MDT による展開の準備

適用対象:

• Windows 10

この記事では、Microsoft Deployment Toolkit (MDT) を使用してWindows 10を展開するためにネットワークとサーバーのインフラストラクチャを準備するために必要な手順について説明します。 必要なシステムの前提条件のインストール、共有フォルダーとサービス アカウントの作成、ファイル システムと Active Directory でのセキュリティアクセス許可の構成について説明します。

インフラストラクチャ

このガイドの手順では、次の名前とインフラストラクチャを使用します。

ネットワークとサーバー

この記事では、DC01、MDT01、HV01 の 3 つのサーバー コンピューターを使用します。

• すべてのサーバーで Windows Server 2019 が実行されています。

  • 以前のバージョンの Windows Server を使用して、一部の手順を軽微に変更できます。

• DC01 は、架空の Contoso Corporation を表す、 contoso.com 用のドメイン コントローラー、DHCP サーバー、DNS サーバーです。

• MDT01 は、少なくとも 200 GB を格納できるデータ (D:) ドライブを備えた、contoso.com のドメイン メンバー サーバーです。 MDT01 は展開共有をホストし、Windows 展開サービスを実行します。 必要に応じて、MDT01 も WSUS サーバーです。

  • MDT01 と同じように構成された 2 つ目の MDT サーバー (MDT02) は、必要に応じて、Windows 10展開用の分散環境を構築するために使用されます。 このサーバーは MDT01 とは異なるサブネット上にあり、異なる既定のゲートウェイを持ちます。

• HV01 は、Windows 10参照イメージの構築に使用される Hyper-V ホスト コンピューターです。

  • HV01 の詳細については、以下 の Hyper-V 要件 に関するページを参照してください。

クライアント コンピューター

このガイドでは、PC0001 から PC0007 のホスト名を使用して、いくつかのクライアント コンピューターを参照しています。

• PC0001: x64 Windows 10 Enterprise実行しているコンピューター。最新のセキュリティ更新プログラムで完全にパッチが適用され、contoso.com ドメインのメンバーとして構成されています。

  • クライアント名: PC0001
  • IP アドレス: DHCP

• PC0002: Windows 7 SP1 Enterprise x64 を実行しているコンピューター。最新のセキュリティ更新プログラムで完全にパッチが適用され、contoso.com ドメインのメンバーとして構成されています。 このコンピューターは、移行シナリオ中に参照されます。

  • クライアント名: PC0002
  • IP アドレス: DHCP

• PC0003 - PC0007: これらは、このガイドで使用される PC0001 や PC0002 に似た他のクライアント コンピューターであり、さまざまなシナリオで別のガイドで使用されます。 デバイス名は、各シナリオ内でわかりやすくするためにインクリメントされます。 たとえば、PC0003 と PC0004 は PC0002 と同じように Windows 7 を実行していますが、それぞれConfiguration Manager更新と置換のシナリオに使用されます。

ストレージ要件

MDT01 と HV01 には、データ ドライブ (D:) に最大 200 GB のファイルを格納できる必要があります。 単一のシステム パーティション (C:) を持つコンピューターを使用する場合は、D: ドライブではなく C: ドライブを指定するために、このガイドのいくつかの手順を調整する必要があります。

Hyper-V 要件

Hyper-V サーバーにアクセスできない場合は、Windows 10またはWindows 8.1 コンピューターに Hyper-V を一時的にインストールして、参照イメージの構築に使用できます。 Windows 10で Hyper-V を有効にする方法については、Windows 10展開テスト ラボ ガイドの「サポートの確認と Hyper-V のインストール」セクションを参照してください。 このガイドは、Hyper-V をインストールするための詳細な手順を含む概念実証ガイドです。

ネットワーク要件

このガイドで参照されているサーバー コンピューターとクライアント コンピューターはすべて同じサブネット上にあります。 これは必須ではありませんが、各サーバーとクライアント コンピューターが相互に接続してファイルを共有し、contoso.com ドメインのすべての DNS 名と Active Directory 情報を解決できる必要があります。 OS およびアプリケーションの更新プログラムをダウンロードするには、インターネット接続も必要です。

ドメイン資格情報

このガイドでは、次の一般的な資格情報を使用します。 これらの資格情報は、各手順に表示される資格情報を自分の資格情報に置き換える必要があります。

• Active Directory ドメイン名: contoso.com
• ドメイン管理者のユーザー名: administrator
• ドメイン管理者のパスワード: pass@word1

組織単位の構造

このガイドでは、次の OU 構造を使用します。 必要な OU の作成に役立つ手順を 以下に示します 。

Windows ADK をインストールする

これらの手順では、MDT01 メンバー サーバーが実行され、ドメイン メンバー サーバーとして構成されていることを前提としています。

MDT01 の場合:

[Windows ADK のダウンロードとインストール] ページにアクセスし、次の項目を MDT01 の D:\Downloads\ADK フォルダーにダウンロードします (このフォルダーを作成する必要があります)。

• windows ADK for Windows 10
• ADK の Windows PE アドオン
• Windows システム イメージ マネージャー (WSIM) 1903 更新プログラム
• (省略可能) BIOS ファームウェアのMDT_KB4564442パッチ
  • このパッチは、BIOS ベースのマシンを UEFI ベースのマシンとして検出するバグを解決するために必要です。 UEFI デプロイがある場合は、このパッチは必要ありません。

ヒント

インターネットからサーバーにファイルをダウンロードするには、管理者向けの IE 拡張セキュリティ構成を一時的に無効にする必要がある場合があります。 この設定は、サーバー マネージャー (ローカル サーバー/プロパティ) を使用して無効にすることができます。

1. MDT01 で、CONTOSO ドメインの管理者としてサインインしていることを確認します。

   • このガイドでは、pass@word1のパスワードを使用して、管理者のドメイン 管理 アカウントを使用しています。 これらのログイン資格情報を使用するこのガイドのすべての手順を適切に調整する限り、独自の管理者のユーザー名とパスワードを使用できます。

2. ADK セットアップ (D:\Downloads\ADK\adksetup.exe) を開始し、[次へ] を 2 回選択して既定のインストール パラメーターを受け入れ、[同意する] を選択して使用許諾契約書に同意し、[インストールする機能の選択] ページで [インストール] をクリックして、既定の機能の一覧をそのまま使用します。 これにより、デプロイ ツールと USMT がインストールされます。 次の手順に進む前に、インストールが正常に完了したことを確認します。

3. WinPE セットアップ (D:\Downloads\ADK\adkwinpesetup.exe) を開始し、[次へ] を 2 回選択して既定のインストール パラメーターを受け入れ、[同意する] を選択して使用許諾契約書に同意し、[インストールする機能の選択] ページで [インストール] を選択します。 これにより、x86、AMD64、ARM、ARM64 用の Windows PE がインストールされます。 次の手順に進む前に、インストールが正常に完了したことを確認します。

4. WSIM 1903 更新プログラム (D:\Downloads\ADK\WSIM1903.zip) を抽出し、UpdateWSIM.bat ファイルを実行します。

   • 更新プログラムが適用されていることを確認するには、 C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\WSIM で ImageCat.exe ファイルと ImgMgr.exe ファイルのプロパティを表示し、[ 詳細 ] タブに ファイル バージョン10.0.18362.144 以降が表示されていることを確認します。

5. BIOS ベースの展開用のオプションのMDT_KB4564442パッチをダウンロードした場合は、 このサポート記事 を参照して、パッチをインストールする方法を確認してください。

Windows Deployment Services (WDS) をインストールして初期化する

MDT01 の場合:

1. 管理者特権のWindows PowerShell プロンプトを開き、次のコマンドを入力します。

Install-WindowsFeature -Name WDS -IncludeManagementTools
WDSUTIL.exe /Verbose /Progress /Initialize-Server /Server:MDT01 /RemInst:"D:\RemoteInstall"
WDSUTIL.exe /Set-Server /AnswerClients:All

省略可能: Windows Server Update Services (WSUS) をインストールする

WINDOWS INTERNAL DATABASE (WID) を使用して MDT を WSUS サーバーとして使用する場合は、次のコマンドを使用してこのサービスをインストールします。 または、このガイドの WSUS サーバー情報を環境内の WSUS サーバーに変更します。

MDT01 に WSUS をインストールするには、管理者特権のWindows PowerShell プロンプトで次のように入力します。

Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI
cd "C:\Program Files\Update Services\Tools"
.\wsusutil.exe postinstall CONTENT_DIR=C:\WSUS

注

MDT01 にインストールした WSUS を使用するには、DC01 にグループ ポリシーを構成し、MDT01 で WSUS のインストール後に必要な構成を実行する必要もあります。

MDT のインストール

注

MDT のインストールには、以下が必要です。

• Windows 10 用の Windows アセスメント & デプロイメント キット (前の手順でインストール済み)
• Windows PowerShell (バージョン 5.1 をお勧めします。「」と入力$hostしてチェック)
• Microsoft .NET Framework

MDT01 の場合:

1. [MDT リソース] ページにアクセスし、[MDT のダウンロード] を選択します。

2. MicrosoftDeploymentToolkit_x64.msi ファイルを MDT01 の D:\Downloads\MDT フォルダーに保存します。

   注

   このガイドの公開日の時点で、MDT の現在のバージョンは 8456 (6.3.8456.1000) ですが、それ以降のバージョンも機能します。

3. 既定の設定で MDT (D:\Downloads\MDT\MicrosoftDeploymentToolkit_x64.exe) をインストールします。

OU 構造の作成

DC01 に切り替え、DC01 で次の手順を実行します。

OU 構造を作成するには、Active Directory ユーザーとコンピューター コンソール (dsa.msc) を使用するか、または次の Windows PowerShell を使用できます。

次の OU 名とパスの一覧を CSV ファイルにコピーし、 として ~\Setup\Scripts\oulist.csv保存します。

OUName,OUPath
Contoso,"DC=CONTOSO,DC=COM"
Accounts,"OU=Contoso,DC=CONTOSO,DC=COM"
Computers,"OU=Contoso,DC=CONTOSO,DC=COM"
Groups,"OU=Contoso,DC=CONTOSO,DC=COM"
Admins,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Service Accounts,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Users,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Servers,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Workstations,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Security Groups,"OU=Groups,OU=Contoso,DC=CONTOSO,DC=COM"

次に、次のコマンドをファイルにコピーし、 として ~\Setup\Scripts\ou.ps1保存します。 このとき、ファイル拡張子を表示して、ファイルを .ps1 拡張子で保存していることを確認してください。

Import-CSV -Path $home\Setup\Scripts\oulist.csv | ForEach-Object {
    New-ADOrganizationalUnit -Name $_.ouname -Path $_.oupath
    Write-Host -ForegroundColor Green "OU $($_.ouname) is created in the location $($_.oupath)"
}

最後に、DC01 で管理者特権のWindows PowerShell プロンプトを開き、スクリプトを実行しますou.ps1。

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location $home\Setup\Scripts
.\ou.ps1

これにより、次に示すように OU 構造が作成されます。

(PowerShell ではなく) Active Directory ユーザーとコンピューター コンソールを使用するには:

DC01 の場合:

1. Active Directory ユーザーとコンピューター コンソール (dsa.msc) を使用して、contoso.com ドメイン レベルで Contoso という名前の最上位 OU を作成します。

2. Contoso OU で、次の OU を作成します。

   • Accounts
   • Computers
   • Groups

3. Contoso / Accounts OU で、次の下位 OU を作成します。

   • Admins
   • Service Accounts
   • Users

4. Contoso / Computers OU で、次の下位 OU を作成します。

   • Servers
   • Workstations

5. Contoso / Groups OU で、次の OU を作成します。

   • Security Groups

次に、いずれかのメソッドの最終的な結果を示します。 次に、MDT_BA アカウントが作成されます。

MDT サービス アカウントの作成

参照イメージを作成するときは、MDT のアカウントが必要です。 MDT ビルド アカウントは、WINDOWS プレインストール環境 (Windows PE) で MDT01 に接続するために使用されます。

MDT ビルド アカウントを作成するには、DC01 で管理者特権のWindows PowerShell プロンプトを開き、次のように入力します (コマンド全体をコピーして貼り付け、下部のスクロール バーに注意してください)。 このコマンドは、MDT_BA ユーザー アカウントを作成し、パスワードを "pass@word1" に設定します。

New-ADUser -Name MDT_BA -UserPrincipalName MDT_BA -path "OU=Service Accounts,OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM" -Description "MDT Build Account" -AccountPassword (ConvertTo-SecureString "pass@word1" -AsPlainText -Force) -ChangePasswordAtLogon $false -PasswordNeverExpires $true -Enabled $true

Active Directory ユーザーとコンピューター コンソールを開いている場合は、ビューを更新し、上のスクリーンショットに示すように Contoso\Accounts\Service Accounts OU にこの新しいアカウントを表示できます。

ログ フォルダーの作成と共有

既定では、MDT はクライアント上にローカルにログ ファイルを保存します。 参照イメージをキャプチャするには、サーバー側のログ記録を有効にする必要があります。そのためには、ログを格納するフォルダーが必要です。 詳しくは、「Windows 10 参照イメージの作成」をご覧ください。

MDT01 の場合:

1. CONTOSO\administrator としてサインインします。

2. 管理者特権のWindows PowerShell プロンプトで次のコマンドを実行して、D:\Logs フォルダーを作成して共有します。

   New-Item -Path D:\Logs -ItemType directory
   New-SmbShare -Name Logs$ -Path D:\Logs -ChangeAccess EVERYONE
   icacls D:\Logs /grant '"MDT_BA":(OI)(CI)(M)'
   

次に例を示します。

サポート センター OneTrace または CMTrace を使用してログ ファイルを読み取る (省略可能)

MDT Lite Touch のログ ファイルは、 サポート センター OneTrace または CMTrace によって読み取られる形式 になっています。

メモ帳を使用してログ ファイルを読み取ることができます (下の例)。

ただし、サポート センター OneTrace または CMTrace を使用すると、ログの読み取りがはるかに簡単になります。 CMTrace で開かれた同じログ ファイルを以下に示します。

サポート センター OneTrace と CMTrace はどちらも、Microsoft Configuration Managerの一部として利用できます。

次のステップ

デプロイの準備のためにこのセクションのすべての手順を完了したら、「Windows 10参照イメージを作成する」を参照してください。

付録

サンプル ファイル

次のサンプル ファイルは、一部の MDT デプロイ タスクの自動化にも役立ちます。 このガイドではこれらのファイルを使用しませんが、ここで使用できるため、一部のタスクをWindows PowerShellで自動化する方法を確認できます。

• Set-OUPermissions.ps1。 このサンプル Windows PowerShell スクリプトは、ドメイン アカウントを作成し、OU アクセス許可を構成して指定された OU のドメインにアカウントがコンピューターを参加させられるようにします。
• MDTSample.zip。 このサンプル Web サービスでは、MDT を使って動的にコンピューター名を構成する方法を示します。