Déploiement d’OS facile avec WAPT

WAPT est une solution logicielle française éditée par Tranquil’IT. Depuis de nombreuses années les fonctionnalités de ce dernier ne cessent de s’étoffer et toujours dans l’optique de faciliter le déploiement et la gestion des machines de votre parc.
L’une des nouveautés apparue avec la version 2.2 est le déploiement d’OS.
Nous verrons dans cet article comment configurer cette fonctionnalité et comment l’utiliser pour déployer un système d’exploitation à travers le réseau.

Principe de fonctionnement

Le déploiement d’OS de WAPT, aussi appelé WADS, combine plusieurs outils :

• un serveur DHCP
• Un serveur TFTP
• WinPE
• le boot en PXE

Nous pouvons considérer le schéma fonctionnel suivant:

Ici le serveur WAPT (« WAPT Server ») contient les images ISO des OS à déployer (« Image Disk »), les pilotes nécessaires à l’installation (« Divers ») et les fichiers de configuration (« Config Files(s) »).
Le serveur DHCP (« DHCP ») indique au poste à déployer (« Target ») que le serveur WAPT contient toutes les ressources nécessaires pour déployer les OS (options 66 et 67 du DHCP).
Le poste « Target » utilise sa carte réseau et la fonction de démarrage sur le réseau pour se connecter sur le serveur TFTP du serveur WAPT.

Le schéma indique aussi la possibilité de créer une clé USB de déploiement que l’on utilisera directement sur le poste « Target ». Nous ne détaillerons pas cette méthodologie dans cet article.

Prérequis

Nous avons déployé la solution serveur en respectant les éléments suivants :

• Nous aurons activé le déploiement d’OS à l’installation
• Nous aurons choisi d’installer le serveur TFTP intégré à WAPT

Le réseau sera constitué d’un contrôleur de domaine (DC01.domainlab.loc), d’un serveur WAPT sous Windows serveur (WAPT01.domainlab.loc) et de postes client.

Les ports TFTP sur le serveur WAPT Windows devront être ouvert sur le pare feux.

Un serveur DHCP aura été configuré pour distribuer une plage d’adresse, pour notre exemple la plage 192.168.96.10 – 192.168.96.100.

Nous aurons un poste d’administration (PCF01.domainlab.loc) qui nous permettra d’accéder à la console d’administration.

Nous utiliserons WAPT en Version 2.3.

Configuration du DHCP sous Windows Server

Afin de permettre à nos futures machines de trouver le serveur de déploiement d’OS, il est indispensable de configurer notre serveur DHCP pour indiquer où se trouvera le serveur TFTP de WAPT.

Nous passerons les commandes Powershell suivantes:

$waptserver_ipaddress_tftp = "192.168.96.138"
$url_waptserver = "http://wapt01.domainlab.loc"
$keymap = "fr"

Add-DhcpServerv4Class -Name "legacy_bios" -Type Vendor -Data "PXEClient:Arch:00000"
Add-DhcpServerv4Class -Name "iPXE" -Type User -Data "iPXE"

Set-DhcpServerv4OptionValue -OptionId 66 -Value "$waptserver_ipaddress_tftp"

Add-DhcpServerv4Policy -Name "wapt-ipxe-url-legacy" -Condition AND -UserClass EQ,iPXE -VendorClass EQ,legacy_bios*
Set-DhcpServerv4OptionValue -PolicyName "wapt-ipxe-url-legacy" -OptionID 67 -Value "$url_waptserver/api/v3/baseipxe?uefi=false&keymap=$keymap"

Add-DhcpServerv4Policy -Name "wapt-ipxe-url-uefi" -Condition AND -UserClass EQ,iPXE -VendorClass NE,legacy_bios*
Set-DhcpServerv4OptionValue -PolicyName "wapt-ipxe-url-uefi" -OptionID 67 -Value "$url_waptserver/api/v3/baseipxe?keymap=$keymap"

Add-DhcpServerv4Policy -Name "ipxe.efi" -Condition AND -UserClass NE,iPXE -VendorClass NE,legacy_bios*
Set-DhcpServerv4OptionValue -PolicyName "ipxe.efi" -OptionID 67 -Value "ipxe.efi"

Add-DhcpServerv4Policy -Name "undionly.kpxe" -Condition AND -UserClass NE,iPXE -VendorClass EQ,legacy_bios*
Set-DhcpServerv4OptionValue -PolicyName "undionly.kpxe" -OptionID 67 -Value "undionly.kpxe"

Ces commandes auront pour effet d’activer et de configurer les options 66 et 67 du DHCP en indiquant les fichiers sur lesquels pointer sur le serveur TFTP afin de procéder à l’installation. Le démarrage PXE se fait en deux étapes. D’abord, le chargeur de démarrage UEFI/BIOS téléchargera le binaire iPXE depuis le serveur TFTP de WAPT, puis le binaire iPXE téléchargera le script iPXE et les binaires de démarrage en HTTP.

Configuration du déploiement d’OS

Téléchargement des paquets de base

Pour commencer nous téléchargerons les paquets nécessaires au déploiement d’OS. Pour cela nous irons dans l’onglet « Dépôt Privé » , puis nous cliquerons sur le bouton « Importer un paquet »  et enfin « Importer depuis Internet ».

Dans la fenêtre d’import des paquets nous chercherons les paquets suivants:

• tis-wads-requirement-minimal-x86
• tis-wads-requirement-minimal-x64
• tis-wads-requirement-minimal

Pour les importer nous les sélectionnerons puis nous cliquerons sur le bouton « Importer ». Dans la fenêtre pop-up nous cliquerons de nouveau sur « Import » pour lancer l’importation.

Le téléchargement des paquets commencera alors.

Une fois le téléchargement terminé nous pourrons cliquer sur le bouton « OK » pour fermer la fenêtre de résumé.

Nous assignerons ensuite les paquets à notre poste d’administration. Pour cela nous irons double cliquer sur le poste (ici « pcf01.domainlab.loc »).

Nous ferons alors glisser les paquets tis-wads-requirement-minimal-x86, tis-wads-requirement-minimal-x64 et tis-wads-requirement-minimal sur notre poste et nous déploierons les paquets en cliquant sur « Enregistrer et appliquer ».

Nous cliquerons sur « OK » dans la fenêtre de confirmation.

Nous pourrons alors observer dans l’onglet « Taches » de notre machine que les paquets sont en cours de déploiement.

Une fois le déploiement terminé, notre machine d’administration est prête pour la configuration du déploiement d’OS.

Configuration du déploiement d’OS

Dès à présent, nous nous rendrons dans l’onglet « Déploiement d’OS » de la console d’administration.
Un pop up nous accueillera nous demandant si nous souhaitons télécharger WinPE, nous cliquerons sur « Oui ».

La fenêtre de configuration de WinPE s’ouvrira alors et nous mettrons les options suivantes:

• Architecture: x64
• Nous ne toucherons pas aux chemins des dossiers ADK et du fichier.wim
• Nous choisirons d’inclure les certificats utilisateur
• Nous vérifierons l’adresse du serveur WAPT
• Nous sectionnerons le clavier « French_Standard »

Nous validerons cette configuration en cliquant sur « OK ».

La console WAPT lancera alors la compilation du WinPE et le téléversera dans le serveur WAPT.

Nous aurons alors accès à la console de déploiement d’OS.

Nous commencerons par cliquer sur le bouton de la rubrique « Iso d’installation » en haut a droite de la fenêtre.

Dans la fenêtre « Téléchargement d’ISO » nous irons sélectionner notre fichier. Ici nous déploierons un Windows 10. Nous donnerons un nom à ce fichier et nous définirons son architecture (ici « x64 »). Nous validerons avec le bouton « Enregistrer ».

WAPT lancera alors le calcul du hash de l’ISO puis le téléversement du fichier sur le serveur WAPT.

Une fois les chargements finalisés, une ligne apparaitra pour notre Iso dans le cadre « Iso d’installation ».

L’étape suivante consistera à générer une configuration pour notre futur poste. Tranquil’It fournit avec WAPT des configurations types couvrant un certain nombre de cas de figure. Ici nous choisirons d’utiliser le fichier de configuration XML permettant la jonction au domaine de la machine directement à l’installation. Cette méthode nous permet de ne pas avoir de poste à créer par anticipation dans l’Active Directory, mais a le gros défaut de contenir un mot de passe en clair dans le fichier de configuration. Dans ce cas de figure il sera nécessaire de renseigner un compte d’utilisateur n’ayant que des droits de jonction au domaine.

Pour cela nous cliquerons sur le bouton du cadre « Configuration ».

Dans la nouvelle fenêtre nous donnerons un nom à notre configuration, nous lui indiquerons l’Iso à utiliser et nous chargerons le fichier de configuration « win10_with_join_ad_online.xml ». Nous cliquerons sur « Enregistrer » pour confirmer.

Dès notre confirmation, une fenêtre d’édition du fichier « win10_with_join_ad_online.xml » s’ouvrira. Il nous faudra modifier les informations contenues dans les lignes 68, 69,70 et 72. Nous y indiquerons notre nom de domaine, notre utilisateur de jonction et son mot de passe. Nous laisserons cochées les cases « Pour Windows » et « Installer WAPT » afin de déployer l’agent directement dans la future machine.

Nous pourrons également ajouter des scripts post installation. Tranquil’It nous fournit là aussi quelques fichiers. Nous pourrons choisir de les utiliser ou de développer nos propres scripts.

Nous validerons en cliquant sur « Enregistrer » .

Ensuite nous pourrons ajouter des pilotes à notre future machine. Pour les besoins de cette procédure nous déploierons les pilotes Vmware pour machine virtuelle extraits des VmWare Tools. Nous cliquerons donc sur le bouton dans le cadre « Pilotes » et nous indiquerons le dossier contenant les fichiers.

Nous validerons en cliquant sur « Enregistrer » pour que les fichiers de pilotes soient envoyés sur le serveur WAPT.

A ce stade notre configuration est prête à être utilisée pour déployer un poste

Déploiement d’un poste.

Le déploiement d’un poste se passe en 3 étapes:

• Boot du poste sur WinPe pour l’enregistrer sur le serveur WAPT
• Validation de la configuration à déployer sur le poste
• Installation de l’OS sur la machine cible.

Nous commencerons par démarrer le poste en iPXE afin qu’il démarre sur WinPE.

Nous arriverons alors sur un menu nous permettant d’enregistrer le poste sur le serveur WAPT. Pour cela nous choisirons la ligne « Register Host (winpe x64) ». Nous validerons avec la touche entrée de notre clavier.

La machine effectuera un redémarrage jusqu’à arriver sur un environnement présentant des fenêtres DOS. Un menu nous demandera alors quel nom nous souhaitons donner a cette machine, pour cet exemple nous l’appellerons « pcwads ». Nous validerons ce dernier avec la touche « entrée ».

Une nouvelle entrée nous demandera si nous souhaitons éteindre la machine (« Press 1 for shutdown ») ou si nous voulons déployer (« Press 2 for retry deployement »). Nous choisirons la deuxième option. Le poste essayera donc de se déployer en boucle toutes les 20 secondes. En l’état, les tentatives seront infructueuses puisque qu’aucune configuration de déploiement n’a été attribuée à notre poste.

Nous retournerons donc dans notre console WAPT puis nous cliquerons sur le bouton . Notre poste apparaitra dans les postes en attente de déploiement.

Enfin avec un dernier clique droit nous pourrons déclencher le déploiement via le bouton « Démarrer le déploiement ».

Sur notre machine cible, les scripts de formatage (Diskpart) et de téléchargement des ressources nécessaires à l’installation se déclencheront.

La machine redémarrera plusieurs fois sans intervention nécessaire de votre part, jusqu’à aboutir à un environnement stable et déployé. Nous pourrons alors nous connecter avec notre compte AD et constater par exemple le bon déploiement de nos pilotes.

Bilan de ce maquettage et mon avis sur cette fonctionnalité.

Comme à son habitude, Tranquil’IT a su développer une fonctionnalité simple d’accès, que ce soit en terme de mise en œuvre opérationnelle ou en gestion courante.
Je suis agréablement surpris de la rapidité de mise en place de ce moyen de déploiement et de sa capacité à être flexible. Nous n’avons pas abordé ici les possibilités de déploiement via clés USB qui sont tout à fait réalisables grâce au bouton prévu à cet effet.

Le déploiement d’OS façon WAPT me laisse clairement entrevoir des possibilités techniques avancées dont n’importe quel administrateur ou gestionnaire de parc pourrait avoir besoin. Le temps de mise en place de cette fonctionnalité est relativement réduit. En étant aguerri à WAPT j’ai mis environs 45 minutes a lire la documentation et 1h30 à configurer en explorant diverses options.   

De la version 2.2 à la 2.3 des évolutions de ce module ont déjà eu lieu. Je pense très clairement que la solution WAPT en tant que tour de contrôle de parc informatique est une des meilleures options « souveraines » qui nous soit offerte à l’heure actuelle.