Jump to content

WSUS questionnement


Recommended Posts

Bonjour à tous, je me permets de poster ici afin de profiter de vos lumières.

 

Je suis actuellement en stage et l'entreprise pour laquelle je travaille dispose de plusieurs sites répartis sur la région. 

Le parc se compose de 300-400 postes sous Windows 7, 8, 8.1 et 10 et certains sous XP. 

Le service WSUS a été mis en place il n'y a pas longtemps et a été arrêté car il saturait la bande passante. 

Ma mission : trouver des pistes ou une solution (c'est encore mieux) pour régler ce problème. 

Le service WSUS est déjà paramétré pour télécharger les MAJ la nuit, c'est lorsque les PC des sites distants récupèrent ces MAJ que la bande passante est saturée. 

J'ai donc fait mes recherches et j'en suis venue à la conclusion que, mettre des réplicas du serveur WSUS parent sur les sites distants pourrait être une bonne solution. 

Le problème est le suivant : Dans l'AD, tous les PC sont regroupés dans l'UO Computers et ne sont pas affectés à leur site. Impossible donc, de savoir sur quel site se trouve quel PC. 

Pour que les PC puissent récupérer les MAJ sur le serveur WSUS enfant de leur site, c'est là que je bloque. 

 

Sauriez-vous me conseiller pour résoudre ce problème ?

 

Je vous remercie par avance pour le temps que vous prendrez à me répondre !

Au plaisir d'échanger avec vous !

 

Link to comment
Share on other sites

Je me demande s'il n'est pas possible de gérer cela par GPO.

Demander aux PC du sous-réseaux 192.168.X.Y (ou X est utilisé pour la mise à jour au lieu du nom des PC) de se connecter sur le serveur réplica WSUS de leur site. 

 

Etant novice, je ne sais pas si cela est possible et mes recherches ont été infructueuses. 

 

Qu'en pensez-vous ?

Link to comment
Share on other sites

Bonjour,

 

Pour limiter la bande passante, il faut installer un serveur maitre et des serveurs replica sur les sites distants (un simple PC est suffisant).

Le serveur maitre dispose d'une console centralisé qui te permet de gérer tes postes et les orienter sur les serveurs les plus proches (en fonction de l'IP par exemple)

https://docs.microsoft.com/fr-fr/windows-server/administration/windows-server-update-services/manage/running-wsus-replica-mode

Pour les GPO, Dans les stratégies de groupe, Configuration de l'ordinateur, Modèle d'administration, Composant Windows, Windows Update, tu peux définir, entre autre, sur quel serveur pointer (propriété de spécifier l'emplacement intranet du service de mise à jour)

https://docs.microsoft.com/fr-fr/windows/deployment/update/waas-manage-updates-wsus

Tu peux également limiter les mises à jour à déployer (les critiques et majeurs pas exemple)

Pour finir, dans l'AD, la création des sites et le classement des UC en fonction de leur emplacements prend du temps mais est tout de même bien utile notamment pour ce genre de problème (idem avec les antivirus)

Link to comment
Share on other sites

Salut

 

combien as tu de site distant ?

quel est le débit entre le site principal et les autres sites ?

pour classer les pc tu peux :

- utiliser un logiciel d inventaire de parc

- appliquer une ou des gpo sur ton ou computer ; ah ben non vu que c est un dossier de base tu dois créer une ou distincte; sur cette ou appliquer gpo avec filtre WMI  se basant sur l ip de la carte réseau ou la gateway

 

Link to comment
Share on other sites

Le 05/05/2021 à 17:50, Culnuteur a dit :

Distribuez des mises à jour avec WSUS - Prenez en main Windows Server - OpenClassrooms

 

Attention le serveur WSUS a besoin de beaucoup de place ...

Bonjour, 

Je vous remercie pour le lien, cependant, je connais déjà ce cours d'OpenClassrooms puisque celui-ci fait parti de ma formation 😄 Peut-être ai-je rater des choses dans ce cours, je vais donc le relire avec attention. 

Link to comment
Share on other sites

Le 05/05/2021 à 20:34, Coyote a dit :

Bonjour,

 

Pour limiter la bande passante, il faut installer un serveur maitre et des serveurs replica sur les sites distants (un simple PC est suffisant).

Le serveur maitre dispose d'une console centralisé qui te permet de gérer tes postes et les orienter sur les serveurs les plus proches (en fonction de l'IP par exemple)

https://docs.microsoft.com/fr-fr/windows-server/administration/windows-server-update-services/manage/running-wsus-replica-mode

Pour les GPO, Dans les stratégies de groupe, Configuration de l'ordinateur, Modèle d'administration, Composant Windows, Windows Update, tu peux définir, entre autre, sur quel serveur pointer (propriété de spécifier l'emplacement intranet du service de mise à jour)

https://docs.microsoft.com/fr-fr/windows/deployment/update/waas-manage-updates-wsus

Tu peux également limiter les mises à jour à déployer (les critiques et majeurs pas exemple)

Pour finir, dans l'AD, la création des sites et le classement des UC en fonction de leur emplacements prend du temps mais est tout de même bien utile notamment pour ce genre de problème (idem avec les antivirus)

Bonjour, 

Merci pour les deux liens que vous me conseillez ! Je les ai cependant déjà lu et je n'arrive pas à régler mon problème avec ces informations. 

Si j'ai bien compris ce que vous me dites et que je recoupe ça avec mes recherches précédentes :

* Le serveur réplica sur les sites distants téléchargera les MAJ sur le serveur maître (ça c'est ok dans ma tête)

* Ensuite, il faudra que je configure mes PC afin que ceux-ci se connectent au serveur réplica de leur site (via l'adresse IP du serveur réplica notamment). 

Mon problème est le suivant : je ne sais pas sur quel site sont les PC étant donné que ceux-ci ne sont pas ordonnés dans l'AD.

Est-ce que cela est important ou pas du coup ?

C'est pour cela que mon maître de stage me demande de chercher à gérer les MAJ des PC via leur sous réseau et non pas leur nom ou appartenance à un groupe ou à un site. 

Cependant, je ne sais vraiment pas comment faire une telle chose. Plus j'y réfléchis, et plus j'ai l'impression de ne pas comprendre ce que je cherche à faire.

Je m'excuse donc si cela vous paraît brouillon (ça l'est pour moi également 😂)

Link to comment
Share on other sites

Le 05/05/2021 à 23:13, Exelsis a dit :

Salut

 

combien as tu de site distant ?

quel est le débit entre le site principal et les autres sites ?

pour classer les pc tu peux :

- utiliser un logiciel d inventaire de parc

- appliquer une ou des gpo sur ton ou computer ; ah ben non vu que c est un dossier de base tu dois créer une ou distincte; sur cette ou appliquer gpo avec filtre WMI  se basant sur l ip de la carte réseau ou la gateway

 

Bonjour, 

 

Nous avons 7 sites dont 6 distants. 

Le débit entre le site principal et les autres sites est de 2 à 4 Mégas. 

Je n'avais pas pensé à utiliser un logiciel d'inventaire de parc. Ca m'a l'air d'être une bonne idée. 

La seconde idée est également intéressante et me permettrait de régler mon problème.

Je ne connais pas du tout le fonctionnement des filtres WMI, cela me fera donc découvrir quelque chose de nouveau ! 👌

Je vous remercie pour votre réponse !

Link to comment
Share on other sites

Quelques pistes :

 

Tes sites sont sur un sous réseau différent ?

Si oui, tu ping (nom de machine) chacun des postes et tu connaitras leur site respectif.

 

Tes sites sont en DHCP ?

Si oui, regardes les machines connectées sur chacun d'eux.

 

Tu peux également utiliser un sniffer d'IP.

 

PS : Faire gaffe aux pc nomade susceptible d'etre connecter sur plusieurs site...

https://social.technet.microsoft.com/Forums/fr-FR/2b0df459-6c81-40b2-a0e4-3111fa2fecf7/utiliser-le-bon-serveur-wsus-selon-son-agence?forum=windowsserver8fr

 

Link to comment
Share on other sites

Tu peux régler le service BITS sur chaque WSUS pour qu il télécharge la nuit les MAJ Windows depuis Microsoft  via une GPO.

 

du coup il faut soumettre à ton tuteur que chaque pc doit être classer dans une OU à chaque intégration dans l AD sa facilite le job.

 

 

Link to comment
Share on other sites

Le 07/05/2021 à 16:12, Coyote a dit :

Quelques pistes :

 

Tes sites sont sur un sous réseau différent ?

Si oui, tu ping (nom de machine) chacun des postes et tu connaitras leur site respectif.

 

Tes sites sont en DHCP ?

Si oui, regardes les machines connectées sur chacun d'eux.

 

Tu peux également utiliser un sniffer d'IP.

 

PS : Faire gaffe aux pc nomade susceptible d'etre connecter sur plusieurs site...

https://social.technet.microsoft.com/Forums/fr-FR/2b0df459-6c81-40b2-a0e4-3111fa2fecf7/utiliser-le-bon-serveur-wsus-selon-son-agence?forum=windowsserver8fr

 

Bonjour,

effectivement, les sites sont sur un sous réseau différent et sont bien en DHCP. 

J'avais totalement oublié la solution du ping qui me permettrait de découvrir sur quel site se trouve un PC. Merci de m'en avoir parlé !

J'ai également à faire à des postes nomades. Ton lien va beaucoup m'aider !

Link to comment
Share on other sites

Le 08/05/2021 à 10:57, Exelsis a dit :

Tu peux régler le service BITS sur chaque WSUS pour qu il télécharge la nuit les MAJ Windows depuis Microsoft  via une GPO.

 

du coup il faut soumettre à ton tuteur que chaque pc doit être classer dans une OU à chaque intégration dans l AD sa facilite le job.

 

 

Effectivement, après mes recherches, j'avais découvert le service BITS. Cela m'avait paru intéressant. J'avais parlé à mon tuteur de l'intérêt de prendre le temps d'organiser l'AD mais celui-ci n'est pas forcément d'accord car il m'a expliqué que l'AD serait propre quelques mois et que fatalement, petit à petit on oublierait de le mettre à jour (par exemple si un PC change de secteur, si un PC part au recyclage etc). 

Link to comment
Share on other sites

Bonjour,

 

Une AD bien rangée doit faire partie des bonnes pratiques du SI. Pour le déplacement, recyclage ou autre d'un PC, c'est l'histoire de quelques instants. Pour un parc de 300-400 machines, ça représente quoi ? 10 machines par mois grand max. De plus, il faut bien retirer de l'AD les machines obsolètes.

https://www.netwrix.fr/group_policy_best_practices.html

"N’utilisez pas les dossiers racines Utilisateurs ou Ordinateurs dans Active Directory

Ces dossiers ne sont pas des OU, ils ne peuvent donc pas être associés à des GPO. La seule manière d’appliquer des stratégies à ces dossiers est de les associer au niveau domaine, mais comme nous l’avons expliqué, vous devez éviter cela. Par conséquent, dès qu’un nouvel objet utilisateur ou ordinateur apparaît dans ces dossiers, déplacez-le immédiatement dans l’OU appropriée.'

 

Avez-vous un contrôleur de domaine par site ? 

 

Link to comment
Share on other sites

Il y a 17 heures, Coyote a dit :

Bonjour,

 

Une AD bien rangée doit faire partie des bonnes pratiques du SI. Pour le déplacement, recyclage ou autre d'un PC, c'est l'histoire de quelques instants. Pour un parc de 300-400 machines, ça représente quoi ? 10 machines par mois grand max. De plus, il faut bien retirer de l'AD les machines obsolètes.

https://www.netwrix.fr/group_policy_best_practices.html

"N’utilisez pas les dossiers racines Utilisateurs ou Ordinateurs dans Active Directory

Ces dossiers ne sont pas des OU, ils ne peuvent donc pas être associés à des GPO. La seule manière d’appliquer des stratégies à ces dossiers est de les associer au niveau domaine, mais comme nous l’avons expliqué, vous devez éviter cela. Par conséquent, dès qu’un nouvel objet utilisateur ou ordinateur apparaît dans ces dossiers, déplacez-le immédiatement dans l’OU appropriée.'

 

Avez-vous un contrôleur de domaine par site ? 

 

Bonjour, merci pour vos précisions !

Je vais soumettre à nouveau l'idée de reprendre l'AD pour le rendre plus lisible et plus efficace. 

Nous avons deux contrôleurs de domaine mais pas un par site. Les deux sont sur le site où nous travaillons. 

Selon vous, il faudrait avoir un contrôleur de domaine par site ? Pourriez-vous me dire pourquoi, s'il vous plait ?

Link to comment
Share on other sites

Je me pose encore quelques questions. Si je peux encore bénéficier de vos lumières, je vous en remercie ! 

 

Après mes recherches sur la mise en place de serveurs réplicas, j'ai découvert qu'il fallait l'installer exactement comme le serveur parent. Il faut spécifier que la synchronisation doit se faire sur le serveur parent et non à partir de Microsoft Update. Enfin, il faut spécifier qu'il s'agit bien d'un réplica. 

Ensuite, on démarre la synchronisation et notre serveur réplica devrait être opérationnel. 

Mon questionnement est le suivant : le réplica récupérera bien les MAJ sur le serveur parent comme nous lui avons spécifié lors du paramétrage ? Pas besoin de mettre en place une GPO pour lui dire de récupérer les MAJ sur le serveur parent ? (je ne sais pas si cela est possible, d'ailleurs).

 

Ensuite, en ce qui concerne la distribution des MAJ grâce aux réplicas, j'ai deux options qui s'offre à moi :

- Soit on met de l'ordre dans notre AD et on tri les PC par sites. Ainsi, on aura plus qu'à spécifier quel site doit se connecter sur quel réplica 

- Soit je dois faire un ping sur chacun des PC de chaque site pour savoir à quel site ils appartiennent en fonction de leur sous-réseau. Cela afin de leur spécifier sur quel réplica ils doivent récupérer les MAJ. 

 

Est-ce que j'ai bien compris ? 

Link to comment
Share on other sites

Ou bien, dites moi si cela est possible, j'ai une dernière option pour distribuer les MAJ sur les PC à partir des réplicas.

A l'aide d'un script, je demande à tous les PC du sous réseau 192.168.X.Y de se connecter sur le réplica qui leur seront dédié. Et ainsi de suite. 

Est-ce que c'est une solution viable ou pas, selon vous ?

Link to comment
Share on other sites

Selon vous, il faudrait avoir un contrôleur de domaine par site ? Ma question était juste pour comprendre l’architecture mise en place.

 

Pourriez-vous me dire pourquoi, s'il vous plait ? Un contrôleur de domaine par site n’est pas une obligation. Tout dépend des liens inter-sites et de l'ampleur de l'architecture.

 

Le réplica récupérera bien les MAJ sur le serveur parent comme nous lui avons spécifié lors du paramétrage ?  Oui

 

Pas besoin de mettre en place une GPO pour lui dire de récupérer les MAJ sur le serveur parent ? Non

https://akril.net/installation-de-wsus-sur-windows-server-2019/ ' C’est donc à ce moment de la configuration que vous pouvez associer un serveur WSUS à un autre serveur WSUS de votre infrastructure."

 

 - Soit on met de l'ordre dans notre AD et on tri les PC par sites. Ainsi, on aura plus qu'à spécifier quel site doit se connecter sur quel réplica 

- Soit je dois faire un ping sur chacun des PC de chaque site pour savoir à quel site ils appartiennent en fonction de leur sous-réseau. Cela afin de leur spécifier sur quel réplica ils doivent récupérer les MAJ. 

- A l'aide d'un script, je demande à tous les PC du sous réseau 192.168.X.Y de se connecter sur le réplica qui leur seront dédié. Et ainsi de suite.  Est-ce que c'est une solution viable ou pas, selon vous ?

 

Voir 8- Configuration avancée Wsus

https://pcclicblog.wordpress.com/2016/09/13/windows-7/

 

A ta place, je reprendrai tout depuis de début en progressant par étapes et en prenant le temps de comprendre le fonctionnement :

-     -  Casser la config actuelle pour ne pas mettre le souk  : retirer la GPO si toujours actives, gpupdate /force sur tous les postes (bien vérifier sur un panel de postes hétérogène que ta modif est bien effective !) et retirer tous les postes de la console du WSUS, … afin de partir sur une base saine.

-     -  Créer une OU, y mettre un poste de test, la GPO, gpupdate /force sur le poste et vérifier sa remontée dans la console

-    - Installer un serveur replica, faire remonter un 2eme poste de test sur le serveur replica

-   - Quand tout est OK, tu intègres une 10ene de postes sur chaque serveur et tu vérifies que tout est OK.

-   A partir de là, tu auras compris le fonctionnement et tu pourras installer tes autres serveurs replica et faire remonter les postes selon leur emplacement.

Link to comment
Share on other sites

×
×
  • Create New...