Voici un aperçu rapide de la mise à jour de stations de travail Windows 7 vers Windows 10 en entreprise avec Microsoft Deployment Toolkit 2013 Update1. Je complèterai cet article et détaillerai chaque partie ultèrieurement.

windows10

MDT est un ensemble d’outils pour automatiser les déploiements de masse : réduction du temps de déploiement, optimisation des images systèmes, normalisations, configurations. MDT 2013u1 utilise l’ADK, kit de déploiement Windows 10 et permet de déployer Windows7, Windows8, Windows8.1 et Windows server 2012 R2 en LTI. Il supporte également l’installation ZTI, zéro Touch, avec System Center 2012 Configuration Manager R2 (traité dans un autre article).

Infrastructure de déploiement

Plus le nombre de stations de travail à migrer augmente, plus il y a de sites géographiques différents, plus l'infrastructure de déploiment devient complexe.

Nous partons sur une infrastructure simple, que nous adaptons en fonction des besoins.

Exemple:

upgrade windows10 infra exemple1

1 serveur controleur de domaine

1 serveur MDT principal PARIS (site siège)

1 serveur MDT secondaire LONDON (site agence)

1 PC de reference pour construire l'image Windows10

1 PC Windows 7 à migrer

1 PC Windows 10 avec les outils d'administration (RSAT...)

1 PC de reference pour construire l'image Windows10 et la capturer

La création de l'image Windows10 de référence est importante parce qu'elle est un modèle que l'on peut recopier et personnaliser sur tous les autres ordinateurs de la société. Nous allons créer une Image de Windows 10 de référence en utilisant le Microsoft Deployment Toolkit (MDT ) 2013 Update 1.

1 serveur controleur de domaine W2K12R2std_consultingit_DC1

Windows Server 2012 R2 Standard

S'il n'y a pas de process de déploiements d'images serveur disponibles (sysprep...), installer le serveur manuellement.

 upgrade windows10 windows server 2012R2 standard1

Prévoir un serveur avec BEAUCOUP d'espace disque disponible. Les copies, les mises à jour des images WIM vont rapidement occuper un gros volume.

 w2k12r2uptodate

S'il n'y a pas d'infrastructure WSUS, mettre à jour le serveur manuellement avec les derniers correctifs.

w2k12r2uptodate2

 Prévoir le temps et la bande passante nécéssaires.

Astuce: avant de personnaliser ce serveur, faire un Sysprep /generalize /shutdown /oobe pour pouvoir le "cloner" en serveur MDT et éviter une nouvelle installation, avec les mises à jours, etc.

 Nom du serveur: ConsultingitDC1. J’évite les caractères speciaux dans le nom du serveur, car cela pourraient perturber le fonctionnement de l’infrastructure

w2k12r2network1

J’assigne une IP fixe à la carte réseau. Je modifie les paramètres TCP/IPv4 de la carte réseau pour que l’adresse physique de l’adaptateur réseau (adresse Mac) 00-0C-29-69-88-55 soit toujours configurée en IP 192.168.0.16

Ajout du role DHCP server

« server manager », « add and manage », puis « add roles and features »

 w2k12r2dhcpserver

Installation des services Active Directory

Je vais maintenant installer la suite des services Active Directory et les rôles nécessaires.

Avec la commande Powershell "Install –WindowsFeature –ConfigurationFilePath consultingitAD.XML" l'installation est automatique, sinon manuellement:

Dans le « server manager » « add and manage », puis « add roles and features ». « Active Directory Domain Services »

w2k12r2activedirectory

Création de la forêt, du domaine et du controleur de domaine

Je lance mon script Powershell

# Windows Powershell script for AD DS Deployment

Import –Module ADDSDeployment

Install-ADDForest `

-CreateDnsDelegation:$false `

-DatabasePath “C:\Windows\NTDS” `

-DomainMode “Win2012R2” `

-DomainName “consultingit.fr” `

-ForestMode “Win2012R2” `

-InstallDns:$true `

-LogPath “C:\Windows\NTDS” `

-NoRebootOnCompletion:$false `

-SysvolPath “C:\windows\Sysvol” `

-Force:$True

Sinopn manuellement:

« promote this server to a new domain controller »

w2k12r2newforest

Je laisse le « forest functional level » et le « domain functional level » en Windows Server 2012R2

w2k12r2newforest

Après redémarrage du serveur, il est controleur du domaine.

w2k12r2activedirectory2

Il faut créer les OU pour y placer les ordinateurs, serveurs, stations de travail, comptes, groupes

w2k12r2dhcpserverMDT1domaineOUs

Comme ceci par exemple

w2k12r2dhcpserverMDT1domaineOUs2

Création d'un compte utilisateur pour pouvoir se connecter au partage MDT. Certains ingénieurs utilisent le compte administrateur du domaine. Pour des raisons de sécurité, je préfère créer un compte spécifique d'accès avec uniquement les droits nécéssaires. Après tout dépend du temps et du budget que l'on a pour le projet, mais là n'est pas le sujet.

w2k12r2dhcpserverMDT1installMDT ba

1 serveur MDT principal PARIS (site siège)

Installer le serveur 2012R2 STD comme le controleur de domaine, sauf que le serveur MDT sera serveur membre du domaine. (Ou reprendre la copie du précédant serveur avec sysprep).

Préparer le serveur. Hostname: ConsultingitMDT1, configuration réseau ip fixe

w2k12r2dhcpserverMDT1

Joindre au domaine, etc.

w2k12r2dhcpserverMDT1domaine

Installation de l'ADK

Le Kit de déploiement et d’évaluation Windows® (Windows ADK) est un ensemble d’outils utilisés pour personnaliser, évaluer et déployer les systèmes d’exploitation Windows. Il comprend:

Application Compatibility Toolkit (ACT) qui aide les professionnels de l’informatique à comprendre les problèmes de compatibilité potentiels des applications en identifiant quelles applications sont ou ne sont pas compatibles avec les nouvelles versions du système d’exploitation Windows. 

Outils de déploiement

Les outils de déploiement permettent de personnaliser, de gérer et de déployer des images Windows. Ces outils peuvent être utilisés pour automatiser les déploiements de Windows, ce qui évite à l’utilisateur d’intervenir durant l’installation de Windows. Les outils inclus avec cette fonctionnalité sont l’outil en ligne de commande DISM (Gestion et maintenance des images de déploiement), les applets de commande PowerShell DISM, l’API DISM, l’Assistant Gestion d’installation (Windows SIM) et OSCDIMG. Pour plus d’informations, voir Outils de déploiement.

Outil de migration utilisateur (USMT)

L’Outil de migration utilisateur est un outil en ligne de commande scriptable que les responsables informatiques peuvent utiliser pour migrer des données utilisateur d’une ancienne installation Windows vers une nouvelle installation Windows. Cet outil permet de créer une infrastructure de migration personnalisée qui copie les données utilisateur et qui exclut les données qui n’ont pas besoin d’être migrées. Les outils inclus avec la fonctionnalité sont les outils en ligne de commande ScanState, Loadstate et USMTUtils. Voir Outil de migration utilisateur (USMT)..

Volume Activation Management Tool (VAMT)

Volume Activation Management Tool (VAMT) permet  d’automatiser et de gérer de façon centralisée l’activation de Windows, Windows Server, Windows ThinPC et Windows POSReady 7, et de sélectionner des clés de produit complémentaires ainsi que les versions d’Office pour les ordinateurs de leur organisation. VAMT peut gérer l’activation en volume à l’aide des clés de produit commercialisé (ou clé d’activation unique), des clés d’activation multiple (MAK) ou du service de gestion des clés (KMS) de Windows. Voir Volume Activation Management Tool.

Windows Performance Toolkit (WPT)

Windows Performance Toolkit comprend des outils permettant d’enregistrer les événements du système et d’analyser les données de performance dans une interface graphique utilisateur. Ces outils sont l’Enregistreur de performances Windows, l’Analyseur de performance Windows et Xperf. Voir Windows Performance Toolkit.

Kit d’évaluation Windows

Outils permettant de découvrir et d’exécuter des évaluations sur un ordinateur. Les évaluations sont des tâches qui simulent l’activité de l’utilisateur et examinent l’état de l’ordinateur. Les évaluations produisent des métriques pour les différents aspects du système et fournissent des recommandations en matière d’améliorations à apporter. Voir Kit d’évaluation Windows.

Services d’évaluation Windows

Outils de gestion à distance des paramètres, ordinateurs, images et évaluations dans un environnement de laboratoire où les services d’évaluation Windows sont installés. Cette application peut s’exécuter sur n’importe quel ordinateur disposant d’un accès au serveur qui exécute les services d’évaluation Windows. Voir Services d’évaluation Windows.

Environnement de préinstallation Windows (Windows PE)

Système d’exploitation minimal conçu pour préparer un ordinateur à l’installation et à la maintenance de Windows.

w2k12r2dhcpserverMDT1installMDT ADK

Installation de MDT

w2k12r2dhcpserverMDT1installMDT

Création et partage du répertoire de logs: très utile pour savoir comment se déroulent les opérations.

w2k12r2dhcpserverMDT1installMDT logs

Astuce: pour visualiser les logs, on peut utiliser notepad, classique. Mais le mieux reste l'utilitaire CMTrace.exe , disponible dans le Microsoft System Center 2012 R2 Configuration Manager Toolkit .

 Création du partage de deploiement primaire ( ou DP, DeploymentShare)

On peut lancer ce script Powershell, à adapter si par exemple on souhaite stoker les images WIM sur un NAS avec une autre lettre de lecteur, etc:

New-Item -Path"C:\DeploymentShare"-ItemTypedirectory

New-SmbShare -Name"DeploymentShare$"-Path"C:\DeploymentShare"-ChangeAccessEveryone

Import-Module "C:\Program Files\Microsoft Deployment Toolkit\bin\MicrosoftDeploymentToolkit.psd1"

new-PSDrive -Name"DS001"-PSProvider"MDTProvider"-Root"C:\DeploymentShare"-Description"MDT Deployment Share"-NetworkPath"\\CONSULTINGITMDT\DeploymentShare$"-Verbose|add-MDTPersistentDrive-Verbose

Si l'on n'a pas de script Powershell sous la main, on peut aussi utiliser l'assistant

w2k12r2dhcpserverMDT1installMDT dp

Partager l'accès au DP de manière sécurisée, à l'aide du compte créé à l'étape d'avant

w2k12r2dhcpserverMDT1installMDT dp8ACL

Il est possible d'utiliser des serveurs MDT secondaires, exemple, LONDON (site agence) Serveur identique au serveur MDT principal Paris. Il est situé sur un des sites secondaites: il gère les images systèmes en anglais, les logiciels en anglais...

Le DeploymentShare de production est synchronisé avec le serveur MDT Paris. On répète le nombre de serveurs MDt secondaires en fonction du besoin de l'infrastructure et du nombre de postes à déployer: MADRID, BERLIN, MOSCOU...

Ajout des sources d'installation de Windows 10

Pour déployer Windows10, MDT a besoin des sources du système d'exploitation. Ils s'agit généralement d'un repertoire, d'une image ISO, ou d'un DVD.

Dans le DeploymentShare, nous creons un répertoire Windows10 et importons les binaires de Windows 10 Enterprise x64 .

Création de la séquence de tache de création de l'image Windows10

Il s'agit de l'ensemble des scripts qui permettent d'automatiser l'installation, la configuration de l'image de base. Exemple: partition du disque dur, installation du système, istallation des applications socle, navigateurs internet (HomePage)...

w2k12r2dhcpserverMDT1installMDT tsw10ref2

Ici nous voyons l'arborescence MDT avec les sources du système d'exploitation, le repertoire contenant les applications, et la séquence de tache créée:

w2k12r2dhcpserverMDT1installMDT tsw10ref

 Edition de la séquence de tache, paramétrage spécifique

w2k12r2dhcpserverMDT1installMDT tsw10ref3

En fonction de l'infrastructure disponible, nous pouvons modifier certains paramètres. Par exemple, synchroniser la mise à jour automatique des correctifs de sécurité avec un serveur WSUS s'il y en a un de disponible.

Ajout des applications communes à l'ensemble de la société

Il s'agit des applications qui seront présentes dans le socle de base et sur toutes les stations de travail de l'entreprise, tous services confondus. Les applications spécifiques seront traitées plus tard (outils pour la comptabilité...)

Exemple: Microsoft Office, les navigateurs alternatifs Firefox, Chrome, les runtimes Microsoft Visual C++ 2005 SP1 - x86, Microsoft Visual C++ 2005 SP1 - x86-x64, Microsoft Visual C++ 2005 SP1 - x64, Microsoft Visual C++ 2008 SP1 - x86, Microsoft Visual C++ 2008 SP1 - x64, Microsoft Visual C++ 2010 SP1 - x86, Microsoft Visual C++ 2010 SP1 - x64, Microsoft Visual C++ 2012 Update 4 - x86, Microsoft Visual C++ 2012 Update 4 - x64, Microsoft Office 2013 Pro Plus - x86..

w2k12r2dhcpserverMDT1installMDT tsw10ref4

Astuce: j'ajoute un step contenant le script "LTI Suspend" LTISuspend.wsf très pratique qui permet de boquer temporairement la création de l'image. Pendant ce temps, j'en profite pour installer tous les applicatifs socle, puis je clique sur l'icone pour relancer le process de création de l'image de référence

w2k12r2dhcpserverMDT1installMDT tsw10ref5suspend

On peur ajouter les roles Windows ici : on peut mettre des conditions par exemple. On peut aussi le faire en éditant fichier Unattend.xml. A voir en fonction du besoin.

Edition du ficher unattend.xml

En editant les propriétés de la séquence de tache, nous avons accès au fichier unattend.xml.

w2k12r2dhcpserverMDT1installMDT tsw10ref5unattend

Utilisation de Windows SIM System Image Manager et génération du catalogue de l'image

Nous pouvons modifier les paramètres d'isntalaltion, apr exemple ici, désactiver l'installation des outils développeur d'Internet Explorer

w2k12r2dhcpserverMDT1installMDT tsw10ref6catalogue

 Paramétrage des règles de déploiement

Ajout des paramètres dans les fichiers de configuration Customsettings.ini et Bootstrap.ini, en fonction des besoins

Customsettings .ini

w2k12r2dhcpserverMDT1installMDT tsw10ref6CustomsettingsJPG

Bootstrap .ini

w2k12r2dhcpserverMDT1installMDT tsw10ref6bootstrap

Génération des fichiers et images boot Windows PE

Pour les 2 environnements: x86 et x64

w2k12r2dhcpserverMDT1installMDT tsw10ref6winPE

Mise à jour du repertoire de déploiement

Création des images ISO de boot, injection des drivers spécifiques dans le WinPE, etc.

w2k12r2dhcpserverMDT1installMDT tsw10ref7updatedp

Bug MDT

Attention, j’ai rencontré ce bug lors du test de l’infrastructure en prod sur disque SSD.

Unable to mount the WIM, so the update process cannot continue.

Erreur expliquée dans le fichier log: C:\Windows\Logs\DISM\dism.log

Error  DISM   DISM.EXE: DISM Package Manager processed the command line but failed. HRESULT=800706BE

Il semble que le disque SSD soit trop rapide [update: confirmé par le groupe produit]. Pour résoudre ce souci, je n’ai pas généré la WIM de boot, en modifiant le

<Boot.x64.UseBootWim>False</Boot.x64.UseBootWim>

Du fichier xmlFile = \\ConsultingitMDT\DeploymentShare\Control\Settings.xml

et j’ai booté mon poste Windows7 à upgrader, directement sur le DVD ISO généré. (gravure ou boot USB HDD depuis C:\DeploymentShare\Boot\LiteTouchPE_x64.iso)

Par contre, en production plus tard, je n’ai pas rencontré ce souci. Le disque était plus lent, n'étant pas un SSD.

A part ça, tout s'est globalement bien passé. J'ai fait le nécéssaire, car après 10 ans de déploiement (Windows 2000 RIS, SMS...), j'ai acquis certains reflexes. Sinon pour voir les différents soucis que l'on peur rencontrer, jetez un oeil ici pour voir les différents journaux:

https://technet.microsoft.com/library/ee851579.aspx

Capture de l'image de référence W10REF sur le poste de référence

Depuis la station de travail, démarrer via le réseau (PXE), ou par CD de démarrage WinPE pour que la station Windows10 de référence soit "masterisée" avec l'image de Windows10 de référence créée dernièrement. Lorsque cette station de travail se connacte au DeploymentShare (avec le compte BA) elle a la possibilité d'executer la task sequence de création de l'image de référence.

w2k12r2dhcpserverMDT1installMDT tsw10ref7referencebuild

On capture l'image de référence dans el répertoire Captures du DeploymentShare de MDT

w2k12r2dhcpserverMDT1installMDT tsw10ref8captureREF

Windows10 s'installe et se paramètre automatiquement sur la station de travail de référence, grace à la séquence de taches.

D'abord les sources sont copiées

 w10refLTIrunning

ensuite le système d'exploitation et les applications sont installés

w10refLTIrunning2

Windows10 de référence est installé. Grace au script de pause, nous pouvons ajouter des applications manuellement. Un clic sur le raccourci relancera le processus de capture de l'image

w10refdesktop

 Grace à cette petit pause, je peux rajouter des choses dans l’image de base au cas où l’on me fasse la demande après que la Wim « image de base » soit figée et validée

Et ensuite je double clique sur “resume task sequence” et… ca continue, WSUS update process2, Sysprep se lance

w10refdesktop2

Creation de la nouvelle Wim W10reference terminée, prete à être modifiée, puis déployée sur des miliers de postes de travail.

Deploiement de l'image de référence Windows 10

Création d'un deuxième DeploymentShare, pour bien différencier les process de création d'image de référence, et de déploiement.

Par exemple, nouveau partege de deploiment sur E:\

w2k12r2dhcpserverMDT1installMDT newdpprod

 Partage de ce 2eme DeploymentShare, comme le 1er

w2k12r2dhcpserverMDT1installMDT newdpprod2

Créatin d'un 2eme compte de sécurité pour accéder à ce 2eme DeploymentShare. Comme cela, on diffférencie bien les accès à la création de l'image et à son déploiement, pour ne pas les confondre. Utilisons par exemple le compte mdt_JD

w2k12r2dhcpserverMDT1installMDT newdpprod2 mdtjd

Création de la 2eme séquence de tache de déploiement

Comme l'étape précédante, nous créons une autre tache de déploiment. Elle est différente, (Refresh) dans le sens où cette fois-ci, elle permet d'appliquer l'image de référence Windows10 capturée sur un système Windows7 en faisant la mise à jour et en transférant les documents utilisateur à l'aide d'USMT.

La WIM déployée n'est pas la WIM de Windows10 de base, mais la WIM capturée dans le repertoire du 1er DeploymentShare:

w2k12r2dhcpserverMDT1installMDT newdpprod2 wim dep

Ajout des applications métier

C'est ici que nous ajoutons les applications spécifiques. Par exemple, les utilisateurs du services comptabilité auront leurs logiciels de comptabilité, mais n'auront pas besoin d'avoir les logiciels du service des ressources humaines. Certains utilisateur auront ADOBE READER, d'autres ADOBE WRITER.

De même, on différencie le matériel ici: par exemple, si un site physique utilise une imprimante partagée, nous pouvons inclure les drivers pour cette imprimante aux utilisateurs de ce site (avec un master particulier par exemple).

Injection des drivers spécifiques

Soit 2 services qui utilisent du matériel informatique différent, nous pouvons créer 2 séquences de taches contenant chacune les drivers pour chacun des services respectifs. Par exemple:

Le service comptabilité utiliser ce matériel:

Lenovo T420 model

Dell Latitude E6440

Le service commercial utiliser ce matériel:

HP EliteBook 8560w

Microsoft Surface Pro3

 Astuce: certains constructeurs fournissent des packs "bundles" contenant les drivers. Certains packs sont très volumineux. Prévoyez de l'espace disque, sinon

Disque plein

Sauvegarde de la 2nde séquence de taches de déploiement

2nd task sequence ok

Mise à jour du 2ème DeploymentShare, comme à l'étape précédante, voir la mise à jour du 1er

2nd deployment share ok

 L'infrastructure de déploiement est prête

Nous pouvons maintenant "Raffraichir" le PC windows 7 SP1 vers Windows 10

 Ce scénario, appelé "computer refresh", est une réinstallation du système d'exploitation (de la même version ou d'une version supérieure) sur la même machine, par dessus l'ancien système d'exploitation

Il est possible de paramétrer l'outil pour que le disque dur du PC soit entièrement sauvegardé sur un serveur distant (Windows Imaging Backup WIM)

Les données sont automatiquement sauvegardées, puis restaurées après que le nouveau système ait été installé

Scénario de l'utilisation d'USMT:

-Sauvegarde des données localement

-Formatage de la partition (sauf l'endroit où est stockée la sauvegarde des données, cf hardlink migration store)

-Application de l'image du système d'exploitation

-Installation des applications

-Restauration des données et des paramètres utilisateur

Création du modèle USMT User State Migration Tool MigConsoData.XML

Nuos pouvons élaborer des scénarios de migration spécifiques. Par exemple, nous souhaitons sauvegarder uniquement les fichiers .PDF, .DOC, .XLS.

Nous souhaitons exclure les fichiers MP3, AVI, MPG.

On ajoute la ligne suivante au CustomSettings.ini:

USMTMigFiles002=MigUser.xml

USMTMigFiles003=MigData.xml

Démarrage du PC Windows7 à raffraichir

Se connecter au repertoire partagé Deploymentshare sur le serveur MDT, par un net use par exemple

Se positionner dans le repertoire "scripts" du Deploymentshare

Lancer le Litetouch.vbs (avec cscript.exe pour voir le déroulement des opérations)

Choisir la 2nde séquence de tache Windows10 x64 image finale production

w7 2nd ts ti w10

On sauvegarde le poste de travail

backup

Le backup est fait et est envoyé automatiquement dans le répertoire Captures du DeploymentShare

format

Après un certain temps, la 2nde séquence de taches lance le "refresh" qui commence: le disque est formaté, mais les anciennes données sont conservées (hardlink migration)

windows10

Après redémarrages et paramétrages automatiques l'utilisateur peut se connecter à sa nouvelle station de travail Windows10.

 

Une remarque? Une question pour évoluer vers Windows10? Contactez-nous ici: