MDT 2013 – Installation (partie 1)

WDS (pour Windows Deployment Services) est un outil natif fournit avec la Windows Server depuis la version 2008. Il remplace son prédécesseur : RIS (Remote Installation Services). Pour résumé, WDS permet de capturer une image de déploiement, de la déployer sur de multiples machines et de gérer des tâches additionnelles comme l’utilisation de pilotes ou de fichiers de réponses. Cette série d’article traite de la mise en œuvre d’un serveur MDT dans un environnement multi-réseaux et multi-domaine.

Articles liés :

Présentation, partie 2, partie 3

Etape 1 : mise en œuvre du service DHCP

WDS utilise les services DHCP (tout particulièrement le Preboot eXecution Environment ou PXE), DNS et Active Directory. PXE est le cœur du déploiement réseau des images :

Deux étapes clés sont réalisées lors d’une amorce PXE : l’amorce du protocole BOOTP, chargée de récupérer l’information nécessaire au démarrage par le réseau (adresse de réseau, adresse du serveur de distribution TFTP et nom de l’image à charger) et l’exécution de la phase TFTP (téléchargement de l’image d’amorce et exécution). Une fois les deux étapes réalisées, l’ordinateur bootera sur l’image réseau présente en mémoire. Point d’attention : l’ordinateur doit disposer de suffisamment de mémoire pour charger l’intégralité de l’image.

Note : Dans le contexte de cet article, il n’existe pas de service DHCP sur l’environnement cible (un réseau de service et 128 réseaux de labs) : pour ne pas multiplier les ressources, le serveur DHCP sera mutualisé avec les autres ressources nécessaires au fonctionnement de MDT. 

Pour offrir le service PXE, le serveur DHCP de Microsoft doit être couplé à un service BOOTP et TFTP : ces deux services sont inclus dans le rôle Windows Deployment Service (WDS) : il sera donc nécessaire de l’installer préalablement ; pour cet article, le serveur est WDS et le serveur DHCP sont sur la même machine.

  • Connectez-vous sur le futur serveur DHCP
  • Ajouter les rôles DHCP Server et Windows Deployment Services (serveur de déploiement et de transport)
  • Lancer la configuration du serveur DHCP et créer au moins un scope (ici : 172.16.128.0/24)
  • Lancer la console Windows Deployment Services
  • Sélectionnez le serveur et faites un clic-droit puis sélectionnez configure server
  • Cliquez sur next
  • Sélectionnez integrated with Active Directory et cliquez sur next
  • Indiquez le répertoire de WDS (par défaut c:\RemoteInstall) et cliquez sur next
  • Laissez les options par défaut et cliquez sur next
  • Sélectionnez respond to all client computers (known and unknown) et cliquez sur next
  • Ouvrez la console DHCP et vérifiez que l’option 60 est définie sur la valeur PXEClient

Note : Cette configuration permet de répondre à n’importe-quelle demande émise auprès du serveur ; l’intégration dans le domaine Active Directory permet de simplifier l’administration mais n’est pas strictement nécessaire dans ce contexte (elle est utilise pour piloter le déploiement d’image depuis WDS en les intégrants directement au domaine d’appartenance du serveur).

Pour information, la console WDS contient 5 modules :

  • Install images : contient les images des systèmes d’exploitation à déployer
  • Boot images : contient les images WinPE permettant d’amorcer le système depuis le réseau
  • Pending devices : contient la liste des clients en attente de validation
  • Multicast transmissions : permet de créer des sessions multicast afin de déployer plusieurs machines simultanément
  • Drivers : permet d’ajouter des pilotes

Pour MDT, nous n’aurons besoin d’ajouter qu’au minimum une image d’amorce (boot image), que nous ajouterons plus tard (celle-ci devant être construite depuis l’environnement MDT).

Etape 2 : installation de Windows ADK

Le Kit de déploiement ADK de Windows 10 est nécessaire pour permettre à MDT de réaliser des déploiements et d’automatiser les étapes d’installation d’un OS. Le kit est disponible à l’adresse suivante : https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install.

Lancez l’installation de Windows ADK sur le serveur MDT :

  • Lancez adksetup.exe
  • Laissez les options par défaut et cliquez sur next
  • Laissez l’option Windows Kit Privacy par défaut et cliquez sur next
  • Lisez les termes de l’accord de licence et cliquez sur accept
  • Ne cochez que les options ci-dessous :
    • Outils de déploiement
    • Environnement de préinstallation (Windows PE)
    • Outil de migration Utilisateur (USMT)
  • Cliquez sur install puis patientez jusqu’à la fin de l’installation.
  • Cliquez sur close pour terminer.

Etape 3 : installation de MDT 2013

Récupérer la dernière version de MDT ici : https://docs.microsoft.com/en-us/sccm/mdt/. Une fois le kit Windows ADK correctement installé, vous pouvez déployer la solution MDT 2013 :

  • Lancez le fichier MicrosoftDeploymentToolkit2013_x64.msi
  • Cliquez sur next pour valider le message de bienvenue
  • Cochez I accept the terms in the licence agreement puis cliquez sur next
  • Cliquez à nouveaux sur next en laissant les options par défaut
  • Cliquez sur next en laissant les options par défaut pour le retour d’expérience utilisateur
  • Cliquez sur install et patientez
  • Cliquez sur finish

Suite à ces deux installations, les outils d’administration ont été ajoutés dans la liste des programmes du serveur.

Etape 4 : création du compte de service

Lorsque l’on crée une image de référence avec MDT, l’accès à l’environnement de pré installation WinPE requiert une authentification avec un compte du domaine d’appartenance du serveur. Pour des raisons de sécurité, il est préférable de créer un compte dédié : procédez maintenant à la création du compte de service (svc.mdt dans le contexte de l’article) sans privilège (membre d’utilisateurs du domaine exclusivement). Les droits seront positionné plus tard lors de la configuration de MDT.

Etape 5 : journaux de déploiement

Par défaut MDT stocke les fichiers journaux localement sur le client. Pour faciliter les opérations d’analyse, il est préférable de centraliser les journaux sur le serveur MDT : pour ce faire, vous devez disposer d’un dossier dans lequel stocker les journaux. Exécutez la commande ci-dessous dans une invite de commandes Windows PowerShell avec élévation de privilèges pour créer le partage :

New-Item -Path E:\MDT -ItemType Directory
New-Item -Path E:\MDT\Logs -ItemType Directory
New-SmbShare -Name Logs$ -Path E:\MDT\Logs -ChangeAccess "TOUT LE MONDE"
icacls E:\MDT\Logs /grant '"svc.mdt":(OI)(CI)(M)'

Note : Les commandes sont adaptées à un système en français.

Vérifiez ensuite que le partage a bien été créé avec la commande Net Share.

Pour exploiter les journaux, il sera nécessaire d’utiliser l’outil CMTrace de Microsoft, disponible ici : https://www.microsoft.com/en-us/download/details.aspx?id=50012

Le mot de la fin…

Notre environnement est maintenant prêt pour la configuration et le déploiement. Dans le prochain article, nous verrons l’utilité du partage de déploiement, apprendrons à le créer et à le configurer pour un déploiement ‘classique’ : toutes les étapes essentielles à connaitre avant de réaliser des déploiements plus personnalisé.

Lien Permanent pour cet article : https://ms-sec.fr/?p=2631

1 ping

  1. […] MDT 2013 – Installation (partie 1) […]

Les commentaires sont désactivés.