PPE 3.1 - idjervincent.files.wordpress.com … · Web viewMéthode d'installation ... C'est ici que vous choisissez le langage par défaut du système d'exploitation ainsi que les

Hamid ISSAKA, Pierre Leclerc, Alexandre ASAYAG, Vincent IDJERMEDUSA CORPORATION

PPE 3.1

DEPLOIEMENT D’IMAGES SYSTEME ET DE LOGICIELS, MISE ENPLACE DE SERVEUR D’APPLICATION DMZ, ADMINISTRATION RESEAU A DISTANCE SECURISEE ET HAUTE DISPONIBILITE.

Sommaire

Partie I Administration système

- Mission 1 Déploiement d’application MSI par stratégie de groupe- Mission 2 Mise en place d’un serveur de déploiement multi-images - Mission 3 Mise en place d’un serveur d’application

Partie II Administration réseau

- Mission 1 Mise en place d’une DMZ - Mission 2 Service d’administration à distance sécurisée- Mission 3 Service de haute disponibilité

Mission 1 : Déploiement d’application MSI par stratégie de groupe

Contexte : Cette mission consiste à élaborer des stratégies de groupes permettant de déployer des packages MSI sur les ordinateurs clients d’une ligue ou d’un service de la M2L. Les logiciels généralement utilisés au sein des ligues et des services de la M2L sont : MS Outlook, MS Office, Acrobate Reader, anti-virus, Thunderbird, Open Office. D’autres logiciels seront déployés sur le même principe, tels que les agents OCS et NAGIOS permettant respectivement de remonter les configurations et les alertes des ordinateurs et équipements réseau sur leurs serveurs respectifs qui seront mis en place ultérieurement. Les applications à déployer seront centralisées dans un dossier de distribution sur un serveur du réseau. Certains logiciels seront amenés à être reconditionnés (transformation de .exe en .MSI). Il vous appartient de localiser un outil permettant d’assurer cette transformation.

Dans le cadre d’une automatisation de déploiement d’applications sur les postes, la M2L a besoin de convertir ses applications d’extension .exe en .msi.

En effet, deux serveurs de déploiement seront disponibles au sein de l’infrastructure de la M2L. L’un sera un serveur Debian avec le service Fog, et l’autre sera le Windows Server 2008 R2 avec le WDS. Pour déployer les applications on utilisera le service de déploiement par GPO sur le Windows Server.

Tableau comparatif des services supportés par les convertisseurs :

EXEtoMSIConverter (gratuit)

EXEtoMSIConverter (Payant)

WINDOWS INSTALL(gratuit)

Repackager X XEnregistreur Automatique de Script

X

Détecteur d’installateur

X X X

Support de lignes de commandes

X X X

Multiple Installations XEditeur de fichier système et registre

X

Support de conditions MSI

X X

Per-user/per-machine installations

X

Prix Gratuit 299€Single/899€ multiple

Gratuit

Le Déploiement par stratégie de groupe permet d’ « envoyer » des applications sur les sessions des membres d’une unité d’organisation pour que ceux-ci qui puissent installer un logiciel ou progiciel qui a été déposer sur un fichier de partage. Cependant un impératif se pose à nous, les applications étant en .exe doivent être converti en .msi afin que ceux-ci puissent être déployé via stratégie de groupe.

- Dans un 1er Temps, il fallait convertir le fichier .exe en .msi, pour cela il était nécessaire de la faire sur une application nommée « exe to msi converter »

Sur le poste de travail du serveur je crée un dossier de partage dans lequel j’integre mon application VLC.msi

Une fois ceci fait, il faut aller sur Active Directory afin de crée une stratégie de groupe dans l’unité d’organisation « Judo » sur le serveur d’application Windows 2008.

- Clic droit sur l’OU « Vlan 50 judo », aller sur « propriété » puis selectionner « stratégie de groupe »

Une fois sur « strategie de groupe » . Appuyer sur « nouveau » puis nommer cette stratégie « msi » dans notre cas

Maintenant nous allons integrer le logiciel qui doit etre installer au prochain démarrage pour cela je clic sur la stategie que je viens de créer puis je selectionne dans cet ordre configuration utilisateur/clic doit « nouveau package » puis je recherche dans le poste de travail le fichier de partage dans lequel se trouve l’application à deployer dans notre cas VLC Media Player

Je double clic sur la ligne qui viens d’apparaitre puis je selectionne le 2eme onglet nommé « déploiement »

Puis je selectionne « attribué » dans « Type de déploiement » puis je valide en appuyant sur l’onglet « appliquer ».

Pour finalise le processus de deploiement en connectant le dossier de partage dans lequel se trouve l’application a deployer.

Je selectionne le dossier de partage « MSI ».

Pour verifier le bon fonctionnement du deploiement nous verifierons que celui-ci est installer lors de l’ouverture de sessions d’un utilisateur de l’unité d’organisation dans laquelle la stratégiede groupe a été effectuée.

Nous constatons que sur la session « t.rinner » VLC media player est present dans le menu demarrer il ne reste plus qu’à l’utilisateur à l’installer.

Mission 2 Mise en place d’un serveur de déploiement multi-images

Contexte :

Le parc informatique de la M2L commence à se diversifier au niveau des systèmes d’exploitation Client. Si la plupart des machines sont équipés du système Windows 7, certaines ligues souhaitent Travailler sur Windows 8 voire Windows 10. Confronté à cette hétérogénéité des systèmes et pour répondre rapidement aux besoins de la M2L et des ligues, l’administrateur est contraint de recourir aux systèmes de déploiement adaptés aux exigences, lui permettant des images (Windows et Linux) rapidement et d’assurer ainsi une meilleure maintenance du parc informatique et une meilleure qualité du service. Il vous demande dans un premier temps de mener une étude comparative sur les outils de déploiement utilisés sur le marché en dressant un tableau donnant leurs caractéristiques (Environnement, configuration, fonctionnalités, payant/gratuit, etc.).

Cette étude lui permet de justifier ses choix de logiciels/outils de déploiement vis-à-vis de la direction, mais au final il préconisera d’implémenter une solution basée d’une part sur la technologie Microsoft WDS/MDT/WAIK et d’autre part sur l’Open Source FOG.

La solution va permettre d’une part d’ajouter des images, des logiciels, des pilotes et d’autre part d’automatiser au maximum les déploiements.

Les serveurs de déploiement seront hébergés dans le vlan informatique. Une VM « TSE-WDS » est crée à cet effet sur laquelle sera installé le serveur WDS (adresse IP : 172.16.2.58/26).Le serveur FOG sera installé sur la VM Linux Debian (adresse IP : 172.16.2.60/26) et cohabitera avec Le serveur DHCP2.Le WDS permet d’installer des images systèmes à distance, le poste client va récupérer une adresse IP sur le serveur DHCP au préalable installé, puis va installer le système.

Pour utiliser le WDS, il faut avoir installé le rôle Active Directory et DHCP

Etude comparative :

Dans cette étude nous allons confronter différentes solution qui pourraient répondre aux exigences de la M2L en matière de déploiement d’image système

Les solutions que nous allons comparer ici sont :

WDS (Windows deployement services) couplé avec MDT et WAIK

Les Services de déploiement Windows ("Windows Deployment Services" ou WDS) ont remplacé les services d'installation à distance ("Remote Installation services" ou RIS) dans le Service Pack 2 de Windows Server 2003 et Windows Vista.

Avantages :

- Rapidité (environ 10 minutes pour une image complète d'un poste),- Déploiement en masse,- Méthode d'installation du futur de Microsoft,- Interface graphique,- Possibilité d'intégrer des modifications en cours de route,- ISO-Bootimages pour ordinateur sans PXE.- Les images sont indépendantes du matériel (sauf pour le type de cpu: mono/dual)

Inconvénients :

- Le poste client a besoin de plus de 256 Mo de RAM- Le temps entre le moment du démarrage et le chargement de l'image est d'environ 2 ou

3 minutes- Le trafic réseau est plus élevé (environ 800 Mo de transfert pour une installation

Windows XP de base)

FOG : Solution Open source édité par FOG Project 2015 :

Avantages :

-Suite logiciel Open Sources Gratuite et libre de droits

- Compatibilité accrue l’application supporte Windows, Mac OS, Linux.- Gestion du clonage de système même si ceux-ci sont en multi-boot (même de

plusieurs architecture différentes Exemple Windows et linux installer en même temps)

- Suite complète qui comprend aussi un service DHCP.- Communauté d’utilisateurs complète qui permet de trouver du contenu

d’assistance relativement facilement.- Permet la gestion des imprimantes, l’ajout dans l’Active directory.- Permet le déploiement jusqu’à 50.000 postes en simultané

Inconvénients :

- Installation complexe et longue (beaucoup de paramètres à modifier avant de le rendre fonctionnel).

- Nécessite un poste sous linux minimum

Symantec Ghost Solution Suite

Avantages : - Simplicité de mise en place exécution d’un programme sur un lecteur bootable (usb – disque)

Inconvénients : - l’application envoie de nombreux paquet sur le réseau provoquant une réduction des performances sur le réseau lors de l’attente des postes clients il est donc recommandée d’utiliser cette solution sur une infrastructure dédiée au déploiement.

Tableau comparatif des solutions :

Solution envisagé Installation Matériel nécessaire

Cout de la solution

Option supplémentaire

WDS Ajout de rôle complémentaire

Windows serveur 2008 R2 minimum

Licence Windows server + Cout matériel

FOG Mise en place d’un packet sur une distribution Linux

Serveur Linux (Debian, REDHAT, Fedora)

Cout matériel uniquement le produit étant en Open source

Symantec Ghost Solution Suite

Solution logiciel

Serveur : processeur 1GHz, RAM

Licence annuel à payer + couts matériel

1Go de RAM minimum

WDS

1.1 Présentation

Les nouveaux services de déploiement WDS remplacent le service d'installation à distance RIS (Remote Installation Services). En intégrant la prise en charge des images WIM et l'utilisation de WinPE par défaut, cette version est spécialement conçue pour les nouveaux systèmes d'exploitation basés sur ce format, néanmoins, l'intégration d'images héritées est possible. Les Services de déploiement incluent un serveur PXE et permettent ainsi le déploiement d'images XP / Server 2003, Vista / Server 2008, et maintenant Seven à travers le réseau. Nous nous concentrerons ici sur le mode natif des Services de Déploiement à partir de Windows Server 2008 (R2 ou non). L'installation sur Windows Server 2008 offre en plus la possibilité d'installer un sous-ensemble limité des services WDS, dédié à la diffusion en multicast.

1.2 Environnement WinPE

WinPE (Windows Pré installations Environment 2.0) est un système d'exploitation Win32 minimal et personnalisable, basé sur le noyau de Windows Vista. Il fournit l'environnement nécessaire à l'installation de Windows mais aussi à l'utilisation d'outils de maintenance, comme imageX (utilisé pour la capture et le déploiement d'images).

1.3 Format WIM

Le nouveau format d'image Windows Imaging Format (WIM) élaboré par Microsoft est le pilier de l'évolution des services de déploiement. Basé sur les fichiers (par opposition aux formats basés sur les secteurs), ce format offre de nombreux avantageuses, dont voici les principaux : instanciation unique, amorçable, images empilables, haute compression, hors-connexion, déploiement non destructif… On comprend vite l'intérêt en prenant l'exemple d'un DVD de Windows Vista contenant plusieurs versions du même OS, chacune d'entre elles offrant plus ou moins de fonctionnalités (Basic, Premium, Pro, Ultimate…). Au lieu de proposer plusieurs dossiers contenant chacun une installation spécifique, le format WIM gère un catalogue des fichiers nécessaires à chaque version de l'OS, évitant ainsi la duplication des fichiers, ce qui résulte en un gain considérable d'espace et rend possible la mise à disposition de plusieurs versions d'un OS en une seule image sur un simple DVD de 4,37Go.

2. Installation

Certaines manipulations décrites dans cet exposé nécessitent l'installation du Kit d'Installation Automatisée WAIK, disponible dans le centre de téléchargement Microsoft. Cependant, l'installation du kit ne permet pas de profiter de toutes les fonctionnalités immédiatement. Il convient tout d'abord d'installer le filtre permettant l'exploitation des images WIM. Exécutez (en tant qu'administrateur): RunDll32 advpack.dll, LaunchINFSection "%ProgramFiles%\Windows Imaging\wimfltr.inf"

Ensuite, vérifiez la présence de "%ProgramFiles%\Windows Imaging" dans la variable système PATH (Propriétés Système, Paramètres système avancés, Variables d'environnement). Enfin redémarrez, car même si cela n'est pas demandé, c'est nécessaire…

2.1 Utilisation de l'assistant

Le service est disponible dans le kit d'installation automatisé WAIK ou dans l'applet Ajout/Suppression de composants à partir de Windows Server 2003 SP2, et dans la liste des rôles pour Windows Server 2008.

Installation à partir des composants de Windows Server 2008.

Installation à partir de la console de gestion des rôles de Windows Server 2008. Une fois l'installation du rôle terminée, il faut tout d'abord configurer le serveur à l'aide de la console MMC des Services de déploiement Windows, ou par l'utilitaire de ligne de commande WDSUTIL.

L'installation se fait uniquement sur un Contrôleur ou Membre de domaine, et nécessite les services DNS et DHCP.

Le dossier d'installation doit utiliser le système de fichiers NTFS, et sera idéalement placé sur un volume séparé.

Si le service DHCP est déjà exécuté sur le meme serveur, cochez les cases afin de désactiver l'écoute sur le port 67 (BootP) et configurer automatiquement l'option DHCP 60 afin que le service d'attribution d'adresses indique aux clients qu'un serveur PXE est disponible.

2.2 Utilisation de WDSUTIL

Une fois installés, les services de déploiement peuvent être configurés via l'utilitaire en ligne de commande dédié : wdsutil.exe Voici les commandes nécessaires pour une configuration initiale identique à celle définie avec l'assistant : WDSUTIL /initialize-server /reminst:"D:\RemoteInstall" WDSUTIL /Set-Server /AnswerClients:all WDSUTIL /Set-Server /UseDHCPPorts:no /DHCPoption60:yes Enfin, l'ajout d'images s'effectue avec les commandes WDSUTIL /Add-Image et /Remove-Image.

Liste complète des commandes de WDSUTIL.EXE.

3. Ajout d'images

Le serveur de déploiement ne sera fonctionnel qu'après lui avoir ajouté au moins une image de démarrage et une image d'installation. Il est conseillé d'installer une image pour chaque architecture (x86 et x64) afin d'assurer la prise en charge de tous les systèmes clients.

3.1 Image de Démarrage

Lancez l'assistant « Ajouter une image de démarrage ».

Il suffit de sélectionner l'image de boot source (généralement le fichier boot.wim du DVD de Windows Vista SP1), puis de lui donner un nom et une description.

Vous devez ajouter le boot.wim de la version x64 de Windows Vista si vous souhaitez démarrer également les environnements 64bits.

3.2 Image d'Installation

La procédure est à peu près la même pour l'image d'installation.

Cependant, il faudra tout d'abord créer un groupe d'images, destiné à classer les images que vous créerez par la suite.

vous créerez par la suite. On choisira ensuite le fichier WIM à importer (généralement le fichier install.wim d'un média d'installation Windows Vista ou Server 2008). Si l'image contient plusieurs installations, il est possible de choisir lesquelles inclure.

L'image sera alors importée dans le dossier RemoteInstall\Images et dans le groupe sélectionné.

3.3 Image de Découverte

Une image de découverte permet la localisation automatique du serveur WDS et la détection des images d'installation. On peut la graver pour utiliser l'installation à distance à partir d'un ordinateur client incapable de booter en PXE. Une telle image peut être créée à partir d'une image de démarrage.

On définit le nom de l'image à créer, sa description, le fichier de destination, et le serveur WDS à contacter. Si plusieurs serveurs WDS coexistent, il est possible de créer une image par serveur…

L'image WIM est alors créée à l'endroit spécifié, prête à être traitée par l'outil oscdimg afin d'obtenir un ISO. Il faut d'abord créer une arborescence WinPE afin de récupérer l'environnement de démarrage. A partir de l'invite de commande des outils de Windows PE, exécutez : copype.cmd x86 D:\RemoteInstall\WinPE Vous devez ensuite remplacer le fichier C:\RemoteInstall\WinPE\ISO\sources\boot.wim par l'image de découverte préalablement créée. Enfin, toujours dans l'invite de commande WinPE, on crée le fichier ISO grâce à cette commande: oscdimg -n -bD:\RemoteInstall\WinPE\ISO\boot\etfsboot.com D:\RemoteInstall\WinPE\ISO D:\RemoteInstall\ISO\discover_x86.iso Les 3 paramètres détermine respectivement le boot, l'arborescence à importer, et le fichier ISO de destination. Il ne restera plus qu'à graver l'image ISO et à démarrer du lecteur CD/DVD d'un ordinateur client équipé d'une carte réseau éventuellement dépourvue de PXE pour accéder aux services d'installation à distance.

3.4 Image de Capture

Une image de capture permet de lancer automatiquement l'assistant de Capture d'image. Ce dernier permet la création d'image WIM à partir d'une installation préalablement effectuée et modifiée. Une image de capture se crée également à partir d'une image de démarrage.

Il suffit de définir le nom de l'image et l'emplacement du fichier de destination.

On pourra ensuite ajouter cette image à la liste des images de démarrage, ou encore la graver avec oscdimg.

4. Déploiement

Le déploiement des images sur les ordinateurs clients s'initialise à partir d'un CD de découverte ou directement du réseau grâce au serveur PXE (Pre-Execution Environment).

4.1 PXE

Si l'ordinateur client est configuré pour booter sur le réseau, le serveur DHCP lui attribue une adresse, et il peut ensuite appuyer sur F12 pour démarrer.

Le serveur WDS envoie alors la liste des images que vous pouvez démarrer.

4.2 Capture

En démarrant une image de capture, on arrive directement sur l'assistant Capture d'image, qui automatise l'enregistrement d'un système au format WIM initialement effectué avec imagex. Le volume devra au préalable avoir été « sysprepé » afin notamment de réinitialiser les identifiants de sécurité et les compteurs d'activation. On choisira alors le volume, le nom de l'image puis l'habituelle description.

Enfin, on définit l'image de destination et le serveur WDS où l'envoyer, ainsi que le groupe d'images dans lequel l'affecter (dossier).

Il ne reste plus qu'à patienter pendant le processus de création de l'image qui peut s'avérer assez long…

4.3 Découverte

En démarrant du CD de découverte, WinPE localise automatiquement le serveur WDS. Vous devez tout d'abord vous authentifier avec un compte valide sur le domaine (Domain Users).

Il suffit alors de choisir une installation dans la liste des images d'installation disponibles pour cette plateforme.

5. Conclusion

Nous venons de faire un tour d'horizon rapide des nouveaux services de déploiement, couplés au kit d'installation automatisée WAIK et au Microsoft Deployment Toolkit (MDT), les possibilités de personnalisation, d'intégration, d'automatisation sont nombreuses et aisées. La maintenance des images se voit également grandement facilitée grâce à l'utilisation du format WIM, permettant notamment le montage d'une image comme un simple dossier et l'ajout de pilote et de composants grâce aux outils dédiés tels que pkmgr.exe et peimg.exe. Bien plus qu'une simple évolution du kit de pré installation OEM (OPK), il s'agit bien là d'un changement important dans le mode de distribution, d'installation et de déploiement de tous les futurs OS de Microsoft. Il faudra désormais compter avec les images WIM, imageX, et Windows System Image Manager (qui remplace Windows Setup Manager).

MDT

1. Introduction

L'installation d'un système d'exploitation Microsoft est souvent vue comme une suite d'écran d'assistant où la seule action utilisateur est le bouton "Suivant". Mais ce que l'on oublie souvent ce sont les actions que l'on réalise ensuite et pourtant qu'on considère comme ne faisant pas partie de cette installation. Ces actions supplémentaires comprennent:- L'installation de pilotes de périphériques

- L'installation d'application supplémentaires (comme par exemple Microsoft Office)- La configuration de paramètres des systèmes (Nom de l'ordinateur, Nom de domaine, Etc.)

Microsoft a depuis longtemps mis en place des solutions permettant d'automatiser ces différents processus à travers des solutions comme les fichiers de réponse (unattend) ou encore les systèmes de préparation du système (sysprep). Ces solutions étaient plus orientées vers la configuration du système d'exploitation et non les ajouts supplémentaires.Souvent, les entreprises ont mis en place des systèmes "maisons" pour ces configurations supplémentaires avec plus ou moins de succès. Le plus gros problème vient du fait qu'il n'y avait aucune standardisation dans ces solutions, ce qui avait souvent comme effet qu'une personne reprenant ces solutions devait les refaire complètement pour les adapter à des nouveaux systèmes par exemple.

Microsoft a décidé de mettre en place des solutions standardisées pour réaliser ces différentes actions. C'est à partir de là que les projets Solutions Accelerators sont arrivés. Parmi les projets, les plus connus sont les systèmes Zero Touch Installation et Lite Touch Installation. Microsoft mets plutôt l'accent sur le premier (car permettant de vendre des licences SMS 2003/SCCM 2007), alors qu'ici les articles sur MDT se concentrent plus sur le second.

2. Installation

Dans cette partie nous allons simplement vous montrer les différentes étapes d'installation de MDT 2010.

2.1 Pré Requis

MDT se base sur beaucoup d'outil pour fonctionner. Mais pour une utilisation simple il y a peu de pré requis:

Pack WAIK, MDT 2010 utilise les différents éléments du WAIK (Windows Automated Installation Kit), ce kit contient tous les éléments permettant de générer une image WinPe (Windows Pré installation Environnent). Il est disponible sous la forme d'une image ISO d'installation contenant tout le nécessaire et le pré requis à l'installation du WAIK comme MSXML. La version compatible avec Windows 7 (et les anciennes versions de Windows) est téléchargeable sur le site de Microsoft.

Microsoft Powershell, une des nouveautés de MDT 2010 est qu'il utilise PowerShell.

Vous pouvez démarrer l'installation de MDT 2010. Malgré ce que pensent certains, il n'est en aucun cas nécessaire d'installer MDT sur un système d'exploitation de type serveur. En effet, il suffit à MDT d'être installé sur un système autorisant le partage de fichiers, ce qui est possible sur n'importe quel Windows.

2.2 Installation

Avant l'installation de MDT 2010, l'installation du pack WAIK est très simple, il suffit de lancer son installation depuis l'iso (soit en extrayant le contenu et en lançant son fichier d'installation, soit en montant/gravant le fichier ISO).La seule option d'installation du WAIK est simplement le choix de l'emplacement d'installation.

Il suffit ensuite de lancer l'installation de MDT 2010, et comme pour le WAIK, vous avez assez peu de choix

Après cette installation, votre ordinateur est prêt pour démarrer la configuration de MDT 2010.

2.3 Création du répertoire de distribution

En effet, vous n'avez en fait qu'installé les moteurs de script utilisé par MDT; Tout MDT se base en fait sur un répertoire partagé qui sera accédé depuis votre ordinateur. Ce répertoire est appelé Partage de Distribution (Distribution Share). Ce répertoire contiendra les différents éléments utilisé par votre installation comme le système d'exploitation à installer ou encore les applications par exemple.

Pour générer votre partage de distribution, il faut d'abord lancer la console MDT. Celle-ci est accessible depuis le menu démarré dans le répertoire Microsoft Deployment Toolkit, il suffit ensuite de lancer Deployment Workbench.

Pour créer votre partage, il suffit de sélectionner Deployment Share puis dans le cartouche droit cliquer sur le lien New Deployment Share.

Sélectionnez un chemin pour l'emplacement, ce chemin doit impérativement être vide (Mais il doit exister!). De plus, il est fortement conseillé de le mettre sur une partition différente de celle du système, ce qui vous permettra de la déplacer plus facilement s’il s'avère que le partage devienne trop important. Dans le reste de cet article, nous considérons que le partage est situé sur le chemin D:\DeploymentShare.

Il est fortement conseillé d'utiliser un nom de deployment caché pour limiter les risques de sécurité, ici nous utiliserons le nom de partage DeploymentShare$.

Le nom de description est surtout utilisé pour vous si vous commencez à utiliser plusieurs partages de déploiement (ce qui n'est pas l'objet de cet article).

Les étapes suivantes concernent les questions posées par le programme au moment de l'installation via MDT. Comme ici, notre but est de réaliser une première version d'installation intégré, il n'est pas nécessaire de demander à l'utilisateur s’il désire réaliser une capture de son ordinateur.

L'option suivante vous permet de demander à l'utilisateur de choisir le mot de passe du compte administrateur. Dans notre cas, nous allons le demander de façon systématique pour permettre une personnalisation minimale. Pour rappel, dans une installation par défaut de Windows Vista/7 le mot de passe administrateur est vide. En revanche, ce compte est désactivé par défaut (il est actif seulement en mode sans échec). Dans le cas de l'utilisation de MDT, ce compte administrateur sera Activé à l'installation (pour permettre les actions en post installation comme les installations d'applications).

La dernière option est celle où vous demandé la clé de produit, il faut activer cette option si vous ne prévoyez pas d'intégrer un numéro de série à votre installation. Le plus souvent, vous intégrerez le numéro de série dans les cas où vous serez dans une installation de type KMS/MAK (système de License en volume) ou une installation unique pour vous. Ici nous activerons cette option.

Ensuite, la création du Partage de Distribtuion sera réalisée.

Vous avez réalisé la première étape de configuration de MDT, il faut ensuite remplir le partage avec vos éléments.

Si vous allez directement dans le répertoire correspondant (i.e. D:\DeploymentShare) vous pouvez voir des répertoires qui ont été créé

Ces répertoires contiennent les informations suivantes:

$OEM$: Ce répertoire est utilisé pour certaines installation sans assistance (unattended), concernant les anciens systèmes d'exploitations (Windows XP/2003 par exemple)

Applications: Ce répertoire contiendra les sources des installations des applications que vous ajouterez à votre installation.

Boot: Ce répertoire contient les images WIM et ISO WinPE de démarrage, c'est ici qu'il faudra récupérer le CD de démarrage permettant d'accéder au partage depuis le poste à installer

Captures: Ce répertoire est autorisé en écriture et recevra les captures effectuée par MDT (ce sujet sera abordé dans un article ultérieur)

Control: Ce répertoire contient tous les fichiers de configuration utilisé pour personnalisé votre installation, c'est principalement un ensemble de fichier XM (d'où la nécessité d'avoir MSXML installé sur le poste)

Operating Systems: Il contient toutes les sources d'installation des systèmes d’exploitation que vous aurez ajoutés à MDT.

Out-of-Box Drivers: A l'intérieur de ces répertoires sont copiés tous les pilotes ajouté à MDT et utilisé par votre installation.

Packages: Ce répertoire est utilisé pour stocké les patchs de sécurité et les packs de langues que vous aurez ajouté dans MDT.

Scripts: Ce répertoire est le "noyau" d'exécution de MDT, il contient tous les scripts exécuté lors du déploiement.

Tools: Ce répertoire contient les outils supplémentaires (comme USMT) ajouté à MDT.

USMT: Ce répertoire n'a pas d'utilité dans notre cas. Il est utilisé pour gérer USMT (User State Migration Tool) qui permet la conservation d'une partie ou de tous les paramètres utilisateur.

3. Configuration

Nous allons maintenant ajouter les différents éléments nécessaires à notre installation.Notre but ici est de réaliser une installation automatisé composée de:

Windows 7 dans sa version 64bits en version Anglaise Pack de Langue de Windows 7 Ajout de pilotes :

o Pilotes graphique ATI/AMDo Pilotes de Chipset Intelo Carte Son Realtek (carte son souvent intégrée à une carte mère)o Installation d'Office 2007 Fr

Nous restons sur de la base pour réaliser rapidement une installation et voir ainsi les différentes étapes de création d'un déploiement MDT. Toutes ces options se réalisent depuis la console Deployment Workbench.

3.1 Ajout d'un système d'exploitation

Nous allons d'abord intégrer notre système d'exploitation. Pour ce faire nous insérons le DVD d'installation de Windows 7 x64, puis dans la console, nous allons vers Deployment Shares\

MDT Deployment Share\Operating Systems, puis dans cliquez sur le lien à droit Import Operating System.

Dans l'assistance, vous avez trois choix:

Full set of source files: Cette option est utilisé pour l'ajout d'un CD/DVD d'installation standard (i.e. celui de Microsoft) de Windows, il gère toutes les versions de Windows (Serveur comme station de travail) depuis Windows XP (je n'ai jamais testé Windows 200 mais il est possible que cela fonctionne). C'est l'option que nous utiliserons ici.

Custom image file: Cette option est utilisée si vous avez réalisé une image WIM sysprepée (c'est important) d'un poste que vous utiliserez en tant que Master.

Windows Deployment Services images: Cette option est utilisée si vous souhaitez héberger vos images sur un serveur WDS (Windows Deployment Service). Ces images peuvent être des captures WDS.

Vous sélectionnez l'emplacement contenant votre installation de Windows (Ici notre lecteur de DVD), cette page est différente suivant les options que vous avez sélectionnées précédemment.

MDT analyse ensuite le DVD pour vous proposer un nom de répertoire qui contiendra votre installation. Dans la version 2010, le nom proposé est un peu mieux géré, précédemment il avait tendance à ne me pas inclue de nom de l'architecture (x64 ici) mais il lui manque encore la langue de l'installation. Attention, il est impératif de faire très attention au nom que vous utiliserez ici, car il sera très difficile de le modifier ensuite, étant donné qu'un grand nombre de paramétrage dépendront de celui-ci. Nous utiliserons ici le nom Windows 7 x64 US.

Après confirmation, le système lancera la copie de votre DVD dans le répertoire.

Nous ainsi ajouté l'installation de Windows 7 à notre partage MDT. Celui-ci apparait d'ailleurs dans la console. Comme vous le savez, un DVD d'installation de Windows contient plusieurs versions de celui-ci, chacune d'elle est indexée et indiqué sur la console Deployment Workbench. On peut voir ici toutes les versions de Windows 7 (à l'exception, bien sûr, de la version Enterprise qui est toujours séparée)

3.2 Ajout de pilotes

Un des premiers avantages de MDT par rapport à d'autres outils est sa gestion des pilotes. En effet, comme beaucoup vous pouvez ajouter des pilotes à votre installation. Mais là où avec d'autres outils il faut faire attention à éviter de mélanger plusieurs version d'un même pilote ou bien éviter de mettre trop de pilotes de périphériques différents pour éviter d'avoir un répertoire de pilotes sur votre postes monstrueux, les processus utilisé par MDT limite ses problèmes en n'installant que les pilotes nécessaires.En effet, au moment de l'installation, MDT va réaliser seul une énumération des périphériques sur le poste de travail et ne vas copier sur celui-ci que les pilotes correspondant à des périphériques existants sur le poste (ce qui limite la place occupé par le répertoire de pilotes). Ensuite, s’il y a plusieurs versions de ces pilotes, l'installation de Windows en elle-même fera la part de chose pour n'installer que le pilote le plus récent.

Pour réaliser l'intégration des pilotes dans MDT, il nécessaire d'avoir les versions extraites des pilotes, c'est à dire un répertoire contenant les fichiers de configuration des pilotes (fichiers .inf) et les fichiers de pilotes associée (fichiers .sys, .exe, etc.). Dans notre cas ici, nous devons procéder différemment pour chacun de nos pilotes:

Pilotes de cartes graphique ATI/AMD (Catalyst): il faut lancer l'installation du pilote pour avoir accès au fichier extrait dans le répertoire C:\ATI. Nous allons copier le contenu de ce répertoire dans un répertoire nommé D:\Drivers.

Pilotes de Chipset Intel: Ici, ils se présentent sous la forme d'un fichier installeur exécutable. Pour connaitre les options il est possible d'utiliser la comme <Fichier.exe> -? pour les connaître. Ce qui nous permet dans le cas de ces pilotes d'utiliser la commande <Fichier.exe> -a -p D:\Drivers\Intel.

Pilotes de carte son Realtek: Avec ces pilotes, nous avons un peu plus de chances dans le sens où c'est un fichier exécutable, mais de type archive (c'est un fichier compressé de type zip ou autre exécutable). Il suffit de l'ouvrir avec un outil comme 7-zip pour

l'extraire dans notre répertoire de pilote dans le chemin D:\Drivers\Realtek SoundCard.

Après ces étapes, nous nous retrouvons avec un répertoire D:\Drivers comme suit:

Pour ensuite ajouter les pilotes, il suffit d'aller dans la console pouis dans la partie Out-of-Box Drivers, puis cliquer sur le lien Import Drivers.

Vous choisissez ensuite votre répertoire de pilotes (ici D:\Drivers), comme vous pouvez le voir le script ira chercher les pilotes dans tous les sous répertoires, il n'est pas nécessaire de choisir vos répertoire de pilotes un par un. Donc une façon "rapide" d'ajouter vos pilotes est de tous les mettre dans un coin puis de tous les ajouter d'un coup. Comme vous pouvez vous en douter avec l'option Import drivers even if they are duplicates of an existing driver, MDT supprimera lui-même tout doublon.

C'est la seule option, MDT se débrouillera ensuite seul. Après l'importation vous pouvez voir sur la console la liste de tous les pilotes qui ont été récupéré sur les fichiers de configuration des pilotes (les fichiers .inf). C'est pour cela que l'on a une longue liste alors que nous n'avions ajouté que trois pilotes.

Attention: Il est impératif d'ajouter en plus (à moins que vous ne l'ayez prévu) les pilotes réseau et de contrôleur disques pour Windows 7 (32 bits et 64 bits) car ceux-ci seront utiliser dans le système d'installation. C'est obligatoire même si vous prévoyez de d'installer Windows XP par exemple.

3.3 Ajout de mise à jour

Nous allons ensuite ajouter nos pacages supplémentaires, ces packages peuvent être des patchs de sécurité (au format .msu) ou bien des packs de langues (sous la forme de fichiers .cab).

Pour l'ajout du langage pack français, vous devez avoir à disposition le répertoire contenant le fichier .cab de celui-ci (dans notre cas avec le DVD des langages pack de Windows 7 x64) et ensuite sélectionnez le répertoire Packages puis cliquez sur Import OS Packages.

Sélectionnez la langue française.

MDT va ensuite copier les fichiers nécessaires.

Après la copie, vous pouvez voir pack de langue dans la console

3.4 Ajout d'application

Nous avons maintenant une installation de Windows 7 x64 en langue Anglaise et Française avec la détection des pilotes principaux. Maintenant nous allons nous occuper de la post installation de Windows. Dans notre cas, nous allons ajouter l'installation de l'application Microsoft Office 2007.

Nous nous dirigeons dans le répertoire Applications, sauf qu'au lieu d'ajouter directement l'application nous allons créer un répertoire pour ranger nos applications. C'est vrai qu'ici on n'en voit pas l'intérêt, mais en entreprise les applications sont de plus en plus en grand nombre et mettre en place un rangement dès le début pourra limiter le risque d'être perdu. Nous cliquons donc sur le lien New Folder.

Nous créons maintenant le répertoire Microsoft Office.

On sélectionne maintenant notre sous répertoire Microsoft Office puis on clique sur le lien New Application.

Vous pouvez ensuite choisir votre type d'installation:

Application with source files: C'est l'option la plus utilisée, elle créera une application, avec un sous répertoire dans applications. Il va ensuite copier tous les contenus du répertoire à l'intérieur. C'est l'option que nous choisissons ici.

Application without source files or elsewhere on the network: Cette option ne créera pas de sous répertoire, mais générera un enregistrement sur la console. Celle-ci peut être utilisée pour lancer une installation différente d'une application déjà copié ou bien lancer une installation depuis un autre emplacement sur le réseau (voire même un répertoire local de l'ordinateur à installer).

Application bundle: Cela créé seulement un enregistrement dans la console. Le bundle est utiliser pour installer dans application liée entre dans un ordre donné. Il est très utile si dans certaines étapes d'installation il est nécessaire de redémarrer le poste. Par exemple, comme souvent, il pourrait être créé une application bundle nommé Internet Explorer 9 (quand il sortira...) qui lancera dans l'ordre:

o L'installation d'Internet Explorer 9 avec un redémarrage

o Installation des différents patchs de sécurité d'IE9o Installation du langage Pack d'IE 9 (n'oubliez pas que l'on réalise une

installation bi lingue ici)

L'étape suivante concerne les détails de l'application, il est conseillé de remplir le plus d'information possible pour pouvoir ensuite plus facilement différencié vos installations.

Comme pour les étapes précédentes, vous indiquez le chemin vers votre application (cette étape n'apparait que si vous avez choisi l'option application with source files), nous choisissons ici le DVD d'office 2007 Enterprise FR (à vous de voir où vous avez mis votre application).

C'est ici que vous indiquez le nom du répertoire (comme pour l'OS, il faut faire très attention à ce nom car difficile à modifier ensuite). Par défaut le nom indiqué est en fonction des détails que vous avez indiqués. Comme dans mon cas j'utilise le DVD d'Office 2007 Enterprise FR, j'ai modifié le nom par Microsoft Office 2007 Enterprise. En effet, MDT ne s'ennuie pas, on lui indique un répertoire source, il va donc copier la TOTALITE de son contenu. Ce qui veux dire, dans mon cas, la copie de 2 Go de donné (car c'est le DVD d'Office Enterprise workstation ET server). Ici je l'ai fait sciemment pour pouvoir réutiliser ce répertoire dans d'autres articles (sur la personnalisation de l'installation d'Office 2007).

L'étape suivante est extrêmement importante. Elle définit la ligne de commande qui sera utilisée pour lancer l'installation de votre application. Si vous n'y fait pas attention cette commande va lancer l'installation tout en demandant des actions utilisateur. Or nous souhaitons que les actions utilisateurs soient réduites au minimum, ou au moins qu'elles soient tous demandées au même moment, c'est à dire au début de l'installation (philosophie de Ms depuis Windows Vista). Dans le cas d'office 2007 l'installation se lance avec l'exécution du fichier exécutable setup.exe. Dans le cas d'Office 2007, pour réaliser une installation sans assistance, il sera nécessaire de réaliser dans actions ultérieures.

MDT va ensuite copier tous les contenus du répertoire (dans notre cas 2,5 Go). Une belle nouveauté de MDT 2010 est que l'on a maintenant une barre de progression sur les copies, chose qui manquait vraiment quand on réalisait une copie assez importante.

Après la copie la console MDT affichera notre nouvelle application. Pour diminuer les interventions utilisateurs (assez important dans le cas d'une installation Enterprise), MDT reconnait automatiquement une installation d'office et donne accès à des informations supplémentaires par rapport à d'autres applications. Sélectionnez l'application Microsoft Office 2007 Standard, cliquez avec le bouton droit puis sélectionnez Properties.

Par rapport à d'autres applications, un onglet Office products est disponible. C'est ici que l'on sélectionnera les réponses à l'installation.

Par défaut le setup d'office posera toutes les questions standard, nous allons donc choisir les options suivantes:

Office 2007 product to install: C'est ici que l'on sélectionne les sous version d'office 2007 (comme pour Windows 7 on peut inclure plusieurs versions dans un répertoire d'installation). Nous avions choisi de nommer notre application Microsoft Office 2007 Standard, nous sélectionnons donc l'option Standard.

Product Key: C'est ici que l'on indique le numéro de série à utiliser. Dans notre cas, c'est à chaque utilisateur d'indiquer son propre numéro de série, nous ne sélectionnons donc pas cette option, ce qui veut dire que l'installation demandera le numéro de série à l'installation d'Office. Ce numéro de série apparait en clair dans les fichiers de configuration contenu dans les répertoires de MDT.

Customer Name: On indique ici le nom d'utilisateur. Display level: Vous indiquez ici le niveau d'affichage de l'installation

o None: l'installateur n'affichera rieno Basic: Affichera une simple fenêtre avec une progression. C'est l'option que

l'on choisit.o Full: Affichera toute les fenêtres d'installation. Attention, dans le cas d’une

installation sur un poste très lent, il est possible que le numéro de série s'affiche

Cache only: C'est un type spécifique d'installation où office n'est pas installé mais seuls les fichiers d'installation sont copié. Cette option peut être utilisée si l'on souhaite utiliser ces sources avec une installation d'une autre application

Always suppress reboot: Empêche l'installeur de redémarrer le poste. Attention, si vous avez des applications qui veulent redémarrer il est IMPERATIF de ne pas les laisser le faire et de laisser seulement MDT gérer les reboot. MDT gère plutot bien les reboot intempestifs, mais c'est fortement déconseillé.

Ainsi vous avez terminé la création de vos sources d'installation.

4. Génération de l'installation

Maintenant que nous avons ajouté toute notre matière première, il faut mettre tout ça dans l'ordre pour lancer l'installation. Nous allons voir ainsi ce qu'est une séquence de tâches ainsi que la génération des différents media que l'on utilisera dans notre installation.

4.1 Création d'une séquence de tâches

Pour mettre en place les différentes étapes de l'installation il est nécessaire de créer une séquence de tâches. MDT fournit des séquences de tâches pré remplie qui possède la plupart des options nécessaire à l'installation de votre système et les applications associées. Pour générer votre séquence, il vous suffit d'aller dans le répertoire Task Sequences pour cliquer sur le lien New Task Sequence.

Dans les paramétrages standards vous indiquez un identifiant à votre séquence de tache. Vous pouvez indiquer ce que vous voudrez, mais je vous invite FORTEMENT à réaliser une règle de nommage sur ceux-ci.

Ici vous choisirez votre modèle d'installation, ici nous choisirons l'option de base qui est Standard Client Task Sequence.

Ici vous choisissez le système d'exploitation à installer avec cette séquence de tâches. Cela veut donc dire que pour chaque système d'exploitation différent que vous souhaitez installer vous devrez créer une séquence de tâches. Ce qui veux aussi dire que le nom de votre séquence de devrait aussi avoir un lien avec ce même système d'exploitation.

On choisit ensuite l'intégration ou non du numéro de série dans votre installation. Ici nous n'en spécifions pas car dans l'article on considère que ce sera à chaque utilisateur d'indiquer son numéro de série.

Ici vous indiquez les informations d'identification ainsi que la page de démarrage d'Internet Explorer (pour info nous n'avons pas pu faire de test avec la version "E" de Windows 7)

A la création du partage on a décidé de demander à chaque utilisateur le mot de passe administrateur, on désactive donc cette demande dans la séquence de tâches.

Après ces différentes options votre séquence de tâches est créée.

Comme pour le reste cette séquence apparait dans la console de MDT. Cette séquence se basant sur un modèle il peut être nécessaire de modifier certaines options. Les détails seront explorés dans un autre article. En revanche, nous allons quand même modifier une option qui est la création des partitions. Par défaut, MDT va supprimer toutes les partitions du disque principal puis créer une seule partition en NTFS sur la totalité disque. Pour éditer la séquence de tâches, il suffit de double cliquer sur celle-ci.

Les détails de la séquence de tâches sont disponibles dans l'onglet Task Sequence. Nous allons créer une partition Système de 80 Go, et une partition DATA sur le reste du disque. Pour ce faire dirigez-vous vers PreInstall\New Computer Only\Format and Partition Disk. Sélectionnez le Volume OSdisk puis cliquez sur la croix pour supprimer cette création de partition. Ensuite créer sur la petite étoile jaune

Nous allons la nommer Système, lui donner la taille de 80 GB. Il est impératif de la rendre bootable (Make this a boot partition) car elle recevra le système (par défaut MDT installera l'OS sur la première partition du disque). Nous choissisons ensuite de faire un formatage rapide en NTFS (Quick format). On réitère l'option ensuite cette fois en créant une partition:- Nommée DATA- Utilise 100% de l'espace disque libre: Pour rappel les créations de partition sont séquentiel, ce qui veux dire que l'espace disque disponible est celui qui est libre APRES la création des partitions précédentes- Bien un formatage rapide en NTFS

Après la création de vos partitions, votre tâche devrait ressembler à ceci:

Votre séquence de tâches est créée. Il faut maintenant mettre tout ça dans une installation.

4.2 Génération de l'installation réseau

Par défaut, votre partage de déploiement est configuré pour réaliser une installation. Ce qui veux dire que MDT génére une image (format WIM et ISO) ne contenant que les fichiers minimum nécessaire pour installer une pile réseau pour accéder au partage pour lancer ensuite les différentes installations. Ici cela veut dire un fichier WinPE dans lequel sont implémenté les pilotes réseaux (pour l'accès) ainsi que les pilotes de disques (il faut bien reconnaitre les disques locaux pour installer le système).

Pour le générer, il suffit de faire un clic droit sur votre partage de déploiement puis de cliquer sur Update Deployment Share.

Ici vous choisissez vos options de génération de l'image de démarrage. Nous vous invitons à sélectionnez l'option Optimize the boot image updating process plutôt que l'autre pour gagner du temps. L'option de compression peut être utile si vous prévoyez de déployer vos installations sur des systèmes avec peu de mémoire (i.e. moins de 512 Mo).

Ensuite Vos fichiers d'installation sont créés. En fonction du nombre de pilotes à ajouter, cette partie peut être longue. Par défaut, une image WIM et une image ISO sera créer pour chaque architecture (32bits puis 64bits).

Comme vu précédemment, il vous suffit d'aller dans le sous répertoire D:\DeploymentShare\Boot pour récupérer vos fichiers images. Les noms de fichiers sont assez explicites, les fichiers ISO seront utilisés pour la génération de CD de lancement et les fichiers WIM pourront être utilisés comme images de démarrage sur un serveur WDS. Vous pouvez aussi ouvrir le fichier ISO et copier son contenu à la racine d'une clé USB bootable (je vous laisse trouver comment faire une clé USB de boot pour Windows Vista et ultérieure).

4.3 Génération d'un media d'installation (DVD, USB, etc.)

Ces différentes images sont utilisées pour démarrer sur un système WinPE monté le réseau et installer votre système. MDT permet aussi la création d'une installation de type MEDIA. Celle-ci n'a pas besoin d'accès réseau pour s'installer, elle a tous les fichiers nécessaire contenu sur le média, qui peux aller d'un simple CD, ce qui est plutôt difficile avec les OS actuel à un disque Blu-ray (on peut mettre beaucoup de chose sur 25Go).

Pour générer un média, dirigez-vous vers Advanced Configuration\Media puis cliquez sur le lien New Media.

Nous allons créer un media dans un nouveau répertoire nommé D:/Media

Cet assistant ne créé que l'enregistrement dans la configuration de MDT, puis les répertoires nécessaires. Il ne créé pas le media en lui-même. Pour cela, il suffit de sélectionner votre media dans la console, de faire un clic droit puis de sélectionner l'option Update Media Content

Ce processus va créer une image WIM puis ISO pour chacune des architecture contenant tous les nécessaire. Ce qui veut dire dans notre cas des fichiers très gros, ce qui reste d'être très long.

Les différents fichiers images seront ensuite disponible dans le répertoire D:\Media.

Le répertoire Content possède le contenu du fichier ISO. L'iso contient les installations 32 et 64bits (une autre nouveauté de MDT 2010)

5. Installation

Maintenant que tout est prêt, il suffit d'insérer votre CD/DVD gravé avec le fichier ISO (ou monter le si vous utilisez des machines virtuelles), ou bien lancer une installation réseau si vous utilisez WDS.

Vous arrivez ensuite sur l'assistant d'installation MDT. Pensez à mettre le clavier qu'il faut (French dans notre cas), puis cliquez sur Run the Deployment Wizard...

Juste ensuite, vous arrivez sur une fenêtre vous demandant de vous identifier, cette fenêtre ne s'affiche que dans le cas de l'installation réseau. Ces informations ne sont utilisées que pour accéder au partage de déploiement. Même si vous n'êtes pas dans un domaine, il est obligatoire de remplir la partie Domain. Dans le cas d'un workgroup, il suffit d'indiquer le nom du serveur qui contient votre partage de déploiement.

Vous choisissez ensuite la séquence de tâches à utiliser (nous n'en avons créé qu'une seule).

Comme prévu on vous demande la clé de Windows 7. Si vous ne mettez pas de numéro de série, Windows 7 vous en demandera un au premier démarrant (si vous n'en mettez pas un à ce moment-là vous basculerez en version d'évaluation).

Vous définissez le nom assigné à l'ordinateur

L'assignation à un domaine ou un groupe de travail.

On commence sur les assistants inutiles. Ici la restauration des paramètres utilisateurs (dans le cas où vous utilisez USMT).

Nous choisissons ensuite les packages à installer. Nous avons prévu une installation bilingue, on sélectionne donc le langage pack Français.

C'est ici que vous choisissez le langage par défaut du système d'exploitation ainsi que les paramètres régionaux et clavier.

Choix du fuseau horaire

Les applicatiopns à installer, donc Office 2007.

On définit le mot de passe administrateur.MDT gère même l'implémentation de Bitlocker, il vous pose donc la question le concernant (même si vous installer XP/2003! alors qu'ils ne sont pas compatible).

Et dans la dernière page, vous avez un résumé de toutes les options choisies. Il suffit de cliquer sur Begin pour lancer l'installation.

MDT utilisera une fenêtre de suivi de ce type pendant toute l'installation. L'indication Running action indique le nom de tâche qu'il est en train d'exécuter dans la séquence de tâche.

Le but de MDT est de poser toutes les questions utilisateurs au début de l'installation, ce qui lui permet ainsi de rester devant l'ordinateur seulement au début puis ensuite de pouvoir aller autre part (boire un café, démarrer l'installation sur un autre ordinateur) plutôt que de perde son temps à rester devant le PC pour finir l'installation.Le problème dans notre installation est que nous n'avons pas indiqué de numéro de série pour Office 2007, ce qui veut dire qu'il sera demandé en plein milieu de l'installation pour qu'elle se termine.

Quand l'installation est terminée, une page de résumé s'affiche pour valider cette installation.

6. Conclusion

Vous avez vus le début d'installation de MDT 2010 et la création de votre premier média d'installation. Ainsi vous pourrez créer un système de déploiement de base pour la gestion de configuration multiple ou bien avec des options de configuration multiple. MDT peut être un outil très puissant entre les bonnes mains, mais aussi une véritable usine à gaz entre les mauvaises (souvent venant de gens partant bille en tête sans réfléchir un minimum en amont).

WAIKMicrosoft met à disposition un outil, WAIK (Windows Automated Installation Kit), qui comme son nom l’indique, sert à réaliser des déploiements de l’OS automatiquement.Grâce à cet outil, nous allons pouvoir dans un premier temps créer un CD bootable de WindowsPE qui nous servira ensuite à créer notre fichier image de notre OS (.wim).Ce fichier sera ensuite utiliser par tous les PC qui auront besoin de déployer l’OS en question.

Pré-requis:

Avant de commencer il faut s’assurer d’avoir notre machine source avec une installation complète de Windows 7 ainsi que tous les logiciels que l’on désire.

1. Installation de WAIK

Il nous faut tout d’abord télécharger gratuitement l’image ISO du WAIK à partir du site officiel Microsoft:http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=696dd665-9f76-4177-a811-39c26d3b3b34Ensuite nous pouvons soit la graver sur un DVD, soit l’ouvrir directement avec un outil comme «DaemonTools», au choix. Il faut ensuite lancer le setup pour arriver sur l’interface suivante: Sélectionner «Installation du Kit» pour débuter l’installation de WAIK. Suivre ensuite les différentes étapes comme pour l’installation de n’importe quel logiciel Windows. Une fois terminé, nous pouvons lancer la console qui nous servira à créer notre WindowsPE. Sélectionner «Invite de commande des outils de déploiement» dans votre menu Windows dans le dossier «Microsoft Windows AIK». A présent nous allons entrer plusieurs commandes dans la console qui vient de s’ouvrir pour créer une image ISO de notre Windows PE.

2. Création de Windows PEPour commencer, il faut entrer la commande suivante afin de préparer la base de notre WinPE:

copype.cmd amd64 C:\WinPE_Folder

Remarque: Remplacer «amd64» par l’architecture qui correspond à votre processeur (x86, amd64, ia64)

A présent nous disposons de la base dans le dossier C:\WinPE_Folder avec la structure suivante: Copier ensuite l'image de base dans «sources» et la renommer en boot.wim:

copy C:\WinPE_Folder\winpe.wim C:\WinPE_Folder\ISO\sources\boot.wim

Par défaut, cette base ne contient pas l’outil «imageX» que nous aurons besoin pour créer notre image WIM du système. Nous allons donc l’ajouter. Il faut commencer par monter l’image (Attention: Il faut des privilèges «administrateur» pour le faire)

cd C:\Windows\System32\ Dism /Mount-Wim /WimFile:C:\WinPE_Folder\ISO\sources\boot.wim /index:1 MountDir:C:\

WinPE_Folder\mount

Nous obtenons la structure Windows suivante dans le dossier «C:\WinPE_Folder\mount»:Ajoutons à présent l’outil imageX dans notre installation:

copy "C:\Program Files\Windows AIK\Tools\amd64\imagex.exe" C:\WinPE_Folder\mount\Windows\System32

Il ne reste plus qu’à démonter l’image pour valider les changements: Dism /unmount-Wim /MountDir :C:\WinPE_Folder\mount /Commit

La préparation de notre Windows PE se termine ici et nous pouvons maintenant créer notre ISO qui pourra être gravé:

cd C:\Program Files\Windows AIK\Tools\amd64 oscdimg –n –h –bC:\WinPE_Folder\etfsboot.com C:\WinPE_Folder\ISO C:\WinPE_Folder\

WinPE_x64.iso

Graver ensuite le DVD avant de continuer.

3. Partage réseau

Afin de faciliter le déploiement, nous allons préparer un dossier partagé (dans mon cas D:\Wim) qui pourra être accéder depuis les PCs sur lesquels nous souhaitons réaliser le déploiement.Entrer la commande suivante dans une console:

net share mesWims=D:\Wim

3. Capturer l’image WIM de notre Windows 7Avant de rebooter à partir de notre DVD de WinPE, nous allons nettoyer le système avec l’outil «sysprep»:

C:\Windows\System32\sysprep\sysprep.exe /oobe /generalize /shutdown

Une fois que le nettoyage à été réaliser, relancer la machine en bootant sur notre DVD.Une fois WinPE lancé, nous pouvons effectuer la capture WIM:

imagex /capture D: D:\Windows7.wim /compress fast /check/verify

Remarque: Il se peut que la capture prenne un peu de temps selon le système.Une fois notre WIM correctement créé, nous pouvons le copier dans notre partage réseau.

net use Y: \\Nom-du-PC\mesWims

(Lorsqu’on nous demande le login, entrer: \\DOMAIN\User) copy D:\Windows7.wim Y:

La dernière étape consiste à partitionner correctement le disque de la machine cible et à déployer notre fichier WIM.

FOGFOG, pour Free Open-Source Ghost, est une solution de clonage et de déploiement de systèmes d'exploitation et de logiciel sur des postes PCs. Les systèmes d’exploitation supportés sont Windows 98/2000/XP/Vista/7 et Linux.

FOG s'installe sur un serveur LAMP (architecture Linux+Apache+MySQL+PHP) et permet le déploiement de systèmes via le réseau en s'appuyant sur les protocoles DHCP, PXE, UDPCast, NFS et TFTP. L'administration centralisée se fait via une interface web et permet de gérer l'ensemble des postes unitairement ou par groupe selon que le déploiement se fait en unicast ou multicast.

Avant tout, configurons notre carte réseau pour la mettre en IP fixe.

Faites Démarrer et cliquez sur Panneau de Configuration.

Dans le Panneau de Configuration, cliquez sur Centre Réseau et partage.

Cliquez ensuite sur Modifier les paramètres de la carte.

Faites un clic-droit sur la carte réseau à modifier en IP fixe et cliquez sur Propriétés.

Sélectionnez Protocole Internet version 4 (TCP/IPv4) et cliquez sur Propriétés.

Cliquez sur Utiliser l’adresse IP suivante, saisissez une adresse IP (pour exemple, j’ai choisi 172.16.4.1), le masque de sous-réseau, la passerelle (s’il y a) et les serveurs DNS (s’'il y en a). Cliquez ensuite sur Ok.

Passons à l’installation de notre serveur DHCP. Commencez par faire Démarrer, puis Outils d’administration et cliquez sur Gestionnaire de serveur.

Dans le Gestionnaire de serveur, cliquez sur Rôles puis sur Ajouter des rôles.

Dans la nouvelle fenêtre qui s’ouvre, cliquez sur Suivant.

Cochez les cases Serveur DNS et Serveur DHCP et cliquez sur Suivant.cliquez sur Suivant, cliquez encore sur suivant.

Choisissez ensuite l’adresse IP fixe que nous avons paramétrés tout à l’heure et cliquez sur Suivant.

Nous passons maintenant à la configuration des DNS

Choisissez le nom de votre domaine

C’est ici que nous paramétrons les serveurs WINS s’il y en a aussi. Donc cochez la première case si vous n’en avez pas, sinon cochez la deuxième case et saisissez l’adresse IP de votre serveur WINS principal et de votre serveur WINS secondaire (si vous avez un). Cliquez ensuite sur Suivant.

Nous allons maintenant créer nos étendues d’adresses.

Une étendue DHCP est une plage d’adresses IP qui vont être distribuées aux postes clients.

Cliquez sur Ajouter.

Cliquez ok pour valider

Concernant l’IPv6 cliquez sur Activer le mode sans état DHCPv6 pour ce serveur et cliquez sur Suivant. Les postes clients recevront automatiquement une adresse IPv6 sans que vous ne configuriez quelque chose.

Sur cette page, comme pour l’IPv4, saisissez votre nom de domaine et les adresses IPv6 de vos serveurs DNS si vous en avez. N’oubliez pas de cliquer sur Valider à chaque fois pour vérifier que les adresses saisies sont bien correctes.

Avant l’installation, vous pouvez voir un résumé de tout ce qui a été paramétré pour l’installation du serveur DHCP. Si quelque chose ne vous convient pas, vous pouvez toujours revenir en arrière. Si tout est ok, cliquez sur Installer.

L’installation de votre serveur DHCP débute.

Une fois installé, cliquez sur Fermer.

Vous pouvez maintenant attribuer automatiquement une adresse IP à tous vos postes clients sur votre réseau local. Plus besoin de passer postes par postes

Retrouvez ensuite votre serveur DHCP dans le Gestionnaire de Serveur, menu Rôles.

On va ajouter à notre serveur DHCP une réservation d’adresse pour notre serveur Fog.

On va sur Debian pour crée le dossier images ou seront stocker les images des PC qu’on va cloner.

On va passer à l’installation de Mysql pour sa on tape la commande apt-get install mysql-server

On définit un mot de passe Mysql.

Ensuite on va sur Sourceforge et on télécharge le tar.gz de fog.

On commence par copier dans le dossier opt puis on extraire le fichier ensuite il faut aller dans le dossier Fog_1.2.0

Puis dans le dossier bin et on lance l’installation avec la commande ./installFog.

Nous voilà dans l’installation de Fog.

On laisse le deuxième choix car on est sur Debian wheezy.

What type of installation would you like to do? [N]

On laisse N pour "Normal Server" puis touche Entrée.

What is the IP address to be used by this FOG Server? [172.16.2.60]

Tapez l'adresse IP de votre serveur FOG puis touche Entrée.

Would you like to setup a router address for the DHCP server? [172.16.2.62]

Would you like to setup a DNS address for the DHCP server and client boot image? Là on renseigne le serveur dhcp et dns qu’on a configurer au debut 172.16.2.61

Would you like to change the default network interface from eth0? N on veut rester sur l’interface Eth0 l’autre carte réseau nous permettra d’avoir accès à internet.

Would you like to use the FOG server for dhcp service? N nous allons utiliser le DHCP du serveur Windows.

This version of FOG has internationalization support, would you like to install the additional language packs? Il n'existe pas de support en français. Répondez n puis touche Entrée

Une synthèse de vos choix apparaÎt.Are you sure you wish to continueOn répond y

Le serveur Fog va faire une vérification des paquets dont il a besoin pour fonctionner correctement et les installer

Après la vérification des paquets l’installation nous demande le mot de passe Mysql qu’on a défini au début.

Maintenant il faut ouvrir un navigateur et aller sur l’interface graphique de notre serveur Foghttp://@ip/fog/management pour nous l’adresse sera http://172.16.4.2/fog/management

On doit mettre à jour la bases de donnée pour cela on clique sur Install/Upgrade Now

Notre serveur est prêt à cloner et à déployer des images.

Voici le tableau de bord.

Pour pouvoir faire une action il faut d’abord enregistrer un ordinateur client nous allons prendre un Windows 7 qui va démarrer sur le réseau afin de s’enregistré

Le serveur DHCP a attribué une adresse au client

Sélectionner quick Registration and Inventory.

Le serveur Fog récolte les informations du PC client (taille du HDD, Ram, Service Tag, etc …) L’ordinateur redémarre.

L’ordinateur est reconnue par le serveur Fog il peut maintenant envoyer une image de son OS ou recevoir une image.

Mission 3 Mise en place d’un serveur d’application

Contexte : Certaines applications présentent un coût exorbitant en les installant individuellement sur des postes clients. C’est le cas par exemples des logiciels ERP. Ainsi, en les publiant sur un serveur D’application, l’administrateur réduit les coûts de licences et d’exploitation tout en assurant une meilleure sécurité du serveur.

Pour ces raisons administrateur envisage de mettre en place un serveur d’application basé sur TSE Permettant aux utilisateurs d’accéder et d’utiliser les applications qui y sont installées. Le serveur d’application, suffisamment redimensionné pour son rôle, est hébergé dans le VLAN informatique et Cohabitera avec le serveur WDS (172.16.2.58/26).

La solution offre plusieurs avantages : côté administration système, cela réduit les coûts d’exploitation, sécurise le serveur et les applications, utiliser les PC clients en tant que clients légers ne nécessitant pas de performance accrue. Côté utilisateurs, ils peuvent accéder à partir du bureau à distance ou depuis un navigateur WEB, aux applications qui leurs ont été affectées.

En fonction des exigences, la solution peut être enrichie par la mise en place d’une ferme de Serveurs TSE pour assurer une haute disponibilité et la répartition de charge / sessions.

Un TSE est un outil qui permet à p)lusieurs utilisateurs de travailler sur une session ouverte sur un serveur distant.

En fait, si on met office 2013 sur le serveur, tous les clients qui se connecte en simultané peuvent travailler sur le même logiciel. Dans ce cas, on n’aura pas de problème de version du logiciel ou de mise à jour a effectué poste par poste puisqu’il s’agirait de gérer cela que dans le serveur.

Pour cela, le protocole utilisé est le RDP. Donc nous avons que les frappes clavier et mouvement souris. Le serveur nous renvoie une image de la session active. On peut aussi avoir la gestion croisée des imprimantes car celui-ci est bien pris en compte. On a aussi des gains de performance au niveau réseau. Ainsi on pourra aussi faire des économies vu qu’on aura qu’une licence.

Citrix est un logiciel qui s’appuie quand même sur la couche TSE. Celui-ci s’appuie sur le protocole ICA qui permet de réduire encore plus la bande passante. Grace à cette couche, il est possible de publier des applications et d’attaquer celles-ci via un navigateur.

Nous allons vous proposer les offres TSE de Windows et Citrix.

TSE et Citrix

Demande : Certaines applications présentent un coût exorbitant en les installant individuellement sur des postes clients. Ainsi, en les publiant sur un serveur d’application, l’administrateur réduit les coûts de licences et d’exploitation tout en assurant une meilleure sécurité du serveur.

Avantage :

Côté administration système

- cela réduit les coûts d’exploitation- sécurise le serveur et les applications- utiliser les PC clients en tant que clients légers ne nécessitant pas de

performance accrue.

Côté utilisateurs

- ils peuvent accéder à partir du bureau à distance ou depuis un navigateur WEB, aux applications qui leurs ont été affectées.

Configuration demandé du serveur :

RôlesServeurs d’application TSE

ConfigurationNom de la machine : TSE-WDS OS : Windows 2008 Server R2 64 bits Nom domaine : m2l.fr Adresse IP : 172.16.2.58/26 Login : Administrateur Mot de passe : Btssio2016 TSE Windows vs Citrix

TSE Windows CitrixUtilisation d'application Windows ✓ ✓Bureau distant Microsoft ✓ ✓Lancement d'application au démarrage de la session ✓ ✓Contrôle d'application par utilisateur ou groupe X ✓

CoûtsLicence Win SRV Licence Win SRV

Licence Citrix App

Partie II Administration réseau

Mission 1 Mise en place d’une DMZ

Contexte :

La direction générale de la maison des ligues, se basant sur les recommandations de la commission Sécurité de la région Lorraine en matière de sécurité informatique, a décidé d’aligner son système D’information sur ces exigences.

Pour cela, l’administrateur a décidé de refondre son réseau en introduisant tous les outils et composants permettant d’y renforcer la sécurité. Ce projet concerne la sécurisation de l’accès au Service Internet, la sécurisation de l’administration à distance du réseau et la mise en place d’un Service de haute disponibilité sur les nœuds principaux du réseau.

Une DMZ est une zone démilitarisé comme son nom l’indique (Demilitarized Zone). Elle sert principalement à avoir un accès à internet sécurisé mais permet aussi aux internautes de consulter des informations présentes dans les serveurs de l’association.

La DMZ :

- La DMZ héberge les ressources visibles depuis l’internet : Service WEB, téléchargement, mails public/privé…

- Une DMZ privée peut être utilisée pour les utilisateurs du réseau privée qui souhaitent accéder à des ressources privés depuis l’internet.

- La DMZ publique concerne les accès depuis l’internet par l’ensemble des Internautes.

Nous allons mettre en place une DMZ en configurant :- Un pare feu pour filtrer le trafic entrant et sortant- Un contrôle et une protection des données utilisateurs avec des demandes

d’authentification et le cryptage des données.-

Le pare-feu :

Celui-ci sera configuré sur le port d’un routeur qui lui sera connecté à internet pour pouvoir gérer le trafic entrant et sortant sans faille de sécurité.

Il sera configuré à l’aide de règle de contrôle ACL

Voici un exemple d’ACL :- access-list 100 permit UDP 172.16.2.0 0.0.0.63 any eq 67,68

Une règle ACL peut contenir plusieurs lignes de script. Chaque ligne fait référence à une contrainte ou condition

Un Pare-Feu contient toujours une règle par défauts non affichée qui refuse toutes les autres conditions que celle définies dans les scripts

- Table de filtrage

INTERFACE

N°

@ IP SRC

Masque

@ IP DEST

MASQUE

Protocol

PORT

Etat TCP Action

Fa0/0 IN 1 172.16.0.0

/19 0.0.0.0 /0 TCP Established

Permit

Fa0/0 IN 2 172.16.0.0

/19 172.16.2.0 /26 UDP 67,68 Permit

Fa0/0 IN 3 172.16.0.0

/19 192.168.0.0

/28 TCP 20,21 Established

Permit

Fa0/0 IN 4 Any Any any deny

Fa 0/1 IN 5 172.16.2.0

/26 192.168.0.0

/28 TCP Established

permit

Fa 0/1 IN 6 172.16.2.0

/26 192.168.0.0

/28 UDP Permit

Fa 0/1 IN 7 172.16.2.0

/26 any /19 UDP permit

Fa 0/1 IN 8 Any 192.168.0.0

/28 any deny

Cette table contient les conditions de filtrage de paquets on inscrit dans cette table autant de ligne qu’il y’a de condition pour satisfaire une règle.

Un pare-feu sera installé sur une interface physique en entrée ou en sortie

INT FA 0/0

PareFeu PareFeu

Un contrôle et une protection des données utilisateurs :

Celui-ci sera configuré dans la DMZ, c’est une zone interne à l’entreprise dans laquelle les utilisateurs pourront stocker et partagés des données via une page WEB ou des dossiers partagées.

IN OUT

Il sera configuré à l’aide de FileZilla et un serveur APACHE (Wamp) ou vous devrez vous authentifier pour accéder aux documentations mise en œuvre.

Mission 2 Service d’administration à distance sécuriséeet

Mission 3 Service de Haute disponibilité

Contexte mission 2 : Pour pallier à certaines failles de sécurité relative à l’administration à distance des équipements constituant le réseau, l’administrateur a décidé de refondre son outil d’administration à distance en utilisant un protocole sécurisé empêchant ainsi de possibles prises de contrôle sur les équipements par des utilisateurs non autorisés. L’administrateur décide d’utiliser l’application SSH pour administrer son réseau.

Pour un gain de temps considérable, l’administrateur a décidé mettre en place un outil d’administration à distance en utilisant un protocole sécurisé empêchant ainsi de possibles prises de contrôle sur les équipements par des personnes non autorisés. L’administrateur décide d’utiliser l’application SSH pour prendre le contrôle des équipements réseaux.

Contexte mission 3 : L’association, par l’intermédiaire de son service technique, se doit d’assurer une bonne qualité de service sur son réseau vis-à-vis des utilisateurs. L’administrateur demande à son service technique de déployer les solutions permettant de sécuriser l’écoulement du trafic même en cas de panne d’une liaison dans la chaîne de communication.

Cette exigence sera réalisée par l’implantation de matériels et de liens redondants sur les nœuds stratégiques du réseau afin de pallier aux défaillances possibles de ces éléments.Il vous est demandé de préparer l’installation et la configuration des éléments sur les nœuds suivants :- Le réseau de commutation des ligues comprendra les commutateurs d’accès et le - L’accès Internet à haute disponibilité grâce à la redondance du routeur d’accès FAI. Commutateur de distribution qui seront reliés en boucle permettant ainsi l’introduction de chemins de secours. Les liaisons entre les commutateurs d’accès et le commutateur de distribution seront réalisées en double attachement par agrégation de liens pour pallier aux possibles ruptures de liaisons.Deux abonnements Internet seront loués au FAI. Un abonnement qui portera tout le trafic en fonctionnement normal, le deuxième assurera la continuité Internet en cas de panne du premier.

Voici la configuration mis en place sur les équipements.

-----------------------------------------------------RM2L-------------------------------------------------

en

cisco

conf t

ip domain-name M2L.FR On précise le domaine du réseau

enable secret cisco On ajoute un mot de passe pour le mode de configuration enable

username admin password Btssio2016 On met un mot de passe pour l’authentification lors de la connexion à cet équipement

service password-encryption Cryptage de mot de passe

crypto key generate rsa Type de cryptage de mot de passe

1024 Nombre de bits cryptés

ip ssh version 2 Version du SSH

ip ssh time-out 60 Délai de connexion SSH avant qu’elle soit déconnectée

ip ssh authentication-retries 2 Maximum de tentatives d’authentification

line vty 0 15

password Btssio2016 Mot de passe d’accès pour le SSH

transport input ssh Activation du SSH

login local

int eth 1/1.99

ip address 172.16.99.61 255.255.255.192

encapsulation dot1Q 99

exit

int fa 0/1.1

ip address 10.0.0.1 255.255.255.248


exit

int fa 0/1.99

ip address 172.16.99.60 255.255.255.192


exit

routeur ospf

network 172.16.99.0 0.0.0.63 area 0

--------------------------------------------------------------RLIGUES --------------------------------------

en

conf t



service password-encryption On crypte le mot de passe






line vty 0 15



login local

int fa 0/0.10

ip address 172.16.10.60 255.255.255.192

no shutdown

exit

int fa 0/0.11

ip address 172.16.11.60 255.255.255.192

no shutdown

exit

int fa 0/0.12

ip address 172.16.12.60 255.255.255.192

no shutdown

exit

int fa 0/0.99

ip address 172.16.99.60 255.255.255.192


exit

ip dhcp pool 172.16.10.62

ip dhcp pool 172.16.10.

---------------------------------------------------------------RLIGUES2 -----------------------------------

en

conf t

hostname RLIGUESEC









line vty 0 15



login local

int fa 0/0.10

ip address 172.16.10.61 255.255.255.192

no shutdown

exit

int fa 0/0.11

ip address 172.16.11.61 255.255.255.192

no shutdown

exit

int fa 0/0.12

ip address 172.16.12.61 255.255.255.192

no shutdown

exit

int fa 0/0.99

ip address 172.16.99.61 255.255.255.240


exit

----------------------------------------------HSRP PRIM-------------------------------------------

en

conf t









line vty 0 15



login local

exit

------------------------------------------------------------HSRP SEC --------------------------------------

en

conf t


enable secret cisco








line vty 0 15



login local

exit

-------------------------------------------------SW2LIG +----------------------------------------------

en

conf t


enable secret cisco








line vty 0 15



login local

int vlan 99

ip address 172.16.99.2 255.255.255.192

no shutdown

exit

------------------------------------------------ SW3LIG ----------------------------------------------------

en

conf t


enable secret cisco








line vty 0 15



login local

int vlan 99

ip address 172.16.99.3 255.255.255.192

exit

--------------------------------- SW1LIG ---------------------------------

en

conf t


enable secret cisco








line vty 0 15



login local

int vlan 99

ip address 172.16.99.1 255.255.255.192

no shutdown

exit

--------------------------------- SWM2L ---------------------------------

conf t


enable secret cisco










login local

int vlan 99

ip address 172.16.99.5 255.255.255.192

exit

--------------------------------- SWRINTERNET ---------------------------------

conf t

hostname SWRINTERNET


enable secret cisco








line vty 0 15



login local

Documents

PPE 3.1 - idjervincent.files.wordpress.com … · Web viewMéthode d'installation ... C'est ici que vous choisissez le langage par défaut du système d'exploitation ainsi que les