Подготовка к развертыванию с помощью MDTPrepare for deployment with MDT

Область применения:Applies to

  • Windows 10;Windows 10

В этой статье вы узнаете, как выполнить необходимые действия для подготовки инфраструктуры сети и сервера для развертывания Windows 10 с помощью Microsoft Deployment Toolkit (MDT).This article will walk you through the steps necessary to prepare your network and server infrastructure to deploy Windows 10 with the Microsoft Deployment Toolkit (MDT). Она охватывает установку необходимых системных требований, создание общих папок и учетных записей служб, а также настройку разрешений безопасности в файловой системе и в службе каталогов Active Directory.It covers the installation of the necessary system prerequisites, the creation of shared folders and service accounts, and the configuration of security permissions in the file system and in Active Directory.

ИнфраструктураInfrastructure

Процедуры, описанные в этом руководстве, используют следующие имена и инфраструктуру.The procedures in this guide use the following names and infrastructure.

Сеть и серверыNetwork and servers

В этой статье мы будем использовать три серверные компьютеры: DC01, MDT01и HV01.For the purposes of this topic, we will use three server computers: DC01, MDT01, and HV01.

  • Все серверы работают под управлением Windows Server 2019.All servers are running Windows Server 2019.
    • В некоторых процедурах можно использовать более раннюю версию Windows Server с дополнительными изменениями.You can use an earlier version of Windows Server with minor modifications to some procedures.
    • Примечание. Несмотря на то, что MDT поддерживает Windows Server 2008 R2, по крайней мере Windows Server 2012 R2 или более поздних версий не requried выполнить процедуры из этого руководства.Note: Although MDT supports Windows Server 2008 R2, at least Windows Server 2012 R2 or later is requried to perform the procedures in this guide.
  • DC01 — это контроллер домена, DHCP-сервер и DNS-сервер дляcontoso.com, который представляет вымышленную корпорацию contoso.DC01 is a domain controller, DHCP server, and DNS server for contoso.com, representing the fictitious Contoso Corporation.
  • MDT01 является рядовым сервером домена в Contoso.com с данными (D:) диск, который может хранить не менее 200 Гбайт.MDT01 is a domain member server in contoso.com with a data (D:) drive that can store at least 200GB. MDT01 будет размещать общие ресурсы развертывания и запускать службу развертывания Windows.MDT01 will host deployment shares and run the Windows Deployment Service. Кроме того, MDT01 также является сервером WSUS.Optionally, MDT01 is also a WSUS server.
    • Второй сервер MDT (MDT02), настроенный так же, как и MDT01, также используется для создания распределенной среды для развертывания Windows 10.A second MDT server (MDT02) configured identically to MDT01 is optionally used to build a distributed environment for Windows 10 deployment. Этот сервер расположен в другой подсети, чем MDT01, и имеет другой шлюз по умолчанию.This server is located on a different subnet than MDT01 and has a different default gateway.
  • HV01 является ведущим компьютером Hyper-V, который используется для создания эталонного изображения в Windows 10.HV01 is a Hyper-V host computer that is used to build a Windows 10 reference image.

Клиентские компьютерыClient computers

В этом руководстве содержатся ссылки на несколько клиентских компьютеров с hostname PC0001 на PC0007.Several client computers are referenced in this guide with hostnames of PC0001 to PC0007.

  • PC0001: компьютер с операционной системой Windows10 Enterprise x64, обновленный с последними обновлениями для системы безопасности и настроенный как участник в домене contoso.com.PC0001: A computer running Windows10 Enterprise x64, fully patched with the latest security updates, and configured as a member in the contoso.com domain.
    • Имя клиента: PC0001Client name: PC0001
    • IP-адрес: DHCPIP Address: DHCP
  • PC0002: компьютер с операционной системой Windows7 SP1 Enterprise x64, обновленный с последними обновлениями для системы безопасности и настраиваемый как участник в домене contoso.com.PC0002: A computer running Windows7 SP1 Enterprise x64, fully patched with the latest security updates, and configured as a member in the contoso.com domain. На этом компьютере есть ссылки в сценариях миграции.This computer is referenced during the migration scenarios.
    • Имя клиента: PC0002Client name: PC0002
    • IP-адрес: DHCPIP Address: DHCP
  • PC0003-PC0007: это другие клиентские компьютеры, подобные PC0001 и PC0002, которые используются в настоящем руководстве, и другое руководство по различным сценариям.PC0003 - PC0007: These are other client computers similar to PC0001 and PC0002 that are used in this guide and another guide for various scenarios. Имена устройств изменяются для ясности в каждом сценарии.The device names are incremented for clarity within each scenario. Например, PC0003 и PC0004 работают под управлением Windows 7 точно так же, как и PC0002, но используются для сценариев обновления и замены Configuration Manager соответственно.For example, PC0003 and PC0004 are running Windows 7 just like PC0002, but are used for Configuration Manager refresh and replace scenarios, respectively.

Требования к хранилищуStorage requirements

MDT01 и HV01 должны иметь возможность хранить до 200 ГБ файлов на диске с данными (D:).MDT01 and HV01 should have the ability to store up to 200 GB of files on a data drive (D:). Если вы используете компьютер с одним системным разделом (C:) Вам потребуется настроить процедуры "Приходите" в этом руководстве, чтобы указать диск C: вместо диска D:.If you use a computer with a single system partition (C:) you will need to adjust come procedures in this guide to specify the C: drive instead of the D: drive.

Требования Hyper-VHyper-V requirements

Если у вас нет доступа к серверу Hyper-V, вы можете временно установить Hyper-V на компьютере с Windows 10 или Windows 8,1, чтобы использовать его для построения эталонных изображений.If you do not have access to a Hyper-V server, you can install Hyper-V on a Windows 10 or Windows 8.1 computer temporarily to use for building reference images. Инструкции по включению Hyper-V в Windows 10 можно найти в статье Проверка поддержки и Установка Hyper-v в тестовом руководстве по развертыванию Windows 10.For instructions on how to enable Hyper-V on Windows 10, see the Verify support and install Hyper-V section in the Windows 10 deployment test lab guide. Это руководство — это руководство для проверки подлинности с подробными инструкциями по установке Hyper-V.This guide is a proof-of-concept guide that has detailed instructions for installing Hyper-V.

Сетевые требованияNetwork requirements

Все серверные и клиентские компьютеры, на которые ссылается данное руководство, находятся в одной подсети.All server and client computers referenced in this guide are on the same subnet. Это не обязательно, но каждый сервер и клиентский компьютер должен быть подключен друг к другу для предоставления общего доступа к файлам и для разрешения всех DNS-имен и сведений о службе каталогов Active Directory для домена contoso.com.This is not required, but each server and client computer must be able to connect to each other to share files, and to resolve all DNS names and Active Directory information for the contoso.com domain. Подключение к Интернету также требуется для загрузки обновлений операционной системы и приложений.Internet connectivity is also required to download OS and application updates.

Учетные данные доменаDomain credentials

В этом руководстве используются следующие общие учетные данные.The following generic credentials are used in this guide. Эти учетные данные следует заменять так, как они отображаются в каждой процедуре с учетными данными.You should replace these credentials as they appear in each procedure with your credentials.

Доменное имя Active Directory: contoso.comActive Directory domain name: contoso.com
Имя пользователя администратора домена: администраторDomain administrator username: administrator
Пароль администратора домена: Pass@word1Domain administrator password: pass@word1

Структура подразделенийOrganizational unit structure

В этом руководстве используется следующая структура подразделений.The following OU structure is used in this guide. Ниже приведены инструкции по созданию необходимых организационных подразделений.Instructions are provided below to help you create the required OUs.

рис. 2

Установка Windows ADKInstall the Windows ADK

В этих инструкциях предполагается, что у вас установлен сервер MDT01 и он настроен как сервер доменных пользователей.These steps assume that you have the MDT01 member server running and configured as a domain member server.

На MTD01:On MTD01:

Перейдите на страницу загрузки и установите на странице Windows ADK и скачайте следующие элементы в папку D:\Downloads\ADK на MDT01 (вам потребуется создать эту папку):Visit the Download and install the Windows ADK page and download the following items to the D:\Downloads\ADK folder on MDT01 (you will need to create this folder):

Совет

Возможно, потребуется временно отключить конфигурацию усиленной безопасности Internet Explorer для администраторов, чтобы загружать файлы из Интернета на сервер.You might need to temporarily disable IE Enhanced Security Configuration for administrators in order to download files from the Internet to the server. Этот параметр можно отключить с помощью диспетчера серверов (локального сервера и свойств).This setting can be disabled by using Server Manager (Local Server/Properties).

  1. Убедитесь, что вы вошли в домен CONTOSO в качестве администратора в MDT01.On MDT01, ensure that you are signed in as an administrator in the CONTOSO domain.
    • В данном руководстве используется учетная запись администратора домена администратором с паролем Pass@word1.For the purposes of this guide, we are using a Domain Admin account of administrator with a password of pass@word1. Вы можете использовать свое имя пользователя и пароль администратора, если правильно настроить все действия, описанные в этом руководстве, в которых используются эти учетные данные.You can use your own administrator username and password as long as you properly adjust all steps in this guide that use these login credentials.
  2. Запустите настройку ADK (D:\Downloads\ADK\adksetup.exe), дважды нажмите кнопку Далее , чтобы сохранить параметры установки по умолчанию, нажмите кнопку сохранить , чтобы приступить к принятию лицензионного соглашения, а затем выберите компоненты, которые вы хотите установить , пригласите список функций по умолчанию, нажав кнопку установить.Start the ADK Setup (D:\Downloads\ADK\adksetup.exe), click Next twice to accept the default installation parameters, click Accept to accept the license agreement, and then on the Select the features you want to install page accept the default list of features by clicking Install. Будут установлены средства развертывания и USMT.This will install deployment tools and the USMT. Убедитесь, что установка успешно завершена, прежде чем переходить к следующему шагу.Verify that the installation completes successfully before moving to the next step.
  3. Запустите программу установки WinPE (D:\Downloads\ADK\adkwinpesetup.exe), дважды нажмите кнопку Далее , чтобы сохранить параметры установки по умолчанию, нажмите кнопку сохранить , чтобы приступить к принятию лицензионного соглашения, а затем на странице выберите компоненты, которые нужно установить , и нажмите кнопку установить.Start the WinPE Setup (D:\Downloads\ADK\adkwinpesetup.exe), click Next twice to accept the default installation parameters, click Accept to accept the license agreement, and then on the Select the features you want to install page click Install. Будут установлены Windows PE для x86, AMD64, ARM и ARM64.This will install Windows PE for x86, AMD64, ARM, and ARM64. Убедитесь, что установка успешно завершена, прежде чем переходить к следующему шагу.Verify that the installation completes successfully before moving to the next step.
  4. Извлеките Обновление WSIM 1903 (D:\Downloads\ADK\WSIM1903.zip) и запустите файл UpdateWSIM. bat .Extract the WSIM 1903 update (D:\Downloads\ADK\WSIM1903.zip) and then run the UpdateWSIM.bat file.
    • Вы можете проверить, применено ли обновление, просмотрев свойства файлов ImageCat. exe и ImgMgr. exe на C:\program Files файлы (x86) \Windows Kits\10\Assessment и развертывание Kit\Deployment Tools\WSIM и убедившись в том, что на вкладке " сведения " отображается Версия файла 10.0.18362.144 или более поздней.You can confirm that the update is applied by viewing properties of the ImageCat.exe and ImgMgr.exe files at C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\WSIM and verifying that the Details tab displays a File version of 10.0.18362.144 or later.

Установка и инициализация служб развертывания Windows (WDS)Install and initialize Windows Deployment Services (WDS)

На MDT01:On MDT01:

  1. Откройте запрос Windows PowerShell с повышенными привилегиями и введите следующую команду:Open an elevated Windows PowerShell prompt and enter the following command:
Install-WindowsFeature -Name WDS -IncludeManagementTools
WDSUTIL /Verbose /Progress /Initialize-Server /Server:MDT01 /RemInst:"D:\RemoteInstall"
WDSUTIL /Set-Server /AnswerClients:All

Необязательно: Установка служб обновления Windows Server (WSUS)Optional: Install Windows Server Update Services (WSUS)

Если вы хотите использовать MDT как WSUS-сервер с помощью внутренней базы данных Windows (WID), установите эту службу с помощью следующей команды.If you wish to use MDT as a WSUS server using the Windows Internal Database (WID), use the following command to install this service. Кроме того, вы можете изменить сведения о сервере WSUS в этом руководстве на сервер WSUS в своей среде.Alternatively, change the WSUS server information in this guide to the WSUS server in your environment.

Чтобы установить WSUS на MDT01, введите следующую команду в командной строке Windows PowerShell с повышенными привилегиями:To install WSUS on MDT01, enter the following at an elevated Windows PowerShell prompt:

Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI
cmd /c "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall CONTENT_DIR=C:\WSUS

Чтобы использовать WSUS, установленный в MDT01, необходимо также настроить групповую политику на DC01 и выполнить необходимую настройку после установки WSUS на MDT01.To use the WSUS that you have installed on MDT01, you must also configure Group Policy on DC01 and perform the neccessary post-installation configuration of WSUS on MDT01.

Установка MDTInstall MDT

Примечание

Для установки MDT требуется следующее:MDT installation requires the following:

  • Windows ADK для Windows 10 (установлено в предыдущей процедуре)The Windows ADK for Windows 10 (installed in the previous procedure)
  • Windows PowerShell (версия 5,1 , рекомендуется, введите $Host для проверки)Windows PowerShell (version 5.1 is recommended; type $host to check)
  • Microsoft .NET FrameworkMicrosoft .NET Framework

На MDT01:On MDT01:

  1. Перейдите на страницу ресурсов MDT и нажмите загрузить MDT.Visit the MDT resource page and click Download MDT.
  2. Сохраните файл MicrosoftDeploymentToolkit_x64. msi в папке D:\DOWNLOADS\MDT на MDT01.Save the MicrosoftDeploymentToolkit_x64.msi file to the D:\Downloads\MDT folder on MDT01.
    • Примечание. согласно дате публикации для этого руководства, текущая версия MDT — 8456 (6.3.8456.1000), но более поздняя версия также будет работать.Note: As of the publishing date for this guide, the current version of MDT is 8456 (6.3.8456.1000), but a later version will also work.
  3. Установите MDT (d:\downloads\mdt\ MicrosoftDeploymentToolkit_x64. exe) с параметрами по умолчанию.Install MDT (D:\Downloads\MDT\MicrosoftDeploymentToolkit_x64.exe) with the default settings.

Создайте структуру подразделенийCreate the OU structure

Перейдите на DC01 и выполните описанные ниже действия на DC01.Switch to DC01 and perform the following procedures on DC01:

Чтобы создать структуру подразделений, вы можете использовать консоль "пользователи и компьютеры Active Directory" (DSA. msc) или Windows PowerShell.To create the OU structure, you can use the Active Directory Users and Computers console (dsa.msc), or you can use Windows PowerShell.

Чтобы использовать Windows PowerShell, скопируйте указанные ниже команды в текстовый файл и сохраните его как C:\Setup\Scripts\ou.ps1.To use Windows PowerShell, copy the following commands into a text file and save it as C:\Setup\Scripts\ou.ps1. Убедитесь в том, что вы просматриваете расширения файлов и сохраняете файл с расширением PS1.Be sure that you are viewing file extensions and that you save the file with the .ps1 extension.

$oulist = Import-csv -Path c:\oulist.txt
ForEach($entry in $oulist){
    $ouname = $entry.ouname
    $oupath = $entry.oupath
    New-ADOrganizationalUnit -Name $ouname -Path $oupath
    Write-Host -ForegroundColor Green "OU $ouname is created in the location $oupath"
}

Затем скопируйте приведенный ниже список имен и путей подразделений в текстовый файл и сохраните его как C:\Setup\Scripts\oulist.txtNext, copy the following list of OU names and paths into a text file and save it as C:\Setup\Scripts\oulist.txt

OUName,OUPath
Contoso,"DC=CONTOSO,DC=COM"
Accounts,"OU=Contoso,DC=CONTOSO,DC=COM"
Computers,"OU=Contoso,DC=CONTOSO,DC=COM"
Groups,"OU=Contoso,DC=CONTOSO,DC=COM"
Admins,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Service Accounts,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Users,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Servers,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Workstations,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Security Groups,"OU=Groups,OU=Contoso,DC=CONTOSO,DC=COM"

Наконец, откройте на DC01 запрос Windows PowerShell с повышенными привилегиями и запустите сценарий OU. ps1:Lastly, open an elevated Windows PowerShell prompt on DC01 and run the ou.ps1 script:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location C:\Setup\Scripts
.\ou.ps1

Будет создана структура подразделений, как показано ниже.This will create an OU structure as shown below.

Структура подразделений

Чтобы использовать консоль "пользователи и компьютеры Active Directory" (вместо PowerShell), выполните указанные ниже действия.To use the Active Directory Users and Computers console (instead of PowerShell):

На DC01:On DC01:

  1. Используя консоль "пользователи и компьютеры Active Directory" (DSA. msc) на уровне домена contoso.com, создайте OU верхнего уровня под названием contoso.Using the Active Directory Users and Computers console (dsa.msc), in the contoso.com domain level, create a top-level OU named Contoso.
  2. В подразделении Contoso создайте следующие OU:In the Contoso OU, create the following OUs:
    1. Учетные записиAccounts
    2. КомпьютерыComputers
    3. ГруппыGroups
  3. В подразделении Contoso / Accounts создайте следующие подразделения нижнего уровня:In the Contoso / Accounts OU, create the following underlying OUs:
    1. АдминистраторыAdmins
    2. Учетные записи службService Accounts
    3. ПользователиUsers
  4. В подразделении Contoso / Computers создайте следующие подразделения нижнего уровня:In the Contoso / Computers OU, create the following underlying OUs:
    1. СерверыServers
    2. Рабочие станцииWorkstations
  5. В Contoso / Groups создайте следующее подразделение:In the Contoso / Groups OU, create the following OU:
    1. Группы безопасностиSecurity Groups

Конечный результат обоих методов показан ниже.The final result of either method is shown below. Далее будет создана учетная запись MDT_BA .The MDT_BA account will be created next.

Создайте учетную запись службы MDTCreate the MDT service account

Учетная запись для MDT понадобится при создании эталонного образа.When creating a reference image, you need an account for MDT. Учетная запись сборки MDT используется в среде предварительной установки Windows (Windows PE) для подключения к MDT01.The MDT build account is used for Windows Preinstallation Environment (Windows PE) to connect to MDT01.

Чтобы создать учетную запись для сборки MDT, откройте elevalted Windows PowerShell на DC01 и введите следующую команду (скопируйте и вставьте целиком, заметив полосу прокрутки в нижней части экрана).To create an MDT build account, open an elevalted Windows PowerShell prompt on DC01 and enter the following (copy and paste the entire command, taking care to notice the scroll bar at the bottom). Эта команда создаст MDT_BA учетную запись пользователя и установит для пароля значение "pass@word1".This command will create the MDT_BA user account and set the password to "pass@word1":

New-ADUser -Name MDT_BA -UserPrincipalName MDT_BA -path "OU=Service Accounts,OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM" -Description "MDT Build Account" -AccountPassword (ConvertTo-SecureString "pass@word1" -AsPlainText -Force) -ChangePasswordAtLogon $false -PasswordNeverExpires $true -Enabled $true

Если вы открыли консоль "пользователи и компьютеры Active Directory", вы можете обновить представление и просмотреть эту новую учетную запись в подразделении учетных записей Contoso\Accounts\Service , как показано на снимке экрана выше.If you have the Active Directory Users and Computers console open you can refresh the view and see this new account in the Contoso\Accounts\Service Accounts OU as shown in the screenshot above.

Создание и общий доступ к папке с журналамиCreate and share the logs folder

По умолчанию MDT сохраняет файлы журналов локально на клиенте.By default MDT stores the log files locally on the client. Для записи эталонного образа необходимо включить ведение журналов на сервере, а для этого потребуется папка для хранения журналов.In order to capture a reference image, you will need to enable server-side logging and, to do that, you will need to have a folder in which to store the logs. Подробнее см. в разделе Создание эталонного образа Windows 10.For more information, see Create a Windows 10 reference image.

На MDT01:On MDT01:

  1. Войдите в учетную запись CONTOSO\administrator.Sign in as CONTOSO\administrator.

  2. Создайте папку D:\Logs и предоставьте к ней общий доступ, выполнив следующие команды в командной строке Windows PowerShell с повышенными привилегиями:Create and share the D:\Logs folder by running the following commands in an elevated Windows PowerShell prompt:

    New-Item -Path D:\Logs -ItemType directory
    New-SmbShare -Name Logs$ -Path D:\Logs -ChangeAccess EVERYONE
    icacls D:\Logs /grant '"MDT_BA":(OI)(CI)(M)'
    

См. приведенный ниже пример.See the following example:

Папка "журналы"

Используйте средство CMTrace для чтения файлов журнала (необязательно)Use CMTrace to read log files (optional)

Файлы журналов в MDT Lite Touch форматируются для чтения с помощью трассировки Configuration Manager (CMTrace), которая доступна в составе набора средств Microsoft System 2012 R2 Center Configuration Manager.The log files in MDT Lite Touch are formatted to be read by Configuration Manager Trace (CMTrace), which is available as part of the Microsoft System 2012 R2 Center Configuration Manager Toolkit. Кроме того, необходимо загрузить это средство.You should also download this tool.
Вы можете использовать Блокнот (пример ниже):You can use Notepad (example below):

рис. 8

Кроме того, CMTrace форматирование значительно упрощает чтение журналов.Alternatively, CMTrace formatting makes the logs much easier to read. Просмотрите один и тот же файл журнала, Открытый в CMTrace:See the same log file below, opened in CMTrace:

рис. 9

После установки файла ConfigMgrTools. MSI вы можете найти cmtrace и закрепить его на панели задач, чтобы быстро получить доступ к ней.After installing the ConfigMgrTools.msi file, you can search for cmtrace and pin the tool to your taskbar for easy access.

Дальнейшие действияNext steps

После выполнения всех действий, описанных в этом разделе, ознакомьтесь со статьей Создание эталонного изображения для Windows 10.When you have completed all the steps in this section to prepare for deployment, see Create a Windows 10 reference image.

ПриложениеAppendix

Файлы примераSample files

Ниже приведены примеры файлов, которые можно использовать для автоматизации некоторых задач развертывания с помощью MDT.The following sample files are also available to help automate some MDT deployment tasks. Это руководство не использует эти файлы, но они становятся доступны здесь, чтобы можно было видеть, как некоторые задачи можно автоматизировать с помощью Windows PowerShell.This guide does not use these files, but they are made available here so that you can see how some tasks can be automated with Windows PowerShell.

  • Gather.ps1.Gather.ps1. Этот образцовый сценарий Windows PowerShell выполняет процесс MDT Gather в смоделированной среде MDT.This sample Windows PowerShell script performs the MDT Gather process in a simulated MDT environment. Это позволяет проверить правильность работы процесса сбора MDT без полного развертывания Windows.This allows you to test the MDT gather process and check to see if it is working correctly without performing a full Windows deployment.
  • Set-OUPermissions.ps1.Set-OUPermissions.ps1. Этот образцовый сценарий Windows PowerShell создает запись домена, а затем настраивает разрешения подразделения таким образом, чтобы учетная запись могла присоединять компьютеры к домену в организационном подразделении.This sample Windows PowerShell script creates a domain account and then configures OU permissions to allow the account to join machines to the domain in the specified OU.
  • MDTSample.zip.MDTSample.zip. Эта веб-служба из примера показывает, как динамически настроить имя компьютера с помощью MDT.This sample web service shows you how to configure a computer name dynamically using MDT.