
Ensuite on choisit l’emplacement ou sera crée la ressource partagée. Il est conseillé de la créer sur
un autre disque que celui ou est installé l’os ou du moins une autre partition.
On suit l’assistant d’installation jusqu'à ce qu’on obtienne cet écran. Les cases que l’on peut cocher
ici correspondent à des directives du fichier CustomSettings.ini (onglet Rules du Deployment share
que l’on verra plus tard) et sont donc modifiable par la suite.
Elles correspondent respectivement à ces directives :
SkipComputerBackup=NO
SkipProductKey=YES
SkipAdminPassword=YES
SkipCapture=NO
SkipBitLocker=NO
On clique sur next jusqu'à la fin de l’installation. Ensuite il convient de vérifier qu’un partage a bien
été crée au bon emplacement.
Pour cela à l’aide d’une invite de commande on tape : net share
On doit voir apparaitre la ligne qui concerne la ressource partagée.
Une fois que tout ceci est bon on peut se lancer dans la configuration.
b) Propriétés de la ressource partagée
Avant toute chose il est nécessaire d’expliquer le fonctionnement de deux fichiers importants.
Customsettings.ini, que l’on peut éditer a partir de l’onglet Rules des propriétés du
DeploymentShare. Il permet notamment de :
- Cacher des menus
- Modifier les paramètres régionaux de l'assistance d'installation
- Définir des actions par rapport à l'environnement (Sous-réseau / MAC Adresse / Etc...)
- Définir des règles de nommage des machines.
- Activer/désactiver des composants (Interface Shell pendant l'installation sous Windows,
Etc...)
Bootsrap.ini, que l’on peut éditer a partir du bouton « edit Boostrap.ini » dans l’onglet Rules
des propriétés du DeploymentShare. Il sert à stocker la configuration réseau et les
informations d’authentification au serveur MDT.
Pour commencer on va effectuer un clic doit pour accéder aux propriétés de la ressource partagée.
Dans l’onglet général, on va décocher la plateforme x86 étant donné qu’on ne veut déployer que des
postes en 64 bits et on va cocher la case « Enable multicast for this deployment share ».
Lorsqu’on applique ces paramètres on obtient normalement cette erreur. La console renvoie que le
chemin UNC n’est pas valide, alors qu’il l’est. Pour résoudre ce petit bug il faut aller dans les
propriétés du dossier de la ressource partagée.et donner les droits en lecture à tous les utilisateurs.
Normalement l’erreur disparait. Note : Il est possible, afin d’améliorer la sécurité de ne donner les
droits de lecture qu’a un seul utilisateur.
Ensuite on va aller dans l’onglet Windows PE. En sélectionnant la bonne plateforme (x64) afin de
décocher « Generate a lite touch bootable iso image. En effet étant donné que l’on souhaite
uniquement déployer par le réseau, il n’y a pas besoin de générer d’image en .iso. On pourra aussi
modifier l’arrière plan utilisé lors du déploiement.
Ensuite on ira dans l’onglet Monitoring et on activera la supervision pour ce déploiement en cochant
la case « Enable monitoring for this deployment share ». La consultation du dossier Monitoring après
avoir déployé des postes permet de savoir si tout s’est bien passé ou non.
c) Bootstrap.ini
Maintenant nous allons nous intéresser au fichier Bootstrap.ini :
Mon fichier bootstrap.ini :
Deployroot : est la ligne qui va indiquer le chemin de la ressource partagée au client litetouch.
UserID/UserDomain/UserPassword : sont les identifiants nécessaires a l’authentification sur le
serveur de déploiement.( L’utilisateur utilisé ici n’a seulement besoin que des droits de lecture sur le
dossier DeploymentShare$).
KeyboardlocalPE : Permet de spécifier quel type de clavier a utiliser, ici le français
SKIPBDDWELCOME : Permet de passer l’écran d’accueil du déploiement.
[Settings] Priority=Default [Default] DeployRoot=\\TESTWDS1\DeploymentShare$ UserID=DeployMDT UserDomain=MaquetteMDT.loc UserPassword=Password17 KeyboardLocalePE=040c:0000040c
SkipBDDWelcome=YES
\\TESTWDS1 est le nom de mon serveur
DeployMDT est l’utilisateur qui va aller lire la ressource
partagée.
KeyboardLocalePE permet de spécifier un clavier AZERTY
SkipBDDWelcome permet de sauter l’écran de bienvenue
d) CustomSettings.ini
Ensuite, Le fichier CustomSettings.ini :
Normalement le fichier de base ressemble à ceci :
Une fois personnalisé il doit contenir les directives suivantes :
[Settings]
Priority=Default
Properties=MyCustomProperty
[Default]
OSInstall=Y
; Connexion aux ressources partagées
UserID=DeployMDT
UserDomain=MAQPXE.test
UserPassword=Password17
; skip des écrans
SkipBDDWelcome=YES
SkipCapture=YES
SkipAdminPassword=YES
SkipProductKey=YES
SkipComputerBackup=YES
SkipBitLocker=YES
SkipUserData=YES
SkipApplications=YES
SkipSummary =YES
; Zone géographique et clavier
KeyboardLocale=040C:0000040C
UserLocale=fr-FR
UILanguage=fr-FR
TimeZone=105
TimeZoneName=Romance Standard Time
SkipLocaleSelection=YES
SkipTimeZone=YES
; compte administrateur local
AdminPassword=azeazeaze
; Authentification domaine
JoinDomain=MAQPXE.test
DomainAdmin=DeployMDT
DomainAdminDomain=MAQPXE
DomainAdminPassword=Password17
; Adresse du WSUS pour les mises à jour
WSUSServer=http://192.168.1.251:8530
WSUSServer=https://192.168.1.251:8531
; Facultatif
_SMSTSORGNAME=Installation d'un systeme : Goupe-Rhinos
FinishAction=LOGOFF
EventService=http://TESTPXE:9800
DoNotCreateExtraPartition = YES
DONOTFORMATANDPARTITION=YES
→ Ici on met les memes
identifiants que ceux entrés
auparavant dans le fichier
Bootstrap .ini
-Écran d’accueil
-Sauvegarde du poste
-Mot de passe adminisrateur local
-Clé de produit Windows
-restauration des données d’un ordinateur
-Paramètres Bitlocker
-Restauration/conservation des données d’un utilisateur
-Choix des applications a installer (définies en task séquence)
- Récapitulatif pré-déploiement.
- Titre de la fenêtre du déploiement
- Action a effectué en fin de déploiement
- Adresse du serveur de supervision intégré
- Permet de ne pas créer de partition additionnelle temporaire
pendant l’installation (génère parfois des erreurs)
- Empeche le formatage complet du disque.
- Domaine a rejoindre
- Opérateur de comptes
- Domaine de l’opérateur de compte
- Mot de passe de l’opérateur de comptes
Bien sur toutes ces directives sont modifiables et il y en a beaucoup que je n’utilise pas ici ! :
- http://ceurin.overblog.com/tuto-customsettings.ini-%26-bootstrap.ini
Maintenant que les fichiers CustomSettings.ini et le Bootstrap.ini sont configurés. Nous allons
pouvoir passer au corps du Deployment Share.
V Configuration avancée
a) Importation de L’OS
Tout d’abord il va falloir ajouter une image de système d’exploitation.
On clique droit sur Operating system et on sélectionne “Import operating system”.
Ensuite on choisit Full set of sources files.
Puis on sélectionne le dossier dans lequel est contenu l’OS DÉCOMPRESSÉ
Et on suit l’assistant jusqu’au bout.
b) Importation d’applications
Maintenant on va passer aux applications que l’on souhaite installer durant le déploiement.
On clique droit sur Applications et on sélectionne « New Application ».
Ensuite on sélectionne Application with sources files.
On peut remplir les informations concernant l’application.
Puis on sélectionne le Dossier contenant l’installeur de l’application. Il est conseillé de créer un
dossier par application car MDT va charger tout le contenu du dossier pour chaque application.
Même si il n’exécutera qu’un seul fichier au final.
Ensuite on clique sur next deux fois. Une fois sur cet écran il va falloir entrer la commande a exécuter
pour lancer l’installation. Il va donc être nécessaire de trouver comment installer l’application en
mode silencieux ou trouver un package .msi . Voici les commandes que j’ai utilisées pour les logiciels
de l’environnement de production. Il est à noter que toutes ces commandes sont sensibles à la
casse !
Pour tous les paquets .msi : msiexec /i [chemin_du_fichier.msi] /qn
Sublime text SublimeText.exe /SILENT
PhpStorm Phpstorm .exe /S
Office Setup.exe /config standard.ww\config.xml
Git Git.exe /verysilent
Sourcetree Sourcetree.exe /qn
PDFCreator PDFCreator-setup.exe /VERYSILENT /NORESTART
Ensuite il faut effectuer un clic droit sur l’application Office qui est apparue et sélectionner
propriétés.
Il faut ensuite aller sur l’onglet Office products et remplir la fenêtre comme ceci :
(La clé visible ici est une clé d’activation des clients kms générique utile seulement à l’installation et
non a l’activation.) Ensuite il faut cliquer sur appliquer, puis Edit config .xml puis faire ctrl+s et re-
appliquer avant de tout fermer.
Note : Dans le cas d’une licence en volume d’office il n’y a pas besoin d’entrer de clé.
On appuie deux fois sur next et on doit normalement voir l’application nouvellement ajoutée
apparaitre dans la console.
c) Injection de drivers
Maintenant on va passer à l’injection de drivers. En effet pour assurer le bon déploiement de l’image
il faut qu’on injecte certains drivers dans le système d’exploitation avant son installation. Les drivers
les plus importants sont bien sur les drivers de carte réseau et de contrôleur de stockage.
Pour cela on va aller dans « Out of box drivers » et ajouter un nouveau dossier.
Une fois ce dossier crée, on importe les drivers dedans.
REMARQUE : Seulement les drivers au format déjà extrait (.inf) ou les packages de drivers (.CAB) sont
compatibles avec l’injection.
http://en.community.dell.com/techcenter/enterprise-client/w/wiki/2065.dell-driver-cab-files-for-
enterprise-client-os-deployment
Une fois que les drivers sont importés , on vérifie bien qu’ils apparaissent.
Maintenant il existe deux techniques :
- La première, plus simple et plus fiable mais plus longue : On va aller dans l’onglet advanced
Configuration\Selection Profiles et faire clique droit pour créer un nouveau profil de
séléction.
Ensuite on sélectionne les drivers a installer pour ce modèle a partir de ce que l’on vient
d’importer dans « Out-of-Box drivers ».
On clique 3 fois sur next pour terminer la création.
- La seconde, plus rapide mais plus susceptible de générer des erreurs a mon gout : Elle
consiste a créer une variable dans CustomSettings.ini qui va installer les drivers en fonction
du modèle de PC. En effet avant de choisir la task sequence WinPE effectue un « état des
lieux » du système sur lequel il s’exécute. La complexité de cette technique réside dans le fait
qu’il faille organiser ses drivers et dossiers pour que l’arborescence corresponde a ce que
renvoie la requête WMI.
Il faudra ajouter ceci dans le fichier CustomSettings.ini.
DriverSelectionProfile=Nothing
DriverInjectionMode=ALL
DriverGroup001=Windows 7\x64\%Make%\%Model% Pour obtenir les informations qui seront renvoyées par les requites wmi il faut executer ces commandes :
- Via la console WMI : WMIC CSProduct Get Name, Vendor
- Via Powershell: Get-WmiObject Win32_ComputerSystem | Select Model,Manufacturer
d) Les séquences de taches
Apres ceci on va pouvoir s’intéresser aux Task Sequences. En effet les Task Sequences sont la partie
essentielle de MDT qui va dicter le comportement de l’installation.
Remarque : Un scénario d’installation=Une task sequence. Et Une task sequence = un OS
On effectue donc un clic droit sur task sequence et on selectionne New task sequence.
Sur cet écran on choisit l’ID de la task sequence, ici 001 et son nom (celui qui apparaitra dans winPE
lors du déploiement)
On clique sur next et on choisit Standard Client Task Sequence. L’écran suivant permet de
sélectionner quel système d’exploitation on va choisir d’installer. Les Distributions disponibles sont
celles qui se trouvent dans le cd d’installation que l’on a sélectionné dans « Operating system ».
Ensuite on nous propose trois options par rapport a la clé d’activation de Windows.
La première option permet de ne pas spécifier de clé d’activation, néanmoins il sera demandé lors de
l’installation de spécifier une clé.
La seconde option permet de spécifier une clé a activation multiple, C’est l’option la plus pratique a
utiliser. Même si on dispose de clé OEM il suffira de la rentrer plus tard. En effet, dans le souci d’une
installation le plus automatisée possible il vaut mieux entrer une clé générique Microsoft qui
permettra l’installation. (33PXH-7Y6KF-2VJC9-XBBR8-HVTHH par exemple).
Certains PC disposent d’une clé d’installation inscrite dans le BIOS, dans le cas d’un déploiement sur
ce type de machines on choisira la première option.
Apres avoir cliqué sur next, on remplit les informations demandées.
L’écran suivant propose deux options : la première permet de définir le mot de passe
d’administrateur local qui sera défini sur le pc. La seconde permet de ne pas en spécifier mais il est
déconseillé de choisir cette option.
Une fois qu’on a entré le mot de passe on appuie deux fois sur next.
Une fois fini on peux voir que la nouvelle séquence de taches apparait dans la console.
On va donc pouvoir passer a la personnalisation de cette task sequence. En effet on a choisi un
modèle pré défini. Donc si on souhaite répondre au mieux a nos besoins il va falloir sortir des sentiers
battus.
On clique droit sur la séquence de taches et on sélectionne l’onglet task sequence. On peut donc voir
l’arborescence de la séquence de taches. Les taches seront effectuées les unes après les autres dans
l’ordre de haut en bas.
e) Configuration avancée de la Task Sequence
La première modification que nous allons apporter est de mettre en place les mises a jour Windows.
On peut choisir de les installer avant ou après l’installation d’applications. Dans cet exemple on va
choisir de les appliquer après l’installation d’applications. On va donc cliquer sur Windows Update
(Post-Application Installation). Dans la réalité il est conseillé d’activer la tache avant et après les
applications. En effet, certaines applications ne vont pas pouvoir s’installer sans avoir fait les mises a
jour préalables.
Puis on décoche Disable this step.
On applique et on passe à la modification suivante. L’étape suivante consiste a automatiser
l’installation des applications. Ainsi on créera plusieurs séquences de taches (une pour chaque
scénario comme je l’ai dit plus haut) et chacune disposera de ses applications à installer.
On va commencer par cliquer sur Install Applications.
Ensuite on va aller cocher disable this step dans l’onglet options.
Apres ceci on clique sur Add/général/Install applications (il est aussi possible de faire des copier
coller).
Cette action va créer une nouvelle étape que l’on va renommer pour la reconnaitre et on va cocher
Install a single application.
On va ensuite cliquer sur browse et choisir l’application que l’on souhaite installer dans la liste des
applications préalablement chargées.
On applique et on réitère l’opération pour chaque application que l’on souhaite installer.
Note : Pour les applications de base, le plus simple est d’utiliser la combinaison de NiNite et du script
AutoIT que j’utiliserais pour la mise en production.
f) Partitionnement adapté du disque
L’étape suivante consiste à modifier les étapes de la séquence de taches qui concernent le formatage
et l’installation de L’OS afin d’empêcher le formatage total du disque. En effet on veut conserver la
partition RECOVERY de dell. On va donc commencer par ouvrir le dossier Preinstall/New Computer
Only.
Ensuite on désactive l’étape « Format and Partition Disk (UEFI) ». En effet on a stipulé une directive
dans CustomSettings.ini qui permet de ne pas formater le disque. Il faut absolument laisser la tache
« Format and partition Disk (bios) » car elle correspond a l’exécution d’un script. Et si ce script n’est
pas exécuté, cela génère des erreurs critiques.
Maintenant on va aller dans l’explorateur Windows et on va ouvrir le dossier contenant la ressource
partagée. Ici K:\DeploymentShare. Ensuite on va aller dans le dossier Scripts.
Une fois dans le dossier on va créer un nouveau document texte dans lequel on va entrer ceci.
Puis on enregistre et on ferme l’explorateur Windows.
Maintenant on retourne a notre séquence de taches ou on va ajouter une nouvelle tache.
En effet cette tache va devoir remplacer les taches de partitionnement que l’on a supprimé grâce au
fichier CustomSettings.ini.Il faudra donc la positionner au bon endroit. Entre « Validate » et « Copy
Scripts ».
On clique sur add et on sélectionne General/Run command line
Disk 0 = le disque que l’on
sélectionne
Partition 2 = la partition que l’on
souhaite formater
Label= « OS » le nom de la
partition qui sera crée.
Et on tape ceci dans la case Command line :
En mettant le nom du script que l’on vient de créer a la place de
« PartitionnerEnGardantRecovery.txt »
On applique et on va maintenant spécifier a la séquence de taches qu’il faut installer l’OS sur la
partition que l’on vient de créer. Pour ça on ira dans la section Install pour sélectionner « Install
Operating System ». On va changer « logical drive letter stored in a variable » par specific disk and
partition.
Et on entre la même partition que celle qu’on vient de formater grâce au script.
On clique ensuite sur appliquer puis OK.
Pour finir avec la séquence de taches, il va falloir configurer l’injection des drivers. On clique donc sur
la tache « Inject Drivers » dans le dossier « Preinstall ».
Et on séléctionne le profil que l’on a crée qui correspondra au modèle de pc.
Maintenant qu’on a personnalisé l’image afin qu’elle corresponde a nos besoins, il faut mettre a jour
la ressource partagée. Pour cela on clique droit sur notre Deployment share.
On sélectionne “Completely regenerate the boot images” et on appuie deux fois sur next.
g) Ajout des licences dell intégrées au bios
Les PC Dell disposent de la licence Windows intégrée au BIOS. En effet, lorsqu’on utilise un CD de
réinstallation de DELL, le programme va aller lire cette clé pour activer Windows. Le problème ici est
que nous utiliserons un cd d’installation de Windows 7 Pro « normal ». Afin de permettre a Windows
d’aller chercher la clé gravée dans le BIOS il va falloir effectuer quelques opérations. On notera que
ces opérations ne sont nécessaires que dans le cas de l’installation de Windows 7.
Tout d’abord il faut avoir un PC dell a disposition ou chercher le certificat sur internet.
Avec un pc dell :
On ira dans le dossier C:\Windows\System32\oem\
Et on récupèrera le fichier oem.xrm-ms.
Ensuite il nous faut une clé de licence spéciale. En effet, cette clé va stipuler à Microsoft qu’une clé
de licence unique est inscrite dans le bios. Microsoft va donc interroger le bios via le certificat que
nous avons récupéré plus tôt. La clé de dell est la suivante :
32KD2-K9CTF-M3DJT-4J3WC-733WD
Les séquences de taches étant déjà crées on va modifier directement le fichier Unattend.xml.
Pour cela on va dans les propriétés de la séquence de taches et on clique sur le dernier onglet « OS
info ».
On ouvre Edit Unattend.xml et on atterrit sur cette console.
On va ouvrir l’étape « specialize » et ensuite « amd64_Microsoft-Windows-Shell-Setup__neutral »
On peut ensuite entrer la clé en majuscule et avec des tirets dans le champ « ProductKey ».
Maintenant que la clé de licence spéciale est entrée on va devoir ajouter un script à MDT. En effet,
afin d’injecter le certificat dans l’OS nous allons devoir copier le fichier $OEM$ de la ressource
partagée. Ce dossier n’est plus recopié automatiquement depuis MDT 2012 Update 1, c’est pourquoi
il nous faut ajouter le script manuellement et l’exécuter.
En tout premier lieu il nous faudra télécharger ce script (Il est aussi enregistré dans le serveur zao)
que l’on collera dans le dossier « Scripts » de la ressource partagée. Ensuite il nous faudra aller dans
le dossier Deploymentshare\$OEM$\ et créer un dossier nommé « $$ » qui renvoie au dossier
«C:\Windows\ » de la machine a déployer. A l’intérieur de ce dossier on crée un autre dossier.
« System32 » a l’intérieur duquel on crée un dossier «oem». Le but de cette opération étant de
reproduire le schéma de l’arborescence normale d’un pc préinstallé. Dans ce dossier «oem» on colle
le certificat que l’on a récupéré plus tôt.
Maintenant on va devoir indiquer à la séquence de taches qu’elle doit exécuter le script
« CopyOEM.wsf ». Pour cela on crée une nouvelle tache juste après « Install Operating System »
On sélectionne « Run Command Line » et on entre ceci dans le cadre :
cscript.exe "%SCRIPTROOT%\CopyOEM.wsf"
Ce qui aura pour effet de copier le certificat dans le dossier C:\Windows\System32\oem\ juste après
l’installation de l’os. On applique et on clique sur OK.
h) Désactivation du pare feu en fin de déploiement
Afin de rendre possible le déploiement de l’antivirus par le réseau il est nécessaire de désactiver le
pare feu Windows. Pour cela on crée une nouvelle tache dans le dossier « Custom Task ».
Et on entre cette commande dans le cadre :
netsh Advfirewall set allprofiles state off
Ce qui aura pour effet de désactiver tout les profils de pare feu.
ATTENTION : Cette commande ne fonctionne UNIQUEMENT avec les déploiements de systèmes
WINDOWS 7
VI Configuration du service WDS (Windows
Deployment Service)
Comme je l’ai expliqué plus haut, le service MDT est une composante facultative de WDS et vice
versa. Etant donné que le but premier était de mettre en place un serveur de déploiement par PXE.
Nous allons donc devoir configurer le service WDS afin de pouvoir distribuer les images par le réseau.
Le déroulement d’un boot par PXE peut être schématisé comme ceci.
Dans un premier temps on va donc ouvrir les Services de déploiement Windows à partir des outils
Une fois que la console MMC est ouverte on développe l’arborescence sous Serveurs, on clique droit
sur notre serveur et on sélectionne « Configurer le serveur »
On clique une fois sur next. Deux options se proposent ensuite : intégré a Active directory ou Serveur
autonome. Dans le contexte actuel on choisira « Intégré a active directory » et on appuies sur next.
Ensuite il est demandé de spécifier le chemin du dossier d’installation à distance. C’est
l’emplacement ou seront stockées les images de boot ainsi que les fichiers qui permettront le boot
par le réseau. De la même manière que pour la ressource partagée, il est préférable d’éviter de
stocker ces fichiers sur la même partition que l’OS.
Ensuite plusieurs choix s’offrent a nous.
Si le serveur DHCP est un service windows et s’exécute sur le même serveur il faudra cocher
les deux cases.
Si le serveur DHCP n’est pas un service windows mais qu’il s’exécute sur ce serveur il faudra
cocher la première case et ensuite configurer manuellement l’option DHCP 60 PXECLIENT.
Si le serveur DHCP est sur un autre serveur il ne faudra rien cocher et configurer les options
DHCP 66 (et 67 si on ne dispose pas de MDT) sur le serveur DHCP.
on choisit donc le mode de réponse. Ici : Répondre a tous les ordinateurs clients.
On clique ensuite sur suivant. Il est normal qu’on reçoive une erreur « Le service n’a pas répondu
assez vite … ». Il suffit de cliquer sur terminer et de démarrer le serveur WDS manuellement.
Maintenant on va devoir autoriser le serveur WDS sur le serveur DHCP car les deux services sont
installés sur le même serveur. Pour ça on ouvre les propriétés de notre serveur et on va dans l’onglet
avancé.
Apres avoir modifié ceci on va dans l’onglet démarrer et on coche « continuer le démarrage PXE sauf
si l’utilisateur appuie sur Echap pour client connus et inconnus.
On va maintenant ajouter l’image de démarrage a notre serveur WDS. Pour ça on clique sur ajouter
une image de démarrage.
Puis il faudra aller dans notre ressource partagée, dans le dossier « Boot » et choisir l’image.
On clique sur ouvrir puis sur suivant jusqu'à ce que l’ajout de l’image de démarrage commence.
Note : Il faudra répéter cette tache des lors qu’on modifiera la ressource partagée dans MDT après
avoir fait « Update Deployment share ». L’image de se met pas a jour a la volée.
Maintenant il suffit de démarrer un ordinateur client PXE, et de suivre l’assistant d’installation de
Win PE puis ne plus rien toucher jusqu'à la fin du déploiement.
VII Problèmes rencontrés :
- Apres un déploiement raté ou arrêté en cours de route, il se peut que le déploiement d’après
refuse de boot en PXE, ou alors affiche une erreur une fois installé. « Unable to find the SMS
task sequencer, the deployment will not proceed ». Lorsqu’on rencontre cette erreur il faut
aller dans le dossier C:\MINNIT\Scripts\ et lancer le script qui s’apelle LTICleanup.wsf.
Normalement ceci suffit et le prochain déploiement fonctionnera normalement. Si ce n’est
pas le cas il faudra boot avec un cd d’installation de Windows sur le poste client, choisir sa
langue puis faire « réparer l’ordinateur ». Ensuite il faudra cliquer sur « Invite de
Commandes » et taper les commandes suivantes :
BOOTREC /fixboot
BOOTREC /fixmbr
BOOTREC /rebuildBCD
- L’activation en volume d’office ne nécessite pas de clé ! si on en spécifie une, alors
l’installation restera bloquée sur une erreur.
- Il ne faut pas oublier d’effectuer Windows update en pre et en post installation. Ainsi les
applications pourront s’installer correctement, puis office sera mis a jour.
VIII Sources :
MDT et WDS :
http://www.it-connect.fr/debuter-avec-mdt-2013/
http://www.it-connect.fr/configuration-avancee-de-mdt-2013/#ALes_variables_ou_proprits
http://www.tech2tech.fr/windows-server-2012-installer-et-configurer-un-serveur-wds/
http://www.tech2tech.fr/deployer-windows-avec-wds-et-mdt-2013/
https://mdtguy.wordpress.com/cheatsheet/
http://www.it-connect.fr/mdt-integration-dapplications/#ALes_packages_MSI
Forums et pages technet microsoft
http://www.edugeek.net/forums/o-s-deployment/
http://www.windowsnetworking.com/articles-tutorials/windows-7/Deploying-Windows-7-
Part23.html
http://raisin.u-bordeaux.fr/IMG/pdf/WDS-JRaisin-juin2010.pdf
https://technet.microsoft.com/en-us/library/bb680396.aspx
http://www.windowsnetworking.com/kbase/WindowsTips/WindowsServer2008/AdminTips/Admin/
QuicklyTurnONOFFWindowsFirewallUsingCommandLine.html
https://www.reddit.com/r/sysadmin/comments/37hypt/mdt_dell_oem/
http://mattrk.com/post/84097362434/windows-7-oem-slicslp-activation-via-wdsmdt
http://hardforum.com/showthread.php?t=1785130
Drivers :
http://en.community.dell.com/techcenter/enterprise-client/w/wiki/2065.dell-driver-cab-files-for-
enterprise-client-os-deployment
Autres :
http://www.cbouba.fr/cles-de-licences-generiques-microsoft-pour-installation/
http://www.autoitscript.fr/
http://www.cisco.com/c/dam/en/us/products/collateral/ios-nx-os-software/ip-
multicast/prod_presentation0900aecd80310883.pdf
http://www.it-connect.fr/implementation-du-mode-multidiffusion-sur-wds-et-mdt/
https://thommck.wordpress.com/2011/06/16/installing-linux-via-pxe-using-windows-deployment-
services-wds/
http://www.vcritical.com/2011/06/peaceful-coexistence-wds-and-linux-pxe-servers/
http://www.syslinux.org/wiki/index.php/WDSLINUX