Download Windows 7 Déploiement des postes de travail en entreprise...
Windows 7 Déploiement des postes de travail en entreprise
Olivier BAT Freddy ELMALEH Guillaume DESFARGES
Résumé Ce livre sur le déploiement de Windows 7 s’adresse aux administrateurs système des petites et moyennes entreprises ainsi qu’aux ingénieurs chargés des postes de travail des grands comptes. Il a été conçu pour permettre au lecteur d’appréhender les nouveaux outils de déploiement proposés par Microsoft (Windows Deployment Services, Microsoft Deployment Toolkit et Windows Automated Installation Kit) et de les adapter à son environnement et à ses contraintes. Après une présentation de la gestion d’un projet de déploiement qui propose un guide sur le choix de la méthode de déploiement, l’ouvrage présente les différents composants nécessaires au déploiement de Windows 7 sur des postes de travail en entreprise. En suivant le fil conducteur de l’automatisation du déploiement, les auteurs détaillent et illustrent avec des manipulations les différentes méthodes pour installer Windows 7. Le livre présente également la gestion des mises à jour de sécurité du parc avec Windows Server Update Services et consacre un chapitre aux déploiements de Windows 7 dans les grands comptes avec System Center Configuration Manager 2007. Le dernier chapitre présente deux études de cas. Les titres des chapitres : Gérer un projet de déploiement - Choisir une solution de déploiement - Windows Deployment Services - Windows Automated Installation Kit Microsoft Deployment Toolkit - Déploiement de systèmes d’exploitation avec SCCM 2007 - Distribuer des mises à jour avec WSUS - Etudes de cas
L'auteur Oliver Bat Après plusieurs années passées comme Ingénieur Système et Réseau, Oliver Bat s'est spécialisé dans l'architecture et la maîtrise d'oeuvre du poste de travail jusqu'à créer sa société Aeon IT, spécialisée dans l'écosystème du poste de travail. Freddy Elmaleh Consultant freelance, Architecte Systèmes et Chef de projet, Expert Active Directory et Sécurité, Freddy Elmaleh est le fondateur de la société de services Active IT. Il intervient au sein de nombreuses grandes entreprises. Il est reconnu Microsoft MVP (Most Valuable Professional) sur Windows Server - Directory Services depuis plusieurs années. Guillaume Desfarges Architecte Système et Réseau depuis quelques années, Guillaume Desfarges intervient auprès de grands comptes, notamment dans le cadre de projets de migration et ou de virtualisation. Il est reconnu Microsoft MVP (Most Valuable Professional) Setup and Deployment depuis plusieurs années.
Ce livre numérique a été conçu et est diffusé dans le respect des droits d’auteur. Toutes les marques citées ont été déposées par leur éditeur respectif. La loi du 11 Mars 1957 n’autorisant aux termes des alinéas 2 et 3 de l’article 41, d’une part, que les “copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective”, et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration, “toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l’auteur ou de ses ayants droit ou ayant cause, est illicite” (alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. Copyright Editions ENI
1
Introduction Comme dans d’autres types de projets informatiques, le succès d’un projet de déploiement dépend en grande partie de sa gestion, et finalement assez peu de la technique. Dès lors que celleci est maîtrisée, la différence entre le succès et l’échec se fera sur la capacité du chef de projet à planifier, gérer, coordonner et communiquer. Loin d’être exhaustif en matière de gestion de projet (des ouvrages entiers y sont consacrés), ce chapitre présente ce qu’est un poste de travail, comment appréhender un déploiement, comment organiser son déroulement, et quel bilan en dresser.
2
Cycle de vie du poste de travail Généralement considéré comme le parent pauvre du système d’information dans les petites et moyennes entreprises, le poste de travail des grandes entreprises dispose souvent d’un service d’études et d’architecture dédié. Cette différence de point de vue et de traitement s’explique par la prise de conscience, dans les grands comptes, qu’il s’agit du point de délivrance des services aux utilisateurs et qu’à ce titre, il doit être traité avec une attention particulière. En effet, un poste de travail en entreprise ne se résume pas à un ordinateur et quelques logiciels : il s’agit en réalité d’un environnement de travail complet qui doit s’intégrer à l’écosystème informatique de l’entreprise, et grâce auquel le collaborateur va pouvoir exercer son activité dans les meilleures conditions. De la conception au support, en passant par sa mise en œ uvre et son déploiement, la vie du poste de travail suit un cycle répétitif dont le moteur est souvent l’innovation constante de l’industrie informatique.
Cycle de vie du poste de travail
1. Conception À l’heure où de nombreuses entreprises choisissent de se recentrer sur leur cœ ur de métier en externalisant les services "noncritiques", le poste de travail doit apporter une valeur ajoutée à son utilisateur, et non être une source de problèmes, de perte de temps, et in fine, de baisse de la productivité. Pour que le poste réponde aux besoins de ses utilisateurs, sa conception ne doit pas être traitée seule, de manière isolée, mais doit prendre en compte le système d’information de l’entreprise, celui de ses partenaires et de ses clients. Quels sont les métiers des utilisateurs ? Sontils nomades ? Quel est leur niveau de compétence en informatique ? Avec qui l’entreprise échangetelle ? Etesvous sûr que vos commerciaux pourront emporter en déplacement leurs dossiers clients ? La population administrative estelle formée à la nouvelle version du système d’exploitation ? Vos partenaires peuventils lire les fichiers que vous leur envoyez dans tel format récent ? Ce ne sont que quelques exemples de questions auxquelles il vous faudra apporter une réponse pour être sûr de fournir le service attendu par vos utilisateurs. Nous voyons ici que la conception d’un poste de travail ne se résume pas à choisir indépendamment le matériel, le système d’exploitation et les applications. Encore fautil que ces choix soient cohérents et poursuivent un même objectif. Il vous faudra également impliquer dans cette phase de conception des utilisateurs représentatifs des métiers rencontrés dans l’entreprise, pour garantir l’adéquation de ce que vous concevrez avec leur réalité.
a. Faire un état des lieux Vos utilisateurs sont les premiers clients de votre projet de déploiement. Leur implication dans les phases initiales vous assurera deux choses : une vision subjective de ce qu’ils ressentent dans l’utilisation quotidienne de leur outil de travail (dysfonctionnements, adéquation des outils, lenteur perçue, etc.) et une adhésion au projet grâce au sentiment de considération qu’ils retireront de leur participation (cette adhésion au projet vous sera particulièrement utile lors du déploiement, lorsque vous viendrez bousculer leur environnement informatique). Organisez avec des représentants des différents services concernés (informatique, support, utilisateurs, achats) une réunion de présentation du projet, de ce qui le motive (opportunité, fin de support d’un matériel ou d’un logiciel important, inadéquation avec l’évolution des métiers) et des objectifs que vous souhaitez atteindre. Dressez un état des lieux de votre parc actuel : constitution et culture des populations utilisatrices, inventaire des matériels rencontrés, contraintes métier, implantations géographiques, existence de collaborateurs avec un handicap, formats des échanges de fichiers informatiques avec les partenaires ou les clients, engagements contractuels avec les fournisseurs, etc. Cet état des lieux peut également être complété, si cela est possible, d’une
3
synthèse des problèmes rencontrés le plus fréquemment par le support informatique. Si des éléments ressortent comme étant traitables au niveau du poste de travail, identifiez les actions à mener et prenezles en compte lors de la conception. Par exemple, si un utilitaire provoque régulièrement un plantage, vérifiez auprès de l’éditeur la disponibilité d’une version plus récente corrigeant le problème et prévoyez de l’inclure dans votre nouveau socle.
b. Formuler une expression de besoin Une fois l’état des lieux réalisé, formaliser une expression de besoin va permettre de collecter les demandes des utilisateurs et de préparer la définition du socle. Les besoins peuvent être répartis en trois catégories : le matériel, les applications et les services. Les besoins matériels évoluent avec le temps parce que de nouveaux usages sont rendus possibles par l’évolution des technologies. Avec la démocratisation de l’informatique dans les foyers, les besoins en matériel sont souvent exprimés en fonction de ce dont les utilisateurs disposent chez eux : un écran plat plus grand, un ordinateur plus rapide, une souris sans fil, une webcam, etc. Il paraît aujourd’hui dépassé de proposer un écran cathodique parce que les écrans plats sont devenus la norme en usage domestique, les deux permettant pourtant, à diagonale égale, de remplir les mêmes fonctions. L’expression de besoin synthétisera donc, pour chaque population, les besoins matériels exprimés, sans critères techniques, mais avec des critères qualitatifs : poste fixe ou nomade ; ultraléger, léger ou normal ; simple ou double écran ; silencieux ou non ; importante vitesse de calcul requise ; présence de périphériques nécessaires au métier ; etc. Une attention particulière doit être portée à l’expression de besoin en terme d’applications. Il faut en effet bien distinguer le besoin "réel" (un applicatif métier, un utilitaire de compression de fichiers, un traitement de texte, etc.) du besoin "de confort" (logiciel de synchronisation avec le baladeur MP3 ou le téléphone personnel, lecteur de vidéos, navigateur Web alternatif, barre d’outils du navigateur Web, etc.). Il n’est pas rare, sur un parc informatique non maîtrisé, de voir remonter dans les inventaires logiciels bon nombre d’applications personnelles, de jeux et de sharewares en tous genres (quand il ne s’agit pas de logiciels sans licence). Attendezvous à ce que ce type de besoin soit exprimé, les utilisateurs considérant que ces logiciels sont nécessaires parce qu’ils ont l’habitude de les avoir sur leur poste. La définition du socle sera le moment de faire le tri. Enfin, la partie services permettra de formaliser ce qu’attendent les utilisateurs en terme de support (horaires, suivi des incidents, intervention sur site), de sauvegarde et de restauration (procédure, délai, conservation) ou encore de gestion de la demande (formulation, suivi, historique). Le support disposetil d’un outil permettant de prendre la main à distance sur le poste de l’utilisateur ? Un utilisateur peutil obtenir la restauration d’un fichier supprimé sur son poste ? Ces questions ne sont que quelques exemples montrant que cette partie ne doit pas être négligée car elle peut avoir un impact très important sur la définition technique de votre futur poste de travail ainsi que sur la qualité du service rendu, et donc sur la satisfaction de vos utilisateurs.
c. Définir un socle Une fois l’état des lieux réalisé et l’expression de besoin formalisée, reprenez ces éléments en statuant sur chaque demande (acceptée, refusée, étude complémentaire nécessaire) et en arbitrant les besoins matériels. On retrouvera dans la définition du socle la même structure que celle de l’expression de besoin. Il est probable que vous ayez à définir au moins deux platesformes matérielles, la première pour les fixes, et la seconde pour les nomades. Une troisième peut également s’avérer nécessaire pour les VIPs ou les itinérants ayant besoin d’une configuration "ultraportable", basée généralement sur un portable d’un poids inférieur à 1,5 kg et d’une taille réduite (écran inférieur à 14"). Gardez en tête les objectifs que vous vous êtes fixé : standardisation du poste de travail et des outils, consolidation des fournisseurs, mutualisation de l’expérience du support entre les différents types de matériels. Selon vos rapports avec les fournisseurs et le volume potentiel de commande (en cas de renouvellement du parc), négociez avec eux le prêt de matériel de test que vous qualifierez et testerez avant de faire votre choix. Le matériel retenu devra permettre de répondre aux besoins actuels mais aussi à ceux qui ne manqueront pas d’être exprimés pendant la durée d’amortissement du parc (de 3 à 5 ans selon les entreprises). Le choix du système d’exploitation est loin d’être anodin. Si la tentation est grande de déployer la dernière version, fraîchement sortie, l’expérience montre que, jusqu’à présent, chaque nouveau système d’exploitation Microsoft n’arrive à maturité qu’après le premier Service Pack (Windows NT™ 4.0 avait même été jusqu’à 6). Bien que cet adage semble disparaître avec la sortie de Windows 7™, prenez également en compte dans le coût de votre projet l’impact qu’aura ce nouveau système sur vos utilisateurs ainsi que les coûts de formation induits. Le choix du système d’exploitation aura également une influence majeure sur de nombreux points : compatibilité des matériels et des applications héritées, disponibilité des pilotes de périphériques, support de la part des fournisseurs sur cette version, etc. Enfin, selon votre contrat de licence, l’éditeur peut ou non vous autoriser à installer la version précédente. Chaque nouvelle version a néanmoins l’avantage de disposer d’une fin de support plus lointaine, et d’offrir en général de plus en plus de fonctionnalités. Prêtez également une attention particulière aux prérequis matériels et à la configuration recommandée par l’éditeur. La question des applications à embarquer dans le socle se pose dans les mêmes termes que pour le système d’exploitation : la version prévue estelle supportée sur cet OS ? Les partenaires de l’entreprise saurontils lire les fichiers produits par celleci ? D’autre part, n’embarquez dans le socle que les applications communes à tous les utilisateurs et pour lesquelles vous disposez de licences en suffisance. Prévoyez également le déploiement, à la demande, des applications optionnelles spécifiques à chaque métier.
4
Si une application n’est plus supportée sur le nouveau système d’exploitation que vous souhaitez mettre en place, il est probable que l’éditeur vous demande la souscription d’un contrat de maintenance rétroactif depuis la fin de votre dernier contrat pour vous fournir une version compatible. La définition du socle contiendra également tout le paramétrage du matériel, du système d’exploitation et des applications embarquées. En voici quelques exemples : ●
●
●
Configuration matérielle : activation des fonctionnalités de sécurité (mot de passe de démarrage, mot de passe d’accès au BIOS, puce Trusted Platform Management) ; activation des fonctionnalités internes (allumage par réseau, carte WiFi, carte 3G, module BlueTooth™) ; ordre de démarrage (réseau, disque dur, média amovible) Système d’exploitation : langue de l’interface utilisateur et du système ; claviers disponibles ; paramètres régionaux ; composants Windows installés ; apparence de l’environnement utilisateur ; modèle de gestion de l’énergie ; restrictions de sécurité Applications : applications disponibles en standard ; packs de langues supplémentaires pour ces applications ; paramètres fonctionnels (mise à jour automatique activée, aide en ligne, notification en cas d’erreur) ; paramétrage des profils de messagerie
2. Mise en œuvre Cette étape va consister à mettre en œ uvre le socle défini lors de la phase de conception. C’est également l’occasion de prévoir les outils et procédures nécessaires aux fonctions de support et d’assistance utilisateur.
a. Packaging des applications Le packaging des applications consiste à utiliser une technologie standard et automatisable pour les installer, garantissant ainsi la reproductibilité de l’installation sur tous les postes de travail, ou lors des évolutions du socle. Il existe de nombreuses façons d’installer une application, pouvant aller de la simple copie de fichiers pour les plus simples à de véritables programmes très avancés pour les plus complexes. Cependant, la plupart des éditeurs ne développent pas euxmêmes le "moteur" du logiciel d’installation, mais font appel à des produits spécialisés, Microsoft Windows Installer et Acresso InstallShield étant les deux plus connus. Sauf cas particulier, il est en général possible d’utiliser le programme d’installation tel qu’il est fourni par l’éditeur pour réaliser une installation automatisée grâce à certains paramètres standard. L’installation automatisée d’une application fournie sous forme d’un fichier Windows Installer (extension ".msi") se fait, par exemple, grâce au paramètre /qb (automatisé) ou /qn (silencieux), comme le montre la ligne de commande cidessous : msiexec.exe /i mon_application.msi /qn Il est également possible de créer un fichier de transformation (extension ".mst") qui contiendra les réponses apportées normalement par l’opérateur aux questions posées par l’assistant d’installation. La création d’un tel fichier nécessite un outil de manipulation des packages Windows Installer tel que InstEd, Wise for Windows Installer ou Acresso AdminStudio. Les programmes d’installation utilisant le moteur InstallShield s’automatisent en deux étapes : tout d’abord par la réalisation d’un fichier de réponse à l’aide des paramètres -r et -f1, comme indiqué cidessous : setup.exe -r -f1c:\mesreponses.iss Puis par sa réutilisation lors des futures installations avec les paramètres -s et -f1 : setup.exe -s -f1c:\mesreponses.iss Lorsqu’ils existent, l’utilisation des paramètres d’installation automatique prévus par l’éditeur doit rester la solution privilégiée. Cependant, si les possibilités offertes ne répondent pas à vos besoins, vous pouvez envisager d’extraire du programme d’installation d’origine les fichiers sources, et de recréer un package ex nihilo. Enfin, la méthode du snapshot, qui consiste à faire un différentiel entre l’état d’un poste de travail avant et après installation du logiciel, et à enregistrer le contenu dans un nouveau programme d’installation, doit rester le dernier recours, tant les packages générés peuvent inclure des éléments non souhaités. Malgré le perfectionnement des ateliers de packaging, ces deux dernières solutions présentent de nombreux risques et vous feront perdre dans la plupart des cas le support de l’éditeur en cas de problème. À noter que celuici fournit dans certains cas un kit de création de fichiers de réponse, dont l’utilisation est obligatoire pour déployer automatiquement le produit tout en conservant le support, c’est le cas notamment de Microsoft Office 2007 ou d’Adobe Reader 9.
5
La taille et la complexité de l’application ainsi que le support ou non de l’éditeur en cas de repackaging détermineront la méthodologie à adopter. Si toutefois vous choisissez de créer vousmême ou de faire créer par une société de services un package d’installation, ayez bien en tête que cela nécessite de très bonnes compétences dans de nombreux domaines (ingénierie des systèmes d’exploitation, programmation, scripting, moteurs d’installation) et que les bons packageurs se paient le prix fort. Si certaines applications s’avéraient incompatibles entre elles ou avec le socle, il peut être intéressant d’envisager leur virtualisation, avec des technologies comme Citrix XenApp ou Microsoft AppV (cf. chapitre Choisir une solution de déploiement Apport des solutions de virtualisation). Le site http://www.appdeploy.com est une source de référence concernant le packaging et l’installation automatisée d’applications.
b. Prototypage Lors du prototypage vous allez pour la première fois mettre en œ uvre les différents éléments sélectionnés lors de la définition du socle : matériel, périphériques, système d’exploitation et applications. C’est également le moment de finaliser la façon dont votre nouveau poste de travail va s’inscrire dans son futur écosystème, le système d’information de l’entreprise : quels outils vont être utilisés pour créer le poste ? Comment celuici vatil être déployé ? Comment la distribution des applications ou des mises à jour se feratelle ? Le chapitre Choisir une solution de déploiement vous présentera les avantages et inconvénients des différentes possibilités offertes par les outils Microsoft, et vous aidera ainsi à déterminer la solution la plus appropriée à votre projet. Selon la solution retenue, la phase de prototypage sera plus ou moins longue à mettre en œ uvre, mais sera constituée de trois étapes majeures : ●
●
●
La création d’un environnement de conception du socle, composé des outils d’automatisation de l’installation du système d’exploitation (MDT Microsoft Deployment Toolkit et WAIKWindows Automated Installation Kit, dans le cas de Microsoft Windows 7) ainsi que de l’environnement de packaging des applications. Il va vous permettre de personnaliser entièrement le système d’exploitation à déployer, d’en choisir les composants activés, d’en définir les fonctionnalités, d’y inclure les éléments obligatoires ainsi que de générer les livrables pour la plateforme de déploiement. La mise en place d’une plateforme de test de l’infrastructure de déploiement concerne, si besoin est, l’installation des serveurs qui seront utilisés pour fournir à vos postes de travail leur nouveau socle, et éventuellement les applications optionnelles à installer. Dans le cadre de cet ouvrage, il s’agira de Windows Deployment Services (WDS) et System Center Configuration Manager (SCCM). La plateforme de test de l’infrastructure de support couvrira les besoins de maintenance et d’exploitation de vos postes de travail, notamment à travers les serveurs de distribution des mises à jour du système d’exploitation et des applications Microsoft (Windows Server Update Services) ainsi que de celles de l’antivirus.
Bien que déconseillé pour des questions de support et d’évolutivité, il peut également s’avérer nécessaire de développer des outils spécifiques pour réaliser des tâches particulières à votre organisation, lors du déploiement d’un poste de travail : mise à jour d’un workflow, envoi d’un mail de notification, etc. Ces outils seront développés et testés lors du prototypage. Consultez la documentation du Microsoft Deployment Toolkit pour connaître les possibilités d’extension du système de déploiement (écrans et scripts personnalisés, Web Services, etc.)
c. Homologation Après la réalisation d’un prototype incluant le matériel, le système d’exploitation cible et les applications retenues, deux phases d’homologation seront nécessaires. La première homologation, dite "technique", concerne la reconnaissance, la stabilité et le bon fonctionnement du matériel avec les pilotes retenus, ainsi que la compatibilité des applications entre elles et avec le système d’exploitation. La seconde, dite "fonctionnelle", se place d’un point de vue services et permet de s’assurer que toutes les fonctions des logiciels sont opérationnelles, que les procédures nécessaires au support se déroulent correctement, que l’environnement utilisateur est celui défini lors de la conception, que les restrictions de sécurité sont appliquées et ne peuvent pas être contournées, etc. Chaque phase d’homologation doit être préparée à l’aide d’un plan de test et faire l’objet d’un bilan, précisant si celleci s’est déroulée conformément au plan de test, et dans le cas contraire, les anomalies relevées. Tandis que
6
l’homologation technique pourra se faire avec la maîtrise d’œ uvre, réalisatrice du projet, l’homologation fonctionnelle se fera avec la maîtrise d’ouvrage, décisionnaire sur le projet. En cas d’absence d’une maîtrise d’ouvrage définie, les utilisateurs experts sur chaque application pourront s’y substituer. En cas d’anomalies relevées pendant les homologations, le projet devra repartir dans un cycle itératif conception → prototypage → homologation, jusqu’à ce que les réserves soient levées et les bilans positifs.
3. Déploiement Selon la taille de l’entreprise, le déploiement s’étalera de quelques semaines à plusieurs mois, voire plusieurs années si l’entreprise attend le renouvellement du matériel pour déployer son nouveau poste de travail. La durée des phases dépendra là encore de la taille des populations concernées. Mais, quel que soit le planning, on retrouvera généralement trois phases majeures : prépilote, pilote, et déploiement de masse.
a. Prépilote Le prépilote concerne une population restreinte à fortes compétences techniques et faisant preuve d’une bonne autonomie face à l’outil informatique. En un mot, des utilisateurs à même d’accepter les dysfonctionnements éventuels, d’y trouver un contournement, et de vous remonter les problèmes avec précision. L’ensemble de l’écosystème autour du déploiement n’est pas nécessairement opérationnel lors de cette phase (système régulier de gestion des incidents, prise de contrôle à distance, télédistribution, etc.) Le personnel du service informatique, les développeurs et les maîtres d’œ uvre techniques sont de bons candidats à cette phase. Celleci permet également d’avoir un premier ressenti de la part des utilisateurs finaux si ceuxci n’ont pas participé aux homologations. Taille suggérée : trois à dix utilisateurs maximum dans une PME, moins d’une cinquantaine dans un grand compte.
b. Pilote La phase pilote va consister au déploiement du nouveau poste sur un échantillon réduit de la population, mais suffisamment représentatif des utilisateurs types et des cultures rencontrées dans l’entreprise. Les participants n’ont pas nécessairement de compétences informatiques particulières, ils sont juste utilisateurs finaux d’un outil mis à leur disposition. Le pilote est l’occasion de tester en situation réelle et éventuellement d’affiner les outils de support aux utilisateurs. Quelques utilisateurs volontaires exerçant chacun une fonction particulière dans l’entreprise, si possible utilisant des outils différents, pourront constituer une bonne population pour un pilote opérationnel. Taille suggérée : une trentaine d’utilisateurs maximum dans une PME, moins de trois cents dans un grand compte.
c. Déploiement de masse Comme son nom l’indique, le déploiement de masse consiste en la généralisation du déploiement sur l’ensemble de l’entreprise. Selon la structure, l’organisation et l’implantation de celleci, plusieurs scénarios de déploiement sont possibles : par entité (service, direction, département, business unit), par métier (développeurs, commerciaux, administratifs), par site géographique, par site réseau, par culture, etc. A ce stade, tous les outils et les procédures de support aux utilisateurs doivent être opérationnels, et les opérateurs chargés de ce support formés aux nouveaux outils. Le déploiement généralisé peut également se faire à l’occasion du renouvellement du matériel, mais prendra dans ce cas beaucoup plus longtemps (annuel, bisannuel, trisannuel, etc.). D’un point de vue logistique, et à condition que la population ne soit pas trop importante, il est également possible de procéder à un déploiement généralisé par la constitution d’un fond de roulement de quelques postes, sur lesquels le nouveau master est installé, puis de fournir ces postes aux utilisateurs en échange de l’ancien, afin de reconstituer le fond de roulement.
4. Support Une fois le dernier utilisateur équipé, le socle nouvellement déployé va entrer dans une phase de support qui durera jusqu’à ce qu’un autre socle vienne le remplacer (à l’occasion de la sortie d’un nouveau système d’exploitation, du renouvellement du matériel, d’un déménagement, etc.). Durant cette phase qui peut durer plusieurs années, vous devrez suivre les annonces faites par les éditeurs des logiciels inclus dans le socle, ainsi que celles de l’éditeur du système d’exploitation. Ces annonces peuvent concerner la sortie de correctifs de sécurité, de mises à jour mineures pour corriger des bugs, de mises à jour majeures pour supporter une nouvelle technologie ou un nouveau matériel, etc.
7
Bien qu’il puisse sembler intéressant d’utiliser la fonctionnalité de mise à jour automatique proposée par certains logiciels (lecteurs multimédias, visualiseurs de documents, plugins de navigateurs), celleci présente le risque d’une diffusion non maîtrisée sur vos postes de travail d’une mise à jour incompatible avec vos applications métier. Il en est de même pour la fonctionnalité de mise à jour automatique native de Windows, permettant de mettre à jour les postes de travail dès que Microsoft diffuse une mise à jour de sécurité, un patch ou une mise à jour de pilote de périphérique. Si l’activation sur les postes de travail de la mise à jour automatique directement depuis le site de Microsoft est recommandée à domicile ou sur les parcs informatiques restreints, l’utilisation d’un serveur Microsoft Windows Server Update Services (WSUS) est à privilégier en moyenne et grande entreprise. Cet outil gratuit de Microsoft va remplir deux rôles : il va servir de serveur cache pour le téléchargement des mises à jour, afin de les diffuser aux postes de travail internes au lieu que ceuxci aillent les chercher directement sur le site de Microsoft, et il va permettre de définir des politiques d’homologation et de diffusion des mises à jour en fonction des populations d’ordinateurs ciblés, de leur criticité, de leur nature, du système d’exploitation, etc. (cf. chapitre Distribuer des mises à jour avec WSUS). L’évolution des composants de votre socle poste de travail va probablement vous amener à en gérer plusieurs versions dans le temps. Avant d’inclure un nouveau composant ou de le faire évoluer, la généralisation systématique de celuici sur le parc existant est une stratégie qui vous permettra d’éviter les incohérences entre les postes de travail équipés de l’ancienne version et les postes sur lesquels la nouvelle version du socle est déployée. D’autre part, astreignezvous au même cycle d’homologation pendant la phase de support que lors de la conception initiale du socle.
8
Préparation du projet Comme dans tout projet, la préparation est primordiale et garantira un bon déroulement de la mise en œ uvre. Audelà de la préparation purement technique du socle, de nombreux aspects sont à organiser autour du déploiement : quelle sera la logistique mise en œ uvre, quels sont les rôles et les périmètres, quels sont les contacts, quelles sont les contraintes humaines et matérielles, qui fait la communication, etc.
1. Ressources matérielles Si vous envisagez un déploiement par renouvellement du parc, la préparation des ressources matérielles est particulièrement importante. À titre d’exemple, voici quelques questions auxquelles répondre concernant les aspects logistiques d’un déploiement : ●
●
●
Quel est le délai de livraison du matériel une fois la commande passée ? Le matériel seratil livré en une fois ou en plusieurs lots ? Quelles sont les dates exactes de livraison ? Le fabricant garantitil ces dates ? Disposeton d’un local de préparation des postes suffisamment équipé en tables, en multiprises, en câbles réseau, etc. ?
●
Où le matériel seratil livré ? Qui en effectue la réception ?
●
Un nombre important de postes représente plusieurs palettes à stocker, le local estil assez grand ?
●
Compte tenu de la valeur du matériel neuf, le local de stock estil sécurisé ? Qui en a l’accès ?
●
●
Comment transporter le matériel de son site de livraison jusqu’au local de préparation puis jusqu’à l’utilisateur ? Quels sont les horaires d’accès aux sites ?
D’autre part, lorsque la phase de conception a duré plusieurs mois, il arrive parfois que le constructeur du matériel ait opéré de légères modifications sur le matériel, tout en conservant la même référence sur son catalogue (modification d’une puce WiFi, d’une version de firmware, etc.). Avant de lancer la commande de l’ensemble du matériel, faitesvous livrer un exemplaire de poste sur lequel vous ferez un ultime test de votre socle. Enfin, si vous financez votre matériel via une société de leasing, assurezvous de l’état de la relation commerciale entre le fabricant et cette société : état de l’encours, règlement des factures, contentieux, etc. Un problème survenant entre le fabricant et la société de leasing aura forcément un impact sur votre planning, mieux vaut prendre les devants.
2. Ressources humaines L’aspect humain est primordial dans tout projet, qu’il soit informatique ou d’une autre nature. À ce titre, la connaissance des intervenants par tous les acteurs du projet est importante pour assurer un déploiement fluide et garantir la satisfaction des utilisateurs. Établissez une liste de contacts à laquelle tous les membres du projet pourront se référer en cas de besoin, en précisant les rôles de chacun : opérateurs et techniciens chargés du déploiement, chef(s) de projet, homologateurs, utilisateurs pilotes, fournisseurs et transporteurs, techniciens et responsable du support, sponsor du projet au niveau de la direction, etc. Selon l’activité de l’entreprise, il est parfois nécessaire de procéder aux déploiements en dehors des heures ouvrées notamment lorsque les utilisateurs ne peuvent interrompre leur travail (salles de marché, industrie, surveillance). Si tel est le cas, l’organisation du déploiement va s’en trouver profondément affectée et vous devrez solliciter le personnel du service informatique pendant des plages horaires auxquelles il n’est pas nécessairement habitué (soirs, nuits, weekend). Même si le volontariat est la solution privilégiée pour déterminer qui participera aux déploiements, le service des ressources humaines de l’entreprise doit dans tous les cas être informé des contraintes du projet, prévenir les organismes nécessaires, et donner des réponses claires aux questions que vont se poser les techniciens : rémunération particulière pour le travail en heures supplémentaires ou non ouvrées, récupération éventuelle, etc.
9
3. Phasage Une fois le socle défini et validé, les aspects matériels et humains organisés, encore fautil établir un calendrier pour le déploiement. Étalé de plusieurs semaines à plusieurs mois (voire plusieurs années dans les environnements très vastes), celuici devra prendre en compte les contraintes évoquées plus haut, mais également la stratégie de l’entreprise ainsi que les aspects budgétaires. Établissez un macroplanning depuis la conception jusqu’à la fin du support en fonction des éléments clés puis détaillez ce planning pour chaque phase. Ce macroplanning pourra s’exprimer en unités assez grandes, telles que le trimestre ou le semestre, mais également contenir des dates clés plus précises (sortie d’un produit, fin de support de la part d’un éditeur, déménagement, acquisition d’une société, contrainte légale). Il donne une vue générale du projet et permet d’en percevoir rapidement les jalons. Le planning détaillé utilisera plutôt comme échelle le numéro de semaine dans l’année, voire même le jour unitaire. Il prend en compte les contraintes humaines et matérielles (vacances, travaux, livraisons, jours fériés, etc.) et permet de suivre la progression du projet et de contrôler le respect des délais annoncés. Si vous êtes familiers avec eux, les logiciels de gestion de projet du type Microsoft Project peuvent vous aider à planifier votre projet de déploiement. Dans le cas contraire, un tableau de type Microsoft Excel pourra également convenir et vous évitera de perdre du temps sur les diagrammes de Gantt recalculés automatiquement, les plannings de ressources, les erreurs de surallocation, etc.
4. Communication et formation Le remplacement d’un poste de travail par un autre, s’il peut sembler anodin vu du service informatique, pourra être vécu comme un bouleversement important par l’utilisateur. Dès que les bruits de couloir vont commencer à se répandre au sujet d’un projet imminent de changement des postes de travail, les interrogations et les questions vont alimenter les conversations autour de la machine à café. De l’utilisateur débutant qui va vous demander s’il retrouvera ses documents si vous lui changez son écran, à celui qui vous donnera son avis argumenté concernant la version de Windows que vous allez déployer, chacun ressent différemment ce type de projet, à la lumière de ses connaissances en informatique. Comme dans tout projet, une communication maîtrisée permet, à défaut de le garantir, de mettre toutes les chances de réussite de votre côté. A tous les stades du projet, les informations doivent circuler entre les utilisateurs, les équipes en charge du projet et la direction : les difficultés éprouvées par les utilisateurs du nouveau socle doivent être remontées au support, les problèmes rencontrés par les techniciens doivent être corrigés par l’équipe en charge de la conception, la direction doit être tenue informée de l’avancement et des risques identifiés. Mais avant de démarrer les phases opérationnelles, vous devrez communiquer avec vos utilisateurs pour collecter leurs besoins et leurs attentes, définir avec eux leur nouvel outil de travail, en un mot, les impliquer dans le processus de conception. Cette implication d’utilisateurs sélectionnés vous sera utile au moment du déploiement et des premières difficultés rencontrées : ces utilisateurs pourront être les relais nécessaires pour expliquer, former et justifier les choix effectués. D’autre part, un appui de la part des directions fonctionnelles est extrêmement important et permettra à tous les utilisateurs finaux de sentir que ce projet n’est pas "encore un projet de la DSI" mais bien un projet qui s’inscrit dans la stratégie de l’entreprise. Le service ou la personne habituellement en charge de la communication dans l’entreprise devra véhiculer les messages importants tout au long du projet : présentation du projet (objectifs, dates clés, équipes en charge), déploiement (annonces aux populations concernées) et support (chiffres clés, résumé). En amont du déploiement et selon le degré de changement qu’il va provoquer, réfléchissez également à la mise en place de formations au nouveau poste de travail. Elles peuvent être internes ou externes, collectives ou individuelles, obligatoires ou optionnelles, mais dans tous les cas, elles permettront de rassurer les utilisateurs les moins expérimentés, de satisfaire la curiosité des technophiles et vous éviteront le reproche d’avoir imposé unilatéralement et sans ménagement un outil de travail inadapté. L’utilisation de miniquizz et de fiches de retour à l’issue de ces formations vous permettra d’en mesurer la qualité et la perception par les utilisateurs. D’autre part, la diffusion de triptyques ou de plaquettes résumant les informations essentielles du nouveau poste de travail (raccourcis clavier, nouvelles façons de faire, nouvelles icônes, nouveaux services, nouveaux contacts) rassurera les utilisateurs débutants. Enfin, un sponsor par la direction à l’origine du projet (généralement la DSI ou équivalent) vous assurera un budget et vous facilitera la communication avec les comités de direction, mais vous demandera en retour un travail de reporting conséquent pour faire connaître aux "payeurs" l’avancée des déploiements, les risques de dérives s’ils existent, les difficultés rencontrées, les budgets consommés, etc.
10
Suivi du déploiement Deux types de suivi doivent être faits lors d’un projet de déploiement. Le premier concerne l’avancement, le respect des plannings, le nombre de machines délivrées, l’occupation des ressources, etc. Le deuxième est relatif à la gestion des incidents liés au projet et doit être traité avec une vigilance particulière.
1. Mesure de l’avancement L’avancement d’un projet peut se mesurer à l’aide d’une multitude de critères : jourshomme consommés, sommes dépensées par rapport au budget alloué, nombre de taches réalisées, jalons franchis, etc. Dans le cas d’un projet de déploiement, l’indicateur le plus pertinent est peutêtre celui du nombre de nouveaux postes déployés par rapport au nombre total d’anciens postes à remplacer. Mais pour connaître cet indicateur, encore fautil en maîtriser les composantes : combien de machines neuves ont été livrées au stock, combien sont en cours de préparation, combien sont hors service, combien d’utilisateurs n’ont pas été disponibles lors du rendezvous pour le remplacement, etc. La connaissance de ces éléments sousjacents implique que toutes les équipes du projet tiennent à jour leurs propres indicateurs, et vous les remontent régulièrement (quotidiennement ou au moins de manière hebdomadaire). L’utilisation de fiches pour la réception du matériel (sauf si cela est déjà géré par une application interne de stock ou d’immobilisations), pour la préparation des postes (nom de l’utilisateur final, applications particulières installées, particularités de la configuration) ainsi que pour la réception (PV de recette signé par l’utilisateur), vous permettra d’avoir un suivi de l’avancement des différentes étapes de votre déploiement. Compilés, ces chiffres donneront une vue détaillée du projet, et permettront également de connaître les causes d’une éventuelle dérive. La tenue d’un comité de pilotage hebdomadaire composé des chefs d’équipes et du chef de projet peut également permettre d’identifier rapidement les risques et de trouver un moyen de les adresser : absences de techniciens, fermeture temporaire de sites, grèves, problèmes d’approvisionnement, etc.
2. Organisation de la remontée d’incidents Lorsque le déploiement commencera, toutes les équipes devront être prêtes à traiter les premiers incidents (qui ne manqueront pas d’arriver), et éventuellement à corriger les problèmes qui n’auraient pas été identifiés lors du pilote et de l’homologation. Afin d’identifier les problèmes à temps et de les traiter au plus tôt, la remontée d’incidents doit être organisée et intégrée à tous les niveaux d’intervention : techniciens chargés du déploiement, personnel du support, ingénieurs systèmes ayant conçu le socle, maîtrise d’ouvrage l’ayant défini, etc. Même si l’entreprise est équipée d’un système de gestion des incidents ou des demandes dans lequel chaque utilisateur peut ouvrir un ticket, il peut être intéressant, pendant la phase de déploiement mais également à long terme, de mettre en place des utilisateurs référents (appelés parfois "correspondants informatiques"). Contacts privilégiés entre la DSI et les directions fonctionnelles, généralement à l’aise avec l’outil technologique, ces utilisateurs vous permettront d’avoir un point de centralisation des incidents communs à plusieurs utilisateurs, mais également d’obtenir des informations plus précises sur le problème rencontré, la procédure de reproduction, l’éventuel contournement trouvé, etc. De préférence intégrés aux phases pilotes, ces utilisateurs pourront servir de relais pour redescendre l’information lorsqu’une solution aux problèmes aura été trouvée. Une fois les incidents remontés au niveau du service informatique ou du groupe de projet, encore fautil qu’ils soient traités. Un comité de projet, regroupant par exemple le chef de projet, le responsable du support, la maîtrise d’ouvrage et la maîtrise d’œ uvre, peut se réunir régulièrement pour faire le point sur les incidents spécifiques au déploiement, détecter au plus tôt ceux nécessitant un traitement particulier ou une modification du socle, mettre en place et suivre les actions correctives nécessaires. La création de catégories spécifiques au projet dans le système de gestion des demandes ou des incidents permettra de suivre de manière plus précise ceux liés au projet, mais également de produire des statistiques précises lors du bilan de projet.
11
Bilan de projet Une réunion de fin de projet au cours de laquelle sera présenté le bilan de projet permet d’en tirer les enseignements, de faire le point sur les succès et les échecs, mais aussi d’ouvrir vers les évolutions à prévoir et d’autres projets connexes. Les critères potentiels d’évaluation du succès ou de l’échec d’un projet de déploiement sont nombreux, et pas toujours objectifs. Selon le point de vue du sondé, l’opinion sur le bilan du projet pourra aller du succès complet (les coûts de gestion ont été réduits, ce qui réjouit la direction financière et la DSI) au mécontentement le plus total (pour l’utilisateur qui ne peut plus installer son logiciel ou son fond d’écran favori). Néanmoins, certains critères peuvent permettre de tendre vers une évaluation la plus objective possible, et de dresser ainsi un bilan réaliste du projet. Parmi eux, figure la satisfaction utilisateur, les indicateurs de coûts et les statistiques sur les incidents générés par le projet.
1. Satisfaction utilisateur La satisfaction est par essence quelque chose de subjectif, dont toute tentative d’évaluation objective se heurte à la perception que chacun a d’un fait, d’une difficulté, d’un changement ou d’un doute. Cependant, l’utilisation de critères subjectifs ramenés à des notes chiffrées donne des indicateurs sur les tendances générales. La collecte de ces informations pourra se faire à travers une enquête de satisfaction menée par voie électronique plusieurs jours ou plusieurs semaines après la fin du déploiement, évitant ainsi les réactions épidermiques "à chaud". Parmi les critères possibles d’évaluation de la satisfaction utilisateur, vous pouvez utiliser par exemple la rapidité perçue du poste, l’usage fait des nouvelles fonctionnalités ou des nouveaux outils et leur adéquation aux besoins, la compréhension des nouvelles restrictions mises en place, la qualité de la communication autour du projet, la pertinence de la formation dispensée, le temps d’indisponibilité perçu, etc. Le calcul des moyennes et des écartstypes de ces critères vous donnera des éléments chiffrés et tangibles à présenter lors du bilan de projet.
2. Coûts En matière d’informatique, l’évaluation du coût d’un poste de travail est quelque chose de central pour toutes les DSI, mais dont il y a autant de définitions que d’interrogés. Certains ne vont y inclure que l’achat du matériel amorti sur x années, tandis que d’autres y incluront le matériel, la consommation électrique, les coûts de maintenance et de formation, l’impact sur la climatisation, le prorata de loyer par rapport à l’emplacement au sol du bureau, etc. Le calcul des coûts d’un projet de déploiement suit la même logique, et peut inclure les coûts des personnels internes ou externes nécessaires à la conception, la réalisation et l’homologation du socle, le coût des techniciens chargés du déploiement, de ceux du support, le coût du matériel et celui de la formation des utilisateurs. Plus difficile à calculer, le coût de l’indisponibilité éventuelle générée par le remplacement du poste peut également entrer en ligne de compte dans le bilan. Le bilan doit également faire apparaître à son actif les gains directs ou indirects générés par le projet : diminution de la consommation électrique grâce à un matériel moins gourmand et à un système d’exploitation optimisant la consommation du poste, diminution des coûts d’achats par la consolidation des fournisseurs, efficacité accrue des utilisateurs grâce à des outils plus performants, diminution des coûts de support et de maintenance grâce à un système d’exploitation plus fiable, etc.
3. Incidents Immanquablement, la question des incidents générés par le projet devra être abordée, d’autant plus si quelques VIPs ont rencontré des difficultés avec la prise en main de leur nouvel outil de travail. Si l’entreprise utilise un système informatisé de gestion des demandes ou des incidents, celuici pourra probablement produire des rapports sur le nombre d’incidents générés pendant le déploiement ; sur leur durée minimale, moyenne et maximale de résolution ; sur les catégories d’incidents les plus représentées, etc. Quelque temps après la fin du déploiement, il sera intéressant de réactualiser les rapports sur incidents et de les comparer à ceux générés pour une période antérieure au déploiement. Cette comparaison permettra de faire ressortir l’impact positif ou négatif du déploiement sur l’activité du support utilisateur et des équipes de production.
4. Évolutions
12
Comme nous l’avons vu au paragraphe consacré au cycle de vie du poste de travail, la fin du projet de déploiement n’est pas la fin de l’activité de l’équipe poste de travail, mais seulement un jalon marquant l’entrée dans la phase de support du socle nouvellement déployé. La fin annoncée du support d’un produit majeur par un éditeur, la sortie d’un nouveau système d’exploitation plus performant, l’évolution des besoins des utilisateurs et de ceux de l’entreprise : ces éléments doivent être anticipés et annoncés lors du bilan pour prévoir le travail futur de l’équipe. D’autre part, le remplacement du poste de travail peut également être l’occasion d’ouvrir vers de nouvelles solutions informatiques et de pousser, par exemple, l’intégration de la téléphonie et de l’informatique à travers la messagerie unifiée ; de réfléchir à des solutions de mobilité pour les utilisateurs nomades ; de travailler sur la virtualisation du poste de travail et des applications…
13
Résumé À travers ce chapitre, nous avons vu les éléments principaux du cycle de vie du poste de travail en entreprise, le travail de préparation et de suivi d’un projet de déploiement, ainsi que le bilan à dresser à l’issue de celuici. Les éléments proposés ici ne sont cependant que des pistes qu’il vous faudra adapter aux réalités et aux contraintes de votre entreprise. Dans le chapitre suivant, nous verrons comment choisir une solution de déploiement en fonction des contraintes de votre environnement et de votre projet.
14
Présentation du contexte Le concepteur du poste de travail d’une entreprise doit bien sûr sélectionner avec attention le système d’exploitation, les applications et les outils à y intégrer, mais également anticiper la façon dont ce poste sera mis à disposition aux utilisateurs. À l’heure où les capacités des réseaux informatiques sont telles que la question d’un déploiement par un autre biais que le réseau puisse sembler incongrue, l’expérience montre que de nombreux scénarios de déploiement nécessitent un traitement particulier et ne peuvent se satisfaire de cette solution en apparence universelle. À travers la présentation et l’étude des déploiements par réseau, puis par médias, nous verrons quels sont les avantages et les inconvénients de chacune des solutions ou des deux combinées. D’autre part, un résumé de l’apport des solutions de virtualisation dans un projet de déploiement sera présenté ainsi que les différentes possibilités de gestion et de migration des données utilisateurs.
15
Déploiements par réseau Cette méthode consiste à faire amorcer les postes de travail sur le réseau grâce au protocole PXE et à faire transiter l’ensemble des sources du système d’exploitation et des applications, rendant ainsi caduc l’emploi de disquettes, CD Rom ou DVDRom. Lorsque les capacités de l’ensemble des réseaux de l’entreprise le permettent, un déploiement par réseau est la méthode apportant le plus de flexibilité, tout en offrant une relative sécurité. Elle vous affranchit de la gestion de médias amovibles physiques, avec leur lot de défauts (durabilité, fragilité, gestion de versions) et vous permet de gérer en un point central les sources de votre déploiement. D’autre part, elle vous permet d’éviter le vol et la divulgation d’informations, en hébergeant en un endroit sécurisé les éléments nécessaires au déploiement (clés de licences, applications maison, nom et mot de passe d’utilisateur, etc.). Enfin, dans le cas d’une gestion entièrement automatisée du cycle de vie du poste, le déploiement par réseau est le seul à pouvoir garantir un processus sans aucune intervention humaine. Tous les postes de travail de moins de 10 ans disposent normalement de cette fonctionnalité, souvent désactivée par défaut au niveau du BIOS de la machine.
1. Architectures types Que ce soit dans le cas d’une entreprise monosite ou multisite, l’architecture contiendra au minimum les trois rôles fonctionnels suivants : un serveur DHCP permettant la configuration réseau dynamique des postes de travail et leur orientation vers le serveur de déploiement ; un serveur de déploiement chargé de télédistribuer le socle du poste de travail, les applications et les mises à jour de sécurité ; et un contrôleur de domaine responsable de la sécurité de l’ensemble. Les postes déployés peuvent être des fixes ou des nomades, dès lors qu’ils sont raccordés au réseau local de l’entreprise via une connexion à 10 Mbits/s au minimum (100 Mbits/s sont recommandés). Pour déployer plusieurs postes simultanément, il peut être intéressant de mettre en œ uvre la technologie multicast, de manière à ne diffuser qu’une seule fois les paquets sur le réseau, et non de créer un flux pour chaque poste. Cette technologie est disponible en standard avec les serveurs de déploiement Windows 2008. Les différents éléments (serveurs et postes) doivent être interconnectés via un ou plusieurs concentrateurs réseau capables de fournir la bande passante nécessaire à plusieurs déploiements en parallèle, ainsi qu’à l’activité habituelle des autres utilisateurs (bande de passante dite de fond de panier des équipements de routage et de commutation).
a. Architecture monosite L’architecture est dite "monosite" lorsque l’ensemble des postes à déployer est regroupé sur un même réseau logique disposant de capacités identiques en tous points. Cette architecture est la plus simple et correspond généralement à des entreprises de moins de 300 salariés. Une entreprise multisite, mais dont l’architecture et les capacités du réseau informatique offre un niveau et une qualité de service constants en tous points, peut être assimilée à une architecture monosite.
16
Architecture de déploiement monosite
b. Architecture multisite L’architecture "multisite" correspond aux entreprises disposant d’un site principal et d’au moins un site secondaire ne pouvant être assimilés à un seul réseau logique unique, soit parce que le niveau de service n’est pas le même, soit parce que la connectivité réseau entre les deux sites n’est pas suffisante pour déployer les postes du site secondaire directement depuis le site principal. Cette architecture met en œ uvre un rôle fonctionnel supplémentaire sur le site secondaire : le serveur relais de déploiement. Celuici dispose d’un réplica local des fichiers nécessaires au déploiement des postes de ce site. L’accès des postes aux fichiers nécessaires au déploiement pourra se faire soit via un système de fichiers distribués tels que Microsoft Distributed File Services (DFS), intégré à Windows Server, et fournissant des mécanismes de réplication avancée entre le site principal et les sites secondaires, soit via une configuration du déploiement spécifique à chaque site.
17
Architecture de déploiement multisite
2. Déroulement Ce type de déploiement utilise le protocole PXE, qui est pour simplifier un agrégat des protocoles réseaux DHCP et TFTP, permettant la configuration et l’amorçage initial du poste sur le réseau. Ensuite, selon la solution logicielle utilisée, des protocoles de transfert de fichiers tels que SMB ou CIFS sont mis en œ uvre pour copier les sources du système d’exploitation et des applications du serveur vers le poste. Dans le cas d’un poste neuf ou d’un poste dont le système d’exploitation n’est plus opérationnel, le déroulement d’un déploiement par réseau est le suivant : 1. Au démarrage (et s’il est configuré pour cela dans son BIOS), le poste envoie une requête DHCP en diffusion générale sur le réseau pour demander une adresse IP. Le serveur (ou le relais) DHCP du site lui fait une offre de bail, que le poste accepte. Outre l’adresse IP, le masque et l’adresse de passerelle par défaut, la réponse du serveur DHCP contient également l’adresse réseau du serveur de déploiement et le nom du programme de démarrage à télécharger sur celuici. 2. Le poste télécharge en TFTP le programme indiqué dans les options du bail DHCP et l’exécute. En fonction de la
18
configuration du serveur de déploiement, le programme téléchargé indique au poste soit de démarrer sur le prochain périphérique disponible dans l’ordre du BIOS (dans le cas où aucune action de déploiement n’a été prévue), soit initie le téléchargement d’une image complète d’amorçage (Windows PE, par exemple). 3. L’exécution de cette image d’amorçage puis du programme d’installation permet de disposer d’un environnement de déploiement complet, grâce auquel le serveur de déploiement va fournir les fichiers sources du système d’exploitation, des applications et des outils. La création d’un compte d’ordinateur pour le poste en cours de déploiement peut être réalisée par le serveur de déploiement ou par le poste luimême. Dans le cas d’un poste existant déjà géré par un système de déploiement, un agent logiciel est généralement installé sur les postes et peut assurer, outre la télédistribution d’applications, la migration des postes vers un autre système d’exploitation à l’initiative du système central de déploiement. Dans ce cas, l’agent ou l’image d’amorçage peut assurer une sauvegarde des données utilisateur ainsi que leur restauration, une fois le nouveau système d’exploitation installé. Le déploiement ou la réinstallation du poste par réseau peut également permettre de laisser le choix à l’utilisateur du meilleur moment pour ces actions souvent longues et immobilisantes.
3. Avantages et inconvénients Avantages
Inconvénients
●
Automatisation complète possible.
●
Absence de médias physiques à gérer.
●
Sécurisation des sources d’installation.
●
Réplication automatique entre plusieurs sites.
●
●
●
Le déploiement de plusieurs postes en parallèle, s’il n’est pas fait en multicast, sollicite fortement les équipements réseau. Nécessite une connexion au réseau. Nécessite un ou plusieurs serveurs de déploiement disponibles pour transférer les sources d’installation.
Le déploiement par réseau se présente donc comme une solution nécessitant une infrastructure conséquente et un réseau performant, mais offrant un haut degré de service aux utilisateurs et aux administrateurs.
4. Cas typiques d’utilisation Cette solution de déploiement est préconisée dans plusieurs cas typiques : ●
●
●
●
Lorsque l’entreprise est répartie sur plusieurs sites mais ne dispose pas de personnel informatique à même de réaliser un déploiement dans chacun d’eux. Le déploiement pourra alors être initié depuis le site central. Le service informatique souhaite automatiser au maximum les procédures de déploiement et de migration, de manière à assurer une qualité constante de la procédure et à sécuriser les informations nécessaires au déploiement. Le socle du poste de travail évolue fréquemment, les utilisateurs ou le service informatique souhaitent pouvoir diffuser rapidement la dernière version. Les utilisateurs sont autonomes (population d’informaticiens, de développeurs) et souhaitent pouvoir réinstaller leurs postes de travail à leur propre initiative.
19
Déploiements par médias Utilisée principalement avant l’avènement des réseaux informatiques à haut débit dans les entreprises, cette méthode consiste à distribuer sur des médias amovibles (CDRom, DVDRom, clé USB) l’environnement de déploiement ainsi que les sources du système d’exploitation et des applications à installer. Ces dernières peuvent être incluses dans un fichier image monolithique, contenant à la fois le système d’exploitation et les applications déjà préinstallées. Une image ISO est réalisée depuis le serveur de déploiement puis gravée en plusieurs exemplaires, avant distribution auprès des techniciens chargés du déploiement.
1. Architecture type Dans le cas d’un déploiement par médias, les postes peuvent être installés de manière entièrement déconnectée du réseau, ne nécessitant ainsi aucune infrastructure particulière. Cependant, l’entreprise dispose la plupart du temps d’un domaine Active Directory auquel les postes doivent être intégrés pour accéder aux ressources partagées, et si une configuration réseau manuelle est possible jusqu’à une dizaine de postes, l’usage d’un serveur DHCP pour les configurer automatiquement est presque obligatoire audelà. Pour représenter ces deux fonctions quasiment obligatoires, le schéma d’architecture contient, sur le site principal, un serveur DHCP ainsi qu’un contrôleur de domaine.
Architecture de déploiement par médias
20
2. Déroulement Ce scénario de déploiement permet lui aussi de répondre aux deux situations décrites dans le déroulement d’un déploiement par réseau. Dans le cas d’un poste neuf ou d’un poste dont le système d’exploitation n’est plus opérationnel, le déroulement d’un déploiement par médias est le suivant : 1. Le technicien démarre le poste et insère le média d’installation dans le lecteur de médias amovibles. 2. Le poste amorce sur ce média et charge l’environnement d’installation (Windows PE par exemple). 3. Le programme d’installation s’exécute et déroule la procédure prévue, automatisée ou non en fonction des choix de l’équipe de conception. Le média contient les sources du système d’exploitation et des applications avec leurs clés de licence. 4. Le technicien récupère le média d’installation, une fois celleci terminée. Si le média d’installation est inséré alors qu’un système d’exploitation est en cours d’exécution, le programme d’installation peut commencer à s’exécuter au sein de celuici, copier les fichiers nécessaires puis redémarrer automatiquement le poste.
3. Avantages et inconvénients Avantages ●
●
Inconvénients
Pas d’infrastructure particulière nécessaire.
●
Compatible avec les postes déconnectés du réseau.
●
●
●
●
Ne peut être entièrement automatisé. Gestion contraignante des médias et de leurs différentes versions. Diffusion de médias pouvant contenir des informations sensibles sur la sécurité informatique de l’entreprise. Un déploiement simultané nécessite autant de médias que de postes. Faibles performances des médias amovibles lors du transfert de fichiers.
Le déploiement par médias est donc une solution rapide à mettre en œ uvre mais présentant des risques sur la sécurité de l’information et des inconvénients logistiques. D’autre part, l’intervention d’un opérateur à chaque installation ou réinstallation est une contrainte importante qui doit être prise en compte.
4. Cas typiques d’utilisation Malgré ses inconvénients, cette solution de déploiement peut cependant convenir dans les cas suivants : ●
●
●
Lorsque l’entreprise ne dispose pas d’un réseau informatique suffisamment performant pour assurer un déploiement par réseau en un temps acceptable. Lorsque les administrateurs informatiques ne souhaitent pas mettre en œ uvre de nouvelles fonctionnalités réseau ou de nouveaux serveurs. Si certains utilisateurs nomades ne reviennent jamais au siège et ne sont jamais connectés à l’entreprise via un réseau d’un débit suffisant pour permettre un déploiement par réseau.
21
Déploiements mixtes La stratégie de déploiement mixte met en œ uvre les technologies réseau présentées précédemment ainsi que les médias amovibles. Elle utilise un média amovible (CDRom, DVDRom ou clé USB) pour l’amorçage du poste et l’exécution du programme d’installation, puis le réseau pour le transfert des fichiers ou de l’image de référence. Elle procure la souplesse de la centralisation des fichiers d’installation, tout en évitant la mise en œ uvre des services réseau PXE et TFTP.
1. Architecture type L’architecture nécessaire à un déploiement mixte s’apparente à celle d’un déploiement par réseau, à la différence près que le serveur de déploiement (qui servait les requêtes TFTP) est ici remplacé par un serveur de fichiers classique. Dans la mesure où le média d’amorçage ne contient que le programme d’amorçage et l’environnement d’installation (l’essentiel de la configuration du déploiement est stocké sur le serveur de fichiers), les évolutions du média sont rares et sa distribution auprès des opérateurs est épisodique. Une entreprise considérée comme multisite souhaitant utiliser un mode de déploiement mixte devra implémenter un serveur de fichiers dans chacun de ses sites.
Architecture de déploiement mixte
2. Déroulement Le déroulement d’un déploiement mixte est très proche du déploiement par médias : 1. Le technicien démarre le poste et insère le média d’amorçage dans le lecteur de médias amovibles. 2. Le poste amorce sur ce média et charge l’environnement d’installation (Windows PE, par exemple). 3. Le programme d’installation s’exécute et, après authentification, se connecte au partage de fichiers du serveur pour transférer, en SMB ou CIFS, les sources du système d’exploitation et des applications.
22
4. Le technicien récupère le média d’amorçage une fois l’installation terminée.
3. Avantages et inconvénients Avantages ●
Pas d’infrastructure particulière nécessaire.
●
Sécurisation des sources d’installation.
●
Inconvénients ●
Réplication automatique des sources entre plusieurs sites.
●
●
●
Le déploiement de plusieurs postes en parallèle, s’il n’est pas fait en multicast, sollicite fortement les équipements réseau. Nécessite une connexion au réseau. Nécessite un ou plusieurs serveurs de fichiers disponibles pour transférer les sources d’installation. Un déploiement simultané nécessite autant de médias que de postes.
Ce mode de déploiement est donc aisé à mettre en œ uvre, offre une gestion facilitée, mais ne convient pas aux postes déconnectés.
4. Cas typiques Parmi les entreprises où ce mode de déploiement convient, on peut citer : ●
●
Les entreprises où la fourniture d’un service PXE aux postes de travail n’est pas possible (règles de sécurité, pas de DHCP, parefeu, etc.). Les sites où l’installation d’un nouveau serveur n’est pas envisageable, mais où un serveur de fichiers est présent (problème de place, de budget, de personnel).
23
Intégration en usine Les principaux constructeurs d’ordinateurs proposent désormais un programme d’intégration en usine du master poste de travail de leurs clients. Les programmes CFI de Dell et Factory Express de HewlettPackard en sont deux exemples. Ce type de programme permet, moyennant quelques euros par poste, de faire installer votre propre socle sur le disque dur du poste de travail lors de sa fabrication en usine, et de vous faire ainsi gagner du temps lors de sa réception. D’autre part, l’intégration en usine du master permet de livrer les machines directement dans des sites distants sans avoir à les faire transiter par le service informatique du siège pour les préparer (avec un gain substantiel de temps et d’argent sur la logistique). Après réception de votre socle en usine, le fabricant met généralement à votre disposition un environnement de test accessible à distance, vous permettant de qualifier et valider le socle, avant son intégration sur vos futurs postes. Le fabricant peut également vous proposer de nommer directement les machines selon votre convention de nommage, en utilisant un pool de noms que vous lui fournirez via un fichier texte ou un service Web.
24
Apport des solutions de virtualisation Technologie en plein essor, la virtualisation apporte à l’informatique flexibilité et consolidation des ressources. Dans le cadre d’un déploiement, il est intéressant de se pencher sur ce qu’elle peut apporter à l’entreprise, si celleci ne l’a pas encore mise en œ uvre. Il faut cependant distinguer au sein de la virtualisation ce qui pourrait être résumé à un déport d’affichage "évolué" de la véritable virtualisation matérielle ou applicative, qui consiste à isoler l’exécution d’une application par rapport à la machine hôte. Ces solutions de virtualisation, seules ou combinées entre elles, peuvent être une réelle orientation stratégique de l’informatique de l’entreprise ou simplement un moyen de résoudre des besoins spécifiques.
1. Clients légers et applications déportées L’utilisation de clients légers et d’environnements permettant le déport d’applications, tels que Microsoft Terminal Server ou Citrix XenApp, permet de s’affranchir du déploiement et de la gestion sur les postes de travail des applications. Grâce à un client matériel (un terminal ultraléger) ou logiciel (client Microsoft Remote Desktop Connection ou Citrix XenApp Plugin), l’utilisateur accède à un bureau Windows ou à une application exécutée sur un serveur distant. Le serveur va exécuter le code applicatif, calculer le rendu des interfaces graphiques et renvoyer au client le résultat à travers le réseau, de manière optimisée (la bande passante utilisée est de l’ordre de quelques dizaines de kilooctets par seconde). Les applications exécutées sur un même serveur se partagent les ressources (mémoire, CPU) mais restent isolées entre elles du point de vue de la sécurité. Une telle solution a de nombreux avantages : les applications n’ont plus à être déployées sur des centaines ou des milliers de postes, mais seulement sur quelques fermes de serveurs ; les applications sont exécutées sur des serveurs proches des bases de données de l’entreprise, ce qui permet d’utiliser des applications de type client/serveur même lorsque l’utilisateur dispose d’une connexion à faible débit ; les données des utilisateurs et des applications ne sont plus stockées en local sur les postes, mais sur des serveurs sauvegardés régulièrement, rendant très aisé le remplacement d’un poste de travail par un autre ou le nomadisme d’un utilisateur. En revanche, elle nécessite des compétences particulières pour son installation, son administration et son optimisation. D’autre part, ce type de solution rend possible l’accès au bureau virtuel ou aux applications depuis des postes non maîtrisés, via des canaux externes sécurisés de type portail Web et VPN SSL (cas du télétravailleur ou d’un partenaire externe).
Architecture d’accès en client léger
2. Virtualisation du poste utilisateur La virtualisation du poste de travail consiste à fournir, à l’utilisateur, une machine virtuelle dédiée au sein de laquelle sont installés un système d’exploitation et des applications. Cette machine virtuelle est hébergée sur une infrastructure de virtualisation composée d’un hyperviseur et d’un stockage (SCSI, iSCSI, NFS, SAN). L’hyperviseur va
25
gérer le partage des ressources de l’hôte physique (CPU, RAM, I/O) entre toutes les machines virtuelles qu’il exécute, tout en s’assurant du cloisonnement au plus bas niveau des machines entre elles. Dans chaque machine virtuelle est installé un agent logiciel qui va permettre la connexion de l’utilisateur depuis un client lourd (PC classique) ou un client léger (terminal Wyse). Le cœ ur du dispositif est un serveur intermédiaire appelé broker, qui gère l’association entre les utilisateurs et les machines virtuelles pour attribuer, selon la stratégie mise en place, soit une machine virtuelle au hasard lorsque cellesci sont toutes identiques et neutres, soit toujours la même machine pour un utilisateur donné. Le broker a également la tâche de piloter les machines virtuelles (arrêt, démarrage, reset) et de déployer des machines à la demande, à partir d’un modèle, lorsqu’un utilisateur se connecte et qu’aucune machine n’est disponible. Deux solutions de broker sont aujourd’hui leaders sur ce marché, Citrix XenDesktop et VMware View. Bien que chacun des éditeurs dispose de son propre hyperviseur (XenServer pour Citrix et vSphere pour VMware), il est possible d’en utiliser un tiers, comme Microsoft HyperV (la comptabilité avec l’hyperviseur doit être vérifiée dans la documentation du broker). D’une part, selon la solution retenue, les performances et les fonctionnalités ne sont pas identiques d’une part, et d’autre part, la prise en compte des infrastructures, des produits existants et des compétences disponibles dans l’entreprise est un critère déterminant dans le choix de la solution. La solution Citrix permet par exemple de bénéficier des chaînes d’accès existantes de l’éditeur (Web Interface, VPN SSL, client logiciel) pour mettre à disposition des utilisateurs les machines virtuelles. De telles solutions peuvent apporter des gains importants lorsque le poste est très standardisé et que les données ne sont pas stockées localement (utilisation de profils utilisateurs errants). À partir d’un modèle de machine virtuelle comprenant le système d’exploitation et les applications, les machines virtuelles sont déployées presque instantanément lors de la connexion des utilisateurs, puis supprimées à la déconnexion. Ce type de fonctionnement diminue fortement l’espace de stockage nécessaire (seul le modèle occupe une place importante et permanente) et permet une mise à jour régulière du modèle (mises à jour des logiciels, application des correctifs de sécurité, etc.).
Architecture de virtualisation du poste de travail
3. Virtualisation d’application La virtualisation d’application s’apparente à une isolation de l’application visàvis de la machine physique et du système d’exploitation. L’application virtualisée est exécutée par le processeur du poste de travail, mais une couche intermédiaire assure l’isolement et la compatibilité avec le système d’exploitation, on parle alors de "bulle applicative". Grâce à cette bulle, des versions incompatibles avec l’OS peuvent être exécutées, de même que plusieurs versions d’un même logiciel habituellement incompatibles entre elles. Les applications sont généralement packagées grâce à un outil spécialisé lié à la solution retenue. Ce package peut ensuite soit être déployé en intégralité sur les postes grâce à un outil de télédistribution, soit envoyé au fur et à mesure de l’exécution du code applicatif, en fonction des besoins fonctionnels, lorsque l’utilisateur fait appel à un module de l’application qui n’était pas encore chargé, comme le correcteur orthographique d’un traitement de texte par exemple. On parle alors de streaming applicatif. Les produits Microsoft AppV (exSoftgrid) et VMware ThinApp, bien que légèrement différents dans le mode de distribution des packages, sont les leaders du marché de la virtualisation d’application.
26
Cette solution est particulièrement adaptée pour résoudre des problèmes de compatibilité lors de la migration d’un système d’exploitation, ou pour conserver des postes de travail vierges de toute installation applicative.
Architecture de virtualisation d’application
27
La gestion des données utilisateur On entend par "données utilisateur" les fichiers générés automatiquement par les applications (fichiers de configuration par exemple), les documents créés par l’utilisateur, les favoris du navigateur Web, les fichiers d’archive de la messagerie, les raccourcis du bureau, etc. Ces données représentent parfois une quantité de travail importante de la part de l’utilisateur, et sont souvent un moyen pour lui d’optimiser son travail. Leur conservation, lors du déploiement d’un nouveau poste de travail, est essentielle pour assurer la satisfaction des utilisateurs et garantir une bonne acceptation du projet. Malheureusement, cette conservation dépend de la façon dont ces données sont gérées sur le poste et dans l’entreprise, en cas de stockage local notamment.
1. Stockage local Le stockage local des données est la solution la plus simple en apparence, ne faisant intervenir aucune infrastructure particulière : chaque poste conserve les données des utilisateurs qui s’y sont connectés. Par défaut, Microsoft Windows enregistre ces données dans un répertoire individuel local créé pour chaque utilisateur de la machine : le répertoire de profil. On parle alors de profil local. Ce profil va contenir les documents de l’utilisateur, ses favoris, son répertoire temporaire, le fichier de cache de la messagerie, les fichiers temporaires du navigateur Web, sa base de registre personnelle, etc. De Windows 95 à Windows XP, ces répertoires de profils étaient créés dans l’arborescence Documents and Settings de la partition système. Depuis Windows Vista, cette arborescence a été renommée en Users. Bien que le comportement par défaut des systèmes d’exploitation Windows soit de stocker les profils sur la partition système, il est possible de rediriger la création de sousdossiers particuliers tels que Mes Documents, Mes Images ou Application Data vers d’autres chemins, sur une autre partition par exemple. Un usage pertinent de ces redirections peut permettre de simplifier la conservation des données utilisateur en cas de reformatage de la partition système. Avantages ●
Inconvénients
Pas d’infrastructure particulière nécessaire.
●
●
●
Forte adhérence entre l’utilisateur et son poste de travail, peu de mobilité possible d’un poste à un autre. Processus de migration rendu plus difficile par la présence de données locales. Mise en place d’une sauvegarde des postes nécessaire pour permettre la restauration de données.
Cette solution se présente donc comme une solution à moindre coût mais dont le niveau de service est faible et le risque de perte de données important. Elle est souvent celle retenue par les entreprises de moins de 20 salariés.
2. Stockage centralisé Que ce soit par la mise en place de profils errants ou par celle de répertoires individuels (home directories en anglais), le stockage des données utilisateur sur des serveurs de fichiers centralisés permet aux utilisateurs de retrouver leurs informations et leur environnement lorsqu’ils changent de poste, que ce soit à l’occasion d’une migration ou d’un nomadisme au sein de l’entreprise. Le principe de fonctionnement des profils errants est de recopier, à l’ouverture de session de l’utilisateur, les données stockées sur le serveur vers le poste de travail. L’utilisateur modifie ses données au cours de sa session, puis cellesci sont recopiées du poste vers le serveur lors de la fermeture de session. Par défaut, la copie locale des données est conservée sur le poste, permettant un usage nomade hors du réseau et fournissant une tolérance aux éventuelles pannes du serveur de profils. Le système d’exploitation peut également proposer une fonctionnalité de synchronisation automatique entre le serveur et le poste d’autres dossiers, tels que les répertoires individuels ou le répertoire commun de travail. En plus de la synchronisation à l’ouverture et à la fermeture de session, l’utilisateur peut en déclencher une manuellement au cours de son activité. Avantages
Inconvénients
28
●
●
●
Sauvegarde assurée à partir d’un point central.
●
Remplacement ou migration du poste facilité par l’absence de données locales à sauvegarder.
●
Nécessite une infrastructure centrale de stockage des données. Ralentit les ouvertures et fermetures de session.
Nomadisme possible au sein de l’entreprise.
Au prix d’investissements sur l’infrastructure, le stockage centralisé sécurise les données utilisateur, facilite les migrations et reste compatible avec l’usage nomade. Cette solution est adaptée aux entreprises dont les collaborateurs sont amenés à bouger fréquemment de site en site.
3. Migration Quel que soit le mode de stockage utilisé, la procédure de migration utilisée lors du déploiement devra prendre en compte les données utilisateur présentes sur le poste, même lorsque celuici n’est pas sensé en contenir. Il n’est en effet pas rare qu’un utilisateur, même s’il dispose d’un répertoire individuel sur le réseau et d’un profil errant, ait créé sur le disque local un dossier dans lequel il stocke des documents de travail ou privés. Pour faciliter cette prise en compte, les solutions de déploiement fournissent généralement des outils permettant une recherche exhaustive sur tout le disque ou dans des endroits précis, et sauvegardant sur un emplacement central temporaire l’ensemble des documents répondant aux critères définis : fichiers Word et Excel stockés dans C:\Privé uniquement, par exemple. Dans le kit de déploiement de Windows 7, Microsoft fournit un utilitaire nommé User State Migration Tool (USMT) qui remplit ce rôle de recherche, de sauvegarde, puis de restauration des données locales. Selon le scénario de déploiement retenu (nouveau poste, remplacement ou mise à jour), USMT pourra copier vers un serveur les données, ou utiliser des hard links et conserver les fichiers sur le poste pour gagner du temps.
29
Conclusion Le choix d’une solution de déploiement doit se faire après examen des contraintes de l’entreprise et des ressources humaines et techniques dont elle dispose. Que ce soit par réseau ou par média, un choix éclairé assurera un bon déroulement du projet. Le reste de ce livre traitera davantage des déploiements par réseau, solution plus moderne et offrant davantage de possibilités. À ce titre, le chapitre suivant est consacré à Windows Deployment Services, le serveur de déploiement par réseau proposé en standard par Windows 2008 Server.
30
Présentation et prérequis Les Services de Déploiement Windows (Windows Deployment Services ou WDS en anglais) sont la brique essentielle du déploiement de systèmes d’exploitation Microsoft par réseau. Evolution des Services d’Installation à Distance (Remote Installation Services ou RIS en anglais), apparus avec Windows 2000 Server, ils supportent les nouvelles fonctionnalités de déploiement des systèmes d’exploitation Windows Vista, Windows 7 et Windows Server 2008, mais conservent une compatibilité avec Windows XP et Windows Server 2003. Apportés par le Service Pack 2 de Windows 2003 (version normale et R2) ainsi que par Windows Server 2008, ils sont également disponibles sous forme d’une mise à jour indépendante pour les ordinateurs exécutant Windows Server 2003 SP1. Cette mise à jour fait partie du Windows Automated Installation Kit (WAIK), téléchargeable gratuitement depuis le site de Microsoft à l’adresse http://go.microsoft.com/fwlink/?LinkId=136976 Par rapport aux RIS, les WDS apportent les fonctionnalités suivantes : ●
Amorçage de l’installation sur un Windows PE graphique
●
Support du format Windows Image (WIM)
●
Gestion des serveurs WDS via la console Microsoft Management Console (MMC)
●
Utilitaire en ligne de commande de configuration du serveur WDS
Le déploiement par réseau avec WDS fait appel à la technologie Preboot eXecution Environment (PXE) d’Intel, qui se base sur les protocoles Dynamic Host Configuration Protocol (DHCP) et Trivial File Transfer Protocol (TFTP). Le processus d’amorçage par réseau avec PXE et WDS peut être résumé en 4 phases : 1. Envoi d’une requête DHCP par le client pour l’obtention d’une adresse IP et des informations nécessaires à l’amorçage (adresse du serveur TFTP, nom du programme d’amorçage à télécharger) 2. Réponse du serveur DHCP avec une offre de bail, acceptation du bail par le client et confirmation par le serveur 3. Connexion du client au serveur TFTP puis téléchargement et exécution d’un programme d’amorçage (pxeboot.com par exemple) 4. Choix d’une image de démarrage puis téléchargement et exécution locale de cette image (Windows PE 3.0 par exemple) PXE autorise les services DHCP et TFTP à être installés sur deux serveurs différents, de manière à pouvoir s’inscrire sans perturbation dans une infrastructure réseau existante. Un paramétrage supplémentaire du serveur DHCP est dans ce cas nécessaire pour rediriger les clients vers le serveur TFTP. Windows 7 utilise un environnement d’installation nommé Windows Preinstallation Environment (PE), en version 3.0. Il s’agit d’une version allégée de l’OS, prenant en charge un nombre restreint de matériels, qui servira de support à l’assistant d’installation du système d’exploitation complet. Windows PE 3.0 est contenu dans le fichier \sources\boot.wim disponible sur le DVD du système d’exploitation. Il faut distinguer les images de démarrage, qui servent à lancer un client de déploiement, des images d’installation, qui représentent le système d’exploitation effectivement déployé. Quelle que soit la version du système d’exploitation sur lequel il est installé, les WDS ne peuvent s’exécuter que sur un ordinateur membre ou contrôleur d’un domaine Active Directory, il est impossible de les utiliser sur un serveur en mode groupe de travail.
1. Spécificités de Windows Server 2003 La version Windows 2003 des WDS permet d’assurer une transition depuis RIS, en supportant 3 modes de fonctionnement : ●
●
●
Mode hérité : l’administration se fait via l’interface RIS classique, les déploiements RISETUP et RIPREP sont supportés, l’amorçage se fait sur OSChooser. Mode mixte : identique au mode hérité, mais ajoute la possibilité d’amorcer sur Windows PE, les images WIM sont supportées et s’administrent par la console MMC. Mode natif : amorçage obligatoire sur Windows PE, seules les images WIM sont supportées, l’administration se © ENI Editions - All rigths reserved - Kaiss Tag
31
- 1-
fait uniquement par la console MMC. Si les modes hérité et mixte sont les seuls à permettre l’installation de Windows XP et Windows 2003 à l’aide d’un fichier de réponse (mode unattended), il est cependant possible de continuer à déployer ces systèmes d’exploitation avec un WDS en mode natif, mais en réalisant une image WIM d’un poste type préparé avec l’utilitaire Sysprep (voir la section Capture et déploiement d’une image de référence).
2. Spécificités de Windows Server 2008 Sur Windows Server 2008, les Services WDS se présentent sous la forme d’un rôle optionnel qu’il faut installer soit par l’assistant d’ajout de rôles du gestionnaire de serveur, soit par l’utilitaire en ligne de commande ocsetup.exe. Ce rôle est composé de deux services : ●
●
Serveur de déploiement, qui prend en charge le protocole PXE, la gestion des images WIM au sein d’un magasin et les outils de gestion du serveur. Serveur de transport, pour la prise en charge des fonctionnalités réseau et multicast.
Seul le mode natif de WDS est disponible sous Windows Server 2008.
- 2-
© ENI Editions - All rigths reserved - Kaiss Tag
32
Mise en place de WDS L’installation et la configuration de WDS présentées ici se font sur un serveur Windows Server 2008 nommé wds2k8, ayant pour adresse IP 10.0.0.1, contrôleur du domaine fictif lab.com, sur lequel le rôle DHCP est déjà activé et configuré. Le serveur dispose de deux partitions, C: et D:, d’une taille respective de 16 et 32 Go, formatées toutes deux en NTFS. Les fichiers nécessaires pour les déploiements seront stockés sur la partition D:. Une étendue DHCP IPv4 est configurée avec les paramètres suivants : ●
Pool d’adresses : de 10.0.0.10 à 10.0.0.20, masque 255.0.0.0
●
Options de serveur : ●
006 Serveur DNS : 10.0.0.1
●
015 Nom de domaine : lab.com
Dans notre exemple, l’administrateur du domaine se nomme administrateur et utilise le mot de passe P@ssw0rd (P, arobase, s, s, w, zéro, r, d).
1. Installation des composants L’installation du rôle Windows Deployment Services sur Windows 2008 peut se faire soit par l’assistant habituel d’ajout de rôles, soit en ligne de commande. Pour cela : ■
Ouvrez une session disposant des droits d’administration locale du serveur.
■
Exécutez le Gestionnaire de serveur.
■
Cliquez sur Ajoutez des rôles.
■
Cliquez sur Suivant si l’écran Avant de commencer apparaît.
■
Sélectionnez le rôle Services de déploiement Windows.
33
Sélection du rôle à installer
■
Cliquez sur Suivant deux fois.
■
Sélectionnez les services Serveur de déploiement et Serveur de transport.
34
Sélection des services du rôle
■
Cliquez sur Suivant.
■
Cliquez sur Installer.
■
Lorsque l’installation est terminée, cliquez sur Fermer.
Rapport d’installation
Pour installer le rôle Windows Deployment Services en ligne de commande, utilisez la commande : ocsetup.exe Microsoft-Windows-Deployment-Services
2. Configuration du serveur ■
Ouvrez la console Services de déploiement Windows.
35
Console d’un serveur WDS non configuré
■
■
Faites un clic droit sur le nom du serveur et sélectionnez Configurer le serveur, l’assistant de configuration du serveur WDS s’affiche. Cliquez sur Suivant.
Le serveur WDS impose que les images des systèmes d’exploitation qui seront distribués soient stockées sur une partition NTFS. Il est recommandé de stocker ces images sur une autre partition que celle utilisée par le système. Cette étape permet d’indiquer l’emplacement de stockage.
■
Entrez le chemin D:\RemoteInstall.
36
Emplacement de stockage des images
■
Cliquez sur Suivant.
■
Cochez les cases Ne pas écouter sur le port 67 et Configurer l’option DHCP 60 avec la valeur « PXEClient ».
Configuration des options DHCP
■
Cliquez sur Suivant.
37
■
Sélectionnez Répondre à tous les ordinateurs clients (connus et inconnus), sans cocher la case Pour les clients inconnus, informer l’administrateur et répondre après accord.
Configuration du mode de réponse
■
Cliquez sur Terminer.
Les choix à effectuer sur l’écran Option DHCP 60 dépendent de l’architecture mise en place : si le service DHCP s’exécute déjà sur le serveur sur lequel vous souhaitez installer WDS (le cas présent), le port UDP 67 est déjà utilisé, et WDS doit être configuré pour ne pas écouter les requêtes sur ce port. L’option DHCP 60 PXEClient est une option nécessaire à rajouter dans la configuration du serveur DHCP (au niveau des options de serveur ou de celles de l’étendue utilisée pour les déploiements) pour que les clients sachent que le serveur DHCP qui leur répond est également un serveur PXE.
L’écran Paramètres initiaux du serveur PXE permet de choisir le comportement du serveur WDS face aux clients connus et inconnus (ou même de désactiver la réponse). La section Paramètres de réponse PXE décrit plus précisément ces options et la façon de les utiliser.
■
Décochez la case Ajouter les images au serveur de déploiement Windows maintenant.
■
Cliquez sur Terminer.
38
Console d’un serveur WDS configuré L’assistant d’installation a créé l’arborescence D:\RemoteInstall, qui hébergera les images et les fichiers de déploiement : Boot Contient les fichiers nécessaires à l’amorçage des postes clients et au démarrage des installations, pour chaque architecture supportée (Itanium 64, x86 64 bits et x86 32 bits). Images Contiendra les images des systèmes d’exploitation qui seront déployés par WDS. Mgmt Contient la base de données interne du service WDS. Templates Contient les fichiers de réponse utilisés lors des installations automatisées. WdsClientUnattend Contient les fichiers de réponse utilisés par le client d’installation de WDS. Il a également rajouté la définition de l’option DHCP 060 PXEClient au niveau des options de serveur DHCP et lui a donné la valeur PXEClient. À ce stade, si vous tentez un amorçage réseau, vous obtiendrez le message cidessous, indiquant qu’aucune image de démarrage n’est disponible :
39
Message d’erreur en l’absence d’image de démarrage
3. Ajout d’une image de démarrage Pour ajouter une telle image : ■
Ouvrez la console WDS.
■
Déployez le nœ ud wds2k8.lab.com.
■
Faites un clic droit sur Images de démarrage et sélectionnez Ajouter une image de démarrage.
■
Insérez le DVD de Windows 7 correspondant à votre architecture cible (x86 ou x64) et localisez le fichier \sources\boot.wim se trouvant sur le média.
40
Sélection de l’image à importer
■
Cliquez sur Suivant.
■
Acceptez le nom et la description par défaut de l’image (ces noms apparaîtront dans le menu d’amorçage PXE).
Renseignements sur l’image
© ENI Editions - All rigths reserved - Kaiss Tag
41
- 9-
■
Cliquez sur Suivant.
Résumé de l’ajout en cours
■
Confirmez les paramètres d’ajout en cliquant sur Suivant.
■
Une fois le processus d’ajout terminé (après quelques minutes), cliquez sur Terminer.
Les clients PXE peuvent à présent amorcer sur le réseau et télécharger une image de démarrage. Cependant, aucune image d’installation n’ayant encore été ajoutée, l’assistant d’installation s’arrêtera à l’écran cidessous après vous avoir demandé les paramètres régionaux à utiliser et le compte de connexion au serveur WDS :
- 10 -
© ENI Editions - All rigths reserved - Kaiss Tag
42
Assistant d’installation sans image
© ENI Editions - All rigths reserved - Kaiss Tag
43
- 11 -
Déploiement simple d’un système d’exploitation L’installation de Windows Vista, Windows 7 et Windows Server 2008 utilise le format d’images WIM et est donc pleinement compatible avec les technologies de WDS. Il n’est pas obligatoire, pour déployer ces systèmes d’exploitation, de capturer une image de référence, à la différence du déploiement de Windows XP ou Windows Server 2003 (lorsque le serveur WDS est en mode natif). Nous allons voir ici comment déployer simplement un système d’exploitation Windows 7, puis comment optimiser et automatiser ces tâches.
1. Ajout d’une image d’installation Maintenant qu’une image d’amorçage est disponible sur le serveur WDS, il vous faut rendre disponible l’image du système d’exploitation que vous souhaitez installer. Pour ce faire : ■
Ouvrez la console WDS.
■
Déployez le nœ ud wds2k8.lab.com.
■
Faites un clic droit sur Images d’installation et sélectionnez Ajouter un groupe d’images.
■
Entrez le nom Windows 7 et cliquez sur OK.
■
Faites un clic droit sur le groupe d’images ainsi créé et cliquez sur Ajouter une image d’installation.
■
Sélectionnez le fichier \sources\INSTALL.wim disponible sur le DVD de Windows 7.
■
Cliquez sur Suivant.
Sélection de l’image
44
■
Cochez les cases des images que vous souhaitez rendre disponibles pour le déploiement et cliquez sur Suivant.
■
Confirmez les paramètres d’ajout en cliquant sur Suivant.
■
Une fois le processus d’ajout terminé (après quelques minutes), cliquez sur Terminer.
La technologie Single Instance Storage (SIS) utilisée dans les images WIM permet de contenir plusieurs versions d’un même système d’exploitation au sein d’un seul et même fichier, sans pour autant augmenter de manière disproportionnée la taille de ce fichier. Les fichiers communs aux différentes versions ne sont stockés qu’une seule fois dans l’image et des pointeurs y font référence.
2. Déploiement L’ajout d’une image WIM brute sur un serveur WDS permet son déploiement via réseau dans des conditions pratiquement identiques à celles d’une installation effectuée avec le média d’origine. Pour tester le déploiement de l’image ajoutée au paragraphe précédent : ■
■
■
Démarrez le poste de test et appuyez sur [F12] pour amorcer sur le réseau. Une fois le serveur DHCP contacté et le boot loader téléchargé par TFTP, appuyez sur [F12] pour confirmer l’exécution du programme de démarrage. Une fois le programme d’installation chargé, sélectionnez la langue Français (France) et clavier Français. Il s’agit des paramètres pour l’assistant d’installation uniquement (les paramètres régionaux du système d’exploitation seront définis plus tard).
Paramètres régionaux du client WDS
■
Cliquez sur Suivant.
45
■
Entrez le nom d’utilisateur LAB\Administrateur et le mot de passe P@ssw0rd.
Authentification auprès du serveur WDS
■
Cliquez sur OK.
■
Sélectionnez l’image que vous souhaitez déployer.
46
Sélection du système à déployer
■
Cliquez sur Suivant.
■
Sélectionnez la partition sur laquelle installer l’OS.
47
Configuration du partitionnement
■
Cliquez sur Suivant.
L’assistant d’installation prépare la partition et copie le système d’exploitation… (plusieurs minutes). ■
Sélectionnez le pays France, les paramètres de temps et de monnaie Français (France) et la disposition de clavier Français (il s’agit cette fois des paramètres du système d’exploitation installé).
Sélection des paramètres régionaux
■
Cliquez sur Suivant.
■
Entrez un nom d’utilisateur (cet utilisateur sera administrateur du poste).
48
Nom de l’utilisateur principal
■
Cliquez sur Suivant.
■
Entrez un mot de passe, confirmezle et saisissez un aidemémoire.
49
Saisie du mot de passe de l’utilisateur principal
■
Cliquez sur Suivant.
■
Cochez la case J’accepte les termes du contrat de licence.
Acceptation du contrat de licence
■
■
Cliquez sur Suivant. Cliquez sur Utiliser les paramètres recommandés afin de télécharger et d’installer les mises à jour importantes et recommandées automatiquement.
50
Sélection du modèle de sécurité
■
Sélectionnez votre fuseau horaire.
Sélection du fuseau horaire
51
■
Cliquez sur Suivant.
L’assistant d’installation dispose désormais de toutes les informations nécessaires pour finaliser la configuration du poste. Une fois redémarré, le poste est membre du même domaine que le serveur WDS et est prêt pour qu’un utilisateur ouvre une session Windows sur ce domaine. Cependant, vous aurez remarqué que plus d’une douzaine d’actions manuelles auront été nécessaires pour déployer ce poste et que les choix laissés à l’initiative de l’opérateur sont nombreux. Cette multiplication de choix augmente le risque que la configuration du système d’exploitation déployé diffère d’un poste à l’autre, que ce soit par inadvertance (une erreur de sélection ou de frappe) ou sciemment (l’opérateur fait les choix qui lui semblent les meilleurs, selon ses habitudes ou son expérience personnelle). Ces différences potentielles augmentent le risque d’inconsistance du parc et vont en compliquer la future exploitation. Vous aurez sans doute remarqué qu’à aucun moment le nom à attribuer à l’ordinateur ne vous a été demandé. Celui ci est en effet généré automatiquement en fonction des paramètres du serveur WDS et du nom de l’opérateur qui s’est identifié pour accéder aux images disponibles (ici LAB\Administrateur). Dans notre cas, le nom attribué au poste est ADMINISTRATEUR1. Cette règle de nommage est configurable au niveau des propriétés du serveur WDS (onglet Services d’annuaire). Par défaut, seules les langues présentes dans l’image WIM d’origine sont disponibles sur l’écran de sélection du système d’exploitation à installer.
52
Déploiements avancés d’un système d’exploitation Nous avons vu au paragraphe précédent que WDS rendait possible l’installation par réseau d’une image WIM sur un poste sans réelle difficulté. Néanmoins, cette installation requiert l’intervention de l’opérateur à plusieurs reprises, et n’assure ni une configuration homogène des postes, ni l’installation des applications. Ce paragraphe vous montrera comment automatiser ces opérations et embarquer les applications dans l’image déployée.
1. Installation sans assistance Windows PE 3.0, l’environnement d’installation utilisé pour le déploiement de Windows 7, permet l’emploi de fichiers de réponse XML afin d’automatiser les tâches de l’assistant, et même d’aller audelà. Cette automatisation peut se faire à deux niveaux : pour le client de déploiement WDS luimême ou pour l’assistant d’installation du système d’exploitation.
a. Automatisation du client de déploiement WDS L’exemple cidessous montre comment éviter la phase d’authentification utilisateur qui précède le choix de l’image à installer. ■
Ouvrez le blocnotes Windows.
■
Saisissez le code XML cidessous (attention aux majuscules/minuscules) :
OnError Administrateur LAB P@ssw0rd
■
Enregistrez le fichier sous le nom unattend1.xml dans le répertoire \RemoteInstall\WdsClientUnattend.
■
Ouvrez la console WDS.
■
Déployez le nœ ud wds2k8.lab.com.
■
Affichez les propriétés du serveur WDS et sélectionnez l’onglet Client.
■
Cochez la case Activer l’installation sans assistance.
■
Cliquez sur le bouton Parcourir situé en face d’Architecture x86.
■
Sélectionnez le fichier unattend1.xml créé précédemment.
© ENI Editions - All rigths reserved - Kaiss Tag
53
- 1-
Configuration d’un fichier de réponse pour le client WDS
■
Cliquez sur OK.
Testez le déploiement par réseau du système d’exploitation sur votre poste de test, vous constaterez que la fenêtre d’authentification pour accéder à la liste des images disponibles sur le serveur WDS a disparu. En effet, le fichier XML créé indique que, dans la phase windowsPE, le composant MicrosoftWindowsSetup doit utiliser les informations de Login fournies et n’afficher l’interface qu’en cas d’erreur. Quelle que soit l’architecture détectée par le programme d’amorçage PXE (souvent x64 sur les ordinateurs récents), le fichier de réponse pris en compte par le client WDS est celui configuré pour l’architecture correspondant à celle de l’image de démarrage utilisée.
b. Automatisation de l’installation du système d’exploitation L’exemple cidessous montre comment automatiser la saisie de la clé de produit. ■
Ouvrez le blocnotes Windows.
■
Saisissez le code XML cidessous (attention aux majuscules/minuscules) :
- 2-
© ENI Editions - All rigths reserved - Kaiss Tag
54
votre clé produit avec les tirets
■
Enregistrez le fichier sous le nom setup1.xml quelque part sur le serveur WDS.
■
Ouvrez la console WDS.
■
Déployez le nœ ud wds2k8.lab.com.
■
Faites un clic droit sur l’image du groupe Windows 7 dont vous souhaitez automatiser le déploiement et cliquez sur Propriétés.
■
Cochez la case Autoriser l’image à s’installer en mode sans assistance.
■
Cliquez sur Sélectionner un fichier.
■
Cliquez sur Parcourir et sélectionnez le fichier setup1.xml créé précédemment.
Configuration d’un fichier de réponse pour une image WIM
■
Cliquez sur OK sur les deux écrans consécutifs.
Vous pouvez constater que le fichier setup1.xml que vous aviez enregistré a été copié dans le répertoire \RemoteInstall\Images\Windows 7\install\Unattend et se nomme désormais ImageUnattend.xml.
© ENI Editions - All rigths reserved - Kaiss Tag
55
- 3-
En refaisant un test de déploiement, vous verrez que désormais, pour cette image en particulier, l’assistant d’installation ne vous demande plus de clé de produit. Les possibilités offertes par les fichiers de réponse XML de Windows PE 3.0 sont extrêmement puissantes et permettent d’apporter automatiquement des réponses à toutes les étapes de l’assistant d’installation. D’autre part, ces fichiers permettent également de choisir et de préconfigurer les composants du système d’exploitation, ce qui est impossible via l’interface graphique de l’assistant. Cependant, la saisie manuelle des fichiers XML est laborieuse et représente une source d’erreurs potentielles non négligeable. D’autre part, il est difficile de connaître tous les composants disponibles, toutes leurs options et toutes leurs propriétés. Si, en théorie, la saisie de ces fichiers peut se faire avec n’importe quel éditeur de texte ou XML, dans la pratique, l’édition de ces fichiers se fait avec Windows System Image Manager, un outil livré avec WAIK et auquel le chapitre suivant de cet ouvrage est consacré.
2. Capture et déploiement d’une image de référence Une image de référence est l’image d’un système d’exploitation qui a été fortement personnalisé et sur lequel des applications ont éventuellement été installées. Cette image de référence doit provenir d’un poste sain et représentatif du parc. Sa création répond à deux objectifs : gagner du temps lors du déploiement en incluant dans l’image des applications préinstallées; et prendre en charge des applications dont l’installation n’est pas automatisable. La création et la capture d’images de référence sont également nécessaires lorsque vous souhaitez déployer Windows XP ou 2003 depuis un serveur WDS en mode natif, celuici ne prenant en charge que les images WIM.
a. Créer une image de capture Une image de capture est une image de démarrage qui se base sur Windows PE, mais qui, au lieu de lancer l’assistant d’installation du système d’exploitation, va lancer un assistant de capture. Une fois les informations fournies à cet assistant, celuici va copier le contenu d’une partition de la machine de référence vers un fichier WIM, utilisable ensuite pour les futurs déploiements. La création d’une image de capture nécessite la présence sur le serveur WDS d’une image de démarrage compatible avec l’architecture du poste de référence (voir section Configuration du serveur). Pour créer une image de capture : ■
Ouvrez la console WDS.
■
Déployez le nœ ud wds2k8.lab.com.
■
Faites un clic droit sur l’image de démarrage présente et cliquez sur Créer une image de démarrage de capture.
■
- 4-
Complétez les métadonnées de l’image (nom et description) et indiquez l’emplacement et le nom de fichier dans lequel stocker l’image WIM.
© ENI Editions - All rigths reserved - Kaiss Tag
56
Création d’une image de capture
■
Cliquez sur Suivant.
■
Une fois l’image de capture créée, cliquez sur Terminer.
■
Faites un clic droit sur le nœ ud Images de démarrage et cliquez sur Ajouter une image de démarrage.
■
Cliquez sur Parcourir et sélectionnez l’image WIM que vous avez créée.
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
57
- 5-
Ajout de l’image de capture créée
■
Acceptez les métadonnées par défaut et cliquez sur Suivant.
■
Le fichier WIM créé ne contenant qu’une seule image, cliquez sur Suivant.
■
Une fois l’importation terminée, cliquez sur Terminer.
L’image de capture est désormais disponible dans le menu de démarrage du client PXE, comme le montre la capture cidessous :
- 6-
© ENI Editions - All rigths reserved - Kaiss Tag
58
Menu de démarrage avec image de capture Cependant, si vous essayez d’amorcer sur cette image, vous obtiendrez un assistant vous proposant une liste vide de volumes à capturer : le poste doit être préparé pour qu’un volume soit visible dans l’assistant de capture.
Assistant de capture d’image La création d’une image de capture en ligne de commande est également possible grâce aux deux instructions © ENI Editions - All rigths reserved - Kaiss Tag
59
- 7-
suivantes : wdsutil /New-Capture-Image /image: /Architecture:x86 /Filepath: wdsutil /Add-Image /Image-File: /ImageType:Boot
b. Préparer un poste de référence La première phase de création d’un poste de référence diffère peu d’une installation classique : elle peut être réalisée à partir d’un DVD du système d’exploitation ou bien d’une image WIM disponible sur un serveur WDS. La seconde phase, une fois les installations d’applications terminées et la configuration faite, consiste à préparer le poste à l’aide de l’outil Sysprep. Le poste ne doit pas appartenir à un domaine au moment de sa capture. Vous pouvez pour cela cocher la case Ne pas créer de compte dans le domaine après l’exécution du client WDS dans l’onglet Client des propriétés du serveur WDS. Pour préparer un poste de référence : ■
■
■
Installez Windows 7 sur le poste, par réseau avec WDS, par DVD ou par clé USB. Installez sur ce poste les applications à inclure dans l’image de référence (les visionneuses Microsoft Office 2007 par exemple, disponibles sur le site http://office.microsoft.com/downloads). Procédez aux changements dans la configuration machine (configuration du parefeu ou des services Windows par exemple).
■
Exécutez sysprep.exe (il se trouve dans C:\Windows\System32\Sysprep).
■
Sélectionnez l’action de nettoyage Entrer en mode OOBE.
■
Cliquez sur Généraliser.
■
Sélectionnez Arrêter le système dans la liste des options d’extinction.
Ecran d’accueil de Sysprep
■
Cliquez sur OK.
Sysprep va préparer le poste pour la capture puis va l’éteindre automatiquement. Le poste est désormais prêt à être capturé par le client WDS, il ne devra pas être redémarré avant cela.
- 8-
© ENI Editions - All rigths reserved - Kaiss Tag
60
L’option Généraliser remplit deux objectifs : régénérer l’identifiant de sécurité unique du poste (le SID) et activer le traitement de la phase generalize dans le fichier de réponse unattend.xml. Vous pouvez également lancer la préparation du poste grâce à la commande : C:\windows\system32 \sysprep\sysprep.exe /oobe /generalize /shutdown
c. Capturer une image Une fois le poste préparé, une image de capture créée et mise à disposition sur le serveur WDS, la procédure de capture est aisée. Bien qu’il soit possible de stocker l’image du poste en local sur celuici puis de la transférer vers le serveur WDS, le plus simple est de la télécharger sur le serveur WDS au cours de la capture. C’est la solution qui sera retenue ici : ■
Démarrez le poste de référence et amorcez sur le réseau avec [F12].
■
Sélectionnez l’image de capture créée dans la section Créer une image de capture.
■
Lorsque l’écran d’accueil de l’assistant de capture apparaît, cliquez sur Suivant.
■
Sélectionnez le volume à capturer, entrez un nom pour l’image ainsi qu’une description.
Saisie des informations de capture
■
■
Cliquez sur Suivant. Cliquez sur Parcourir pour choisir un chemin local et un nom de fichier où stocker l’image (le volume local doit disposer de suffisamment d’espace libre).
■
Cliquez sur Télécharger l’image sur un serveur des services de déploiement Windows.
■
Entrez le nom du serveur WDS et cliquez sur Connecter. © ENI Editions - All rigths reserved - Kaiss Tag
61
- 9-
■
Entrez les informations d’identification utilisées pour accéder au partage de capture (utilisateur LAB\Administrateur et mot de passe P@ssw0rd dans notre exemple).
■
Cliquez sur OK.
■
Sélectionnez le groupe d’images Windows 7.
Emplacement de stockage de la capture
■
Cliquez sur Suivant.
■
Une fois l’image capturée, cliquez sur Terminer.
Lors de la procédure, le client va d’abord créer une image WIM locale puis la télécharger vers le serveur WDS. Une fois le téléchargement terminé, vous pouvez constater que l’image a été rajoutée automatiquement dans le groupe Windows 7 de la console WDS et est prête à être déployée vers d’autres machines.
- 10 -
© ENI Editions - All rigths reserved - Kaiss Tag
62
Image de capture ajoutée au serveur WDS
© ENI Editions - All rigths reserved - Kaiss Tag
63
- 11 -
Configuration avancée d’un serveur WDS 1. Démarrage des clients a. Programme de démarrage par défaut Vous avez pu constater au cours de ce chapitre que l’amorçage sur le réseau nécessitait d’appuyer deux fois sur [F12] : la première fois pour indiquer au BIOS de la machine que vous souhaitez démarrer en PXE, la deuxième pour confirmer au programme de démarrage que vous voulez effectivement l’exécuter. Ce comportement est celui du programme de démarrage par défaut de WDS, et peut être modifié en sélectionnant un programme de démarrage différent. Plusieurs programmes de démarrage sont fournis avec le serveur WDS, répondant chacun à des scénarios différents : Pxeboot.com Le programme de démarrage par défaut, l’opérateur doit appuyer sur [F12] pour continuer le démarrage réseau. Pxeboot.n12 Identique au précédent, mais ne requiert pas d’appui sur [F12] (le suffixe signifiant "no [F12]"). AbortPXE.com Ne démarre jamais sur le réseau. Hdlscom1.com et Hdlscom2.com Redirige les messages vers les ports série COM1 ou COM2. Hdlscom1.n12 et Hdlscom2.n12 Identiques aux précédents, mais ne requièrent pas d’appui sur [F12]. Bootmgfw.efi Regroupe les fonctions d’appui ou non sur [F12], mais géré par le shell EFI (pour les machines le supportant). Wdsnbp.com Client spécial pour la détection d’architecture et les scénarios de périphériques en attente. Le changement de programme de démarrage se fait via les propriétés du serveur WDS. Chaque plateforme (x86, x64 et IA64) peut disposer d’un programme différent. Pour automatiser le démarrage réseau des postes x86 et x64 : ■
■
■
■
Ouvrez la console WDS. Faites un clic droit sur le serveur WDS dont vous souhaitez modifier les programmes de démarrage et cliquez sur Propriétés. Dans l’onglet Démarrer, à l’intérieur du cadre Programme de démarrage par défaut, cliquez sur le bouton Parcourir de l’architecture x86. Sélectionnez le programme pxeboot.n12.
© ENI Editions - All rigths reserved - Kaiss Tag
64
- 1-
Configuration du programme de démarrage par défaut
■
Répétez l’opération pour l’architecture x64.
■
Cliquez sur OK.
Faites un test de démarrage d’un client PXE, vous constatez que celuici ne vous demande plus de confirmer l’amorçage réseau une deuxième fois. Attention, si vous configurez le BIOS des postes pour démarrer sur réseau en premier, et que vous indiquez au serveur d’envoyer un programme de démarrage ne nécessitant pas d’appui sur [F12] pour s’exécuter, les postes démarreront systématiquement sur l’assistant d’installation de l’image de démarrage par défaut du serveur WDS. Si le poste client supporte les architectures x86 et x64 (ce qui est le cas de la plupart des ordinateurs récents), il sera identifié par le programme d’amorçage comme client x64. Il faut donc modifier le programme de démarrage pour les architectures x86 et x64.
b. Image de démarrage par défaut Lorsque le serveur WDS propose de nombreuses images de démarrage, il peut être intéressant d’en configurer une par défaut pour les postes clients. L’image ainsi configurée sera celle sur laquelle le poste démarrera lorsque le délai imparti pour le choix d’une image sera écoulé (30 secondes par défaut). Le choix de cette image se fait pour chaque architecture (x86 pour le 32 bits et x64 pour le 64 bits). Pour configurer une image de démarrage par défaut : ■
■
■
- 2-
Ouvrez la console WDS. Faites un clic droit sur le serveur WDS dont vous souhaitez modifier les images de démarrage et cliquez sur Propriétés. Dans l’onglet Démarrer, à l’intérieur du cadre Image de démarrage par défaut, cliquez sur le bouton Parcourir © ENI Editions - All rigths reserved - Kaiss Tag
65
de l’architecture x86. ■
Sélectionnez une image de démarrage présente sur le serveur WDS.
Configuration d’une image de démarrage par défaut
■
Répétez l’opération pour l’architecture x64.
■
Cliquez sur OK.
S’il est possible de sélectionner une image de démarrage 32 bits ou 64 bits pour l’architecture x64, seule une image 32 bits est autorisée pour l’architecture x86.
2. Paramètres de réponse PXE Les paramètres de réponse PXE permettent de définir le comportement du serveur WDS lorsque des clients amorcent sur le réseau et tentent de le joindre. Trois stratégies sont possibles sur un serveur WDS Windows 2008 : ●
Ignorer complètement les demandes et ne jamais répondre ;
●
Répondre aux clients connus ;
●
Répondre à tous les clients.
La notion de client connu repose sur la connaissance du GUID du client qui se présente au serveur. Lors d’un amorçage PXE, le client joint cet identifiant à sa requête au serveur, qui le recherche dans l’Active Directory. Si un
© ENI Editions - All rigths reserved - Kaiss Tag
66
- 3-
compte d’ordinateur disposant de cet attribut GUID est trouvé, le client est considéré comme connu et sa demande peut être traitée. Lorsque le serveur WDS est configuré pour répondre à tous les clients, connus et inconnus, une option permet cependant de temporiser les réponses aux clients inconnus, en attendant qu’un administrateur les approuve manuellement. Pour activer la validation manuelle des clients inconnus : ■
Ouvrez la console WDS.
■
Affichez les propriétés du serveur WDS et sélectionnez l’onglet Paramètres de réponse PXE.
■
Sélectionnez Répondre à tous les ordinateurs clients (connus et inconnus).
■
Cochez la case Pour les clients inconnus, informer l’administrateur et répondre après accord.
Configuration de la stratégie de réponse PXE
■
Cliquez sur OK.
■
Démarrez un poste qui n’est pas encore connu dans l’Active Directory et amorcezle sur le réseau
Le poste n’étant pas connu, le message cidessous s’affichera :
- 4-
© ENI Editions - All rigths reserved - Kaiss Tag
67
Message d’attente pour un client PXE inconnu Il faut alors autoriser manuellement le client pour que le serveur WDS puisse lui répondre. Pour cela : ■
Ouvrez la console WDS.
■
Déployez le nœ ud wds2k8.lab.com.
■
Dans le nœ ud Périphériques en attente, faites un clic droit sur la demande dont l’adresse MAC ou le GUID correspond à celui du client non autorisé, et cliquez sur Approuver.
■
Cliquez sur OK pour confirmer la notification
Un compte d’ordinateur est alors créé pour ce client dans l’Active Directory, avec son GUID et le serveur qui a traité la demande. Le nom du compte d’ordinateur respecte le format défini dans la stratégie définie dans les propriétés du serveur WDS (onglet Service d’annuaire), mais utilise le nom de l’opérateur qui a approuvé le client dans la console. Au bout de quelques secondes, le client qui était resté en attente va recevoir le programme d’amorçage et proposera un démarrage sur réseau. © ENI Editions - All rigths reserved - Kaiss Tag
68
- 5-
■
Sur le poste à déployer, appuyez sur [F12] lorsque le programme de démarrage le demande.
Il est également possible de définir le nom qu’aura le client inconnu au moment de son approbation dans la console, en sélectionnant l’option Nommer et approuver et en fournissant un nom.
3. Déploiements multicast Lors d’un déploiement par réseau, l’intégralité de l’image du système d’exploitation à installer doit, à un moment ou à un autre, transiter à travers le câble. Même si la bande passante des réseaux d’entreprise n’a plus rien à voir avec celle d’il y a quinze ans, le volume de données à transférer (souvent plusieurs giga octets) doit être pris en considération. Si le réseau est le plus souvent capable d’absorber cette charge supplémentaire lorsqu’il s’agit de déployer un unique poste, il n’en sera probablement pas de même si vous souhaitez faire un déploiement en masse pour l’ensemble du parc ou même un échantillon de la population des utilisateurs, du moins pas sans faire appel à une technologie réseau appelée multidiffusion, ou multicast en Anglais. Le multicast, par opposition à l’unicast, consiste à envoyer le même flux réseau vers plusieurs destinataires, sans avoir à dupliquer n fois ce flux, économisant ainsi la bande passante du réseau. Il y a deux prérequis essentiels pour un déploiement de ce type : ●
●
Les routeurs éventuellement traversés doivent supporter le multicast. Les postes clients doivent disposer de suffisamment de place sur le disque pour copier temporairement l’image à installer.
Si vous remplissez les conditions cidessous, vous pouvez envisager l’utilisation du multicast pour vos déploiements. Pour créer une transmission par multidiffusion : ■
Ouvrez la console WDS.
■
Déployez le nœ ud wds2k8.lab.com.
■
■
- 6-
Faites un clic droit sur le nœ ud Transmission par multidiffusion du serveur WDS depuis lequel vous souhaitez transmettre. Cliquez sur Créer une transmission par multidiffusion.
© ENI Editions - All rigths reserved - Kaiss Tag
69
Création d’une transmission multicast
■
Donnez un nom descriptif à cette transmission.
■
Cliquez sur Suivant.
■
Sélectionnez le groupe et l’image que vous souhaitez diffuser.
Sélection de l’image à transmettre
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
70
- 7-
■
Sélectionnez Diffusion automatique.
Paramètres de lancement de la diffusion
■
Cliquez sur Suivant.
■
Confirmez la diffusion en cliquant sur Terminer.
Le serveur WDS se met alors à l’écoute des clients de déploiement multicast qui viendront s’inscrire à cette diffusion. Pour déployer une image par multidiffusion : ■
Démarrez le poste à installer et amorcez sur le réseau.
■
Sélectionnez le programme de démarrage standard de Windows 7.
■
Appuyez sur [Entrée].
■
Une fois le client WDS démarré, authentifiezvous et sélectionnez l’image pour laquelle vous avez créé une multidiffusion.
■
Cliquez sur Suivant.
■
Sélectionnez le disque et la partition sur lesquels installer l’image.
■
Cliquez sur Suivant.
Le client essaie alors de joindre le serveur WDS et s’inscrit pour la multidiffusion. Vous pouvez voir dans la console WDS, dans le nœ ud Transmission par multidiffusion/[nom de votre diffusion], les clients qui se sont inscrits et l’état d’avancement de leur diffusion. La diffusion créée ici démarre automatiquement lorsqu’au moins un client l’a rejoint, mais les diffusions peuvent être
- 8-
© ENI Editions - All rigths reserved - Kaiss Tag
71
configurées lors de leur création pour ne démarrer que lorsqu’un horaire particulier ou un nombre de clients est atteint, on parle alors de multidiffusion planifiée.
Transmission par multidiffusion en cours
L’image de démarrage boot.wim de Windows Vista ne dispose pas d’un client de transmission par multidiffusion compatible avec WDS. Les postes clients doivent obligatoirement utiliser une image de démarrage Windows 2008 ou Windows 7.
4. Filtrage des accès aux images La sécurité par défaut du serveur WDS permet à tous les utilisateurs authentifiés du domaine d’accéder aux images et de les installer. Dans cette situation, n’importe quel utilisateur peut amener un ordinateur personnel et procéder à l’installation du système d’exploitation fourni par l’entreprise, et des logiciels qui vont avec si ceuxci sont inclus dans l’image de référence. Pour remédier à cela, il est possible de positionner des permissions particulières sur les images et les groupes d’images disponibles sur le serveur WDS. Prenons l’exemple de deux opérateurs d’installation, disposant respectivement des comptes de domaine LAB\ope1 et LAB\ope2 ; l’un est chargé de réinstaller les postes des utilisateurs administratifs, et l’autre ceux des développeurs. Chaque population dispose d’une image de référence qui lui est propre, avec les outils dont elle a besoin : PC_Admin pour les premiers, PC_Dev pour les seconds. Ces deux images WIM sont présentes au sein du même groupe d’images sur le serveur WDS. Pour restreindre l’accès aux images : ■
Ouvrez la console WDS.
■
Déployez le nœ ud wds2k8.lab.com.
■
Faites un clic droit sur groupe d’images Windows 7 du nœ ud Images d’installation.
■
Cliquez sur Sécurité.
© ENI Editions - All rigths reserved - Kaiss Tag
72
- 9-
Modification de la sécurité d’un groupe d’images
■
Cliquez sur Avancé.
■
Décochez la case Inclure les autorisations pouvant être héritées du parent de cet objet.
■
Supprimez le groupe Utilisateurs authentifiés.
Permissions de sécurité d’un groupe d’images
- 10 -
© ENI Editions - All rigths reserved - Kaiss Tag
73
■
Cliquez sur OK deux fois.
■
Faites un clic droit sur l’image PC_Admin et cliquez sur Propriétés.
■
Dans l’onglet Sécurité, sélectionnez le groupe Utilisateurs authentifiés.
■
Cliquez sur Supprimer.
■
Cliquez sur Ajouter.
■
Entrez le nom LAB\ope1 et cliquez sur OK.
■
Vérifiez que le compte LAB\ope1 dispose des permissions Lecture & exécution ainsi que Lecture.
Permissions de sécurité d’une image
■
Cliquez sur OK.
■
Répétez l’opération sur l’image PC_Dev pour le compte LAB\ope2.
Désormais, chaque opérateur ne verra, dans la liste des images d’installation disponibles, que celles pour lesquelles il dispose des permissions adéquates.
© ENI Editions - All rigths reserved - Kaiss Tag
74
- 11 -
Images d’installation filtrées par la sécurité
Attention, si vous avez configuré un fichier d’installation sans assistance pour le client des services WDS et que celuici inclut les informations d’identification pour accéder au serveur, la liste des images présentée sera toujours la même.
- 12 -
© ENI Editions - All rigths reserved - Kaiss Tag
75
Résumé Nous avons vu ici comment installer et configurer un serveur Windows Deployment Services, de manière à pouvoir distribuer des images WIM à travers le réseau de l’entreprise. Cependant, vous avez pu constater que les possibilités d’installation sans assistance étaient nombreuses mais compliquées à mettre en œ uvre, tant la création manuelle des fichiers de réponse XML est fastidieuse. Le chapitre suivant est consacré au Windows Automated Installation Kit, un ensemble d’outils permettant de créer et d’éditer les fichiers de réponse XML à l’aide d’interfaces graphiques, ainsi que de manipuler les images WIM.
© ENI Editions - All rigths reserved - Kaiss Tag
76
- 1-
Présentation et installation Le kit d’installation automatisé de Windows (Windows Automated Installation Kit ou WAIK en anglais) est apparu avec Windows Vista et passe en version 2 pour la prise en charge de Windows 7. Il s’agit d’un ensemble d’outils permettant d’une part, la création et la manipulation de fichiers de réponses utilisables avec le client de déploiement ou l’assistant d’installation, et d’autre part la gestion des images WIM, l’inclusion de composants, de pilotes ou de mises à jour de sécurité. Un outil nommé Volume Activation Management Tool est également fourni pour gérer l’activation des postes déployés, et procéder à un inventaire des modes de licence utilisés. WAIK est disponible gratuitement sur le site Web de Microsoft à l’adresse http://go.microsoft.com/fwlink/? LinkId=136976 Pour installer WAIK : ■
Téléchargez l’image ISO du kit WAIK et gravezla sur un média vierge.
■
Insérez ce média sur le poste où installer WAIK.
■
Exécutez le programme StartCD.exe se trouvant à la racine du média.
■
Cliquez sur Installation du kit dans le menu de gauche.
■
Lorsque l’écran d’accueil de l’assistant d’installation apparaît, cliquez sur Suivant.
■
Acceptez le contrat de licence et cliquez sur Suivant.
■
Confirmez le dossier d’installation par défaut, sélectionnez une installation pour Tout le monde et cliquez sur Suivant.
■
Confirmez l’installation en cliquant sur Suivant.
■
Cliquez sur Fermer.
© ENI Editions - All rigths reserved - Kaiss Tag
77
- 1-
Passes d’une installation La connaissance des passes d’une installation Windows est importante pour maîtriser les déploiements et parvenir au résultat souhaité. Chacune de ces passes remplit un rôle bien spécifique dans le processus général d’installation, et prend en charge un ensemble restreint de composants et de souscomposants.
Diagramme de présentation des passes
1. windowsPE Cette passe est exécutée deux fois : la première lors du démarrage sur le client de déploiement (que ce soit l’image boot.wim du média d’installation ou celle envoyée par le serveur WDS) et la seconde lors de l’exécution de l’assistant d’installation de Windows à proprement parler. La passe windowsPE supporte les composants minimums nécessaires à la préparation de l’installation : configuration réseau et identification pour accès au partage de distribution WDS, configuration des paramètres régionaux de l’assistant d’installation, sélection de l’image à installer, partitionnement des disques durs, etc. Elle prend également en charge la copie de l’image WIM de la source (média ou serveur WDS) vers la destination spécifiée.
2. offlineServicing La passe offlineServicing est exécutée par l’assistant d’installation de Windows à l’issue de la passe windowsPE. Elle permet d’appliquer des modifications à l’image WIM copiée sur la destination avant qu’elle ne soit décompressée sur le poste cible et que ce dernier ne redémarre. Parmi les modifications possibles, on peut noter l’ajout de packs de langue, l’application de patchs Microsoft Update (fichiers .msu), l’inclusion de pilotes de périphériques ou l’ajout de packages particuliers (hors catalogue standard de l’image WIM déployée).
© ENI Editions - All rigths reserved - Kaiss Tag
78
- 1-
3. generalize La passe generalize est exécutée par l’utilitaire Sysprep lorsqu’il est appelé avec le paramètre /generalize, ou lorsque le composant MicrosoftWindowsDeployment / Generalize est configuré. Cette étape supprime de l’installation actuelle les informations spécifiques à l’ordinateur, rendant ainsi possible une duplication de l’image de cette installation vers d’autres postes. Les informations supprimées sont notamment l’identifiant de sécurité unique du poste (SID) et les pilotes de périphériques particuliers (sauf instruction contraire).
4. specialize La spécialisation du poste a lieu lors du premier démarrage après un déploiement, ou lors du redémarrage suivant l’usage de Sysprep avec le paramètre /generalize. Cette procédure recrée le SID du poste, effectue la détection Plug’n Play du matériel, configure les composants de Windows, les paramètres régionaux et procède à l’adhésion au domaine.
5. auditSystem et auditUser Optionnelle, la procédure d’audit a lieu lorsque le paramètre /audit est passé en argument de Sysprep.exe, ou lorsque la valeur du paramètre Reseal du composant MicrosoftWindowsDeployment est positionnée sur le mode audit. Elle se compose de deux étapes, une première nommée auditSystem, précédant l’ouverture de session Windows, et la seconde, auditUser, dès qu’un utilisateur s’est identifié avec succès. L’audit permet essentiellement d’effectuer un test de l’installation avant de capturer l’image du poste ou de délivrer ce poste à l’utilisateur. L’ajout de pilotes de périphériques est également possible durant la passe auditSystem.
6. oobeSystem Etape finale d’une installation, oobeSystem procède à la configuration des ultimes paramètres de la machine avant qu’un utilisateur n’ouvre de session : paramètres régionaux, définition des options de l’environnement et du bureau, création de comptes locaux. L’OutofBoxExperience (OOBE) est exécutée lorsque la valeur du paramètre Reseal du composant Microsoft WindowsDeployment est positionnée sur le mode OOBE, ou que le paramètre /OOBE a été utilisé avec Sysprep.exe.
- 2-
© ENI Editions - All rigths reserved - Kaiss Tag
79
Assistant Gestion d’Installation Élément essentiel de WAIK, l’Assistant Gestion d’Installation (Windows System Image Manager, WSIM en anglais) permet de réaliser facilement des fichiers de réponses pour des installations automatisées. Les systèmes d’exploitation pris en charge dans la version fournie avec le kit WAIK 2 sont Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2.
1. Catalogue, composants et packages La première étape lorsque vous travaillez avec WSIM est de lui indiquer les composants que vous souhaitez paramétrer dans votre fichier de réponses. Cette liste de composants peut être soit créée dynamiquement par WSIM à partir d’un fichier .WIM, soit directement chargée depuis un fichier de catalogue .CLG. Attention, la construction dynamique d’un catalogue depuis une image WIM nécessite des droits d’administrateur sur le poste et peut prendre plusieurs minutes, selon la taille du fichier WIM et le nombre d’images qu’il comporte. Seul WSIM 32 bits est capable de générer des catalogues pour les images 32 bits et 64 bits. WSIM 64 bits ne génère de catalogues que pour les images 64 bits. Pour ouvrir un catalogue : ■
Dans le menu Démarrer, groupe Microsoft Windows AIK, cliquez sur Gestionnaire d’images système Windows.
■
Dans le menu Fichier, cliquez sur Sélectionner l’image Windows. Sélectionnez le catalogue de l’édition de Windows pour laquelle vous souhaitez créer un fichier de réponses (fichier .CLG).
■
Cliquez sur Ouvrir.
■
La console WSIM affiche en bas à gauche, dans le cadre Image Windows, la liste des composants et des packages de ce catalogue. Les composants et les packages sont nommés selon la nomenclature suivante : [plateforme]_[nom]_[version]_[culture] Plateforme : désigne l’architecture du processeur pour laquelle l’élément est prévu, x86 pour les architectures 32 bits, et amd64 pour les architectures 64 bits. Nom : est le nom de l’élément. Version : indique la version du système d’exploitation pour lequel l’élément est prévu (6.0 pour Windows Vista et Server 2008, 6.1 pour Windows 7 et Server 2008 R2). Culture : porte la valeur neutral lorsque l’élément n’est pas lié à la culture du système d’exploitation, ou porte une valeur de la forme languepays, enUS pour l’Anglais des ÉtatsUnis par exemple, lorsque l’élément est prévu pour une culture particulière.
a. Composants Les composants sont des aspects de la configuration d’une installation Windows, tels que les paramètres régionaux, le client DNS ou encore la barre de gadgets (Windows Sidebar). Chaque édition de Windows dispose d’un catalogue particulier parce qu’une fonctionnalité n’est pas nécessairement présente dans toutes les éditions. Le composant x86_MicrosoftWindowsehomereginf n’est ainsi pas activé dans le catalogue de l’édition familiale basique (bien que présent dans la liste) parce que la fonctionnalité n’est pas disponible pour l’utilisateur de cette version de Windows. Pour configurer un composant dans le fichier de réponses : ■
Dans le cadre Image Windows, développez la branche Components.
© ENI Editions - All rigths reserved - Kaiss Tag
80
- 1-
■
Faites un clic droit sur le composant à configurer.
Ajout d’un composant à une passe
- 2-
■
Cliquez sur la passe pour laquelle vous souhaitez ajouter le composant.
■
Sélectionnez le composant ajouté dans le cadre Fichier de réponses.
■
Configurez ses propriétés ou ajoutez des sousnœ uds.
© ENI Editions - All rigths reserved - Kaiss Tag
81
Configuration d’un composant dans une passe Faire ici la liste exhaustive des composants de Windows 7 serait laborieux et pour le moins inintéressant, d’autant que l’aide intégrée de WSIM vous propose une description de chacun d’eux. Pour accéder à cette aide, sélectionnez un composant dans le cadre Image Windows et appuyez sur [F1].
b. Packages Les packages du catalogue permettent d’activer ou de désactiver des fonctionnalités de Windows, comme les jeux, la couche SNMP ou le serveur Web IIS. Là encore, certaines fonctionnalités ne sont disponibles que pour certaines éditions de Windows. Le package x86_MicrosoftWindowsFoundationPackage est le package permettant d’activer ou de désactiver les fonctionnalités majeures de Windows. Pour configurer un package dans le fichier de réponses : ■
Dans le cadre Image Windows, développez la branche Packages.
■
Faites un clic droit sur le package à ajouter.
© ENI Editions - All rigths reserved - Kaiss Tag
82
- 3-
Ajout d’un package
- 4-
■
Cliquez sur Ajouter au fichier de réponses.
■
Sélectionnez dans le cadre Fichier de réponses le package ajouté.
■
Configurez ses propriétés.
© ENI Editions - All rigths reserved - Kaiss Tag
83
Configuration d’un package
2. Création d’un fichier de réponses pour le client de déploiement Pour créer un fichier de réponses utilisable avec le client de déploiement : ■
Dans le menu Démarrer, groupe Microsoft Windows AIK, cliquez sur Gestionnaire d’images système Windows.
■
Sélectionnez l’image WIM ou le catalogue de l’édition de n’importe quelle édition de Windows.
■
Cliquez sur Ouvrir.
■
Dans le menu Fichier, cliquez sur Nouveau fichier de réponses.
Un nouveau fichier de réponses, nommé Untitled, est créé dans le cadre Fichier de réponses et les sept passes d’une installation sont créées sous le nœ ud Components. Le fichier de réponses est prêt à recevoir des composants et des packages. Il devra être enregistré sur le serveur WDS lorsque toutes les modifications auront été effectuées, et activé pour les architectures prises en charge. Pour plus d’informations sur la configuration du serveur WDS, consultez le chapitre Windows Deployment Services Automatisation du client de déploiement WDS. Le client de déploiement se basant sur Windows PE, seule la phase windowsPE du fichier de réponses sera utilisée.
a. MicrosoftWindowsSetup Il s’agit du composant principal utilisé par le client de déploiement ainsi que par l’assistant d’installation de Windows. Il permet de choisir l’image à installer, de configurer les disques, le nom et l’organisation du poste, etc. ■
Ajoutez ce composant à la passe windowsPE.
■
Faites un clic droit sur DiskConfiguration et sélectionnez Insérer un nouvel élément "Disk".
■
■
■
Un sousnœ ud Disk est apparu, sélectionnezle, positionnez sa propriété DiskID à 0 et sa propriété WillWipeDisk à true. Faites un clic droit sur CreatePartitions et sélectionnez Insérer un nouvel élément "CreatePartition". Un sousnœ ud CreatePartition est apparu, sélectionnezle, positionnez ses propriétés Primary à true, Order à 1 et Type à Extended.
■
Dans le nœ ud ImageInstall/OSImage, configurez la propriété InstallToAvailablePartition à true.
■
Sélectionnez le noeud WindowsDeploymentServices.
■
■
Dans le sousnœ ud ImageSelection/InstallImage, configurez les propriétés ImageGroup et ImageName avec le nom du groupe d’images que vous avez créé sur le serveur WDS et le nom affiché de l’image WIM à installer (ex : Windows 7 ULTIMATE). Dans le sousnœ ud Login/Credentials, complétez les champs Domain, Password et Username avec un compte utilisateur autorisé à accéder au répertoire des images WIM.
Vous venez d’indiquer à l’assistant d’installation l’image à installer ainsi que le moyen d’y accéder, d’effacer le disque, de créer une seule partition primaire occupant tout l’espace disponible et d’installer le système d’exploitation sur cette partition.
b. MicrosoftWindowsInternationalCoreWinPE © ENI Editions - All rigths reserved - Kaiss Tag
84
- 5-
Ce composant permet de définir les options régionales utilisées pendant l’assistant du client de déploiement (clavier, paramètres régionaux, langue de l’interface). ■
Ajoutez ce composant à la passe windowsPE.
■
Configurez ses propriétés InputLocale et UserLocale à frFR, et la propriété UILanguage à enUS.
■
Dans le sousnœ ud SetupUILanguage, configurez la propriété UILanguage à enUS.
Ces propriétés définissent les paramètres régionaux et la langue du clavier, ainsi que la langue de l’assistant du client de déploiement. Dans la mesure où vous être en train de créer un fichier d’automatisation de cet assistant, cela n’aura que peu de conséquences puisqu’il n’y aura aucune saisie au clavier, mais évite tout de même que celui ci vous pose la question. Pour indiquer au serveur WDS d’utiliser ce fichier de réponses : ■
Enregistrez ce fichier dans le répertoire WdsClientUnattend du répertoire de distribution sur le serveur WDS.
■
Ouvrez la console WDS.
■
Affichez les propriétés du serveur WDS, onglet Client.
■
Cochez la case Activer l’installation sans assistance.
■
Sélectionnez le fichier de réponses créé pour les architectures x86 et x64.
■
Cliquez sur OK.
Le client de déploiement WDS s’exécute désormais automatiquement sans poser de question. Nous allons à présent voir comment automatiser l’installation du système d’exploitation en luimême.
3. Création d’un fichier de réponses pour une installation automatisée Pour créer un fichier de réponses afin d’automatiser l’installation de Windows 7 : ■
Dans le menu Démarrer, groupe Microsoft Windows AIK, cliquez sur Gestionnaire d’images système Windows.
■
Sélectionnez l’image WIM ou le catalogue de l’édition de Windows 7 que vous souhaitez déployer.
■
Cliquez sur Ouvrir.
■
Dans le menu Fichier, cliquez sur Nouveau fichier de réponses.
Ce fichier devra être enregistré sur le serveur WDS lorsque toutes les modifications auront été effectuées, et activé pour chaque image avec laquelle vous souhaitez l’utiliser. Pour plus d’informations sur la configuration du serveur WDS, consultez le chapitre Windows Deployment Services Automatisation de l’installation du système d’exploitation.
a. Composants de la passe offlineServicing MicrosoftWindowsPnpCustomizationsNonWinPE Ce composant, uniquement disponible pour la phase offlineServicing, permet d’indiquer à l’assistant d’installation des répertoires locaux ou ceux du réseau dans lesquels chercher les pilotes de périphériques, pour le matériel ne disposant pas d’un support natif de la part de Windows 7. Pour indiquer à l’assistant un dossier réseau dans lequel rechercher des pilotes : ■
- 6-
Créez un répertoire sur le serveur WDS et partagezle sur le réseau. © ENI Editions - All rigths reserved - Kaiss Tag
85
■
Déposez les pilotes de périphériques dans ce répertoire.
■
Ajoutez ce composant à la passe offlineServicing.
■
Faites un clic droit sur le nœ ud DriverPaths et sélectionnez Insérer un nouvel élément "PathAndCredentials".
■
■
■
Complétez la propriété Path du sousnœ ud ainsi créé et donnez une valeur arbitraire unique (drv1 par exemple) à la propriété Key. Sélectionnez le sousnœ ud Credentials. Complétez les informations d’identification nécessaires pour accéder au partage réseau contenant les pilotes de périphériques.
MicrosoftWindowsLUASettings Ce composant permet de configurer l’état du contrôle de compte utilisateur (User Access Control ou UAC, en anglais). Ce contrôle avertit l’utilisateur lorsqu’une opération nécessitant des droits élevés est tentée. Bien que pouvant paraître gênante au premier abord, cette fonctionnalité est une avancée majeure dans la sécurité du poste de travail et a été grandement améliorée depuis son apparition sur Windows Vista. Si vous souhaitez malgré tout désactiver le contrôle de compte utilisateur : ■
Ajoutez ce composant à la passe offlineServicing.
■
Configurez sa propriété EnableLUA à false.
b. Composants de la passe specialize MicrosoftWindowsIEInternetExplorer Ce composant est extrêmement vaste et permet de configurer la plupart des paramètres du navigateur Internet Explorer : page de démarrage, titre, activation des accélérateurs, du bloqueur de fenêtres intempestives, etc. Pour configurer la page d’accueil du navigateur : ■
■
Ajoutez ce composant à la passe specialize. Configurez la propriété Home_Page avec l’adresse de la page d’accueil que vous souhaitez proposer par défaut aux utilisateurs.
MicrosoftWindowsShellSetup Ce composant est nécessaire dans cette passe pour fournir au minimum la clé de produit de votre licence à l’assistant. ■
Ajoutez ce composant à la passe specialize.
■
Indiquez la clé de produit de votre licence Windows dans la propriété ProductKey (avec les tirets).
■
Modifiez la valeur de la propriété ComputerName en * (étoile) pour générer un nom aléatoire à chaque déploiement.
MicrosoftWindowsUnattendedJoin Lors de l’utilisation d’un serveur WDS, la création d’un compte d’ordinateur et la jonction au domaine sont normalement prises en charge par le serveur WDS. Néanmoins, si cette fonctionnalité a été désactivée sur le serveur, il est possible d’effectuer cette jonction au domaine lors de la passe specialize.
© ENI Editions - All rigths reserved - Kaiss Tag
86
- 7-
■
■
■
Ajoutez ce composant à la passe specialize. Dans le sousnœ ud Identification, renseignez la propriété JoinDomain avec le nom DNS du domaine Active Directory à rejoindre, et éventuellement la propriété MachineObjectOU avec le chemin LDAP de l’unité organisationnelle où créer le compte de machine. Dans le sousnœ ud Credentials, fournissez les informations d’identification d’un utilisateur du domaine habilité à joindre des stations au domaine.
c. Composants de la passe oobeSystem MicrosoftWindowsInternationalCore Ce composant permet de fournir des réponses au premier écran de l’assistant d’installation, qui vous demande le pays ou la région, le format de date et d’heure ainsi que la disposition de clavier. Pour configurer les paramètres régionaux : ■
Ajoutez ce composant à la passe oobeSystem.
■
Configurez la propriété InputLocale avec la culture du clavier utilisé (frFR par exemple).
■
■
■
Configurez la propriété SystemLocale avec la culture à utiliser pour les programmes nonUnicode (enUS par exemple). Configurez la propriété UILanguage avec la culture à utiliser pour l’interface de Windows (cette culture doit être présente sous la forme d’un pack de langue dans l’image WIM). Configurez la propriété UserLocale avec la culture correspondant aux paramètres de date et d’heure que vous souhaitez utiliser.
MicrosoftWindowsShellSetup Ce composant permet de configurer les paramètres de sécurité du poste (mises à jour automatiques, type de réseau sur lequel le poste est connecté) ainsi que de gérer les comptes locaux. ■
■
■
■
■
Ajoutez ce composant à la passe oobeSystem. Configurez les propriétés RegisteredOrganization et RegisteredOwner avec le nom de votre société et de l’utilisateur. Configurez la propriété TimeZone avec le nom du fuseau horaire souhaité (Romance Standard Time pour la France). Dans le sousnœ ud OOBE, configurez la propriété NetworkLocation à Work et la propriété ProtectYourPC à 1 (paramètres recommandés de Windows Update). Faites un clic droit sur le nœ ud UserAccounts/LocalAccounts et cliquez sur Insérer un nouvel élément "LocalAccount".
■
Sélectionnez le nouveau nœ ud LocalAccount et complétez les propriétés Name et DisplayName.
■
Renseignez la propriété Group avec la valeur Administrators.
■
Sélectionnez le sousnœ ud Password et indiquez le mot de passe du compte à créer.
d. Packages Les packages permettent d’activer ou de désactiver des fonctionnalités de Windows, ainsi que d’ajouter des prises - 8-
© ENI Editions - All rigths reserved - Kaiss Tag
87
en charge linguistiques. MicrosoftWindowsFoundationPackage Les fonctionnalités de ce package sont celles présentées par l’utilitaire graphique Activer ou désactiver des fonctionnalités Windows (accessoires, services Unix, etc.). ■
Ajoutez ce package au fichier de réponses.
■
Configurez la propriété InboxGames à Disabled pour désactiver les jeux.
■
Configurez la propriété TelnetClient à Enabled pour installer le client Telnet.
© ENI Editions - All rigths reserved - Kaiss Tag
88
- 9-
Gestion et maintenance des images de déploiement L’arrivée du WAIK de Windows 7 a également été celle d’un nouvel utilitaire de gestion des images WIM en ligne de commande, nommé DISM (Deployment Image Servicing and Management). Remplaçant du Package Manager, de PEimg et de intlcfg, il regroupe toutes les opérations de gestion en ligne et hors ligne possibles sur une image WIM : gestion des modules linguistiques, des paramètres régionaux, des composants Windows, des pilotes de périphériques, etc. L’utilitaire DISM doit être exécuté avec des droits élevés. Pour cela, faites un clicdroit sur Invite de commande des outils de déploiement dans le groupe d’icônes Microsoft Windows WAIK et cliquez sur Exécuter en tant qu’administrateur.
1. Manipulations de base avec DISM Une des premières tâches de la gestion d’images WIM consiste à monter une image WIM pour la modifier. "Monter une image WIM" signifie rendre accessible le contenu de cette image via un répertoire local de la machine sur laquelle l’image est montée. Une fois montée, le contenu de l’image peut être modifié et conservé lors du démontage. Cependant, un fichier .WIM pouvant contenir plusieurs images de systèmes d’exploitation, il est souvent nécessaire de dresser auparavant la liste des systèmes contenus dans ce fichier pour monter la bonne image. Lister des images contenues dans un fichier WIM La commande /Get-WimInfo affiche le nom, la description, la taille et le numéro d’index de chaque image contenue dans le fichier WIM spécifié avec le paramètre /WimFile. Syntaxe : Dism.exe /Get-WimInfo /WimFile: Inventaire des images du média de Windows 7 Ultimate : C:\>dism.exe /get-wiminfo /wimfile:f:\sources\install.wim Outil Gestion et Maintenance des images de déploiement Version: 6.1.7600.16385 Détails pour l’image : f:\sources\install.wim Index : 1 Nom : Windows 7 STARTER Description : Windows 7 STARTER Taille : 7 936 340 784 octets Index : 2 Nom : Windows 7 HOMEBASIC Description : Windows 7 HOMEBASIC Taille : 7 992 394 907 octets Index : 3 Nom : Windows 7 HOMEPREMIUM Description : Windows 7 HOMEPREMIUM Taille : 8 432 859 356 octets Index : 4 Nom : Windows 7 PROFESSIONAL Description : Windows 7 PROFESSIONAL Taille : 8 313 318 889 octets Index : 5 Nom : Windows 7 ULTIMATE Description : Windows 7 ULTIMATE Taille : 8 471 060 645 octets
© ENI Editions - All rigths reserved - Kaiss Tag
89
- 1-
L’opération a réussi.
Monter une image WIM La commande /Mount-Wim monte le fichier WIM spécifié dans le répertoire indiqué par le paramètre /MountDir. Le paramètre /Name ou le paramètre /Index doit être fourni pour indiquer, respectivement, le nom ou le numéro d’index de l’image à monter (un fichier WIM pouvant contenir plusieurs images). Le paramètre optionnel /ReadOnly permet de ne monter l’image qu’en lecture, afin d’éviter toute modification involontaire. Ce paramètre est obligatoire si vous montez l’image WIM directement depuis un DVD ou un autre média en lecture seule. Syntaxe : Dism.exe /Mount-Wim /WimFile: /MountDir: {/Name:|/Index:} [/ReadOnly] Montage de l’image WIM de Windows 7 Professionnel depuis le média de Windows Ultimate : C:\>mkdir c:\mount C:\>dism.exe /mount-wim /wimfile:f:\sources\install.wim /Name:"Windows7 PROFESSIONAL" /MountDir:c:\mount/ReadOnly Outil Gestion et Maintenance des images de déploiement Version: 6.1.7600.16385 Montage de l’image [==========================100.0%==========================] L’opération a réussi. Démonter une image WIM La commande /Unmount-Wim démonte le fichier WIM monté dans le répertoire spécifié. Le paramètre /Commit ou /Discard doit être précisé pour indiquer à DISM d’enregistrer les modifications (sauf si l’image a été montée en lecture seule avec le paramètre /ReadOnly) ou de les abandonner. Syntaxe : Dism.exe /Unmount-Wim /MountDir: {/Commit|/Discard} Démontage de l’image WIM montée et abandon des modifications : C:\>dism.exe /Unmount-Wim /MountDir:c:\mount /Discard Inventaire des images WIM montées La commande /Get-MountedWimInfo affiche la liste de toutes les images WIM montées sur le poste de travail, leur statut ainsi qu’un indicateur sur la possibilité d’écriture sur cellesci. Syntaxe : Dism.exe /Get-MountedWimInfo Inventaire des images WIM montées : C:\>dism.exe /get-mountedwiminfo Outil Gestion et Maintenance des images de déploiement Version: 6.1.7600.16385
- 2-
© ENI Editions - All rigths reserved - Kaiss Tag
90
Images montées : Répertoire de montage : d:\mount Fichier image : d:\sources_win7\sources\install.wim Index de l’image : 1 Lecture/écriture montée : Yes Etat : Ok L’opération a réussi.
2. Intégration de packs de langue Les entreprises implantées dans plusieurs pays doivent faire face au problème des différentes langues et cultures en leur sein. Les difficultés liées à cette multiculturalité se ressentent également au sein des services informatiques, qui doivent assurer la même qualité de service à chacun, quelle que soit sa langue. La prise en charge de plusieurs langues au sein d’une même image d’installation permet d’assurer une cohérence du parc, tout en tenant compte des spécificités régionales. L’exemple présenté ici concerne l’ajout du pack de langue Français aux sources d’une installation d’origine anglaise, pour plateforme 32 bits (architecture x86). L’ajout de modules linguistiques à l’assistant d’installation nécessite le média de Windows Automated Installation Kit pour Windows 7.
a. Copie des sources La première étape consiste à rendre disponibles (et modifiables) les sources de l’installation de Windows 7. Pour cela : ■
Insérez le média d’installation de Windows 7.
■
Copiez tout le contenu du média d’installation vers un répertoire c:\win7.
xcopy d: c:\win7 /cheriky
■
Créez un répertoire où monter les images WIM (c:\mount par exemple).
mkdir c:\mount
b. Intégration de packs de langue à l’assistant d’installation Le fichier boot.wim utilisé pour installer Windows 7 contient deux images WIM, le pack de langue doit être ajouté pour chacune d’entre elles. ■
Exécutez l’Invite de commande des outils de déploiement en tant qu’administrateur.
■
Montez l’image n°1 du fichier boot.wim dans le répertoire c:\mount.
Dism.exe /mount-wim /wimfile:c:\win7\sources\boot.wim /mountdir:c:\mount /index:1
■
■
Insérez le média d’installation de WAIK pour Windows 7. Ajoutez le package Français de Windows PE à l’image montée (celuici se trouve sur le média d’installation de WAIK).
© ENI Editions - All rigths reserved - Kaiss Tag
91
- 3-
Dism.exe /Image:c:\mount /Add-Package /PackagePath:d:\WinPE_LangPacks\x86\fr-fr\lp.cab
■
Mettez à jour le fichier lang.ini pour prendre en compte le pack de langue ajouté.
Dism.exe /Image:c:\mount /Gen-LangINI /distribution:c:\mount
■
Démontez l’image en enregistrant les modifications.
Dism.exe /Unmount-wim /MountDir:c:\mount /Commit
■
Montez l’image n°2 du fichier boot.wim dans le répertoire c:\mount.
Dism.exe /mount-wim /wimfile:c:\win7\sources\boot.wim /mountdir:c:\mount /index:2
■
Ajoutez le package Français de Windows PE à l’image montée (celuici se trouve sur le média d’installation de WAIK). Dism.exe /Image:c:\mount /Add-Package /PackagePath:d:\WinPE_LangPacks\x86\fr-fr\lp.cab
■
Ajoutez le package Français de l’installation Windows PE à l’image montée (celuici se trouve sur le média d’installation de WAIK). Dism.exe /Image:c:\mount /Add-Package /PackagePath:d:\WinPE_LangPacks\x86\fr-fr\winpe-setup_fr-fr.cab
■
Ajoutez le package Client Français de l’installation de Windows PE à l’image montée (celuici se trouve sur le média d’installation de WAIK). Dism.exe /Image:c:\mount /Add-Package /PackagePath:d:\WinPE_LangPacks\x86\fr-fr\winpe-setup-client_fr-fr.cab
■
Mettez à jour le fichier lang.ini pour prendre en compte le pack de langue ajouté.
Dism.exe /Image:c:\mount /Gen-LangINI /distribution:c:\mount
■
Démontez l’image en enregistrant les modifications.
Dism.exe /Unmount-wim /MountDir:c:\mount /Commit L’image boot.wim inclut désormais les langues anglaise et française, comme le montre le choix proposé lors de l’amorçage sur celleci :
- 4-
© ENI Editions - All rigths reserved - Kaiss Tag
92
Choix de la langue de l’assistant d’installation
c. Intégration de packs de langue au système d’exploitation L’ajout d’un pack de langue pour le système d’exploitation peut se faire à deux niveaux : soit en copiant le répertoire du pack de langue dans l’arborescence du serveur WDS, soit en intégrant le pack directement dans l’image WIM. Intégration au serveur WDS L’exemple traité ici montre comment ajouter le pack français à une image WIM anglaise déjà présente sur un serveur WDS. ■
■
Insérez le média contenant le pack de langue Français pour le système d’exploitation Windows 7. Créez un répertoire portant le nom de l’image dans le dossier \RemoteInstall\Images\[nom du groupe d’images] du serveur WDS (ex : d:\RemoteInstall\Windows 7\install si l’image WIM se nomme install.wim et se trouve dans le groupe d’images Windows 7).
■
Créez un répertoire langpacks sous le répertoire portant le nom de l’image.
■
Copiez le répertoire du pack de langue vers le répertoire \RemoteInstall\Windows 7\install\langpacks.
Le fichier lp.cab du pack de langue Français se trouve alors dans le répertoire \RemoteInstall\Images\Windows 7 \install\langpacks\frfr. L’image prend désormais en charge le français et l’anglais comme langue du système d’exploitation cible. Intégration à l’image WIM La procédure suivante permet d’intégrer le pack Français à l’image n°1 d’un fichier install.wim, avant que celleci ne soit ajoutée à un serveur WDS ou utilisée depuis un média amovible. ■
Exécutez l’Invite de commande des outils de déploiement en tant qu’administrateur.
© ENI Editions - All rigths reserved - Kaiss Tag
93
- 5-
■
Montez l’image du fichier boot.wim dans le répertoire c:\mount.
Dism.exe /mount-wim /wimfile:c:\win7\sources\boot.wim /mountdir:c:\mount /index:1
■
Ajoutez le pack de langue Français pour Windows 7 à l’image montée depuis le média contenant les packs de langues pour Windows 7. Dism.exe /image:c:\mount /add-package /packagepath:d:\lp\fr-fr\lp.cab
■
Mettez à jour le fichier lang.ini pour prendre en compte le pack de langue ajouté en utilisant la commande /GenLangINI.
Dism.exe /Image:c:\mount /Gen-LangINI /distribution:c:\win7
■
Démontez l’image en enregistrant les modifications.
Dism.exe /Unmount-wim /MountDir:c:\mount /Commit L’image WIM rendue ainsi multilingue est prête à être ajoutée à un serveur WDS ou utilisée sur un média amovible.
Choix de langue lors de la sélection du système à installer
3. Ajout de pilotes L’ajout de pilotes de périphériques à une image WIM permet de prendre en charge de nouveaux matériels lors de l’installation (dans le cas d’une image de démarrage telle que boot.wim) ou dans le système d’exploitation installé. La procédure cidessous montre comment intégrer le pilote pour souris Microsoft Intellipro à une image d’installation de Windows 7 Entreprise.
- 6-
© ENI Editions - All rigths reserved - Kaiss Tag
94
■
■
■
Téléchargez le pilote Microsoft IntelliPro depuis le site Microsoft dédié au support et enregistrezle dans un répertoire temporaire. Exécutez l’Invite de commande des outils de déploiement en tant qu’administrateur. Décompressez dans un répertoire temporaire (c:\temp\intellipro par exemple) le fichier .exe téléchargé, à l’aide du paramètre /x. IPx86_1036_7.00.260.0 /x
■
Montez l’image du fichier install.wim dans le répertoire c:\mount.
Dism.exe /mount-wim /wimfile:c:\win7\sources\install.wim /mountdir:c:\mount /index:1
■
Ajoutez l’ensemble des pilotes de l’arborescence à l’image montée avec la commande /Add-Driver et les paramètres /Driver et /Recurse. Dism.exe /image:c:\mount /add-driver / Driver:c:\temp\intellipro\ipoint\setup\files\driver /Recurse
■
Vérifiez la présence des pilotes que vous venez d’ajouter en passant la commande /Get-Drivers.
Dism /image:c:\mount /Get-Drivers
■
Démontez l’image en enregistrant les modifications.
Dism.exe /Unmount-wim /MountDir:c:\mount /Commit
Le paramètre /Recurse indique à DISM de parcourir l’ensemble de la structure de répertoire spécifiée à la recherche de fichiers descriptifs de pilotes INF.
Le paramètre /ForceUnsigned permet l’ajout de pilotes non signés à une image 64 bits, dont la stratégie est par défaut de refuser l’ajout de tels pilotes.
4. Ajout de mises à jour ou de fonctionnalités L’ajout de mises à jour directement dans une image répond à deux objectifs : le gain de temps lors du déploiement et la sécurisation de l’installation dès les premières étapes. L’ajout de fonctionnalités permet d’enrichir l’installation d’éléments non inclus par l’éditeur, lors de la sortie du système d’exploitation, ou venant d’autres éditeurs. Seules les mises à jour du type Microsoft Update (fichiers .msu) et les packages Cabinet (fichiers .cab) peuvent être inclus hors ligne via les utilitaires de gestion des images. L’exemple présenté ici ajoute le package de Windows Virtual PC à une image WIM de Windows 7 Entreprise, permettant ainsi de bénéficier de la virtualisation d’applications non compatibles avec Windows 7. ■
Exécutez l’Invite de commande des outils de déploiement en tant qu’administrateur.
■
Montez l’image WIM à mettre à jour dans le répertoire c:\mount.
Dism.exe /mount-wim /wimfile:c:\win7\sources\install.wim /mountdir:c:\mount /index:1
© ENI Editions - All rigths reserved - Kaiss Tag
95
- 7-
■
Ajoutez le package de Windows Virtual PC à l’image WIM montée à l’aide de la commande /Add-Package.
Dism.exe /Image:c:\mount /Add-Package /PackagePath:c:\temp\ Windows6.1-KB958559-x86.msu
■
Vérifiez la présence du package que vous venez d’ajouter grâce à la commande /Get-Packages.
Dism /image:c:\mount /Get-Packages
■
Démontez l’image en enregistrant les modifications.
Dism.exe /Unmount-wim /MountDir:c:\mount /Commit
- 8-
© ENI Editions - All rigths reserved - Kaiss Tag
96
Résumé Ce chapitre vous a présenté l’utilisation des outils principaux du WAIK, ceux que vous aurez probablement à manipuler lors de vos déploiements. Nous avons ainsi vu comment automatiser le client de déploiement WDS et les installations de Windows, en fournissant des fichiers de réponses, et modifier les images d’amorçage et d’installation pour prendre en charge de nouvelles fonctionnalités. Cependant, même à l’aide de l’Assistant Gestion d’installation ou de l’outil Gestion et Maintenance des Images de Déploiement, vous avez constaté que le processus d’installation manquait de fluidité et de flexibilité : les fichiers doivent être créés de toutes pièces, les langues intégrées à la main, tout comme les pilotes de périphériques, etc. Pour remédier à cela, un outil complémentaire indispensable à WAIK 2 existe : le Microsoft Deployment Toolkit 2010, dont le chapitre suivant vous propose l’étude.
© ENI Editions - All rigths reserved - Kaiss Tag
97
- 1-
Présentation du kit et installation Microsoft Deployment Toolkit (MDT) est une pièce maîtresse, dans la solution proposée par Microsoft, pour déployer ses systèmes d’exploitation en entreprise. Utilisé seul, il permet d’effectuer des déploiements quasiautomatiques appelés LTI (Lite Touch Installation), tandis qu’intégré au sein de System Center Configuration Manager, il déploie tout son potentiel en permettant des déploiements entièrement automatisés, on parle alors de ZTI (Zero Touch Installation). Cet environnement nécessite la présence locale du kit WAIK, dont il utilise les outils de manipulation des images WIM et de personnalisation de Windows PE pour créer les images de démarrage spécifiques aux déploiements LTI et ZTI. À la différence de WDS, étudié précédemment et qui incluait tout le nécessaire pour qu’un poste amorce à travers le réseau et pour lancer une installation de Windows, MDT ne va mettre à disposition des clients qu’un simple partage de fichiers et une image d’amorçage qui viendra connecter les clients à ce partage. Ces images d’amorçage WIM produites par l’environnement MDT devront être mises à disposition des clients via un serveur WDS. Il est également possible de générer un média d’installation à partir d’un partage de déploiement MDT, notamment pour les postes déconnectés du réseau de l’entreprise ou lorsque les contraintes du réseau ne permettent pas d’envisager un déploiement via celuici. Dans sa version 2010, MDT supporte les déploiements LTI et ZTI pour les systèmes d’exploitation clients Windows XP Service Pack 3, Windows Vista Service Pack 1 ou ultérieur et Windows 7. Les environnements serveurs supportés sont Windows Server 2003 R2, 2008 (tous services packs) et 2008 R2. Avant d’installer MDT 2010 sur un poste, assurezvous que celuici dispose des prérequis suivants : ●
Microsoft Management Console (MMC) 3.0
●
Microsoft .Net Framework 2.0 ou supérieur
●
Windows PowerShell 1.0, 2.0 ou supérieur
●
Windows Automated Installation Kit (WAIK) pour Windows 7
Si le poste ne dispose pas de ces éléments, vous pouvez les télécharger sur le site Web de Microsoft (http://www.microsoft.com). Pour installer Microsoft Deployment Toolkit : ■
Téléchargez la version de Microsoft Deployment Toolkit correspondant à votre architecture depuis le site de Microsoft, à l’adresse http://technet.microsoft.com/frfr/desktopdeployment/default.aspx
■
Exécutez le fichier MSI téléchargé.
■
Cliquez sur Next.
■
Sélectionnez I accept the terms in the license agreement et cliquez sur Next.
■
Sélectionnez toutes les fonctionnalités et cliquez sur Next.
■
Cliquez sur Install.
■
Une fois l’installation terminée, cliquez sur Finish.
MDT peut être installé sur une autre machine que celle qui hébergera le partage de déploiement tant que vous disposez des droits NTFS et réseau suffisants pour vous connecter à distance à ce partage. Une fois MDT installé, vous trouverez dans le menu Démarrer un groupe de programmes Microsoft Deployment Toolkit, présentant notamment trois icônes importantes : ●
Deployment Workbench : il s’agit de la console principale de MDT.
●
Configure ConfigMgr Integration : permet l’intégration à System Center Configuration Manager pour effectuer
© ENI Editions - All rigths reserved - Kaiss Tag
98
- 1-
des déploiements ZTI. ●
Remove WDS PXE Filter : permet de supprimer l’ancien filtre pour clients inconnus de MDT 2008.
Sauf mention contraire, les explications et commentaires sur Microsoft Deployment Toolkit données dans ce chapitre peuvent ne pas s’appliquer à d’autres déploiements que celui de Microsoft Windows 7.
- 2-
© ENI Editions - All rigths reserved - Kaiss Tag
99
La console Deployment Workbench La console Deployment Workbench présente deux nœ uds principaux : le premier, nommé Information Center, regroupe des informations et de la documentation sur l’outil. Il permet également de contrôler la présence, sur le poste, d’éléments obligatoires ou facultatifs pour le fonctionnement de MDT. Le second, nommé Deployment Shares, affiche la liste des points de déploiement et permet d’en créer de nouveaux.
La console Deployment Workbench
1. Partages de déploiement Les partages de déploiement sont la fusion des anciens partages de distribution et des points de déploiement qui existaient sous BDD 2007 et MDT 2008. Ils offrent une plus grande souplesse de gestion, notamment au niveau de la console qui peut désormais en afficher plusieurs en même temps. Un partage de déploiement est une arborescence dans laquelle vont être créés ou importés les éléments nécessaires à un déploiement particulier (systèmes d’exploitation, applications, pilotes de périphériques, mises à jour, etc.)
a. Créer un partage de déploiement Pour créer un nouveau partage de déploiement (dans le cas d’un serveur WDS sur lequel est installé MDT) : ■
Créez un répertoire pour le partage de déploiement sur le serveur WDS (ex : d:\DeploymentShare).
■
Ouvrez la console Deployment Workbench.
■
Faites un clic droit sur le nœ ud Deployment Shares et sélectionnez New Deployment Share.
■
Entrez le chemin du répertoire créé pour le partage de déploiement et cliquez sur Next.
■
Entrez une description pour ce partage de déploiement.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
100
- 1-
■
■
■
Cochez la case Ask if an image should be captured si vous souhaitez proposer à l’opérateur une capture de l’image déployée. Cliquez sur Next. Cochez la case si vous souhaitez que l’opérateur puisse configurer le mot de passe de l’administrateur du poste au moment du déploiement.
■
Cliquez sur Next.
■
Cochez la case si vous souhaitez demander une clé de produit lors du déploiement.
■
Cliquez sur Next.
■
Vérifiez les paramètres de création du partage de déploiement.
■
Cliquez sur Next.
■
Une fois le partage de déploiement créé, cliquez sur Finish.
Une fois le partage de déploiement créé, celuici apparaît automatiquement dans la console Deployment Workbench. Sachez qu’il est possible de créer des dossiers sous les nœ uds Applications, Operating Systems, Outofbox drivers, Packages et Task Sequences, de manière à organiser les éléments comme vous le souhaitez. Vous pouvez ainsi séparer les éléments par système d’exploitation, par environnement (test, recette, production), ou encore par population ciblée. Un autre avantage de l’organisation par dossier consiste à pouvoir désactiver tous les éléments d’un dossier en désactivant ce dossier luimême, rendant ainsi son contenu inaccessible pour les déploiements. Les dossiers permettent également d’affiner les profils de sélection (voir le paragraphe consacré à ce sujet). La création de dossier se fait en sélectionnant l’item New Folder du menu contextuel de chaque nœ ud ou du menu Action de la console MMC. Le bouton View Script, disponible à la fin de la plupart des assistants de MDT, permet de visualiser l’équivalent en script PowerShell de la commande qui vient d’être exécutée.
Arborescence d’un partage de déploiement
- 2-
© ENI Editions - All rigths reserved - Kaiss Tag
101
b. Propriétés d’un partage de déploiement L’assistant de création de partage de déploiement ne pose que les questions obligatoires pour sa création, mais d’autres propriétés, toutes aussi importantes, peuvent être définies via les pages de propriétés. Pour afficher les propriétés d’un partage de déploiement : ■
Ouvrez la console Deployment Workbench.
■
Déployez le nœ ud Partages de déploiement.
■
Faites un clic droit sur le partage dont vous souhaitez afficher les propriétés.
■
Sélectionnez l’item Properties dans le menu contextuel ou sélectionnez Properties dans le menu Action de la console MMC.
Onglet General On retrouve, dans cet onglet, les informations fournies lors des trois premiers écrans de l’assistant de création du point de déploiement ; à savoir la description, le chemin physique et le nom du partage réseau. Le cadre Platforms Supported permet de préciser quelles sont les architectures prises en charge par ce partage de déploiement, c’est àdire pour lesquelles des images WIM et ISO doivent être créées lors de la mise à jour du partage. La dernière option permet de préciser le support ou non des déploiements Multicast avec Windows 2008 (voir le chapitre Windows Deployment Services Déploiements multicast). L’activation de cette option se traduit par l’inclusion du package "client multicast" dans les images WIM et ISO générées.
Propriétés générales d’un partage de déploiement
Onglet Rules Cet onglet présente le contenu du fichier CustomSettings.ini se trouvant dans le répertoire Control du partage de © ENI Editions - All rigths reserved - Kaiss Tag
102
- 3-
déploiement. Ce fichier sert de référence aux scripts de MDT, pour connaître les tâches à effectuer et les réponses à fournir automatiquement aux assistants. On y retrouve par défaut deux sections : 1) La section Settings, qui définit grâce à la propriété Priority quel sera l’ordre de recherche des propriétés dans les autres sections, séparées par des virgules. Dès qu’une propriété recherchée est trouvée dans une section, la recherche s’arrête. La valeur par défaut de la propriété Priority précise que seule la section Default sera traitée. 2) La section Default contient la propriété OSInstall=Y (qui autorise le client de déploiement à installer un système d’exploitation sur la machine cible), ainsi que les réponses à l’assistant de création d’un partage de déploiement, traduites sous forme de propriétés MDT. Vous avez la possibilité de créer d’autres sections, par exemple pour préciser des paramètres spécifiques à certains postes ou à certains sites. En ajoutant la valeur MACAddress dans la liste de la propriété Priority, par exemple, vous pouvez ensuite créer des sections portant le nom des adresses physiques des cartes réseau (MAC) des postes déployés et personnaliser ainsi les déploiements effectués sur ces postes. Exemple de fichier CustomSettings.ini : [Settings] Priority=MACaddress, Default [Default] OSInstall=YES [00:15:0F:35:AA:02] OSDComputerName=Poste1 [00:15:0F:35:BC:87] OSDComputerName=Poste2 Le bouton Edit Bootstrap.ini permet d’éditer le fichier du même nom (placé lui aussi dans le répertoire Control), utilisé lorsque l’ordinateur cible ne peut se connecter au partage de déploiement (dans le cas d’une installation par média amovible sur un PC non connecté au réseau par exemple) et au tout début du lancement de Windows PE pour se connecter au partage MDT. Il reprend la même structure que le fichier CustomSettings.ini, mais supporte une liste de propriétés plus restreinte.
- 4-
© ENI Editions - All rigths reserved - Kaiss Tag
103
Règles du partage de déploiement
L’aide en ligne de Deployment Workbench contient la liste exhaustive des propriétés utilisables dans les fichiers CustomSettings.ini et Bootstrap.ini.
Onglet Windows PE Settings Décliné pour les architectures x86 (32 bits) et x64 (64 bits), cet onglet permet d’activer ou non la génération d’une image ISO pour le client de déploiement Lite Touch, ainsi que la génération d’images WIM et ISO génériques permettant le diagnostic du poste. Les noms des fichiers générés peuvent être modifiés depuis cet onglet. La génération d’une image WIM pour le client de déploiement Lite Touch est obligatoire. Le cadre inférieur propose quelques options de personnalisation du Windows PE généré, telles que le fond d’écran, un répertoire supplémentaire à inclure et l’espace mémoire supplémentaire à allouer pour des applications tierces embarquées dans le Windows PE.
Paramètres de Windows PE
Onglet Windows PE Components Présent également pour chaque architecture, cet onglet fournit des options permettant de sélectionner les composants optionnels à inclure dans le client de déploiement, les polices de caractère spécifiques à supporter et les groupes de pilotes de périphériques à injecter (en totalité, par groupe ou par classe de pilote).
© ENI Editions - All rigths reserved - Kaiss Tag
104
- 5-
Composants de Windows PE
c. Mise à jour d’un partage de déploiement La mise à jour d’un partage de déploiement permet de générer les fichiers ISO ou WIM du client de déploiement selon les paramètres de ce partage, ainsi que d’effectuer la mise à jour de ses fichiers de configuration. Cette opération doit être effectuée à chaque modification des propriétés du partage de déploiement. Pour mettre à jour un partage de déploiement : ■
Ouvrez la console Deployment Workbench.
■
Faites un clic droit sur le partage de déploiement que vous souhaitez mettre à jour.
■
Sélectionnez l’item Update Deployment Share du menu contextuel.
■
Sélectionnez Completely regenerate the boot images.
■
Cliquez sur Next.
■
Confirmez les paramètres en cliquant sur Next.
■
Une fois la mise à jour terminée, cliquez sur Finish.
Pour créer les images WIM et ISO du client de déploiement, MDT va chercher un fichier boot.wim correspondant au numéro de version du WAIK dans les systèmes d’exploitation importés, et s’il n’en trouve pas, va utiliser le fichier fourni avec WAIK. Cette opération est effectuée pour chaque plateforme (x86 et x64) indiquée comme étant supportée dans les propriétés du partage de déploiement. Une fois cette image WIM trouvée et montée, MDT va y inclure les composants additionnels requis, les scripts et les fichiers de configuration nécessaires au déploiement. Le profil de sélection configuré dans l’onglet Windows PE Components des propriétés du partage de déploiement permet de choisir quels sont les packages à inclure dans les images de démarrage, générées lors de la mise à jour
- 6-
© ENI Editions - All rigths reserved - Kaiss Tag
105
du partage. Par défaut, MDT essaie d’inclure tous les packages compatibles présents dans le nœ ud Packages parce qu’ils appartiennent tous au profil de sélection par défaut : All packages and drivers. La création de profils de sélection personnalisés et la configuration adéquate du partage de déploiement permettent d’affiner ce comportement (cf. section Configuration Avancée Profils de sélection). Ces images WIM sont ensuite copiées dans le répertoire Boot du partage de déploiement, et éventuellement converties en images ISO, si cela est indiqué dans les propriétés du partage. Pour utiliser ces images, vous devez les ajouter comme image de démarrage à un serveur WDS (cf. chapitre Windows Deployment Services Ajout d’une image de démarrage).
2. Systèmes d’exploitation La première tâche pour travailler avec MDT consiste à importer dans un partage de déploiement le ou les systèmes d’exploitation que vous souhaitez déployer. Ces systèmes d’exploitation peuvent se présenter sous la forme d’un répertoire de sources provenant d’un média (CD ou DVD), d’une image WIM capturée ou d’une image WIM stockée sur un serveur WDS.
a. Importer un système d’exploitation L’assistant d’importation d’un système d’exploitation va copier l’intégralité du média d’installation vers le partage de déploiement. Pour importer un système d’exploitation depuis un média : ■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud du partage de déploiement dans lequel vous souhaitez importer un nouveau système d’exploitation.
■
Faites un clic droit sur le nœ ud Operating Systems et sélectionnez l’option Import Operating System.
■
Sélectionnez l’option Full set of source files.
■
Cliquez sur Next.
■
Cliquez sur le bouton Browse et sélectionnez le répertoire racine du support d’installation de Windows 7, ou d’un équivalent contenant les sousrépertoires boot, efi, sources, support, etc.
■
Cliquez sur Next.
■
Confirmez le nom par défaut proposé ou entrez un nouveau nom pour ce système d’exploitation.
■
Cliquez sur Next.
■
Confirmez les paramètres d’importation en cliquant sur Next.
À l’issue de la procédure d’import, un sousrépertoire portant le nom affecté au système d’exploitation est créé dans le dossier Operating Systems du partage de déploiement (D:\DeploymentShare\Operating Systems dans notre exemple) et le contenu du média d’installation y est intégralement copié. À la différence de WDS, l’assistant d’importation de système d’exploitation de la console Deployment Workbench ne vous demande pas quelles sont les éditions de Windows présentes dans le fichier INSTALL.WIM que vous souhaitez importer, mais les importe toutes par défaut.
b. Supprimer un système d’exploitation Pour supprimer un système d’exploitation : ■
Ouvrez la console Deployment Workbench.
© ENI Editions - All rigths reserved - Kaiss Tag
106
- 7-
■
Développez le nœ ud du partage de déploiement hébergeant le système d’exploitation à supprimer.
■
Dans le nœ ud Operating Systems, faites un clic droit sur le système d’exploitation à supprimer.
■
Cliquez sur l’item Delete.
■
Cochez la case Completely delete these items.
■
Cliquez sur Next.
■
Confirmez la suppression en cliquant sur Next.
■
Cliquez sur Finish lorsque l’opération de suppression est terminée.
Si vous supprimez un système d’exploitation alors que celuici était utilisé dans des séquences de tâches, vous devrez modifier ces séquences pour qu’elles utilisent un autre système d’exploitation (modification de l’étape Install Operating System notamment).
c. Propriétés d’un système d’exploitation L’affichage des propriétés d’un système d’exploitation importé permet d’obtenir des détails sur celuici et sur l’image WIM qui le contient : langages supportés, numéro d’index dans l’image, version exacte, etc. Pour afficher les propriétés d’un système d’exploitation : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud du partage de déploiement hébergeant le système d’exploitation.
■
■
Dans le nœ ud Operating Systems, faites un clic droit sur le système d’exploitation dont vous souhaitez afficher les propriétés. Cliquez sur l’item Properties.
Propriétés de l’onglet General Operating system name Nom du système d’exploitation tel qu’il est affiché dans la console MDT et dans les séquences de tâche. Description Description de l’OS figurant dans le fichier WIM. OS Type Type de programme d’installation : Windows IBS pour Windows Vista, 7, 2008, Windows NT Source pour XP et 2003. Platform Architecture supportée : x86 pour le 32 bits, x64 pour le 64 bits. Build Identifiant complet de la version. Language(s)
- 8-
© ENI Editions - All rigths reserved - Kaiss Tag
107
Packs de langue inclus dans l’image WIM. Includes Setup Indique si l’image contient un programme d’installation (ce n’est pas le cas par défaut pour les images capturées). Path Chemin vers l’OS dans le partage de déploiement. Image file Nom du fichier WIM d’installation. Image index Numéro d’index de l’OS au sein du fichier WIM. Image name Nom de l’OS figurant dans le fichier WIM. Image size Taille de l’image WIM décompressée. HAL Couche d’abstraction matérielle supportée.
3. Intégrer des mises à jour et des composants La section Packages d’un partage de distribution permet d’intégrer non seulement des mises à jour de sécurité, mais également des composants additionnels aux systèmes d’exploitation tels que des packs de langue ou des modules non disponibles au moment de la mise sur le marché du système d’exploitation. Les packages doivent être au format Microsoft Update (fichiers .MSU) ou au format d’archive Microsoft Cabinet (fichiers .CAB). Pour intégrer des mises à jour ou des composants : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud du partage de déploiement pour lequel vous souhaitez ajouter un package.
■
Faites un clic droit sur le nœ ud Packages et sélectionnez l’item Import OS Packages.
■
Entrez le chemin contenant les fichiers MSU ou CAB à importer.
■
Cliquez sur Next.
■
Confirmez les paramètres d’importation en cliquant sur Next.
■
Une fois les packages importés, cliquez sur Finish.
Attention, l’assistant importe tous les packages rencontrés dans l’arborescence indiquée, sousrépertoires inclus.
4. Intégrer des applications © ENI Editions - All rigths reserved - Kaiss Tag
108
- 9-
Une fois le système d’exploitation installé sur un poste, vous voudrez probablement y installer des applications. A la différence d’un serveur WDS, qui au mieux ne prend en charge l’installation des applications qu’à travers une image WIM de référence ou les lignes de commandes additionnelles spécifiées dans un fichier XML de réponse automatique, MDT vous permet d’automatiser très facilement l’installation d’applications ou de groupes d’applications. La liste des applications importée est stockée dans le fichier Control\Applications.xml du partage de déploiement et la liste des groupes d’applications est stockée dans le fichier ApplicationGroup.xml du même répertoire.
a. Ajouter une application L’ajout d’une application à un partage de déploiement consiste à copier ou à déplacer ses sources vers le partage de distribution, la rendant ainsi disponible pour le client de déploiement de MDT lorsqu’il est connecté à ce partage. Pour ajouter une application à un partage de déploiement : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud du partage de déploiement pour lequel vous souhaitez rendre disponible l’application.
■
Faites un clic droit sur le nœ ud Applications et sélectionnez l’item New Application.
■
Sélectionnez Application with source files.
■
Cliquez sur Next.
■
■
■
Entrez un nom pour cette application. Les autres champs sont optionnels et servent à la création du nom par défaut de l’application dans la liste des applications. Cliquez sur Next. Indiquez l’emplacement depuis lequel l’assistant doit copier les sources de l’application à ajouter au partage de déploiement.
■
Cliquez sur Next.
■
Confirmez le nom proposé à partir des informations saisies ou modifiezle selon votre convention de nommage.
■
Cliquez sur Next.
■
Saisissez la ligne de commande nécessaire pour installer l’application silencieusement (ex : msiexec.exe /i monapplication.msi /qb).
■
Cliquez sur Next.
■
Confirmez le résumé des informations en cliquant sur Next.
■
Une fois l’ajout terminé, cliquez sur Finish.
Par défaut, l’application apparaît désormais dans la liste de la console MMC ainsi que sur l’écran de choix des applications à installer lors de l’exécution du client de déploiement MDT.
b. Propriétés d’une application Les deux onglets de propriétés d’une application permettent de préciser le comportement de l’application lors du déploiement : disponible ou non, les platesformes supportées, les dépendances applicatives, etc. Pour afficher les propriétés d’une application :
- 10 -
© ENI Editions - All rigths reserved - Kaiss Tag
109
■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud du partage de déploiement hébergeant l’application dont vous souhaitez modifier les propriétés.
■
Dans le nœ ud Applications, faites un clic droit sur l’application concernée pour en afficher le menu contextuel.
■
Cliquez sur l’item Properties.
Propriétés de l’onglet General Name Le nom de l’application tel qu’il apparaît dans la console MDT (dans le nœ ud Applications et les séquences de tâches). Comments Les commentaires saisis ici apparaissent dans l’interface du client de déploiement, juste en dessous du nom de l’application. Display name Nom affiché dans l’interface du client de déploiement. Short name Nom court de l’application. Version Version de l’application, purement informel, affiché uniquement dans la console MDT. Publisher Éditeur de l’application, purement informel, affiché uniquement dans la console MDT. Language Langue de l’application, purement informel, affiché uniquement dans la console MDT. Source directory Répertoire contenant l’application, relatif à la racine du partage de déploiement. Hide this application in the deployment wizard Si cette case est cochée, l’application n’apparaît pas dans la liste présentée par le client de déploiement. L’application peut néanmoins être installée via la séquence de tâches ou le fichier CustomSettings.ini. Enable this application Si cette case est décochée, l’application n’est pas sélectionnable dans la liste présentée par le client de déploiement. Propriétés de l’onglet Details Application bundle Indique si l’application est un groupe d’applications, dont l’ordre d’installation est spécifié via l’onglet Dependencies. Standard application
© ENI Editions - All rigths reserved - Kaiss Tag
110
- 11 -
Indique si l’application est installée normalement, via une ligne de commande. Quiet installation command Ligne de commande pour installer de manière automatique l’application (paramètre /q pour les fichiers MSI ou fichier de réponse ISS pour les programmes Installshield par exemple). Il n’est pas nécessaire de préciser ni le chemin complet de msiexec.exe ni le chemin du fichier MSI. Working directory Répertoire de travail lors de l’appel à la ligne de commande d’installation, relatif à la racine du partage de déploiement. Uninstall registry key name Nom de la clé recherchée par MDT dans la branche HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall pour déterminer si l’application est déjà installée sur la machine. Reboot the computer after installing the application Si cela n’est pas prévu par l’assistant d’installation de l’application, indique à MDT de redémarrer le poste de travail une fois l’application installée. This can run on any platform Permet de spécifier les platesformes matérielles et logicielles sur lesquelles l’application est supportée. This can run on the specified client platforms Permet d’indiquer les architectures et les systèmes d’exploitation sur lesquels l’application peut s’installer. Propriétés de l’onglet Dependencies Cet onglet est utilisé pour les groupes d’applications, mais également dans le cas des applications uniques, pour préciser les applications qui doivent être installées avant celle dont vous éditez les propriétés. Les applications sont installées dans l’ordre de la liste, de haut en bas. Add Affiche la liste des applications disponibles dans ce partage de déploiement et permet d’ajouter une application. Delete Supprime l’application sélectionnée. Up Augmente la priorité d’installation de l’application sélectionnée. Down Baisse la priorité d’installation de l’application sélectionnée.
Attention, MDT ne vérifie pas les références circulaires entre les dépendances d’applications lors de l’édition des propriétés d’une application, ni lors de la mise à jour du point de déploiement.
c. Créer un groupe d’applications Un groupe d’applications (ou "bundle", dans le jargon MDT) est un ensemble d’applications dont l’installation sera obligatoire et séquentiel dès lors que le groupe est sélectionné. La création de groupes d’applications permet également de gérer l’ordre dans lequel s’installent les applications du groupe. Pour créer un groupe d’applications :
- 12 -
© ENI Editions - All rigths reserved - Kaiss Tag
111
■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud du partage de déploiement pour lequel vous souhaitez rendre disponible l’application.
■
Faites un clic droit sur le nœ ud Applications et sélectionnez l’item New Application.
■
Sélectionnez Application bundle.
■
Cliquez sur Next.
■
Entrez un nom pour ce groupe d’applications.
■
Cliquez sur Next.
■
Confirmez les paramètres de création en cliquant sur Next.
■
Une fois le groupe créé, cliquez sur Finish.
■
Faites un clic droit sur le groupe que vous venez de créer.
■
Sélectionnez l’item Properties du menu contextuel.
■
Cliquez sur l’onglet Dependencies.
■
Ajoutez les applications de ce groupe avec le bouton Add.
■
Définissez l’ordre d’installation avec les boutons Up et Down.
■
Cliquez sur OK.
Si vous ne souhaitez pas rendre disponibles individuellement les applications de ce groupe, vous devez cocher la case Hide this application in the Deployment Wizard pour chacune d’entre elles (onglet General des propriétés de chaque application).
5. Intégrer des pilotes La section Outofbox drivers permet d’importer dans le partage de déploiement les pilotes de périphériques du matériel devant être supportés par votre socle. Bien que Windows 7 intègre en standard une grande quantité de pilotes (Microsoft et autres constructeurs) et reconnaisse ainsi la plupart des matériels, il peut être nécessaire de fournir des pilotes spécifiques. L’intégration des pilotes se fait de la même manière que celle des packages : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud du partage de déploiement dans lequel vous souhaitez importer des pilotes de périphériques.
■
Faites un clic droit sur le nœ ud OutofBox Drivers et sélectionnez l’item Import Drivers.
■
Entrez le chemin contenant les fichiers INF des pilotes.
■
Cliquez sur Next.
■
Confirmez les paramètres d’importation en cliquant sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
112
- 13 -
■
Une fois les pilotes importés, cliquez sur Finish.
La console Deployment Workbench affiche pour chaque pilote le type de périphériques supporté (carte réseau, carte vidéo, carte son, etc.), la compatibilité Windows Hardware Qualified List, l’architecture supportée (x86 ou x64) et la version du pilote. Attention, l’assistant importe tous les pilotes rencontrés dans l’arborescence indiquée, sousrépertoires inclus.
6. Séquences de tâches Une séquence de tâches est un fichier XML décrivant les actions à effectuer sur le poste à déployer. Ces actions correspondent à des scripts WSF ou VBS, hébergés dans le répertoire Scripts du partage de déploiement, et couvrent des thèmes aussi divers que la configuration réseau, l’installation d’applications, le partitionnement du disque dur, la capture des données utilisateurs, etc. Chaque séquence de tâches est stockée dans un fichier TS.XML au sein de l’arborescence Control du partage de déploiement, dans un sousrépertoire nommé selon l’identifiant de la séquence choisi lors de la création de celleci (ex : Control\TSO\TS.xml). Les actions que contient la séquence de tâches peuvent être celles proposées en standard par MDT ou des actions personnalisées, lançant un script spécifique ou une commande particulière. Les scripts peuvent se baser sur les variables définies dans les fichiers de configuration du partage de déploiement (CustomSettings.ini et Bootstrap.ini) ainsi que dans la base de données MDT (si celleci a été créée pour le partage de déploiements, cf. section Configuration avancée Base de données). Quatre scénarios classiques de déploiement sont pris en charge par les séquences de tâches proposées par défaut : Scénarios de déploiement pris en charge par MDT New Computer Considère le poste cible comme un poste vierge sur lequel aucune donnée n’est à sauvegarder. Refresh Le poste cible doit être réinstallé avec les paramètres types de l’entreprise, les données de l’utilisateur doivent être sauvegardées puis restaurées dans la nouvelle installation. Replace Le poste cible est matériellement remplacé par un autre, sur lequel l’image de référence de l’entreprise doit être installée. Les données de l’utilisateur doivent être sauvegardées sur l’ancien poste puis restaurées sur le nouveau. Upgrade Le système d’exploitation du poste cible doit être mis à jour, les données de l’utilisateur et les applications sont conservées sur le poste. Chacun de ces scénarios va se traduire par une valeur spécifique de la variable DeploymentType spécifiée dans le fichier CustomSettings.ini du partage de déploiement. Le choix d’un scénario dépend de votre projet de migration et de votre environnement, auxquels les séquences de tâches vont adapter leurs actions.
a. Phases d’une séquence de tâches Les séquences de tâches utilisent habituellement sept phases (qui ne sont pas directement liées aux passes d’installation des fichiers de réponses). Ces phases permettent aux scripts MDT d’identifier les grandes étapes d’un déploiement mais également de reprendre l’installation à son dernier point d’arrêt en cas d’interruption fortuite ou de redémarrage du poste provoqué par une action. Le nom de la phase en cours est enregistré dans une variable interne nommée PHASE, dont la valeur conditionne l’exécution de chaque groupe d’étapes de la séquence de tâches. Voici les phases types que vous rencontrerez le plus souvent dans les séquences de tâches : Initialization Le script ZTIGather.wsf est exécuté pour retranscrire, au sein de l’instance Windows PE, les propriétés et les - 14 -
© ENI Editions - All rigths reserved - Kaiss Tag
113
valeurs des fichiers de configuration présents sur le partage de déploiement. Cette retranscription se fait sous forme de variables d’environnement, donc volatiles d’un redémarrage à l’autre. Cette phase est exécutée au début du déploiement ainsi qu’après chaque redémarrage. Validation Des vérifications sont effectuées au niveau des caractéristiques matérielles et logicielles du poste cible (fréquence du processeur, quantité de mémoire et espace disque disponible, type de système d’exploitation). Selon vos configurations matérielles, vous pouvez être amené à adapter cette phase (bien que ses valeurs par défaut soient adaptées au déploiement de Windows 7). State Capture Dans le cas d’une séquence de tâches utilisée pour migrer des utilisateurs d’un ancien poste vers un nouveau, cette phase prend en charge la génération d’un fichier d’inventaire des applications utilisateur, la sauvegarde des données utilisateurs à l’aide de l’outil Microsoft User State Migration Tool (USMT), ainsi que la sauvegarde de la composition des groupes locaux. Dans le cas de la réinstallation du système d’exploitation sur la même machine, cette phase prépare la sauvegarde du poste en désactivant le chiffrement de disque. Preinstall Si le déploiement concerne un nouveau poste, des vérifications, ainsi que le partitionnement du disque dur, sont effectuées durant cette phase. Si le déploiement est configuré pour réinstaller un poste existant, une sauvegarde au format WIM est effectuée. Dans tous les cas, l’assistant de déploiement procède à une injection des pilotes de périphériques et des patchs manquants. Install Comme son nom l’indique, cette phase s’occupe de l’installation de l’image WIM du système d’exploitation spécifié sur le disque et la partition indiqués. Postinstall Cette étape concerne essentiellement la réinstallation des pilotes de périphériques et la restauration de l’environnement de déploiement (scripts et variables). StateRestore Enfin, la phase StateRestore configure les paramètres des cartes réseau, force la mise à jour du système d’exploitation grâce à Windows Update, installe les applications et restaure les données utilisateurs si l’option était précisée. Cette phase s’occupe également de la préparation et de la capture du poste sous forme d’une image WIM pouvant être ensuite utilisée comme image de référence pour de futurs déploiements.
b. Modèles prédéfinis de séquences de tâches Les modèles prédéfinis de séquences de tâches proposés par l’assistant sont des fichiers XML stockés dans le sous répertoire Templates du répertoire d’installation de MDT (généralement C:\Program Files\Microsoft Deployment Toolkit\Templates). En vous basant sur ces modèles, vous pouvez créer votre propre séquence de tâches type et la personnaliser via l’assistant de création. Standard Client Task Sequence (Client.xml) Ce modèle de séquence de tâches répond à la plupart des besoins et prend en charge aussi bien le déploiement sur des machines vierges que sur des postes disposant déjà d’un système d’exploitation. Selon le type de scénario de déploiement configuré, il pourra effectuer la sauvegarde et la restauration des données utilisateur. Il permet également la capture du poste déployé pour une utilisation ultérieure comme image de référence. Standard Server Task Sequence (Server.xml) Identique au modèle cidessus, à l’exception des actions de validation qui imposent, dans le cas d’un scénario de mise à jour d’une machine avec OS, que le système d’exploitation actuel du poste soit de type serveur. Standard Client Replace Task Sequence (ClientReplace.xml) Ce modèle capture les groupes locaux et les données utilisateur à l’aide d’USMT, puis effectue une sauvegarde
© ENI Editions - All rigths reserved - Kaiss Tag
114
- 15 -
complète du poste sous forme d’image WIM. Un effacement complet du disque est exécuté à la fin de la procédure. Sysprep and Capture (CaptureOnly.xml) Ce modèle prépare le poste à l’aide des outils Sysprep et le capture sous forme d’une image WIM prête à servir d’image de référence pour d’autres déploiements. Cette séquence de tâches doit être lancée depuis une session ouverte sur la machine à capturer, en accédant au partage réseau du déploiement et en exécutant le script LiteTouch.wsf. LiteTouch OEM Task Sequence (LTIOEM.xml) Ce modèle est utilisé par les fabricants d’ordinateurs pour préparer les machines en copiant leurs fichiers spécifiques sur le disque dur. Post OS Installation Task Sequence (StateRestore.xml) Ce modèle de séquence de tâches permet d’effectuer des opérations sur des postes déjà installés (qu’ils l’aient été avec MDT ou non), telles que la capture d’image de référence ou la restauration d’images WIM venant d’autres postes.
c. Création d’une séquence de tâches Après l’importation d’un système d’exploitation, la création d’une séquence de tâches est la deuxième étape obligatoire pour vous permettre de déployer des postes. Pour cela : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud du partage de déploiement pour lequel vous souhaitez créer une séquence de tâches.
■
Faites un clic droit sur le nœ ud Task Sequences et sélectionnez l’item New Task Sequence.
■
■
■
Entrez un nom pour cette séquence de tâches (il sera affiché lors du déploiement). Entrez un commentaire ou une description (il sera affiché sous le nom de la séquence de tâches lors du déploiement).
■
Cliquez sur Next.
■
Sélectionnez un modèle de séquence de tâches (Standard Client Task Sequence, par exemple).
■
Cliquez sur Next.
■
Sélectionnez le système d’exploitation que doit déployer cette séquence (Windows 7 Enterprise dans notre cas).
■
Cliquez sur Next.
■
Sélectionnez Do not specifiy a product key at this time.
■
Cliquez sur Next.
■
- 16 -
Entrez un identifiant alphanumérique pour la séquence de tâches (cet identifiant sera utilisé comme nom de répertoire).
Entrez un nom d’utilisateur, un nom d’organisation et une adresse URL comme page de démarrage d’Internet Explorer.
■
Cliquez sur Next.
■
Sélectionnez Do not specify an Administrator password at this time.
© ENI Editions - All rigths reserved - Kaiss Tag
115
■
Cliquez sur Next.
■
Confirmez les paramètres de la séquence de tâches à créer en cliquant sur Next.
■
Une fois la séquence créée, cliquez sur Finish.
Si vous ne l’avez pas encore fait, mettez à jour le point de déploiement au moins une fois pour générer les images d’amorçage (cf. paragraphe Mise à jour d’un partage de déploiement) et ajoutez ces images à un serveur WDS. Le partage de déploiement est désormais prêt à être utilisé par les clients à déployer. Pour tester la séquence de tâches créée : ■
Démarrez un poste de test sur le réseau en appuyant sur [F12].
■
Lorsque le menu Windows Boot Manager apparaît, sélectionnez Lite Touch Windows PE et appuyez sur [Entrée].
■
Cliquez sur Run the Deployment Wizard to install a new Operating System.
■
Entrez un nom d’utilisateur, un mot de passe et un domaine pour vous connecter au partage de déploiement créé sur le serveur MDT.
■
Cliquez sur OK.
■
Sélectionnez la séquence de tâches que vous venez de créer.
■
Cliquez sur Next.
■
Entrez un nom d’ordinateur.
■
Cliquez sur Next.
■
Sélectionnez Join a domain et entrez les informations nécessaires (nom du domaine et compte utilisateur pour joindre ce domaine).
■
Cliquez sur Next.
■
Sélectionnez Do not restore user data and settings.
■
Cliquez sur Next.
■
Si vous avez importé des packs de langue dans le partage de déploiement, sélectionnezen un.
■
Cliquez sur Next.
■
Sélectionnez les paramètres de langue adéquats (par défaut ce sont ceux du pack de langue sélectionné).
■
Cliquez sur Next.
■
Sélectionnez un fuseau horaire.
■
Cliquez sur Next.
■
■
Si vous avez importé des applications dans le partage de déploiement, sélectionnez celles que vous souhaitez installer. Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
116
- 17 -
■
Cliquez sur Begin.
Le client de déploiement MDT va maintenant dérouler les actions prévues par la séquence de tâches : préparation du poste, injection des packs de langue dans l’image du système d’exploitation, installation de celuici, installation des applications sélectionnées, redémarrage et reprise si nécessaire, etc.
d. Édition d’une séquence de tâches L’édition d’une séquence de tâches permet d’ajouter des étapes dans les phases d’installation ou de modifier les étapes prévues par le modèle utilisé lors de sa création. Pour modifier une séquence de tâches : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud du partage de déploiement contenant la séquence à modifier.
■
Dans le nœ ud Task Sequences, faites un clic droit sur la séquence concernée pour en afficher le menu contextuel.
■
Cliquez sur l’item Properties.
Onglet General
Propriétés générales d’une séquence de tâches Task sequence ID Identifiant interne alphanumérique de la séquence de tâches, ne peut être modifié après création de la séquence.
- 18 -
© ENI Editions - All rigths reserved - Kaiss Tag
117
Task sequence name Nom affiché dans la console Deployment Workbench et dans le client de déploiement. Comments Ces commentaires apparaissent sous le nom de la séquence, dans le client de déploiement. Task sequence version Numéro de version informel permettant d’assurer un suivi des modifications. This can run on any platform Indique que la séquence peut être exécutée sur n’importe quelle architecture supportée par MDT. This can run only on the specified client plaforms Permet de préciser les architectures et les systèmes d’exploitation autorisés à exécuter cette séquence. Hide this task sequence in the Deployment Wizard Masque la séquence dans le client de déploiement. Enable this task sequence Désactive la séquence (elle apparaît alors grisée dans le client de déploiement). Onglet Task Sequence, liste principale
Étapes d’une séquence de tâches © ENI Editions - All rigths reserved - Kaiss Tag
118
- 19 -
Cette liste présente l’ensemble des étapes de la séquence de tâches. Les étapes peuvent être rassemblées au sein de groupes d’étapes et de sousgroupes, disposant des mêmes possibilités de déclenchement conditionnel (voir paragraphes suivants). La barre d’outils située en haut de cette liste permet d’ajouter une étape ou un groupe d’étapes, de la ou le supprimer, et de gérer leur ordre d’exécution. L’explication des étapes prédéfinies proposées par MDT est donnée dans la section Phases d’une séquence de tâches. Onglet Task Sequence, sousonglet Properties Toutes les étapes des séquences de tâches (ainsi que les groupes d’étapes) partagent trois propriétés communes obligatoires : le type, le nom et la description. Les autres propriétés sont spécifiques et leur documentation est disponible dans l’aide en ligne de la console Deployment Workbench. Type Nom statique de l’étape. Name Nom affiché dans le menu de gauche et dans les journaux d’exécution. Description Description informelle de l’étape. Onglet Task Sequence, sousonglet Options Disable this step Indique au client de déploiement de ne pas exécuter cette étape et de passer à la suivante. Success Codes Codes de retour des scripts ou des exécutables devant être interprétés comme des succès (séparés par des espaces), afin de continuer ou non la séquence. Cette propriété n’est pas disponible pour les groupes d’étapes. Continue on error Indique au client de déploiement de continuer même si le code de retour renvoyé par l’étape n’est pas dans la liste des codes de succès. Conditions Permet de créer une structure conditionnelle évoluée pour déterminer si l’étape doit être exécutée ou non. Cette structure peut comporter des tests de variables d’environnement, de version d’OS, de présence de clés de registre ou de fichiers, etc. Onglet OS Info
- 20 -
© ENI Editions - All rigths reserved - Kaiss Tag
119
Informations sur le système d’exploitation déployé Operating System description Version et édition du système d’exploitation déployé par la séquence de tâches. Build Contient le numéro exact de version et de service pack (si intégré à l’image WIM). Platform Indique l’architecture supportée par le système d’exploitation déployé. Edit Unattend.xml Permet de modifier avec le Gestionnaire d’Images Système Windows le fichier Unattend.xml de l’OS déployé.
e. Propriétés particulières des étapes prédéfinies Run Command Line Cette étape permet d’exécuter des commandes (scripts, batchs, outils tiers) lors de n’importe quelle phase du déploiement. Command Line Ligne de commande à exécuter. Start in
© ENI Editions - All rigths reserved - Kaiss Tag
120
- 21 -
Répertoire de démarrage lors du lancement de la commande. Run this step as the following account Indique au client de déploiement de changer le contexte de sécurité avant l’exécution de la commande. Account Informations d’identification du compte d’exécution. Load the user’s profile Demande le chargement complet du profil de l’utilisateur indiqué. Set Task Sequence Variable Permet de redéfinir dynamiquement, au moment du déploiement, des variables définies statiquement dans les fichiers CustomSettings.ini ou BootStrap.ini. Attention, les variables ainsi redéfinies reviennent à leur valeur d’origine lors du redémarrage du poste. Task Sequence Variable Nom de la variable à redéfinir. Value Nouvelle valeur de la variable. Restart computer Comme son nom l’indique, redémarre l’ordinateur (après l’installation d’une application, par exemple). Gather Appelle le script ZTIGather.wsf pour collecter des informations sur le poste et lire les propriétés définies dans le fichier CustomSettings.ini ainsi que dans la base de données MDT. Ces informations sont ensuite chargées dans l’environnement de travail du client de déploiement. Gather only local data Indique au client de ne collecter que les informations locales et celles des fichiers de configuration. Gather local data and process rules Permet de préciser un autre fichier de règles que CustomSettings.ini. Install Updates Offline Autorisé uniquement pour la phase PREINSTALL ou lors d’un déploiement avec SCCM, permet d’appliquer des mises à jour Microsoft Update et des packages Microsoft Cabinet à l’image WIM avant que celleci ne soit installée sur le poste. Selection profile Nom du profil de sélection contenant les mises à jour et les packages à installer. Validate Vérifie les capacités et l’environnement du poste selon les critères de validation indiqués. Tous les critères cochés doivent être validés. Ensure minimum memory Quantité minimale de mémoire physique installée. Ensure minimum processor speed
- 22 -
© ENI Editions - All rigths reserved - Kaiss Tag
121
Fréquence minimale du processeur. Check to ensure specified image size will fit Espace disponible requis sur la partition de destination. Ensure current OS to be refreshed is Vérifie la cohérence entre le type du système d’exploitation du poste et celui devant être déployé, pour les cas de rafraîchissement du poste ou de mise à jour. Install Application Cette étape permet de gérer l’installation des applications importées dans le partage de déploiement ainsi que celle des groupes d’applications. Install multiple applications Indique au client d’installer toutes les applications cochées dynamiquement ou imposées par le fichier CustomSettings.ini (via la propriété MandatoryApplications). Success codes Codes de retour d’installation devant être considérés comme des codes de succès. Install a single application Indique au client de n’installer que l’application importée spécifiée. Inject Drivers Installe les pilotes de périphériques du profil de sélection spécifié. Choose a selection profile Nom du profil de sélection contenant les drivers à installer. Install only matching drivers from the selection profile Indique au client de déploiement de n’installer que les pilotes correspondant au matériel présent lors du déploiement. Les matériels installés ultérieurement ne disposeront pas des pilotes importés dans le partage de déploiement. Install all drivers from the selection profile Indique au client d’installer tous les pilotes du profil de sélection, que le matériel correspondant soit présent ou non. Format and Partition Disk Cette étape gère le partitionnement des disques durs de la machine cible et le formatage des volumes. Disk number Numéro du disque dur sur lequel créer une partition (indexé en base 0). Disk type Indique le type de partition à créer : Master Boot Record (MBR) pour les BIOS classiques et les anciennes versions de Windows ou GUID Partition Table (GPT) pour les BIOS EFI et Windows Server 2008, Vista et 7. Liste des partitions Présente la liste des partitions à créer, avec leur type (primaire ou étendu), leur taille, leur système de fichiers (FAT32 ou NTFS) et leur nom.
© ENI Editions - All rigths reserved - Kaiss Tag
122
- 23 -
Enable BitLocker BitLocker™ Drive Encryption est une technologie de chiffrement des volumes implémentée depuis Windows Vista, basée sur l’algorithme Advanced Encryption Standard (AES). Current operating system drive BitLocker™ doit chiffrer le disque dur où est installé le système d’exploitation. TPM only La clé de chiffrement doit être stockée dans la puce Trusted Platform Management (TPM) intégrée à la machine. Startup key on USB only La clé de chiffrement doit être stockée sur une clé USB (celleci sera nécessaire au démarrage de la machine). TPM and startup key on USB La clé de chiffrement est stockée dans la puce TPM et sur une clé USB. Specific drive BitLocker™ doit chiffrer uniquement le disque spécifié par ce paramètre. In Active Directory La clé de récupération sera stockée dans des sousobjets du compte d’ordinateur du poste cible dans l’Active Directory. Do not create a recovery key Indique de ne pas créer de clé de récupération. Wait for BitLocker to complete drive encryption process Précise au client de déploiement d’attendre la fin du processus de chiffrement avant de poursuivre. Install Operating System Étape primordiale d’une séquence de tâches, installe le système d’exploitation spécifié sur une partition formatée. Le système d’exploitation doit auparavant avoir été importé dans le partage de déploiement. Operating System to install Nom de l’OS à installer, tel qu’il figure dans le nœ ud Operating Systems du partage de déploiement. Disk Disque dur où installer le système (indexé en base 0). Partition Partition sur laquelle installer le système (indexé en base 1). Apply Network Settings Par défaut, Windows configure les adaptateurs réseau pour utiliser un serveur DHCP. Cependant, si aucun serveur DHCP n’est disponible sur le réseau auquel est connecté le poste cible, il peut être nécessaire d’en spécifier manuellement les paramètres. D’autre part, dans le cas de la réinstallation d’un poste existant sur lequel une capture des paramètres réseau a été faite, ou si des paramètres réseau sont précisés pour ce poste dans la base de données MDT, les paramètres indiqués ici seront écrasés. Si la liste des paramètres contient plusieurs éléments, ceuxci seront appliqués dans l’ordre de détection des cartes réseau par Windows.
- 24 -
© ENI Editions - All rigths reserved - Kaiss Tag
123
General Nom du groupe de paramètres (sera affecté à la carte réseau), activation du mode DHCP ou manuel, adresses IP et adresses de passerelle par défaut. DNS Adresses des serveurs Domain Name System, suffixe DNS et enregistrement des adresses IP du poste dans le serveur DNS. WINS Adresses des serveurs Windows Internet Name System, activation du fichier de résolution LMHOSTS et configuration du mode NetBIOS sur TCP/IP. Capture Network Settings Dans le cas d’une réinstallation, permet de capturer les paramètres réseau du poste afin de les réinjecter dans la nouvelle installation. Cette étape doit être utilisée pendant la phase de capture d’état. Aucun paramètre particulier n’est à préciser. Install Roles and Features Applicable uniquement aux systèmes d’exploitation de type serveurs, permet de sélectionner les rôles et les fonctionnalités à activer sur le poste cible. Les rôles et fonctionnalités disponibles dépendent du système d’exploitation installé. Configure DHCP Si le rôle DHCP Server a été installé (voir étape Install Roles and Features), permet de configurer les étendues et les options du serveur DHCP (IPv4 uniquement). Scope details Cette liste contient les étendues DHCP à créer. General Configure les propriétés principales d’une étendue DHCP : nom, adresses IP de début et de fin, masque de sous réseau et durée des baux. Advanced Permet de préciser une plage d’exclusion dans l’étendue à créer, à partir d’une adresse de début et de fin. Options Configure les options DHCP spécifiques à l’étendue (adresses des serveurs DNS et de la passerelle par défaut, suffixe DNS, etc.). Server options, Configure Configure les options DHCP communes à toutes les étendues du serveur DHCP. Configure DNS Si le rôle DNS Server a été installé (voir étape Install Roles and Features), permet de créer des zones DNS. Zones Contient le nom de la zone, son type (primaire, secondaire, stub, intégrée ou non à Active Directory), le nom du fichier où la zone sera stockée et son niveau de support des enregistrements dynamiques. Server Properties
© ENI Editions - All rigths reserved - Kaiss Tag
124
- 25 -
Configure les options générales du serveur DNS, telles que la récursivité, le tourniquet, la protection contre la pollution du cache, etc. Configure ADDS Cette étape permet d’automatiser complètement la création d’un domaine et d’une forêt Active Directory ou l’ajout d’un contrôleur à un domaine existant, si le rôle Active Directory Domain Controler a été installé (voir étape Install Roles and Features). Les options sont nombreuses et dépendent du type d’action à effectuer. Reportezvous à l’aide en ligne de MDT pour plus d’informations sur ces options. Create Précise le type d’action à effectuer : nouveau réplica pour un contrôleur de domaine, nouveau contrôleur de domaine en lecture seule, nouveau domaine dans une forêt existante ou nouvelle forêt. Advanced Permet de renseigner les propriétés communes à toutes les actions : installation du service DNS si nécessaire, activation du rôle de catalogue global, niveau fonctionnel de la forêt et du domaine, répertoires où stocker la base NTDS et le SYSVOL, nom du site AD. Authorize DHCP Une fois le service DHCP installé sur un serveur Windows, celuici doit être autorisé par Active Directory à répondre aux requêtes des clients, afin d’éviter une pollution du réseau par la présence d’un serveur DHCP non officiel. La propriété Account permet de préciser le compte de domaine Active Directory qui demandera l’activation du serveur DHCP.
7. Configuration avancée a. Profils de sélection MDT 2010 vous permet de créer des sousdossiers dans les nœ uds Applications, Operating Systems, Packages, Task Sequences ou encore OutofBox Drivers pour y classer les items. Les items importés dans le nœ ud principal ne sont pas dupliqués lorsque vous les déplacez dans les sousdossiers, seul un lien logique est créé. Ainsi, les modifications effectuées sur les items dans les sousdossiers se répercutent sur le nœ ud principal et réciproquement. Les profils de sélection vous permettent de sélectionner un ou plusieurs dossiers, créant ainsi un sousensemble particulier d’éléments du partage de déploiement. L’exemple cidessous montre l’organisation en sousdossiers des éléments d’un partage de déploiement :
Partage de déploiement organisé en dossiers La création d’un profil de sélection adéquat permettra, par exemple de regrouper les éléments à destination des machines Dell (à destination des Administrateurs) sur lesquelles Windows 7 doit être installé en version 64 bits.
- 26 -
© ENI Editions - All rigths reserved - Kaiss Tag
125
Ce profil de sélection pourra ensuite être utilisé pour préciser les pilotes de périphériques à inclure dans l’image Windows PE d’amorçage (onglet Windows PE Components des propriétés du partage de déploiement) ou à injecter lors de l’étape Inject Drivers, pour spécifier les packages à déployer dans l’étape Install Updates Offline, pour choisir les éléments répliqués vers un partage de déploiement lié ou pour créer un média de distribution du partage de déploiement. Création d’un profil de sélection ■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud Advanced Configuration du partage de déploiement dans lequel vous souhaitez créer un profil de sélection.
■
Faites un clic droit sur le nœ ud Selection Profiles et sélectionnez l’item New Selection Profile.
■
Donnez un nom au profil et saisissez éventuellement un commentaire.
■
Cliquez sur Next.
■
Sélectionnez le partage de déploiement, les nœ uds principaux ou les sousdossiers à inclure dans ce profil de sélection.
■
Cliquez sur Next.
■
Confirmez les paramètres du profil de sélection en cliquant sur Next.
■
Une fois le profil créé, cliquez sur Finish.
Propriétés d’un profil de sélection
© ENI Editions - All rigths reserved - Kaiss Tag
126
- 27 -
b. Partages de déploiement liés Les partages de déploiement liés sont des réplicas complets ou partiels du partage de déploiement principal. La sélection des éléments à répliquer se fait en fonction du profil de sélection configuré pour ce partage lié. Cette fonctionnalité peut répondre à des besoins de réplication vers des sites distants (agences, filiales) ne disposant pas d’une connectivité réseau suffisante pour répliquer tout le partage de distribution ou pour restreindre les éléments mis à disposition d’une population donnée. Création d’un partage de déploiement lié ■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud Advanced Configuration du partage de déploiement dans lequel vous souhaitez créer un réplica.
■
Faites un clic droit sur le nœ ud Linked Deployment Shares et sélectionnez l’item New Linked Deployment Share.
■
Indiquez le chemin UNC de destination (du type \\serveur\partage\répertoire).
■
Précisez le profil de sélection à utiliser lors de la mise à jour de ce partage de déploiement lié.
■
Sélectionnez Merge the selected contents into the target deployment share pour copier les éléments sans écraser les éléments de la cible, ou Replace the contents of the target deployment share folders with those selected pour écraser systématiquement les éléments de la cible à chaque mise à jour.
■
Cliquez sur Next.
■
Confirmez les paramètres du partage lié en cliquant sur Next.
■
Une fois le réplica créé, cliquez sur Finish.
Modification d’un partage de déploiement lié Certaines propriétés du partage de déploiement lié ne peuvent être définies lors de sa création, mais peuvent l’être ultérieurement en éditant ses propriétés : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud Advanced Configuration du partage de déploiement contenant le réplica.
■
Dans le nœ ud Linked Deployment Shares, faites un clic droit sur le réplica à modifier et sélectionnez l’item Properties.
Propriétés de l’onglet General
Link identifier Identifiant interne du réplica. Comments Zone informelle de commentaires. Linked deployment share UNC path Chemin réseau du partage de déploiement lié. Selection Profile - 28 -
© ENI Editions - All rigths reserved - Kaiss Tag
127
Profil de sélection utilisé lors de la mise à jour du partage de déploiement lié. Merge the selected contents into the target deployment share Fusionne les éléments du partage principal avec ceux déjà existants dans le partage lié, sans écraser les éléments de la cible. Replace the contents of the target deployment share folders with those selected Remplace tous les éléments du partage de déploiement lié par ceux du partage de déploiement principal à chaque mise à jour. Copy standard folders to this linked deployment share Permet de préciser si les répertoires standard (scripts et outils MDT, outil de migration des données utilisateur, fichiers OEM) du partage de déploiement principal doivent être copiés vers le réplica. Automatically update boot images after replicating content to this linked deployment share Indique à la console de mettre à jour les images WIM d’amorçage distantes lorsque le réplica est mis à jour. Elles doivent en effet être mises à jour pour pointer vers le partage réseau du réplica et non vers celui du partage principal. Access the linked deployment share in singleuser mode Permet d’activer le mode utilisateur unique pour améliorer les performances de réplication et éviter les modifications bilatérales pendant la mise à jour du réplica (si un autre utilisateur est en train de modifier le partage lié). Mise à jour d’un partage de déploiement lié La mise à jour du partage de déploiement principal ne déclenche pas automatiquement la réplication du contenu vers les partages de déploiement liés : ceuxci doivent être mis à jour manuellement après une modification du partage de déploiement principal. Pour cela : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud Advanced Configuration du partage de déploiement contenant le réplica.
■
■
Dans le nœ ud Linked Deployment Shares, faites un clic droit sur le réplica à mettre à jour et sélectionnez l’item Replicate Content. Une fois le réplica mis à jour, cliquez sur Finish.
Selon les propriétés du partage de déploiement lié, MDT va monter, lors de la mise à jour, l’image WIM d’amorçage distante pour y modifier le chemin UNC vers lequel le client de déploiement doit se connecter. Dès lors qu’une première mise à jour du partage lié a été faite, celuici peut être ajouté à la console Deployment Workbench afin d’en modifier les propriétés (clic droit sur le nœ ud Deployment Shares, item Open Deployment Share).
© ENI Editions - All rigths reserved - Kaiss Tag
128
- 29 -
Affichage du partage de déploiement lié dans la console
c. Distributions sur médias La création d’un média de distribution permet de fournir un moyen d’installation aux postes ne disposant pas d’une connexion réseau (agences isolées, par exemple) ou lorsqu’un déploiement réseau ne peut être envisagé (pas de support du PXE, bande passante insuffisante, etc.). Les médias de distribution se basent sur les profils de sélection pour choisir les éléments à embarquer dans les images WIM et ISO générées lors de la mise à jour du média. Création d’un média de distribution Pour créer un média de distribution de votre partage de déploiement : ■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud Advanced Configuration du partage de déploiement dans lequel vous souhaitez créer un média.
■
Faites un clic droit sur le nœ ud Media et sélectionnez l’item New Media.
■
Saisissez le chemin dans lequel stocker les fichiers nécessaires et les images WIM ou ISO qui seront générées.
■
Indiquez le profil de sélection à utiliser pour générer ce média.
■
Confirmez les paramètres de création en cliquant sur Next.
■
Une fois le média créé, cliquez sur Finish.
Modification d’un média de distribution Le média de distribution dispose des mêmes propriétés qu’un partage de déploiement standard, mais l’assistant ne propose qu’un choix restreint de propriétés lors de la création. La configuration détaillée du média de distribution se fait via ses propriétés :
- 30 -
© ENI Editions - All rigths reserved - Kaiss Tag
129
■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud Advanced Configuration du partage de déploiement contenant le média.
■
Dans le nœ ud Media, faites un clic droit sur le média à modifier et sélectionnez l’item Properties.
Onglet General
Media identifier Identifiant interne du média. Comments Zone informelle de commentaires. Media path Chemin dans lequel sont stockés les fichiers nécessaires à la génération du média et les images WIM ou ISO générées. Selection profile Profil de sélection utilisé pour définir les éléments à embarquer dans les images. Platforms Supported Permet de préciser les architectures (x86/32bits ou x64/64bits) pour lesquelles un média doit être généré. Generate a Lite Touch bootable ISO image Indique s’il faut générer une image ISO en plus des images WIM. Onglet Rules
Zone de texte Contenu du fichier CustomSettings.ini spécifique à ce média de distribution. La syntaxe est identique à celle du partage de déploiement. Edit Bootstrap.ini Ouvre le fichier Bootstrap.ini dans Notepad. Onglet Windows PE Settings
Custom background bitmap file Fond d’écran affiché pendant toute la durée du déploiement. Extra directory to add Répertoire additionnel à inclure dans l’image d’amorçage du média. Scratch space size Taille du RAM drive disponible dans Windows PE, en méga octets. Onglet Windows PE Components
Selection profile Indique le profil de sélection contenant les pilotes de périphériques qui seront disponibles dans Windows PE.
© ENI Editions - All rigths reserved - Kaiss Tag
130
- 31 -
Include all drivers from the selection profile Indique à MDT d’inclure tous les pilotes de périphériques du profil de sélection spécifié, quels que soient leurs types. Include only drivers of the following types Indique à MDT d’inclure uniquement les pilotes de périphériques du profil de sélection répondant aux types sélectionnés (réseau, stockage, vidéo ou système). Feature packs Packages additionnels à inclure dans l’image d’amorçage (seul ADO est disponible, pour l’accès éventuel à la base de données MDT). Optional Fonts Polices de caractères optionnelles à inclure (pour les pays asiatiques uniquement). Mise à jour un média de distribution Tout comme le partage de déploiement lié, le média de distribution n’est pas mis à jour automatiquement lors de la mise à jour du partage de déploiement principal. Il est nécessaire de déclencher la régénération des images ISO et WIM manuellement : ■
Ouvrez la console Deployment Workbench.
■
Développez le nœ ud Advanced Configuration du partage de déploiement contenant le média.
■
Dans le nœ ud Media, faites un clic droit sur le média à mettre à jour et sélectionnez l’item Update Media Content.
■
Une fois les images régénérées, cliquez sur Finish.
d. Base de données Jusqu’à présent, vous avez pu constater que les déploiements de postes avec MDT suivaient un processus relativement linéaire, où le seul moyen de personnaliser les déploiements en fonction des postes était de laisser le choix à l’opérateur. Cependant, tout en conservant une logique d’automatisation maximale des déploiements, il est possible d’en automatiser également la personnalisation grâce à la base de données MDT. Cette base de données relationnelle va servir à identifier les postes de manière individuelle grâce à leurs informations spécifiques (adresse physique de la carte réseau, numéro de matériel, GUID, etc.) et à prédéfinir les actions à effectuer sur ceuxci. Il est également possible d’appliquer des propriétés à des sites réseau entiers, identifiés par l’adresse IP de passerelle affectée au client de déploiement, ou aux postes d’un fabricant ou d’un modèle donné. Le principe de fonctionnement de la base de données MDT est de demander à l’agent de déploiement, via les propriétés du partage (et donc du fichier CustomSettings.ini), d’exécuter des requêtes sur des tables SQL pour en lire les champs et remplir les valeurs des propriétés nécessaires au déploiement. L’utilisation de la base de données à la place du fichier CustomSettings.ini permet d’interfacer MDT avec des outils tiers (système de gestion des demandes par exemple) mais également de mettre en œ uvre des scénarios de déploiement différents selon les postes, sans avoir à multiplier les partages de déploiement MDT. MDT 2010 supporte les bases de données Microsoft SQL Server 2005 et 2008, toutes éditions confondues (Express, Standard, Entreprise).
Création d’une base de données MDT La création d’une base de données sur un serveur Microsoft SQL Server nécessite des droits particuliers sur le serveur SQL, renseignezvous auprès de l’administrateur du serveur SQL Server. Pour créer une nouvelle base de données MDT : ■
- 32 -
Ouvrez la console Deployment Workbench.
© ENI Editions - All rigths reserved - Kaiss Tag
131
■
Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez créer une base de données.
■
Faites un clic droit sur le nœ ud Database et sélectionnez l’item New Database.
■
Entrez le nom du serveur Microsoft SQL Server devant héberger la base.
■
Entrez éventuellement le nom de l’instance nommée (si la base ne doit pas être créée sur l’instance par défaut).
■
Entrez le numéro du port TCP du serveur SQL.
■
Sélectionnez la librairie Named Pipes (réseaux locaux ou rapides) ou TCP/IP Sockets (réseaux lents ou distants).
■
Cliquez sur Next.
■
Sélectionnez l’option Create new database et donnez un nom à cette base.
■
Cliquez sur Next.
■
Si vous avez sélectionné le protocole Named Pipes pour la connexion à la base de données, entrez le nom d’un partage réseau existant sur le serveur SQL auquel le client de déploiement se connectera pour s’authentifier.
■
Cliquez sur Next.
■
Confirmez les paramètres de création en cliquant sur Next.
■
Une fois la base de données créée, cliquez sur Finish.
Le nœ ud Database présente désormais quatre souséléments : Computers, Roles, Locations et Make and Model. Configuration des règles Pour que l’assistant de déploiement puisse utiliser les valeurs enregistrées dans la base de données, celuici doit connaître les tables et les champs contenant les données, ainsi que les informations de connexion pour y accéder. Toutes ces indications lui sont données à travers le fichier CustomSettings.ini, et les sections complémentaires qui vont y être créées. Vous pouvez soit renseigner le fichier CustomSettings.ini à la main en créant une nouvelle section pour chaque table de la base de données, soit utiliser l’assistant de configuration des règles. Propriétés MDT pour la connexion à la base de données
[section] Nom de la section. SQLServer Nom du serveur SQL auquel se connecter. SQLShare Nom du partage de fichiers utilisé pour préétablir l’authentification intégrée dans le cas d’une connexion via le protocole Named Pipes. Instance Nom de l’instance (optionnel). Port Numéro du port sur lequel le service SQL du serveur écoute les connexions.
© ENI Editions - All rigths reserved - Kaiss Tag
132
- 33 -
Database Nom de la base de données. Netlib Protocole utilisé pour établir la connexion : DBNMPNTW pour le protocole Named Pipes ou DBMSSOCN pour TCP/IP sockets. DBID Si le serveur est configuré pour utiliser la méthode d’authentification intégrée SQL, nom de l’utilisateur SQL. Cette méthode n’est pas recommandée car le nom de l’utilisateur et le mot de passe sont stockés en clair dans le fichier CustomSettings.ini. DBPwd Mot de passe de l’utilisateur SQL spécifié par la propriété DBID. Table Nom de la table ou de la vue contenant les informations. Parameters Noms des champs contenant les informations (utilisés dans la clause WHERE de la requête). ParameterCondition Indique si le résultat de la requête doit correspondre à tous les paramètres (AND) ou à un seul des paramètres au minimum (OR). Order Noms et ordre des champs dans lequel les résultats de la requête doivent être triés. La section ainsi créée doit également être déclarée dans la propriété Priority de la section Settings. Exemple de fichier CustomSettings.ini utilisant une base de données MDT : [Settings] Priority=CSettings, Default [Default] OSInstall=YES [Csettings] SQLServer=WDS2K8 Instance=SQLEXPRESS Port=1433 Netlib=DBMSSOCN Database=MDT1 DBID=sa DBPwd=secret Table=ComputerSettings Parameters=UUID,AssetTag,SerialNumber,MacAddress ParameterCondition=OR La création manuelle des sections d’accès à la base de données étant assez fastidieuse, la console Deployment Workbench propose fort heureusement un assistant de configuration des règles permettant de préciser quelles sont exactement les informations que vous souhaitez obtenir de la base de données, et pour lesquelles il va automatiquement créer les sections correspondantes dans le fichier CustomSettings.ini. Pour configurer les règles d’accès via l’assistant : ■
- 34 -
Ouvrez la console Deployment Workbench.
© ENI Editions - All rigths reserved - Kaiss Tag
133
■
■
■
■
■
Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez créer une base de données. Faites un clic droit sur le nœ ud Database et sélectionnez l’item Configure Database Rules. Cochez les cases correspondant aux informations que vous souhaitez obtenir sur les postes à déployer (identifiants spécifiques, rôles, applications à installer, packages SMS ou administrateurs à assigner à ces postes). Cliquez sur Next. Cochez les cases correspondant aux informations que vous souhaitez obtenir sur les emplacements géographiques (noms, informations spécifiques, rôles, applications, etc.).
■
Cliquez sur Next.
■
Cochez les cases correspondant aux informations sur les fabricants et sur les modèles.
■
Cliquez sur Next.
■
Cochez les cases correspondant aux informations sur les rôles.
■
Cliquez sur Next.
■
Confirmez les règles à créer en cliquant sur Next.
■
Une fois les règles créées, cliquez sur Finish.
L’assistant de configuration des règles a créé, pour chaque case cochée, une section de connexion à la base dans le fichier CustomSettings.ini et a ajouté cette section à la propriété Priority. L’assistant ne permet pas de supprimer les sections créées dans le fichier CustomSettings.ini, même si les cases correspondantes sont décochées lors d’une exécution ultérieure.
Déclaration d’un nouveau poste Pour effectuer des déploiements personnalisés par poste, vous devez tout d’abord déclarer ce poste dans la base de données et fournir des informations spécifiques permettant de l’identifier. Pour déclarer un nouveau poste : ■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez provisionner un poste.
■
Développez le nœ ud Database.
■
Faites un clic droit sur le nœ ud Computers et sélectionnez l’item New.
■
■
■
Dans l’onglet Identity, entrez un identifiant de matériel, un identifiant unique (UUID), un numéro de série ou une adresse physique de carte réseau (adresse MAC). Dans l’onglet Details, vous pouvez attribuer une valeur à n’importe quelle propriété utilisée par l’agent de déploiement MDT. Dans l’onglet Applications, vous pouvez spécifier quelles sont les applications à installer sur ce poste, et dans quel ordre. L’onglet ConfigMgr Packages fait référence aux packages SMS ou System Center Configuration Manager (dans le cas de déploiements couplés à ces systèmes). © ENI Editions - All rigths reserved - Kaiss Tag
134
- 35 -
L’onglet Roles permet d’affecter le poste à un ou plusieurs rôles déclarés dans la base de données et de lui appliquer les propriétés définies sur les rôles en question. L’onglet Administrators permet de créer des comptes locaux administrateurs du poste ou d’ajouter des comptes et des groupes existants. ■
Cliquez sur OK.
L’identifiant unique UUID est souvent affiché dans le BIOS de l’ordinateur ou lors d’une tentative d’amorçage sur le réseau, à côté de l’adresse MAC.
Déclaration d’un site La déclaration d’un site dans la base de données permet d’affecter les mêmes propriétés à tous les postes déployés sur un même site réseau. L’identification du site se base sur l’adresse de la passerelle réseau par défaut affectée au client, manuellement ou par le serveur DHCP du site. Un site peut être reconnu en fonction de plusieurs adresses de passerelles par défaut. Pour déclarer un nouveau site : ■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez déclarer un site.
■
Développez le nœ ud Database.
■
Faites un clic droit sur le nœ ud Locations et sélectionnez l’item New.
■
Dans l’onglet Identity, donnez un nom au site.
■
Cliquez sur Add pour ajouter une adresse IP de passerelle par défaut permettant d’identifier ce site. Les onglets Details, Applications, ConfigMgr Packages, Roles et Administrators ont le même usage que pour les éléments de type Computer.
■
Cliquez sur OK.
Déclaration d’un rôle Les rôles permettent d’appliquer des profils types de configuration à des postes de travail déclarés individuellement, à des sites réseau entiers, ou à des postes d’un fabricant ou d’un modèle donné. Pour déclarer un rôle : ■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez déclarer un rôle.
■
Développez le nœ ud Database.
■
Faites un clic droit sur le nœ ud Roles et sélectionnez l’item New.
■
Dans l’onglet Identity, donnez un nom au rôle. Les onglets Details, Applications, ConfigMgr Packages et Administrators ont le même usage que pour les éléments de type Computer.
■
- 36 -
Cliquez sur OK.
© ENI Editions - All rigths reserved - Kaiss Tag
135
Déclaration de fabricants et de modèles La déclaration de fabricants et de modèles permet d’appliquer un ensemble de propriétés en se basant sur la nature du poste. Ces informations sont accessibles via des requêtes WMI (propriétés Manufacturer et Model de l’objet Win32_ComputerSystem) ou via l’utilitaire MSINFO32.EXE. Pour déclarer un modèle : ■
■
Ouvrez la console Deployment Workbench. Développez le nœ ud Advanced Configuration du partage de déploiement pour lequel vous souhaitez déclarer un modèle.
■
Développez le nœ ud Database.
■
Faites un clic droit sur le nœ ud Make and Model et sélectionnez l’item New.
■
Entrez le nom du fabricant dans le champ Make.
■
Entrez le nom du modèle dans le champ Model. Les onglets Details, Applications, ConfigMgr Packages, Roles et Administrators ont le même usage que pour les éléments de type Computer.
■
Cliquez sur OK.
© ENI Editions - All rigths reserved - Kaiss Tag
136
- 37 -
Prise en compte des données utilisateur Lors du déploiement d’un système d’exploitation sur un poste neuf, aucun problème ne se pose quant à la sauvegarde des données présentes sur le disque dur : le constructeur fournit généralement un CD contenant le système d’exploitation et les pilotes, ou à défaut ces derniers sont disponibles sur son site Web de support. En revanche, dans le cas de la réinstallation d’un poste en cas de problème avec le système d’exploitation ou lors du remplacement d’un ordinateur par un autre, la prise en compte de données locales de l’utilisateur est indispensable. À cette fin, Microsoft propose et intègre à WAIK pour Windows 7 un utilitaire appelé User State Migration Tool (USMT), dans sa version 4. Utilisé dans le cadre d’un déploiement fait avec MDT, cet outil va pouvoir rechercher et sauvegarder vers un partage réseau les données utilisateur selon les paramètres spécifiés, puis les restaurer une fois le poste réinstallé. Ces actions sont prises en charge nativement par la séquence de tâches Standard Client Task Sequence, à travers les étapes State Capture/NonUpgrade/Capture User State et State Restore/Restore User State. Quatre propriétés du partage de déploiement entrent en compte pour la migration des données utilisateur : Propriétés importantes pour la migration des données utilisateur UserDataLocation Peut être soit un chemin réseau vers lequel sauvegarder les données de migration, soit AUTO pour stocker les données en local si la place est suffisante et si le scénario le permet, soit NETWORK pour utiliser l’emplacement spécifié par les propriétés UDShare et UDDir. UDShare Partage réseau vers lequel stocker les données de migration. UDDir Sousrépertoire du partage réseau spécifié par UDShare dans lequel stocker les données de migration. UDProfiles Nom des profils locaux, séparés par des virgules, à sauvegarder. ScanStateArgs Arguments à passer à l’utilitaire USMT ScanState.exe, qui sert à sauvegarder l’environnement de l’utilisateur depuis le poste source. LoadStateArgs Arguments à passer à l’utilitaire USMT LoadState.exe, qui sert à recharger l’environnement de l’utilisateur sur le poste cible.
Attention, MDT va automatiquement rajouter les arguments /hardlink, /nocompress, /decrypt, /key ou /keyfile aux utilitaires LoadState.exe et ScanState.exe si le scénario l’exige. N’ajoutez pas ces arguments dans la configuration du partage de déploiement. Le fichier d’aide Using the Microsoft Deployment Toolkit disponible en téléchargement avec MDT 2010 présente tous les scénarios de déploiement et la façon de prendre en charge des données utilisateur pour chacun d’eux.
© ENI Editions - All rigths reserved - Kaiss Tag
137
- 1-
Résumé À travers cette présentation du Microsoft Deployment Toolkit, vous avez pu constater qu’un pas supplémentaire était franchi vers l’automatisation complète du déploiement de Windows. En se basant sur des outils comme WDS et WAIK, MDT apporte de nouvelles fonctionnalités comme l’installation dynamique de pilotes de périphériques, ou encore la prise en charge des packs linguistiques et des mises à jour. Cependant, l’ensemble manque encore de souplesse, et si vous souhaitez automatiser entièrement le processus, des informations sensibles comme des mots de passe doivent être stockées en clair dans des fichiers. Le chapitre suivant, consacré au déploiement de Windows 7 avec System Center Configuration Manager vous montrera comment mettre en œ uvre un processus de déploiement entièrement automatisé, sécurisé et performant.
© ENI Editions - All rigths reserved - Kaiss Tag
138
- 1-
Présentation Parmi les différentes solutions proposées pour déployer Windows, figure ZTI ou Zero Touch Installation. Cette solution se base sur les outils de distribution d’applications de Microsoft. L’outil principal est System Center Configuration Manager (SCCM). Le travail de ce logiciel est de permettre la gestion applicative d’une entreprise de grande envergure. L’ancêtre de SCCM s’appelait System Management Server, il avait comme tâches principales le déploiement d’applications et l’inventaire applicatif. En effet, vous avez vu dans les chapitres précédents comment déployer des applications à travers les outils existants. Le travail de SMS (et maintenant de SCCM) est de réaliser la même chose sur des environnements bien plus grands. Sur des environnements utilisant des centaines de sites et des milliers de postes de travail, il devient impératif d’avoir des outils solides permettant de gérer une énorme quantité de données (car même une installation de 10 Mo devient énorme quand il faut la déployer sur 10000 postes par exemple) réparties sur un grand nombre de sites. L’ancêtre de SCCM, SMS, se basait principalement sur le déploiement des applications et leur inventaire sur les postes de travail. Au fil du temps, le produit a évolué pour implémenter des fonctionnalités supplémentaires comme : ●
Le déploiement de systèmes d’exploitation.
●
La gestion de la sécurité des postes à travers la mise en quarantaine.
●
La gestion des licences applicatives.
●
La gestion des dérives des comportements des postes de travail.
●
Le déploiement des patchs de sécurité.
Le but de ce livre, et de ce chapitre, n’est pas de réaliser un dossier exhaustif de toutes ces fonctionnalités. Nous nous concentrerons plutôt sur la seule partie de déploiement des systèmes d’exploitation et un peu sur le déploiement d’applications. Ce déploiement se réalise à travers le système OSD (pour Operating System Deployment) qui est inclus par défaut dans la version 2007 de SCCM. Celuici utilise les fonctions des Services de Déploiement Windows (voir chapitre Windows Deployment Services) pour permettre à n’importe quel poste de travail du réseau d’accéder à un serveur pour recevoir une image du système d’exploitation. SCCM se lie à ce service pour que dès qu’un poste démarre sur le réseau, il contacte le serveur SCCM le plus proche. Le grand nombre de fonctionnalités de SCCM rend le logiciel difficile d’accès de prime abord. Ceci est principalement dû à un certain nombre de prérequis indispensables à son installation. Nous allons nous concentrer, dans ce chapitre, sur la mise en place de ces prérequis ainsi que sur l’installation de SCCM 2007 en luimême.
© ENI Editions - All rigths reserved - Kaiss Tag
139
- 1-
Installation Il faut savoir que l’architecture SCCM 2007 est une architecture multiserveurs. Comme pour les serveurs Windows 2008, les différents serveurs SCCM 2007 se séparent en rôles (nous en verrons certains lors de l’installation) ; et comme pour Active Directory, vous pouvez séparer votre infrastructure en différents sites. Attention, il est impératif de ne pas confondre les sites SCCM avec les sites Active directory. Ils peuvent correspondre à la même chose dans la réalité, par exemple le site de Paris dans SCCM représentera sûrement le site de Paris dans Active Directory ; mais ces deux sites sont définis d’une façon totalement différente dans les deux infrastructures. Une des premières différences vient du fait que les sites SCCM se divisent entre sites primaires et sites secondaires. Comme beaucoup d’applications sur de grandes infrastructures, SCCM se repose sur un système de base de données relationnelles. Dans le cas de SCCM, chaque site primaire a sa propre base de données hébergée par Microsoft SQL Server. Cette base de données étant la pierre angulaire de SCCM, c’est le premier prérequis à mettre en place.
1. Installation de SQL Server 2008 SCCM est compatible avec SQL Server à partir de la version 2005 Service pack 2. Il est donc impossible de l’installer (ou bien avec des erreurs) sur des versions antérieures. Dans les cas où vous souhaitez utiliser SQL Server 2005, il est impératif de le mettre à jour dans sa version SP2 avant de tenter d’installer SCCM. SCCM n’est pas compatible avec les versions gratuites de SQL Server (SQL Express). Il est impératif d’installer une version complète de SQL Server pour gérer SCCM. En revanche, il est tout à fait possible d’utiliser une version d’évaluation dans le cas de tests. Nous allons ici installer Microsoft SQL Server 2008 sur notre serveur principal. ■
Sur un serveur 2008 R2, dès le lancement de l’interface d’installation, un avertissement de compatibilité apparaît.
Avertissement de compatibilité de SQL Server 2008
■
Cet avertissement est important, car il est impératif d’installer le Service Pack 1 de SQL Server 2008 pour avoir une compatibilité totale avec Server 2008 R2. À la différence des systèmes Windows, il n’existe pas de version de SQL Server avec le Service Pack inclus par défaut. Il est donc nécessaire d’installer d’abord la version sans Service Pack de SQL Server puis d’immédiatement mettre à jour l’installation avec le Service Pack. Donc pour avancer, cliquez sur le bouton Exécuter le programme.
© ENI Editions - All rigths reserved - Kaiss Tag
140
- 1-
Choix des types d’installation
■
À partir de cette fenêtre cliquez sur le lien Nouvelle installation autonome SQL Server ou ajout de fonctionnalités à une installation.
Cluster de basculement : souvent, les personnes entendant parler de cluster pensent aux clusters de calcul. Ces systèmes répartissent la charge de calcul entre plusieurs serveurs pour permettre de les réaliser plus vite qu’un serveur seul. Ce sont des clusters de type répartition de charge. Il existe un autre type de serveurs dit de basculement. Leur but n’est pas de répartir la charge mais que le service soit disponible quel que soit l’événement extérieur endommageant un serveur. Un cluster est au minimum composé de deux serveurs (appelés nœ uds) qui sont exactement identiques. Pour garder ce statut identique, ils communiquent tous les deux en permanence pour rester à jour. L’un de ces nœ uds répond aux demandes des ordinateurs (il est défini comme actif) tandis que l’autre est dormant (défini comme passif). Si ce serveur actif tombe en panne, le serveur passif devient actif presque immédiatement (le « presque » correspond à 1,2 secondes dans le cas de Windows). Ceci permet d’avoir un service aux utilisateurs actif à 99,999% (moins d’une heure d’arrêt par an). Ce type de cluster de basculement est aussi utilisé dans le cas d’un géocluster : les deux nœ uds sont alors séparés par plus de 50 kilomètres pour adresser le problème d’un sinistre sur le site possédant le nœ ud actif.
■
- 2-
Après les fenêtres standard de choix de licence et d’information, vous arrivez sur la fenêtre de choix des composants à installer.
© ENI Editions - All rigths reserved - Kaiss Tag
141
Composants SQL Server sélectionnés
■
Sélectionnez Services Moteur de base de données, ainsi que l’option Outils de gestion De base.
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
142
- 3-
Choix des instances
■
■
Choisissez l’option Instance par défaut, indiquez l’emplacement d’installation de SQL Server. C’est aussi à partir de cette fenêtre que vous pouvez repérer les instances de SQL Server déjà installées sur le serveur. Cliquez sur Suivant.
Ajout des comptes d’administration
■
■
- 4-
À la différence des versions précédentes de SQL Server, la version 2008 ne crée pas automatiquement d’utilisateur administrateur sur la base de données : il est impératif d’en ajouter au moins un, manuellement, lors de l’installation (l’assistant d’installation vous empêchera d’aller plus loin si vous ne le faites pas). Cliquez sur le bouton Ajouter l’utilisateur actuel, pour que votre compte apparaisse. Cliquez sur le bouton Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
143
Installation terminée Après différentes fenêtres d’installation, votre serveur est maintenant installé avec Microsoft SQL Server 2008. ■
Cliquez sur le bouton Fermer.
Immédiatement après l’installation, il est impératif de démarrer l’installation du service pack de SQL Server. Lorsque vous téléchargerez la mise à jour SP1 de SQL Server 2008, vous découvrirez qu’il y a trois versions de celuici alors qu’il n’y a qu’une seule installation de SQL Server 2008 : ●
x86 (32 bits)
●
x64 (64 bits)
●
IA64 (64 bits pour processeurs Itanium).
Ceci est dû au fait que l’installation de SQL Server 2008 contient les trois versions mais n’installe que celle correspondant au système d’exploitation installé. Donc, si vous avez installé SQL Server 2008 sur Windows Server en version x64, il faudra le mettre à jour avec la version x64 du service pack.
2. Préparation d’Active Directory Après l’installation du système de base de données, il est nécessaire de mettre en place les prérequis permettant à SCCM de communiquer avec Active Directory. Le premier est la mise à jour du schéma Active Directory. Celleci se réalise facilement avec l’outil EXTADSCH.exe, disponible sur le média d’installation de SCCM. Comme toutes les mises à jour de schéma, il est nécessaire d’avoir les droits d’administrateur du schéma pour la réaliser. De plus, il est impératif d’avoir réalisé une sauvegarde de l’Active Directory avant cette mise à jour. Cette mise à jour déclenchera une réplication sur la totalité de la forêt Active Directory. EXTADSCH est situé dans le répertoire \SMSSETUP\BIN\I386.
© ENI Editions - All rigths reserved - Kaiss Tag
144
- 5-
Emplacement de EXTADSCH
■
Double cliquez sur le programme pour déclencher la mise à jour du schéma.
Ce programme affichera une fenêtre de type ligne de commande, qui disparaitra rapidement. Pour savoir si cette mise à jour s’est réalisée correctement, un fichier a été créé en local sur le serveur, à l’emplacement C:\ExtADSch.log, et contient les informations de mise à jour. L’infrastructure SCCM créera des informations spéciales directement dans le domaine Active Directory, à travers un conteneur nommé System Management. Ce dossier n’étant pas créé par l’installation, il est nécessaire de le créer manuellement. Ce dossier sera ensuite rempli automatiquement par le serveur SCCM, à condition qu’il dispose des droits de le faire. C’est pour cette raison qu’il est nécessaire de créer un groupe qui contiendra nos serveurs SCCM. Dans la console Utilisateurs et ordinateurs Active Directory, il suffit de créer un groupe que nous appellerons Serveurs SCCM.
- 6-
© ENI Editions - All rigths reserved - Kaiss Tag
145
Création du groupe de serveurs Ce groupe contiendra notre serveur. L’interface d’ajout d’utilisateurs à un groupe n’incluant pas par défaut les ordinateurs dans sa recherche, il faut ajouter ce type en cliquant sur le bouton Types d’objets… puis en cochant l’option des ordinateurs.
Ajout du serveur au groupe créé
© ENI Editions - All rigths reserved - Kaiss Tag
146
- 7-
Ajout des ordinateurs à la liste de recherche Le conteneur System Management étant un dossier de type système, il n’est pas possible de le créer à travers la console Active Directory. Pour réaliser cet ajout, il faut passer par la console ADSI. Pour y accéder : ■
Cliquez sur Démarrer Exécuter.
■
Entrez la ligne de commande ADSIedit.msc.
Interface ADSI
■
- 8-
Faites un clic droit sur Modification ADSI puis cliquez sur l’option Connexion....
© ENI Editions - All rigths reserved - Kaiss Tag
147
Paramètres de connexion
■
Cliquez sur le bouton OK. Puis dirigezvous dans le dossier CN=System.
Dossier CN=System
■
À l’intérieur du dossier, faites un clic droit puis choisissez l’option Nouveau et Objet....
© ENI Editions - All rigths reserved - Kaiss Tag
148
- 9-
Choix du type d’objet
■
Sélectionnez l’option container puis cliquez sur le bouton Suivant.
Nom du conteneur
■
- 10 -
Dans la zone de texte Valeur, indiquez System Management (cette valeur n’est pas sensible au fait qu’elle soit en minuscule ou majuscule).
■
Cliquez sur Suivant puis sur Terminer.
■
Cliquez avec le bouton droit sur le nouvel objet créé.
© ENI Editions - All rigths reserved - Kaiss Tag
149
Modification des propriétés
■
Sélectionnez l’option Propriétés.
Ajout du groupe SCCM au permissions
■
Ajoutez ensuite le groupe Serveurs SCCM créé précédemment avec l’autorisation Contrôle total.
© ENI Editions - All rigths reserved - Kaiss Tag
150
- 11 -
Cliquez sur OK.
■
3. Installation du rôle IIS a. Ajout du rôle Certaines des fonctionnalités de SCCM se basent sur IIS et ses fonctionnalités associées. Il est donc nécessaire de l’installer. Pour cela, il faut vous diriger dans la console d’ajout des rôles de Serveur Windows 2008.
Choix du rôle IIS
- 12 -
■
Sélectionnez l’option Serveur Web (IIS).
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
151
Activation de l’ASP
■
Dans les services de rôle, ajoutez l’option ASP ainsi que Publication WebDAV.
L’option WebDav n’est pas accessible sur certaines versions de Windows Server 2008 ; dans ce cas, il est nécessaire de le télécharger sur le site de Microsoft (faites une recherche sur « WebDav Server 2008 »).
© ENI Editions - All rigths reserved - Kaiss Tag
152
- 13 -
Activation de la compatibilité IIS 6
■
Faites défiler l’ascenseur, et cochez les options IIS 6 Management Compatibility.
■
Cliquez sur le bouton Suivant.
Récapitulatif des informations
■
Cliquez sur le bouton Installer pour démarrer l’installation.
Le rôle d’IIS est multiple pour SCCM. Une des grandes nouveautés de SCCM est que la plupart des communications entre les clients et les serveurs se réalisent à travers les ports 80 et 443. Ces deux ports de communication sont ceux utilisés pour les communications Internet, ce qui facilite fortement la gestion de flux (ces ports sont gérés par IIS). L’ASP est nécessaire pour permettre à SCCM de générer des rapports Web sur les différentes activités. WebDav est, quant à lui, utilisé pour permettre la mise en place de l’équivalent d’un partage de fichiers via le protocole http, nécessaire au client SCCM pour récupérer les programmes à travers le port 80.
b. Installation des fonctionnalités supplémentaires Les derniers prérequis sont là pour permettre une meilleure gestion de la bande passante, lors des échanges entre les serveurs SCCM et les clients. Ces deux prérequis sont Background Intelligent Transfer Service (BITS) et Remote Differential Compression (RDC). BITS permet à deux ordinateurs de s’échanger des données en arrièreplan de leur activité principale. Il est aussi utilisé par les postes de travail pour télécharger leurs packages : en cas de déconnexion réseau, le service permet la reprise du téléchargement à l’endroit où il a été interrompu. RDC assure la gestion des modifications intervenues sur les éléments à télécharger. Si vous avez modifié un package, seule cette modification sera synchronisée sur les différents points de distribution. Dans les anciennes versions, toutes les données du package étaient répliquées à nouveau. Par exemple, un package contenant Microsoft Office fait plus de 400 Mo, si vous changez le numéro de série d’installation, seul celuici sera synchronisé entre vos serveurs. Précédemment, c’était les 400 Mo dans leur totalité qui étaient échangés autant de fois qu’il y a de serveurs de distribution. La mise en place de ces deux prérequis se réalise à travers la console d’ajout de fonctionnalités de Windows
- 14 -
© ENI Editions - All rigths reserved - Kaiss Tag
153
Server 2008.
Activation de RDC
■
Sélectionnez Compression différentielle à distance.
Activation de BITS
© ENI Editions - All rigths reserved - Kaiss Tag
154
- 15 -
■
Sélectionnez Service de transfert intelligent en arrièreplan (BITS).
■
Cliquez sur Suivant.
Récapitulatif des fonctionnalités activées
■
Cliquez sur Installer pour lancer l’installation.
4. Installation de SCCM 2007 SP2 Le Service Pack 2 de SCCM 2007 n’étant pas disponible en français lors de l’écriture de ce livre mais étant nécessaire au déploiement de Windows 7, les ateliers et les illustrations sont réalisés en anglais. Une fois la totalité des pré requis mise en place, reste à installer SCCM 2007. La procédure présentée ici ne décrit que les étapes importantes de l’installation, ont été omis les écrans ne nécessitant que l’appui sur le bouton Suivant pour avancer.
■
- 16 -
Lancez le fichier setup.exe depuis votre média d’installation SCCM 2007 SP2.
© ENI Editions - All rigths reserved - Kaiss Tag
155
Choix du type d’installation
■
Sélectionnez Install a Configuration Manager site server.
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
156
- 17 -
Sélection du paramétrage simple
■
Choisissez Simple settings.
■
Cliquez sur Suivant.
Création du premier site
- 18 -
■
Indiquez le code à utiliser pour votre premier site SCCM (PRI ici) ainsi que son nom usuel (Primary Site).
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
157
Sélection des prérequis
■
Sélectionnez l’option Check for updates and download newer versions to an alternate path.
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
158
- 19 -
Répertoire de sauvegarde des prérequis
■
Indiquez le chemin devant recevoir les prérequis puis cliquez sur Suivant.
Si vous prévoyez d’installer plusieurs serveurs SCCM, il n’est pas nécessaire de télécharger les prérequis à chaque fois. Il suffit de copier le répertoire spécifié sur le disque du prochain serveur à installer, de sélectionner lors de l’installation l’option The latest updates have already been downloaded to an alternative path et d’indiquer le répertoire contenant déjà les composants téléchargés. De même, si votre serveur SCCM n’a pas accès à Internet, vous pouvez télécharger les prérequis depuis un poste ayant un accès à Internet, sans installer SCCM. Pour ce faire, lancez l’installation avec la commande setup.exe /preReq, seuls les prérequis seront alors téléchargés.
Validation de l’installation
Après avoir sélectionné vos options, l’installation de SCCM va réaliser une vérification des prérequis (SQL, IIS, Active Directory, etc.) et indiquer ceux manquants. Les lignes précédées de triangles jaunes sont des avertissements sur des prérequis pouvant empêcher l’utilisation de certains rôles (ici, WSUS qui est un prérequis pour gérer les mises à jour à travers SCCM). Ces avertissements ne sont pas bloquants pour l’installation. En revanche, une croix rouge indiquera un prérequis indispensable faisant défaut. Tant que celuici ne sera pas mis en place, l’installation ne pourra pas continuer. En cliquant sur le prérequis, l’assistant affiche des informations détaillées sur l’erreur dans le cadre inférieur.
■
Cliquez sur Begin Install pour démarrer l’installation.
Après plusieurs minutes, les différents éléments d’installation de SCCM auront été mis en place sur le serveur.
- 20 -
© ENI Editions - All rigths reserved - Kaiss Tag
159
Configuration de SCCM 2007 1. Présentation des fonctionnalités a. Distribution de packages La première tâche de SCCM est l’installation d’applications à très grande échelle (un nombre pouvant dépasser 100 000 postes). Mais à la différence de l’installation à travers les stratégies de groupe par exemple, il n’est pas obligatoire que ces installations utilisent des fichiers de type Windows Installer (fichiers .msi). Vous pouvez par exemple utiliser SCCM pour exécuter un script de configuration du poste. Toujours à la différence des autres systèmes de déploiement Microsoft, SCCM se base sur l’utilisation de points de distribution, des emplacements réseau où seront entreposés les packages de distribution. L‘avantage de SCCM est de gérer ces différents points de distributions pour limiter l’impact du déploiement d’un nouveau package sur votre infrastructure. En effet, avec les emplacements de distribution conventionnels (i.e. lorsque l’on utilise les stratégies de groupes), dès qu’une nouvelle application est ajoutée, elle est immédiatement copiée sur tous ces emplacements. Ce comportement a un fort impact dans une très grande entreprise disposant de nombreux bureaux répartis sur de multiples endroits. Là où intervient SCCM, c’est que l’on peut : ●
●
●
Sélectionner les points de distributions à mettre à jour de façon individuelle. Par exemple, il est inutile de distribuer une application française en Chine. Mettre en place des règles de synchronisation. Un point de distribution éloigné de la source recevra la mise à jour d’un package avec une vitesse en adéquation avec sa connexion et l’encombrement de celleci. Effectuer la gestion de la synchronisation : tout transfert entre le point de distribution est compressé pour limiter l’occupation de bande passante.
De même, la gestion des packages dans SCCM permet de gérer correctement la désinstallation des applications. La distribution de packages reste la pierre angulaire de SCCM et la plupart des autres fonctionnalités se basent sur cette capacité essentielle.
b. Inventaire La fonction d’inventaire vient en complément de la distribution de packages. Elle permet de connaître les composants matériels et logiciels de votre parc informatique. Complémentaire à la distribution d’application, l’inventaire intervient après le déploiement d’un package pour remonter les informations sur l’état de votre distribution dans un emplacement centralisé. Cet inventaire permet ainsi de tracer les modifications sur vos postes de travail et de déployer des packages en fonction de l’état de votre parc. Un exemple peut être de déployer le Service Pack 1 de Windows Vista seulement sur les postes disposant de Windows Vista et non pas sur ceux ayant Windows XP.
c. Autres fonctionnalités À partir de ces deux fonctions de base, SCCM donne accès à des outils supplémentaires tels que : ●
●
●
La distribution des mises à jour (Software updates) : se basant sur l’infrastructure WSUS, cette fonctionnalité permet d’utiliser l’architecture de distribution de SCCM pour installer les mises à jour sur votre infrastructure. Le déploiement des systèmes d’exploitation (OSD) : utilisant cette fois WDS, SCCM permet l’installation sur vos ordinateurs d’un système d’exploitation qui utilisera ensuite le client SCCM et sa distribution de packages. C’est cette fonctionnalité que nous allons aborder dans ce chapitre. La gestion des licences (Asset Intelligence) : via le processus d’inventaire, SCCM permet d’avoir des statistiques détaillées sur l’utilisation des applications et des versions installées sur les postes.
© ENI Editions - All rigths reserved - Kaiss Tag
160
- 1-
●
●
●
●
La gestion des configurations désirées : toujours en utilisant l’inventaire, le système de configuration désirée permet de définir des limites à l’utilisation applicative de vos postes. Vous pouvez par exemple empêcher l’installation de certains logiciels (surtout s‘ils sont soumis à licence) ou encore réaliser des actions automatiques comme l’envoi de message à l’utilisateur d’un poste posant problème. Les rapports : toutes les actions des fonctionnalités de SCCM sont tracées dans la base de données. La fonction de rapports propose un site Intranet présentant des statistiques et tableaux de bord sur l’infrastructure SCCM. Il est également possible de créer ses propres rapports. La gestion des appareils mobiles : comme pour les postes fixes, SCCM peut effectuer la gestion et le contrôle des appareils mobiles (téléphone, PDA, etc.) via un client allégé spécifique à ces systèmes. La gestion de la quarantaine réseau : utilisant le système de quarantaine de Windows 2008, SCCM permet d’assurer une partie des fonctionnalités de quarantaine de ce système. SCCM est utilisé, dans ce cas, pour gérer la sortie de quarantaine des postes en fournissant les packages de mise à jour à vos postes, pour que leur état de santé corresponde aux règles établies par l’administrateur.
2. Activation des composants supplémentaires a. Fallback status, Server Locator, Reporting et Management Point Pour terminer la configuration de votre serveur SCCM, il est nécessaire d’ajouter certains rôles supplémentaires. Ces rôles sont : ●
●
●
Status Report : ce rôle permet aux clients SCCM de remonter leurs informations d’état sur leurs activités. Reporting Point : ce rôle met en place un serveur Intranet permettant aux administrateurs d’accéder aux rapports d’information de SCCM. Fallback Status point : ce rôle est mis en place pour permettre aux clients d’avoir accès au serveur, dans le cas où un serveur de Management ne serait pas accessible.
Pour ajouter des rôles supplémentaires (composants) : ■
- 2-
Ouvrez la console SCCM et accédez à l’emplacement : Site Database, Nom de votre site (PRI Primary site dans notre cas), Site Settings, Site Systems, nom de votre serveur (\\WDS2K8 ici).
© ENI Editions - All rigths reserved - Kaiss Tag
161
Fenêtre des composants SCCM 07
■
Cliquez sur l’option New Roles dans le panneau d’actions (à droite de l’écran).
© ENI Editions - All rigths reserved - Kaiss Tag
162
- 3-
Option d’ajout de rôles
- 4-
■
Sélectionnez l’option Specify a fully qualified domain name (FQDN) for this site system on the intranet.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
163
Choix des rôles
■
Sélectionnez les options Server locator point, Reporting point et Fallback status point.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
164
- 5-
Option du Server locator point
■
- 6-
Confirmez les options par défaut de base de données en cliquant sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
165
Option du Reporting Point
■
Confirmez les options par défaut de reporting en cliquant sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
166
- 7-
Option du fallback status point
■
Confirmez les options par défaut de fallback en cliquant sur Next.
Après l’implémentation de ces rôles, il est nécessaire de vérifier que le rôle principal, le Management Point est bien configuré. Pour cela, toujours dans la même fenêtre : ■
- 8-
Faites un clic droit sur la ligne ConfigMgr device management point puis sélectionnez Properties.
© ENI Editions - All rigths reserved - Kaiss Tag
167
Option du Management Point
■
Vérifiez que l’option Allow devices to use this management point est bien sélectionnée.
■
Cliquez sur OK.
Votre serveur dispose maintenant des rôles les plus utiles pour fonctionner.
b. Mise en place des découvertes d’objets Active Directory Malgré toutes les étapes précédentes, votre site SCCM n’a pas encore de lien direct avec l’Active Directory. Un coup d’œ il aux regroupements (collections, en Anglais) SCCM vous montrera qu’elles ne contiennent aucun objet de votre domaine. Pour que la base de données de SCCM reflète les différentes informations de votre domaine, il est nécessaire de mettre en place les mécanismes de découverte d’Active Directory. Ces modes de découverte sont disponibles dans l’arborescence Site settings / Discovery Methods.
© ENI Editions - All rigths reserved - Kaiss Tag
168
- 9-
Fenêtre Discovery methods
■
Double cliquez sur Active Directory System Discovery.
Propriétés de la découverte Active Directory
- 10 -
© ENI Editions - All rigths reserved - Kaiss Tag
169
■
Cochez la case Enable Active Directory System Discovery.
■
Cliquez sur l’étoile orange audessus de la liste.
■
Sélectionnez les différents conteneurs devant être surveillés (ici nous avons choisi le conteneur "Computers").
■
Cliquez sur l’onglet Polling Schedule.
Intervalles de vérification
■
Vérifiez que l’intervalle de synchronisation vous convient (plus l’intervalle est petit, plus la base de données sera sollicitée).
■
Cliquez sur l’option Run discovery as soon as possible pour déclencher la découverte immédiatement.
■
Cliquez sur OK.
La découverte système va retrouver tous les ordinateurs de votre domaine. Les autres mécanismes de découverte disponibles permettent de découvrir les utilisateurs et les groupes Active Directory.
c. Création de limites de site (Boundaries) Comme pour l’Active Directory, il est nécessaire, pour faire correspondre un site SCCM avec un site géographique, de le lier à un élément physique de votre infrastructure. Les limites de site permettent de définir le périmètre physique d’un site grâce à ses adresses réseau ou à des sites Active Directory. Lier un site SCCM directement à des adresses IP permet d’avoir une relation immédiate entre votre site et un élément physique. Le fait d’utiliser un site Active Directory vous permet d’homogénéiser les informations de sites entre votre domaine AD et vos sites SCCM. Il ne faut pas oublier qu’il est aussi possible de lier des sous réseau IP directement à des sites AD, aussi depuis l’interface Sites et services Active Directory. ■
Toujours dans la partie Site Settings, dirigezvous sur Boundaries. © ENI Editions - All rigths reserved - Kaiss Tag
170
- 11 -
■
Cliquez sur le lien New Boundary dans le panneau d’actions.
Définition d’une limite de site
■
■
■
Dans Type, sélectionnez IP Subnet (sousréseau IP). Indiquez, dans les zones de texte Network et Subnet mask, les informations correspondant au réseau de votre site. Cliquez sur OK.
Le fait d’avoir créé cette limite permet à vos clients de détecter automatiquement leur site SCCM assigné. Ceci est très important dans le cas d’ordinateurs portables se déplaçant d’un site à l’autre.
- 12 -
© ENI Editions - All rigths reserved - Kaiss Tag
171
Déploiements de systèmes d’exploitation avec OSD Comme vu précédemment, Operating System Deployment (OSD) est la fonctionnalité permettant de déployer des systèmes d’exploitation sur les postes de travail à travers le réseau. Comme d’autres fonctionnalités (telles que la distribution de mises à jour), SCCM se base sur des outils existants pour leur ajouter des fonctions supplémentaires. Ici, SCCM utilise le rôle WDS (Windows Deployment Service) de Windows Server, qui permet de distribuer des images via le protocole PXE. Il est donc nécessaire d’installer ce rôle sur tout serveur SCCM qui utilisera le rôle PXE Service point. Ce rôle est celui permettant à SCCM de contrôler la couche WDS du serveur.
1. Implémentation de la distribution réseau a. Configuration de WDS L’installation de WDS se réalise à travers l’interface d’ajout de rôle. Après l’installation du rôle, il est nécessaire de réaliser la configuration du service WDS. ■
Dans Outils d’administration, cliquez sur Services de déploiement Windows.
■
Dans Serveurs, sélectionnez votre serveur WDS puis faites un clic droit dessus.
■
Sélectionnez l’option Configurer le serveur pour démarrer l’assistant.
Interface d’administration de WDS
■
Indiquez l’emplacement utilisé par le service pour stocker les images de démarrage.
© ENI Editions - All rigths reserved - Kaiss Tag
172
- 1-
Choix du répertoire utilisé par WDS
■
Cliquez sur Suivant.
Choix de la méthode de réponse
- 2-
© ENI Editions - All rigths reserved - Kaiss Tag
173
■
Activez la réponse automatique à toutes les demandes des clients et cliquez sur Suivant.
Options DHCP
■
Activez les options DHCP 60 et cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
174
- 3-
Fin de configuration de WDS
■
■
À la fin de l’assistant, il vous sera proposé d’ajouter des images au serveur WDS. Il est impératif que vous n’activiez pas cette option. En effet, à partir de ce point, SCCM prendra la main pour contrôler votre serveur WDS. Cliquez sur Terminer.
b. Configuration du PXE sous SCCM Pour lier votre service WDS à SCCM, il faut maintenant activer le rôle PXE service point sur votre serveur. L’activation de ce rôle passe par l’assistant d’ajout de nouveaux rôles dans le système de site SCCM.
- 4-
© ENI Editions - All rigths reserved - Kaiss Tag
175
Démarrage de l’assistant d’ajout de rôles
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
176
- 5-
Sélection du rôle PXE
■
Sélectionnez PXE service point.
■
Cliquez sur Next.
Avertissement d’ouverture de port
■
- 6-
Cette fenêtre d’avertissement vous indique qu’il est nécessaire d’ouvrir des ports sur votre serveur. Ceci est nécessaire si un parefeu est implémenté sur votre serveur. Cliquez sur Oui.
© ENI Editions - All rigths reserved - Kaiss Tag
177
Choix de la méthode de réponse de votre serveur
■
Sélectionnez l’option Allow this PXE service point to respond to incoming PXE requests.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
178
- 7-
Choix du compte à utiliser
■
■
Sélectionnez l’option Use the PXE service point’s computer account pour indiquer au rôle d’utiliser le compte ordinateur du serveur lors de l’accès à cette fonctionnalité. Cette fenêtre va aussi créer un certificat pour authentifier les communications entre le serveur et les clients PXE. Cliquez sur Finish.
c. Création d’un regroupement spécifique Maintenant que les éléments de base ont été installés, nous allons configurer les paramètres supplémentaires comme créer un regroupement qui rassemblera les différents ordinateurs à ajouter dans notre architecture SCCM. ■
- 8-
Dirigezvous dans la partie Computer Management Collections.
© ENI Editions - All rigths reserved - Kaiss Tag
179
Gestion des regroupements SCCM
■
Cliquez sur le lien New Collection dans le panneau d’actions.
Création d’un regroupement
■
Indiquezlui le nom du regroupement (ici Déploiement OSD).
© ENI Editions - All rigths reserved - Kaiss Tag
180
- 9-
■
Cliquez sur Next.
■
Cliquez sur Finish.
d. Création d’un utilisateur de distribution Après la création d’un regroupement, nous allons créer un utilisateur de domaine dont le client SCCM se servira pour s’authentifier sur le réseau. ■
Dans la console Utilisateurs et ordinateurs Active Directory, choisissez l’emplacement qui verra cet utilisateur créé puis faites un clic droit pour sélectionner l’option Nouveau, Utilisateur.
Création d’un utilisateur AD
- 10 -
■
Indiquez un nom à votre utilisateur.
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
181
Option d’utilisateur
■
■
Indiquez un mot de passe puis sélectionnez les options l’utilisateur ne peut pas changer son mot de passe ainsi que Le mot de passe n’expire jamais. Cliquez sur Suivant.
L’utilisateur venant d’être créé, nous allons donc le lier à nos clients SCCM ; ■
Dans l’interface de gestion de SCCM, allez dans Site settings puis Client Agents.
■
Double cliquez sur Computer Client Agent.
© ENI Editions - All rigths reserved - Kaiss Tag
182
- 11 -
Configuration du client SCCM
- 12 -
■
Dans l’onglet General cliquez sur le bouton Set… pour ajouter le nouvel utilisateur.
■
Entrez le nom de l’utilisateur sous la forme DOMAINE\utilisateur.
■
Cliquez deux fois sur le bouton OK.
© ENI Editions - All rigths reserved - Kaiss Tag
183
Liste des comptes utilisés par SCCM
■
Pour vérifier que l’ajout de l’utilisateur a bien été pris en compte, il vous suffit d’aller vers le répertoire Accounts. Celuici liste tous les comptes déclarés dans votre infrastructure SCCM.
2. Capture d’un poste de travail Maintenant que les bases d’OSD ont été configurées, nous allons mettre en œ uvre la première fonctionnalité d’OSD : la capture d’un poste de travail. Cette fonctionnalité vous permet ainsi d’installer et de configurer un ordinateur à votre convenance, puis de capturer ce poste pour qu’il puisse être dupliqué autant de fois que nécessaire sur vos autres postes de travail.
a. Création d’un média de capture La capture se réalise à travers l’utilisation d’un média de capture (CD/DVD ou encore une clé USB) qui copiera ensuite le contenu de l’ordinateur sur un emplacement réseau. Il est donc impératif de créer un partage accessible en écriture pour un utilisateur (nous utiliserons ici le compte administrateur de notre serveur). Nous appellerons ce partage Captures. ■
Dirigezvous dans l’emplacement Computer Management, Operating System Deployment, Task Sequence.
© ENI Editions - All rigths reserved - Kaiss Tag
184
- 13 -
Interface de gestion des séquences de tâches
■
Cliquez sur le lien, dans la partie droite, nommé Create Task Sequence Media.
Assistant de création d’un média de séquence de tâches
- 14 -
■
Sélectionnez l’option Capture media.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
185
Choix du type de média
■
■
Sélectionnez CD/DVD Set, indiquez dans la zone de texte Media file l’emplacement où sera créé votre fichier iso utilisé pour graver le CD. Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
186
- 15 -
06ri062
■
Indiquez l’image de boot à utiliser. Pour éviter tout risque d’incompatibilité, il est conseillé d’utiliser l’image de démarrage de type x86 (32 bits) puisqu’elle pourra également être exécutée sur les ordinateurs 64 bits. Le choix du point de distribution n’est nécessaire que pour réaliser le fichier ISO, il n’est pas nécessaire d’utiliser un serveur accessible par le poste à capturer, le média se suffit à luimême. Cliquez sur Finish.
Votre fichier ISO créé, il suffit ensuite de le graver pour l’utiliser sur le poste à capturer.
b. Capture du poste de travail ■
- 16 -
Sur le poste de travail à capturer, insérez le média de capture pour qu’il soit lancé à travers Windows 7. Attention, il est impératif que ce poste de travail appartienne à un groupe de travail et non à un domaine. Le système d’exécution automatique du média va lancer le système de capture.
© ENI Editions - All rigths reserved - Kaiss Tag
187
Assistant de capture
■
Cliquez sur Next.
Identification du chemin de capture
■
■
Indiquez le chemin UNC vers le fichier WIM devant recevoir la capture de votre poste de travail ainsi qu’un nom d’utilisateur et son mot de passe. Ce compte doit impérativement avoir les droits d’écriture sur le partage. Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
188
- 17 -
■
Cliquez sur Finish.
L’assistant va préparer le poste de travail pour sa capture, redémarrer le poste de travail et capturer les disques locaux vers une image WIM contenant l’intégralité des données du poste de travail. À la fin de la capture, celleci apparaîtra dans l’emplacement Operating System Install Packages.
Capture créée
3. Création d’un déploiement Cette capture pourra être utilisée pour un déploiement sur notre infrastructure. Avant de l’utiliser, nous allons voir comment créer un déploiement avec un DVD d’installation de Windows 7 Enterprise.
a. Ajout d’un système d’exploitation La première étape est l’ajout d’un système d’exploitation à l’arborescence OSD. L’ajout se réalise à partir d’un emplacement réseau, il est donc nécessaire de copier le contenu de votre DVD d’installation de Windows 7 dans un partage réseau accessible par votre serveur. ■
- 18 -
Allez dans l’emplacement Computer Management, Operating System Deployment, Operating System Images.
© ENI Editions - All rigths reserved - Kaiss Tag
189
Répertoire des systèmes d’exploitation
■
Cliquez sur le lien à droite Add Operating System Image.
Sélection de l’image d’installation
■
Sélectionnez le fichier install.wim de votre installation Windows 7.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
190
- 19 -
Informations de votre système d’exploitation
■
Automatiquement, SCCM indiquera les métadonnées contenues dans l’image, modifiezles si nécessaire.
■
Cliquez sur Next jusqu’à la création de votre image.
Image ajoutée Maintenant que votre image a été déclarée dans SCCM, il est nécessaire de la copier sur vos points de distribution :
- 20 -
© ENI Editions - All rigths reserved - Kaiss Tag
191
■
Allez dans l’emplacement Computer Management, Operating System Deployment, Operating System Images, sélectionnez votre image puis cliquez sur le lien, en bas à droite, nommé Manage Distribution Points.
Choix des points de distribution
■
■
Laissez les options par défaut jusqu’à l’écran de sélection des points de distribution. Sélectionnez les deux points disponibles. Cliquez sur Next.
La mise à jour des points de distribution se réalisera en arrièreplan. Étant donné le volume de données à copier (plusieurs giga octets), cette opération de mise à jour durera plusieurs minutes et doit être réalisée dès le début.
b. Création d’un package d’installation du client SCCM L’image d’un système d’exploitation permet de l’installer sur vos postes de travail. Cependant, pour qu’il puisse communiquer avec votre architecture SCCM et recevoir ses configurations, il est nécessaire d’y installer dès le début le client SCCM. Pour cela nous allons créer le premier package de notre architecture : ■
Dirigezvous vers l’emplacement Computer Management, Software distribution, Packages.
© ENI Editions - All rigths reserved - Kaiss Tag
192
- 21 -
Gestion des packages SCCM
■
Cliquez sur le lien dans le menu Actions à droite, New, Package from definition.
Sélection de la définition
■
- 22 -
Sélectionnez Configuration Manager Client Upgrade.
© ENI Editions - All rigths reserved - Kaiss Tag
193
■
Cliquez sur Next.
Choix du mode d’obtention
■
Choisissez Always obtain files from a source directory.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
194
- 23 -
Définition de l’emplacement des sources
■
■
Dans la partie Source directory, indiquez le chemin UNC vers les sources du client SCCM (\\\SMS_\Client). Cliquez sur Next.
Après la création du package, il est nécessaire de le déployer sur les points de distribution.
- 24 -
© ENI Editions - All rigths reserved - Kaiss Tag
195
■
Cliquez sur le lien en bas à droite nommé Manage Distribution Point. Il vous suffit ensuite de reproduire les mêmes étapes que lors de la mise à jour des points de distribution, pour le système d’exploitation, effectuée précédemment.
c. Création d’une séquence de tâches Maintenant que nous avons créé les deux éléments principaux de notre déploiement, nous devons les mettre en place dans une séquence de tâches. Il s’agit d’un ensemble d’actions réalisant l’installation d’un poste de travail. ■
Pour créer une séquence de tâches, dirigezvous vers l’emplacement Computer Management, Operating System Deployment, Task Sequences.
Interface de gestion des séquences de tâches
■
Cliquez sur le lien à droite New, Task sequence.
© ENI Editions - All rigths reserved - Kaiss Tag
196
- 25 -
Choix du type de séquence de tâches
■
Sélectionnez l’option Install an existing Image package.
■
Cliquez sur Next.
Nom de la séquence de tâches - 26 -
© ENI Editions - All rigths reserved - Kaiss Tag
197
■
■
Indiquez un nom à votre séquence. Cliquez sur le bouton Browse pour sélectionner l’image de démarrage à utiliser. Cliquez sur Next.
Option d’installation du système d’exploitation
■
■
Dans la partie Image package, cliquez sur Browse pour sélectionner l’image de Windows 7. Indiquez le numéro de série de votre système (sur cette capture il s’agit d’un numéro de client KMS). Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
198
- 27 -
Choix du domaine
■
Indiquez les informations nécessaires pour joindre l’ordinateur au domaine (ou indiquez un groupe de travail).
■
Cliquez sur Next.
Choix du package d’installation client SCCM - 28 -
© ENI Editions - All rigths reserved - Kaiss Tag
199
■
Cliquez sur Browse pour sélectionner le package du client SCCM.
■
Cliquez ensuite sur Next.
Choix de capture de l’état
■
■
Désélectionnez les options de capture des paramètres utilisateur. Ces options ne sont utiles que si vous prévoyez la mise à jour d’un poste de travail tout en gardant les paramètres utilisateur. Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
200
- 29 -
Option d’installation des mises à jour
■
■
Cliquez sur Don’t install any software updates. Cliquez sur Next. Cet écran vous permet de déclencher l’installation d’un package de mise à jour (il est nécessaire d’avoir ajouté le rôle d’installation des mises à jour).
Votre séquence de tâches étant créée, il reste à l’assigner à vos postes de travail.
d. Création d’une association d’ordinateur Pour déployer cette séquence de tâches, il est nécessaire de la publier sur les comptes ordinateurs connus de SCCM. Pour cela, une association d’ordinateur est nécessaire. Celleci permet de lier un identifiant matériel de l’ordinateur (l’adresse MAC ou adresse physique de la carte réseau ici) avec un compte ordinateur créé dans l’architecture SCCM. ■
- 30 -
Dirigezvous vers le dossier Computer Association.
© ENI Editions - All rigths reserved - Kaiss Tag
201
Association Ordinateurs
■
Cliquez sur le lien à droite Import Computer Information.
Choix du type d’association
■
Sélectionnez l’option Import single computer.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
202
- 31 -
Information d’association
- 32 -
■
Indiquez le nom de l’ordinateur et les informations sur l’élément physique (l’adresse MAC dans notre exemple).
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
203
Choix du regroupement
■
Sélectionnez le regroupement créé au début (cf. Création d’un regroupement spécifique).
■
Cliquez sur Finish.
Désormais, dès que votre poste de travail démarrera sur le réseau, il sera connu par SCCM sous le compte que vous venez de créer.
e. Déploiement La dernière étape de configuration est la publication de notre séquence de tâches sur le poste de travail que nous venons de créer. ■
Revenez dans le dossier Task Sequences. Sélectionnez la séquence de tâches que vous avez créée.
Administration des séquences de tâches
■
Cliquez sur le lien en bas à droite Advertise.
© ENI Editions - All rigths reserved - Kaiss Tag
204
- 33 -
Lien de la séquence avec un regroupement
- 34 -
■
Donnez un nom à votre publication.
■
Cliquez sur le bouton Browse… en face du champ Collection pour sélectionner votre regroupement.
■
Sélectionnez l’option Make this task sequence available to boot media and PXE.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
205
Choix de l’assignation
■
■
Dans la partie Mandatory assignments, cliquez sur l’étoile orange et choisissez l’option As soon as possible pour que la publication démarre dès que possible. Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
206
- 35 -
Choix de distribution
■
Cliquez sur Next.
La configuration côté SCCM est maintenant terminée. Il ne reste plus qu’à démarrer votre poste de travail sur le réseau pour obtenir cet écran :
Démarrage PXE Après le téléchargement de l’image de démarrage, l’installation se réalisera. Votre poste est ensuite inséré dans le domaine et reconnu par SCCM. - 36 -
© ENI Editions - All rigths reserved - Kaiss Tag
207
Installation de votre séquence de tâches
4. Paramétrage supplémentaire Nous venons de réaliser les actions de base pour déployer un poste de travail Windows 7 dans votre architecture. Voyons ensemble certaines options supplémentaires pouvant être implémentées.
a. Création d’un média d’installation Il est parfois impossible de réaliser une installation à travers le réseau (problème de connexion, peu de bande passante disponible sur les postes). SCCM permet également d’installer votre système d’exploitation depuis un média amovible (DVD ou clé USB). La procédure à employer est très proche de celle pour créer un média de capture : ■
Dirigezvous dans le dossier Task Sequences.
■
Sélectionnez votre séquence de tâches puis cliquez sur le lien en bas à droite Create Task Sequence Media.
© ENI Editions - All rigths reserved - Kaiss Tag
208
- 37 -
Choix du type de média
■
Cliquez sur l’option Standalone media.
■
Cliquez sur Next.
Emplacement de création du DVD - 38 -
© ENI Editions - All rigths reserved - Kaiss Tag
209
■
■
Indiquez, dans Media size, la taille des DVD que vous utiliserez. Ce paramètre est obligatoire pour que SCCM génère un ou plusieurs DVD d’installation. Choisissez le nom du fichier ISO qui sera créé. Cliquez sur Next.
Ajout d’un mot de passe au média
■
■
Vous pouvez définir ici un mot de passe pour éviter qu’une mauvaise manipulation provoque la réinstallation d’un poste de travail. Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
210
- 39 -
Choix de la séquence de tâches assignée au média
■
Cliquez sur Next.
Choix du point de distribution
- 40 -
© ENI Editions - All rigths reserved - Kaiss Tag
211
■
Sélectionnez le point de distribution à ajouter puis cliquez sur le bouton Add.
■
Cliquez sur Next.
Après quelques minutes (en fonction de la quantité de données à ajouter), un fichier ISO est créé. Il suffit de le graver sur un CD et d’amorcer un poste de travail dessus pour lancer l’installation. Celleci se déroule comme l’installation à travers le réseau.
b. Ajout de pilotes de périphériques Une des premières personnalisations des postes est la gestion des pilotes. Bien que Windows 7 inclue un grand nombre de pilotes de périphériques, au fil du temps, de plus en plus de périphériques ne seront pas connus nativement par le système d’exploitation. SCCM permet l’ajout de pilotes à la volée sans aucune difficulté. Pour ajouter un pilote, il faut impérativement utiliser sa version décompressée. La version décompressée contient un ensemble de fichiers (.dll, .sys ; etc.) ainsi que le paramétrage sous la forme d’un fichier avec l’extension .INF. ■
Dirigezvous à l’emplacement Drivers dans Operating System Deployment.
■
Cliquez sur le lien à droite Import.
Emplacement des pilotes de périphériques
■
Indiquez l’emplacement contenant tous vos pilotes.
■
Cliquez sur le bouton Next.
© ENI Editions - All rigths reserved - Kaiss Tag
212
- 41 -
Choix des pilotes à implémenter
■
Sélectionnez tous les fichiers des pilotes que vous souhaitez ajouter.
■
Cliquez sur le bouton Next.
Ajout à un package - 42 -
© ENI Editions - All rigths reserved - Kaiss Tag
213
■
■
Choisissez le package qui recevra ces pilotes (nous vous conseillons de faire un package par type de machines). Si vous souhaitez créer un nouveau package, cliquez sur le bouton New Package.... Cliquez sur le bouton Next.
Choix des images de démarrage
■
■
Sélectionnez les images de démarrage devant recevoir les nouveaux pilotes. Nous vous conseillons de ne sélectionner que les images correspondant à la même architecture (32 ou 64 bits) que vos pilotes. De plus, ajoutez à ces images de démarrage seulement les pilotes indispensables (disques et réseaux). Cliquez sur Finish.
© ENI Editions - All rigths reserved - Kaiss Tag
214
- 43 -
Interface de gestion des pilotes Cette opération ayant mis à jour votre image de démarrage, il est nécessaire d’envoyer cette modification à vos différents points de distribution. Cela s’effectue par le lien Update distribution point disponible après sélection de vos images de démarrage dans le dossier Boot images.
c. Ajout d’un package de système d’exploitation Nous avons vu toutes les étapes d’installation d’un système d’exploitation à travers OSD. En revanche, nous n’avons nulle part utilisé le package de capture que nous avions réalisé. ■
- 44 -
Pour ajouter le package de capture à notre installation, rendezvous dans le dossier Task Sequences. Sélectionnez la séquence de tâches que nous avons créée.
© ENI Editions - All rigths reserved - Kaiss Tag
215
Administration des séquences de tâches
■
Cliquez sur le lien Duplicate dans le panneau d’actions.
Nouvelle séquence de tâches créée
■
Sélectionnez la nouvelle séquence, cliquez sur le lien Edit.
© ENI Editions - All rigths reserved - Kaiss Tag
216
- 45 -
Interface d’édition de séquence de tâches
■
Cette interface vous permet d’éditer les séquences de tâches. Cette interface est très proche de celle de MDT 2010 (avec plusieurs options en moins). Mettezvous au niveau de la tâche Apply Operating System Image et sélectionnez l’option Apply operating system from an original installation source.
■
Cliquez sur Browse pour sélectionner votre image de capture.
■
Cliquez sur OK.
Votre nouvelle séquence de tâches utilisera maintenant votre image capturée. Il vous suffit ensuite de la publier comme pour la séquence précédente pour l’implémenter sur vos postes de travail.
5. Conclusion Nous avons vu dans ce chapitre comment utiliser la fonctionnalité OSD de SCCM 2007, pour déployer Windows 7 sur une infrastructure. Cependant, les exemples présentés ici ne couvrent que des cas simples, libre à vous de les approfondir pour qu’ils correspondent à votre projet de déploiement. D’autre part, vous avez pu constater que SCCM 2007 était un outil riche en fonctionnalités, mais beaucoup plus lourd à mettre en œ uvre que WDS, MDT ou WSUS seuls, bien qu’il se base sur eux pour remplir ses fonctions. Son usage est en réalité plus adapté aux grandes infrastructures ayant un nombre de postes de travail et de sites important qu’aux petites structures monosites. Cependant, étant donné qu’il se base sur des produits sousjacents disponibles individuellement, l’investissement humain et financier sur ces produits permettra de réutiliser une grande partie des acquis lorsque votre infrastructure grandira et atteindra une taille où SCCM s’imposera.
- 46 -
© ENI Editions - All rigths reserved - Kaiss Tag
217
Présentation de WSUS Tout administrateur système connaît l’importance de l’application régulière des mises à jour Microsoft et notamment des patchs de sécurité. Ces derniers sont, en effet, essentiels pour maintenir votre parc informatique à l’abri d’attaques informatiques visant vos systèmes d’exploitation. Windows Server Update Services (WSUS) est la solution technique proposée par Microsoft afin de permettre une gestion et un déploiement centralisés des mises à jour Microsoft. Il permet d’utiliser le client Windows Update installé par défaut sur vos systèmes d’exploitation afin d’interroger non plus le serveur de mises à jour Microsoft (www.windowsupdate.com) mais votre propre serveur de mises à jour WSUS. Vous aurez alors un contrôle fin sur les mises à jour à télécharger depuis le site Microsoft économisant ainsi votre bande passante, ainsi que sur la stratégie de validation et de diffusion des mises à jour. Ce client Windows Update peut être configuré par stratégie de groupes afin de spécifier les heures de déploiement, les interactions avec l’utilisateur, l’obligation de redémarrer ou non à la suite d’une installation de patchs, etc. Les mises à jour proposées peuvent être des services packs, des ensembles de correctifs, des patchs de sécurité, concernant aussi bien les systèmes d’exploitation Windows 2000 SP4, XP, Vista, 7, Windows Server 2003, Windows Server 2008, 2008 R2 que les applications Microsoft les plus courantes (Office, SQL Server, Exchange Server, ISA Server, etc.). Ces mises à jour sont d’autant plus nécessaires que Microsoft n’accepte d’apporter un support en cas de problème qu’aux applications ou systèmes d’exploitation ayant un niveau de service pack minimum. Suivant votre infrastructure, WSUS peut se mettre à jour avec le site Microsoft ou bien avec un autre serveur WSUS "maître". Vous pouvez ainsi avoir une hiérarchie de serveurs WSUS pour gérer vos environnements complexes.
© ENI Editions - All rigths reserved - Kaiss Tag
218
- 1-
Mise en place de WSUS WSUS 3.0 SP2 est disponible directement depuis la console Gestionnaire de serveur de Windows Server 2008 R2, Windows Server 2008 SP2, ou Windows Server 2008 avec le patch KB940518 installé. Son téléchargement se fait alors de façon transparente (à condition que vous ayez un accès à Internet configuré sur ce serveur) depuis le serveur Microsoft ou depuis le serveur WSUS maître (ce serveur WSUS devra alors avoir approuvé pour installation la mise à jour KB972493) ; sinon, pour les versions serveurs antérieures ou pour une installation hors ligne, le fichier d’installation est téléchargeable à l’adresse suivante : http://go.microsoft.com/fwlink/?LinkID=161140
1. Prérequis à l’installation de WSUS 3.0 SP2 Avant de vous lancer dans l’installation et la configuration de WSUS, sachez que plusieurs prérequis doivent être respectés sur le futur serveur WSUS. Le serveur doit respecter les prérequis suivants : ●
●
●
L’espace disque à prévoir est de 1 Go sur la partition système, 2 Go pour la partition contenant la base de données et environ 30 Go pour la partition stockant les mises à jour (la volumétrie dépendra du nombre de produits et de langues choisis). WSUS 3.0 SP2 peut être installé sur les systèmes d’exploitation suivants : ●
Windows Server 2008 R2.
●
Windows Server 2008 SP1 ou versions ultérieures.
●
Windows Server 2003 SP1 ou versions ultérieures.
●
Windows Small Business Server 2008.
●
Windows Small Business Server 2003.
Les services suivants doivent également être installés : ●
●
●
●
●
●
●
IIS 6.0 ou versions ultérieures (avec l’installation du composant ASP.NET et prise en charge des objets COM+ réseau). Microsoft.NET Framework 2.0 ou versions ultérieures. La version 3.5 est le minimum requis si vous installez Microsoft Report Viewer. Une base de données Microsoft SQL Server 2008 (Express, Standard ou Enterprise Edition), SQL Server 2005 SP2 ou bien encore la base de données interne de Windows. Microsoft Management Console 3.0 Microsoft Report Viewer Redistributable 2008 SP1. Il est téléchargeable à l’adresse suivante : http://www.microsoft.com/downloads/details.aspx?familyid=BB196D5D76C24A0E9458 267D22B6AAC6&displaylang=fr
Le compte NT\Service réseau doit avoir les permissions Contrôle total sur les dossiers %windir% \Microsoft.Net\Framework\v2.0.50727\Temporary ASP.Net Files et le dossier %windir%\temp. En termes d’accès réseau : ●
Le parefeu du serveur WSUS doit être autorisé à se connecter au serveur de mises à jour en amont (serveurs Microsoft sur Internet ou serveur maître WSUS). Les ports à autoriser sont les ports 80/TCP et 443/TCP. Si votre parefeu ne le permet pas, vous pouvez n’autoriser que les accès sur les URLs spécifiques dont la liste est disponible à l’adresse suivante : http://support.microsoft.com/kb/885819
© ENI Editions - All rigths reserved - Kaiss Tag
219
- 1-
●
Si vos postes clients doivent utiliser un serveur proxy pour accéder au serveur WSUS, il faut configurer le client Windows Update pour utiliser celuici. Cette configuration se fait au travers de WPAD ou via la commande netsh. La commande à utiliser doit respecter la syntaxe suivante sous Windows Vista et Windows 7 : netsh winhttp set proxy [proxy-server=][:port] [[bypass-list=]].
●
La commande équivalente sous Windows XP est :
proxycfg -u. ●
Un accès Internet est nécessaire afin de récupérer le fichier source WSUS 3.0 SP2 qui sera téléchargé par l’assistant de façon transparente.
2. Installation de WSUS 3.0 SP2 Maintenant que vous connaissez les différents prérequis, il vous est possible de démarrer l’installation de WSUS sur votre Windows Server 2008 R2. La première partie de l’installation consiste à installer les rôles et composants sur lesquels se reposera le rôle WSUS. Il s’agit donc d’installer les rôles Serveur d’applications et Serveur Web IIS ainsi que les quelques autres composants nécessaires. ■
■
- 2-
Téléchargez et installez le Report Viewer 2008 SP1. L’installation est classique et ne nécessite aucune configuration. Ouvrez le gestionnaire de serveur puis choisissez Ajouter des rôles et cochez Serveur d’applications et Serveur Web (IIS). L’assistant ajout de rôles vous propose alors d’ajouter les fonctionnalités requises pour le rôle Serveur d’applications.
■
Acceptez en cliquant sur Ajouter les fonctionnalités requises.
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
220
■
Sur la page Services du rôle Serveur d’Applications, cochez .Net Framework 3.5.1.
■
Acceptez les paramètres par défaut puis cliquez sur Suivant.
■
Sur la page Services du rôle Serveur Web (IIS), laissez les paramètres activés par défaut et ajoutez également les paramètres (et les services de rôles requis, si demandés) ASP.NET, Authentification Windows, Compression de contenu dynamique et compatibilité avec la gestion IIS 6.
© ENI Editions - All rigths reserved - Kaiss Tag
221
- 3-
■
Cliquez sur Suivant.
■
■
- 4-
L’écran récapitulatif apparaît alors. Cliquez sur Installer pour débuter l’installation des composants. Un panneau récapitulatif vous confirme ensuite que l’installation s’est correctement déroulée. Si les mises à jour automatiques ne sont pas activées, un message d’avertissement apparaîtra à la fin de l’assistant vous invitant à les activer via le panneau de configuration. Cliquez alors sur Fermer.
© ENI Editions - All rigths reserved - Kaiss Tag
222
Une fois ces premiers composants installés, vous pouvez maintenant lancer l’installation de WSUS. ■
Avant de vous diriger vers le gestionnaire de serveur pour installer ce rôle, vérifiez que vous avez bien donné la permission Contrôle Total au compte Autorité NT\Service réseau sur les dossiers %windir% \Microsoft.Net\Framework\v2.0.50727\Temporary ASP.Net Files et sur le dossier %windir%\Temp.
■
Ouvrez le gestionnaire de serveur, puis Ajouter des rôles.
■
Choisissez alors le rôle Services WSUS (Windows Server Update Services).
© ENI Editions - All rigths reserved - Kaiss Tag
223
- 5-
■
■
Cliquez sur Installer. L’assistant se connecte alors à Internet afin de télécharger automatiquement le fichier d’installation (80 Mo environ).
■
Une fois le fichier d’installation téléchargé, l’assistant d’installation WSUS 3.0 SP2 s’ouvre alors. Cliquez sur Suivant.
■
À l’étape du contrat de licence, sélectionnez J’accepte les termes du contrat de licence.
■
Cliquez sur Suivant.
■
- 6-
Cliquez sur Suivant.
Sélectionnez alors la partition sur laquelle seront stockés les fichiers de mises à jour téléchargés. Bien que l’assistant indique un minimum de 6 Go, il est généralement conseillé de sélectionner une partition nonsystème d’au moins 30 Go.
© ENI Editions - All rigths reserved - Kaiss Tag
224
■
Cliquez sur Suivant.
■
L’assistant vous demande alors de sélectionner l’emplacement de la base de données utilisée par WSUS. Vous avez le choix entre installer localement la base de données interne Windows ou utiliser un serveur SQL local ou distant. Dans le cas d’un serveur SQL, entrez le nom de l’instance sous la forme \. Dans le cas d’une connexion à un serveur SQL, l’étape suivante sera d’établir une connexion avec ce serveur. Dans notre exemple, choisissez d’Installer la base de données interne Windows sur cet ordinateur.
© ENI Editions - All rigths reserved - Kaiss Tag
225
- 7-
■
Cliquez sur Suivant.
■
Sur la page Sélection du site Web, indiquez les préférences du site web. Si vous possédez déjà un site écoutant sur le port 80, choisissez de Créer un site web Windows Server Update Services 3.0 SP2 afin que celuici écoute sur un port différent (port 8530). Dans notre exemple, aucun site n’est configuré et, par conséquent, l’option par défaut Utiliser le site Web IIS par défaut existant est correcte.
■
Cliquez sur Suivant.
■
L’assistant affiche un récapitulatif des choix effectués précédemment. Cliquez sur Suivant pour lancer l’installation.
Une fois l’installation terminée, vous devriez arriver à la fenêtre cidessous vous indiquant que tout s’est correctement déroulé :
- 8-
© ENI Editions - All rigths reserved - Kaiss Tag
226
■
L’assistant Ajout de rôle finit alors de collecter les informations relatives à l’installation. Un assistant de configuration de Windows Server Update Services se lance vous demandant de vérifier les différents points évoqués précédemment concernant la connectivité réseau. Vérifiez à nouveau les points cités ici avant de continuer en cliquant sur Suivant.
L’étape suivante consiste à vous inscrire ou pas au programme d’amélioration de Microsoft Update. Votre serveur
© ENI Editions - All rigths reserved - Kaiss Tag
227
- 9-
WSUS enverra alors des informations non nominatives à Microsoft. Ces dernières sont très utiles à l’éditeur qui recoupe réellement les données des différents serveurs pour proposer des produits de meilleure qualité. Libre à vous de vous inscrire ou non à ce programme. ■
■
Cliquez sur Suivant. Choisissez le serveur en amont, à partir duquel ce serveur WSUS ira chercher ses mises à jour. En effet, il est possible d’avoir une hiérarchie de serveurs. Cela est fort pratique dans les grandes entreprises où un processus de gestion de patchs (qualification, tests, etc.) est généralement en place afin de détecter et corriger les effets indésirables sur des applications suite à l’installation de ces patchs. (Plus d’infos sur le processus de gestion des patchs à cette adresse : http://technet.microsoft.com/frfr/library/dd550625.aspx). L’avantage d’avoir un serveur WSUS en amont est que celuici diffusera uniquement les patchs testés et validés (par une équipe spécialisée) aux autres serveurs WSUS des différentes divisions dépendantes. Les serveurs enfants s’appellent des serveurs réplicas. Vous aurez ainsi la maîtrise sur les patchs installés sur l’ensemble de votre entreprise. L’autre avantage d’avoir plusieurs WSUS répartis est l’économie de bande passante pour certains sites ne disposant pas d’un débit important ; cet argument est moins recevable dans la mesure où un poste patché peut désormais servir de relais de mise à jour (vous verrez cela un peu plus loin dans ce chapitre). Dans cet exemple, nous avons une architecture simple qui se résume à un seul WSUS qui se connecte donc à Internet. Choisissez l’option Synchroniser à partir de Windows Update.
■
Cliquez sur Suivant.
■
■
- 10 -
Si votre serveur WSUS doit utiliser un proxy pour pouvoir se connecter au site de Microsoft, indiquez ici l’adresse du proxy, ainsi que les identifiants éventuels. Si ce n’est pas le cas, ne cochez rien. Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
228
■
■
Cette étape consiste à se connecter au serveur en amont (dans notre exemple au site Microsoft Windows update) afin de tester les informations fournies précédemment et récupérer les informations sur les types de mises à jour, les produits, les langues, etc.. Cliquez sur Démarrer la connexion. Après quelques minutes, vous avez la possibilité de cliquer sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
229
- 11 -
■
■
- 12 -
Choisissez les langues d’installation des mises à jour. Ne cochez que le strict nécessaire suivant les langues installées sur les systèmes d’exploitation de votre parc informatique. Cliquez ensuite sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
230
■
■
Sélectionnez alors les produits que vous souhaitez mettre à jour. Une longue liste d’applications Microsoft est disponible. Par défaut, les systèmes d’exploitation clients et serveurs Windows sont sélectionnés. Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
231
- 13 -
■
■
- 14 -
Indiquez alors les différents types de classifications pour lesquels les mises à jour seront téléchargées. Les options par défaut sont correctes. Le Service Pack des produits précédemment sélectionnés peut être utile mais attention cependant à l’espace disque nécessaire au stockage de celuici pour les différents systèmes d’exploitation. Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
232
■
■
Choisissez alors le type de planification de ce serveur afin d’interroger son serveur en amont. Préférez une planification quotidienne à une planification manuelle sauf si vous avez des contraintes fortes en termes de débit réseau. Dans cet exemple, une interrogation quotidienne à 23 heures est effectuée. Cliquez alors sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
233
- 15 -
Vous pouvez alors lancer immédiatement la synchronisation avec le serveur en amont. Cela ne sera pas forcément consommateur en termes de débit réseau dans la mesure où vous aviez précédemment indiqué que seules les mises à jour approuvées seraient téléchargées. À ce moment de l’installation, aucune mise à jour n’a été approuvée et par conséquent seule la liste des patchs à télécharger sera récupérée depuis Internet. En revanche, une fois les patchs approuvés depuis la console WSUS (cf. Approbation et déploiement des mises à jour), lancez cette première synchronisation de préférence en heures non ouvrées. ■
- 16 -
Choisissez Commencer la synchronisation initiale et cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
234
La dernière fenêtre vous guide alors sur les pages d’aide des principales étapes à réaliser afin de pouvoir commencer à réellement utiliser votre serveur WSUS. Vous verrez en détail un peu plus loin ce qu’il reste à effectuer. ■
Cliquez sur Terminer.
© ENI Editions - All rigths reserved - Kaiss Tag
235
- 17 -
Le gestionnaire de serveur vous indique alors le résultat de l’installation. ■
- 18 -
Cliquez sur Fermer. En cas de problème, vous pouvez consulter les fichiers de log d’installation de WSUS dans le dossier %tmp% de l’utilisateur.
© ENI Editions - All rigths reserved - Kaiss Tag
236
Exploitation de WSUS 3.0 SP2 La gestion des mises à jour Microsoft avec WSUS se fait au travers de deux outils. La console MMC dédiée à WSUS pour gérer les mises à jour à installer et les stratégies de groupe afin de configurer les paramètres liés à l’installation de ces mises à jour sur les postes clients.
1. Configuration des postes clients WSUS Avant toute chose, il convient de configurer les stratégies de groupe des postes clients afin que ces derniers soient détectés par WSUS. Pour cela, éditez la stratégie de groupe impactant le groupe d’ordinateurs souhaité afin que le service Windows Update du poste client pointe vers le serveur WSUS et non plus le serveur Microsoft Windows. L’édition d’une stratégie au niveau du domaine peut tout à fait être envisagée si tous les postes de travail du domaine doivent se mettre à jour sur un même serveur WSUS. Si ce n’est pas le cas, il faudra préférer définir cette stratégie de groupe au niveau des unités d’organisation, contenant les ordinateurs pour lesquels vous souhaiterez avoir ce serveur WSUS comme référence pour récupérer les mises à jour. Plusieurs paramètres de stratégie concernent la configuration d’une stratégie WSUS sur les postes clients.
a. Stratégie du client Windows Update La plupart des options de configuration du client Windows Update se configurent au niveau de la stratégie Configuration ordinateur/Stratégies/Modèles d’administration/Composant Windows/Windows Update.
Voici les paramètres les plus intéressants parmi ceux proposés au niveau de cette stratégie : Paramètre
Choix possible
Configuration du service Mises à jour Windows.
Lorsque ce paramètre est activé, voici les options possibles : 2 Notification des téléchargements et des installations. Cette option affiche une notification avant le téléchargement et avant l’installation des mises à jour à un utilisateur qui a ouvert une session avec des droits Administrateurs. 3 Téléchargement automatique et notification des
© ENI Editions - All rigths reserved - Kaiss Tag
237
- 1-
installations. Cette option lance automatiquement le téléchargement des mises à jour, puis affiche une notification avant d’installer les mises à jour à un utilisateur qui a ouvert une session avec des droits administrateurs. 4 Téléchargement automatique et planification des installations. Cette option lance automatiquement le téléchargement des mises à jour puis les installe à la date et l’heure que vous spécifiez. L’installation se déroule même si l’utilisateur n’a pas les droits administrateurs. 5 Autoriser l’administrateur local à choisir les paramètres. Cette option permet une gestion locale de la stratégie de mise à jour. Les administrateurs locaux peuvent utiliser le service Mises à jour automatiques depuis le panneau de configuration pour sélectionner l’option de configuration de leur choix. Spécifier l’emplacement intranet du service de mise à jour Microsoft.
Ce paramètre est indispensable. Il permet d’indiquer le serveur WSUS interrogé par les clients. Indiquez alors l’URL HTTP du même serveur WSUS dans les zones Configurer le service intranet de Mise à jour pour la détection des mises à jour et Configurer le serveur intranet de statistiques.
Fréquence de détection des mises à jour Permet d’indiquer l’intervalle de temps, en heures, au bout automatiques. duquel le poste client ira vérifier la disponibilité de nouvelles mises à jour. Lorsque ce paramètre n’est pas configuré ou est désactivé, l’intervalle de temps par défaut est de 22 heures. Autoriser les nonadministrateurs à Ce paramètre permet à un utilisateur sans droit de recevoir les recevoir les notifications de mise à jour. notifications de nouveaux patchs et de pouvoir installer des mises à jour (sauf pour Windows 7). Ce paramètre est désactivé par défaut. Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques.
Si le paramètre est activé et qu’un utilisateur a une session ouverte, le redémarrage n’est pas forcé sur le poste ; un message invitant l’utilisateur à redémarrer s’affiche uniquement.
Délai de redémarrage pour les installations planifiées.
Indique la durée en minutes avant que les mises à jour automatiques ne procèdent à un redémarrage de l’ordinateur. Par défaut, la valeur est de 15 minutes.
Replanifier les installations planifiées des mises à jour automatiques.
Permet de définir une durée d’attente avant l’installation de mises à jour planifiées qui n’ont pas pu avoir lieu plus tôt.
Autoriser le ciblage côté client.
Permet de définir le ou les noms de groupes cibles (séparés par un pointvirgule) configurés dans WSUS afin de déployer un ensemble de mises à jour spécifique pour ce groupe en question.
Dans l’exemple pris pour ce chapitre, il vous faut définir au moins le paramètre Configuration du service Mises à jour Windows et Spécifier l’emplacement intranet du service de mise à jour Microsoft. Une fois ces paramètres définis pour la première fois, il faut attendre que la stratégie soit appliquée sur les postes (90 minutes environ). Vous pouvez forcer l’application de cette stratégie, via la commande gpupdate /force à lancer depuis le poste client. Une fois la stratégie appliquée, il faut attendre environ 20 minutes pour que l’ordinateur client contacte le serveur WSUS. Vous pouvez forcer cette détection via la commande wuauclt /detectnow.
b. Stratégies BITS des postes clients
- 2-
© ENI Editions - All rigths reserved - Kaiss Tag
238
Background Intelligent Transfer Service (BITS) est un service optimisé de transfert de fichiers. Des fichiers volumineux peuvent ainsi être téléchargés, grâce à ce protocole, sans occasionner de ralentissements par saturation de la bande passante puisque seule la bande passante libre sera utilisée pour effectuer les transferts. BITS permet également de reprendre un téléchargement interrompu à l’endroit où celuici avait été interrompu. Le service BITS est ainsi utilisé par le service Windows Update pour télécharger les mises à jour disponibles sur votre serveur WSUS (ou même sur le site de Microsoft). Il est possible de contrôler plusieurs paramètres liés à BITS et ainsi indirectement à la configuration du client Windows Update au niveau de la stratégie Configuration ordinateur\Stratégies\Modèles d’administration\Réseau\Service de transfert intelligent en arrièreplan (BITS).
La configuration BITS est particulièrement intéressante si vous avez des clients Windows 2008/2008 R2, Vista ou 7 (mais elle n’est cependant pas obligatoire). Voici les paramètres à retenir : Paramètre
Choix possible
Autoriser la mise en cache de pair BITS. Par défaut, cette option n’est disponible que pour les clients Windows Vista et Windows 7. La mise en cache de pair BITS est désactivée par défaut, entraînant ainsi toujours un téléchargement de fichiers depuis le serveur d’origine. Si vous activez ce paramètre, vos postes clients iront chercher les mises à jour sur un poste client de leur même réseau possédant déjà les fichiers. Dans un environnement avec des postes à faible débit, cela représente un avantage très intéressant. Limiter la bande passante réseau maximale pour les transferts BITS en arrièreplan.
Permet de définir le taux de transfert maximum (en kbit/s) utilisé par BITS. La limite peut être définie uniquement pour une plage horaire spécifique.
Limiter la taille du cache de pairs BITS.
Indique le pourcentage maximal d’espace disque de la partition système utilisable pour le cache de pairs BITS. Une fois l’espace disque spécifié dépassé, les fichiers sont supprimés. Par défaut, cet espace représente 1% de la taille du disque système.
© ENI Editions - All rigths reserved - Kaiss Tag
239
- 3-
Il est possible de configurer BITS au travers de la commande BITSAdmin.exe pour les versions antérieures à Windows 7. Avec Windows 7, PowerShell vous permet de gérer BITS après avoir importé le module BitsTransfer.
2. Présentation de la console WSUS 3.0 SP2 Démarrez la console d’administration WSUS depuis le Menu Démarrer Outils d’administration Windows Server Update Services. Afin de pouvoir administrer complètement le service WSUS, vous devez être membre du groupe Administrateur local du serveur hébergeant WSUS ou faire partie du groupe Administrateurs WSUS. Les membres du groupe Rapporteurs WSUS ont un accès en lecture seule afin notamment d’avoir la possibilité d’éditer des rapports WSUS. La plupart des paramètres nécessaires ont déjà été configurés via l’assistant d’installation.
a. Configuration des mises à jour et des paramètres de synchronisation Une fois la console WSUS ouverte, rendezvous au niveau des Options. Les paramètres Sources des mises à jour et serveur proxy, Produits et classifications, Fichiers et langues des mises à jour et Planification de la synchronisation ont déjà été définis via l’exécution de l’assistant. Vous pouvez à nouveau vérifier ces paramètres si vous le souhaitez. Une fois la vérification effectuée, lancez la première synchronisation en vous rendant au niveau de l’option Synchronisations et cliquez sur Synchroniser maintenant. Cette synchronisation est quasi immédiate car vous n’avez pas encore approuvé de mises à jour (ce paramètre est modifiable au niveau de Options/Fichiers et langues des mises à jour). Cette synchronisation permet uniquement de lister les mises à jour disponibles pour les produits choisis. Pour cet exemple, les mises à jour seront approuvées un peu plus tard dans ce chapitre.
b. Configuration des groupes d’ordinateurs Les groupes d’ordinateurs permettent de définir les ordinateurs qui seront concernés par les mises à jour de votre choix. Cela permet notamment de définir un périmètre pilote utilisé pour tester les patchs avant leur application sur l’ensemble des ordinateurs. Il est ainsi conseillé d’attribuer des postes représentatifs à un groupe spécifique et d’appliquer les patchs à ce groupe dans un premier temps. Si tout se déroule bien, vous pourrez alors choisir d’appliquer ce patch sur tous les ordinateurs. Par défaut, à la première détection d’un ordinateur par WSUS, celuici est ajouté aux deux groupes créés par défaut, à savoir le groupe Tous les ordinateurs et son sousgroupe Ordinateurs non attribués. Créez un nouveau groupe en faisant un clic droit sur Tous les ordinateurs puis choisissez Ajouter un groupe d’ordinateurs... Indiquez alors le nom du groupe de votre choix (par exemple, Pilote). Une fois le groupe créé, il faut donc attribuer un ou des ordinateur(s) au groupe. Pour cela : ■
■
Si la liste est vide, au niveau du champ Etat, cliquez sur la liste déroulante et choisissez Toutes.
■
Faites un clic droit sur cet ordinateur et choisissez Modifier l’appartenance.
■
- 4-
Cliquez sur Ordinateurs puis sur le nom du groupe affichant l’ordinateur que vous souhaitez attribuer à ce nouveau groupe.
Cliquez sur Définir les groupes d’ordinateurs afin de sélectionner le groupe de votre choix (dans notre exemple, le groupe Pilote).
© ENI Editions - All rigths reserved - Kaiss Tag
240
À noter qu’il est possible d’attribuer un groupe WSUS par défaut via le paramètre Autoriser le ciblage coté client des stratégies de groupe appliquées aux postes en question.
c. Approbation et déploiement des mises à jour Maintenant que vous avez catégorisé (si besoin) les ordinateurs sur lesquels vous souhaitez déployer vos mises à jour, via l’ajout de ces derniers dans un groupe WSUS spécifique, il vous reste à approuver les patchs identifiés pour ces ordinateurs. ■
■
Pour cela, cliquez sur Mises à jour Toutes les mises à jour. Dans la fenêtre de droite, choisissez Approbation : Non approuvées et État : Nécessaire puis cliquez sur Actualiser. La liste des patchs non approuvés et à installer est alors affichée.
Vous pouvez effectuer cette opération au niveau des mises à jour de sécurité uniquement si vous le souhaitez, en effectuant cette même procédure à l’endroit de votre choix.
© ENI Editions - All rigths reserved - Kaiss Tag
241
- 5-
■
Sélectionnez alors les mises à jour que vous souhaitez approuver.
Pour en approuver plusieurs à la fois, maintenez la touche [Ctrl] avant de les sélectionner une à une. Si ces mises à jour sont affichées de façon consécutive, la touche [Shift] permet de sélectionner toutes les lignes entre la première et la dernière sélection.
■
■
Faites alors un clic droit sur la sélection et choisissez Approuver. La fenêtre qui s’ouvre alors vous invite à sélectionner le groupe d’ordinateurs et l’état de l’approbation. Sélectionnez le groupe de votre choix (dans cet exemple, le groupe Pilote) en cliquant sur la flèche apposée au nom du groupe et choisissez Approuvée pour l’installation....
- 6-
© ENI Editions - All rigths reserved - Kaiss Tag
242
Si vous faites à nouveau un clic droit sur le groupe de votre choix, il vous est possible de définir une Date limite. Passée cette date, la mise à jour en question sera automatiquement installée sans délai sur les postes du groupe en question. Cette date limite est également utile pour forcer l’installation de patch sur un poste fraîchement installé. Il faut néanmoins garder à l’esprit qu’il est nécessaire d’intégrer régulièrement les dernières mises à jour de sécurité (ainsi que les mises à jour tierces importantes comme les plugins Internet Explorer) à votre DVD d’installation de Windows créé à partir d’un poste de référence ou de votre master.
■
Cliquez sur le bouton Fermer de la fenêtre Progression de l’approbation après avoir vérifié que tout s’était déroulé sans problème.
Ceci ne représente qu’une manière de procéder car il aurait également été possible d’approuver les mises à jour depuis le rapport d’état généré au niveau d’un ordinateur représentatif, se trouvant dans le groupe WSUS de votre choix.
Il est également possible d’approuver automatiquement des mises à jour suivant des conditions que vous pouvez établir (comme l’approbation automatique d’une classification ou d’un produit précis). L’approbation automatique se configure au niveau de Options/Approbations automatiques. Une fois les mises à jour approuvées, cellesci sont rapidement mises à disposition des postes clients pour installation (automatique ou pas, suivant les choix effectués précédemment par stratégie de groupe).
3. Exploitation quotidienne a. Rapports
© ENI Editions - All rigths reserved - Kaiss Tag
243
- 7-
WSUS propose de nombreux rapports permettant de vérifier l’état de déploiement des patchs ou de l’état des ordinateurs (synthèse de l’état des mises à jour, état détaillé des mises à jour, synthèse de l’état des ordinateurs, etc.). Tous ces rapports sont visibles depuis la console WSUS, au niveau du nœ ud Rapports.
Les données d’un rapport peuvent parfois mettre jusqu’à 24 heures pour se rafraîchir. Il est possible d’exporter ces rapports au format Excel ou PDF.
b. En cas de problème... Il arrive parfois de constater qu’un client n’arrive plus à se mettre à jour. Voici les différents points à vérifier pour identifier le problème dans ce cas de figure : ●
●
●
●
- 8-
Vérifiez la dernière fois que votre client s’est mis à jour, à l’aide des rapports WSUS ou de l’interrogation des valeurs LastSuccessTime du poste client se trouvant dans les sousclés de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\. Examinez le fichier %systemroot%\WindowsUpdate.log du poste client posant problème, afin de détecter toute anomalie. Vérifiez que le poste client peut communiquer avec le serveur WSUS en vous connectant au serveur WSUS depuis le navigateur du poste client et en vérifiant que la stratégie de groupe résultante du poste renvoie bien vers le serveur WSUS (via la commande RSOP.msc). Parfois lors de modifications de paramétrages, ces derniers ne sont pris en compte qu’après le redémarrage du service Windows Update (wuauserv) et après la détection du poste dans la console WSUS via la commande wuauclt /detectnow. Il faut alors attendre une dizaine de minutes pour voir le changement apparaître sur la console WSUS.
© ENI Editions - All rigths reserved - Kaiss Tag
244
System Center Configuration Manager Afin d’être complet sur les solutions possibles, sachez également que SCCM permet une gestion des mises à jour. Cette solution comporte plusieurs avantages comparés à WSUS : ●
Un contrôle encore plus fin du déploiement et des rapports disponibles.
●
L’intégration complète à NAP.
●
La distribution de mises à jour aux utilisateurs nomades connectés depuis Internet.
●
Un déploiement des mises à jour d’autres éditeurs que Microsoft, ce qui est un avantage conséquent lorsque l’on connaît la criticité des mises à jour des plugins tiers installés sur les navigateurs des postes clients (Adobe Reader, Adobe Flash, etc.).
En contrepartie, cela nécessite une infrastructure plus lourde et plus coûteuse que WSUS seul. Vous trouverez davantage de renseignements sur SCCM à l’adresse suivante : http://technet.microsoft.com/fr fr/library/bb680701.aspx
© ENI Editions - All rigths reserved - Kaiss Tag
245
- 1-
Conclusion Ce chapitre vous a présenté la solution gratuite proposée par Microsoft pour gérer les mises à jour des postes Windows. L’installation de cellesci est primordiale, mais doit passer par un processus de validation robuste afin de détecter tout effet de bord potentiel.
© ENI Editions - All rigths reserved - Kaiss Tag
246
- 1-
Introduction Ce chapitre d’études de cas présente la mise en œ uvre des outils étudiés dans cet ouvrage dans le cadre de situations réelles. Deux cas, de taille différente, sont présentés et couvrent l’essentiel des situations rencontrées. L’installation des outils utilisés dans ces cas n’étant pas détaillée dans ce chapitre, référezvous aux chapitres correspondants de ce livre.
© ENI Editions - All rigths reserved - Kaiss Tag
247
- 1-
Cas n°1 : entreprise de moins de 50 postes 1. Présentation du cas La société Bomobil SARL conçoit et réalise des meubles artisanaux depuis son siège de BuressurYvette. En plein essor, cette société compte aujourd’hui trentecinq collaborateurs, dont seulement une quinzaine est équipée d’un ordinateur personnel. Trois commerciaux équipés d’ordinateurs portables sillonnent la région pour rencontrer les clients mais reviennent régulièrement au siège. Les postes utilisent actuellement Windows 2000 et Office 97. Mis à part les deux postes de l’atelier de fabrication qui utilisent un progiciel particulier et qui sont déconnectés du réseau, les autres postes du siège ne disposent que d’outils bureautiques standard. Le progiciel de l’atelier nécessite la présence d’un dongle de sécurité au moment de son installation. Une application de gestion commerciale est installée sur les portables des commerciaux. En tant que coordinateur informatique, vous vous occupez seulement à temps partiel de l’informatique de la société. Tous les utilisateurs étant actuellement administrateurs de leur poste, ils installent souvent des logiciels téléchargés depuis Internet ou modifient le paramétrage par défaut du poste, ce qui provoque parfois un plantage et nécessite une réinstallation complète. Le rôle de serveur DHCP est assuré par un routeur d’accès à Internet géré par le fournisseur d’accès. Un seul serveur Windows 2008 sert actuellement de contrôleur de domaine Active Directory, de serveur de fichiers et d’imprimantes. Il est également infogéré par un prestataire et vous ne pouvez y installer d’application ni modifier sa configuration. Vous êtes néanmoins autorisé à créer de nouveaux partages de fichiers.
Schéma du cas n°1 Étant donné l’ancienneté des machines et la fin du support de Windows 2000, l’ensemble du parc va être remplacé par des machines neuves. Vous voulez profiter de cette occasion pour déployer Microsoft Windows 7 Professionnel 32 bits accompagné de Microsoft Office 2007, pour profiter des dernières évolutions du système d’exploitation et de cette suite bureautique. Pour cela, vous avez acheté un pack de 15 licences et vous disposez d’une clé d’activation multiple (MAK) pour Windows 7 Professionnel. D’autre part, vous souhaitez pouvoir automatiser la procédure d’installation des postes de travail et des applications afin de gagner du temps et d’harmoniser les configurations.
2. Solution proposée a. Choix d’une méthode de déploiement Dans la mesure où un service DHCP existe déjà sur le réseau et qu’il n’est pas possible d’en modifier la configuration, il n’est pas envisageable de rajouter dans l’étendue DHCP du réseau local les options nécessaires © ENI Editions - All rigths reserved - Kaiss Tag
248
- 1-
pour rediriger les clients PXE vers un serveur WDS. D’autre part, l’interdiction d’installer le rôle WDS sur le serveur de l’entreprise rend de toute façon l’amorçage PXE des postes impossible. Enfin, l’isolement du réseau des postes de l’atelier impose la mise en place d’une solution de déploiement déconnectée, de type clé USB ou CDRom. Puisqu’il s’agit de machines neuves, aucune donnée locale n’est à sauvegarder.
b. Type d’image Afin de gagner du temps lors du déploiement, le tronc commun des applications (suite Microsoft Office 2007 et outils bureautiques) sera embarqué dans une image de référence, le progiciel d’atelier et l’application de gestion commerciale seront, quant à eux, proposés en option lors de l’installation finale. Étant donné l’implantation géographique et la culture de l’entreprise, seul le Français sera installé.
c. Outils mis en œuvre De par l’interdiction d’installer des applications supplémentaires sur le serveur Windows 2008, l’installation de Microsoft Deployment Toolkit 2010 devra se faire sur un poste tiers. La console MDT se connectera à distance au partage hébergé sur le serveur de fichiers. Windows Automated Installation Kit pour Windows 7 devra également être installé sur ce poste.
3. Mise en œuvre a. Préparation de l’environnement Seuls deux outils gratuits de Microsoft vont être nécessaires pour la réalisation de ce déploiement : MDT et WAIK. D’autre part, un partage réseau et un compte d’utilisateur devront être créés pour respectivement stocker les fichiers du partage de déploiement et y accéder. Pour préparer le déploiement ■
■
■
Installez Microsoft Deployment Toolkit 2010 x86 sur votre poste (cf. chapitre Microsoft Deployment Toolkit). Installez Microsoft Automated Installation Kit for Windows 7 sur ce même poste (cf. chapitre Microsoft Automated Iinstallation Kit). Ouvrez une console Utilisateurs et ordinateur Active Directory pour créer le compte spécifique qui sera utilisé pour se connecter au partage de déploiement. Créez ce nouveau compte utilisateur du domaine selon les paramètres suivants : Champ
- 2-
Valeur
Nom complet
USR Install Auto
Nom d’utilisateur
[email protected]
Nom preWindows 2000
BOMOBIL\usrinstall
Mot de passe
P@ssw0rd
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session
Non
L’utilisateur ne peut pas changer de mot de passe
Oui
Le mot de passe n’expire jamais
Oui
Le compte est désactivé
Non
© ENI Editions - All rigths reserved - Kaiss Tag
249
■
Créez un nouveau dossier sur le serveur de fichiers pour héberger les fichiers du partage de déploiement.
■
Activez le partage de fichiers sur ce nouveau dossier et configurez la sécurité de ce partage :
Champ
Valeur
Nom du partage
mdtds01$
Permissions de partage
Tout le monde : Contrôle Total
Permissions NTFS
●
Administrateurs : Contrôle Total
●
BOMOBIL\usrinstall : Lecture
●
Votre compte : Modification
●
SYSTEM : Contrôle Total
Pour que le compte BOMOBIL\usrinstall puisse joindre les machines au domaine, quatre possibilités existent : ●
Donner le droit d’administrateur de domaine à ce compte (déconseillé).
●
Augmenter avec ADSI Edit la valeur de l’attribut LDAP msDSMachineAccountQuota du domaine.
●
Déléguer le droit de création d’objets ordinateur sur le conteneur par défaut du domaine.
●
Précréer les comptes d’ordinateur dans Active Directory et donner les droits à usrinstall d’utiliser ces comptes.
C’est cette dernière solution que nous allons mettre en œ uvre. Pour cela : ■
Ouvrez la console Utilisateurs et ordinateurs Active Directory.
■
Faites un clic droit sur le conteneur Computers et sélectionnez l’option Nouveau Ordinateur.
© ENI Editions - All rigths reserved - Kaiss Tag
250
- 3-
Création d’un compte d’ordinateur
■
■
■
■
- 4-
Entrez le futur nom de l’ordinateur dans les champs Nom de l’ordinateur et Nom d’ordinateur (antérieur à Windows 2000). Cliquez sur le bouton Modifier. Entrez le nom du compte qui sera autorisé à joindre les postes au domaine (BOMOBIL\usrinstall dans notre exemple). Cliquez sur OK.
© ENI Editions - All rigths reserved - Kaiss Tag
251
Informations sur le compte d’ordinateur
■
Cliquez sur Suivant.
Définition du GUID
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
252
- 5-
Confirmation de création du compte
■
Cliquez sur Terminer.
■
Répétez l’opération pour les autres ordinateurs.
b. Création du partage de déploiement Le partage de déploiement sera créé à distance depuis votre poste d’administrateur via la console Deployment Workbench. Ce partage hébergera le système d’exploitation original et l’image de référence capturée, ainsi que les applications et les séquences de tâches nécessaires à la génération et à la capture de l’image de référence. ■
Exécutez la console MDT.
■
Créez un partage de déploiement selon les paramètres cidessous :
Champ
■
■
- 6-
Valeur
Deployment share path:
\\serveur1\mdtds01$
Deployment share description:
DS1
Allow Image Capture:
Cochez la case Ask if an image should be captured
Allow Admin Password
Décochez la case Ask user to set the local Administrator Password
Allow Product Key
Décochez la case Ask user for a product key
Modifiez les permissions NTFS du répertoire \\serveur1\mdtds01$\captures de manière à donner les droits de modification à l’utilisateur BOMOBIL\usrinstall (nécessaire pour remonter dans ce répertoire l’image WIM qui sera capturée). Editez les propriétés du partage de déploiement DS1.
© ENI Editions - All rigths reserved - Kaiss Tag
253
■
Dans l’onglet General, décochez la case Platforms Supported : x64.
■
Dans l’onglet Rules, modifiez le contenu de la section [Default] selon le paramétrage cidessous :
Paramètre
Valeur et explication
_SMSTSOrgName=
Bomobil SARL, nom affiché dans la fenêtre de progression du client MDT
OSInstall=
Y, autorise l’installation d’un système d’exploitation
SkipBDDWelcome=
YES, évite l’écran d’accueil du client MDT
SkipSummary=
YES, évite l’écran de résumé des actions prévues à la fin de l’assistant du client MDT
DeployRoot=
\\serveur1\mdtds01$, chemin réseau du partage de déploiement auquel le client doit se connecter
UserID=
usrinstall, nom du compte utilisé pour la connexion au partage MDT
UserPassword=
P@ssw0rd, mot de passe du compte utilisé pour la connexion au partage MDT
UserDomain=
BOMOBIL, domaine du compte utilisé pour la connexion au partage MDT
SkipLocaleSelection=
YES, évite l’écran de configuration des paramètres régionaux
KeyboardLocalePE=
040c:0000040c, indique au client de déploiement d’utiliser le clavier français
KeyboardLocale=
frfr, indique au système d’exploitation déployé d’utiliser le clavier français
UserLocale=
frfr, indique au système d’exploitation déployé d’utiliser les paramètres régionaux français
UILanguage=
frfr, langue de l’interface du système d’exploitation déployé
SkipAdminPassword=
YES, évite la saisie manuelle du mot de passe de l’administrateur local pendant l’assistant
AdminPassword=
P@ssw0rd, mot de passe du compte administrateur local
SkipBitLocker=
YES, évite l’écran de configuration de BitLocker™ (programme de chiffrement de disque)
BDEInstallSuppress=
YES, désactive l’installation de BitLocker™
SkipComputerName=
YES, évite la demande de saisie d’un nom d’ordinateur (le nom sera généré aléatoirement).
SkipDomainMembership=
YES, évite la demande d’adhésion au domaine ou à un groupe de travail
JoinWorkgroup=
WORKGROUP, nom du groupe de travail que le poste doit rejoindre
SkipFinalSummary=
NO, affiche l’écran de résumé des erreurs à la fin de l’installation
© ENI Editions - All rigths reserved - Kaiss Tag
254
- 7-
■
SkipCapture=
NO, sera utilisé lors de la capture de l’image de référence
SkipProductKey=
YES, évite la demande d’une clé de produit par l’assistant du client MDT
SkipTimeZone=
YES, évite la demande de paramétrage de fuseau horaire
TimezoneName=
Romance Standard Time, le fuseau horaire de la France
SkipUserData=
YES, évite la demande de sauvegarde du poste et des données utilisateur
Dans l’onglet Rules, cliquez sur le bouton Bootstrap.ini et modifiez le contenu de la section [Default] du fichier selon le paramétrage cidessous : Paramètre
■
Valeur et explication
DeployRoot=
\\serveur1\mdtds01$, chemin réseau du partage de déploiement auquel le client doit se connecter
UserID=
usrinstall, nom du compte utilisé pour la connexion au partage MDT
UserPassword=
P@ssw0rd, mot de passe du compte utilisé pour la connexion au partage MDT
UserDomain=
BOMOBIL, domaine du compte utilisé pour la connexion au partage MDT
KeyboardLocalePE=
040c:0000040c, indique au client de déploiement d’utiliser le clavier français
KeyboardLocale=
frfr, indique au système d’exploitation déployé d’utiliser le clavier français
SkipBDDWelcome=
YES, évite l’écran d’accueil du client de déploiement
Fermez notepad et enregistrez le fichier.
c. Import du système d’exploitation ■
Insérez le média de Microsoft Windows 7 Professionnel 32 bits.
■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement DS1.
■
À la racine du nœ ud Operating Systems, importez le système d’exploitation Windows 7 Professionnel :
Paramètre
- 8-
Valeur et explication
Type of operating system to add:
Full set of source files
Source directory:
Chemin vers le média de Windows 7
Destination directory name:
Windows 7 x86
© ENI Editions - All rigths reserved - Kaiss Tag
255
d. Import de Microsoft Office 2007 ■
Insérez le média d’installation de Microsoft Office 2007.
■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement DS1.
■
À la racine du nœ ud Applications, importez l’application Office 2007 :
Paramètre
Valeur et explication
Type of application to add:
Application with source files
Publisher:
Microsoft
Application Name:
Office 2007
Source directory:
Chemin vers le média d’Office 2007
Command line:
Setup.exe
Importation de Microsoft Office 2007
■
Affichez les propriétés de l’application importée Microsoft Office 2007.
■
Dans l’onglet Office Products, cliquez sur le bouton Office Customization Tool.
© ENI Editions - All rigths reserved - Kaiss Tag
256
- 9-
■
■
■
Dans l’application Outil de personnalisation Office qui vient de s’ouvrir, sélectionnez Créer un fichier de personnalisation de l’installation pour le produit suivant et choisissez le produit Office dont vous disposez dans la liste. Cliquez sur OK. Dans la section Emplacement d’installation et nom de l’organisation, saisissez le nom Bomobil SARL dans le champ Nom de l’organisation.
■
Dans la section Licences et interface utilisateur, saisissez votre clé de produit dans le champ Clé du produit.
■
Cochez la case J’accepte les termes du contrat de licence.
■
Sélectionnez le niveau d’affichage Simple.
■
■
■
Dans la section Définir les états d’installation des composants, choisissez les applications et les outils de la suite Office que vous souhaitez installer. Dans le menu Fichier, cliquez sur Enregistrer. Enregistrez le fichier sous le nom Bomobil.msp dans le répertoire \\serveur1\mdtds01$\Application\Microsoft Office 2007\Updates.
e. Création des séquences de tâches Deux séquences de tâches seront nécessaires pour créer l’image de référence : la première servira à installer le système d’exploitation Windows 7, les applications, faire le paramétrage manuel nécessaire, etc. La deuxième servira à préparer le poste de référence et à effectuer la capture sous forme d’un fichier WIM. Pour créer ces séquences de tâches ■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement DS1.
■
À la racine du conteneur Task Sequences, créez une nouvelle séquence de tâches selon les paramètres ci dessous : Paramètre
- 10 -
Valeur et explication
Task sequence ID:
0, identifiant interne de la séquence
Task sequence name:
Creation master, nom affiché
Template:
Standard Client Task Sequence, déploiement classique d’un système d’exploitation
Operating System:
Windows 7 Professionnel, système d’exploitation à déployer
Specify Product Key:
Do not specify a product key at this time, la clé sera spécifiée au moment du déploiement final
Full Name:
Bomobil, nom de l’utilisateur
Organization:
SARL, nom de l’organisation
Internet Explorer Home Page:
http://www.bomobil.fr, page d’accueil par défaut d’Internet Explorer © ENI Editions - All rigths reserved - Kaiss Tag
257
Admin Password:
Do not specify an Administrator password at this time, le mot de passe sera spécifié au moment du déploiement final
Création de la séquence de tâches d’installation
■
À la racine du conteneur Task Sequences, créez une nouvelle séquence de tâches selon les paramètres ci dessous : Paramètre
Valeur et explication
Task Sequence ID:
1
Task Sequence name:
Sysprep & capture
Template:
Sysprep and Capture
Operating System:
Windows 7 Professionnel
Specify Product Key:
Do not specify a product key at this time
Full Name:
Bomobil
Organization:
SARL
Internet Explorer Home Page:
http://www.bomobil.fr
Admin Password:
Do not specify an Administrator password at this time
© ENI Editions - All rigths reserved - Kaiss Tag
258
- 11 -
Création de la séquence de tâches de capture
■
■
Mettez à jour le partage de déploiement pour générer les images WIM et ISO. Gravez sur un CD l’image ISO LiteTouchPE_x86.iso générée dans le répertoire \\serveur1\mdtds01$\Boot. Cette image contient le client MDT et est configurée pour se connecter directement au partage de déploiement, en utilisant le compte BOMOBIL\usrinstall.
f. Construction de l’image de référence La création d’une image de référence permet de gagner du temps en préinstallant les logiciels dans l’image capturée au lieu de les installer lors du déploiement. Pour créer l’image de référence
- 12 -
■
Démarrez le poste de référence sur le CD gravé à l’étape précédente.
■
Sélectionnez la séquence de tâches Creation master.
■
Cliquez sur Next.
■
Sélectionnez l’application Microsoft Office 2007.
■
Cliquez sur Next.
■
Sélectionnez l’option Do not capture an image of this computer.
■
Cliquez sur Next.
© ENI Editions - All rigths reserved - Kaiss Tag
259
Une fois l’installation terminée, l’assistant de configuration de Windows vous demande une clé de produit : ■
Décochez la case Activer automatiquement Windows quand je serai en ligne.
■
Cliquez sur Suivant.
Une session est ensuite automatiquement ouverte sous le compte de l’administrateur local et le client MDT lance l’installation de Microsoft Office 2007. Une fois tout le processus LTI terminé, un écran de résumé des erreurs est affiché. Le poste est désormais prêt à être capturé. Cependant, avant cela, effectuez les actions suivantes : ■
■
■
■
Ouvrez le gestionnaire de périphériques, vérifiez que tout le matériel est bien détecté. Ouvrez la console de gestion des disques, vérifiez que le partitionnement et l’affectation des lettres de lecteurs sont corrects. Lancez une recherche de mises à jour Windows Update et installez toutes les mises à jour importantes, ainsi que les optionnelles, qui vous sont nécessaires. Installez les applications communes qui ne disposent pas d’options d’installation automatique.
g. Capture de l’image de référence Une fois l’installation de référence vérifiée, le poste peut être préparé et capturé par le client MDT. Cette capture doit être initiée depuis une session Windows ouverte sur le poste de référence, et non en amorçant le poste sur le CD gravé. Lors de cette étape, le client de déploiement MDT utilise le même fichier CustomSettings.ini que lors de la construction du poste de référence, ce qui signifie que si l’option SkipCapture=YES est configurée dans ce fichier, le client ne réalisera pas la capture.
■
Ouvrez une session en tant qu’administrateur local sur le poste de référence.
■
Ouvrez une fenêtre de commandes MSDOS.
■
Exécutez la commande net use * \\serveur1\mdtds01$ /user:BOMOBIL\usrinstall et saisissez le mot de passe du compte BOMOBIL\usrinstall lorsque vous y êtes invité.
■
Exécutez la commande cscript \\serveur1\mdtds01$\scripts\litetouch.wsf.
■
Sélectionnez la séquence de tâches Sysprep & Capture.
■
Cliquez sur Next.
■
Sélectionnez l’option Capture an image of this reference computer.
■
Entrez le nom de fichier Windows7x86Bomobil.wim dans le champ File name.
© ENI Editions - All rigths reserved - Kaiss Tag
260
- 13 -
Paramètres de capture du poste
■
Cliquez sur Next.
Le client MDT va alors exécuter Sysprep, appliquer l’image Windows PE au poste, le configurer pour qu’il exécute ce Windows PE au prochain redémarrage et redémarrer le poste. Une fois redémarré, le poste va capturer automatiquement la partition préparée avec Sysprep. L’image capturée sera stockée dans le fichier \\serveur1 \mdtds01$\captures\Windows7x86Bomobil.wim.
h. Création d’une distribution par média Afin que les utilisateurs nomades puissent réinstaller euxmêmes leur poste en cas de problème, une distribution par média doit être créée ; pour cela :
- 14 -
■
Créez un dossier C:\Media sur le poste où MDT est installé.
■
Insérez le média de Microsoft Windows 7 Professionnel 32 bits.
■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement DS1.
■
Créez un dossier Media sous chacun des nœ uds Applications, Operating Systems et Task Sequences.
■
Dans le nœ ud Advanced Configuration/Selection Profiles, créez un nouveau profil de sélection nommé Media.
■
Sélectionnez les dossiers Media créés sous les nœ uds Applications, Operating Systems et Task Sequences.
© ENI Editions - All rigths reserved - Kaiss Tag
261
Création du profil de sélection
■
Dans le conteneur Operating Systems/Media, importez l’image WIM capturée :
Paramètre
■
■
■
Valeur et explication
Type of operating system to add:
Custom image file, indique qu’il ne s’agit pas d’une image originale
Source file:
\\serveur1\mdtds01$\captures\Windows7x86 Bomobil.wim, chemin vers le fichier WIM de la capture
Setup:
Copy Windows Vista, Windows Server 2008, or later setup files from the specified path, indique à MDT d’importer les fichiers du programme d’installation depuis un média d’origine
Setup source directory:
Racine du média original de Windows 7 (d:\ par exemple)
Destination directory name:
Windows7x86Bomobil, nom du répertoire dans lequel importer l’image
Renommez le système d’exploitation que vous venez d’importer en Windows 7 Pro x86 Bomobil. Dans le conteneur Applications/Media, importez l’application utilisée à l’atelier et l’application de gestion commerciale. Dans le conteneur Task Sequences/Media, créez une nouvelle séquence de tâches selon les paramètres ci dessous :
© ENI Editions - All rigths reserved - Kaiss Tag
262
- 15 -
Paramètre
■
■
■
■
Valeur et explication
Task sequence ID:
2
Task sequence name:
Installer Windows 7 Professionnel x86 (Bomobil)
Template:
Standard Client Task Sequence
Operating System:
Media/Windows 7 Pro x86 Bomobil
Specify Product Key:
Specify a multiple activation key (MAK key)
MAK product key:
Entrez votre clé MAK
Full Name:
Bomobil
Organization:
SARL
Internet Explorer Home Page:
http://www.bomobil.fr
Admin Password:
Sélectionnez l’option Use the specified local Administrator password, entrez le mot de passe administrateur local dans le champ Administrator Password et confirmezle dans le champ Please confirm Administrator Password.
Dans l’onglet OS Info des propriétés de la séquence de tâches que vous venez de créer, cliquez sur le bouton Edit Unattend.xml. Une fois le catalogue de composants recréé par MDT, Windows System Image Manager sera lancé et le fichier Unattend.xml ouvert automatiquement. Quittez Windows System Image Manager et enregistrez le fichier en quittant. Cette manipulation permet de chiffrer le mot de passe du compte administrateur local dans le fichier XML. Dans le nœ ud Advanced Configuration/Media, créez un nouveau média avec les informations suivantes :
Paramètre
Valeur et explication
Media path:
C:\Media, dossier où MDT copiera la structure
Selection profile:
Media, profil de sélection des éléments à inclure dans le média
■
Dans l’onglet General des propriétés de MEDIA001, décochez la case Generate x64 boot image.
■
Dans l’onglet Rules, modifiez le contenu de la section [Default] selon le paramétrage cidessous :
Paramètre
- 16 -
Valeur et explication
_SMSTSOrgName=
Bomobil SARL, nom affiché dans la fenêtre de progression du client MDT
OSInstall=
Y, autorise l’installation d’un système d’exploitation
SkipBDDWelcome=
YES, évite l’écran d’accueil du client MDT
SkipSummary=
YES, évite l’écran de résumé des actions prévues à la fin de l’assistant du client MDT
© ENI Editions - All rigths reserved - Kaiss Tag
263
■
SkipLocaleSelection=
YES, évite l’écran de configuration des paramètres régionaux
KeyboardLocalePE=
040c:0000040c, indique au client de déploiement d’utiliser le clavier français
KeyboardLocale=
frfr, indique au système d’exploitation déployé d’utiliser le clavier français
UserLocale=
frfr, indique au système d’exploitation déployé d’utiliser les paramètres régionaux français
UILanguage=
frfr, langue de l’interface du système d’exploitation déployé
SkipAdminPassword=
YES, évite la saisie manuelle du mot de passe de l’administrateur local pendant l’assistant
SkipBitLocker=
YES, évite l’écran de configuration de BitLocker™ (programme de chiffrement de disque)
BDEInstallSuppress=
YES, désactive l’installation de BitLocker™
SkipComputerName=
NO, demandera un nom d’ordinateur lors du déploiement
SkipDomainMembership=
YES, évite l’écran d’adhésion au domaine ou à un groupe de travail
DomainAdmin=
usrinstall, nom du compte utilisé pour joindre le domaine Active Directory
DomainAdminPassword=
P@ssw0rd, mot de passe du compte utilisé pour joindre le domaine Active Directory
DomainAdminDomain=
BOMOBIL, domaine du compte utilisé pour joindre le domaine Active Directory
JoinDomain=
BOMOBIL, le nom du domaine Active Directory à joindre
SkipFinalSummary=
NO, affiche l’écran de résumé des erreurs à la fin de l’installation
SkipCapture=
YES, l’image finale n’est pas à capturer
SkipProductKey=
YES, la clé a déjà été fournie lors de la création de la séquence de tâches
SkipTimeZone=
YES, évite la demande de paramétrage de fuseau horaire
TimezoneName=
Romance Standard Time, le fuseau horaire de la France
SkipUserData=
YES, les données utilisateur locales ne seront pas sauvegardées
Dans l’onglet Rules, cliquez sur le bouton Bootstrap.ini et modifiez le contenu de la section [Default] du fichier selon le paramétrage cidessous : Paramètre
Valeur et explication
KeyboardLocalePE=
040c:0000040c, indique au client de déploiement d’utiliser le clavier français
KeyboardLocale=
frfr, indique au système d’exploitation déployé d’utiliser le
© ENI Editions - All rigths reserved - Kaiss Tag
264
- 17 -
clavier français SkipBDDWelcome=
YES, évite l’écran d’accueil du client de déploiement
■
Fermez le blocnotes et enregistrez le fichier.
■
Mettez à jour le contenu de MEDIA001.
■
Gravez l’image LiteTouchMedia.iso générée dans C:\Media.
Le DVD gravé contient l’image capturée du poste de référence (qui embarque Office 2007), ainsi que les sources d’installation de l’application atelier et de l’application de gestion commerciale. Ce DVD peut être utilisé pour amorcer un poste et déployer Windows 7 sur celuici.
4. Déploiement Pour déployer l’image créée : ■
Amorcez un poste sur le DVD gravé à l’étape précédente.
■
Sélectionnez la séquence de tâches Installer Windows 7 Professionnel x86 (Bomobil).
Sélection de la séquence de tâches
- 18 -
■
Cliquez sur Next.
■
Cochez les applications optionnelles à installer.
© ENI Editions - All rigths reserved - Kaiss Tag
265
Sélection des applications optionnelles
■
Cliquez sur Next.
Installation de l’image en cours
© ENI Editions - All rigths reserved - Kaiss Tag
266
- 19 -
Après avoir redémarré et installé les applications, l’assistant vous présente le rapport de déploiement :
Compte rendu du déploiement Attention, le client de déploiement laisse la session administrateur local ouverte à la fin du déploiement.
- 20 -
© ENI Editions - All rigths reserved - Kaiss Tag
267
Cas n°2 : entreprise de 500 postes 1. Présentation du cas La société Assuretoo propose des contrats d’assurance pour les particuliers et les professionnels français et britanniques. Bien que son siège soit à Paris, elle a récemment acquis un concurrent basé à Londres. Le siège compte une population de 350 collaborateurs francophones et anglophones, tandis que le site de Londres recense 150 collaborateurs, tous anglophones. Une vingtaine de managers et de chargés de clientèle équipés d’ordinateurs portables effectuent régulièrement des trajets entre Paris et Londres. La sécurité des informations personnelles des clients est un sujet particulièrement sensible chez Assuretoo et la direction s’inquiète des données confidentielles stockées sur les portables en cas de perte ou de vol de ceuxci. Tous les postes sont actuellement équipés de Windows XP Professionnel et Office 2003, en français à Paris et en anglais à Londres. Pour des questions réglementaires, les utilisateurs de Londres disposent en plus d’une application de compatibilité particulière. Le service informatique est basé à Paris, mais un technicien soustraitant intervient à la demande sur le site de Londres pour le support local. Son périmètre se limite à la gestion des comptes d’ordinateurs et d’utilisateurs dans l’unité organisationnelle dédiée à Londres au sein de l’Active Directory. L’ensemble du système d’information et de l’infrastructure est géré en interne par le service informatique. Les deux sites sont reliés par une liaison à 10 Mbits/s, tandis que chaque site dispose d’un réseau local à 100 Mbits/s et de son propre plan d’adressage IP. Sur la demande de votre manager, en tant qu’ingénieur poste de travail, vous devez concevoir le futur socle du groupe, basé sur Windows 7 Enterprise 32 bits et Office Professionnel 2007. Le nouveau poste devra pouvoir être utilisé indifféremment par un Francophone ou un Anglophone, dans sa langue maternelle. La société a acquis le nombre de licences Windows 7 Enterprise suffisant pour le déploiement. Leur activation se fera via un serveur KMS, déjà en place à Paris pour l’activation des serveurs Windows 2008. Les enregistrements DNS nécessaires à l’activation automatique des clients KMS sont déjà créés. Chaque site dispose d’un contrôleur pour le domaine Active Directory assuretoo.local (dcfr pour Paris, dcuk pour Londres) qui assure également les fonctions de serveur DHCP et DNS pour le site. Chaque serveur étant installé dans la langue du site, les manipulations décrites utiliseront successivement le français et l’anglais.
Architecture actuelle du cas n°2
2. Solution proposée © ENI Editions - All rigths reserved - Kaiss Tag
268
- 1-
a. Choix d’une méthode de déploiement Chaque site disposant d’un service DHCP et tous les postes étant connectés au réseau, il est possible d’utiliser PXE pour amorcer le déploiement. D’autre part, les deux réseaux locaux étant d’une capacité suffisante, l’intégralité du déploiement pourra se faire par ce biais. Un nouveau serveur WDS sous Windows 2008 sera mis en place sur chaque site pour servir les clients locaux du site. Deux partages de déploiement seront créés sur le site de Paris : le premier servira à créer et capturer l’image de référence de manière automatique, tandis que le deuxième sera le partage de production utilisé par les clients finaux. Un seul partage de déploiement sera créé à Londres, et mis à jour depuis Paris. Pour les portables, l’activation de la fonctionnalité BitLocker™ sera proposée lors du déploiement. En fonction du matériel (présence d’une puce TPM ou non), le technicien choisira les paramètres les plus adaptés.
b. Type d’image Tous les postes devant disposer des mêmes outils, et ceuxci supportant l’installation de packs de langues, une image de référence commune sera réalisée et intégrera Office Professionnel 2007 Français et Anglais, ainsi que les packs de langue Français et Anglais pour Windows 7. L’application spécifique pour les utilisateurs anglais sera installée automatiquement pour les postes de Londres uniquement.
c. Outils mis en œuvre Le rôle Windows Deployment Services sera installé sur chaque nouveau serveur WDS, ainsi que Microsoft Deployment Toolkit 2010 et Windows Automated Installation Kit, de manière à faciliter la conception et le support du master.
Architecture proposée pour le cas n°2
3. Mise en œuvre a. Installation des serveurs WDS ■
- 2-
Installez Windows Server 2008 (Standard ou Entreprise) en créant deux partitions : la première pour le système d’exploitation, la deuxième, d’une taille de 64 Go minimum, pour les déploiements.
■
Installez le Service Pack 2 pour Windows 2008 et toutes les mises à jour ultérieures nécessaires.
■
Ouvrez une session locale sur le serveur WDS de Paris, WDSFR. © ENI Editions - All rigths reserved - Kaiss Tag
269
■
Joignez le domaine assuretoo.local et redémarrez le serveur.
■
Ajoutez la fonctionnalité Windows PowerShell.
■
Installez le rôle Services de déploiement Windows depuis la console de gestion du serveur.
■
Ouvrez la console des Services de déploiement Windows et configurez le serveur selon les paramètres ci dessous : Champ
Valeur et explication
Chemin d’accès
D:\RemoteInstall, emplacement de stockage des images et de la configuration WDS
Stratégie de réponse
Répondre à tous les clients (connus et inconnus), stratégie de réponse PXE
Ajouter les images au serveur de déploiement Windows maintenant
Décoché, les images seront ajoutées ultérieurement
■
Ouvrez une session sur le serveur WDS de Londres, wdsuk.
■
Joignez le domaine assuretoo.local et redémarrez le serveur.
■
Ajoutez la fonctionnalité Windows PowerShell.
■
Installez le rôle Windows Deployment Services depuis la console de gestion du serveur.
■
Ouvrez la console Windows Deployment Services et configurez le serveur selon les paramètres cidessous :
Champ
Valeur et explication
Path:
D:\RemoteInstall
Answer policy:
Respond to all (known and unknown) client computers
Add images to the Windows Deployment Server now:
Décoché
b. Configuration des serveurs DHCP Les serveurs WDS n’étant pas euxmêmes serveurs DHCP, il faut indiquer aux clients PXE l’adresse IP du serveur et le chemin du programme d’amorçage qu’ils peuvent télécharger par TFTP. Ces indications se font via les options DHCP de l’étendue. Sur le serveur DHCP de Paris (DCFR) : ■
■
■
Ouvrez la console DHCP. Dans l’étendue du site de Paris, ajoutez l’option 066 Nom d’hôte du serveur de démarrage et affectezlui la valeur 10.0.0.2. Dans l’étendue du site de Paris, ajoutez l’option 067 Nom du fichier de démarrage et affectezlui la valeur boot\x86\wdsnbp.com.
Sur le serveur DHCP de Londres (DCUK) : © ENI Editions - All rigths reserved - Kaiss Tag
270
- 3-
■
■
■
Ouvrez la console DHCP. Dans l’étendue du site de Londres, ajoutez l’option 066 Boot Server Host Name et affectezlui la valeur 192.168.0.2. Dans l’étendue du site de Londres, ajoutez l’option 067 Bootfile Name et affectezlui la valeur boot\x86 \wdsnbp.com.
c. Préparation de l’environnement Les outils Microsoft Deployment Toolkit et Windows Automated Installation Toolkit for Windows 7 vont être installés sur un poste de chaque site pour gérer le ou les partages de déploiement du site. Ces outils peuvent également être installés sur les serveurs WDS, afin de disposer d’une gestion directe. Un partage réseau sera créé sur chaque serveur WDS pour héberger le partage de déploiement. Un compte Active Directory sera créé pour accéder à ces partages lors du déploiement et joindre les machines au domaine. Pour préparer le déploiement ■
■
■
Installez Microsoft Deployment Toolkit 2010 x86 sur chaque serveur WDS (voir le chapitre Microsoft Deployment Toolkit). Installez Microsoft Automated Installation Kit for Windows 7 sur ces mêmes serveurs (voir le chapitre Windows Automated Installation Toolkit). Ouvrez une console Utilisateurs et ordinateurs Active Directory pour créer le compte spécifique qui sera utilisé pour se connecter au partage de déploiement. Créez ce nouveau compte utilisateur du domaine selon les paramètres suivants : Champ
■
■
Valeur
Nom complet
USR Install Auto
Nom d’utilisateur
[email protected]
Nom preWindows 2000
ASSURETOO\usrinstall
Mot de passe
P@ssw0rd
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session
Non
L’utilisateur ne peut pas changer de mot de passe
Oui
Le mot de passe n’expire jamais
Oui
Le compte est désactivé
Non
Créez un nouveau dossier D:\MDTBuild sur le serveur WDS de Paris pour héberger les fichiers du partage de déploiement servant à construire l’image de référence. Activez le partage de fichiers sur ce nouveau dossier et configurez la sécurité de ce partage :
Champ
- 4-
Valeur
Nom du partage
mdtbuild$
Permissions de partage
Tout le monde : Contrôle Total © ENI Editions - All rigths reserved - Kaiss Tag
271
Permissions NTFS
■
■
●
Administrateurs : Contrôle Total
●
Votre compte : Modification
●
SYSTEM : Contrôle Total
Créez un nouveau dossier D:\MDTDS01 sur chaque serveur WDS pour héberger les fichiers du partage de déploiement. Activez le partage de fichiers sur ce nouveau dossier et configurez la sécurité de ce partage :
Champ
Valeur
Nom du partage
mdtbuild$
Permissions de partage
Tout le monde : Contrôle Total
Permissions NTFS
●
Administrateurs : Contrôle Total
●
ASSURETOO\usrinstall : Lecture
●
Votre compte : Modification
●
SYSTEM : Contrôle Total
■
Ouvrez la console Utilisateurs et ordinateurs Active Directory.
■
Si elles n’existent pas, créez une unité organisationnelle (OU) Londres et une autre Paris.
■
Faites un clic droit sur l’OU de Paris et sélectionnez l’item Délégation de contrôle.
© ENI Editions - All rigths reserved - Kaiss Tag
272
- 5-
Délégation de contrôle sur une OU
■
Lorsque l’écran de bienvenue s’affiche, cliquez sur Suivant.
■
Cliquez sur le bouton Ajouter.
■
■
Entrez le nom de l’utilisateur qui effectuera les adhésions au domaine (assuretoo\usrinstall dans notre exemple). Cliquez sur OK.
Ajout de l’utilisateur délégué
- 6-
■
Cliquez sur Suivant.
■
Sélectionnez l’option Créer une tâche personnalisée à déléguer.
© ENI Editions - All rigths reserved - Kaiss Tag
273
Sélection d’un modèle de délégation
■
Cliquez sur Suivant.
■
Confirmez le choix de l’option De ce dossier et des objets qui s’y trouvent.
Sélection du type d’objets
■
Cliquez sur Suivant.
© ENI Editions - All rigths reserved - Kaiss Tag
274
- 7-
■
Sélectionnez l’autorisation Créer des objets Ordinateur.
Sélection des autorisations
■
Cliquez sur Suivant.
Confirmation de la délégation
■
- 8-
Cliquez sur Terminer.
© ENI Editions - All rigths reserved - Kaiss Tag
275
■
Répétez l’opération pour l’OU Londres.
Le compte ASSURETOO\usrinstall dispose maintenant du droit de créer des comptes d’ordinateur dans les OUs Paris et Londres, c’estàdire de pouvoir joindre des machines au domaine ASSURETOO à condition que le compte d’ordinateur soit créé directement dans ces OUs (et non dans le conteneur par défaut du domaine, Computers en général).
d. Création du partage de déploiement de travail Les partages de déploiement peuvent être créés depuis n’importe quelle console Deployment Workbench, dès lors que le compte de l’utilisateur est habilité à écrire dans le partage réseau correspondant. Un premier partage de déploiement de travail doit être créé sur le site de Paris pour construire et capturer l’image de référence. Ce partage hébergera le système d’exploitation Windows 7 original ainsi que les sources des applications et packs de langue à embarquer. Pour créer ce partage de déploiement : ■
Exécutez la console MDT sur le serveur WDSFR.
■
Créez un partage de déploiement selon les paramètres cidessous :
Champ
Valeur
Deployment share path:
\\wdsfr\mdtbuild$
Deployment share description:
Build
Allow Image Capture:
Cochez la case Ask if an image should be captured
Allow Admin Password
Décochez la case Ask user to set the local Administrator Password
Allow Product Key
Décochez la case Ask user for a product key
■
Éditez les propriétés du partage de déploiement Build.
■
Dans l’onglet General, décochez la case Platforms Supported: x64.
■
Dans l’onglet Rules, modifiez le contenu de la section [Default] selon le paramétrage cidessous :
Paramètre
Valeur et explication
_SMSTSOrgName=
Assuretoo, nom affiché dans la fenêtre de progression du client MDT
OSInstall=
Y
SkipBDDWelcome=
YES, évite l’écran d’accueil du client MDT
SkipSummary=
YES, évite l’écran de résumé des actions prévues à la fin de l’assistant du client MDT
SkipFinalSummary=
NO, affiche l’écran de résumé des erreurs à la fin de l’installation
DeployRoot=
\\%WDSSERVER%\mdtbuild$, chemin réseau du partage de déploiement auquel le client doit se connecter
SkipLocaleSelection=
YES, évite l’écran de configuration des paramètres régionaux
© ENI Editions - All rigths reserved - Kaiss Tag
276
- 9-
■
KeyboardLocalePE=
040c:0000040c, indique au client de déploiement d’utiliser le clavier français
KeyboardLocale=
frfr, indique au système d’exploitation déployé d’utiliser le clavier français
UserLocale=
frfr, indique au système d’exploitation déployé d’utiliser les paramètres régionaux français
UILanguage=
frfr, langue de l’interface du système d’exploitation déployé
SkipAdminPassword=
YES, évite la saisie manuelle du mot de passe de l’administrateur local pendant l’assistant
AdminPassword=
P@ssw0rd, mot de passe du compte administrateur local
SkipBitLocker=
YES, évite l’écran de configuration de BitLocker™ (programme de chiffrement de disque)
BDEInstallSuppress=
YES, désactive l’installation de BitLocker™
SkipComputerName=
YES, évite la demande de saisie d’un nom d’ordinateur (le nom sera généré aléatoirement).
SkipApplications=
NO, affiche la liste de choix des applications à installer
SkipPackageDisplay=
NO, affiche la liste des packs de langue à installer
SkipDomainMembership=
YES
JoinWorkgroup=
WORKGROUP, nom du groupe de travail que le poste doit rejoindre
SkipCapture=
YES, évite la demande de capture
DoCapture=
YES, indique de capturer le poste à l’issu du déploiement
BackupFile=
MasterWindows7x86.wim, nom du fichier WIM de capture
BackupShare=
\\wdsfr\mdtbuild$, partage réseau où stocker le fichier WIM de capture
BackupDir=
Captures, dossier du partage réseau spécifié par la propriété BackupShare dans lequel stocker le fichier WIM de capture
SkipProductKey=
YES, évite la demande d’une clé de produit par l’assistant du client MDT
SkipTimeZone=
YES, évite la demande de paramétrage de fuseau horaire
TimezoneName=
Romance Standard Time, le fuseau horaire de la France
SkipUserData=
YES, évite la demande de sauvegarde du poste et des données utilisateur
Dans l’onglet Rules, cliquez sur le bouton Bootstrap.ini et modifiez le contenu de la section [Default] du fichier selon le paramétrage cidessous : Paramètre
- 10 -
Valeur et explication
© ENI Editions - All rigths reserved - Kaiss Tag
277
■
■
■
DeployRoot=
\\serveur1\mdtbuild$, chemin réseau du partage de déploiement auquel le client doit se connecter
SkipBDDWelcome=
YES, évite l’écran d’accueil du client de déploiement
KeyboardLocalePE=
040c:0000040c, indique au client de déploiement d’utiliser le clavier français
KeyboardLocale=
frfr, indique au système d’exploitation déployé d’utiliser le clavier français
Fermez le blocnotes et enregistrez le fichier. Dans l’onglet Windows PE x86 Settings, changez la valeur du champ Image description pour Build Master (x86). Décochez la case Generate a Lite Touch bootable ISO image.
e. Import du système d’exploitation ■
Insérez le média de Microsoft Windows 7 Entreprise x86 Français.
■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement Build.
■
Dans le noeud Operating Systems, importez le système d’exploitation Windows 7 Entreprise x86 Français :
Paramètre
Valeur et explication
Type of operating system to add:
Full set of source files, l’import concerne un système d’exploitation original complet
Source directory:
Chemin vers le média de Windows 7
Destination directory name:
Windows 7 x86, nom du répertoire où importer le système d’exploitation
f. Import et configuration de Microsoft Office 2007 ■
Insérez le média d’installation de Microsoft Office Professionnel 2007.
■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement Build.
■
Dans le nœ ud Applications, importez l’application Office Professionnel 2007 Français :
Paramètre
Valeur et explication
Type of application to add:
Application with source files, le répertoire contient tous les fichiers de l’application
Publisher:
Microsoft, nom de l’éditeur
© ENI Editions - All rigths reserved - Kaiss Tag
278
- 11 -
Application Name:
Office Professionnel 2007, nom de l’application
Source directory:
Chemin vers le média d’Office 2007 Professionnel
Command line:
setup.exe /config .\pro.ww\config.xml, ligne de commande à exécuter
Importation de Microsoft Office 2007
■
Insérez le média contenant le pack de langue Office 2007 Anglais.
■
Affichez les propriétés de l’application importée Microsoft Office Professionnel 2007.
■
Dans l’onglet Office Products, cliquez sur le bouton Office Customization Tool.
■
■
■
- 12 -
Dans l’application Outil de personnalisation Office qui vient de s’ouvrir, sélectionnez Créer un fichier de personnalisation de l’installation pour le produit suivant et choisissez le produit Office dont vous disposez dans la liste. Cliquez sur OK. Dans la section Emplacement d’installation et nom de l’organisation, saisissez le nom Assuretoo dans le champ Nom de l’organisation.
■
Dans la section Licences et interface utilisateur, saisissez votre clé de produit dans le champ Clé du produit.
■
Cochez la case J’accepte les termes du contrat de licence.
■
Sélectionnez le niveau d’affichage Simple.
© ENI Editions - All rigths reserved - Kaiss Tag
279
■
■
Dans la section Définir les états d’installation des composants, choisissez les applications et les outils de la suite Office que vous souhaitez installer. Fermez l’outil de personnalisation Office et enregistrez le fichier sous le nom Assuretoo.msp dans le répertoire \\wdsfr\mdtbuild$\Application\Microsoft Office 2007 Professionnel\Updates.
■
Appliquez les modifications.
■
Cliquez sur le bouton Add....
■
Sélectionnez le dossier contenant le pack de langue anglais pour Office 2007 (i.e. les dossiers finissant par .en us).
■
Dans la liste déroulante Office 2007 product to install, sélectionnez votre édition.
■
Cochez les cases enus et frfr.
■
Cliquez sur le bouton OK.
g. Importation du pack de langue Le système d’exploitation importé initialement étant exclusivement en français, il vous faut rajouter le pack de langue anglaise correspondant à l’architecture du système d’exploitation déployé (x86 dans l’exemple ici). ■
Insérez un média contenant le pack de langue anglais pour Windows 7 x86.
■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement Build.
■
Dans le nœ ud Packages, importez le pack de langue anglais :
Paramètre Package source directory:
Valeur et explication Chemin vers le répertoire enus contenant le fichier lp.cab
h. Création de la séquence de tâches de construction Une séquence de tâches doit être créée pour installer le système d’exploitation, les applications, le pack de langue et capturer automatiquement le poste. Pour créer cette séquence de tâches ■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement Build.
■
À la racine du conteneur Task Sequences, créez une nouvelle séquence de tâches selon les paramètres ci dessous : Paramètre
Valeur
Task sequence ID:
0
Task sequence name:
Build Master (x86) © ENI Editions - All rigths reserved - Kaiss Tag
280
- 13 -
Template:
Standard Client Task Sequence
Operating System:
Windows 7 Entreprise
Specify Product Key:
Do not specify a product key at this time
Full Name:
Assuretoo
Organization:
Assuretoo
Internet Explorer Home Page:
http://intranet.assuretoo.local
Admin Password:
Do not specify an Administrator password at this time
Création de la séquence de tâches de construction
■
Mettez à jour le partage de déploiement pour générer l’image WIM.
■
Ouvrez la console WDS.
■
Déployez le nœ ud wdsfr.assuretoo.local.
■
- 14 -
Ajoutez l’image LitetouchPE_x86.wim générée dans D:\MDTBuild\Boot aux images de démarrage du serveur WDS.
© ENI Editions - All rigths reserved - Kaiss Tag
281
Ajout d’une image de démarrage à WDS
i. Construction de l’image de référence La création d’une image de référence permet de gagner du temps, en préinstallant les logiciels dans l’image capturée au lieu de les installer lors du déploiement sur le poste final. Pour créer l’image de référence ■
■
Démarrez le poste de référence sur le réseau. Entrez les informations d’identification du compte que vous avez autorisé en modification sur le répertoire D:\MDTBuild.
© ENI Editions - All rigths reserved - Kaiss Tag
282
- 15 -
Authentification pour l’accès au partage de déploiement
- 16 -
■
Cliquez sur OK.
■
Sélectionnez la séquence de tâches Build Master (x86).
■
Cliquez sur Next.
■
Entrez un nom temporaire d’ordinateur (ex : PCREFW7).
■
Cliquez sur Next.
■
Sélectionnez le pack de langue supplémentaire Language Pack English (enUS) English.
© ENI Editions - All rigths reserved - Kaiss Tag
283
Sélection des packs de langue à installer
■
Cliquez sur Next.
■
Sélectionnez l’application Microsoft Office 2007 Professionnel.
© ENI Editions - All rigths reserved - Kaiss Tag
284
- 17 -
Sélection des applications optionnelles
■
■
Cliquez sur Next. Sélectionnez l’option Capture an image of this reference computer (les champs Location et File name sont normalement déjà préremplis avec les valeurs renseignées dans le fichier CustomSettings.ini).
Paramètres de capture du poste
■
Cliquez sur Next.
Après installation du système d’exploitation et de Microsoft Office Professionnel 2007, MDT initie la préparation à la capture avec l’outil Sysprep et redémarre le poste pour en capturer le disque C: sous forme d’une image WIM. Cette image WIM sera stockée dans le répertoire \\wdsfr\mdtbuild$\captures sous le nom MasterWindows7x86.wim. Cette image contient le système d’exploitation Windows 7 Entreprise et Microsoft Office 2007 Professionnel, tous deux en langue française et anglaise.
j. Création des partages de déploiement de production Un second partage de déploiement sur le site de Paris servira de partage de déploiement principal pour les clients du site et mettra à jour un partage répliqué à Londres. Pour créer ce partage de déploiement : ■
Créez un partage de déploiement selon les paramètres cidessous :
Champ
- 18 -
Valeur et explication
Deployment share path:
\\wdsfr\mdtds01$, chemin UNC vers le partage réseau
Deployment share description:
DS01 Paris, nom affiché du partage de déploiement
© ENI Editions - All rigths reserved - Kaiss Tag
285
■
Allow Image Capture:
Décochez la case Ask if an image should be captured, le comportement sera défini ultérieurement
Allow Admin Password
Décochez la case Ask user to set the local Administrator Password, le comportement sera défini ultérieurement
Allow Product Key
Décochez la case Ask user for a product key, le comportement sera défini ultérieurement
Dans le nœ ud Advanced Configuration/Linked Deployment Share, créez un nouveau partage de déploiement lié selon les paramètres cidessous : Champ
Valeur et explication
Linked deployment share UNC path:
\\wdsuk\mdtds01$, chemin UNC vers le partage cible
Selection profile:
Everything, profil de sélection contenant les éléments à répliquer Merge the selected contents into the target deployment share, la réplication effectuera une mise à jour et non un remplacement
■
Éditez les propriétés du partage lié LINKED001.
■
Décochez la case Automatically update boot images after replicating content to this linked deployment share.
■
Cliquez sur OK.
■
Editez les propriétés du partage de déploiement DS01 Paris.
■
Dans l’onglet General, décochez la case Platforms Supported: x64.
■
Dans l’onglet Windows PE x86 Settings, remplacez la valeur du premier champ Image description par Master Windows 7 x86.
■
Décochez la case Generate a Lite Touch bootable ISO image.
■
Dans l’onglet Rules, modifiez le contenu de la section [Settings] selon le paramétrage cidessous :
Paramètre Priority
■
Valeur et explication DefaultGateway, IsLaptop, Default
Modifiez le contenu de la section [Default] selon le paramétrage cidessous :
Paramètre
Valeur et explication
_SMSTSOrgName=
Assuretoo, nom affiché dans la fenêtre de progression du client MDT
OSInstall=
Y
SkipBDDWelcome=
YES, évite l’écran d’accueil du client MDT
SkipSummary=
YES, évite l’écran de résumé des actions prévues à la fin de l’assistant du client MDT © ENI Editions - All rigths reserved - Kaiss Tag
286
- 19 -
■
- 20 -
SkipFinalSummary=
NO, affiche l’écran de résumé des erreurs à la fin de l’installation
DeployRoot=
\\%WDSSERVER%\mdtds01$, chemin réseau du partage de déploiement auquel le client doit se connecter
UserID=
usrinstall, nom du compte utilisé pour la connexion au partage MDT
UserPassword=
P@ssw0rd, mot de passe du compte utilisé pour la connexion au partage MDT
UserDomain=
ASSURETOO, domaine du compte utilisé pour la connexion au partage MDT
SkipLocaleSelection=
YES, évite l’écran de configuration des paramètres régionaux
SkipBuild=
YES, évite la sélection manuelle d’une séquence de tâches
BuildID=
0, identifiant de la séquence de tâches à utiliser
SkipAdminPassword=
YES, évite la saisie manuelle du mot de passe de l’administrateur local pendant l’assistant
AdminPassword=
P@ssw0rd, mot de passe du compte administrateur local
SkipBitLocker=
YES, évite l’écran de configuration de BitLocker™ (programme de chiffrement de disque)
BDEInstallSuppress=
YES, désactive l’installation de BitLocker™
SkipComputerName=
NO, demande un nom d’ordinateur lors du déploiement
SkipApplications=
YES, évite le choix d’applications optionnelles à installer lors du déploiement
SkipDomainMembership=
YES, évite l’écran d’adhésion à un domaine ou un groupe de travail
DomainAdmin=
usrinstall, nom du compte utilisé pour joindre le domaine Active Directory
DomainAdminPassword=
P@ssw0rd, mot de passe du compte utilisé pour joindre le domaine Active Directory
DomainAdminDomain=
ASSURETOO, domaine du compte utilisé pour joindre le domaine Active Directory
JoinDomain=
ASSURETOO, nom du domaine à rejoindre
SkipCapture=
YES, ne demande pas la capture ou non du poste
DoCapture=
NO, ne pas faire de capture du poste une fois déployé
SkipProductKey=
YES, évite la demande d’une clé de produit par l’assistant du client MDT
SkipTimeZone=
YES, évite la demande de paramétrage de fuseau horaire
Créez une section [DefaultGateway] contenant les paramètres cidessous :
© ENI Editions - All rigths reserved - Kaiss Tag
287
Paramètre
■
Valeur et explication
10.0.0.254=
Paris, cette section contiendra les paramètres spécifiques au site de Paris
192.168.0.254=
Londres, cette section contiendra les paramètres spécifiques au site de Londres
Créez une section [Paris] contenant les paramètres cidessous :
Paramètre
■
Valeur et explication
KeyboardLocale=
frfr, indique au système d’exploitation déployé d’utiliser le clavier français
KeyboardLocalePE=
040c:0000040c, indique au client de déploiement d’utiliser le clavier français
UserLocale=
frfr, indique au système d’exploitation déployé d’utiliser les paramètres régionaux français
UILanguage=
frfr, langue de l’interface du système d’exploitation déployé
TimeZoneName=
Romance Standard Time, fuseau horaire de la France
MachineObjectOU=
ou=Paris,dc=assuretoo,dc=local, chemin LDAP de l’unité organisationnelle où créer le compte d’ordinateur
Créez une section [Londres] contenant les paramètres cidessous :
Paramètre
■
Valeur et explication
KeyboardLocale=
enGB, indique au système d’exploitation déployé d’utiliser le clavier anglais
KeyboardLocalePE=
0809:00000809, indique au client de déploiement d’utiliser le clavier anglais
UserLocale=
enGB, indique au système d’exploitation déployé d’utiliser les paramètres régionaux anglais
UILanguage=
enus, langue de l’interface du système d’exploitation déployé
TimeZoneName=
GMT Standard Time, fuseau horaire du RoyaumeUni
MachineObjectOU=
ou=Londres,dc=assuretoo,dc=local, chemin LDAP de l’unité organisationnelle où créer le compte d’ordinateur
MandatoryApplications001=
Vide, contiendra le GUID de l’application de compatibilité spécifique au site de Londres une fois celleci importée (cf. Import de l’application de compatibilité pour Londres)
Créez une section [IsLaptop] contenant les paramètres cidessous :
Paramètre SkipBitLocker=
Valeur et explication NO, affiche l’écran de configuration de BitLocker™
© ENI Editions - All rigths reserved - Kaiss Tag
288
- 21 -
■
Cliquez sur le bouton Bootstrap.ini et modifiez le contenu de la section [Settings] selon le paramétrage ci dessous : Paramètre Priority
■
Valeur et explication DefaultGateway, Default
Modifiez le contenu de la section [Default] du fichier selon le paramétrage cidessous :
Paramètre
■
Valeur et explication
DeployRoot=
\\%WDSSERVER%\mdtds01$, chemin réseau du partage de déploiement auquel le client doit se connecter
UserID=
usrinstall, nom du compte utilisé pour la connexion au partage MDT
UserPassword=
P@ssw0rd, mot de passe du compte utilisé pour la connexion au partage MDT
UserDomain=
ASSURETOO, domaine du compte utilisé pour la connexion au partage MDT
SkipBDDWelcome=
YES, évite l’écran d’accueil du client de déploiement
Créez une section [DefaultGateway] contenant les paramètres cidessous :
Paramètre
■
Valeur et explication
10.0.0.254=
Paris, cette section contiendra les paramètres spécifiques au site de Paris
192.168.0.254=
Londres, cette section contiendra les paramètres spécifiques au site de Londres
Créez une section [Paris] contenant les paramètres cidessous:
Paramètre
■
Valeur et explication
KeyboardLocale=
frfr, indique au système d’exploitation déployé d’utiliser le clavier français
KeyboardLocalePE=
040c:0000040c, indique au client de déploiement d’utiliser le clavier français
Créez une section [Londres] contenant les paramètres cidessous:
Paramètre
- 22 -
Valeur et explication
KeyboardLocale=
enGB, indique au système d’exploitation déployé d’utiliser le clavier anglais
KeyboardLocalePE=
0809:00000809, indique au client de déploiement d’utiliser le clavier anglais
© ENI Editions - All rigths reserved - Kaiss Tag
289
■
Fermez le blocnotes et enregistrez le fichier.
Les propriétés réservées DefaultGateway et IsLaptop permettent de configurer des valeurs du fichier CustomSettings.ini et Bootstrap.ini selon, respectivement, l’adresse de passerelle par défaut du poste déployé et le fait qu’il s’agisse d’un portable ou pas.
k. Import de l’image de référence capturée ■
Insérez le média de Microsoft Windows 7 Entreprise x86 Français.
■
Dans le nœ ud Operating Systems, importez un nouveau système d’exploitation.
■
Sélectionnez le type Custom image file.
■
Cliquez sur Next.
■
Cliquez sur le bouton Browse et sélectionnez le fichier D:\MDTBuild\Captures\MasterWindows7x86.wim.
■
Cliquez sur Next.
■
Sélectionnez Copy Windows Vista (…) or later setup files from the specified path et indiquez la racine du média d’installation de Windows 7 Entreprise x86 Français dans le champ Setup source directory.
■
Cliquez sur Next.
■
Confirmez le nom de répertoire de destination proposé en cliquant sur Next.
■
Confirmez l’import en cliquant sur Next.
■
Renommez l’image importée en Master Windows 7 Entreprise x86.
l. Import de l’application de compatibilité pour Londres ■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement DS01 Paris.
■
Dans le nœ ud Applications, importez l’application de compatibilité spécifique pour Londres :
Paramètre
■
Valeur et explication
Type of application to add:
Application with source files
Publisher:
Editeur de cette application
Application Name:
Accounting Application
Source directory:
Chemin vers les sources de cette application
Command line:
Ligne de commande pour installer cette application silencieusement
Ouvrez le fichier D:\MDTDS01\Control\Applications.xml avec Internet Explorer.
© ENI Editions - All rigths reserved - Kaiss Tag
290
- 23 -
■
■
Copiez la valeur de l’attribut guid du nœ ud XML de l’application (accolades comprises). Collez cette valeur dans la propriété MandatoryApplications001 de la section [Londres] du fichier CustomSettings.ini.
m. Création de la séquence de tâches finale Une seule séquence de tâches sera disponible pour les déploiements finaux sur les postes de travail. Cette séquence utilisera l’image WIM de référence capturée et se basera sur les informations configurées dans le fichier CustomSettings.ini pour déterminer la configuration particulière du poste en fonction du site réseau. D’autre part, l’installation de BitLocker™ ne sera faite que sur les ordinateurs portables (i.e. ceux pour qui la valeur de propriété réservée IsLaptop sera vraie). Pour créer la séquence de tâches finale ■
Exécutez la console MDT.
■
Développez le nœ ud du partage de déploiement DS01 Paris.
■
À la racine du conteneur Task Sequences, créez une nouvelle séquence de tâches selon les paramètres ci dessous : Paramètre
- 24 -
Valeur et explication
Task sequence ID:
0
Task sequence name:
Master Windows 7 x86
Template:
Standard Client Task Sequence
Operating System:
Master Windows 7 Entreprise x86
Specify Product Key:
Do not specify a product key at this time
Full Name:
Assuretoo
Organization:
Assuretoo
Internet Explorer Home Page:
http://intranet.assuretoo.local
Admin Password:
Sélectionnez l’option Use the specified local Administrator password, entrez le mot de passe administrateur local dans le champ Administrator Password et confirmezle dans le champ Please confirm Administrator Password.
© ENI Editions - All rigths reserved - Kaiss Tag
291
Création de la séquence de tâches finale
■
Éditez les propriétés de la séquence de tâches que vous venez de créer.
■
Dans l’onglet OS Info, cliquez sur le bouton Edit Unattend.xml.
■
■
Une fois le catalogue de composants recréé par MDT, Windows System Image Manager sera lancé et le fichier Unattend.xml ouvert automatiquement. Quittez Windows System Image Manager et enregistrez le fichier en quittant (cette manipulation permet de chiffrer le mot de passe du compte administrateur local dans le fichier XML).
n. Mise à jour des partages de déploiement Le partage de déploiement de production de Paris étant désormais configuré, celuici peut être mis à jour de manière à générer l’image de démarrage nécessaire pour le déploiement des postes. Pour mettre à jour le partage de Paris ■
Exécutez la console MDT.
■
Faites un clic droit sur le partage de déploiement DS01 Paris.
■
Sélectionnez l’option Update Deployment Share.
■
Sélectionnez l’option Optimize the boot image updating process.
■
Cliquez sur Next deux fois.
© ENI Editions - All rigths reserved - Kaiss Tag
292
- 25 -
■
Cliquez sur Finish.
Pour mettre à jour le partage de Londres ■
Développez le nœ ud du partage de déploiement DS01 Paris.
■
Dans le nœ ud Advanced Configuration/Linked Deployment Shares, faites un clic droit sur le lien LINKED001.
■
Sélectionnez l’item Replicate Content.
Selon la taille et le nombre de systèmes d’exploitation et d’applications présents dans le partage de déploiement, les données de réplication peuvent représenter plusieurs giga octets à transférer vers le réplica. Tout le contenu du partage de déploiement de production de Paris est alors copié vers le partage de production de Londres : systèmes d’exploitation, applications, pilotes de périphériques, packages, séquences de tâches, etc. Les images de démarrage situées dans le répertoire Boot du partage de déploiement source ne sont pas répliquées, mais sont entièrement recréées à distance. Cependant, la réplication native de MDT n’inclut pas les fichiers CustomSettings.ini, BootStrap.ini et Settings.xml présents dans le répertoire Control du partage de déploiement source. Or, ces fichiers contiennent à eux trois toutes les propriétés du partage de déploiement : ils doivent donc être régénérés pour le site de Londres en ouvrant le partage de déploiement depuis une console MDT et en le configurant. Pour configurer le partage de déploiement de Londres ■
et
BootStrap.ini
depuis
\\wdsfr\mdtds01$\Control
■
Ouvrez une session sur le serveur WDSUK.
■
Exécutez la console MDT.
■
Faites un clic droit sur le nœ ud Deployment Shares.
■
Sélectionnez l’option Open Deployment Share.
■
Indiquez l’emplacement \\wdsuk\mdtds01$.
■
Cliquez sur Next deux fois.
■
Cliquez sur Finish.
■
Affichez les propriétés du partage de déploiement que vous venez d’ajouter.
■
Dans l’onglet General, remplacez la valeur du champ Description par DS01 Londres.
■
Décochez la case Platforms Supported: x64.
■
- 26 -
Copiez les fichiers CustomSettings.ini \\wdsuk\mdtds01$\Control.
vers
Dans l’onglet Windows PE x86 Settings, remplacez la valeur du premier champ Image description par Master Windows 7 x86.
■
Décochez la case Generate a Lite Touch bootable ISO image.
■
Cliquez sur OK.
■
Faites un clic droit sur le partage de déploiement DS01 Londres.
© ENI Editions - All rigths reserved - Kaiss Tag
293
■
Sélectionnez l’option Update Deployment Share.
■
Sélectionnez l’option Optimize the boot image updating process.
■
Cliquez sur Next deux fois.
■
Cliquez sur Finish.
o. Mise à disposition des images de démarrage finales Les images WIM de démarrage générées lors de la mise à jour des partages de déploiement doivent maintenant être mises à disposition des clients, via le serveur WDS. Pour cela : ■
Connectezvous au server WDSFR.
■
Exécutez la console WDS.
■
Ajoutez l’image de démarrage D:\MDTDS01\Boot\LiteTouchPE_x86.wim.
■
Désactivez l’image de démarrage Build Master (x86).
■
Connectezvous au serveur WDSUK (avec le Bureau à distance par exemple).
■
Exécutez la console WDS.
■
Ajoutez l’image de démarrage D:\MDTDS01\Boot\LiteTouchPE_x86.wim.
p. Déploiement Le déploiement des postes est extrêmement simple : ■
Amorcez un poste de Londres sur le réseau
■
Une fois le client de déploiement chargé, entrez le nom de l’ordinateur.
© ENI Editions - All rigths reserved - Kaiss Tag
294
- 27 -
Saisie du nom d’ordinateur
■
Cliquez sur Next.
Installation entièrement automatisée de Windows 7
- 28 -
© ENI Editions - All rigths reserved - Kaiss Tag
295
Tout le reste est effectué automatiquement en fonction des informations fournies dans le fichier CustomSettings.ini. Le poste appartenant au réseau de Londres, MDT installera l’application comptable spécifique à ce site. Pour enrichir ce scénario, vous pouvez : ●
●
●
●
Mettre en place USMT pour migrer les données des utilisateurs. Configurer automatiquement BitLocker™ pour les portables au lieu de proposer l’écran de configuration manuelle (mais cela dépend de la présence ou non d’une puce TPM). Mettre en place la base de données MDT pour automatiser entièrement les déploiements en fonction du GUID des postes. Intégrer des langues supplémentaires dans l’assistant d’installation.
© ENI Editions - All rigths reserved - Kaiss Tag
296
- 29 -
