Mon article sur MDT (Microsoft Deployment Toolkit) 2010 dans IT Pro Magazine

Posted: 09-20-2009 16:33 by William Bories in Filed under: , , , , , , ,
0

Hello World !

J’ai le droit de diffuser mon article sur MDT 2010 qui vient de paraitre donc autant en profiter. J’ai essayé d’être large à propos des bases de connaissance qui, sont d’après moi, vitales pour tout geek qui veut faire du déploiement Microsoft.
Je vous souhaite que du plaisir à le lecture de cet article !

Je te remercie énormément David pour ta relecture, ton expérience depuis l’existence de BDD et ton interview !

 

Microsoft Deployment Toolkit (MDT) 2010

MDT (Microsoft Deployment Toolkit) est un accélérateur de solution édité par Microsoft permettant de faciliter et d’automatiser vos déploiements de postes de travail et de serveurs Windows. C’est un outil véritablement riche, gratuit, et qui est capable d’exploiter toutes les briques existantes de l’environnement de déploiement Microsoft.

L’existence de MDT

MDT n’est pas une solution très récente, elle a vu le jour avec BDD (Business Desktop Deployment), de sa version 2.0 à 2.5 puis s’appela BDD 2007 avec l’arrivée de Windows Vista. BDD a ensuite changé de nom pour s’appeler MDT 2008. Nous sommes actuellement en version Release Candidate (RC) de MDT 2010 qui apporte déjà des centaines d’améliorations. Nous attendons avec impatience la version RTW qui devrait sortir dans les 60 jours après la RTM de Windows 7 !

 

clip_image002Solution Accelerators

MDT est une solution qui devient de plus en plus importante pour Microsoft, ses partenaires et ses clients. En effet nous retrouvons MDT à deux reprises dans les cursus de certification. La première certification dans laquelle on aperçoit MDT (BDD à l’époque) est la 70-624 (TS: Deploying and Maintaining Windows Vista Client and 2007 Microsoft Office System Desktops). Puis il y a maintenant une certification dédiée à MDT, il s’agit de la 70-635 (TS: Microsoft Deployment Toolkit 2008, Desktop Deployment). Vous pouvez être certain de voir arriver une certification pour MDT 2010.

 

MDT et WAIK

Comme pour tout déploiement Microsoft, MDT nécessite le WAIK (Windows Automated Installation Kit) ou l’OPK (OEM Pre-installation Kit) pour les OEM. Le WAIK est un ensemble d’outils et de documentation dédiés au déploiement de système d’exploitation Windows. Concernant le déploiement de Windows 7, il vous faudra vous procurer la version 2.0 du WAIK (1,7 Go) qui est maintenant disponible en version RTM sur le site de Microsoft (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=696dd665-9f76-4177-a811-39c26d3b3b34) et également sur TechNet et MSDN pour les abonnés.

Dans cet ensemble d’outils disponibles dans le WAIK 2.0, nous retrouvons avant toute chose WinPE 3.0 (Windows® Preinstallation Environment) qui est la dernière version basée sur Windows 7. WinPE est ce que l’on peut appeler l’OS minimum permettant de préparer un ordinateur à l’installation de Windows. Il peut être également utilisé comme plateforme pour des outils tiers ou encore des outils de récupération du système (WinRE, DART (Disaster And Recovery Toolset) qui fait partie du pack MDOP, Sysinternals, etc.). WinPE est en fait l’ami dont il devient difficile de se passer.

 

clip_image004WinRE de Windows 7

Toujours dans le WAIK 2.0, on retrouve la version 4.0 d’USMT (User State Migration Tool) sur lequel MDT va s’appuyer pour migrer les données et profils utilisateurs. Des nouveautés voient également le jour tel que l’outil DISM.exe qui remplace 3 outils de la version 1.1 du WAIK (pkgmgr.exe, Intlcfg.exe et PEimg.exe) que MDT va utiliser régulièrement, par exemple, pour ajouter des drivers à vos images WinPE. L’outil VAMT (Volume Activation Management Tool), comme USMT, est maintenant intégré dans le WAIK et permet de gérer vos processus d’activation avec vos clés KMS et MAK de votre parc.

clip_image006WAIK 2.0 et ses outils.

BCDBoot est également un nouvel outil du WAIK, il permet de créer ou de réparer des fichiers de démarrage BCD. Enfin les outils tels qu’Imagex.exe (capture et déploiement d’images .WIM), WSIM (Windows System Image Manager, création de fichiers de réponse), OSCDIMG.exe, Bootsec.exe, ou encore WPEUTIL.exe sont toujours présents et ont été améliorés.

Comme vous l’avez compris, lorsqu’on utilise MDT, on utilise avant tout les outils du WAIK. MDT va devoir jouer avec ces outils tout au long des phases de préparation des déploiements.

 

LTI vs ZTI

Il existe deux façons d’utiliser MDT, soit en mode LTI (Lite Touch Installation) soit en mode ZTI (Zero Touch Installation). Le déploiement LTI vous permet de déployer vos OS et applications sans avoir besoin d’une infrastructure existante de déploiement telle que SCCM (System Center Configuration Manager). C’est la solution idéale pour les petites et moyennes structures. Le déploiement LTI peut être réalisé avec ou quasiment sans assistance humaine. Sachez qu’il est possible d’automatiser entièrement (hormis le démarrage de la machine) votre déploiement LTI afin qu’il réponde à vos besoins. Vous pouvez par exemple choisir de tout automatiser sauf le nom de l’ordinateur que vous souhaitez choisir grâce à 2 fichiers de configuration (Bootstrap.ini et CustomSettings.ini) et de jouer avec les commutateurs d’installation silencieuse de vos applications. D’ailleurs MDT est capable d’exploiter l’outil OCT (Office Customization Tool), anciennement l’ORK pour Office 2003, si celui-ci est disponible dans le répertoire admin des sources d’Office 2007. OCT permet de créer un fichier de réponse et/ou un patch pour l’installation silencieuse d’Office 2007. MDT proposera alors un onglet permettant d’accéder aux fonctionnalités de cet outil.

Le déploiement ZTI quant à lui nous permet d’exploiter les capacités de notre infrastructure de déploiement existante, c'est-à-dire exploiter votre SCCM. La notion de Zero Touch est apparue avec BDD 2.5 et la sortie du Feature Pack OSD pour SMS 2003 (Systems Management Server). Avec la version 2010 il n’est plus possible de faire du ZTI avec SMS 2003 mais nous pouvons le faire avec SCCM 2007. Il nous faudra le SP2 de SCCM actuellement en version bêta pour déployer Windows 7 et Windows Server 2008 R2. Les déploiements ZTI sont entièrement automatisés et liés à votre AD mais il peut être bénéfique d’utiliser la partie Lite Touch de MDT. L’intégration avec la console SCCM est simple, un assistant vous permet de le faire. Toutes les configurations se font ensuite via la console SCCM.

Les scénarios d’usage de MDT

Les scénarios d’utilisation de MDT sont multiples, on peut par exemple migrer son Windows XP vers Windows 7 tout en migrant par la même occasion ses données personnelles. En fait il existe 4 scénarios d’usage :

- « New Computer » : Il s’agit d’un déploiement pour un nouvel ordinateur pour un nouvel employé. L’ordinateur est donc vierge et il n’y a aucun profil utilisateur à migrer.
- « Upgrade Computer » : Il s’agit par exemple de migrer votre Windows XP ou Vista vers Windows 7. Il y a donc déjà un ou plusieurs profils utilisateurs à sauvegarder et restaurer.
- « Refresh Computer » : Il s’agit d’une réinstallation complète d’un poste. Cela peut arriver si vous avez décidé de réinstaller la machine d’un de vos utilisateurs afin de résoudre des problèmes qu’il rencontre ou de changer la version d’OS installée. Les profils utilisateurs sont donc sauvegardés puis restaurés.
- « Replace computer » : Ce scénario est rencontré lorsqu’un de vos utilisateurs doit changer de poste (panne matérielle, etc.). Les profils utilisateurs existants sont donc sauvegardés puis restaurés.

Ces scénarios sont, dans le jargon MDT, liés à des « Task Sequences » ou encore séquences de tâches. Nous revenons dessus plus loin dans l’article.

Comment fonctionne MDT ?

MDT nécessite donc le WAIK pour fonctionner mais il a également besoin du .NET Framework 2.0 ou supérieur, de Windows PowerShell (1.0 ou 2.0 qui est RTM depuis Windows 7 RTM) et de la console MMC 3.0. Si vous avez déjà une plateforme BDD 2007 SP2 ou MDT 2008 Update 1 en place, l’installation de MDT 2010 supprima vos installations mais mettra à niveau vos points de distribution, vos partages de distribution et vos bases de données. Donc en clair, nous pouvons mettre à niveau nos installations existantes vers MDT 2010.

Une fois que nous avons téléchargé (10 Mo) et installé MDT, la première chose à faire est de créer (ou de mettre à jour) notre « Deployment Share ». Il s’agit d’un dossier partagé hébergeant l’ensemble de votre contenu MDT (OS, applications, scripts, etc.). Voici la structure du partage de distribution après sa création :

clip_image008Arborescence du partage de distribution

Etant donné que chaque client devra accéder à ce partage réseau lors d’un déploiement, il est préférable de créer un compte de service dédié à cela. L’étape suivant est d’ajouter un ou plusieurs systèmes d’exploitation (XP / 2003 / Vista / 2008 / 2008 R2 / 7), des applications, des drivers et des packages Windows (mises à jour de sécurité, langage packs, etc.). Cela se fait très facilement par un clic droit sur chaque élément qui exécutera un assistant. A propos des systèmes d’exploitation, nous aurons le choix entre soit importer les sources de Windows (CD, DVD ou équivalent), soit importer notre image WIM capturée, soit importer les images disponibles de votre serveur WDS (Windows Deployment Services).

clip_image010Console principale de MDT 2010 bêta 2

Ensuite lorsque nous avons enrichi votre partage de distribution, nous devons créer une séquence de tâches afin de définir les étapes de notre déploiement. Voici par exemple un des modèles de séquences de tâches par défaut qui nous sera proposé.

clip_image012MDT 2010 Task Sequences

Cette séquence de tâches est celle qui est la plus complète, c'est-à-dire, en résumé, la sauvegarde des paramètres utilisateurs, l’installation de l’OS, l’installation des applications et la restauration des paramètres utilisateurs. Comme vous l’avez remarqué elle est structurée par tâche comme son nom l’indique. Il est parfois judicieux de commencer par une séquence de tâches complète puis de la personnaliser en fonction de vos besoins en attendant que vous deveniez un expert MDT. Dans tous les cas ce sera dans les séquences de tâches où il faudra aller, pour par exemple, ajouter une tâche permettant d’installer ADDS, activer Bitlocker ou encore exécuter un script à un moment précis du déploiement. Les séquences de tâches font références à des scripts VBS et WSF (Windows Script Foundation) assez complexes, stockés dans le dossier Scripts de votre partage de distribution, qui sont en fin de compte, le cœur du système MDT.

Tout contenu que nous aurions créé à partir de la console MDT fait référence à des fichiers XML (Applications.xml, Drivers.xml, TaskSequences.xml, etc.) stockés dans le dossier Control de notre partage de distribution. Lorsque nous avons terminé, il suffit de mettre à jour notre partage de distribution afin que MDT nous génère nos images de démarrage WinPE. Si nous allons dans les propriétés de notre partage de distribution, nous pouvons voir que MDT nous génère automatiquement un fichier image de format WIM et si souhaité, un fichier image de format ISO. Ces fichiers seront générés dans le dossier Boot de votre partage de distribution.

clip_image014Images générées par MDT

Mais que faire après avoir obtenu ces fichiers ? MDT n’est que l’outil qui vous permet de créer nos images et donc du contenu mais il n’est pas le support de diffusion de celles-ci. Il faut donc faire un choix entre les méthodes existantes de déploiement. Dans un déploiement Litch Touch, nous avons le choix de passer soit par WDS, soit par CD / DVD, soit par USB, bref tout ce qui est « bootable » car MDT nous a généré en plus du fichier WIM, un fichier ISO. Cependant étant donné que nos clients devront accéder à notre partage de distribution, il vaut mieux préférer s’appuyer sur notre infrastructure WDS (et donc DHCP) pour cela. Le cas de force majeur qui pourrait nous empêcher d’utiliser WDS est que nos clients ne soient pas compatibles PXE (Pre-boot eXecution Environment) mais cela est peu probable de nos jours. Dans un déploiement Zero Touch, c’est SCCM qui sera utilisé pour démarrer l’image WinPE généré par MDT, que ce soit par WDS (via le rôle PXE) ou par média (CD /DVD / USB).

La solution permettant d’industrialiser vos déploiements est véritablement de se reposer sur WDS. De plus, pourquoi ne pas exploiter le multicast (Scheduled-Cast ou Auto-Cast) disponible maintenant dans Windows Server 2008 ? Pour rappel, le multicast est la capacité de transférer une image à plusieurs clients en même temps, ce qui nous fera gagner du temps et de l’argent. Pour aller encore plus loin, nous pourrions même en profiter pour utiliser les nouvelles fonctionnalités de WDS dans Windows Server 2008 R2, à savoir la gestion des drivers (comme ce que fait MDT) et la capacité à déployer des VHD (Windows 7 et 2008 R2 uniquement). Non, vous ne rêvez pas !

Enfin pour terminer, toujours dans les propriétés de notre partage de distribution, il y a l’onglet Rules. Ce dernier fait référence aux 2 fichiers de configuration dont nous avions parlé au début de l’article (CustomSettings.ini et Bootstrap.ini). Nous pouvons donc les éditer à partir de la console MDT. Ensuite nous pouvons voir qu’il y a 2 onglets pour chaque type d’architecture (x86 et x64). Cela signifie que MDT va nous générer vos images WIM / ISO en 32 et également en 64 bits. Les onglets Windows PE Components permettent de définir quels sont les composants que l’on souhaite intégrer à votre image WinPE, à savoir les types de drivers et les polices.

clip_image016Composants intégrés aux images WinPE

La mise en place d’une infrastructure MDT peut être très rapide. Il faut bien prendre le temps de définir ce que vous voulez faire. Si vous souhaitez tester MDT, la configuration adéquate est de monter un petit environnement de démos avec :

- Une machine administrateur où sera installé MDT.
- Un modèle de chaque type ordinateur de votre parc.
- La connectique réseau minimum pour connecter vos postes.

Vous pourrez alors démarrer vos postes clients à partir de l’image WinPE généré par MDT (USB /CD / DVD), ce qui vous évitera alors d’avoir besoin d’un serveur WDS même si celui-ci vous facilite la vie. Il faudra ensuite configurer l’adressage IP des postes à la main grâce à un assistant prévu à cela dans l’image WinPE afin d’être en mesure de se connecter au partage de distribution de MDT. Vous pourrez alors effectuer vos tests.

Vous découvrirez alors la partie base de données de MDT qui permet d’aller plus loin dans l’automatisation. Il est possible de renseigner l’adresse MAC, le numéro de série, l’Asset Tag ou encore l’UUID du PC dans la base de données afin que, lors du déploiement, MDT détecte automatiquement cette information et la séquence de tâches associée. Prenons un exemple, les postes du service Marketing de l’entreprise Litware.com seront détectés lors du déploiement MDT et se verront automatiquement associés à une séquence de tâches qui leur installera l’application Adobe Reader en version complète.

Les nouveautés de MDT 2010

Nous venons de voir comment fonctionnait MDT, comment il s’articulait seul ou avec SCCM. Nous allons maintenant nous attacher aux nouveautés de MDT 2010.

- Support de Windows 7 et de Windows Server 2008 R2 : C’était bien évidemment la grosse nouveauté de MDT 2010. Vous pouvez également faire du ZTI avec SCCM en SP2 uniquement.

clip_image018clip_image020

- Virtualisation : Des améliorations ont été faites sur le processus de récupération des informations des postes clients (ZTIGather.wsf) permettant de détecter alors si votre séquence de tâches s’exécute sur une machine physique ou virtualisée. Nous pouvons par exemple détecter si la machine est une machine virtuelle s’exécutant sur Hyper-V. Si tel est le cas, nous pourrons alors ajouter les composants d’intégration d’Hyper-V à notre séquence de tâches sous la condition « VMPlatform equals Hyper-V ». Nous pouvons également le faire par exemple pour VMware.

- Suspendre et reprendre une séquence de tâches LTI : Lorsque nous créons une image de référence, une fois que Windows est installé, il arrive souvent que nous souhaitons suspendre l’installation pour des paramétrages de dernières minutes qu’il n’est possible de faire qu’à la main. Dans MDT 2008 et dans les anciennes versions, il fallait rajouter un script à la main pour mettre cette pause en place. Dans MDT 2010 il y a maintenant un script (LTISuspend.wsf) prévu à cet usage. Il suffit d’ajouter une étape dans votre séquence de tâches dans la partie « State Restore » avec la ligne de commande « cscript.exe %SCRIPTROOT%\LTISuspend.wsf ». Lorsque le script s’exécutera, nous aurons le message « The task sequence has been suspended. Use the desktop shortcut to resume ». Il suffira alors de cliquer sur le raccourci sur le bureau pour relancer notre séquence de tâches.

- Dossiers et glisser-déposer : Comme vous avez dû le remarquer dans notre image en début d’article, nous pouvons maintenant créer des dossiers dans MDT afin d’organiser au mieux notre console. Puis il est maintenant possible de glisser-déposer les éléments de MDT comme avec les dossiers. Il est important de noter que lors de la copie d’un élément vers un autre dossier, c’est en fait une référence de cet élément qui est liée dans ce dossier. En effet, MDT ne duplique pas l’élément et si l’élément est supprimé dans un des dossiers, il le sera sur les deux.

- Plusieurs partages de distribution : Dans MDT 2008 on pouvait avoir plusieurs partages de distribution mais il n’y avait aucun lien entre eux. Dans MDT 2010 il n’y a plus de notion de « Distribution Point » mais uniquement de « Deployment Shares » ou de partages de distribution. Nous pouvons donc maintenant avoir plusieurs partages de distribution, situé localement ou sur un serveur distant accessible via son chemin UNC et faire répliquer leur contenu ou non. Le DFS est maintenant supporté. Nous pouvons donc installer MDT sur un poste client et avoir notre partage de distribution sur un SAN par exemple. Nous pouvons également créer 2 partages de distribution, un pour notre environnement de tests où nous créons nos images de référence et un pour notre environnement de production. Il nous suffira alors de jouer avec la nouvelle fonctionnalité de MDT 2010 intitulée « Linked Deployment Shares ». Les scénarios d’utilisation sont plus vastes, à vous de trouver celui qui correspond le mieux à votre besoin.

- Création de l’image de démarrage optimisée : Comme nous l’avons vu précédemment dans les propriétés du partage de distribution, la création de vos images WinPE a été rendue plus cohérente et simple (séparation des paramètres 32 bits / 64 bits, compression de l’image, etc.). Avec MDT 2008, il y avait 2 options pour créer des images, soit « Update », soit « Update (files only) ». Maintenant avec MDT 2010 il n’y a plus que « Update Deployment Share ». Un autre changement est intéressant, avec MDT 2008 l’assistant se basait sur le winpe.wim du WAIK pour créer votre image. Maintenant il se base sur le boot.wim d’un de nos Windows car le boot.wim contient le WinRE qui lui n’est pas disponible dans WAIK.

clip_image022Mise à jour du partage de distribution

- Disparition des invites de commandes : Lorsque vous démarrions sur notre image WinPE généré par MDT, nous avions 2 invites de commandes, une qui nous permettait de dépanner et l’autre qui était inutilisable. Maintenant il n’y en a plus car le processus de démarrage a changé, nous pouvons donc profiter de votre fond d’écran. Pour faire apparaître cette invite de commandes, il suffit cependant d’appuyer sur la touche F8 à tout moment (LTI) ou F10 (ZTI).

- Détection des drivers signés : MDT 2010 permet de vérifier si les drivers sont signés ou non. Comme vous avez dû l’expérimenter, vos systèmes d’exploitation Microsoft préfèrent les drivers signés.

- USMT 4.0 : MDT 2010 exploite maintenant USMT en version 4.0 et est donc capable d’exploiter ce que l’on appelle la migration « hard-link ». Cette nouvelle fonctionnalité va nous faire changer d’avis à propos de la lenteur habituel d’USMT à sauvegarder et restaurer nos profils utilisateurs. En effet la migration hard-link ne déplace aucune de nos données, elle ne fait créer des liens vers ces données dans un dossier protégé (C:\MININT). Lors de la réinstallation de l’OS, les liens d’origine sont effacés mais pas les nouveaux liens qui sont dans un emplacement protégé. Cette fonctionnalité peut être également exploitée en déploiement ZTI avec SCCM.

- Nouveaux modèles de séquences de tâches : Il y a maintenant 2 nouveaux modèles de séquences de tâches dans MDT 2010. Le premier modèle est « Sysprep and Capture», et permet à MDT d’effectuer uniquement le SYSPREP, de redémarrer sous WinPE et de capturer le fichier WIM. Le deuxième modèle est « Post OS Installation Task Sequence ». Il permet d’effectuer toutes les tâches après une installation de Windows, c'est-à-dire l’installation des applications, l’activation de BitLocker, la restauration USMT et l’étape « Sysprep and Capture». Cela peut s’avérer utile comme par exemple si nous avions déjà créés une machine dans un Hyper-V et que nous souhaitons la personnaliser.

image Les modèles de séquences de tâches dans MDT 2010 RC

- Profil de sélection: C’est une nouvelle fonctionnalité de MDT 2010 permettant de créer un profil de drivers, d’applications ou d’autres éléments présents dans le partage de distribution. Cela est possible dans les séquences de tâches (Inject Drivers), dans la création des images WinPE LTI et dans la réplication des partages de distribution.

- Support de PowerShell : Tout ce qui est faisable via la console MDT 2010 est maintenant faisable également en PowerShell. Le principe est de créer un « PowerShell-Drive » qui fera référence en fait à notre partage de distribution.

- Amélioration de la base de données : Il est maintenant possible de modifier n’importe quel paramètre pouvant être spécifié dans le CustomSettings.ini. Chaque partage de distribution peut avoir maintenant sa propre base de données.

Il y a également plusieurs améliorations dans MDT 2010 comme les journaux d’événements avec l’arrivée de nombreuses variables (SLShareDynamicLogging, FinishAction, etc.). Cependant nous avons vu les principales évolutions du produit mais nous pourrions être surpris avec la version RTW.

Conclusion

Microsoft Corp. vient de publier un guide complet très intéressant pour migrer votre parc sous Windows XP vers Windows 7 (http://technet.microsoft.com/en-us/windows/ee150430.aspx). Ce guide est structuré en 4 parties dont la dernière est le déploiement du système d’exploitation. Cette partie est entièrement dédiée à MDT 2010 pour les scénarios LTI et SCCM pour les scénarios ZTI. La chose importante à retenir est que MDT 2010 va être une des solutions majeures conseillée par Microsoft à ses clients pour la migration des parcs Windows XP et Windows Vista. Enfin voici des pointeurs vers des blogs d’experts Microsoft dans les domaines du déploiement et particulièrement MDT.

En anglais :
http://blogs.technet.com/msdeployment/
http://blogs.technet.com/deploymentguys/
http://blogs.technet.com/mniehaus/

En français :
http://blogs.msdn.com/dsebban/
http://blogs.technet.com/windows7/

William Bories
Microsoft Student Partners
Vice-Président du Groupe des Utilisateurs Windows 7 – http://www.guw7.com/
Mon blog : http://william.danstoncloud.com/