none
Limitation Bande passante WSUS

    Discussion générale

  • Je souhaite installer un serveur WSUS sur mon siège social pour pouvoir mettre a jour mes stations Windows 7 et Windows 10 situés sur mon siège social et mes filliales.

    Je n'ai pas un gros débit sur mon siège social (SDSL 4Mb) et souhaite donc pouvoir limiter le trafic sortant utilisé par WSUS.

    J'ai vu que nous pouvions utiliser BITS, mais apparement ce n'est plus supporté sur Windows 10.

    Quelle est la bonne solution ?

    Merci pour votre aide.

    jeudi 1 février 2018 21:09

Toutes les réponses

  • Personnellement, je vous recommande de programmer le téléchargement des updates la nuit, en dehors des plages ouvrées (et de sauvegarde si celles-ci sont sur le cloud d'un hébergeur spécialisé). configurez le serveur WSUS pour télécharger les packages complets d'installation (dans les options avancées). De cette manière vos clients n'utiliseront pas la bande passante web pour le ddl des maj validées.

    Autre option, configurer la bande passante BITS sur le serveur WSUS (soit par une GPO, soit par la GP Local). L'option se trouve dans Computer Configuration > Policies > Administrative Templates > Network > Background Intelligent Transfer Serice > Limit the maximum network bandwidth for BITS background transfers

    jeudi 1 février 2018 21:20
  • Personnellement, je vous recommande de programmer le téléchargement des updates la nuit, en dehors des plages ouvrées (et de sauvegarde si celles-ci sont sur le cloud d'un hébergeur spécialisé). configurez le serveur WSUS pour télécharger les packages complets d'installation (dans les options avancées). De cette manière vos clients n'utiliseront pas la bande passante web pour le ddl des maj validées.

    Autre option, configurer la bande passante BITS sur le serveur WSUS (soit par une GPO, soit par la GP Local). L'option se trouve dans Computer Configuration > Policies > Administrative Templates > Network > Background Intelligent Transfer Serice > Limit the maximum network bandwidth for BITS background transfers

    Le téléchargement des mises a jour depuis internet vers le serveur WSUS va se faire la nuit.

    Mais le transfert des mises a jour depuis le serveur WSUS vers les postes de mes filiales et du siège doit se faire en journée, mais je ne veux pas saturer mon lien MPLS de mon siège car il envoie aux filiales.

    Je sais que je peux utiliser BITS, mais je ne sais pas si BITS est encore compatible W10 ?

    vendredi 2 février 2018 09:41
  • Si vous avez un lien MPLS entre vos filiales et le serveur WSUS et que cela sature vos liens WAN, vous devriez plutôt installer un serveur WSUS Secondaire sur chacune des filiales. Le serveur secondaire se synchronisera la nuit avec le siège également ; vous pourrez toujours administrer les postes de manière centralisée (il y a différentes configuration possible). 

    Pour que le client wsus adresse ensuite vers le bon serveur WSUS de son site, sortez de la configuration GPO principale la déclaration du serveur WSUS et créer une nouvelle GPO spécifique pour chaque site, au quelle vous donnerez l'adresse du serveur WSUS du site concerné. Liée ensuite chaque GPO ainsi créée au site Active directory auquel elle correspond. 

    Dans cette configuration, vos utilisateurs pointeront toujours sur le bon serveur WSUS, quelque soit le site où ils travaillent (population nomade). Cela requiert que vos sites active directory soient correctement déclarés avec les plans réseaux associés.


    P.S. : un serveur WSUS n'a pas besoin d'être membre de votre domaine (comme c'est le cas de ma capture).
    vendredi 2 février 2018 14:56
  • Si vous avez un lien MPLS entre vos filiales et le serveur WSUS et que cela sature vos liens WAN, vous devriez plutôt installer un serveur WSUS Secondaire sur chacune des filiales. Le serveur secondaire se synchronisera la nuit avec le siège également ; vous pourrez toujours administrer les postes de manière centralisée (il y a différentes configuration possible). 

    Pour que le client wsus adresse ensuite vers le bon serveur WSUS de son site, sortez de la configuration GPO principale la déclaration du serveur WSUS et créer une nouvelle GPO spécifique pour chaque site, au quelle vous donnerez l'adresse du serveur WSUS du site concerné. Liée ensuite chaque GPO ainsi créée au site Active directory auquel elle correspond. 

    Dans cette configuration, vos utilisateurs pointeront toujours sur le bon serveur WSUS, quelque soit le site où ils travaillent (population nomade). Cela requiert que vos sites active directory soient correctement déclarés avec les plans réseaux associés.


    P.S. : un serveur WSUS n'a pas besoin d'être membre de votre domaine (comme c'est le cas de ma capture).

    Je ne souhaite pas mettre en place un serveur WSUS sur chacune de mes filiales : Dans une filiale, j'ai 4 postes.

    je n'ai pas le budget pour 1 WSUS / par site (J'ai 200 filiales) et je n'en trouve pas l'utilité pour 4 poste par site.

    vendredi 2 février 2018 16:00
  • Dans ce cas, il n'y a pas d'autres alternative que de définir des plages d'update différentes par filiale de façon à sectoriser les push.
    vendredi 2 février 2018 16:21
  • +1 pour GPO.

    Dans ce cas vous pouvez créer une GPO pour chaque site pour définir un horaire et une fréquence de téléchargement des mises à jour différent.

    Si la topologie de site reflète la topologie des sites physique, dans ce cas vous pouvez attacher à chaque site une GPO. et le client va subir la GPO qui correspond à son site AD en se basant le sous-réseau utilisé dans sa configuration IP:


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 2 février 2018 16:56
    Modérateur
  • ça peut être une solution, mais sinon, en réfléchissant, je peux aussi utiliser Branch cache.

    Par contre, je souhaiterais un cache partagé, car je n'ai pas de postes sur site, mais comment cela se passe si:

    Un poste contient une mise a jour et qu'il est éteint ?

    Si je change mon poste, suis je obligé de refaire le paramétrage ?

    Comment régler la taille de mon cache ?

    Merci pour votre aide

    dimanche 11 février 2018 19:54
  • ça peut être une solution, mais sinon, en réfléchissant, je peux aussi utiliser Branch cache.

    Par contre, je souhaiterais un cache partagé, car je n'ai pas de postes sur site, mais comment cela se passe si:

    Un poste contient une mise a jour et qu'il est éteint ?

    Si je change mon poste, suis je obligé de refaire le paramétrage ?

    Comment régler la taille de mon cache ?

    Merci pour votre aide

    Je ne peux pas utiliser BranchCache car je dispose uniquement de version pro et il faut des versions Enterprise pour utiliser Branchcache.

    Je ne peux pas forcément déployer la nuit car la nuit aussi le lien du siège social est nécessaire donc mon bridage est aussi nécessaire la nuit.

    BITS est encore d'actualité sur W2016 et W2012 R2 ?

    mercredi 9 mai 2018 23:35
  • Personnellement, je vous recommande de programmer le téléchargement des updates la nuit, en dehors des plages ouvrées (et de sauvegarde si celles-ci sont sur le cloud d'un hébergeur spécialisé). configurez le serveur WSUS pour télécharger les packages complets d'installation (dans les options avancées). De cette manière vos clients n'utiliseront pas la bande passante web pour le ddl des maj validées.

    Autre option, configurer la bande passante BITS sur le serveur WSUS (soit par une GPO, soit par la GP Local). L'option se trouve dans Computer Configuration > Policies > Administrative Templates > Network > Background Intelligent Transfer Serice > Limit the maximum network bandwidth for BITS background transfers

    Je crois que je vais un peu plus me pencher sur BITS, dans la GPO que tu indiques, elles doit s'appliquer sur mon WSUS uniquement ou en plus sur mes postes clients ?

    D'autre part, j'ai mon serveur antivirus en plus sur mon WSUS, si j'applique BITS avec une limite de transfert, est ce que mon antivirus (Kaspersky) sera lui aussi impliqué dans cette limitation de transfert ?

    jeudi 10 mai 2018 13:32
  • Avez vous des infos la dessus ?

    merci.

    vendredi 11 mai 2018 08:24
  • Avez vous des infos la dessus ?

    Merci.

    jeudi 17 mai 2018 08:50
  • Non les flux de ton AV ne seront pas impactés.

    Pour l'utilisation de BITS il faudra que tu installes le role BITS sur tes serveurs car ce dernier n'est pas installé par défaut alors que sur tes clients, si.

    Il faut aussi que tu penses a config le mode de distribution des mises à jour de tes w10 afin qu'ils ne parlent pas tout seul entre eux.

    Attention W10 est très groumant niveau mise à jour et très chiants à config pour les petites connexion.

    vendredi 18 mai 2018 17:55
  • Même si j'indique que mes mises a jour doivent se faire par Wsus, il faut en plus que je désactive le mode de distribution ?

    Dans les optimisations de livraison, "Autoriser le téléchargement a partir d'autres PC" est désactivé et "PC sur mon réseau local" est grisé.

    Donc normalement c'est correctement paramétré ?

    D'autre part, j'ai limité via BITS le téléchargement des mises a jour entre mes postes distants et mon serveur.

    Maintenant, je souhaiterait limiter le téléchargement des mises a jour entre Windows Update et mon serveur WSUS.

    Mon paramétrage effectué pour BITS suffira ? Il me semblait que je pouvais définir une limitation directement dans WSUS ?

    vendredi 8 juin 2018 15:09
  • Je souhaite installer un serveur WSUS sur mon siège social pour pouvoir mettre a jour mes stations Windows 7 et Windows 10 situés sur mon siège social et mes filliales.

    Je n'ai pas un gros débit sur mon siège social (SDSL 4Mb) et souhaite donc pouvoir limiter le trafic sortant utilisé par WSUS.

    J'ai vu que nous pouvions utiliser BITS, mais apparement ce n'est plus supporté sur Windows 10.

    Quelle est la bonne solution ?

    Merci pour votre aide.

    Bonjour xu,

    J'utilise une solution UTM (ZYXEL ou WATCHGUARD suivant le client) afin de contrôler comment mon serveur WSUS utilise sa bande passante.



    Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème

    vendredi 8 juin 2018 15:23
  • Je souhaite installer un serveur WSUS sur mon siège social pour pouvoir mettre a jour mes stations Windows 7 et Windows 10 situés sur mon siège social et mes filliales.

    Je n'ai pas un gros débit sur mon siège social (SDSL 4Mb) et souhaite donc pouvoir limiter le trafic sortant utilisé par WSUS.

    J'ai vu que nous pouvions utiliser BITS, mais apparement ce n'est plus supporté sur Windows 10.

    Quelle est la bonne solution ?

    Merci pour votre aide.

    Bonjour xu,

    J'utilise une solution UTM (ZYXEL ou WATCHGUARD suivant le client) afin de contrôler comment mon serveur WSUS utilise sa bande passante.



    Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème

    Le problème est que je ne dispose pas de ce genre d'équipement sur mon site.
    vendredi 8 juin 2018 16:05
  • Même si j'indique que mes mises a jour doivent se faire par Wsus, il faut en plus que je désactive le mode de distribution ?

    Dans les optimisations de livraison, "Autoriser le téléchargement a partir d'autres PC" est désactivé et "PC sur mon réseau local" est grisé.

    Donc normalement c'est correctement paramétré ?

    D'autre part, j'ai limité via BITS le téléchargement des mises a jour entre mes postes distants et mon serveur.

    Maintenant, je souhaiterait limiter le téléchargement des mises a jour entre Windows Update et mon serveur WSUS.

    Mon paramétrage effectué pour BITS suffira ? Il me semblait que je pouvais définir une limitation directement dans WSUS ?


    up
    lundi 11 juin 2018 14:35
  • En gros il faut que tu fasses 3 types de GPO :

    1. WSUS_Clients : Pour configurer tes clients a pointer sur le bon WSUS. A multiplier si tu plusieurs WSUS
    2. WSUS_Clients_BITS : Configuration de la restriction de débit maximal pour les transferts de updates via BITS
    3. WSUS_Clients_Distribution : Configuration du mode de distribution pour tes clients, à configurer sur "HTTP uniquement" afin que les clients ne récupèrent les MaJ que sur les WSUS

    Si tu as des serveurs sur tes sites externes tu peux aussi faire une WSUS_Serveurs_BITS et WSUS_Serveurs

    Pour les serveurs il faut que tu install la fonctionnalité BITS pour que ça marche

    Afin de limiter la BP utilisé par ton WSUS main pour se synchro sur internet je pense que le plus simple serait de passer par ton pare-feu. Je ne sais pas s'il y a un paramètre de GPO pour ça

    mardi 12 juin 2018 11:28