Généralement lorsque vous voulez joindre votre machine au domaine, vous configurez les variables suivantes:
JoinDomain DomainAdmin DomainAdminPassword MachineObjectOU
Ces variables configurées dans votre fichier CustomSettings.ini ou dans la base de données MDT sont ensuite insérées dans le fichier de réponse Unattend.xml lors du déploiement. Typiquement, c’est le script ZTIConfigure.wsf qui met à jour la Unattend.xml avec les valeurs spécifiées. Ces paramètres sont ensuite analysés par le programme d’installation Windows (Setup.exe), et le système tente de rejoindre le domaine pendant la phase d’application des paramètres.
Depuis MDT 2010, le script ZTIDomainjoin.wsf à l’étape Recover From Domain de la séquence de tâches vérifie si l’ordinateur a bien été ajouté au domaine en exécutant une requête WMI:
Win32_ComputerSystem:JoinDomainOrWorkgroup
Si le résultat est vrai, que l’ordinateur fait bien partie du domaine, il passe à l’étape suivante. Si le résultat est faux, que l’ordinateur ne fait pas partie du domaine, MDT tente d’ajouter l’ordinateur au domaine puis effectue un redémarrage. Le script est conçu pour exécuter 3 tentatives d’ajout au domaine avant de rapporter une erreur dans les logs. Ensuite, MDT passe à l’étape suivante de la séquence de tâches.
Problèmes fréquents
Ce script s’avère utilise dans plusieurs cas de figure; d’autres éléments externes au déploiement Windows avec MDT peuvent perturber l’ajout de l’ordinateur au domaine.
- Vous pourriez avoir une perte de connectivité au moment ou l’installeur tente l’ajout au domaine, ou même une mauvaise configuration réseautique tout simplement.
- Côté sécurité, c’est fréquent de voir des stratégies bloquer le bon déroulement du déploiement Windows avec MDT. Lorsque vous avez en place des stratégies pour renommer le compte administrateur, afficher un avertissement à l’ouverture de la session, c’est ce qui arrive.
Contournements des problèmes
Pour joindre la machine au domaine, le script ZTIDomainjoin.wsf utilise les variables JoinDomain, DomainAdmin, DomainAdminPassword, MachineObjectOU et DomainErrorRecovery.
- Vous pouvez supprimer la section “specialize/Identification/Credentials” dans le fichier de modèle unattend.xml ou le faire dans le fichier ZTIConfigure.xml. En sorte que le script ZTIConfigure.wsf n’applique pas les changements dans le fichier lorsqu’il récupère les valeurs des variables mentionnées plus haut. Ensuite, placez le script ZTIDomainjoin.wsf vers la fin de la séquence de tâches.
- Vous pouvez aussi faire un filtre WMI lié à une stratégie de sécurité qui vérifie l’existence du dossier C:\Windows\Temp\DeploymentLogs pour ne pas l’appliquer dans ce cas.
Select * From CIM_Directory Where Name = 'C:\Windows\Temp\DeploymentLogs'
La variable “DomainErrorRecovery“ a 3 choix possibles:
- Auto: par défaut, Essaye de joindre l’ordinateur au domaine et redémarre en cas d’échec.
- Manual: arrête l’exécution de la séquence de tâches et attend que l’utilisateur mettre manuellement la machine au domaine.
- Fail: arrête la séquence de tâches si l’ordinateur n’a pas été joint au domaine. (Cela peut s’avérer utile pour certaines applications.)