none
WSUS - portables itinérants - round robin RRS feed

  • Discussion générale

  • Bonjour,

    Contexte :

    Chez un client nous nous intéressons à la mise en place d'un infrastructure WSUS multi-sites (10 sites - 500 postes clients).

    30% des postes clients sont des laptops itinérants. Nous étudions donc la manière dont nous pourrions mettre à jour ces postes itinérants.

    Pour info il est prévu de que les serveurs WSUS soient en version 2012R2. 

    Lorsque je lis la documentation officielle de Microsoft de planification d'un déploiement WSUS suivante : https://docs.microsoft.com/fr-fr/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment

    Je vois que concernant les laptops itinérants, ils proposent d'utiliser un enregistrement DNS unique qui pointe vers le wsus de chaque site. En gros effectuer du Round Robin DNS.

    Par exemple wsus.entreprise.local qui pointe vers chaque wsus de chaque site.


    Ma problématique :

    C'est pas bête. mais pour utiliser WSUS régulièrement, je sais qu'une fois qu'un ordinateur a contacté un serveur WSUS, ce n'est pas pour autant qu'il reçoit des mises à jour. En effet il faut paramétrer depuis la console du WSUS en question le poste pour accéder à tel groupe de machines.

    Ma question qui en découle :

    Admettons que dans ces conditions, un laptop qui s'est connecté au site 1 et que l'administrateur a intégré dans un groupe du serveur WSUS du site 1 ( laptop_prod par exemple) :

    • si ce laptop se déplace sur un site 2 est ce qu'il gardera la même approbation sur le WSUS du site 2 ?
    • Ou faudra t'il de nouveau l'attribuer à un groupe sur le WSUS du site 2 ?

    Dans le second cas ce serait problématique car avec 150 machines à approuver sur chaque sites et lorsque les utilisateur seront de passage ce sera très compliqué à gérer.

    Je ne sais pas si ma question est bien claire :)

    Bonne journée et merci par avance,

    lundi 17 juin 2019 13:30

Toutes les réponses

  • Bonjour,

    Lorsque que vous dites multi-site, vous avec 10 serveurs WSUS amont/aval ou un server WSUS en central ?

    Est ce que les serveurs DNS sont sur du 2016 ou autre ?

    Car, si vous n’avez qu'un seul WSUS, pas de souci (donc ma première question est bête...).

    Coté GPO, vous pouvez activer le ciblage coté client, ce qui permet d'indiquer au client le répertoire d'enregistrement dans WSUS.

    Si vous êtes en DNS 2016, il y a des stratégies pour faire matcher un sous réseau à une Ip préférée.

    Si vous avez une configuration WSUS amont/aval, vous allez toucher rapidement à la limites de mes connaissances, mais on va chercher.

    Cordialement


    Benoit

    lundi 17 juin 2019 14:06
  • Bonjour,

    Afin de répondre à votre problématique, si les groupes sont configurés à l'identique sur l'ensemble des serveurs, le ciblage coté client peut répondre au besoin.


    Romain

    lundi 17 juin 2019 15:03
  • Bonjour à tous les 2 et merci de vos réponses :

    @Benoit :

    • Tous les serveurs AD/DNS 2012R2, l'upgrade pour 2016 est prévu en 2021.
    • En effet pardon je me suis mal exprimé. Nous aurons 10 sites avec chacun un WSUS. Sur un site nous aurions le maître et sur les 9 autres sites les serveurs WSUS seront des réplica (esclave) du premier.
    • Que veux tu dire par IP préférée ? Tu sous entend que sous 2012 R2, si un client utilise un enregistrement Round Robin il n’obtiendra pas forcément en réponse une IP sur le subnet sur lequel il se trouve ?

    @Romain et Benoit : Le ciblage côté client est intéressant j'avoue que je ne connaissais pas. Je vais regarder cela.

    Du coup reste une question en suspend sur lequel Benoit me met le doute : y a t'il un moyen avec le DNS 2012R2 de faire en sorte que quand le client appel wsus.entreprise.local, il tombe sur le DNS de son propre site ?

    Merci d'avance

    lundi 17 juin 2019 15:38
  • Re,

    Pour répondre à ta second question, si chaque site dispose d'un serveur DNS, il y a la possibilité de mettre en place une solution de contournement.

    sur chaque serveur DNS, créer une zone principale wsus.entreprise.local non lié à l'AD avec un enregistrement A sur le serveur WSUS local de cette façon tu es sur d'aller sur le bon serveur.

    Romain

    lundi 17 juin 2019 16:11
  • Re,

    Pour le DNS en 2016 et non en 2012, il y a des stratégies pour ce type de besoin :

    https://docs.microsoft.com/fr-fr/windows-server/networking/dns/deploy/dns-policies-overview

    #################

    Geo-emplacement en fonction de gestion du trafic. Vous pouvez utiliser une stratégie DNS pour autoriser les serveurs DNS principaux et secondaires répondre aux requêtes du client DNS basés sur l’emplacement géographique du client et la ressource à laquelle le client tente de se connecter, en fournissant le client avec l’adresse IP de la plus proche ressource.

    #################

    +1 pour la solution de Romain.

    Vous pouvez aussi créer un enregistrement DNS par site et lier la GPO sur les sites AD plutôt que les OU.

    Ou le ciblage coté client.

    Il y a plusieurs solutions à votre problématique, à vous de choisir celle qui vous semble le plus adaptée à la plus simple à implémentée dans votre environnement.

    Cordialement


    Benoit

    lundi 17 juin 2019 17:25
  • Bonjour.

    J'ai effectué cette mise en place chez un de nos clients multisites (serveur 2016) avec un WSUS central et 12 autres en aval. Les serveurs en aval remontent les rapports vers le principal.

    Procédure suivi :
    https://docs.microsoft.com/fr-fr/security-updates/WindowsUpdateServices/18127298

    Les stations (Windows 10) se synchronisent bien toutes sur leur WSUS local de leur site.

    A te lire.

    mardi 18 juin 2019 08:22
  • Au niveau DNS, activer round robin et activer tri des masques réseaux actifs.

    J'ai créé une zone dédiée (nomdomaine.wsus) qui contient les enregistrements A de tous les serveurs wsus avec le nom wsus.nomdomaine.wsus. Zone intégrée AD répliquée vers tous serveurs DNS de la forêt.

    GPO unique pour le domaine pour pointer les wsus vers ce nom là.

    mardi 18 juin 2019 08:30
  • Merci à tous les 2 pour vos réponses.

    Du coup si je résume les solutions :

    - Concernant la problématique d'auto-inscription du poste :

    => Ciblage côté client => OK je vais me pencher là dessus

    - Concernant la problématique d'accès au serveur WSUS du site, en revanche :

    1. Passer les DNS de tous les sites en 2016 => impossible au budget avant 2021
    2. Créer un site non répliqué par l'AD wsus.entreprise.local sur chaque site avec IP du WSUS du site => Cette solution fonctionne mais ne nous plait pas car au niveau gestion cela posera problème. Lorsqu'on changera les serveurs par exemple il faudra recréer la zone sur chaque DNS.
    3. GPO au niveau du site. => Impossible en utilisant le ciblage côté client. Car cela nous rendrait impossible l'utilisation de plusieurs groupes WSUS. En gros toutes les machines sur un site seraient attribuées au même groupe WSUS. Alors qu'on souhaite créer différents groupes pour différencier les PC/serveurs et pour chacun Prod/TEST.

    Question :

    Pensez vous que je puisse créer une GPO au niveau site (pour reprendre la solution 3) qui contient en paramètre uniquement le serveur WSUS ? Puis une autre GPO au niveau OU pour les autre paramètres :

    • Groupe (ciblage client)
    • parametres de redémarrage
    • etc...

    => Ça permettrait de répondre à la problématique mais j'ai peur que la GPO niveau OU "prenne le dessus" sur la GPO site et donc ne transmette pas au client le paramètre du serveur WSUS.

    mardi 18 juin 2019 08:42
  • En complément : @Vincent je n'avais pas vu votre réponse. Cela fonctionne sous W2012R2 ?
    mardi 18 juin 2019 08:44
  • Au niveau DNS, activer round robin et activer tri des masques réseaux actifs.

    J'ai créé une zone dédiée (nomdomaine.wsus) qui contient les enregistrements A de tous les serveurs wsus avec le nom wsus.nomdomaine.wsus. Zone intégrée AD répliquée vers tous serveurs DNS de la forêt.

    GPO unique pour le domaine pour pointer les wsus vers ce nom là.

    Solution également à tester, j'avais testé cette solution il y a quelques années ça marche pas trop mal, des fois pas la bonne résolution, on avait abandonné pour d'autres raisons.

    Je pense que maintenant pour vous serez faire un lab des différentes solutions et de voir celles qui vous convient le mieux.

    Concernant les zones DNS, 10 sites avec un enregistrement à faire ce n'est pas énorme, on avait choisi cette solution pour 70 sites.

    Romain 

    mardi 18 juin 2019 09:39
  • Oui. ;-)
    mardi 18 juin 2019 12:31
  • Merci Vincent. Dernière question pour vous : concernant l'inscription des postes dans les groupes WSUS, avez vous eu besoin d'utiliser le "ciblage côté client" ?

    Vous remerciant par avance

    mardi 18 juin 2019 15:09
  • Bonjour,

    Du coup j'ai testé :

    • Le round robin => nslookup OK : IP retournée est sur le bon site
    • remontée sur le serveur WSUS => HS.
    • le ciblage côté client => OK, si je spécifie le serveur WSUS sans utiliser le pointeur du round robin

    Du coup le poste ne s'inscrit pas dans wsus en utilisant le pointeur round robin wsus.entreprise.local.

    Du coup je me demande si le IIS du serveur WSUS ne doit pas être paramétré pour être contacté sur l'url http://wsus.entreprise.local:8530 (plutôt que l'url http:wsus-site1.entreprise.local) ?

    Vous remerciant par avance


    lundi 24 juin 2019 15:05
  • Pour ma part, je n'ai pas fait de ciblage coté client. J'utilise la création des groupes sous wsus.

    J'ai fait pointé tout le monde avec une GPO unique de domaine sur l'url unique.

    Pas de modification de nom dans IIS.

    mardi 25 juin 2019 07:24
  • Merci Vincent, mais alors du coup comment faites vous pour les itinérants pour les gérer depuis la console wsus ?

    Quand un PC se connecte sur le WSUS du site 1, vous le placez dans un groupe sur serveur WSUS, puis lorsque le PC se connecte sur le WSUS du site 2, vous le placez dans un groupe du second wsus ?

    Surtout qu'il faut savoir quand un utilisateur se déplace sur un autre site. Donc quand vous avez 500 utilisateurs sur 10 sites... (ce qui est notre cas).

    Comment gérez vous cela ?

    merci d'avance

    mardi 25 juin 2019 15:54
  • En fait, on se fiche de l'affectation à un groupe. On envoie toutes les mises à jour automatiquement sur tous les ordinateurs.

    Il y a un serveur sur le site central qui se synchronise sur Microsoft. Tous les autres serveurs (12) se synchronise par rapport à lui et remontent leurs informations sur ce serveur principal.

    Les groupes créés sur ce serveur se synchronisent donc automatiquement vers les serveurs en aval. Il ne nous servent qu'à catégoriser les ordinateurs selon le type de machines.

    La synchronisation s'effectue pour tous les serveurs en léger décalage et toutes les 2 heures.

    mercredi 26 juin 2019 08:56