7. Simplifier le déploiement de vos postes de travail¶
De nombreuses entreprises et administrations incluent des logiciels et des configurations dans les images d’OS qu’elles déploient sur leurs flottes de machines.
Mais désormais ce n’est plus la méthode recommandée pour plusieurs raisons :
Chaque fois que vous créez une nouvelle image, vous perdez beaucoup de temps à installer un logiciel et à le configurer. Vous êtes très limité dans les paramètres que vous pourrez inclure dans votre image.
Chaque fois que vous créez une nouvelle image, vous devrez suivre les modifications dans un document texte, une feuille de calcul ou un outil de gestion des modifications.
Les éditeurs de systèmes d’exploitation (notamment Microsoft) conseillent l’utilisation d’images ISO brutes et leur paramétrage en post-installation.
Enfin, si vous introduisez dans votre image des configurations de sécurité, des configurations réseau ou des configurations pour limiter l’intrusion de la télémétrie, ces configurations peuvent perturber le fonctionnement normal de WAPT, cela compliquera les diagnostics futurs.
Avec WAPT, ce n’est plus nécessaire
7.1. Recommandations¶
Tranquil IT recommande :
De réaliser une seule image brute par type d’OS avec MDT, Fog (win10, win2016, etc) ou WAPT WADS sans aucune configuration ou logiciel. Mettez uniquement les pilotes système dont vous avez besoin pour le déploiement de votre image dans les répertoires MDT ou Fog prévus à cet effet ;
Pour créer autant d’Unités Organisationnelles que vous avez de types de machines dans l’OU CN=Computers (ex : standard_laptop, hardened_laptop, workstations, servers, etc) dans votre Active Directory ;
Pour configurer votre Active Directory afin de distribuer la GPO de l’agent WAPT aux différentes Unités Organisationnelles de machines ; De cette façon, vous pouvez opter pour des configurations fines de votre
waptagent.ini
pour les hôtes rattachés à chaque OU.
Indication
Pour vous faire gagner du temps, vous pouvez baser votre stratégie de configuration de la sécurité sur les paquets WAPT de sécurité déjà disponibles dans le WAPT Store, vous n’aurez qu’à les compléter en fonction des exigences de sécurité spécifiques de votre Organisation.
Créer dans l’OU CN=Ordinateurs autant d’Unités Organisationnelles qu’il y a de types d’utilisation des ordinateurs dans votre organisation (comptabilité, point_de_vente, ingénierie, vente_sédentaire, etc).
Pour créer des paquets WAPT génériques de vos applications logicielles avec leurs configurations associées.
7.1.1. Scénario de déploiement¶
Vous recevez ou le responsable informatique du site distant reçoit une nouvelle machine dans sa boîte.
Vous configurez l’adresse MAC de la machine par DHCP afin qu’elle reçoive la bonne image système et soit placée dans la bonne Unité Organisationnelle à la fin du processus de déploiement.
L’image système attendue est téléchargée sur la machine en temps masqué, la machine est placée dans la bonne Unité Organisationnelle.
L’agent WAPT enregistre la machine auprès du serveur WAPT, elle apparaît dans la console WAPT.
L’agent WAPT détecte qu’il se trouve dans une unité organisationnelle qui nécessite un ensemble de logiciels particulier et une configuration de sécurité particulière.
L’agent WAPT télécharge et exécute des logiciels et des progiciels de configuration de sécurité en temps masqué ; l’agent WAPT supprime automatiquement les droits délégués qui sont rendus inutiles après avoir rejoint le domaine pour éviter qu’ils ne soient ensuite exploités de manière non autorisée.
Soit par groupe de machines ou machine par machine, vous finalisez la configuration des machines en leur attribuant des paquets WAPT spécifiques.
Indication
Si vous le souhaitez, vous pouvez même laisser l’étape finale de configuration à vos utilisateurs en configurant le libre-service WAPT pour eux (configuration des imprimantes, besoins logiciels spéciaux, etc).
7.2. Déployer vos postes de travail via WADS ¶
WADS pour WAPT Automated Deployment Services a été développé pour fournir une solution simple pour les déploiements de systèmes d’exploitation via WAPT.
Le déploiement du système d’exploitation est disponible pour Windows, Debian et ses dérivés et pour Redhat et ses dérivés.
7.2.1. Mode de fonctionnement du WADS¶
Schématiquement, le déploiement d’un OS implique 3 étapes :
Importation des différents supports et fichiers nécessaires au déploiement, tels que les images du système d’exploitation .iso, les packs de pilotes et les fichiers de configuration.
Création du support de démarrage.
Lancement du déploiement sur l’hôte cible en utilisant le réseau ou une clé USB.
7.2.2. Différence entre l’AMED et les autres solutions¶
Solution de déploiement classique.
Solution de déploiement WADS.
Indication
Le mode de fonctionnement de WADS respecte la méthode recommandée par le fournisseur du système d’exploitation.
Avec WADS, toutes les fonctionnalités sont regroupées sur le même serveur WAPT.
Il n’est donc pas nécessaire de mettre en place une infrastructure supplémentaire autre que le serveur WAPT.
7.2.2.1. Différences entre les logiciels¶
Serveur de déploiement WADS |
Méthode PCT standard |
Prestations |
---|---|---|
Utilise iPXE |
Utilise le protocole de serveur de fichiers CIFS |
Il n’est pas nécessaire de configurer un serveur de fichiers ni d’ouvrir des ports supplémentaires |
Aucune configuration de l’image du OS n’est nécessaire |
Nécessite de modifier manuellement la configuration d’un fichier de réponses |
Simplicité, toutes les configurations sont fournies par WAPT |
Utilise HTTPS pour télécharger l’image du système d’exploitation Windows |
Utilise CIFS pour télécharger l’image du système d’exploitation Windows |
Les hôtes cibles peuvent être déployés sur Internet en utilisant la méthode de la clé USB |
La méthode WADS incorpore tous les fichiers nécessaires |
La méthode MDT nécessite l’assemblage de fichiers provenant de sources différentes |
Le déploiement, la configuration et les mises à jour du système d’exploitation sont regroupés dans un seul packaging logiciel WAPT |
7.3. Installation et configuration de TFTP et DHCP pour WADS¶
7.3.1. Installation et configuration d’un serveur TFTP¶
Avertissement
Si vous avez installé un autre serveur tftp sur le serveur WAPT, veuillez d’abord le désinstaller.
Cette documentation est destinée à WAPT 2.2.1 et aux versions ultérieures
Choisissez votre distribution
Activer et démarrer le serveur tftpInstaller le serveur TFTP.
systemctl enable wapttftpserver
systemctl start wapttftpserver
Vous pouvez tester que le serveur tftp fonctionne correctement en utilisant un client tftp et tester le téléchargement du fichier ipxe.efi. Si vous testez la commande suivante sur une machine basée sur Redhat autre que le waptserver, faites attention au pare-feu sortant local qui bloque les requêtes sortantes du client tftp.
cd ~
tftp srvwapt.mydomain.lan
binary
get ipxe.efi
quit
ls -l ipxe.efi
Lors de l’installation du serveur, cochez la case WADS tftp. Vous pouvez relancer l’installateur si cela n’a pas été fait à ce moment-là. Vous pouvez vérifier que le service est configuré et fonctionne avec la commande
sc query wapttftpserver
Si le serveur est installé mais pas démarré, vous pouvez le démarrer avec :
net start wapttftpserver
7.3.2. Installation et configuration d’un serveur DHCP¶
Le démarrage PXE est un processus en deux étapes. D’abord, le chargeur de démarrage UEFI/BIOS téléchargera le binaire iPXE depuis le serveur tftp, puis le binaire iPXE téléchargera le script iPXE et les binaires de démarrage depuis http. C’est pourquoi nous devons avoir une configuration PXE DCHP en deux étapes.
Par exemple :
<!-- global options -->
next-server 192.168.1.30;
option ipxe-url code 175 = text;
option client-architecture code 93 = unsigned integer 16;
<!-- subnet mydomain.lan netmask 255.255.255.0 -->
if option client-architecture = 00:00 {
if exists user-class and option user-class = "iPXE" {
filename "http://srvwapt.mydomain.lan/api/v3/baseipxe?uefi=false&keymap=fr";
}
else{
filename "undionly.kpxe";
}
} else {
if exists user-class and option user-class = "iPXE" {
option ipxe-url "http://srvwapt.mydomain.lan:80/";
filename "http://srvwapt.mydomain.lan/api/v3/baseipxe?keymap=fr";
}
else{
filename "ipxe.efi";
}
}
Pour plus d’informations, vous pouvez consulter le site https://ipxe.org/howto/dhcpd
Par exemple :
dhcp-match=set:ipxe,175 # iPXE sends a 175 option.
dhcp-boot=tag:!ipxe,undionly.kpxe,IP_WAPTSERVER
dhcp-boot=tag:ipxe,http://srvwapt.mydomain.lan/api/v3/baseipxe?uefi=false
Par exemple pour une machine :
dhcp-match=set:ipxe,175 # iPXE sends a 175 option.
dhcp-mac=set:waptserver,MAC_ADDRESS_TARGET_COMPUTER
dhcp-boot=tag:!ipxe,undionly.kpxe,waptserver,IP_WAPTSERVER
dhcp-boot=tag:ipxe,http://srvwapt.mydomain.lan/api/v3/baseipxe?uefi=false,waptserver
Vous pouvez utiliser la ligne de commande PowerShell suivante pour configurer le démarrage iPXE sur votre réseau. Veuillez adapter les $url_waptserver et $waptserver_ipaddress_tftp en fonction de votre installation actuelle
$waptserver_ipaddress_tftp = "192.168.154.13"
$url_waptserver = "http://srvwapt.mydomain.lan"
$keymap = "fr"
Add-DhcpServerv4Class -Name "legacy_bios" -Type Vendor -Data "PXEClient:Arch:00000"
Add-DhcpServerv4Class -Name "iPXE" -Type User -Data "iPXE"
Set-DhcpServerv4OptionValue -OptionId 66 -Value "$waptserver_ipaddress_tftp"
Add-DhcpServerv4Policy -Name "wapt-ipxe-url-legacy" -Condition AND -UserClass EQ,iPXE -VendorClass EQ,legacy_bios*
Set-DhcpServerv4OptionValue -PolicyName "wapt-ipxe-url-legacy" -OptionID 67 -Value "$url_waptserver/api/v3/baseipxe?uefi=false&keymap=$keymap"
Add-DhcpServerv4Policy -Name "wapt-ipxe-url-uefi" -Condition AND -UserClass EQ,iPXE -VendorClass NE,legacy_bios*
Set-DhcpServerv4OptionValue -PolicyName "wapt-ipxe-url-uefi" -OptionID 67 -Value "$url_waptserver/api/v3/baseipxe?keymap=$keymap"
Add-DhcpServerv4Policy -Name "ipxe.efi" -Condition AND -UserClass NE,iPXE -VendorClass NE,legacy_bios*
Set-DhcpServerv4OptionValue -PolicyName "ipxe.efi" -OptionID 67 -Value "ipxe.efi"
Add-DhcpServerv4Policy -Name "undionly.kpxe" -Condition AND -UserClass NE,iPXE -VendorClass EQ,legacy_bios*
Set-DhcpServerv4OptionValue -PolicyName "undionly.kpxe" -OptionID 67 -Value "undionly.kpxe"
For more information, you can refer to https://ipxe.org/howto/msdhcp
7.4. Déploiement d’un système d’exploitation Windows via WADS¶
7.4.1. Processus de déploiement¶
Utilisation du BIOS/UEFI :
l’hôte fait une requête DHCP pour obtenir une IP et la configuration PXE (IP du serveur TFTP et nom du fichier iPXE), ou bien
l’hôte démarre à partir d’une clé USB qui contient la configuration PXE
Utilisation du BIOS/UEFI :
l’hôte fait une requête TFTP pour obtenir iPXE et sa configuration, ou bien
l’hôte exécute la configuration iPXE à partir de la clé USB.
Ensuite, en utilisant iPXE, l’hôte fait une requête HTTPS au serveur WADS pour obtenir le BCD et le
fichier WinPE
.Enfin, en utilisant WinPE, l’hôte contacte le serveur WADS via HTTP pour obtenir le fichier iso du système d’exploitation et ses fichiers de configuration associés.
7.4.2. Exigences avant de commencer¶
Pour utiliser WADS sur votre console WAPT, vous devez installer un packaging spécifique sur votre station de gestion.
Deux packages sont disponibles, un seul est nécessaire. Choisissez en fonction de vos besoins :
Ce paquet intègre les exigences minimales pour créer un fichier WinPE.
Ce packaging installe Windows ADK, tous les outils pour créer et modifier WinPE.
A partir de 2024-09-20, le compte utilisateur utilisant la console WADS DOIT avoir des droits d’administrateur local dans les Listes de contrôle d’accès WAPT.
Signer WADS avec votre certificat :
Allez dans le menu
.
Cliquez sur le bouton Sign :
Allez dans l’onglet OS Deploy :
7.4.3. Ajout des fichiers WinPE¶
WinPE est un système d’exploitation minimal utilisé pour installer, déployer et réparer Windows.
Sur WADS, WinPE est utilisé pour amorcer le déploiement de Windows.
Si aucun fichier WinPE n’existe, cette fenêtre contextuelle apparaîtra.
Cliquez ensuite sur Upload WinPE.
Choisissez la disposition du clavier. Cette étape est importante car vous allez taper le nom d’hôte dans WinPE en utilisant la disposition de clavier choisie avec cette étape.
Sélectionner le certificat avec lequel vous souhaitez signer les fichiers de la clé USB
Si nécessaire, veuillez ajouter des pilotes de réseau afin de démarrer avec PXE
Attendez que le fichier
WinPE
soit téléchargé sur l’ordinateur d’administration WAPT :
Attendez que le fichier
WinPE
soit téléchargé sur le serveur WADS :
Si le fichier WinPE
a été téléchargé avec succès sur le serveur WADS.
Indication
Après chaque mise à jour, vous devrez re-signer votre WinPE. N’oubliez pas de mettre à jour les pilotes réseau si nécessaire.
7.4.4. Ajout du système d’exploitation ISO¶
L’étape suivante consiste à ajouter le fichier .iso du système d’exploitation à utiliser pour déployer Windows.
Utilisez la dernière version officielle de Windows de Microsoft comme fichier .iso.
Dans la section Installation ISO de la console principale de WADS, cliquez sur le bouton + pour télécharger le fichier .iso sélectionné.
Sélectionnez le fichier .iso et donnez-lui un nom.
Lors du téléchargement, le fichier .iso est signé avec le certificat sélectionné :
Une fois l’étape de signature terminée avec succès, le fichier .iso est téléchargé sur le serveur WADS :
Une fois l’étape de téléchargement terminée avec succès, le fichier .iso apparaît dans la section Installation iso de la console principale de WADS :
Indication
Il est possible de télécharger plusieurs versions .iso de Windows pour différents cas d’utilisation.
7.4.5. Ajouter le fichier de réponse¶
L’étape suivante consiste à ajouter le fichier de réponse qui sera utilisé pour configurer le déploiement du système d’exploitation Windows.
Dans la section Configuration, cliquez sur le bouton + pour configurer le fichier de réponse.
Options |
Description |
---|---|
Nom de la configuration |
Définit le nom du fichier de réponse XML. |
Nom de l’ISO |
Définit le fichier .iso à associer au fichier de réponse XML. |
Pour Windows |
Définit si vous installez un système d’exploitation Windows ou Linux si cette option n’est pas cochée. |
Installer Wapt |
Définit s’il faut installer l’agent WAPT après l’installation du système d’exploitation. |
Fichier de configuration |
Définit les fichiers de réponses XML modèles à utiliser pour Windows ou le fichier de configuration pour Linux. |
Script de post installation |
Définit un script de post-installation .bat à exécuter après l’installation du système d’exploitation. |
Insérez dans le champ Nom de la configuration le nom du fichier de réponse.
Sélectionnez avec la liste déroulante Nom de l’ISO le fichier ISO à associer à la configuration de déploiement.
Cochez ou décochez la case Installer WAPT pour installer l’agent WAPT par défaut.
Cocher ou décocher la case Pour Windows pour installer le système d’exploitation Windows.
Sélectionner le modèle de fichier de réponse à associer à la configuration du déploiement avec le champ Fichier de configuration s’il s’agit du système d’exploitation Windows ; sinon, sélectionner le fichier de configuration pour Linux.
Si nécessaire, définir le script de post-installation dans Post install Script, par exemple :
"C:\Program Files (x86)\wapt\wapt-get.exe" install tis-firefox-esr
Cliquer sur le bouton Créer pour créer le fichier de réponse.
Lorsque cela est fait, la configuration apparaît dans la section Configuration.
Indication
Il est possible de créer plusieurs configurations de fichiers de réponses pour différentes versions de Windows / Linux et pour différents cas d’utilisation.
7.4.6. Joindre l’hôte à un domaine Active Directory¶
Vous pouvez utiliser votre propre fichier de réponse avec WADS mais par défaut, WADS intègre 2 types de fichiers de réponse pour Windows :
Offline pour joindre un ordinateur avec la méthode DirectAccess Offline Domain Join (Djoin)
Online pour joindre un ordinateur sur l’AD
Mettre à jour cette partie avec votre compte de service d’adhésion, vous pouvez spécifier une UO si vous le souhaitez. Sinon, supprimez simplement la ligne MachineObjectOU.
<Identification>
<Credentials>
<Domain>mydomain.lan</Domain>
<Password>password</Password>
<Username>wadsjoin</Username>
</Credentials>
<JoinDomain>mydomain.lan</JoinDomain>
<MachineObjectOU>OU=MyOu,OU=MyParentOu,DC=MyDomain,DC=lan</MachineObjectOU>
</Identification>
La méthode hors ligne utilise la méthode Djoin.
Cliquez avec le bouton droit de la souris sur l’hôte pour ouvrir la liste des menus.
Cliquez sur Préparation Djoin.
Sélectionnez la OU (Organizational Unit)`à laquelle rattacher l’hôte (ou définissez-la manuellement) et cliquez sur :guilabel:`Save.
Vous pouvez cocher Changer d’utilisateur si votre utilisateur actuel ne peut ou ne doit pas joindre un ordinateur au domaine. Si cette case est cochée, vous devez indiquer manuellement le Domaine, le Host OU, le User (juste le sAMAccountName, pas l’UPN ni le DOMAINuser) et le password.
Vous pouvez cocher la case Écraser la machine afin de joindre un nouvel ordinateur.
Le fichier
Djoin
est prêt à être utilisé pour joindre l’hôte en tant que membre du domaine Active Directory.
7.4.7. Ajout de conducteurs¶
L’étape suivante consiste à ajouter les paquets de pilotes qui seront utilisés lors du déploiement du système d’exploitation Windows.
Dans la section Drivers, cliquez sur le bouton + pour ajouter un pack de pilotes au serveur WADS.
Cette fenêtre vous permet de télécharger les paquets de pilotes à associer au déploiement Windows.
Options |
Description |
---|---|
Choisir le chemin |
Définit le chemin d’accès au dossier contenant les paquets de pilotes. |
Nom |
Définit le nom du paquet de pilotes. |
Cliquez sur le bouton Save, le téléchargement des bundles de pilotes commence.
Une fois téléchargé, le pack de pilotes apparaît dans la section Drivers de la console WADS.
Il est possible de créer plusieurs packs de pilotes pour différentes versions de Windows et pour différents cas d’utilisation.
Il est possible d’utiliser les fichiers .cab de OEM.
Il est également possible d’exporter les pilotes d’un hôte existant qui fonctionne bien en utilisant une commande Powershell.
Export-WindowsDriver -Online -Destination D:\Drivers
7.4.8. Démarrer l’hôte pour réimager avec WADS¶
WADS permet 2 méthodes de démarrage de l’hôte pour ré-imager :
7.4.8.1. Démarrage de l’hôte avec une clé USB¶
Note
La clé USB utilisée DOIT être formatée en FAT32 et vide.
Insérez la clé USB dans le poste d’administration de WAPT et cliquez sur le bouton Créer une clé USB WinPE pour lancer le processus.
Choisissez la disposition du clavier. Cette étape est importante car vous allez taper le nom d’hôte dans WinPE en utilisant la disposition de clavier choisie avec cette étape.
Sélectionner le certificat avec lequel vous souhaitez signer les fichiers de la clé USB
Cliquez sur le Transférer WinPE pour formater la clé USB et copier le fichier WinPE.
Démarrez le menu de démarrage de l’ordinateur en utilisant l’option de la clé USB et allez à l’étape exécuter le déploiement.
Note
Vous pouvez Exporter vers un fichier zip lorsque vous créez une clé USB WinPE si vous ne pouvez pas utiliser une clé USB pour ensuite graver le contenu de la clé USB sur un CD / DVD à la place.
7.4.8.2. Démarrage de l’hôte avec le réseau¶
Le démarrage à partir du LAN nécessite :
Un serveur TFTP fonctionnant correctement ;
Un serveur DHCP qui fonctionne correctement ;
Avoir le port 69 ouvert sur le serveur WAPT pour le trafic entrant, et avoir tftp conntrack activé sur les pare-feu intermédiaires si vous avez des pare-feu entre le serveur et l’ordinateur client.
Démarrez le menu de démarrage de l’ordinateur en utilisant l’option LAN et allez à l’étape exécuter le déploiement.
7.4.9. Déploiement de l’image Windows¶
Il y a 3 choix lors du démarrage avec iPXE :
Disque local de démarrage pour démarrer normalement à partir du stockage local ;
Enregistrer l’hôte (ipxe) pour enregistrer l’hôte avec le serveur WADS en utilisant la méthode iPXE ;
Enregistrer l’hôte (winpe) pour enregistrer l’hôte auprès du serveur WADS en utilisant la méthode WinPE.
Si vous choisissez Enregistrer un hôte (ipxe), définissez un nom d’hôte :
Avertissement
Le clavier est de type qwerty
Rafraîchissez la console WADS avec F5, l’hôte apparaît dans l’onglet OS Deploy.
À ce moment, l’état Waiting to Deploy de l’hôte est False
.
Faites un clic droit sur l’hôte pour ouvrir la liste des menus.
Allez dans un fichier de réponse XML.
et sélectionnezCliquez sur Start Deploy, le statut Waiting to Deploy de l’hôte passe à
True
.
Redémarrez l’hôte avec la même option de démarrage que précédemment (USB ou LAN), Windows commencera à s’installer.
Lorsque l’installation est terminée, l’onglet OS Deploy, l’état passe à
Done
.
Si vous choisissez Enregistrer un hôte (winpe), définissez un nom d’hôte :
Le clavier est dans la même disposition que celle définie lors de l’étape WinPE de cette documentation.
Rafraîchissez la console WADS avec F5, l’hôte apparaît dans l’onglet OS Deploy.
À ce moment, l’état Waiting to Deploy de l’hôte est False
.
Faites un clic droit sur l’hôte pour ouvrir la liste des menus.
Allez dans un fichier de réponse XML.
et sélectionnezCliquez sur Start Deploy, le statut Waiting to Deploy de l’hôte passe à
True
.
Redémarrez l’hôte avec la même option de démarrage que précédemment (USB ou LAN), Windows commencera à s’installer.
Lorsque l’installation est terminée, l’onglet OS Deploy, l’état passe à
Done
.
7.4.10. Formater le disque de la machine¶
Lorsque votre machine est prête à être redéployée, si nécessaire, vous pouvez formater son disque en utilisant la méthode UEFI ou Legacy.
Pour ce faire, cliquer avec le bouton droit de la souris sur la machine puis Configurer le formatage du disque.
Vous pouvez ensuite choisir le script UEFI ou Legacy et personnaliser la configuration du formattage du disque. Voici un exemple avec le script Legacy :