Créer et déployer
2. Lite Touch
2. Lite Touch
La solution Lite Touch permet d’industrialiser votre déploiement sans pour autant disposer de l’infrastructure de gestion Microsoft, System Center Configuration Manager 2007. La solution reste simple à mettre en œuvre tout en étant très efficace, car elle utilise le moteur de séquence de ce dernier en version autonome. Le déploiement doit être ensuite mettre à jour le point de distribution, en effectuant un clic droit dessus, puis choisir Update Deployment Share. Il suffit ensuite :
● d’importer ces deux images WIM dans WDS ;
● de démarrer une machine via PXE.
L’utilisation du multicast pour le déploiement est même disponible :
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThl8rewcvunzogLAA==-enidentnumber
Avant de déployer une image, certaines questions seront posées via des interfaces graphiques. Il est possible d’augmenter l’automatisation en les évitant. Vous devrez fournir les réponses à ces questions dans le fichier CustomSettings.ini. Voici les étapes pouvant être évitées si les variables suivantes sont positionnées à YES (en majuscules) dans le fichier CustomSettings.ini, section [Default]. À chaque écran correspond une variable pour l’éviter, ainsi qu’une ou plusieurs variables afin de renseigner les informations demandées par cet écran :
SkipAdminPassword: ne demande pas de mot de passe administrateur local.
● Automatiser par AdminPassword=monmotdepasseadmin. Le mot de passe sera stocké en clair dans le fichier, vous devez donc changer ce mot de passe ultérieurement. Il est même conseillé de le changer régulièrement de façon automatisée sur l’ensemble de vos machines.
SkipApplications: ne propose pas d’installer des applications.
● Automatiser par Applications001={GUID de l’application trouvée dans control\Applications.xml}
SkipAppsOnUpgrade: ne propose pas d’installer des applications si c’est une mise à jour.
SkipBDDWelcome: évite la fenêtre d’accueil.
SkipBitLocker: ne propose pas BitLocker.
SkipBitLockerDetails: ne demande pas la configuration de BitLocker.
SkipTaskSequence: ne propose pas le choix de la séquence.
● Automatiser par TaskSequenceID={Identifiant de séquence}
SkipCapture: ne propose pas l’utilisation de capture.
● Automatiser par DoCapture=NO|YES|PREPARE
SkipComputerBackup: ne propose pas la sauvegarde de l’ordinateur.
Automatiser par ComputerBackupLocation=NETWORK|AUTO|NONE
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThl8rewcvunzogLAA==-enidentnumber
● NETWORK fait une sauvegarde sur le réseau.
● Automatiser par JoinDomain=MASOCIETE. Les variables additionnelles sont :
● MachineObjectOU=OU=Mes_Serveurs,DC=masociete,DC=local
● DomainAdmin=Administrateur
● DomainAdminDomain=MASOCIETE
● DomainAdminPassword=motdepassecomplexe
Le mot de passe étant stocké en clair, vous devriez utiliser un compte qui n’a que le droit de joindre les machines au domaine.
SkipFinalSummary: ne montre pas la fenêtre finale de résumé de la séquence.
SkipLocaleSelection: ne propose pas de choisir les paramètres régionaux.
● Automatiser par :
KeyboardLocale=fr-FR (mettre également cette variable dans bootstrap.ini pour avoir le clavier en français pendant l’installation).
● Automatiser par TimeZoneName=’’TimeZoneName=Romance StandardTime’’.
SkipBDDWelcome= YES SkipCapture=YES SkipAppsOnUpgrade=YES SkipFinalSummary=YES SkipPackageDisplay= YES SkipProductKey=YES SkipSummary=YES USERID=Administrateur
UserPassword= motdepassecomplexe UserDomain=MASOCIETE
SkipComputerBackup=YES ComputerBackupLocation= NONE
SkipAdminPassword=YES
AdminPassword=monmotdepasseadminlocal
SkipApplications=YES
Applications001={73823faf-bb78-4491-a053-b47afb5553c4}
SkipTaskSequence=YES TaskSequenceID= 001
SkipComputerName=YES
DomainAdmin= Administrateur DomainAdminDomain=MASOCIETE
DomainAdminPassword= motdepassecomplexe
SkipLocaleSelection=YES KeyboardLocale=fr-FR UserLocale=fr-FR UILanguage=fr-FR
SkipTimeZone=YES
TimeZoneName=Romance Standard Time"
SkipUserData=YES respectivement. Si vous déployez Windows XP Service Pack 2 ou 3, ou Windows Server 2003 Service Pack 2, une alerte de sécurité bloquera cette installation car il est installé depuis le partage réseau. Pour contourner ce problème, il faudra alors installer l’agent comme une application standard depuis MDT avec la commande : WindowsUpdateAgent30-[platforme].exe /quiet /norestart /wuforce.
Par défaut, la machine essaiera de se connecter aux serveurs Microsoft Windows Update sur Internet. Si vous avez un serveur WSUS, vous pouvez l’indiquer à MDT en ajoutant la variable WSUSServer=http://monserveur dans le fichier CustomSettings.ini. Si vous spécifiez un serveur WSUS mais que le client n’est pas à jour, MDT essaiera de le télécharger depuis Internet.
Il ne reste plus qu’à activer les deux étapes Windows Update dans la séquence (Pre et Post), car elles sont désactivées par défaut :
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThl8rewcvunzogLAA==-enidentnumber
Une autre approche est de déployer complètement une machine, de la configurer entièrement en installant les applications et les mises à jour par exemple, puis de la capturer à travers Lite Touch. Cela deviendra votre image de référence, qu’il vous suffira de déployer en faisant un sysprep. Sysprep permet de rendre unique une machine, en ce qui concerne son nom et son SID (Security IDentifier). C’est pour cette raison que vous ne pouvez pas joindre un domaine AD pendant une phase de capture. La phase de sysprep est automatiquement incluse par MDT (phase Copy sysprep files). Un point nécessitant votre attention lors d’une capture effectuée par Lite Touch reste l’utilisation d’antivirus, qui peut poser des problèmes.
La migration des profils utilisateur est faite via le composant USMT (User State Migration Tool). Il n’est pas nécessaire de l’installer sur le serveur de déploiement. Tout comme pour le client Windows Update, il faut télécharger les installeurs 32 et 64 bits et les copier dans les sousdossiers Tools\x86 et Tools\x64. Ils sont disponibles en téléchargement ici : http://www.microsoft.com/downloads/details.aspx?FamilyID=799ab28c691b4b36b7ad
6c604be4c595&displaylang=en#filelist rôle depuis une ligne de commande, exécutez la commande servermanagercmd -i WDS:
Trois composants ont été installés :
● Serveur de déploiement: il s’agit du composant principal.
● Serveur de transport: ce composant peut être installé tout seul en environnement restreint (sans Active Directory, DHCP, DNS...). Il est aussi utilisé par le composant principal.
● Outils des services de déploiement Windows: composants d’administrations.
Le message d’avertissement pour servermanagercmd cidessus n’apparaît que sur Windows Server 2008 R2.
Servermanagercmd a été introduit avec Windows Server 2008. Mais depuis Windows Server 2008 R2, il est remplacé par des commandes PowerShell. L’objectif est notamment d’uniformiser les commandes entre les versions classiques et Core. La version Core inclut le Framework .NET sous 2008 R2 et donc PowerShell. L’équivalent en PowerShell est le suivant :
Import-module servermanager
Get-WindowsFeature | where { $_.Name -match "WDS"}
Add-WindowsFeature WDS
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThl8rewcvunzogLAA==-enidentnumber
Une fois le rôle installé, l’interface de gestion se trouve dans Démarrer Outils d’administration Services de déploiement Windows. Étendez les nœuds jusqu’au nom de votre serveur et sélectionnez Configurer le serveur.
Choisissez ensuite un dossier pour le stockage des images (%systemdrive%\RemoteInstall par défaut). La volumétrie de ce dossier pouvant être importante, une alerte est émise si la partition système est utilisée. Si nécessaire, il est possible de réduire à chaud les volumes depuis le gestionnaire de disques, afin de disposer d’un lecteur dédié à ce stockage.
WDS peut être restreint afin de répondre uniquement aux clients connus. Pour qu’un client soit connu, il faut qu’il ait déjà joint l’Active Directory antérieurement, ou qu’un objet ordinateur ait été créé manuellement dans Active Directory avec le bon identifiant. L’identifiant utilisé est affiché au démarrage de la machine cliente, au moment de la recherche de PXE (GUID). Un mode d’approbation est aussi possible, l’administrateur visualisant les demandes de clients inconnus en attente.
Pour un déploiement massif, le mode multicast est très adapté. Il permet de ne pas inonder le réseau en envoyant tous les octets individuellement à chaque machine. À la place, les machines s’inscrivent à l’adresse multicast, WDS n’envoyant alors qu’une fois les données à cette adresse pour toutes les machines. S’agissant de multicast IGMP, il faut que vos équipements réseaux le supportent. Si ce n’est pas le cas, le switch les traitera comme des diffusions, et inondera alors tout le réseau.
Si des machines arrivent pendant le déploiement, elles récupèrent les données envoyés jusqu’à la fin, puis WDS enverra les données manquantes à ces machines, qui sont donc capables de recevoir les données dans le désordre.
Outre le gain réseau, le serveur est capable de déployer plus de machine à la fois car il ne lit qu’une fois les données à déployer. Cela réduit donc très fortement les accès au stockage disque. La liste des machines en cours de déploiement, ainsi que leur débit réseau est affichée depuis la console WDS :
En revanche, Windows Server 2008 R2 propose de classer automatiquement en deux ou trois catégories les machines (rapide, moyenne, lente). Le serveur devra au final envoyer 2 ou 3 fois les données, mais cela permet de déployer les machines plus rapidement.
La transmission par multidiffusion, créée par défaut par MDT 2010, est de type automatique. C’estàdire que le déploiement commence dès qu’un client demande une multidiffusion. WDS propose cependant aussi une multidiffusion planifiée. Cette planification peut se faire sur deux critères :
● le nombre de clients en attente de déploiement ;
● une date et une heure où déclencher le déploiement.
Les deux critères peuvent être utilisés en même temps. Si aucun des deux n’est sélectionné, il faudra démarrer manuellement la multidiffusion. Même s’il s’agit d’un déploiement planifié, un démarrage manuel est toujours possible par ailleurs.
Hors cadre d’utilisation par MDT, WDS sur Windows Server 2008 R2 permet :
● De gérer les pilotes pour des images Windows 7 et Windows Server 2008 R2.
● De démarrer directement sur des images VHD.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThl8rewcvunzogLAA==-enidentnumber