Déploiement de système d'exploitation
Introduction
L’administration du parc informatique passe par des phases de renouvellement de postes de travail et de serveurs incluant le déploiement ou la migration de systèmes d’exploitation. Cette tâche constitue l’une des opérations les plus consommatrices en temps et coûteuses. La maîtrise du coût lié au déploiement ou à la migration de système d’exploitation est un point critique qui doit être étudié afin d’utiliser les bons scénarios, méthodologies et outils. Nous verrons dans ce chapitre les différents scénarios disponibles, les défis que vous pourrez rencontrer, et les concepts et méthodologies. Nous aborderons le déploiement d’un nouveau système d’exploitation et la migration d’un ordinateur. Tout au long du chapitre, nous détaillerons les bonnes pratiques à adopter et les principaux changements introduits par ConfigMgr Current Branch. Ce chapitre se focalisera sur le déploiement du système d’exploitation Windows 10 avec notamment les nouveaux scénarios de mise à niveau. Il abordera les points essentiels mais ne remplacera pas un livre dédié à la migration vers un système d’exploitation.
Vue d’ensemble
Cette partie donne une vue d’ensemble du déploiement et du provisionnement d’un système d’exploitation, des scénarios, des défis, des concepts et méthodologies.
1. Qu’est-ce que l’OSD ?
On parle d’OSD (Operating System Deployment) lorsque l’on déploie un système d’exploitation sur un périphérique. Ceci correspond à un concept beaucoup plus large que ce que propose Microsoft Endpoint Configuration Manager.
Avec l’avènement de l’informatique, les entreprises ont dû déployer de plus en plus d’ordinateurs en trouvant des solutions d’industrialisation. Microsoft a commencé à proposer des outils avec Windows 95. Les systèmes suivants ont vu l’amélioration de ces outils au même rythme que les améliorations apportées par le système (Plug-and-Play…). Les outils et méthodologies de déploiement de système d’exploitation proposées par Microsoft ont subi une révolution avec la genèse de Windows Vista. Auparavant, les entreprises utilisaient des outils tiers tels que les Ghost ou Altiris pour fournir des solutions d’automatisation adéquates. En parallèle, Microsoft propose Business Desktop Deployment (BDD), correspondant à MDT (Microsoft Deployment Toolkit) et permettant de déployer Windows XP. En outre, Microsoft a proposé un pack de fonctionnalités se greffant sur SMS 2003 SP1 afin d’offrir des fonctionnalités de déploiement de systèmes d’exploitation. Avec la sortie de Windows Vista, Microsoft a travaillé sur des méthodologies, des concepts et des outils. C’est alors que le format Windows Imaging (WIM) est finalisé et accompagné de la version 2 du système allégé (Windows PE) permettant le déploiement. C’est aussi l’apparition d’un kit d’installation pour Windows appelé WAIK (Windows Automated Installation Kit), qui regroupe tous les outils nécessaires pour déployer le système. L’arrivée de System Center Configuration Manager 2007 permet à Microsoft de proposer un véritable outil d’industrialisation des déploiements. Il intègre...
Les prérequis pour les scénarios de déploiement
Cette partie détaille les prérequis externes et internes à ConfigMgr concernant les scénarios de déploiement que nous avons abordés précédemment.
1. Vue d’ensemble
La mise en place de la fonctionnalité de déploiement de systèmes d’exploitation a plusieurs prérequis.
-
L’installation d’un serveur de site Microsoft Endpoint Configuration Manager avec les principaux rôles nécessaires à la gestion des clients (voir chapitre Aperçu et fondamentaux de ConfigMgr) :
-
le Management Point pour pouvoir dialoguer avec les ressources.
-
au moins un Distribution Point pour pouvoir mettre à disposition le contenu.
-
La configuration de l’infrastructure afin de pouvoir gérer les clients ; ceci inclut la définition de limites de site et de groupes de limites de site nécessaires à l’attribution des clients au site et à un point de distribution (voir chapitre Aperçu et fondamentaux de ConfigMgr).
-
L’installation de Windows ADK pour Windows 10. Ceci vous donnera accès à :
-
les outils de déploiement Windows ;
-
Windows PE.
Il a été remarqué des incompatibilités entre certaines versions de Windows PE et du vieux matériel qui ne supporte pas nécessairement Windows 7, Windows 8.1 ou Windows 10. Le problème semble plus fréquent pour les périphériques embarqués. Configuration Manager Current Branch permet d’intégrer les anciennes images de démarrage Windows PE. Cette solution ne permet pas la modification des images de démarrage dans ConfigMgr.
-
USMT pour migrer les données utilisateur. La version 10 peut être utilisée sur les systèmes suivants :
Système d’exploitation |
Sauvegarde (Scanstate) |
Restauration (Loadstate) |
Windows 10 |
||
Windows 8.1 |
||
Windows 8 |
||
Windows 7 |
Vous pouvez migrer d’une version 32 bits à 64 bits. L’inverse n’est pas supporté par Microsoft.
-
La configuration d’un compte d’accès réseau (Network Access Account) ou du mode Enhanced HTTP, pour permettre aux machines en cours de déploiement de s’authentifier auprès du point de distribution pour récupérer...
Gérer les pilotes
Cette partie traite de la gestion des pilotes nécessaires au système d’exploitation pour correctement reconnaître les périphériques. La gestion des pilotes n’est pas nécessaire si vous partez sur un scénario de provisionnement (Windows Autopilot).
1. Concepts et méthodes de gestion
Nous l’avons vu précédemment, les images d’installation (master) deviennent intéressantes si elles sont génériques et donc dénuées de toute personnalisation, comme l’intégration de pilotes. La capacité de provisionner les pilotes durant le déploiement est l’une des possibilités offertes par Microsoft Endpoint Configuration Manager. Le produit dispose d’un catalogue de pilotes dans lequel l’administrateur ajoute tous les pilotes utilisés par le système d’exploitation pour un matériel ou un type de machine donné.
Durant le déploiement, l’ordinateur dispose d’une phase de détection du matériel par le biais des outils Windows disponibles, comme le Plug and Play. L’ordinateur fait la liste de son matériel en utilisant ce qu’on appelle le Hardware ID. Cet identifiant matériel est unique pour un matériel donné. Il est déterminé par le constructeur (exemple : USB\VID_03F0&PID_231D&REV_0306).
La liste des Hardware ID est ensuite envoyée au serveur MECM, qui détermine, en fonction des pilotes disponibles dans son catalogue, les pilotes qui sont les plus adaptés à la machine et au système d’exploitation en cours de déploiement. Le serveur renvoie ensuite la liste des pilotes à l’ordinateur afin qu’il les récupère et les installe.
Le serveur renvoie le pilote qui correspond le mieux aux besoins de l’ordinateur cible. Si par exemple, il existe deux pilotes pour une même carte réseau, il renverra le pilote le plus récent.
La gestion des pilotes est une tâche difficile car vous devez gérer des versions différentes pour des modèles différents. Avec le temps, certaines méthodes de gestion des pilotes ont été mises en place. On en retrouve trois principales :
-
La première méthode revient...
Administrer les images
Cette partie détaille l’administration des images de démarrage, des images d’installation, et des différents médias.
1. Les images de démarrage
Les images de démarrage sont un élément essentiel du déploiement de système d’exploitation. Elles sont générées automatiquement lors de l’installation du premier site de la hiérarchie. On retrouve deux images, pour les architectures 32 et 64 bits. Vous pouvez en rajouter si vous souhaitez créer vos propres images. Cela peut être le cas si vous souhaitez par exemple utiliser d’anciennes versions de Windows PE. Microsoft Endpoint Configuration Manager offre plusieurs options de personnalisation des images de démarrage. Le but de cette partie est de vous permettre de personnaliser vos images Windows PE en ajoutant par exemple des pilotes ou en activant la ligne de commande.
Dans la console, naviguez dans Software Library - Overview - Operating Systems - Boot Images. Ouvrez les propriétés de l’une des images de démarrage.
L’onglet General regroupe le nom, la version et le commentaire spécifié par l’administrateur au moment de l’import.
La partie Images donne la vision sur les propriétés de l’image de démarrage. On retrouve notamment le numéro de version, l’architecture, la langue et la taille. Il est important de considérer le numéro de version de l’image de démarrage dans un déploiement de système d’exploitation. Il n’est notamment possible de déployer une version de Windows 10 qu’avec des images de démarrage correspondant à son numéro de version. Par exemple, la version d’Avril 2020 peut être déployée avec la version 10.0.19041.1 ou à une version plus élevée.
Ne pas prendre en compte la version des images peut provoquer des problèmes lors du déploiement de systèmes d’exploitation (table de partition non valide…).
L’élément Drivers permet d’ajouter ou de supprimer des pilotes à l’image de démarrage. Vous ne devez ajouter des pilotes que si le modèle le nécessite. Généralement, on ajoute...
Création d’une séquence de tâches
Nous avons évoqué précédemment comment créer une séquence de tâches pour construire et capturer une image de référence. Cette partie va s’attarder sur la création de séquences de tâches pour les scénarios New Computer, Refresh et Replace.
Vous pouvez télécharger et intégrer des séquences de tâches publiées par Microsoft ou la communauté au travers du Hub Communautaire (Community).
1. Les modèles ConfigMgr
Comme expliqué précédemment, Microsoft Endpoint Configuration Manager propose quatre modèles de séquences de tâches :
-
Install an existing image package permet le déploiement d’un système d’exploitation et de sa configuration. L’assistant permet aussi d’activer la migration de l’état utilisateur pour des scénarios Refresh ou Replace. En fonction des options que vous choisissez dans l’assistant de création, vous retrouvez plus ou moins de tâches.
-
Build and capture a reference operating system image est un modèle que nous avons déjà abordé lors de la construction du master. Il permet l’élaboration d’une machine de référence et la capture des volumes de manière automatique.
-
Upgrade an operating system from upgrade package est le nouveau modèle qui permet d’utiliser la force de l’installeur de Windows 10 pour mettre à jour une version antérieure (Windows 7, Windows 8.1 ou Windows 10 version antérieure) vers une version plus récente de Windows 10.
-
Deploy Windows Autopilot for existing devices permet de convertir une machine jointe au domaine via le déploiement de la dernière version de Windows 10 sur un périphérique existant puis en utilisant ensuite le mode de provisionnement Windows Autopilot pour la joindre à Azure Active Directory ou en mode Hybrid Azure AD.
Une dernière option (Create a new custom task sequence) permet de créer une séquence de tâches personnalisée ne comprenant aucune tâche par défaut. C’est ainsi à vous de construire votre séquencement.
Les séquences de tâches de déploiement
Pour créer...
Préparer la migration des données
Nous avons vu (section Migrer ou mettre à niveau ?) qu’il existe deux grandes stratégies concernant la migration des données. Windows 10 offre un scénario de mise à niveau robuste (voir la section Création d’une séquence de tâches - Les modèles ConfigMgr - La séquence de tâches de mise à niveau Upgrade)) qui permet d’assurer le report des applications, des paramètres, et des données. La robustesse de ce mécanisme engendre néanmoins des limitations (repartitionnement, changement d’architecture, etc.). Dans ces conditions, l’entreprise devra opter pour une migration qui fera intervenir des outils de déploiement.
Les différents prérequis nécessaires à la migration des données doivent être complétés par l’élaboration de votre stratégie de migration en choisissant notamment quelles sont les données que vous souhaitez migrer. Cette partie n’a pas pour but de rentrer dans les détails mais de vous donner les bases nécessaires.
La migration des données via les outils de déploiement automatisés tels que ConfigMgr et MDT est assurée par User State Migration Tool (USMT). Cet outil en ligne de commande comprend deux exécutables principaux qui permettent...
Déployer, mettre à niveau et migrer un système d’exploitation
Ce chapitre détaille la façon dont vous pouvez couvrir les scénarios de déploiement et de migration. Vous verrez aussi quelles sont les étapes nécessaires pour déployer une machine.
1. Traitement des scénarios
Cette partie vise à détailler les séquences de tâches à créer pour traiter les différents scénarios que nous avons vus au début de ce chapitre.
Scénario\ Méthode |
Zero Touch |
User Driven |
New Computer |
|
|
Refresh |
|
|
Replace |
|
|
Upgrade |
|
|
Nous allons nous pencher sur le scénario de remplacement. Celui-ci intègre deux machines : la machine source sur laquelle vous devez capturer les données et la machine de destination sur laquelle vous devez déployer le système d’exploitation et restaurer les paramètres capturés sur la première machine. Vous devez donc :
-
exécuter, sur la machine source, une séquence de tâches personnalisée comprenant au moins les tâches Request State Store, Capture User State et Release State Store, ou utiliser les modèles MDT prévus à cet effet ;
-
une fois la capture complètement terminée, lancer la séquence de tâches ConfigMgr ou MDT pour restaurer les paramètres précédemment capturés.
2. Déployer la séquence de tâches
Vous devez bien réfléchir à votre stratégie de déploiement, en pensant notamment à la façon dont vous souhaitez déployer la séquence de tâches. Il existe de nombreux scénarios qui peuvent faire intervenir des fenêtres de maintenance, etc.
Nous verrons par la suite...
Propulser vos déploiements
Il existe de nombreux moyens d’améliorer vos déploiements de systèmes d’exploitation. Voici quelques pistes qui vous permettront de couvrir de nombreux scénarios :
-
Vous pouvez utiliser System Center Orchestrator et le principe de Runbook pour aller plus loin dans les tâches exécutées lors du déploiement de systèmes d’exploitation. Ceci vous demandera d’utiliser l’intégration de MDT et la tâche dédiée. Il existe différents scénarios comme l’envoi d’un e-mail, la création de compte ou d’information dans Active Directory.
-
Les variables de séquence de tâches sont un bon moyen de personnaliser vos déploiements. Microsoft propose déjà plusieurs dizaines de variables dans ConfigMgr, et MDT apporte aussi de nombreuses possibilités. Vous pouvez aussi créer vos propres variables de séquence de tâches à utiliser dans les déploiements. Ces variables peuvent être configurées pendant le déploiement de systèmes d’exploitation via des scripts, associées à une collection pour impacter les postes qui y sont inclus, définies sur un enregistrement de ressource ou paramétrées via la tâche Set Task Sequence Variable.
Voici deux articles de la documentation qui listent...
Enregistrement et provisionnement
L’approche est différente de la gestion traditionnelle puisque le but n’est pas de déployer un système d’exploitation en utilisant une image de référence. Le périphérique est alors utilisé tel qu’envoyé par le fabricant puis transformé en périphérique d’entreprise. De cette manière, il est possible de réduire considérablement le coût du poste de travail. Il n’y a plus de gestion de master ou de drivers. Ce poste de travail en rupture passe par une gestion moderne avec un cycle de vie avec quatre grandes étapes :
-
L’enregistrement est la première phase correspondant à la récupération du périphérique sans solution de gestion. L’utilisateur, l’opérateur, ou le périphérique s’enregistre alors dans une solution d’administration.
-
Le provisionnement permet de rendre le périphérique opérationnel pour l’utilisateur en déployant les stratégies de sécurité, les applications, les profils VPN, Wi-Fi, et de certificats. Le but est de donner accès à tous les éléments et ressources nécessaires pour le travail de l’utilisateur.
-
La gestion et la protection correspondent aux étapes récurrentes d’administration. Le but est de surveiller la conformité du périphérique, prévenir les fuites de données et fournir des services comme l’accès en libre-service à des applications.
-
Le retrait est la dernière phase, qui peut intervenir lorsque le périphérique est volé (effacement complet) ou rendu (effacement sélectif).
Provisionnement par enregistrement dans une solution d‘administration
Ce cycle de vie peut être réalisé via une solution d’administration de périphériques mobiles (MDM). Il est même possible d’impliquer l’utilisateur dans le processus d’enregistrement afin de provisionner le périphérique...
Gérer le cycle de vie de Windows 10
La gestion du cycle de vie de Windows 10 est différente des systèmes d’exploitation antérieurs. Windows 10 a été retravaillé afin d’offrir un modèle as-a-Service. Les changements fréquents sur le système d’exploitation requièrent l’adaptation du cycle de vie, avec de nouveaux mécanismes, comme le provisionnement ou la mise à niveau.
1. Windows-as-a-Service
C’est en 2014 que l’on entend pour la première fois la notion de Windows-as-a-Service. Le principe as-a-service est alors transposé au système d’exploitation phare de Microsoft. C’est Satya Nadella (CEO de Microsoft) qui reprend les commandes de l’entreprise et doit redorer l’image face aux critiques sur Windows 8/8.1. Le but est de faire de Windows 10 le dernier système d’exploitation de Microsoft. Une nouvelle philosophie de développement est mise en place, impliquant les entreprises, mais aussi les utilisateurs finaux. Microsoft crée alors un programme d’essai appelé Windows Insiders afin de permettre à n’importe qui d’installer les dernières versions de Windows 10. Microsoft collecte ainsi des retours et des données d’utilisation afin d’avancer rapidement dans le développement. Le programme rencontre un vif succès et l’image de Windows 10 est embellie. Windows-as-a-Service transforme Windows 10 en un système d’exploitation moderne tel que l’on peut le connaître avec les systèmes d’exploitation mobiles iOS ou Android. Microsoft annonce ainsi des Builds ou versions de Windows 10 deux fois par an. Ces mises à niveau sont aussi appelées Feature updates et comprennent des fonctionnalités, des mises à jour (performance, sécurité, etc.). Jamais Windows n’a connu un tel rythme, et le but affiché est de fournir de l’innovation aux utilisateurs finaux et aux entreprises.
Une page est proposée pour suivre l’historique des mises à jour et connaître les changements opérés : http://windows.microsoft.com/en-us/windows-10/update-history-windows-10
Microsoft crée alors une stratégie de maintenance (Servicing) de Windows 10 avec différents...
Conclusion
Ce chapitre vous a permis d’appréhender la fonctionnalité de déploiement de système d’exploitation proposée par Microsoft Endpoint Configuration Manager. Nous avons notamment détaillé les scénarios disponibles, les concepts, les méthodologies, les challenges auxquels les administrateurs doivent faire face lors de déploiements et de migrations et les outils proposés par Microsoft. Nous avons vu quels étaient les avantages et les inconvénients d’utiliser l’accélérateur de solution Microsoft Deployment Toolkit (MDT) en complément de ce que comprend déjà ConfigMgr. L’une des étapes majeures dans la planification du déploiement de systèmes d’exploitation est la gestion des pilotes nécessaires aux systèmes d’exploitation pour détecter les matériels. Vous avez pu découvrir les concepts et méthodes de gestion et comment ajouter et mettre à disposition des pilotes. L’administration des différentes images constitue une tâche d’administration incontournable. Nous avons vu comment construire une image de référence qui pourra répondre aux exigences de l’entreprise. Une fois l’image créée, vous devez assurer son cycle de vie via les différentes méthodes...