Processus de la jonction de domaine avec MDT 2010


  • Share on Pinterest

Généralement lorsque vous voulez joindre votre machine au domaine, vous configurez les variables suivantes:

JoinDomain
DomainAdmin
DomainAdminPassword
MachineObjectOU

Ces variables configurées dans votre fichier customsettings.ini dans la BD DMT ou à travers l’assistant de déploiement sont par la suite mises à jour dans le fichier Unattend.xml. Typiquement, c’est le script ZTIConfigure.wsf  qui met à jour la Unattend.xml ou le fichier Unattend.txt avec les valeurs spécifiées. Ces paramètres sont ensuite analysés par le programme d’installation Windows, et le système tente de rejoindre le domaine au début du processus de déploiement.

Depuis la version 2010, le script ZTIDomainjoin.wsf à l’étape “Recover From Domain” dans la Task Sequence vérifie si la machine est membre du domaine en faisant une requête WMI Win32_ComputerSystem:JoinDomainOrWorkgroup. Si le script voit que la machine est déjà membre du domaine alors il passe à l’étape suivante. Si ce n’est pas le cas, la machine n’est pas membre alors il tentera de faire la jonction de domaine et redémarrera ensuite. S’il y a une erreur de jonction, le script va essayer à 3 reprises avant de donner une erreur dans les logs et passer à l’étape suivante dans la TS.

Là où ça bloque!

Ce script est utile dans plusieurs cas qui pourraient empecher la machine de se joindre au domaine durant l’installation de Windows.

Par exemple, s’il n’y a des problèmes réseautiques… L’étape “Apply Network Settings” dans la TS qui exécute le script ZTINICConfig.wsf permet de configurer la carte réseau, mais ceci se fait après l’installation donc il est déjà trop tard.

Ou encore plus fréquents, des stratégies de sécurité qui bloquent le bon déroulement du déploiement LTI. Si vous avez en place des stratégies pour renommer le compte administrateur, avertissement à l’ouverture de session et bien d’autres…C’est sûr que ça va bloquer le processus.

Il y a plusieurs façons de contourner ces problèmes.

Pour joindre la machine au domaine, le script ZTIDomainjoin.wsf utilise les variables JoinDomain, DomainAdmin, DomainAdminPassword, MachineObjectOU et DomainErrorRecovery.

Vous pouvez supprimer la section “specialize/Identification/Credentials” dans le fichier de modèle unattend.xml ou le faire dans le fichier ZTIConfigure.xml. En sorte que le script ZTIConfigure.wsf n’applique pas les changements dans le fichier lorsqu’il récupère les valeurs des variables mentionnées plus haut. Ensuite, placez le script ZTIDomainjoin.wsf vers la fin de la TS.

Vous pouvez aussi faire un filtre WMI lié à une stratégie de sécurité qui vérifie l’existence du dossier C:\Windows\Temp\DeploymentLogs pour ne pas l’appliquer dans ce cas. (Select * From CIM_Directory Where Name = ‘C:\\Windows\\Temp\\DeploymentLogs)

Pour la variable “DomainErrorRecovery“, il y a 3 choix:

  • Auto: Par défaut, Essaye de joindre la machine au domaine et redémarre en cas d’échec.
  • Manual: Arrete l’exécution de la TS et attend que l’utilisateur mettre manuellement la machine au domaine.
  • Fail: Arrete la TS si la machine n’a pas été jointe au domaine. (Peut s’avérer utile pour certaines applications.)